《实用网络设计与配置 北京市高等教育精品教材立项项目 教学课件 ppt 作者 孙建华 第9章Cisco路由器的配置实例》由会员分享,可在线阅读,更多相关《实用网络设计与配置 北京市高等教育精品教材立项项目 教学课件 ppt 作者 孙建华 第9章Cisco路由器的配置实例(62页珍藏版)》请在金锄头文库上搜索。
1、,第 9 章 Cisco路由器的配置 实 例,9.1 Cisco路由器基础,路由器是连接多个网络或网段的网络设备。路由器主要完成两项工作,即“寻径”和“转发”。“寻径”是指建立和维护路由表的过程,主要由软件实现;“转发”是指把数据包从一个接口转到另一接口的过程,主要由硬件完成。,路由器就是一台特殊功能的计算机,它的主要功能就是用来进行路由计算和数据包的转发,它有相应的操作系统(IOS)。,9.2 路由器配置,路由器的配置有4种方式,具体如下。 (1)Console (2)Telnet (3)TFTP (4)SNMP,9.2.1 IOS命令状态 图9.3所示为IOS命令状态和模式的关系。,图9.
2、3 路由器命令模式,9.2.2 IOS文件管理 9.2.3 IOS常用命令 9.2.4 路由器基本配置模板,9.3 路由协议设置,1静态路由 router(config)# ip route mask address|interface distance permanent,network 是目的网络的网络地址;mask 是目的网络子网掩码;address是下一跳IP地址;interface是本端接口号码;distance管理距离,默认为1;permanent表明这个路径是永远存在。,2动态路由 内部网关路由协议主要有RIP和OSPF。RIP路由协议的配置比较简单。,9.4 访 问 控 制,访
3、问控制列表(Access Control List,ACL) 的实质是一种数据包过滤的手段。应用在路由器接口上的访问控制列表用来控制端口进出的数据包。,访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤进入和送出的数据包的请求,实现对路由器和网络的安全控制。,访问控制列表具有区分数据包的功能,具体如下。,(1)ACL可以限制特定用户(网段或主机)或特定类型的网络流量,从而提高网络性能。 (2)ACL可以在路由器接口处决定哪种类型(如HTTP、DNS)的通信流量被转发或被阻塞。,(3)ACL可用于QoS中,提供对通信流量的控制手段,使得不同的数据流具有不同的优
4、先级, (4)ACL可用于DDR中,来定义哪些数据包可以触发拨号。,(5)ACL可用于地址转换(NAT)中,来定义哪些数据包需要进行地址转换。 (6)ACL还广泛的应用在路由策略中,用于路由信息的过滤。,在路由器配置中,标准ACL和扩展ACL的区别是由ACL的序号来体现的,标准ACL的序列号范围是199,扩展ACL的序列号范围是100199。ACL的配置分为两个步骤。,(1)在全局配置模式下,使用下列命令创建ACL。 (2)在接口配置模式下,使用access-group命令将第一步中创建的ACL应用到某一接口上。,9.5 地 址 转 换,网络地址转换(NAT)用于将一个地址段映射到另一个地址段
5、的标准方法。NAT允许一个机构的内部网络通过Internet上注册的合法地址接入Internet网络。,9.5.1 NAT的概念 NAT的翻译可以采取静态地址翻译或动态地址翻译。静态地址翻译将内部地址和外部地址一一对应。,动态IP地址翻译则采用地址池的概念,在NAT路由器设置一批地址,即地址池。当NAT需要对某个地址翻译时,就从地址池中选择一个地址进行翻译。使用NAT的几种情况如下。,(1)连接到Internet,但却没有足够的合法地址分配给内部主机。 (2)更改到一个需要重新分配地址的ISP。 (3)有相同的IP地址的两个网络。 (4)支持负载均衡。,9.5.2 访问控制和NAT NAT技术
6、的原理是在一个网络内部,不需要申请,用户即可随意分配IP地址(建议采用RFC1918指定的私有IP地址)。,在网络内部,各计算机间通过内部的IP地址进行通信。,当内部的计算机需要访问外部Internet时,具有NAT功能的设备(如路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址),从而使得一个私有网络可以通过少量的Internet注册的IP连接到外部世界。NAT的几个地址概念如下。,(1)内部本地地址 (2)内部全局地址 (3)外部本地地址 (4)外部全局地址,(1)access-list 1 permit 192.168.10.0 0.0.0.255,(2)ip na
7、t inside source static 192.168.10.201 202.112.11.231,(3)ip nat inside source static 192.168.10.202 202.112.11.232,(4)ip nat pool RTA-pool 202.112.11.225 202.112.11.230 netmask 255.255.255.240,(5)ip nat inside source list 1 pool RTA-pool overload,9.5.3 NAT和访问控制的应用 NAT设备维护一个状态表,用来把内部的IP地址映射到合法的IP地址上去。
8、每个数据包在NAT设备中都将被翻译成正确的IP地址,然后再发往下一级设备。,NAT技术的应用,大致分为3种地址翻译方式,即静态地址转换、动态地址转换、复用动态地址转换。,1静态地址转换 静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定与哪个合法地址进行转换。,2动态地址转换 动态地址转换也是将内部本地地址与内部全局地址一对一地转换,但是动态地址转换是从内部全局地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。,3复用动态地址转换 复用(PAT)动态地址转换也是动态地址转换的一种形式,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经
9、常同时有多个用户连入外部网络的情况,这种转换极为有用。基本步骤如下。,4静态地址翻译实例 图9.10所示为将内部网络的邮件服务器(IP 10.10.10.1/24)发布到外部网络的全过程,使用静态翻译可以实现这种转换。以Cisco路由器为例,NAT配置清单如下。,图9.10 静态地址翻译示意图,!- 定义内部转换接口 interface ethernet 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !- 定义外部转换接口 interface serial 0 ip address 172.16.10.254 255.255.255
10、.0 ip nat outside !- 指定将地址10.10.10.1静态转换为172.16.10.1 ip nat inside source static 10.10.10.1 172.16.10.1,5动态地址翻译实例 图9.11所示为配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1/24访问外部网络的全过程。下面清单展示了具体配置方法(将地址改为10.10.10.0/24)。NAT路由器配置清单如下。,图9.11 动态地址翻译,!- 定义内部转换接口 interface ethernet 0 ip address 10.10.10.254 255.255.
11、255.0 ip nat inside !- 定义外部转换接口 interface serial 0 ip address 172.16.10.64 255.255.255.0 ip nat outside,!- 定义名为ovrld的NAT地址池和地址池中的地址172.16.10.1 ip nat pool NET 172.16.10.1 172.16.10.1 netmask 255.255.255.0 !-被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址 ip nat inside source list 1
12、 pool NET overload !- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换 access-list 1 permit 10.10.10.0 0.0.0.255,6端口地址翻译实例 端口地址翻译是将多个局部地址映射为一个全局地址的某一端口的过程,因此也被称为端口地址翻译(PAT)。,图9.12 NAT端口转换实例,!- 定义内部转换接口 interface ethernet 0 ip address 10.10.10.254 255.255.255.0 ip nat inside !- 定义外部转换接口 interface serial
13、 0 ip address 172.16.30.254 255.255.255.0 ip nat outside !- 指定将地址10.10.10.8:1080静态转换为172.16.30.8:80 ip nat inside source static tcp 10.10.10.8 1080 172.16.30.8 80,9.6 VPN技术,1的分类 VPN可分为远程访问虚拟网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚拟网(Extranet VPN)3种类型。,这3种VPN分别对应于传统的远程访问网络、机构或企业内部的Intranet和以机构或企业网络为基础构建
14、的Extranet。,Access VPN是通过一个的共享基础设施,提供对机构或企业内部网或外部网的远程访问,使用户随时、随地访问机构或企业资源。,Intranet VPN是在Internet上组建的世界范围内虚拟专用网。,Extranet VPN是通过一个使用专用连接的共享基础设施,将客户、供应商或合作伙伴连接到企业内部网。,2VPN使用的协议 VPN使用两种隧道协议:点到点隧道协议(PPTP)和第二层隧道协议(L2TP)。,3VPN的身份验证方法 VPN进行身份验证的几种方法如下。,(1)CHAP (2)MS-CHAP (3)MS-CHAP v2 (4)EAP,4IP安全加密IPSec I
15、PSec是在VPN应用中广泛使用的安全协议之一。在多数的VPN中都用IPSec。IPSec提供两种安全机制:认证和加密。,(1)IPSec的基本功能如下。 数据机密性 数据完整性 数据源验证 反重播,(2)IPSec的基本概念。 两种传送模式 加密算法 密钥交换算法 验证算法 Internet密钥交换 安全联盟,(3)IPSec会话的5个主要过程如下。 定义要进行安全传输数据。 IKE-1:通过协商IKE SA来验证IPSec对端体,并建立起一个可以在IKE-2协商IPSec SA的安全通道。, IKE-2:IKE协商IPSec SA的参数并在对端体之间建立起匹配的IPSec SA。 数据传输:IPSec通道被正确地建立起来,数据在IPSec对端体之间进行安全传输。 IPSec通道被终止。,9.7 Cisco路由器经典配置实例,
