锐捷NBR路由器应用详解.ppt

第11章 锐捷NBR路由器应用详解,前 言,此PPT主要介绍了锐捷NBR系列路由器在实际组网中的各种典型应用以及故障排除的思路与步骤.,课程目标,通过本次课程的学习，您可以掌握以下知识点 NBR路由器的基本性能指标 NBR路由器的典型应用模式 NBR路由器各项功能的使用与配置 NBR路由器故障排除的思路与步骤 NBR路由器安全功能的应用场合与配置,提纲,NBR路由器简介 NBR路由器典型应用篇 NBR路由器故障排除篇,NBR路由器简介,NBR2000,NBR1000E,NBR200,3个10/100M WAN口 4个10/100M LAN口,1个10/100M WAN口 1个10/100/1000M WAN口 1个10/100M/1000M LAN口,推荐带机规模 100台以下,推荐带机规模 100200台,推荐带机规模 800台以下,1个10/100M WAN口 4个10/100M LAN口,提纲,NBR路由器简介 NBR路由器典型应用篇 NBR路由器故障排除篇,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇虚拟服务器,NBR,Internet,内网服务器,内网用户,内部架设了服务器，现在想让公网的用户也可以访问，这个有办法实现吗？,没问题，NBR可以实现,NBR路由器可以通过NAT端口映射的功能也就是常说的虚拟服务器功能，让公网上的网络用户可以访问内网架设的服务器（WWW、FTP、E-MAIL等），同时内网的PC也可以直接通过公网IP访问内部服务器。 配置方式：WEB、CLI,NBR路由器典型应用篇虚拟服务器,WEB方式配置 CLI方式配置 ip nat inside source static tcp 0 80 8 80 permit-inside,NBR路由器典型应用篇虚拟服务器,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇DDNS,NBR,Internet,内网服务器,内网用户,内部架设了服务器，现在想让公网的用户也可以访问，但线路是PPPOE拨号的，这个能实现吗？,没问题，NBR可以实现,PPPOE,NBR路由器典型应用篇DDNS,NBR路由器通过动态DNS也就是DDNS功能，实现固定域名到动态IP地址之间的解析，每次上网得到新的IP地址之后，NBR路由器就会把这个IP 地址发送到动态域名解析服务器，更新域名解析数据库。Internet 上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的IP 地址给他，这样就顺利圆满的解决了PPPOE情况下无法对外发布内部服务器的问题。 配置方式：WEB、CLI,NBR路由器典型应用篇DDNS,WEB方式配置 CLI方式配置 ddns 88ip ruijie password ruijie bind FastEthernet 1/0 start,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇DNS中继,NBR,Internet,内网用户,公网的DNS难记又经常变动，能否把DNS直接指向网关？这个有办法实现吗?,没问题，NBR可以实现,NBR路由器提供DNS-RELAY也就是DNS中继功能可以解决该问题，内网的用户可以直接将DNS服务器指向NBR路由器的内网口 配置方式：CLI 假设内网口的IP地址是，DNS服务器的IP是5 则DNS relay功能配置如下： ip nat application source list 1 destination udp 53 dest-change 5 53 其中ACL号1，与动态NAT中使用的ACL号一致 如：access-list 1 permit any,NBR路由器典型应用篇DNS中继,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇端口监控,NBR,Internet,内网用户,基于安全的要求，内部上网的数据流必须进行监控，路由器上可以实现吗?,没问题，NBR可以实现,NBR路由器硬件实现端口镜像监控的功能，可以对内网任意方向的数据包进行监控，且不会影响网络性能 配置方式：WEB、CLI,NBR路由器典型应用篇端口监控,WEB方式配置 CLI方式配置 mirror master lan 0 slave lan 1 tx mirror master lan 0 slave lan 2 rx mirror master lan 0 slave lan 3 all,NBR路由器典型应用篇端口监控,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇限速,NBR,Internet,内网用户,没问题，NBR可以实现,上网速度慢，打开网页老半天、玩游戏卡,P2P软件下载、在线视频等,正常应用,唉，内部BT、电驴、迅雷、FTP、在线视频等占用了大量的出口带宽，实在头疼，有没办法对内部流量进行限速呢？,NBR路由器提供基于IP地址限速的功能，可以给整个网络内部的所有PC进行速度限制，可以分别限制上传和下载速度，NBR路由器既可以统一限制内部所有PC的速度，也可以分别设置内部某台指定PC的速度 配置方式：WEB、CLI,NBR路由器典型应用篇限速,WEB方式配置 CLI方式配置 ip nat translation rate-limit iprange 00 inbound 512 outbound 1024,NBR路由器典型应用篇限速,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇上网时段控制,NBR,Internet,内网用户,在上班时间内部的用户可以收发邮件，但不能上网，这个有办法实现吗？,没问题，NBR可以实现,NBR路由器支持基于时间的ACL功能，可以控制任意时段内的网络应用 配置方式：CLI clock set 15:30:30 25 august 2006 calendar set 15:30:30 25 august 2006 show clock clock: 2006-8-25 15:30:36 time-range 1 periodic Daily 8:00 to 18:00 access-list 100 permit tcp any any eq 53 time-range 1 access-list 100 permit tcp any any eq 25 time-range 1 access-list 100 permit tcp any any eq 110 time-range 1 access-list 100 deny ip any any time-range 1 access-list 100 permit ip any any interface FastEthernet 0/0 ip access-group 100 in,NBR路由器典型应用篇上网时段控制,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇上网地址段控制,NBR,Internet,内网用户,A部分的用户可以上网，而B部分的用户只能访问内网，这个有办法实现吗？,没问题，NBR可以实现,A:-00,B:01-00,NBR路由器支持基于起始和结束地址的ACL(3000-3199)，其中30003099是IP标准访问列表，31003199是IP扩展访问列表，通过这种ACL可以实现对内部上网地址段的灵活管理 配置方式：CLI access-list 3001 permit 00 interface FastEthernet 0/0 ip access-group 3001 in,NBR路由器典型应用篇上网地址段控制,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇多出口1,NBR,网通,内网用户,没问题，NBR可以实现,电信,电信与网通资源互访速度慢，有些还无法访问,能否按访问的目的资源优先选取对应的线路呢？,NBR路由器通过路由表的优化设置，可以实现访问电信的资源优先走电信的线路，访问网通的资源优先走网通的线路，且两条线路互为备份 配置方式：可以通过WEB配置，也可以通过CLI配置,NBR路由器典型应用篇多出口1,WEB方式配置 CLI方式配置 ip route FastEthernet 1/0 7 ip route FastEthernet 1/1 4,NBR路由器典型应用篇多出口1,NBR路由器典型应用篇多出口2,NBR,电信,内网用户,没问题，NBR可以实现,部分用户上网走线路1，部分用户上网走线路2，有办法可以实现吗？,线路1,线路2,A,B,NBR路由器支持两种基于源地址的路由，一种是最常用的策略路由，另一种就是NBR路由器特有的根据指定源地址优先选取指定WAN口的功能，两种都可以实现上述的需求 配置方式：通过CLI配置 access-list 3001 permit 00 access-list 3002 permit 01 00 ip default-route list 3001 out-interface FastEthernet 1/0 ip default-route list 3002 out-interface FastEthernet 1/1,NBR路由器典型应用篇多出口2,NBR路由器典型应用篇,虚拟服务器 DDNS DNS中继 端口监控 限速 上网时段控制 上网地址段控制 多出口 VRRP,NBR路由器典型应用篇VRRP,NBR-A,Internet,内网用户,有两个出口，想使用两台出口设备，它们要能够互为备份，最好还能负载均衡，能实现吗？,没问题，NBR可以实现,NBR-B,A,B,NBR路由器支持VRRP(Virtual Router Redundancy Protocol)协议，通过设置不同的VRRP组实现负载均衡和冗余备份的功能 配置方式：CLI配置 NBR-A： interface FastEthernet 0/0 ip address vrrp 1 priority 120 vrrp 1 ip 54 vrrp 1 track FastEthernet 1/0 50 vrrp 2 ip 53 NBR-B： interface FastEthernet 0/0 ip address vrrp 1 ip 54 vrrp 2 priority 120 vrrp 2 ip 53 vrrp 2 track FastEthernet 1/0 50,NBR路由器典型应用篇VRRP,提纲,NBR路由器简介 NBR路由器典型应用篇 NBR路由器故障排除篇,NBR路由器故障排除篇,目前NBR在实际应用环境中碰到的最多的故障是 什么呢？我想大家应该都知道！,掉线,NBR路由器故障排除篇掉线,掉线的主要原因有哪些呢？ ARP欺骗 病毒 流量过大 线路质量 配置错误 DDOS攻击 既然掉线的原因有这么多种，我们平常该如何准确快速 的定位出故障原因所在，并解决呢？我们需要有一套清 晰的排障思路和系统的排障方法，通过这两个法宝找出 问题所在，再结合NBR路由器特有的安全功能去解决。,NBR路由器故障排除篇掉线,首先查找线路是否有问题，确认线路无故障后， 再按照以下步骤一步一步进行排查,NBR路由器故障排除篇配置错误,第一步：查看NBR路由器的配置是否有错误，可以通过WEB方式和CLI方式登录查看 WEB方式 CLI方式 在NBR#提示符号输入show running-config,NBR路由器故障排除篇CPU状态,第二步：查看NBR路由器的CPU工作状态，可以通过WEB方式，也可以通过CLI方式查看 WEB方式查看 CLI方式查看 NBR#show cpu CPU utilization for five seconds: 1% CPU utilization for one minute : 1% CPU utilization for five minutes: 1% CPU utilization peak for five seconds: 1%,at: 2006-8-25 22:41:36 CPU utilization peak for one minute : 1%,at: 2006-8-25 22:41:36 CPU utilization peak for five minutes: 1%,at: 2006-8-25 22:41:36,当前CPU利用率,CPU历史最高利用率,NBR路由器故障排除篇CPU状态,如果CPU利用率不高，则可能是其他原因导致掉线，如果当前CPU利用率很高，则有三种可能的原因： 病毒 流量过大 DDOS攻击 以上三种问题都会造成路由器系统资源耗尽，就产生了掉线，针对这三种问题，NBR路由器都有相应的排查以及解决办法,NBR路由器故障排除篇病毒,NBR路由器具有病毒检测以及防御功能,可以通 过WEB和CLI方式进行检测和配置： WEB方式,NBR路由器故障排除篇病毒,CLI方式 查看NAT状态表 NBR#show ip nat statistics suspicious-pc 自动检测冲击波、震荡波病毒 NBR#sh ip nat statistics Total translations: 430, max entries permitted: 500000 Peak translations: 5371 23:05:32 ago NBR#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 00:2207 9:2207 85:1433 85:1433 tcp 00:2207 9:2208 78:1433 78:1433 通过ACL建立相应的防火墙规则，屏蔽TCP1433病毒端口 No access-list 3198 access-list 3198 deny tcp any any eq 1433 access-list 3198 permit ip any any interface FastEthernet 0/0 ip access-group 3198 in,当前NAT节点数,历史最高NAT节点数,NBR路由器故障排除篇流量过大,NBR路由器具有流量监控功能，可以通过WEB和CLI方式进行查看 WEB方式,NBR路由器故障排除篇流量过大,CLI方式 打开流量统计： NBR(config)# ip nat translation netflow 查看流量统计： NBR#show ip nat translations flowrate inbound NBR#show ip nat translations flowrate outbound NBR#sh ip nat translations flowrate inbound（outbound） IP Inbound(Kb/sec) Outbound(Kb/sec) IsLimit IsSpecial 6 4 0 - - 1 3 10 - - 0 1 14 - - 98 0 1 - - 5 0 0 - - 7 0 0 - -,NBR路由器故障排除篇流量过大,CLI方式 通过查看NAT状态表也可以判断内部是否有P2P等大流量下载应用 NBR#show ip nat statistics per-user NAT inside user count: 8, peak: 24 2d,04:08:10 ago Maximum nat entries for inside per user ip: 1000 IP count config 1 1000 0 5 10 0 8 36 0,当前用户数,该用户NAT节点数,每IP最大NAT节点数,NBR路由器故障排除篇流量过大,流量过大引起的掉线问题，可以通过NBR路由器特有的限速以及NAT节点数控制这两个功能的结合使用来解决 NAT节点数控制的配置可以通过CLI方式进行配置 CLI方式 ip nat translation per-user 350,NBR路由器故障排除篇DDOS攻击,DDOS 攻击不仅可以针对内网地址，也可以是外网地址，路由器如果受到DDOS攻击，那么CPU利用率将会很高，最后由于系统资源被消耗尽，就导致掉线现象的出现。 NBR路由器在使用过程中更多的是外网地址受到攻击。NBR路由器支持对内外网地址DDOS攻击进行防范,NBR路由器故障排除篇DDOS攻击,NBR路由器对于内网发起的对路由器的DDOS攻击可以通过CLI方式进行配置 第一步：配置标准ACL，指定内网网关地址 NBR(config)#access-list 10 permit host 第二步：在LAN口上，应用限速命令 interface FastEthernet 0/0 rate-limit input access-group 10 64000 3000 3000 conform-action transmit exceed-action drop 这样，所有针对内网网关地址的DOS报文将被限速,NBR路由器故障排除篇DDOS攻击,NBR路由器也具备防外网DDOS攻击的功能，可以通过WEB和CLI方式进行配置 WEB方式 CLI方式 security anti-wan-attack level high,NBR路由器故障排除篇ARP欺骗,第三步：查看NBR路由器的ARP表，可以通过CLI方式查看 CLI方式 NBR#show arp Protocol Address Age(min) Hardware Type Interface Internet 9 18 0010.f901.0101 ARPA FastEthernet 0/0 Internet 15 57 0010.f901.0101 ARPA FastEthernet 0/0 Internet 8 56 0010.f901.0101 ARPA FastEthernet 0/0 Internet 98 51 0010.f901.0101 ARPA FastEthernet 0/0 这么多IP的MAC一样，说明内部有针对网关发起的主机ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器通过静态ARP表项可以绑定IPMAC地址，很好的解决了针对路由器网关发起的主机ARP欺骗，可以通过CLI方式进行配置 CLI方式 NBR(config)#arp 7 0011.f800.4251 arpa NBR(config)#arp 0 00e0.4Cb3.034f arpa,第四步：在PC上通过arp -a查看本机的ARP表 如果发现网关的MAC地址被更改了，说明内部存在针对主机发起的网关ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器支持定时发送免费ARP的功能，可以很好的解决针对主机发起的网关ARP欺骗，可以通过WEB和CLI方式进行配置 WEB方式 CLI方式 interface FastEthernet 0/0 arp gratuitous-send interval 1,NBR路由器故障排除篇日志分析,第五步：通过分析日志信息判断故障原因所在， NBR路由器提供丰富的日志功能，可以通过WEB以及CLI方式进行配置 WEB方式 CLI方式 service sequence-numbers service timestamps log datetime service timestamps debug uptime logging trace enable logging 68,NBR路由器故障排除篇日志分析,关于ARP 欺骗 2006-8-27 18:14:46 NBR1000: %6:%IP-4-DUPADDR1: Duplicate address on FastEthernet 0/0, sourced by 0010.18fb.0036 该信息显示有IP地址跟网关冲突，内网可能有人在进行ARP 欺骗 00388 taicang: %6:arp update , mac address of 0 bec