交换机路由器以及防火墙.ppt

lca,交换机、路由器以及防火墙,1路由器的配置2交换机的配置3防火墙的配置,lca,路由器配置简介,lca,什么是路由器,路由器是一种连接多个网络的网络设备，用于连接多个逻辑上分开的网络（所谓逻辑网络是代表一个单独的网络或者一个子网）的网络设备。它具有判断网络地址和选择路径的功能，能在多个网络互联环境中，建立灵活的连接；可用完全不同的数据分组和介质访问方法连接各种子网；路由器是网络层的一种互联设备，它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。一般说来，异种网络互联与多个子网互联都应采用路由器来完成。,lca,路由器的主要功能,连接多个独立的网络或子网实现网间最佳寻径和数据报传送流量管理：包过滤、负载分流、负载均衡、优先冗余和容错数据压缩、加密,lca,网络互联,路由器可以支持多种局域网和广域网端口，并且实现多种局域网数据帧之间的转换，使不同的局域网之间能够通信园区网内的多个子网之间也需要路由器进行互联,lca,网间寻径和数据传送,寻径的依据是经过每个路由器中的路由表。路由表指明了从源站点到目的站点的一条路径。路由协议是生成路由表的方法，分为静态路由协议和动态路由协议。,lca,网间寻径和数据传送,静态路由协议：手工为每台路由器编写一张固定不变的静态路由表；动态路由协议：为每台路由器配置一个动态路由寻径协议，让该路由协议自动形成和刷新路由表。动态路由协议有：RIP、RIP、IGRP、EIGRP、OSPF、ISIS、BGP、EGP等。,lca,流量管理,包过滤：过滤某些用户不需要的信息流，减少网络流量，缓解网络阻塞。包括对特定的工作站、某些网络或子网、某些协议。优先权：对特定服务的包给予特别的优先权，使某些对延时敏感的包快速通过。排队：对某几类服务进行排队通过,lca,冗余和容错,负载分流（LoadSharing）负载均衡（LoadBalancing）双路由热备份（Hot-Stand-By）,lca,路由器配置基础,简单了解路由器的组成结构了解路由器的启动和工作方式了解路由器的配置方法和常用命令学会使用帮助学会查看路由器状态和判断网络故障,lca,路由器内存体系结构,RAMNVRAMFlashROM,lca,ROMRAM,相当于PC的BIOS。存放引导程序和IOS的一个最小子集。为只读存储器，系统掉电，程序不会丢失。,动态内存，系统掉电，内容丢失。运行路由器的操作系统，运行配置存放路由表和转发表,lca,FlashNVRAM,包含压缩的操作系统和微代码是一种可擦写，可编程的ROM，系统掉电，程序不会丢失。,存放路由器的配置文件。系统掉电，程序不会丢失。,lca,路由器的网络接口,局域网接口，双绞线、光纤，一般是以太网接口广域网口，高速串口控制台端口，连接计算机的串口，路由器的初始配置必须通过控制台端口,lca,连接路由器的计算机设置,使用WINDOWS自带的超级终端，或者其它的终端软件，如SecureCRT，CTERM等串口设置必须正确,lca,路由器的启动过程,首先运行ROM的程序，进行系统自检和引导，然后读Flash内的IOS，装入RAM中，并从NVRAM中读入路由器的配置，计算并生成路由表。在ROM读取过程中，Ctrl+Break可以进入ROM配置模式中,lca,路由器产品系列,部门级：1600、2500多媒体：2600、3600企业级：4000、7200骨干级：7500，7600电信运营级：12000访问服务：5200、5300、5800,lca,思科路由器的配置,三种工作模式各端口地址连入WAN包封装路由协议,lca,三种工作模式,1、用户模式Router2、特权模式RouterenablePassword:Router#3、全局模式Router#configtermEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#,lca,配置命令简化输入方法,配置命令可以简化输入，只要系统可以找到唯一匹配的一个命令使用Tab键使用命令头几个字母+“？”可以获得可以使用的所有命令,lca,帮助HELP！,在任何模式、任何情况下均可键入“？”来得到帮助。Router？Router#？Router(config)#?,lca,两个配置文件,Start-config和running-config命令改动的是running-configWrite保存配置文件running-config到Start-configWriteerase清除配置文件Reload重新启动,lca,配置主机名,按照一定的原则命名主机名配置主机名是为了便于管理主机名对应用没有影响配置方法router(config)#hostnameXXXX,lca,使用CDP协议,CDP-CiscoDiscoveryProtocol思科产品用于发现互联设备的协议CDP不依赖于IP地址的设置，端口连通即可使用router#shcdpneighbor,lca,路由器的口令配置,routerenable；进入特权模式router#configterminal；进入全局配置模式router(config)#enablesecretxxx；设置特权加密口令router(config)#enablepasswordxxb；设置特权非密口令,lca,路由器的口令配置,router(config)#lineconsole0；进入控制台口router(config-line)#passwordxx；设置控制台口令xxrouter(config-line)#linevty04；进入虚拟终端router(config-line)#login；要求口令验证router(config-line)#passwordxx；设置登录口令xxrouter(config)#(Ctrl+z)；返回特权模式,lca,配置局域网端口,Router(config)#interfacee0Router(config-if)#descriptionwangtongRouter(config-if)#ipaddress53Router(config-if)#noshutdownRouter(config-if)#exit,lca,配置广域口并封装协议,Router(config)#ints0Router(config-if)#ipaddress52Router(config-if)#encapframe-relayRouter(config-if)#frame-relaylmi-typeansiRouter(config-if)#frmapip51104bro,lca,查看端口状态,Router#shints0/0端口状态正常：Serial0/0isup,lineprotocolisup端口启动，协议没有正常工作，数据链路层故障：Serial0/0isup,lineprotocolisdown端口没有启动，协议没有正常工作，物理层故障：Serial0/0isdown,lineprotocolisdown端口被手工关掉Serial0/0isadministrativelydown,lineprotocolisdown,lca,路由设置,路由是路由器主要的工作之一路由器根据数据报目的IP地址决定下一跳转发地址路由器通过路由实现不同子网之间的通信,lca,路由表,每个路由器启动后生成并维护一张路由表，路由表的每一条记录表示某一个网络地址需要向那个地址转发/241/0via路由器根据路由表决定数据报从哪个端口转发,lca,路由表查询,Router#shiprouteS/121/0viaC/30isdirectlyconnected,Serial0/0C/24isdirectlyconnected,FastEthernet0/0C/24isdirectlyconnected,FastEthernet0/1S/241/0viaS*/01/0viaS/201/0viaS/201/0via,lca,路由表配置方法,自动生成直连网络的路由：C静态路由：S动态路由：RIP，OSPF默认路由：“*”,lca,静态路由和动态路由,静态路由：手工配置的路由，效率高，故障容易查找，网络变化需要手动更改路由动态路由：使用路由协议，路由器通过交换路由协议数据报动态生成路由表，网络变化不需要手动更改，但是路由表收敛需要时间，出现问题相对不易查找,lca,静态路由配置,Router(config)#iproute x.x.x.x（默认路由）Router(config)#iproute,lca,路由协议配置,启动RIP路由协议router(config)#routerrip；。设置发布路由router(config-router)#networkXXXX；其它路由协议配置方法类似,lca,路由表查询,Router#shiprouteCodes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortistonetwork/8isvariablysubnetted,4subnets,3masksS/121/0viaC/30isdirectlyconnected,Serial0/0C/24isdirectlyconnected,FastEthernet0/0C/24isdirectlyconnected,FastEthernet0/1S/241/0viaS*/01/0viaS/201/0viaS/201/0via,lca,查看路由器信息,Router#shversionCiscoInternetworkOperatingSystemSoftwareIOS(tm)C2600Software(C2600-I-M),Version12.0(7)T,RELEASESOFTWARE(fc2)Copyright(c)1986-1999byciscoSystems,Inc.CompiledTue07-Dec-9902:12byphanguyeImagetext-base:0 x80008088,data-base:0 x807AAF70ROM:SystemBootstrap,Version11.3(2)XA4,RELEASESOFTWARE(fc1)Routeruptimeis2weeks,1day,19hours,10minutesSystemreturnedtoROMbypower-onSystemimagefileisflash:c2600-i-mz.120-7.Tcisco2621(MPC860)processor(revision0 x102)with26624K/6144Kbytesofmemory.ProcessorboardIDJAD04510B3P(3883478776)M860processor:partnumber0,mask49Bridgingsoftware.X.25software,VersionFastEthernet/IEEE802.3interface(s)1Serialnetworkinterface(s)32Kbytesofnon-volatileconfigurationmemory.8192KbytesofprocessorboardSystemflash(Read/Write)Configurationregisteris0 x2102,lca,建议的配置步骤,配置主机名配置两个口令配置端口地址和端口描述配置默认路由配置路由查看状态,lca,交换机的配置简介,lca,以太网技术和交换机,以太网是应用最广的局域网技术IEEE802.3标准MAC地址交换机根据目的MAC地址进行帧的转发,lca,路由器和交换机,路由器工作在网络层，管理功能更强交换机工作在数据链路层，管理功能较弱路由器的每一个端口连接一个子网，能够实现不同子网之间的通信交换机通常只能连接一个子网，无法实现不同子网之间的通信,lca,传统的网络拓扑,lca,虚拟局域网VLAN,可以跨越物理位置划分子网,lca,虚拟局域网,每个交换机上可以划分多个VLAN，不同交换机上同一VLAN内的主机可以通信只有同一VLAN的主机才能直接通信，不同VLAN之间的主机必须通过路由器才能通信VLAN对用户是透明的可以以多种标准划分VLAN，最常用、最通用的是以交换机端口划分VLAN,lca,支持VLAN的交换机,交换机端口配置分为两类：VLAN端口和TRUNK端口VLAN端口一般同时只能允许一个VLAN的数据报通过TRUNK端口可以允许多个VLAN的数据报同时通过TRUNK协议：ISL和802.1Q,lca,交换机的基本配置,交换机配置方法各个品牌的产品产别比较大，但原理类似思科交换机主机名、口令等基本配置和路由器类似管理IP配置方法Switch(config)#intvlan1Switch(config-int)#ipaddressXXXXXXXXSwitch(config-int)#noshutSwitch(config)#ipdefault-gatewayXXXX,lca,VTP协议,思科用于管理VLAN和TRUNK的协议可以将整个园区网分成多个管理域用于在VTP域里广播VLAN信息，只要在一台设备上设置了VLAN，域内其它设备能够自动学习到一般一个园区网设置一个域,lca,交换机的VLAN配置,创建VLANVLAN1、1002、1003、1004、1005是系统默认创建好的同一个VTP域的VLAN号必须一致使用命令switch#vlandatabaseswitch(vlan)#vlanvlan-numnamevlanswitch(vlan)#exit,lca,VLAN端口的配置,将交换机端口设置为VLAN模式将交换机端口划分到某一VLAN使用命令：switch(config)#interfaceinterfacef0/1switch(config-if)#switchportmodeaccessswitch(config-if)#switchportaccessvlanvlan-numswitch(config-if)#end,lca,TRUNK端口配置,将端口设为TRUNK模式配置TRUNK端口使用的协议互联的TRUNK端口必须使用相同的协议使用命令：switch(config)#interfaceinterfacef0/1switch(config-if)#switchportmodetrunkswitch(config-if)#switchporttrunkencapisl|dot1qswitch(config-if)#end,lca,查看交换机配置,ShowvlanShowrunShowinterfaceShwomodule,lca,路由交换机,部分路由器的功能和交换机的功能合二为一路由器的端口是虚拟端口，可以进行多VLAN之间的路由能够设置路由表和访问控制列表,lca,路由交换机的设置,路由交换机的端口设置switch(config)#interfacevlan2switch(config-if)#ipaddressXXXXXXXXswitch(config-if)#noshut路由设置和路由器一样,lca,常用的网络命令,Ping检查网络通断情况Trace检查路由情况telnet登录设备,lca,防火墙配置简介,lca,防火墙的简介,拥有多个网络接口，每个接口可以定义为不同的安全级别，每一个接口是一个区域，标准的防火墙一般有三个区域：inside,outside,DMZ防火墙会对经过它的数据流进行扫描，并根据访问策略决定是否允许通过可以防止一些攻击，保护服务器和内网免受攻击,lca,防火墙和路由器的区别,防火墙默认阻止所有数据流路由器默认允许所有数据流基本配置和路由配置和路由器基本相同,lca,防火墙的外网端口配置,Pix525(config)#interfaceGigabitEthernet0Pix525(config-interface)#nameifoutside；命名接口和级别Pix525(config-interface)#security-level0；命名安全级别Pix525(config-interface)#ipaddress692P