路由器交换机培训课件.ppt

山东魏桥生产网络系统网络技术培训课件 南京科远自动化集团股份有限公司二零一零年九月 H3C路由器与交换机的介绍及其简单配置 什么是路由器 路由器 连接因特网中各局域网 广域网的设备 它会根据信道的情况自动选择和设定路由 以最佳路径 按前后顺序发送信号的设备 路由器英文名Router 路由器是互联网络的枢纽 交通警察 目前路由器已经广泛应用于各行各业 各种不同档次的产品已经成为实现各种骨干网内部连接 骨干网间互联和骨干网与互联网互联互通业务的主力军 什么是交换机 网络节点上话务承载装置 交换级 控制和信令设备以及其他功能单元的集合体 交换机能把用户线路 电信电路和 或 其他要互连的功能单元根据单个用户的请求连接起来 下图即使本次工程即将使用的路由器H3CMSR 5040 下图即为本次工程即将使用的H3CS3600三层交换机 路由器设备的主要功能 路由器的主要功能就是 路由 的作用 通俗地讲就是 向导 作用 路由的意思其实就是路径选择 主要用来为数据包转发指明一个方向的作用 但如要细分的话 路由器的 路由 功能可以细分为如以下几个方面 1 在网际间接收节点发来的数据包 然后根据数据包中的源地址和目的地址 对照自己缓存中的路由表 把数据包直接转发到目的节点 这主要是我在上面所讲的路由器的最主要 也是最基本的路由作用 2 为网际间通信选择最合理的路由 这个功能其实是上述路由功能的一个扩展功能 如果有几个网络通过各自的路由器连在一起 一个网络中的用户要向另一个网络的用户发出访问请求的话 路由器就会分析发出请求的源地址和接收请求的目的节点地址中的网络ID号 找出一条最佳的 最经济 最快捷的一条通信路径 就像我们平时到了一个陌生的地方 不知道到目的地点的最佳走法 这时我们就得找一个向导 这个向导就会告诉我们这个最佳的捷径 因为他熟悉各条的走法 这里所讲的路由器就相当于这里的 向导 3 拆分和包装数据包 这个功能也是路由功能的附属功能 因为有时在数据包转发过程中 由于网络带宽等因素 数据包过大的话 很容易造成网络堵塞 这时路由器就要把大的数据包根据对方网络带宽的状况拆分成小的数据包 到了目的网络的路由器后 目的网络的路由器就会再把拆分的数据包装成一个原来大小的数据包 再根据源网络路由器的转发信息获取目的节点的MAC地址 发给本地网络的节点 4 不同协议网络之间的连接 目前多数中 高档的路由器往往具有多通信协议支持的功能 这样就可以起到连接两个不同通信协议网络的作用 如常用WindowsNT操作平台所使用的通信协议主要是TCP IP协议 但是如果是NetWare系统 则所采用的通信协议主要是IPX SPX协议 还有一些特殊协议网段 这些都需要靠支持这些协议的路由器来连接 5 目前许多路由器都具有防火墙功能 可配置独立IP地址的网管型路由器 它能够起到基本的防火墙功能 也就是它能够屏蔽内部网络的IP地址 自由设定IP地址 通信端口过滤 使网络更加安全 H3CMSR5040路由器 下面重点介绍本次工程即将使用的主力路由器MSR5040MSR50提供了丰富的路由协议及安全功能 包括静态路由 RIP OSPF BGP Firewall IPSecVPN MPLSVPN CA SecureShell SSH 协议2 0 入侵保护 DDoS防御 攻击防御等 本次工程使用的主要是OSPF以及DHCP FireWall等功能 H3CMRS路由器及交换机的基本操作 1通过Console口登陆路由器第一步 建立本地配置环境 只需将计算机 或终端 的串口通过标准RS 232电缆与路由器的Console口连接 如图所示 图2 1通过Console口搭建本地配置环境第二步 在计算机上运行终端仿真程序 如Windows9X WindowsXP Windows2000的超级终端等 设置终端通信参数为9600bps 8位数据位 1位停止位 无奇偶校验和无流量控制 并选择终端类型为VT100 如图所示 新建连接连接端口设置端口通信参数设置第三步 路由器上电自检 系统自动进行配置 自检结束后提示用户键入回车 直到出现命令行提示符 如 通过Telnet方式登陆路由器或者交换机 如果不是设备第一次上电 而且用户已经正确配置了设备接口的IP地址 并配置了正确的登录验证方式和访问控制规则 在配置终端与设备之间有可达路由前提下 可以用Telnet通过局域网或广域网登录到设备 然后对设备进行配置 左边为telnet方法 右边为telnet登陆状态画面 配置路由器或交换机 一系统命令行系统命令行采用分级保护方式 命令行划分为参观级 监控级 系统级 管理级4个级别 我们配置路由器需要使用LEVEL3级别二系统视图初次登陆显示的是我们需要进入系统视图下才能配置路由器可以输入sys系统将显示 H3C 三设置路由器名路由器名出现在命令提示符中 用户可以根据需要更改路由器名 请在系统视图下进行下面的操作 操作命令设置路由器名sysname如 H3C sysnameBinZhouDianChang 5040将显示 BinZhouDianChang 5040 给路由器接口配置IP地址 指定以太网接口GigabitEthernet1 0的IP地址为192 168 0 1 掩码为255 255 0 0 命令行输入 H3C interfacegigabitethernet1 0 H3C GigabitEthernet1 0 ipaddress192 168 0 1255 255 0 0如果端口是关闭的 则需输入 H3C GigabitEthernet1 0 undoshutdown以此来开启端口 配置文件管理 配置文件为一文本文件 其格式如下 以命令格式保存 为了节省空间 只保存非缺省的参数命令的组织以命令视图为基本框架 同一命令视图的命令组织在一起 形成一节 节与节之间通常用空行或注释行隔开 以 开始的为注释行 空行或注释行可以是一行或多行 以return为结束 保存当前配置 通过命令行接口 可以修改设备当前配置 为了使当前配置能够作为设备下次上电时的起始配置 需要用save命令保存当前配置到Flash中 形成配置文件可以在任意视图下执行Save命令保存配置 查看路由器配置 如何给路由器添加登录口令 要求对从VTY0登录的用户进行password认证 用户登录时需要输入口令h3c才能登录成功 用户优先级为3 操作命令如下 system view H3C user interfacevty04 H3C ui vty0 authentication modepassword H3C ui vty0 setauthenticationpasswordsimpleh3c H3C ui vty0 userprivilegelevel3 2020 1 29 20 可编辑 2020 1 29 21 可编辑 路由器配置OSPF协议 什么是OSPF OSPF OpenShortestPathFirst开放式最短路径优先 是一个内部网关协议 InteriorGatewayProtocol 简称IGP 用于单一自治系统 autonomoussystem AS 内决策路由 本次工程所用OSPF协议的作用即是为了总部AR4640与下面各分厂之交换交换路由信息 基本的OSPF配置对于基本的OSPF配置 需要进行的操作包括 配置RouterID启动OSPF进入OSPF区域视图在指定网段使能OSPF OSPF实例 ospf1router id3 3 3 3 配置OSPF进程ID1RouterId为3 3 3 3import routestatic 导入静态路由area0 0 0 0 配置OSPF区域network172 16 9 00 0 0 255 在接口上启用OSPFnetwork10 10 5 00 0 0 255network172 16 10 00 0 0 255以上配置完成后 路由器即可与其他路由器进行路由表的交换 以完成到其他网络的路径选择 安全配置 访问控制列表 ACL 简介3 1 1访问控制列表概述路由器为了过滤数据包 需要配置一系列的规则 以决定什么样的数据包能够通过 这些规则就是通过访问控制列表ACL AccessControlList 定义的 访问控制列表是由permit和deny语句组成的一系列有顺序的规则 这些规则根据数据包的源地址 目的地址 端口号等来描述 ACL通过这些规则对数据包进行分类 这些规则应用到路由器接口上 路由器根据这些规则判断哪些数据包可以接收 哪些数据包需要拒绝 路由器ACL的创建及下发 以魏桥现有工程实例中的ACL为例 创建ACLaclnumber3100rule0permitipdestination172 16 7 00 0 0 255rule5permitipdestination172 16 8 00 0 0 255rule10permitipdestination172 16 0 00 0 0 255rule15permitipdestination172 16 10 00 0 0 255rule20permitipdestination172 16 20 00 0 0 255rule25permitipdestination172 16 30 00 0 0 255rule30permitipdestination172 16 40 00 0 0 255下发到接口 interfaceEthernet5 1portlink moderoutefirewallpacket filter3100inbound 将ACL下发到接口 路由器DHCP服务的配置 DHCP简介 随着网络规模的扩大和网络复杂度的提高 网络配置越来越复杂 经常出现计算机位置变化 如便携机或无线网络 和计算机数量超过可分配的IP地址的情况 动态主机配置协议DHCP DynamicHostConfigurationProtocol 就是为满足这些需求而发展起来的 MSR5040路由器DHCP服务的配置 MSR5040可以让自己作为一台DHCP服务器来给下面的主机分配IP地址 我们通过魏桥上期工程实例中的配置来讲解如何配置DHCP服务 首先 我们需启动DHCP服务 H3C DHCPEnable 启动DHCP服务然后 给DHCP服务配置地址池 网关等 H3C dhcpserverip poolvlan10 给地址池取名VLAN10network172 16 1 0mask255 255 255 0 配置所要分配的地址范围gateway list172 16 1 254 配置网关expiredday8 配置租约时长通过以上配置 我们就可以为路由器下面所接到主机来分配IP地址 交换机VLAN的配置 在配置之前 我们需要明确什么是VLAN 传统的以太网是一个广播型网络 网络中的所有主机通过HUB或交换机相连 处在同一个广播域中 HUB是物理层设备 没有交换功能 接收的报文会向所有端口转发 交换机是链路层设备 具备根据报文的目的MAC地址进行转发的能力 但在收到广播报文或未知单播报文 报文的目的MAC地址不在交换机MAC地址表中 时 也会向除报文入端口之外的所有端口转发 上述情况使网络中的主机会收到大量并非以自身为目的地的报文 在浪费大量带宽资源的同时 也造成了严重的安全隐患 隔离广播域的传统方法是使用路由器 但是路由器成本较高 而且端口较少 无法划分细致的网络 为解决以太网交换机在LAN中无法限制广播的问题 出现了VLAN VirtualLocalAreaNetwork 虚拟局域网 技术 VLAN示意图 如图 VLAN把一个物理上的LAN划分成多个逻辑上的LAN 每个VLAN是一个广播域 VLAN内的主机间通信就和在一个LAN内一样 而不同VLAN内的主机不能直接通信 H3CS3600系列交换机VLAN的创建 基于端口的VLAN典型配置举例1 组网需求创建VLAN2 VLAN3 指定VLAN2的描述字符串为home 通过配置将端口Ethernet1 0 1和Ethernet1 0 2加入到VLAN2中 将端口Ethernet1 0 3和Ethernet1 0 4加入到VLAN3中 组网图 3 配置步骤 创建VLAN2并进入其视图 system view H3C vlan2 指定VLAN2的描述字符串为home H3C vlan2 descriptionhome 向VLAN2中加入端口Ethernet1 0 1和Ethernet1 0 2 H3C vlan2 portEthernet1 0 1Ethernet1 0 2 创建VLAN3并进入其视图 H3C vlan2 vlan3 向VLAN3中加入端口Ethernet1 0 3和Ethernet1 0 4 H3C vlan3 portEthernet1 0 3Ethernet1 0 4以上配置即完成了VLAN的创建并将端口加入VLAN的过程 完成后 不在同一VLAN的端口无法通信 给VLAN配置IP地址 为什么要给VLAN配置IP地址 给VLAN配置IP地址后 一个VLAN内的主机即可与其他VLAN或者其他网络内的主机实现三层通信 还可以通过网络来远程登录交换机 实现远程管理