西技莱克思科路由器培训.ppt

中石油网络培训 网络培训 进一步思考 网络维护 站场网络结构与配置 中石油管道系统网络概述及典型结构图 网络培训 概述北京主控中心天然气管道SCADA系统6套 原油管道SCADA系统2套 廊坊备控中心天然气管道SCADA系统6套 原油管道SCADA系统2套 共16套系统 北京华油所管辖的管线有陕京一线 陕京二线 陕京三线 陕京四线 大唐煤制气 永唐秦 港清三线等 属于调控中心天然气第一套系统 北京华油所管辖的管线到调控中心的链路有 光纤 DDN GPRS 卫星 各分站之间不通 但可以同时访问北京和廊坊 当到其中一个中心的所有链路都down掉后 数据流可以从另一中心绕行 例如 到北京的所有链路都down掉后 站场来的数据流可以从廊坊绕到北京 站场到某个中心的链路有一个通的时候 站场数据流不能从另一中心绕行 网络培训 典型网络结构图 EIGRPASX BGPASY BGPASX1 BGPASX2 网络培训 进一步思考 网络维护 站场网络结构与配置 中石油管道系统网络概述及典型结构图 网络培训 典型网络结构图 网络培训 站场R1路由器VLAN配置 在enable状态下配置下列命令vlandatabasevlan 对应PLC的第一个IP地址段vlan 对应PLC的第二个IP地址段exit基本配置 servicetimestampsdebugdatetimemsec 设置毫秒时间戳servicetimestampslogdatetimemsec 设置毫秒时间戳servicepassword encryptionservicetcp keepalives inservicetcp keepalives out hostname 备注 servicetcp keepalives in和servicetcp keepalives out命令来监控进入路由器或者从路由器输出的TCP连接 如果路由器或交换机没有收到远程系统的响应 会自动关闭连接通常和telnet ssh一起使用这样做的最大好处就是可以减少路由器的负担 网络培训 认证相关配置enablesecretaaanew modeaaalocalauthenticationattemptsmax fail3aaaauthenticationlogindefaultlocalusernamesecretlinevty04transportinputtelnetexec timeout30access class20in 定义访问控制列表 只允许相关设备telnet到路由器 关闭一些无用的服务noservicedhcpnoipdomain lookupnoipbootpserveripdhcpbootpignorenoiphttpservernoipsource route 网络培训 loggingbuffered4096 snmp servercommunitypertoDataro10 定义访问控制列表 只运行相关网管设备访问snmp 接口配置 interfacefastethernet0 0description 到北京的主链路ipaddressspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullbandwidth10000 只在metric计算时起作用 不影响物理接口速率 带宽和时延按照实际情况配置 这里按10M配置delay100 配置的参数为10的倍数 即dealy100实际的dealy为1000usecnoshutdowninterfacefastethernet0 1 网络培训 description 到廊坊的主链路ipaddressspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullbandwidth10000 带宽和时延按照实际情况配置 这里按照10M配置delay100noshutdown interfacefastethernet0 1 0description 连接站场交换机S1的接口switchportaccessvlanspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullnoshutdown interfacefastethernet0 1 1description 连接站场交换机S2的接口 网络培训 switchportaccessvlanspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullnoshutdowninterfacefastethernet0 1 2description 连接站场R2的接口noswitchportspeed100duplexfullipaddressnoshutdowninterfacevlandescriptioin 对应PLC第一个IP地址段ipaddressstandby10ipstandby10priority110 R1为HSRP主standby10preemptstandby10timer26 网络培训 interfacevlandescriptioin 对应PLC第二个IP地址段ipaddressstandby20ipstandby20priority110 R1为HSRP主standby20preemptstandby20timer26 生成树配置 spanning treevlanrootprimary R1为生成树的根spanning treevlanrootprimary 路由配置 routereigrpnoauto summaryeigrplog neighbor changespassive interfacevlan 本地vlan接口设置为passivepassive interfacevlan 网络培训 network0 0 0 0eigrpstubconnectedleak mapleak core route ACL及Route map配置 access list10permit 用于snmp的访问控制列表 access list20permit 用于telnet控制的访问控制列表 ACL30用于leak map的访问控制列表 为北京和廊坊发布的路由access list30permit route mapleak core routepermit10matchipaddress30 安全配置 keychainkey hsrp HSRP认证配置 网络培训 key1key string interfacevlanstandby10authentionmd5key chainkey hsrp interfacevlanstandby20authentionmd5key chainkey hsrp keychainkey eigrp EIGRP认证配置key2key string interfacefastethernet0 0ipauthenticationmodeeigrpmd5 在接口下声明keychain 并采用MD5对hello包进行加密ipauthenticationkey chaineigrpkey eigrp 在接口下调用keychain interfacefastethernet0 1ipauthenticationmodeeigrpmd5 在接口下声明keychain 并采用MD5对hello包进行加密 网络培训 ipauthenticationkey chaineigrpkey eigrp 在接口下调用keychain 配置中的黑体和斜体标识的部分为配置参数 需要根据实际设备情况填写 配置stubleak map需要IOS12 3 10 2 T及以后版本 如IOS不能满足要求 无法配置这条命令 如果 中的配置无法完成 ACL30和后续的route map不需要配置 网络培训 站场R2路由器VLAN配置 在enable状态下配置下列命令vlandatabasevlan 对应PLC的第一个IP地址段vlan 对应PLC的第二个IP地址段exit 基本配置 网络培训 servicetimestampsdebugdatetimemsecservicetimestampslogdatetimemsecservicepassword encryptionservicetcp keepalives inservicetcp keepalives outhostname 认证相关配置enablesecretaaanew modeaaalocalauthenticationattemptsmax fail3aaaauthenticationlogindefaultlocal usernamesecret linevty04transportinputtelnetexec timeout30access class20in 定义访问控制列表 只允许相关设备telnet到路由器 关闭一些无用的服务noservicedhcp 网络培训 noipdomain lookupnoipbootpserveripdhcpbootpignorenoiphttpservernoipsource route loggingbuffered4096 snmp servercommunitypertoDataro10 定义访问控制列表 只运行相关网管设备访问snmp 接口配置 interfacefastethernet0 0description 到北京的备份链路ipaddressspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullbandwidth10000 带宽和时延按照实际情况配置 这里按照10M配置 网络培训 delay100noipredirectsnoipproxy arpnoshutdown interfacefastethernet0 1description 到廊坊的备份链路ipaddressspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullbandwidth10000 带宽和时延按照实际情况配置 这里按照10M配置delay100noshutdown interfacefastethernet0 1 0description 连接站场交换机S1的接口switchportaccessvlan 网络培训 speed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullnoshutdown interfacefastethernet0 1 1description 连接站场交换机S2的接口switchportaccessvlanspeed100 速率和双工配置可能需要根据连接设备的实际情况进行调整duplexfullnoshutdown interfacefastethernet0 1 2description 连接站场R1的接口noswitchportspeed100duplexfullipaddressnoshutdown interfacevlandescriptioin 对应PLC第一个IP地址段ipaddress 网络培训 standby10ip R2为HSRP备standby10preemptstandby10timer26 interfacevlandescriptioin 对应PLC第二个IP地址段ipaddressstandby20ip R2为HSRP备standby20preemptstandby20timer26 生成树配置 spanning treevlanrootsecondary R2为生成树的备份根spanning treevlanrootsecondary 路由配置 routereigrp 网络培训 noauto summaryeigrplog neighbor changespassive interfacevlan 本地vlan接口设置为passivepassive interfacevlannetwork0 0 0 0eigrpstubconnectedleak mapleak core route ACL及Route map配置 access list10permit 用于snmp的访问控制列表 access list20permit 用于telnet控制的访问控制列表 ACL30用于leak map的访问控制列表 为北京和廊坊发布的路由access list30permit route mapleak core routepermit10matchipaddress30 网络培训 安全配置 keychainkey hsrp HSRP认证配置key1key string interfacevlanstandby10authentionmd5key chainkey hsrp interfacevlanstandby10authentionmd5key chainkey hsrp keychainkey eigrp EIGRP认证配置key2key string interfacefastethernet0 0ipauthenticationmodeeigrpmd5 在接口下声明keychain 并采用MD5对hello包进行加密ipauthenticationkey chaineigrpkey eigrp 在接口下调用keychain interfacefastethernet0 1 网络培训 ipauthenticationmodeeigrpmd5ipauthenticationkey chaineigrpkey eigrp 配置中中的黑体和斜体的部分为配置参数 需要根据实际设备情况填写 配置stubleak map需要