配置路由器防火墙.ppt

1、任务十三 选择配置路由器/防火墙,组建和维护企业网络,电子工业出版社,任务十三 选择配置路由器/防火墙,任务描述: 认识路由器 选购与安装路由器 简单配置路由器 认识防火墙,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP 的国际互连网络 Internet 的主体脉络。 路由器的功能 路由选择和交换（Routing and Switching） 网络分段（Network Segmen

2、t） 流量控制（Flow Control） 隔离广播（Isolate Broadcast） 广域网连接（WAN Connection）,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器的功能 路由选择和交换（Routing and Switching）,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器的功能 网络分段（Network Segment）,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器的功能 广域网连接（WAN Connection）,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器的内部组成,任务十三 选择配置路由器/防火墙,路由器基础知识 路由

3、器工作流程,IP,ETH,PPP,以太网口,串口,IP,PPP,ETH,串口,以太网口,协议封装,路由选择 协议转换,路由器,路由器,传送,拆包,接收,发送,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器对IP数据包的处理过程,任务十三 选择配置路由器/防火墙,路由器基础知识 路由表 路由表，指的是路由器或者其他互联网网络设备上存储的表，该表中存有到达特定网络终端的路径，在某些情况下，还有一些与这些路径相关的度量。,任务十三 选择配置路由器/防火墙,路由器基础知识 路由表 路由器建立路由表基本上有三种途径： 直连网络：路由器自动添加和自己直接连接的网络的路由。 静态路由：管理员手动输

4、入到路由器的路由。 动态路由：由路由协议动态建立的路由。,任务十三 选择配置路由器/防火墙,路由器基础知识 静态路由与动态路由 静态路由：管理员手动输入到路由器的路由 优点：静态路由不会占用路由器的CPU和RAM，也不占用线路的带宽 ；不需交换路由信息 ，不会把网络拓扑暴露出去 ，所以安全性好 缺点：不能动态反映网络拓扑,任务十三 选择配置路由器/防火墙,路由器基础知识 静态路由与动态路由 动态路由 动态路由协议能够动态地反映网络的状态，当网络发生变化时，各路由器会更新自己的路由表，所以动态路由要有两个基本功能：维护路由表，以路由更新的形式将路由信息及时发布给其他路由器。动态路由协议是一种机制

5、，也是一系列规则，路由器和邻居路由器通信时就使用这些规则交换自己的路由表。 一个路由协议主要包括以下几个内容： （l）如何发送路由更新信息(即怎么发送）。 （2）更新信息包含哪些内容（即发送什么） （3）什么时候发送这些更新（即何时发送）。 （4）如何确定更新信息的接受者（即发送给谁）,任务十三 选择配置路由器/防火墙,路由器基础知识 路由器常用的度量值： 带宽（Band Width）：链路的数据承载能力。 延迟（Delay）：数据包从源端到达目的端需要的时间。 负载（Load）：链路上的数据量的大小。 可靠性（Reliability）：链路上数据的差错率。 跳数（Hops）：数据包到达目的端

6、必须经过的路由器个数。 滴答数（Ticks）：也是链路上数据的延迟，以118秒数为单位进行表示。 开销（Cost）：链路上的费用。,任务十三 选择配置路由器/防火墙,路由器基础配置 通过Console口配置-计算机连接到控制台接口,任务十三 选择配置路由器/防火墙,路由器基础配置 通过Console口配置-创建超级终端 点击“开始 ”“程序”“附件”“超级终端”,任务十三 选择配置路由器/防火墙,路由器基础配置 通过拨号线路配置路由器-将路由器和PC分别与Modem连接,备份电缆,Modem,Modem,PSTN/ISDN,任务十三 选择配置路由器/防火墙,路由器基础配置 通过Telnet配置

7、本地路由器,Quidway-Ethernet0/0ip address 00 24 缺省的telnet登录用户名：admin 口令：admin,服务器,PC,工作站,工作站,10Base-T 网口,任务十三 选择配置路由器/防火墙,路由器基础配置 路由器配置模式 1.用户模式 （user mode） 2.特权模式 （privileged mode） # 3.全局模式 （global config mode） router(config)# 4.子模式（sub-mode） 接口模式（interface mode）： router(config-if)# 线路模式（line mod

8、e）： router(config-line)# 路由模式（router mode）： router(config-router)# 5.Setup模式 6.RXBOOT 模式 7.ROMMON模式,任务十三 选择配置路由器/防火墙,路由器基础配置 路由器工作模式转换 Router Routerenable Router# Router# configure terminal Router(config)# Router(config)# interface fa0/0 Router(config-if)#exit Router(config)#router rip Router(config

9、-router)#end Router# disable Router,任务十三 选择配置路由器/防火墙,路由器基础配置 工作模式切换命令注释 进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 setup 进入全局设置状态 config terminal 退出全局设置状态 end 进入端口设置状态 interface type slot/number 进入线路设置状态 line type slot/number 进入路由设置状态 router protocol 退出局部设置状态 exit,任务十三 选择配置路由器/防火墙,路由器基础配置 命名路由器 Route

10、r(config)#hostname Lab-A 配置enable密码 Lab-A(config)#enable password cisco 配置控制台密码 router1(config)#line console 0 router1(config-line)#password cisco router1(config-line)#login 配置VTY密码 router1(config)#line vty 0 4 0 4:允许5个终端同时远程登录 0 4:(permit 5 terminals login at the same time） router1(config-line)#pas

11、sword cisco router1(config-line)#login router1(config-line)#priv level 15 设置登录优先级（set priority）,任务十三 选择配置路由器/防火墙,路由器基础配置 配置串行口 1. Rouer1 # config t 2. Router1(config)# interface s0/0 进入串行口模式（Enter Serial Interface Mode ） 3. Router1(config-if)# clock rate 64000 DCE端配置时钟（Set clock rate if a DCE cable

12、is connected ） 4. Router1(config-if)# ip address 配置接口IP地址和网络掩码（Specify the Interface Address and Subnet Mask ） 5. Router1(config-if)# no shut 开启接口（Turn on the Interface ）,任务十三 选择配置路由器/防火墙,路由器基础配置 配置以太网端口 # conf t 从终端配置路由器（Cisco的各种命令均可以简写，只要不与其他命令重复即可，如configure terminal可以

13、写成conf t）。 # int e0 指定E0口。 # ip addr ABCD XXXX ABCD为以太网 XXXX为子网掩码。 # ip addr ABCD XXXX secondary E0口可同时支持多个地址类型，只要各个地址类型不在同一个网段即可。 # no shutdown 激活E0口。 # exit,任务十三 选择配置路由器/防火墙,路由器基础配置 配置路由 动态路由的配置 # conf t # router eigrp 20 使用EIGRP路由协议，常用的路由协议有RIP、IGRP、IS-IS等。 # passive-interface serial0 若S0与X.25相连，

14、则输入本条指令。 # passive-interface serial1 若S1与X.25相连，则输入本条指令。 # network ABCD ABCD为本机的以太网地址。 # network XXXX XXXX为S0的IP地址。 # no auto-summary # exit,任务十三 选择配置路由器/防火墙,路由器基础配置 配置路由 静态路由的配置 # ip router ABCD XXXX YYYY 90 ABCD为对方路由器的以太网地址，XXXX为子网掩码，YYYY为对方对应的广域网端口地址。 # dialer-list 1 protocol ip permail 备份配置文件到硬盘

15、 首先在计算机上启动TFTP程序。 # copy run tftp 在硬盘上建立一个空文件且有读写权限，才能备份成功。 恢复备份配置文件到路由器 # copy tftp run 在路由器上建一个备份 # copy run start,任务十三 选择配置路由器/防火墙,路由器基础配置 配置路由实例 router routerenable 输入enable或en,然后回车；进入特权模式 router# 进入到特权模式 router#configure terminal 输入configure terminal,然后回车 router(config)# 进入全局配置模式 按上述方法配置路由器的局域网

16、口F0/0地址54，这个地址将作为网络的网关地址。 router(config)#int f0/0 进入接口F0/0的配置模式,任务十三 选择配置路由器/防火墙,路由器基础配置 配置路由实例 router(config-if)#ip address 54 给接口分配IP地址 router(config-if)#no shutdown 激活这个接口 router(config-if)#exit 退出这个接口的配置模式 router(config)# 回到全局配置模式 同样方法配置路由器的局域网口F0/1

17、的地址54，这个地址将作为网络的网关地址。 router(config)#int f0/1 进入接口F0/1的配置模式 router(config-if)#ip address 54 router(config-if)#no shutdown router(config-if)#exit router(config)#,任务十三 选择配置路由器/防火墙,防火墙基础知识 防火墙定义 所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后

18、，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。,任务十三 选择配置路由器/防火墙,防火墙基础知识 防火墙基本特性 进出内部网的数据流都必须通过防火墙。 只有符合安全策略的数据流才能通过防火墙。 防火墙自身应该能够防止渗透。,任务十三 选择配置路由器/防火墙,防火墙基础知识 防火墙的功能 隔离不同的网络，防止内部信息的泄露 强化网络安全策略 创建一个阻塞点 包过滤 有效地监控、审计和记录内、外部网络上的活动 流量控制和统计分析、流量计费 NAT（网络地址转换） VPN（虚拟专用网） URL级信息过滤 杀毒技术 其他特殊功能,任务十三 选择配置路由器/防火墙,防火墙基础知识 包过滤（Packet filtering）技术 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息。 包过滤防火墙具有根本的缺陷： 不能防范黑客攻击。 不支持应用层协议。 不能处理新的安全威胁。,任务十三 选择配置路由器/防火墙,防火