锐捷网络实训技术培训交流会(南宁02)

锐捷网络实训技术培训交流会何为2021-02-121开始前交流会期间 请调整为振动，如有重要 要接听，请到教室外接听为了增加交流互动，会议过程中可随时打断提出问题2锐捷网络产品技术培训交流会项目内容时间时长设备管理路由器和交换机基本的配置、管理方式9:30-10:0030分钟交换技术交换相关基础技术和配置10:00-10:5050分钟休息10:50-11:0010分钟路由技术路由相关基础技术和配置11:00-11:5050分钟中午休息网络安全安全相关基础技术和配置14:00-14:5050分钟故障排查配置中常见的故障排查、产品使用注意事项14:50-15:2030分钟休息15:20-15:3010分钟FAQ答疑15:30-16:0030分钟3大纲设备管理交换技术路由技术局域网平安技术4大纲设备管理 网管型交换机、路由器的管理与配置网管型交换机、路由器的管理与配置网管型交换机、路由器的管理与配置网管型交换机、路由器的管理与配置5大纲交换技术交换技术 交换机划分交换机划分交换机划分交换机划分VLANVLAN 跨交换机相同跨交换机相同跨交换机相同跨交换机相同VLANVLAN的互通的互通的互通的互通 冗余链路冗余链路冗余链路冗余链路 以太网链路聚合以太网链路聚合以太网链路聚合以太网链路聚合6大纲路由技术路由技术 路由原理路由原理路由原理路由原理 直连路由直连路由直连路由直连路由 静态路由静态路由静态路由静态路由 RIPRIP协议协议协议协议 OSPFOSPF协议协议协议协议 三层交换机的路由配置三层交换机的路由配置三层交换机的路由配置三层交换机的路由配置 NATNAT技术技术技术技术7大纲局域网平安技术局域网平安技术交换机端口平安交换机端口平安IP访问控制列表访问控制列表8设备管理设备管理管理与配置管理与配置9路由器的管理方式带外管理通过带外对路由器进行管理通过带外对路由器进行管理(PC(PC 与路由器直接相连与路由器直接相连)带内管理通过通过Telnet Telnet 对路由器进行远程管理对路由器进行远程管理通过通过Web Web 对路由器进行远程管理对路由器进行远程管理通过通过SNMP SNMP 工作站对路由器进行远程管理工作站对路由器进行远程管理10Console口及配置线缆RJ45-DB9RJ45-DB9转换器反转线缆转换器反转线缆转换器反转线缆转换器反转线缆DB9-RJ45DB9-RJ45线缆线缆线缆线缆Console口口(RJ45)AUX口连接拨号口连接拨号网络网络 Console口口(RJ45)11带外管理配置连线利用配置线将主机的COM口和路由器或交换机的console口相连翻开超级终端从开始-程序-附件-通讯-超级终端翻开超级终端程序配置超级终端为连接命名选择适宜的COM口配置正确的参数12TELNET管理在主机在主机DOSDOS命令行下输入：命令行下输入：telnet ip address telnet ip address路由器管理路由器管理IPIP13TELNET管理续 输入输入telnettelnet密码和特权密码即可进入到路由器的配置界面密码和特权密码即可进入到路由器的配置界面14基于WEB的管理 在在webweb页面中输入路由器的管理页面中输入路由器的管理IPIP可以进入路由器的可以进入路由器的webweb管理页面管理页面15基于WEB的管理 在在webweb页面下对路由器进行管理页面下对路由器进行管理16基于SNMP协议的管理17配置命令模式EXEC模式：用户模式用户模式switchswitch交换机信息的查看，简单测试命令 特权模式特权模式switch#switch#查看、管理交换机配置信息，测试、调试配置模式：全局配置模式全局配置模式switch(config)#switch(config)#配置交换机的整体参数 接口配置模式接口配置模式switch(config-if)#switch(config-if)#配置交换机的接口参数18配置命令模式进入全局配置模式 Switch#configure terminalSwitch#configure terminal Switch(config)#exitSwitch(config)#exit Switch#Switch#进入接口配置模式 Switch(config)#interface fastethernet 0/1Switch(config)#interface fastethernet 0/1 Switch(config-if)#exitSwitch(config-if)#exit Switch(config)#Switch(config)#从子模式下直接返回特权模式 Switch(config-if)#endSwitch(config-if)#end Switch#Switch#19命令行其他功能获得帮助 switch#?switch#?switch#show?switch#show?命令简写 全写：全写：switch#configure terminalswitch#configure terminal 简写：简写：Switch#configSwitch#config使用历史命令 Switch#(Switch#(向上键向上键)Switch#(Switch#(向下键向下键)20配置Telnet功能配置远程登陆密码 Switch(config)#line vty 0 4Switch(config)#line vty 0 4 Switch(config-line)#loginSwitch(config-line)#login Switch(config-line)#password ruijieSwitch(config-line)#password ruijie Switch(config-line)#endSwitch(config-line)#end配置进入特权模式密码 Switch(config)#enable secret ruijieSwitch(config)#enable secret ruijie为交换机配置管理IP Switch(config)#interface vlan 1Switch(config)#interface vlan 1 Switch(config-if)#no shutdownSwitch(config-if)#no shutdown Switch(config-if)#ipSwitch(config-if)#ip Switch(config-if)#endSwitch(config-if)#end21配置文件的管理 保存配置保存配置 将当前运行的参数保存到将当前运行的参数保存到flash flash 中用于系统初始化时初始化参数中用于系统初始化时初始化参数Switch#copy running-config startup-config Switch#write 删除配置删除配置 永久性的删除永久性的删除flash flash 中不需要的文件中不需要的文件 使用命令使用命令delete flash:config.text delete flash:config.text 删除当前的配置：删除当前的配置：在配置命令前加在配置命令前加no no 例：switch(config-if)#no ip address 查看配置文件内容查看配置文件内容 Switch#show configure Switch#show configure 查看保存在查看保存在FLASHFLASH里的配置信息里的配置信息 Switch#show running-config Switch#show running-config 查看查看RAMRAM里当前生效的配置里当前生效的配置22交换技术交换技术交换机划分交换机划分交换机划分交换机划分VLANVLAN23交换网络中的问题在交换机组成的校园网络里所有主机都在同一个播送域内在交换机组成的校园网络里所有主机都在同一个播送域内播送域播送域24交换网络中的问题 通过通过通过通过VLANVLAN技术可以对网络进行一个平安的隔离、分割播送域技术可以对网络进行一个平安的隔离、分割播送域技术可以对网络进行一个平安的隔离、分割播送域技术可以对网络进行一个平安的隔离、分割播送域VLAN20VLAN10VLAN30VLAN4025VLAN技术1234交换机交换机播送帧播送帧播送域播送域播送帧播送帧播送域播送域VLAN 概述Virtual Local Area NetworkVLAN是划分出来的逻辑网络，是第二层网络。VLAN端口不受物理位置的限制。VLAN 隔离播送域。26VLAN的种类 基于端口的基于端口的VLANVLAN 基于基于macmac地址的地址的VLANVLAN 基于协议的基于协议的VLANVLAN27VLAN的类型:802.1Q VLAN基于交换机的端口基于交换机的端口(一个端口只属于一个一个端口只属于一个VLANVLAN，Port VLAN Port VLAN设置在连接设置在连接主机的端口主机的端口)F0/1F0/2F0/328802.1Q VLAN原理 通过查找通过查找MACMAC地址表，交换机对发往不同地址表，交换机对发往不同VLANVLAN的数据不转发的数据不转发F0/1F0/2F0/3ABCVlan 10Vlan 20Vlan 10A BA CX交换机交换机端口端口MACMAC地地址址VLAN VLAN IDIDF0/1F0/1A A1010F0/2F0/2B B2020F0/3F0/3C C101029配置802.1Q VLAN创立VLAN10，将它命名为test的例子Switch#configure terminalSwitch(config)#vlan 10Switch(config-vlan)#name testSwitch(config-vlan)#end 把接口 0/10参加VLAN10 Switch#configure terminalSwitch(config)#interface fastethernet 0/10Switch(config-if)#switchport mode accessSwitch(config-if)#switchport access vlan 10Switch(config-if)#end30Port VLAN 的配置将一组接口参加某一个VLANSwitch(config)#interface range fastethernet 0/1-8，0/15，0/20Switch(config-if-range)#switchport access vlan 20注：连续接口 0/1-8，不连续接口用逗号隔开，但一定要写明模块编号31交换技术交换技术跨交换机相同跨交换机相同跨交换机相同跨交换机相同VLANVLANVLANVLAN的互通的互通的互通的互通32Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10跨交换机VLAN间通信 A A交换机上交换机上VLAN10VLAN10的端口范围中取一个端口，和交换机的端口范围中取一个端口，和交换机B B上上VLAN10VLAN10范围中范围中的某个端口，作级联连接。的某个端口，作级联连接。如果交换机上划了如果交换机上划了1010个个VLANVLAN，就需要分别连，就需要分别连1010条线作级联，端口效率就太条线作级联，端口效率就太低了。低了。33Switch AVLAN30VLAN20 VLAN10Switch BVLAN30VLAN20VLAN10Tag VLAN跨交换机VLAN之间的通信:Tag VLAN 在交换机之间用一条级联线，并将对应的端口设置为在交换机之间用一条级联线，并将对应的端口设置为TrunkTrunk，这条线路就可以，这条线路就可以承载交换机上所有承载交换机上所有VLANVLAN的信息。的信息。TrunkTrunk端口传输多个端口传输多个VLANVLAN的信息，实现同一的信息，实现同一VLANVLAN跨越不同的交换机跨越不同的交换机34802.1Q工作原理 802.1Q802.1Q工作特点：工作特点：802.1Q802.1Q数据帧传输对于用户是完全透明的。数据帧传输对于用户是完全透明的。TrunkTrunk上默认会转发交换机上存在的所有上默认会转发交换机上存在的所有VLANVLAN的数据。的数据。交换机在从交换机在从TrunkTrunk口转发数据前会在数据打上个口转发数据前会在数据打上个TagTag标签，在到达另一交标签，在到达另一交换机后，再剥去此标签。换机后，再剥去此标签。A A交换机交换机交换机交换机1 1 1 1交换机交换机交换机交换机2 2 2 2B B数据帧数据帧TagTag标签标签TrunkTrunkTrunkTrunkTrunkTrunkTrunkTrunk35IEEE802.1Q数据帧目的,源MAC地址类型,数据重新计算帧检测序列2字节标记协议标识2字节标记控制信息 标记协议标识标记协议标识TPIDTPID:固定值固定值0 x8100,0 x8100,表示该帧载有表示该帧载有802.1Q802.1Q标记信息标记信息 标记控制信息标记控制信息TCITCI:PriorityPriority：3 3比特，表示优先级比特，表示优先级 Canonical format indicatorCanonical format indicator：1 1比特，表示总线型以太网、比特，表示总线型以太网、FDDIFDDI、令牌环网、令牌环网 VlanIDVlanID：1212比特，表示比特，表示VIDVID，范围，范围1 14094409436配置Tag VLAN-Trunk 把把Fa0/1Fa0/1配成配成TrunkTrunk口口 Switch#configure terminalSwitch#configure terminal Switch(config)#interface fastethernet0/1Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport mode trunkSwitch(config-if)#switchport mode trunk 把端口把端口Fa0/20 Fa0/20 配置为配置为TrunkTrunk端口，但是不包含端口，但是不包含VLAN 2VLAN 2：Switch(config)#interface fastethernet 0/20Switch(config)#interface fastethernet 0/20 Switch(config-if)#switchport trunk allowed vlan remove 2Switch(config-if)#switchport trunk allowed vlan remove 2 Switch(config-if)#endSwitch(config-if)#end37保存/去除VLAN信息将VLAN信息保存到flash中 Switch#writeSwitch#write从RAM中删除VLAN Switch(config)#no vlan Switch(config)#no vlan VLAN-id38交换技术交换技术冗余链路冗余链路冗余链路冗余链路39网络中存在的单点故障故障网络中的单点故障可导致网络的无法访问网络中的单点故障可导致网络的无法访问40交换网络中的冗余链路故障在网络中提供冗余链路解决单点故障问题在网络中提供冗余链路解决单点故障问题41冗余链路出现的问题环路冗余链路会造成网络环路冗余链路会造成网络环路,当交换网络中出现环路会产生播送风暴、多帧当交换网络中出现环路会产生播送风暴、多帧复制和复制和MACMAC地址表不稳定等现象。严重影响网络正常运行。地址表不稳定等现象。严重影响网络正常运行。发送一个播送帧发送一个播送帧播送风暴播送风暴42多帧复制和MAC地址表不稳定SwitchAPC1F0/3F0/5PC1在我在我的的F0/3口口PC1在我在我的的F0/5口口去往去往PC1的帧的帧去往去往PC1的帧的帧43环路问题的解决1 1、主要链路正常时，断开、主要链路正常时，断开备份链路备份链路2 2、主要链路出故障时、主要链路出故障时,自自动启用备份链路动启用备份链路44生成树协议生成树协议概述生成树协议spanning-tree protocol由IEEE 802.1d标准定义生成树协议的作用是为了提供冗余链路，解决网络环路问题生成树协议通过SPA生成树算法生成一个没有环路的网络，当主要链路出现故障时，能够自动切换到备份链路，保证网络的正常通信45生成树协议的配置开启生成树协议 Switch(config)#Spanning-treeSwitch(config)#Spanning-tree关闭生成树协议 Switch(config)#no Spanning-treeSwitch(config)#no Spanning-tree46生成树协议的配置配置交换机优先级Switch(config)#spanning-tree priority (“0或“4096的倍数、共16个、缺省32768)恢复到缺省值Switch(config)#nospanning-tree priority配置交换机端口的优先级Switch(config)#interface interface-type interface-numberSwitch(config-if)#spanning-tree port-priority number47查看生成树协议配置显示生成树状态 Switch#show spanning-treeSwitch#show spanning-tree显示端口生成树协议的状态 Switch#show spanning-tree interface fastethernet Switch#show spanning-tree interface fastethernet 48交换技术交换技术以太网链路聚合以太网链路聚合以太网链路聚合以太网链路聚合49交换网络问题交换网络中的问题对于局域网交换机之间以及从交换机到高需求效劳的许多网络连接来说，100M甚至1000M的带宽无法满足用户应用需求。瓶颈瓶颈100M链路100M/1000M链路50链路聚合 定义：定义：端口聚合又称为链路聚合端口聚合又称为链路聚合)，将交换机上的多个端口在物理上连接起来，在，将交换机上的多个端口在物理上连接起来，在逻辑上捆绑在一起，形成一个拥有较大宽带的端口，可以实现负载分担，并提逻辑上捆绑在一起，形成一个拥有较大宽带的端口，可以实现负载分担，并提供冗余链路。供冗余链路。IEEE802.3adIEEE802.3ad定义了以太网端口聚合的标准定义了以太网端口聚合的标准 注意：注意：聚合端口适宜聚合端口适宜10M10M、100M100M、1000M1000M以太网以太网 锐捷交换机最多支持锐捷交换机最多支持8 8个物理端口组成一个聚合端口组个物理端口组成一个聚合端口组 不同设备支持的最多聚合端口组不定不同设备支持的最多聚合端口组不定 如如S2026FS2026F支持支持6 6组组 51配置aggregate port的本卷须知链路聚合的本卷须知组端口的速度必须一致组端口必须属于同一个VLAN组端口使用的传输介质相同组端口必须属于同一层次，并与AP也要在同一层次52配置aggregate port 将该接口参加一个APSwitch#configure terminal Switch(config)#interface interface-type interface-id Switch(config-if-range)#port-group port-group-number如果这个AP不存在，可自动创立AG端口53查看端口聚合的配置查看聚合端口的汇总信息 Switch#show aggregateport summarySwitch#show aggregateport summary54路由技术路由技术路由原理路由原理路由原理路由原理55路由信息 路由信息源路由信息源,可到达路径可到达路径,最正确路径最正确路径F1/0S1/2信息源信息源目的网络目的网络转发接口转发接口直连10.1.1.0F1/0学习获得172.16.1.0S1/2 56路由信息 查看路由信息查看路由信息 router#show ip routerouter#show ip routeCodes:C-connected，S static，R RIP，O-OSPFIA-OSPF inter area，E1-OSPF external type 1E2-OSPF external type 2，*-candidate defaultsubnetted,1 subnetsC 172.16.11.0 is directly connected,serial1/2O E2 172.22.0.0/16 110/20 via 10.3.3.3,01:03:01,Serial1/257路由信息O -路由信息的来源(OSPF)172.16.8.0-目标网络或子网110-管理距离(路由的可信度)/20-度量值(路由的可到达性)via 172.16.7.9 -下一跳地址(下个路由器)00:00:23 -路由的存活的时间(时分秒)Serial 1/2-出站接口O 172.16.8.0/24110/20 via 172.16.7.9,00:00:23,Serial 1/2 58管理距离(可信度)管理距离可以用来选择采用哪个管理距离可以用来选择采用哪个IPIP路由协议路由协议 管理距离值越低，学到的路由越可信管理距离值越低，学到的路由越可信 静态配置路由优先于动态协议学到的路由静态配置路由优先于动态协议学到的路由 采用复杂量度的路由协议优先于简单量度的路由协议采用复杂量度的路由协议优先于简单量度的路由协议Connected interface 0Connected interface 0Connected interface 0Connected interface 0Static route out an interfaceStatic route out an interfaceStatic route out an interfaceStatic route out an interface0 0 0 0Static route to a next hopStatic route to a next hopStatic route to a next hopStatic route to a next hop1 1 1 1External BGPExternal BGPExternal BGPExternal BGP20202020OSPFOSPFOSPFOSPF110110110110IS-IS IS-IS IS-IS IS-IS 115115115115RIP v1,v2RIP v1,v2RIP v1,v2RIP v1,v2120120120120Internal BGPInternal BGPInternal BGPInternal BGP200200200200UnknownUnknownUnknownUnknown255255255255路由源路由源路由源缺省管理距离缺省管理距离缺省管理距离59路由决策原那么 最长匹配最长匹配 例：和例：和 根据路由的管理距离：管理距离越小，路由越优先根据路由的管理距离：管理距离越小，路由越优先 例：和例：和 管理距离一样，就比较路由的度量值管理距离一样，就比较路由的度量值(metric)(metric)，越小越优先，越小越优先 例：例：S 10.1.1.1/8 1/20 S 10.1.1.1/8 1/20 和和 S 10.1.1.1/8 1/40 S 10.1.1.1/8 1/4060路由技术路由技术直连路由直连路由直连路由直连路由61直连路由定义 路由器能够自动产生激活端口路由器能够自动产生激活端口IPIP所在网段的直连路由信息所在网段的直连路由信息 路由器的每个接口都必须单独占用一个网段路由器的每个接口都必须单独占用一个网段F1/0F1/1S1/2目标网段目标网段出口出口C C192.168.1.0192.168.1.0Fastethernet 1/0Fastethernet 1/0C C192.168.2.0192.168.2.0Serial 1/2Serial 1/2C C192.168.3.0192.168.3.0Fastethernet 1/1Fastethernet 1/162路由技术路由技术静态路由静态路由静态路由静态路由63静态路由静态路由概述静态路由是指由网络管理员手工配置的路由信息静态路由除了具有简单、高效、可靠的优点外，它的另一个好处是网络平安保密性高静态路由是手动添加路由信息要去往某网段该如何走 64静态路由 S1/2BABS1/2F1/0F1/0RARAC 192.168.10.0 F1/0C 192.168.10.0 F1/0C 172.16.2.0 S1/2C 172.16.2.0 S1/2RBRBC 202.99.8.0 F1/0C 202.99.8.0 F1/0C 172.16.2.0 S1/2C 172.16.2.0 S1/2RA RA 去往去往去往去往202.99.8.0 202.99.8.0？手工添加告诉路由器去往手工添加告诉路由器去往202.99.8.0202.99.8.0走走S1/2S1/2接口这条路接口这条路S 202.99.8.0 S1/2 S 202.99.8.0 S1/2 RB RB 去往去往去往去往192.168.10.0 192.168.10.0？手工添加告诉路由器去往手工添加告诉路由器去往192.168.10.0192.168.10.0走走S1/2S1/2接口这条路接口这条路S 192.168.10.0 S1/2 S 192.168.10.0 S1/2 65配置静态路由步骤静态路由的一般配置步骤1.1.为路由器每个接口配置为路由器每个接口配置IPIP地址地址2.2.确定本路由器有哪些直连网段的路由信息确定本路由器有哪些直连网段的路由信息3.3.确定网络中有哪些属于本路由器的非直连网段确定网络中有哪些属于本路由器的非直连网段4.4.添加本路由器的非直连网段相关的路由信息添加本路由器的非直连网段相关的路由信息66静态路由配置静态路由配置命令配置静态路由用命令ip route router(config)#ip route 网络编号 子网掩码 转发路由器的IP地址/本地接口例：ip route 192.168.10.0 255.255.255.0 serial 1/2例：ip静态路由描述转发路径的方式有两种指向本地接口即从本地某接口发出指向下一跳路由器直连接口的IP地址即将数据包交给67静态路由配置实例routerA(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1或或 routerA(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2172.16.2.1S1/2172.16.1.0172.16.2.2网络网络B10.0.0.0AB68默认路由默认路由概述可以匹配所有的IP地址，属于最不精确的匹配默认路由可以看作是静态路由的一种特殊情况当所有路由信息都查不到数据包如何转发时，按缺省路由的信息进行转发配置默认路由：router(config)#ip route 0.0.0.0 转发路由器的IP地址/本地接口69缺省路由routerB(config)#ip route 0.0.0.0 Internet Internet 上上 大约大约99.99%99.99%的路的路由器上都存在一条缺省路由由器上都存在一条缺省路由!172.16.2.1SO172.16.1.0172.16.2.2B互联网互联网AB70路由技术路由技术NATNAT技术技术技术技术71什么是NAT/NAPT概念：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为NAT的类型NATNetwork Address Translation转换后，一个本地IP地址对应一个全局IP地址NAPT Network Address Port Translation转换后，多个本地地址对应一个全局IP地址72NAT/NAPT的术语NAT中用到的接口类型：内部网络内部网络 InsideInside 外部网络外部网络 OutsideOutsideNAT中常见的术语：内部本地地址内部本地地址Inside Local AddressInside Local Address 内部全局地址内部全局地址Inside Global AddressInside Global Address 外部本地地址外部本地地址Outside Local AddressOutside Local Address 外部全局地址外部全局地址Outside Global AddressOutside Global Address互联网OutsideInside企业内部网外部网73NAT工作原理 200.8.7.3/24 200.8.7.4/24内部本地地址内部本地地址内部全局地址内部全局地址192.168.1.7200.8.7.3192.168.1.5200.8.7.4源源 目的目的 源源IP:200.8.7.3 目的目的 源源IP:63.5.8.1 目的目的 源源IP:63.5.8.1 目的目的 源源IP:200.8.7.3 目的目的 源源IP:63.5.8.1 目的目的74NAPT工作原理200.8.7.3/24源源IP:192.168.1.7:1024 目的目的IP:63.5.8.1:80内部本地地址：端口内部本地地址：端口内部全局地址内部全局地址:端口端口外部全局地址外部全局地址:端口端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80 源源IP:200.8.7.3:1024 目的目的IP:63.5.8.1:80 源源IP:63.5.8.1:80 目的目的IP:200.8.7.3:1024 源源IP:63.5.8.1:80 目的目的IP:192.168.1.7:1024Web效劳效劳 源源IP:200.8.7.3:1024 目的目的IP:63.5.8.1:80 源源IP:63.5.8.1:80 目的目的IP:192.168.1.7:102475使用NAPT的情况在以下几种情况下，需要使用NAPT技术：缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网要求上网的主机数很多提高内网的平安性76NAT/NAPT的配置 NAT/NAPTNAT/NAPT的配置有两种的配置有两种 静态静态NAT/NAPTNAT/NAPT 动态动态NAT/NAPTNAT/NAPT 静态静态NAT/NAPTNAT/NAPT 永久的一对一永久的一对一IPIP地址映射关系地址映射关系 动态动态NAT/NAPTNAT/NAPT 只访问外网效劳，不提供信息效劳的主机只访问外网效劳，不提供信息效劳的主机 内部主机数可以大于全局内部主机数可以大于全局IPIP地址数地址数 最多访问外网主机数决定于全局最多访问外网主机数决定于全局IPIP地址数地址数 临时的一对一临时的一对一IPIP地址映射关系地址映射关系77静态NAT 配置步骤配置步骤1 1、定义内网接口和外网接口、定义内网接口和外网接口Router(config)#interface fastethernet 1/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 1/1Router(config-if)#ip nat inside2 2、建立静态的映射关系、建立静态的映射关系Router(config)#ip nat78静态NAPT1 1、定义内网接口和外网接口、定义内网接口和外网接口 Router(config)#interface fastethernet 0Router(config)#interface fastethernet 0 Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside Router(config)#interface fastethernet 1Router(config)#interface fastethernet 1 Router(config-if)#ip nat insideRouter(config-if)#ip nat inside2 2、建立静态的映射关系、建立静态的映射关系 Router(config)#ip nat inside source static tcpRouter(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 192.168.1.7 1024 200.8.7.3 1024 Router(config)#ip nat inside source static udp Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024 192.168.1.7 1024 200.8.7.3 102479动态NAT配置1 1、定义内网接口和外网接口、定义内网接口和外网接口 Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside Router(config-if)#ip nat insideRouter(config-if)#ip nat inside2 2、定义内部本地地址范围、定义内部本地地址范围 Router(config)#accessRouter(config)#access3 3、定义内部全局地址池、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmaskRouter(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask4 4、建立映射关系、建立映射关系 Router(config)#ip nat inside source list 10 pool abcRouter(config)#ip nat inside source list 10 pool abc80动态NAPT配置1 1、定义内网接口和外网接口、定义内网接口和外网接口 Router(config-if)#ip nat outsideRouter(config-if)#ip nat outside Router(config-if)#ip nat insideRouter(config-if)#ip nat inside2 2、定义内部本地地址范围、定义内部本地地址范围 Router(config)#accessRouter(config)#access3 3、定义内部全局地址池、定义内部全局地址池 Router(config)#ip nat pool abc 200.8.7.3 netmaskRouter(config)#ip nat pool abc 200.8.7.3 netmask4 4、建立映射关系、建立映射关系 Router(config)#ip nat inside source list 10 pool abc overloadRouter(config)#ip nat inside source list 10 pool abc overload81NAT/NAPT的监视和维护命令 显示命令显示命令 show ip nat statistics show ip nat statistics 显示翻译统计显示翻译统计 show ip nat translations verbose show ip nat translations verbose 显示活动翻译显示活动翻译 去除状态命令去除状态命令 clear ip nat translation*clear ip nat translation*从从NATNAT转换表中去除所有动态地址转换项转换表中去除所有动态地址转换项82NAT/NAPT带来的限制 限制限制 影响网络性能影响网络性能 不能处理不能处理IPIP报头加密的报文；报头加密的报文；无法实现端到端的路径跟踪无法实现端到端的路径跟踪traceroute)traceroute)某些应用可能支持不了：内嵌某些应用可能支持不了：内嵌IPIP地址地址 内嵌内嵌IPIP地址的应用有：地址的应用有：FTPFTP DNSDNS NetMeetingNetMeeting H.323,VoIPH.323,VoIP 其它自编应用其它自编应用 NATNAT与应用的兼容性问题，详见与应用的兼容性问题，详见RFC 3027RFC 3027 83局域网平安技术局域网平安技术交换机端口平安交换机端口平安84交换机端口平安利用交换机的端口平安功能实现防止局域网大局部的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口平安的根本功能限制交换机端口的最大连接数端口的平安地址绑定85交换机端口平安 平安违例产生于以下情况：平安违例产生于以下情况：如果一个端口被配置为一个平安端口，当其平安地址的数目已经到达允如果一个端口被配置为一个平安端口，当其平安地址的数目已经到达允许的最大个数许的最大个数 如果该端口收到一个源地址不属于端口上的平安地址的包如果该端口收到一个源地址不属于端口上的平安地址的包 当平安违例产生时，你可以选择多种方式来处理违例：当平安违例产生时，你可以选择多种方式来处理违例：ProtectProtect：当平安地址个数满后，平安端口将丢弃未知名地址不是该端：当平安地址个数满后，平安端口将丢弃未知名地址不是该端口的平安地址中的任何一个的包口的平安地址中的任何一个的包 RestrictRestrict：当违例产生时，将发送一个：当违例产生时，将发送一个TrapTrap通知通知 ShutdownShutdown：当违例产生时，将关闭端口并发送一个：当违例产生时，将关闭端口并发送一个TrapTrap通知通知86配置平安端口 端口平安最大连接数配置端口平安最大连接数配置 switchport port-securityswitchport port-security ！翻开该接口的端口平安功能！翻开该接口的端口平安功能 switchport port-security maximum valueswitchport port-security maximum value！设置接口上平安地址的最大个数，范围是！设置接口上平安地址的最大个数，范围是1 1128128，缺省值为，缺省值为128128 switchport port-security violationprotect|restrict|shutdownswitchport port-security violationprotect|restrict|shutdown！设置处理违例的方式！设置处理违例的方式 注意：注意：1 1、端口平安功能只能在、端口平安功能只能在accessaccess端口上进行配置。端口上进行配置。2 2、当端口因为违例而被关闭后，在全局配置模式下使用命令、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisable recovery errdisable recovery 来将接口从错误状态中恢复过来。来将接口从错误状态中恢复过来。87配置平安端口 端口的平安地址绑定端口的平安地址绑定 switchport port-security switchport port-security ！翻开该接口的端口平安功能！翻开该接口的端口平安功能 switchport port-security mac-address mac-address ip-address ip-addressswitchport port-security mac-address mac-address ip-address ip-address！手工配置接口上的平安地址！手工配置接口上的平安地址 注意：注意：1 1、端口平安功能只能在、端口平安功能只能在accessaccess端口上进行配置端口上进行配置 2 2、端口的平安地址绑定方式有、端口的平安地址绑定方式有:单单MACMAC、单、单IPIP、MAC+IPMAC+IP88案例一 下面的例子是配置接口下面的例子是配置接口gigabitethernet1/3gigabitethernet1/3上的端口平安功能，设置最大地上的端口平安功能，设置最大地址个数为址个数为8 8，设置违例方式为，设置违例方式为protectprotect Switch#configure terminal Switch#configure terminal Switch(config)#interface gigabitethernet 1/3 Switch(config)#interface gigabitethernet 1/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security maximum 8 Switch(config-if)#switchport port-security violation protect Switch(config-if)#switchport port-security violation protect Switch(config-if)#endSwitch(config-if)#end89案例二 下面的例子是配置接口下面的例子是配置接口fastethernet0/3fastethernet0/3上的端口平安功能，配置端口上的端口平安功能，配置端口绑定地址，主机绑定地址，主机MACMAC为，为，IPIP为为 Switch#configure terminalSwitch#configure terminal Switch(config)#interface fastethernet 0/3Switch(config)#interface fastethernet 0/3 Switch(config-if)#switchport mode accessSwitch(config-if)#switchport mode access Switch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security Switch(config-if)#switchport port-security mac-address Switch(config-if)#switchport port-security mac-address 00d0.f800.073c ip00d0.f800.073c ip Switch(config-if)#endSwitch(config-if)#end90查看配置信息 查看所有接口的平安统计信息，包括最大平安地址数，当前平安地址数以及查看所有接口的平安统计信息，包括最大平安地址数，当前平安地址数以及违例处理方式等违例处理方式等 Switch#show port-security Switch#show port-security Secure Port MaxSecureAddr CurrentAddr Security Action Secure Port MaxSecureAddr CurrentAddr Security Action -Gi1/3 8 1 Protect Gi1/3 8 1 Protect 查看平安地址信息查看平安地址信息 Switch#show port-security addressSwitch#show port-security address Vlan Mac Address IP Address Type Port Remaining Vlan Mac Address IP Address Type Port Remaining Age(mins)Age(mins)-1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1 1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 191局域网平安技术局域网平安技术IP访问控制列表访问控制列表92什么是访问列表 IP Access-listIP Access-list：IPIP访问列表或访问控制列表，简称访问列表或访问控制列表，简称IP ACLIP ACL ACLACL就是对经过网络设备的数据包根据一定的规那么进行数据包的过滤就是对经过网络设备的数据包根据一定的规那么进行数据包的过滤ISP93 为什么要使用访问列表内网平安运行内网平安运行访问外网的平安控制访问外网的平安控制94访问列表访问控制列表的作用：内网布署平安策略，保证内网平安权限的资源访问内网访问外网时，进行平安的数据过滤防止常见病毒、木马、攻击对用户的破坏95访问列表的组成定义访问列表的步骤第一步，定义规那么哪些数据允许通过，哪些数据不允许通过第二步，将规那么应用在路由器或交换机的接口上访问控制列表规那么的分类：1、标准访问控制列表2、扩展访问控制列表96 访问列表规那么的应用 路由器应用访问列表对流经接口的数据包进行控制路由器应用访问列表对流经接口的数据包进行控制 1.1.入栈应用入栈应用inin 经某接口进入设备内部的数据包进行平安规那么过滤经某接口进入设备内部的数据包进行平安规那么过滤 2.2.出栈应用出栈应用outout 设备从某接口向外发送数据时进行平安规那么过滤设备从某接口向外发送数据时进行平安规那么过滤 一个接口在一个方向只能应用一组访问控制列表一个接口在一个方向只能应用一组访问控制列表F1/0F1/0F1/1F1/1ININOUTOUT97IP ACL的根本准那么一切未被允许的就是禁止的定义访问控制列表规那么时，最终的缺省规那么是拒绝所有数据包通过按规那么链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规那么匹配原那么从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规那么的“允许/拒绝98访问列表规那么的定义标准访问列表根据数据包源IP地址进行规那么定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规那么定义99源地址源地址TCP