Cisco_IP_RAN_Architecture

合集下载

思科ciscoip_route

思科ciscoip_route路由协议(routing protocol):用于routers动态寻找网络最佳路径,保证所有routers拥有相同的路由表.一般,路由协议决定数据包在网络上的行走的路径.这类协议的例子有OSPF,RIP,IGRP,EIGRP等可路由协议(routed protocol):当所有的routers知道了整个网络的拓扑结构以后,可路由协议就可以用来发送数据.一般的,可路由协议分配给接口,用来决定数据包的投递方式.这类例子有IP和IPX 路由:把1个数据包从1个设备发送到不同网络里的另1个设备上去.这些工作依靠routers来完成.routers并不关心主机,它们只关心网络的状态和决定网络中的最佳路径router可以路由数据包,必须至少知道以下状况:1.目标地址(destination address)2.可以学习到远端网络状态的邻居router3.到达远端网络的所有路线4.到达远端网络的最佳路径5.如何保持和验证路由信息The IP Routing Process路由原理:当IP子网中的一台主机发送IP包给同一IP子网的另一台主机时,它将直接把IP包送到网络上,对方就能收到.而要送给不同IP 于网上的主机时,它要选择一个能到达目的子网上的router,把IP包送给该router,由它负责把IP包送到目的地.如果没有找到这样的router,主机就把IP包送给一个称为缺省网关(default gateway)的router上.缺省网关是每台主机上的一个配置参数,它是接在同一个网络上的某个router接口的IP地址，router转发IP包时,只根据IP包目的IP地址的网络号部分,选择合适的接口,把IP包送出去.同主机一样,router也要判定接口所接的是否是目的子网,如果是,就直接把包通过接口送到网络上,否则,也要选择下一个router来传送包.router也有它的缺省网关,用来传送不知道往哪儿送的IP包.这样,通过router把知道如何传送的IP 包正确转发出去,不知道的IP包送给缺省网关,这样一级级地传送,IP包最终将送到目的地,送不到目的地的IP包则被网络丢弃了当主机A发送个IP包到主机B,目标MAC地址使用的是默认网关的以太网接口地址.这是因为帧不能放置在远端网络.show ip route:查看路由表信息,比如:Router#sh ip route(略)Gateway of last resort is not setC 192.168.10.0/24 is directly connected, FastEthernet0/0C 192.168.20.0/24 is directly connected, Serial 0/0Router#C代表的是:直接相连Configuring IP Routing in Our Network当1个router收到1个目标网络号没有在路由表中列出的包的时候,它并不发送广播寻找目标网络,而是直接丢弃它几种不同类型的路由:1.静态路由(static routing)2.默认路由(default routing)3.动态路由(dynamic routing)Static Routing静态路由:手动填加路由线路到路由表中,优点是:1.没有额外的router的CPU负担2.节约带宽3.增加安全性缺点是:1.网络管理员必须了解网络的整个拓扑结构2.如果网络拓扑发生变化,管理员要在所有的routers上手动修改路由表3.不适合在大型网络中静态路由的配置命令:ip route [dest-network] [mask] [next-hop address或exit interface][administrative distance] [permanent]ip route:创建静态路由dest-network:决定放入路由表的路由表mask:掩码next-hop address:下1跳的router地址exit interface:如果你愿意的话可以拿这个来替换next-hop address,但是这个是用于点对点(poi nt-to-point)连接上,比如广域网(WAN)连接,这个命令不会工作在LAN上administrative distance:默认情况下,静态路由的管理距离是1,如果你用exit interface代替next -hop address,那么管理距离是0 permanent:如果接口被shutdown了或者router不能和下1跳router通信,这条路由线路将自动从路由表中被删除.使用这个参数保证即使出现上述情况,这条路线仍然保持在路由表中静态路由的具体配置: Router Network Address Interface AddressRouterA 192.168.10.0 fa0/0 192.168.10.1192.168.20.0 s0/0 192.168.20.1RouterB 192.168.20.0 s0/0 192.168.20.2192.168.40.0 s0/1 192.168.40.1192.168.30.0 fa0/1 192.168.30.1RouterC 192.168.40.0 s0/0 192.168.40.2192.168.50.0 fa0/0 192.168.50.1准备工作:先配置RouterA,B和C的基本信息,注意RouterB作为DCE提供时钟频率:RouterA(config)#int fa0/0RouterA(config-if)#ip address 192.168.10.1 255.255.255.0RouterA(config-if)#no shutRouterA(config-if)#int s 0/0RouterA(config-if)#ip address 192.168.20.1 255.255.255.0RouterA(config-if)#no shutRouterA(config-if)#^ZRouterA#copy run startRouterB(config)#int fa0/0RouterB(config-if)#ip address 192.168.30.1 255.255.255.0RouterB(config-if)#no shutRouterB(config-if)#int s 0/0RouterB(config-if)#ip address 192.168.20.2 255.255.255.0RouterB(config-if)#clock rate 64000RouterB(config-if)#no shutRouterB(config-if)#ip address 192.168.40.1 255.255.255.0RouterB(config-if)#clock rate 64000RouterB(config-if)#no shutRouterB(config-if)#^ZRouterB#copy run startRouterC(config)#int fa0/0RouterC(config-if)#ip address 192.168.50.1 255.255.255.0RouterC(config-if)#no shutRouterC(config-if)#int s 0/0RouterC(config-if)#ip address 192.168.40.2 255.255.255.0RouterC(config-if)#no shutRouterC(config-if)#^ZRouterC#copy run start配置RouterA静态路由:RouterA了解自己的网络192.168.10.0和192.168.20.0(直接相连),所以RouterA的路由表必须加入192.168.30.0和192.168.40.0, 192.168.50.0的信息,注意下1跳接口,如下: RouterA(config)#ip route 192.168.30.0 255.255.255.0 192.168.20.2RouterA(config)#ip route 192.168.40.0 255.255.255.0 192.168.20.2RouterA(config)#ip route 192.168.50.0 255.255.255.0192.168.20.2验证路由信息:RouterA#sh ip route(略)S 192.168.50.0 [1/0] via 192.168.20.2(略)S代表静态路由,[1/0]分别为管理距离和度配置RouterB静态路由:RouterB所必须学习到的网络应该是192.168.10.0和192.168.50.0,注意它们的下1跳接口地址,配置如下:RouterB(config)#ip route 192.168.10.0 255.255.255.0 192.168.20.1RouterB(config)#ip route 192.168.50.0 255.255.255.0 192.168.40.2配置RouterC静态路由:RouterC所必须学习到的网络应该是192.168.10.0,192.168.20.0和192.168.30.0,注意它们的下1跳接口地址,配置如下:RouterC(config)#ip route 192.168.10.0 255.255.255.0 192.168.40.1RouterC(config)#ip route 192.168.20.0 255.255.255.0 192.168.40.1RouterC(config)#ip route 192.168.30.0 255.255.255.0 192.168.40.1Verifying Your Configuration根据上面的拓扑结构,我们来验证下是否能够端到端的ping通:RouterC#ping 192.168.10.1(略)Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:RouterA#ping 192.168.50.1(略)Sending 5, 100-byte ICMP Echos to 192.168.50.1, timeout is 2 seconds:(略)2端都能ping通,说明没问题Default Routing默认路由:一般使用在stub网络中,stub网络是只有1条出口路径的网络.使用默认路由来发送那些目标网络没有包含在路由表中的数据包.根据上面的拓扑图,你就不能把默认路由定义在RouterB上,因为RouterB拥有不止1个出口路径接口.其实你可以把默认路由理解成带通配符(wildcard)的静态路由配置默认路由:首先要去掉之前配置的静态路由RouterC(config)#no ip route 192.168.10.0 255.255.255.255 192.168.40.1RouterC(config)#no ip route 192.168.20.0 255.255.255.255 192.168.40.1RouterC(config)#no ip route 192.168.30.0 255.255.255.255 192.168.40.1接下来配置默认路由:RouterC(config)#ip route 0.0.0.0 0.0.0.0 192.168.40.1额外的命令,使各个接口打破分类IP规则,12.x的IOS默认包含这条命令,如下:RouterC(config)#ip classless再验证下:RouterC(config)#^ZRouterC#sh ip routeS* 0.0.0.0/0 [1/0] via 192.168.40.1S*代表默认路由Dynamic Routing动态路由协议,有很多优点,灵活等等,但是缺点也有,比如占用了额外的带宽,CPU负荷高组网利用到的2种路由协议:内部网关协议(Interior Gateway Protocols,IGPs)和外部网关协议(E xterior Gateway Protocols,EGPs) 自治系统(Autonomous System,AS):同1个管理域的网络集合,意味着在这里面的所有routers共享相同的路由表信息IGPs:在相同的AS内交换路由信息EGPs:AS间的通信Routing Protocol BasicsAdministrative Distances管理距离(AD): 0到255之间的1个数,它表示一条路由选择信息源的可信性值.该值越小,可信性级别越高.0为最信任,255为最不信任即没有从这条线路将没有任何流量通过.假如1个router收到远端的2条路由更新,router将检查AD,AD值低的将被选为新路线存放于路由表中.假如它们拥有相同的AD,将比较它们的度(metric).度低的将作为新线路.假如它们的AD和度都一样,那么将在2条线路做均衡负载.一些常用路由协议默认的AD:1.直接相连:02.静态路由:13.EIGRP:904.IGRP:1005.OSPF:1106.RIP:120记住,如果你在条线路上配置了静态路由,又配置了RIP,默认情况下,router只会使用静态路由,因为它的AD为1小于RIP的AD Routing Protocols3种路由协议:1.距离向量(distance vector)2.链路状态(link state)3.混合型(hybrid)距离向量:用于根据距离(distance)来判断最佳路径,当1个数据包每经过1个router时,被称之为经过1跳.经过跳数最少的则作为最佳路径.这类协议的例子有RIP和IGRP,它们将整个路由表向与它们直接相连的相邻routers链路状态:也叫最短路径优先(shortest-path-first)协议.每个router创建3张单独的表,1张用来跟踪与它直接相连的相邻router;1张用来决定网络的整个拓扑结构;另外1张作为路由表.所以这种协议对网络的了解程度要比距离向量高.这类协议例子有OSPF混合型:综合了前2者的特征,这类协议的例子有EIGRPDistance-Vector Routing Protocols距离向量路由算法将完整的路由表传给相邻router,然后这个router再把收到的表的选项加上自己的表来完成整个路由表,这个叫做routing by rumor,因为这个router是从相邻router接受更新而非自己去发现网络的变化。

思科路由器NAT配置详解

思科路由器NAT配置详解思科路由器NAT配置详解一、介绍在计算机网络中，网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

NAT主要用于连接不同IP地质的网络之间进行通信，常用于家庭和办公网络。

二、NAT的基本概念1、NAT的作用NAT的主要作用是解决IPv4地质不足的问题，同时也可以提高网络的安全性。

2、NAT的类型NAT有三种类型：静态NAT、动态NAT和PAT（端口地质转换）。

3、静态NAT静态NAT将指定的内部IP地质映射到一个外部IP地质，使得内部网络上的设备可以通过外部IP地质进行访问。

4、动态NAT动态NAT是根据内部网络的需求，将一个或多个内部IP地质动态地映射到一个外部IP地质。

当内部网络设备需要访问外部网络时，才会动态地进行映射。

5、PATPAT是一种特殊的动态NAT，它将多个内部IP地质映射到一个外部IP地质，使用不同的端口号区分不同的内部地质。

三、NAT的配置步骤1、确定NAT的类型在进行NAT配置之前，需要确定所需的NAT类型，是静态NAT、动态NAT还是PAT。

2、配置内部和外部接口需要配置内部和外部接口的IP地质，使路由器能够正确地识别内部和外部网络。

3、配置NAT池对于动态NAT和PAT，需要配置一个NAT池，包含可用的外部IP地质。

4、配置NAT规则根据需求，配置适当的NAT规则，包括内部地质和端口号与外部地质和端口号的映射关系。

四、附件本文档没有涉及到附件。

五、法律名词及注释1、IPv4地质：互联网协议第四版本（Internet Protocol version 4，简称IPv4）中使用的32位地质，用于标识网络上的设备。

2、NAT：网络地质转换（Network Address Translation，简称NAT）是一种将一个IP地质转换为另一个IP地质的过程。

思科路由器如何配置VLAN的IP

思科路由器如何配置VLAN的IP我们的思科路由器如何配置VLAN的IP呢?想必很多网络技术的新手都不清楚，所以小编这里就推荐下配置VLAN的IP方法和介绍VLAN给你们认识认识。

VLAN：英文全称为Virtual Local Area Network，中文称虚拟局域网，VLAN其实就相当于一个小型网络的统称，如校园网内有三个不同网段，分别为10.0.0.0、172.16.1.0和192.168.1.0，我们可以分别将这三个网段划分为三个不同的VLAN，以便于管理。

举个例子，只允许10.0.0.0网段访问172.16.1.0网段，不能访问192.168.1.0网段，此时VLAN的好处显露无疑。

今天笔者同大家分享思科路由器如何配置VLAN的IP。

1、启动计算机并连接到思科路由器，进入VLAN配置模式。

在命令行提示符下键入以下命令，然后按ENTER键host1(config)#interface fastEthernet 4/0请注意，在这个例子中，我们指定的VLAN使用的是快速以太网连接，标有“快速以太网”。

2、对VLAN进行封装，输入以下命令：host1(config-if)#encapsulation vlan3、创建一个子接口的VLAN，这将主机的IP，通过添加一个子识别号码。

键入以下命令，然后按ENTER键。

host1(config-if)#interface fastEthernet 4/0.354、指定的VLAN ID，通过键入以下命令Read more: How to Configure a VLAN IP | "host1(config-if)#vlan id 333",5、分配给VLAN的IP地址，在命令提示符下键入以下命令，然后按回车键。

host1(config-if)#IP address 192.168.1.13 255.255.255.0通过这5个命令，你就成功在路由器上的VLAN配置了IP地址了，是不是很简单呢。

cisco思科路由器配置教程

cisco路由器配置教程2008年06月23日星期六 10:50手把手教你配置cisco路由器经过几十年的发展,从最初的只有四个节点的ARPANET发展到现今无处不在的Internet,计算机网络已经深入到了我们生活当中。

随着计算机网络规模的爆炸性增长,作为连接设备的路由器也变得更加重要。

公司在构建网络时，如何对路由器进行合理的配置管理成为网络管理者的重要任务之一。

本专题就为读者从最简单的配置开始为大家介绍如何配置cisco路由器。

很多读者都对路由器的概念非常模糊，其实在很多文献中都提到，路由器就是一种具有多个网络接口的计算机。

这种特殊的计算机内部也有CPU、内存、系统总线、输入输出接口等等和PC相似的硬件，只不过它所提供的功能与普通计算机不同而已。

和普通计算机一样，路由器也需要一个软件操作系统，在cisco路由器中，这个操作系统叫做互联网络操作系统，这就是我们最常听到的IOS软件了。

下面就请读者跟着我们来一步步的学习最基本的路由器配置方法。

cisco路由器基本配置：√ cisco IOS软件简介：大家其实没必要把路由器想的那么复杂，其实路由器就是一个具有多个端口的计算机，只不过它在网络中起到的作用与一般的PC不同而已。

和普通计算机一样，路由器也需要一个操作系统，cisco把这个操作系统叫作cisco互联网络操作系统，也就是我们知道的IOS，所有cisco路由器的IOS都是一个嵌入式软件体系结构。

cisco IOS软件提供以下网络服务：基本的路由和交换功能。

可靠和安全的访问网络资源。

可扩展的网络结构。

cisco命令行界面（CLI）用一个分等级的结构，这个结构需要在不同的模式下来完成特定的任务。

例如配置一个路由器的接口，用户就必须进入到路由器的接口配置模式下，所有的配置都只会应用到这个接口上。

每一个不同的配置模式都会有特定的命令提示符。

EXEC为IOS软件提供一个命令解释服务，当每一个命令键入后EXEC便会执行该命令。

思科如何配置IPSLA路由联动（4）

思科如何配置IP SLA路由联动(4)interface FastEthernet4ip address 192.168.66.2 255.255.255.0ip policy route-map testduplex autospeed autocontrol-planealias exec rt show ip routealias exec sc show cdp neialias exec sv show veralias exec st show cloalias exec ct config talias exec sr sh runalias exec si show interfacealias exec cc clear counteralias exec cl clear logalias exec sl show logalias exec sns show ntp statusalias exec cac clear access-list countersalias exec sa show access-listline con 0no modem enableline aux 0line vty 0 4password 7 01100F175804loginscheduler max-task-time 5000ntp source FastEthernet0ntp server 132.163.4.103end其实这是客户需要才试出来的，我对ip sla的功能也不是很熟悉，只实现到静态路由的自动备份和切换功能!直接用静态路由配合route-map和IP SLA就能实现默认一个子网通过route-map 1,优先走线路1,同时在route-map 1中调用IP SLA,监测线路1的下一条是否可达，如果可达，走线路1,不可达，走常规路由，也就是走静态路由，两条静态路由也要开启track调用IP SLA.同理，第二个子网通过route-map 2,优先走线路二，同时在route-map 2中调用IP LSA,监测线路2的下一条是否可达，可达走线路2,不可达，走静态路由，静态路由也通过track调用IP SLA,监测下一跳。

思科园区无线LAN解决方案

现在，当 Joe 前往另一地点时，他可在该办公机构中的任意地点接入公司网络——因为 Cisco WLAN 覆盖整个园区。他不再必须找到一个有可用端口的空办公隔间或打扰他人的工作空间。此外，他可使用笔记本电脑上的思科 IP 软电话软件或思科无线 IP 电话来接收语音留言并回电——且不增加公司的开支。
上发送和接收的信息都使用临时秘钥完整性协议（TKIP）加密。因此，园区 WLAN 解决方案可立即满足来访员工的需求。
z
保护企业免遭未授权、不安全的“恶意”WLAN 接入点的影响——思科园区 LAN 支持思科结构化无线感知网络（SWAN）。通过 Cisco SWAN，IT 经理可方便、自动地检测、定位和禁用恶意接入点和它们所连接的交换机端口，这是因为接入点和客户端设备可主动参加 RF 环境的持续搜索和监控。
z
方便地管理中央或远程位置的接入点——网络经理能通过 Cisco SWAN，方便地在 WLAN 园区和分支机构、或零售、制造和医疗机构场所，部署、运行和管理数百到数千个接入点。此框架为大中型机构提供了与其有线 LAN 相同的安全性、可扩展性、可靠性、易部署性和易管理性水平。
凭借以上所有特性，思科园区 WLAN 解决方案使机构能作出更快响应并提高员工效率，从而降低运营开支。
z
将集成网络服务的全部优势扩展到漫游用户——在使用服务质量（QoS）的 WLAN 上支持 IP 电话和 IP 视频会议，这能优先处理实时流量，有助于确保视频和音频信息及时到达。使用思科 IP 电话产品，通过基于 PC 的软电话或思科无线电话，员工可在整个园区中漫游的同时，与其客户保持联络及相互联系。
WLAN 重叠使员工在不接入有线网络时也能访问网络。这样，移动员工即可访问全部网络应用和通信工具。Cisco WLAN 使用强大的验证和加密技术来保护 WLAN 免遭攻击和未授权用户接入。

CISCO IP nat 常用命令及原理详解

CISCO IP nat 常用命令及原理详解ip nat语法：ip nat {inside | outside}no ip nat {inside | outside}本命令用于设置应用NAT的内网和外网的接口。

使用no 选项可使接口不再应用NAT。

参数：inside：表示该接口连接内部网络。

outside：表示该接口连接外部网络。

缺省值：接口上没有应用NAT。

命令模式：接口配置模式。

说明：数据包只有在outside 接口和inside 接口之间路由时，并且符合一定规则的，才会进行NAT转换。

所以实现NAT的路由器必须配置至少一个outside 接口和一个inside 接口，也可配置多个。

范例：Ruijie(config)#interface f0/0Ruijie(config-if)#ip address 192.168.10.1 255.255.255.0Ruijie(config-if)#ip nat insideRuijie(config-if)#no shutdownRuijie(config-if)#interface f0/1Ruijie(config-if)#ip address 200.19.12.17 255.255.255.0Ruijie(config-if)#ip nat outsideRuijie(config-if)#no shutdown本例路由器的fastethernet 0/0 连接的是内网，被定义为inside 接口，fastethernet 0/1 连接的是外网，被定义为outside 接口。

相关命令：show ip nat statistics 查看NAT统计数据和规则，包括inside和outside接口ip nat inside destination语法：ip nat inside destination list access-list-number pool pool-nameno ip nat inside destination list access-list-number pool pool-name启用NAT内部目标地址转换。

CISCO路由器常用配置命令大全

CISCO路由器常用配置命令大全在网络世界中，CISCO 路由器就像是交通枢纽中的指挥中心，而配置命令则是指挥其运作的指令。

熟练掌握 CISCO 路由器的常用配置命令，对于网络管理员来说至关重要。

下面就让我们一起来了解一下这些常用的配置命令。

一、基础配置命令1、｀enable`：用于进入特权模式。

特权模式下可以执行更多高级的配置操作。

2、｀configure terminal`：进入全局配置模式，在这个模式下可以对路由器的各种参数进行设置。

3、｀hostname router_name`：设置路由器的主机名，方便识别和管理。

4、｀interface interface_type interface_number`：进入指定的接口配置模式，例如｀interface ethernet 0/0` 进入以太网接口 0/0 的配置。

5、｀ip address ip_address subnet_mask`：为接口配置 IP 地址和子网掩码。

6、｀no shutdown`：激活接口，使其处于工作状态。

二、路由配置命令1、｀ip route destination_network subnet_mask next_hop_ip`：添加静态路由，指定数据包到达目标网络的路径。

2、｀router rip`：启用 RIP 路由协议。

3、｀network network_address`：在 RIP 协议中宣告参与路由的网络。

4、｀router ospf process_id`：启用 OSPF 路由协议，并指定进程 ID。

5、｀network network_address area_id`：在 OSPF 协议中宣告网络和所属区域。

三、访问控制列表（ACL）配置命令1、｀accesslist access_list_number permit|deny source_addresssource_mask destination_address destination_mask protocol port`：创建访问控制列表规则，指定允许或拒绝的流量。

思科CCNA认证学习笔记（十五）思科ACL、NAT配置命令总结

思科CCNA认证学习笔记（⼗五）思科ACL、NAT配置命令总结本⽂讲述了思科ACL、NAT配置命令。

分享给⼤家供⼤家参考，具体如下：ACL 访问控制列表ACL可以根据设定的条件对接⼝上的数据包进⾏过滤，允许其通过或丢弃。

被⼴泛地应⽤于路由器和三层交换机，借助于ACL，可以有效地控制⽤户对⽹络的访问，从⽽最⼤程度地保障⽹络安全。

ACL功能：1. 访问控制—在路由器上流量进或出的接⼝上规则流量；2. 定义感兴趣流量 —为其他的策略匹配流量，抓取流量访问控制：定义ACL列表后，将列表调⽤于路由器的接⼝上，当流量通过接⼝时，进⾏匹配，匹配成功后按照设定好的动作进⾏处理即可，动作——允许、拒绝匹配规则：⾄上⽽下逐⼀匹配，上条匹配按上条执⾏，不再查看下条；末尾隐含拒绝所有；ACL分类：1. 标准ACL–仅关注数据包中的源ip地址2. 扩展ACL–关注数据包中源、⽬标ip地址、⽬标端⼝号、协议号配置ACL有两种写法：编号写法 1-99 标准 100-199 扩展删除⼀条整表消失命名写法⼀个名字⼀张列表可以随意删除某条，配置：标准ACL—编号：由于标准ACL仅关注数据包中的源ip地址，调⽤时尽量的靠近⽬标，避免误删；编号写法：Router(config)#access-list 1 deny host 192.168.4.2 拒绝单⼀设备Router(config)#access-list 1 deny 192.168.4.2 0.0.0.0 拒绝单⼀设备Router(config)#access-list 1 deny 192.168.4.0 0.0.0.255 拒绝范围Router(config)#access-list 1 deny any 拒绝所有Router(config)#access-list 1 deny host 192.168.4.2 拒绝172.16.4.2Router(config)#access-list 1 permit any 允许所有Router(config)#interface fastEthernet 0/0.1 进接⼝Router(config-subif)#ip access-group 1 out 调⽤命名写法：Router(config)#ip access-list standard aRouter(config-std-nacl)#deny host 192.168.4.2Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)# no ip access-list standard a 删除表扩展ACL配置：扩展ACL关注数据包中的源、⽬标ip地址，故调⽤时应该尽量的靠近源，当然不能在源上，因为ACL不能限制本地产⽣的流量；编号写法：r1(config)#access-list 100 deny ip host 192.168.4.2 host 192.168.1.2前⾯是源ip地址，后⾯是⽬标ip地址，也就是拒绝192.168.4.0 0.0.0.255—192.168.1.0 0.0.0.255 这个范围r1(config)#access-list 100 permit ip any anyr1(config)#interface fastEthernet 0/0r1(config-if)#ip access-group 100 in命名写法Router(config)#ip access-list extended aRouter(config-ext-nacl)#deny host 192.168.4.2Router(config-ext nacl)#permit anyRouter(config-ext -nacl)#exitRouter(config)#no ip access-list extended a 删除表关注⽬标端⼝号：ICMP——ping 跨层封装协议，不存在端⼝号Telnet——远程登录基于TCP⽬标23号端⼝设备开启远程登录配置命令：r1(config)#username ccna privilege 15 secret 123456r1(config)#line vty 0 4 0 4 代表最多五个账户登录r1(config-line)#login local规则⼀个设备到另⼀个设备的⽬标端⼝远程登录被拒绝r1(config)#access-list 101 deny tcp host 1.1.1.1 host 2.2.2.2 eq 23r1(config)#access-list 101 permit ip any anyr1(config)#access-list 102 deny icmp host 1.1.1.1 host 2.2.2.2 拒绝pingr1(config)#access-list 102 permit ip any any 单向ping 后加echoNAT ⽹络地址转换配置了NAT的路由器⾄少有⼀个有效的外部全球IP地址，即公有IP地址，这样，所有使⽤本地地址的主机在和外界通信时，都要在NAT路由器上将其本地地址转换成全球IP地址，才能和因特⽹连接。

工业路由器与Cisco ASA防火墙构建IPSec VPN配置指导

工业路由器与Cisco ASA防火墙构建IPSec VPN 配置指导1.概述本文档主要讲述了关于东用科技路由器与中心端Cisco ASA/PIX防火墙构建LAN-to-LAN VPN的方法。

ORB全系列产品均支持VPN功能，并与众多国际主流中心端设备厂商产品兼容。

建立起LAN-to-LAN VPN之后便可以实现下位机—路由器LAN 端与上位机—中心端设备LAN进行双向通信。

2.网络拓扑2.1网络拓扑1接入端1的LAN端IP地址为192.168.2.0/24网段且不与接入端2LAN重复2接入端的设备ORB系列路由器均支持IPSec VPN3东用科技路由器通过有线或无线PPPOE拨号或固定IP形式获取外部IP地址4接入端2的LAN端IP地址为192.168.3.0/24网段且不与接入端1LAN重复5接入端的设备ORB系列路由器均支持IPSec VPN6东用科技路由器通过有线或无线PPPOE拨号或固定IP形式获取外部IP地址7中心端设备必须采用固定IP地址。

地址为173.17.99.100/248中心端设备可以采用cisco，juniper，华为，H3C等国际知名厂商支持IPSec的设备9中心端LAN端IP地址为172.16.1.0/24且不与建立通道的任何LAN重复2.2网络拓扑说明中心端设备为Cisco ASA/PIX防火墙，IOS版本8.0；外部IP地址173.17.99.100，掩码255.255.255.0；内部IP地址172.16.1.1，掩码255.255.255.0接入端1设备为东用科技路由器；外部IP地址193.169.99.100，掩码255.255.255.0；内部IP地址192.168.2.1，掩码255.255.255.0接入端2设备为东用科技路由器；外部IP地址193.169.99.101，掩码255.255.255.0；内部IP地址192.168.3.1，掩码255.255.255.03.配置指导3.1中心端Cisco ASA/PIX基本配置Ciscoasa&pix#configure terminal//进入配置模式Ciscoasa&pix(config)#interface ethernet0/1//进入内部接口的配置模式（端口类型及端口号请以现场设备为准，内部或外部接口可自行选择）Ciscoasa&pix(config-if)#nameif inside//为内部接口关联一个inside的名称Ciscoasa&pix(config-if)#ip address172.16.1.1255.255.255.0//为内部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出内部接口的配置模式Ciscoasa&pix(config)#interface ethernet0/0//进入外部接口的配置模式（端口类型及端口号请以现场设备为准，内部或外部接口可自行选择）Ciscoasa&pix(config-if)#nameif outside//为外部接口关联一个outside的名称Ciscoasa&pix(config-if)#ip address173.17.99.100255.255.255.0//为外部接口配置IP地址Ciscoasa&pix(config-if)#exit//退出外部接口的配置模式Ciscoasa&pix(config)#route outside0.0.0.00.0.0.0173.17.99.1//配置静态默认路由，173.17.99.1为外部接口的网关地址，该地址一般为ISP提供Ciscoasa&pix(config)#access-list permiticmp extended permit icmp any any//创建访问控制列表允许所有icmp报文，此条访问控制列表的目的是为了测试或排障时使用ping命令（防火墙默认是禁止任何ICMP包通过的）Ciscoasa&pix(config)#access-group permiticmp in interface outside//将访问控制列表应用到外部接口Ciscoasa&pix(config)#access-list nonat extended permit ip172.16.1.0255.255.255.0 192.168.2.0255.255.255.0//创建访问控制列表允许172.16.1.0/24网络到192.168.2.0/24网络，此条访问控制列表的目的是对172.16.1.0/24网络到192.168.2.0/24网络的数据包IP字段不进行地址转换(PAT)，172.16.1.0/24是中心端内部网络，192.168.2.0/24是远端内部网络Ciscoasa&pix(config)#global(outside)1interface//在外部接口(outside)上启用PAT Ciscoasa&pix(config)#nat(inside)0access-list nonat//对从内部接口进入的且匹配nonat访问控制列表的数据包IP字段不进行地址转换（PAT），序列号0代表不转换Ciscoasa&pix(config)#nat(inside)1172.16.1.0255.255.255.0//对从内部接口进入的源地址为172.16.1.0/24的数据包IP字段进行地址转换（PAT）。

Cisco 路由器防火墙配置命令及实例

Cisco 路由器防火墙配置命令及实例一、access-list 用于创建访问规则.（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段.special 指定规则加入特殊时间段.listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则.listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则.permit 表明允许满足条件的报文通过.deny 表明禁止满足条件的报文通过.protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议.source-addr 为源地址.source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0.dest-addr 为目的地址.dest-mask 为目的地址通配位.operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）;如果操作符为range,则后面需要跟两个端口.port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值.port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值.icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值.icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值.log [可选] 表示如果报文符合条件,需要做日志.listnumber 为删除的规则序号,是1~199之间的一个数值.subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号.【缺省情况】系统缺省不配置任何访问规则.【命令模式】全局配置模式【使用指南】同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的.使用协议域为IP的扩展访问列表来表示所有的IP协议.同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过show access-list 命令看到.【举例】允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP.Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp【相关命令】ip access-group二、clear access-list counters 清除访问列表规则的统计信息.clear access-list counters [ listnumber ]【参数说明】listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息.【缺省情况】任何时候都不清除统计信息.【命令模式】特权用户模式【使用指南】使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息.【举例】例1：清除当前所使用的序号为100的规则的统计信息.Quidway#clear access-list counters 100例2：清除当前所使用的所有规则的统计信息.Quidway#clear access-list counters【相关命令】access-list三、firewall 启用或禁止防火墙.firewall { enable | disable }【参数说明】enable 表示启用防火墙.disable 表示禁止防火墙.【缺省情况】系统缺省为禁止防火墙.【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果.如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关.在使用firewalldisable 命令关闭防火墙时,防火墙本身的统计信息也将被清除.【举例】启用防火墙.Quidway(config)#firewall enable【相关命令】access-list,ip access-group四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式.firewall default { permit | deny }【参数说明】permit 表示缺省过滤属性设置为“允许”.deny 表示缺省过滤属性设置为“禁止”.【缺省情况】在防火墙开启的情况下,报文被缺省允许通过.【命令模式】全局配置模式【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃.【举例】设置缺省过滤属性为“允许”.Quidway(config)#firewall default permit五、ip access-group 使用此命令将规则应用到接口上.使用此命令的no形式来删除相应的设置.ip access-group listnumber { in | out }[ no ] ip access-group listnumber { in | out }【参数说明】listnumber 为规则序号,是1~199之间的一个数值.in 表示规则用于过滤从接口收上来的报文.out 表示规则用于过滤从接口转发的报文.【缺省情况】没有规则应用于接口.【命令模式】接口配置模式.【使用指南】使用此命令来将规则应用到接口上;如果要过滤从接口收上来的报文,则使用in 关键字;如果要过滤从接口转发的报文,使用out 关键字.一个接口的一个方向上最多可以应用20类不同的规则;这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高.对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度.所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看.【举例】将规则101应用于过滤从以太网口收上来的报文.Quidway(config-if-Ethernet0)#ip access-group 101 in【相关命令】access-list六、settr 设定或取消特殊时间段.settr begin-time end-timeno settr【参数说明】begin-time 为一个时间段的开始时间.end-time 为一个时间段的结束时间,应该大于开始时间.【缺省情况】系统缺省没有设置时间段,即认为全部为普通时间段.【命令模式】全局配置模式【使用指南】使用此命令来设置时间段;可以最多同时设置6个时间段,通过show timerange 命令可以看到所设置的时间.如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效（系统查询时间段的时间间隔）.设置的时间应该是24小时制.如果要设置类似晚上9点到早上8点的时间段,可以设置成“settr 21:00 23:59 0:00 8:00”,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换.另外这个设置也经过了2000问题的测试.【举例】例1：设置时间段为8:30 ~ 12:00,14:00 ~ 17:00.Quidway(config)#settr 8:30 12:00 14:00 17:00例2：设置时间段为晚上9点到早上8点.Quidway(config)#settr 21:00 23:59 0:00 8:0【相关命令】timerange,show timerange七、show access-list 显示包过滤规则及在接口上的应用.show access-list [ all | listnumber | interface interface-name ]【参数说明】all 表示所有的规则,包括普通时间段内及特殊时间段内的规则.listnumber 为显示当前所使用的规则中序号为listnumber的规则.interface 表示要显示在指定接口上应用的规则序号.interface-name 为接口的名称.【命令模式】特权用户模式【使用指南】使用此命令来显示所指定的规则,同时查看规则过滤报文的情况.每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加1;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效.可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况.【举例】例1：显示当前所使用的序号为100的规则.Quidway#show access-list 100Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)100 deny udp any any eq rip (no matches -- rule 3)例2：显示接口Serial0上应用规则的情况.Quidway#show access-list interface serial 0Serial0:access-list filtering In-bound packets : 120access-list filtering Out-bound packets: None【相关命令】access-list八、show firewall 显示防火墙状态.show firewall【命令模式】特权用户模式【使用指南】使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息.【举例】显示防火墙状态.Quidway#show firewallFirewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied,2 packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.【相关命令】firewall九、show isintr 显示当前时间是否在时间段之内.show isintr【命令模式】特权用户模式【使用指南】使用此命令来显示当前时间是否在时间段之内.【举例】显示当前时间是否在时间段之内.Quidway#show isintrIt is NOT in time ranges now.【相关命令】timerange,settr十、show timerange 显示时间段包过滤的信息.show timerange【命令模式】特权用户模式【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置的时间段.【举例】显示时间段包过滤的信息.Quidway#show timerangeTimeRange packet-filtering enable.beginning of time range:01:00 - 02:0003:00 - 04:00end of time range.【相关命令】timerange,settr十一、timerange 启用或禁止时间段包过滤功能.timerange { enable | disable }【参数说明】enable 表示启用时间段包过滤.disable 表示禁止采用时间段包过滤.【缺省情况】系统缺省为禁止时间段包过滤功能.【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果.在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则.系统查询时间段的精确度为1分钟.所设置的时间段的两个端点属于时间段之内.【举例】启用时间段包过滤功能.Quidway(config)#timerange enable【相关命令】settr,show timerangeCisco PIX防火墙配置(转载)硬件防火墙，是网络间的墙，防止非法侵入，过滤信息等，从结构上讲，简单地说是一种PC式的电脑主机加上闪存（Flash）和防火墙操作系统。

IP RAN 体系架构

7606S 80G per slot 6 slots 7604 80G per slot 4 slots
CEoPs ATM POS Ethernet 7603S IPSEC 80G per slot DWDM 3 slots
RSP-2T RSP-720 RSP720-10GE Sup-720 Sup-32
SDH
ATM
RNC
2
RAN Backhaul today
Problem definition
Current backhaul networks were designed for dedicated low bandwidth applications such as voice There are strict QoS requirements such as low delay, jitter and clock sync TDM traffic / bandwidth is dedicated, point to point and statically mapped and designed for continuous flow 2G, 2.5G and 3G traffic from the same cell site use their own T1/E1 links No way to dynamically assign available bandwidth Unused bandwidth is in the “Wrong place at the wrong time”
3
Defining the Market space Demand generation
What is driving bandwidth requirements? New UMTS/HSDPA services (3G data services)

Cisco双ISP线路路径优化备份冗余之单路由器解决方案_图

Cisco双ISP线路路径优化备份冗余之单路由器解决方案通过双ISP（如：一条电信、一条网通）链路可实现网络路径优化、负载均衡及备份冗余,以前本人一直认为Cisco不能实现单路由器双ISP链路的冗余备份，后经过多次测试，发现通过SLA（服务水平）+route-map完全可以实现，在这里愿意和大家一起分享。

网络拓朴：实验任务：●∙∙PC1/PC2到1.1.1.1流经ISP1，PC1/PC2到2..2.2.2流经ISP2●∙∙通过SLA+Route-map实现网络路径优化、负载分担、备份冗余环境描述：●∙∙ 3台Cisco3640 + NE-4E模块，该配置拥有4个Ethernet、2台PC●∙∙ ISP1、ISP2分别模拟两个不同ISP(internet服务提供商●∙∙ ISP1 loopback1:1.1.1.1/24、ISP2 loopback1:2.2.2.2/24用来测试●∙∙ R1作为企业边界路由器e0/0、e0/1、分别连接ISP1、ISP2地址分配：设备名称接口IP地址描述R1E0/0192.168.0.1/24TO ISP1 E0/1192.168.1.1/24TO ISP2E0/2192.168.20.1/24TO PC1E0/3192.168.30.1/24TO PC2ISP1E0/2192.168.2.1/24TO ISP2E0/0192.168.0.2/24TO R1ISP1E0/2192.168.2.2/24TO ISP1E0/1192.168.1.2/24TO R1PC1NIC192.168.20.20/24TO R1-E0/2 PC2NIC192.168.30.30/24TO R1-E0/3详细配置：1、IP地址设置ISP1 (config #int e0/2ISP1 (config-if #ip add 192.168.2.1255.255.255.0ISP1config-if #no shutdownISP1（config）# int e0/0ISP1 (config-if #ip add 192.168.0.2255.255.255.0ISP1config-if #no shutdownISP1（config）# int lo1ISP1 (config-if #ip add 1.1.1.1 255.255.255.0ISP1(onfig-if #no shutdown………………………………………………………………………….ISP2 (config #int e0/2ISP2 (config-if #ip add 192.168.2.2255.255.255.0ISP2 (onfig-if #no shutdownISP2（config）# int e0/1ISP2 (config-if #ip add 192.168.1.2255.255.255.0ISP2config-if #no shutdownISP2（config）# int lo1ISP2 (config-if #ip add 2.2.2.2 255.255.255.0ISP2 (config-if #no shutdown……………………………………………………………………………R1 (config #int e0/0R1 (config-if #ip add 192.168.0.1255.255.255.0R1 (config-if #no shutdownR1 (config）# int e0/1R1 (config-if #ip add 192.168.1.1255.255.255.0R1 (config-if #no shutdownR1 (config）# int e0/2R1 (config-if #ip add 192.168.20.1 255.255.255.0R1 (config-if #no shutdown2、定义相关ACLR1(config#ip access-list extended all-net ……………………匹配所有R1(config-ext-nacl#permit ip any anyR1(config#access-list permit 1 192.168.0.2…………匹配ISP1 next-hopR1(config#access-list permit 2 192.168.1.2…………匹配ISP2 next-hop3、Route-map、NatR1(config#route-map isp1-line permit 10R1(config-route-map#match ip address all-netR1(config-route-map#match ip next-hop 1……………….匹配ACL 1（关键）R1(config#route-map isp2-line permit 10R1(config-route-map#match ip address all-netR1(config-route-map#match ip next-hop 2……………….匹配ACL 2（关键）R1(config#ip nat inside source route-map isp1-line int e0/0 overloadR1(config#ip nat inside source route-map isp2-line int e0/1 overload4、IP SlA、rtr/track本地路由设备到ISP中间往往连接一个光电转换器（Layer2），当对端shutdown状态,本地设备仍处于UP，这时将导致所谓的“黑洞”现象，我们可以通过SLA来做网络端到端的可用性监测，从而解决这个问题。

思科CISCO NAT详解

网络地址转换NAT企业内网采用私有IP ，不能直接访问互连网。

原因：ISP的路由器没有私有IP地址的路由。

解决办法:→NAT1、当R把数据发向Internet时，将私有IP改写为公有IP,相当于数据是从R发出。

被ISP的R路由到目标。

2、当数据返回时，发给R。

R再依据NA T转换表，将目标改写为原来私有IP送回内网。

NAT的分类及应用：一．动态NAT1. 动态一对一：不节省IP地址，国内不常用no-pat只改写源IP2. 动态多对一：共享上网，常用（通过源端口区分不同用户1024-65535）pat这种方式被称做网络地址端口转换NAPT（network address port translation），同时改写源IP和源端口。

NAT的要点：私IP →公IP 路由NAT转换表区分 IP 区分（一对一）IP + 端口（多对一）NAT的基础配置：配置路由1. .默认路由（必须）R(config )# ip route 0.0.0.0 0.0.0.0 100.1.1.62. 静态路由或动态路由（可选）当内网有三层交换机，存在非直连网段时，需要配置静态路由或RIP\OSPF，来学习内网路由。

NAT配置（一）．设置NAT 接口。

R(config )# int f0/0# ip add 172.16.1.251 255.255.255.0# ip nat inside# no shutR(config )# int f0/1# ip add 100.1.1.1 255.255.255.248# ip nat outside# no shut（二）．配置动态转换，实现共享上网。

1 .定义内部源地址（私有IP）。

R(config )# acc 10 permit 172.16.1.0 0.0.0.255acc 10 permit 172.16.2.0 0.0.0.255acc 10 permit 172.16.3.0 0.0.0.255acc 10 permit 172.16.4.0 0.0.0.2552. 定义地址池(公有IP ).R(config )# ip nat pool rich 100.1.1.5 100.1.1.5 netmask 255.255.255.248名字3. 动态转换。