第9章Cisco路由器的配置實(shí)例

第9章Cisco路由器的配置實(shí)例

Cisco路由器基礎(chǔ)9.1路由器配置9.2路由協(xié)議設(shè)置9.3

訪問控制9.4地址轉(zhuǎn)換9.5

VPN技術(shù)9.6

Cisco路由器經(jīng)典配置實(shí)例9.79.1Cisco路由器基礎(chǔ)

路由器是連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備。路由器主要完成兩項(xiàng)工作，即“尋徑”和“轉(zhuǎn)發(fā)”。“尋徑”是指建立和維護(hù)路由表的過程，主要由軟件實(shí)現(xiàn)；“轉(zhuǎn)發(fā)”是指把數(shù)據(jù)包從一個(gè)接口轉(zhuǎn)到另一接口的過程，主要由硬件完成。

路由器就是一臺(tái)特殊功能的計(jì)算機(jī)，它的主要功能就是用來進(jìn)行路由計(jì)算和數(shù)據(jù)包的轉(zhuǎn)發(fā)，它有相應(yīng)的操作系統(tǒng)（IOS）。9.2路由器配置 路由器的配置有4種方式，具體如下。（1）Console（2）Telnet（3）TFTP（4）SNMP

9.2.1IOS命令狀態(tài) 圖9.3所示為IOS命令狀態(tài)和模式的關(guān)系。

圖9.3路由器命令模式

9.2.2IOS文件管理 9.2.3IOS常用命令 9.2.4路由器基本配置模板9.3路由協(xié)議設(shè)置

1．靜態(tài)路由router(config)#iproute<network>[mask]{address|interface}[distance][permanent]

network是目的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址；mask是目的網(wǎng)絡(luò)子網(wǎng)掩碼；address是下一跳IP地址；interface是本端接口號(hào)碼；distance管理距離，默認(rèn)為1；permanent表明這個(gè)路徑是永遠(yuǎn)存在。

2．動(dòng)態(tài)路由 內(nèi)部網(wǎng)關(guān)路由協(xié)議主要有RIP和OSPF。RIP路由協(xié)議的配置比較簡(jiǎn)單。9.4訪問控制 訪問控制列表（AccessControlList，ACL)的實(shí)質(zhì)是一種數(shù)據(jù)包過濾的手段。應(yīng)用在路由器接口上的訪問控制列表用來控制端口進(jìn)出的數(shù)據(jù)包。

訪問列表（access-list）就是一系列允許和拒絕條件的集合，通過訪問列表可以過濾進(jìn)入和送出的數(shù)據(jù)包的請(qǐng)求，實(shí)現(xiàn)對(duì)路由器和網(wǎng)絡(luò)的安全控制。

訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的功能，具體如下。

（1）ACL可以限制特定用戶（網(wǎng)段或主機(jī)）或特定類型的網(wǎng)絡(luò)流量，從而提高網(wǎng)絡(luò)性能。（2）ACL可以在路由器接口處決定哪種類型（如HTTP、DNS）的通信流量被轉(zhuǎn)發(fā)或被阻塞。

（3）ACL可用于QoS中，提供對(duì)通信流量的控制手段，使得不同的數(shù)據(jù)流具有不同的優(yōu)先級(jí)，（4）ACL可用于DDR中，來定義哪些數(shù)據(jù)包可以觸發(fā)撥號(hào)。

（5）ACL可用于地址轉(zhuǎn)換（NAT）中，來定義哪些數(shù)據(jù)包需要進(jìn)行地址轉(zhuǎn)換。（6）ACL還廣泛的應(yīng)用在路由策略中，用于路由信息的過濾。

在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的序號(hào)來體現(xiàn)的，標(biāo)準(zhǔn)ACL的序列號(hào)范圍是1～99，擴(kuò)展ACL的序列號(hào)范圍是100～199。ACL的配置分為兩個(gè)步驟。

（1）在全局配置模式下，使用下列命令創(chuàng)建ACL。（2）在接口配置模式下，使用access-group命令將第一步中創(chuàng)建的ACL應(yīng)用到某一接口上。9.5地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）用于將一個(gè)地址段映射到另一個(gè)地址段的標(biāo)準(zhǔn)方法。NAT允許一個(gè)機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)通過Internet上注冊(cè)的合法地址接入Internet網(wǎng)絡(luò)。

9.5.1NAT的概念 NAT的翻譯可以采取靜態(tài)地址翻譯或動(dòng)態(tài)地址翻譯。靜態(tài)地址翻譯將內(nèi)部地址和外部地址一一對(duì)應(yīng)。

動(dòng)態(tài)IP地址翻譯則采用地址池的概念，在NAT路由器設(shè)置一批地址，即地址池。當(dāng)NAT需要對(duì)某個(gè)地址翻譯時(shí)，就從地址池中選擇一個(gè)地址進(jìn)行翻譯。使用NAT的幾種情況如下。

（1）連接到Internet，但卻沒有足夠的合法地址分配給內(nèi)部主機(jī)。（2）更改到一個(gè)需要重新分配地址的ISP。（3）有相同的IP地址的兩個(gè)網(wǎng)絡(luò)。（4）支持負(fù)載均衡。

9.5.2訪問控制和NAT NAT技術(shù)的原理是在一個(gè)網(wǎng)絡(luò)內(nèi)部，不需要申請(qǐng)，用戶即可隨意分配IP地址（建議采用RFC1918指定的私有IP地址）。

在網(wǎng)絡(luò)內(nèi)部，各計(jì)算機(jī)間通過內(nèi)部的IP地址進(jìn)行通信。

當(dāng)內(nèi)部的計(jì)算機(jī)需要訪問外部Internet時(shí)，具有NAT功能的設(shè)備（如路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請(qǐng)的IP地址），從而使得一個(gè)私有網(wǎng)絡(luò)可以通過少量的Internet注冊(cè)的IP連接到外部世界。NAT的幾個(gè)地址概念如下。

（1）內(nèi)部本地地址（2）內(nèi)部全局地址（3）外部本地地址（4）外部全局地址

（1）access-list1permit55

（2）ip

natinsidesourcestatic0131

（3）ip

natinsidesourcestatic0232

（4）ip

natpoolRTA-pool2530netmask40

（5）ip

natinsidesourcelist1poolRTA-pooloverload

9.5.3NAT和訪問控制的應(yīng)用 NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來把內(nèi)部的IP地址映射到合法的IP地址上去。每個(gè)數(shù)據(jù)包在NAT設(shè)備中都將被翻譯成正確的IP地址，然后再發(fā)往下一級(jí)設(shè)備。

NAT技術(shù)的應(yīng)用，大致分為3種地址翻譯方式，即靜態(tài)地址轉(zhuǎn)換、動(dòng)態(tài)地址轉(zhuǎn)換、復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換。

1．靜態(tài)地址轉(zhuǎn)換 靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進(jìn)行一對(duì)一地轉(zhuǎn)換，且需要指定與哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。

2．動(dòng)態(tài)地址轉(zhuǎn)換 動(dòng)態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部全局地址一對(duì)一地轉(zhuǎn)換，但是動(dòng)態(tài)地址轉(zhuǎn)換是從內(nèi)部全局地址池中動(dòng)態(tài)地選擇一個(gè)未使用的地址來對(duì)內(nèi)部本地地址進(jìn)行轉(zhuǎn)換的。

3．復(fù)用動(dòng)態(tài)地址轉(zhuǎn)換 復(fù)用（PAT）動(dòng)態(tài)地址轉(zhuǎn)換也是動(dòng)態(tài)地址轉(zhuǎn)換的一種形式，但是它可以允許多個(gè)內(nèi)部本地地址共用一個(gè)內(nèi)部合法地址。對(duì)只申請(qǐng)到少量IP地址但卻經(jīng)常同時(shí)有多個(gè)用戶連入外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用?；静襟E如下。

4．靜態(tài)地址翻譯實(shí)例 圖9.10所示為將內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器（IP/24）發(fā)布到外部網(wǎng)絡(luò)的全過程，使用靜態(tài)翻譯可以實(shí)現(xiàn)這種轉(zhuǎn)換。以Cisco路由器為例，NAT配置清單如下。

圖9.10靜態(tài)地址翻譯示意圖

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress54ip

natoutside!--指定將地址靜態(tài)轉(zhuǎn)換為

ip

natinsidesourcestatic

5．動(dòng)態(tài)地址翻譯實(shí)例 圖9.11所示為配置內(nèi)部網(wǎng)絡(luò)/24通過重載一個(gè)地址/24訪問外部網(wǎng)絡(luò)的全過程。下面清單展示了具體配置方法（將地址改為/24）。NAT路由器配置清單如下。

圖9.11動(dòng)態(tài)地址翻譯

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress4ip

natoutside

!--定義名為ovrld的NAT地址池和地址池中的地址

ip

natpoolNET

netmask

!--指出被access-list1允許的源地址會(huì)轉(zhuǎn)換成NAT地址池ovrld中的地址并且轉(zhuǎn)換會(huì)被內(nèi)部多個(gè)機(jī)器重載成一個(gè)相同的IP地址ip

natinsidesourcelist1poolNEToverload!--Access-list1允許地址到55進(jìn)行轉(zhuǎn)換access-list1permit55

6．端口地址翻譯實(shí)例 端口地址翻譯是將多個(gè)局部地址映射為一個(gè)全局地址的某一端口的過程，因此也被稱為端口地址翻譯（PAT）。

圖9.12NAT端口轉(zhuǎn)換實(shí)例

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress54ip

natoutside!--指定將地址:1080靜態(tài)轉(zhuǎn)換為:80ip

natinsidesourcestatictcp1080809.6VPN技術(shù)

1．ＶＰＮ的分類 VPN可分為遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、內(nèi)部虛擬網(wǎng)（IntranetVPN）和擴(kuò)展虛擬網(wǎng)（ExtranetVPN）3種類型。

這3種VPN分別對(duì)應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、機(jī)構(gòu)或企業(yè)內(nèi)部的Intranet和以機(jī)構(gòu)或企業(yè)網(wǎng)絡(luò)為基礎(chǔ)構(gòu)建的Extranet。

AccessVPN是通過一個(gè)的共享基礎(chǔ)設(shè)施，提供對(duì)機(jī)構(gòu)或企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問，使用戶隨時(shí)、隨地訪問機(jī)構(gòu)或企業(yè)資源。

IntranetVPN是在Internet上組建的世界范圍內(nèi)虛擬專用網(wǎng)。

ExtranetVPN是通過一個(gè)使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商或合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。

2．VPN使用的協(xié)議

VPN使用兩種隧道協(xié)議：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

3．VPN的身份驗(yàn)證方法 VPN進(jìn)行身份驗(yàn)證的幾種方法如下。

（1）CHAP（2）MS-CHAP（3）MS-CHAPv2（4）EAP

4．IP安全加密IPSec

IPSec是在VPN應(yīng)用中廣泛使用的安全協(xié)議之一。在多數(shù)的VPN中都用IPSec。IPSec提供兩種安全機(jī)制：認(rèn)證和加密。

（1）IPSec的基本功能如下。 ①數(shù)據(jù)機(jī)密性 ②數(shù)據(jù)完整性 ③數(shù)據(jù)源驗(yàn)證 ④反重播

（2）IPSec的基本概念。 ①兩種傳送模式 ②加密算法 ③密鑰交換算法 ④驗(yàn)證算法 ⑤Internet密鑰交換 ⑥安全聯(lián)盟

（3）IPS