第9章Cisco路由器的配置實例

第9章Cisco路由器的配置實例

Cisco路由器基礎(chǔ)9.1路由器配置9.2路由協(xié)議設(shè)置9.3

訪問控制9.4地址轉(zhuǎn)換9.5

VPN技術(shù)9.6

Cisco路由器經(jīng)典配置實例9.79.1Cisco路由器基礎(chǔ)

路由器是連接多個網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備。路由器主要完成兩項工作，即“尋徑”和“轉(zhuǎn)發(fā)”。“尋徑”是指建立和維護路由表的過程，主要由軟件實現(xiàn)；“轉(zhuǎn)發(fā)”是指把數(shù)據(jù)包從一個接口轉(zhuǎn)到另一接口的過程，主要由硬件完成。

路由器就是一臺特殊功能的計算機，它的主要功能就是用來進行路由計算和數(shù)據(jù)包的轉(zhuǎn)發(fā)，它有相應(yīng)的操作系統(tǒng)（IOS）。9.2路由器配置 路由器的配置有4種方式，具體如下。（1）Console（2）Telnet（3）TFTP（4）SNMP

9.2.1IOS命令狀態(tài) 圖9.3所示為IOS命令狀態(tài)和模式的關(guān)系。

圖9.3路由器命令模式

9.2.2IOS文件管理 9.2.3IOS常用命令 9.2.4路由器基本配置模板9.3路由協(xié)議設(shè)置

1．靜態(tài)路由router(config)#iproute<network>[mask]{address|interface}[distance][permanent]

network是目的網(wǎng)絡(luò)的網(wǎng)絡(luò)地址；mask是目的網(wǎng)絡(luò)子網(wǎng)掩碼；address是下一跳IP地址；interface是本端接口號碼；distance管理距離，默認(rèn)為1；permanent表明這個路徑是永遠(yuǎn)存在。

2．動態(tài)路由 內(nèi)部網(wǎng)關(guān)路由協(xié)議主要有RIP和OSPF。RIP路由協(xié)議的配置比較簡單。9.4訪問控制 訪問控制列表（AccessControlList，ACL)的實質(zhì)是一種數(shù)據(jù)包過濾的手段。應(yīng)用在路由器接口上的訪問控制列表用來控制端口進出的數(shù)據(jù)包。

訪問列表（access-list）就是一系列允許和拒絕條件的集合，通過訪問列表可以過濾進入和送出的數(shù)據(jù)包的請求，實現(xiàn)對路由器和網(wǎng)絡(luò)的安全控制。

訪問控制列表具有區(qū)分?jǐn)?shù)據(jù)包的功能，具體如下。

（1）ACL可以限制特定用戶（網(wǎng)段或主機）或特定類型的網(wǎng)絡(luò)流量，從而提高網(wǎng)絡(luò)性能。（2）ACL可以在路由器接口處決定哪種類型（如HTTP、DNS）的通信流量被轉(zhuǎn)發(fā)或被阻塞。

（3）ACL可用于QoS中，提供對通信流量的控制手段，使得不同的數(shù)據(jù)流具有不同的優(yōu)先級，（4）ACL可用于DDR中，來定義哪些數(shù)據(jù)包可以觸發(fā)撥號。

（5）ACL可用于地址轉(zhuǎn)換（NAT）中，來定義哪些數(shù)據(jù)包需要進行地址轉(zhuǎn)換。（6）ACL還廣泛的應(yīng)用在路由策略中，用于路由信息的過濾。

在路由器配置中，標(biāo)準(zhǔn)ACL和擴展ACL的區(qū)別是由ACL的序號來體現(xiàn)的，標(biāo)準(zhǔn)ACL的序列號范圍是1～99，擴展ACL的序列號范圍是100～199。ACL的配置分為兩個步驟。

（1）在全局配置模式下，使用下列命令創(chuàng)建ACL。（2）在接口配置模式下，使用access-group命令將第一步中創(chuàng)建的ACL應(yīng)用到某一接口上。9.5地址轉(zhuǎn)換

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）用于將一個地址段映射到另一個地址段的標(biāo)準(zhǔn)方法。NAT允許一個機構(gòu)的內(nèi)部網(wǎng)絡(luò)通過Internet上注冊的合法地址接入Internet網(wǎng)絡(luò)。

9.5.1NAT的概念 NAT的翻譯可以采取靜態(tài)地址翻譯或動態(tài)地址翻譯。靜態(tài)地址翻譯將內(nèi)部地址和外部地址一一對應(yīng)。

動態(tài)IP地址翻譯則采用地址池的概念，在NAT路由器設(shè)置一批地址，即地址池。當(dāng)NAT需要對某個地址翻譯時，就從地址池中選擇一個地址進行翻譯。使用NAT的幾種情況如下。

（1）連接到Internet，但卻沒有足夠的合法地址分配給內(nèi)部主機。（2）更改到一個需要重新分配地址的ISP。（3）有相同的IP地址的兩個網(wǎng)絡(luò)。（4）支持負(fù)載均衡。

9.5.2訪問控制和NAT NAT技術(shù)的原理是在一個網(wǎng)絡(luò)內(nèi)部，不需要申請，用戶即可隨意分配IP地址（建議采用RFC1918指定的私有IP地址）。

在網(wǎng)絡(luò)內(nèi)部，各計算機間通過內(nèi)部的IP地址進行通信。

當(dāng)內(nèi)部的計算機需要訪問外部Internet時，具有NAT功能的設(shè)備（如路由器）負(fù)責(zé)將其內(nèi)部的IP地址轉(zhuǎn)換為合法的IP地址（即經(jīng)過申請的IP地址），從而使得一個私有網(wǎng)絡(luò)可以通過少量的Internet注冊的IP連接到外部世界。NAT的幾個地址概念如下。

（1）內(nèi)部本地地址（2）內(nèi)部全局地址（3）外部本地地址（4）外部全局地址

（1）access-list1permit55

（2）ip

natinsidesourcestatic0131

（3）ip

natinsidesourcestatic0232

（4）ip

natpoolRTA-pool2530netmask40

（5）ip

natinsidesourcelist1poolRTA-pooloverload

9.5.3NAT和訪問控制的應(yīng)用 NAT設(shè)備維護一個狀態(tài)表，用來把內(nèi)部的IP地址映射到合法的IP地址上去。每個數(shù)據(jù)包在NAT設(shè)備中都將被翻譯成正確的IP地址，然后再發(fā)往下一級設(shè)備。

NAT技術(shù)的應(yīng)用，大致分為3種地址翻譯方式，即靜態(tài)地址轉(zhuǎn)換、動態(tài)地址轉(zhuǎn)換、復(fù)用動態(tài)地址轉(zhuǎn)換。

1．靜態(tài)地址轉(zhuǎn)換 靜態(tài)地址轉(zhuǎn)換將內(nèi)部本地地址與內(nèi)部合法地址進行一對一地轉(zhuǎn)換，且需要指定與哪個合法地址進行轉(zhuǎn)換。

2．動態(tài)地址轉(zhuǎn)換 動態(tài)地址轉(zhuǎn)換也是將內(nèi)部本地地址與內(nèi)部全局地址一對一地轉(zhuǎn)換，但是動態(tài)地址轉(zhuǎn)換是從內(nèi)部全局地址池中動態(tài)地選擇一個未使用的地址來對內(nèi)部本地地址進行轉(zhuǎn)換的。

3．復(fù)用動態(tài)地址轉(zhuǎn)換 復(fù)用（PAT）動態(tài)地址轉(zhuǎn)換也是動態(tài)地址轉(zhuǎn)換的一種形式，但是它可以允許多個內(nèi)部本地地址共用一個內(nèi)部合法地址。對只申請到少量IP地址但卻經(jīng)常同時有多個用戶連入外部網(wǎng)絡(luò)的情況，這種轉(zhuǎn)換極為有用。基本步驟如下。

4．靜態(tài)地址翻譯實例 圖9.10所示為將內(nèi)部網(wǎng)絡(luò)的郵件服務(wù)器（IP/24）發(fā)布到外部網(wǎng)絡(luò)的全過程，使用靜態(tài)翻譯可以實現(xiàn)這種轉(zhuǎn)換。以Cisco路由器為例，NAT配置清單如下。

圖9.10靜態(tài)地址翻譯示意圖

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress54ip

natoutside!--指定將地址靜態(tài)轉(zhuǎn)換為

ip

natinsidesourcestatic

5．動態(tài)地址翻譯實例 圖9.11所示為配置內(nèi)部網(wǎng)絡(luò)/24通過重載一個地址/24訪問外部網(wǎng)絡(luò)的全過程。下面清單展示了具體配置方法（將地址改為/24）。NAT路由器配置清單如下。

圖9.11動態(tài)地址翻譯

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress4ip

natoutside

!--定義名為ovrld的NAT地址池和地址池中的地址

ip

natpoolNET

netmask

!--指出被access-list1允許的源地址會轉(zhuǎn)換成NAT地址池ovrld中的地址并且轉(zhuǎn)換會被內(nèi)部多個機器重載成一個相同的IP地址ip

natinsidesourcelist1poolNEToverload!--Access-list1允許地址到55進行轉(zhuǎn)換access-list1permit55

6．端口地址翻譯實例 端口地址翻譯是將多個局部地址映射為一個全局地址的某一端口的過程，因此也被稱為端口地址翻譯（PAT）。

圖9.12NAT端口轉(zhuǎn)換實例

!--定義內(nèi)部轉(zhuǎn)換接口interfaceethernet0ipaddress54ip

natinside!--定義外部轉(zhuǎn)換接口interfaceserial0ipaddress54ip

natoutside!--指定將地址:1080靜態(tài)轉(zhuǎn)換為:80ip

natinsidesourcestatictcp1080809.6VPN技術(shù)

1．ＶＰＮ的分類 VPN可分為遠(yuǎn)程訪問虛擬網(wǎng)（AccessVPN）、內(nèi)部虛擬網(wǎng)（IntranetVPN）和擴展虛擬網(wǎng)（ExtranetVPN）3種類型。

這3種VPN分別對應(yīng)于傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、機構(gòu)或企業(yè)內(nèi)部的Intranet和以機構(gòu)或企業(yè)網(wǎng)絡(luò)為基礎(chǔ)構(gòu)建的Extranet。

AccessVPN是通過一個的共享基礎(chǔ)設(shè)施，提供對機構(gòu)或企業(yè)內(nèi)部網(wǎng)或外部網(wǎng)的遠(yuǎn)程訪問，使用戶隨時、隨地訪問機構(gòu)或企業(yè)資源。

IntranetVPN是在Internet上組建的世界范圍內(nèi)虛擬專用網(wǎng)。

ExtranetVPN是通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶、供應(yīng)商或合作伙伴連接到企業(yè)內(nèi)部網(wǎng)。

2．VPN使用的協(xié)議

VPN使用兩種隧道協(xié)議：點到點隧道協(xié)議（PPTP）和第二層隧道協(xié)議（L2TP）。

3．VPN的身份驗證方法 VPN進行身份驗證的幾種方法如下。

（1）CHAP（2）MS-CHAP（3）MS-CHAPv2（4）EAP

4．IP安全加密IPSec

IPSec是在VPN應(yīng)用中廣泛使用的安全協(xié)議之一。在多數(shù)的VPN中都用IPSec。IPSec提供兩種安全機制：認(rèn)證和加密。

（1）IPSec的基本功能如下。 ①數(shù)據(jù)機密性 ②數(shù)據(jù)完整性 ③數(shù)據(jù)源驗證 ④反重播

（2）IPSec的基本概念。 ①兩種傳送模式 ②加密算法 ③密鑰交換算法 ④驗證算法 ⑤Internet密鑰交換 ⑥安全聯(lián)盟

（3）IPS