路由器的配置及應(yīng)用技術(shù)要點

17/36畢業(yè)論文(設(shè)計)題目路由器的配置及應(yīng)用技術(shù)學(xué)生姓名 學(xué)號 院系 專業(yè) 指導(dǎo)教師 二Ｏ一二年五月日路由器的配置及應(yīng)用技術(shù)摘要隨著計算機網(wǎng)絡(luò)技術(shù)的快速發(fā)展，IP網(wǎng)絡(luò)的建設(shè)與應(yīng)用也逐漸的多樣化，路由器作為IP網(wǎng)絡(luò)中基本而核心的網(wǎng)絡(luò)設(shè)備，其技術(shù)，特別是高性能路由器技術(shù)已經(jīng)成為當(dāng)前網(wǎng)絡(luò)領(lǐng)域研究的熱點和重點，提高它的配置要求，廣泛其應(yīng)用范圍以及傳輸過程中的安全問題已經(jīng)成為研究下一代路由器的根本途徑。關(guān)鍵詞：路由器配置應(yīng)用目錄第一章路由器的基礎(chǔ)1.1路由器的基本概念1.2路由器的工作原理1.3路由器主要技術(shù)1.4路由器的特點和功能第二章路由器的配置2．1路由器的基本配置2.1.1基本命令模式2.1.2口令配置2.1.3接口配置2.2路由器（家庭）安裝配置（步驟）2．3企業(yè)級路由器的配置方法第三章路由器的應(yīng)用3.1路由器應(yīng)用于局域網(wǎng)3.2路由器用于VLAN間的通信3.3路由器作為局域網(wǎng)出口3.4路由器的安全防御功能3.5路由器的網(wǎng)絡(luò)管理功能實驗：兩臺路由器互聯(lián)配置路由器NAT技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用前言通信網(wǎng)絡(luò)是由一些系統(tǒng)和節(jié)點組成的集合，這些系統(tǒng)和節(jié)點負(fù)責(zé)傳輸連接在通信網(wǎng)絡(luò)上的用戶之間信息。在一個網(wǎng)絡(luò)中主要定義兩種系統(tǒng)：端系統(tǒng)和中間系統(tǒng)。端系統(tǒng)是支持端用戶應(yīng)用或者服務(wù)的設(shè)備，中間系統(tǒng)是連接多個網(wǎng)絡(luò)并允許這些網(wǎng)絡(luò)的端系統(tǒng)相互之間進行的通信設(shè)備。那么路由器就扮演著把網(wǎng)絡(luò)相互連接起來的重要角色。第一章路由器的基礎(chǔ)1.1路由器的基本概念：路由器（Router）是連接因特網(wǎng)中各種局域網(wǎng)、廣域網(wǎng)的設(shè)備，它會根據(jù)信道的情況自動選擇和設(shè)定路由，以最佳路徑，按前后順序發(fā)送信號的設(shè)備。路由器所謂路由器，就是一個中間系統(tǒng)，它主要是用來連接兩個或多個網(wǎng)絡(luò)，這些網(wǎng)路可能是同構(gòu)的也可能是異構(gòu)的。路由器工作在OSI參考模型的網(wǎng)絡(luò)層，在兩個不同網(wǎng)絡(luò)的網(wǎng)絡(luò)層之間傳輸報文數(shù)據(jù)時，需要改變兩個不同類型網(wǎng)絡(luò)報文中的第二層地址，即決定在網(wǎng)絡(luò)之間數(shù)據(jù)傳輸時的路由方向，完成不同網(wǎng)絡(luò)之間的數(shù)據(jù)存儲、分組和轉(zhuǎn)發(fā)。1.2路由器的發(fā)展階段異構(gòu)網(wǎng)絡(luò)路由器是TCP/IP網(wǎng)絡(luò)中最主要的互連設(shè)備，主要是用來連接不同的局域網(wǎng)和廣域網(wǎng)，是交換機所不能替代的網(wǎng)絡(luò)互連設(shè)備。至今天，路由器技術(shù)體系的發(fā)展，大致可以分成五個階段：1、第1代路由器集中轉(zhuǎn)發(fā)，固定接口第一代路由器是由一個CPU和固定的多個網(wǎng)絡(luò)接口組合而成，網(wǎng)絡(luò)接口與CPU之間通過內(nèi)部總線相連。CPU負(fù)責(zé)所有事務(wù)的處理，包括路由器收集、轉(zhuǎn)發(fā)處理、設(shè)備管理等。網(wǎng)絡(luò)接口收到報文后通過內(nèi)部總線傳送給CPU，由它來完成所有處理從另一個網(wǎng)絡(luò)接口傳送出去。但網(wǎng)絡(luò)接口是固定的，不能滿足IP網(wǎng)絡(luò)鏈路經(jīng)常變化的要求，所以需要經(jīng)常更換新的路由器，直接的增加了使用的成本，不利于網(wǎng)絡(luò)設(shè)備的維護管理。2、第2代路由器集中轉(zhuǎn)發(fā)，接口模塊化第二代路由器從體系結(jié)構(gòu)上徹底的解決了上一代路由器存在的可擴展性問題，把網(wǎng)絡(luò)接口做成可以拔插的活動模塊，用戶可以根據(jù)需要增加所需要的網(wǎng)絡(luò)接口模塊，不需要替換路由器。3、第3代路由器基于CPU的分布式軟件轉(zhuǎn)發(fā)第三代路由器采用的是全分布式結(jié)構(gòu)，最顯著的變化是在各網(wǎng)絡(luò)接口業(yè)務(wù)模塊上增加了CPU，就是每個接口業(yè)務(wù)模塊都是由自己的CPU來進行轉(zhuǎn)發(fā)和處理。同時也采用了路由轉(zhuǎn)發(fā)分離的技術(shù)路由引擎管理模塊負(fù)責(zé)整個設(shè)備的管理和路由的收集、計算功能、并且把計算形式的轉(zhuǎn)發(fā)表下發(fā)到各個接口業(yè)務(wù)模塊；各個業(yè)務(wù)模塊根據(jù)保存在的路由轉(zhuǎn)發(fā)表獨立進行路由轉(zhuǎn)發(fā)。4、第4代路由器基于ASIC的分布式硬件轉(zhuǎn)發(fā)第四代路由器拋棄了CPU的軟件轉(zhuǎn)發(fā)模式，轉(zhuǎn)而尋求基于ASIC技術(shù)的硬件轉(zhuǎn)發(fā)模式，通過對IP轉(zhuǎn)發(fā)過程進行優(yōu)化和硬件化，而路由器引擎模塊還是采用CPU，用來處理復(fù)雜的路由計算和管理調(diào)度。5、第5代路由器技術(shù)基于網(wǎng)絡(luò)處理器的分布式硬件轉(zhuǎn)發(fā)第五代路由器仍采用硬件轉(zhuǎn)發(fā)模式和交換網(wǎng)式結(jié)構(gòu)，只是在關(guān)鍵的IP轉(zhuǎn)發(fā)和業(yè)務(wù)流程處理上采用了可編程的、專為IP網(wǎng)絡(luò)設(shè)計的網(wǎng)絡(luò)處理技術(shù)，有效的將MPLS技術(shù)、QOS技術(shù)、流量工程技術(shù)、可控制組播技術(shù)、可管理技術(shù)等技術(shù)融合進來，并保持高性能、高品質(zhì)的特性，替代了原來的ASIC技術(shù)。CPUCPU交換網(wǎng)接口NP接口NP交換網(wǎng)接口NP接口NP接口NP接口NP接口NP接口NP第5代路由器的體系結(jié)構(gòu)1.4路由器主要功能路由器的主要功能就是為經(jīng)過路由器的每一個分組尋找一條最佳的傳輸路徑，引導(dǎo)通信，并將該數(shù)據(jù)有效的傳送到目的站點。路由器的“路由”功能主要在以下幾個方面：○路由選擇，路由選擇就是路由器依據(jù)目的IP地址的網(wǎng)絡(luò)地址部分，通過路由選擇算法確定一條從源結(jié)點到達(dá)目的結(jié)點的最佳路由?！鸱纸M轉(zhuǎn)發(fā)，分組轉(zhuǎn)發(fā)也可以稱為分組交換，它主要完成按照路由選擇所指出的路由器將數(shù)據(jù)分組從源結(jié)點轉(zhuǎn)發(fā)到目的結(jié)點?！鸱阑饓δ埽軌蚱鸬交镜姆阑饓δ埽簿褪钦f它能夠屏蔽內(nèi)部網(wǎng)絡(luò)的IP地址，自由設(shè)定IP地址、通信端口過濾，是網(wǎng)絡(luò)更加安全。路由器的主要任務(wù)是把通信引導(dǎo)到目的地網(wǎng)絡(luò)，在轉(zhuǎn)發(fā)報文的過程中，按照預(yù)定的規(guī)則將大的數(shù)據(jù)包分解成多個小的數(shù)據(jù)包，到達(dá)目的地后再把分解的數(shù)據(jù)包重新包裝成原有形式，這樣更好的在網(wǎng)絡(luò)間傳送報文。路由器的特點●適用于大規(guī)模的網(wǎng)絡(luò)●復(fù)雜的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、負(fù)載共享和最優(yōu)路徑●能更好地處理多媒體●安全性高●隔離不需要的通信量●節(jié)省局域網(wǎng)的頻寬減少主機的負(fù)擔(dān)1.2路由器的基本工作原理：1.2.1路由表的概念：在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)——路由表（RoutingTable）,在路由選擇的時候使用。它的形成主要是有兩種方式，即手工靜態(tài)配置和動態(tài)協(xié)議生存。路由表分為兩大類：靜態(tài)路由表和動態(tài)路由表。其中，靜態(tài)路由表是由系統(tǒng)管理員事先設(shè)置好固定，一般是在安裝時就根據(jù)網(wǎng)路的配置情況預(yù)先設(shè)定的，不會隨未來網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化。而動態(tài)路由表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運行狀況而自動調(diào)整的路由表，自動的學(xué)習(xí)和記憶網(wǎng)絡(luò)運行情況，還可以自動的計算數(shù)據(jù)傳輸?shù)淖罴崖窂健?.2.2路由器的運行流程：路由器工作在OSI七層協(xié)議中的網(wǎng)絡(luò)層，其主要任務(wù)是接收來自一個網(wǎng)絡(luò)接口的數(shù)據(jù)包，根據(jù)其中所包含的目的地址，決定轉(zhuǎn)發(fā)到下一個目的地址。首先，路由器在轉(zhuǎn)發(fā)路由表中查找它的目的地址，如果尋找到地址，就在數(shù)據(jù)包的幀格錢添加下一個MAC地址，同時IP數(shù)據(jù)包頭的TTL域也開始減數(shù)并重新計算校驗。當(dāng)數(shù)據(jù)包被送到輸出端口時，它需要按順序等待，以便被送到輸出鏈路上。簡單的說，路由器的主要工作就是為經(jīng)過路由器的每個數(shù)據(jù)包尋找一條最佳傳輸路徑，并將該數(shù)據(jù)包有效地傳送到目的地址。（1）工作站A將工作站B的地址連同數(shù)據(jù)信息以數(shù)據(jù)幀的形式發(fā)送給路由器1。（2）路由器1收到工作站A的數(shù)據(jù)幀后，先從包頭中取出地址，并根據(jù)路徑表計算出發(fā)往工作站B的最佳路徑：R1->R2->R5->B；并將數(shù)據(jù)幀發(fā)往路由器2。（3）路由器2重復(fù)路由器1的工作，并將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由器5。（4）路由器5同樣取出目的地址，發(fā)現(xiàn)就在該路由器所連接的網(wǎng)段上，于是將該數(shù)據(jù)幀直接交給工作站B。（5）工作站B收到工作站A的數(shù)據(jù)幀，一次通信過程宣告結(jié)束。路由器工作流程程路由器工作流程程1.3路由器的主要技術(shù)1.3.1路由算法路由算法通常具有下列設(shè)計目標(biāo)的一個或多個：優(yōu)化、簡單、低耗、健壯、穩(wěn)定、快速聚合、靈活性。（1）最優(yōu)化：指路由算法選擇最佳路徑的能力。根據(jù)metric的值和權(quán)值來計算。（2）簡潔性：算法設(shè)計必須簡潔。路由協(xié)議在網(wǎng)絡(luò)中必須高效地提供其功能，盡量減少軟件和應(yīng)用的開銷。這在當(dāng)實現(xiàn)路由算法的軟件必須運行在物理資源有限的計算機上時尤其重要。（3）堅固性：路由算法處于非正?；虿豢深A(yù)料的環(huán)境時，如硬件故障、負(fù)載過高或操作失誤時，都能正確運行。由于路由器分布在網(wǎng)絡(luò)聯(lián)接點上，所以在它們出故障時會產(chǎn)生嚴(yán)重后果。最好的路由器算法通常能經(jīng)受時間的考驗，并在各種網(wǎng)絡(luò)環(huán)境下被證實是可靠的。（4）快速收斂：收斂是在最佳路徑的判斷上所有路由器達(dá)到一致的過程。當(dāng)某個網(wǎng)絡(luò)事件引起路由可用或不可用時，路由器就發(fā)出更新信息。路由更新信息遍及整個網(wǎng)絡(luò)，引發(fā)重新計算最佳路徑，最終達(dá)到所有路由器一致公認(rèn)的最佳路徑。收斂慢的路由算法會造成路徑循環(huán)或網(wǎng)絡(luò)中斷。（5）靈活性：路由算法要求可以快速、準(zhǔn)確地適應(yīng)各種網(wǎng)絡(luò)環(huán)境。例如，某個網(wǎng)段發(fā)生故障，路由算法要能很快發(fā)現(xiàn)故障，并為使用該網(wǎng)段的所有路由選擇另一條最佳路徑。各路由算法的區(qū)別點包括：靜態(tài)與動態(tài)、單路徑與多路徑、平坦與分層、主機智能與路由器智能、域內(nèi)與域間、鏈接狀態(tài)與距離向量。鏈接狀態(tài)算法（link-staterouting）把路由信息散布到網(wǎng)絡(luò)的每個節(jié)點，不過每個路由器只發(fā)送路由表中描述其自己鏈接狀態(tài)的部分。距離向量算法（distancevectorrouting）中每個路由器發(fā)送路由表的全部或部分，但只發(fā)給其鄰居。也就是說，鏈接狀態(tài)算法到處發(fā)送較少的更新信息，而距離向量算法只向相鄰的路由器發(fā)送較多的更新信息。由于鏈接狀態(tài)算法聚合得較快，它們相對于距離算法產(chǎn)生路由環(huán)的傾向較小。在另一方面，鏈接狀態(tài)算法需要更多的CPU和內(nèi)存資源，因此鏈接狀態(tài)算法的實現(xiàn)和支持較昂貴。雖然有差異，這兩種算法類型在多數(shù)環(huán)境中都可以工作得很好。1.3.2路由器的硬件技術(shù)硬件體系結(jié)構(gòu)從體系結(jié)構(gòu)上看，路由器可以分為第一代單總線單CPU結(jié)構(gòu)路由器、第二代單總線主從CPU結(jié)構(gòu)路由器、第三代單總線對稱式多CPU結(jié)構(gòu)路由器；第四代多總線多CPU結(jié)構(gòu)路由器、第五代共享內(nèi)存式結(jié)構(gòu)路由器、第六代交叉開關(guān)體系結(jié)構(gòu)路由器和基于機群系統(tǒng)的路由器等多類。路由器具有四個要素：輸入端口、輸出端口、交換開關(guān)、路由處理器和其他端口。輸入端口是物理鏈路和輸入包的進口處。端口通常由線卡提供，一塊線卡一般支持4、8或16個端口，一個輸入端口具有許多功能。1、進行數(shù)據(jù)鏈路層的封裝和解封裝。2、在轉(zhuǎn)發(fā)表中查找輸入包目的地址從而決定目的端口（稱為路由查找），路由查找可以使用一般的硬件來實現(xiàn)，或者通過在每塊線卡上嵌入一個微處理器來完成。3、為了提供QoS（服務(wù)質(zhì)量），端口要對收到的包分成幾個預(yù)定義的服務(wù)級別。4、端口可能需要運行諸如SLIP（串行線網(wǎng)際協(xié)議）和PPP（點對點協(xié)議）這樣的數(shù)據(jù)鏈路級協(xié)議或者諸如PPTP（點對點隧道協(xié)議）這樣的網(wǎng)絡(luò)級協(xié)議。一旦路由查找完成，必須用交換開關(guān)將包送到其輸出端口。如果路由器是輸入端加隊列的，則有幾個輸入端共享同一個交換開關(guān)。這樣輸入端口的最后一項功能是參加對公共資源（如交換開關(guān)）的仲裁協(xié)議。交換開關(guān)可以使用多種不同的技術(shù)來實現(xiàn)。迄今為止使用最多的交換開關(guān)技術(shù)是總線、交叉開關(guān)和共享存貯器。最簡單的開關(guān)使用一條總線來連接所有輸入和輸出端口，總線開關(guān)的缺點是其交換容量受限于總線的容量以及為共享總線仲裁所帶來的額外開銷。交叉開關(guān)通過開關(guān)提供多條數(shù)據(jù)通路，具有N×N個交叉點的交叉開關(guān)可以被認(rèn)為具有2N條總線。如果一個交叉是閉合，輸入總線上的數(shù)據(jù)在輸出總線上可用，否則不可用。交叉點的閉合與打開由調(diào)度器來控制，因此，調(diào)度器限制了交換開關(guān)的速度。在共享存貯器路由器中，進來的包被存貯在共享存貯器中，所交換的僅是包的指針，這提高了交換容量，但是，開關(guān)的速度受限于存貯器的存取速度。盡管存貯器容量每18個月能夠翻一番，但存貯器的存取時間每年僅降低5%，這是共享存貯器交換開關(guān)的一個固有限制。輸出端口在包被發(fā)送到輸出鏈路之前對包存貯，可以實現(xiàn)復(fù)雜的調(diào)度算法以支持優(yōu)先級等要求。與輸入端口一樣，輸出端口同樣要能支持?jǐn)?shù)據(jù)鏈路層的封裝和解封裝，以及許多較高級協(xié)議。其他端口一般指控制端口，由于路由器本身不帶有輸入和終端顯示設(shè)備，但它需要進行必要的配置后才能正常使用，所以一般的路由器都帶有一個控制端口"Console"，用來與計算機或終端設(shè)備進行連接，通過特定的軟件來進行路由器的配置。所有路由器都安裝了控制臺端口，使用戶或管理員能夠利用終端與路由器進行通信，完成路由器配置。該端口提供了一個EIA/TIA-232異步串行接口，用于在本地對路由器進行配置（首次配置必須通過控制臺端口進行）。Console端口使用配置專用連線直接連接至計算機串口，利用終端仿真程序（如Windows下的"超級終端"）進行路由器本地配置。路由器的Console端口多為RJ-45端口。路由器的組成包括硬件和軟件。1、CPUCPU是路由器的中央處理器，負(fù)責(zé)執(zhí)行處理數(shù)據(jù)包所需要的工作。2、存儲器路由器只有內(nèi)存。采用不同類型的存儲器存儲數(shù)據(jù)。（1）RAM（隨機存取存儲器）RAM是路由器的工作存儲器，他存放的是路由器當(dāng)前使用的內(nèi)容，包括操作系統(tǒng)、運行配置文件、路由表等。但其在啟動或是斷電時，內(nèi)容會丟失（2）NVRAM(非易失性隨機存儲器)主要是用來存放配置文件。在配置路由器時，應(yīng)該把配置結(jié)果保存NVRAM中，這樣配置的結(jié)果不會因重啟或斷電而丟失。（3）FLASH(閃存)Flash是可擦除，可編程的ROM，主要用來存放路由器操作系統(tǒng)ISO。（4）ROM（只讀存儲器）ROM存放引導(dǎo)程序，路由器通過它啟動ISO。3、接口包括局域網(wǎng)接口和廣域網(wǎng)接口4、控制臺接口（Console接口）和輔助接口用來連接配置路由器的設(shè)備?？刂婆_接口可直接連接計算機終端。輔助接口可通過Modem使遠(yuǎn)程終端與路由器通信，實現(xiàn)路由器的遠(yuǎn)程管理和配置。5、ISO（路由器操作系統(tǒng)）ISO是路由器專用的操作系統(tǒng)，它提供了全面的網(wǎng)絡(luò)服務(wù)，實現(xiàn)了的豐富網(wǎng)絡(luò)功能。路由器的配置命令就是由它來解釋執(zhí)行的。6、配置文件（1）運行配置文件（Running-Configuration）該文件駐留在RAM中，用戶可以配置命令設(shè)置和更改運行配置文件的內(nèi)容，重啟或斷電時會丟失。（2）啟動配置文件（Startup-Configuration）該文件位于NVRAM中，在啟動時它被裝入RAM變成運行配置文件，可以長期保存。ASIC技術(shù)ASIC應(yīng)用得越來越廣泛。在路由器中要極大地提高速度，首先想到的也是ASIC。有的用ASIC做包轉(zhuǎn)發(fā)，有的用ASIC查路由，并且查找IPv4路由的ASIC芯片已經(jīng)開始上市銷售。在ASIC蓬勃發(fā)展、大量應(yīng)用的潮流中，有一動向值得注意，這就是所謂可編程ASIC的出現(xiàn)，這恐怕也是網(wǎng)絡(luò)本身日新月異所導(dǎo)致的一種結(jié)果。由于ASIC的設(shè)計生產(chǎn)投入相當(dāng)大，一般來說，ASIC只用于已完全標(biāo)準(zhǔn)化的過程，而網(wǎng)絡(luò)的結(jié)構(gòu)和協(xié)議又變化相當(dāng)快，因此相應(yīng)地在網(wǎng)絡(luò)設(shè)備這一領(lǐng)域，出現(xiàn)了奇特的“可編程ASIC”。目前，有兩種類型的所謂“可編程ASIC”。一種以3COM公司的FIRE（FlexibleIntelligentRoutingEngine）芯片為代表，這顆ASIC芯片中內(nèi)嵌了一顆CPU，因此具有一定的靈活性；另一種以VertexNetworks的HISC專用芯片為代表，該芯片是一顆專門為通信協(xié)議處理的CPU，其體系結(jié)構(gòu)的設(shè)計專門適應(yīng)協(xié)議處理，通過改寫微代碼，可使這顆專用芯片具有處理不同協(xié)議的能力，以適應(yīng)類似從IPv4到IPv6的變化。三層交換這是協(xié)議處理過程的一次革命性突破，也是現(xiàn)在GSR和TSR名稱的來源。自從名不見經(jīng)傳的Ipsilon公司在1994年推出“一次路由，然后交換”的IPSwitch技術(shù)之后，各大公司紛紛推出自己專有的3層交換技術(shù)。如Cisco的TagSwitch、3Com的LabelSwitch等。綜合這些專有技術(shù)的優(yōu)點，IETF終于在1998年推出了性能優(yōu)越的多協(xié)議標(biāo)記交換（MPLS）。1.3.3路由器的軟件技術(shù)VPN技術(shù)VPN（virtualprivatenetwork），是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。它是一種“基于公共數(shù)據(jù)網(wǎng)，給用戶一種直接連接到私人局域網(wǎng)感覺的服務(wù)”。VPN極大地降低了用戶的費用，而且提供了比傳統(tǒng)方法更強的安全性和可靠性。VPN可分為三大類：（1）企業(yè)各部門與遠(yuǎn)程分支之間的IntranetVPN；（2）企業(yè)網(wǎng)與遠(yuǎn)程（移動）雇員之間的遠(yuǎn)程訪問RemoteAccess）VPN；（3）企業(yè)與合作伙伴、客戶、供應(yīng)商之間的ExtranetVPN。由于采用了“虛擬專用網(wǎng)”技術(shù)，即用戶實際上并不存在一個獨立專用的網(wǎng)絡(luò)，用戶既不需要建設(shè)或租用專線，也不需要裝備專用的設(shè)備，就能組成一個屬于用戶自己專用的電信網(wǎng)絡(luò)。虛擬專用網(wǎng)是利用公用電信網(wǎng)組建起來的功能性網(wǎng)絡(luò)。不同類型的公用網(wǎng)絡(luò)，通過網(wǎng)絡(luò)內(nèi)部的軟件控制就可以組建不同種類的虛擬專用網(wǎng)。QOS技術(shù)網(wǎng)絡(luò)服務(wù)質(zhì)量（qualityofservice，簡稱QoS）是網(wǎng)絡(luò)于用戶之間以及網(wǎng)絡(luò)上互相通信的用戶之間關(guān)于信息傳輸與共享的質(zhì)的約定，例如，傳輸延遲允許時間、最小傳輸畫面失真度以及聲像同步等。在Internet等計算機網(wǎng)絡(luò)上為用戶提供高質(zhì)量的QoS必須解決以下問題：

1.QoS的分類與定義。對QoS進行分類和定義的目的是使網(wǎng)絡(luò)可以根據(jù)不同類型的QoS進行管理和分配資源。例如，給實時服務(wù)分配較大的帶寬和較度的CPU處理時間等，另一方面，對QoS進行分類定義也方便用戶根據(jù)不同的應(yīng)用提出QoS需求。

2.準(zhǔn)入控制和協(xié)商。即根據(jù)網(wǎng)絡(luò)中資源的使用情況，允許用戶進入網(wǎng)絡(luò)進行多媒體信息傳輸并協(xié)商其QoS。

3.資源預(yù)約。為了給用戶提供滿意的QoS，必須對端系統(tǒng)、路由器以及傳輸帶寬等相應(yīng)的資源進行預(yù)約，以確保這些資源不被其他應(yīng)用所強用。

4.資源調(diào)度與管理。對資源進行預(yù)約之后，是否能得到這些資源，還依賴于相應(yīng)的資源調(diào)度與管理系統(tǒng)。3、MPLS技術(shù)MPLS(multi-protocollableswitching)是多協(xié)議標(biāo)簽交換技術(shù)，是對ATM標(biāo)記交換和IP路由協(xié)議的有機結(jié)合。MPLS網(wǎng)絡(luò)是由若干個LER和LSR組成，LER和LSR通常是同時具有IP功能和MPLS功能的LER根據(jù)已建立的標(biāo)記路徑，將進入 MPLS網(wǎng)絡(luò)的IP數(shù)據(jù)包打上標(biāo)記，轉(zhuǎn)發(fā)到下一個LSR,LSR查MPLS的標(biāo)記轉(zhuǎn)發(fā)表，用該標(biāo)記交換路徑中的標(biāo)記替換數(shù)據(jù)報的標(biāo)記，繼續(xù)轉(zhuǎn)發(fā)給后續(xù)LSR直到到達(dá)MPLS網(wǎng)絡(luò)的邊緣LER，LER將數(shù)據(jù)報標(biāo)記去掉，按IP數(shù)據(jù)報向下轉(zhuǎn)發(fā)報文。第二章路由器的配置一、路由器的基本配置配置Cisco2800路由器1、基本命令模式可以在終端上查看路由器的運行狀態(tài)，輸入“Router>?”進行路由器的當(dāng)前配置：Router>enablePassword:*******Router#confterminal//切換到配置狀態(tài)Router(conf)#enablesecretmy-root-password//定義超級口令Router(conf)#iphostrouter-sgyy//定義路由器名Router(conf)#ip//定義所屬域名城Router(conf)#httpserverRouter(conf)#showrun//顯示路由器當(dāng)前位置Router(conf)#showiproute//查看路由表Router(conf)#showipinterfacebir//查看連接狀態(tài)2、口令配置用戶可以根據(jù)口令控制對路由器的訪問：Router>enableRouter#configureterminalRouter(config)#lineconsole0Router(config-line)#loginRouter(config-line)#password******Router(config-line)#endRouter#exit完成密碼設(shè)置以后，重啟路由器，登錄路由器需要輸入密碼驗證后才能訪問：^C!Linecon0Password******LoginLineaux0Linevty04Privilegelevel15Password******LoginTransportinputtelnetLinevty515Privilegelevel15Password******LoginTransportinputtelnetSchedulerallocate200001000End3、接口配置配置以太網(wǎng)絡(luò)接口【3】的IP地址。查看以太網(wǎng)接口0的狀態(tài)：Router>enablePassword:******Router#showinterfaceEthernet0//顯示以太網(wǎng)接口0的狀態(tài)進入配置模式：Router>enable//進入特權(quán)模式Password://特權(quán)用戶口令Router#configureterminal//進入配置模式EnterconfigurationcommandsRouter?(config)#interfaceEthernet0//進入外部以太網(wǎng)口配置Router?(config-if)#ipaddress//進入AUIO接口的IP地址配置和子網(wǎng)掩碼。路由器的一般配置配置路由器的IP地址設(shè)備需求路由器1臺、交換機2臺、PC2臺（運行windows2000以上版本系統(tǒng)）、網(wǎng)線4條。(2)配置過程及配置說明1通過Control線將計算機1的串口和路由器的Console口相連接2將計算機1設(shè)置為路由器的超級終端3進入局部設(shè)置方式，分別對router1的Fasterthernet0/0和Fastethernet0/1口進行設(shè)置。Router(config)#configureterminal//進入端口配置模式Routerconfigurationcommands,oneperline.endwithCNTL/Z.Router(config)#interfacefastethernet0/0//配置fastethernet0/0口Router(config-if)#ipaddress//設(shè)置IP地址和子網(wǎng)掩碼Router(config-if)#noshutdownRouter(config-if)#exit//打開端口Router(config-if)#interfaceFastethernet0/1//配置Fastethernet0/1口Router(config-if)#ipaddress//設(shè)置IP地址和子網(wǎng)掩碼Router(config-if)#noshutdownRouter(config-if)#exit4．查看端口信息Router1#showinterfastethernet0/0Fastethernet0/0isup,lineprotocolisupHardwareisamdfe,addressis000a.4131.da40(bia000a.4131.da40)Internetaddressis/24//端口的IP地址MTU1500bytes,BW100000kit,DLY100usec,reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)Full-duplex,100Mb/s,100BaseTX/FXARPtype:ARPA,arptimeout04:00:00Lastinput00:00:01,output00:00:08,outputhangneverLastclearingof”showinterface”countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec5minuteoutputrate0bits/sec,0packets/sec50packetsinput,6911bytesReceived50broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0watchdog0inputpacketswithdribbleconditiondetected47packetsoutput,6390bytes,0underruns0outputerrors,0collisions,1interfaceresets0babbles,0latecollision,0deferred21lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedoutRouter1#showinterfastethernet0/1//顯示接口的配置信息和統(tǒng)計信息FastEthernet0/1isup,lineprotocolisup//設(shè)置IP地址和子網(wǎng)掩碼HardwareisAmdFE,addressis000a.4131.da41(bia000a.4131.da41)//端口的物理地址Internetaddressis/24//端口的IP地址MTU1500bytes,BW100000Kbit,DLY100usec,Reliability255/255,txload1/255,rxload1/255EncapsulationARPA,loopbacknotsetKeepaliveset(10sec)Full-duplex,100Mb/s,100BaseTX/FXARPtype:ARPA,ARPTimeout04:00:00Lastinput00:01:38,output00:00:07,outputhangneverLastclearingof“showinterface”countersneverInputqueue:0/75/0/0(size/max/drops/flushes);Totaloutputdrops:0Queueingstrategy:fifoOutputqueue:0/40(size/max)5minuteinputrate0bits/sec,0packets/sec//5分鐘的輸入速率及數(shù)據(jù)包數(shù)量5minuteoutputrate0bits/sec,0packets/sec//5分鐘的輸出速率及數(shù)據(jù)包數(shù)量48packetsinput,6791bytesReceived48broadcasts,0runts,0giants,0throttles0inputerrors,0CRC,0frame,0overrun,0ignored0watchdog0inputpacketswithdribbleconditiondetected45packetsoutput,5632bytes,0underruns0outputerrors,0latecollision,1interfaceresets0babbles,0latecollision,0deferred12lostcarrier,0nocarrier0outputbufferfailures,0outputbuffersswappedout=5\*GB3⑤查看路由表的信息Router1#showiproute//顯示路由表信息Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGPD=EIGRP,EX-EIGRPexternal,O-OSPE,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPIS-IS,L1-IS-ISlevel-1,L2-IS-ISlevel-2,ia-IS-ISinterarea*-candidatedefault,U-per-userstaticroute,o-ODRP-periodicdownloadedstaticrouteC/24isdirectlyconnected,FastEthernet0/0//FastEthernet0/0端口信息C/24isdirectlyconnected,FastEthernet0/1//FastEthernet0/1端口信息配置靜態(tài)路由協(xié)議靜態(tài)路由選擇協(xié)議的配置方法設(shè)備需求路由器3個、PC4臺（運行windows2000以上版本系統(tǒng)）、交換機2臺、網(wǎng)線配置內(nèi)部網(wǎng)關(guān)路由協(xié)議設(shè)備需求路由器3臺、PC4個、交換機2臺、網(wǎng)線若干網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖使計算機1和計算機3相互通信配置過程配置Routerl的Fastethernet0/0口和串口Routerconfig)#hostnameRouter1Routerconfig)#interfacefastethernet0/0進入端口配置模式Routerconfig-if)#ipaddressRouterconfig-if)#noshutdownRouterconfig-if)#exit00:05:02%LINK-3-UPDOWN:InterfaceFastEthernet0/0,changedstatetoupRouterconfig-if)#interfaces0/0//進入端口配置模式Routerconfig-if)#ipaddress//配置IP地址Routerconfig-if)#clockrate64000Routerconfig-if)#noshutRouterconfig-if)#exitRouterconfig-if)#interfaceserial0/1//進入端口配置模式Routerconfig-if)#ipaddress//配置IP地址Routerconfig-if)#clockrate1000000Routerconfig-if)#noshut配置Router1的IGRP路由協(xié)議Routerconfig)#routerigrp100Routerconfig-router)#networkarea0Routerconfig-router)#networkarea0Routerconfig-router)#networkarea0Routerconfig-router)#與配置Router1相似，分別配置Router2和Router3。Router2:Router2:#showrunning-configBuildingconfiguration...Currentconfiguration:!Version6.14(2)!Hostname"Router2"!ipsubent-zero!InterfaceFastEthrenet0/0ipaddress//配置IP地址2.1路由器（家庭版）的安裝設(shè)置步驟：雙擊打開瀏覽器，輸入。在用戶名和密碼框輸入用戶名：admin密碼：admin點擊確定。進入路由器設(shè)置頁面點擊設(shè)置向?qū)Ш?，選擇PPOE(ADSL虛擬撥號)，點擊下一步。在上網(wǎng)賬號和上網(wǎng)口令框輸入寬帶賬號和密碼，下一步。路由器無線設(shè)置選擇開啟無線狀態(tài)選擇“WAP-PSK/WAP2-PSK”。在PSK密碼框里輸入大于8位數(shù)的密碼。下一步重啟路由器企業(yè)級路由器的配置：路由器配置是否安全，對于中小企業(yè)也是非常重要的，一般中小企業(yè)在進行安全路由器配置時，需要特別注意的有廣域網(wǎng)端、局域網(wǎng)端及公共服務(wù)器三個方面。了解路由器配置的具體步驟和方法，以下分別就這三個方面介紹。一、廣域網(wǎng)端廣域網(wǎng)端就是路由器配置對外接到網(wǎng)絡(luò)運營商的線路。廣域網(wǎng)線路也是寬帶接入的主要路徑，因此若是發(fā)生掉線或是擁塞，則企業(yè)的寬帶接入就會中斷!這個情況對于有些企業(yè)會發(fā)生很大的困擾。因此廣域網(wǎng)端在安全的首要思維，就是如何確保線路的穩(wěn)定，維持企業(yè)在各種情況下的運作。大部份中小企業(yè)，由于上網(wǎng)人數(shù)較小、或是經(jīng)費有限，因此大多采用單線ADSL即可。企業(yè)對帶寬的需要較大，或是對于網(wǎng)絡(luò)要求較高的，例如服務(wù)業(yè)或是外貿(mào)行業(yè)，則可能采用相對費用較高的光纖。根據(jù)Qno俠諾支持用戶的經(jīng)驗，發(fā)現(xiàn)以下情況，較傾向采用多WAN線路的配置：偶而需要大量上/下載：由于信息化的結(jié)果，很多企業(yè)需要不時進行大量的上下載的操作。例如成都的某礦產(chǎn)商貿(mào)公司每天下班時，需要上傳銷售報告及存貨數(shù)據(jù)，需要較多的時間。又例如位于寧波的某民營企業(yè)，經(jīng)常需要從國外客戶的服務(wù)器下載設(shè)計圖作為生產(chǎn)之用。當(dāng)要進行下載時，網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用;但是當(dāng)需要進行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準(zhǔn)時傳送。采用多WAN配置后，網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況，就可大大減少了!有跨網(wǎng)問題時：有時候會出現(xiàn)這種情況，終端很總部建立vpn連接時，信號很不穩(wěn)定，常常數(shù)據(jù)還沒傳完，又得重新聯(lián)機。這種情況，很可能就是VPN建立跨過不同的運營商網(wǎng)絡(luò)所產(chǎn)生的不穩(wěn)定問題，例如總部采用網(wǎng)通的線路，而分支采用電信的線路，跨網(wǎng)帶寬不足，而產(chǎn)生的現(xiàn)象。這種情況，也可采用多WAN路由器解決，即總部同時接入網(wǎng)通及電信的線路，屬于網(wǎng)通線路的外點從網(wǎng)通的入口建立VPN，電信的外點則從電信線路建VPN，這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。需要備援時：多WAN線路的另一個優(yōu)點是提供備援功能。一個常見的情況是有些地區(qū)運營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發(fā)生故障時，以ADSL先頂著用。有的用戶則希望用不同運營商的線路，這樣在A運營商線路或機房發(fā)生問題時，可以B運營商線路替代。對于某些行業(yè)，例如媒體行業(yè)，需要隨時可以上網(wǎng)，這個功能就顯得尢為重要。AD帶寬不足時：一般企業(yè)用ADSL來的多，根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對于企業(yè)應(yīng)用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器配置匯聚多條ADSL線路，不失為一可行又省錢的方法。由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線，因此對于企業(yè)上網(wǎng)有決定性的重要。Qno俠諾的市場調(diào)查顯示，現(xiàn)階段很多企業(yè)對于無線寬帶接入，例如3G或是WiMax都表示了相當(dāng)?shù)呐d趣，希望能用無線接入作為有線接入的輔助，這或多或少也代表了企業(yè)對于廣域網(wǎng)端接入的重視及期望。二、局域網(wǎng)端局域網(wǎng)端則是對內(nèi)接到企業(yè)用戶的線路，有些路由器配置本身有局域網(wǎng)端口，可下接交換機;有的網(wǎng)管則會將路由器配置先接到骨干交換機，再向下接到一般的交換機。以上這兩種作法均可，后者適合較大的吞吐量的應(yīng)用情況，一般的企業(yè)應(yīng)用，路由器配置的局域端口是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置，這是較為簡單的。Qno俠諾技術(shù)服務(wù)人員的經(jīng)驗指出，要進行一個好的安全網(wǎng)絡(luò)的配置，IP的管理是頂重要的。IP就是計算機在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預(yù)防攻擊或針對有問題的計算機加以管制。對于網(wǎng)管而言，在IP管理方面要注意的事項，主要為計算機采用固定IP地址、DHCP服務(wù)器發(fā)放固定IP、防止未允許的計算機上網(wǎng)及群組管理等四個重要項目，以下分別進行說明：計算機采用固定IP地址：計算機采用固定IP地址，是最嚴(yán)密的配置方式。這個作法，必須要求用戶在計算機中手動鍵入IP地址相關(guān)數(shù)據(jù)。這樣做的好處是每臺機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計算機不能輕易地通過企業(yè)網(wǎng)絡(luò)上網(wǎng)。不過對于用戶而言，必須要設(shè)定固定IP，到其它場合又要重新設(shè)定，對于部份常需要移動的用戶，例如業(yè)務(wù)人員或是高階主管，造成不小的困擾。DHCP服務(wù)器發(fā)放固定IP：DHCP服務(wù)器的好處是用戶無需在計算機上作任何設(shè)置，對于用戶較方便。但是DHCP的缺點是若不加以管制，隨便一個用戶也能進入企業(yè)的網(wǎng)絡(luò)，也容易發(fā)動對內(nèi)部的攻擊，造成影響。因此對于企業(yè)而言，較好的方式是通過DHCP發(fā)放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。Qno俠諾路由器配置的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認(rèn)明計算機的MAC地址發(fā)放特定的IP，這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高權(quán)限問題，錯誤的MAC/IP組合，將會被路由器“封鎖錯誤MAC地址”阻擋，這個功能也可防止ARP攻擊。第三章路由器的應(yīng)用技術(shù)3.1路由器應(yīng)用于局域網(wǎng)在企業(yè)局域網(wǎng)中，路由器是最常見的也是非常重要的設(shè)備。本章介紹路由器在局域網(wǎng)中的應(yīng)用。

3.1.1路由器用于分隔子網(wǎng)

在企業(yè)局域網(wǎng)內(nèi)部，路由器的主要作用之一是分隔子網(wǎng)，同時隔離子網(wǎng)之間的廣播。早期的企業(yè)局域網(wǎng)中，所有主機處于同一邏輯網(wǎng)絡(luò)中。隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴大，局域網(wǎng)演變成以高速主干和路由器聯(lián)接的多個子網(wǎng)所組成的園區(qū)網(wǎng)，也就是說這樣的局域網(wǎng)已經(jīng)是立體層次結(jié)構(gòu)了。這若干個子網(wǎng)在邏輯上獨立，而路由器就是惟一能夠分隔它們的設(shè)備。

路由器負(fù)責(zé)子網(wǎng)間的報文轉(zhuǎn)發(fā)，根據(jù)路由協(xié)議算法產(chǎn)生多條路由，而且能為不同的網(wǎng)絡(luò)應(yīng)用選擇各自不同的最佳路由。

路由器還負(fù)責(zé)子網(wǎng)間的廣播隔離。路由器每一端口聯(lián)接一個子網(wǎng)，不同的端口屬于不同的廣播域，某一個端口的廣播報文不能經(jīng)過路由器廣播出去擴散到整個企業(yè)局域網(wǎng)。這樣既做到了信息保密，也能隔離某些病毒發(fā)起的廣播攻擊。

在實際應(yīng)用中，我們可以將路由器的不同端口用于聯(lián)接不同的企業(yè)部門（即同一部門的設(shè)備全部連接在路由器的同一端口下）。

3.1.2路由器用于VLAN間的通信

為了更好地管理局域網(wǎng)，可以在局域網(wǎng)中劃分VLAN。VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”，是將局域網(wǎng)設(shè)備從邏輯上劃分（不是從物理上劃分）成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。如果沒有路由的話，不同VLAN之間是不能相互通信的，這樣增加了企業(yè)局域網(wǎng)的安全性。如果需要在不同VLAN間通信，可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。

3.1.3路由器作為局域網(wǎng)出口

路由器可以作為企業(yè)局域網(wǎng)聯(lián)入廣域網(wǎng)的接口。目前的企業(yè)可以選擇多廣域網(wǎng)（WAN）端口路由器，這樣的路由器允許局域網(wǎng)共享多條外線。它的好處有：

（1）增加局域網(wǎng)出口帶寬。用戶可以多申請幾條寬帶線路，負(fù)載在這些端口之間均衡，就相當(dāng)于出口帶寬擴展了幾倍。由于每條寬帶線路的費用不高，對于較大的局域網(wǎng)也是很經(jīng)濟的。

（2）線路備份?？梢栽诓煌腤AN口上選擇不同的ISP（InternetServiceProvider）。如果某個ISP、某條線路出現(xiàn)故障時，可以把數(shù)據(jù)流量重新分配到?jīng)]有故障的端口上，整個網(wǎng)絡(luò)還能正常運行。

（3）享受更多的內(nèi)容服務(wù)。不同的ISP提供不同的服務(wù)，例如游戲、視頻點播等。多個WAN口聯(lián)接多個ISP，就可以享受這些服務(wù)。

多WAN口對路由器的硬件要求比較高，軟件就更是復(fù)雜。但是對于現(xiàn)在那些信息化程度較高的企業(yè)局域網(wǎng)及電子商務(wù)網(wǎng)站來說，網(wǎng)絡(luò)業(yè)務(wù)必須是非?？煽浚汈Ф疾荒茈x開的。所以多WAN口路由器是有它的優(yōu)勢的。

3.1.4路由器的安全防御功能

局域網(wǎng)出口路由器一般處在防火墻的外部，負(fù)責(zé)聯(lián)入廣域網(wǎng)。此時路由器自身的安全防御就顯得非常重要，否則就可能被攻擊者利用進而威脅到局域網(wǎng)。所以一定要對路由器進行合理的配置，使路由器成為局域網(wǎng)抵御外部攻擊的第一條防線。

1.防止外部IP地址欺騙。外部網(wǎng)絡(luò)的非法用戶可以將自己的IP地址改成內(nèi)部網(wǎng)絡(luò)的合法IP地址或回環(huán)地址，從而獲得對局域網(wǎng)的非法訪問權(quán)限。所以要禁止源地址為私有地址、回環(huán)地址、多目的地址，以及沒有列出源地址的所有數(shù)據(jù)流。

2.防止外部非法探測。非法訪問者在對內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊之前，常常使用ping命令或其他命令探測網(wǎng)絡(luò)，所以要禁止從外部使用這些命令。一般情況下是阻止答復(fù)的輸出，而不阻止探測的進入。

3.保護路由器不受攻擊。路由器可以通過Telnet或SNMP進行訪問，應(yīng)該確保Internet上沒有人能用這些協(xié)議攻擊路由器，所以需要在路由器的內(nèi)部端口和外部端口上禁止這些訪問。

4.阻止對關(guān)鍵端口的非法訪問。關(guān)鍵端口是指內(nèi)部系統(tǒng)所使用的端口或者是防火墻本身暴露的端口。必須對關(guān)鍵端口的訪問加以限制，否則這些設(shè)備就很容易受到外部攻擊。

5.防止外部ICMP重定向欺騙。攻擊者可以利用ICMP重定向來對路由器進行重定向，將本應(yīng)送到內(nèi)部正確目標(biāo)的數(shù)據(jù)重定向到它們所指定的設(shè)備，從而獲得有用信息。防范的命令是：noipredirects。

6.防止外部源路由欺騙。源路由選擇是指使用數(shù)據(jù)鏈路層信息來為數(shù)據(jù)報進行路由選擇，該技術(shù)可以使入侵者為內(nèi)部網(wǎng)的數(shù)據(jù)報指定一個非法的路由，這樣原本應(yīng)該送到合法目的地的數(shù)據(jù)報就會被送到入侵者指定的地址。禁止使用源路由的命令是：noipsource-route。

7.防止盜用內(nèi)部IP地址。攻擊者可以盜用內(nèi)部IP地址進行非法訪問。而我們可以在局域網(wǎng)內(nèi)將MAC地址與IP地址進行綁定來解決這個問題。具體命令是:arp固定IP地址MAC地址arpa。

路由器還有很多其他的安全防范的命令和措施，這里就不再贅述。路由器在使用了上述安全措施之后，可以有效的提高整個局域網(wǎng)的安全性。但需要指出的是，這些措施的使用既占用了路由器的資源，也耽誤了時間，從而犧牲了局域網(wǎng)的效率，會造成局域網(wǎng)對外部網(wǎng)絡(luò)訪問速度下降。

3.1.5路由器的網(wǎng)絡(luò)管理功能

路由器的網(wǎng)絡(luò)管理功能比較多，這里重點講述3個功能。

1.利用MAC地址管理局域網(wǎng)用戶。每個局域網(wǎng)用戶網(wǎng)卡的MAC地址是固定不變的，所以通過用戶的MAC地址對他們進行訪問控制、設(shè)置權(quán)限。這個功能可以通過路由器自帶的“MAC地址控制”功能靈活實現(xiàn)。比如可以將網(wǎng)卡的MAC地址與IP地址綁定，這樣就保證在其他軟件或硬件的安全設(shè)置項中進行的設(shè)置不會由于用戶隨意更改IP而失去控制作用。再比如可以通過MAC地址設(shè)置控制用戶上網(wǎng)的權(quán)限或控制用戶對共享設(shè)備的使用權(quán)限，這樣可以減少共享設(shè)備的負(fù)擔(dān)，減少企業(yè)上網(wǎng)的費用。

2.利用封包過濾功能管理局域網(wǎng)用戶。網(wǎng)絡(luò)管理者可以對局域網(wǎng)流入和流出的數(shù)據(jù)包進行過濾以實現(xiàn)某些網(wǎng)管策略。管理者可以指定每一條管理規(guī)則的有效時間，比如所有主機在上班時間只能收發(fā)郵件但不能瀏覽網(wǎng)頁等。再比如禁止所有主機使用QQ，禁止所有主機訪問特定IP地址的網(wǎng)站，禁止部分IP地址的主機上網(wǎng)，禁止部分IP地址的主機的某些服務(wù)等等。這些功能都非常實用和有效，可以在路由器的設(shè)置界面中進行選擇和設(shè)置。

3.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能。由于IP地址短缺的情況日益嚴(yán)重，一個企業(yè)申請的合法的Internet的IP地址很少，而內(nèi)部網(wǎng)絡(luò)用戶很多?？梢酝ㄟ^路由器的NAT功能實現(xiàn)多個用戶同時公用若干個合法IP與外部Internet進行通信。另一方面企業(yè)不想讓外部網(wǎng)絡(luò)用戶知道自己的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)，可以通過NAT將內(nèi)部網(wǎng)絡(luò)與外部Internet隔離開，外部用戶根本不知道通過NAT設(shè)置的內(nèi)部IP地址。

實驗一:兩臺路由器互聯(lián)配置在現(xiàn)代的企業(yè)或公司中，應(yīng)用路由器設(shè)置并非同品牌的設(shè)備，所以組建及配置上相對復(fù)雜，通過思科與華為路由器之間的互聯(lián)，來進一步了解路由器之間的互聯(lián)過程與方法。/30/30/30/30S1/0eo/0/24？/24S1/0eo/0/24？/24S1/0S1/0e0/0Cisco3640華為QuidwayR2610實驗?zāi)康模菏箖膳_路由器能夠互聯(lián)訪問、通信。實驗步驟：=1\*GB3①配置Cisco路由器：Currentconfiguration:!Version12.1ServicetimestampsdebuguptimeServicetimestampsloguptimeServicepassword-encryption!Hostnamecisco（定義路由器名稱）!Enablesecret5SQBSO1nBbAloluQJU1JQRUXNeSOHa0(加密口令)！Noipdomain-lookup!Interfaceethernet1/0DescriptionzhongxinIpaddress!Interfaceseria12/0DescriptionconnecttoHuaweiEncapsulationppp（封裝是HDLC）Ipaddress255.255.255.252!Routerospf10Network55area0Networkarea0!IpclasslessNoiphttpserver!Linecon0TransportinputnoneLineaux0Linevty04Password700450CB01A564A1A0B(Telnet密碼)Login!End=2\*GB3②配置華為路由器Currentconfiguration!Version1.74Local-userhuaweiservice-typeadministratorpasswordcipher@’E8P0>+S>’-LGXJQ<%DJQ!!(定義huawei用戶，并賦予Administrator管理員的身份用戶，并且以cipher方式下密碼密文存放)SysnamehuaweiA(定義路由器主機名)Firewallenable!InterfaceAux0!Interfaceethernet0IpaddressOspfenableares2!Interfaceserial0ClockDTECLK1Link-protocolpppIpaddress52ospfenbleareaospfpeerospfnetwork-typep2p!QuitOspfenble!Quit!return路由器NAT技術(shù)在企業(yè)網(wǎng)絡(luò)中的應(yīng)用NAT（NetworkAddressTranslation）全稱是網(wǎng)絡(luò)地址轉(zhuǎn)換器，他允許一個機構(gòu)以一個共有IP地址出現(xiàn)在Internet上。將局域網(wǎng)內(nèi)每個節(jié)點的私有地址轉(zhuǎn)換成一個公有IP地址，反過來也是一樣。它可以應(yīng)用于防火墻技術(shù)，把個別地址隱藏起來不能被外界直接的訪問內(nèi)部網(wǎng)絡(luò)設(shè)備。而且它還能夠幫助網(wǎng)絡(luò)越位地址的限制，合理有效的安排網(wǎng)絡(luò)中公有Internet地址和私有IP地址的使用。NAT技術(shù)能夠解決IP地址緊缺的問題，實現(xiàn)公網(wǎng)地址和私網(wǎng)地址之間的映射，而且能使內(nèi)部和外部的網(wǎng)絡(luò)隔離，提供一定程度的網(wǎng)絡(luò)安全保障。它解決問題的辦法是在內(nèi)部網(wǎng)絡(luò)使用北部地址，通過NAT把內(nèi)部地址翻譯成合法的IP地址在Internet上使用，其具體的做法是把IP包內(nèi)的地址域用合法的外部IP地址來替換。NAT技術(shù)的類型：它有三種類:靜態(tài)NAT（staticnat），NAT池(poolednat)和端口NAT(PAT)。其中靜態(tài)NAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久的映射成外部網(wǎng)絡(luò)中的某個合法地址。NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。端口PAT則是將內(nèi)網(wǎng)地址映射到同一個外網(wǎng)地址的不同端口上。NAT的工作流程：當(dāng)私網(wǎng)內(nèi)的IP數(shù)據(jù)包經(jīng)NAT流入公網(wǎng)是，NAT將此IP包的源IP地址改為NAT接口上的一個公網(wǎng)地址。當(dāng)公網(wǎng)中的IP數(shù)據(jù)包經(jīng)NAT訪問私網(wǎng)資源時，NAT將此IP包的目的地址改為某一私網(wǎng)IP。下圖是企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡圖，是基于層次性網(wǎng)絡(luò)結(jié)構(gòu)的設(shè)計，接入層采用S2126G交換機，匯聚層設(shè)備采用S3550三層交換機。企業(yè)中有工程部、財務(wù)部、商務(wù)部和服務(wù)器群四大子網(wǎng)。在交換機上劃分vlan,vlan10是工程部子網(wǎng)，vlan20是財務(wù)部子網(wǎng)、vlan30是商務(wù)部子網(wǎng)、vlan40是服務(wù)器群網(wǎng)絡(luò)。為了保證網(wǎng)絡(luò)的高可用性和穩(wěn)定性接入層交換機與匯聚層交換機通過兩條鏈路相連接，匯聚層交換機通過F0/1與RB路由器接口F1/1相連，匯聚層交換機通過家口F0/8與Web服務(wù)器群網(wǎng)絡(luò)相連接。目的是將工程部20臺電腦財務(wù)部20臺電腦商務(wù)部30臺電腦和1臺web服務(wù)器都能夠連接上互聯(lián)網(wǎng)，web服務(wù)器要求對外開放?，F(xiàn)在僅有的IP地址（01至08掩碼是）為8個地址顯然是不夠用的，下面將采用NAT技術(shù)解決網(wǎng)絡(luò)地址不夠用的問題。路由器的配置如下（以下命令以銳捷設(shè)備為例）1、配置內(nèi)部全局地址池。給工程部、財務(wù)部、商務(wù)部配置地址池分別是engineering_department、accounting_department和commerce_departmentRouter(config)#ipnatpool