1.根据客户的不同需求提供相应的解决方案.pptx
- 文档编号:18779751
- 上传时间:2023-11-10
- 格式:PPTX
- 页数:58
- 大小:812.44KB
1.根据客户的不同需求提供相应的解决方案.pptx
《1.根据客户的不同需求提供相应的解决方案.pptx》由会员分享,可在线阅读,更多相关《1.根据客户的不同需求提供相应的解决方案.pptx(58页珍藏版)》请在冰点文库上搜索。
组建网吧网络,根据客户的不同需求提供相应的解决方案,部门/姓名,文档类型:
文档密级:
主送对象:
抄送对象:
文档编号:
审核人:
修订记录,2,学习目标,了解并掌握网吧常见的应用根据不同应用提出不同的调试方案,3,课程内容,第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由,4,课程内容,端口映射(PortMapping):
端口映射过程就如同:
你家在一个小区里B栋2410室,你朋友来找你,找到小区门口,不知道你住哪层哪号?
就问守门的保安,保安很客气的告诉了他你家详细门牌,所以你朋友很轻松的找到了你家。
这个过程就是外网访问内网通过端口映射的形象比喻.,5,我网吧内架设了一台WEB服务器,如何让外网的人也访问进来呢,第一章端口映射,6,内网的一台PC要向因特网对外开放服务或接收数据,都需要端口映射。
第一章端口映射,7,例:
内网一台WEB服务器IP地址192.168.3.3,映射到公网地址为:
202.101.100.100的8000端口上。
通过菜单项“高级选项/网络工具/端口映射”使用该功能。
内建服务也就是端口映射设置页面如下图所示。
第一章端口映射,8,端口映射设置各参数说明:
内网IP地址:
内网需要映射的服务器的ip地址外网IP地址:
公网的IP地址,可以输入外网接口上的IP地址,或者是电信分配可用的公网地址外网接口:
映射到公网上的不止是IP地址,也可以是映射到接口注:
在填外网IP地址,建议直接输入公网的IP地址,这样可以使得内网的PC也可通过公网地址来访问到内网的服务器。
映射关系指定网络协议:
选择需要映射的服务端口的网络协议为TCP或者UDP映射关系设为DMZ:
如果需要将内网的整个IP地址映射到公网,则选择“设为DMZ主机”内网端口:
内网需要映射的服务器的端口,WEB端口为80,FTP端口为20和21外网端口:
映射到公网的端口号,课程内容,第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由,9,第二章网吧之间的借线,10,场景描述:
A网吧只有一条网通的线路,B网吧具体电信和网通双线,可以实现A网吧借用B网吧的电信线路吗?
A网吧,B网吧,L2TPVPN,第二章网吧之间的借线,11,NBR系列路由器都支持VPN功能(包含PPTP和L2TP)。
NBR系列路由器(NBR100除外)从9.0_B7版本开始,只能在CLI方式下进行配置,WEB方式下无法进行配置。
现有9.17版本支持WEB配置.该配置仅适用于NBR系列(NBR100除外)9.10_B18之后的软件版本。
如果是9.10_B18之前的软件版本,需手工配置电信或网通路由表。
第二章网吧之间的借线,12,A网吧NBR1200(客户端)的配置:
NBR1200#conf/进入全局配置模式NBR1200(config)#l2tp-classl2x/创建名称为l2x的l2tp-class接口,用于控制连接(可选配置)NBR1200(config-l2tp-class)#hostnamel2tp_client/设置本地主机名称为l2tp_client,用于通道验证NBR1200(config-l2tp-class)#exitNBR1200(config)#pseudowire-classpw/创建名称为pw的pseudowire-class接口,用于数据传输(可选配置)NBR1200(config-pw-class)#encapsulationl2tpv2/设置L2TP数据传输封装模式为l2tpv2NBR1200(config-pw-class)#protocoll2tpv2l2x/设置L2TP控制连接参数,引用前面设置的l2tp-class配置NBR1200(config-pw-class)#iplocalinterfaceFastEthernet1/0/指定通道的本地接口(地址)NBR1200(config-pw-class)#exit,第二章网吧之间的借线,13,NBR1200(config)#interfaceVirtual-ppp1NBR1200(config-if)#pseudowire60.1.107.1011encapsulationl2tpv2pw-classpw/设置virtual-ppp接口,远程LNS的地址为60.1.107.10,全局编号为11,并引用名称为pw的pseudowire-classNBR1200(config-if)#pppchaphostnameabcdefNBR1200(config-if)#pppchappassword0abcdef/启动PPP验证,并指定身份验证模式为CHAP,用户名和密码为abcdefNBR1200(config-if)#ipaddress192.168.10.2255.255.255.0/配置IP地址NBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet0/0NBR1200(config-if)#ipnatinside/定义接口连接内部网络NBR1200(config-if)#ipaddress192.168.0.1255.255.255.0/配置IP地址NBR1200(config-if)#arpgratuitous-sendinterval15/定时发送免费ARP(5个/秒钟)NBR1200(config-if)#arptrust-monitorenable/打开可信任ARPNBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet1/0NBR1200(config-if)#ipnatoutside/定义接口连接外部网络NBR1200(config-if)#ipaddress60.1.28.2255.255.255.252/配置IP地址NBR1200(config-if)#descriptionCNC/线路为网通线路,第二章网吧之间的借线,14,NBR1200(config-if)#bandwidth10000/出口带宽为10MNBR1200(config-if)#exitNBR1200(config)#access-list99permitany/定义ACL99,放行所有IPNBR1200(config)#ipnatpoolnbr_setup_build_poolprefix-length24NBR1200(config-ipnat-pool)#address60.1.28.260.1.28.2matchinterfaceFastEthernet1/0/定义地址池nbr_setup_build_pool,包含IP地址60.1.28.2NBR1200(config-ipnat-pool)#exitNBR1200(config)#ipnatinsidesourcelist99poolnbr_setup_build_pool/将符合ACL99的地址全部转换为nbr_setup_build_pool中的地址NBR1200(config)#iproute0.0.0.00.0.0.0FastEthernet1/060.1.28.1/配置缺省路由,下一跳网关指向60.1.28.1NBR1200(config)#iproute192.168.1.0255.255.255.0Virtual-ppp1192.168.10.1/配置到服务器端内网的静态路由,下一跳网关指向服务器端Virtual-Template的IP地址192.168.10.1(如何两端的内网无需相互访问,可以不用配置该命令)NBR1200(config)#route-auto-choosecniiVirtual-ppp1192.168.10.1/配置到电信地址的自动选路,下一跳网关指向服务器端Virtual-Template的IP地址192.168.10.1(如果是9.10_B18之前的软件版本,必须手工配置电信路由表)NBR1200(config)#end/退回特权模式NBR1200#write/保存配置,第二章网吧之间的借线,15,B网吧NBR1200(服务器端)的配置:
NBR1200#conf/进入全局配置模式NBR1200(config)#vpdnenable/启用VPDN功能NBR1200(config)#vpdn-group1/创建vpdn-group1NBR1200(config-vpdn)#accept-dialin/允许接收远程客户端拨入NBR1200(config-vpdn-acc-in)#protocoll2tp/设置隧道协议为l2tpNBR1200(config-vpdn-acc-in)#virtual-template1/设置使用虚模板1NBR1200(config-vpdn-acc-in)#exitNBR1200(config-vpdn)#localnamel2tp_server/设置本地主机名称为l2tp_serverNBR1200(config-vpdn)#exitNBR1200(config)#usernameabcdefpassword0abcdef/设置l2tp帐号和密码NBR1200(config)#iplocalpooll2tp_pool192.168.10.2192.168.10.10/创建本地地址池l2tp_pool,分配给远程拨入的VPN客户端NBR1200(config)#interfaceFastEthernet0/0NBR1200(config-if)#ipnatinside/定义接口连接内部网络NBR1200(config-if)#ipaddress192.168.1.1255.255.255.0/配置IP地址NBR1200(config-if)#arpgratuitous-sendinterval15/定时发送免费ARP(5个/秒钟)NBR1200(config-if)#arptrust-monitorenable/打开可信任ARPNBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet1/0NBR1200(config-if)#ipnatoutside/定义接口连接外部网络NBR1200(config-if)#ipaddress60.1.107.10255.255.255.252/配置IP地址NBR1200(config-if)#descriptionCNC/描述该线路为网通线路NBR1200(config-if)#bandwidth10000/出口带宽为10MNBR1200(config-if)#exit,第二章网吧之间的借线,16,NBR1200(config)#interfaceFastEthernet1/1NBR1200(config-if)#ipnatoutside/定义接口连接外部网络NBR1200(config-if)#ipaddress218.1.17.102255.255.255.252/配置IP地址NBR1200(config-if)#descriptionCNII/描述该线路为电信线路NBR1200(config-if)#bandwidth10000/出口带宽为10MNBR1200(config-if)#exitNBR1200(config)#interfaceLoopback0NBR1200(config-if)#ipaddress192.168.10.1255.255.255.0/配置IP地址NBR1200(config-if)#exitNBR1200(config)#interfaceVirtual-Template1/创建虚模板接口1,使之成为绑定并负载L2TP会话的virtual-access接口模板NBR1200(config-if)#pppauthenticationchap/启动PPP验证,并指定身份验证模式为CHAPNBR1200(config-if)#ipunnumberedLoopback0/设置此无编号,接口关联的接口为Loopback0NBR1200(config-if)#peerdefaultipaddresspooll2tp_pool/为拨入的用户选择分配IP地址的策略,使用地址池l2tp_poolNBR1200(config-if)#ipnatinside/设置此虚模板接口参与nat,使远程客户端拨号到VPDN路由器之后通过此路由上网NBR1200(config-if)#exitNBR1200(config)#ipnatpoolnbr_setup_build_poolprefix-length24NBR1200(config-ipnat-pool)#address60.1.107.1060.1.107.10matchinterfaceFastEthernet1/0NBR1200(config-ipnat-pool)#address218.1.17.102218.1.17.102matchinterfaceFastEthernet1/1/定义地址池nbr_setup_build_pool,包含IP地址60.1.107.10和218.1.17.102NBR1200(config-ipnat-pool)#exit,第二章网吧之间的借线,17,NBR1200(config)#access-list99permitany/定义ACL99,放行所有IPNBR1200(config)#ipnatinsidesourcelist99poolnbr_setup_build_pool/将符合ACL99的地址全部转换为nbr_setup_build_pool中的地址NBR1200(config)#iproute0.0.0.00.0.0.0FastEthernet1/060.1.107.9/配置缺省路由,下一跳网关指向60.1.107.9NBR1200(config)#iproute0.0.0.00.0.0.0FastEthernet1/1218.1.17.101/配置缺省路由,下一跳网关指向218.1.17.101NBR1200(config)#iproute192.168.0.0255.255.255.0192.168.10.2/配置到客户端内网的静态路由,下一跳网关指向192.168.10.2(如何两端的内网无需相互访问,可以不用配置该命令)NBR1200(config)#route-auto-choosecncFastEthernet1/060.1.107.9NBR1200(config)#route-auto-choosecniiFastEthernet1/1218.1.17.101/配置电信网通自动选路,访问电信的地址走FastEthernet1/1,访问网通的地址走FastEthernet1/0(如果是9.10_B18之前的软件版本,必须手工配置电信或网通路由表)NBR1200(config)#end/退回特权模式NBR1200#write/保存配置,第二章网吧之间的借线,18,配置完毕后,通过showvpdn查看VPN的配置情况,如果状态是est,则代表VPN建立成功.,课程内容,第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由,19,第三章策略路由,20,策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。
应用了策略路由,路由器将通过路由图决定如何对需要路由的数据包进行处理,路由图决定了一个数据包的下一跳转发路由器。
第三章策略路由,21,常规路由基于目标IP和路由表进行报文的转发策略路由(Policy-BasedRouting)根据用户制定的策略进行报文转发,是一种比常规的基于目的的路由更灵活的路由机制。
第三章策略路由,22,策略路由对象:
需要转发的数据报文路由器转发数据报文时,根据配置的规则对报文进行过滤。
匹配成功则按照一定的转发策略进行报文转发,也可以修改报文的IP优先字段路由策略对象:
路由通过路由策略控制路由的接收、发布、引入的方法,实现对路由的优化,第三章策略路由,23,策略路由的流程:
入口数据包,策略路由?
有匹配条目吗?
Y,N,Permit?
N,正常路由(基于目标),N,Y,Y,策略路由,Set,Match,第三章策略路由,24,策略路由的处理模式:
逐包模式每个包都进行查表后才进行转发流模式第一个包查路由转发表,如果存在路由,将该路由项以source、dest、tos、入接口等索引放置到cache中,以后同样的流就可以直接查cache,第三章策略路由,25,策略路由的处理流程流模式,第三章策略路由,26,Route-map原理,类似于复杂的Access-list自顶向下地处理,一旦有一条匹配,则立刻结束route-map查找Route-map每个条目都被赋予编号,可以任意地插入或删除条目,第三章策略路由,27,route-map的执行,route-maptestpermit10matchxyzmatchasetbsetcroute-maptestpermit20matchqsetrdenyall(系统隐含)If(xoryorz)andathenset(bandc)elseifqthensetrelsesetnothing,第三章策略路由,28,策略路由的配置步骤,定义重分布路由图一个路由图可以由多个策略组成,策略按序号大小排列,只要符合了前面策略,就退出路由图的执行定义路由图每个策略的匹配规则或条件定义满足匹配规则后,路由器对符合规则的数据包进行IP优先值和下一跳的设置在指定接口中应用路由图,第三章策略路由,29,在NBR上配置策略路由,9.17之前的版本只能通过命令行下配置,9.17开始支持WEB配置.通过菜单项“高级选项/网络工具/策略路由”使用该功能。
策略路由设置页面如下图所示。
第三章策略路由,30,配置案例:
网吧中可能会有这样需求:
网吧内的PC,IP地址为奇数的优先选取电信线路,为偶数的优先选取网通线路。
而且相互备份,即如果电信线路出故障了,IP为奇数的PC也走到网通线路。
这样网吧中相邻的两个座位,一起上联众,就不用相同的IP了。
第三章策略路由,31,配置案例:
access-list1permit192.168.0.10.0.0.254/配置内网奇数IP的ACLaccess-list1permit192.168.0.00.0.0.254/配置内网偶数IP的ACL配置策略路由实现奇数IP优先走WAN0,偶数IP优先走WAN1route-mapnet210permit10/配置子路由图10matchipaddress1/关联ACL1setipnext172.31.0.29/设置下一跳,可以是接口route-mapnet210permit20/配置子路由图20matchipaddress2/关联ACL20setipnext61.154.9.254/设置下一跳,或setinterfaceFastEthernet1/0interfaceFastEthernet0/0/进入接口ippolicyroute-mapnet210/将策略路由关联到内网口,第三章策略路由,32,策略路由的验证调试:
显示IP策略应用情况router#showippolicyInterfaceRoutemapFastEthernet2testDebugippolicyIP:
s=1.1.1.2(FastEthernet1/1),d=192.168.2.250(),len=60,precedence=0,policymatchRouteMaptest,item=10,permitIP:
s=1.1.1.2(FastEthernet1/1),d=192.168.2.250(FastEthernet1/0),len=60,precedence=0,policyrouted,第三章策略路由,33,显示策略路由的配置,server_r1#showroute-maproute-maptest,permit,sequence10Matchclauses:
ipaddress(access-lists):
1Setclauses:
defaultinterfaceFastEthernet0Policyroutingmatches:
42packets,2520bytesroute-maptest,permit,sequence20Matchclauses:
ipaddress(access-lists):
2Setclauses:
ipnext-hop10.10.13.3Policyroutingmatches:
12packets,720bytes显示所有或指定路由映射的信息,课程内容,第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由,34,第四章限制上网需求,35,场景描述:
网吧需求:
客户网吧只有100台机器上网,不希望有其他机器再加入网络中来,是否也可以实现呢?
36,方案1web实现使用访问控制列表来控制网络安全禁止端口/网址添加禁止端口高级防火墙,第四章限制上网需求,37,在禁止访问的端口列表/网址列表中会产生两条访问控制列表,请保证这两条在前面,因为访问控制列表是自上而下匹配。
第四章限制上网需求,方案1命令行实现使用访问控制列表来控制。
命令行配置:
nbr(config)#access-list3198permitip192.168.1.1192.168.1.100anynbr(config)#interfacegigabitEthernet0/0nbr(config-if)#ipaccess-group3198in,第四章限制上网需求,39,方案2web实现NBR使用停止学习功能来实现本方案使用于NBR充当内网网关的网络中。
将所有客户机开机,在“网络安全防ARP欺骗”中将“启用MAC/IP自动绑定”打钩,学习到所有ARP条目后,点击全选,然后点击“动态转静态绑定”确认PC的ARP都绑定完整,然后将“停止学习”打钩。
配置步骤如下图:
第四章限制上网需求,40,第四章限制上网需求,41,方案2命令实现NBR使用停止学习功能来实现本方案使用于NBR充当内网网关的网络中。
将要上网的客户机全部开机,进入NBR的命令模式,1、对内网pc进行arp扫描nbr(config)#arpscaninterfacegigabitEthernet0/02、将扫描到arp转化成静态的nbr(config)#arpconvertinterfacegigabitEthernet0/03、通过showarp确认客户机绑定的情况。
如图显示static表明已经做了静态绑定。
第四章限制上网需求,42,4、接下来在接口下将地址学习的功能停止。
nbr(config)#intgigabitEthernet0/0nbr(config-if)#mac-ipbind,第四章限制上网需求,课程内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 根据 客户 不同 需求 提供 相应 解决方案
![提示](https://static.bingdoc.com/images/bang_tan.gif)