CISCO的配置例子文档格式.docx
- 文档编号:5764178
- 上传时间:2023-05-05
- 格式:DOCX
- 页数:20
- 大小:24.81KB
CISCO的配置例子文档格式.docx
《CISCO的配置例子文档格式.docx》由会员分享,可在线阅读,更多相关《CISCO的配置例子文档格式.docx(20页珍藏版)》请在冰点文库上搜索。
址,采用动态分配的方法映射到内部网络。
PAT则是把内部地址映射到外部网络的
一个IP地址的不同端口上。
根据不同的需要,各种NAT方案都是有利有弊。
■使用NAT池
使用NAT池,可以从未注册的地址空间中提供被外部访问的服务,也可以从内
部网络访问外部网络,而不需要重新配置内部网络中的每台机器的IP地址。
例如
,建立在NT+IIS服务器上的内部试验子网192.168.0.0,其网络地址属于B类
保留地址。
作为企业网的一个子网,其IP地址不分配给企业网上的设备而仅仅局
限在试验子网的设备上。
为了使企业网能访问到这个内部网,在网络上增加一条
静态路径,使信息能回传给Cisco4700路由器。
其中的路由器可以把内部网和企业
网连接起来,使之能相互访问。
在内部网中不要使用RIP协议,因为使用RIP后,
内部网络相对外部来说变得不可见了。
这样,本地信息可以相互访问了,但由于192.168.0.0属于保留地址,故
不能直接访问Internet。
所以在路由器中设置一个NAT池,用来翻译来自内部网络
的IP包,把它的IP地址映射成地址池(pooledaddresses)中的合法IP地址。
那么
,内部网可以访问Internet上的任何服务器,Internet上的任何主机也能通过TC
P或UDP访问到内部网。
采用NAT池意味着可以在内部网中定义很多的内部用户,通过动态分配的办法
,共享很少的几个外部IP地址。
而静态NAT则只能形成一一对应的固定映射方式。
该引起注意的是,NAT池中动态分配的外部IP地址全部被占用后,后续的NAT翻译
申请将会失败。
庆幸的是,许多有NAT功能的路由器有超时配置功能。
例如在上述
的Cisco4700中配置成开始15分钟后删除当前的NAT进程,为后续的NAT申请预留出
外部IP地址。
通过试验表明,一般的外部连接不会很长,所以短的时间阈值也可
以接受。
当然用户可以自行调节时间阈值,以满足各自的需求。
NAT池提供很大灵活性的同时,也影响到网络原有的一些管理功能。
例如,S
NMP管理站利用IP地址来跟踪设备的运行情况。
但使用NAT之后,意味着那些被
翻译的地址对应的内部地址是变化的,今天可能对应一台工作站,明天就可能对
应一台服务器。
这给SNMP管理带来了麻烦。
一个可行的解决方案就是把划分给NA
T池的那部分地址在SNMP管理平台上标记出来,对于这些不响应管理信号的地址不
予报警,如同它们被关掉了一样。
■使用PAT
PAT在远程访问产品中得到了大量的应用,特别是在远程拨号用户使用的设备
中。
PAT可以把内部的TCP/IP映射到外部一个注册IP地址的多个端口上。
PAT可以
支持同时连接64500个TCP/IP、UDP/IP,但实际可以支持的工作站个数会少一些
。
因为许多Internet应用如HTTP,实际上由许多小的连接组成。
在Internet中使用PAT时,所有不同的TCP和UDP信息流看起来仿佛都来源于同
一个IP地址。
这个优点在小型办公室(SOHO)内非常实用,通过从ISP处申请的一
个IP地址,将多个连接通过PAT接入Internet。
实际上,许多SOHO远程访问设备支
持基于PPP的动态IP地址。
这样,ISP甚至不需要支持PAT,就可以做到多个内部I
P地址共用一个外部IP地址上Internet。
虽然这样会导致信道的一定拥塞,但考虑
到节省的ISP上网费用和易管理的特点,用PAT还是很值得的。
NAT———网络地址翻译(3)
■基于NAT的负载平衡
以上所谈论的均是关于使用NAT和PAT来把内部IP地址转换成外部合法的IP地
址使用。
下面介绍NAT的另一个运用:
作为用于负载平衡的DNS系列服务器(DNSr
ound-robin)的一个替代品。
DNS系列服务器解决了多个IP地址共用一个域名的
问题。
它会在响应DNS申请时跳跃式地寻找可用的IP地址。
达到的效果就是一个域
名可以对应多个IP地址。
这种功能可以应用在一个HTTP服务器群中,利用它可以
平衡多个服务器的负载。
但是这里还有一个问题,IP客户端会在本地缓冲DNS/I
P地址解析,从而使它的后续的申请都会到达同一个IP地址,减弱了DNS系列服务
器的作用。
使用基于NAT的负载平衡方案,则可以避免这个问题。
路由器或其它NAT设备
把需要负载平衡的多个IP地址翻译成一个公用的IP地址,每个TCP连接被NAT送到
一个IP地址,而后续的TCP连接则被NAT送到下一个IP地址。
真正实现了负载平衡
当然,基于NAT的负载平衡只能在NAT上实现,而不能在PAT上实现。
■安全问题
当NAT改变包的IP地址后,需要认真考虑这样做对安全设施带来的影响。
对于防火墙,它利用IP地址、TCP端口、目标地址以及其它在IP包内的信息来
决定是否干预网络的连接。
当使用了NAT之后,可能就不得不改变防火墙的规则,
因为NAT改变了源地址和目的地址。
在许多配置中,NAT被集成在防火墙系统之中,提供访问控制和地址翻译的功
能。
不要把NAT设在防火墙之外,因为黑客可以轻易地骗过NAT,让NAT认为它是一
个授权用户,从而进入网络。
若企业网中使用了VPN(虚拟专用网),并用IPSec进行加密安全保证,那么
错误地设置NAT将会破坏VPN的功能。
把NAT放在受保护的VPN内部,而不是在中间
因为NAT改变IP包内的地址域,而IPSec规定一些信息是不能被改变的。
若IP地
址被改变了,IPSec就会认为这个包是伪造的,拒绝使用。
虽然NAT带来了许多优越性,例如使现有网络不必重新编址、减少了ISP接入
费用,还可以起平衡负载的作用,但NAT潜在地影响到一些网络管理功能和安全设
施,这就需要谨慎地使用它。
ciscoNAT的配置例子
!
version12.0
servicetimestampsdebuguptime
servicetimestampsloguptime
noservicepassword-encryption
hostnamenat-r1
enablesecret5$1$FEQr$INhRecYBeCb.UqTQ3b9mY0
ipsubnet-zero
!
interfaceEthernet0
ipaddress172.18.150.150255.255.0.0
noipdirected-broadcast
ipnatinside/*定义此为网络的内部端口*/
interfaceSerial0
ipaddress192.1.1.161255.255.255.252
ipnatoutside/*定义此为网络的外部端口*/
noipmroute-cache
nofair-queue
interfaceSerial1
noipaddress
shutdown
/*定义从ISP那里申请到的IP在企业内部的分配策阅*/
ipnatpooltech192.1.1.100192.1.1.120netmask255.255.255.0
ipnatpooldeve192.1.1.121192.1.1.150netmask255.255.255.0
ipnatpoolmanager192.1.1.180192.1.1.200netmask255.255.255.0
ipnatpoolsoft-1192.1.1.170192.1.1.179netmask255.255.255.0
ipnatpoolsoft-2192.1.1.151192.1.1.159netmask255.255.255.0
ipnatpooltemp-user192.1.1.160192.1.1.160netmask255.255.255.0
/*将访问列表与地址池对应,以下为动态地址转换*/
ipnatinsidesourcelist1pooltech
ipnatinsidesourcelist2pooldeve
ipnatinsidesourcelist3poolmanager
ipnatinsidesourcelist4poolsoft-1
ipnatinsidesourcelist5poolsoft-2
/*将访问列表与地址池对应,以下为复用动态地址转换*/
ipnatinsidesourcelist6pooltemp-useroverload
/*将访问列表与地址池对应,以下为静态地址转换*/
ipnatinsidesourcestatic172.18.100.168192.1.1.168
ipnatinsidesourcestatic172.18.100.169192.1.1.169
ipclassless
iproute0.0.0.00.0.0.0Serial0/*设置一个缺省路由*/
/*内部网访问地址表,他指出内部网络能访问外部网的地址段,
分别定义是为了对应
不同的地址池*/
access-list1permit172.18.107.00.0.0.255
access-list2permit172.18.101.00.0.0.255
access-list3permit172.18.108.00.0.0.255
access-list4permit172.18.103.00.0.0.255
access-list4permit172.18.102.00.0.0.255
access-list4permit172.18.104.00.0.0.255
access-list5permit172.18.105.00.0.0.255
access-list5permit172.18.106.00.0.0.255
access-list6permit172.18.111.00.0.0.255
linecon0
transportinputnone
line116
lineaux0
linevty04
login
end
Cisco路由器寄存器配置
配置目的:
寄存器配置用于更改路由器启动过程。
启动位由4位16进制寄存器组成
格式:
0xABCD
赋值范围从0x0到0xFFFF
0x2102:
工业默认值
0x2142:
从FLASH中启动,但不使用NVRAM中的配置文件(用于口令恢复)
0x2101:
从BootRAM中启动,应用于更新系统文件
0x2141:
从BootRAM中启动,但不使用NVRAM中的配置文件
其中C位的第三位为1时表示关闭Break键,反之表示打开Break键。
0x141:
表示关闭Break键,不使用NVRAM中的配置文件,并且从系统默认的ROM中
的系统中启动。
0x0040:
表示允许路由气读取NVRAM中的配置文件。
监视命令功能
o:
以位的形式显示实际配置的当前起作用的寄存器,
oDisplaysthevirtualconfigurationregister,currentlyineffect,wi
thadescriptionofthebits
o/r:
重置实际配置的寄存器为以下值:
?
9600(端口速率)
Break是否有效
是否忽略NVRAM中的配置
是否从ROM中启动
如:
o/r0x2102
表B-1寄存器配置定义表
位顺序十六进制意义
00to030x0000to0x000F启动字段
060x0040使得系统软件忽略NVRAM中的内容
070x0080OEM位开启
080x0100Break键关闭
100x0400IP广播到所有域
11to120x0800to0x1000Console口速率
130x2000如果网络启动失败,默认从ROM中启动
140x4000IPbroadcastsdonothavenetnumbers
150x8000启动诊断信息同时忽略NVRAM内容
(1)工业默认寄存器位0x2102。
这个只有以下几个部分组成
bit13=0x2000,bit8=0x0100,andbits00到03(参照TableB-2)=0
x0002.
表B-2启动为注视(配置寄存器位00到03)
启动位的意义
0x0:
启动后停留在bootstrap状态
0x1:
从ROM中启动
0x2到0xF:
指定默认的启动文件启动系统,
表B-3Console口速率设定表
速率12位11位
960000
480001
120010
240011
--------------------------------------------------------------------------------
Cisco路由器配置过程:
1:
基本知识
Cisco路由器的主要型号有7500系列.4500及2500系列.
7500系列中的7513包括以下几部分:
a.风扇模块
b.接口卡及处理器模块
c.系统电源模块
其中,接口卡及处理器模块是系统的核心模块,它决定了系统的处理能力及网络互连功能。
7513系统提供13
个扩展槽,其中的2个槽位插系统处理器母板RSP(RemoteSwitchProcessor),Cisco的7500系列均采用双
处理器冗余结构,以提供极高的系统可靠性。
除系统处理器以外的的其它槽位可按用户的需要定制各种网络
接口卡。
Cisco4500路由器包括4个SerialWAN口(G.703)、6个以太网口和1个CE1接口,Cisco2514路由器包括2个
SerialWAN口(v.35)和1个以太网口(AUI)。
2:
端口
<
1>
Serialport
串行口有两种类型:
V.35和G.703。
4500系列中串口标识为Serialn,n表示串口号。
7500系列中串口标识为Serialn1/n2,n1表示串口所插的槽位,n2表示在该槽的哪个端口上。
7500系列
串口板上可有4个V.35,可支持8个V.35口;
最多可有3个G.703模块,支持6个G.703端口。
串行口的封装形式分为HDLC、PPP两种。
采用G.703及V.35的串口速率为2M,为32个64K。
时隙"
0"
用于帧同步和特殊信息。
其它31个时隙可以用于
传输数据。
其中"
16"
时隙可用于信令。
<
config>
2>
Ethernetport
以太网口速率为10MHZ,接口类型为RJ-45,一般用于接局域网交换机。
2500和4500系列以太网口标识为Ethernetn,其中n为端口号
3>
FastEthernetport
快速以太网口速率为100MHZ,接口类型为RJ-45,一般用于接局域网交换机。
7500系列快速以太网口标识为FastEhternetn1/n2/n3,其中:
n1表示所插的槽位
n2表示在该槽上的Adapter
n3表示处理该Adapter的端口号
4>
ChannelizedE1
CE1接口,用来为专线用户提供服务。
可将标准E1(2M)接口打开为32个64K的线路,再通过子速率复用技术为
专线用户定制线路速率。
对其进行配置的时候要表明复用哪几个时隙。
5>
Hssi
Hssi接口提供符合EIA/TIA612/613标准的高速串行口,它可提供对以下服务的接入:
T3(45Mbps),E3
(34Mbps),以及同步光纤(SONET)的STS-1(51.82Mbps)。
7000、7200及7500系列提供Hssi接口。
6>
ATM
异步传输模式是一种基于信元中继的传输方式,多种服务类型的信息(比如声音、图象及数据)都以固定长
度(53字节)的字元来传递。
ATM可以充分应用当今传输线路的高质量和低误码率,提高线路的传输速率。
3:
端口封装形式:
HDLC封装
HDLC是高级数据链路控制,是在SDLC基础上发展起来的。
它可用于点到点及点到多点连接。
PPP封装
PPP是点到点协议。
如果两台设备之间采用串行线连接,可以采用PPP。
Frame-relay封装
Frame-relay提供了DTE和DCE之间的一种包交换通讯方式。
Frame-relay与X.25一样同为NBMA网络。
它可以将
不同的逻辑数据对话(即virtualcircuits)复用到一条物理传输线路上。
Frame-relay充分利用现代传输网
络的优点,把许多控制传输及纠错的功能用上层软件来实现,达到了很高的效率。
4:
配置网络协议
静态路由
静态路由是一种特殊形式的路由。
它一旦被确定下来,没有动态刷新的过程,到目的地址的IP包始终走这条
路由。
RIP2
RIP2是一种基于距离-向量的动态路由算法。
在同一自治域内的路由器定时向相邻的路由器传送自己的路由
表,各路由器收到路由表后,再根据自己的路由表计算出合适的路由。
OSPF
OSPF是一种基于链路-状态的动态路由算法。
在同一自治域内的路由器定时向本自治域的路由器传送链路状态
信息,各路由器收到信息后,再根据一定的算法计算出合适的路由。
BGP4
BGP4是一种边界网关路由协议。
它用于两个或多个自治域之间的边界路由器之间交换路由信息。
5:
特殊配置
〈1〉Frame-relay的子接口
由于Frame-relay为NBMA网络,并且不具有传递性。
而许多协议要求网络具有传递性,否则就要使用全网
状结构。
所以引入子接口的概念,可以将子接口定义成点对点或点对多点,从而在一个部分网状的网络上实
现全连接。
路由器的安全控制
路由器的安全配置是控制网络安全的一个重要考虑。
而其中的网络传输滤波器是实现安全的一个重要手
段。
它可以提供存取你的网络的一个基本安全保障。
如果你在你的路由器上配置了滤波器,那么所有通过路
由器的流量都将被允许进入你的网络。
在cisco的路由器中,滤波器是通过access-list实现的。
串行口的配置:
1.定位串口:
#interfaceserialnumber
#interfaceserialslot/port
#interfaceserialslot/port-adapter/port
⒉定义封装形式:
#encapsulation{atm-dxi|hdlc|frame-relay|
ppp|sdlc-primary|sdlc-secondary|stun|x25}
Cisco路由器默认的封装形式为HDLC。
3.说明端口工作方式是全双工或半双工
#full-duplex全双工
#half-duplex半双工
4.G.703接口的配置选项
(1)允许Framed方式
#timeslotstart-slot-stop-slot
(2)使用时隙16传数据
#ts16
(3)说明时钟类型
#clocksource{line|internal}
5.指明接口的IP地址
#ipaddressipaddressnetmask
以太网口的配置:
1.定位以太网口
#interfaceethernetnumber
#interfaceethernetslot/port
#interfaceethernetslot/port-adapter/port
⒉说明IP地址
快速以太网口的配置:
1.定位快速以太网口
#interfacefastethernetnumber
#interfacefastethern
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISCO 配置 例子