第1篇 网络设备.docx
- 文档编号:3237902
- 上传时间:2022-11-20
- 格式:DOCX
- 页数:48
- 大小:63.58KB
第1篇 网络设备.docx
《第1篇 网络设备.docx》由会员分享,可在线阅读,更多相关《第1篇 网络设备.docx(48页珍藏版)》请在冰豆网上搜索。
第1篇网络设备
第1篇网络设备
1.1设备互联与配置
安装、维护Cisco路由器的一般方法
乐时进徐亮
Cisco路由器作为网络通信的核心设备,得到了广泛的应用。
下面就介绍一下笔者在实践中总结出的经验。
1.控制口接口的做法及连接
将Cisc02500/1000系列路由器附件中的控制电缆RJ45的一端连接到Cisco的CONSOLE口上,Cisc07000/4000系列路由器则将MODEM电缆的DB25的一端接到Cisco的CONSOLE口上,DB9的一端连接到PC的COMl/2上。
在PC上设置仿真终端程序:
比如用Windows中的TERMINAL程序,使用COMl/2,9600BPS,8DATABIT,2STOPBIT,其余使用默认值。
做好控制口连接后,打开路由器的电源开关。
2.初始化安装
路由器必须使用带有有效接地的电源。
一般要求使用的电源的零地间的电压小于4伏,零火/地火的电压就为220伏。
地线保护基本上要求上网的设备需有保护地线,这些设备包括主机、工作站、集线器、交换机、路由器及连接路由器的MODEM等。
配置路由器的终端或PC机也必须使用带有有效接地的电源。
Cisco的同步串行接口是多用的,通过不同的电缆可引出不同的接口,如RS232、V.35等,并且Cisco的同步串行接口电缆的电缆是特别预制的。
第一次安装时系统会自动进入DIALOGSETUP状态,依次回答路由器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议、各个接口的配置等。
之后回答YES保存该配置。
然后等2分钟,按回车键数下。
出现路由器名称,打入ENABLE命令,回答超级登录密码,出现路由器名称。
3.对同步拨号、专线、DDN连接进行配置
以下是在路由器上对这些项目进行配置的命令行:
IPXroutingIPXrouting
INTERFACESERIAL0INTERFACESERIAL0
IPADDRESS1.1.1.1255.0.0.0IPADDRESS1.1.1.2
255.0.0.0
IPXNETWORK111IPX
NETWORK111
INTERFACEETHERNET0INTERFACEETHERNET0
IPADDRESS12.1.1.1255.0.0.0IPADDRESS16.1.1.1
255.0.0.0
IPXNETWORK123456IPX
NETWORK987654
ROUTERIGRPlROUTER
IGRPl
NETWORK1.0.0.0NETWORK1.0.0.0
NETWORK12.0.0.0NETWORK
16.0.0.0
VPN在路由器上的实现
庄一嵘
虚拟专用网络(VirtualPrivateNetwork,简称VPN)能够利用Internet或其他公共互联网络的基础设施为用户创建隧道,并提供与专用网络一样的安全和功能保障。
一般情况下,VPN可以用于允许远程通信方,包括销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。
同样的,对于网管人员来说,他们也因此多一种选择,而且是一种安全的选择,因为他们可以通过公网走VPN隧道对企业内部网络资源进行访问和维护。
考虑到设备投入最小化的要求,以及对网络拓扑状态和性能影响最小的原则,网管人员可以利用现有的网络资源在不改变网络拓扑的情况下,在边界路由器上部署VPN,另外由于维护人员对内部资源的访问流量一般不大的现实,因此在边界路由器上开放的VPN功能对于网络性能影响不大。
下面以Cisco2600路由器为例介绍配置法。
1.拓扑结构
拓扑结构比较简单,企业一般是由一台Cisco中端产品作为边界路由器(见图1.1-1)。
PIC
这里以Cisco2611路由器作为边界路由设备。
在Cisco技术支持网站上有其详细的配置,这里将就主要的配置做详细的说明。
具体配置可以参考:
186a0080094847.shtml。
根据VPN建立过程,可以划分为以下三个阶段。
第一阶段,IKE协商。
IKE协商主要涉及密钥交换方式,采用加密算法。
一般来讲,会有以下参数需要设置:
加密算法、散列函数(Hash)和认证方式。
在具体配置Cisco路由器的时候,应首先建立ISAKMP策略集,然后依次配置其加密算
法、散列函数和认证方式。
下面是从Cisco技术支持网站的Running-config摘下来的,请参考。
cryptoisakmppolicy3
encrdes
authenticationpre-share
group2
说明:
“encrdes”表示加密采用des算法,注意在国内只有des算法可以用,因为美国对加密有出口限制。
“authenticationpre-share”表示初始协商时使用预先设置的共享密钥。
密钥的具体配置在后面配置VPN用户组参数时配置。
第二阶段,用户组配置。
用户组的配置主要是对发出请求接入的用户进行初始化协商、身份确认、分配IP资源,以及告知用户其内部网络支撑系统资源配属情况。
一般涉及下列参数:
初始化协商所需的密钥、用户认证方式、用户可以使用的IP地址资源、用户接入内部网络后其DNS、WINS、域名后缀等基本信息参数。
cryptoisakmpclientconfigurationgroup3000client
keycisco123
dns14.1.1.10
wins14.1.1.20
domain
poolippool
由于我们采用的是共享密钥方式,因此,在这里需要设置key的具体值。
另外,pool设置可以参照下面实例。
iplocalpoolippool14.1.1.10014.1.1.200
第三阶段,用户信道参数。
用户信道参数的设置是对用户建立VPN通道可以采用的算法集合进行界定,以方便通信双方协商其具体通信过程中所采用的加密算法,并建立映射关系。
一般需要设置transform-set和map集。
cryptodynamic-mapdynmap10
settransform-setmyset
!
cryptomapclientmapclientauthenticationlistuserauthen
cryptomapclientmapisakmpauthorizationlistgroupauthor
cryptomapclientmapclientconfigurationaddressrespond
cryptomapclientmap10ipsec-isakmpdynamicdynmap
需要说明的是,VPN组网方式有两大类:
Peer-to-Peer和Point-to-Peer的方式。
这里选择的是后者,其特点是用户IP是动态的,因此,这里的映射集合应该为动态的。
另外,这里具体配置了用户认证的方式,为使用本地用户数据库认证。
具体配置为:
aaanew-model
!
aaaauthenticationloginuserauthenlocal
aaaauthorizationnetworkgroupauthorlocal
!
usemameciscopassword0cisco
其中,用户名为cisco,口令为cisco。
transform-set的配置可以参考如下配置:
cryptoipsectransform-setmysetesp-desesp-sha-hmac
2.需要注意的问题
古人云:
“尽信书不如无书”。
如果完全按照技术资料,即Cisco网站由TAC确认的配
置文件进行配置是不能配通的。
原因很简单,因为“showrunning-config”命令没有将全部的配置显示出来,有些配置可能因为是默认的缘故,或者Cisco出于某些考虑,将部分配置信息过滤掉了。
主要的缺漏有:
散列函数,hashmd5,表明使用md5算法对信息进行摘要计算。
传输模式,cryptoipsectransform-setmysetmodetransport使用透明模式,另外一种模式是tunnel模式。
另外,还有以下问题需要注意。
(1)路由问题。
需要将接入用户的IP路由信息进行配置,否则将不能访问内部服务器,
而只能ping通网关。
可以采用加静态路由方式,给VPN地址池用户的IP(14.1.1.100~14.1.1.200)指明VPN网关的接口为其默认路由关口。
iproute14.1.1.0255.255.255.0FastEthernet0/0
其中FastEthernet0/0为172网段所在的外口。
(2)边界安全影响。
通常情况下,一般网络边缘会配置一定的网络访问控制策略。
如
果配置了拒绝UDP协议或者只允许部分UDP端口访问的策略的话,那么会影响VPN通道的建立。
因为IKE协商时会使用UDP500端口进行协商。
因此,还需要开放必要的端口资源,具体配置请参阅有关资料。
在三层交换机上构建VLAN
刘松青
笔者学校最近对校园主干网进行了改造,路由器使用的是Cisco2621,中心交换机使用的是3Com4900三层交换机。
我们选用三层交换机最主要的原因是学校的规模愈来愈大,对用户的管理也愈来愈困难,如果我们采用三层交换机不仅可以解决网络广播风暴问题,而且可以通过VLAN技术划分多个VLAN子网。
通过使用VLAN,能够把原来一个物理的局域网划分成很多个逻辑意义上的子网,而不必考虑具体的物理位置,每一个VLAN都可以对应于一个逻辑单位,如服务器区、系处、学生机房等。
由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机,因此减少了数据交互的可能性,抑制了广播风暴的发生,并给现有网络的设计、管理和维护带来了根本性的改变。
笔者已成功地在3Com4900三层交换机和3Com4400边缘交换机上实施了VLAN子网划分。
1.基于端口的VLAN划分
基于端口的VLAN在逻辑上是由一个或多个交换机上的端口所组成,每个端口被指定为一个VLAN接口。
3Com4900预先定义了一个基于端口的VLAN,它最初包括所有端口。
(1)VLAN标识(VID)的概念。
对于用户创建的VLAN,系统利用其VLAN标识号(VID)对其进行跟踪。
在VLAN的具有标记功能的端口,由系统发送的数据帧通过IEEE802.1q标准进行标记。
系统接收的标记过的数据帧被分配给在标记中包含相应VID的VLAN。
当端口被标记时,该端口可以属于几个VLAN。
通常情况下,默认VLAN的VID为l,用户创建VLAN的VID编号范围为2~2048。
(2)基于端口的VLAN配置。
用户在配置基于端品的VLAN时,一定要弄明白VLAN接口(Interface)和端口标记的概念。
1)VLAN接口是虚拟网的逻辑路由端口,每个虚拟网都必须设置一个VLAN接口,对于一台3Com4900交换机,VLAN接口可以看作是交换模块上的虚拟路由接口,甚至可以把VLAN接口看作一台路由器上的IP接口。
网络管理人员可以根据需要控制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第1篇 网络设备