中低端路由器與交換機原理和配置

1、中低端路由器與交換機的原理及配置省客維中心 吳文軍第 2 頁中低端路由器與交換機的原理及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器與交換機各種口令的設(shè)置三、Cisco 2600路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型配置六、交換機端口鏡像及端口綁定第 3 頁1、路由器交換機硬件構(gòu)成RAMRAM 路由器的工作區(qū)，存放配置信息文件Running-config和路由表信息。斷電后數(shù)據(jù)會丟失。相當(dāng)于相當(dāng)于PCPC的內(nèi)存的內(nèi)存 NVRAMNVRAM 非易失性的RAM，存放交換機配置信息文件Startup-config， NVRAM的內(nèi)容不會隨

2、掉電而消失。相當(dāng)于相當(dāng)于PCPC的硬盤的硬盤FLASHFLASH 快閃存儲器，它保存著路由器的IOS鏡像（操作系統(tǒng)）， FLASH允許更新軟件而無需更換芯片。斷電后數(shù)據(jù)不會丟失。相當(dāng)于相當(dāng)于PCPC的硬盤的硬盤ROMROM 固化在交換機中的mini系統(tǒng)，用于安裝或者升級IOS鏡像文件，修改一些設(shè)置，它一種特殊的運行環(huán)境。要更新，物理芯片必須更換。相當(dāng)于相當(dāng)于PCPC的的BIOSBIOS一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式第 4 頁2、路由器交換機登錄方式常用的登錄方式有兩種：、通過console口連接，將PC機的串口通過配置線（ DB-9或DB-25 ）

3、與路由器或交換機控制臺端口Console相連，在PC計算機上運行終端仿真軟件，與路由器進(jìn)行通信。仿真終端可以選擇超級終端或SecureCRT等軟件。PC具體的設(shè)置參數(shù)為：波特率為波特率為96009600或或115200115200，數(shù)據(jù)位為，數(shù)據(jù)位為8 8，奇偶校驗為無，停止位為，奇偶校驗為無，停止位為1 1，流量控制，流量控制為無，選擇終端仿真為為無，選擇終端仿真為VT100VT100。、通過TCP/IP的telnet遠(yuǎn)程登錄。一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式第 5 頁中低端路由器與交換機的原理及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器

4、與交換機各種口令的設(shè)置三、Cisco 2600路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型配置六、交換機端口鏡像及端口綁定第 6 頁Switch2950(config)#line console 0Switch2950(config-line)#loginSwitch2950(config-line)#password cisco3、設(shè)置控制臺（、設(shè)置控制臺（Console）口令）口令4、設(shè)置遠(yuǎn)程登錄口令、設(shè)置遠(yuǎn)程登錄口令 Switch2950(config)#line vty 0 4Switch2950(config-line)#loginSw

5、itch2950(config-line)# password cisco1、設(shè)置啟用明文口令、設(shè)置啟用明文口令 Switch2950(config)#enable password cisco2、設(shè)置啟用加密口令、設(shè)置啟用加密口令Switch2950(config)#enable secret cisco二、路由器與交換機各種口令的設(shè)定二、路由器與交換機各種口令的設(shè)定第 7 頁中低端路由器與交換機的原理及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器與交換機各種口令的設(shè)置三、Cisco 2600路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型

6、配置六、交換機端口鏡像及端口綁定第 8 頁三、三、 Cisco 2600Cisco 2600路由器與路由器與29502950交換機密碼恢復(fù)交換機密碼恢復(fù)1、Cisco 2950交換機的密碼恢復(fù) 思路：在做密碼恢復(fù)操作之前，先了解交換機的啟動過程。在交換機啟動時，首先在FLASH里面加載IOS，加載IOS后會在NVRAM里面加載config.text配置文件，如果找不到config.text文件，將恢復(fù)出廠配置。因此，恢復(fù)交換機的enable密碼只需更改config.text文件名，使路由器啟動時繞過配置文件，因為該文件中既含有交換機的配置，也包含密碼。在進(jìn)入交換機的特權(quán)模式后在恢復(fù)配置，最后修

7、改密碼。操作步操作步驟驟第一步：我們首先用Console線連接交換機的Console端口和計算機的COM接口。第二步：進(jìn)入計算機系統(tǒng)通過“開始-所有程序-附件-通訊-超級終端”來啟動管理控制工具超級終端，接下來的破解密碼操作也是通過超級終端完成的。(或者啟用超級終端軟件)第三步：為我們的超級終端建立一個新的連接，隨便起一個名字確定即可。第四步：設(shè)置連接目的信息，國家地區(qū)處選擇“中國”，連接時使用處需要進(jìn)行修改，變成COM 1接口。第 9 頁第五步：確定完畢后需要設(shè)置COM 1的端口屬性，我們將“每秒位數(shù)”設(shè)置為9600，“數(shù)據(jù)位”為8，“奇偶校驗”為無，“停止位”是1，“數(shù)據(jù)流控制”為無，當(dāng)然

8、如果你記不住這些信息的話，可以通過點COM 1屬性窗口中的“還原為默認(rèn)值”按鈕即可。第六步：先不要著急點“確定”按鈕進(jìn)行連接，我們接下來要做的是啟動交換機，并且在啟動過程中按下前面板MODE按鍵，具體時間自己把握，大概就是10秒鐘左右。當(dāng)我們松手后再在上面的設(shè)置窗口中點“確定”按鈕進(jìn)行連接，這樣就可以從終端中看到我們已經(jīng)進(jìn)入了switch:模式了。第七步：下面我們首先要加載flash_init，命令為switch: flash_init。當(dāng)管理窗口中出現(xiàn)Parameter Block Filesystem (pb: ) installed, fsid: 4時即可。第八步：輸入load_help

9、er后回車從而啟動交換機管理助手。第九步：查看當(dāng)前交換機的flash信息，命令為“dir flash”。你會看到當(dāng)前交換機的所有flash文件，默認(rèn)都會有一個名為config.text的。我們通過修改文件命令將其重新命名，可以改為config.old。命令為rename flash:config.text flash:config.old。第十步：當(dāng)我們把config.text修改為config.old后就可以實現(xiàn)密碼恢復(fù)工作了，因為原來的密碼信息都保存在config.text文件中，當(dāng)交換機啟動時沒有找到config.text文件就將無法加載初始密碼信息，從而我們可以通過空密碼來登錄交換機進(jìn)

10、行管理操作。三、三、 Cisco 2600Cisco 2600路由器與路由器與29502950交換機密碼恢復(fù)交換機密碼恢復(fù)第 10 頁第十一步：修改完成后我們重新啟動交換機，讓IOS信息重新加載。執(zhí)行命令boot。第十二步：啟動后我們就可以看到類似于第一次開啟交換機顯示的信息了，會提示你設(shè)置一些基本信息，執(zhí)行多項簡單設(shè)置后就可以輕松的進(jìn)入到交換機的管理界面了。最后還要將之前修改名字的config.old文件還原成config.text。執(zhí)行命令為rename flash:config.old flash:config.text。第十三步：將新修改的config.text信息進(jìn)行加載，執(zhí)行命令為

11、copy flash:config.text system:running-config，之后直接回車即可。第十四步：還原之前的設(shè)置后還有一個最關(guān)鍵的步驟，那就是將自己的密碼進(jìn)行修改，把之前忘記的密碼更改成自己記得住的信息即可。具體命令如下，該信息是把密碼修改為cisco。 Switch#configure terminalSwitch#configure terminal Switch(config)#no enable password Switch(config)#no enable password Switch(config)#enable password Cisco Switch

12、(config)#enable password Cisco第十五步：這樣我們的密碼破解工作就全部完成了，最后通過write memory命令進(jìn)行保存即可，我們之前進(jìn)行的設(shè)置修改將全部記錄。三、三、 Cisco 2600Cisco 2600路由器與路由器與29502950交換機密碼恢復(fù)交換機密碼恢復(fù)第 11 頁2、Cisco 2600路由器的密碼恢復(fù) 路由器的密碼恢復(fù)與交換機原理基本相同，操作略有不同。 思路：修改配置寄存器的值：0X2102改為0X2142（不同的型號，數(shù)值可能不一樣），使路由器在啟動時繞過startup-config文件，然后重新配置enable密碼。進(jìn)入超級終端步驟省略。

13、第一步：重啟路由器，在30秒內(nèi)按下CTRLBreak鍵，進(jìn)入ROMMoniter模式；第二步：在提示符下輸入命令修改配置寄存器的值并重啟： rommon1 confreg 0X2142 rommon2 reset第三步：選擇不進(jìn)入setup模式，進(jìn)入特權(quán)模式，保存原有配置，更新enable 密碼： Router enable Router# copy startup-config running-config Router# config t Router(config)# enable password xxxxxx三、三、 Cisco 2600Cisco 2600路由器與路由器與29502

14、950交換機密碼恢復(fù)交換機密碼恢復(fù)第 12 頁第四步：把配置寄存器的值改回0X2102，保存當(dāng)前配置到startup-config，重啟路由器： Router(config)#config-register 0X2102 Router(config)#exit Router# copy running-config startup-config Router# reload三、三、 Cisco 2600Cisco 2600路由器與路由器與29502950交換機密碼恢復(fù)交換機密碼恢復(fù)第 13 頁中低端路由器與交換機的原理及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器與交換機各種口令的設(shè)置

15、三、Cisco 2600路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型配置六、交換機端口鏡像及端口綁定第 14 頁1、靜態(tài)路由 靜態(tài)路由是指由網(wǎng)絡(luò)管理員手工配置的路由信息。當(dāng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)或鏈路的狀態(tài)發(fā)生變化時，網(wǎng)絡(luò)管理員需要手工去修改路由表中相關(guān)的靜態(tài)路由信息。靜態(tài)路由信息在缺省情況下是私有的，不會傳遞給其他的路由器。靜態(tài)路由具有以下的優(yōu)點：1、 對于路由器的CPU沒有管理型開銷，它意味著如果你不使用動態(tài)路由選擇的話，就可以選擇更為便宜的路由器；2、在路由器間沒有帶寬占用；3、更好的安全性，因為管理員可以選擇的允許路由只訪問特定的網(wǎng)絡(luò)。缺點：1、

16、管理員必須真正的了解所配置的網(wǎng)絡(luò)，以及每臺路由器應(yīng)該如何正確的連接以正確配置這些路由；2、如果某個網(wǎng)絡(luò)加入到網(wǎng)絡(luò)中，管理員必須在所有的路由器上通過手工添加對它的路由；3、對于大型的網(wǎng)絡(luò)來說，這幾乎是不可行的，因為這時靜態(tài)路由會導(dǎo)致巨大的工作量。四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 15 頁【組網(wǎng)圖組網(wǎng)圖】 例一： 四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 16 頁【配置腳本配置腳本】 RouterARouterA配置腳本配置腳本#sysname RouterA#radius scheme sys

17、tem#domain system#interface Ethernet0/1ip address 10.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.1 255.255.255.252#interface NULL0#ip route-static 30.1.1.0 255.255.255.0 20.1.1.2 preference 60/配置到對端PC2所在網(wǎng)段的靜態(tài)路由，缺省優(yōu)先級為60/#user-interface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、

18、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 17 頁RouterBRouterB配置腳本配置腳本#sysname RouterB#radius scheme system#domain system#interface Ethernet0/1ip address 30.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.1 255.255.255.252#interface NULL0#ip route-static 10.1.1.0 255.255.255.0 20.1.1.2 preference 60/配置

19、到對端PC2所在網(wǎng)段的靜態(tài)路由，缺省優(yōu)先級為60/#user-interface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 18 頁【提示提示】1、在配置靜態(tài)路由時,一定要保證路由的雙向的可達(dá),即要配置到遠(yuǎn)端路由器路由,遠(yuǎn)端路由器也要配置到近端路由器回程路由。2、如果必須配置靜態(tài)路由，請盡量使用具體網(wǎng)段的靜態(tài)路由，避免使用ip route-static 0.0.0.0 0.0.0.0缺省路由，以防止路由環(huán)的產(chǎn)生。四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSP

20、F協(xié)議簡介協(xié)議簡介第 19 頁2、RIP協(xié)議 路由信息協(xié)議是一個真正的距離矢量路由選擇協(xié)議。它每隔30秒就送出自己完整的路由表到所有激活的接口。RIP只使用跳數(shù)來決定到達(dá)遠(yuǎn)程網(wǎng)絡(luò)的最佳方式，并且在默認(rèn)時它所允許的最大跳數(shù)計數(shù)為15跳，也就是說16跳的距離將被認(rèn)為是不可到達(dá)的。在小型的網(wǎng)絡(luò)中，RIP協(xié)議會運行良好，但是對于大型網(wǎng)絡(luò)或者對于安裝有大量路由器的網(wǎng)絡(luò)來說，它的效率就很低了?！窘M網(wǎng)圖組網(wǎng)圖】 四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 20 頁【配置腳本配置腳本】 RouterARouterA配置腳本配置腳本#sysname RouterA#

21、radius scheme system#domain system#interface Ethernet0/1ip address 10.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.1 255.255.255.252四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 21 頁RouterARouterA配置腳本配置腳本#interface NULL0#rip /啟動rip/network 10.0.0.0 /接口e0/1使能rip/network 20.0.0.0 /接口e0/0使

22、能rip/#user-interface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 22 頁RouterBRouterB置腳本置腳本#sysname RouterB#radius scheme system#domain system#interface Ethernet0/1ip address 30.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.2 255.255.255.252四、四、 靜態(tài)路由、靜態(tài)路

23、由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 23 頁RouterBRouterB置腳本置腳本#interface NULL0#rip /啟動rip/network 20.0.0.0 /接口e0/0使能rip/network 30.0.0.0 /接口e0/1使能rip/#user-interface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 24 頁【驗證驗證】RouterA和RouterB可以通過RIP學(xué)習(xí)到對方路由信息，并可以ping通對方網(wǎng)段。Router

24、A路由表：disp ip rout Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 10.1.1.0/24 DIRECT 0 0 10.1.1.1 Ethernet0/0 10.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 20.1.1.0/30 DIRECT 0 0 20.1.1.1 Serial0/0 20.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 20.1.1.2/32 DIRECT 0 0 20.1

25、.1.2 Serial0/0 30.0.0.0/8 RIP 100 1 20.1.1.2 Serial0/0 30.0.0.0/8 RIP 100 1 20.1.1.2 Serial0/0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0【提示提示】1、RIP有RIP-1和RIP-2兩個版本，可以指定接口所處理的RIP報文版本。2、RIP-1的報文傳送方式為廣播方式。3、RIP-2有兩種報文傳送方式：廣播方式和組播方式，缺省將采用組播方式發(fā)送報文。RIP-2中組播

26、地址為224.0.0.9。4、由于RIP本身的諸多缺陷，不推薦使用不推薦使用RIPRIP作作為為IGPIGP路由路由協(xié)議協(xié)議, ,推薦使用推薦使用OSPFOSPF。四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 25 頁3、OSPF 開放最短路徑優(yōu)先是一個開放標(biāo)準(zhǔn)的路由選擇協(xié)議，與RIP相對，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。TIP!距離矢量協(xié)議是根據(jù)距離矢量（跳數(shù)hop）來進(jìn)行路由選擇的一個確定最佳路由的方法； 鏈路狀態(tài)協(xié)議則是根據(jù)帶寬、延遲等指標(biāo)綜合考慮而得到一個權(quán)值，再根據(jù)權(quán)值確定最佳路由的方法，比如ospf就是一類鏈路狀態(tài)

27、協(xié)議。 【組網(wǎng)圖組網(wǎng)圖】 四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 26 頁【配置腳本配置腳本】RouterA配置腳本配置腳本#sysname RouterA#router id 1.1.1.1 /配置router id和loopback0地址一致/#radius scheme system#domain system#interface Ethernet0/1ip address 10.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.1 255.255.255.252四、四、

28、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 27 頁RouterA配置腳本配置腳本#interface NULL0#interface LoopBack0ip address 1.1.1.1 255.255.255.255#ospf 1 /啟動ospf路由協(xié)議/area 0.0.0.0 /創(chuàng)建區(qū)域0/network 1.1.1.1 0.0.0.0 /接口loop 0使能OSPF/network 10.1.1.0 0.0.0.255 /接口e0/1使能OSPF/network 20.1.1.0 0.0.0.3 /接口e0/0使能OSPF/#user-inte

29、rface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 28 頁RouterB配置腳本配置腳本#sysname RouterB#router id 1.1.1.2 /配置router id和loopback0地址一致/#radius scheme system#domain system#interface Ethernet0/1ip address 30.1.1.1 255.255.255.0#interface Ethernet0/0ip address 20.1.1.2 25

30、5.255.255.252#interface NULL0四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 29 頁RouterB配置腳本配置腳本#interface LoopBack0ip address 1.1.1.2 255.255.255.255#ospf 1 /啟動ospf路由協(xié)議/area 0.0.0.0 /創(chuàng)建區(qū)域0/network 1.1.1.2 0.0.0.0 /接口loop 0使能OSPF/network 20.1.1.0 0.0.0.3 /接口e0/0使能OSPF/network 30.1.1.0 0.0.0.255 /接口e0/1

31、使能OSPF/#user-interface con 0user-interface vty 0 4#return四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 30 頁【驗證驗證】RouterA和RouterB可以通過OSPF學(xué)習(xí)到對方路由信息，并可以ping通對方網(wǎng)段。RouterA路由表：RouterAdisp ip routing-table Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 1.1.1.1/32 DIRECT 0 0 1

32、27.0.0.1 InLoopBack0 1.1.1.2/32 OSPF 10 1563 20.1.1.2 Serial0/0 10.1.1.0/24 DIRECT 0 0 10.1.1.1 Ethernet0/0 10.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 20.1.1.0/30 DIRECT 0 0 20.1.1.1 Serial0/0 20.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 20.1.1.2/32 DIRECT 0 0 20.1.1.2 Serial0/0 30.1.1.0/24 OSPF 1

33、0 1563 20.1.1.2 Serial0/0 30.1.1.0/24 OSPF 10 1563 20.1.1.2 Serial0/0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopB四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 31 頁RIPRIP的局限性在大型的局限性在大型網(wǎng)絡(luò)網(wǎng)絡(luò)中使用所中使用所產(chǎn)產(chǎn)生的生的問題問題: : 1、RIP的15跳限制，超過15跳的路由被認(rèn)為不可達(dá)； 2、RIP不能支持可變長子網(wǎng)掩碼(VLSM

34、)，導(dǎo)致IP地址分配的低效率； 3、周期性廣播整個路由表，在低速鏈路及廣域網(wǎng)云中應(yīng)用將產(chǎn)生很大問題； 4、收斂速度慢于OSPF，在大型網(wǎng)絡(luò)中收斂時間需要幾分鐘； 一些增強的功能被引入RIP的新版本RIPv2中，RIPv2支持VLSM，認(rèn)證以及組播更新。但RIPv2的跳數(shù)限制以及慢收斂使它仍然不適用于大型網(wǎng)絡(luò)相比相比RIPRIP而言，而言，OSPFOSPF更適合用于大型更適合用于大型網(wǎng)絡(luò)網(wǎng)絡(luò): : 1、沒有跳數(shù)的限制； 2、支持可變長子網(wǎng)掩碼(VLSM)； 3、收斂速度快。四、四、 靜態(tài)路由、靜態(tài)路由、RIPRIP協(xié)議及協(xié)議及OSPFOSPF協(xié)議簡介協(xié)議簡介第 32 頁中低端路由器與交換機的原理

35、及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器與交換機各種口令的設(shè)置三、Cisco 2600路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型配置六、交換機端口鏡像及端口綁定第 33 頁 NAT（Network Address Translation ）：網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換 ，廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機。 NAT將自動修改IP報文頭中的源IP地址和目的IP地址，Ip地址校驗則在NAT處

36、理過程中自動完成。 【組網(wǎng)圖組網(wǎng)圖】 五、五、 NATNAT轉(zhuǎn)換典型配置轉(zhuǎn)換典型配置第 34 頁【配置腳本配置腳本】配置腳本配置腳本#sysname RouterA#radius scheme system#domain system#acl number 2000 /配置允許進(jìn)行NAT轉(zhuǎn)換的內(nèi)網(wǎng)地址段/rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#interface Ethernet0/0ip address 172.16.1.22 255.255.255.0nat outbound 2000#interface Ethernet

37、0/1 五、五、 NATNAT轉(zhuǎn)換典型配置轉(zhuǎn)換典型配置第 35 頁ip address 192.168.0.1 255.255.255.0 /內(nèi)網(wǎng)網(wǎng)關(guān)/#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 172.16.1.1 preference 60 /配置默認(rèn)路由/#user-interface con 0user-interface vty 0 4#return五、五、 NATNAT轉(zhuǎn)換典型配置轉(zhuǎn)換典型配置第 36 頁中低端路由器與交換機的原理及配置一、路由器與交換機的硬件結(jié)構(gòu)及登錄方式二、路由器與交換機各種口令的設(shè)置三、Cisco 2600

38、路由器與2950交換機密碼恢復(fù)四、靜態(tài)路由、RIP協(xié)議和OSPF協(xié)議的簡介五、NAT轉(zhuǎn)換典型配置六、交換機端口鏡像及端口綁定第 37 頁 1、交換機端口鏡像 鏡像：一般是將符合指定規(guī)則的報文復(fù)制到鏡像目的端口。鏡像目的端口會接入數(shù)據(jù)檢測設(shè)備，用戶利用這些設(shè)備對鏡像過來的報文進(jìn)行分析，進(jìn)行網(wǎng)絡(luò)監(jiān)控和故障排除等。六、六、 交換機端口鏡像及端口綁定交換機端口鏡像及端口綁定第 38 頁 交換機的端口鏡像分為兩種：端口鏡像和流鏡像。 端口鏡像：端口鏡像是把被鏡像端口的進(jìn)出數(shù)據(jù)報文完全拷貝一份到鏡像端口，這樣來進(jìn)行流量觀測或者故障定位。 流鏡像：流鏡像是針對某些流量進(jìn)行鏡像，每個連接都有兩個方向的數(shù)據(jù)流，

39、對于交換機來說這兩個數(shù)據(jù)流是要分開鏡像的。 不同廠家交換機所用的端口鏡像命令是不一樣的，同一廠家不同系列的交換機所使用的命令也不盡相同。一旦設(shè)定某端口為目的端口，該端口只能用于監(jiān)聽而不能用于通信。下面將介紹思科2950交換機端口鏡像配置。 1、在Cisco2950交換機上，使用F0/10端口監(jiān)聽F0/1 和F0/2、F0/3、F0/5端口的接收流量。具體配置如下： Switch(config)# monitor session 1 source interface fastEthernet 0/1 - 3 monitor session 1 source interface fastEther

40、net 0/1 - 3 ， fastEthernet 0/5 rxfastEthernet 0/5 rx Switch(config)#monitor session 1 destination interface fastEthernet 0/10monitor session 1 destination interface fastEthernet 0/10六、六、 交換機端口鏡像及端口綁定交換機端口鏡像及端口綁定第 39 頁/rx-/rx-指明是指明是進(jìn)進(jìn)端口的流量，端口的流量，tx-tx-出端口的流量出端口的流量 both both 進(jìn)進(jìn)出的流量。出的流量。/注意：中注意：中間間格式格式為為 空格，逗空格，逗號號，空格。，空格。2、監(jiān)控Trunk 端口FastEtheraet4/10 上的雙向數(shù)據(jù)流(在該端口上承載著VLANl VLANl00的數(shù)據(jù)流)，只監(jiān)控其中VLAN57 中的數(shù)據(jù)流，端口FastEthernet4/15 為目的端口，具體配置方法如下：Switch(config)# monitor session 1 source interface fastethernet 4/10monitor session 1 source interface fastethernet 4/10Switch(c