网络设备管理与VPN技术.ppt

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,6,章 网络设备管理与,VPN,技术,网络规模的扩大和网络设备数量的增加，使网络维护的难度越来越大，而且随着网络设备生产商数量的不断增加，各种各样的网络设备层出不穷，因此，如何更好地对网络设备进行维护是网络管理的重中之重。网络设备管理通常是指对网络设备的规划、连接、配置与维护。组建网络常用的网络设备包括交换设备、路由设备、安全设备。要想成为一名合格的网络管理员，必须熟练掌握这,3,类设备的配置、管理与维护。,6.1.1,交换机简介,交换机是网络中最基本的数据传输和通信设备，是和通信终端直接相连的网络通信硬件设备。,1.,通信系统基本模型,通信系统的基本模型,通信系统由以下几个部分组成：,（,1,）信源和信宿。信源是指发出信息的信息源。根据信源输出信号的性质可分为模拟信源（如公共电话系统）和数字信源（如计算机）。模拟信源可通过采样和量化调制为数字信源。信宿是指信息传送的终端。,（,2,）调制器和解调器。调制器用于将信源发出的信号转换成适合于在信道上传输的信号。解调器完成与调制器相反的转换。,（,3,）信道。传输信道是指连接调制器和解调器之间的传输系统。按传输媒介类型的不同可将传输信道分为有线信道和无线信道。,（,4,）噪声源。噪声干扰在实际通信系统中总是客观存在的，会造成有用信号畸变，降低通信质量。外部的干扰和系统内部设备的噪声会引起通信过程中产生杂音甚至串音。,6.1.1,交换机简介,2.,交换的概念,为了实现有效的通信就需要采用交换技术。所谓交换，就是在通信网络中，交换设备根据用户的呼叫请求建立连接，相互传送话音、数据、图像、视频等信息。,1),共享式网络,在计算机网络中，对共享工作模式进行改进提出了交换的概念。集线器（,hub,）是一种共享式网络设备，集线器本身不能识别目的,MAC,地址，当位于同一个局域网内的主机,A,给主机,B,传输数据时，数据包在以集线器为架构的网络上是以广播方式传输的，由每个终端通过检查数据包头的地址信息来确定是否接收该数据包。也就是说，在这种工作方式下，同一时刻网络上只能传输一组数据帧，如果发生冲突必须随机重传。这种方式就是共享网络带宽。,6.1.1,交换机简介,2),交换式网络,而交换机则不同，交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的,MAC,地址表，确定目的,MAC,（网卡的硬件地址）所对应的端口，通过内部交换矩阵迅速将数据包传送到目的端口。若目的,MAC,不存在，则采取广播方式将数据包广播到所有的端口，接收端口回应后交换机会“学习”新的地址，并把它添加入内部,MAC,地址表中。,通过交换机的过滤和转发，可以有效地隔离广播风暴，减少错误的数据包出现，避免共享冲突。,交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。,6.1.1,交换机简介,3.,交换的方式,数据的交换方式主要有电路交换、报文交换和分组交换。,1,）电路交换,电路交换的基本过程包括呼叫建立、通话和释放链路,3,个阶段。,电路交换具有实时、信道独占、延时小等优点，但是电路交换技术的缺点也很明显，如网络资源利用率低、通信效率不高等。,2,）报文交换,报文交换技术是一种存储转发技术，它不必在通信双方间建立一条物理线路。发送设备将发送的信息作为一个整体（又被称为报文），并附加上目的地址，交给交换设备。交换设备接收该报文，并存储在缓存中，等到有合适的输出线路时再把该报文转发给下一个交换设备。当路由器接收到报文以后会对报文进行处理，查看其目的路由器地址，然后,6.1.1,交换机简介,用路由算法算出到达目的地的最佳路径后将报文送往下一路由器，经过若干个交换设备的存储、转发后，该报文到达目的地。报文交换技术适用于非实时的通信系统，如公共电报收发系统。,3,）分组交换,分组交换源于数据通信，它解决了数据通信的通信线路资源共享问题。数据通信的特点是业务突发性高、可靠性要求高，而对实时性要求不严格。分组交换方式的工作过程是分组终端将用户要发送的数据分割为长度固定的数据分组，每个分组都有一个分组头，包含了控制信息和路由信息。采用分组交换时，同一个报文的多个分组可以同时传输，多个用户的信息也可以共享同一物理链路，因此分组交换可以实现资源共享，并为用户提供可靠、有效的数据服务。它克服了电路交换中独占线路、线路利用率低的缺点。,6.1.1,交换机简介,4.,二层交换和三层交换,二层交换是利用专用集成电路（,ASIC,）来完成局域网内数据通信的交换。在网络系统中，具有二层交换功能的设备称为交换机，它工作在,OSI,模型中的数据链路层。交换机通过其内存中的,MAC,地址表和庞大的交换矩阵完成数据在局域网内的转发。,三层交换也是利用,ASIC,芯片，但它是用来完成计算机网络中的数据路由。三层交换其实是在二层交换的基础上加入了路由功能。因为在,OSI,模型中，路由功能由其第三层网络层来实现，故称为三层交换机或路由交换机。三层交换机技术通过“一次路由，多次交换”的工作机制和线速转发的优势，逐步代替了传统路由器，提高了数据包的转发效率，消除了网络瓶颈。,6.1.1,交换机简介,6.1.2,交换机的基本配置,交换机的基本配置包括对交换机标识、,IP,地址、默认网关的配置。本章以,Cisco,交换机为例，介绍交换机的基本配置。,1.,交换机的配置方式,交换机常见的配置方式主要有,3,种：通过,Console,端口配置、,Telnet,远程登录配置和,Web,浏览器方式配置。,1,）通过,Console,端口进行配置,Cisco,交换机上有一个,Console,端口，它是专门用于对交换机进行配置和管理的。可以通过,Console,端口连接和配置交换机。使用串口线将,Cisco,交换机的配置线和计算机的串口相连接（注意：必须记清接入的是哪个串口）。,交换机的连接示意图,6.1.2,交换机的基本配置,使用,Console,和超级终端调试交换机的步骤：,（,1,）打开超级终端。执行“开始”“程序”“附件”“通讯”“超级终端”命令，打开超级终端。,（,2,）执行“文件”“新建”命令，新建一个超级终端连接，输入新建连接的名称。,（,3,）单击“确定”按钮，打开“连接到”对话框，在“连接时使用”下拉列表中选择与交换机的,Console,端口相连接的串口，这里选择,COM,。,6.1.2,交换机的基本配置,（,4,）单击“确定”按钮，打开,COM1,属性对话框。在“端口设置”选项卡中根据交换机使用手册的说明分别设置每秒位数、数据位、奇偶校验、停止位、数据流控制。,对于大部分交换机来说，只需单击“还原为默认值”按钮即可。,（,5,）单击“确定”按钮后开启交换机。此时交换机开始载入,IOS,（网际操作系统），可以从载入的,IOS,界面上看到,IOS,版本号、交换机型号、内存大小等数据。当屏幕显示“,Press RETURN to get started!”,时按,Enter,键就能直接进入交换机。,6.1.2,交换机的基本配置,2,）通过,Telnet,对交换机进行远程配置,Telnet,是一种远程访问协议，可以用它登录远程计算机、网络设备或专用,TCP/IP,网络。目前常用的,Windows,、,UNIX,、,Linux,等系统中都内置有,Telnet,客户端程序，可以用它来实现与远程交换机的通信。,在使用,Telnet,连接至交换机前，应当确认已经做好了以下准备工作：,在用于管理交换机的计算机中安装有,TCP,IP,，并配置好了,IP,地址信息。,在被管理的交换机上已经配置好,IP,地址信息。如果尚未配置,IP,地址信息，则必须通过,Console,端口进行设置。,必须针对,Telnet,功能配置一个登录密码，这样,Telnet,功能才会自动打开。,具体步骤在此不做赘述，大家可以参考教材。,6.1.2,交换机的基本配置,3,）通过,Web,浏览器对交换机进行配置,在利用,Web,浏览器访问交换机之前，应当确认已经做好了以下准备工作：,在用于管理的计算机中安装了,TCP,IP,协议，且在计算机和被管理的交换机上都已经配置好,IP,地址信息。,用于管理的计算机中安装有支持,Java,的,Web,浏览器，如,Internet Explorer 4.0,及以上版本、,Netscape 4.0,及以上版本，以及,Oprea with JAVA,。,在被管理的交换机上建立了拥有管理权限的用户名和密码。,被管理交换机的,Cisco IOS,支持,HTTP,服务，并且已经启用了该服务。否则，应通过,Console,端口升级,Cisco IOS,或启用,HTTP,服务。,对于运行,IOS,的交换机，启用,HTTP,服务后，即可利用,Web,界面来管理交换机。在浏览器中输入“,,交换机管理,IP,地址”，弹出用户认证对话框，用户名可不指定，然后在密码文本框中输入进入特权模式的密码，之后就可进入交换机的管理界面。,6.1.2,交换机的基本配置,2.,交换机的配置模式,Cisco IOS,提供了,6,种配置模式：用户,EXEC,模式、特权,EXEC,模式、全局配置模式、接口配置模式、,Line,配置模式和,VLAN,数据库配置模式。,在实际配置的过程中，用户可以根据实际需要使用不同配置模式的相应命令来进行模式转换。例如：,由用户,EXEC,模式进入特权,EXEC,模式，使用,enable,命令。,由特权,EXEC,模式进入全局配置模式，使用,configure terminal,命令。,由全局配置模式进入接口配置模式，使用“,interface+,端口类型,+,端口号”命令。,由特权,EXEC,模式进入,VLAN,数据库配置模式，使用,vlan database,命令。,由全局配置模式进入,Line,配置模式，使用“,line+,接口类型,+,接口号”命令。,6.1.2,交换机的基本配置,各种配置模式介绍：,1,）用户,EXEC,模式,在该模式下，只执行有限的一组命令，这些命令通常用于查看系统信息、改变终端设置和执行一些最基本的测试命令，如,ping,、,traceroute,等。,用户,EXEC,模式的命令行提示符为：,cisco2900,其中，,cisco2900,是交换机的名字，对于未配置的交换机的默认主机名是,Switch,。在用户,EXEC,模式下，直接输入“？”并按,Enter,键，可获得在该模式下允许执行的命令的帮助信息。,6.1.2,交换机的基本配置,2,）特权,EXEC,模式,在用户,EXEC,模式下，执行,enable,命令，可进入特权,EXEC,模式。在该模式下，用户能够执行,IOS,提供的所有命令。,特权,EXEC,模式的命令行提示符为：,cisco2900#,例如,:,cisco2900enable,password:,cisco2900#,在前面的启动配置中，因为设置了登录特权,EXEC,模式的密码，所以系统提示输入用户密码，密码输入时不回显，输入完毕按,Enter,键，密码校验通过后，即进入特权,EXEC,模式。,如果要修改或设置进入特权,EXEC,模式的密码，可在全局配置模式下，利用,enable secret,或者,enable password,命令进行设置。,6.1.2,交换机的基本配置,3,）全局配置模式,在特权,EXEC,模式下，执行,configure terminal,命令，即可进入全局配置模式。在该模式下，只要输入一条有效的配置命令并按,Enter,键，内存中正在运行的配置就会立即生效。该模式下的配置命令的作用域是全局性的，对整个交换机起作用。,全局配置模式的命令行提示符为：,cisco2900(config)#,命令格式如下：,cisco2900#configure terminal,cisco2900(config)#,在全局配置模式下，还可进入接口配置、,Line,配置等子模式。从子模式返回全局配置模式，执行,exit,命令，再从全局配置模式返回特权,EXEC,模式，执行,exit,命令。若要直接返回特权,EXEC,模式，则执行,end,命令或按,Ctrl+Z,组合键。,6.1.2,交换机的基本配置,4,）接口配置模式,在全局配置模式下，执行“,interface+,端口类型,+,端口号”命令，即进入接口配置模式。在该模式下，可对选定的接口（端口）进行配置，并且只能执行配置交换机端口的命令。,接口配置模式的命令行提示符为：,cisco2900(config-if)#,5,）,Line,配置模式,在全局配置模式下，执行“,line+,接口类型,+,接口号”命令，将进入,Line,配置模式。,Line,配置模式的命令行提示符为：,cisco2900(config-line)#,交换机有一个控制端口，其编号为,0,，通常利用该端口进行本地登录，以实现对交换机的配置和管理。为安全起见，应为该端口的登录设置密码。,6.1.2,交换机的基本配置,6,）,VLAN,数据库配置模式,在特权,EXEC,模式下执行,vlan database,配置命令，即可进入,VLAN,数据库配置模式。,VLAN,数据库配置模式的命令行提示符为：,cisco2900(vlan)#,在该模式下，可实现对,VLAN,（虚拟局域网）的创建、修改和删除等操作。退出,VLAN,配置模式，返回特权,EXEC,模式，可执行,exit,命令,。,6.1.2,交换机的基本配置,3.,配置主机名与,IP,地址,1,）配置主机名,switchenable,switch#configure terminal,switch(config)#hostname cisco2900,2,）配置,IP,地址,cisco2900(config)#interface vlan 1/*,进入,VLAN,配置模式*,/,cisco2900(config-if)#ip address 192.168.1.1 255.255.255.0/*,配置交换机,IP*/,cisco2900(config-if)#no shutdown/*,启用,VLAN*/,cisco2900(config-if)#exit,cisco2900(config)#ip default-gateway 192.168.1.254/*,配置交换机的默认网关*,/,6.1.2,交换机的基本配置,4.,配置登录密码,1,）控制台登录口令,cisco2900#config terminal,cisco2900(config)#line console 0/*,进入,Line,配置模式*,/,cisco2900(config-line)#password cisco2900/*,配置密码为,cisco2900*/,cisco2900(config-line)#login/*,启用密码*,/,cisco2900(config-line)#end,上面的配置是将控制台登录密码设为,cisco2900,，并启用该密码。配置该密码后，以后利用控制台端口登录交换机时，会首先要求输入该登录密码，密码校验成功后，才能进入交换机的用户,EXEC,模式。,6.1.2,交换机的基本配置,2,）配置远程登录密码,交换机支持多个虚拟终端，一般为,16,（,0,15,）个。配置了密码的虚拟终端，允许登录，没有配置密码的，禁止登录。如果对,0,4,条虚拟终端线路配置了登录密码，则交换机允许同时有,5,个,Telnet,登录连接，配置远程登录密码的命令为：,cisco2900(config)#line vty 0 4,cisco2900(config-line)#password csico2900,cisco2900(config-line)#login,cisco2900(config-line)#end,cisco2900#write memory,6.1.2,交换机的基本配置,3,）配置特权,EXEC,模式密码,若要配置或修改进入特权,EXEC,模式的密码为,123456,，则配置命令为：,cisco2900(config)#enable secret 123456,或,cisco2900(config)#enable password 123456,其中，,enable secret,命令配置的密码在配置文件中是以密文的形式保存的，推荐采用该方式；,enable password,命令所配置的密码在配置文件中是采用明文保存的。,6.1.2,交换机的基本配置,5.,保存配置信息,对交换机的配置进行修改后，为了使配置在交换机下次断电重启后仍生效，需要将新的配置信息保存到,NVRAM,中，其配置命令为：,cisco2900(config)#exit,cisco#write memory,6.1.2,交换机的基本配置,6.,查看交换机信息,对交换机信息的查看，使用,show,命令来实现。,1,）查看,IOS,版本,查看命令：,show version,2,）查看配置信息,要查看交换机的配置信息，需要在特权,EXEC,模式执行以下命令：,show running-config,显示当前正在生效的配置。,show startup-config,要查看保存在,NVRAM,中的启动配置信息。例如，若要查看当前交换机正在生效的配置信息，则执行命令：,cisco2900#show run,6.1.2,交换机的基本配置,7.,配置交换机接口,1,）配置接口模式,Cisco,交换机的接口类型有,access,、,trunk,、,dynamic,。其中，,access,接口主要用来接入终端设备，如,PC,、服务器、打印服务器等；,trunk,接口主要用于连接其他交换机，以便在线路上承载多个,VLAN,；,dynamic,接口中的,dynamic auto,指自动协商是否成为,trunk,，属于主动方式，,dynamic desirable,指把端口设置为,trunk,，如果对方端口是,trunk,或,desirable,，属于被动方式。,配置接口模式的命令如下：,cisco2900(config)#interface fa0/1,cisco2900(config-if)#switchport mode access/*,将交换机端口接口模式配置为,access,模式*,/,cisco2900(config)#no shutdown/*,启用端口*,/,6.1.2,交换机的基本配置,2,）配置接口描述、速度、双工模式,配置接口描述、速度、双工模式的命令如下：,cisco2900(config)#interface fa0/1/*,进入接口配置模式*,/,cisco2900(config-if)#speed 100/*,配置接口速率为,100M*/,cisco2900(config-if)#description it is my port/*,配置端口描述为,it is my port*/,cisco2900(config-if)#duplex full/*,配置接口交换方式为全双工*,/,cisco2900(config-if)#no shutdown3,）启用接口,启用某个接口的命令为：,no shutdown,注意：每次对接口进行更改过后，都必须启用一次。,6.1.2,交换机的基本配置,6.1.3 VLAN,技术简介及配置实例,1.VLAN,技术简介,虚拟局域网（,virtual local area network,，,VLAN,）是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中。,IEEE,于,1999,年颁布了用以标准化,VLAN,实现方案的,802.1Q,协议标准草案。,虚拟局域网除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活外，还可以用于控制网络中不同部门、不同站点之间的互相访问。,VLAN,是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了,VLAN,头，用,VLAN ID,把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。,2.VLAN,的划分,VLAN,的划分主要有,3,种方法,:,1,）基于端口的,VLAN,基于端口的,VLAN,是指将选定的端口划分在同一个广播域中。,2,）基于,MAC,地址的,VLAN,基于,MAC,地址的,VLAN,是根据每个主机的,MAC,地址来划分的。,3,）基于,IP,的,VLAN,基于,IP,的,VLAN,是根据每个主机的,IP,地址来划分的。,基于端口的,VLAN,划分方式建立在物理层；基于,MAC,地址的,VLAN,划分方式建立在数据链路层；基于,IP,的,VLAN,划分方式建立在网络层。,6.1.3 VLAN,技术简介及配置实例,3.VLAN,的配置实例,下面以,Cisco 3560,交换机为例介绍,VLAN,的配置。,1,）交换机,VLAN,的划分,Switchen,Switch#configure terminal/*,进入交换机的配置模式*,/,Enter configuration commands,one per line.End with CNTL/Z.,Switch(config)#vlan 10/*,划分一个,VLAN,，,ID,为,10*/,Switch(config-vlan)#name testvlan10/*,将新建的,VLAN,命名为,testvlan10*/,Switch(config-vlan)#exit,Switch(config)#exit,Switch#show vlan/*,查看,VLAN,信息*,/,6.1.3 VLAN,技术简介及配置实例,2,）将端口,1,，,310,加入,testvlan10,中,Switch(config)#interface fa0/1/*,进入交换机端口的配置模式*,/,Switch(config-if)#switchport access vlan 10/*,将端口,1,划入,VLAN,中*,/,Switch(config-if)#switchport mode access/*,将端口配置为,access,模式*,/,Switch(config-if)#no shutdown/*,开启端口*,/,Switch(config)#interface range fastEthernet 0/310/*,进入端口,310*/,Switch(config-if-range)#switchport access vlan 10/*,将端口划入,VLAN,中*,/,Switch(config-if-range)#switchport mode access/*,将端口配置为,access,模式*,/,Switch(config-if-range)#no shutdown/*,开启端口*,/,Switch#show vlan id 10,6.1.3 VLAN,技术简介及配置实例,3,）给,VLAN,配置,IP,地址,Switch(config)#interface vlan 10/*,进入交换机,VLAN,的接口配置模式*,/,Switch(config-if)#ip address 192.168.1.1 255.255.255.0/*,为,VLAN,指定接口,IP,地址*,/,Switch(config-if)#exit /*,退出交换机,VLAN,的接口配置模式*,/,Switch(config)#exit/*,退出交换机的特权模式*,/,Switch#show interfaces vlan 10/*,显示,VLAN 10,的配置信息*,/,6.1.3 VLAN,技术简介及配置实例,6.1.4,链路聚合技术简介及配置实例,1.,链路聚合的定义,链路聚合是可将多物理连接当做一个单一的逻辑连接，允许两个交换设备之间通过多个端口并行连接，同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。,2.,链路聚合的优点,（,1,）提高链路可用性。,（,2,）增加链路容量。,（,3,）价格便宜，性能接近千兆以太网。,（,4,）不需重新布线，也无须考虑千兆网令人头疼的传输距离极限。,（,5,）,Trunking,可以捆绑任何相关的端口，也可以随时取消设置，这样就提供了很好的灵活性。,（,6,）,Trunking,可以提供负载均衡能力以及系统容错。,路由器是重要的网络互联设备之一，网络管理人员需要掌握基本的路由器的配置与管理知识。,6.2,路由器的配置与管理,6.2.1,路由器简介,路由器的中低端产品可以用于连接骨干网设备和小规模端点的接入，高端产品可以用于骨干网之间的互联以及骨干网与互联网的连接。骨干网的互联和骨干网与互联网的互联互通，不但技术复杂，涉及的通信协议、路由协议和接口众多，信息传输速度要求高，而且对网络安全性的要求也比其他场合高得多。,路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的线路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益。,1.,路由器的工作原理,当,IP,子网中的一台主机发送,IP,分组给同一,IP,子网的另一台主机时，它直接把,IP,分组送到网络上，对方就能收到。而要送给不同,IP,子网上的主机时，它要选择一个能到达目的子网上的路由器，把,IP,分组送给该路由器，由路由器负责把,IP,分组送到目的地。如果没有找到这样的路由器，主机就把,IP,分组送给一个称为“默认网关（,default gateway,）”的路由器。默认网关是每台主机上的一个配置参数，它是接在同一个网络上的某个路由器接口的,IP,地址。,在路由器转发,IP,分组时，根据,IP,分组的目的,IP,地址的网络号，选择合适的接口，把,IP,分组送出去。同主机一样，路由器也要判定接口所连接的是否属于目的子网，如果是，就直接把分组通过接口送到网络上，否则，就要选择下一个路由器来传送分组。路由器也有它的默认网关，用来传送未知目的地的,IP,分组。这样，通过路由器把知道如何传送的,IP,6.2.1,路由器简介,分组正确转发出去，不知道的,IP,分组送给默认网关的路由器。这样一级级地传送，,IP,分组最终将送到目的地，“尽力而为”但无法传递到目的地的,IP,分组则被网络丢弃了。,路由动作包括两项基本内容：,寻址和转发,。,寻址,即判定到达目的地的最佳路径，由路由选择算法来实现。路由选择算法必须启动并维护包含路由信息的路由表，其中路由信息依赖于所用的路由选择算法。,转发,即沿寻找好的最佳路径传送信息分组。,路由器首先在路由表中查找，判断是否知道如何将分组发送到下一个站点（路由器或主机），如果路由器不知道如何发送分组，通常将该分组丢弃；否则就根据路由表的相应表项将分组发送到下一个站点，如果目的网络直接与路由器相连，路由器就把分组直接送到相应的端口上。,在数据转发过程中，决定路由转发速度的关键技术是路由选择协议和路由选择算法。,6.2.1,路由器简介,2.,路由选择协议,路由选择协议：用于建立和维护路由表和按照到达数据包的目的地的最佳路径转发数据包的协议，如,RIPv1,、,IGRP,、,OSPF,等。,它工作在传输层或应用层。路由选择协议主要是运行在路由器上的协议，用来进行路径选择。,路由选择协议可分为两类：在一个自治系统内的路由选择协议称为内部网关协议，自治系统之间的路由选择协议称为外部网关协议。,现在广泛使用的内部网关路由选择协议有,RIP-1,、,RIP-2,、,IGRP,，,EIGRP,、,IS-IS,和,OSPF,。其中，前,4,种路由选择协议采用的是距离向量算法，,IS-IS,和,OSPF,采用的是链路状态算法。外部网关协议采用的是,EGP,和,BGP,。,6.2.1,路由器简介,3.,路由选择算法,路由选择算法：就是路由选择协议用于决定到达目的网络的最佳路径的计算方法。路由选择算法越简单，则路由器将使用的处理能力就越小。这将减少路由器的日常费用。,按照路由选择算法能否随网络的拓扑结构或者通信量自适应地进行调整变化进行分类，路由选择算法可以分为,静态路由选择算法,和,动态路由选择算法。,6.2.1,路由器简介,静态路由选择算法属于非自适应路由选择算法，这是一种不测量、不利用网络状态信息，仅仅按照某种固定规律进行决策的简单的路由选择算法。静态路由选择算法的特点是简单、时间开销较小，但是不能适应网络状态的变化。静态路由选择算法主要包括扩散法和固定路由表法。,动态路由选择算法属于自适应路由选择算法，是依靠当前网络的状态信息进行决策的，从而使路由选择结果在一定程度上适应网络拓扑结构和通信量的变化。动态路由选择算法的特点是能较好地适应网络状态的变化，但是实现起来较为复杂，开销也比较大。,6.2.1,路由器简介,6.2.2,路由器的基本配置,路由器的基本配置包括配置路由器的主机名及相关密码、配置相关接口、配置终端会话等。,1.,路由器的配置模式,路由器的配置模式分为用户模式、特权模式、全局配置模式、接口配置模式、子接口配置模式、控制台接口配置模式和路由器协议配置模式几类。,（,1,）用户模式：形式为,Router,，启动机器后直接进入用户模式，在该模式下只能查询路由器的一些基础信息，使用一些基本的监测命令，如,ping,，,traceroute,等。,（,2,）特权模式：形式为,Router#,，在用户模式下输入,enable,命令即可进入特权模式，在该模式下可以查看路由器的配置信息和调试信息等。,（,3,）全局配置模式：形式为,Router(config)#,，在特权用户模式下输入,configure terminal,命令即可进入全局配置模式，在该模式下主要完成全局参数的配置。,（,4,）接口配置模式：形式为,Router(config-if)#,，在全局配置模式下输入,interface interface-list,即可进入接口配置模式，在该模式下主要完成接口参数的配置。,（,5,）子接口配置模式：形式为,Router(config-subif)#,，该模式用于配置在路由器中创建的逻辑接口。,（,6,）控制台接口配置模式：形式为,Router(config-line)#,，该模式通常用于配置用户口令。,（,7,）路由器协议配置模式：形式为,Router(config-router)#,，该模式用于配置路由器协议，如,OSPF,、,RIP,等。,6.2.1,路由器简介,2.,配置主机名和相关密码,1,）配置主机名,命令格式为：,Router(config)#hostname,主机名,2,）配置相关密码,命令格式为：,enable password,6.2.1,路由器简介,3.,配置相关接口,路由器作为连接广域网与局域网、广域网与广域网的设备，其接口类型十分丰富，其中包括局域网接口（,AUI,、,RJ-45,、,FDDI,、,ATM,、千兆以太网口等）、广域网接口（,AUI,、,RJ-45,、高速同步串口、异步串口、,ISDN BRI,端口等）；另外比较特殊的是，路由器上有两个配置接口，分别是,Console,和,AUX,，,Console,通常在进行路由器基本配置时用于通过专用连线与计算机连接，,AUX,用于路由器的远程配置连接。,6.2.1,路由器简介,4.,配置终端会话,终端会话的配置主要包括,Console,控制台的配置、,Telnet,远程登录会话的配置，以及其他远程登录会话的配置。这些配置主要包括为终端会话配置登录权限、离线时间等。,6.2.1,路由器简介,6.3,常见网络设备的安全管理和维护,网络设备的安全对整个网络的安全非常重要，作为网络管理员必须十分清楚自己所管理的网络设备的安全程度并及时作出调整，确保设备安全，以避免受到攻击而造成不必要的损失。,网络安全可以分为网络设备的安全和网络信息的安全。,网络设备的安全分为物理安全和访问控制安全两方面。,6.3.1,网络设备的物理安全,网络设备的物理安全是指网络设备周围环境的安全及网络设备硬件的安全，是网络安全体系中最为重要的部分。保证网络设备的安全要做到以下两点：,（,1,）提供良好的室内环境。良好的室内环境应该对场地的封闭、防火、防盗、防雷、防静电、室内温度和湿度的控制以及电源的安全等提供符合网络设备正常工作要求的安全保证。,（,2,）控制对设备的直接访问。在可能的情况下为机架上锁，并且在控制台和辅助端口设置口令。,6.3.2,网络设备的访问控制安全,网络设备的访问控制主要是防止非法用户进入网络设备并对其配置进行修改，避免网络瘫痪。,1.,路由器的访问控制安全,路由器的安全对整个网络的安全稳定起着重要的作用。,（,1,）为路由器间的协议交换增加认证功能。（,2,）路由器的物理安全防范。,（,3,）保护路由器口令。（,4,）阻止查看路由器诊断信息。,（,5,）阻止查看到路由器当前的用户列表。（,6,）关闭,CDP,服务。,（,7,）阻止路由器接收带源路由标记的包，将带有源路由选项的数据流丢弃。,（,8,）关闭路由器广播包的转发。（,9,）管理,HTTP,服务。,（,10),抵御,spoofing(,欺骗,),类攻击。（,11),防止包嗅探。,（,12),校验数据流路径的合法性。,2.,交换机的访问控制安全,1,）通过设置加密口令实现访问控制：主要包括,CONSOLE,口、虚拟终端、使能密码的设置。,2,）对虚拟终端的访问控制。,3,）对,Web,控制台的访问控制。可以通过修改,web,登录端口、实施,ACL,、关闭,http,服务来实现安全控制。,4,）对设备的访问设置不同的权限。,5,）控制会话超时及设置警示登录标语消息。,6.3.2,网络设备的访问控制安全,6.4,虚拟专用网技术,近年来，虚拟专用网（,virtual private network,，,VPN,）已成为,IT,界的一个新热点。,VPN,已经成为当今网络的必要组成部分，它为确保内联网（,Intranet,）和外联网（,Extranet,）在共享的,Internet,结构上的通信专用性提供了有效的手段。,6.4.1 VPN,概述,1.VPN,的定义,VPN,被定义为通过一个公用网络（通常是,Internet,）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网、虚拟专用网。,2.VPN,的特点,1,）安全保障,2,）服务质量保证,3,）可扩充性和灵活性,4,）可管理性,3.VPN,的应用,目前，,VPN,的应用很广泛，例如：,（,1,）企业员工及授权商业伙伴共享企业的商业信息。,（,2,）在网上进行信息及文件安全快速的交换。,（,3,）通过网络安全地发送电子邮件。,（,4,）通过网络实现无纸办公和无纸贸易。,6.4.1 VPN,概述,6.4.2 VPN,中的常用技术,目前,VPN,主要采用,4,项技术：隧道技术、加解密技术、密钥管理技术、使用者与设备身份认证技术。,1.,隧道技术,隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的技术。使用隧道传递的数据,(,或负载,),可以是不同协议的数据帧或包。隧道协议将这些其他协议的数据帧或包重新封装在新的包