CISCO 路由器OSPF+MPLS+BGP配置实例
二OO八年九月四日
目录
一、网络环境 (3)
二、网络描述 (3)
三、网络拓扑图 (4)
四、P路由器配置 (4)
五、PE1路由器配置 (6)
六、PE2路由器配置 (9)
七、CE1路由器配置 (11)
八、CE2路由器配置 (13)
九、业务测试 (14)
一、网络环境
由5台CISCO7204组成的网络,一台为P路由器,两台PE路由器,两台CE 路由器;
二、网络描述
在P和两台PE路由器这间通过OSPF动态路由协议完成MPLS网络的建立,两台PE路由器这间启用BGP路由协议,在PE路由器上向所属的CE路由器指VPN 路由,在CE路由器中向PE路由器配置静态路由。
配置思路:
1、在P和两台PE路由器这间通过OSPF动态路由协议,在P和PE路由器两两互连的端口上启用MPLS,两台PE之间的路为备份路由,这属公网路由。
2、两台PE路由器这间启用BGP路由协议,这使得属于VPN的IP地址能在两个网络(两台CE所属的网络)互相发布,这属私网(VPN)路由。
3、在PE路由器上向所属的CE路由器指VPN路由,这打通了两个网络(两台CE所属的网络)之间的路由。
三、网络拓扑图
P 路由器(r1)(r4)CE1路由器(r5)
PE1LOOP0:202.98.4.3/32
LOOP0:192.168.3.1/24LOOP0:192.168.4.1/24
四、P 路由器配置
p#SHOW RUN
Building configuration...
Current configuration : 1172 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname p
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
ip audit po max-events 100
!
!
interface Loopback0
ip address 202.98.4.3 255.255.255.255 !
interface FastEthernet0/0
description to_r2
ip address 10.1.1.10 255.255.255.252 ip ospf cost 20
duplex full
tag-switching mtu 1508
tag-switching ip
!
interface FastEthernet1/0
description to_r3
ip address 10.1.1.6 255.255.255.252 ip ospf cost 20
duplex full
tag-switching mtu 1508
tag-switching ip
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
router ospf 100
log-adjacency-changes
redistribute connected subnets redistribute static subnets
network 10.1.1.6 0.0.0.0 area 0 network 10.1.1.10 0.0.0.0 area 0
!
ip classless
no ip http server
no ip http secure-server
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
p#
五、PE1路由器配置
pe1#show run
Building configuration...
Current configuration : 1813 bytes
!
version 12.3
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname pe1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip vrf vpna
rd 1:100
route-target export 200:1
route-target import 200:1
!
ip cef
ip audit po max-events 100
!
!
interface Loopback0
ip address 202.98.4.1 255.255.255.255
!
interface FastEthernet0/0
description to_r5
ip vrf forwarding vpna
ip address 172.16.1.1 255.255.255.252 duplex full
tag-switching ip
!
interface FastEthernet1/0
description to_r1
ip address 10.1.1.5 255.255.255.252
ip ospf cost 20
duplex full
tag-switching mtu 1508
tag-switching ip
!
interface FastEthernet2/0
ip address 10.1.1.1 255.255.255.252
ip ospf cost 100
duplex full
tag-switching mtu 1508
tag-switching ip
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
router ospf 100
log-adjacency-changes
redistribute connected metric-type 1 subnets
network 10.1.1.0 0.0.0.255 area 0
network 202.98.4.0 0.0.0.255 area 0
!
router bgp 100
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 202.98.4.2 remote-as 100
neighbor 202.98.4.2 update-source Loopback0 neighbor 202.98.4.2 version 4
!
address-family vpnv4
neighbor 202.98.4.2 activate
neighbor 202.98.4.2 send-community extended
exit-address-family
!
address-family ipv4 vrf vpna
redistribute connected
redistribute static
no auto-summary
no synchronization
exit-address-family
!
ip classless
ip route vrf vpna 192.168.3.0 255.255.255.0 172.16.1.2 no ip http server
no ip http secure-server
!
ip ospf name-lookup
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
pe1#
六、PE2路由器配置
pe2#show run
Building configuration...
Current configuration : 1725 bytes
!
version 12.3
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption
!
hostname pe2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip vrf vpna
rd 1:100
route-target export 200:1
route-target import 200:1
!
ip cef
ip audit po max-events 100
!
!
interface Loopback0
ip address 202.98.4.2 255.255.255.255 !
interface FastEthernet0/0
description to_r1
ip address 10.1.1.9 255.255.255.252
ip ospf cost 20
duplex full
tag-switching ip
!
interface FastEthernet1/0
ip vrf forwarding vpna
ip address 172.16.2.1 255.255.255.0
duplex full
tag-switching ip
!
interface FastEthernet2/0
ip address 10.1.1.2 255.255.255.252
ip ospf cost 100
duplex full
tag-switching ip
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
router ospf 100
log-adjacency-changes
redistribute connected metric 1 subnets redistribute static metric-type 1 subnets network 10.1.1.0 0.0.0.255 area 0
!
router bgp 100
no bgp default ipv4-unicast
bgp log-neighbor-changes
neighbor 202.98.4.1 remote-as 100
neighbor 202.98.4.1 update-source Loopback0 neighbor 202.98.4.1 version 4
!
address-family vpnv4
neighbor 202.98.4.1 activate
neighbor 202.98.4.1 send-community extended exit-address-family
!
address-family ipv4 vrf vpna
redistribute connected
redistribute static
no auto-summary
no synchronization
exit-address-family
!
ip classless
ip route vrf vpna 192.168.4.0 255.255.255.0 172.16.2.2 no ip http server
no ip http secure-server
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
End
七、CE1路由器配置
ce1#show run
Building configuration...
Current configuration : 892 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ce1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
ip audit po max-events 100
!
!
interface Loopback0
ip address 192.168.3.1 255.255.255.0 !
interface FastEthernet0/0
description to_r3
ip address 172.16.1.2 255.255.255.252 duplex full
!
interface FastEthernet1/0
no ip address
shutdown
duplex half
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.1.1
no ip http server
no ip http secure-server
!
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
八、CE2路由器配置
Ce2#show run
Building configuration...
*Sep 3 13:53:56.167: %SYS-5-CONFIG_I: Configured from console by console Current configuration : 888 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ce2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
!
ip cef
ip audit po max-events 100
!
!
interface Loopback0
ip address 10.10.13.1 255.255.255.0
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
interface FastEthernet1/0
description to_r2
ip address 10.10.12.2 255.255.255.0
duplex full
!
interface FastEthernet2/0
no ip address
shutdown
duplex half
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.2.1
no ip http server
no ip http secure-server
!
!
gatekeeper
shutdown
!
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login
!
!
end
九、业务测试
ce1# ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 96/190/324 ms ce1#
ce2#ping 192.168.3.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 336/468/588 ms ce2#
OSPF 学习笔记 OSPF 协议号是89,也就是说在ip 包的protocol 中是89,用ip 包来传送 数据包格式: 在OSPF 路由协议的数据包中,其数据包头长为24 个字节,包含如下8 个字段: * Version number-定义所采用的OSPF 路由协议的版本。 * Type-定义OSPF 数据包类型。OSPF 数据包共有五种: * Hello-用于建立和维护相邻的两个OSPF 路由器的关系,该数据包是周期性地发送的。 * Database Description-用于描述整个数据库,该数据包仅在OSPF 初始化时发送。 * Link state request-用于向相邻的OSPF 路由器请求部分或全部的数据,这种数据包是在当 路由器发现其数据已经过期时才发送的。 * Link state update-这是对link state 请求数据包的响应,即通常所说的LSA 数据包。 * Link state acknowledgment-是对LSA 数据包的响应。 * Packet length-定义整个数据包的长度。 * Router ID-用于描述数据包的源地址,以IP 地址来表示,32bit * Area ID-用于区分OSPF 数据包属于的区域号,所有的OSPF 数据包都属于一个特定 的OSPF 区域。 * Checksum-校验位,用于标记数据包在传递时有无误码。 * Authentication type-定义OSPF 验证类型。 * Authentication-包含OSPF 验证信息,长为8 个字节。 FDDI 或快速以太网的Cost 为1,2M 串行链路的Cost 为48,10M 以太网的Cost 为10 等。 所有路由器会通过一种被称为刷新(Flooding)的方法来交换链路状态数据。Flooding 是指路由器将其LSA 数据包传送给所有与其相邻的OSPF 路由器,相邻路由器根据其接收到的链路状态信息 更新自己的数据库,并将该链路状态信息转送给与其相邻的路由器,直至稳定的一个过程。当路由 器有了一个完整的链路状态数据库时,它就准备好要创建它的路由表以便能够转发数据流。CISCO 路由器上缺省的开销度量是基于网络介质的带宽。要计算到达目的地的最低开销,链路状态型路由选择协议(比如OSPF)采用Dijkstra 算法,OSPF 路由表中最多保存 6 条等开销路由条目以进行负 载均衡,可以通过"maximum-paths" 进行配置。如果链路上出现fapping 翻转,就会使路由器不停 的计算一个新的路由表,就可能导致路由器不能收敛。路由器要重新计算客观存它的路由表之前先 等一段落时间,缺省值为 5 秒。在CISCO 配置命令中"timers spf spf-delay spy-holdtime" 可以对两次连续SPF 计算之间的最短时间(缺省值10 秒)进配置。 路由器初始化时Hello 包是用224.0.0.5 广播给域内所有OSPF 路由器,选出DR 后在用224.0.0.6 和DR,BDR 建立邻接。DR 用224.0.0.5 广播给DRother LSA BDR 也是 DRother 用224.0.0.6 广播LSA 给DR 和BDR DR 是在一个以太网段内选举出来的,如果一个路由器有多个以太网段那么将会有多个 DR 选举;DR 的选择是通过OSPF 的Hello 数据包来完成的,在OSPF 路由协议初始化的过程中,会通过Hello 数据包在一个广播性网段上选出一个ID 最大的路由器作为指定
一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问,比如计算机A访问计算机B,那么,计算机B 相当于服务器,计算机A相当于客户机。如果是访问网页,一般就是客户机访问服务器的80端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT)。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
ospf协议,实验报告 篇一:实验7 OSPF路由协议配置实验报告 浙江万里学院实验报告 课程名称:数据通信与计算机网络及实践 实验名称: OSPF路由协议配置专业班级:姓名:小组学号:XX014048 实验日期: 再测试。要求写出两台路由器上的ospf路由配置命令。 第页共页 [RTC-rip-1]import ospf [RTC-rip-1]quit [RTC]ospf [RTC-ospf-1]import rip [RTC-ospf-1]quit 结合第五步得到的路由表分析出现表中结果的原因: RouteB 通过RIP学习到C和D 的路由情况,通过OSPF 学习到A 的路由信息 实验个人总结 班级通信123班本人学号后三位__048__ 本人姓名_徐波_ 日期 本次实验是我们的最后一次实验,再次之前我们已经做了很多的有关于华为的实验,从一开始的一头雾水到现在的有一些思路,不管碰到什么问题,都能够利用自己所学的知识去解决或者有一些办法。这些华为实验都让我受益匪浅。
实验个人总结 班级通信123班本人学号后三位__046__ 本人姓名_金振宁_ 日期 这两次实验都可以利用软件在寝室或者去其他的地方去做,并不拘泥于实验室,好好的利用华为的模拟机软件对我们来说都是非常有用的。 实验个人总结 班级通信123班本人学号后三位本人姓名_陈哲日期 第页共页 篇二:单区域的OSPF协议配置实验报告 学生实验报告 *********学院 篇三:OSPF实验报告 计算机学院 实验报告 ( XX 年春季学期) 课程名称:局域网设计与管理 主讲教师:李辉 指导教师:学生姓名: 学 年郑思楠号: XX012019 级: XX级
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名 addressname any 添加网口ip: 禁用网口: network interface eth16 shutdown 启用网口: network interface eth16 no shutdown 交换模式: network interface eth16 switchport(no switchport路由模式) 区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on 权限允许》 主机地址: define host add name 主机名 子网地址: define host subnet add name 名字 自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip: web服务器外网访问 1)设置 E1 区域 #define area add name E1 access on attribute eth1 2)定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明:“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1)设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2)定义外网区域(adsl-a) #define area add name adsl-a attribute adsl access on 3)配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4)拨号 #network adsl start 5)查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13
OSPF协议的配置 1.配置ospf的stub区域 【 quidway】ospf [process-id] 【 quidway】area area-id 【 quidway】stub [no-summary]配置当前区域为STUB区域 Stub命令只有当在ABR上配置时,可选参数no-summary 才能对该区域起作用(所有连接到stub区域的路由器必须使用stub命令将该区域配置成stub区域 2.配置ospf的Nssa区域 【 quidway】ospf [process-id] 【 quidway】area area-id 【 quidway】nssa [default-route-advertise|no-import-route|no-summary] 配置一个区域为NSSA区域,所有连接到NSSA区域的路由器使用NSSA命令将 该区域配置为NSSA属性 3.配置ospf的虚连接 【 quidway】ospf [process-id] 【 quidway】area area-id 【 quidway】vlink-peer router-id连接到对方的router-id 4.配置ospf的网络类型 介绍:OSPF根据类型分为四种,由于NBMA网络必须是全连接通的,所有网络中任意两台路由器之间都必须可达,很多情况下,这个要求无法满足,这时需要修改网络类型,如果部分路由器之间没有直接可达的链路时,应将接口配置成P2MP方式,如果路由器在NBMA 网络中只有一个对端,可以将接口类型改为P2P方式 【 quidway】interface interface-type interface-number 【 quidway】ospf network-type {broadcast|nbma|p2mp|p2p}配置ospf接口的网络类型5.配置ospf的路由聚合 【 quidway】ospf [process-id] 【 quidway】area area-id 【 quidway】abr(asbr)-summary ip-address mask配置abr和asbr的路由聚合 6.配置过滤ospf接收的路由 【Quidway】ospf 【Quidway】area area-id 【Quidway】filter-policy acl-number import(基于ACL过滤学到的路由信息) 【Quidway】filter-policy gateway ip-prefix-name import(基于目的地址前缀过滤邻居发布路由信息) 7.配置ospf引入缺省路由 【Quidway】ospf 【Quidway】default-route-advertise[always][cost cost][type type][route- Policy route-policy-name]使用这个命令配置always参数时,可以强制OSPF引入一条缺省路由,否则必须本地有缺省路由才可以 引入。 8.配置ospf的区域认证 【Quidway】ospf 【Quidway】area area-id
OSPF 协议配置 【实验目的】 1.了解和掌握ospf 的原理; 2.熟悉ospf 的配置步骤; 3.懂得如何配置OSPF router ID ,了解DR/BDR 选举过程; 4.掌握hello-interval 的使用; 5.学会使用OSPF 的authentication ; 【实验拓扑】 【实验器材】 如上图,需用到路由器三台,hub/switch 一个,串行线、网线若干,主机三台。 说明:拓扑中网云可用hub 或普通switch 替代,建立multiaccess 网络,以太口连接。 【实验原理】 一、OSPF 1. OSPF 基本原理以及邻居关系建立过程 OSPF 是一种链路状态型路由选择协议。它依靠5种(Hello, DBD, LSR, LSU and LSAck)不同种类的数据包来识别、建立和维护邻居关系。当路由器接收到来自邻居的链路状态信息后,会建立一个链路状态数据库;然后根据该链路状态数据库,采用SPF 算法确定到各目的地的最佳路径;最后将最佳路径放到它的路由表中,生成路由表。 OSPF 会进行周期性的更新以维护网络拓扑状态,在LSA 的生存期到期时进行周期性的更新。除了周期性更新之外,还有触发性更新。即当网络结构发生变化(例如增减路由器、链路状态发生变化等)时,会产生触发性更新,把变化的那一部分通告给整个网络。 192.168.1.0/24 RT A
2.Designated Router (DR) / Backup Designated Router(BDR)选举过程 存在于multiaccess网络,点对点链路和NBMA网络中无此选举过程,此过程发生在Two-Way之后ExStart之前。 选举过程: 选举时,依次比较hello包中的各台router priority和router ID,根据这两个值选出DR 和BDR。选举结束后,只有DR/BDR失效才会引起新的选举过程;如果DR故障,则BDR 替补上去,次高优先级Router被选为BDR。 基本原则如下: 1)有最高优先级值的路由器成为DR,有第二高优先级的路由器成为BDR; 2)优先级为0的路由器不能作为DR或BDR,只能做DRother (非DR); 3)如果一台优先级更高的路由器加到了网络中,原来的DR与BDR保持不变,只有DR 或BDR它们失效时才会改变; 4)当优先级相同时,路由器ID最高和次高的的就成为DR和BDR; 5)当没有配置loopback时,用router上up起来的端口中最高IP地址作为Router ID,否则就用loopback口的IP地址作为它的ID;如果有多个loopback则用loopback端口中最高IP地址作为ID;而且路由器ID 一旦确定就不再更改。 建议使用优先级操纵DR/BDR选举过程 3.update timer与authentication的影响 要让OSPF路由器能相互交换信息,它们必须具有相同的hello间隔和相同的dead-time 间隔。缺省情况下,后者是前者的4倍。 缺省地,路由器认为进入的路由信息总是可靠的、准确的,从而不加甄别就进行处理,这存在一定的危险。因此,为了确保进入的路由信息的可靠性和准确性,我们可以在路由器接口上配置认证密钥来作为同一区域OSPF路由器之间的口令,或对路由信息采用MD5算法附带摘要信息来保证路由信息的可靠性和准确性。建议采用后者,因为前者的密钥是明文发送的。 三、其它预备知识 1、回环接口的配置: Router(config)#int l0 Router(config-if)#ip addr *.*.*.* *.*.*.* 2、telnet:是属于应用层的远程登陆协议,是一个用于远程连接服务的标准协议,用户可以 用它建立起到远程终端的连接,连接到Telnet服务器;用户也可以用它远程连接上路由器进行路由器配置。 【实验内容】 一、在路由器上配置单域的OSPF 1.按照拓扑图1接好线,完成如下基本配置: (1)配置端口IP地址 以RTA路由器的配置为例: RTA(config)#Interface Ethernet 0 RTA(config-if)#ip address 192.168.1.1 255.255.255.0
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
OSPF 协议配置 【实验目的】 1.了解和掌握ospf 的原理; 2.熟悉ospf 的配置步骤; 3.懂得如何配置OSPF router ID ,了解DR/BDR 选举过程; 4.掌握hello-interval 的使用; 5.学会使用OSPF 的authentication ; 【实验拓扑】 【实验器材】 如上图,需用到路由器三台,hub/switch 一个,串行线、网线若干,主机三台。 说明:拓扑中网云可用hub 或普通switch 替代,建立multiaccess 网络,以太口连接。 【实验原理】 一、OSPF 192.168.1.0/RTA
1. OSPF基本原理以及邻居关系建立过程 OSPF是一种链路状态型路由选择协议。它依靠5种(Hello, DBD, LSR, LSU and LSAck)不同种类的数据包来识别、建立和维护邻居关系。当路由器接收到来自邻居的链路状态信息后,会建立一个链路状态数据库;然后根据该链路状态数据库,采用SPF算法确定到各目的地的最佳路径;最后将最佳路径放到它的路由表中,生成路由表。 OSPF会进行周期性的更新以维护网络拓扑状态,在LSA的生存期到期时进行周期性的更新。除了周期性更新之外,还有触发性更新。即当网络结构发生变化(例如增减路由器、链路状态发生变化等)时,会产生触发性更新,把变化的那一部分通告给整个网络。 2.Designated Router (DR) / Backup Designated Router(BDR)选举过程 存在于multiaccess网络,点对点链路和NBMA网络中无此选举过程,此过程发生在Two-Way之后ExStart之前。 选举过程: 选举时,依次比较hello包中的各台router priority和router ID,根据这两个值选出DR和BDR。选举结束后,只有DR/BDR失效才会引起新的选举过程;如果DR故障,则BDR替补上去,次高优先级Router被选为BDR。 基本原则如下: 1)有最高优先级值的路由器成为DR,有第二高优先级的路由器成为BDR; 2)优先级为0的路由器不能作为DR或BDR,只能做DRother (非DR); 3)如果一台优先级更高的路由器加到了网络中,原来的DR与BDR保持不变,只有DR或BDR它们失效时才会改变; 4)当优先级相同时,路由器ID最高和次高的的就成为DR和BDR; 5)当没有配置loopback时,用router上up起来的端口中最高IP地址作为Router ID,否则就用loopback口的IP地址作为它的ID;如果有多个loopback则用loopback端口中最高IP地址作为ID;而且路由器ID 一旦确定就不再更改。 建议使用优先级操纵DR/BDR选举过程 3.update timer与authentication的影响 要让OSPF路由器能相互交换信息,它们必须具有相同的hello间隔和相同的dead-time
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
天融信防火墙通用配置 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂用户名为:superman,密码为:talent或superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口 Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。现例eth0口IPIP其余选项采用默认配置。 三.路由配置 点击:网络管理----路由, 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加: 该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。X 2.区域设置: 点击:资源管理---区域; 将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。 3.地址转换: 点击:防火墙----地址转换;点击添加: 在此我们只需设置目的转换,选中:[目的转换]选项。 在:[源]选项栏中,将any从选择源:移到:已选源中。 在:[目的]选项栏中将虚拟的主机对象(即xnweb)从选择源移到:已选源中。 下面的:[目的地址转换为:]选择:wcj-web(主机)即实际的web服务器的地址对象。 其他选项采用默认配置。 点击:确定。 最后要保存配置:如下图操作: 至此,该防火墙配置完成。
OSPF协议基本配置 注意:此实验拓扑图是以机房的实验拓扑画的,如果是使用模拟器来做此实验,请根据模拟器的拓扑来更改。 实验目的: 1.能够独立的配置OSPF的单区域,实现整个区域之间的网络通信。 2.能够使用各种SHOW命令进行检查。 3.理解DR/BDR的选举原则,OSPF的邻接关系的建立过程。 4.邻接关系建立的必须匹配的几个参数 5.3张表的形成过程,OSPF协议的基本原理 实验要求: 1.按照拓扑图把基本的链路连接配置起来,并且配置完成以后检查基本的链路通信(检查直连链路之间能否进行通信) 2.运行OSPF协议,实现整个网络之间可达。(配置OSPF单区域) 3.保证R1成为DR,其他的路由器成为DROTHER 实验配置:(基本的常见配置和链路配置这里不给出) R1上的配置: R1(config)#int loopback 0 R1(config-if)#ip address 11.11.11.11 255.255.255.0 //回环接口,一般回环接口我们主要用来做测试或者模拟网段的时候使用,需要注意回环接口是一个逻辑上的接口。没有真实的物理接口和他对应,但是回环接口基本上具有所有物理借口的特性 R1(config-if)#
R1(config)#router ospf 1 //运行OSPF协议,进程ID为1。进程ID只是为了识别路由器本地运行了几个OSPF进程。 R1(config-router)#router-id 1.1.1.1 //指定R1的router-id为1.1.1.1 R1(config-router)#network 12.12.12.0 0.0.0.255 area 0 //将属于12.12.12.0/24这个网段的所有接口公告到区域0里去。 R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 R1(config-router)# R2上的配置: R2(config)#router ospf 1 R2(config-router)#router-id 2.2.2.2 R2(config-router)#network 12.12.12.0 0.0.0.255 area 0 R2(config-router)#network 13.13.13.0 0.0.0.255 area 0 R2(config-router)#network 172.16.1.0 0.0.0.255 area 0 R2(config-router)# R3上的配置: R3(config)#interface loopback 0 R3(config-if)#ip address 33.33.33.33 255.255.255.0 R3(config)#router ospf 1 R3(config-router)#router-id 3.3.3.3 R3(config-router)#network 13.13.13.0 0.0.0.255 area 0 R3(config-router)#network 172.16.1.0 0.0.0.255 area 0 R3(config-router)#network 33.33.33.0 0.0.0.255 area 0 当完成上述配置以后我们可以发现已经可以实现整个网络之间的相互通信了。 当做完以后使用各种SHOW命令进行检查。 R1#sh ip ospf neighbor//查看OSPF的邻接关系表,需要注意这里所看到的都是邻居的信息。 Neighbor ID Pri State Dead Time Address Interface 2.2.2.2 1 FULL/BDR 00:00:29 172.16.1.2 Ethernet0 3.3.3.3 1 FULL/DROTHER 00:00:37 172.16.1.3 Ethernet0 2.2.2.2 0 FULL/ - 00:00:30 12.12.12.2 Serial0 R1#
实验三OSPF路由协议的基本配置 一、实验目的 1、掌握OSPF路由协议的配置方法 2、观察LSA生成情况 3、掌握域间路由聚合 二、准备知识 1、OSPF协议概述 OSPF(Open Shortest Path First,开放最短路径优先)是一个内部网关协议(Interior Gateway Protocol, IGP),用于在单一自治系统(autonomous system,AS)内决策路由。与RIP相对,OSPF是链路状态路由协议,而RIP是距离向量路由协议。 OSPF协议使用的是最短路径优先算法,利用链路状态通告(Link State Advertisement,LSA)得到的信息来计算到每一个目标网络的最短路径。每一台路由器将会对区域中的网络拓扑结构有一个完整的观察,以自身为根生成一个树,并有到达每个目的网段的完整路径。 2、LSA的分类及格式 type=1:Router-LSA(路由器LSA),由路由器生成,描述路由器的链路状态和花费,传递到整个区域(ABR对不同的区域生成不同的Router-LSA,在对应的区域内传播)。 type=2:Network-LSA(网络LSA),由DR生成,描述本网段的链路状态,传递到整个区域。 type=3:Net-Summary-LSA(网络聚合LSA),由ABR生成,描述到某区域内某一网段的路由信息,传播到相邻的区域。 type=4:ASBR-Summary-LSA(ASBR聚合LSA),由ABR生成,描述了ASBR的信息,传播到相关区域。 type=5:AS-External-LSA(AS外部LSA),由ASBR生成,描述到AS外部的路由,传递到整个AS(stub区域除外)。 2、区域 OSPF协议将整个自治系统(AS)分为若干个区域。 规定:区域0是一个OSPF网络中必须具有的区域,称为骨干区域。其它所有区域必须和骨干区域连接在一起。通常也称为区域直径不超过3。 3、路由器标识(Router ID) Router ID是一个32bit的数字,它在自治系统中被用来惟一识别路由器。缺省时,OSPF协议使用最高的回送接口(Loopback接口)地址作为RID,若Loopback接口没有被设置,则使用物理接口上最高的IP地址作为RID。 使用Loopback 接口的好处是它是逻辑接口,比物理接口稳定,不会因为接口故障而产生新的RID。使用Loopback接口的另一个好处是允许管理员手工分配RID。 ◆Loopback 是一种纯软件性质的虚拟接口,任何送到该接口的网络数据报文都 会被认为是送往路由器自身的。 ◆Loopback 接口一旦被创建,将一直保持Up 状态,直到被删除。 4、OSPF进程号(process-id)
天融信防火墙配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:192.168.1.254, 出厂用户名为:superman,密码为:talent或12345678。现IP改为192.168.4.21,用户名为:superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:https://192.168.1.254,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口 Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与
web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在192.168.4.0/24网段,MISS网在172.20.40.0/24网段。eth0口IP为192.168.4.21(WEB服务器实际IP为192.168.4.20),eth1IP口为172.20.40.1。接口模式选择:路由。其余选项采用默认配置。三.路由配置 点击:网络管理----路由, 现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:192.168.4.21既eth0口的IP,MISS网端的主机网关设成:172.20.40.1即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加:
C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside
security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS