H3C SR8800-X 核心路由器
策略路由配置指导
目录
1 简介 (1)
2 配置前提 (1)
3 使用限制 (1)
4 IPv4 策略路由配置举例 (1)
4.1 组网需求 (1)
4.2 配置思路 (2)
4.3 使用版本 (2)
4.4 配置步骤 (2)
4.5 验证配置 (3)
4.6 配置文件 (3)
4.7 组网需求 (4)
4.8 配置思路 (5)
4.9 使用版本 (5)
4.10 配置步骤 (5)
4.11 验证配置 (6)
4.12 配置文件 (6)
5 相关资料 (7)
1 简介
本文档介绍了策略路由的配置举例。
普通报文是根据目的IP 地址来查找路由表转发的,策略路由是一种依据用户制定的策略进行路由选择的机制。策略路由可以基于到达报文的源地址、目的地址、IP 优先级、协议类型等字段灵活地进行路由选择。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解策略路由特性。
3 使用限制
?本设备只支持转发策略路由。转发策略路由只对接口接收的报文起作用,指导其转发,对本地产生的报文不起作用;
?配置重定向到下一跳时,不能将IPv4 规则重定向到IPv6 地址,反之亦然。
4 IPv4 策略路由配置举例
4.1 组网需求
如图1 所示,缺省情况下,Device的接口GigabitEthernet 3/0/1 上收到的所有访问Server的报文根据路由表转发的下一跳均为10.4.1.2。
现要求在Device 上配置IPv4 策略路由,对于访问Server 的报文实现如下要求:
(1) 首先匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,将该报文的下一
跳重定向到10.5.1.2;
(2) 其次匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,将该报文的下一跳重定向到
10.3.1.2。
图1 IPv4 策略路由特性典型配置组网图
4.2 配置思路
?为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配接口GigabitEthernet 3/0/1 上收到的源IP 地址为10.2.1.1 的报文,另一
个用于匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,并在策略路由中创建两个节点,
分别对匹配上的报文进行重定向;
?同一条策略路由中,创建的节点编号越小,优先级越高。为了确保接口GigabitEthernet 3/0/1 上收到源IP 地址为10.2.1.1 的HTTP 报文下一跳能优先被重定向到10.5.1.2,需要在策略路
由中配置该策略使用较小的节点编号(本例中使用0 号节点,另一策略使用1 号节点)。4.3 使用版本
本举例是在SR8800-CMW710-R7143 版本上进行配置和验证的。
4.4 配置步骤
# 配置接口GigabitEthernet 3/0/1 的IP 地址。
[Device] interface gigabitethernet 3/0/1
[Device-GigabitEthernet3/0/1] ip address 10.1.2.1 255.255.255.0
[Device-GigabitEthernet3/0/1] quit
# 请参考以上方法配置图1 中其它接口的IP地址,配置步骤这里省略。
# 配置静态路由,保证三条路径都可达,并且缺省下一跳为10.4.1.2。
[Device] ip route-static 192.168.1.0 24 10.3.1.2
[Device] ip route-static 192.168.1.0 24 10.4.1.2 preference 40
[Device] ip route-static 192.168.1.0 24 10.5.1.2
# 定义访问控制列表ACL 3005,用于匹配源IP 地址为10.2.1.1 的报文。
[Device] acl number 3005
[Device-acl-adv-3005] rule 0 permit ip source 10.2.1.1 0
[Device-acl-adv-3005] quit
# 定义访问控制列表ACL 3006,用于匹配HTTP 报文。
[Device] acl number 3006
[Device-acl-adv-3006] rule 0 permit tcp destination-port eq www
[Device-acl-adv-3006] quit
# 创建策略路由pbr1 的0 号节点,将匹配ACL 3005 的报文下一跳重定向到10.5.1.2。
[Device] policy-based-route pbr1 permit node 0
[Device-pbr-pbr1-0] if-match acl 3005
[Device-pbr-pbr1-0] apply next-hop 10.5.1.2
[Device-pbr-pbr1-0] quit
# 创建策略路由pbr1 的1 号节点,将匹配ACL 3006 的报文下一跳重定向到10.3.1.2。
[Device] policy-based-route pbr1 permit node 1
[Device-pbr-pbr1-1] if-match acl 3006
[Device-pbr-pbr1-1] apply next-hop 10.3.1.2
[Device-pbr-pbr1-1] quit
# 在Device 的接口GigabitEthernet 3/0/1 上应用策略。
[Device] interface gigabitethernet 3/0/1
[Device-GigabitEthernet3/0/1] ip policy-based-route pbr1
[Device-GigabitEthernet3/0/1] quit
4.5 验证配置
通过display ip policy-based-route 命令可以查看到当前策略路由配置已经配置成功:
[Device] display ip policy-based-route policy pbr1
Policy name: pbr1
node 0 permit:
if-match acl 3005
apply next-hop 10.5.1.2
node 1 permit:
if-match acl 3006
apply next-hop 10.3.1.2
# 通过tracert 命令查看以下报文的转发路径(使用Tracert 功能需要在中间设备上开启ICMP 超时报文发送功能,在目的端开启ICMP 目的不可达报文发送功能):
?源IP 为10.1.1.1 的非HTTP 报文,根据路由表进行转发,下一跳为10.4.1.2。
traceroute to 192.168.1.1 (192.168.1.1) from 10.1.1.1, 30 hops at most, 40 bytes
each packet, press CTRL_C to break
1 10.1.2.1 (10.1.2.1) 2.178 ms 1.364 ms 1.058 ms
2 10.4.1.2 (10.4.1.2) 1.548 ms 1.248 ms 1.112 ms
3 192.168.1.1 (192.168.1.1) 1.59
4 ms 1.321 ms 1.093 ms
?源IP 为10.2.1.1 的报文,重定向到10.5.1.2 进行转发。
traceroute to 192.168.1.1 (192.168.1.1) from 10.2.1.1, 30 hops at most, 40 bytes
each packet, press CTRL_C to break
1 10.1.2.1 (10.1.2.1) 1.721 ms 1.226 ms 1.050 ms
2 10.5.1.2 (10.5.1.2) 4.494 ms 1.385 ms 1.170 ms
3 192.168.1.1 (192.168.1.1) 1.448 ms 1.30
4 ms 1.093 ms
4.6 配置文件
#
policy-based-route pbr1 permit node 0
if-match acl 3005
apply next-hop 10.5.1.2
#
policy-based-route pbr1 permit node 1
if-match acl 3006
apply next-hop 10.3.1.2
#
interface GigabitEthernet3/0/1
port link-mode route
ip address 10.1.2.1 255.255.255.0
ip policy-based-route pbr1
#
interface GigabitEthernet3/0/3
port link-mode route
ip address 10.3.1.1 255.255.255.0
#
interface GigabitEthernet3/0/4
port link-mode route
ip address 10.4.1.1 255.255.255.0
#
interface GigabitEthernet3/0/5
port link-mode route
ip address 10.5.1.1 255.255.255.0
#
ip route-static 192.168.1.0 24 10.3.1.2
ip route-static 192.168.1.0 24 10.4.1.2 preference 40
ip # acl route-static
number 3005
192.168.1.0 24 10.5.1.2
rule 0 permit ip source 10.2.1.1 0
#
acl number 3006
rule 0 permit tcp destination-port eq www
#
4.7 组网需求
如 图 2 所示缺省情况下,Device 的接口GigabitEthernet 3/0/1 上收到的所有访问Server 的报文根据路由表转发的下一跳均为 2004::2。
现要求在 Device 上配置 IPv4 策略路由,对于访问 Server 的报文实现如下要求:
(1) 首先匹配接口 GigabitEthernet 3/0/1 上收到的源 IPv6 地址为 2002::1 的报文,将该报文的下
一跳重定向到 2005::2;
(2) 其次匹配接口 GigabitEthernet 3/0/1 上收到的 HTTP 报文,将该报文的下一跳重定向到
2003::2。
图2 IPv6 策略路由特性典型配置组网图
4.8 配置思路
?为了确保能同时满足对于两种不同类型的报文重定向到不同的下一跳,需要配置两个访问控制列表,一个用于匹配接口GigabitEthernet 3/0/1 上收到的源IPv6 地址为2002::1 的报文,另
一个用于匹配接口GigabitEthernet 3/0/1 上收到的HTTP 报文,并在策略路由中创建两个节
点,分别对匹配上的报文进行重定向;
?同一条策略路由中,创建的节点编号越小,优先级越高。为了确保接口GigabitEthernet 3/0/1 上收到源IPv6地址为2002::1 的HTTP 报文下一跳能优先被重定向到2005::2,需要在策略路
由中配置该策略使用较小的节点编号(本例中使用0 号节点,另一策略使用1 号节点)。
4.9 使用版本
本举例是在SR8800-CMW710-R7143 版本上进行配置和验证的。
4.10 配置步骤
#配置接口GigabitEthernet 3/0/1 的IPv6 地址。
[Device] interface gigabitethernet 3/0/1
[Device-GigabitEthernet3/0/1] ipv6 address 2007::1 64
[Device-GigabitEthernet3/0/1] quit
#请参考以上方法配置图2 中其它接口的IPv6 地址,配置步骤这里省略。
# 配置静态路由,保证三条路径都可达,并且缺省下一跳为2004::2/64。
[Device] ipv6 route-static 3001::1 64 2003::2
[Device] ipv6 route-static 3001::1 64 2004::2 preference 40
[Device] ipv6 route-static 3001::1 64 2005::2
# 定义IPv6 访问控制列表IPv6 ACL 3005,用于匹配源IPv6 地址为2002::1 的报文。
[Device] acl ipv6 number 3005
[Device-acl6-adv-3005] rule 0 permit ipv6 source 2002::1/128
[Device-acl6-adv-3005] quit
# 定义IPv6 访问控制列表IPv6 ACL 3006,用于匹配GigabitEthernet 3/0/1 端口上收到的HTTP 报文。
[Device] acl ipv6 number 3006
[Device-acl6-adv-3006] rule 0 permit tcp destination-port eq www
[Device-acl6-adv-3006] quit
# 创建IPv6 策略路由pbr1 的0 号结点,将匹配IPv6 ACL 3005 的报文下一跳重定向到2005::2。
[Device] ipv6 policy-based-route pbr1 permit node 0
[Device-pbr6-pbr1-0] if-match acl 3005
[Device-pbr6-pbr1-0] apply next-hop 2005::2
[Device-pbr6-pbr1-0] quit
# 创建IPv6 策略路由pbr1 的1 号结点,将匹配IPv6 ACL 3006 的报文下一跳重定向到2003::2。
[Device] ipv6 policy-based-route pbr1 permit node 1
[Device-pbr6-pbr1-1] if-match acl 3006
[Device-pbr6-pbr1-1] apply next-hop 2003::2
[Device-pbr6-pbr1-1] quit
# 在Device 的接口GigabitEthernet 3/0/1 上应用策略。
[Device] interface gigabitethernet 3/0/1
[Device-GigabitEthernet3/0/1] ipv6 policy-based-route pbr1
[Device-GigabitEthernet3/0/1] quit
4.11 验证配置
通过display ipv6 policy-based-route 命令可以查看到当前IPv6 策略路由配置已经生效:
[Device] display ipv6 policy-based-route policy pbr1
Policy name: pbr1
node 0 permit:
if-match acl 3005
apply next-hop 2005::2
node 1 permit:
if-match acl 3006
apply next-hop 2003::2
当Device 收到源IPv6 地址为2002::1 的报文时,有如下结果:
?当2005::2 可达时,报文被重定向到2005::2;
?当2005::2 不可达时,报文会根据普通的路由表转发到下一跳2004::2。
当Device 收到HTTP 报文时,有如下结果:
?当2003::2 可达时,报文被重定向到2003::2;
?当2003::2 不可达时,报文会根据普通的路由表转发到下一跳2004::2。
4.12 配置文件
#
ipv6 policy-based-route pbr1 permit node 0
if-match acl 3005
apply next-hop 2005::2
#
ipv6 policy-based-route pbr1 permit node 1
if-match acl 3006
apply next-hop 2003::2
#
interface GigabitEthernet3/0/1
port link-mode route
ipv6 policy-based-route pbr1
ipv6 address 2007::1/64
#
interface GigabitEthernet3/0/3
port link-mode route
ipv6 address 2003::1 64
#
interface GigabitEthernet3/0/4
port link-mode route
ipv6 address 2004::1 64
#
interface GigabitEthernet3/0/5
port link-mode route
ipv6 address 2005::1 64
#
ipv6 route-static 3001:: 64 2003::2
ipv6 route-static 3001:: 64 2004::2 preference 40
ipv6 route-static 3001:: 64 2005::2
#
acl ipv6 number 3005
rule 0 permit ipv6 source 2002::1/128
#
acl ipv6 number 3006
rule 0 permit tcp destination-port eq www
#
5 相关资料
?H3C SR8800-X 核心路由器三层技术-IP 路由配置指导-Release7143 ?H3C SR8800-X 核心路由器三层技术-IP 路由命令参考-Release7143
路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能,它通过改变路由属性(包括可达性)来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时,根据实际组网需求实施一些策略,以便对路由信息进行过滤和改变路由信息的属性,如: 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息,以控制路由表的容量,提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时,只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性,满足自身需要。 路由策略具有以下价值: 通过控制路由器的路由表规模,节约系统资源;通过控制路由的接收、发布和引入,提高网络安全性;通过修改路由属性,对网络数据流量进行合理规划,提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1,一个路由策略中包含N(N>=1)个节点(Node)。路由进入路由策略后,按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义,涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后,进入匹配模式选择,不再匹配其他节点。 匹配模式分permit和deny两种: permit:路由将被允许通过,并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny:路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后,进入下一节点。如果和所有节点都匹配失败,路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL(Access Control List)、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式,因此这6种过滤器在以下的特定情况中可以单独使用,实现路由过滤。 1、ACL
实验一:路由器的基本配置 实验目的 1、掌握配置线、直通线、交叉线的使用 2、子网划分(地址块192.168.1.0/24) 3、路由器不同模式之间的关系和转换 4、通过超级终端对路由器进行基本配 5、路由器密码的配置 6、利用telnet登陆路由器并对其配置 7、验证并保存配置 实验设备 1、路由器1台 2、PC机4台 3、配置线(console)线1条、交叉线1条、直通线3条 实验过程分解 1、一个网段的配置 (1)目标:PC2能ping通路由器对应接口或PC1\PC0能ping通路由器对应接口 使用的命令(略) 2、两个网段的配置 (1)目标:PC0、PC1、PC2能相互ping通 (2)配置PC0、PC1、PC2网关前:PC0、PC1、PC2互ping的结果 (3)配置PC0、PC1、PC2网关后:PC0、PC1、PC2互ping的结果 实验过程 1.先向界面中添加一台router0 ,4台pc机和一台switch,先用控制线(console)连 接router0的console接口和pc0的RS232接口,用交叉线(copper cross-over)连接router0的FastEthernet 0/1接口和pc3的FastEthernet接口,用直通线(copper straight-through)连接router0的FastEthernet 0/0接口和switch,pc1,pc2的FastEthernet接口。如图(配置钱的网络拓扑)
2.点击pc0进入Desktop的Terminal,如图 3.进入Terminal后,如图 4.点击OK进入代码,进入代码编辑界面,如图
Fast FR48路由器设置说明同时也是SOHO路由器IP QoS功能设置IP QoS功能,是基于IP地址、IP地址段的保障最小带宽和限制最大带宽功能; 可以很方便地限制BT、迅雷等P2P软件下载,限制其占用大量的带宽,抢占其它用户资源,造成其它用户无法正常上网;还可以按照实际需求对不同的用户科学地分配不同的带宽,尽最大限度利用宽带,不浪费带宽。通过设置IP QoS后,结束了一“资”独占的历史,保证内网随您所欲按需运行!下面我们就来简单介绍一下QoS功能的配置使用: 一、登录路由器管理界面后(网页地址栏192.168.1.1 用户名admin 密码 admin),可以在左边菜单栏看到IP带宽控制,点击打开该页面,在这里您可以对不同的IP地址设置不同的QoS模式和带宽大小; 二、首先是勾选上面的开启IP带宽控制,QoS功能才可以具体进行设置。 在选择宽带线路类型及填写带宽大小时,请根据实际情况进行选择和填写,如不清楚,请咨询您的带宽提供商(如电信、网通等)如:您申请的是PPPoE拨号方式2M带宽的话就选ADSL线路,带宽大小填入2000即可(带宽的换算关系为:1Mbps = 1000Kbps)。注意:您申请的带宽大小,如果填写的值与实际不符,QoS效果会受到很大影响。 三、IP QoS设置: 保障最小带宽:受该条规则限制的IP地址(或IP地址段)的带宽总和至少可以达到此值,最大不受限制。此模式可以充分利用您申请的带宽值,不浪费一点带宽;且路由器内置预留的带宽功能可以保障在您BT下载达到峰值的时候,其它电脑的上网操作不受影响,使网络资源得到合理分配,内网正常运行。您可以设置您内网电脑IP地址为保障最小带宽,出于公平原则,保障最小带宽=总带宽/内网机子总数,如:您拉的2M带宽,内网4台机子的话保障最小带宽应为2000/4=500Kbps。如下图所示:
InfoExpress IOS InfoExpress l l l l 1.1 l console shell l 56/336modem LINE l Telnet l SNMP console 56/336modem LINE Telnet SNMP 1.2 InfoExpress IOS shell l l l Console Telnet l shell
InfoExpress IOS Shell l user EXEC l privileged EXEC l global configuration l interface configuration l router configuration l file system configuration l access list configuration l voice-port configuration l dial-peer configuration l crypto transform-set configuration l crypto map configuration l IKE isakmp configuration l pubkey-chain configuration l pubkey-key configuration l DHCP dhcp configuration 1-1 1-1 InfoExpress Lo en co in ro um
IP phone E1 filesystem router(config-fs)# exit ip access-list router(config-std-nacl)# cl)# voice-port ro rt) dial-peer router(config-dial-peer )# exit V oIP POTS crypto ipsec transform-set router(cfg-crypto-trans )# exit crypto map router(cfg-crypto-map) # exit IKE crypto isakmp router(config-isakmp)# crypto key pubkey-chain rsa router(config-pubkey-c hain)# exit RSA
对于路由器来说我们需要保护两个参数的安全,一个就是核心操作系统,Cisco路由器叫IOS而华为3COM路由器称做VRP;另外一个就是路由器中的配置文件具体信息了,一般都是保存在一个configuration文件中。因此我们备份路由器就演变成备份核心操作系统以及备份具体配置文件中的各项参数了。 一、H3C路由器的备份 H3C路由器是国内应用广泛的设备之一,笔者所在公司由于是事业单位,所以华为3CO M设备比较多,大多都是通过政府采购完成购买流程的。 1、备份H3C路由器的VRP 正如上面所说在H3C路由器中的核心操作系统被称作VRP,要保证H3C设备的顺利运行就需要其VRP工作正常,日常工作中经常会出现路由器无法启动等问题,大部分都是由于V RP信息损坏造成的,我们需要将VRP提前备份出来,在出问题后及时还原即可。 我们一共有两种方法来备份VRP信息,一种是FTP法,另外一种是TFTP法。 FTP法 所谓FTP法就是将华为路由器设置为一台FTP服务器,然后通过网络中的其他计算机访问此FTP服务器,将VRP信息下载到其他计算机的硬盘上,从而实现了备份VRP程序的目的。 第一步:进入到路由器的管理界面,使用local-user ftpuser service0-type ftp pa ssword simple ftppw创建一个名为ftpuser的帐户,密码是ftppw。 第二步:创建完用户后就需要开启FTP服务了,通过命令ftp-server enable启动服务(如图1)。 图1 第三步:当然启动FTP服务后要为路由器设置一个IP地址,我们可以找任何一端口设置,并将其连接好网线。 第四步:在网络中的任何一台可以连接到路由器的计算机上通过FTP登录工具或者直接用ftp IP地址来访问路由器开启的FTP服务器。输入正确的用户名和密码后使用get syst em命令从路由器向PC机下载VRP文件,存放路径就是本地目录。 第五步:之后就开始备份VRP信息,若在传输过程中出现意外中断,此时不要重新启动路由器,正确的做法是添加新的FTP用户,重新从第一步开始操作。 第六步:当显示“file transmit success”字样时表示我们的备份工作顺利完成,通过reboot命令重启路由器(如图2)。
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO路由器的设置和应用 一、准备工作 1. 打开 包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2 .连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE” 口(兰色的),另一头(DB9串口)插在计算机的COM1上 路由器专用控制线 3 ?插上路由器电源线 4. 打开计算机。进入超级终端程序(开始一程序 附件一通讯(Communications)一超级终端)。 Tcofc mmnnuu
syffl^nlsc ShcwRun... pcAiywh.. ■S D N X 5叙1J 強2W3 牡pp Expitwer 囤 rtcroGoft^teoTriai -7! rtcrowft Stutto 6.0 色 EymciiCK pc^nywhef ( B 金山词药2CO2 宜 Rsgsuis I uagx )2re2s FnotesJenai */5.Q -3 Mcrosoft Developer Networt 目OK 占al 2 画 I*tera5cift Wcxd 盲lit 空奈* *宣爭無工具 * 13荫戏 扇按乐 卜斟ThjrfType 遣宇程序 1111代咼扌換工且 *芒画朗 * 9A 计尊鬧 ”刖 WTdOWE 资诛管淫期 * ? ie?t a 命与?s 彌 新建一个连接: (1)输入新建连接的名称,如 ROUTER I ast^at 也图博处理 /写字乐 爭■MTdc*^ Uodate Q 金山影霸a?3 琏? fflft 冲 Wff oflteSHf ffl 1商建Of 麻文桂 Jrtffli ] ? 扛:1 0?」j 禹 A|JM 出S 盘Q :) |0他2血:朋心-[冷..当箱由圏段11寺印m..|p 云氏艺-吕屋 ? ffi l S 呵& 腊ff 期设 禹却舸 通过用制單调鬧或昔韭週制雪近蛊屯銀, |计 W> Jnlwra btm 诂点、虫幷牡駅务 |IBEE :?联机眼瓠以圧主40蛙不楚抓 |
juniper路由器配置 一.路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: setsystemprocessessnmpdisable 使用如下命令来设置SNMP通讯字符串:setsnmpcommunitymysnmpauthorizationread-only 使用如下命令来在接口上设备SNMP通讯字符串: setsnmpinterfacefxp0communitymysnmp 使用如下命令来在接口上禁止SNMP服务trap: setinterfacesfxp0unit0trapsdisable 使用如下命令来限制SNMP的访问客户端:setsnmpcommunitymysnmpclients192.168.0.0/24 setsnmpcommunitymysnmpclients0.0.0.0/0restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务 2.停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: setsystemno-redirects 接口级别停止广播转发使用如下命令: setinterfacesfxp0unit0familyinetno-redirects 3.停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp 服务器,如果没有使用,则应该使用如下命令停止: setsystemdhcp-relaydisable 4.禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止:setprotocolsigmpinterfacealldisable 5.禁止PIM服务(?),PIM服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolspimdisable 6.禁止SAP服务(?),SAP服务如果在没有使用的情况下应该使用如下命令禁止: setprotocolssapdisable 7.禁止IPSourceRouting源路由 setchassisno-source-route 二.路由器登录控制: 1.设置系统登录Banner: setsystemloginmessageWarning:ifyouNOTauthorizedtoaccessthissystem,dis connectNOW! 2.设置登录超时时间: 默认情况下,系统登录没有登录超时时间限制,应该将登录超时时间设置为15分钟: setcliidle-timeout15
路由基础配置命令UTP双绞线类型: 直通线: 交叉线: 广域网线缆连接类型: DTE: DCE: 时钟速率: 路由器的接口:(作用) 1. 广域网接口: serial 2. 内网接口: fastethernet 3. 管理接口: console (控制台) AUX(备份) 连接两个设备: 1. 物理连接 2. 逻辑连接 配置网络设备: 1. 管理属性:用户名密码描述警告 2. 协议地址:IP IPX 3. 协议策略:vlan 静态访问控制 交换机直接可以应用 路由器需要初始配置才能应用 设备启动过程: 1. 加电自检 2. 查找加载操作系统 3. 查找加载配置文件 配置网络设备方式: 1. 初始配置:console 2. 初始配置后通过interface(拥有ip地址的接口): 1)telnet 2)TFTP 3)WEB 4)网络管理工具: SNA SDM 配置直接应用到内存
登陆路由器: Router> Router>enable /*进入特权模式 Router# Router#disable /*退出特权模式 Router> Router>logout /*退出路由器 Router>exit /*退出路由器 路由器IOS帮助功能:?的三个用法 1/ 直接问号 2/ Router#cl? clear clock Router#cl 3/ Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock 问号的帮助功能:(查找路由器设置时间的命令并设置时间) Router#cl? clear clock Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock set % Incomplete command. Router#clock set ? hh:mm:ss Current Time Router#clock set 11:04:50 % Incomplete command. Router#clock set 11:04:50 ? <1-31> Day of the month MONTH Month of the year Router#clock set 11:04:50 15
[教程资料] 路由器的设置方法(图解) 路由器, 图解, 设置 路由器的设置方法(图解) tp-link各产品开启路由器的方法首先介绍一下利用路由器实现多台电脑同时上网的方法.首先具备的条件是:路由器一个(可以为4口,8口,16口,甚至更多的),如果你有很多台电脑,可以买个多口的交换机.网线直通线数条,电信mode一个(或者你是专线那就不需要mode了),pc电脑至少2台以上(如果只有一台,使用路由器是可以的,但是就失去了使用路由器的意义了.其实tp-link公司出的路由器,比如TP-LINKTL-402M 或者是401M或者是其他型号的tp-link路由器,路由开启方法大多差不多.下面本文以 TP-LINKTL-402M为例,请看图片 只要按图片里的介绍,将PC,电信宽带MODE,路由器,相互正确连接,那么一个网络就已经组好了.下面介绍怎么样开起路由功能.如果线都已经接好.我们这个时候随便打开一台连好的PC电脑.打开网上邻居属性(图片2),本地连接属性(图片3),tcp/ip协议属性(图片4),设置ip为192.168.1.2子网:255.255.255.0网关:192.168.1.1(图片5)确定,DNS在配置路由器完后在行设置.注:如果是98和me系统,请到控制面板网络连接
去设置.这里xp为例,请看图
对了,这里提醒一下大家,ip设置网段,可以设置在192.168.1.2-192.168.1.254之间都可以,不要将同一IP设置为多台电脑,这样就会引起IP冲突了.切记.好了当设置到这里.我就可以打开桌面的InternetExplorer,输入192.168.1.1回车,请看图片
上机报告 姓名学号专业 班级 计科普1002 课程 名称 网络系统集成 指导教师机房 名称 (I520) 上机 日期 2012 年10 月26 日 上机项目名称实验三:路由器基本配置 上机步骤及内容: 实验目的 1.使用路由器配置静态路由、RIP协议、OSPF协议。掌握使用相应协议实现路由选择的方法。 2.通过在路由器上使用相关的检查和排错命令学习如何维护和分析RIP协议、OSPF 协议。 3.通过RIPv1和RIPv2配置过程的不同体会两者在实际使用上的差别。 实验要求 1.在路由器上配置静态路由、缺省路由; 2.配置RIP协议;配置OSPF协议; 3.掌握路由器接口配置,测试网络连通性; 4.理解每一步实验的作用,把实验的每一步所完成的任务详细地叙述清楚,并记录在实验报告上; 5.实验结束后上缴实验报告 实验仪器设备和材料清单 1.具备两个以太网端口的路由器三台,交换机两台; 2.两台具备以太网接口的PC机,分别连接路由器的内外网口,路由器端口、PC的IP地址可自己分配和设置 3.路由器拓扑结构成环状或线性连接; 4. 实验组网图。
图实验组网图 实验内容 1.完成路由器的基本端口配置,静态路由,缺省路由配置; 2.RIPv2协议配置; 3. OSPF协议配置; 4.通过在路由器上使用相关的检查和排错命令学习如何维护和分析RIP协议、OSPF 协议。 实验步骤 1.作路由器的端口IP地址配置,代码如下: 路由器r1 [H3C]sysname r1 [r1]int e0/1 [r1-Ethernet0/1]ip add 24 [r1-Ethernet0/1] %Oct 28 16:55:42:805 2012 r1 IFNET/4/UPDOWN: Line protocol on the interface Ethernet0/1 is UP [r1-Ethernet0/1]int e0/0 [r1-Ethernet0/0]ip add 24 路由器r2 [H3C]sysname r2 [r2]int e0/1 [r2-Ethernet0/1]ip add 24 [r2-Ethernet0/1] %Oct 28 16:40:33:465 2012 r2 IFNET/4/UPDOWN: Line protocol on the interface Ethernet0/1 is UP [r2-Ethernet0/1]int e0/0
Juniper路由器安全配置方案 一. 路由器网络服务安全配置: 默认情况下,系统启动了许多无用服务,这些服务在占用系统资源的同时也造成一定的安全隐患,应该在尽可能的情况下停止或限制这些服务 1. SNMP服务 使用如下命令来停止SNMP服务: set system processes snmp disable 使用如下命令来设置SNMP通讯字符串: set snmp community mysnmp authorization read-only 使用如下命令来在接口上设备SNMP通讯字符串: set snmp interface fxp0 community mysnmp 使用如下命令来在接口上禁止SNMP服务trap: set interfaces fxp0 unit 0 traps disable 使用如下命令来限制SNMP的访问客户端: set snmp community mysnmp clients 192.168.0.0/24 set snmp community mysnmp clients 0.0.0.0/0 restrict 上述命令只允许192.168.0.0/24网段访问路由器的SNMP服务< 2. 停止接口广播转发: 广播转发容易造成smurf攻击,因此应该使用如下命令停止: set system no-redirects 接口级别停止广播转发使用如下命令: set interfaces fxp0 unit 0 family inet no-redirects 3. 停止dhcp-relay服务,dhcp-relay服务用于在不同网段使用同一个dhcp服务器,如果没有使用,则应该使用如下命令停止: set system dhcp-relay disable 4. 禁止IGMP服务,IGMP服务如果在没有使用的情况下应该使用如下命令禁止: set protocols igmp interface all disable 5. 禁止PIM服务,PIM服务如果在没有使用的情况下应该使用如下命令禁止: set protocols pim disable
CISCO路由器配置手册 第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无
二、命令状态 1.router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2.router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3.router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4.router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5.> 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6.设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
华为路由器一般的配置方法
华为路由器一般的配置方法 如何设置华为3COM路由器主机名 这里我们以将主机名设置为syxx为例,输入“sysname syxx”,然后按回车键执行命令,这时主机提示符前的主机名变为syxx,说明设置主机名成功。 如何配置一个以太网接口 路由器就好比一台PC机,不同的接口就好比计算机的网卡。每个计算机都要设置IP地址才能在网络中进行通信,路由器也是如此,我们要为接口分配IP地址和子网掩码才能正常工作。最常见的接口是以太网接口,本段将为大家介绍如何配置一个以太网接口。 第一步:登录路由器
用正确的用户名和密码登录路由器,要求是管理员权限或操作员权限。 第二步:进入以太网接口E0 int e 0 第三步:设置IP地址和子网掩码 ip address 192.168.1.1 255.255.255.0 这样就完成了对E0端口的IP地址分配。当然华为3COM路由器默认情况下当给接口设置了IP地址就会自动打开。所以不用象CISCO设备那样还需要执行no shutdown命令打开接口。 小提示: 有的时候需要短时间的将某端口禁用,如果将其IP地址取消等以后再使用时还需要重新配置,这时候也可以在华为3COM路由器上时候禁用端口命令。即输入shutdown后回车这样该端
口就被禁用了,如果想恢复则输入undo shutdown 将端口重新激活。 如何修改华为3COM路由器的显示语言 我们登录到路由器上直接输入language,然后回车,在接下来的对话中会询问用户是否切换语言模式,我们选择Y后IOS会自动切换到中文模式,所有命令的注释都是中文的。同样当我们想回到英文模式显示时只需要再次输入language后回车,然后选择Y就会从中文显示模式返回到英文显示模式。 如何修改华为3COM路由器的登陆密码 登录路由器后输入local-user softer password cipher 111111 service-type exec-administrator回车就创建了一个名为
路由器配置的基本知识 欢迎大家来到学习啦,本文为大家讲解路由器配置的基本知识,欢迎大家阅读学习,希望能帮到你。 在配置一个路由器之前,首先应了解它的结构以及配置内容,本文主要是介绍了路由器配置的基本知识。 处理器 和其他计算机一样,运行着10S的路由器也包含了一个中央处理器(CPU)。不同系列和型号的路由器,CPU也不尽相同。路由器的处理器负责执行处理数据包所需的工作,比如维护路由和桥接所需的各种表格以及作出路由决定等等。路由器处理数据包的速度在很大程度上取决于处理器的类型。 内存 所有计算机都安装丁某些形式的内存。路由器主要采用了四种类型: 只读内存(ROM)。 闪存。 随机存取内存(RAM)。 非易失性RAM(NVRAM)。 在所有类型的内存中,RAM是会在路由器启动或供电间隙时丢失其内容的唯一一种内存; 在下面的介绍中,我们将简单说明路由器的每种内存的主要用途。 ROM保存着路由器的引导(启动)软件。这是路由器运行的第一个软件,负责让路由器进入正常工作状态。有些路由器将一套完整的IOS保存在ROM中,以便在另――个IOS不能使用时。
作救急之用。ROM通常做在一个或多个芯片上,焊接在路由器的主机板上。 闪存的主要用途是保存10S软件,维持路由器的正常工作。若路由器安装了闪存,它便是用来引导路由器的10S软件的默认位置。只要闪存容量足够,使可保存多个IOS映像,以提供多重启动选项。闪存要么做在主机板的SIMM上,要么做成一张PCMCIA卡。 RAM的作用很广泛,在此不可能一一列出。但有两样东西值得一提,即IOS系统表与缓冲。IOS通过RAM满足其所有的常规存储需要。 NVRAM的主要作用是保存IOS在路由器启动时读入的配置数据。这种配置称为启动配置。 接口 所有路由器都有接口(Interface)。在前面,我们已列出了路由器支持的部分接口类型。在采用I0S的路由器中,每个接口都有自己的名字和编号。一个接口的全名由它的类型标识以及至少一个数字构成。编号自零0开始。 对那些接口已固定下来的路由器,或采用模块化接口,只有关闭主机才可变动的路由器,在接口的全名中,就只有一个数字,而且根据它们在路由器中物理顺序进行编号。例如,Ethernet0是第一个以太网接口的名称;而Serial2是第三个串口的名称。 若路由器支持在线插入和删除,或具有动态〔不关闭路由器)更改物理接口配置的能力(卡的热插拔),那么一个接口的全名至少应包含两个数字、中间用一个正斜杠分隔(/)。其中,第一个数字代表插槽编号,接口处理器卡将安装在这个插槽上;第二个数字代表接口处理器的端口编号。比如在一个7507路由器中,Ethernet5/0代表的便是位于5号槽上的第一个以太网接口――假定5号槽插接了一张以太网接口处理器卡。 有的路由器还支持万用接口处理器(VIP)。VIP上的某个接口名由三个数字组成,中间也用一个正斜杠分隔(/)。接口编号
一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
5,建议采用权限分级策略。如: 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置
Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers 3,禁止Finger服务。 Router(Config)# no ip finger Router(Config)# no service finger 4,建议禁止HTTP服务。 Router(Config)# no ip http server 如果启用了HTTP服务则需要对其进行安全配置: 设置用户名和密码;采用访问列表进行控制。如: Router(Config)# username BluShin privilege 10 G00dPa55w0rd Router(Config)# ip http auth local Router(Config)# no access-list 10 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any Router(Config)# ip http access-class 10 Router(Config)# ip http server Router(Config)# exit 5,禁止BOOTp服务。 Router(Config)# no ip bootp server
通用路由器配置说明 一、网络摄像机外网访问在公司路由器里的设置 点击转发规则 虚拟服务器 内部端口,外部端口填写网络摄像机里配置的端口,IP是网络摄像机里填写的IP地址填写完确定就行了。
因iCanSee系统完全基于网络运行,路由器在其中扮演了重要的角色。本文以TP-LINK无线路由器为例,简要说明路由器的配置 一、TP-Link TL-WRXX系列路由器配置指南 对路由器进行基本配置,使电脑通过路由器实现共享上网,过程相对来说比较容易实现;这篇文档下面的内容,主要讲述如下几部分: 收集并判断信息,为配置路由器做准备; 进入路由器管理界面,对路由器进行配置; 配置过程简单的故障定位排除!
1、配置路由器前的准备工作 常见的硬件连接方式有下面几种: 电话线→ADSL MODEM→电脑 双绞线(以太网线)→电脑 有线电视(同轴电缆)→Cable MODEM→电脑 光纤→光电转换器→代理服务器→PC ADSL / VDSL PPPoE:电脑上运行第三方拨号软件如Enternet300或WinXP 系统自带的拨号程序,填入ISP提供的账号和密码,每次上网前先要拨号; 或者您的ADSL MODEM已启用路由功能,填入了ISP提供的账号和密码,拨号的动作交给MODEM 去做; 静态IP:ISP提供给您固定的IP地址、子网掩码、默认网关、DNS; 动态IP:电脑的TCP/IP属性设置为“自动获取IP地址”,每次启动电脑即可上网; 802.1X+静态IP:ISP提供固定的IP地址,专用拨号软件,账号和密码; 802.1X+动态IP:ISP提供专用拨号软件,账号和密码; WEB认证:每次上网之前,打开IE浏览器,先去ISP指定的主页,填入ISP提供的用户名密码,通过认证以后才可以进行其他得上网操作; 2、怎样进入路由器管理界面? 先参照《用户手册》上面的图示,将ADSL MODEM、路由器、电脑连结起来。TL-W RXX系列路由器的管理地址出厂默认: IP地址:192.168.1.1, 子网掩码:255.255.255.0 (TL-R400和TL-R400+两款的管理地址默认为:192.168.123.254,子网掩码:255. 255.255.0) 用网线将路由器LAN口和电脑网卡连接好,因为路由器上的以太网口具有极性自动翻转功能,所以无论您的网线采用直连线或交叉线都可以,需要保证的是网线水晶头的制作牢靠稳固,水晶头铜片没有生锈等。 电脑桌面上右键点击“网上邻居”→“属性”,在弹出的窗口中双击打开“本地连接”,在弹出的窗口中点击“属性”,然后找寻“Internet协议(TCP/IP)”,双击弹出“Intern et协议(TCP/IP)属性”窗口; 在这个窗口中选择“使用下面的IP地址”,然后在对应的位置填入: IP地址:192.168.1.X(X范围2-254) 子网掩码:255.255.255.0 默认网关:192.168.1.1,填完以后““确定”两次即可;
(安全生产)C路由器的安 全配置方案
Cisco路由器的安全配置方案 壹,路由器访问控制的安全配置 1,严格控制能够访问路由器的管理员。任何壹次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果能够开机箱的,则能够切断和CON口互联的物理线路。 B,能够改变默认的连接属性,例如修改波特率(默认是96000,能够改为其他的)。C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list1permit192.168.0.1 Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec 5,建议采用权限分级策略。如:
Router(Config)#usernameBluShinprivilege10G00dPa55w0rd Router(Config)#privilegeEXEClevel10telnet Router(Config)#privilegeEXEClevel10showipaccess-list 6,为特权模式的进入设置强壮的密码。不要采用enablepassword设置密码。而要采用enablesecret命令设置。且且要启用Servicepassword-encryption。7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则壹定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的且发数目;采用访问列表严格控制访问的地址;能够采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:Router(Config)#ipftpusernameBluShin Router(Config)#ipftppassword4tppa55w0rd Router#copystartup-configftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(CiscoDiscoveryProtocol)。如: Router(Config)#nocdprun Router(Config-if)#nocdpenable 2,禁止其他的TCP、UDPSmall服务。 Router(Config)#noservicetcp-small-servers Router(Config)#noserviceudp-samll-servers 3,禁止Finger服务。
路由器设置指南 本指南主要针对现场的工程人员,描述了CISCO 路由器的设置和应用。 一、准备工作 1.打开包装箱,取出路由器及其附属线缆(包括电源线、兰色的控制线)。 2.连接控制线:将兰色控制线的一头(RJ45)插在路由器后面板的“CONSOLE ”口(兰色的),另一头(DB9串口)插在计算机的COM1上。 3.插上路由器电源线。 4.打开计算机。进入超级终端程序(开始—程序—附件—通讯(Communications)—超级终端)。 新建一个连接: (1) 输入新建连接的名称,如ROUTER 。
(2)选择COM1口。 (3)设置波特率(每秒位数)=9600;数据位=8;奇偶校验=无;停止位=1; 流控制=无。
5.关闭一切使用COM1串口的应用程序。如果COM1口坏,则可以换成COM2口进行路由器设置。 二、路由器设置步骤 1.打开路由器电源。 2.超级终端画面中会出现如下路由器自检画面,这时说明路由器工作正常。若超级终端画面中无反映,敲击回车键,若仍然无反映,则说明此路由器硬件或内部操作系统(IOS)有问题。速与有关人员联系。 (1)路由器为新的(未曾设置过) System Bootstrap, Version 12.0(3)T, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. C1700 platform with 32768 Kbytes of main memory program load complete, entry point: 0x80008000, size: 0x30ccc4 Self decompressing the image : ##################################################################### ##################################################################### ##################################################################### ##################################################################### #####################################################################