西技莱克思科路由器培训.ppt

《西技莱克思科路由器培训.ppt》由会员分享，可在线阅读，更多相关《西技莱克思科路由器培训.ppt（30页珍藏版）》请在装配图网上搜索。

1、中石油网络培训,网络培训,进一步思考,网络维护,站场网络结构与配置,中石油管道系统网络概述及典型结构图,网络培训,概述 北京主控中心天然气管道SCADA系统6套，原油管道SCADA系统2套；廊坊备控中心天然气管道SCADA系统6套，原油管道SCADA系统2套；共16套系统 。北京华油所管辖的管线有陕京一线、陕京二线、陕京三线、陕京四线（大唐煤制气）、永唐秦、港清三线等，属于调控中心天然气第一套系统。 北京华油所管辖的管线到调控中心的链路有：光纤、DDN、GPRS、卫星。各分站之间不通，但可以同时访问北京和廊坊，当到其中一个中心的所有链路都down掉后，数据流可以从另一中心绕行。例如，到北京的所

2、有链路都down掉后，站场来的数据流可以从廊坊绕到北京。站场到某个中心的链路有一个通的时候，站场数据流不能从另一中心绕行。,网络培训,典型网络结构图：,EIGRP AS X,BGP AS Y,BGP AS X1,BGP AS X2,网络培训,进一步思考,网络维护,站场网络结构与配置,中石油管道系统网络概述及典型结构图,网络培训,典型网络结构图：,网络培训,站场R1路由器 VLAN配置: ! 在enable状态下配置下列命令 vlan database vlan ! 对应PLC的第一个IP地址段 vlan ! 对应PLC的第二个IP地址段 exit 基本配置: service timestamp

3、s debug datetime msec !设置毫秒时间戳 service timestamps log datetime msec !设置毫秒时间戳 service password-encryption service tcp-keepalives-in service tcp-keepalives-out ! hostname ! 备注：service tcp-keepalives-in 和 service tcp-keepalives-out 命令来监控进入路由器或者从路由器输出的TCP连接。如果路由器或交换机没有收到远程系统的响应，会自动关闭连接 通常和telnet，ssh一起使用

4、这样做的最大好处就是可以减少路由器的负担,网络培训,! 认证相关配置 enable secret aaa new-mode aaa local authentication attempts max-fail 3 aaa authentication login default local username secret line vty 0 4 transport input telnet exec-timeout 3 0 access-class 20 in! 定义访问控制列表，只允许相关设备telnet到路由器 ! 关闭一些无用的服务 no service dhcp no ip doma

5、in- lookup no ip bootp server ip dhcp bootp ignore no ip http server no ip source-route !,网络培训,! logging buffered 4096 ! snmp-server community pertoData ro 10! 定义访问控制列表，只运行相关网管设备访问snmp ! 接口配置: interface fastethernet 0/0 description ! 到北京的主链路 ip address speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex fu

6、ll bandwidth 10000! 只在metric计算时起作用，不影响物理接口速率。带宽和时延按照实际情况配置，这里按10M配置 delay 100 ! 配置的参数为10的倍数，即dealy 100实际的dealy 为1000 usec no shutdown interface fastethernet 0/1,网络培训,description ! 到廊坊的主链路 ip address speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full bandwidth 10000! 带宽和时延按照实际情况配置，这里按照10M配置 delay 100

7、no shutdown ! interface fastethernet 0/1/0 description ! 连接站场交换机S1的接口 switchport access vlan speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full no shutdown ! interface fastethernet 0/1/1 description ! 连接站场交换机S2的接口,网络培训,switchport access vlan speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full no shutdo

8、wn interface fastethernet 0/1/2 description ! 连接站场R2的接口 no switchport speed 100 duplex full ip address no shutdown interface vlan descriptioin ! 对应PLC第一个IP地址段 ip address standby 10 ip standby 10 priority 110! R1为HSRP主 standby 10 preempt standby 10 timer 2 6 !,网络培训,interface vlan descriptioin ! 对应PLC

9、第二个IP地址段 ip address standby 20 ip standby 20 priority 110! R1为HSRP主 standby 20 preempt standby 20 timer 2 6 ! 生成树配置： spanning-tree vlan root primary! R1为生成树的根 spanning-tree vlan root primary ! 路由配置： router eigrp no auto-summary eigrp log-neighbor-changes passive-interface vlan ! 本地vlan接口设置为passive p

10、assive-interface vlan ,网络培训,network 0.0.0.0 eigrp stub connected leak-map leak-core-route ! ACL及Route-map配置： access-list 10 permit ! 用于snmp的访问控制列表 . ! access-list 20 permit ! 用于telnet控制的访问控制列表 . ! ACL30用于leak-map的访问控制列表，为北京和廊坊发布的路由 access-list 30 permit . ! route-map leak-core-route permit 10 match

11、ip address 30 ! 安全配置： key chain key-hsrp! HSRP认证配置,网络培训,key 1 key-string ! interface vlan standby 10 authention md5 key-chain key-hsrp ! interface vlan standby 20 authention md5 key-chain key-hsrp ! key chain key-eigrp! EIGRP认证配置 key 2 key-string ! interface fastethernet 0/0 ip authentication mode e

12、igrp md5 !在接口下声明key chain，并采用MD5对hello包进行加密 ip authentication key-chain eigrp key-eigrp！在接口下调用key chain ! interface fastethernet 0/1 ip authentication mode eigrp md5 !在接口下声明key chain，并采用MD5对hello包进行加密,网络培训,ip authentication key-chain eigrp key-eigrp！在接口下调用key chain !, 配置中的黑体和斜体标识的部分为配置参数，需要根据实际设备情况填

13、写； 配置stub leak-map需要IOS 12.3(10.2)T及以后版本，如IOS不能满足要求，无法配置这条命令； 如果中的配置无法完成，ACL30和后续的route-map不需要配置。,网络培训,站场R2路由器 VLAN配置: ! 在enable状态下配置下列命令 vlan database vlan ! 对应PLC的第一个IP地址段 vlan ! 对应PLC的第二个IP地址段 exit ! 基本配置:,网络培训,service timestamps debug datetime msec service timestamps log datetime msec service pa

14、ssword-encryption service tcp-keepalives-in service tcp-keepalives-out hostname ! 认证相关配置 enable secret aaa new-mode aaa local authentication attempts max-fail 3 aaa authentication login default local ! username secret ! line vty 0 4 transport input telnet exec-timeout 3 0 access-class 20 in! 定义访问控制列

15、表，只允许相关设备telnet到路由器 ! 关闭一些无用的服务 no service dhcp,网络培训,no ip domain- lookup no ip bootp server ip dhcp bootp ignore no ip http server no ip source-route ! logging buffered 4096 ! snmp-server community pertoData ro 10! 定义访问控制列表，只运行相关网管设备访问snmp ! 接口配置: interface fastethernet 0/0 description ! 到北京的备份链路 i

16、p address speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full bandwidth 10000! 带宽和时延按照实际情况配置，这里按照10M配置,网络培训,delay 100 no ip redirects no ip proxy-arp no shutdown ! interface fastethernet 0/1 description ! 到廊坊的备份链路 ip address speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full bandwidth 10000! 带宽和时延按照实际情

17、况配置，这里按照10M配置 delay 100 no shutdown ! interface fastethernet 0/1/0 description ! 连接站场交换机S1的接口 switchport access vlan ,网络培训,speed 100! 速率和双工配置可能需要根据连接设备的实际情况进行调整 duplex full no shutdown ! interface fastethernet 0/1/1 description ! 连接站场交换机S2的接口 switchport access vlan speed 100! 速率和双工配置可能需要根据连接设备的实际情况进

18、行调整 duplex full no shutdown ! interface fastethernet 0/1/2 description ! 连接站场R1的接口 no switchport speed 100 duplex full ip address no shutdown ! interface vlan descriptioin ! 对应PLC第一个IP地址段 ip address ,网络培训,standby 10 ip ! R2为HSRP备 standby 10 preempt standby 10 timer 2 6 ! interface vlan descriptioin

19、! 对应PLC第二个IP地址段 ip address standby 20 ip ！R2为HSRP备 standby 20 preempt standby 20 timer 2 6 ! 生成树配置： spanning-tree vlan root secondary! R2为生成树的备份根 spanning-tree vlan root secondary ! 路由配置： router eigrp ,网络培训,no auto-summary eigrp log-neighbor-changes passive-interface vlan ! 本地vlan接口设置为passive passiv

20、e-interface vlan network 0.0.0.0 eigrp stub connected leak-map leak-core-route ! ACL及Route-map配置： access-list 10 permit ! 用于snmp的访问控制列表 . ! access-list 20 permit ! 用于telnet控制的访问控制列表 . ! ACL30用于leak-map的访问控制列表，为北京和廊坊发布的路由 access-list 30 permit . ! route-map leak-core-route permit 10 match ip address

21、30,网络培训,安全配置： key chain key-hsrp! HSRP认证配置 key 1 key-string ! interface vlan standby 10 authention md5 key-chain key-hsrp ! interface vlan standby 10 authention md5 key-chain key-hsrp ! key chain key-eigrp! EIGRP认证配置 key 2 key-string ! interface fastethernet 0/0 ip authentication mode eigrp md5 !在接口

22、下声明key chain，并采用MD5对hello包进行加密 ip authentication key-chain eigrp key-eigrp ！在接口下调用key chain ! interface fastethernet 0/1,网络培训,ip authentication mode eigrp md5 ip authentication key-chain eigrp key-eigrp !, 配置中中的黑体和斜体的部分为配置参数，需要根据实际设备情况填写； 配置stub leak-map需要IOS 12.3(10.2)T及以后版本，如IOS不能满足要求，无法配置这条命令； 如果

23、中的配置无法完成，ACL30和后续的route-map不需要配置。,网络培训,进一步思考,网络维护,站场网络结构与配置,中石油管道系统网络概述及典型结构图,网络培训,查看路由器配置：show run 查看路由器HSRP状态：show standby 查看EIGRP邻居：show ip eigrp neighbor 查看路由路径 traceroute x.x.x.x 查看EIGRP topo：show ip eigrp topology x.x.x.x/mask,网络培训,查看路由表：show ip route x.x.x.x 查看eigrp路由条目：show ip route eigrp 查看

24、路由器端口状态：show ip interface brief 查看cisco 网络设备邻居：show cdp neighbor,网络培训,进一步思考,网络维护,站场网络结构与配置,中石油管道系统网络概述及典型结构图,网络培训,站场及阀室 网络地址表示方式： 172.17.0.0/26(64位主机)；172.17.0.0/27(32位主机)； 172.17.0.0/28(16位主机)； 统一站场、阀室拓扑结构； 路由配置的优化：stub、leak-map、passive-interface； IP地址分配：考虑路由汇聚，优化路由表。 站场及阀室路由条目： 本地路由数（PLC、互联、自环）+ 广域网数 + 需要通信的SCADA + 需要通信的核心地址段 + 其它特殊要求地址,Thank You !,