作者:王达
出版社:华中科技大学出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
路由器配置与管理完全手册——Cisco篇试读:
前言
如果你想系统地学习Cisco和H3C各系列路由器功能通用配置与管理方法,请选择这两本书;
如果你认为综合式的网络设备配置与管理图书所讲内容太少、太浅,请选择这两本书;
如果你在阅读大型案例式网络设备配置图书中看不懂配置语句,请选择这两本书;
如果你希望有一本思路清晰、方便随时查阅的路由器配置手册,请选择这两本书;
如果你是零基础,对路由器配置一无所知,但又想从零开始学习,请选择这两本书;
如果你已系统地学习了Cisco和H3C路由器配置和管理方法,请不要选择这两本书;
如果你只想要大型案例的路由器配置与管理图书,请不要选择这两本书;
如果你一直喜欢看英文原版图书,请不要选择本书;
如果你已是这方面的专业人士,请不要选择本书。
写作感言
为了今天,我足足等了10个月;为了今天,我放弃了除春节外的所有节假日;为了今天,我放弃了带孩子去外面玩耍的机会,甚至是在全世界儿童的节日——六一这一天;为了今天,我每天分三个工作时段,上午、下午和晚上……
今天终于来到,我长长地嘘了一口气,闭着双眼休息一会,感觉好极了,心中的压抑感似乎一下子灰尽烟灭了。为了写这两本书(《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C篇》),我重新仔细地学习了这两个品牌中每个主流路由器系列和型号的主要功能及配置方法,力求使书中的内容都是最新的。几百个日日夜夜,几百个不眠之夜,只求向广大读者交上一份合格的“答卷”。你们就是阅卷老师,你们就是我的裁判。愿上天保佑,你们能在“阅卷”中找到一丝丝满足,体验到一丝丝愉悦。
笔者自从2009年9月份出版第一本关于网络设备配置与管理手册的图书——《Cisco/H3C交换机配置与管理完全手册》以来,取得了意想不到的好效果,也得到了意想不到的如此之多读者的支持与高度肯定——这些评价可以从一些主要的网上书店(如当当网和卓越网)中查看。当然,在享受这一份喜悦的同时,我也承受了巨大的“压力”,因为许多读者在看完《Cisco/H3C交换机配置与管理完全手册》一书后,纷纷在我的QQ读者群、我的博客、网上书店留言,询问它的姊妹篇——《Cisco/H3C路由器配置与管理完全手册》,甚至还有人问《防火墙配置手册》这本书何时出版。本来是件好事,但对于我来说,却实实在在地感受到了巨大的压力,因为我在写《Cisco/H3C交换机配置与管理完全手册》这本书时就亲身感受到了,再要写这样一本包括两大品牌,以及产品系列的完全手册图书,难度绝不是一般人可以想象的。而且,后面的书只能比上一本更好,只有这样才能对得起如此众多读者的支持与厚爱,这无形之中又多了一份压力。
说实在的,作为技术图书作者,作为全国唯一一位如此长时间(10年了)坚持职业化创作的IT图书作者,我深深地明白了一个事实,写书是件非常苦、非常累的工作,而且就国内目前情况来说,所付出的与所得到的根本不成比例。而且,技术图书作者远比其他图书作者辛苦,可得到的却远比其他图书作者的少,因为读者群体本来就小。不要说比其他图书动不动上百万册的销量,就是能上个万把册,在IT技术类图书中也是少之又少的,大多数图书连一次重印的机会都没有。所以要感谢广大读者一直以来的支持与厚爱,我的书相当多远超万册,还有许多本输出到了中国台湾地区,并同样得到了台湾读者的高度认可,同时获得了相当多的行业荣誉。每当我在十几个QQ读者群中看到读者对我的书给予的高度评论,每当有读者担心我的身体状况,希望我适当休息时,我都备受感动,这或许就是我这样一位10多年来一直笔耕不辍的IT图书作者能一直坚持职业化写作,甘当苦行僧的原动力。写一本好书不难,难就难在每本书,或者绝大多数图书都能得到广大读者的高度认可,难就难在10多年来,支持的读者量能保持持续上升的态势。
本书特色“特色”一直以来是每本书都大力宣称的,但真正有多少书有自己的特色,就仁者见仁、智者见智了,因为真正要做到有特色,是非常困难的,不是仅凭自己讲如何有特色就行的。笔者作为一位长期从事网络类图书创作,一直走品牌化之路的作者,“特色”是我的图书的生命,是一直以来远超同类图书的法门和秘诀,也是得到广大读者和同行高度认可的。这两本书是遵循笔者一直所采用的,也是近10年来一直得到广大读者所认可的风格进行编写的。这两本书的主要特色有如下几方面。
1.全面、系统
这是笔者写书的最主要追求,是笔者所著图书的最主要特色,也是数十万读者首肯和众多高校选用我所著图书作为教材的重要理由。这两本书几乎介绍了在中型企业中要用到的Cisco和H3C的所有路由器功能配置与管理方法,包括两个品牌主流系列路由器的选型和各方面的基本配置与管理方法,如Cisco/H3C路由器系列比较,LAN/WAN接口配置、WAN接入配置、DHCP/DNS服务配置、NAT配置等;各种路由配置与管理方法,如静态路由、RIP、OSPF、EIGRP(仅适用于Cisco路由器)、BGP、IS-IS和策略路由的配置与管理;主要VPN配置与管理,如IPSec VPN和DMVPN方案的配置与管理方法。通过对这两本书的学习,就可以从全局上系统地掌握这两个品牌路由器的各主要功能与管理方法。
2.通用性
这两本书采用的是各功能通用配置/管理思路和方法的介绍方式,区别于具体案例型图书,这样可使读者从配置原理上理解配置思路和方法,可以做到举一反三。同时对各配置步骤中所使用的配置命令进行了详细介绍,对示例中的主要配置语句功能做了详尽的说明,而不像许多大型案例类图书那样仅列出一大串语句,读者根本不知道这些命令的具体功能和详细使用方法。这是学习任何技术的基础。
3.实用性
尽管这两本书不是以具体的大型案例进行功能配置与管理方法介绍的,但是几乎每条命令和功能都介绍了许多应用示例。每本书中大大小小的示例起码达上千例,其目的就是想让读者朋友充分理解各命令和功能的使用方法,而不是局限于某种环境下的具体应用,真正做到举一反三。
学习方法建议
为了帮助大家选择这两本路由器配置的图书,提高大家的学习效率,下面对这两本书的学习提些建议。
1.正确选择这两本书
原来计划的《Cisco/H3C路由器配置与管理完全手册》现在分为两本,也就是《路由器配置与管理完全手册——Cisco篇》和《路由器配置与管理完全手册——H3C篇》。这两个品牌中,由于在路由器方面所使用的技术绝大多数是通用的,所以这两本书所介绍的主要内容基本一致,只是两者的具体功能配置方法不同而已。也正因如此,在这两本书中,基础知识部分只在《路由器配置与管理完全手册——Cisco篇》中介绍,在《路由器配置与管理完全手册——H3C篇》中不再赘述,只作基本的说明。主要是考虑到大多数读者需要同时选购这两本书。这一点,大家在选购这两本书时一定要注意。如果要想系统地学习路由器方面的基础知识,一定要购买《路由器配置与管理完全手册——Cisco篇》这本书。
2.比较式学习这两本书
在学习这两本书时,最好采用比较式学习,因为两个品牌的配置思路是差不多的,而且许多命令都一样。这样可以通过比较学习方式一次性学会两个品牌的路由器配置,既省时又省力。
3.讲究好的学习方法
在学习本书时,有条件的读者可以在实际的路由器系列或型号中练习,没有条件的读者可用相应的模拟器模拟练习(模拟器可以在各读者群的空间中下载)。建议大家分章各个击破,每章至少看两至三遍,第一遍粗看,不进行实际操作练习;第二遍细看,要求跟着书在实际设备或模拟器上练习;第三遍粗看,主要是看那些前两遍中没有理解或没有掌握的内容,以及重点理论、重要功能的配置与管理方法。
本书由王达主笔并统稿,参加编写、校验和排版的人员有何艳辉、王珂、沈芝兰、马平、何江林、刘凤竹、卢京华、周志雄、洪武、高平复、周建辉、孔平、尚宝宏、姚学军、张磊、刘学、李翔、王娇、李敏、吴鹏飞、宋希岭、刘中洲、潘朝阳、刘伟、曾平辉等,在此一并由衷地表示感谢。由于编者水平有限,以及时间仓促,尽管我们花了大量时间和精力校验,但书中可能还存在一些错误,敬请各位读者批评指正,万分感谢!
本人提供国内最庞大的读者服务支持体系。
■ 个人网站(图书资讯、网上视频培训和读者论坛):http://www.wdclass.net(2011年春上线)
■ 专家博客:http://winda.blog.51cto.com、http://blog.csdn.net/lycb_gz
微博:http://t.sina.com.cn/winda(新浪微博),http://t.qq.com/winda2010(腾讯微博)
16个读者服务QQ群:目前还可以加入的读者群有74496579(北京、天津、河南、河北地区读者专用)、21576699(辽宁、黑龙江、吉林、青海、西藏、内蒙古地区读者专用)、69537591(江苏、浙江、上海、福建地区读者专用)、19129079(湖南、湖北、江西、云南、四川地区读者专用)、41283311(广东、广西、海南地区读者专用)、101580747(山东、山西、陕西、重庆、贵州地区读者专用)。每人只能加入自己当前所在地区对应的一个读者群。王达2010年7月第1篇Cisco路由器选型、基本配置与管理
本篇包括以下6章内容,通过这6章的学习,我们对Cisco路由器产品系列及基本配置方法会有一个比较全面的了解。
第1章(Cisco主要系列路由器安装、选型和应用)主要介绍Cisco路由器产品链在企业中使用的最主流产品系列,以及各主要系列中的各型号路由器基本硬件配置和特性的纵/横向比较,从比较中得出不同系列、不同型号路由器的选型方法,以及各主要系列路由器的主要应用。
第2章(Cisco路由器的基本配置与管理)主要介绍Cisco路由器IOS系统的基本使用方法、初始化设置方法、LAN/WAN接口配置方法、ARP协议的配置方法,以及路由器接口IPv4地址配置方法和ROM监控维护方法。
第3章(Cisco路由器WAN接口/接入配置与管理)主要介绍Cisco路由器中最常见的几种WAN接入方式的配置方法,如Modem拨号、光纤以太网、PPPoE ADSL、VDSL2、SHDSL等WAN接入方式。
第4章(Cisco路由器DHCP和DNS服务配置与管理)主要介绍Cisco路由器担当DHCP服务器、DHCP客户端和DNS客户端的配置方法。
第5章(Cisco路由器NAT配置与管理)主要介绍Cisco路由器中各种NATF地址转换原理和应用模式的配置方法,其中包括一对一静态NAT地址转换配置、一多对和多对多动态NAT地址转换配置等。
第6章(Cisco路由器SDM的安装及基本配置与管理)主要介绍SDM系统的安装和利用SDM进行基本的路由器配置方法。第1章Cisco主要系列路由器安装、选型和应用
Cisco路由器产品不仅型号非常多,而且系列也非常多。有时很难分清每个系列的主要特点、主要功能和用户定位,这给我们在选择具体方案设备时带来诸多麻烦。在平时部署网络方案时经常遇到,什么位置应该选择哪个系列或型号的路由器的难题。这也是我平时在读者QQ群解答读者问题时经常遇到的。如通常会问,公司网络是怎样一个基本情况,现在想要购买一台Cisco路由器,不知买哪个型号合适。或者问几个系列或型号的Cisco路由器产品之间到底有什么本质区别,等等。要解答这些问题,首先要对Cisco整个路由器产品系列,甚至具体型号的主要适用环境、主要功能和性能,以及主要特点和各主要系列及同系列各主要型号之间的主要区别有一个比较全面的了解,否则无法做出恰当的选择。
Cisco路由器产品线非常长,产品非常齐全,可以满足各类用户的各方面需求。如适用于小型SOHO型企业用户的SOHO系列、适用于100个以内用户小型企业的Cisco 1x00系列、适用于150个以内用户中小型企业的Cisco 2x00系列、适用于200个用户左右的Cisco 3x00系列……当然还有按路由器所处位置,或者按主要功能来划分的,如用于中小型企业网络边缘接入的ISR(集成多业务路由器)系列、用于大中型企业网络边缘接入的ASR(汇聚多业务路由器)系列,当然还有用于骨干网络的高档核心路由器系列。本章主要对Cisco这些主要路由系列进行综合介绍,并着重介绍各主要系列路由器的安装、相近系列和相同系列各主要型号路由器之间的综合比较,以及各主要系列路由器的应用方案。1.1 Cisco路由器概述
Cisco(思科)公司是为各种规模的机构提供网络系统的全球领先厂商,提供了全面支持网络化业务应用的企业级部署的解决方案。Cisco路由器是智能信息网络的基础,为当今要求最严格的网络服务,包括IP通信、视频、客户关系管理、金融交易和其他实时应用提供高可用性、全面的安全性、集成无线特性、易管理性和先进的服务质量(QoS)。
1.1.1 Cisco主要路由器产品系列
Cisco路由器产品系列和型号非常多,可全面满足从SOHO办公室、小型办公室、中小型企业、大型企业和运营商等各类商业、企事业单位的广域网业务接入需求。而且,随着技术的进步,也有许多系列或型号的路由器产品已得到了升级换代,所以目前有些系列或型号的Cisco路由器产品已停止售后服务了。目前仍可提供服务的主要有以下系列。
■ Cisco XR 12000系列路由器。
■ Cisco ASR 9000系列汇聚多业务路由器。
■ Cisco ASR 1000系列汇聚多业务路由器。
■ Cisco 7600系列路由器。
■ Cisco 7500系列路由器。
■ Cisco 3900系列路由器。
■ Cisco 3800系列路由器。
■ Cisco 3600系列路由器。
■ Cisco 3200系列路由器。
■ Cisco 2900系列路由器。
■ Cisco 2800系列路由器。
■ Cisco 1900系列路由器。
■ Cisco 1800系列路由器。
■ Cisco 800系列路由器。
■ Cisco SOHO系列路由器。
已声明停止服务的有以下系列。
■ Cisco 1700系列路由器。
■ Cisco 2600系列路由器。
■ Cisco 3700系列路由器。
■ Cisco 7200系列路由器。
■ Cisco 7300系列路由器。
■ Cisco 7600系列路由器(部分型号)。
■ Cisco 10000系列路由器。
■ Cisco 12000系列路由器。
■ Cisco 12400系列路由器。
以上各大系列又有许多不同硬件和功能配置的型号,甚至还有子系列,具体将在本章后面介绍。【经验之谈】如果你要购买Cisco路由器产品,则强烈建议不要选择已停止服务的产品系列,因为这些系列产品不仅得不到Cisco公司提供的售后服务支持,而且这些已停止服务的产品系列的IOS系统也将不能更新到最新的版本。另外,即使有些系列产品目前暂时未停止服务,也建议选择最新的可替代系列,如集成多业务路由器产品中,现在已有第二版本的Cisco 1900、2900、3900系列,这时如果要选购新的,则不要再选择第一版本的Cisco 1800、2800和3800系列路由器。当然,本书主要介绍Cisco公司仍能提供服务支持的系列产品的配置与管理方法。
1.1.2 Cisco路由器系列产品分类
因为Cisco的路由器产品系列和型号非常多,历时也有几十年时间,所以在划分标准中难免存在多样性。但主要可按功能和所应用的网络环境不同来划分。
1.按路由器功能划分
Cisco路由器按功能不同,可划分为以下3大类(仅列出当前仍主流应用的系列)。
■ 接入路由器:Cisco SOHO、1700、2600、3600、3700等系列。
■ 集成多业务(integrated services router,ISR)路由器:Cisco 800、850、860、870、880、890、1800(固定)、1800(模块化)、1900、2800、2900、3800、3900等系列。
■ 汇聚多业务(aggregation services router,ASR)路由器:Cisco 7200、7300、7400、7500、7600、ASR 1000、ASR 9000、XR 12000等系列,以及Catalyst 6500系列交换机。
以上分类可用图1-1表示。图1-1 Cisco路由器按功能的分类【说明】这里先要搞清楚两个概念之间的区别,即“集成多业务”和“汇聚多业务”之间的区别。因为不仅Cisco路由器有这样的功能划分,《路由器配置与管理完全手册——H3C篇》要介绍的H3C路由器同样也有类似的功能划分方法。
所谓“集成多业务”就是在一台路由器中提供多种支持不同广域网接入方式的WAN接口,这就是“集成”两个字的含义。集成多业务类型路由器支持多种不同类型的广域网业务接入,提供不同WAN的接入功能。这就适用于不同用户的广域网接入环境,方便用户灵活选择,适用于更广大的用户和广域网环境,一般用于网络边缘的接入层。
而“汇聚多业务”则指在一台路由器上可以同时接入多个不同的广域网业务,并且路由器可以把不同类型的业务汇聚在一起进行处理,这就是“汇聚”两个字的含义。这类路由器不仅集成包括数据、语音、视频在内的资源密集型企业应用和面向消费者的服务定制,还提供了多业务集成环境下业界领先的性能、服务水平和可靠性,进而实现了Cisco公司创建应用融合的网络平台的创新理念。它要求路由器不仅要支持多种不同广域网接入方式,还要求具有对不同广域网协议类型业务的处理能力和高的处理性能。显然“汇聚多业务”类型路由器的档次要比“集成多业务”类型高,价格自然也就贵了。
在以上集成多业务(ISR)路由器系列中,目前又有两个版本,即ISR和ISR2(第二代ISR)。当然,ISR2是ISR的升级版本,于2009年10月才正式对外发布,是Cisco公司专门为它新的“无边界网络”解决方案而开发的。
目前属于ISR2的主要系列有Cisco 860、880、890、1900、2900、3900系列。它们对应于以下ISR版本路由器系列的升级:Cisco 850、870、1800、2800、3800、3800系列。如果大家要购买新的Cisco集成多业务路由器,则建议选择以上支持最新的ISR2版本系列。表1-1列出了ISR2和ISR两种版本的一些主要功能比较。有关ISR2版本的1900、2900、3900三个系列路由器将在本章后面专门介绍。表1-1 ISR2与ISR的比较
2.按路由器应用环境划分
以上是根据功能来分类的,还可以根据应用环境来分类。Cisco公司把它的主要路由器系列划分为分支机构、集团总部广域网和ISP服务商三大类。在这三个分类中,所适用的用户规模是依次增多的,路由器接入功能和性能也是依次增强的。
适用于分支机构的Cisco路由器系列包括Cisco 800、850、860、870、880、890、800、1900、2800、2900、3800、3900等系列(仅列出当前仍主流应用的系列);适用于集团总部广域网界的Cisco路由器系列包括Cisco 7200、7400、7500、7600、ASR 1000和Catalyst 6500系列路由器等系列;适用于ISP服务商的Cisco路由器系列包括Cisco 7500、7600、ASR 1000、ASR 9000、XR 12000等系列,如图1-2所示。图1-2 Cisco路由器按应用环境的分类
1.1.3 Cisco主要路由器系列的基本功能和特性
前面介绍了Cisco主要的路由器产品系列,下面介绍各主要系列的基本功能和特性。具体各路由器系列的配置和性能介绍,以及不同系列间的横向比较将在本章后面介绍。
目前在企业网络中主流应用的路由器系列功能特性如表1-2所示。表1-2 Cisco主要路由器系列的功能特性
其中,Cisco的共享端口适配器(SPA)和SPA接口处理器(SIP)是Cisco的I-Flex设计理念所支持的技术。它可使大型企业和电信运营商客户充分享受在Cisco不同路由平台间可互换的模块化端口适配器所带来的更高插槽经济性。I-Flex设计可通过提供线速性能的可编程接口处理器,提供最多的连接选项和出色的服务智能,并且有效地降低总拥有成本。
ESCON(enterprise systems connection,企业系统连接,又称管理系统连接)是随IBM s/390服务器的推出而推出的一种光纤串行传输通道接口,取代了早期在s/360和s/370服务器中使用的并行OEMI(original equipment manufacturer information,初始设备制造厂家信息)传输通道接口。ESCON通道接口能在60km距离内以17Mb/s速率进行数据传输,与铜基并行总线和特征通道相比,ESCON能提供更高的速度。
HWIC(高速WAN接口卡)是Cisco路由器中新型的WAN接口卡,是原有WIC(WAN接口卡)的升级和增强版本。HWIC提供了高于当前WIC的速度和端口密度。HWIC插槽可支持基于Cisco产品的馈线电源和PoE的模块。HWIC有占一个插槽的单宽接口卡和占两个插槽的双宽接口卡两种形式。1.2 Cisco SOHO系列路由器
Cisco SOHO系列为宽带路由器,可通过一个集成调制解调器(无需另外配置调制解调器)连接到ADSL(SOHO 97)、ADSL over ISDN(SOHO 96),或G. SHDSL(SOHO 78)线路,或者与一个外部DSL或电缆调制解调器(SOHO 91)相连。SOHO系列可为拥有最多5个用户和远程工作人员的小型远程机构提供安全连接,这与其他常见的宽带路由器是一样的。但Cisco SOHO系列路由器也支持Cisco IOS软件的集成安全特性,如状态化检测防火墙保护、强大的虚拟专用网(VPN)加密,以及可供非技术人员进行轻松设置的基于Web的设置工具和可降低运营成本的先进管理功能。这些是许多其他品牌宽带路由器所没有的。
1.2.1 Cisco SOHO系列路由器安装和主要特性
Cisco SOHO系列的SOHO 91、96和97路由器上带有4端口10/100Mb/s以太网LAN交换机,如图1-3所示的是Cisco SOHO 91型号的路由器外观,其他SOHO系列型号的路由器外观与之类似,它提供先进的安全和管理特性来保护小型机构和家庭工作用户的宽带连接。Cisco SOHO 90系列路由器通过虚拟辅助端口(AUX)提供带外管理特性。Cisco SOHO系列路由器使用的Cisco IOS软件与大型服务供应商和企业网络Cisco路由器的相同(当然功能会有所不同),使小型机构用户可利用Cisco IOS软件的成熟可靠性。图1-3 Cisco SOHO 91路由器【说明】从技术角度来说,网络管理又分为带内管理(in-band)和带外管理(out-of-band)两种方式。所谓“带内管理”,是指网络的管理控制信息与用户网络的业务信息通过同一个物理通道(也就是同一条介质)传送;“带外管理”,是指网络的管理控制信息与用户网络的业务信息在不同的物理通道传送,两者完全独立,互不影响。如在局域网内进行的管理都是带内管理,因为控制信息都是通过与数据信息在同一网络链路(也就是LAN端口)传输的。而通过远程的方式对网络设备的维护则是带外管理,因为它不是采用局域网内的LAN端口,而是采用其他端口(如虚拟辅助端口)进行控制传输的。带内管理的最大缺陷在于:当网络出现故障中断时,数据传输和管理都无法正常进行。支持带外管理就相当于为设备的管理与维护提供了一条区别于数据传输通道的额外紧急通道,即使数据通道无效,仍可以对设备进行管理。
Cisco SOHO系列路由器的主要硬件配置与特性如表1-3所示。表1-3 Cisco SOHO系列路由器的主要特性
其中,ADSL over ISDN是一种同时支持ISDN和ADSL两种接入的技术,但目前基本上不用了,因为目前ADSL技术早已普及。
G. SHDSL(对称高速DSL)是ITU(国际电信联盟)推荐的在双绞线上传输双向对称DSL技术,可支持从192Kb/s~19.4Mb/s的传输速率,可同时为用户提供高速上网、VoDSL语音、视频等各种实时性、高带宽业务。其优势表现在三个方面:其一,G. SHDSL技术能支持多种业务类型的应用,包括ATM、IP和TDM;其二,它的传输距离远,达到了6km,相对于HDSL(高速DSL)能提高15%~130%;其三,它能够很好地实现和其他厂商间设备的兼容。G. SHDSL技术非常适合中小企业级用户的应用,具有很好的应用前景,与ADSL技术能形成很好的互补关系。
CSU(通道服务单元)是把终端用户和本地数字电话环路相连的数字接口设备,用于接收和传送来往于WAN线路的信号,并提供对其两边线路干扰的屏蔽作用。CSU也可以响应电话公司来的用于检测目的的回响信号。DSU(数据服务单元)指的是用于数字传输中的一种设备,能够把DTE(数据终端设备)上的物理层接口适配到(通俗地讲就是连接到)T1、E1、T3或E3等通信设施上。DSU也负责信号计时等功能,通常与CSU一起提及,在一台设备中集成,所以现在见得最多的是CSU/DSU设备。
状态防火墙能对连接状态(如连接是否处于初始化、数据传输或终止状态)进行跟踪,是一种检测能力比较弱的防火墙。从传输层的角度看,状态防火墙检查OSI/RM第三层数据包头和第四层报文头中的信息。比如,查看TCP头中的SYN(同步)、RST(复位)、ACK(确认)、FIN(结束)和其他控制代码来确定连接的状态。除了状态防火墙外,还包括过滤防火墙、应用网关防火墙和复合型防火墙等类型。
1.2.2 Cisco SOHO系列路由器的应用方案
Cisco SOHO系列路由器与其他品牌宽带路由器的应用没有太大区别,都是用于少数人共享上网的宽带接入。Cisco SOHO系列路由器的远程网络连接拓扑结构如图1-4所示。图1-4 小型企业通过Cisco SOHO系列路由器进行互联网接入的网络方案
当需要部署以下特性时,建议选择Cisco SOHO系列路由器。
■ 通过DSL或电缆线路,提供廉价的小型企业多用户接入。
■ 通过状态化检测防火墙提供互联网接入安全。
■ 为非技术用户提供可方便设置的解决方案。
■ 基于软件(因为这个系列路由器本身不能创建VPN连接)的小型站点间VPN(Cisco SOHO 91、96和97)网络互联。
■ 为PC VPN客户端的用户提供安全远程工作人员解决方案。
1.2.3 Cisco SOHO系列路由器各型号主要特性比较
在Cisco SOHO路由器系列中有多种型号,目前主要有Cisco SOHO 78、91、96、98。表1-4所示的是这些Cisco SOHO系列型号路由器的配置和功能比较。表1-4 Cisco SOHO系列路由器的横向比较1.3 Cisco 800系列路由器
Cisco 800系列安全宽带路由器虽然也是为小型远程机构和远程工作人员提供安全的互联网及公司网络连接而开发的,但它比前面的SOHO系列的性能要强。它提供了范围广泛的、集成的安全服务,可用于高质量语音、视频和数据应用的高级服务质量(QoS)特性,以及通过Cisco IOS软件实现的方便部署和远程管理特性。
此系列早期包括800、810、820、830等4个子系列路由器。它们可通过ADSL(Cisco 837、827-4V)、ISDN ADSL(Cisco 836)、G. SHDSL(Cisco 828)、ISDN(Cisco 801、803)、串行接口(Cisco 805)或连接外部DSL,或者有线调制解调器的一个以太网WAN端口(Cisco 831)连接到互联网或公司网络。但目前这些子系列已应用不多,因为有更新、功能更强的850、870、880、890子系列,所以在此不介绍800、810、820、830等4个子系列,仅介绍目前主流应用的850、870、880、890等4个子系列。它们都是第一代集成多业务路由器(ISR)。本节中所涉及的各种配置方法,特别是VPN配置方法将在后面章节对应介绍。
1.3.1 Cisco 850子系列路由器主要特性、安装和应用方案
Cisco 850系列安全宽带和无线路由器属于Cisco集成多业务路由器系列,可部署于小型远程机构和小型企业。这些路由器专为小型办公机构而设计,在单一设备中提供了安全WAN连接和可选集成802.11b/g WLAN支持。
1.Cisco 850子系列路由器主要特性
Cisco 850子系列集成多业务路由器为固定配置路由器,适用于小型机构和远程机构部署。它可通过模拟电话线连接支持有线电视宽带(Cable)和ADSL,提供了运行防火墙和VPN加密等并行服务所需的性能。可选的802.11b/g WLAN功能(仅部分型号)在单一设备中为WLAN提供了一个安全宽带路由器和简易功能接入点(AP)。在与互联网连接或将小型机构连接到中央地点时,状态化检测防火墙和IPSec VPN支持可提供安全接入;高速LAN端口能将多个设备连接到小型机构网络。
Cisco 850子系列路由器也可利用外部调制解调器、通过AUX进行带外管理,可帮助IT管理员远程管理小型机构的路由器,快速解决网络故障问题。可选的集成安全WLAN连接,支持无线设备的接入;所支持的Cisco SDM(安全设备管理器)图形界面配置方法可帮助经销商和客户在无须了解Cisco IOS软件CLI配置方法的情况下,快速、方便地部署、配置和监控Cisco接入路由器。因为SDM可基于Web界面进行配置,简化了设置和部署,而集中管理功能可使网络管理员查看和控制远程地点的路由器配置。此外,凭借对于Cisco CNS 2100系列智能引擎的支持,可实现即插即用安装和集中配置管理。
2.Cisco 850子系列路由器安装
Cisco 850子系列几种型号的基本配置如表1-5所示。Cisco 851W型号路由器的安装方法如图1-5所示(也适用于下面将要介绍的Cisco 871W型号路由器,Cisco 851和Cisco 871型号只是没有WLAN功能的天线)。其中,①为到外部交换机的以太网连接;②为到PC的以太网连接;③为到WAN线路上的Modem连接;④为控制台端口。Cisco 857W型号路由器的安装方法如图1-6所示(也适用于下面将要介绍的Cisco 877W型号路由器,Cisco 857和Cisco 877型号只是没有WLAN功能的天线)。其中,①为到外部交换机的以太网连接;②为到PC的以太网连接;③为到ADSL over POTS连接;④为控制台端口。表1-5 Cisco 850子系列各型号路由器的基本配置图1-5 Cisco 851或Cisco 871路由器的安装方法图1-6 Cisco 857或Cisco 877路由器的安装方法
3.Cisco 850子系列路由器的应用方案
当要部署以下特性时,建议选择Cisco 850子系列路由器。
■ 为小型机构提供带状态化检测防火墙和IPSec VPN支持(注意它是可以真正发起IPSec VPN连接)的安全连接时。
■ 需要带4端口10/100Mb/s小型交换机的宽带路由器时。
■ 需要支持安全WLAN 802.11b/g接入的宽带路由器时。
通过Cisco 850系列路由器,小型远程分支机构或远程工作人员可通过IPSec VPN实现与公司总部的网络连接,当然,还可以通过诸如xDSL接入方式访问互联网。方案拓扑结构如图1-7所示。图1-7 通过Cisco 850系列路由器分支机构与公司总部进行的远程VPN连接
1.3.2 Cisco 860子系列路由器的主要特性、安装和应用方案
Cisco 860子系列集成多业务路由器也是面向小型企业的,集成了互联网接入、安全(防火墙、IPSec VPN)和WLAN无线服务(支持最新的IEEE 802.11n标准)。基于Web的配置工具Cisco configuration professional(CCP)还简化了设置和部署(注意,不采用SDM了),而集中管理功能可使网络管理员查看和控制远程站点的网络配置。
总体而言,Cisco 860子系列集成多业务路由器提供以下特性。
■ 面向小型机构和远程地点的宽带接入服务及WLAN无线连接服务(仅部分型号)。
■ 通过状态化检测防火墙和IPSec VPN(支持远程访问VPN和点对点VPN两种)、EzVPN支持为小型办公室提供安全的连接。
■ 4端口10/100Mb/s快速以太网可管理交换机,具备VLAN支持。
■ 提供用于控制台或外部调制解调器的CON/AUX端口。
■ 提供基于IEEE802.11n 2.0版标准的安全802.11g/n接入点选项。
■ 提供基于Web的工具CCP和Cisco IOS软件可实现方便的设置、部署和远程管理。
Cisco 860子系列各型号的基本特性、配置比较如表1-6所示。图1-8所示的是Cisco 860子系列路由器的外观(不带WAN功能的该子系列型号产品只是没有天线)。其中,①为主要WAN接口,是10/100Mb/s快速以太网接口或ASDL over PSTN接口;②为天线;③为4端口10/100Mb/s快速以太网交换机;④为控制台或AUX辅助端口;⑤为复位按钮;⑥为电源连接器插孔;⑦为接地连接;⑧为安全锁。表1-6 Cisco 860子系列各项号的基本特性、配置比较图1-8 Cisco 860子系列路由器
Cisco 860子系列路由器的应用方案如图1-9所示。它的应用与前面介绍的850子系列是一样的,既可通过所支持的WAN接入方式访问互联网,又可通过所支持的IPSec VPN与公司总部网络连接。图1-9 Cisco 860子系列路由器的应用方案
1.3.3 Cisco 870子系列路由器主要特性、安装和应用方案
Cisco 870子系列集成多业务路由器相对前面介绍的几个子系列800系列路由器来说,增强了在小型机构中以宽带速度运行防火墙、VPN和WLAN等安全并发服务的能力,可作为企业网络的一部分,部署于小型办公机构或远程工作地点,提供安全WAN和WLAN连接。
Cisco 870子系列集成多业务路由器为固定配置路由器,支持用于小型机构的多种DSL技术、宽带有线连接和城域以太网连接。它提供了运行防火墙、入侵防御和VPN加密等并发服务所需的性能,用于WLAN联网的802.11b/g选择,以及优化语音和视频应用所需的网络服务质量(QoS)特性。另外,Cisco路由器和SDM基于Web的配置工具简化了设置和部署,而集中管理功能可使网络管理员查看和控制远程地点的网络配置。
Cisco 870系列路由器可作为4端口可管理的10/100Mb/s交换机,使小型机构中的多个设备能够相互连接,并可指定一个端口作为网络DMZ(用于连接需要提供公共服务的服务器或服务器网络)。用户还可选择一个外部PoE适配器来为IP电话供电(安装方法见图1-10,图中的②为PoE模块上的双绞线电缆;③为PoE模块;④为PoE模块电源适配器),以避免采用独立电源或馈电器;所支持的VLAN可实现网络资源的安全划分。另外,Cisco 870系列提供企业级安全服务,包括一个用于实现网络外围安全的集成状态化检测防火墙、高速IPSec,用子在互联网上实现数据保密的3DES和AES加密、入侵防御系统(IPS),以及通过网络准入控制(NAC)提供的防病毒支持,以便在较大规模的企业和电信运营商网络中实施安全策略。图1-10 Cisco 870子系列PoE模块的安装
Cisco 870子系列路由器也有多个子系列,如Cisco 871、876、877、878,它们之间的主要特性、硬件和功能配置比较如表1-7所示。表1-7 Cisco 870子系列路由器各子系列的配置和特性比较
在Cisco 870子系列中,Cisco 871/871W和Cisco 877/877W的安装连接方法分别如图1-5和图1-6所示。Cisco 876/876W的安装连接方法如图1-11所示。其中,①为到外部交换机的以太网连接;②为到PC的以太网连接;③为到ISDN S/T的连接;④为到ADSL over ISDN的连接;⑤为控制台端口。图1-11 Cisco 876/876W型号路由器的安装连接方法
Cisco 878/878W的安装连接方法如图1-12所示。其中,①为到外部交换机的以太网连接;②为到PC的以太网连接;③为到ISDN S/T的连接;④为到G. SHDSL的连接;⑤为控制台端口。图1-12 Cisco 878/878W型号路由器的安装连接方法
当需要在小型远程机构、远程工作地点和小型企业中实现以下特性时,建议采用Cisco 870系列路由器。
■ 为宽带连接提供安全并发服务。
■ 实现高速VPN解决方案。
■ 通过防火墙、VPN、IPS、NAC、DMVPN、Easy VPN实现先进的安全特性。
■ 需要集成的,带可更换分集天线的802.11b/g选项支持。
■ 需要路由器同时带4端口10/100Mb/s可管理交换机。
Cisco 870系列路由器的远程网络连接方案的网络拓扑结构可参见如图1-7所示Cisco 850系列路由器的连接方案。只是Cisco 870系列路由器还支持城域以太网连接。
1.3.4 Cisco 820/830/870子系列的硬件配置比较
为了方便大家的选择,下面把Cisco 800系列中几个主要子系列的硬件配置列表比较,如表1-8所示。从这些配置中可以很清楚地看出各子系列在硬件配置上的主要区别。表1-8 Cisco 820/830/870子系列路由器的配置比较
1.3.5 Cisco 880子系列路由器主要特性、安装和应用方案
Cisco 880子系列集成多业务路由器也是面向小型企业、大型企业的小型分支机构和远程工作人员的,但它是一个较新的子系列,其功能比以前的800其他子系列有明显提高。它集成了互联网接入、安全和无线服务,并以宽带速度为小型机构提供了各种特性,包括防火墙、内容过滤、VPN和WLAN。
1.Cisco 880子系列路由器主要特性和安装
Cisco 880子系列集成多业务路由器为固定配置路由器,该产品为保障小型企业和大型企业远程工作人员的数据通信安全提供了协作式业务解决方案。Cisco 880子系列通过最新的3G、城域以太网和多种DSL提供并发的宽带服务并支持业务连续性。最新的无线802.11n标准和3G业务提供局域网和广域网移动性。同时,Cisco 880子系列还提供状态防火墙、入侵防御、内容过滤和VPN加密等并发服务所需的性能,用于移动性的802.11g/n选择,以及优化语音和视频应用所需的服务质量(QoS)特性。此外,基于Web的配置工具CCP还简化了设置和部署,而集中管理功能则可使网络管理员查看和控制远程站点的网络配置。
总体而言,Cisco 880子系列集成多业务路由器提供以下主要特性。
■ 面向小型机构和远程工作人员站点的高性能宽带接入服务。
■ 协作服务和数据通信。
■ 通过冗余广域网链路实现的业务连续性和广域网多样性:快速以太网、G. SHDSL、3G和ISDN。
■ 高级安全特性,包括以下几方面。
➢ 支持先进应用的防火墙,能够监控电子邮件、IM即时消息传递和HTTP流量。
➢ 站点间远程访问和动态VPN服务IPSec VPN(3DES或AES加密)、动态多点VPN(DMVPN)、支持主板加速的group encrypted transport VPN(组加密传输VPN)和安全套接字层(SSL)VPN。
➢ 入侵防御系统:内部深包检测特性能够有效牵制各种网络攻击。
➢ 内容过滤:一种基于预订的集成安全解决方案,能够提供基于类别的口碑评分;关键字拦截;并可抵御广告软件、恶意软件、间谍软件和URL阻截。
■ 4端口10/100Mb/s快速以太网可管理交换机,具备VLAN支持;两个端口支持以太网供电,用于为IP电话或外部接入点提供电力。
■ 提供安全802.11g/n接入点选项,支持自治式或Cisco unified WLAN(Cisco统一WLAN为通信的一个分支)架构。
■ 用于控制台或外部调制解调器的CON/AUX端口。
■ 1个USB1.1端口,用于安全电子令牌证书、USB引导和配置加载。
■ 基于Web的工具和Cisco IOS软件可实现方便的设置、部署和远程管理。【经验之谈】现在在网络领域,“统一通信系统”(unified communication systems, UCS)这个词成为最热点的关键词。其实“统一通信”不是特指Cisco设备,在其他品牌的网络设备和软件商中同样有“统一通信”的解决方案。只不过它们都是各自针对自己的产品而提出的统一通信解决方案。
总的来说,“统一通信”就是想通过一种方案把计算机网络的应用与通信网络应用统一起来,实现无论任何地点、采用任何设备都可以实现诸如邮件/传真、数据/图像/多媒体内容、语音通信、手机短信的收发。通过统一通信解决方案,用户可按照喜好随时进行通信,并可使用任意设备通过任何媒体进行通信。统一通信将常用的多个电话和设备及多个网络(固定、互联网、有线、卫星、移动)结合在一起,以实现独立于地理位置的通信,促进通信与业务流程的集成,简化运行并提高生产率和利润。并且会改变现有的网络应用方式,如以后的电子邮件都可以是语音格式的,打开电子邮件即可听到对方的留言。
在Cisco 880子系列中,根据是否支持3G业务和SRST(远程电话应急呼叫)功能分为3大类别:仅支持基本的DSL接入和WLAN选项的标准类别、支持3G业务的G系列、在标准类别中同时支持SRST功能的SRST类别。
图1-13所示的是Cisco 880子系列标准和G类别路由器的外观图。其中,①为ISDN接口,10/100Mb/s快速以太网接口;②为主要WAN接口,因具体型号的不同可能为G. SHDSL、VDSL2+over POTS、ADSL2+over POTS、ADSL2+over ISDN或10/100Mb/s接口;③为天线;④为4端口10/100Mb/s快速以太网交换机;⑤为控制台或AUX辅助端口;⑥为PoE电源连接器插孔;⑦为复位按钮;⑧为电源连接器插孔;⑨为接地连接;⑩为安全锁。图1-13 Cisco 880子系列外观图
图1-14所示的是Cisco C881SRST-W路由器的外观图。其中,①为主要WAN接口,是10/100Mb/s接口;②为语音接口;③为4端口10/100Mb/s快速以太网交换机天线;④为控制台或AUX辅助端口;⑤为PoE电源连接器插孔;⑥为天线;⑦为复位按钮;⑧为电源连接器插孔;⑨为接地连接;⑩为安全锁。图1-14 Cisco 880 SRST类别路由器外观图
标准和G类别Cisco 880子系一列各型号路由器的主要特性和配置如表1-9所示;SRST类别Cisco 880子系列各型号路由器的主要特性和配置如表1-10所示。表1-9 标准和G类别Cisco 880子系列路由器各型号的主要特性和配置比较表1-10 SRST类别Cisco 880子系列路由器各型号的主要特性和配置比较【说明】Cisco公司为所有支持语音的Cisco IOS软件平台开发了Cisco SRST(远程电话应急呼叫)技术。Cisco SRST是集中呼叫处理架构中的一个关键组成部分,其中Cisco CallManager集群和应用服务器处于中央位置,为公司所有站点提供电话服务。本地分支机构接入路由器上的Cisco SRST会自动发现网络故障,并启动一个过程来自动配置路由器,从而为该机构的IP电话提供呼叫处理备用冗余功能。路由器配置完毕后,可在故障期间提供呼叫处理功能,确保电话功能的持续性。在WAN连接恢复过程中,系统可以自动将呼叫处理功能转移至主Cisco CallManager集群。Cisco SRST只需在中央站点Cisco CallManager上配置一次,从而简化了部署、管理和维护。远程站点无须IT员工管理Cisco SRST特性。
2.Cisco 880子系列路由器的应用方案
Cisco 880子系列路由器是Cisco公司于2008年下半年才推出的一个系列路由器产品,适用于需要连接到大型企业网络的小型分支机构和远程工作人员及小型企业,将公司网络扩展到安全的远程站点的同时,能够给予用户与总部相同的应用访问能力。这种功能同时适用于数据和语音应用,用户通过IP电话可将公司电话分机扩展到远程机构,实现整个集团公司都使用统一的“免费”内部电话系统。当用户需要WLAN接入时,远程站点网络安全的可视性和控制能力就显得尤为重要,而Cisco 880子系列只需要单一设备即可满足此需求,因为该子系列设备整合了802.11g/n功能和Wi-Fi保护接入(WPA)等安全特性,包括支持具备Cisco可扩展验证协议(LEAP)和受保护EAP(或PEAP)的IEEE 802.1x验证,以及支持WPA临时密钥完整性协议(TKIP)的加密功能等。包含集成接入点的Cisco 880子系列产品能够使用自治模式或Cisco Unified WLAN模式,作为企业WLAN架构的一部分,所有WLAN功能均通过Cisco WLAN控制器和Cisco无线控制系统集中管理。电信运营商和增值经销商可以充分利用Cisco 880子系列的优势提供真正的企业级宽带服务。
Cisco 880子系列路由器是部署在小型办公机构或大型企业的小型分支机构的理想设备,通常采用安全的VPN连接,其应用方案网络结构可以用图1-15来表示。图1-15 Cisco 880子系列路由器的应用方案
采用图1-15所示的Cisco 880子系列路由器解决方案的机构可能包括以下几点。
※ 小型远程机构。
连接小型远程分支机构,如保险代理、律师事务所或销售办事处的用户。当连接到总部办公机构时,VPN加密和集成安全功能,如防火墙和入侵防御,可以从周边保护网络。IT经理可以集中管理远程站点,从而迅速排除各种网络故障。如果需要增强可靠性,当主宽带链接故障时,客户还可以使用集成3G或ISDN备份或外部调制解调器。集成化安全统一WLAN连接简化了远程站点设备的部署和管理,冗余广域网链接则支持业务连续性,可实现不间断的业务运作。
※ 虚拟办公室。
Cisco 880子系列产品是企业远程工作人员的理想工具,因为他们可能混合使用多种宽带连接,如DSL、3G和城域以太网。Cisco 880子系列可提供一个安全的虚拟办公室,支持所有的协作服务,如数据、语音和视频。冗余的广域网链路能够确保业务连续性,QoS特性则允许IP电话连接到路由器,使语音流量获得高于数据应用的优先级。Cisco 880子系列路由器提供的集成WLAN支持能够保证安全地使用无线连接。
※ 远程呼叫中心代理。
类似于远程工作应用,该解决方案将面向电话呼叫中心代理的Cisco IP联系中心解决方案扩展到远程站点。借助Cisco 880子系列高质量、安全的连接,呼叫中心代理可以远离昂贵的呼叫中心设备,在家中保持安全、高效的语音和数据接入能力。Cisco 880系列中的业务连续性解决方案还支持可靠性和连续业务运作。
※ 零售VPN服务商。
需要处理销售点事务的零售店可以从拨号连接迁移到利用Cisco 880子系列来实现低成本的宽带接入,同时实现出色的安全性,以满足支付卡行业(PCI)要求和其他的数据安全要求。然后,就可以借助更高的带宽优势为商店网络添加多台设备和多项应用,还可以通过可选的WLAN支持来实现安全的移动性,并提高生产效率。
※ 托管服务商。
电信运营商和增值经销商可以凭借Cisco 880子系列路由器为中小企业客户提供个性化的企业级安全和WLAN服务。
1.3.6 Cisco 890子系列路由器主要特性、安装和应用方案
Cisco 890子系列集成多业务路由器是Cisco公司于2009年上半年才推出的新的固定配置路由器系列,该子系列产品为保障小型企业分支办公室的语音和数据通信安全,提供了协作式业务解决方案。该子系列产品设计用于提供安全宽带、城域以太网和WLAN连接及业务持续性。同时,该子系列路由器还具有强大的管理工具,如基于Web界面的CCP配置管理工具,简化了设置和部署,而集中管理功能则可使网络管理员查看和控制远程站点的网络配置。
1.Cisco 890子系列路由器的主要特性
Cisco 890子系列集成多业务路由器提供以下主要特性。
■ 为企业小型分支机构提供高性能、安全宽带和城域以太网并发接入服务。
■ 通过提供快速以太网、V.92 Modem拨号和ISDN BRI多种不同广域网接入方式来实现业务的连续性和广域网链路的多样性。
■ 集成基于802.11n草案的802.11/a/g/n访问点功能选项,为移动用户双倍带宽接入,并支持Cisco统一通信WLAN体系架构。
■ 支持以下增强的安全特性。
➢ 先进应用的防火墙,能够监控电子邮件、IM即时消息传递和HTTP流量。
➢ 站点间远程访问和动态VPN服务:IPSec VPN(可选用3DES或AES加密方式)、动态多点VPN(DMVPN)、支持主板加速的group encrypted transport VPN和安全套接字层(SSL)VPN。
➢ 入侵防御系统:这种内部深包检测特性能够有效牵制各种网络攻击。
➢ 内容过滤:一种基于预订的集成安全解决方案,能够提供基于类别的口碑评分,关键字拦截,并可抵御广告软件、恶意软件、间谍软件和URL阻截。
■ 8端口10/100b/s快速以太网可管理交换机,具备VLAN支持;4个端口支持以太网供电(PoE),用于为IP电话或外部接入点提供电力。
■ 支持以下城域以太网特性。
➢ 一个1000 BASE-T千兆以太网(GE)WAN端口。
➢ 一个10/100 BASE-T快速以太网(FE)WAN端口。
试读结束[说明:试读内容隐藏了图片]