1.根据客户的不同需求提供相应的解决方案

组建网吧网络根据客户的不同需求提供相应的解决方案部门/姓名文档类型:文档密级:主送对象: 抄送对象:文档编号:审核人:修订记录修订日期修订版本修订描述作者xxxx-xx-xxV1.0初稿完成。xxx2学习目标了解并掌握网吧常见的应用根据不同应用提出不同的调试方案3课程内容第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由4课程内容端口映射（PortMapping）：端口映射过程就如同：你家在一个小区里B栋2410室，你朋友来找你，找到小区门口，不知道你住哪层哪号？就问守门的保安，保安很客气的告诉了他你家详细门牌，所以你朋友很轻松的找到了你家。这个过程就是外网访问内网通过端口映射的形象比喻.

5我网吧内架设了一台WEB服务器,如何让外网的人也访问进来呢第一章端口映射6内网的一台PC要向因特网对外开放服务或接收数据，都需要端口映射。第一章端口映射7例：内网一台WEB服务器IP地址，映射到公网地址为:00的8000端口上。通过菜单项“高级选项/网络工具/端口映射”使用该功能。内建服务也就是端口映射设置页面如下图所示。第一章端口映射8端口映射设置各参数说明：内网IP地址：内网需要映射的服务器的ip地址外网IP地址：公网的IP地址，可以输入外网接口上的IP地址，或者是电信分配可用的公网地址外网接口：映射到公网上的不止是IP地址，也可以是映射到接口注：在填外网IP地址，建议直接输入公网的IP地址，这样可以使得内网的PC也可通过公网地址来访问到内网的服务器。映射关系指定网络协议：选择需要映射的服务端口的网络协议为TCP或者UDP映射关系设为DMZ：如果需要将内网的整个IP地址映射到公网，则选择“设为DMZ主机”内网端口：内网需要映射的服务器的端口，WEB端口为80，FTP端口为20和21外网端口：映射到公网的端口号课程内容第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由9第二章网吧之间的借线10场景描述：A网吧只有一条网通的线路，B网吧具体电信和网通双线，可以实现A网吧借用B网吧的电信线路吗？A网吧B网吧L2TPVPN第二章网吧之间的借线11NBR系列路由器都支持VPN功能(包含PPTP和L2TP)。NBR系列路由器(NBR100除外)从9.0_B7版本开始，只能在CLI方式下进行配置，WEB方式下无法进行配置。现有9.17版本支持WEB配置.该配置仅适用于NBR系列(NBR100除外)9.10_B18之后的软件版本。如果是9.10_B18之前的软件版本，需手工配置电信或网通路由表。第二章网吧之间的借线12A网吧NBR1200(客户端)的配置：NBR1200#conf//进入全局配置模式NBR1200(config)#l2tp-classl2x//创建名称为l2x的l2tp-class接口，用于控制连接(可选配置)NBR1200(config-l2tp-class)#hostnamel2tp_client//设置本地主机名称为l2tp_client，用于通道验证NBR1200(config-l2tp-class)#exitNBR1200(config)#pseudowire-classpw//创建名称为pw的pseudowire-class接口，用于数据传输(可选配置)NBR1200(config-pw-class)#encapsulationl2tpv2//设置L2TP数据传输封装模式为l2tpv2NBR1200(config-pw-class)#protocoll2tpv2l2x//设置L2TP控制连接参数，引用前面设置的l2tp-class配置NBR1200(config-pw-class)#iplocalinterfaceFastEthernet1/0//指定通道的本地接口(地址)NBR1200(config-pw-class)#exit第二章网吧之间的借线13NBR1200(config)#interfaceVirtual-ppp1NBR1200(config-if)#pseudowire011encapsulationl2tpv2pw-classpw//设置virtual-ppp接口，远程LNS的地址为0，全局编号为11，并引用名称为pw的pseudowire-classNBR1200(config-if)#pppchaphostnameabcdefNBR1200(config-if)#pppchappassword0abcdef//启动PPP验证，并指定身份验证模式为CHAP，用户名和密码为abcdefNBR1200(config-if)#ipaddress//配置IP地址NBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet0/0NBR1200(config-if)#ipnatinside//定义接口连接内部网络NBR1200(config-if)#ipaddress//配置IP地址NBR1200(config-if)#arpgratuitous-sendinterval15//定时发送免费ARP(5个/秒钟)NBR1200(config-if)#arptrust-monitorenable//打开可信任ARPNBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet1/0NBR1200(config-if)#ipnatoutside//定义接口连接外部网络NBR1200(config-if)#ipaddress52//配置IP地址NBR1200(config-if)#descriptionCNC//线路为网通线路第二章网吧之间的借线14NBR1200(config-if)#bandwidth10000//出口带宽为10MNBR1200(config-if)#exitNBR1200(config)#access-list99permitany//定义ACL99，放行所有IPNBR1200(config)#ipnatpoolnbr_setup_build_poolprefix-length24NBR1200(config-ipnat-pool)#addressmatchinterfaceFastEthernet1/0//定义地址池nbr_setup_build_pool，包含IP地址NBR1200(config-ipnat-pool)#exitNBR1200(config)#ipnatinsidesourcelist99poolnbr_setup_build_pool//将符合ACL99的地址全部转换为nbr_setup_build_pool中的地址NBR1200(config)#iprouteFastEthernet1/0//配置缺省路由，下一跳网关指向NBR1200(config)#iprouteVirtual-ppp1//配置到服务器端内网的静态路由，下一跳网关指向服务器端Virtual-Template的IP地址(如何两端的内网无需相互访问，可以不用配置该命令)NBR1200(config)#route-auto-choosecniiVirtual-ppp1//配置到电信地址的自动选路，下一跳网关指向服务器端Virtual-Template的IP地址(如果是9.10_B18之前的软件版本，必须手工配置电信路由表)NBR1200(config)#end//退回特权模式NBR1200#write//保存配置第二章网吧之间的借线15B网吧NBR1200(服务器端)的配置：NBR1200#conf//进入全局配置模式NBR1200(config)#vpdnenable//启用VPDN功能NBR1200(config)#vpdn-group1//创建vpdn-group1NBR1200(config-vpdn)#accept-dialin//允许接收远程客户端拨入NBR1200(config-vpdn-acc-in)#protocoll2tp//设置隧道协议为l2tpNBR1200(config-vpdn-acc-in)#virtual-template1//设置使用虚模板1NBR1200(config-vpdn-acc-in)#exitNBR1200(config-vpdn)#localnamel2tp_server//设置本地主机名称为l2tp_serverNBR1200(config-vpdn)#exitNBR1200(config)#usernameabcdefpassword0abcdef//设置l2tp帐号和密码NBR1200(config)#iplocalpooll2tp_pool0//创建本地地址池l2tp_pool，分配给远程拨入的VPN客户端NBR1200(config)#interfaceFastEthernet0/0NBR1200(config-if)#ipnatinside//定义接口连接内部网络NBR1200(config-if)#ipaddress//配置IP地址NBR1200(config-if)#arpgratuitous-sendinterval15//定时发送免费ARP(5个/秒钟)NBR1200(config-if)#arptrust-monitorenable//打开可信任ARPNBR1200(config-if)#exitNBR1200(config)#interfaceFastEthernet1/0NBR1200(config-if)#ipnatoutside//定义接口连接外部网络NBR1200(config-if)#ipaddress052//配置IP地址NBR1200(config-if)#descriptionCNC//描述该线路为网通线路NBR1200(config-if)#bandwidth10000//出口带宽为10MNBR1200(config-if)#exit第二章网吧之间的借线16NBR1200(config)#interfaceFastEthernet1/1NBR1200(config-if)#ipnatoutside//定义接口连接外部网络NBR1200(config-if)#ipaddress0252//配置IP地址NBR1200(config-if)#descriptionCNII//描述该线路为电信线路NBR1200(config-if)#bandwidth10000//出口带宽为10MNBR1200(config-if)#exitNBR1200(config)#interfaceLoopback0NBR1200(config-if)#ipaddress//配置IP地址NBR1200(config-if)#exitNBR1200(config)#interfaceVirtual-Template1//创建虚模板接口1，使之成为绑定并负载L2TP会话的virtual-access接口模板NBR1200(config-if)#pppauthenticationchap//启动PPP验证，并指定身份验证模式为CHAPNBR1200(config-if)#ipunnumberedLoopback0//设置此无编号，接口关联的接口为Loopback0NBR1200(config-if)#peerdefaultipaddresspooll2tp_pool//为拨入的用户选择分配IP地址的策略，使用地址池l2tp_poolNBR1200(config-if)#ipnatinside//设置此虚模板接口参与nat，使远程客户端拨号到VPDN路由器之后通过此路由上网NBR1200(config-if)#exitNBR1200(config)#ipnatpoolnbr_setup_build_poolprefix-length24NBR1200(config-ipnat-pool)#address00matchinterfaceFastEthernet1/0NBR1200(config-ipnat-pool)#address0202matchinterfaceFastEthernet1/1//定义地址池nbr_setup_build_pool，包含IP地址0和02NBR1200(config-ipnat-pool)#exit第二章网吧之间的借线17NBR1200(config)#access-list99permitany//定义ACL99，放行所有IPNBR1200(config)#ipnatinsidesourcelist99poolnbr_setup_build_pool//将符合ACL99的地址全部转换为nbr_setup_build_pool中的地址NBR1200(config)#iprouteFastEthernet1/0//配置缺省路由，下一跳网关指向NBR1200(config)#iprouteFastEthernet1/101//配置缺省路由，下一跳网关指向01NBR1200(config)#iproute//配置到客户端内网的静态路由，下一跳网关指向(如何两端的内网无需相互访问，可以不用配置该命令)NBR1200(config)#route-auto-choosecncFastEthernet1/0NBR1200(config)#route-auto-choosecniiFastEthernet1/101//配置电信网通自动选路，访问电信的地址走FastEthernet1/1，访问网通的地址走FastEthernet1/0(如果是9.10_B18之前的软件版本，必须手工配置电信或网通路由表)NBR1200(config)#end//退回特权模式NBR1200#write//保存配置第二章网吧之间的借线18配置完毕后，通过showvpdn查看VPN的配置情况，如果状态是est,则代表VPN建立成功.课程内容第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由19第三章策略路由20策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策略路由，路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。第三章策略路由21常规路由基于目标IP和路由表进行报文的转发策略路由(Policy-BasedRouting)根据用户制定的策略进行报文转发，是一种比常规的基于目的的路由更灵活的路由机制。第三章策略路由22策略路由对象:需要转发的数据报文路由器转发数据报文时，根据配置的规则对报文进行过滤。匹配成功则按照一定的转发策略进行报文转发，也可以修改报文的IP优先字段路由策略对象:路由通过路由策略控制路由的接收、发布、引入的方法，实现对路由的优化

第三章策略路由23策略路由的流程：入口数据包策略路由？有匹配条目吗？YNPermit？N正常路由（基于目标）NYY策略路由SetMatch第三章策略路由24策略路由的处理模式：逐包模式每个包都进行查表后才进行转发流模式

第一个包查路由转发表，如果存在路由，将该路由项以source、dest、tos、入接口等索引放置到cache中，以后同样的流就可以直接查cache第三章策略路由25策略路由的处理流程——流模式SETROUTEMAP匹配查转发表Cache/NP第一个流后续流是否加入转发cache/NP入接口报文转发报文第三章策略路由26Route-map原理类似于复杂的Access-list自顶向下地处理，一旦有一条匹配，则立刻结束route-map查找Route-map每个条目都被赋予编号，可以任意地插入或删除条目第三章策略路由27route-map的执行route-maptestpermit10

matchxyz

matcha

setb

setc

route-maptestpermit20

matchq

setr

denyall(系统隐含)If(xoryorz)anda

thenset(bandc)

elseifq

thensetr

elsesetnothing第三章策略路由28策略路由的配置步骤定义重分布路由图

一个路由图可以由多个策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行

定义路由图每个策略的匹配规则或条件

定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一跳的设置在指定接口中应用路由图第三章策略路由29在NBR上配置策略路由9.17之前的版本只能通过命令行下配置，9.17开始支持WEB配置.通过菜单项“高级选项/网络工具/策略路由”使用该功能。策略路由设置页面如下图所示。

第三章策略路由30配置案例：网吧中可能会有这样需求：网吧内的PC，IP地址为奇数的优先选取电信线路，为偶数的优先选取网通线路。而且相互备份，即如果电信线路出故障了，IP为奇数的PC也走到网通线路。这样网吧中相邻的两个座位，一起上联众，就不用相同的IP了。第三章策略路由31配置案例：access-list1permit54//配置内网奇数IP的ACLaccess-list1permit54//配置内网偶数IP的ACL配置策略路由实现奇数IP优先走WAN0，偶数IP优先走WAN1route-mapnet210permit10//配置子路由图10matchipaddress1//关联ACL1setipnext9//设置下一跳，可以是接口route-mapnet210permit20//配置子路由图20matchipaddress2//关联ACL20setipnext54//设置下一跳，或setinterfaceFastEthernet1/0interfaceFastEthernet0/0//进入接口ippolicyroute-mapnet210//将策略路由关联到内网口第三章策略路由32策略路由的验证调试：显示IP策略应用情况router#showippolicy

Interface

Routemap

FastEthernet2

test

DebugippolicyIP:s=(FastEthernet1/1),d=50(<NULL>),len=60,precedence=0,policymatchRouteMaptest,item=10,permitIP:s=(FastEthernet1/1),d=50(FastEthernet1/0),len=60,precedence=0,policyrouted第三章策略路由33显示策略路由的配置server_r1#showroute-map<word>

route-maptest,permit,sequence10

Matchclauses:

ipaddress(access-lists):1

Setclauses:

defaultinterfaceFastEthernet0

Policyroutingmatches:42packets,2520bytes

route-maptest,permit,sequence20

Matchclauses:

ipaddress(access-lists):2

Setclauses:

ipnext-hop

Policyroutingmatches:12packets,720bytes显示所有或指定路由映射的信息

课程内容第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由34第四章限制上网需求35

场景描述：网吧需求：客户网吧只有100台机器上网,不希望有其他机器再加入网络中来,是否也可以实现呢?

36方案1——web实现使用访问控制列表来控制网络安全——禁止端口/网址——添加禁止端口——高级防火墙第四章限制上网需求

37在禁止访问的端口列表/网址列表中会产生两条访问控制列表，请保证这两条在前面，因为访问控制列表是自上而下匹配。第四章限制上网需求方案1——命令行实现使用访问控制列表来控制。命令行配置：nbr(config)#access-list3198permitip00anynbr(config)#interfacegigabitEthernet0/0nbr(config-if)#ipaccess-group3198in第四章限制上网需求

39方案2——web实现NBR使用停止学习功能来实现本方案使用于NBR充当内网网关的网络中。将所有客户机开机，在“网络安全——防ARP欺骗”中将“启用MAC/IP自动绑定”打钩，学习到所有ARP条目后，点击全选，然后点击“动态转静态绑定”确认PC的ARP都绑定完整，然后将“停止学习”打钩。配置步骤如下图：第四章限制上网需求

40第四章限制上网需求

41方案2——命令实现NBR使用停止学习功能来实现本方案使用于NBR充当内网网关的网络中。将要上网的客户机全部开机，进入NBR的命令模式，1、对内网pc进行arp扫描nbr(config)#arpscaninterfacegigabitEthernet0/02、将扫描到arp转化成静态的nbr(config)#arpconvertinterfacegigabitEthernet0/03、通过showarp确认客户机绑定的情况。如图显示static表明已经做了静态绑定。第四章限制上网需求

424、接下来在接口下将地址学习的功能停止。nbr(config)#intgigabitEthernet0/0nbr(config-if)#mac-ipbind第四章限制上网需求课程内容第一章端口映射第二章网吧之间的借线第三章策略路由第四章限制上网需求第五章单臂路由43第五章单臂路由44

场景描述：1交换机为二层交换机，支持VLAN划分；2.路由器只有1个Ethernet接口/24VLAN10/24VLAN10第五章单臂路由45标准的单臂路由：在路由器上为每个VLAN创建一个子接口每个子接口配置IP地址，作为对应VLAN内主机的网关交换机和子接口间借助802.1Q第五章单臂路由46标准的单臂路由：交换机与路由器相连的接口配置为Trunk路由器配置子接口：封装Trunk路由器配置：Red-Giant(config)#interfacefastethernet2/0.1Red-Giant(config-subif)#encapsulationdot1q10Red-Giant(config-subif)#ipaddress54Red-Giant(config)#interfacefastethernet2/0.2Red-Giant(config-subif)#encapsulationdot1q20Red-Giant(config-subif)#ipaddress54第五章单臂路由47标准的单臂路由：交换机配置Switch(config)#vlan10Switch(confg-vlan)#vlan20Switch(config)#interfacefastethernet0/1Switch(config-if)#switchportaccessvlan10Switch(config)#interfacefastethernet0/2Switch(config-if)#switchportaccessvlan20Switch(config)#interfacefastethernet0/24Switch(config-if)#switchportmodetrunk第五章单臂路由48NBR的单臂路由：9.10B18之前的软件版本如何配置：在NBR路由器（9.10B18版本之前）中可以分成两个系列，除了NBR2000支持802.1Q能配置子接口，提供交换机Trunk连入外，其他型号不支持该功能，只能对每个LAN口配置一个VLAN，线路的连接方式是每个VLAN用一根线连到不同的LAN口中，配置如下：除NBR2000的NBR设备VLAN配置：interfaceFastEthernet0/0//LAN0口的配置不用配成子接口，也不用封装ipaddressipnatinsideinterfaceFastEthernet0/0.1//LAN1-LAN3分别对应0/0.1-0.3encapsulationdot1Q1//LAN1-LAN3分别对应dot1Q1-dot1Q3

ipaddressipnatinside

vlanport1//LAN1-LAN3分别配成port1-3，LAN0口不用配置第五章单臂路由49NBR的单臂路由：9.10B18之前非NBR2000连接方式：VLAN10VLAN20VLAN30VLAN40第五章单臂路由50NBR的单臂路由：9.10B18之前的软件版本如何配置：NBR2000配置如下：interfaceGigabitEthernet0/0interfaceGigabitEthernet0/0.1//NBR2000是支持标准的单臂路由，可以配置506个子接口encapsulationdot1Q10//VLANID可配置范围1-506ipaddressipnatinside第五章单臂路由51NBR的单臂路由：9.10B18至v9.16b3的软件版本如何配置:在NBR路由器（9.10B18版本之后）中均支持trunk接入，配置可分为两个系列，分别是NBR2000，以及带交换口的NBR路由器，线路的连接方式只需接入一根线到路由器的任何一个端口即可，配置如下：第五章单臂路由52NBR的单臂路由：9.10B18至v9.16b3的软件版本如何配置:除NBR2000的NBR设备VLAN配置：interfaceFastEthernet0/0

ipnatinside

ipaccess-group3198in

ipaddressinterfaceFastEthernet0/0.1encapsulationdot1Q2//封装为vlan2（注意：不要设置dot1Q1，因为交换机默认就是属于VLAN1的。在此路由器中VLAN1的网段为F0/0口的网段，即）ipnatinsideipaddressvlanport03tag//0-3口都属于VLAN2

interfaceFastEthernet0/0.2

encapsulationdot1Q3//封装为vlan3

ipnatinside

ipaddress

arptrust-monitorenable

vlanport03tag//0-3口都属于VLAN3第五章单臂路由53NBR的单臂路由：9.10B18至v9.16b3的软件版本如何配置:NBR2000配置如下：interfaceGigabitEthernet0/0/