锐捷NBR路由器应用详解.ppt
第11章 锐捷NBR路由器应用详解,前 言,此PPT主要介绍了锐捷NBR系列路由器在实际组网中的各种典型应用以及故障排除的思路与步骤.,课程目标,通过本次课程的学习,您可以掌握以下知识点NBR路由器的基本性能指标NBR路由器的典型应用模式NBR路由器各项功能的使用与配置NBR路由器故障排除的思路与步骤NBR路由器安全功能的应用场合与配置,提纲,NBR路由器简介NBR路由器典型应用篇NBR路由器故障排除篇,NBR路由器简介,NBR2000,NBR1000E,NBR200,3个10/100M WAN口4个10/100M LAN口,1个10/100M WAN口1个10/100/1000M WAN口1个10/100M/1000M LAN口,推荐带机规模 100台以下,推荐带机规模 100200台,推荐带机规模 800台以下,1个10/100M WAN口4个10/100M LAN口,提纲,NBR路由器简介NBR路由器典型应用篇NBR路由器故障排除篇,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇虚拟服务器,NBR,Internet,内网服务器,内网用户,内部架设了服务器,现在想让公网的用户也可以访问,这个有办法实现吗?,没问题,NBR可以实现,NBR路由器可以通过NAT端口映射的功能也就是常说的虚拟服务器功能,让公网上的网络用户可以访问内网架设的服务器(WWW、FTP、E-MAIL等),同时内网的PC也可以直接通过公网IP访问内部服务器。配置方式:WEB、CLI,NBR路由器典型应用篇虚拟服务器,WEB方式配置CLI方式配置 ip nat inside source static tcp 192.168.0.80 80 202.101.11.38 80 permit-inside,NBR路由器典型应用篇虚拟服务器,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇DDNS,NBR,Internet,内网服务器,内网用户,内部架设了服务器,现在想让公网的用户也可以访问,但线路是PPPOE拨号的,这个能实现吗?,没问题,NBR可以实现,PPPOE,NBR路由器典型应用篇DDNS,NBR路由器通过动态DNS也就是DDNS功能,实现固定域名到动态IP地址之间的解析,每次上网得到新的IP地址之后,NBR路由器就会把这个IP 地址发送到动态域名解析服务器,更新域名解析数据库。Internet 上的其他人要访问这个域名的时候,动态域名解析服务器会返回正确的IP 地址给他,这样就顺利圆满的解决了PPPOE情况下无法对外发布内部服务器的问题。配置方式:WEB、CLI,NBR路由器典型应用篇DDNS,WEB方式配置CLI方式配置ddns 88ip ruijiepassword ruijiebind FastEthernet 1/0start,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇DNS中继,NBR,Internet,内网用户,公网的DNS难记又经常变动,能否把DNS直接指向网关?这个有办法实现吗?,没问题,NBR可以实现,NBR路由器提供DNS-RELAY也就是DNS中继功能可以解决该问题,内网的用户可以直接将DNS服务器指向NBR路由器的内网口配置方式:CLI假设内网口的IP地址是,DNS服务器的IP是则DNS relay功能配置如下:ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53其中ACL号1,与动态NAT中使用的ACL号一致如:access-list 1 permit any,NBR路由器典型应用篇DNS中继,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇端口监控,NBR,Internet,内网用户,基于安全的要求,内部上网的数据流必须进行监控,路由器上可以实现吗?,没问题,NBR可以实现,NBR路由器硬件实现端口镜像监控的功能,可以对内网任意方向的数据包进行监控,且不会影响网络性能配置方式:WEB、CLI,NBR路由器典型应用篇端口监控,WEB方式配置CLI方式配置mirror master lan 0 slave lan 1 txmirror master lan 0 slave lan 2 rxmirror master lan 0 slave lan 3 all,NBR路由器典型应用篇端口监控,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇限速,NBR,Internet,内网用户,没问题,NBR可以实现,上网速度慢,打开网页老半天、玩游戏卡,P2P软件下载、在线视频等,正常应用,唉,内部BT、电驴、迅雷、FTP、在线视频等占用了大量的出口带宽,实在头疼,有没办法对内部流量进行限速呢?,NBR路由器提供基于IP地址限速的功能,可以给整个网络内部的所有PC进行速度限制,可以分别限制上传和下载速度,NBR路由器既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度配置方式:WEB、CLI,NBR路由器典型应用篇限速,WEB方式配置CLI方式配置ip nat translation rate-limit iprange 192.168.0.1 192.168.0.100 inbound 512 outbound 1024,NBR路由器典型应用篇限速,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇上网时段控制,NBR,Internet,内网用户,在上班时间内部的用户可以收发邮件,但不能上网,这个有办法实现吗?,没问题,NBR可以实现,NBR路由器支持基于时间的ACL功能,可以控制任意时段内的网络应用配置方式:CLIclock set 15:30:30 25 august 2006calendar set 15:30:30 25 august 2006show clockclock:2006-8-25 15:30:36time-range 1periodic Daily 8:00 to 18:00 access-list 100 permit tcp any any eq 53 time-range 1access-list 100 permit tcp any any eq 25 time-range 1access-list 100 permit tcp any any eq 110 time-range 1access-list 100 deny ip any any time-range 1access-list 100 permit ip any anyinterface FastEthernet 0/0ip access-group 100 in,NBR路由器典型应用篇上网时段控制,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇上网地址段控制,NBR,Internet,内网用户,A部分的用户可以上网,而B部分的用户只能访问内网,这个有办法实现吗?,没问题,NBR可以实现,NBR路由器支持基于起始和结束地址的ACL(3000-3199),其中30003099是IP标准访问列表,31003199是IP扩展访问列表,通过这种ACL可以实现对内部上网地址段的灵活管理 配置方式:CLI access-list 3001 permit interface FastEthernet 0/0 ip access-group 3001 in,NBR路由器典型应用篇上网地址段控制,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇多出口1,NBR,网通,内网用户,没问题,NBR可以实现,电信,电信与网通资源互访速度慢,有些还无法访问,能否按访问的目的资源优先选取对应的线路呢?,NBR路由器通过路由表的优化设置,可以实现访问电信的资源优先走电信的线路,访问网通的资源优先走网通的线路,且两条线路互为备份配置方式:可以通过WEB配置,也可以通过CLI配置,NBR路由器典型应用篇多出口1,WEB方式配置CLI方式配置ip route 61.153.0.0 255.255.0.0 FastEthernetip route 202.106.135.0 255.255.255.0 FastEthernet,NBR路由器典型应用篇多出口1,NBR路由器典型应用篇多出口2,NBR,电信,内网用户,没问题,NBR可以实现,部分用户上网走线路1,部分用户上网走线路2,有办法可以实现吗?,线路1,线路2,A,B,NBR路由器支持两种基于源地址的路由,一种是最常用的策略路由,另一种就是NBR路由器特有的根据指定源地址优先选取指定WAN口的功能,两种都可以实现上述的需求 配置方式:通过CLI配置access-list 3001 permit access-list 3002 permit ip default-route list 3001 out-interface FastEthernet 1/0ip default-route list 3002 out-interface FastEthernet 1/1,NBR路由器典型应用篇多出口2,NBR路由器典型应用篇,虚拟服务器DDNSDNS中继端口监控限速上网时段控制上网地址段控制多出口VRRP,NBR路由器典型应用篇VRRP,NBR-A,Internet,内网用户,有两个出口,想使用两台出口设备,它们要能够互为备份,最好还能负载均衡,能实现吗?,没问题,NBR可以实现,NBR-B,A,B,NBR路由器支持VRRP(Virtual Router Redundancy Protocol)协议,通过设置不同的VRRP组实现负载均衡和冗余备份的功能配置方式:CLI配置NBR-A:interface FastEthernet 0/0ipvrrp 1 priority 120 vrrp 1 ipvrrp 1 track FastEthernet 1/0 50vrrp 2 ip NBR-B:interface FastEthernet 0/0ipvrrp 1 ipvrrp 2 priority 120 vrrp 2 ipvrrp 2 track FastEthernet 1/0 50,NBR路由器典型应用篇VRRP,提纲,NBR路由器简介NBR路由器典型应用篇NBR路由器故障排除篇,NBR路由器故障排除篇,目前NBR在实际应用环境中碰到的最多的故障是什么呢?我想大家应该都知道!,掉线,NBR路由器故障排除篇掉线,掉线的主要原因有哪些呢?ARP欺骗病毒流量过大线路质量配置错误DDOS攻击既然掉线的原因有这么多种,我们平常该如何准确快速的定位出故障原因所在,并解决呢?我们需要有一套清晰的排障思路和系统的排障方法,通过这两个法宝找出问题所在,再结合NBR路由器特有的安全功能去解决。,NBR路由器故障排除篇掉线,首先查找线路是否有问题,确认线路无故障后,再按照以下步骤一步一步进行排查,NBR路由器故障排除篇配置错误,第一步:查看NBR路由器的配置是否有错误,可以通过WEB方式和CLI方式登录查看WEB方式CLI方式在NBR#提示符号输入show running-config,NBR路由器故障排除篇CPU状态,第二步:查看NBR路由器的CPU工作状态,可以通过WEB方式,也可以通过CLI方式查看WEB方式查看CLI方式查看NBR#show cpuCPU utilization for five seconds:1%CPU utilization for one minute:1%CPU utilization for five minutes:1%CPU utilization peak for five seconds:1%,at:2006-8-25 22:41:36CPU utilization peak for one minute:1%,at:2006-8-25 22:41:36CPU utilization peak for five minutes:1%,at:2006-8-25 22:41:36,当前CPU利用率,CPU历史最高利用率,NBR路由器故障排除篇CPU状态,如果CPU利用率不高,则可能是其他原因导致掉线,如果当前CPU利用率很高,则有三种可能的原因:病毒流量过大DDOS攻击 以上三种问题都会造成路由器系统资源耗尽,就产生了掉线,针对这三种问题,NBR路由器都有相应的排查以及解决办法,NBR路由器故障排除篇病毒,NBR路由器具有病毒检测以及防御功能,可以通过WEB和CLI方式进行检测和配置:WEB方式,NBR路由器故障排除篇病毒,CLI方式查看NAT状态表NBR#show ip nat statistics suspicious-pc 自动检测冲击波、震荡波病毒NBR#sh ip nat statistics Total translations:430,max entries permitted:500000 Peak translations:5371 23:05:32 agoNBR#show ip nat translationsPro Inside global Inside local Outside local Outside globaltcp 218.66.27.100:2207 192.168.0.89:2207 192.168.195.185:1433 192.168.195.185:1433tcp 218.66.27.100:2207 192.168.0.89:2208 192.168.196.178:1433 192.168.196.178:1433通过ACL建立相应的防火墙规则,屏蔽TCP1433病毒端口No access-list 3198 access-list 3198 deny tcp any any eq 1433access-list 3198 permit ip any anyinterface FastEthernet 0/0ip access-group 3198 in,当前NAT节点数,历史最高NAT节点数,NBR路由器故障排除篇流量过大,NBR路由器具有流量监控功能,可以通过WEB和CLI方式进行查看WEB方式,NBR路由器故障排除篇流量过大,CLI方式打开流量统计:NBR(config)#ip nat translation netflow查看流量统计:NBR#show ip nat translations flowrate inboundNBR#show ip nat translations flowrate outboundNBR#sh ip nat translations flowrate inbound(outbound)IP Inbound(Kb/sec)Outbound(Kb/sec)IsLimit IsSpecial192.168.0.86 4 0-192.168.0.81 3 10-192.168.0.90 1 14-192.168.0.198 0 1-192.168.0.85 0 0-192.168.0.87 0 0-,NBR路由器故障排除篇流量过大,CLI方式通过查看NAT状态表也可以判断内部是否有P2P等大流量下载应用NBR#show ip nat statistics per-userNAT inside user count:8,peak:24 2d,04:08:10 agoMaximum nat entries for inside per user ip:1000IP count config192.168.0.81 1000 0192.168.0.85 10 0 36 0,当前用户数,该用户NAT节点数,每IP最大NAT节点数,NBR路由器故障排除篇流量过大,流量过大引起的掉线问题,可以通过NBR路由器特有的限速以及NAT节点数控制这两个功能的结合使用来解决 NAT节点数控制的配置可以通过CLI方式进行配置CLI方式 ip nat translation per-user 0.0.0.0 350,NBR路由器故障排除篇DDOS攻击,DDOS 攻击不仅可以针对内网地址,也可以是外网地址,路由器如果受到DDOS攻击,那么CPU利用率将会很高,最后由于系统资源被消耗尽,就导致掉线现象的出现。NBR路由器在使用过程中更多的是外网地址受到攻击。NBR路由器支持对内外网地址DDOS攻击进行防范,NBR路由器故障排除篇DDOS攻击,NBR路由器对于内网发起的对路由器的DDOS攻击可以通过CLI方式进行配置第一步:配置标准ACL,指定内网网关地址NBR(config)#access第二步:在LAN口上,应用限速命令interface FastEthernet 0/0rate-limit input access-group 10 64000 3000 3000 conform-action transmit exceed-action drop这样,所有针对内网网关地址的DOS报文将被限速,NBR路由器故障排除篇DDOS攻击,NBR路由器也具备防外网DDOS攻击的功能,可以通过WEB和CLI方式进行配置WEB方式CLI方式 security anti-wan-attack level high,NBR路由器故障排除篇ARP欺骗,第三步:查看NBR路由器的ARP表,可以通过CLI方式查看CLI方式NBR#show arpProtocol Address Age(min)Hardware Type InterfaceInternet 192.168.1.89 18 0010.f901.0101 ARPA FastEthernet 0/0Internet 192.168.1.115 57 0010.f901.0101 ARPA FastEthernet 0/0Internet 192.168.1.88 56 0010.f901.0101 ARPA FastEthernet 0/0Internet 192.168.1.198 51 0010.f901.0101 ARPA FastEthernet 0/0这么多IP的MAC一样,说明内部有针对网关发起的主机ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器通过静态ARP表项可以绑定IPMAC地址,很好的解决了针对路由器网关发起的主机ARP欺骗,可以通过CLI方式进行配置CLI方式NBR(config)#arp 192.168.1.47 0011.f800.4251 arpaNBR(config)#arp 192.168.1.10 00e0.4Cb3.034f arpa,第四步:在PC上通过arp-a查看本机的ARP表 如果发现网关的MAC地址被更改了,说明内部存在针对主机发起的网关ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器故障排除篇ARP欺骗,NBR路由器支持定时发送免费ARP的功能,可以很好的解决针对主机发起的网关ARP欺骗,可以通过WEB和CLI方式进行配置WEB方式CLI方式interface FastEthernet 0/0arp gratuitous-send interval 1,NBR路由器故障排除篇日志分析,第五步:通过分析日志信息判断故障原因所在,NBR路由器提供丰富的日志功能,可以通过WEB以及CLI方式进行配置WEB方式CLI方式 service sequence-numbers service timestamps log datetime service timestamps debug uptime logging trace enable,NBR路由器故障排除篇日志分析,关于ARP 欺骗2006-8-27 18:14:46 NBR1000:%6:%IP-4-DUPADDR1:Duplicate address 192.168.1.1on FastEthernet 0/0,sourced by 该信息显示有IP地址跟网关冲突,内网可能有人在进行ARP 欺骗00388 taicang:%6:arp update,mac address of 192.168.0.90 become change to new mac:该信息显示192.168.0.90 MAC地址切换,可能有人在冒充 查查是谁的MAC,可能中毒了或者正在恶意攻击关于路由表变化 00006 2006-8-8 21:14:6 taicang:%6:ipff_proc_default_route_event for dfc00007 2006-8-8 21:14:6 taicang:%6:DFC update:L2 head len=14,00.16.C7.89.93.40.00.D0.F8.FB.F1.9F.08.00.nexthop 218.4.58.201 interface 2:recu intf-1 这两条信息显示默认路由下一跳发生变化,可能是路由器刚启动或者端口 up/down变化,请确认线路是否正常,NBR路由器故障排除篇日志分析,重要事件记录接口up/down 00005 2006-8-8 21:14:6 taicang:%5:%LINE PROTOCOL CHANGE:InterfaceFastEthernet 1/0,changed state to UP 重启事件记录 2006-8-9 14:0:21 NBR1000:%6:System returned to ROM reload at 2006-08-02 19:06:34路由器配置更改 2006-8-9 14:0:17 NBR1000:%5:Configured from console by vty0(192.168.35.229)远程登录进行了配置,地址为192.168.35.229.00083 2010-9-21 12:25:53 taicang:%5:Configured from console by console 控制台口对路由器进行了配置 00014 2006-8-7 15:27:9 taicang:%5:Configured from web console(61.177.57.158)Web 登录,对路由器进行了配置,课程回顾,本讲的主要知识点NBR路由器的基本性能指标NBR路由器的典型应用模式NBR路由器各项功能的使用与配置NBR路由器故障排除的思路与步骤NBR路由器安全功能的应用场合与配置,