第一篇:学习中小企业安全路由器的基本配置方法
学习中小企业安全路由器的基本配置方法[1] 网络安全,对于中小企业网管来说已是一门必修课。本文作者收集了Qno侠诺在中国各地支持企业用户的心得,供读者参考。首先,我们从基本配置谈起,即路由器的广域网及局域网如何进行配置,主要的目的,让中小企业用户在进行规划时,就能善用路由器的各种功能,提供给内部用户更好的网络服务,提升企业的经营效益。
综合Qno侠诺技术服务部的实际支持经验,一般中小企业在进行安全路由器的基本配置时,需要特别注意的有广域网端、局域网端及公共服务器三个方面。以下分别就这三个方面加以介绍。
一、广域网端
广域网端就是路由器对外接到网络运营商的线路。广域网线路也是宽带接入的主要路径,因此若是发生掉线或是拥塞,则企业的宽带接入就会中断!这个情况对于有些企业会发生很大的困扰。因此广域网端在安全的首要思维,就是如何确保线路的稳定,维持企业在各种情况下的运作。
大部份中小企业,由于上网人数较小、或是经费有限,因此大多采用单线ADSL即可。企业对带宽的需要较大,或是对于网络要求较高的,例如服务业或是外贸行业,则可能采用相对费用较高的光纤。根据Qno侠诺支持用户的经验,发现以下情况,较倾向采用多WAN线路的配置:
偶而需要大量上/下载:由于信息化的结果,很多企业需要不时进行大量的上下载的操作。例如成都的某矿产商贸公司每天下班时,需要上传销售报告及存货数据,需要较多的时间。又例如位于宁波的某民营企业,经常需要从国外客户的服务器下载设计图作为生产之用。当要进行下载时,网管一般都不希望受到一般用户上网或下载影响,因此可申请两条线路:一般情况下两条线路都开放作为用户上网用;但是当需要进行特别工作时,则可加以管制,保留特定的线路给大量上下载的工作,以确保重要的数据能准时传送。采用多WAN配置后,网管加班在办公室等待数据传送的情况,就可大大减少了!
有跨网问题时:山东济南某农产品的商贸公司,常常需要和在北京的总部建立VPN联机,但是不知道为什么,联机总是很不稳定,常常数据还没传完,又得重新联机。这种情况,很可能就是VPN建立跨过不同的运营商网络所产生的不稳定问题,例如总部采用网通的线路,而分支采用电信的线路,跨网带宽不足,而产生的现象。这种情况,也可采用多WAN路由器解决,即总部同时接入网通及电信的线路,属于网通线路的外点从网通的入口建立VPN,电信的外点则从电信线路建VPN,这样即可解决跨网带宽小或不稳定的情况。
需要备援时:多WAN线路的另一个优点是提供备援功能。一个常见的情况是有些地区运营商会增送光纤用户ADSL线路,这时就可以光纤配合ADSL作备援,在前者发生故障时,以ADSL先顶着用。有的用户则希望用不同运营商的线路,这样在A运营商线路或机房发生问题时,可以B运营商线路替代。对于某些行业,例如媒体行业,需要随时可以上网,这个功能就显得尢为重要。
AD带宽不足时:一般企业用ADSL来的多,根据统计显示中小企业宽带用户增加最多的就是采用ADSL上网。但有些地区提供的ADSL相对带宽显得较小,例如64K/64K的线路,对于企业应用显然不足,不过申请光纤又比几条ADSL还来得贵,在这种情况下,利用多WAN路由器汇聚多条ADSL线路,不失为一可行又省钱的方法。
由于广域网端为企业上网唯一的路线,因此对于企业上网有决定性的重要。Qno侠诺的市场调查显示,现阶段很多企业对于无线宽带接入,例如3G或是WiMax都表示了相当的兴趣,希望能用无线接入作为有线接入的辅助,这或多或少也代表了企业对于广域网端接入的重视及期望。
二、局域网端
局域网端则是对内接到企业用户的线路,有些路由器本身有局域网端口,可下接交换机;有的网管则会将路由器先接到骨干交换机,再向下接到一般的交换机。以上这两种作法均可,后者适合较大的吞吐量的应用情况,一般的企业应用,路由器的局域端口是可以随着带宽转发的。因此在硬件配置,这是较为简单的。
Qno侠诺技术服务人员的经验指出,要进行一个好的安全网络的配置,IP的管理是顶重要的。IP就是计算机在互联网的地址,因此要能有效管理地址,才能预防攻击或针对有问题的计算机加以管制。对于网管而言,在IP管理方面要注意的事项,主要为计算机采用固定IP地址、DHCP服务器发放固定IP、防止未允许的计算机上网及群组管理等四个重要项目,以下分别进行说明:
计算机采用固定IP地址:计算机采用固定IP地址,是最严密的配置方式。这个作法,必须要求用户在计算机中手动键入IP地址相关数据。这样做的好处是每台机器的IP都必须是事先指定,没有事先指定的IP,则无法上网,外来的用户或是计算机不能轻易地通过企业网络上网。不过对于用户而言,必须要设定固定IP,到其它场合又要重新设定,对于部份常需要移动的用户,例如业务人员或是高阶主管,造成不小的困扰。
DHCP服务器发放固定IP:DHCP服务器的好处是用户无需在计算机上作任何设置,对于用户较方便。但是DHCP的缺点是若不加以管制,随便一个用户也能进入企业的网络,也容易发动对内部的攻击,造成影响。因此对于企业而言,较好的方式是通过DHCP发放IP地址,但同时限定计算机能取得的IP地址,以便进行管理。Qno侠诺路由器的IP/MAC绑定功能,即可以根据网管的配置,认明计算机的MAC地址发放特定的IP,这样就可针对IP进行管理。同时IP/MAC绑定功能也可防止用户修改IP,以取得较高权限问题,错误的MAC/IP组合,将会被路由器“封锁错误MAC地址”阻挡,这个功能也可防止ARP攻击。
防止未允许的计算机上网:对于网管而言,未被管制的计算机,经常引发安全问题。有些用户会自行带入中毒的计算机,甚至其它楼层用户通过无线网络进入公司网络。这样的情况,可通过防止未允许的计算机上网来解决。Qno侠诺的IP/MAC绑定功能中,提供“封锁不在对应表列中MAC地址”功能,达到网管未配置的MAC地址完全无法上网的作用。
图一
图一:Qno侠诺路由器的IP/MAC绑定功能,网管可将用户的IP及MAC地址键入,这样可以达到使用DHCP服务时,每次发放固定IP给用户。另外“封锁错误MAC地址”及“封锁不在对应表列中MAC地址”则可提供更进阶的功能,提供进一层的安全保障。
群组管理:除了IP/MAC绑定,可有效管制用户外,另外适当采用群组的功能,也能更方便的对用户加以管理。例如Qno侠诺提供的IP群组功能,就能将不同的IP用户设为不同群组,例如企业高阶主管设为一组、业务部门设为一组、内部行政人员设为一组。不同群组的用户,适用不同的管制权限或是带宽管理原则,这个功能可以大幅简化管理工作,也可避免管制时出现漏网之鱼的现象。
图二
图二:IP群组功能,可将不同IP用户分类为不同群组,并加以命名,通过群组的管理,一次达到全面性的管制功能。也可避免因为配置的漏失,而产生安全的漏洞。
三、内部建置公开服务器
以前,或许只有较大的企业才会设置公开的服务器,让外部的用户存取。但是信息化的普及让中小企业也可能架设不同的公开服务器给外部的用户。例如图文件交换、技术更新信息、报告缴交等都可通过架设公开服务器的方式达成。
企业要提供公开的服务,必须要有一个固定的地址让互联网用户建立在服务器地址栏。一般的方式是使用IP地址或是域名来作为辨别,但是这两种方法对于中小企业都较为昂贵,每个月的费用较高。还好DDNS的出现,可允许企业用动态IP,即使使用ADSL取得动态IP,也可让用户以记忆域名的方式来存取服务器。Qno侠诺也提了动态域名DDNS的服务给企业用户,现正进行最后阶段的测试工作,将于近日内开放给Qno侠诺的用户,请读者拭目以待。
以下针对不同的需要,说明内部建置公开服务器的配置,主要分为有固定公网IP、提供一个公开服务器及提供多个公开服务器等三种情况说明:
有一个或多个固定公网IP,相对较高等级的安全性:若有多个固定IP,又想将服务器隔离到外网,得到最高的安全性,则可透过Qno侠诺路由器的硬件DMZ端口,连接到一个或多个服务器,这样完全隔离,外部用户网络封包完全不会进入内网,可得到最高的安全性。这种应用最安全,但是笔者发现对于网管来说也是最不熟悉的。
有一个或多个固定公网IP,允许以内部服务器向外公开:有些应用希望服务器能很方便地被内网及外网的用户存取,而又有固定公网IP可用时,则可采用One to one NAT的功能,将内网服务器与公网IP产生对应关系,这样这个服务器对于外网用户,就像公网服务器,而对内网用户,则像内网服务器一般。这种配置相当方便,故十分普及,但由于没有适当的隔离,因此需要作一些带宽或是限制的防火墙设定,以增加安全性。
使用DDNS提供多个公开服务器,需要较高安全性:企业若采用ADSL上网,则往往没有固定IP使用,必须申请动态域名服务。Qno侠诺用户可向侠诺进行申请相关服务。虚拟服务器一次开放限定网络端口,因此对于不正常的端口要求,可以不予理会,相对安全性也较高。这适合特定的服务器端口使用。采用虚拟服务器功能技术上,可以开放内部多个服务器。
图三
图三:虚拟服务器是以网络服务端口对应的方式,开放到内部的服务器上,由于只开放有限的端口,因此可得到较高的安全性。
使用DDNS配合动态IP提供一个不特定端口公开服务器,安全性要求低:有些应用并没有特定端口,服务器会依应用的需要自行和客户端软件决定沟通端口,这时就不能用虚拟服务器。典型的例子是视频监控,或远程数码摄像头,大多采用特殊的端口,这时只好把所有端口服务的要求,通过“内部DMZ服务器”功能,转到该服务器去。这个功能是软件DMZ,不用连接到实体的DMZ口,而是指向一部内部服务器。但由于所有端口开放,安全性也较低,建议要设置对应的防火墙管制规则才好。这个功能一个WAN口只能提供一个服务器使用。
图四
图四:DMZ服务器适合网络摄像头等,不确定端口的应用,但相对安全必须作对应的防火墙配置。
以上针对广域网、局域网及开放服务器三方面,对中小企业安全路由器的功能,常遇到的一些问题,作了初步的介绍。相信对于企业网管,有相当的帮助。后续,我们还会根据用户需求,来谈谈中小企业安全路由器“配置及管理”相关的功能。
第二篇:教学—路由器基本配置命令
1、路由器模式的转换:
用户模式: router> 权限低,只能查看,输入“enable ”命令进入到特权模式
特权模式: router#
权限高,输入
“configure terminal” 命令进入到全局模式
全局模式(通配模式):router(config)#
具体配置模式:router(config-if)#
2、查看的命令: show ******
router# show interface查看端口
router# show interface Ethernet 0查看具体端口
3、在路由器里有两种配置文件:
1)running-config:当前运行的配置文件 2)startup-config:启动配置文件
查看配置文件:show running-config
show startup-config
copy running-config startup-config
4、改路由器的名字:在 全局模式下
router(config)# hostname 路由器的名字
5、设置路由器的登陆消息:在全局模式下
router(config)# banner motd #
回车 在此输入消息的内容 #
6、命令:
Router(config)# ip address
例如:配置以太网口
//以Router1为例 命令:
R1# config t
R1(config)#interface Ethernet 0
R1(config-if)# ip address 192.168.1.1 255.255.255.0 //配置以太网口 R1(config-if)# no shutdown
// 启用该以太网口
7、CDP协议:
1)R1#show cdp interface
//查看cdp接口
2)R1#show cdp neighbors(details)//查看cdp邻居 3)R1(config)#cdp run
//激活cdp 4)R1(config)#no cdp run
//禁用cdp 5)R1(config)#int e0
//进入到接口
6)R1(config-if)#cdp enable
//激活 e0 的 cdp 7)R1(config-if)#no cdp enable
//禁用 e0 的cdp
8、TFTP服务器的配置
配置路由器: R1#config t R1(config)#int e0
//配置路由器的接口地址 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1#ping 192.168.0.1 配置PC:
IP地址:192.168.0.2 网关:192.168.0.1 测试:ping 192.168.0.1 继续配置路由器:
R1#copy running-config startup-config R1#copy startup-config tftp R1#erase startup-config R1# copy tftp startup-config R1#show startup-config
9、路由器口令的设置:
1)控制台口令: R1#config terminal R1(config)#line con 0 R1(config-line)#login R1(config-line)#password 密码
2)enable 口令 R1#config terminal R1(config)#enable password 密码
3)远程登陆口令 R1#config terminal R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password 密码
10、远程登陆:从一台计算机登陆到远端的另一台计算机,使用另一台计算机就像使用自己的计算机一样。
命令:telnet
11、注:配置路由器的串口要区分是DCE口还是 DTE口。例如观察s0哪种接口,可以在特权模式下输入命令:show controller s0
12、时钟频率的配置:
R1(config)#int s0
//进入到DCE端
R1(config-if)#clock rate 56000 //配置时钟频率,启动了串行线上的串行协议
13、查看路由器的路由表
R1#show ip route
//查看路由表
14、静态路由的配置
在全局模式下:
ip route network
mask < next-hop address>
命令
目标网络
子网掩码
下一跳 对R1来说:
Router1(config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.5.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.1 对R2来说:
Router2(config)# ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2 对R3来说:
Router3(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1
Router3(config)#ip host 路由器的名字
路由器的IP地址(e0)
15、动态路由的配置*(RIP)r1(config)#router rip r1(config-router)#network 邻居的网络号
16、动态路由的配置*(IGRP)r1(config)#router igrp AS号
r1(config-router)#network 邻居的网络号
17、查看路由协议和路由表
router#show ip protocol
//查看路由协议 router#show ip route
//查看路由表
18、VLAN的配置
1、在1900上的配置
Switch_A#show vlan-membership
//查看VLAN信息
在交换机中默认存在一个VLAN 号码为1,叫VLAN 1,不能删除,并且所有的端口都默认在这个VLAN中。Switch_A#show vlan 号码 产生VLAN的命令
Switch_A#config terminal
//进入到全局模式 Switch_A(config)#vlan 号码 name 名字 把端口分配VLAN:
Switch_A(config)#interface 某端口
Switch_A(config-if)#vlan-membership static 号码 Switch_A(config)#interface fa0/26
Switch_A(config-if)#trunk on
//默认使用ISL封装写
2、在2900上的配置 Switch_A#vlan database Switch_A(vlan)#vlan 号码 name 名字 Switch_A(config)#interface某端口
Switch_A(config-if)#switchport mode access Switch_A(config-if)# switchport access vlan 号码 配置TRUNK Switch_A(config)#interface fastethernet Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation dot1q
3、ROUTER上的配置 Router(config)#int fa0/0 Router(config-if)#no shut Router(config-if)#int fa0/0.1 Router(config-subif)#ip add 192.168.1.1 255.255.255.0 Router(config-subif)#encapsulation isl 10 Router(config-if)#int fa0/0.2 Router(config-subif)#ip add 192.168.2.1 255.255.255.0 Router(config-subif)#encapsulation isl 20
第三篇:路由器基本配置及IPv4静态路由器实验
实验名称 | 路由器基本配置及IPv4静态路由器 |
实验目的 | 1认识Packet Tracer的操作界面 2熟练掌握软件的使用方法,能对路由器实现基本的配置 3熟练掌握IPv4静态路由器的概念及配置方法 |
实验环境 | Packet Tracer |
实验者 | 信工19-1刘如燕 |
路由器基本配置及IPv4静态路由器
1.实验过程
路由器的基本配置:
1.初始化
2.配置控制台基本信息
3.配置远程登陆信息
4.配置特权密码及加密
5.配置接口信息
6.保存配置
7.验证路由器版本信息
8.查看路由器当前配置信息
9.查看路由器启动配置文件
10.查看接口信息
11.查看串行接口信息
12.查看接口三层信息
13.查看所有三层接口简要信息
14.过滤——Section
15.过滤——Include
16.过滤——Exclude
17.过滤——Begin
18.验证SSH功能
IPv4静态路由器:
1.配置路由器
2.查看路由表
3.连通性测试
4.修改静态路由配置
5.查看路由表中静态路由条目
6.验证连通性
2.实验结果及分析
第一部分
第二部分
![”“](”/d/file/p/2021/12-11/4a6c01fd9f066a73437af9f1ef6e5eee.jpeg"/)
连通性
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:
!!!
Success rate is 100 percent(5/5), round-trip min/avg/max = 63/72/78 ms
3.存在的问题及解决方法
开始时对操作过程并不了解,只是跟着老师提供的材料练习但还是有不会的操作的地方,但询问同学观看同学操作就解决问题并掌握了。
4.实验总结
通过本次实验我认识了Packet Tracer的操作界面并且熟练掌握了软件的使用方法,能对路由器实现基本的配置,并掌握IPv4静态路由器的概念及配置方法。
第四篇:典型路由器实验配置文档
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。
第五篇:交换机路由器配置总结
交换机和路由器配置过程总结
作为网络中重要的硬件设备,随着网络融入我们的日常生活,交换机和路由器也逐渐被人们所熟悉。关于交换机、路由器的配置,计算机和网络专业的学生理应能够操作熟练。通过这次网络工程师培训,借助Packet Tracer 5.0仿真软件学习网络配置、拓扑图设计等,我对交换机、路由器配置有了深刻的了解,现将配置过程小结如下。
第一部分 交换机配置
一、概述 一层、二层交换机工作在数据链路层,三层交换机工作在网络层,最常见的是以太网交换机。交换机一般具有用户模式、配置模式、特权模式、全局配置模式等模式。
二、基本配置命令(CISCO)Switch >enable 进入特权模式
Switch #config terminal 进入全局配置模式 Switch(config)#hostname 设置交换机的主机名
Switch(config)#enable password 进入特权模式的密码(明文形式保存)Switch(config)#enable secret 加密密码(加密形式保存)(优先)Switch(config)#ip default-gateway 配置交换机网关
Switch(config)#show mac-address-table 查看MAC地址
Switch(config)logging synchronous 阻止控制台信息覆盖命令行上的输入 Switch(config)no ip domain-lookup 关闭DNS查找功能 Switch(config)exec-timeout 0 0 阻止会话退出
使用Telnet远程式管理
Switch(config)#line vty 0 4 进入虚拟终端 Switch(config-line)# password 设置登录口令 Switch(config-line)# login 要求口令验证
控制台口令
switch(config)#line console 0 进入控制台口 switch(config-line)# password xx switch(config-line)# 设置登录口令login 允许登录 恢复出厂配置
Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置
Switch#vlan database 进去vlan配置模式 Switch(vlan)#vlan 号码 name 名称 创建vlan及vlan名 Switch(vlan)#vlan号码 mtu数值 修改MTU大小
Switch(vlan)#exit 更新vlan数据并推出 Switch#show vlan 查看验证 Switch#copy running-config startup-config 保存配置 VLAN 中添加 删除端口
Switch#config terminal 进入全局配置 Switch(config)#interface fastethernet0/1 进入要分配的端口 Switch(config-if)#Switchport mode access 定义二层端口 Switch(config-if)#Switchport acces vlan 号 把端口分给一个vlan Switch(config-if)#switchport mode trunk 设置为干线
Switch(config-if)#switchport trunk encapsulation dot1q 设置vlan 中继协议 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干线 Switch(config-if)#switchport trunk allowed vlan add 1,2 从Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1,2 从Trunk中删除vlan Switch(config-if)#switchport trunk pruning vlan remove 1,2 ;从Trunk中关闭局部修剪
查看vlan信息 Switch#show vlan brief 所有vlan信息
查看vlan信息 Switch#show vlan id 某个vlan信息 注:Switch#show int trunk 查看trunk协议
注:可以使用default interface interface-id 还原接口到默认配置状态 Trunk
开启(no)——将端口设置为永久中继模式
关闭(off)——将端口设置为永久非中继模式,并且将链路转变为非中继链路 企望(desirable)——让端口主动试图将链路转换成中继链路 自动(auto)——使该端口愿意将链路变成中继链路 交换机显示命令:
switch#show vtp status 查看vtp配置信息 switch#show running-config 查看当前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看闪存
switch#show version 查看当前版本信息
switch#show cdp cisco设备发现协议(可以查看聆接设备)switch#show cdp traffic 杳看接收和发送的cdp包统计信息 switch#show cdp neighbors 查看与该设备相邻的cisco设备
switch#show interface f0/1 switchport 查看有关switchport的配置 switch#show cdp neighbors 查看与该设备相邻的cisco设备
三、模拟配置(一个实例)
图一:PC机IP地址、子网掩码、默认网关配置截图
图二:模拟网络拓扑结构图
图三:全局模式下对交换机进行配置
图四:查看VLAN当前配置信息
第二部分 路由器配置
一、环境搭建(借鉴网上的材料,通过自己配置也实现了同样的功能)
添加一个模块化的路由器,单击Packet Tracer 5.0的工作区中刚添加的路由器,在弹出的配置窗口上添加一些模块:
图五
默认情况下,路由器的电源是打开的,添加模块时需要关闭路由器的电源,单击图一箭头所指的电源开关,将其关闭,路由器的电源关闭后绿色的电源指示灯也将变暗。
图六 添加所需要的模块
在“MODULES”下寻找所需要的模块,选中某个模块时会在下方显示该模块的信息。然后拖到路由器的空插槽上即可。
图八 添加一计算机,其RS-232与路由器的Console端口相连
图九 用计算机的终端连接路由器
图十 实验环境搭建完成
二、配置单个路由器
路由器的几种模式:User mode(用户模式)、Privileged mode(特权模式)、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode(路由配置模式)。每种模式对应不同的提示符。
图十一 几种配置命令提示符和配置路由器的名字
图十二 通过Console端口登录到路由器需要输入密码
图十三 显示信息的命令
通过模拟交换机和路由器的配置,进一步理解了它们的工作原理,对网络拓扑架构有了清晰的认识,为以后的网络知识学习打下了基础。谢谢彭老师!
点击咨询 