一、网络设备概述
, 风哥风哥提示:, from
网络设备是构成计算机网络的核心组件,包括路由器、交换机、防火墙、负载均衡器等,它们共同构建了企业网络基础设施。
1.1 常见网络设备
| 设备类型 | 功能 | 应用场景 |
|---|---|---|
| 路由器 | 数据包转发、路由选择 | 网络边界、互联网络 |
| 交换机 | 局域网内数据交换 | 企业内部网络 |
| 防火墙 | 网络安全防护 | 网络边界安全 |
| 负载均衡器 | 流量分发 | 应用高可用 |
| 无线AP | 无线接入 | 无线覆盖 |
| 网络存储 | 数据存储 | 数据中心 |
1.2 网络设备管理方式
- 命令行界面 (CLI):通过SSH/Telnet访问
- Web界面:通过浏览器访问
- 网络管理系统 (NMS):如Zabbix、SolarWinds
- API接口:通过编程方式管理
二、路由器配置与管理
2.1 路由器基础配置
# 登录路由器
ssh admin@192.168.1.1
# 进入特权模式
Router> enable
Router#
# 进入全局配置模式
Router# configure terminal
Router(config)#
# 配置fgedu.net.cn
Router(config)# hostname Core-Router
Core-Router(config)#
# 配置接口
Core-Router(config)# interface GigabitEthernet0/0
Core-Router(config-if)# ip address 192.168.1.1 255.255.255.0
Core-Router(config-if)# no shutdown
Core-Router(config-if)# exit
# 配置静态路由
Core-Router(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.254
# 配置RIP路由
Core-Router(config)# router rip
Core-Router(config-router)# network 192.168.1.0
Core-Router(config-router)# version 2
Core-Router(config-router)# exit
# 配置OSPF路由
Core-Router(config)# router ospf 1
Core-Router(config-router)# network 192.168.1.0 0.0.0.255 area 0
Core-Router(config-router)# exit
# 配置用户认证
Core-Router(config)# username admin privilege 15 secret password123
# 配置SSH
Core-Router(config)# line vty 0 4
Core-Router(config-line)# transport input ssh
Core-Router(config-line)# login local
Core-Router(config-line)# exit
# 保存配置
Core-Router(config)# exit
Core-Router# write memory
Core-Router# copy running-config startup-config2.2 路由器高级配置
# 配置访问控制列表 (ACL)
Core-Router(config)# access-list 100 permit tcp any host 192.168.1.100 eq 80
Core-Router(config)# access-list 100 deny ip any any
Core-Router(config)# interface GigabitEthernet0/0
Core-Router(config-if)# ip access-group 100 in
# 配置NAT
Core-Router(config)# interface GigabitEthernet0/1
Core-Router(config-if)# ip nat outside
Core-Router(config-if)# exit
Core-Router(config)# interface GigabitEthernet0/0
Core-Router(config-if)# ip nat inside
Core-Router(config-if)# exit
Core-Router(config)# ip nat inside source list 1 interface GigabitEthernet0/1 overload
Core-Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255
# 配置QoS
Core-Router(config)# class-map match-any VOICE
Core-Router(config-cmap)# match dscp ef
Core-Router(config-cmap)# exit
Core-Router(config)# policy-map QOS-POLICY
Core-Router(config-pmap)# class VOICE
Core-Router(config-pmap-c)# priority percent 30
Core-Router(config-pmap-c)# exit
Core-Router(config-pmap)# class class-default
Core-Router(config-pmap-c)# fair-queue
Core-Router(config-pmap-c)# exit
Core-Router(config-pmap)# exit
Core-Router(config)# interface GigabitEthernet0/0
Core-Router(config-if)# service-policy output QOS-POLICY
# 配置VPN
Core-Router(config)# crypto isakmp policy 10
Core-Router(config-isakmp)# encr aes
Core-Router(config-isakmp)# hash sha256
Core-Router(config-isakmp)# authentication pre-share
Core-Router(config-isakmp)# group 2
Core-Router(config-isakmp)# exit
Core-Router(config)# crypto isakmp key cisco123 address 10.0.0.2
Core-Router(config)# crypto ipsec transform-set ESP-AES-SHA esp-aes esp-sha-hmac
Core-Router(cfg-crypto-trans)# exit
Core-Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Core-Router(config)# crypto map VPN-MAP 10 ipsec-isakmp
Core-Router(config-crypto-map)# match address 101
Core-Router(config-crypto-map)# set peer 10.0.0.2
Core-Router(config-crypto-map)# set transform-set ESP-AES-SHA
Core-Router(config-crypto-map)# exit
Core-Router(config)# interface GigabitEthernet0/1
Core-Router(config-if)# crypto map VPN-MAP三、交换机配置与管理
3.1 交换机基础配置
# 登录交换机
ssh admin@192.168.1.2
# 进入特权模式
Switch> enable
Switch#
# 进入全局配置模式
Switch# configure terminal
Switch(config)#
# 配置fgedu.net.cn
Switch(config)# hostname Access-Switch
Access-Switch(config)#
# 配置VLAN
Access-Switch(config)# vlan 10
Access-Switch(config-vlan)# name DATA
Access-Switch(config-vlan)# exit
Access-Switch(config)# vlan 20
Access-Switch(config-vlan)# name VOICE
Access-Switch(config-vlan)# exit
# 配置接口
Access-Switch(config)# interface FastEthernet0/1
Access-Switch(config-if)# switchport mode access
Access-Switch(config-if)# switchport access vlan 10
Access-Switch(config-if)# no shutdown
Access-Switch(config-if)# exit
# 配置中继端口
Access-Switch(config)# interface GigabitEthernet0/1
Access-Switch(config-if)# switchport mode trunk
Access-Switch(config-if)# switchport trunk allowed vlan 10,20
Access-Switch(config-if)# no shutdown
Access-Switch(config-if)# exit
# 配置VLAN接口
Access-Switch(config)# interface vlan 10
Access-Switch(config-if)# ip address 192.168.10.1 255.255.255.0
Access-Switch(config-if)# no shutdown
Access-Switch(config-if)# exit
# 配置STP
Access-Switch(config)# spanning-tree mode rapid-pvst
Access-Switch(config)# spanning-tree vlan 10 priority 4096
# 配置端口安全
Access-Switch(config)# interface FastEthernet0/1
Access-Switch(config-if)# switchport port-security
Access-Switch(config-if)# switchport port-security maximum 2
Access-Switch(config-if)# switchport port-security violation restrict
Access-Switch(config-if)# switchport port-security mac-address sticky
# 保存配置
Access-Switch(config)# exit
Access-Switch# write memory3.2 交换机高级配置
# 配置链路聚合
Access-Switch(config)# interface range GigabitEthernet0/1-2
Access-Switch(config-if-range)# channel-group 1 mode active
Access-Switch(config-if-range)# exit
Access-Switch(config)# interface port-channel 1
Access-Switch(config-if)# switchport mode trunk
Access-Switch(config-if)# switchport trunk allowed vlan 10,20
Access-Switch(config-if)# exit
# 配置DHCP Snooping
Access-Switch(config)# ip dhcp snooping
Access-Switch(config)# ip dhcp snooping vlan 10,20
Access-Switch(config)# interface range FastEthernet0/1-24
Access-Switch(config-if-range)# ip dhcp snooping limit rate 10
Access-Switch(config-if-range)# exit
Access-Switch(config)# interface GigabitEthernet0/1
Access-Switch(config-if)# ip dhcp snooping trust
# 配置ARP检测
Access-Switch(config)# ip arp inspection vlan 10,20
Access-Switch(config)# interface GigabitEthernet0/1
Access-Switch(config-if)# ip arp inspection trust
# 配置风暴控制
Access-Switch(config)# interface range FastEthernet0/1-24
Access-Switch(config-if-range)# storm-control broadcast level 20.0
Access-Switch(config-if-range)# storm-control multicast level 20.0
Access-Switch(config-if-range)# storm-control unicast level 20.0
Access-Switch(config-if-range)# exit
# 配置QoS
Access-Switch(config)# class-map match-any VOICE
Access-Switch(config-cmap)# match dscp ef
Access-Switch(config-cmap)# exit
Access-Switch(config)# policy-map QOS-POLICY
Access-Switch(config-pmap)# class VOICE
Access-Switch(config-pmap-c)# priority percent 30
Access-Switch(config-pmap-c)# exit
Access-Switch(config-pmap)# class class-default
Access-Switch(config-pmap-c)# fair-queue
Access-Switch(config-pmap-c)# exit
Access-Switch(config-pmap)# exit
Access-Switch(config)# interface range FastEthernet0/1-24
Access-Switch(config-if-range)# service-policy output QOS-POLICY
Access-Switch(config-if-range)# exit四、防火墙配置与管理
4.1 防火墙基础配置
# 登录防火墙
ssh admin@192.168.1.10
# 进入配置模式
> configure
# 配置接口
(config)# interface eth0
(config-interface)# ip address 192.168.1.10 255.255.255.0
(config-interface)# nameif inside
(config-interface)# security-level 100
(config-interface)# no shutdown
(config-interface)# exit
(config)# interface eth1
(config-interface)# ip address 10.0.0.1 255.255.255.0
(config-interface)# nameif outside
(config-interface)# security-level 0
(config-interface)# no shutdown
(config-interface)# exit
# 配置默认路由
(config)# route outside 0.0.0.0 0.0.0.0 10.0.0.254
# 配置访问控制列表
(config)# access-list OUTSIDE_IN extended permit tcp any host 192.168.1.100 eq 80
(config)# access-list OUTSIDE_IN extended permit tcp any host 192.168.1.100 eq 443
(config)# access-list OUTSIDE_IN extended deny ip any any
# 应用访问控制列表
(config)# access-group OUTSIDE_IN in interface outside
# 配置NAT
(config)# nat (inside,outside) source dynamic any interface
# 配置端口转发
(config)# static (inside,outside) tcp interface 8080 192.168.1.100 80 netmask 255.255.255.255
# 配置DHCP服务器
(config)# dhcpd address 192.168.1.50-192.168.1.150 inside
(config)# dhcpd dns 8.8.8.8 8.8.4.4
(config)# dhcpd domain fgedu.net.cn
(config)# dhcpd enable inside
# 保存配置
(config)# write memory4.2 防火墙高级配置
# 配置VPN
(config)# crypto ikev2 policy 1
(config-ikev2-policy)# encryption aes-256
(config-ikev2-policy)# integrity sha256
(config-ikev2-policy)# group 2
(config-ikev2-policy)# prf sha256
(config-ikev2-policy)# lifetime seconds 86400
(config-ikev2-policy)# exit
(config)# crypto ikev2 enable outside
(config)# tunnel-group DefaultRAGroup general-attributes
(config-tunnel-general)# address-pool VPN-Pool
(config-tunnel-general)# exit
(config)# tunnel-group DefaultRAGroup ipsec-attributes
(config-tunnel-ipsec)# ikev2 local-authentication pre-shared-key cisco123
(config-tunnel-ipsec)# ikev2 remote-authentication pre-shared-key cisco123
(config-tunnel-ipsec)# exit
(config)# crypto ipsec ikev2 ipsec-proposal DEFAULT
(config-ipsec-proposal)# protocol esp encryption aes-256
(config-ipsec-proposal)# protocol esp integrity sha-256
(config-ipsec-proposal)# exit
(config)# group-policy DfltGrpPolicy attributes
(config-group-policy)# vpn-tunnel-protocol ikev2
(config-group-policy)# exit
# 配置IPS
(config)# ips enable
(config)# ips signature-definition sig-def-svc
(config)# exit
# 配置URL过滤
(config)# url-filtering urlf-server
(config-urlf-server)# server vendor websense
(config-urlf-server)# server-host 192.168.1.200
(config-urlf-server)# exit
# 配置应用识别
(config)# class-map inspection_default
(config-cmap)# match default-inspection-traffic
(config-cmap)# exit
(config)# policy-map global_policy
(config-pmap)# class inspection_default
(config-pmap-c)# inspect dns preset_dns_map
(config-pmap-c)# inspect ftp
(config-pmap-c)# inspect http
(config-pmap-c)# inspect smtp
(config-pmap-c)# exit
(config-pmap)# exit
(config)# service-policy global_policy global
# 配置高可用
(config)# failover
(config)# failover lan unit primary
(config)# failover lan interface failover GigabitEthernet0/2
(config)# failover interface ip failover 192.168.255.1 255.255.255.252 standby 192.168.255.2
(config)# failover link failover GigabitEthernet0/2
(config)# failover interface ip state 192.168.254.1 255.255.255.252 standby 192.168.254.2五、网络设备监控
5.1 设备状态监控
# 查看设备状态
# 路由器/交换机
show version
show interface status
show interface counters
show process cpu
show process memory
# 防火墙
show interface
show cpu usage
show memory usage
show conn count
# 使用SNMP监控
# 配置SNMP
router(config)# snmp-server community public RO
router(config)# snmp-server contact admin@fgedu.net.cn
router(config)# snmp-server location Datacenter
# 使用Zabbix监控
# 1. 添加设备到Zabbix
# 2. 配置SNMP参数
# 3. 应用模板
# 4. 配置触发器
# 使用PRTG监控
# 1. 添加设备
# 2. 配置传感器
# 3. 设置告警
# 使用Nagios监控
# 1. 配置主机
# 2. 配置服务
# 3. 设置通知5.2 网络流量监控
# 查看接口流量
# 路由器/交换机
show interface GigabitEthernet0/0
show interface counters
# 防火墙
show interface stats
show conn
# 使用NetFlow
router(config)# interface GigabitEthernet0/0
router(config-if)# ip flow monitor FLOW-MONITOR input
router(config-if)# exit
router(config)# flow monitor FLOW-MONITOR
router(config-flow-monitor)# record netflow-original
router(config-flow-monitor)# exit
# 使用sFlow
switch(config)# sflow agent-ip 192.168.1.2
switch(config)# sflow collector 192.168.1.200 udp-port 6343
switch(config)# interface GigabitEthernet0/1
switch(config-if)# sflow sampling-rate 1000
switch(config-if)# sflow polling-interval 30
switch(config-if)# exit
# 使用Wireshark抓包
# 在管理PC上运行Wireshark
# 配置端口镜像
switch(config)# monitor session 1 source interface GigabitEthernet0/1
switch(config)# monitor session 1 destination interface GigabitEthernet0/24六、网络故障排除
6.1 故障排除方法
# 分层故障排除
1. 物理层:检查线缆、接口状态
2. 数据链路层:检查VLAN、STP
3. 网络层:检查IP配置、路由
4. 传输层:检查端口、连接
5. 应用层:检查应用服务
# 常用命令
# 检查接口状态
show interface
show ip interface brief
# 检查IP配置
ipconfig /all # Windows
ifconfig # Linux
# 测试连通性
ping 192.168.1.1
traceroute 192.168.1.1
pathping 192.168.1.1
# 检查路由
show ip route
ip route
# 检查ARP表
arp -a
show arp
# 检查DNS
nslookup google.com
dig google.com
# 检查端口
netstat -an
ss -tuln
show tcp brief
# 检查防火墙
show access-list
show nat translation
# 检查STP
show spanning-tree
# 检查VLAN
show vlan
show interface switchport6.2 常见故障处理
# 网络不通
1. 检查物理连接
- 线缆是否插好
- 接口状态是否up
- 指示灯是否正常
2. 检查IP配置
- IP地址是否正确
- 子网掩码是否正确
- 网关是否正确
3. 检查路由
- 是否有到达目标的路由
- 路由是否正确
4. 检查防火墙
- 防火墙是否阻止流量
- 访问控制列表是否正确
# 网络慢
1. 检查带宽
- 接口利用率
- 流量峰值
2. 检查设备性能
- CPU使用率
- 内存使用率
- 缓冲区使用
3. 检查网络拥塞
- 接口丢包
- 延迟增加
- 队列长度
4. 检查应用
- 应用响应时间
- 连接数
- 错误率
# VLAN问题
1. 检查VLAN配置
- VLAN是否存在
- 接口是否正确分配到VLAN
2. 检查中继配置
- 中继端口是否正确配置
- VLAN是否在允许列表中
3. 检查STP
- STP是否正常
- 是否有环路
# VPN问题
1. 检查VPN配置
- 密钥是否正确
- 策略是否匹配
2. 检查连接状态
- IKE SA是否建立
- IPsec SA是否建立
3. 检查NAT
- NAT是否正确配置
- 是否有冲突
# 安全问题
1. 检查日志
- 安全日志
- 认证日志
2. 检查异常流量
- 异常连接
- 异常端口
3. 检查访问控制
- ACL是否正确
- 权限是否适当七、网络设备安全
7.1 设备安全配置
# 基本安全配置
# 更改默认密码
router(config)# username admin privilege 15 secret strongpassword
# 禁用不必要的服务
router(config)# no service telnet
router(config)# no service finger
router(config)# no cdp run
# 启用SSH
router(config)# ip ssh version 2
router(config)# crypto key generate rsa modulus 2048
# 配置访问控制
router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
router(config)# line vty 0 4
router(config-line)# access-class 10 in
router(config-line)# login local
router(config-line)# exit
# 配置日志
router(config)# logging 192.168.1.200
router(config)# logging trap informational
# 配置NTP
router(config)# ntp server 192.168.1.200
router(config)# clock timezone CST 8
# 配置AAA
router(config)# aaa new-model
router(config)# aaa authentication login default local
router(config)# aaa authorization exec default local
# 配置HTTPS
router(config)# ip http secure-server
router(config)# ip http authentication local
# 配置密码策略
router(config)# security passwords min-length 8
router(config)# login block-for 60 attempts 3 within 60
# 配置端口安全
switch(config)# interface FastEthernet0/1
switch(config-if)# switchport port-security
switch(config-if)# switchport port-security maximum 1
switch(config-if)# switchport port-security violation shutdown
# 配置DHCP Snooping
switch(config)# ip dhcp snooping
switch(config)# ip dhcp snooping vlan 10
switch(config)# interface GigabitEthernet0/1
switch(config-if)# ip dhcp snooping trust
# 配置ARP检测
switch(config)# ip arp inspection vlan 10
switch(config)# interface GigabitEthernet0/1
switch(config-if)# ip arp inspection trust
# 配置风暴控制
switch(config)# interface range FastEthernet0/1-24
switch(config-if-range)# storm-control broadcast level 10.0
# 配置访问控制列表
router(config)# access-list 100 deny ip any any log
router(config)# interface GigabitEthernet0/0
router(config-if)# ip access-group 100 in7.2 安全最佳实践
| 安全措施 | 建议配置 |
|---|---|
| 密码策略 | 强密码,定期更换 |
| 访问控制 | 限制管理访问IP |
| 服务管理 | 禁用不必要服务 |
| 固件更新 | 定期更新固件 |
| 日志管理 | 集中日志存储 |
| 备份配置 | 定期备份配置 |
| 网络隔离 | 使用VLAN隔离 |
| 监控 | 实时监控异常 |
八、网络设备管理工具
8.1 网络管理系统
# Zabbix
- 开源监控系统
- 支持网络设备监控
- 配置步骤:
1. 安装Zabbix服务器
2. 添加网络设备
3. 配置SNMP参数
4. 应用网络设备模板
5. 配置触发器和告警
# SolarWinds
- 商业网络管理软件
- 功能丰富
- 支持自动发现
- 提供网络拓扑图
# PRTG
- 商业监控软件
- 易于使用
- 支持多种传感器
- 提供实时监控
# Nagios
- 开源监控系统
- 高度可定制
- 支持插件扩展
- 配置复杂
# Cisco Prime
- 思科设备管理软件
- 提供设备配置管理
- 支持网络拓扑
- 商业软件8.2 配置管理工具
# Ansible
- 自动化配置管理
- 支持网络设备
- 配置步骤:
1. 安装Ansible
2. 配置inventory文件
3. 编写Playbook
4. 执行配置
# Puppet
- 配置管理工具
- 支持网络设备
- 基于客户端-服务器架构
# Chef
- 配置管理工具
- 支持网络设备
- 基于Ruby语言
# 版本控制
- 使用Git管理配置文件
- 定期提交配置更改
- 跟踪配置变更历史
# 配置备份
- 定期备份设备配置
- 存储在安全位置
- 测试备份恢复九、最佳实践
| 管理领域 | 最佳实践 |
|---|---|
| 配置管理 | 使用版本控制,定期备份 |
| 网络设计 | 分层设计,冗余架构 |
| 安全管理 | 最小权限,定期审计 |
| 监控管理 | 实时监控,及时告警 |
| 变更管理 | 变更前测试,变更后验证 |
| 文档管理 | 详细记录,定期更新 |
| 故障管理 | 标准化流程,知识库 |
| 容量管理 | 定期评估,提前规划 |
注意事项:
- 定期更新设备固件
- 配置强密码策略
- 限制管理访问
- 定期备份配置
- 实时监控网络状态
- 建立故障处理流程
- 保持网络文档更新
- 定期安全审计
十、总结
网络设备管理是IT运维的重要组成部分。通过本培训文档,您应该掌握了:
from 培训视频:www.itpux.com
- 网络设备的基础配置与管理
- 路由器、交换机、防火墙的高级配置
- 网络设备监控与流量分析
- 网络故障排除方法
- 网络设备安全配置
- 网络管理工具的使用
- 网络管理最佳实践
IT运维培训文档系列 | 第84篇 | 网络设备管理培训
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
