思科业务新人:设备和基本网络术语表

下载选项

  • PDF     (837.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (447.4 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (499.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 10 月 27 日
文档 ID:1603826685444769

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

kmgmt-1080-New-to-Cisco-Business-General — 术语表

目标

本文档的目标是让初学者熟悉思科企业(小型企业)设备和您应该了解的一些通用术语。主题包括可用硬件、思科业务术语、一般网络术语、思科工具、交换数据基础、Internet连接的基础和网络以及这些术语如何搭配在一起。

简介

您是否刚刚开始使用思科设备设置您的网络?要进入建立和维护网络的整个新世界,势在必行。本文旨在帮助您熟悉一些基本知识。你知道的越多,就越不吓人!

思科企业提供的硬件

路由器

路由器将多个网络连接在一起,并将数据路由到需要到达的位置。它们还将这些网络上的计算机连接到Internet。路由器使所有联网的计算机共享一个互联网连接,从而节省资金。

路由器充当调度程序。它会分析通过网络发送的数据,选择数据的最佳传输路径,然后沿途发送数据。

路由器将您的企业与外部世界连接起来,保护信息免受安全威胁,甚至可以决定哪些计算机优先于其他计算机。

除了这些基本的网络功能外,路由器还附带其他功能,使网络更简单或更安全。例如,根据需要,您可以选择带有防火墙、虚拟专用网络(VPN)或Internet协议(IP)通信系统的路由器。

最新开发的思科企业路由器包括RV160、RV260、RV340和RV345系列。

交换机

交换机是大多数企业网络的基础。交换机充当控制器,将计算机、打印机和服务器连接到建筑或园区中的网络。

交换机允许网络上的设备相互通信以及与其他网络通信,从而创建共享资源网络。通过信息共享和资源分配,交换机可节省资金并提高工作效率。

作为网络基础的一部分,有两种基本的交换机类型可供选择:托管和非托管。

  • 非管理型交换机开箱即用,但无法配置。家庭网络设备通常提供非管理型交换机。

  • 可以配置受管交换机。您可以在本地或远程监控和调整受管交换机,从而更好地控制网络流量和访问。

有关交换机的更多详细信息,请查看交换机术语表

最新开发的交换机包括Cisco Business Switch CBS110、CBS220、CBS250和CBS350系列。

如果您想了解CBS交换机之间的差异,请查看

无线接入点

无线接入点使设备无需电缆即可连接到无线网络。无线网络使新设备可以轻松上线,并为移动员工提供灵活的支持。

接入点充当您的网络的放大器。当路由器提供带宽时,接入点会扩展该带宽,以便网络可以支持许多设备,而这些设备也可以从更远的地方访问网络。

但是,接入点不仅仅能扩展Wi-Fi。它还可以提供有关网络中设备的有用数据、提供主动安全以及服务于许多其他实用目的。

最新开发的无线接入点Cisco Business Wireless包括支持无线网状网络的AC140、AC145和AC240。如果您不熟悉MAP无线网络,可以阅读欢迎使用Cisco Business Wireless Mesh NetworkingCisco Business Wireless Network常见问题(FAQ)中的详细信息。

如果您想了解无线接入点的一些常用术语,请查看WAP术语表

多平台电话

MPP电话使用会话发起协议(SIP)提供IP语音(VoIP)通信。 这消除了传统电话线的需求,使公司内的电话更加便携。使用VoIP时,电话使用现有的网络基础设施和互联网连接,而不是昂贵的T1线路。这样,就可以用更少的“线路”管理更多呼叫。 其他有益选项包括保留呼叫、暂留呼叫、转接呼叫等。除VoIP外,某些型号还允许视频通信。

MPP电话的外观与普通电话类似,仅用于此目的,但本质上是计算机,是网络的一部分。MPP电话需要来自互联网电话服务提供商(ITSP)或IP专用交换机(PBX)呼叫控制服务器的服务。WebEx CallingRing CentralVerizon是ITSP的示例。与Cisco MPP电话配合使用的IP PBX服务的一些示例包括AsteriskCentileMetaswitch平台。这些电话上的许多功能都是通过第三方提供商(如FreePBX)专门编程的,因此流程(停车场、访问语音邮件等)可能会有所不同。

最新开发的思科企业MPP电话包括6800、7800和8800系列。

思科业务中常被引用

管理指南和快速入门指南

这些是两种不同的资源可供搜索,以获取有关您的产品及其功能的非常详细信息。使用型号进行站点搜索或Web搜索时,可以添加一个或另一个以查看这些较长的指南。

默认设置

设备带有预选的默认设置。它们通常是管理员会选择的最常见设置。您可以根据需要更改设置。

默认用户名和密码

在旧版思科业务设备中,用户名和密码的默认值均为admin。现在,大多数用户使用用户名和密码的默认值cisco。在IP语音(VoIP)电话上,您需要以admin身份登录以更改许多配置。出于安全考虑,强烈建议您将默认密码更改为更复杂的密码。

默认IP地址

大多数思科设备都带有路由器、交换机和无线接入点的默认IP地址。如果您不记得该IP地址并且没有特殊配置,则可以使用打开的曲别针按设备上的重置按钮至少10秒。这将重置为默认设置。如果您的交换机或WAP未连接到启用了DHCP的路由器,并且您通过计算机直接连接到交换机或WAP,则这些是默认IP地址。

  • 思科企业路由器的默认IP地址为192.168.1.1。

  • 思科业务交换机的默认IP地址为192.168.1.254。

  • S系列无线接入点(AP)的默认IP地址为192.168.1.245。新的MAP没有默认IP地址。

重置为出厂默认设置

有时,您可能希望将思科企业路由器、交换机或无线接入点重置回出厂默认设置,从头开始。当您将设备从一个网络移动到另一个网络时,或者作为无法解决配置问题的最后手段,此功能非常有用。重置为出厂默认设置时,将丢失所有配置。

您可以备份配置,以便在出厂重置后恢复配置。有关详细信息,请点击以下链接:

如果不备份配置,您需要从头开始重新设置设备,以确保拥有连接详细信息。大多数型号都有一篇文章,详细介绍重置所需执行的步骤,但执行此操作的最简单方法是使用打开的回形针,并按设备上的重置按钮至少10秒。这不适用于MPP电话,因此请查看重置思科IP电话以了解详细信息。

Web用户界面(UI)

除100系列非管理型交换机外,思科商务设备的每一部分都随附一个Web UI。

这种类型的界面(也就是您在屏幕上看到的界面)会显示可供选择的选项。您无需知道任何命令,即可随意浏览这些屏幕。Web UI有时也称为图形用户界面(GUI)、基于Web的界面、基于Web的指南、基于Web的实用程序或Web配置实用程序。

更改设备配置的最简单方法之一是通过Web UI。Web UI为管理员提供了一个工具,其中包含所有可以更改以修改设备性能的功能。

登录到Cisco设备后,您将看到一个Web UI屏幕,左侧包含导航窗格。它包含设备的顶级功能列表。导航窗格有时也称为导航树、导航栏或导航图。

根据设备和固件版本,此页面和顶级功能列表的颜色可能会有所不同。

设置向导

这是一个交互式屏幕,首次登录思科S系列设备时(可能在此之后)您将导航到该屏幕。它可能是使您在网络上正常运行的一种好方法。可以更改预先选择的多个默认设置。某些设备带有多个安装向导。此示例显示两个设置向导、初始路由器设置和VPN设置向导

This example shows two Setup Wizards

Cisco 专有

由思科专门开发和拥有。例如,思科发现协议(CDP)是思科专有协议。通常,Cisco专有协议只能用于Cisco设备。

系列中的型号 

思科为小型企业所有者提供了多种不同的模式来满足其公司的需求。通常,模型会提供不同的功能、端口数量、以太网供电,甚至无线。如果系列中有多个型号,思科会用x来替换不同型号的编号或字母,但此信息适用于该系列中的所有型号。例如,路由器RV340和RV345在RV34x系列中称为。如果设备末端有P,则它提供以太网供电。如果设备名称以W结尾,则提供无线功能。一般而言,模型数量越高,设备的功能就越高。要查看这方面的详细信息,请参阅以下文章:

固件

也称为图像。控制设备操作和功能的程序。

升级固件 

升级固件对于每台设备实现最佳性能至关重要。请务必在升级发布后及时安装升级。思科发布的固件升级通常包含多种改进(例如新功能)或修复可能导致安全漏洞或性能问题的 Bug。

转至Cisco Support,在Downloads下输入需要升级的设备名称。应显示下拉菜单。向下滚动并选择您拥有的特定模型。

A dropdown menu should appear. Scroll down and choose the specific model you own.

提示:查看各种版本的思科固件时,每种固件采用x.x.x.x格式。视为四个二进制八位数。进行次要更新时,第四个二进制八位数会更改。第三个二进制八位数在变化较大时会发生变化。第二个二进制八位数表示发生了重大变化。如果进行彻底检修,第一个二进制八位数会更改。

如果您需要指南,请点击此链接下载并升级任何设备上的固件

如果您遇到交换机升级问题,本文会提供一些故障排除思路:升级200/300系列交换机上的固件

一般网络术语

一旦您拥有设备,您应该熟悉网络领域的一些常用术语。

接口

接口通常是一个系统与另一个系统之间的空间。可与计算机通信的任何设备,包括端口。通常为网络接口分配本地IP地址。用户界面允许用户与操作系统交互。

节点

一个通用术语,用于描述在网络中建立连接或交互,或可以发送、接收和存储信息、与Internet通信以及具有IP地址的任何设备。

主机

主机是一种设备,是网络中的通信终端,主机可以向其他节点提供数据或服务(如DNS)。交换机或路由器可能是主机,具体取决于拓扑。所有主机也是节点。示例包括计算机、服务器或打印机。

计算机程序

计算机程序包含可在计算机上运行的指令。

应用

应用程序软件是一个帮助您执行任务的程序。它们通常可互换使用,因为它们是类似的,但并非所有程序都是应用程序。

最佳实践 

建议用于设置和运行网络的某些设置。

拓扑

设备连接的物理方式。网络地图。

配置

这表示事物是如何设置的。您可以保留默认设置,即购买设备时预配置的默认设置,也可以根据特定需求进行配置。默认设置是基本配置,通常建议进行这些配置。当您登录到设备时,可能有一个安装向导可以指导您完成操作。

Mac 地址

每个设备的唯一标识符。位于物理设备上,可通过Bonjour、LLDP或CDP进行检测。交换机在与设备交互时跟踪设备上的MAC地址,并创建MAC地址表。这有助于交换机知道将信息数据包路由到何处。

开源 

向公众免费提供的计划。

Zip文件

压缩为一个zip文件的一组文件。当您想要在一个步骤中传输多个文件时,会使用此命令。接收方可以打开zip文件并分别访问每个文件。zip文件以.zip结尾。

如果看到以.zip结尾的格式的文件,则必须解压缩该文件。如果您没有解压缩程序,则需要下载一个。有几种免费选项在线。下载解压缩程序后,单击Downloads并查找要解压缩的.zip文件。

Once you have downloaded an unzip program, click Downloads and find the .zip file you need to unzip.

右键点击zip文件的名称,将出现一个类似于此的屏幕。将鼠标悬停在解压软件上,然后选择解压此处。在本示例中,使用7-Zip。

Right-click on the name of the zip file, a screen similar to this will appear. Hover over the unzip software, and choose Extract Here. In this example, 7-Zip is used.

命令行界面 (CLI)

命令行界面(CLI):有时也称为终端。这是选择路由器和交换机等设备配置的另一个选项。如果您经验丰富,这可以是一种简单得多的设置方法,因为您无需浏览各种Web UI屏幕。这样做的缺点是,您需要了解命令并正确输入它们。由于您正在阅读面向初学者的一篇文章,CLI可能不应成为您的首选。

虚拟机

大多数机器具有比其所需的更高的功能。可以配置一台计算机,以保存运行多台计算机所需的一切信息。问题在于,如果一部分发生故障或需要重新启动,它们都会继续。

如果安装VMware或Hyper-V,则可以在一台计算机上加载软件、Web服务器、电子邮件服务器、FindIT等。虚拟机甚至可以使用不同的操作系统。它们在逻辑上彼此独立。每台设备都执行独立设备的功能,但实际上并非一台设备。虽然硬件是共享的,但每台虚拟机都会为每个操作系统分配部分物理资源。这样可以节省资金、能源和空间。

您可能使用的思科工具

思科业务控制面板(CBD)

这是用于监控和维护网络的思科工具。CBD可以帮助您识别网络中的思科设备,以及其他有用的管理功能。

如果您在家中运行事物或监管多个网络,这是非常有用的工具。CBD可以在虚拟机上运行。有关CBD的详细信息,请查看Cisco Business Dashboard Support SiteCisco Business Dashboard Overview

FindIT网络发现实用程序

此简单工具非常基础,但可帮助您快速发现网络上的思科设备。Cisco FindIT会自动发现与您的PC位于同一本地网段的所有支持的思科S系列设备。

单击了解详情并下载思科S系列FindIT网络发现实用程序

单击此链接阅读有关如何安装和设置Cisco FindIT网络发现实用程序的文章。

Windows 10的应用程序如下所示。

The Application looks like this for Windows 10

下载后,您将在Windows 10中找到。

Once it is downloaded you find it here in Windows 10.

AnyConnect(RV34x系列路由器/ VPN)

此VPN专门用于RV34x系列路由器(以及企业/大型公司设备)。 Cisco AnyConnect安全移动客户端为远程用户提供安全的VPN连接。它为远程最终用户提供思科安全套接字层(SSL)VPN客户端的优势,还支持基于浏览器的SSL VPN连接所不具备的应用和功能。AnyConnect通常由远程工作人员使用,允许他们以实际在办公室的方式连接到公司计算机基础设施,即使他们不在办公室也是如此。这提高了员工的灵活性、移动性和工作效率。使用AnyConnect需要客户端许可证。Cisco AnyConnect与以下操作系统兼容:Windows 7、8、8.1和10、Mac OS X 10.8及更高版本以及Linux Intel(x64)。

有关更多指导,请参阅以下文章:

交换数据的基础知识

数据包

在网络中,信息以数据块形式发送,称为数据包。如果存在连接问题,数据包可能会丢失。

延迟

传输数据包的延迟。

冗余

在网络中,配置了冗余功能,以便在部分网络出现故障时,整个网络不会发生故障。如果主配置发生问题,则将其视为备份计划。

协议

两台设备需要使用某些相同的设置才能通信。把它当作一种语言。如果一个人只会说德语,而另一个人只会说西班牙语,那么这个人之间就无法交流。不同的协议可以协同工作,并且可以在彼此之间传输多个协议。协议有不同的目的;下面列出并简要介绍一些示例。

编址协议

  • 会话初始协议(SIP):这是IP语音(VoIP)的主要协议,IP电话通过Internet进行通信。网络两端必须使用相同的协议进行设置,以便它们都需要SIP来通过VoIP发起通信。
  • 动态主机配置协议(DHCP)管理可用IP地址池,在主机加入网络时将其分配给主机。
  • 地址解析协议(ARP):将动态IP地址映射到LAN中的永久物理MAC地址。
  • IPv4:这是目前最常用的IP版本。IP地址写为4组数字(也称为二进制八位数),每组数字之间用句点分隔。每组可以是一个介于0和255之间的数字。IPv4地址的一个示例是8.8.8.8,它是Google的公共DNS服务器。对于IPv4来说,设备的数量多于唯一的IP地址,因此购买永久公有IP地址可能成本高昂。
  • IPv6:此最新版本使用8组数字,每组数字之间用冒号。它使用十六进制数字系统,因此IP地址中可能有字母。公司可以同时运行IPv4和IPv6地址。

由于我们谈的是IPv6,下面是有关此编址协议的一些重要详细信息:

IPv6缩写:如果多个集合中的所有数字为零,则一行中的两个冒号可以表示这些集合,则此缩写只能使用一次。例如,Google的一个IPv6 IP地址是2001:4860:4860::8888。某些设备对IPv6地址的所有八个部分使用单独的字段,因此无法接受IPv6缩写。如果是这种情况,您将输入2001:4860:4860:0:0:0:8888。

十六进制:一种数字系统,使用基数为16而不是基数为10,这是我们在日常数学中使用的基数。数字0-9表示相同。10-15由字母A-F表示。

数据传输协议

  • 传输控制协议(TCP)和用户数据报协议(UDP):数据传输有两种方式。TCP在发送数据之前需要连接(称为三次握手),因此有时会存在延迟。如果数据(数据包)丢失,它将再次发送它们。UDP可靠性较低,但速度更快。语音和视频通常使用UDP。
  • 文件传输协议(FTP):该协议用于将文件从客户端传输到服务器。
  • 超文本传输协议(HTTP)与安全超文本传输协议(HTTPS):通过Internet进行数据通信的一般基础。您可以在网站开头找到这些内容,其格式为http:// https://。以https:// 开头的站点使用起来更安全。
  • 路由信息协议(RIP):该协议已存在很长时间。有三个版本,每个版本都增加了更多安全性和功能。路由器之间共享路由。其目标是通过设置从一台路由器到下一台路由器的最大“跳”数来防止环路。其他更有效的路由协议包括增强型内部网关路由协议(EIGRP)开放最短路径优先(OSPF)中间系统到中间系统(IS-IS)。 最后三个扩展比RIP更好,但设置可能更复杂。
  • 安全外壳(SSH):为命令行流量提供安全路由的安全通道。它是用于与远程服务器通信的加密协议。许多附加技术都是围绕SSH而构建的。

发现协议

  • Cisco发现协议(CDP):发现有关直连的其他Cisco设备的信息,并保存该信息。BonjourLink Layer Discovery Protocol(LLDP)执行相同的功能,也可以获取有关非Cisco设备的信息。大多数小型企业设备使用LLDP。
  • 层链路发现协议(LLDP):使设备能够向随后将数据存储在管理信息库(MIB)中的相邻设备通告其标识、配置和功能。 邻居之间共享的信息有助于缩短向局域网(LAN)添加新设备所需的时间,并且提供了解决许多配置问题所需的详细信息。LLDP可用于需要在非思科专有设备和思科专有设备之间工作的场景。交换机提供有关端口当前LLDP状态的所有信息,您可以使用此信息解决网络中的连接问题。这是网络发现应用程序(如FindIT网络管理)用来发现网络中的设备的协议之一。

确定协议

  • 域名系统(DNS):一旦为IP地址分配了完全限定域名(FQDN),就会将其放入数据库。例如,当您搜索www.google.com时,您可以输入网站名称,数据库将搜索该名称,并可以通过其IP地址找到该名称。您的Internet服务提供商(ISP)使用其DNS服务器作为默认服务器,并且已经进行了配置。但是,如果您在使用互联网时发现速度很慢,则可以手动更改此设置。
  • 动态DNS:也称为DDNS,使用服务器的主机名、地址或任何其它相关信息的活动配置自动更新DNS中的服务器。换句话说,DDNS为动态WAN IP地址分配一个固定的域名。这样可以节省购买永久IP地址的成本。
  • Internet协议(IP):IP地址是唯一的标识符,用于在Internet上的主机之间发送和接收数据。这通过需要从ISP购买的公有Internet地址来实现。
  • 介质访问控制(MAC地址):每个设备都连接有一个唯一的标识符。这一点不会改变。在设置网络和进行故障排除时,最好了解您的MAC地址。它通常位于设备上,包含字母和数字。交换机跟踪设备的MAC地址并创建MAC地址表。

协议故障排除

  • Ping:ping是一种常见的故障排除方法。ping会向IP地址发送ICMP回应消息。收到一条消息作为回报。成功的响应显示了双向物理连接。这是一种查看网络数据包是否可以毫无问题地分发到地址的方法。
  • Internet控制消息协议(ICMP):有关错误和操作信息的消息。执行PING测试时,会向目的地发送ICMP回应消息。成功的连接会从该设备获得响应。

服务器

为其他计算机提供服务的计算机或计算机上的程序。服务器可以是虚拟的,甚至可以是应用程序。一台设备上可以有多台服务器。服务器可以彼此共享。它们可用于Windows、Mac或Linux。

  • Web服务器 — Web浏览器的格式和显示网页

  • 文件服务器 — 在网络上向用户共享文件和文件夹

  • 电子邮件服务器 — 发送、接收和存储电子邮件

  • DNS服务器 — 将用户友好名称(例如www.cisco.com)转换为IP地址173.37.145.84

  • 即时消息服务器 — 控制和管理即时消息(Jabber、Skype)

服务质量 (QoS)

配置这些设置是为了确保为网络流量(通常是语音或视频)指定优先级,因为当有数据包(数据)延迟时,这通常最明显。

Internet连接的基础知识

Internet 服务提供商 (ISP)

您需要ISP来访问您网络上的Internet。有多种连接速度选项可供选择,而且价格也多种多样,可满足您的业务需求。除了访问Internet之外,ISP还提供电子邮件、网页托管等服务。

Web 浏览器

设备上的应用程序。还可以下载其他内容。下载后,您可以打开并输入您想要通过Internet访问的IP地址或网站。Web浏览器的一些示例包括:

Microsoft Edge

Microsoft Edge,

Chrome,

Firefox

Firefox,

和Safari。

Safari.

如果您无法打开某些内容或存在其他导航问题,可以尝试的简单方法是打开不同的Web浏览器并重试。

统一资源定位符 (URL)

在Web浏览器中,通常键入要访问的网站的名称(即URL)和网站地址。每个URL必须是唯一的。URL的示例为https://www.cisco.com

默认网关

这是局域网流量用作向Internet服务提供商(ISP)和Internet出口的路由器。换句话说,此路由器将您与建筑物外部和互联网上的其他设备连接。

防火墙

防火墙是一种网络安全设备,用于监控传入和传出网络流量,并根据定义的一组安全规则(称为访问控制列表(ACL))决定是否允许或阻止特定流量。

几十年来,防火墙一直是网络安全领域的第一道防线。它们会在受安全和控制的内部网络之间建立一个屏障,这些内部网络可以受信任和不受信任,外部网络(例如Internet)也是如此。

防火墙可以是硬件、软件或两者。

有关详细信息,请参阅在RV34x系列路由器上配置基本防火墙设置

访问控制列表 (ACL) 

阻止或允许流量发送到特定用户或从特定用户发出的列表。访问规则可配置为始终生效或基于定义的计划。访问规则根据各种条件进行配置,以便允许或拒绝对网络的访问。访问规则根据访问规则需要应用到路由器的时间进行调度。这些设置位于安全或防火墙设置下。例如,企业可能希望阻止员工在工作时间观看直播体育节目或连接到Facebook。

带宽

在某一时间段内从一个点发送到另一个点的数据量。如果您使用带宽较大的互联网连接,网络传输数据的速度可能会比带宽较低的互联网连接快得多。视频流比发送文件需要更多带宽。如果您发现访问网页时存在延迟,或者视频流存在延迟,则可能需要提高网络的带宽。

以太网电缆

网络中的大多数设备都有以太网端口。以太网电缆是插入它们进行有线连接的插头。RJ45电缆的两端相同,看起来就像旧电话插孔。它们可用于连接设备和连接到互联网。电缆连接设备以访问Internet和共享文件。某些计算机需要以太网适配器,因为它们可能没有提供以太网端口。

网络及其组合方式

局域网 (LAN) 

一个网络,可能大到几栋建筑,也可能小到家庭。连接到LAN的所有用户都位于同一物理位置,而且都连接到同一路由器。

在本地网络中,每台设备都分配有自己的唯一内部IP地址。它们采用10.x.x.x、172.16.x.x - 172.31.x.x或192.168.x.x模式。这些地址仅在网络内部、设备之间可见,并且被视为私有地址。有数百万个位置可能与您的企业拥有相同的内部IP地址池。这无关紧要,它们仅用于自己的专用网络,因此不存在冲突。为了使网络中的设备相互通信,它们都应遵循与其他设备相同的模式,位于同一子网中,并且是唯一的。在此模式中,您绝不能将任何这些地址视为公有IP地址,因为它们只保留给私有LAN地址。

所有这些设备通过默认网关(路由器)发送数据以连接到互联网。当默认网关收到信息时,它需要执行网络地址转换(NAT),并更改IP地址,因为任何通过Internet发出的信息都需要唯一的IP地址。

广域网 (WAN) 

广域网(WAN)是一种分布广泛的网络,有时是全局网络。许多LAN可以连接到单个WAN。

只有WAN地址可以通过Internet相互通信。每个WAN地址必须是唯一的。为了使网络内部的设备能够通过Internet发送和接收信息,您必须在网络边缘有一台可以执行NAT的路由器(默认网关)。

单击阅读在RV34x系列路由器上配置访问规则

网络地址转换 (NAT)

路由器通过Internet服务提供商(ISP)接收WAN地址。 路由器附带NAT功能,可接收离开网络的流量,将私有地址转换为公有WAN地址,并通过Internet发送出去。接收流量时,它会执行相反操作。之所以设置此项,是因为世界上所有设备都没有足够的永久IPv4地址。

NAT的优点是,它通过有效地将整个内部网络隐藏在唯一的公有IP地址后面来提供额外的安全性。内部IP地址通常保持不变,但是如果暂时拔掉电源、以某种方式配置或重置为出厂默认设置,则可能没有变化。

静态 NAT

通过在路由器上配置静态动态主机配置协议(DHCP),可以将内部IP地址配置为保持不变。除非您通过ISP付费获得静态公有IP地址,否则公有IP地址也不能保证保持不变。许多公司都会为这项服务付费,以便其员工和客户可以更可靠地连接到其服务器(Web、邮件、VPN等),但这可能非常昂贵。

静态NAT将私有IP地址的一对一转换映射到公有IP地址。它创建私有地址到公有地址的固定转换。这意味着您需要等量的公有地址作为私有地址。当需要从网络外部访问设备时,此功能非常有用。

单击以阅读在RV160和RV260上配置NAT和静态NAT

CGNAT

运营商级NAT是一种类似的协议,允许多个客户端使用同一IP地址。

VLAN

利用虚拟局域网 (VLAN),您可以将局域网 (LAN) 逻辑划分为不同的广播域。在敏感数据可能会在网络中广播的情况下,可以创建 VLAN 以通过指定广播到特定 VLAN 来增强安全性。只有属于某个 VLAN 的用户才能访问和操作该 VLAN 中的数据。利用 VLAN,还可在一定程度上免于将广播和组播发送到不必要的目标,从而提高性能。

VLAN 主要用于在主机之间形成组,与主机的物理位置无关。因此,通过在主机之间形成组,VLAN 可以提高安全性。创建 VLAN 后,只有将该 VLAN 手动或动态连接到至少一个端口后,它才会生效。设置 VLAN 的最常见原因之一是为语音和数据分别设置单独的 VLAN。这样,即使使用的网络相同,也能确定两类数据的数据包发送方向。

有关详细信息,请阅读Cisco Business Routers的VLAN最佳实践和安全提示

子网 

子网通常称为子网,是IP网络内部的独立网络。

SSID

服务集标识符(SSID)是无线客户端可以连接到无线网络中的所有设备或在无线网络中的所有设备之间共享的唯一标识符。区分大小写,并且不能超过32个字母数字字符。这也称为无线网络名称。

虚拟专用网络 (VPN)

技术不断发展,业务通常在办公室外进行。设备移动性更强,员工通常在家工作或在出差时工作。这可能会导致一些安全漏洞。虚拟专用网络(VPN)是以安全方式连接网络上的远程工作人员的理想方式。VPN允许远程主机像位于同一本地网络一样运行。

设置VPN以提供安全的数据传输。有不同的选项可用于设置VPN和数据加密方式。VPN使用安全套接字层(SSL)、点对点隧道协议(PPTP)和第二层隧道协议。

VPN连接允许用户通过公共或共享网络(例如Internet)访问、发送和接收来自专用网络的数据,但仍能确保安全连接到底层网络基础设施,以保护专用网络及其资源。

VPN隧道可建立一个私有网络,使用加密和身份验证安全地发送数据。公司办公室大多使用VPN连接,因为即使员工不在办公室,也有必要允许他们访问其专用网络。

在路由器配置为Internet连接后,可以在路由器和终端之间建立VPN连接。VPN客户端完全依赖于VPN路由器的设置才能建立连接。

VPN支持网关到网关隧道的站点到站点VPN。例如,用户可以在分支机构站点配置VPN隧道以连接到公司站点的路由器,以便分支机构站点可以安全地访问公司网络。在站点到站点VPN连接中,任何人都可以发起通信。此配置有一个持续的加密连接。

IPsec VPN还支持主机到网关隧道的客户端到服务器VPN。从家用笔记本电脑/PC通过VPN服务器连接到企业网络时,客户端到服务器VPN非常有用。在这种情况下,只有客户端可以发起连接。

单击阅读思科企业VPN概述和最佳实践

证书

设置VPN的一个安全步骤是从证书颁发机构(CA)获取证书。 这用于身份验证。证书从任意数量的第三方站点购买。这是证明您的站点安全的官方方式。实质上,CA是可信来源,用于验证您是否为合法企业并且可以受到信任。对于VPN,您只需最低成本获得较低级别的证书。CA会签出您的帐户,他们验证您的信息后,会向您颁发证书。此证书可作为文件下载到您的计算机上。然后,您可以进入路由器(或VPN服务器)并将其上传到那里。

客户端通常不需要证书即可使用VPN;它仅用于通过路由器进行验证。例外情况是OpenVPN,它需要客户端证书。

为简单起见,许多小型企业选择使用密码或预共享密钥代替证书。这样做不太安全,但可以免费设置。

您可能喜欢的有关此主题的一些文章:

预共享密钥(PSK)

这是在VPN配置之前决定并共享的共享密码,可用作使用证书的备用密码。PSK可以是任何您想要的,只要在站点和客户端上设置为客户端时,它必须与客户端匹配。请记住,根据设备的不同,可能存在禁止使用的符号。

密钥生命期

系统更改密钥的频率。此设置还需要与远程路由器相同。

结论

现在,有了它,您便有了许多基本功能来帮助您实现目标。

如果您想继续了解更多信息,请查看这些链接!

修订历史记录

版本 发布日期 备注
1.0
04-Nov-2020
初始版本

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品