第一篇：學(xué)習(xí)中小企業(yè)安全路由器的基本配置方法

學(xué)習(xí)中小企業(yè)安全路由器的基本配置方法[1] 網(wǎng)絡(luò)安全，對于中小企業(yè)網(wǎng)管來說已是一門必修課。本文作者收集了Qno俠諾在中國各地支持企業(yè)用戶的心得，供讀者參考。首先，我們從基本配置談起，即路由器的廣域網(wǎng)及局域網(wǎng)如何進行配置，主要的目的，讓中小企業(yè)用戶在進行規(guī)劃時，就能善用路由器的各種功能，提供給內(nèi)部用戶更好的網(wǎng)絡(luò)服務(wù)，提升企業(yè)的經(jīng)營效益。

綜合Qno俠諾技術(shù)服務(wù)部的實際支持經(jīng)驗，一般中小企業(yè)在進行安全路由器的基本配置時，需要特別注意的有廣域網(wǎng)端、局域網(wǎng)端及公共服務(wù)器三個方面。以下分別就這三個方面加以介紹。

一、廣域網(wǎng)端

廣域網(wǎng)端就是路由器對外接到網(wǎng)絡(luò)運營商的線路。廣域網(wǎng)線路也是寬帶接入的主要路徑，因此若是發(fā)生掉線或是擁塞，則企業(yè)的寬帶接入就會中斷！這個情況對于有些企業(yè)會發(fā)生很大的困擾。因此廣域網(wǎng)端在安全的首要思維，就是如何確保線路的穩(wěn)定，維持企業(yè)在各種情況下的運作。

大部份中小企業(yè)，由于上網(wǎng)人數(shù)較小、或是經(jīng)費有限，因此大多采用單線ADSL即可。企業(yè)對帶寬的需要較大，或是對于網(wǎng)絡(luò)要求較高的，例如服務(wù)業(yè)或是外貿(mào)行業(yè)，則可能采用相對費用較高的光纖。根據(jù)Qno俠諾支持用戶的經(jīng)驗，發(fā)現(xiàn)以下情況，較傾向采用多WAN線路的配置：

偶而需要大量上／下載：由于信息化的結(jié)果，很多企業(yè)需要不時進行大量的上下載的操作。例如成都的某礦產(chǎn)商貿(mào)公司每天下班時，需要上傳銷售報告及存貨數(shù)據(jù)，需要較多的時間。又例如位于寧波的某民營企業(yè)，經(jīng)常需要從國外客戶的服務(wù)器下載設(shè)計圖作為生產(chǎn)之用。當(dāng)要進行下載時，網(wǎng)管一般都不希望受到一般用戶上網(wǎng)或下載影響，因此可申請兩條線路：一般情況下兩條線路都開放作為用戶上網(wǎng)用；但是當(dāng)需要進行特別工作時，則可加以管制，保留特定的線路給大量上下載的工作，以確保重要的數(shù)據(jù)能準(zhǔn)時傳送。采用多WAN配置后，網(wǎng)管加班在辦公室等待數(shù)據(jù)傳送的情況，就可大大減少了！

有跨網(wǎng)問題時：山東濟南某農(nóng)產(chǎn)品的商貿(mào)公司，常常需要和在北京的總部建立VPN聯(lián)機，但是不知道為什么，聯(lián)機總是很不穩(wěn)定，常常數(shù)據(jù)還沒傳完，又得重新聯(lián)機。這種情況，很可能就是VPN建立跨過不同的運營商網(wǎng)絡(luò)所產(chǎn)生的不穩(wěn)定問題，例如總部采用網(wǎng)通的線路，而分支采用電信的線路，跨網(wǎng)帶寬不足，而產(chǎn)生的現(xiàn)象。這種情況，也可采用多WAN路由器解決，即總部同時接入網(wǎng)通及電信的線路，屬于網(wǎng)通線路的外點從網(wǎng)通的入口建立VPN，電信的外點則從電信線路建VPN，這樣即可解決跨網(wǎng)帶寬小或不穩(wěn)定的情況。

需要備援時：多WAN線路的另一個優(yōu)點是提供備援功能。一個常見的情況是有些地區(qū)運營商會增送光纖用戶ADSL線路，這時就可以光纖配合ADSL作備援，在前者發(fā)生故障時，以ADSL先頂著用。有的用戶則希望用不同運營商的線路，這樣在A運營商線路或機房發(fā)生問題時，可以B運營商線路替代。對于某些行業(yè)，例如媒體行業(yè)，需要隨時可以上網(wǎng)，這個功能就顯得尢為重要。

AD帶寬不足時：一般企業(yè)用ADSL來的多，根據(jù)統(tǒng)計顯示中小企業(yè)寬帶用戶增加最多的就是采用ADSL上網(wǎng)。但有些地區(qū)提供的ADSL相對帶寬顯得較小，例如64K/64K的線路，對于企業(yè)應(yīng)用顯然不足，不過申請光纖又比幾條ADSL還來得貴，在這種情況下，利用多WAN路由器匯聚多條ADSL線路，不失為一可行又省錢的方法。

由于廣域網(wǎng)端為企業(yè)上網(wǎng)唯一的路線，因此對于企業(yè)上網(wǎng)有決定性的重要。Qno俠諾的市場調(diào)查顯示，現(xiàn)階段很多企業(yè)對于無線寬帶接入，例如3G或是WiMax都表示了相當(dāng)?shù)呐d趣，希望能用無線接入作為有線接入的輔助，這或多或少也代表了企業(yè)對于廣域網(wǎng)端接入的重視及期望。

二、局域網(wǎng)端

局域網(wǎng)端則是對內(nèi)接到企業(yè)用戶的線路，有些路由器本身有局域網(wǎng)端口，可下接交換機；有的網(wǎng)管則會將路由器先接到骨干交換機，再向下接到一般的交換機。以上這兩種作法均可，后者適合較大的吞吐量的應(yīng)用情況，一般的企業(yè)應(yīng)用，路由器的局域端口是可以隨著帶寬轉(zhuǎn)發(fā)的。因此在硬件配置，這是較為簡單的。

Qno俠諾技術(shù)服務(wù)人員的經(jīng)驗指出，要進行一個好的安全網(wǎng)絡(luò)的配置，IP的管理是頂重要的。IP就是計算機在互聯(lián)網(wǎng)的地址，因此要能有效管理地址，才能預(yù)防攻擊或針對有問題的計算機加以管制。對于網(wǎng)管而言，在IP管理方面要注意的事項，主要為計算機采用固定IP地址、DHCP服務(wù)器發(fā)放固定IP、防止未允許的計算機上網(wǎng)及群組管理等四個重要項目，以下分別進行說明：

計算機采用固定IP地址：計算機采用固定IP地址，是最嚴(yán)密的配置方式。這個作法，必須要求用戶在計算機中手動鍵入IP地址相關(guān)數(shù)據(jù)。這樣做的好處是每臺機器的IP都必須是事先指定，沒有事先指定的IP，則無法上網(wǎng)，外來的用戶或是計算機不能輕易地通過企業(yè)網(wǎng)絡(luò)上網(wǎng)。不過對于用戶而言，必須要設(shè)定固定IP，到其它場合又要重新設(shè)定，對于部份常需要移動的用戶，例如業(yè)務(wù)人員或是高階主管，造成不小的困擾。

DHCP服務(wù)器發(fā)放固定IP：DHCP服務(wù)器的好處是用戶無需在計算機上作任何設(shè)置，對于用戶較方便。但是DHCP的缺點是若不加以管制，隨便一個用戶也能進入企業(yè)的網(wǎng)絡(luò)，也容易發(fā)動對內(nèi)部的攻擊，造成影響。因此對于企業(yè)而言，較好的方式是通過DHCP發(fā)放IP地址，但同時限定計算機能取得的IP地址，以便進行管理。Qno俠諾路由器的IP/MAC綁定功能，即可以根據(jù)網(wǎng)管的配置，認(rèn)明計算機的MAC地址發(fā)放特定的IP，這樣就可針對IP進行管理。同時IP/MAC綁定功能也可防止用戶修改IP，以取得較高權(quán)限問題，錯誤的MAC/IP組合，將會被路由器“封鎖錯誤MAC地址”阻擋，這個功能也可防止ARP攻擊。

防止未允許的計算機上網(wǎng)：對于網(wǎng)管而言，未被管制的計算機，經(jīng)常引發(fā)安全問題。有些用戶會自行帶入中毒的計算機，甚至其它樓層用戶通過無線網(wǎng)絡(luò)進入公司網(wǎng)絡(luò)。這樣的情況，可通過防止未允許的計算機上網(wǎng)來解決。Qno俠諾的IP/MAC綁定功能中，提供“封鎖不在對應(yīng)表列中MAC地址”功能，達到網(wǎng)管未配置的MAC地址完全無法上網(wǎng)的作用。

圖一

圖一：Qno俠諾路由器的IP/MAC綁定功能，網(wǎng)管可將用戶的IP及MAC地址鍵入，這樣可以達到使用DHCP服務(wù)時，每次發(fā)放固定IP給用戶。另外“封鎖錯誤MAC地址”及“封鎖不在對應(yīng)表列中MAC地址”則可提供更進階的功能，提供進一層的安全保障。

群組管理：除了IP/MAC綁定，可有效管制用戶外，另外適當(dāng)采用群組的功能，也能更方便的對用戶加以管理。例如Qno俠諾提供的IP群組功能，就能將不同的IP用戶設(shè)為不同群組，例如企業(yè)高階主管設(shè)為一組、業(yè)務(wù)部門設(shè)為一組、內(nèi)部行政人員設(shè)為一組。不同群組的用戶，適用不同的管制權(quán)限或是帶寬管理原則，這個功能可以大幅簡化管理工作，也可避免管制時出現(xiàn)漏網(wǎng)之魚的現(xiàn)象。

圖二

圖二：IP群組功能，可將不同IP用戶分類為不同群組，并加以命名，通過群組的管理，一次達到全面性的管制功能。也可避免因為配置的漏失，而產(chǎn)生安全的漏洞。

三、內(nèi)部建置公開服務(wù)器

以前，或許只有較大的企業(yè)才會設(shè)置公開的服務(wù)器，讓外部的用戶存取。但是信息化的普及讓中小企業(yè)也可能架設(shè)不同的公開服務(wù)器給外部的用戶。例如圖文件交換、技術(shù)更新信息、報告繳交等都可通過架設(shè)公開服務(wù)器的方式達成。

企業(yè)要提供公開的服務(wù)，必須要有一個固定的地址讓互聯(lián)網(wǎng)用戶建立在服務(wù)器地址欄。一般的方式是使用IP地址或是域名來作為辨別，但是這兩種方法對于中小企業(yè)都較為昂貴，每個月的費用較高。還好DDNS的出現(xiàn)，可允許企業(yè)用動態(tài)IP，即使使用ADSL取得動態(tài)IP，也可讓用戶以記憶域名的方式來存取服務(wù)器。Qno俠諾也提了動態(tài)域名DDNS的服務(wù)給企業(yè)用戶，現(xiàn)正進行最后階段的測試工作，將于近日內(nèi)開放給Qno俠諾的用戶，請讀者拭目以待。

以下針對不同的需要，說明內(nèi)部建置公開服務(wù)器的配置，主要分為有固定公網(wǎng)IP、提供一個公開服務(wù)器及提供多個公開服務(wù)器等三種情況說明：

有一個或多個固定公網(wǎng)IP，相對較高等級的安全性：若有多個固定IP，又想將服務(wù)器隔離到外網(wǎng)，得到最高的安全性，則可透過Qno俠諾路由器的硬件DMZ端口，連接到一個或多個服務(wù)器，這樣完全隔離，外部用戶網(wǎng)絡(luò)封包完全不會進入內(nèi)網(wǎng)，可得到最高的安全性。這種應(yīng)用最安全，但是筆者發(fā)現(xiàn)對于網(wǎng)管來說也是最不熟悉的。

有一個或多個固定公網(wǎng)IP，允許以內(nèi)部服務(wù)器向外公開：有些應(yīng)用希望服務(wù)器能很方便地被內(nèi)網(wǎng)及外網(wǎng)的用戶存取，而又有固定公網(wǎng)IP可用時，則可采用One to one NAT的功能，將內(nèi)網(wǎng)服務(wù)器與公網(wǎng)IP產(chǎn)生對應(yīng)關(guān)系，這樣這個服務(wù)器對于外網(wǎng)用戶，就像公網(wǎng)服務(wù)器，而對內(nèi)網(wǎng)用戶，則像內(nèi)網(wǎng)服務(wù)器一般。這種配置相當(dāng)方便，故十分普及，但由于沒有適當(dāng)?shù)母綦x，因此需要作一些帶寬或是限制的防火墻設(shè)定，以增加安全性。

使用DDNS提供多個公開服務(wù)器，需要較高安全性：企業(yè)若采用ADSL上網(wǎng)，則往往沒有固定IP使用，必須申請動態(tài)域名服務(wù)。Qno俠諾用戶可向俠諾進行申請相關(guān)服務(wù)。虛擬服務(wù)器一次開放限定網(wǎng)絡(luò)端口，因此對于不正常的端口要求，可以不予理會，相對安全性也較高。這適合特定的服務(wù)器端口使用。采用虛擬服務(wù)器功能技術(shù)上，可以開放內(nèi)部多個服務(wù)器。

圖三

圖三：虛擬服務(wù)器是以網(wǎng)絡(luò)服務(wù)端口對應(yīng)的方式，開放到內(nèi)部的服務(wù)器上，由于只開放有限的端口，因此可得到較高的安全性。

使用DDNS配合動態(tài)IP提供一個不特定端口公開服務(wù)器，安全性要求低：有些應(yīng)用并沒有特定端口，服務(wù)器會依應(yīng)用的需要自行和客戶端軟件決定溝通端口，這時就不能用虛擬服務(wù)器。典型的例子是視頻監(jiān)控，或遠程數(shù)碼攝像頭，大多采用特殊的端口，這時只好把所有端口服務(wù)的要求，通過“內(nèi)部DMZ服務(wù)器”功能，轉(zhuǎn)到該服務(wù)器去。這個功能是軟件DMZ，不用連接到實體的DMZ口，而是指向一部內(nèi)部服務(wù)器。但由于所有端口開放，安全性也較低，建議要設(shè)置對應(yīng)的防火墻管制規(guī)則才好。這個功能一個WAN口只能提供一個服務(wù)器使用。

圖四

圖四：DMZ服務(wù)器適合網(wǎng)絡(luò)攝像頭等，不確定端口的應(yīng)用，但相對安全必須作對應(yīng)的防火墻配置。

以上針對廣域網(wǎng)、局域網(wǎng)及開放服務(wù)器三方面，對中小企業(yè)安全路由器的功能，常遇到的一些問題，作了初步的介紹。相信對于企業(yè)網(wǎng)管，有相當(dāng)?shù)膸椭?。后續(xù)，我們還會根據(jù)用戶需求，來談?wù)勚行∑髽I(yè)安全路由器“配置及管理”相關(guān)的功能。

第二篇：教學(xué)—路由器基本配置命令

1、路由器模式的轉(zhuǎn)換：

用戶模式： router> 權(quán)限低，只能查看，輸入“enable ”命令進入到特權(quán)模式

特權(quán)模式： router#

權(quán)限高，輸入

“configure terminal” 命令進入到全局模式

全局模式（通配模式）：router(config)#

具體配置模式：router(config-if)#

2、查看的命令： show ******

router# show interface查看端口

router# show interface Ethernet 0查看具體端口

3、在路由器里有兩種配置文件：

1）running-config:當(dāng)前運行的配置文件 2）startup-config：啟動配置文件

查看配置文件：show running-config

show startup-config

copy running-config startup-config

4、改路由器的名字：在 全局模式下

router(config)# hostname 路由器的名字

5、設(shè)置路由器的登陸消息：在全局模式下

router(config)# banner motd #

回車 在此輸入消息的內(nèi)容 #

6、命令：

Router(config)# ip address

例如：配置以太網(wǎng)口

//以Router1為例 命令：

R1# config t

R1(config)#interface Ethernet 0

R1(config-if)# ip address 192.168.1.1 255.255.255.0 //配置以太網(wǎng)口 R1(config-if)# no shutdown

// 啟用該以太網(wǎng)口

7、CDP協(xié)議：

1)R1#show cdp interface

//查看cdp接口

2)R1#show cdp neighbors(details)//查看cdp鄰居 3)R1(config)#cdp run

//激活cdp 4)R1(config)#no cdp run

//禁用cdp 5)R1(config)#int e0

//進入到接口

6)R1(config-if)#cdp enable

//激活 e0 的 cdp 7)R1(config-if)#no cdp enable

//禁用 e0 的cdp

8、TFTP服務(wù)器的配置

配置路由器： R1#config t R1(config)#int e0

//配置路由器的接口地址 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#no shutdown R1#ping 192.168.0.1 配置PC：

IP地址：192.168.0.2 網(wǎng)關(guān)：192.168.0.1 測試：ping 192.168.0.1 繼續(xù)配置路由器：

R1#copy running-config startup-config R1#copy startup-config tftp R1#erase startup-config R1# copy tftp startup-config R1#show startup-config

9、路由器口令的設(shè)置：

1）控制臺口令： R1#config terminal R1(config)#line con 0 R1(config-line)#login R1(config-line)#password 密碼

2）enable 口令 R1#config terminal R1(config)#enable password 密碼

3）遠程登陸口令 R1#config terminal R1(config)#line vty 0 4 R1(config-line)#login R1(config-line)#password 密碼

10、遠程登陸：從一臺計算機登陸到遠端的另一臺計算機，使用另一臺計算機就像使用自己的計算機一樣。

命令：telnet

11、注：配置路由器的串口要區(qū)分是DCE口還是 DTE口。例如觀察s0哪種接口，可以在特權(quán)模式下輸入命令：show controller s0

12、時鐘頻率的配置：

R1(config)#int s0

//進入到DCE端

R1(config-if)#clock rate 56000 //配置時鐘頻率，啟動了串行線上的串行協(xié)議

13、查看路由器的路由表

R1#show ip route

//查看路由表

14、靜態(tài)路由的配置

在全局模式下：

ip route network

mask < next-hop address>

命令

目標(biāo)網(wǎng)絡(luò)

子網(wǎng)掩碼

下一跳 對R1來說：

Router1(config)# ip route 192.168.4.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.5.0 255.255.255.0 192.168.2.1 Router1(config)# ip route 192.168.3.0 255.255.255.0 192.168.2.1 對R2來說：

Router2(config)# ip route 192.168.5.0 255.255.255.0 192.168.4.2 Router2(config)# ip route 192.168.1.0 255.255.255.0 192.168.2.2 對R3來說：

Router3(config)# ip route 192.168.1.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.2.0 255.255.255.0 192.168.4.1 Router3(config)# ip route 192.168.3.0 255.255.255.0 192.168.4.1

Router3(config)#ip host 路由器的名字

路由器的IP地址（e0）

15、動態(tài)路由的配置*(RIP)r1(config)#router rip r1(config-router)#network 鄰居的網(wǎng)絡(luò)號

16、動態(tài)路由的配置*(IGRP)r1(config)#router igrp AS號

r1(config-router)#network 鄰居的網(wǎng)絡(luò)號

17、查看路由協(xié)議和路由表

router#show ip protocol

//查看路由協(xié)議 router#show ip route

//查看路由表

18、VLAN的配置

1、在1900上的配置

Switch_A#show vlan-membership

//查看VLAN信息

在交換機中默認(rèn)存在一個VLAN 號碼為1，叫VLAN 1，不能刪除，并且所有的端口都默認(rèn)在這個VLAN中。Switch_A#show vlan 號碼 產(chǎn)生VLAN的命令

Switch_A#config terminal

//進入到全局模式 Switch_A(config)#vlan 號碼 name 名字 把端口分配VLAN：

Switch_A(config)#interface 某端口

Switch_A(config-if)#vlan-membership static 號碼 Switch_A(config)#interface fa0/26

Switch_A(config-if)#trunk on

//默認(rèn)使用ISL封裝寫

2、在2900上的配置 Switch_A#vlan database Switch_A(vlan)#vlan 號碼 name 名字 Switch_A(config)#interface某端口

Switch_A(config-if)#switchport mode access Switch_A(config-if)# switchport access vlan 號碼 配置TRUNK Switch_A(config)#interface fastethernet Switch_A(config-if)# switchport mode trunk Switch_A(config-if)# switchport trunk encapsulation dot1q

3、ROUTER上的配置 Router(config)#int fa0/0 Router(config-if)#no shut Router(config-if)#int fa0/0.1 Router(config-subif)#ip add 192.168.1.1 255.255.255.0 Router(config-subif)#encapsulation isl 10 Router(config-if)#int fa0/0.2 Router(config-subif)#ip add 192.168.2.1 255.255.255.0 Router(config-subif)#encapsulation isl 20

第三篇：路由器基本配置及IPv4靜態(tài)路由器實驗

路由器基本配置及IPv4靜態(tài)路由器

1.實驗過程

路由器的基本配置：

1.初始化

2.配置控制臺基本信息

3.配置遠程登陸信息

4.配置特權(quán)密碼及加密

5.配置接口信息

6.保存配置

7.驗證路由器版本信息

8.查看路由器當(dāng)前配置信息

9.查看路由器啟動配置文件

10.查看接口信息

11.查看串行接口信息

12.查看接口三層信息

13.查看所有三層接口簡要信息

14.過濾——Section

15.過濾——Include

16.過濾——Exclude

17.過濾——Begin

18.驗證SSH功能

IPv4靜態(tài)路由器：

1.配置路由器

2.查看路由表

3.連通性測試

4.修改靜態(tài)路由配置

5.查看路由表中靜態(tài)路由條目

6.驗證連通性

2.實驗結(jié)果及分析

第一部分

第二部分

連通性

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.3.3, timeout is 2 seconds:

??！!

Success rate is 100 percent(5/5), round-trip min/avg/max = 63/72/78 ms

3.存在的問題及解決方法

開始時對操作過程并不了解，只是跟著老師提供的材料練習(xí)但還是有不會的操作的地方，但詢問同學(xué)觀看同學(xué)操作就解決問題并掌握了。

4.實驗總結(jié)

通過本次實驗我認(rèn)識了Packet Tracer的操作界面并且熟練掌握了軟件的使用方法，能對路由器實現(xiàn)基本的配置，并掌握IPv4靜態(tài)路由器的概念及配置方法。

第四篇：典型路由器實驗配置文檔

典型路由器實驗配置文檔

目錄

一，DHCP中繼代理配置實驗案例(多個DHCP服務(wù)器).............................3 二，IPsecVPN穿越NAT實例配置..............................................5 三，雙PPPOE線路實驗(神碼)..................................................9 四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務(wù)器配置..............................................24 七，總分部之間IPsecVPN對接................................................29 一，DHCP中繼代理配置實驗案例(多個DHCP服務(wù)器)1，需求描述

如果DHCP客戶機與DHCP服務(wù)器在同一個物理網(wǎng)段，則客戶機可以正確地獲得動態(tài)分配的ip地址。如果不在同一個物理網(wǎng)段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個物理子網(wǎng)的DHCP客戶機，而且一個網(wǎng)絡(luò)中有可能存在多個DHCP服務(wù)器作為冗余備份。2，拓?fù)鋱D

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)4，配置驗證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項

(1)必須開啟DHCP服務(wù) service dhcp(2)客戶端獲取一個地址后，廣播發(fā)送Request報文包含此地址的DHCP服務(wù)器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費。

二，IPsecVPN穿越NAT實例配置

1，需求描述

IPSec協(xié)議的主要目標(biāo)是保護IP數(shù)據(jù)包的完整性，這意味著IPSec會禁止任何對數(shù)據(jù)包的修改。但是NAT處理過程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號才能正常工作的。所以，如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過了ipsec的處理，當(dāng)這些數(shù)據(jù)包經(jīng)過NAT設(shè)備時，包內(nèi)容被NAT設(shè)備所改動，修 改后的數(shù)據(jù)包到達目的地主機后其解密或完整性認(rèn)證處理就會失敗，于是這個數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無論傳輸模式還是隧道模式，AH都會認(rèn)證整個包 頭，不同于ESP 的是，AH 還會認(rèn)證位于AH頭前的新IP頭，當(dāng)NAT修改了IP 頭之后，IPSec就會認(rèn)為這是對數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數(shù)據(jù)時，所使用的數(shù)據(jù)是整個數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對這些數(shù)據(jù)作整合，計算出一個值，這個值是唯一的，即只有相同的數(shù)據(jù)，才可能計算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時，就不符合這個值了。這時，這個數(shù)據(jù)包就被破壞了。而ESP并不保護IP包頭，ESP保護的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容，因此，如何NAT只是轉(zhuǎn)換IP的話，那就不會影響ESP的計算。但是如果是使用PAT的話，這個數(shù)據(jù)包仍然會受到破壞。

所以，在NAT網(wǎng)絡(luò)中，只能使用IPSec的ESP認(rèn)證加密方法，不能用AH。但是也是有辦法解決這個缺陷的，不能修改受ESP保護的TCP／UDP，那就再加一個UDP報頭。解決方案：NAT穿越 2，拓?fù)鋱D

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗證

R1#f0/0上抓包

ISAKMP報文

ESP報文

R2#f1/0上抓包

ISAKMP報文

ESP報文

5，注意事項

(1)R1與R3上的對端地址均為公網(wǎng)地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時要變換IP地址和端口，從而導(dǎo)致對方認(rèn)證失敗，所以應(yīng)該保證變換后的IP地址和端口和對端一致。

三，雙PPPOE線路實驗(神碼)1.需求描述

現(xiàn)實網(wǎng)絡(luò)中有很多企業(yè)和機構(gòu)都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(ADSL寬帶接入方式)來實現(xiàn)對每個接入用戶的控制和計費。2.拓?fù)鋱D

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請求撥號

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會話階段)ppp chap hostname DCN //chap認(rèn)證用戶名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN

peer default ip address pool pppoe //給撥號上來的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項

（1），pppoe-client配置虛擬通道時，最大傳輸單元為1492(默認(rèn))，ip地址為自協(xié)商，ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認(rèn)證方式為任意)。

（2），pppoe-client配置vpdn時，先啟用vpdn，創(chuàng)建vpdn組，請求撥號，應(yīng)用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時注意配置分配給客戶端的地址池，開啟本地ppp認(rèn)證，配置本地認(rèn)證用戶名和密碼。

（5），pppoe-server配置虛擬模版時，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網(wǎng)段，但不包含在地址池里)，ppp認(rèn)證方式為chap或pap，認(rèn)證的用戶名和密碼，給撥號上來的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時，先啟用vpdn，創(chuàng)建vpdn組，允許撥號，應(yīng)用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器

1，需求描述

有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng)，需要讓在外網(wǎng)出差的用戶撥上VPN后能訪問內(nèi)網(wǎng)部分資源(如WEB服務(wù)器，辦公系統(tǒng)等)。2，拓?fù)鋱D

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認(rèn)證!aaa authentication login default none //無認(rèn)證登錄 aaa authentication enable default none //無enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項

(1)，配置ipsecvpn時，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉(zhuǎn)發(fā)時先查找路由從接口轉(zhuǎn)發(fā)時再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（IGP）是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò))，它可以通過不斷的交換信息讓路由器動態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化，這些信息包括每個路由器可以到達哪些網(wǎng)絡(luò)，這些網(wǎng)絡(luò)有多遠等。RIP 屬于網(wǎng)絡(luò)層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)

雖然RIP仍然經(jīng)常被使用，但大多數(shù)人認(rèn)為它將會而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議，也得到了一些使用。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes??！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項

（1），neighbor 為對端ip（2），在接口下 ip rip 1 enable 則宣告了這個接口的地址所在的網(wǎng)段，如果這個接口有兩個地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個網(wǎng)段 如果一個接口分兩個邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個網(wǎng)段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務(wù)器配置

1，需求描述

L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網(wǎng)絡(luò)數(shù)據(jù)流進行加密。不過也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶名

ppp chap password 0 admin //認(rèn)證密碼

peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開啟虛擬專用撥號!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強制進行CHAP驗證

lcp-renegotiation //重新進行LCP協(xié)商!PC上配置

網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN

4，驗證配置

撥號成功

5，注意事項

(1)，L2TP服務(wù)器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強制進行CHAP驗證，lcp-renegotiation //重新進行LCP協(xié)商(3)，PC客戶端上配置可選加密，勾選三種認(rèn)證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對接

1，需求描述

導(dǎo)入IPSEC協(xié)議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設(shè)計，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進了完整的安全機制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個原因，是因為Internet迅速發(fā)展，接入越來越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實現(xiàn)異地網(wǎng)絡(luò)的互通?？偛亢头植恐g通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。2，拓?fù)湫枨?/p>

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項

(1)，思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略，只有到達對端私網(wǎng)的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網(wǎng)路由的可達性，但是只有內(nèi)網(wǎng)有感興趣流量時才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。

第五篇：交換機路由器配置總結(jié)

交換機和路由器配置過程總結(jié)

作為網(wǎng)絡(luò)中重要的硬件設(shè)備，隨著網(wǎng)絡(luò)融入我們的日常生活，交換機和路由器也逐漸被人們所熟悉。關(guān)于交換機、路由器的配置，計算機和網(wǎng)絡(luò)專業(yè)的學(xué)生理應(yīng)能夠操作熟練。通過這次網(wǎng)絡(luò)工程師培訓(xùn)，借助Packet Tracer 5.0仿真軟件學(xué)習(xí)網(wǎng)絡(luò)配置、拓?fù)鋱D設(shè)計等，我對交換機、路由器配置有了深刻的了解，現(xiàn)將配置過程小結(jié)如下。

第一部分 交換機配置

一、概述 一層、二層交換機工作在數(shù)據(jù)鏈路層，三層交換機工作在網(wǎng)絡(luò)層，最常見的是以太網(wǎng)交換機。交換機一般具有用戶模式、配置模式、特權(quán)模式、全局配置模式等模式。

二、基本配置命令(CISCO)Switch >enable 進入特權(quán)模式

Switch #config terminal 進入全局配置模式 Switch(config)#hostname 設(shè)置交換機的主機名

Switch(config)#enable password 進入特權(quán)模式的密碼（明文形式保存）Switch(config)#enable secret 加密密碼（加密形式保存）（優(yōu)先）Switch(config)#ip default-gateway 配置交換機網(wǎng)關(guān)

Switch(config)#show mac-address-table 查看MAC地址

Switch(config)logging synchronous 阻止控制臺信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關(guān)閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會話退出

使用Telnet遠程式管理

Switch(config)#line vty 0 4 進入虛擬終端 Switch(config-line)# password 設(shè)置登錄口令 Switch(config-line)# login 要求口令驗證

控制臺口令

switch(config)#line console 0 進入控制臺口 switch(config-line)# password xx switch(config-line)# 設(shè)置登錄口令login 允許登錄 恢復(fù)出廠配置

Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置

Switch#vlan database 進去vlan配置模式 Switch(vlan)#vlan 號碼 name 名稱 創(chuàng)建vlan及vlan名 Switch(vlan)#vlan號碼 mtu數(shù)值 修改MTU大小

Switch(vlan)#exit 更新vlan數(shù)據(jù)并推出 Switch#show vlan 查看驗證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口

Switch#config terminal 進入全局配置 Switch(config)#interface fastethernet0/1 進入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號 把端口分給一個vlan Switch(config-if)#switchport mode trunk 設(shè)置為干線

Switch(config-if)#switchport trunk encapsulation dot1q 設(shè)置vlan 中繼協(xié)議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1，2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1，2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1，2 ；從Trunk中關(guān)閉局部修剪

查看vlan信息 Switch#show vlan brief 所有vlan信息

查看vlan信息 Switch#show vlan id 某個vlan信息 注:Switch#show int trunk 查看trunk協(xié)議

注：可以使用default interface interface-id 還原接口到默認(rèn)配置狀態(tài) Trunk

開啟（no）——將端口設(shè)置為永久中繼模式

關(guān)閉（off）——將端口設(shè)置為永久非中繼模式，并且將鏈路轉(zhuǎn)變?yōu)榉侵欣^鏈路 企望（desirable）——讓端口主動試圖將鏈路轉(zhuǎn)換成中繼鏈路 自動（auto）——使該端口愿意將鏈路變成中繼鏈路 交換機顯示命令：

switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當(dāng)前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存

switch#show version 查看當(dāng)前版本信息

switch#show cdp cisco設(shè)備發(fā)現(xiàn)協(xié)議（可以查看聆接設(shè)備）switch#show cdp traffic 杳看接收和發(fā)送的cdp包統(tǒng)計信息 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

switch#show interface f0/1 switchport 查看有關(guān)switchport的配置 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

三、模擬配置(一個實例)

圖一：PC機IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置截圖

圖二：模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖三：全局模式下對交換機進行配置

圖四：查看VLAN當(dāng)前配置信息

第二部分 路由器配置

一、環(huán)境搭建（借鑒網(wǎng)上的材料，通過自己配置也實現(xiàn)了同樣的功能）

添加一個模塊化的路由器，單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器，在彈出的配置窗口上添加一些模塊：

圖五

默認(rèn)情況下，路由器的電源是打開的，添加模塊時需要關(guān)閉路由器的電源，單擊圖一箭頭所指的電源開關(guān)，將其關(guān)閉，路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。

圖六 添加所需要的模塊

在“MODULES”下尋找所需要的模塊，選中某個模塊時會在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。

圖八 添加一計算機，其RS-232與路由器的Console端口相連

圖九 用計算機的終端連接路由器

圖十 實驗環(huán)境搭建完成

二、配置單個路由器

路由器的幾種模式：User mode(用戶模式)、Privileged mode（特權(quán)模式）、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode（路由配置模式）。每種模式對應(yīng)不同的提示符。

圖十一 幾種配置命令提示符和配置路由器的名字

圖十二 通過Console端口登錄到路由器需要輸入密碼

圖十三 顯示信息的命令

通過模擬交換機和路由器的配置，進一步理解了它們的工作原理，對網(wǎng)絡(luò)拓?fù)浼軜?gòu)有了清晰的認(rèn)識，為以后的網(wǎng)絡(luò)知識學(xué)習(xí)打下了基礎(chǔ)。謝謝彭老師！