第一篇：配置企業千兆路由器教程

全千兆路由器從2011年開始逐漸在市場中普及，成為企業選擇寬帶路由器的首選品種，千兆路由器不僅可以滿足更高的外網接入帶寬要求，同時在帶機數量、網絡數據的轉發性能、抗攻擊能力上均有出色的表現，作為網絡出口的路由器，具備千兆的特性，使得網絡不再具有瓶頸。

對于眾多企業或者公司的很多網管、或者負責維護網絡的人來說，全千兆路由器仍然比較陌生，這里我們就來介紹下千兆路由器該如何配置，達到聯網、網速優化、提高網絡安全、深度管理的目的。

我們以業界中口碑較好的netcore磊科NR285G這塊路由器為例，說明如何對全千兆路由器進行配置，以發揮其卓越的性能和功效：

一 連接網絡配置

拿到路由器，我們首先要做的是物理連接。

如果你現在網絡已有路由器正在使用，則不須將新路由器急著換上，可以先做好基礎配置，然后換上即可使用，不會影響其他同事的上網。

千兆路由器要發揮效能，首先要注意的是，端口連接的網線的質量。建議網線質量是在超5類線標準之上，如果網線質量偏低，端口自適應為百兆甚至十兆，則路由器的性能得不到發揮。

連接好電腦的網線，netcore磊科的路由器具有自動分配網址的功能，您只需將您網卡的IP地址設置保留在自動獲取狀態，即可獲得IP地址。下面就可以進行配置了。

首先，我們當然要做好最基礎的配置，讓路由器能夠上網。

在瀏覽器輸入192.168.1.1，用戶名：guest，密碼：guest，進入如下路由器配置界面：

多數正規廠家的路由器都有快速配置選項，一般設置好快速配置，就能保證電腦可以共享上網了。雙擊快速配置圖標，進行連接網絡設置。

然后點擊下一步進入設置向導。

此處的IP地址192.168.1.1就是您剛才訪問路由器的地址，如果您想使用不同的網段或者網址，則可在此進行修改，您不想改變什么則可直接點擊下一步。

這里假定您企業接入的是10M光纖。您可以同時更改默認帶寬控制來啟用QoS功能。這里假設您公司里面有100臺電腦，我們同時設置每臺主機的默認帶寬分別為100KB/s 與200KB/s。當讓這里您也可以不設置帶寬控制，以后在進行，詳細設置將在后文QoS設置中提及。

下面則是WAN口設置。

這里我們選擇靜態IP接入方式，企業光纖或者專線往往都是這種方式。ADSL或者PON多數使用PPPoE方式，具體方式，需要您同運營商確認一下。

如果是靜態IP接入方式，則如上圖依次輸入從運營商處獲得的靜態IP地址，默認網關及其相應地區的主/從DNS(運營商會提供這些信息，如果是PPPoE方式，運營商則會提供帳號和密碼).連接網絡的設置完畢，請在系統狀態〉〉接口設置〉〉接口模式查看您的網絡是否為千兆：

如上圖，連接表示網絡連接好了;同時還可以看到1000M字樣，如果顯示的100M，請確認網線是否為超五類線，對端設備是否支持千兆;也可以通過觀看NR285G的RJ45LED燈，綠燈亮表示是百兆，黃燈亮則表示1000M.如果不是千兆，請確認網線沒有問題，或者對端設備是否千兆設備，如果對端設備不是千兆設備，也屬正?，F象。

設備配置安裝好之后，您就可以正常使用了?，F在您就可以隨便打開一個網頁看看能否上網，如果不行，請檢查設置是否正確和線路是否正常。

二 網速優化配置

如果您是家庭用戶，進行以上設置當然就可以使用了，但是企業使用除了考慮一般上網之外，還需要保證大家上網辦公的質量。因此設置QoS就非常有必要了。

通過配置QoS(Quality of Service)功能，以保證各種網絡應用的流暢進行;解決在多人上網時，員工上網很卡的問題：

如圖輸入外網線路帶寬信息，并且啟用智能QoS, 以保證各種網絡應用的流暢進行：

默認主機控制帶寬：設置上行為100KB/s, 下行為200KB/s，規定每臺主機默認帶寬，一般都夠用，當然您可以更具您的需要進行更改，建議平均每臺限速≤總帶寬/總上網電腦×3，不然使用效果不佳;

默認主機彈性帶寬：將上行與下行都勾選，可以將剩余帶寬平均分配給需要帶寬的主機;

彈性帶寬占用率：此時設置上行與下行都為80%，可以提高剩余帶寬利用率;

突發流量：同樣將上行與下行都勾選，這樣可以提高網頁、視頻的打開速度。

同時通過啟用智能優先級，可以優先轉發響應時間要求短的小包，比如游戲。

進行以上設置之后，您企業內部的上網質量就有所保證了，可以避免員工時常反應網速慢，上網卡的煩惱。

三 網絡安全設置

企業上網，流轉的都是商業數據，安全非常重要。這里給你介紹幾個小訣竅，解決您網絡安全的后顧之憂。

首先，通過IP/MAC綁定，可以防止陌生電腦接入，同時防止內網ARP攻擊，其配置如下：

如圖選擇禁止未綁定IP/MAC的主機上網，然后點擊增加。

如圖增加張三的電腦MAC地址與IP互相綁定，這樣做的好處，是我們可以一目了然的指導張三的電腦連接情況和使用情況。不好，是這樣設置，須一臺一臺進行，比較麻煩。

提供了一鍵綁定功能，選擇ARP監控。

如上圖，點擊綁定全部可以快速實現在線用戶IP/MAC互綁。

再有，現在黑客盛行，防止攻擊也非常重要，我們可以啟用攻擊防御的相關功能，以達到防止外網DDOS攻擊、ARP內網攻擊等等

做到以上兩步，路由器本身內置的防火墻，我們就筑建立一個高安全的網關;再通過正確使用主機監控等日常工具，可以防患于未然，讓我們的網絡免于安全煩惱。

四 上網行為控制

完成前面三大塊的設置，一般企業上網保證也就完成了，網管也可以高枕無憂了。但是我這里還是劃蛇添足的介紹一些日常使用的功能。因為現在千兆企業路由器的功能已經非常強大，不僅能滿足共享上網，還有很多管理功能可以使用，一旦合理使用這些功能，會讓你不經是網絡、包括企業管理都會有所提升。

為了提高員工上班效率，可以選擇在上班時間內限制如下功能使用：游戲，聊天，P2P，視頻。我們可以先進行一個時間段設置如下：

按照圖示設置上網行為管理的時間段：上班時間。

如圖點擊阻斷全部就可以阻斷所有聊天軟件的使用，或者單獨進行選擇阻斷。

顯然，我們全部阻斷所有的QQ，有使用QQ同客戶聯系的同事就會比較困擾了，老板說不定也不高興呢：)。好在磊科路由器此外還具備QQ黑白名單的功能。

黑名單：未阻斷的情況下，限制登陸的QQ號碼;

白名單：阻斷的情況下，允許登陸的QQ號碼。

多數情況下，我們使用白名單，先登記好工作需要用的QQ號，然后配置白名單，就可以了。

如上圖分別添加QQ黑名單與白名單，MSN白黑名單的設置方法與QQ黑白名單設置方法一致。

同時可以查看內網QQ登陸記錄。

聊天工具限制好了，我們還可以對游戲、P2P、視頻等與工作無關的程序在上班時間進行限制，設置界面如下：

以上設置完成，顯然世界就此清凈了!不過我還有一些有趣的功能介紹呢。比如電子公告功能，可以隨時在內網發布通知。是不是發現用email通知不及時、電話通知太累、QQ群通知有的人收不到呢?用著個通知工具吧：

點擊增加按鈕，增加一條公告信息。

如上圖輸入一則春節放假通知。

如上圖點擊公告設置處的增加，來設置公告的貼出方式。

如上圖設置公告模式、公告時間、公告用戶等參數。

這樣，只要用戶用瀏覽器上網，通知就會自動彈出來了，躲也躲不掉，是不是更有效率呢?

其它還有股票軟件過濾、網址分類管理等功能，實在太多，在此不再一一列舉。

五 后期維護管理

除了配置上面的功能外，一些路由器提供的日常維護工具，也很重要。在網絡正常運行時，我們通常要注意網絡的使用狀態，員工的上下行速度、流量等等，這里就需要主機監控的功能。

上圖顯示了內網的主機數量、總的速度、連接數、流量等等，可以了解到外網帶寬的使用情況。

上圖顯示了內網每一臺主機的連接數、上下行實時速度，總計流量等，可以對這些數據進行排序，只需點擊上方標題，就可進行從大到小或從小到大排序，方便網管找到誰最占用帶寬。

Ping及Tracert工具

這里的Ping的意義是，排除內網電腦、交換機等復雜因素，直接在路由器內部ping外網，簡化網絡環境，更有利于網絡的排錯，Tracert跟蹤路由這一功能道理同樣。

虛擬服務(端口映射)

端口映射是磊科路由器中的一個常見功能，比如有一個遠程視頻監控的一個應用，如果想從外網能實時看到企業內部的監控，就必須通過端口映射，規則可以隨便，IP地址就是內網中監控服務器的地址，外部端口就是從外網訪問時需要附加的端口(可自定義，最好在2000-65534之間)，內部端口是這個程序需要用到的端口。

最后，為了安全起見，設置一個安全的路由器的賬號密碼

總結：介紹就到這里，雖然沒有介紹所有功能的配置使用，但是主要功能都說到了?；九渲谩⒕W速保證配置、安全防御配置、上網行為管理....已經不少了。

相信您看完之后，對如何配置使用手中的千兆企業路由器已經有些心得了，不妨試試看吧!

第二篇：大麥千兆路由器橋接手冊

大麥千兆路由器橋接

手冊

智能路由器事業部

20160201

目錄

目錄.......................................................................................................................................................2

一、配置前的準備工作.................................................................................................................3

二、主路由器設置...........................................................................................................................3

三、從路由器設置...........................................................................................................................4

一、配置前的準備工作

1、準備兩臺千兆路由器，將一臺路由器的SSID設為CB60-2.4G和CB60-5G，將另一臺路由器的SSID設為DB44-2.4G和DB44-5G；

2、將SSID為CB60-2.4G的路由器設為主路由器，主路由器連接網線，設置賬號，主路由器能夠上網。

將SSID為DB44-2.4G的路由器設為從路由器，從路由器只接通電源，不插網線，從路由器此時不能上網。

二、主路由器設置

1、主路由器的兩個SSID先都不設置密碼。

2、點擊“專業版”按鈕，進入專業版界面

3、輸入密碼，此密碼同后臺密碼一致

4、進入WIFI設置界面，設置2.4G橋接，CB60-2.4G的SSID對應wifi0。

點擊“edit”進入編輯界面，界面如下：

修改Mode為Access Point（WDS），如下圖所示。點擊保存。

5、進入WIFI設置界面，設置5G橋接，CB60-5G的SSID對應wifi1。

點擊“edit”進入編輯界面，界面如下：

修改Mode為Access Point（WDS），如下圖所示。點擊保存并提交。

6、主路由器設置完畢。

三、從路由器設置

1、從路由器的兩個SSID不需要設置密碼。

2、連接從路由器的任意一個SSID，進入wifi設置界面

3、配置2.4G橋接。點擊wifi0的“Add”按鈕，進入如下界面，修改ESSID為主路由器的SSID（CB60-2.4G），Mode修改為“Client（WDS）”,Network選擇“create rep”；然后點擊“Save”進行保存。（以文字說明為主）

點擊wifi0中DB44-2.4G的“Edit”按鈕，進入如下界面，Mode為Access Point，2.4G不要做修改。將Network選為rep；然后點擊“Save”進行保存。

4、配置5G橋接。點擊wifi1的“Add”按鈕，進入如下界面，修改ESSID為主路由器的SSID（CB60-5G），Mode修改為“Client（WDS）”,Network選擇“create rep2”；然后點擊“Save”進行保存

點擊wifi1中DB44-5G的“Edit”按鈕，進入如下界面，修改Mode為Access Point(WDS)，5G要做修改。將Network選為rep2；然后點擊“Save&Apply”進行保存并提交。

四、主、從路由器配置密碼

1、主路由器設置密碼

連接主路由器的SSID，設置2.4G和5G密碼，如下圖所示

2、從路由器設置密碼

主路由器設置密碼后，從路由器的SSID不會再顯示，這時需要用有線的方式連接從路由器。打開如下界面分別設置2.4G的密碼

五、問題說明

1、橋接配置完成后，路由器wifi指示燈顯示不正常。

從路由器的兩個ESSID設置錯誤，需要和主路由器的SSID完全一致。

2、橋接配置完成后，無法找到從路由器的SSID。

從路由器的密碼設置錯誤，需要和主路由器的保持一致。

從路由器的密碼必須和主路由器設置的密碼一致。

第三篇：典型路由器實驗配置文檔

典型路由器實驗配置文檔

目錄

一，DHCP中繼代理配置實驗案例(多個DHCP服務器).............................3 二，IPsecVPN穿越NAT實例配置..............................................5 三，雙PPPOE線路實驗(神碼)..................................................9 四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務器配置..............................................24 七，總分部之間IPsecVPN對接................................................29 一，DHCP中繼代理配置實驗案例(多個DHCP服務器)1，需求描述

如果DHCP客戶機與DHCP服務器在同一個物理網段，則客戶機可以正確地獲得動態分配的ip地址。如果不在同一個物理網段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個物理的網段都要有DHCP服務器的必要,它可以傳遞消息到不在同一個物理子網的DHCP服務器，也可以將服務器的消息傳回給不在同一個物理子網的DHCP客戶機，而且一個網絡中有可能存在多個DHCP服務器作為冗余備份。2，拓撲圖

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務，sh run 看不到)4，配置驗證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項

(1)必須開啟DHCP服務 service dhcp(2)客戶端獲取一個地址后，廣播發送Request報文包含此地址的DHCP服務器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費。

二，IPsecVPN穿越NAT實例配置

1，需求描述

IPSec協議的主要目標是保護IP數據包的完整性，這意味著IPSec會禁止任何對數據包的修改。但是NAT處理過程是需要修改IP數據包的IP 包頭、端口號才能正常工作的。所以，如果從我們的網關出去的數據包經過了ipsec的處理，當這些數據包經過NAT設備時，包內容被NAT設備所改動，修 改后的數據包到達目的地主機后其解密或完整性認證處理就會失敗，于是這個數據包被認為是非法數據而丟棄。無論傳輸模式還是隧道模式，AH都會認證整個包 頭，不同于ESP 的是，AH 還會認證位于AH頭前的新IP頭，當NAT修改了IP 頭之后，IPSec就會認為這是對數以完整性的破壞，從而丟棄數據包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數據時，所使用的數據是整個數據包，甚至是IP包頭的IP地址，也是處理數據的一部分，對這些數據作整合，計算出一個值，這個值是唯一的，即只有相同的數據，才可能計算出相同的值。當NAT設備修改了IP地址時，就不符合這個值了。這時，這個數據包就被破壞了。而ESP并不保護IP包頭，ESP保護的內容是ESP字段到ESP跟蹤字段之間的內容，因此，如何NAT只是轉換IP的話，那就不會影響ESP的計算。但是如果是使用PAT的話，這個數據包仍然會受到破壞。

所以，在NAT網絡中，只能使用IPSec的ESP認證加密方法，不能用AH。但是也是有辦法解決這個缺陷的，不能修改受ESP保護的TCP／UDP，那就再加一個UDP報頭。解決方案：NAT穿越 2，拓撲圖

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗證

R1#f0/0上抓包

ISAKMP報文

ESP報文

R2#f1/0上抓包

ISAKMP報文

ESP報文

5，注意事項

(1)R1與R3上的對端地址均為公網地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時要變換IP地址和端口，從而導致對方認證失敗，所以應該保證變換后的IP地址和端口和對端一致。

三，雙PPPOE線路實驗(神碼)1.需求描述

現實網絡中有很多企業和機構都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(ADSL寬帶接入方式)來實現對每個接入用戶的控制和計費。2.拓撲圖

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協商 no ip directed-broadcast ppp chap hostname DCN //chap認證方式用戶名DCN ppp chap password 0 DCN //chap認證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請求撥號

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認證 username DCN password 0 DCN //本地認證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設置ip地址 no ip directed-broadcast ppp authentication chap //PPP認證為chap認證方式(virtual-tunnel隧道不能配置此參數，否則只能完成發現階段，不能建立會話階段)ppp chap hostname DCN //chap認證用戶名DCN ppp chap password 0 DCN //chap認證密碼DCN

peer default ip address pool pppoe //給撥號上來的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項

（1），pppoe-client配置虛擬通道時，最大傳輸單元為1492(默認)，ip地址為自協商，ppp認證方式為chap和pap(服務器提供的認證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認證方式為任意)。

（2），pppoe-client配置vpdn時，先啟用vpdn，創建vpdn組，請求撥號，應用虛擬隧道，封裝pppoe協議，綁定到物理接口。

（3），pppoe-client配置默認路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時注意配置分配給客戶端的地址池，開啟本地ppp認證，配置本地認證用戶名和密碼。

（5），pppoe-server配置虛擬模版時，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網段，但不包含在地址池里)，ppp認證方式為chap或pap，認證的用戶名和密碼，給撥號上來的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時，先啟用vpdn，創建vpdn組，允許撥號，應用虛擬模版，封裝pppoe協議，綁定到物理接口。

四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器

1，需求描述

有些企業單位將VPN服務器放在內網，需要讓在外網出差的用戶撥上VPN后能訪問內網部分資源(如WEB服務器，辦公系統等)。2，拓撲圖

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉發VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認證!aaa authentication login default none //無認證登錄 aaa authentication enable default none //無enable認證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網關

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉發VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項

(1)，配置ipsecvpn時，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數據路由，數據轉發時先查找路由從接口轉發時再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內部vpn服務器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內部網關協議（IGP）。（IGP）是在內部網絡上使用的路由協議(在少數情形下,也可以用于連接到因特網的網絡)，它可以通過不斷的交換信息讓路由器動態的適應網絡連接的變化，這些信息包括每個路由器可以到達哪些網絡，這些網絡有多遠等。RIP 屬于網絡層協議，并使用UDP作為傳輸協議。(RIP是位于網絡層的)

雖然RIP仍然經常被使用，但大多數人認為它將會而且正在被諸如OSPF和IS-IS這樣的路由協議所取代。當然，我們也看到EIGRP，一種和RIP屬于同一基本協議類(距離矢量路由協議,Distance Vector Routing Protocol)但更具適應性的路由協議，也得到了一些使用。2，拓撲描述

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes?。?---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項

（1），neighbor 為對端ip（2），在接口下 ip rip 1 enable 則宣告了這個接口的地址所在的網段，如果這個接口有兩個地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個網段 如果一個接口分兩個邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個網段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務器配置

1，需求描述

L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。2，拓撲描述

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認證!interface Virtual-template0 //創建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認證方式為chap ppp chap hostname admin //認證用戶名

ppp chap password 0 admin //認證密碼

peer default ip address pool l2tp_pool //調用地址池!vpdn enable //開啟虛擬專用撥號!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協議為l2tp local-name default force-local-chap //強制進行CHAP驗證

lcp-renegotiation //重新進行LCP協商!PC上配置

網絡和共享中心->設置新的連接或網絡->連接到工作區->使用我的Internet連接VPN

4，驗證配置

撥號成功

5，注意事項

(1)，L2TP服務器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強制進行CHAP驗證，lcp-renegotiation //重新進行LCP協商(3)，PC客戶端上配置可選加密，勾選三種認證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對接

1，需求描述

導入IPSEC協議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數據。IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能。另外一個原因，是因為Internet迅速發展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現異地網絡的的互連通。

IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通?？偛亢头植恐g通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。2，拓撲需求

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項

(1)，思科IPsecvpn內網流量先查找路由后匹配策略，只有到達對端私網的路由，才能匹配策略加密封裝。

(2)，隧道協商需要公網路由的可達性，但是只有內網有感興趣流量時才能觸發隧道協商，從而建立隧道，而且需要雙向的觸發。

第四篇：交換機路由器配置總結

交換機和路由器配置過程總結

作為網絡中重要的硬件設備，隨著網絡融入我們的日常生活，交換機和路由器也逐漸被人們所熟悉。關于交換機、路由器的配置，計算機和網絡專業的學生理應能夠操作熟練。通過這次網絡工程師培訓，借助Packet Tracer 5.0仿真軟件學習網絡配置、拓撲圖設計等，我對交換機、路由器配置有了深刻的了解，現將配置過程小結如下。

第一部分 交換機配置

一、概述 一層、二層交換機工作在數據鏈路層，三層交換機工作在網絡層，最常見的是以太網交換機。交換機一般具有用戶模式、配置模式、特權模式、全局配置模式等模式。

二、基本配置命令(CISCO)Switch >enable 進入特權模式

Switch #config terminal 進入全局配置模式 Switch(config)#hostname 設置交換機的主機名

Switch(config)#enable password 進入特權模式的密碼（明文形式保存）Switch(config)#enable secret 加密密碼（加密形式保存）（優先）Switch(config)#ip default-gateway 配置交換機網關

Switch(config)#show mac-address-table 查看MAC地址

Switch(config)logging synchronous 阻止控制臺信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會話退出

使用Telnet遠程式管理

Switch(config)#line vty 0 4 進入虛擬終端 Switch(config-line)# password 設置登錄口令 Switch(config-line)# login 要求口令驗證

控制臺口令

switch(config)#line console 0 進入控制臺口 switch(config-line)# password xx switch(config-line)# 設置登錄口令login 允許登錄 恢復出廠配置

Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置

Switch#vlan database 進去vlan配置模式 Switch(vlan)#vlan 號碼 name 名稱 創建vlan及vlan名 Switch(vlan)#vlan號碼 mtu數值 修改MTU大小

Switch(vlan)#exit 更新vlan數據并推出 Switch#show vlan 查看驗證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口

Switch#config terminal 進入全局配置 Switch(config)#interface fastethernet0/1 進入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號 把端口分給一個vlan Switch(config-if)#switchport mode trunk 設置為干線

Switch(config-if)#switchport trunk encapsulation dot1q 設置vlan 中繼協議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1，2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1，2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1，2 ；從Trunk中關閉局部修剪

查看vlan信息 Switch#show vlan brief 所有vlan信息

查看vlan信息 Switch#show vlan id 某個vlan信息 注:Switch#show int trunk 查看trunk協議

注：可以使用default interface interface-id 還原接口到默認配置狀態 Trunk

開啟（no）——將端口設置為永久中繼模式

關閉（off）——將端口設置為永久非中繼模式，并且將鏈路轉變為非中繼鏈路 企望（desirable）——讓端口主動試圖將鏈路轉換成中繼鏈路 自動（auto）——使該端口愿意將鏈路變成中繼鏈路 交換機顯示命令：

switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存

switch#show version 查看當前版本信息

switch#show cdp cisco設備發現協議（可以查看聆接設備）switch#show cdp traffic 杳看接收和發送的cdp包統計信息 switch#show cdp neighbors 查看與該設備相鄰的cisco設備

switch#show interface f0/1 switchport 查看有關switchport的配置 switch#show cdp neighbors 查看與該設備相鄰的cisco設備

三、模擬配置(一個實例)

圖一：PC機IP地址、子網掩碼、默認網關配置截圖

圖二：模擬網絡拓撲結構圖

圖三：全局模式下對交換機進行配置

圖四：查看VLAN當前配置信息

第二部分 路由器配置

一、環境搭建（借鑒網上的材料，通過自己配置也實現了同樣的功能）

添加一個模塊化的路由器，單擊Packet Tracer 5.0的工作區中剛添加的路由器，在彈出的配置窗口上添加一些模塊：

圖五

默認情況下，路由器的電源是打開的，添加模塊時需要關閉路由器的電源，單擊圖一箭頭所指的電源開關，將其關閉，路由器的電源關閉后綠色的電源指示燈也將變暗。

圖六 添加所需要的模塊

在“MODULES”下尋找所需要的模塊，選中某個模塊時會在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。

圖八 添加一計算機，其RS-232與路由器的Console端口相連

圖九 用計算機的終端連接路由器

圖十 實驗環境搭建完成

二、配置單個路由器

路由器的幾種模式：User mode(用戶模式)、Privileged mode（特權模式）、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode（路由配置模式）。每種模式對應不同的提示符。

圖十一 幾種配置命令提示符和配置路由器的名字

圖十二 通過Console端口登錄到路由器需要輸入密碼

圖十三 顯示信息的命令

通過模擬交換機和路由器的配置，進一步理解了它們的工作原理，對網絡拓撲架構有了清晰的認識，為以后的網絡知識學習打下了基礎。謝謝彭老師！

第五篇：實驗十三 路由器的配置

實驗實驗十三：路由器的基本配置

一、實驗目的

掌握路由器幾種配置方法；

掌握采用console線攬配置路由器的方法 掌握采用Telnet方式配置路由器的方法

熟悉路由器不同命令行操作模式以及各種模式之間的切換 掌握路由的基本配置命令

二、技術原理

1、新建packet tracer拓撲圖。

2、用標準console線纜用于連接計算機的串口和路由器的console口上。在計算機上啟用超級終端，并配置超級終端的參數，是計算機與路由器通過console接口建立連接

3、配置路由器的管理IP地址，并為Telnet用戶配置用戶名和登錄口令。配置計算機的IP地址（與路由器管理IP地址在同一個網段），通過網線將計算機和路由器相連，通過計算機Telnet到路由器上對交換機進行查看。

4、更改路由器的主機名。

5、顯示當前配置信息。

6、顯示歷史命令。

三、實驗背景

1、你是某公司新進的網管，公司要求你熟悉網絡產品，首先要求你登錄路由器，了解、掌握路由器的命令行操作。

2、作為網絡管理員，你第一次在設備機房對路由器進行了初次配置后，希望以后在辦公室或出差時也可以對設備進行遠程管理，現要在路由器上做適當配置

四、實驗設備 硬件：個人電腦

軟件： windows操作系統，packet tracer5.3 Router_2811臺；PC1臺；交叉線；配置線

交叉線：路由器與及計算機相連 路由器與交換機相連 直通線：計算機與交換機相連

五、實驗步驟

Router>en Router#conf t Enter configuration commands, one per line.End with CNTL/Z.Router(config)#hostname r1

// 設置路由器的名稱 r1(config)#enable secret 123456 // 設置特權模式密碼 r1(config)#exit %SYS-5-CONFIG_I: Configured from console by console r1# r1#conf t Enter configuration commands, one per line.End with CNTL/Z.r1(config)#line vty 0 4

//表示配置遠程登錄線路，進入虛擬終端。0~4是遠程登錄的線路編號

r1(config-line)#password 1111

// 設置telnet遠程登錄密碼 r1(config-line)#login

//用于打開登錄認證功能 r1(config-line)#exit r1(config)#int f0/0

// 進入路由器0模塊第0端口 r1(config-if)#ip add 192.168.1.1 255.255.255.0 // 該端口配置相應的IP地址和子網掩碼

r1(config-if)#no shut // 開啟端口

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface FastEthernet0/0, changed state to up r1(config-if)#end r1# %SYS-5-CONFIG_I: Configured from console by console

六、實驗步驟