第一篇:上網(wǎng)行為管理路由器配置-管控配置篇
上網(wǎng)行為管理路由器配置-管控配置篇
互聯(lián)網(wǎng)是信息時(shí)代企業(yè)的生產(chǎn)工具,隨著 Internet在中小企業(yè)的不斷普及,一方面員工上網(wǎng)的條件不斷改善,另一方面因?yàn)槿狈τ行У膽?yīng)用管理,網(wǎng)絡(luò)資源往往得不到合理利用,并給企業(yè)帶來諸多困擾和安全威脅。
上網(wǎng)行為管理路由器應(yīng)用示例
西默上網(wǎng)行為管理路由器是面對(duì)中小型企業(yè),給予專業(yè)網(wǎng)絡(luò)安全平臺(tái),為企業(yè)量身定做的高性價(jià)比上網(wǎng)行為管理設(shè)備。通過 URL 過濾、文件類型過濾、關(guān)鍵字過濾、內(nèi)容檢測等多種方式,徹底防止了色情網(wǎng)站、網(wǎng)絡(luò)游戲、BT 等互聯(lián)網(wǎng)濫用的行為。通過應(yīng)用軟件的過濾,可以禁止員工在工作時(shí)間聊天、播放在線視頻,防止帶寬濫用,保障關(guān)鍵業(yè)務(wù)的開展。通過郵件監(jiān)控可以防止企業(yè)重要機(jī)密泄露。
同時(shí),智能 QOS會(huì)根據(jù)內(nèi)網(wǎng)用戶數(shù)量、上下行帶寬使用比率等參數(shù)自動(dòng)均衡每個(gè) IP的帶寬,充分利用企業(yè)帶寬資源,保障網(wǎng)絡(luò)通暢。
假設(shè)一家公司的 IP 段是 192.168.2.1—192.168.2.254 其中研發(fā)為
192.168.2.240—192.168.2.254,要求研發(fā)人員周一到周五上班時(shí)間不能下載,不能玩游戲。同時(shí)也要對(duì)其它上網(wǎng)行為進(jìn)行限制。
第一步 :添加IP對(duì)象組:點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“IP對(duì)象組設(shè)置”,如圖 1-1所示:
圖1-1“添加 IP對(duì)象組”
在 IP 對(duì)象組名稱中輸入“yanfan”(這里必須是字母、數(shù)字以及下劃線),在 IP 地址中 輸入 192.168.2.240 到 192.168.2.254,填寫完成后點(diǎn)擊“添加”,然后點(diǎn)擊“提交”。得到如圖 1-2 所示:
圖 1-2 “IP對(duì)象組”
完成后點(diǎn)擊“應(yīng)用”即可生效。
第二步 :時(shí)間設(shè)置:點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“時(shí)間計(jì)劃設(shè)置”得到圖1-3:
圖1-3 “時(shí)間計(jì)劃設(shè)置”
在時(shí)間計(jì)劃名稱中輸入“shijian”(這里必須是字母、數(shù)字以及下劃線),可在選擇星期 中勾選星期一到星期五,在時(shí)間中輸入“08:00
18:00”,設(shè)置完成后點(diǎn)擊“提交”得到圖1-4:
圖 1-4 “時(shí)間計(jì)劃”
第三步 :對(duì)上網(wǎng)行為的設(shè)置:點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“上網(wǎng)行為管理”,得到如圖1-5:
圖1-5 “上網(wǎng)行為管理”
點(diǎn)擊“全局控制”,可將游戲、視頻全部設(shè)置為封堵,完成后點(diǎn)擊“提交”,然后點(diǎn)擊 “添加上網(wǎng)行為策略”得到圖1-6:
圖1-6 “添加上網(wǎng)行為策略”
在策略名稱中輸入“xianzhi”(同上也要輸入拼音、數(shù)字以及下劃線),在 IP 范圍選項(xiàng) 中選擇“選擇 IP 組”,勾選“yanfan”,選擇全部協(xié)議,時(shí)間選擇“shijian”,動(dòng)作設(shè)置為封 堵,完成后點(diǎn)擊“提交”,如圖 1-7:
圖1-7 “上網(wǎng)行為策略列表”
到此即完成上網(wǎng)行為管理的設(shè)置。
第二篇:路由器上網(wǎng)行為管理
上網(wǎng)行為管理的應(yīng)用價(jià)值
除了遲到、曠工,上網(wǎng)行為也要納入到行政管理了,這是目前一些企業(yè)的網(wǎng)絡(luò)應(yīng)用需求。為此,越來越多的組網(wǎng)設(shè)備開始提供上網(wǎng)行為管理的功能。
上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。這些問題其實(shí)是一個(gè)職業(yè)素質(zhì)的基本問題,但企業(yè)管理者由于各種原因,對(duì)此經(jīng)常無可奈何。路由器上網(wǎng)行為管理正是迎合了這個(gè)需要,以電子化手段進(jìn)行鐵面無私的管理,行政措施得以有效的貫徹。
但是,上網(wǎng)行為管理功能的產(chǎn)品出現(xiàn)的時(shí)間不長,很多用戶在應(yīng)用中有一定的誤區(qū),產(chǎn)品選購上也無所適從。本文旨在上網(wǎng)行為管理功能的應(yīng)用價(jià)值、技術(shù)實(shí)現(xiàn)、產(chǎn)品選擇等方面做一個(gè)粗略的探討。
一、上網(wǎng)行為管理的應(yīng)用價(jià)值
首先應(yīng)該明確的是,上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備,而是行政管理的手段。上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)公司隱私的工具,是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對(duì)企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用,從這一點(diǎn)上來說上網(wǎng)行為管理的應(yīng)用對(duì)企業(yè)是有益的。誠然,精心部署上網(wǎng)行為管理,對(duì)企業(yè)網(wǎng)絡(luò)的穩(wěn)定性、可靠性有一定的幫助,但這是非常不夠的。網(wǎng)絡(luò)的穩(wěn)定可靠不能僅僅依靠上網(wǎng)行為管理來實(shí)現(xiàn),而主要還是要依靠專業(yè)的網(wǎng)絡(luò)安全設(shè)備和方案。可是目前,在一些用戶心中,依然對(duì)上網(wǎng)行為管理產(chǎn)品的作用存在一些模糊不清的認(rèn)識(shí):
誤區(qū)一:上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線 網(wǎng)絡(luò)掉線是整個(gè)網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng),是因?yàn)橐蕴W(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無序上網(wǎng)的問題,客觀上對(duì)網(wǎng)絡(luò)凈化起到一些作用,但絕不是根本的手段。網(wǎng)絡(luò)問題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決,解決網(wǎng)絡(luò)掉線、卡滯等問題,應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案,那才是從根源著手的有效辦法。誤區(qū)二:上網(wǎng)行為管理能防病毒侵害
網(wǎng)絡(luò)病毒的傳播防不勝防,掛馬成為了龐大產(chǎn)業(yè)。所以,靠上網(wǎng)行為的約束,期望杜絕病毒的侵入,在目前中國的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段,在網(wǎng)絡(luò)層面,要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等,在單機(jī)層面,要安裝殺毒軟件、定期升級(jí)操作系統(tǒng)補(bǔ)丁等措施。所以,盡管上網(wǎng)行為管理對(duì)防范病毒侵害很重要,但也只能是一個(gè)輔助措施。
誤區(qū)三:上網(wǎng)行為管理能控制網(wǎng)速
封QQ、封P2P、封視頻,通過限制大容量的下載保證帶寬的合理使用,這些都是權(quán)宜之計(jì),不是一個(gè)完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問題,因?yàn)榫W(wǎng)絡(luò)上的內(nèi)容太豐富了,搶占帶寬的流量無法一一識(shí)別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面,對(duì)帶寬的管理是通過QoS實(shí)現(xiàn)的,而不是通過限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供,有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有“人少時(shí)快、人多時(shí)均”的欣向智能帶寬算法等等。這些都是從專業(yè)角度進(jìn)行的,對(duì)控制網(wǎng)速根本有效的辦法。
因此,綜上所述,上網(wǎng)行為管理功能解決不了網(wǎng)絡(luò)的穩(wěn)定性、可靠性問題,對(duì)網(wǎng)絡(luò)本身的管理也不是根本的辦法。應(yīng)用上網(wǎng)行為管理后,企業(yè)的網(wǎng)絡(luò)狀況會(huì)有一定好轉(zhuǎn),但恐怕只是暫時(shí)的。上網(wǎng)行為管理最大的效用就是在行政管理上,它通過提高員工的工作效率為企業(yè)創(chuàng)造價(jià)值,這才是上網(wǎng)行為管理路由器得到歡迎的主要原因。
二、上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)
上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)大概分為幾個(gè)部分:IP分組管理、特定應(yīng)用封鎖、行為審計(jì)、行為記錄等。IP分組管理是實(shí)現(xiàn)上網(wǎng)行為管理的基礎(chǔ),對(duì)于每個(gè)特定的分組分配不同的上網(wǎng)權(quán)限,對(duì)各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進(jìn)行要求,這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以,分組管理和權(quán)限策略在路由器中設(shè)計(jì)為多重搭配組合的模式。
欣向免疫路由分組成員管理
特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口,達(dá)到應(yīng)用無法連接到服務(wù)器的目的,實(shí)現(xiàn)行為封鎖的一種方式。這種功能其實(shí)在路由器中早就存在,它是“外網(wǎng)IP過濾”、“端口過濾”、“URL關(guān)鍵字過濾”等幾個(gè)功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項(xiàng)目提出來,預(yù)制進(jìn)產(chǎn)品中,通過一個(gè)在界面上的名字表達(dá)這個(gè)功能。這樣做法就是方便了用戶,不必讓用戶自己去查找要封鎖項(xiàng)目的相關(guān)信息,再一條一條地在路由器上配置保存,這大大提高了產(chǎn)品的易用性。
而協(xié)議型封鎖是通過對(duì)要封鎖的協(xié)議進(jìn)行分析,識(shí)別上網(wǎng)行為身份,進(jìn)行對(duì)該協(xié)議的攔截,實(shí)現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的,用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用,它們雖然有相對(duì)固定的服務(wù)器IP群,但它們的連接方式是靠協(xié)議握手,動(dòng)態(tài)地變換IP和端口,甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進(jìn)行處理。從技術(shù)實(shí)現(xiàn)的角度來看,靜態(tài)過濾是較容易的手段,而協(xié)議型封鎖對(duì)產(chǎn)品設(shè)計(jì)的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程,又要在實(shí)現(xiàn)的同時(shí)照顧路由器的轉(zhuǎn)發(fā)效率,照顧多WAN情況下的負(fù)載均衡,算法上是比較復(fù)雜的。當(dāng)前的網(wǎng)絡(luò)設(shè)備市場,提供上網(wǎng)行為管理功能的路由器很多,表面上是大家都有上網(wǎng)行為管理功能,但實(shí)際上由于技術(shù)實(shí)現(xiàn)方式的不同,導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實(shí)用。
如果使用簡單的靜態(tài)過濾方式,而不是協(xié)議型封鎖來實(shí)現(xiàn)上網(wǎng)行為管理,功能雖然提供了,而效果是不能令人滿意的。遺憾的是,很多上網(wǎng)行為管理路由器就是這么做的。
拿大家熟悉的QQ來說,我們登陸QQ時(shí),都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進(jìn)行帳號(hào)和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表,然后通過路由器進(jìn)行這些服務(wù)器IP的過濾處理,這樣QQ帳號(hào)密碼認(rèn)證不了,當(dāng)然也就實(shí)現(xiàn)了攔截QQ的目的。
這種封QQ的方式存在兩個(gè)問題:
1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時(shí),就會(huì)出現(xiàn)行為管理失效,路由器不得不進(jìn)行軟件升級(jí),效果不徹底,應(yīng)用麻煩。
2、當(dāng)使用代理服務(wù)器進(jìn)行應(yīng)用訪問的中轉(zhuǎn)時(shí),由于認(rèn)證和訪問信息通過第三方中轉(zhuǎn),自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的“QQ代理服務(wù)器”IP,就是用來破解此種行為管理的,QQ聊天軟件也提供了繞過此種封鎖的代理服務(wù)器設(shè)置(如圖),區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過QQ代理登陸的方式進(jìn)行測試區(qū)分,所以靜態(tài)過濾的方式對(duì)行為管理是不徹底的,無效的。
QQ代理服務(wù)器設(shè)置
而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議,所以無論如何設(shè)置代理都能直接識(shí)別封鎖,效果徹底,然而此種行為管理方式需要的技術(shù)較高,路由器中很少使用。而已知的,欣向免疫墻路由器就是采用了協(xié)議分析的上網(wǎng)行為管理手段,這是很難得的。它采用了全新的應(yīng)用層協(xié)議分析,根據(jù)不同應(yīng)用的協(xié)議特征,對(duì)特定上網(wǎng)行為進(jìn)行分析確認(rèn)。由于采用了協(xié)議分析,行為管理真正做到了準(zhǔn)確無誤。基于協(xié)議的上網(wǎng)行為管理功能的實(shí)現(xiàn),對(duì)路由器設(shè)計(jì)有較高的要求。尤其是多WAN環(huán)境下,不管是靜態(tài)過濾還是協(xié)議封鎖,都需要考慮對(duì)負(fù)載均衡的影響,也就是說,上網(wǎng)行為管理的啟用,不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實(shí)現(xiàn)上網(wǎng)行為功能的時(shí)候,把內(nèi)網(wǎng)IP固定地綁在某一個(gè)WAN口上,或者按照IP均衡的方式進(jìn)行分配,這就失去了多WAN帶寬疊加的應(yīng)用效果。
欣向采用的是多年領(lǐng)先的基于身份綁定的第四代多WAN技術(shù)。作為第一個(gè)推出多WAN路由器的廠家,欣向一直從事多WAN下的應(yīng)用協(xié)議分析,以保證各種網(wǎng)絡(luò)訪問在多WAN接入下的優(yōu)化處理。在實(shí)現(xiàn)上網(wǎng)行為管理功能的時(shí)候,欣向路由對(duì)行為管理的有效性、路由轉(zhuǎn)發(fā)效率、CPU負(fù)荷、多WAN帶寬匯聚等進(jìn)行綜合考慮,是比較周全的方案,在這個(gè)方面無疑是占據(jù)了領(lǐng)先的高度。
欣向免疫墻路由器分組上網(wǎng)行為管理
三、上網(wǎng)行為管理的產(chǎn)品選擇
由于存在著用戶對(duì)上網(wǎng)行為管理功能的需求,很多網(wǎng)絡(luò)設(shè)備開始提供這樣的功能。不僅僅在路由器,在防火墻、安全網(wǎng)關(guān)、UTM、接入服務(wù)器等各種設(shè)備中都能見到上網(wǎng)行為管理功能的影子,甚至還有一些專門的上網(wǎng)行為管理設(shè)備賣的也很不錯(cuò)。
雖然存在的就是合理的,但對(duì)于用戶來說,要根據(jù)自己的應(yīng)用需求進(jìn)行選擇,要根據(jù)自身網(wǎng)絡(luò)狀況、投資額度、現(xiàn)有設(shè)備的功能組合、網(wǎng)絡(luò)的優(yōu)化升級(jí)等作整體的規(guī)劃,最后考慮產(chǎn)品的優(yōu)劣,從而進(jìn)行正確的選擇。
下面提供一些建議供企業(yè)朋友們參考。
對(duì)上網(wǎng)行為管理要求較高,管理嚴(yán)苛的較大型企業(yè),應(yīng)該選擇專用的上網(wǎng)行為管理設(shè)備。這種設(shè)備不提供其他復(fù)雜的上網(wǎng)功能,也沒有過多涉及防火防毒網(wǎng)絡(luò)安全內(nèi)容,它的主要功能就是上網(wǎng)行為管理,術(shù)業(yè)有專攻,它在產(chǎn)品功能上比較豐富,服務(wù)支撐比較到位。
至于防火墻、UTM中提供的上網(wǎng)行為管理功能,也是很可取的方案,它適用于一些信息化程度較高的企業(yè),準(zhǔn)備或已經(jīng)部署了相關(guān)設(shè)備的情況下,啟用附帶的上網(wǎng)行為管理功能可以節(jié)省部署專用設(shè)備的資金。
選擇寬帶路由器中的上網(wǎng)行為管理功能,適用于大多數(shù)的中小企業(yè)。接入路由器是企業(yè)網(wǎng)絡(luò)的大門,在大門處加一個(gè)門崗做上網(wǎng)行為管理,是簡單易行的辦法。但是,路由器主要的功能是高速數(shù)據(jù)轉(zhuǎn)發(fā),由于CPU負(fù)載能力和成本的限制,路由器功能設(shè)計(jì)不可能主次顛倒,在上網(wǎng)行為管理上不可能做到很強(qiáng),所以不要對(duì)他抱有太多的期望值,夠用好用就可以了。如果單純因?yàn)樯暇W(wǎng)行為管理去選擇路由器,很可能會(huì)本末倒置。這就兩難了。雖然上網(wǎng)行為管理在地位上應(yīng)該是路由功能的附屬,但對(duì)于大多數(shù)中小企業(yè)用戶來說,這個(gè)功能確實(shí)又是需要的。同時(shí)企業(yè)網(wǎng)絡(luò)又要解決網(wǎng)絡(luò)的穩(wěn)定、可靠、安全的問題,又不能犧牲網(wǎng)絡(luò)接入的性能,尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在IT投資不可能太大的情況下,那又該如何選擇一臺(tái)優(yōu)質(zhì)的路由器,同時(shí)滿足多種需求呢? 強(qiáng)烈的建議是:配備帶有上網(wǎng)行為管理的免疫墻路由器。
當(dāng)前的企業(yè)網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)掉線、卡滯等問題。很多企業(yè)都將其歸咎于BT下載、QQ視頻等的頻繁使用,導(dǎo)致盲目上馬上網(wǎng)行為管理設(shè)備,實(shí)則不然。以上網(wǎng)絡(luò)應(yīng)用僅是占用了大量的網(wǎng)絡(luò)帶寬,而企業(yè)路由器都有帶寬管理功能,如果是因?yàn)樘囟ㄐ袨樵L問導(dǎo)致的帶寬不足,啟用路由器帶寬管理后就該沒有問題了。但實(shí)際情況是,啟用了帶寬管理以上網(wǎng)絡(luò)問題還存在,購置了新的上網(wǎng)行為管理設(shè)備網(wǎng)絡(luò)問題還沒有解決!
這主要是因?yàn)槠髽I(yè)網(wǎng)絡(luò)的免疫安全問題被忽視了!據(jù)統(tǒng)計(jì),80%的網(wǎng)絡(luò)問題都是由內(nèi)網(wǎng)引起的。由于以太網(wǎng)的先天缺陷以及路由設(shè)備的脆弱,黑客能夠充分利用協(xié)議漏洞對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞,ARP、SYN攻擊等就是基于這樣的原理。補(bǔ)上協(xié)議漏洞、提高管理手段,對(duì)終端進(jìn)行強(qiáng)制性管理,從而對(duì)網(wǎng)絡(luò)進(jìn)行整體的管控,使病毒的發(fā)作無法竄擾到網(wǎng)絡(luò)上來,這樣才能徹底解決網(wǎng)絡(luò)問題。網(wǎng)絡(luò)問題必須網(wǎng)絡(luò)解決,提高網(wǎng)絡(luò)免疫安全要有全面性和強(qiáng)制性。網(wǎng)絡(luò)免疫技術(shù)由欣向首次提出并應(yīng)用于路由器設(shè)備,欣全向公司基于這樣的技術(shù)思路,讓免疫墻路由器不僅在寬帶接入端起到安全管理的作用,也能夠深入到整個(gè)內(nèi)網(wǎng)的每一個(gè)終端進(jìn)行控制和保護(hù)。同時(shí),在內(nèi)網(wǎng)中還有一臺(tái)監(jiān)控中心,對(duì)整個(gè)內(nèi)網(wǎng)的運(yùn)行進(jìn)行統(tǒng)計(jì)、顯示、控制、告警、策略分發(fā)等工作,全網(wǎng)的狀態(tài)時(shí)時(shí)刻刻一目了然。以免疫墻路由器組建企業(yè)內(nèi)網(wǎng),可以達(dá)到普通路由器難以企及的應(yīng)用效果,在上網(wǎng)的穩(wěn)定、高速、安全、可管理能力上,遠(yuǎn)遠(yuǎn)超過了普通路由的組網(wǎng)方案。
有了網(wǎng)絡(luò)安全和穩(wěn)定的運(yùn)行基礎(chǔ),網(wǎng)絡(luò)行為管理才能顯示其更加細(xì)致的應(yīng)用訪問控制優(yōu)勢,才能真正滿足中小企業(yè)對(duì)網(wǎng)絡(luò)應(yīng)用的多種需求。沒有穩(wěn)定可靠,上網(wǎng)行為管理就無從談起,所謂皮之不存毛之焉在。欣向免疫墻路由器 總結(jié)
是否部署上網(wǎng)行為管理要依據(jù)企業(yè)的具體情況。如果企業(yè)網(wǎng)絡(luò)穩(wěn)定,并且有網(wǎng)絡(luò)訪問行為控制的要求,那么選擇合適的上網(wǎng)行為管理設(shè)備是必要的。
上網(wǎng)行為管理功能需要采用靜態(tài)過濾和協(xié)議型封鎖2種技術(shù)方式,單純依靠靜態(tài)過濾處理上網(wǎng)行為管理是技術(shù)敷衍,功能是不可靠的。但上網(wǎng)行為管理僅限于網(wǎng)絡(luò)訪問權(quán)限的控制,是行政管理的輔助手段,并不能解決網(wǎng)絡(luò)的安全和穩(wěn)定問題。如果企業(yè)存在網(wǎng)絡(luò)掉線、卡滯、速度慢、不安全、難管理等問題,那就需要帶免疫墻功能的路由器,著重解決內(nèi)網(wǎng)問題。中小企業(yè)既要上網(wǎng)行為管理,又要安全穩(wěn)定可靠的網(wǎng)絡(luò),使用帶有上網(wǎng)行為管理功能的免疫墻路由器可以一舉多得。
第三篇:交換機(jī)路由器配置總結(jié)
交換機(jī)和路由器配置過程總結(jié)
作為網(wǎng)絡(luò)中重要的硬件設(shè)備,隨著網(wǎng)絡(luò)融入我們的日常生活,交換機(jī)和路由器也逐漸被人們所熟悉。關(guān)于交換機(jī)、路由器的配置,計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)的學(xué)生理應(yīng)能夠操作熟練。通過這次網(wǎng)絡(luò)工程師培訓(xùn),借助Packet Tracer 5.0仿真軟件學(xué)習(xí)網(wǎng)絡(luò)配置、拓?fù)鋱D設(shè)計(jì)等,我對(duì)交換機(jī)、路由器配置有了深刻的了解,現(xiàn)將配置過程小結(jié)如下。
第一部分 交換機(jī)配置
一、概述 一層、二層交換機(jī)工作在數(shù)據(jù)鏈路層,三層交換機(jī)工作在網(wǎng)絡(luò)層,最常見的是以太網(wǎng)交換機(jī)。交換機(jī)一般具有用戶模式、配置模式、特權(quán)模式、全局配置模式等模式。
二、基本配置命令(CISCO)Switch >enable 進(jìn)入特權(quán)模式
Switch #config terminal 進(jìn)入全局配置模式 Switch(config)#hostname 設(shè)置交換機(jī)的主機(jī)名
Switch(config)#enable password 進(jìn)入特權(quán)模式的密碼(明文形式保存)Switch(config)#enable secret 加密密碼(加密形式保存)(優(yōu)先)Switch(config)#ip default-gateway 配置交換機(jī)網(wǎng)關(guān)
Switch(config)#show mac-address-table 查看MAC地址
Switch(config)logging synchronous 阻止控制臺(tái)信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關(guān)閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會(huì)話退出
使用Telnet遠(yuǎn)程式管理
Switch(config)#line vty 0 4 進(jìn)入虛擬終端 Switch(config-line)# password 設(shè)置登錄口令 Switch(config-line)# login 要求口令驗(yàn)證
控制臺(tái)口令
switch(config)#line console 0 進(jìn)入控制臺(tái)口 switch(config-line)# password xx switch(config-line)# 設(shè)置登錄口令login 允許登錄 恢復(fù)出廠配置
Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置
Switch#vlan database 進(jìn)去vlan配置模式 Switch(vlan)#vlan 號(hào)碼 name 名稱 創(chuàng)建vlan及vlan名 Switch(vlan)#vlan號(hào)碼 mtu數(shù)值 修改MTU大小
Switch(vlan)#exit 更新vlan數(shù)據(jù)并推出 Switch#show vlan 查看驗(yàn)證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口
Switch#config terminal 進(jìn)入全局配置 Switch(config)#interface fastethernet0/1 進(jìn)入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號(hào) 把端口分給一個(gè)vlan Switch(config-if)#switchport mode trunk 設(shè)置為干線
Switch(config-if)#switchport trunk encapsulation dot1q 設(shè)置vlan 中繼協(xié)議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1,2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1,2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1,2 ;從Trunk中關(guān)閉局部修剪
查看vlan信息 Switch#show vlan brief 所有vlan信息
查看vlan信息 Switch#show vlan id 某個(gè)vlan信息 注:Switch#show int trunk 查看trunk協(xié)議
注:可以使用default interface interface-id 還原接口到默認(rèn)配置狀態(tài) Trunk
開啟(no)——將端口設(shè)置為永久中繼模式
關(guān)閉(off)——將端口設(shè)置為永久非中繼模式,并且將鏈路轉(zhuǎn)變?yōu)榉侵欣^鏈路 企望(desirable)——讓端口主動(dòng)試圖將鏈路轉(zhuǎn)換成中繼鏈路 自動(dòng)(auto)——使該端口愿意將鏈路變成中繼鏈路 交換機(jī)顯示命令:
switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當(dāng)前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存
switch#show version 查看當(dāng)前版本信息
switch#show cdp cisco設(shè)備發(fā)現(xiàn)協(xié)議(可以查看聆接設(shè)備)switch#show cdp traffic 杳看接收和發(fā)送的cdp包統(tǒng)計(jì)信息 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備
switch#show interface f0/1 switchport 查看有關(guān)switchport的配置 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備
三、模擬配置(一個(gè)實(shí)例)
圖一:PC機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置截圖
圖二:模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖
圖三:全局模式下對(duì)交換機(jī)進(jìn)行配置
圖四:查看VLAN當(dāng)前配置信息
第二部分 路由器配置
一、環(huán)境搭建(借鑒網(wǎng)上的材料,通過自己配置也實(shí)現(xiàn)了同樣的功能)
添加一個(gè)模塊化的路由器,單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器,在彈出的配置窗口上添加一些模塊:
圖五
默認(rèn)情況下,路由器的電源是打開的,添加模塊時(shí)需要關(guān)閉路由器的電源,單擊圖一箭頭所指的電源開關(guān),將其關(guān)閉,路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。
圖六 添加所需要的模塊
在“MODULES”下尋找所需要的模塊,選中某個(gè)模塊時(shí)會(huì)在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。
圖八 添加一計(jì)算機(jī),其RS-232與路由器的Console端口相連
圖九 用計(jì)算機(jī)的終端連接路由器
圖十 實(shí)驗(yàn)環(huán)境搭建完成
二、配置單個(gè)路由器
路由器的幾種模式:User mode(用戶模式)、Privileged mode(特權(quán)模式)、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode(路由配置模式)。每種模式對(duì)應(yīng)不同的提示符。
圖十一 幾種配置命令提示符和配置路由器的名字
圖十二 通過Console端口登錄到路由器需要輸入密碼
圖十三 顯示信息的命令
通過模擬交換機(jī)和路由器的配置,進(jìn)一步理解了它們的工作原理,對(duì)網(wǎng)絡(luò)拓?fù)浼軜?gòu)有了清晰的認(rèn)識(shí),為以后的網(wǎng)絡(luò)知識(shí)學(xué)習(xí)打下了基礎(chǔ)。謝謝彭老師!
第四篇:如何配置企業(yè)路由“上網(wǎng)行為管理”功能
企業(yè)路由器有個(gè)使用比較多的功能,就是對(duì)員工的上網(wǎng)行為管理,以達(dá)到合理管控員工的上網(wǎng)時(shí)間,提高工作效率的目的,由于上網(wǎng)行為管理的設(shè)置項(xiàng)比較多,很多人會(huì)感覺到復(fù)雜,不知道要實(shí)現(xiàn)的功能在哪里設(shè)置,如何設(shè)置,那今天我就以磊科企業(yè)路由器NR255G為例,配圖來講解下最長配置的功能:
一、登錄路由器的管理界面
瀏覽器打開網(wǎng)址:leike.cc或者192.168.1.1,輸入路由器管理賬號(hào)和密碼登錄。
二、增加管理時(shí)間段
當(dāng)領(lǐng)導(dǎo)要對(duì)員工的上班時(shí)間管理的時(shí)候,比如在早上9點(diǎn)到11點(diǎn)規(guī)定不能刷網(wǎng)頁新聞,就需要添加被管理的時(shí)段(9:00-11:00),沒有設(shè)置時(shí)間段的時(shí)候,默認(rèn)是所有用戶組的全部時(shí)間,為了便于管理,可以添加多個(gè)時(shí)間段分別管理,時(shí)間段可以設(shè)置為上班時(shí)間、下班時(shí)間、休息日等,可以按周/按日期/按月分別設(shè)置,可在每個(gè)時(shí)間段添加備注方便管理。這里設(shè)置好的時(shí)間段在后面的功能里都可以快速選擇和新增,詳見“時(shí)間組”。
三、設(shè)置用戶/IP組
設(shè)置用戶組可以以部門劃分,也可以加入特定的用戶,方便對(duì)每個(gè)部門或某個(gè)特定的人多元化管理。設(shè)置部門時(shí),需要填寫部門所有用戶的IP,當(dāng)要設(shè)置大領(lǐng)導(dǎo)為單獨(dú)一個(gè)組時(shí),只需要填寫大領(lǐng)導(dǎo)的設(shè)備IP即可。
注意:如果一個(gè)IP地址屬于多個(gè)組時(shí),該IP僅會(huì)執(zhí)行優(yōu)先級(jí)最高的用戶組的規(guī)則。最多支持10條IP規(guī)則,可輸入單個(gè)主機(jī)或IP段,IP段請(qǐng)用“-”隔開,格式: 192.168.1.2-192.168.1.5/ 192.168.1.10
四、網(wǎng)址分類管理
被管理的用戶組可以是所有用戶,也可以是自定義的用戶組,比如市場部,開啟后狀態(tài)有阻斷/記錄/警告三種,可以對(duì)聊天軟件、網(wǎng)絡(luò)游戲、電子購物等多種軟件自定義勾選,方便對(duì)不同用戶組的使用環(huán)境設(shè)置不同的網(wǎng)址管理。
五、聊天軟件過濾
為了管控員工花費(fèi)很多上班時(shí)間在聊天上,開啟聊天軟件過濾是一種很有效的的管控手法,啟用過濾狀態(tài),可以對(duì)不同用戶組選擇阻斷全部或者阻斷單個(gè)聊天軟件,還能對(duì)各軟件進(jìn)行記錄;QQ黑白名單能進(jìn)一步加強(qiáng)管控:
黑名單:未阻斷的情況下,限制登陸的QQ號(hào)碼; 白名單:阻斷的情況下,允許登陸的QQ號(hào)碼。同時(shí)可以監(jiān)測QQ登錄記錄,設(shè)置可以參考圖例。
六、視頻軟件過濾
與聊天軟件過濾一樣,可以對(duì)當(dāng)下流行的視屏軟件開啟過濾,可對(duì)不同用戶組設(shè)置全部阻斷或單個(gè)阻斷,并對(duì)其記錄。
七、郵件監(jiān)控
郵件的傳輸在企業(yè)內(nèi)部的重要性有目共睹,領(lǐng)導(dǎo)之間,部門之間、業(yè)務(wù)之間的郵件往來都是工作的溝通,對(duì)郵件的監(jiān)控就尤為重要,可以對(duì)不同的用戶組的不同郵箱進(jìn)行監(jiān)控。
八、電子公告
電子公告功能是向內(nèi)網(wǎng)主機(jī)用戶發(fā)送通告信息,可以設(shè)置公告內(nèi)容,發(fā)送時(shí)間、周期、次數(shù)及對(duì)象。
注意:當(dāng)用戶訪問網(wǎng)頁的時(shí)候,才能收到公告信息。
到這里,恭喜你已經(jīng)掌握了上網(wǎng)行為管理的配置方法!
第五篇:典型路由器實(shí)驗(yàn)配置文檔
典型路由器實(shí)驗(yàn)配置文檔
目錄
一,DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器).............................3 二,IPsecVPN穿越NAT實(shí)例配置..............................................5 三,雙PPPOE線路實(shí)驗(yàn)(神碼)..................................................9 四,外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服務(wù)器配置..............................................24 七,總分部之間IPsecVPN對(duì)接................................................29 一,DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器)1,需求描述
如果DHCP客戶機(jī)與DHCP服務(wù)器在同一個(gè)物理網(wǎng)段,則客戶機(jī)可以正確地獲得動(dòng)態(tài)分配的ip地址。如果不在同一個(gè)物理網(wǎng)段,則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個(gè)物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個(gè)物理子網(wǎng)的DHCP服務(wù)器,也可以將服務(wù)器的消息傳回給不在同一個(gè)物理子網(wǎng)的DHCP客戶機(jī),而且一個(gè)網(wǎng)絡(luò)中有可能存在多個(gè)DHCP服務(wù)器作為冗余備份。2,拓?fù)鋱D
3,配置步驟
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報(bào)文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務(wù),sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務(wù),sh run 看不到)4,配置驗(yàn)證
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址綁定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事項(xiàng)
(1)必須開啟DHCP服務(wù) service dhcp(2)客戶端獲取一個(gè)地址后,廣播發(fā)送Request報(bào)文包含此地址的DHCP服務(wù)器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪費(fèi)。
二,IPsecVPN穿越NAT實(shí)例配置
1,需求描述
IPSec協(xié)議的主要目標(biāo)是保護(hù)IP數(shù)據(jù)包的完整性,這意味著IPSec會(huì)禁止任何對(duì)數(shù)據(jù)包的修改。但是NAT處理過程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號(hào)才能正常工作的。所以,如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過了ipsec的處理,當(dāng)這些數(shù)據(jù)包經(jīng)過NAT設(shè)備時(shí),包內(nèi)容被NAT設(shè)備所改動(dòng),修 改后的數(shù)據(jù)包到達(dá)目的地主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗,于是這個(gè)數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無論傳輸模式還是隧道模式,AH都會(huì)認(rèn)證整個(gè)包 頭,不同于ESP 的是,AH 還會(huì)認(rèn)證位于AH頭前的新IP頭,當(dāng)NAT修改了IP 頭之后,IPSec就會(huì)認(rèn)為這是對(duì)數(shù)以完整性的破壞,從而丟棄數(shù)據(jù)包。因此,AH是約 可能與NAT一起工作的。
意思就是說,AH處理數(shù)據(jù)時(shí),所使用的數(shù)據(jù)是整個(gè)數(shù)據(jù)包,甚至是IP包頭的IP地址,也是處理數(shù)據(jù)的一部分,對(duì)這些數(shù)據(jù)作整合,計(jì)算出一個(gè)值,這個(gè)值是唯一的,即只有相同的數(shù)據(jù),才可能計(jì)算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時(shí),就不符合這個(gè)值了。這時(shí),這個(gè)數(shù)據(jù)包就被破壞了。而ESP并不保護(hù)IP包頭,ESP保護(hù)的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容,因此,如何NAT只是轉(zhuǎn)換IP的話,那就不會(huì)影響ESP的計(jì)算。但是如果是使用PAT的話,這個(gè)數(shù)據(jù)包仍然會(huì)受到破壞。
所以,在NAT網(wǎng)絡(luò)中,只能使用IPSec的ESP認(rèn)證加密方法,不能用AH。但是也是有辦法解決這個(gè)缺陷的,不能修改受ESP保護(hù)的TCP/UDP,那就再加一個(gè)UDP報(bào)頭。解決方案:NAT穿越 2,拓?fù)鋱D
3,配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置驗(yàn)證
R1#f0/0上抓包
ISAKMP報(bào)文
ESP報(bào)文
R2#f1/0上抓包
ISAKMP報(bào)文
ESP報(bào)文
5,注意事項(xiàng)
(1)R1與R3上的對(duì)端地址均為公網(wǎng)地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT時(shí)要變換IP地址和端口,從而導(dǎo)致對(duì)方認(rèn)證失敗,所以應(yīng)該保證變換后的IP地址和端口和對(duì)端一致。
三,雙PPPOE線路實(shí)驗(yàn)(神碼)1.需求描述
現(xiàn)實(shí)網(wǎng)絡(luò)中有很多企業(yè)和機(jī)構(gòu)都采用雙線路來互相冗余備份,而其中有很多通過pppoe撥號(hào)(ADSL寬帶接入方式)來實(shí)現(xiàn)對(duì)每個(gè)接入用戶的控制和計(jì)費(fèi)。2.拓?fù)鋱D
3,配置步驟
R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元
ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN
ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請(qǐng)求撥號(hào)
port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議
pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù),否則只能完成發(fā)現(xiàn)階段,不能建立會(huì)話階段)ppp chap hostname DCN //chap認(rèn)證用戶名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN
peer default ip address pool pppoe //給撥號(hào)上來的客戶端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入
port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議
pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,驗(yàn)證配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事項(xiàng)
(1),pppoe-client配置虛擬通道時(shí),最大傳輸單元為1492(默認(rèn)),ip地址為自協(xié)商,ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意:不能配置ppp authentication chap(認(rèn)證方式為任意)。
(2),pppoe-client配置vpdn時(shí),先啟用vpdn,創(chuàng)建vpdn組,請(qǐng)求撥號(hào),應(yīng)用虛擬隧道,封裝pppoe協(xié)議,綁定到物理接口。
(3),pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1,配置NAT時(shí),出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置時(shí)注意配置分配給客戶端的地址池,開啟本地ppp認(rèn)證,配置本地認(rèn)證用戶名和密碼。
(5),pppoe-server配置虛擬模版時(shí),最大傳輸單元1492,ip地址為固定ip(與地址池在同一網(wǎng)段,但不包含在地址池里),ppp認(rèn)證方式為chap或pap,認(rèn)證的用戶名和密碼,給撥號(hào)上來的客戶端分配地址池里的地址。
(6),pppoe-server配置vpdn時(shí),先啟用vpdn,創(chuàng)建vpdn組,允許撥號(hào),應(yīng)用虛擬模版,封裝pppoe協(xié)議,綁定到物理接口。
四,外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器
1,需求描述
有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng),需要讓在外網(wǎng)出差的用戶撥上VPN后能訪問內(nèi)網(wǎng)部分資源(如WEB服務(wù)器,辦公系統(tǒng)等)。2,拓?fù)鋱D
3,配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //開啟AAA認(rèn)證!aaa authentication login default none //無認(rèn)證登錄 aaa authentication enable default none //無enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,驗(yàn)證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事項(xiàng)
(1),配置ipsecvpn時(shí),注意將map綁定到物理接口。
(2),nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由,數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)先查找路由從接口轉(zhuǎn)發(fā)時(shí)再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息協(xié)議(Routing Information Protocol,縮寫:RIP)是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議(IGP)。(IGP)是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò)),它可以通過不斷的交換信息讓路由器動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化,這些信息包括每個(gè)路由器可以到達(dá)哪些網(wǎng)絡(luò),這些網(wǎng)絡(luò)有多遠(yuǎn)等。RIP 屬于網(wǎng)絡(luò)層協(xié)議,并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)
雖然RIP仍然經(jīng)常被使用,但大多數(shù)人認(rèn)為它將會(huì)而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然,我們也看到EIGRP,一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議,也得到了一些使用。2,拓?fù)涿枋?/p>
3,配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,驗(yàn)證配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事項(xiàng)
(1),neighbor 為對(duì)端ip(2),在接口下 ip rip 1 enable 則宣告了這個(gè)接口的地址所在的網(wǎng)段,如果這個(gè)接口有兩個(gè)地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個(gè)網(wǎng)段 如果一個(gè)接口分兩個(gè)邏輯子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個(gè)網(wǎng)段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服務(wù)器配置
1,需求描述
L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議,功能大致和PPTP協(xié)議類似,比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過也有不同之處,比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò),L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗(yàn)證,而PPTP不支持。2,拓?fù)涿枋?/p>
3,配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址
no ip directed-broadcast
ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶名
ppp chap password 0 admin //認(rèn)證密碼
peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開啟虛擬專用撥號(hào)!
vpdn-group l2tp //定義vpdn組
accept-dialin //允許撥入
port Virtual-template0 //綁定虛擬接口模版
protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證
lcp-renegotiation //重新進(jìn)行LCP協(xié)商!PC上配置
網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN
4,驗(yàn)證配置
撥號(hào)成功
5,注意事項(xiàng)
(1),L2TP服務(wù)器上virtual-template接口的地址為任意地址
(2),force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證,lcp-renegotiation //重新進(jìn)行LCP協(xié)商(3),PC客戶端上配置可選加密,勾選三種認(rèn)證方式PAP,CHAP,MS-CHAP
七,總分部之間IPsecVPN對(duì)接
1,需求描述
導(dǎo)入IPSEC協(xié)議,原因有2個(gè),一個(gè)是原來的TCP/IP體系中間,沒有包括基于安全的設(shè)計(jì),任何人,只要能夠搭入線路,即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制,包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因,是因?yàn)镮nternet迅速發(fā)展,接入越來越方便,很多客戶希望能夠利用這種上網(wǎng)的帶寬,實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。
IPSEC協(xié)議通過包封裝技術(shù),能夠利用Internet可路由的地址,封裝內(nèi)部網(wǎng)絡(luò)的IP地址,實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。總部和分部之間通過IPsecVPN隧道通信,分部和分部之間通過和總部建立的IPsecVPN隧道通信。2,拓?fù)湫枨?/p>
3,配置步驟 總部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,驗(yàn)證配置
總部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 總部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A與分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B與總部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B與分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包:
分部A上抓包:
5,注意事項(xiàng)
(1),思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略,只有到達(dá)對(duì)端私網(wǎng)的路由,才能匹配策略加密封裝。
(2),隧道協(xié)商需要公網(wǎng)路由的可達(dá)性,但是只有內(nèi)網(wǎng)有感興趣流量時(shí)才能觸發(fā)隧道協(xié)商,從而建立隧道,而且需要雙向的觸發(fā)。
點(diǎn)擊咨詢 