第一篇：配置企業(yè)千兆路由器教程

全千兆路由器從2011年開始逐漸在市場(chǎng)中普及，成為企業(yè)選擇寬帶路由器的首選品種，千兆路由器不僅可以滿足更高的外網(wǎng)接入帶寬要求，同時(shí)在帶機(jī)數(shù)量、網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)性能、抗攻擊能力上均有出色的表現(xiàn)，作為網(wǎng)絡(luò)出口的路由器，具備千兆的特性，使得網(wǎng)絡(luò)不再具有瓶頸。

對(duì)于眾多企業(yè)或者公司的很多網(wǎng)管、或者負(fù)責(zé)維護(hù)網(wǎng)絡(luò)的人來(lái)說(shuō)，全千兆路由器仍然比較陌生，這里我們就來(lái)介紹下千兆路由器該如何配置，達(dá)到聯(lián)網(wǎng)、網(wǎng)速優(yōu)化、提高網(wǎng)絡(luò)安全、深度管理的目的。

我們以業(yè)界中口碑較好的netcore磊科NR285G這塊路由器為例，說(shuō)明如何對(duì)全千兆路由器進(jìn)行配置，以發(fā)揮其卓越的性能和功效：

一 連接網(wǎng)絡(luò)配置

拿到路由器，我們首先要做的是物理連接。

如果你現(xiàn)在網(wǎng)絡(luò)已有路由器正在使用，則不須將新路由器急著換上，可以先做好基礎(chǔ)配置，然后換上即可使用，不會(huì)影響其他同事的上網(wǎng)。

千兆路由器要發(fā)揮效能，首先要注意的是，端口連接的網(wǎng)線的質(zhì)量。建議網(wǎng)線質(zhì)量是在超5類線標(biāo)準(zhǔn)之上，如果網(wǎng)線質(zhì)量偏低，端口自適應(yīng)為百兆甚至十兆，則路由器的性能得不到發(fā)揮。

連接好電腦的網(wǎng)線，netcore磊科的路由器具有自動(dòng)分配網(wǎng)址的功能，您只需將您網(wǎng)卡的IP地址設(shè)置保留在自動(dòng)獲取狀態(tài)，即可獲得IP地址。下面就可以進(jìn)行配置了。

首先，我們當(dāng)然要做好最基礎(chǔ)的配置，讓路由器能夠上網(wǎng)。

在瀏覽器輸入192.168.1.1，用戶名：guest，密碼：guest，進(jìn)入如下路由器配置界面：

多數(shù)正規(guī)廠家的路由器都有快速配置選項(xiàng)，一般設(shè)置好快速配置，就能保證電腦可以共享上網(wǎng)了。雙擊快速配置圖標(biāo)，進(jìn)行連接網(wǎng)絡(luò)設(shè)置。

然后點(diǎn)擊下一步進(jìn)入設(shè)置向?qū)А?/p>

此處的IP地址192.168.1.1就是您剛才訪問(wèn)路由器的地址，如果您想使用不同的網(wǎng)段或者網(wǎng)址，則可在此進(jìn)行修改，您不想改變什么則可直接點(diǎn)擊下一步。

這里假定您企業(yè)接入的是10M光纖。您可以同時(shí)更改默認(rèn)帶寬控制來(lái)啟用QoS功能。這里假設(shè)您公司里面有100臺(tái)電腦，我們同時(shí)設(shè)置每臺(tái)主機(jī)的默認(rèn)帶寬分別為100KB/s 與200KB/s。當(dāng)讓這里您也可以不設(shè)置帶寬控制，以后在進(jìn)行，詳細(xì)設(shè)置將在后文QoS設(shè)置中提及。

下面則是WAN口設(shè)置。

這里我們選擇靜態(tài)IP接入方式，企業(yè)光纖或者專線往往都是這種方式。ADSL或者PON多數(shù)使用PPPoE方式，具體方式，需要您同運(yùn)營(yíng)商確認(rèn)一下。

如果是靜態(tài)IP接入方式，則如上圖依次輸入從運(yùn)營(yíng)商處獲得的靜態(tài)IP地址，默認(rèn)網(wǎng)關(guān)及其相應(yīng)地區(qū)的主/從DNS(運(yùn)營(yíng)商會(huì)提供這些信息，如果是PPPoE方式，運(yùn)營(yíng)商則會(huì)提供帳號(hào)和密碼).連接網(wǎng)絡(luò)的設(shè)置完畢，請(qǐng)?jiān)谙到y(tǒng)狀態(tài)〉〉接口設(shè)置〉〉接口模式查看您的網(wǎng)絡(luò)是否為千兆：

如上圖，連接表示網(wǎng)絡(luò)連接好了;同時(shí)還可以看到1000M字樣，如果顯示的100M，請(qǐng)確認(rèn)網(wǎng)線是否為超五類線，對(duì)端設(shè)備是否支持千兆;也可以通過(guò)觀看NR285G的RJ45LED燈，綠燈亮表示是百兆，黃燈亮則表示1000M.如果不是千兆，請(qǐng)確認(rèn)網(wǎng)線沒有問(wèn)題，或者對(duì)端設(shè)備是否千兆設(shè)備，如果對(duì)端設(shè)備不是千兆設(shè)備，也屬正常現(xiàn)象。

設(shè)備配置安裝好之后，您就可以正常使用了。現(xiàn)在您就可以隨便打開一個(gè)網(wǎng)頁(yè)看看能否上網(wǎng)，如果不行，請(qǐng)檢查設(shè)置是否正確和線路是否正常。

二 網(wǎng)速優(yōu)化配置

如果您是家庭用戶，進(jìn)行以上設(shè)置當(dāng)然就可以使用了，但是企業(yè)使用除了考慮一般上網(wǎng)之外，還需要保證大家上網(wǎng)辦公的質(zhì)量。因此設(shè)置QoS就非常有必要了。

通過(guò)配置QoS(Quality of Service)功能，以保證各種網(wǎng)絡(luò)應(yīng)用的流暢進(jìn)行;解決在多人上網(wǎng)時(shí)，員工上網(wǎng)很卡的問(wèn)題：

如圖輸入外網(wǎng)線路帶寬信息，并且啟用智能QoS, 以保證各種網(wǎng)絡(luò)應(yīng)用的流暢進(jìn)行：

默認(rèn)主機(jī)控制帶寬：設(shè)置上行為100KB/s, 下行為200KB/s，規(guī)定每臺(tái)主機(jī)默認(rèn)帶寬，一般都?jí)蛴茫?dāng)然您可以更具您的需要進(jìn)行更改，建議平均每臺(tái)限速≤總帶寬/總上網(wǎng)電腦×3，不然使用效果不佳;

默認(rèn)主機(jī)彈性帶寬：將上行與下行都勾選，可以將剩余帶寬平均分配給需要帶寬的主機(jī);

彈性帶寬占用率：此時(shí)設(shè)置上行與下行都為80%，可以提高剩余帶寬利用率;

突發(fā)流量：同樣將上行與下行都勾選，這樣可以提高網(wǎng)頁(yè)、視頻的打開速度。

同時(shí)通過(guò)啟用智能優(yōu)先級(jí)，可以優(yōu)先轉(zhuǎn)發(fā)響應(yīng)時(shí)間要求短的小包，比如游戲。

進(jìn)行以上設(shè)置之后，您企業(yè)內(nèi)部的上網(wǎng)質(zhì)量就有所保證了，可以避免員工時(shí)常反應(yīng)網(wǎng)速慢，上網(wǎng)卡的煩惱。

三 網(wǎng)絡(luò)安全設(shè)置

企業(yè)上網(wǎng)，流轉(zhuǎn)的都是商業(yè)數(shù)據(jù)，安全非常重要。這里給你介紹幾個(gè)小訣竅，解決您網(wǎng)絡(luò)安全的后顧之憂。

首先，通過(guò)IP/MAC綁定，可以防止陌生電腦接入，同時(shí)防止內(nèi)網(wǎng)ARP攻擊，其配置如下：

如圖選擇禁止未綁定IP/MAC的主機(jī)上網(wǎng)，然后點(diǎn)擊增加。

如圖增加張三的電腦MAC地址與IP互相綁定，這樣做的好處，是我們可以一目了然的指導(dǎo)張三的電腦連接情況和使用情況。不好，是這樣設(shè)置，須一臺(tái)一臺(tái)進(jìn)行，比較麻煩。

提供了一鍵綁定功能，選擇ARP監(jiān)控。

如上圖，點(diǎn)擊綁定全部可以快速實(shí)現(xiàn)在線用戶IP/MAC互綁。

再有，現(xiàn)在黑客盛行，防止攻擊也非常重要，我們可以啟用攻擊防御的相關(guān)功能，以達(dá)到防止外網(wǎng)DDOS攻擊、ARP內(nèi)網(wǎng)攻擊等等

做到以上兩步，路由器本身內(nèi)置的防火墻，我們就筑建立一個(gè)高安全的網(wǎng)關(guān);再通過(guò)正確使用主機(jī)監(jiān)控等日常工具，可以防患于未然，讓我們的網(wǎng)絡(luò)免于安全煩惱。

四 上網(wǎng)行為控制

完成前面三大塊的設(shè)置，一般企業(yè)上網(wǎng)保證也就完成了，網(wǎng)管也可以高枕無(wú)憂了。但是我這里還是劃蛇添足的介紹一些日常使用的功能。因?yàn)楝F(xiàn)在千兆企業(yè)路由器的功能已經(jīng)非常強(qiáng)大，不僅能滿足共享上網(wǎng)，還有很多管理功能可以使用，一旦合理使用這些功能，會(huì)讓你不經(jīng)是網(wǎng)絡(luò)、包括企業(yè)管理都會(huì)有所提升。

為了提高員工上班效率，可以選擇在上班時(shí)間內(nèi)限制如下功能使用：游戲，聊天，P2P，視頻。我們可以先進(jìn)行一個(gè)時(shí)間段設(shè)置如下：

按照?qǐng)D示設(shè)置上網(wǎng)行為管理的時(shí)間段：上班時(shí)間。

如圖點(diǎn)擊阻斷全部就可以阻斷所有聊天軟件的使用，或者單獨(dú)進(jìn)行選擇阻斷。

顯然，我們?nèi)孔钄嗨械腝Q，有使用QQ同客戶聯(lián)系的同事就會(huì)比較困擾了，老板說(shuō)不定也不高興呢：)。好在磊科路由器此外還具備QQ黑白名單的功能。

黑名單：未阻斷的情況下，限制登陸的QQ號(hào)碼;

白名單：阻斷的情況下，允許登陸的QQ號(hào)碼。

多數(shù)情況下，我們使用白名單，先登記好工作需要用的QQ號(hào)，然后配置白名單，就可以了。

如上圖分別添加QQ黑名單與白名單，MSN白黑名單的設(shè)置方法與QQ黑白名單設(shè)置方法一致。

同時(shí)可以查看內(nèi)網(wǎng)QQ登陸記錄。

聊天工具限制好了，我們還可以對(duì)游戲、P2P、視頻等與工作無(wú)關(guān)的程序在上班時(shí)間進(jìn)行限制，設(shè)置界面如下：

以上設(shè)置完成，顯然世界就此清凈了!不過(guò)我還有一些有趣的功能介紹呢。比如電子公告功能，可以隨時(shí)在內(nèi)網(wǎng)發(fā)布通知。是不是發(fā)現(xiàn)用email通知不及時(shí)、電話通知太累、QQ群通知有的人收不到呢?用著個(gè)通知工具吧：

點(diǎn)擊增加按鈕，增加一條公告信息。

如上圖輸入一則春節(jié)放假通知。

如上圖點(diǎn)擊公告設(shè)置處的增加，來(lái)設(shè)置公告的貼出方式。

如上圖設(shè)置公告模式、公告時(shí)間、公告用戶等參數(shù)。

這樣，只要用戶用瀏覽器上網(wǎng)，通知就會(huì)自動(dòng)彈出來(lái)了，躲也躲不掉，是不是更有效率呢?

其它還有股票軟件過(guò)濾、網(wǎng)址分類管理等功能，實(shí)在太多，在此不再一一列舉。

五 后期維護(hù)管理

除了配置上面的功能外，一些路由器提供的日常維護(hù)工具，也很重要。在網(wǎng)絡(luò)正常運(yùn)行時(shí)，我們通常要注意網(wǎng)絡(luò)的使用狀態(tài)，員工的上下行速度、流量等等，這里就需要主機(jī)監(jiān)控的功能。

上圖顯示了內(nèi)網(wǎng)的主機(jī)數(shù)量、總的速度、連接數(shù)、流量等等，可以了解到外網(wǎng)帶寬的使用情況。

上圖顯示了內(nèi)網(wǎng)每一臺(tái)主機(jī)的連接數(shù)、上下行實(shí)時(shí)速度，總計(jì)流量等，可以對(duì)這些數(shù)據(jù)進(jìn)行排序，只需點(diǎn)擊上方標(biāo)題，就可進(jìn)行從大到小或從小到大排序，方便網(wǎng)管找到誰(shuí)最占用帶寬。

Ping及Tracert工具

這里的Ping的意義是，排除內(nèi)網(wǎng)電腦、交換機(jī)等復(fù)雜因素，直接在路由器內(nèi)部ping外網(wǎng)，簡(jiǎn)化網(wǎng)絡(luò)環(huán)境，更有利于網(wǎng)絡(luò)的排錯(cuò)，Tracert跟蹤路由這一功能道理同樣。

虛擬服務(wù)(端口映射)

端口映射是磊科路由器中的一個(gè)常見功能，比如有一個(gè)遠(yuǎn)程視頻監(jiān)控的一個(gè)應(yīng)用，如果想從外網(wǎng)能實(shí)時(shí)看到企業(yè)內(nèi)部的監(jiān)控，就必須通過(guò)端口映射，規(guī)則可以隨便，IP地址就是內(nèi)網(wǎng)中監(jiān)控服務(wù)器的地址，外部端口就是從外網(wǎng)訪問(wèn)時(shí)需要附加的端口(可自定義，最好在2000-65534之間)，內(nèi)部端口是這個(gè)程序需要用到的端口。

最后，為了安全起見，設(shè)置一個(gè)安全的路由器的賬號(hào)密碼

總結(jié)：介紹就到這里，雖然沒有介紹所有功能的配置使用，但是主要功能都說(shuō)到了。基本配置、網(wǎng)速保證配置、安全防御配置、上網(wǎng)行為管理....已經(jīng)不少了。

相信您看完之后，對(duì)如何配置使用手中的千兆企業(yè)路由器已經(jīng)有些心得了，不妨試試看吧!

第二篇：大麥千兆路由器橋接手冊(cè)

大麥千兆路由器橋接

手冊(cè)

智能路由器事業(yè)部

20160201

目錄

目錄.......................................................................................................................................................2

一、配置前的準(zhǔn)備工作.................................................................................................................3

二、主路由器設(shè)置...........................................................................................................................3

三、從路由器設(shè)置...........................................................................................................................4

一、配置前的準(zhǔn)備工作

1、準(zhǔn)備兩臺(tái)千兆路由器，將一臺(tái)路由器的SSID設(shè)為CB60-2.4G和CB60-5G，將另一臺(tái)路由器的SSID設(shè)為DB44-2.4G和DB44-5G；

2、將SSID為CB60-2.4G的路由器設(shè)為主路由器，主路由器連接網(wǎng)線，設(shè)置賬號(hào)，主路由器能夠上網(wǎng)。

將SSID為DB44-2.4G的路由器設(shè)為從路由器，從路由器只接通電源，不插網(wǎng)線，從路由器此時(shí)不能上網(wǎng)。

二、主路由器設(shè)置

1、主路由器的兩個(gè)SSID先都不設(shè)置密碼。

2、點(diǎn)擊“專業(yè)版”按鈕，進(jìn)入專業(yè)版界面

3、輸入密碼，此密碼同后臺(tái)密碼一致

4、進(jìn)入WIFI設(shè)置界面，設(shè)置2.4G橋接，CB60-2.4G的SSID對(duì)應(yīng)wifi0。

點(diǎn)擊“edit”進(jìn)入編輯界面，界面如下：

修改Mode為Access Point（WDS），如下圖所示。點(diǎn)擊保存。

5、進(jìn)入WIFI設(shè)置界面，設(shè)置5G橋接，CB60-5G的SSID對(duì)應(yīng)wifi1。

點(diǎn)擊“edit”進(jìn)入編輯界面，界面如下：

修改Mode為Access Point（WDS），如下圖所示。點(diǎn)擊保存并提交。

6、主路由器設(shè)置完畢。

三、從路由器設(shè)置

1、從路由器的兩個(gè)SSID不需要設(shè)置密碼。

2、連接從路由器的任意一個(gè)SSID，進(jìn)入wifi設(shè)置界面

3、配置2.4G橋接。點(diǎn)擊wifi0的“Add”按鈕，進(jìn)入如下界面，修改ESSID為主路由器的SSID（CB60-2.4G），Mode修改為“Client（WDS）”,Network選擇“create rep”；然后點(diǎn)擊“Save”進(jìn)行保存。（以文字說(shuō)明為主）

點(diǎn)擊wifi0中DB44-2.4G的“Edit”按鈕，進(jìn)入如下界面，Mode為Access Point，2.4G不要做修改。將Network選為rep；然后點(diǎn)擊“Save”進(jìn)行保存。

4、配置5G橋接。點(diǎn)擊wifi1的“Add”按鈕，進(jìn)入如下界面，修改ESSID為主路由器的SSID（CB60-5G），Mode修改為“Client（WDS）”,Network選擇“create rep2”；然后點(diǎn)擊“Save”進(jìn)行保存

點(diǎn)擊wifi1中DB44-5G的“Edit”按鈕，進(jìn)入如下界面，修改Mode為Access Point(WDS)，5G要做修改。將Network選為rep2；然后點(diǎn)擊“Save&Apply”進(jìn)行保存并提交。

四、主、從路由器配置密碼

1、主路由器設(shè)置密碼

連接主路由器的SSID，設(shè)置2.4G和5G密碼，如下圖所示

2、從路由器設(shè)置密碼

主路由器設(shè)置密碼后，從路由器的SSID不會(huì)再顯示，這時(shí)需要用有線的方式連接從路由器。打開如下界面分別設(shè)置2.4G的密碼

五、問(wèn)題說(shuō)明

1、橋接配置完成后，路由器wifi指示燈顯示不正常。

從路由器的兩個(gè)ESSID設(shè)置錯(cuò)誤，需要和主路由器的SSID完全一致。

2、橋接配置完成后，無(wú)法找到從路由器的SSID。

從路由器的密碼設(shè)置錯(cuò)誤，需要和主路由器的保持一致。

從路由器的密碼必須和主路由器設(shè)置的密碼一致。

第三篇：典型路由器實(shí)驗(yàn)配置文檔

典型路由器實(shí)驗(yàn)配置文檔

目錄

一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器).............................3 二，IPsecVPN穿越NAT實(shí)例配置..............................................5 三，雙PPPOE線路實(shí)驗(yàn)(神碼)..................................................9 四，外網(wǎng)通過(guò)IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問(wèn)內(nèi)網(wǎng)服務(wù)器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務(wù)器配置..............................................24 七，總分部之間IPsecVPN對(duì)接................................................29 一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器)1，需求描述

如果DHCP客戶機(jī)與DHCP服務(wù)器在同一個(gè)物理網(wǎng)段，則客戶機(jī)可以正確地獲得動(dòng)態(tài)分配的ip地址。如果不在同一個(gè)物理網(wǎng)段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個(gè)物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個(gè)物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個(gè)物理子網(wǎng)的DHCP客戶機(jī)，而且一個(gè)網(wǎng)絡(luò)中有可能存在多個(gè)DHCP服務(wù)器作為冗余備份。2，拓?fù)鋱D

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報(bào)文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)4，配置驗(yàn)證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項(xiàng)

(1)必須開啟DHCP服務(wù) service dhcp(2)客戶端獲取一個(gè)地址后，廣播發(fā)送Request報(bào)文包含此地址的DHCP服務(wù)器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費(fèi)。

二，IPsecVPN穿越NAT實(shí)例配置

1，需求描述

IPSec協(xié)議的主要目標(biāo)是保護(hù)IP數(shù)據(jù)包的完整性，這意味著IPSec會(huì)禁止任何對(duì)數(shù)據(jù)包的修改。但是NAT處理過(guò)程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號(hào)才能正常工作的。所以，如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過(guò)了ipsec的處理，當(dāng)這些數(shù)據(jù)包經(jīng)過(guò)NAT設(shè)備時(shí)，包內(nèi)容被NAT設(shè)備所改動(dòng)，修 改后的數(shù)據(jù)包到達(dá)目的地主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗，于是這個(gè)數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無(wú)論傳輸模式還是隧道模式，AH都會(huì)認(rèn)證整個(gè)包 頭，不同于ESP 的是，AH 還會(huì)認(rèn)證位于AH頭前的新IP頭，當(dāng)NAT修改了IP 頭之后，IPSec就會(huì)認(rèn)為這是對(duì)數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說(shuō)，AH處理數(shù)據(jù)時(shí)，所使用的數(shù)據(jù)是整個(gè)數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對(duì)這些數(shù)據(jù)作整合，計(jì)算出一個(gè)值，這個(gè)值是唯一的，即只有相同的數(shù)據(jù)，才可能計(jì)算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時(shí)，就不符合這個(gè)值了。這時(shí)，這個(gè)數(shù)據(jù)包就被破壞了。而ESP并不保護(hù)IP包頭，ESP保護(hù)的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容，因此，如何NAT只是轉(zhuǎn)換IP的話，那就不會(huì)影響ESP的計(jì)算。但是如果是使用PAT的話，這個(gè)數(shù)據(jù)包仍然會(huì)受到破壞。

所以，在NAT網(wǎng)絡(luò)中，只能使用IPSec的ESP認(rèn)證加密方法，不能用AH。但是也是有辦法解決這個(gè)缺陷的，不能修改受ESP保護(hù)的TCP／UDP，那就再加一個(gè)UDP報(bào)頭。解決方案：NAT穿越 2，拓?fù)鋱D

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗(yàn)證

R1#f0/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

R2#f1/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

5，注意事項(xiàng)

(1)R1與R3上的對(duì)端地址均為公網(wǎng)地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時(shí)要變換IP地址和端口，從而導(dǎo)致對(duì)方認(rèn)證失敗，所以應(yīng)該保證變換后的IP地址和端口和對(duì)端一致。

三，雙PPPOE線路實(shí)驗(yàn)(神碼)1.需求描述

現(xiàn)實(shí)網(wǎng)絡(luò)中有很多企業(yè)和機(jī)構(gòu)都采用雙線路來(lái)互相冗余備份，而其中有很多通過(guò)pppoe撥號(hào)(ADSL寬帶接入方式)來(lái)實(shí)現(xiàn)對(duì)每個(gè)接入用戶的控制和計(jì)費(fèi)。2.拓?fù)鋱D

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請(qǐng)求撥號(hào)

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會(huì)話階段)ppp chap hostname DCN //chap認(rèn)證用戶名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN

peer default ip address pool pppoe //給撥號(hào)上來(lái)的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗(yàn)證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項(xiàng)

（1），pppoe-client配置虛擬通道時(shí)，最大傳輸單元為1492(默認(rèn))，ip地址為自協(xié)商，ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認(rèn)證方式為任意)。

（2），pppoe-client配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，請(qǐng)求撥號(hào)，應(yīng)用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時(shí)，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時(shí)注意配置分配給客戶端的地址池，開啟本地ppp認(rèn)證，配置本地認(rèn)證用戶名和密碼。

（5），pppoe-server配置虛擬模版時(shí)，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網(wǎng)段，但不包含在地址池里)，ppp認(rèn)證方式為chap或pap，認(rèn)證的用戶名和密碼，給撥號(hào)上來(lái)的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，允許撥號(hào)，應(yīng)用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網(wǎng)通過(guò)IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問(wèn)內(nèi)網(wǎng)服務(wù)器

1，需求描述

有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng)，需要讓在外網(wǎng)出差的用戶撥上VPN后能訪問(wèn)內(nèi)網(wǎng)部分資源(如WEB服務(wù)器，辦公系統(tǒng)等)。2，拓?fù)鋱D

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認(rèn)證!aaa authentication login default none //無(wú)認(rèn)證登錄 aaa authentication enable default none //無(wú)enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗(yàn)證配置 172.16.1.1訪問(wèn)Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項(xiàng)

(1)，配置ipsecvpn時(shí)，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)先查找路由從接口轉(zhuǎn)發(fā)時(shí)再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（IGP）是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò))，它可以通過(guò)不斷的交換信息讓路由器動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化，這些信息包括每個(gè)路由器可以到達(dá)哪些網(wǎng)絡(luò)，這些網(wǎng)絡(luò)有多遠(yuǎn)等。RIP 屬于網(wǎng)絡(luò)層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)

雖然RIP仍然經(jīng)常被使用，但大多數(shù)人認(rèn)為它將會(huì)而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議，也得到了一些使用。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗(yàn)證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes??！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項(xiàng)

（1），neighbor 為對(duì)端ip（2），在接口下 ip rip 1 enable 則宣告了這個(gè)接口的地址所在的網(wǎng)段，如果這個(gè)接口有兩個(gè)地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個(gè)網(wǎng)段 如果一個(gè)接口分兩個(gè)邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個(gè)網(wǎng)段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務(wù)器配置

1，需求描述

L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過(guò)也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶名

ppp chap password 0 admin //認(rèn)證密碼

peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開啟虛擬專用撥號(hào)!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證

lcp-renegotiation //重新進(jìn)行LCP協(xié)商!PC上配置

網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN

4，驗(yàn)證配置

撥號(hào)成功

5，注意事項(xiàng)

(1)，L2TP服務(wù)器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證，lcp-renegotiation //重新進(jìn)行LCP協(xié)商(3)，PC客戶端上配置可選加密，勾選三種認(rèn)證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對(duì)接

1，需求描述

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來(lái)的TCP/IP體系中間，沒有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來(lái)越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過(guò)包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通?？偛亢头植恐g通過(guò)IPsecVPN隧道通信，分部和分部之間通過(guò)和總部建立的IPsecVPN隧道通信。2，拓?fù)湫枨?/p>

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗(yàn)證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項(xiàng)

(1)，思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略，只有到達(dá)對(duì)端私網(wǎng)的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網(wǎng)路由的可達(dá)性，但是只有內(nèi)網(wǎng)有感興趣流量時(shí)才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。

第四篇：交換機(jī)路由器配置總結(jié)

交換機(jī)和路由器配置過(guò)程總結(jié)

作為網(wǎng)絡(luò)中重要的硬件設(shè)備，隨著網(wǎng)絡(luò)融入我們的日常生活，交換機(jī)和路由器也逐漸被人們所熟悉。關(guān)于交換機(jī)、路由器的配置，計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)的學(xué)生理應(yīng)能夠操作熟練。通過(guò)這次網(wǎng)絡(luò)工程師培訓(xùn)，借助Packet Tracer 5.0仿真軟件學(xué)習(xí)網(wǎng)絡(luò)配置、拓?fù)鋱D設(shè)計(jì)等，我對(duì)交換機(jī)、路由器配置有了深刻的了解，現(xiàn)將配置過(guò)程小結(jié)如下。

第一部分 交換機(jī)配置

一、概述 一層、二層交換機(jī)工作在數(shù)據(jù)鏈路層，三層交換機(jī)工作在網(wǎng)絡(luò)層，最常見的是以太網(wǎng)交換機(jī)。交換機(jī)一般具有用戶模式、配置模式、特權(quán)模式、全局配置模式等模式。

二、基本配置命令(CISCO)Switch >enable 進(jìn)入特權(quán)模式

Switch #config terminal 進(jìn)入全局配置模式 Switch(config)#hostname 設(shè)置交換機(jī)的主機(jī)名

Switch(config)#enable password 進(jìn)入特權(quán)模式的密碼（明文形式保存）Switch(config)#enable secret 加密密碼（加密形式保存）（優(yōu)先）Switch(config)#ip default-gateway 配置交換機(jī)網(wǎng)關(guān)

Switch(config)#show mac-address-table 查看MAC地址

Switch(config)logging synchronous 阻止控制臺(tái)信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關(guān)閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會(huì)話退出

使用Telnet遠(yuǎn)程式管理

Switch(config)#line vty 0 4 進(jìn)入虛擬終端 Switch(config-line)# password 設(shè)置登錄口令 Switch(config-line)# login 要求口令驗(yàn)證

控制臺(tái)口令

switch(config)#line console 0 進(jìn)入控制臺(tái)口 switch(config-line)# password xx switch(config-line)# 設(shè)置登錄口令login 允許登錄 恢復(fù)出廠配置

Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置

Switch#vlan database 進(jìn)去vlan配置模式 Switch(vlan)#vlan 號(hào)碼 name 名稱 創(chuàng)建vlan及vlan名 Switch(vlan)#vlan號(hào)碼 mtu數(shù)值 修改MTU大小

Switch(vlan)#exit 更新vlan數(shù)據(jù)并推出 Switch#show vlan 查看驗(yàn)證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口

Switch#config terminal 進(jìn)入全局配置 Switch(config)#interface fastethernet0/1 進(jìn)入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號(hào) 把端口分給一個(gè)vlan Switch(config-if)#switchport mode trunk 設(shè)置為干線

Switch(config-if)#switchport trunk encapsulation dot1q 設(shè)置vlan 中繼協(xié)議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1，2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1，2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1，2 ；從Trunk中關(guān)閉局部修剪

查看vlan信息 Switch#show vlan brief 所有vlan信息

查看vlan信息 Switch#show vlan id 某個(gè)vlan信息 注:Switch#show int trunk 查看trunk協(xié)議

注：可以使用default interface interface-id 還原接口到默認(rèn)配置狀態(tài) Trunk

開啟（no）——將端口設(shè)置為永久中繼模式

關(guān)閉（off）——將端口設(shè)置為永久非中繼模式，并且將鏈路轉(zhuǎn)變?yōu)榉侵欣^鏈路 企望（desirable）——讓端口主動(dòng)試圖將鏈路轉(zhuǎn)換成中繼鏈路 自動(dòng)（auto）——使該端口愿意將鏈路變成中繼鏈路 交換機(jī)顯示命令：

switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當(dāng)前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存

switch#show version 查看當(dāng)前版本信息

switch#show cdp cisco設(shè)備發(fā)現(xiàn)協(xié)議（可以查看聆接設(shè)備）switch#show cdp traffic 杳看接收和發(fā)送的cdp包統(tǒng)計(jì)信息 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

switch#show interface f0/1 switchport 查看有關(guān)switchport的配置 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

三、模擬配置(一個(gè)實(shí)例)

圖一：PC機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置截圖

圖二：模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖三：全局模式下對(duì)交換機(jī)進(jìn)行配置

圖四：查看VLAN當(dāng)前配置信息

第二部分 路由器配置

一、環(huán)境搭建（借鑒網(wǎng)上的材料，通過(guò)自己配置也實(shí)現(xiàn)了同樣的功能）

添加一個(gè)模塊化的路由器，單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器，在彈出的配置窗口上添加一些模塊：

圖五

默認(rèn)情況下，路由器的電源是打開的，添加模塊時(shí)需要關(guān)閉路由器的電源，單擊圖一箭頭所指的電源開關(guān)，將其關(guān)閉，路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。

圖六 添加所需要的模塊

在“MODULES”下尋找所需要的模塊，選中某個(gè)模塊時(shí)會(huì)在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。

圖八 添加一計(jì)算機(jī)，其RS-232與路由器的Console端口相連

圖九 用計(jì)算機(jī)的終端連接路由器

圖十 實(shí)驗(yàn)環(huán)境搭建完成

二、配置單個(gè)路由器

路由器的幾種模式：User mode(用戶模式)、Privileged mode（特權(quán)模式）、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode（路由配置模式）。每種模式對(duì)應(yīng)不同的提示符。

圖十一 幾種配置命令提示符和配置路由器的名字

圖十二 通過(guò)Console端口登錄到路由器需要輸入密碼

圖十三 顯示信息的命令

通過(guò)模擬交換機(jī)和路由器的配置，進(jìn)一步理解了它們的工作原理，對(duì)網(wǎng)絡(luò)拓?fù)浼軜?gòu)有了清晰的認(rèn)識(shí)，為以后的網(wǎng)絡(luò)知識(shí)學(xué)習(xí)打下了基礎(chǔ)。謝謝彭老師！

第五篇：實(shí)驗(yàn)十三 路由器的配置

實(shí)驗(yàn)實(shí)驗(yàn)十三：路由器的基本配置

一、實(shí)驗(yàn)?zāi)康?/p>

掌握路由器幾種配置方法；

掌握采用console線攬配置路由器的方法 掌握采用Telnet方式配置路由器的方法

熟悉路由器不同命令行操作模式以及各種模式之間的切換 掌握路由的基本配置命令

二、技術(shù)原理

1、新建packet tracer拓?fù)鋱D。

2、用標(biāo)準(zhǔn)console線纜用于連接計(jì)算機(jī)的串口和路由器的console口上。在計(jì)算機(jī)上啟用超級(jí)終端，并配置超級(jí)終端的參數(shù)，是計(jì)算機(jī)與路由器通過(guò)console接口建立連接

3、配置路由器的管理IP地址，并為Telnet用戶配置用戶名和登錄口令。配置計(jì)算機(jī)的IP地址（與路由器管理IP地址在同一個(gè)網(wǎng)段），通過(guò)網(wǎng)線將計(jì)算機(jī)和路由器相連，通過(guò)計(jì)算機(jī)Telnet到路由器上對(duì)交換機(jī)進(jìn)行查看。

4、更改路由器的主機(jī)名。

5、顯示當(dāng)前配置信息。

6、顯示歷史命令。

三、實(shí)驗(yàn)背景

1、你是某公司新進(jìn)的網(wǎng)管，公司要求你熟悉網(wǎng)絡(luò)產(chǎn)品，首先要求你登錄路由器，了解、掌握路由器的命令行操作。

2、作為網(wǎng)絡(luò)管理員，你第一次在設(shè)備機(jī)房對(duì)路由器進(jìn)行了初次配置后，希望以后在辦公室或出差時(shí)也可以對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理，現(xiàn)要在路由器上做適當(dāng)配置

四、實(shí)驗(yàn)設(shè)備 硬件：個(gè)人電腦

軟件： windows操作系統(tǒng)，packet tracer5.3 Router_2811臺(tái)；PC1臺(tái)；交叉線；配置線

交叉線：路由器與及計(jì)算機(jī)相連 路由器與交換機(jī)相連 直通線：計(jì)算機(jī)與交換機(jī)相連

五、實(shí)驗(yàn)步驟

Router>en Router#conf t Enter configuration commands, one per line.End with CNTL/Z.Router(config)#hostname r1

// 設(shè)置路由器的名稱 r1(config)#enable secret 123456 // 設(shè)置特權(quán)模式密碼 r1(config)#exit %SYS-5-CONFIG_I: Configured from console by console r1# r1#conf t Enter configuration commands, one per line.End with CNTL/Z.r1(config)#line vty 0 4

//表示配置遠(yuǎn)程登錄線路，進(jìn)入虛擬終端。0~4是遠(yuǎn)程登錄的線路編號(hào)

r1(config-line)#password 1111

// 設(shè)置telnet遠(yuǎn)程登錄密碼 r1(config-line)#login

//用于打開登錄認(rèn)證功能 r1(config-line)#exit r1(config)#int f0/0

// 進(jìn)入路由器0模塊第0端口 r1(config-if)#ip add 192.168.1.1 255.255.255.0 // 該端口配置相應(yīng)的IP地址和子網(wǎng)掩碼

r1(config-if)#no shut // 開啟端口

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN:

Line

protocol

on

Interface FastEthernet0/0, changed state to up r1(config-if)#end r1# %SYS-5-CONFIG_I: Configured from console by console

六、實(shí)驗(yàn)步驟