第一篇：上網(wǎng)行為管理路由器配置-管控配置篇

上網(wǎng)行為管理路由器配置-管控配置篇

互聯(lián)網(wǎng)是信息時(shí)代企業(yè)的生產(chǎn)工具，隨著 Internet在中小企業(yè)的不斷普及，一方面員工上網(wǎng)的條件不斷改善，另一方面因?yàn)槿狈τ行У膽?yīng)用管理，網(wǎng)絡(luò)資源往往得不到合理利用，并給企業(yè)帶來諸多困擾和安全威脅。

上網(wǎng)行為管理路由器應(yīng)用示例

西默上網(wǎng)行為管理路由器是面對中小型企業(yè)，給予專業(yè)網(wǎng)絡(luò)安全平臺，為企業(yè)量身定做的高性價(jià)比上網(wǎng)行為管理設(shè)備。通過 URL 過濾、文件類型過濾、關(guān)鍵字過濾、內(nèi)容檢測等多種方式，徹底防止了色情網(wǎng)站、網(wǎng)絡(luò)游戲、BT 等互聯(lián)網(wǎng)濫用的行為。通過應(yīng)用軟件的過濾，可以禁止員工在工作時(shí)間聊天、播放在線視頻，防止帶寬濫用，保障關(guān)鍵業(yè)務(wù)的開展。通過郵件監(jiān)控可以防止企業(yè)重要機(jī)密泄露。

同時(shí)，智能 QOS會根據(jù)內(nèi)網(wǎng)用戶數(shù)量、上下行帶寬使用比率等參數(shù)自動(dòng)均衡每個(gè) IP的帶寬，充分利用企業(yè)帶寬資源，保障網(wǎng)絡(luò)通暢。

假設(shè)一家公司的 IP 段是 192.168.2.1—192.168.2.254 其中研發(fā)為

192.168.2.240—192.168.2.254，要求研發(fā)人員周一到周五上班時(shí)間不能下載，不能玩游戲。同時(shí)也要對其它上網(wǎng)行為進(jìn)行限制。

第一步 ：添加IP對象組：點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“IP對象組設(shè)置”，如圖 1-1所示：

圖1-1“添加 IP對象組”

在 IP 對象組名稱中輸入“yanfan”（這里必須是字母、數(shù)字以及下劃線），在 IP 地址中 輸入 192.168.2.240 到 192.168.2.254，填寫完成后點(diǎn)擊“添加”，然后點(diǎn)擊“提交”。得到如圖 1-2 所示：

圖 1-2 “IP對象組”

完成后點(diǎn)擊“應(yīng)用”即可生效。

第二步 ：時(shí)間設(shè)置：點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“時(shí)間計(jì)劃設(shè)置”得到圖1-3：

圖1-3 “時(shí)間計(jì)劃設(shè)置”

在時(shí)間計(jì)劃名稱中輸入“shijian”（這里必須是字母、數(shù)字以及下劃線），可在選擇星期 中勾選星期一到星期五，在時(shí)間中輸入“08:00

18:00”，設(shè)置完成后點(diǎn)擊“提交”得到圖1-4：

圖 1-4 “時(shí)間計(jì)劃”

第三步 ：對上網(wǎng)行為的設(shè)置：點(diǎn)擊“系統(tǒng)菜單”→“上網(wǎng)行為”→“上網(wǎng)行為管理”，得到如圖1-5：

圖1-5 “上網(wǎng)行為管理”

點(diǎn)擊“全局控制”，可將游戲、視頻全部設(shè)置為封堵，完成后點(diǎn)擊“提交”，然后點(diǎn)擊 “添加上網(wǎng)行為策略”得到圖1-6：

圖1-6 “添加上網(wǎng)行為策略”

在策略名稱中輸入“xianzhi”（同上也要輸入拼音、數(shù)字以及下劃線），在 IP 范圍選項(xiàng) 中選擇“選擇 IP 組”，勾選“yanfan”，選擇全部協(xié)議，時(shí)間選擇“shijian”，動(dòng)作設(shè)置為封 堵，完成后點(diǎn)擊“提交”，如圖 1-7：

圖1-7 “上網(wǎng)行為策略列表”

到此即完成上網(wǎng)行為管理的設(shè)置。

第二篇：路由器上網(wǎng)行為管理

上網(wǎng)行為管理的應(yīng)用價(jià)值

除了遲到、曠工，上網(wǎng)行為也要納入到行政管理了，這是目前一些企業(yè)的網(wǎng)絡(luò)應(yīng)用需求。為此，越來越多的組網(wǎng)設(shè)備開始提供上網(wǎng)行為管理的功能。

上班不能玩游戲、不能私人聊天、不能炒股、不能發(fā)送可能泄漏公司商業(yè)秘密的郵件。。這些問題其實(shí)是一個(gè)職業(yè)素質(zhì)的基本問題，但企業(yè)管理者由于各種原因，對此經(jīng)常無可奈何。路由器上網(wǎng)行為管理正是迎合了這個(gè)需要，以電子化手段進(jìn)行鐵面無私的管理，行政措施得以有效的貫徹。

但是，上網(wǎng)行為管理功能的產(chǎn)品出現(xiàn)的時(shí)間不長，很多用戶在應(yīng)用中有一定的誤區(qū)，產(chǎn)品選購上也無所適從。本文旨在上網(wǎng)行為管理功能的應(yīng)用價(jià)值、技術(shù)實(shí)現(xiàn)、產(chǎn)品選擇等方面做一個(gè)粗略的探討。

一、上網(wǎng)行為管理的應(yīng)用價(jià)值

首先應(yīng)該明確的是，上網(wǎng)行為管理產(chǎn)品不是組網(wǎng)安全設(shè)備，而是行政管理的手段。上網(wǎng)行為管理是一種約束和規(guī)范企業(yè)員工遵守工作紀(jì)律、提高工作效率、保護(hù)公司隱私的工具，是行政管理的電子化輔助手段。具備上網(wǎng)行為管理功能的路由器無疑對企業(yè)網(wǎng)絡(luò)訪問的制度化管理起到了良好的輔助作用，從這一點(diǎn)上來說上網(wǎng)行為管理的應(yīng)用對企業(yè)是有益的。誠然，精心部署上網(wǎng)行為管理，對企業(yè)網(wǎng)絡(luò)的穩(wěn)定性、可靠性有一定的幫助，但這是非常不夠的。網(wǎng)絡(luò)的穩(wěn)定可靠不能僅僅依靠上網(wǎng)行為管理來實(shí)現(xiàn)，而主要還是要依靠專業(yè)的網(wǎng)絡(luò)安全設(shè)備和方案。可是目前，在一些用戶心中，依然對上網(wǎng)行為管理產(chǎn)品的作用存在一些模糊不清的認(rèn)識：

誤區(qū)一：上網(wǎng)行為管理能讓網(wǎng)絡(luò)不掉線 網(wǎng)絡(luò)掉線是整個(gè)網(wǎng)絡(luò)架構(gòu)不健全的反應(yīng)，是因?yàn)橐蕴W(wǎng)本身的先天缺陷造成的。上網(wǎng)行為管理雖然解決了無序上網(wǎng)的問題，客觀上對網(wǎng)絡(luò)凈化起到一些作用，但絕不是根本的手段。網(wǎng)絡(luò)問題要從網(wǎng)絡(luò)結(jié)構(gòu)本身加以解決，解決網(wǎng)絡(luò)掉線、卡滯等問題，應(yīng)該使用類似欣向免疫墻之類的專業(yè)方案，那才是從根源著手的有效辦法。誤區(qū)二：上網(wǎng)行為管理能防病毒侵害

網(wǎng)絡(luò)病毒的傳播防不勝防，掛馬成為了龐大產(chǎn)業(yè)。所以，靠上網(wǎng)行為的約束，期望杜絕病毒的侵入，在目前中國的網(wǎng)絡(luò)環(huán)境下是杯水車薪。真正抵御病毒侵害要采取綜合的手段，在網(wǎng)絡(luò)層面，要部署防毒墻、垃圾郵件過濾、防火墻、免疫墻、UTM等，在單機(jī)層面，要安裝殺毒軟件、定期升級操作系統(tǒng)補(bǔ)丁等措施。所以，盡管上網(wǎng)行為管理對防范病毒侵害很重要，但也只能是一個(gè)輔助措施。

誤區(qū)三：上網(wǎng)行為管理能控制網(wǎng)速

封QQ、封P2P、封視頻，通過限制大容量的下載保證帶寬的合理使用，這些都是權(quán)宜之計(jì)，不是一個(gè)完善可靠的辦法。限制應(yīng)用不能從根本上解決帶寬管理問題，因?yàn)榫W(wǎng)絡(luò)上的內(nèi)容太豐富了，搶占帶寬的流量無法一一識別并限制。在網(wǎng)絡(luò)管理的技術(shù)方面，對帶寬的管理是通過QoS實(shí)現(xiàn)的，而不是通過限制應(yīng)用的方式。帶寬管理的方法在很多路由器中都有提供，有傳統(tǒng)的平均分配法、有自適應(yīng)調(diào)節(jié)算法、還有“人少時(shí)快、人多時(shí)均”的欣向智能帶寬算法等等。這些都是從專業(yè)角度進(jìn)行的，對控制網(wǎng)速根本有效的辦法。

因此，綜上所述，上網(wǎng)行為管理功能解決不了網(wǎng)絡(luò)的穩(wěn)定性、可靠性問題，對網(wǎng)絡(luò)本身的管理也不是根本的辦法。應(yīng)用上網(wǎng)行為管理后，企業(yè)的網(wǎng)絡(luò)狀況會有一定好轉(zhuǎn)，但恐怕只是暫時(shí)的。上網(wǎng)行為管理最大的效用就是在行政管理上，它通過提高員工的工作效率為企業(yè)創(chuàng)造價(jià)值，這才是上網(wǎng)行為管理路由器得到歡迎的主要原因。

二、上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)

上網(wǎng)行為管理的技術(shù)實(shí)現(xiàn)大概分為幾個(gè)部分：IP分組管理、特定應(yīng)用封鎖、行為審計(jì)、行為記錄等。IP分組管理是實(shí)現(xiàn)上網(wǎng)行為管理的基礎(chǔ)，對于每個(gè)特定的分組分配不同的上網(wǎng)權(quán)限，對各種不同部門、不同業(yè)務(wù)、不同人員的上網(wǎng)行為管理進(jìn)行要求，這樣才能適應(yīng)企業(yè)的應(yīng)用狀況。那種不依賴分組的“一鍵封鎖”是不能全面滿足用戶需求的。所以，分組管理和權(quán)限策略在路由器中設(shè)計(jì)為多重搭配組合的模式。

欣向免疫路由分組成員管理

特定應(yīng)用封鎖技術(shù)包括靜態(tài)過濾、協(xié)議型封鎖二種模式。靜態(tài)過濾是通過封鎖特定應(yīng)用的網(wǎng)絡(luò)服務(wù)器IP和端口，達(dá)到應(yīng)用無法連接到服務(wù)器的目的，實(shí)現(xiàn)行為封鎖的一種方式。這種功能其實(shí)在路由器中早就存在，它是“外網(wǎng)IP過濾”、“端口過濾”、“URL關(guān)鍵字過濾”等幾個(gè)功能的組合。上網(wǎng)行為管理就是廠家把應(yīng)用項(xiàng)目提出來，預(yù)制進(jìn)產(chǎn)品中，通過一個(gè)在界面上的名字表達(dá)這個(gè)功能。這樣做法就是方便了用戶，不必讓用戶自己去查找要封鎖項(xiàng)目的相關(guān)信息，再一條一條地在路由器上配置保存，這大大提高了產(chǎn)品的易用性。

而協(xié)議型封鎖是通過對要封鎖的協(xié)議進(jìn)行分析，識別上網(wǎng)行為身份，進(jìn)行對該協(xié)議的攔截，實(shí)現(xiàn)行為封鎖的一種方式。這是編制在產(chǎn)品的執(zhí)行程序中的，用戶無法自己設(shè)置和干預(yù)。包括QQ、某些游戲、P2P等的部分應(yīng)用，它們雖然有相對固定的服務(wù)器IP群，但它們的連接方式是靠協(xié)議握手，動(dòng)態(tài)地變換IP和端口，甚至有些P2P應(yīng)用連IP都是不確定的。這就需要協(xié)議型封鎖的方式進(jìn)行處理。從技術(shù)實(shí)現(xiàn)的角度來看，靜態(tài)過濾是較容易的手段，而協(xié)議型封鎖對產(chǎn)品設(shè)計(jì)的能力要求要高得多。協(xié)議型封鎖既要吃透應(yīng)用協(xié)議的內(nèi)部過程，又要在實(shí)現(xiàn)的同時(shí)照顧路由器的轉(zhuǎn)發(fā)效率，照顧多WAN情況下的負(fù)載均衡，算法上是比較復(fù)雜的。當(dāng)前的網(wǎng)絡(luò)設(shè)備市場，提供上網(wǎng)行為管理功能的路由器很多，表面上是大家都有上網(wǎng)行為管理功能，但實(shí)際上由于技術(shù)實(shí)現(xiàn)方式的不同，導(dǎo)致了有的上網(wǎng)行為管理功能只是空架子、有漏洞、不實(shí)用。

如果使用簡單的靜態(tài)過濾方式，而不是協(xié)議型封鎖來實(shí)現(xiàn)上網(wǎng)行為管理，功能雖然提供了，而效果是不能令人滿意的。遺憾的是，很多上網(wǎng)行為管理路由器就是這么做的。

拿大家熟悉的QQ來說，我們登陸QQ時(shí)，都需要連接網(wǎng)絡(luò)上的QQ服務(wù)器進(jìn)行帳號和密碼的認(rèn)證、好友列表的獲取、未在線聊天內(nèi)容的下載等等。通過獲取網(wǎng)絡(luò)中的所有QQ服務(wù)器列表，然后通過路由器進(jìn)行這些服務(wù)器IP的過濾處理，這樣QQ帳號密碼認(rèn)證不了，當(dāng)然也就實(shí)現(xiàn)了攔截QQ的目的。

這種封QQ的方式存在兩個(gè)問題：

1、當(dāng)網(wǎng)絡(luò)中特定應(yīng)用添加或變更服務(wù)器IP時(shí)，就會出現(xiàn)行為管理失效，路由器不得不進(jìn)行軟件升級，效果不徹底，應(yīng)用麻煩。

2、當(dāng)使用代理服務(wù)器進(jìn)行應(yīng)用訪問的中轉(zhuǎn)時(shí)，由于認(rèn)證和訪問信息通過第三方中轉(zhuǎn)，自然失去了上網(wǎng)行為管理的效果。網(wǎng)絡(luò)上公布有大量的“QQ代理服務(wù)器”IP，就是用來破解此種行為管理的，QQ聊天軟件也提供了繞過此種封鎖的代理服務(wù)器設(shè)置（如圖），區(qū)分上網(wǎng)行為管理設(shè)備是否徹底就可以通過QQ代理登陸的方式進(jìn)行測試區(qū)分，所以靜態(tài)過濾的方式對行為管理是不徹底的，無效的。

QQ代理服務(wù)器設(shè)置

而協(xié)議型封鎖方式由于直接分析網(wǎng)絡(luò)數(shù)據(jù)協(xié)議，所以無論如何設(shè)置代理都能直接識別封鎖，效果徹底，然而此種行為管理方式需要的技術(shù)較高，路由器中很少使用。而已知的，欣向免疫墻路由器就是采用了協(xié)議分析的上網(wǎng)行為管理手段，這是很難得的。它采用了全新的應(yīng)用層協(xié)議分析，根據(jù)不同應(yīng)用的協(xié)議特征，對特定上網(wǎng)行為進(jìn)行分析確認(rèn)。由于采用了協(xié)議分析，行為管理真正做到了準(zhǔn)確無誤?；趨f(xié)議的上網(wǎng)行為管理功能的實(shí)現(xiàn)，對路由器設(shè)計(jì)有較高的要求。尤其是多WAN環(huán)境下，不管是靜態(tài)過濾還是協(xié)議封鎖，都需要考慮對負(fù)載均衡的影響，也就是說，上網(wǎng)行為管理的啟用，不能犧牲多WAN帶寬匯聚的功能。有一些路由器在實(shí)現(xiàn)上網(wǎng)行為功能的時(shí)候，把內(nèi)網(wǎng)IP固定地綁在某一個(gè)WAN口上，或者按照IP均衡的方式進(jìn)行分配，這就失去了多WAN帶寬疊加的應(yīng)用效果。

欣向采用的是多年領(lǐng)先的基于身份綁定的第四代多WAN技術(shù)。作為第一個(gè)推出多WAN路由器的廠家，欣向一直從事多WAN下的應(yīng)用協(xié)議分析，以保證各種網(wǎng)絡(luò)訪問在多WAN接入下的優(yōu)化處理。在實(shí)現(xiàn)上網(wǎng)行為管理功能的時(shí)候，欣向路由對行為管理的有效性、路由轉(zhuǎn)發(fā)效率、CPU負(fù)荷、多WAN帶寬匯聚等進(jìn)行綜合考慮，是比較周全的方案，在這個(gè)方面無疑是占據(jù)了領(lǐng)先的高度。

欣向免疫墻路由器分組上網(wǎng)行為管理

三、上網(wǎng)行為管理的產(chǎn)品選擇

由于存在著用戶對上網(wǎng)行為管理功能的需求，很多網(wǎng)絡(luò)設(shè)備開始提供這樣的功能。不僅僅在路由器，在防火墻、安全網(wǎng)關(guān)、UTM、接入服務(wù)器等各種設(shè)備中都能見到上網(wǎng)行為管理功能的影子，甚至還有一些專門的上網(wǎng)行為管理設(shè)備賣的也很不錯(cuò)。

雖然存在的就是合理的，但對于用戶來說，要根據(jù)自己的應(yīng)用需求進(jìn)行選擇，要根據(jù)自身網(wǎng)絡(luò)狀況、投資額度、現(xiàn)有設(shè)備的功能組合、網(wǎng)絡(luò)的優(yōu)化升級等作整體的規(guī)劃，最后考慮產(chǎn)品的優(yōu)劣，從而進(jìn)行正確的選擇。

下面提供一些建議供企業(yè)朋友們參考。

對上網(wǎng)行為管理要求較高，管理嚴(yán)苛的較大型企業(yè)，應(yīng)該選擇專用的上網(wǎng)行為管理設(shè)備。這種設(shè)備不提供其他復(fù)雜的上網(wǎng)功能，也沒有過多涉及防火防毒網(wǎng)絡(luò)安全內(nèi)容，它的主要功能就是上網(wǎng)行為管理，術(shù)業(yè)有專攻，它在產(chǎn)品功能上比較豐富，服務(wù)支撐比較到位。

至于防火墻、UTM中提供的上網(wǎng)行為管理功能，也是很可取的方案，它適用于一些信息化程度較高的企業(yè)，準(zhǔn)備或已經(jīng)部署了相關(guān)設(shè)備的情況下，啟用附帶的上網(wǎng)行為管理功能可以節(jié)省部署專用設(shè)備的資金。

選擇寬帶路由器中的上網(wǎng)行為管理功能，適用于大多數(shù)的中小企業(yè)。接入路由器是企業(yè)網(wǎng)絡(luò)的大門，在大門處加一個(gè)門崗做上網(wǎng)行為管理，是簡單易行的辦法。但是，路由器主要的功能是高速數(shù)據(jù)轉(zhuǎn)發(fā)，由于CPU負(fù)載能力和成本的限制，路由器功能設(shè)計(jì)不可能主次顛倒，在上網(wǎng)行為管理上不可能做到很強(qiáng)，所以不要對他抱有太多的期望值，夠用好用就可以了。如果單純因?yàn)樯暇W(wǎng)行為管理去選擇路由器，很可能會本末倒置。這就兩難了。雖然上網(wǎng)行為管理在地位上應(yīng)該是路由功能的附屬，但對于大多數(shù)中小企業(yè)用戶來說，這個(gè)功能確實(shí)又是需要的。同時(shí)企業(yè)網(wǎng)絡(luò)又要解決網(wǎng)絡(luò)的穩(wěn)定、可靠、安全的問題，又不能犧牲網(wǎng)絡(luò)接入的性能，尤其是一些用戶還有多WAN帶寬匯聚能力的要求。在IT投資不可能太大的情況下，那又該如何選擇一臺優(yōu)質(zhì)的路由器，同時(shí)滿足多種需求呢？ 強(qiáng)烈的建議是：配備帶有上網(wǎng)行為管理的免疫墻路由器。

當(dāng)前的企業(yè)網(wǎng)絡(luò)普遍存在網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)掉線、卡滯等問題。很多企業(yè)都將其歸咎于BT下載、QQ視頻等的頻繁使用，導(dǎo)致盲目上馬上網(wǎng)行為管理設(shè)備，實(shí)則不然。以上網(wǎng)絡(luò)應(yīng)用僅是占用了大量的網(wǎng)絡(luò)帶寬，而企業(yè)路由器都有帶寬管理功能，如果是因?yàn)樘囟ㄐ袨樵L問導(dǎo)致的帶寬不足，啟用路由器帶寬管理后就該沒有問題了。但實(shí)際情況是，啟用了帶寬管理以上網(wǎng)絡(luò)問題還存在，購置了新的上網(wǎng)行為管理設(shè)備網(wǎng)絡(luò)問題還沒有解決！

這主要是因?yàn)槠髽I(yè)網(wǎng)絡(luò)的免疫安全問題被忽視了！據(jù)統(tǒng)計(jì)，80%的網(wǎng)絡(luò)問題都是由內(nèi)網(wǎng)引起的。由于以太網(wǎng)的先天缺陷以及路由設(shè)備的脆弱，黑客能夠充分利用協(xié)議漏洞對網(wǎng)絡(luò)系統(tǒng)進(jìn)行破壞，ARP、SYN攻擊等就是基于這樣的原理。補(bǔ)上協(xié)議漏洞、提高管理手段，對終端進(jìn)行強(qiáng)制性管理，從而對網(wǎng)絡(luò)進(jìn)行整體的管控，使病毒的發(fā)作無法竄擾到網(wǎng)絡(luò)上來，這樣才能徹底解決網(wǎng)絡(luò)問題。網(wǎng)絡(luò)問題必須網(wǎng)絡(luò)解決，提高網(wǎng)絡(luò)免疫安全要有全面性和強(qiáng)制性。網(wǎng)絡(luò)免疫技術(shù)由欣向首次提出并應(yīng)用于路由器設(shè)備，欣全向公司基于這樣的技術(shù)思路，讓免疫墻路由器不僅在寬帶接入端起到安全管理的作用，也能夠深入到整個(gè)內(nèi)網(wǎng)的每一個(gè)終端進(jìn)行控制和保護(hù)。同時(shí)，在內(nèi)網(wǎng)中還有一臺監(jiān)控中心，對整個(gè)內(nèi)網(wǎng)的運(yùn)行進(jìn)行統(tǒng)計(jì)、顯示、控制、告警、策略分發(fā)等工作，全網(wǎng)的狀態(tài)時(shí)時(shí)刻刻一目了然。以免疫墻路由器組建企業(yè)內(nèi)網(wǎng)，可以達(dá)到普通路由器難以企及的應(yīng)用效果，在上網(wǎng)的穩(wěn)定、高速、安全、可管理能力上，遠(yuǎn)遠(yuǎn)超過了普通路由的組網(wǎng)方案。

有了網(wǎng)絡(luò)安全和穩(wěn)定的運(yùn)行基礎(chǔ)，網(wǎng)絡(luò)行為管理才能顯示其更加細(xì)致的應(yīng)用訪問控制優(yōu)勢，才能真正滿足中小企業(yè)對網(wǎng)絡(luò)應(yīng)用的多種需求。沒有穩(wěn)定可靠，上網(wǎng)行為管理就無從談起，所謂皮之不存毛之焉在。欣向免疫墻路由器 總結(jié)

是否部署上網(wǎng)行為管理要依據(jù)企業(yè)的具體情況。如果企業(yè)網(wǎng)絡(luò)穩(wěn)定，并且有網(wǎng)絡(luò)訪問行為控制的要求，那么選擇合適的上網(wǎng)行為管理設(shè)備是必要的。

上網(wǎng)行為管理功能需要采用靜態(tài)過濾和協(xié)議型封鎖2種技術(shù)方式，單純依靠靜態(tài)過濾處理上網(wǎng)行為管理是技術(shù)敷衍，功能是不可靠的。但上網(wǎng)行為管理僅限于網(wǎng)絡(luò)訪問權(quán)限的控制，是行政管理的輔助手段，并不能解決網(wǎng)絡(luò)的安全和穩(wěn)定問題。如果企業(yè)存在網(wǎng)絡(luò)掉線、卡滯、速度慢、不安全、難管理等問題，那就需要帶免疫墻功能的路由器，著重解決內(nèi)網(wǎng)問題。中小企業(yè)既要上網(wǎng)行為管理，又要安全穩(wěn)定可靠的網(wǎng)絡(luò)，使用帶有上網(wǎng)行為管理功能的免疫墻路由器可以一舉多得。

第三篇：交換機(jī)路由器配置總結(jié)

交換機(jī)和路由器配置過程總結(jié)

作為網(wǎng)絡(luò)中重要的硬件設(shè)備，隨著網(wǎng)絡(luò)融入我們的日常生活，交換機(jī)和路由器也逐漸被人們所熟悉。關(guān)于交換機(jī)、路由器的配置，計(jì)算機(jī)和網(wǎng)絡(luò)專業(yè)的學(xué)生理應(yīng)能夠操作熟練。通過這次網(wǎng)絡(luò)工程師培訓(xùn)，借助Packet Tracer 5.0仿真軟件學(xué)習(xí)網(wǎng)絡(luò)配置、拓?fù)鋱D設(shè)計(jì)等，我對交換機(jī)、路由器配置有了深刻的了解，現(xiàn)將配置過程小結(jié)如下。

第一部分 交換機(jī)配置

一、概述 一層、二層交換機(jī)工作在數(shù)據(jù)鏈路層，三層交換機(jī)工作在網(wǎng)絡(luò)層，最常見的是以太網(wǎng)交換機(jī)。交換機(jī)一般具有用戶模式、配置模式、特權(quán)模式、全局配置模式等模式。

二、基本配置命令(CISCO)Switch >enable 進(jìn)入特權(quán)模式

Switch #config terminal 進(jìn)入全局配置模式 Switch(config)#hostname 設(shè)置交換機(jī)的主機(jī)名

Switch(config)#enable password 進(jìn)入特權(quán)模式的密碼（明文形式保存）Switch(config)#enable secret 加密密碼（加密形式保存）（優(yōu)先）Switch(config)#ip default-gateway 配置交換機(jī)網(wǎng)關(guān)

Switch(config)#show mac-address-table 查看MAC地址

Switch(config)logging synchronous 阻止控制臺信息覆蓋命令行上的輸入 Switch(config)no ip domain-lookup 關(guān)閉DNS查找功能 Switch(config)exec-timeout 0 0 阻止會話退出

使用Telnet遠(yuǎn)程式管理

Switch(config)#line vty 0 4 進(jìn)入虛擬終端 Switch(config-line)# password 設(shè)置登錄口令 Switch(config-line)# login 要求口令驗(yàn)證

控制臺口令

switch(config)#line console 0 進(jìn)入控制臺口 switch(config-line)# password xx switch(config-line)# 設(shè)置登錄口令login 允許登錄 恢復(fù)出廠配置

Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置

Switch#vlan database 進(jìn)去vlan配置模式 Switch(vlan)#vlan 號碼 name 名稱 創(chuàng)建vlan及vlan名 Switch(vlan)#vlan號碼 mtu數(shù)值 修改MTU大小

Switch(vlan)#exit 更新vlan數(shù)據(jù)并推出 Switch#show vlan 查看驗(yàn)證 Switch#copy running-config startup-config 保存配置 VLAN 中添加 刪除端口

Switch#config terminal 進(jìn)入全局配置 Switch(config)#interface fastethernet0/1 進(jìn)入要分配的端口 Switch(config-if)#Switchport mode access 定義二層端口 Switch(config-if)#Switchport acces vlan 號 把端口分給一個(gè)vlan Switch(config-if)#switchport mode trunk 設(shè)置為干線

Switch(config-if)#switchport trunk encapsulation dot1q 設(shè)置vlan 中繼協(xié)議 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干線 Switch(config-if)#switchport trunk allowed vlan add 1，2 從Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1，2 從Trunk中刪除vlan Switch(config-if)#switchport trunk pruning vlan remove 1，2 ；從Trunk中關(guān)閉局部修剪

查看vlan信息 Switch#show vlan brief 所有vlan信息

查看vlan信息 Switch#show vlan id 某個(gè)vlan信息 注:Switch#show int trunk 查看trunk協(xié)議

注：可以使用default interface interface-id 還原接口到默認(rèn)配置狀態(tài) Trunk

開啟（no）——將端口設(shè)置為永久中繼模式

關(guān)閉（off）——將端口設(shè)置為永久非中繼模式，并且將鏈路轉(zhuǎn)變?yōu)榉侵欣^鏈路 企望（desirable）——讓端口主動(dòng)試圖將鏈路轉(zhuǎn)換成中繼鏈路 自動(dòng)（auto）——使該端口愿意將鏈路變成中繼鏈路 交換機(jī)顯示命令：

switch#show vtp status 查看vtp配置信息 switch#show running-config 查看當(dāng)前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看閃存

switch#show version 查看當(dāng)前版本信息

switch#show cdp cisco設(shè)備發(fā)現(xiàn)協(xié)議（可以查看聆接設(shè)備）switch#show cdp traffic 杳看接收和發(fā)送的cdp包統(tǒng)計(jì)信息 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

switch#show interface f0/1 switchport 查看有關(guān)switchport的配置 switch#show cdp neighbors 查看與該設(shè)備相鄰的cisco設(shè)備

三、模擬配置(一個(gè)實(shí)例)

圖一：PC機(jī)IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)配置截圖

圖二：模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖

圖三：全局模式下對交換機(jī)進(jìn)行配置

圖四：查看VLAN當(dāng)前配置信息

第二部分 路由器配置

一、環(huán)境搭建（借鑒網(wǎng)上的材料，通過自己配置也實(shí)現(xiàn)了同樣的功能）

添加一個(gè)模塊化的路由器，單擊Packet Tracer 5.0的工作區(qū)中剛添加的路由器，在彈出的配置窗口上添加一些模塊：

圖五

默認(rèn)情況下，路由器的電源是打開的，添加模塊時(shí)需要關(guān)閉路由器的電源，單擊圖一箭頭所指的電源開關(guān)，將其關(guān)閉，路由器的電源關(guān)閉后綠色的電源指示燈也將變暗。

圖六 添加所需要的模塊

在“MODULES”下尋找所需要的模塊，選中某個(gè)模塊時(shí)會在下方顯示該模塊的信息。然后拖到路由器的空插槽上即可。

圖八 添加一計(jì)算機(jī)，其RS-232與路由器的Console端口相連

圖九 用計(jì)算機(jī)的終端連接路由器

圖十 實(shí)驗(yàn)環(huán)境搭建完成

二、配置單個(gè)路由器

路由器的幾種模式：User mode(用戶模式)、Privileged mode（特權(quán)模式）、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode（路由配置模式）。每種模式對應(yīng)不同的提示符。

圖十一 幾種配置命令提示符和配置路由器的名字

圖十二 通過Console端口登錄到路由器需要輸入密碼

圖十三 顯示信息的命令

通過模擬交換機(jī)和路由器的配置，進(jìn)一步理解了它們的工作原理，對網(wǎng)絡(luò)拓?fù)浼軜?gòu)有了清晰的認(rèn)識，為以后的網(wǎng)絡(luò)知識學(xué)習(xí)打下了基礎(chǔ)。謝謝彭老師！

第四篇：如何配置企業(yè)路由“上網(wǎng)行為管理”功能

企業(yè)路由器有個(gè)使用比較多的功能，就是對員工的上網(wǎng)行為管理，以達(dá)到合理管控員工的上網(wǎng)時(shí)間，提高工作效率的目的，由于上網(wǎng)行為管理的設(shè)置項(xiàng)比較多，很多人會感覺到復(fù)雜，不知道要實(shí)現(xiàn)的功能在哪里設(shè)置，如何設(shè)置，那今天我就以磊科企業(yè)路由器NR255G為例，配圖來講解下最長配置的功能：

一、登錄路由器的管理界面

瀏覽器打開網(wǎng)址：leike.cc或者192.168.1.1，輸入路由器管理賬號和密碼登錄。

二、增加管理時(shí)間段

當(dāng)領(lǐng)導(dǎo)要對員工的上班時(shí)間管理的時(shí)候，比如在早上9點(diǎn)到11點(diǎn)規(guī)定不能刷網(wǎng)頁新聞，就需要添加被管理的時(shí)段（9:00-11:00），沒有設(shè)置時(shí)間段的時(shí)候，默認(rèn)是所有用戶組的全部時(shí)間，為了便于管理，可以添加多個(gè)時(shí)間段分別管理，時(shí)間段可以設(shè)置為上班時(shí)間、下班時(shí)間、休息日等，可以按周/按日期/按月分別設(shè)置，可在每個(gè)時(shí)間段添加備注方便管理。這里設(shè)置好的時(shí)間段在后面的功能里都可以快速選擇和新增，詳見“時(shí)間組”。

三、設(shè)置用戶/IP組

設(shè)置用戶組可以以部門劃分，也可以加入特定的用戶，方便對每個(gè)部門或某個(gè)特定的人多元化管理。設(shè)置部門時(shí)，需要填寫部門所有用戶的IP，當(dāng)要設(shè)置大領(lǐng)導(dǎo)為單獨(dú)一個(gè)組時(shí)，只需要填寫大領(lǐng)導(dǎo)的設(shè)備IP即可。

注意：如果一個(gè)IP地址屬于多個(gè)組時(shí)，該IP僅會執(zhí)行優(yōu)先級最高的用戶組的規(guī)則。最多支持10條IP規(guī)則，可輸入單個(gè)主機(jī)或IP段，IP段請用“-”隔開，格式： 192.168.1.2-192.168.1.5/ 192.168.1.10

四、網(wǎng)址分類管理

被管理的用戶組可以是所有用戶，也可以是自定義的用戶組，比如市場部，開啟后狀態(tài)有阻斷/記錄/警告三種，可以對聊天軟件、網(wǎng)絡(luò)游戲、電子購物等多種軟件自定義勾選，方便對不同用戶組的使用環(huán)境設(shè)置不同的網(wǎng)址管理。

五、聊天軟件過濾

為了管控員工花費(fèi)很多上班時(shí)間在聊天上，開啟聊天軟件過濾是一種很有效的的管控手法，啟用過濾狀態(tài)，可以對不同用戶組選擇阻斷全部或者阻斷單個(gè)聊天軟件，還能對各軟件進(jìn)行記錄；QQ黑白名單能進(jìn)一步加強(qiáng)管控：

黑名單：未阻斷的情況下，限制登陸的QQ號碼； 白名單：阻斷的情況下，允許登陸的QQ號碼。同時(shí)可以監(jiān)測QQ登錄記錄，設(shè)置可以參考圖例。

六、視頻軟件過濾

與聊天軟件過濾一樣，可以對當(dāng)下流行的視屏軟件開啟過濾，可對不同用戶組設(shè)置全部阻斷或單個(gè)阻斷，并對其記錄。

七、郵件監(jiān)控

郵件的傳輸在企業(yè)內(nèi)部的重要性有目共睹，領(lǐng)導(dǎo)之間，部門之間、業(yè)務(wù)之間的郵件往來都是工作的溝通，對郵件的監(jiān)控就尤為重要，可以對不同的用戶組的不同郵箱進(jìn)行監(jiān)控。

八、電子公告

電子公告功能是向內(nèi)網(wǎng)主機(jī)用戶發(fā)送通告信息，可以設(shè)置公告內(nèi)容，發(fā)送時(shí)間、周期、次數(shù)及對象。

注意：當(dāng)用戶訪問網(wǎng)頁的時(shí)候，才能收到公告信息。

到這里，恭喜你已經(jīng)掌握了上網(wǎng)行為管理的配置方法！

第五篇：典型路由器實(shí)驗(yàn)配置文檔

典型路由器實(shí)驗(yàn)配置文檔

目錄

一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器).............................3 二，IPsecVPN穿越NAT實(shí)例配置..............................................5 三，雙PPPOE線路實(shí)驗(yàn)(神碼)..................................................9 四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務(wù)器配置..............................................24 七，總分部之間IPsecVPN對接................................................29 一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器)1，需求描述

如果DHCP客戶機(jī)與DHCP服務(wù)器在同一個(gè)物理網(wǎng)段，則客戶機(jī)可以正確地獲得動(dòng)態(tài)分配的ip地址。如果不在同一個(gè)物理網(wǎng)段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個(gè)物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個(gè)物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個(gè)物理子網(wǎng)的DHCP客戶機(jī)，而且一個(gè)網(wǎng)絡(luò)中有可能存在多個(gè)DHCP服務(wù)器作為冗余備份。2，拓?fù)鋱D

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報(bào)文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務(wù)，sh run 看不到)4，配置驗(yàn)證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項(xiàng)

(1)必須開啟DHCP服務(wù) service dhcp(2)客戶端獲取一個(gè)地址后，廣播發(fā)送Request報(bào)文包含此地址的DHCP服務(wù)器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費(fèi)。

二，IPsecVPN穿越NAT實(shí)例配置

1，需求描述

IPSec協(xié)議的主要目標(biāo)是保護(hù)IP數(shù)據(jù)包的完整性，這意味著IPSec會禁止任何對數(shù)據(jù)包的修改。但是NAT處理過程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號才能正常工作的。所以，如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過了ipsec的處理，當(dāng)這些數(shù)據(jù)包經(jīng)過NAT設(shè)備時(shí)，包內(nèi)容被NAT設(shè)備所改動(dòng)，修 改后的數(shù)據(jù)包到達(dá)目的地主機(jī)后其解密或完整性認(rèn)證處理就會失敗，于是這個(gè)數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無論傳輸模式還是隧道模式，AH都會認(rèn)證整個(gè)包 頭，不同于ESP 的是，AH 還會認(rèn)證位于AH頭前的新IP頭，當(dāng)NAT修改了IP 頭之后，IPSec就會認(rèn)為這是對數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數(shù)據(jù)時(shí)，所使用的數(shù)據(jù)是整個(gè)數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對這些數(shù)據(jù)作整合，計(jì)算出一個(gè)值，這個(gè)值是唯一的，即只有相同的數(shù)據(jù)，才可能計(jì)算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時(shí)，就不符合這個(gè)值了。這時(shí)，這個(gè)數(shù)據(jù)包就被破壞了。而ESP并不保護(hù)IP包頭，ESP保護(hù)的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容，因此，如何NAT只是轉(zhuǎn)換IP的話，那就不會影響ESP的計(jì)算。但是如果是使用PAT的話，這個(gè)數(shù)據(jù)包仍然會受到破壞。

所以，在NAT網(wǎng)絡(luò)中，只能使用IPSec的ESP認(rèn)證加密方法，不能用AH。但是也是有辦法解決這個(gè)缺陷的，不能修改受ESP保護(hù)的TCP／UDP，那就再加一個(gè)UDP報(bào)頭。解決方案：NAT穿越 2，拓?fù)鋱D

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗(yàn)證

R1#f0/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

R2#f1/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

5，注意事項(xiàng)

(1)R1與R3上的對端地址均為公網(wǎng)地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時(shí)要變換IP地址和端口，從而導(dǎo)致對方認(rèn)證失敗，所以應(yīng)該保證變換后的IP地址和端口和對端一致。

三，雙PPPOE線路實(shí)驗(yàn)(神碼)1.需求描述

現(xiàn)實(shí)網(wǎng)絡(luò)中有很多企業(yè)和機(jī)構(gòu)都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(ADSL寬帶接入方式)來實(shí)現(xiàn)對每個(gè)接入用戶的控制和計(jì)費(fèi)。2.拓?fù)鋱D

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請求撥號

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會話階段)ppp chap hostname DCN //chap認(rèn)證用戶名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN

peer default ip address pool pppoe //給撥號上來的客戶端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗(yàn)證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項(xiàng)

（1），pppoe-client配置虛擬通道時(shí)，最大傳輸單元為1492(默認(rèn))，ip地址為自協(xié)商，ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認(rèn)證方式為任意)。

（2），pppoe-client配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，請求撥號，應(yīng)用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時(shí)，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時(shí)注意配置分配給客戶端的地址池，開啟本地ppp認(rèn)證，配置本地認(rèn)證用戶名和密碼。

（5），pppoe-server配置虛擬模版時(shí)，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網(wǎng)段，但不包含在地址池里)，ppp認(rèn)證方式為chap或pap，認(rèn)證的用戶名和密碼，給撥號上來的客戶端分配地址池里的地址。

（6），pppoe-server配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，允許撥號，應(yīng)用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網(wǎng)通過IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問內(nèi)網(wǎng)服務(wù)器

1，需求描述

有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng)，需要讓在外網(wǎng)出差的用戶撥上VPN后能訪問內(nèi)網(wǎng)部分資源(如WEB服務(wù)器，辦公系統(tǒng)等)。2，拓?fù)鋱D

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認(rèn)證!aaa authentication login default none //無認(rèn)證登錄 aaa authentication enable default none //無enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗(yàn)證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項(xiàng)

(1)，配置ipsecvpn時(shí)，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)先查找路由從接口轉(zhuǎn)發(fā)時(shí)再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫：RIP）是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（IGP）是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò))，它可以通過不斷的交換信息讓路由器動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化，這些信息包括每個(gè)路由器可以到達(dá)哪些網(wǎng)絡(luò)，這些網(wǎng)絡(luò)有多遠(yuǎn)等。RIP 屬于網(wǎng)絡(luò)層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)

雖然RIP仍然經(jīng)常被使用，但大多數(shù)人認(rèn)為它將會而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議，也得到了一些使用。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗(yàn)證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes?。?---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項(xiàng)

（1），neighbor 為對端ip（2），在接口下 ip rip 1 enable 則宣告了這個(gè)接口的地址所在的網(wǎng)段，如果這個(gè)接口有兩個(gè)地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個(gè)網(wǎng)段 如果一個(gè)接口分兩個(gè)邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個(gè)網(wǎng)段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務(wù)器配置

1，需求描述

L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類似，比如同樣可以對網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶名

ppp chap password 0 admin //認(rèn)證密碼

peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開啟虛擬專用撥號!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證

lcp-renegotiation //重新進(jìn)行LCP協(xié)商!PC上配置

網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN

4，驗(yàn)證配置

撥號成功

5，注意事項(xiàng)

(1)，L2TP服務(wù)器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證，lcp-renegotiation //重新進(jìn)行LCP協(xié)商(3)，PC客戶端上配置可選加密，勾選三種認(rèn)證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對接

1，需求描述

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來的TCP/IP體系中間，沒有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來越方便，很多客戶希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通?？偛亢头植恐g通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。2，拓?fù)湫枨?/p>

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗(yàn)證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1?。?Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項(xiàng)

(1)，思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略，只有到達(dá)對端私網(wǎng)的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網(wǎng)路由的可達(dá)性，但是只有內(nèi)網(wǎng)有感興趣流量時(shí)才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。