第一篇：AR典型配置案例 配置路由器作為FTP Server升級(jí)系統(tǒng)文件的示例

004km.cn 17.Next startup system software: sd1:/software.cc 18.Backup system software for next startup: null 19.Startup saved-configuration file: sd1:/initcfg.cfg 20.Next startup saved-configuration file: sd1:/initcfg.cfg 21.在FTP Client端上傳系統(tǒng)文件，如圖2。004km.cn 2-rw-77,582,080 Dec 13 2011 16:31:17 software_new.cc 28.指定設(shè)備啟動(dòng)時(shí)使用的系統(tǒng)文件。

29. startup system-software software_new.cc 30.This operation will take several minutes, please wait.........Info: Succeeded in setting the file for booting system 31.重新啟動(dòng)設(shè)備。32. reboot

33.Info: The system is comparing the configuration, please wait.004km.cn 41.Next startup system software: sd1:/software_new.cc

42.Backup system software for next startup: null 43.Startup saved-configuration file: sd1:/initcfg.cfg 44.Next startup saved-configuration file: sd1:/initcfg.cfg 配置注意事項(xiàng)

設(shè)備操作期間，盡量避免出現(xiàn)斷電現(xiàn)象，如出現(xiàn)，可能會(huì)導(dǎo)致信息丟失，設(shè)備無(wú)法正常啟動(dòng)。

? FTP的工作目錄必須配置，除了使用local-user huawei ftp-directory設(shè)置本地用戶(hù)的授權(quán)目錄，還可以通過(guò)set default ftp-directory來(lái)設(shè)置FTP用戶(hù)的缺省工作目錄。?

第二篇：AR典型配置案例 配置路由器作為T(mén)FTP Client升級(jí)系統(tǒng)文件的示例

004km.cn 9.Next startup system software: flash:/software.cc 10.Backup system software for next startup: null 11.Startup saved-configuration file: flash:/initcfg.cfg 12.Next startup saved-configuration file: flash:/initcfg.cfg 13.下載設(shè)備啟動(dòng)文件，并查看文件是否下載成功。14. tftp 10.1.1.1 get software_new.cc 15.Info: Transfer file in binary mode.16.Downloading the file from the remote TFTP server.Please wait...17.77,582,080 bytes received in 241 seconds.TFTP: Downloading the file successfully. dir

Directory of flash:/ Idx Attr Size(Byte)Date Time(LMT)FileName 004km.cn 5-rw-77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定設(shè)備下次啟動(dòng)時(shí)使用的系統(tǒng)文件。

19. startup system-software software_new.cc 20.This operation will take several minutes, please wait.........Info: Succeeded in setting the file for booting system 21.重新啟動(dòng)設(shè)備。22. reboot

23.Info: The system is comparing the configuration, please wait.24.Warning: All the configuration will be saved to the next startup configuration.25.Continue ? [y/n]:n 26.System will reboot!Continue ? [y/n]:y Info: system is rebooting ,please wait...27.檢查配置結(jié)果。

28. display startup

29.MainBoard: 30.Startup system software: flash:/software_new.cc 31.Next startup system software: flash:/software_new.cc

32.Backup system software for next startup: null 33.Startup saved-configuration file: flash:/initcfg.cfg 34.Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事項(xiàng)

PC端需使能TFTP服務(wù)器功能，并存放系統(tǒng)文件。

? 保證設(shè)備操作期間，不能出現(xiàn)斷電現(xiàn)象，斷電后，可能會(huì)導(dǎo)致信息丟失，設(shè)備無(wú)法正常啟動(dòng)。?

第三篇：AR典型配置案例 通過(guò)BootROM FTP方式升級(jí)系統(tǒng)文件的示例

004km.cn 43.Ethernet ip address : 192.168.200.174 44.Ethernet ip mask : ffffff00 45.Gateway ip address : 46.Ftp host ip address : 192.168.200.1 47.Ftp user : huawei Ftp password : ********** 48.完成屬性配置后，自動(dòng)返回至網(wǎng)絡(luò)子菜單，選擇第4項(xiàng)，從FTP服務(wù)器上下載資源文件。

49.Network Menu 50.51.1.Display parameter 52.2.Modify parameter 53.3.Save parameter 54.4.Download file 55.0.Return 56.004km.cn] to file system........................................67.................................................................................68.................................................................................69................................................................................................................................OK!70.下載文件成功后返回主菜單，重啟設(shè)備。

71.Network Menu 72.73.1.Display parameter 74.2.Modify parameter 75.3.Save parameter 76.4.Download file 77.0.Return 78.79.Enter your choice(0-4):0 80.Main Menu 81.82.1.Default Startup 83.2.Serial Menu 84.3.Network Menu 85.4.Startup Select 86.5.File Manager 87.6.Password Manager 88.7.Reboot 89.Enter your choice(1-6):7 配置注意事項(xiàng) 004km.cn

建議不要隨便進(jìn)入BootROM菜單進(jìn)行操作，若特別必要，可聯(lián)系華為技術(shù)工程師指導(dǎo)操作。

? AR150系列的管理網(wǎng)口為Ethernet0/0/3，AR160系列的管理網(wǎng)口為GigabitEthernet0/0/0，AR200系列的管理網(wǎng)口為Ethernet0/0/6，AR1200系列的管理網(wǎng)口為GigabitEthernet0/0/0，AR2220的管理網(wǎng)口為GigabitEthernet0/0/0，AR2240的管理網(wǎng)口為GigabitEthernet0/0/2，AR3200系列的管理網(wǎng)口為GigabitEthernet0/0/2。?

說(shuō)明：

AR160系列路由器從V200R005C00版本開(kāi)始支持。

第四篇：典型路由器實(shí)驗(yàn)配置文檔

典型路由器實(shí)驗(yàn)配置文檔

目錄

一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器).............................3 二，IPsecVPN穿越NAT實(shí)例配置..............................................5 三，雙PPPOE線路實(shí)驗(yàn)(神碼)..................................................9 四，外網(wǎng)通過(guò)IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問(wèn)內(nèi)網(wǎng)服務(wù)器.........................15 五，DCR-2800和BSR-2800配置RIP路由.....................................21 六，DCR-2800 L2TP服務(wù)器配置..............................................24 七，總分部之間IPsecVPN對(duì)接................................................29 一，DHCP中繼代理配置實(shí)驗(yàn)案例(多個(gè)DHCP服務(wù)器)1，需求描述

如果DHCP客戶(hù)機(jī)與DHCP服務(wù)器在同一個(gè)物理網(wǎng)段，則客戶(hù)機(jī)可以正確地獲得動(dòng)態(tài)分配的ip地址。如果不在同一個(gè)物理網(wǎng)段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個(gè)物理的網(wǎng)段都要有DHCP服務(wù)器的必要,它可以傳遞消息到不在同一個(gè)物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個(gè)物理子網(wǎng)的DHCP客戶(hù)機(jī)，而且一個(gè)網(wǎng)絡(luò)中有可能存在多個(gè)DHCP服務(wù)器作為冗余備份。2，拓?fù)鋱D

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶(hù)端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務(wù)器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務(wù)器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限廣播DHCP報(bào)文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(開(kāi)啟DHCP服務(wù)，sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開(kāi)啟DHCP服務(wù)，sh run 看不到)4，配置驗(yàn)證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項(xiàng)

(1)必須開(kāi)啟DHCP服務(wù) service dhcp(2)客戶(hù)端獲取一個(gè)地址后，廣播發(fā)送Request報(bào)文包含此地址的DHCP服務(wù)器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費(fèi)。

二，IPsecVPN穿越NAT實(shí)例配置

1，需求描述

IPSec協(xié)議的主要目標(biāo)是保護(hù)IP數(shù)據(jù)包的完整性，這意味著IPSec會(huì)禁止任何對(duì)數(shù)據(jù)包的修改。但是NAT處理過(guò)程是需要修改IP數(shù)據(jù)包的IP 包頭、端口號(hào)才能正常工作的。所以，如果從我們的網(wǎng)關(guān)出去的數(shù)據(jù)包經(jīng)過(guò)了ipsec的處理，當(dāng)這些數(shù)據(jù)包經(jīng)過(guò)NAT設(shè)備時(shí)，包內(nèi)容被NAT設(shè)備所改動(dòng)，修 改后的數(shù)據(jù)包到達(dá)目的地主機(jī)后其解密或完整性認(rèn)證處理就會(huì)失敗，于是這個(gè)數(shù)據(jù)包被認(rèn)為是非法數(shù)據(jù)而丟棄。無(wú)論傳輸模式還是隧道模式，AH都會(huì)認(rèn)證整個(gè)包 頭，不同于ESP 的是，AH 還會(huì)認(rèn)證位于AH頭前的新IP頭，當(dāng)NAT修改了IP 頭之后，IPSec就會(huì)認(rèn)為這是對(duì)數(shù)以完整性的破壞，從而丟棄數(shù)據(jù)包。因此，AH是約 可能與NAT一起工作的。

意思就是說(shuō)，AH處理數(shù)據(jù)時(shí)，所使用的數(shù)據(jù)是整個(gè)數(shù)據(jù)包，甚至是IP包頭的IP地址，也是處理數(shù)據(jù)的一部分，對(duì)這些數(shù)據(jù)作整合，計(jì)算出一個(gè)值，這個(gè)值是唯一的，即只有相同的數(shù)據(jù)，才可能計(jì)算出相同的值。當(dāng)NAT設(shè)備修改了IP地址時(shí)，就不符合這個(gè)值了。這時(shí)，這個(gè)數(shù)據(jù)包就被破壞了。而ESP并不保護(hù)IP包頭，ESP保護(hù)的內(nèi)容是ESP字段到ESP跟蹤字段之間的內(nèi)容，因此，如何NAT只是轉(zhuǎn)換IP的話(huà)，那就不會(huì)影響ESP的計(jì)算。但是如果是使用PAT的話(huà)，這個(gè)數(shù)據(jù)包仍然會(huì)受到破壞。

所以，在NAT網(wǎng)絡(luò)中，只能使用IPSec的ESP認(rèn)證加密方法，不能用AH。但是也是有辦法解決這個(gè)缺陷的，不能修改受ESP保護(hù)的TCP／UDP，那就再加一個(gè)UDP報(bào)頭。解決方案：NAT穿越 2，拓?fù)鋱D

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協(xié)議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉(zhuǎn)換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉(zhuǎn)換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1！crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗(yàn)證

R1#f0/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

R2#f1/0上抓包

ISAKMP報(bào)文

ESP報(bào)文

5，注意事項(xiàng)

(1)R1與R3上的對(duì)端地址均為公網(wǎng)地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時(shí)要變換IP地址和端口，從而導(dǎo)致對(duì)方認(rèn)證失敗，所以應(yīng)該保證變換后的IP地址和端口和對(duì)端一致。

三，雙PPPOE線路實(shí)驗(yàn)(神碼)1.需求描述

現(xiàn)實(shí)網(wǎng)絡(luò)中有很多企業(yè)和機(jī)構(gòu)都采用雙線路來(lái)互相冗余備份，而其中有很多通過(guò)pppoe撥號(hào)(ADSL寬帶接入方式)來(lái)實(shí)現(xiàn)對(duì)每個(gè)接入用戶(hù)的控制和計(jì)費(fèi)。2.拓?fù)鋱D

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協(xié)商 no ip directed-broadcast ppp chap hostname DCN //chap認(rèn)證方式用戶(hù)名DCN ppp chap password 0 DCN //chap認(rèn)證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認(rèn)證方式用戶(hù)名DCN1密碼DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默認(rèn)路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認(rèn)隧道走虛擬隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 啟用VPDN!vpdn-group poe0 建vpdn組 request-dialin 請(qǐng)求撥號(hào)

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協(xié)議

pppoe bind f0/0 綁定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0！!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶(hù)端的地址池 aaa authentication ppp default local //開(kāi)啟本地ppp認(rèn)證 username DCN password 0 DCN //本地認(rèn)證的用戶(hù)名密碼!interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設(shè)置ip地址 no ip directed-broadcast ppp authentication chap //PPP認(rèn)證為chap認(rèn)證方式(virtual-tunnel隧道不能配置此參數(shù)，否則只能完成發(fā)現(xiàn)階段，不能建立會(huì)話(huà)階段)ppp chap hostname DCN //chap認(rèn)證用戶(hù)名DCN ppp chap password 0 DCN //chap認(rèn)證密碼DCN

peer default ip address pool pppoe //給撥號(hào)上來(lái)的客戶(hù)端分配地址池里的地址 ip nat inside！interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //啟用vpdn!vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協(xié)議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0！ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside！ip route default 192.168.3.1！ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any！vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

ip nat inside source list natacl interface f1/0!

4，驗(yàn)證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項(xiàng)

（1），pppoe-client配置虛擬通道時(shí)，最大傳輸單元為1492(默認(rèn))，ip地址為自協(xié)商，ppp認(rèn)證方式為chap和pap(服務(wù)器提供的認(rèn)證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認(rèn)證方式為任意)。

（2），pppoe-client配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，請(qǐng)求撥號(hào)，應(yīng)用虛擬隧道，封裝pppoe協(xié)議，綁定到物理接口。

（3），pppoe-client配置默認(rèn)路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時(shí)，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

（4），pppoe-server配置時(shí)注意配置分配給客戶(hù)端的地址池，開(kāi)啟本地ppp認(rèn)證，配置本地認(rèn)證用戶(hù)名和密碼。

（5），pppoe-server配置虛擬模版時(shí)，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網(wǎng)段，但不包含在地址池里)，ppp認(rèn)證方式為chap或pap，認(rèn)證的用戶(hù)名和密碼，給撥號(hào)上來(lái)的客戶(hù)端分配地址池里的地址。

（6），pppoe-server配置vpdn時(shí)，先啟用vpdn，創(chuàng)建vpdn組，允許撥號(hào)，應(yīng)用虛擬模版，封裝pppoe協(xié)議，綁定到物理接口。

四，外網(wǎng)通過(guò)IPsec_VPN服務(wù)器(在內(nèi)網(wǎng))訪問(wèn)內(nèi)網(wǎng)服務(wù)器

1，需求描述

有些企業(yè)單位將VPN服務(wù)器放在內(nèi)網(wǎng)，需要讓在外網(wǎng)出差的用戶(hù)撥上VPN后能訪問(wèn)內(nèi)網(wǎng)部分資源(如WEB服務(wù)器，辦公系統(tǒng)等)。2，拓?fù)鋱D

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協(xié)商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉(zhuǎn)發(fā)VPN客戶(hù)端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開(kāi)啟AAA認(rèn)證!aaa authentication login default none //無(wú)認(rèn)證登錄 aaa authentication enable default none //無(wú)enable認(rèn)證!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網(wǎng)關(guān)

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務(wù)器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協(xié)議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉(zhuǎn)換圖!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉(zhuǎn)發(fā)VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗(yàn)證配置 172.16.1.1訪問(wèn)Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項(xiàng)

(1)，配置ipsecvpn時(shí)，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務(wù)器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數(shù)據(jù)路由，數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)先查找路由從接口轉(zhuǎn)發(fā)時(shí)再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。天津多外線內(nèi)部vpn服務(wù)器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協(xié)議（Routing Information Protocol，縮寫(xiě)：RIP）是一種使用最廣泛的內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）。（IGP）是在內(nèi)部網(wǎng)絡(luò)上使用的路由協(xié)議(在少數(shù)情形下,也可以用于連接到因特網(wǎng)的網(wǎng)絡(luò))，它可以通過(guò)不斷的交換信息讓路由器動(dòng)態(tài)的適應(yīng)網(wǎng)絡(luò)連接的變化，這些信息包括每個(gè)路由器可以到達(dá)哪些網(wǎng)絡(luò)，這些網(wǎng)絡(luò)有多遠(yuǎn)等。RIP 屬于網(wǎng)絡(luò)層協(xié)議，并使用UDP作為傳輸協(xié)議。(RIP是位于網(wǎng)絡(luò)層的)

雖然RIP仍然經(jīng)常被使用，但大多數(shù)人認(rèn)為它將會(huì)而且正在被諸如OSPF和IS-IS這樣的路由協(xié)議所取代。當(dāng)然，我們也看到EIGRP，一種和RIP屬于同一基本協(xié)議類(lèi)(距離矢量路由協(xié)議,Distance Vector Routing Protocol)但更具適應(yīng)性的路由協(xié)議，也得到了一些使用。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0)C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗(yàn)證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes！！!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項(xiàng)

（1），neighbor 為對(duì)端ip（2），在接口下 ip rip 1 enable 則宣告了這個(gè)接口的地址所在的網(wǎng)段，如果這個(gè)接口有兩個(gè)地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個(gè)網(wǎng)段 如果一個(gè)接口分兩個(gè)邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個(gè)網(wǎng)段192.168.1.0，192.168.4.0 六，DCR-2800 L2TP服務(wù)器配置

1，需求描述

L2TP是一種工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，功能大致和PPTP協(xié)議類(lèi)似，比如同樣可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行加密。不過(guò)也有不同之處，比如PPTP要求網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，L2TP要求面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗(yàn)證，而PPTP不支持。2，拓?fù)涿枋?/p>

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開(kāi)啟ppp認(rèn)證!interface Virtual-template0 //創(chuàng)建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認(rèn)證方式為chap ppp chap hostname admin //認(rèn)證用戶(hù)名

ppp chap password 0 admin //認(rèn)證密碼

peer default ip address pool l2tp_pool //調(diào)用地址池!vpdn enable //開(kāi)啟虛擬專(zhuān)用撥號(hào)!

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協(xié)議為l2tp local-name default force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證

lcp-renegotiation //重新進(jìn)行LCP協(xié)商!PC上配置

網(wǎng)絡(luò)和共享中心->設(shè)置新的連接或網(wǎng)絡(luò)->連接到工作區(qū)->使用我的Internet連接VPN

4，驗(yàn)證配置

撥號(hào)成功

5，注意事項(xiàng)

(1)，L2TP服務(wù)器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強(qiáng)制進(jìn)行CHAP驗(yàn)證，lcp-renegotiation //重新進(jìn)行LCP協(xié)商(3)，PC客戶(hù)端上配置可選加密，勾選三種認(rèn)證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對(duì)接

1，需求描述

導(dǎo)入IPSEC協(xié)議，原因有2個(gè)，一個(gè)是原來(lái)的TCP/IP體系中間，沒(méi)有包括基于安全的設(shè)計(jì)，任何人，只要能夠搭入線路，即可分析所有的通訊數(shù)據(jù)。IPSEC引進(jìn)了完整的安全機(jī)制，包括加密、認(rèn)證和數(shù)據(jù)防篡改功能。另外一個(gè)原因，是因?yàn)镮nternet迅速發(fā)展，接入越來(lái)越方便，很多客戶(hù)希望能夠利用這種上網(wǎng)的帶寬，實(shí)現(xiàn)異地網(wǎng)絡(luò)的的互連通。

IPSEC協(xié)議通過(guò)包封裝技術(shù)，能夠利用Internet可路由的地址，封裝內(nèi)部網(wǎng)絡(luò)的IP地址，實(shí)現(xiàn)異地網(wǎng)絡(luò)的互通。總部和分部之間通過(guò)IPsecVPN隧道通信，分部和分部之間通過(guò)和總部建立的IPsecVPN隧道通信。2，拓?fù)湫枨?/p>

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗(yàn)證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1?。?Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1??！!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1！！!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項(xiàng)

(1)，思科IPsecvpn內(nèi)網(wǎng)流量先查找路由后匹配策略，只有到達(dá)對(duì)端私網(wǎng)的路由，才能匹配策略加密封裝。

(2)，隧道協(xié)商需要公網(wǎng)路由的可達(dá)性，但是只有內(nèi)網(wǎng)有感興趣流量時(shí)才能觸發(fā)隧道協(xié)商，從而建立隧道，而且需要雙向的觸發(fā)。

第五篇：AR典型配置案例 RADIUS認(rèn)證登錄其他設(shè)備的示例

004km.cn

配置設(shè)備作為客戶(hù)端，采用RADIUS認(rèn)證登錄其他設(shè)備的示例

規(guī)格

適用于所有版本、所有形態(tài)的AR路由器。組網(wǎng)需求

用戶(hù)使用STelnet方式連接SSH服務(wù)器（即AR設(shè)備），要求在SSH認(rèn)證過(guò)程中，配置SSH服務(wù)器支持SSH客戶(hù)端通過(guò)RADIUS服務(wù)器進(jìn)行遠(yuǎn)端認(rèn)證。

RADIUS服務(wù)器認(rèn)證該用戶(hù)，將認(rèn)證結(jié)果返回給SSH服務(wù)器。SSH服務(wù)器根據(jù)認(rèn)證結(jié)果決定是否允許SSH客戶(hù)端建立連接。組網(wǎng)圖

圖1 配置SSH支持RADIUS認(rèn)證組網(wǎng)圖

操作步驟

1.在SSH服務(wù)器端生成本地密鑰對(duì)

system-view

[Huawei] sysname ssh server

[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差異，請(qǐng)關(guān)注對(duì)應(yīng)版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0～4用戶(hù)的驗(yàn)證方式為AAA 6.protocol inbound ssh //配置VTY支持SSH協(xié)議 004km.cn

7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj

# SSH客戶(hù)端采用RADIUS認(rèn)證連接SSH服務(wù)器。

system-view

[ssh client] stelnet 10.164.39.222

Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...004km.cn

Enter password: 輸入密碼huawei，顯示登錄成功信息如下：

Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服務(wù)器端執(zhí)行display radius-server configuration命令和display ssh server session命令，可以查看到SSH服務(wù)器端關(guān)于RADIUS服務(wù)器的配置，并且看到STelnet客戶(hù)端采用RADIUS認(rèn)證已經(jīng)成功連接到SSH服務(wù)器。

[ssh server] display ssh server session

------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事項(xiàng)

在RADIUS服務(wù)器端添加對(duì)應(yīng)客戶(hù)端的用戶(hù)名。? 在RADIUS服務(wù)器端指定SSH服務(wù)器的地址和密鑰。? 如果配置SSH客戶(hù)端用戶(hù)使用password驗(yàn)證，只需在SSH服務(wù)器端生成本地RSA密鑰。如果配置SSH客戶(hù)端用戶(hù)使用RSA驗(yàn)證，則在SSH服務(wù)器端和客戶(hù)端都需生成本地RSA密鑰，并將客戶(hù)端上產(chǎn)生的RSA公鑰輸入到服務(wù)器端。?