第一篇:路由器基本配置实验
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器) ............................. 3 二,IPsecVPN穿越NAT实例配置 .............................................. 5 三,双PPPOE线路实验(神码) .................................................. 9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器 ......................... 15 五,DCR-2800和BSR-2800配置RIP路由 ..................................... 21 六,DCR-2800 L2TP服务器配置 .............................................. 24 七,总分部之间IPsecVPN对接 ................................................ 29 一,DHCP中继代理配置实验案例(多个DHCP服务器) 1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。 2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址 ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到) //有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp (开启DHCP服务,sh run 看不到) R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到) 4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp (2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值, 这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。 解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码) 1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。 2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside ! interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside ! interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1 ! ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any ! vpdn enable 启用VPDN ! vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0 ! vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0 ! ! ! ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1 ! R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码 ! interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段) ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside ! ! interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside ! ip route default 192.168.3.1 ! ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any ! vpdn enable //启用vpdn ! vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0 ! ! ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10 ! aaa authentication ppp default local !
username DCN1 password 0 DCN1 ! interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside ! Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside ! ! ip route default 192.168.3.1 ! ! ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any ! ! vpdn enable ! vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0 !
ip nat inside source list natacl interface f1/0 !
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。 2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由 ! ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证 ! aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证 ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ! ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器 ! ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl ! interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ! ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由 ! ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。 天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。 RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。 2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable ! router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable ! router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0) C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1 (192.168.3.1): 56 data bytes !!!!! --- 192.168.3.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip (2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段, 如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0 , 192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证 ! interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池 ! vpdn enable //开启虚拟专用拨号 !
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商 ! PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商 (3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。 2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 1.1.1.2 ! ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl ! interface Loopback0 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 2.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl ! interface Loopback0 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1 ! ip route 0.0.0.0 0.0.0.0 3.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0 ! interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0 ! interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。
第二篇:实验五 基于路由器VLAN构建于配置
实验五
二层交换机+路由器实现VLAN间通信
【实验目的】
进一步理解VLAN概念,掌握解决VLAN间通信的方法。
【实验任务】
1. 2. 3. 4. 5. 6. 按照给出的参考拓扑图构建逻辑拓扑图。 按照给出的配置参数表配置各个设备。
在路由器上创建子接口,选择VLAN包封装格式,并激活路由选择协议。 在交换机中创建VLAN,向VLAN中添加交换机端口,配置Trunk端口。 测试VLAN间相互通信。
【实验任务】
交换机2950.
1台,路由器2621. 1台,PC机. 2台。(在模拟软件Packet Tracer5.3环境下完成)
【实验背景】
在前面的应用案例中,若各个部门间也需要通信,就需要配置Vlan间通信。
【实验拓扑与配置参数】
图4.6 实验拓扑图与配置参数
【实验步骤】
步骤1 按照图4.6参考拓扑图构建逻辑拓扑图。并按照配置参数配置各个设备。
步骤2 在交换机上创建vlan
10、vlan20 ,并分别命名为v
10、v20:
Switch#configure terminal Switch(config)#vlan 10 Switch(config-vlan)#name v10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name v20 步骤3 把交换机端口分配给vlan(Fa0/1划分给vlan10,Fa0/2划分给vlan20),并在Fa0/24端口设置Trunk.:
Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface fastethernet0/2 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#interface fastethernet0/24 Switch(config-if)#switchport mode trunk (注意:Cisco中只支持802.1Q协议,所以在这里不用专门来指定封装协议。若要指定协议使用命令:Switch(config-if)#switchport trunk encapsulation dot1q) 步骤4 配置路由器子接口:
Router(config)#interface fastethernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastethernet0/0.1 Router(config-subif)#encapsulation dot1q 10
//配置封装模式为IEEE802.1Q,对应vlan号为10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet0/0.2 Router(config-subif)#encapsulation dot1q 20 Router(config-subif) #ip address 192.168.20.1 255.255.255.0 步骤5 测试PC0到PC1的连通性。 单击拓扑图中的PC0图标。在弹出来得配置界面中,选择Desktop标签,选择Command P rompt,键入命令 ping 192.168.20.2 PC>192.168.20.2 【实验思考】
1. 子接口是物理接口还是逻辑接口?为什么?
2. 路由器可以配置的带802.1Q封装的子接口数量最多有多少?
3. 中继两端的封装为什么必须一致?Is1与Dot1q封装有什么不同?
第三篇:计算机网络实验二(路由器rip协议配置)
路由器rip协议配置
专 业: 班 级: 姓 名: 学 号: 指导教师: 日 期: 2012年12月3日
一、实验概述 实验目的
1. 了解路由器设备
2. 查看路由器的信息
3. 熟悉路由器的接口IP地址配置
4. 熟悉路由器的RIP路由协议配置 实验内容
1.了解路由器设备
2.实验拓扑图及要求
3.配置路由器接口IP地址
4.配置路由器RIP协议
5.了解其它show命令
6.课堂练习 要求
1) 路由器的基本配置:分别给路由器命名为r
1、r2和r3;关闭域名查找; 设置路由器接口IP地址。
2) 配置RIP路由协议,使每个网段之间都能够相互通信。
3) 在以上网络的基础上,增加R4路由器,并为R4配置一个环回接口及RIP协议。注意,R4和R2的连接链路也需要配置。配置完成后,请查看R2路由器的路由表,并且,使用ping命令测试各网络的连通性。
二、实验环境
使用GNS3模拟CISCO的交换机和路由器、Windows系统。
三、实验步骤
路由器r1的配置。
查看路由器r1的接口编号。
路由器r2的配置
r1和r2在同一个局域网内,现在不需要路由,就可互相ping通。但是r2ping不通loopback()接口,需要配置路由。 路由器r3 的配置
路由器r4的配置:
为r
1、r
2、r
3、r4配置rip协议:
指定与r2相连的网络有:192.1.1.0、172.16.0.0和182.1.1.0。
指定与r3相连的网络有:192.1.1.0和20.0.0.0。
指定与r2相连的网络有:182.1.1.0和30.0.0.0。
从r3可以ping通r1右边的loopback()。
从r1的环回接口ping r
3、r4的环回接口,都可以ping通。
当然,从r3 ping r1 的环回接口可以ping通,r3的环回接口ping r4的环回接口也能ping通。
r2路由表:
r4路由表:
四 、实验心得体会
因为有了第一次实验的基础加之要完成的实验二的课堂练习不是很难,本次实验没有花太多时间。非常感谢老师给的视频,对我的学习有很大的帮助。
本次实验有几大收获:
由于之前每次用GNS3 软件时,电脑CPU利用率都达100%,虽然利用了很多方法,也没有将CPU利用率降下来。本次实验我试着将路由器的 idle 值多试了几次,看到还是有合适的idle 值使电脑CPU利用率降低的。用GNS3 ,CPU终于不再是100%了,有点小开心。
网上也有人说,多算几次IDLE,然后运行设备的时候别点上面那个绿箭头,那个是所有设备同时开始运行,一个一个设备的开始运行,运行一个设备大概CPU利用率在50%左右,等5-10秒会降下来,等利用率降下来之后再运行下一个设备,若要一气所有设备都开开的话CPU就会一直100%不降。不过我没试过。
我还体会了路由器环回接口的测试作用,知道了对于路由器的每个接口,IP值可以不一样(以前不知道,有点小弱智)。知道了路由器 ping 其他路由器的一般接口或环回接口时, source xx.xx.xx.xx命令的作用。
第四篇:路由器配置
其实LAN用路由器有两种办法:
1、是把WLAN的进线(电信拉进你家的网线)插在路由器的WAN口(与众不同的那个口),然后登陆路由器设置页面,设置路由器PPPOE的账号和密码,需要上网的所有电脑都连接其他的LAN口,电脑无需拨号即可上网;
2、把WLAN的进线插在路由器的LAN,其他电脑网线也插在LAN口,路由器无需设置,电脑需要拨号上网(其实也就是把路由器的路由功能放弃,当集线器使用),该方法也可以满足多台电脑同时使用网络
首先:你要确保你的路由器设置成自动拨号连接,
其次:你要改变你的电脑连接,使用的是本地连接,而不是宽带拨号连接,所以要在网上邻居里面把,宽带连接给取消默认连接,打开本地连接(全部都使用自动获取IP和DNS就可以了),就可以了,有些时候,IE处的Internet选项会是宽带连接(当本地连接断开的时候,它就要拨号连接,可以取消)。
再次:猫-路由器-电脑,都连接好,在电脑里输入,192.168.1.1 进入路由器控制页面,设置一些基本信息,(自动拨号:你先把账号和密码都输入,有个选项pppoe,然后你把下面,自动连接,在开机和断线后自动连接,保存后,在运行状态里面,看看路由器有没有拨号成功,如果没有就在重新找找问题)
D-Link路由器的安装设置(XP系统)
一、硬件连接与准备
1.用直通网线连接电脑有线网卡端口到路由器任一LAN端口,网路商提供的网络信号(光猫、电猫、直通线送来)端接入路由器INTERNET(或WAN)端。电脑、路由器及网络信号均正常通电工作。
2.右键点击桌面“网上邻居”-->“属性”-->右击“本地连接”-->“属性”-->左键双击“Internett协议(TCP/IP)”-->选中“使用下面IP地址”-->分别填入IP地址:192.168.0.200、子网掩码:255.255.255.0、默认网关:192.168.0.1-->选中“使用下面的DNS服务器地址”-->填入首选DNS服务器地址:168.195.1.1 -->“确定”。本部分两项都点选“自动获得......”大多数也行。
二、上网设置
1.打开IE浏览器,地址栏输入192.168.0.1 -->回车。
2.在“路由器登录”页面,输入用户名:admin 、密码:空,点击:“登录”。 3.在:网络连接“页面-->“手工配置”-->在网络连接类型中下拉选择我的连接是“PPPoe(Userman/Passwod)”。
4.在“PPPoe”设定中,输入网络商提供的用户名和密码,联机方式选中自动联机(路由器开启会自动拨号上网)。 5.点击上方“保存设定”。
三、无线网络设置(没有无线网络功能的路由器或不想加密无线网络供大众用,本部分跳过)
1.点击左边“无线设置”。 2.勾选“激活无线”-->取个自己易记好听的无线网络的名称输入“无线网络名称”-->勾选“自动扫描信道”-->勾选“802.11g方式”-->选中打开“WMM”-->“激活隐藏无线”为“空”(以后搜索网络能见该名称)。
3.下拉选中“加密方式”为“激活WPA-Personal无线加密(加强)”-->下拉“密码类型”选中“AES”-->下拉“PSK/EAP”选中“PSK”-->设定可有小写英文字母的8位无线上网“密码”。(注意*****记下无线网名称和密码,以便需要上网的设备使用) 4.点击上方“保存设定”。
第五篇:上网行为管理路由器配置-管控配置篇
互联网是信息时代企业的生产工具,随着 Internet在中小企业的不断普及,一方面员工上网的条件不断改善,另一方面因为缺乏有效的应用管理,网络资源往往得不到合理利用,并给企业带来诸多困扰和安全威胁。
上网行为管理路由器应用示例
西默上网行为管理路由器是面对中小型企业,给予专业网络安全平台,为企业量身定做的高性价比上网行为管理设备。通过 URL 过滤、文件类型过滤、关键字过滤、内容检测等多种方式,彻底防止了色情网站、网络游戏、BT 等互联网滥用的行为。通过应用软件的过滤,可以禁止员工在工作时间聊天、播放在线视频,防止带宽滥用,保障关键业务的开展。通过邮件监控可以防止企业重要机密泄露。
同时,智能 QOS会根据内网用户数量、上下行带宽使用比率等参数自动均衡每个 IP的带宽,充分利用企业带宽资源,保障网络通畅。
假设一家公司的 IP 段是 192.168.2.1—192.168.2.254 其中研发为
192.168.2.240—192.168.2.254 ,要求研发人员周一到周五上班时间不能下载 ,不能玩游戏。同时也要对其它上网行为进行限制。
第一步 :添加IP对象组:点击“系统菜单”→“上网行为”→“IP对象组设置”,如图 1-1所示:
图1-1“添加 IP对象组”
在 IP 对象组名称中输入“yanfan”(这里必须是字母、数字以及下划线) ,在 IP 地址中 输入 192.168.2.240 到 192.168.2.254,填写完成后点击“添加”,然后点击“提交” 。得到如图 1-2 所示:
图 1-2 “IP对象组”
完成后点击“应用”即可生效。
第二步 :时间设置:点击“系统菜单”→“上网行为”→“时间计划设置”得到图1-3:
图1-3 “时间计划设置”
在时间计划名称中输入“shijian”(这里必须是字母、数字以及下划线) ,可在选择星期 中勾选星期一到星期五,在时间中输入“08:00
18:00” ,设置完成后点击“提交”得到图1-4:
图 1-4 “时间计划”
第三步 :对上网行为的设置:点击“系统菜单”→“上网行为”→“上网行为管理” ,得到如图1-5:
图1-5 “上网行为管理”
点击“全局控制”,可将游戏 、视频全部设置为封堵,完成后点击“提交”,然后点击 “添加上网行为策略”得到图1-6:
图1-6 “添加上网行为策略”
在策略名称中输入“xianzhi”(同上也要输入拼音、数字以及下划线) ,在 IP 范围选项 中选择“选择 IP 组” ,勾选“yanfan” ,选择全部协议,时间选择“shijian” ,动作设置为封 堵,完成后点击“提交”,如图 1-7:
图1-7 “上网行为策略列表”
到此即完成上网行为管理的设置。