[史上最详细]H3C路由器NAT典型配置案例

第一篇:[史上最详细]H3C路由器NAT典型配置案例

       H3C路由器NAT典型配置案列(史上最详细)

       神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。1.11 NAT典型配置举例

       1.11.1 内网用户通过NAT地址访问外网(静态地址转换)1.组网需求

       内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。2.组网图

       图1-5 静态地址转换典型配置组网图

       3.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。

       # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet1/2上生效。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4.验证配置

       # 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。

       [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings.IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100

       Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2022-08-16 09:30:49 TTL: 27s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes

       Total sessions found: 1 1.11.2 内网用户通过NAT地址访问外网(地址不重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.0.0/16。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。

       需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。2.组网图

       图1-6 内网用户通过NAT访问外网(地址不重叠)

       3.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。

       # 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。 system-view [Router] nat address-group 0 [Router-nat-address-group-0] address 202.38.1.2 202.38.1.3 [Router-nat-address-group-0] quit # 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat outbound 2000 address-group 0 [Router-GigabitEthernet1/2] quit 4.验证配置

       以上配置完成后,Host A能够访问 server,Host B和Host C无法访问 server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 0 202.38.1.2 202.38.1.3

       NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问 server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 200.1.1.10/4 Destination IP/port: 202.38.1.3/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2022-08-15 14:53:29 TTL: 12s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes

       Total sessions found: 1 1.11.3 内网用户通过NAT地址访问外网(地址重叠)1.组网需求 · 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内网用户可以通过域名访问外网的Web服务器。2.组网图

       图1-7 内网用户通过NAT访问外网(地址重叠)

       3.配置思路

       这是一个典型的双向NAT应用,具体配置思路如下。· 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。· 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。· 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。4.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS的NAT ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 创建地址组1。

       [Router] nat address-group 1 # 添加地址组成员202.38.1.2。

       [Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。

       [Router] nat address-group 2 # 添加地址组成员202.38.1.3。

       [Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

       [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。

       [Router] ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2 5.验证配置

       以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。

       [Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3

       NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Add route: N NO-PAT: Y Reversible: Y

       NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问 server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.10/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2022-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

       Total sessions found: 1 1.11.4 外网用户通过外网地址访问内网服务器 1.组网需求

       某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能: · 外部的主机可以访问内部的服务器。· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。2.组网图

       图1-8 外网用户通过外网地址访问内网服务器

       3.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。# 进入接口GigabitEthernet1/2。 system-view [Router] interface gigabitethernet 1/2 # 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp # 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。

       [Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。

       [Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 # 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。

       [Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp [Router-GigabitEthernet1/2] quit 4.验证配置 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT internal server information: There are 4 internal servers.Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/21 Local IP/port: 10.110.10.3/21

       Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/25 Local IP/port: 10.110.10.4/25

       Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/80 Local IP/port: 10.110.10.1/80

       Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/8080 Local IP/port: 10.110.10.2/80

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.38.1.10/1694 Destination IP/port: 202.38.1.1/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.10/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: FTP Start time: 2022-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

       Total sessions found: 1 1.11.5 外网用户通过域名访问内网服务器(地址不重叠)1.组网需求 · 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。· 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。· 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。需要实现,外网主机可以通过域名访问内网的Web服务器。2.组网图

       图1-9 外网用户通过域名访问内网服务器(地址不重叠)

       3.配置思路 · 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。4.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 10.110.10.2 0 [Router-acl-basic-2000] quit # 创建地址组1。

       [Router] nat address-group 1 # 添加地址组成员202.38.1.3。

       [Router-nat-address-group-1] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-1] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。

       [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

       [Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible [Router-GigabitEthernet1/2] quit 5.验证配置

       以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 1 202.38.1.3 202.38.1.3

       NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y

       NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.2/53 Local IP/port: 10.110.10.3/53

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.1.1.2/1694 Destination IP/port: 202.38.1.3/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.2/8080 Destination IP/port: 202.1.1.2/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2022-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

       Total sessions found: 1 1.11.6 外网用户通过域名访问内网服务器(地址重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.1.0/24。· 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。· 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。· 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。2.组网图

       图1-10 外网用户通过域名访问内网服务器(地址重叠)

       3.配置思路

       这是一个典型的双向NAT应用,具体配置思路如下。· 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。· 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。· NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。 system-view [Router] natalgdns # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。[Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 创建地址组1。

       [Router] nat address-group 1 # 添加地址组成员202.38.1.2。

       [Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。

       [Router] nat address-group 2 # 添加地址组成员202.38.1.3。

       [Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。

       [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.4 inside 200.1.1.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

       [Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 202.38.1.3 32 gigabitethernet1/2 20.2.2.2 5.验证配置

       以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3

       NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Add route: N NO-PAT: N Reversible: N

       NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y

       NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.4/53 Local IP/port: 200.1.1.3/53

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.2/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2022-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

       Total sessions found: 1 1.11.7 内网用户通过NAT地址访问内网服务器 1.组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。2.组网图

       图1-11 内网用户通过NAT地址访问内网服务器

       3.配置思路

       该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。4.配置步骤

       # 按照组网图配置各接口的IP地址,具体配置过程略。

       # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Router] acl number 2000 [Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-basic-2000] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp # 在接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/2的IP地址进行源地址转换。[Router-GigabitEthernet1/2] nat outbound 2000 [Router-GigabitEthernet1/2] quit # 在接口GigabitEthernet1/1上使能NAT hairpin功能。[Router] interface gigabitethernet 1/1 [Router-GigabitEthernet1/1] nathairpin enable [Router-GigabitEthernet1/1] quit 5.验证配置 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。[Router]displaynat all NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group:---Port-preserved: N NO-PAT: N Reversible: N NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.2/21 Local IP/port: 192.168.1.4/21

       NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

       NAT hairpinning: There are 1 interfaces enabled with NAT hairpinning.Interface: GigabitEthernet1/1

       NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---

       NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.4/21 Destination IP/port: 202.38.1.1/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2022-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes

第二篇:典型路由器实验配置文档

       典型路由器实验配置文档

       目录

       一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述

       如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图

       3,配置步骤

       R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证

       Sh ip int br//查看端口信息

       Show ip dhcp binding //查看所有的地址绑定信息

       R1上抓包

       R3上抓包

       R4上抓包

       5,注意事项

       (1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。

       二,IPsecVPN穿越NAT实例配置

       1,需求描述

       IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。

       意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。

       所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图

       3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议

       ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换

       ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换

       R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证

       R1#f0/0上抓包

       ISAKMP报文

       ESP报文

       R2#f1/0上抓包

       ISAKMP报文

       ESP报文

       5,注意事项

       (1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。

       (2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。

       三,双PPPOE线路实验(神码)1.需求描述

       现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图

       3,配置步骤

       R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元

       ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN

       ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号

       port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议

       pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN

       peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入

       port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议

       pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0

       R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!

       username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

       ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!

       ip nat inside source list natacl interface f1/0!

       4,验证配置

       R1#sh ip int br

       Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

       PPPOE Session Information: Total sessions 2

       ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

       Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

       #sh pppoe session

       PPPOE Session Information: Total sessions 1

       ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

       Interface

       IP-Address

       Method Protocol-Status FastEthernet0/0

       unassigned

       manual up

       FastEthernet0/1

       192.168.3.2

       manual up Virtual-template0

       192.168.1.1

       manual down Virtual-access0

       192.168.1.1

       manual up

       #sh pppoe session

       PPPOE Session Information: Total sessions 1

       ID

       Remote_Address

       State

       Role

       Interface BindOn

       FC:FA:F7:D2:07:E9 Established

       server

       va0

       f0/0

       5,注意事项

       (1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。

       (2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。

       (3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。

       (4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。

       (5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。

       (6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。

       四,外网通过IPsec_VPN服务器(在内网)访问内网服务器

       1,需求描述

       有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图

       3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!

       crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

       match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由

       ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

       Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关

       NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

       IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!

       crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

       set peer 11.1.1.1 set transform-set tran1

       match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

       4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1

       IPsecVPN_Client f0/0上抓包

       IPsecVPN_Server f0/0上抓包

       NAT_Over f0/0上抓包

       Telnet_Sever f0/0上抓包

       5,注意事项

       (1),配置ipsecvpn时,注意将map绑定到物理接口。

       (2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。

       (3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例

       五,DCR-2800和BSR-2800配置RIP路由

       1,需求描述

       路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)

       虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述

       3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1

       neighbor 192.168.1.2 DCR-2800#sh ip route C

       192.168.1.0/24

       is directly connected, GigaEthernet0/0 C

       192.168.2.0/24

       is directly connected, GigaEthernet0/1 R

       192.168.3.0/24

       [120,1] via 192.168.1.2(on GigaEthernet0/0)

       BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1

       neighbor 192.168.1.1 BSR-2800#sh ip route C

       192.168.1.0/24

       is directly connected, GigaEthernet0/0 R

       192.168.2.0/24

       [120,1] via 192.168.1.1(on GigaEthernet0/0)C

       192.168.3.0/24

       is directly connected, GigaEthernet0/1 4,验证配置

       DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项

       (1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置

       1,需求描述

       L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述

       3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版

       ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址

       no ip directed-broadcast

       ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名

       ppp chap password 0 admin //认证密码

       peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!

       vpdn-group l2tp //定义vpdn组

       accept-dialin //允许拨入

       port Virtual-template0 //绑定虚拟接口模版

       protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证

       lcp-renegotiation //重新进行LCP协商!PC上配置

       网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN

       4,验证配置

       拨号成功

       5,注意事项

       (1),L2TP服务器上virtual-template接口的地址为任意地址

       (2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP

       七,总分部之间IPsecVPN对接

       1,需求描述

       导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。

       IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求

       3,配置步骤 总部:

       crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!

       crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

       set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:

       crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

       set peer 1.1.1.1 set transform-set tran1

       match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp

       set peer 1.1.1.1 set transform-set tran1

       match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

       Internet:

       interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置

       总部:

       Router#sh crypto isakmp sa dst

       src

       state

       1.1.1.1

       3.1.1.2

       QM_IDLE 1.1.1.1

       2.1.1.2

       QM_IDLE 分部A:

       Router#sh crypto isakmp sa dst

       src

       state

       1.1.1.1

       2.1.1.2

       QM_IDLE 总部和分部A通信:

       conn-id slot status

       0 ACTIVE

       0 ACTIVE

       conn-id slot status

       0 ACTIVE

       Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:

       分部A与分部B通信:

       Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:

       分部B上抓包:

       分部B:

       Router#sh crypto isakmp sa dst

       src

       state

       conn-id slot status 1.1.1.1

       3.1.1.2

       QM_IDLE

       0 ACTIVE 分部B与总部A通信:

       Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:

       分部B与分部A通信:

       Router#ping 192.168.2.1 source 192.168.3.1

       Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:

       分部A上抓包:

       5,注意事项

       (1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。

       (2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。

第三篇:路由器配置

       其实LAN用路由器有两种办法:

       1、是把WLAN的进线(电信拉进你家的网线)插在路由器的WAN口(与众不同的那个口),然后登陆路由器设置页面,设置路由器PPPOE的账号和密码,需要上网的所有电脑都连接其他的LAN口,电脑无需拨号即可上网;

       2、把WLAN的进线插在路由器的LAN,其他电脑网线也插在LAN口,路由器无需设置,电脑需要拨号上网(其实也就是把路由器的路由功能放弃,当集线器使用),该方法也可以满足多台电脑同时使用网络

       首先:你要确保你的路由器设置成自动拨号连接,其次:你要改变你的电脑连接,使用的是本地连接,而不是宽带拨号连接,所以要在网上邻居里面把,宽带连接给取消默认连接,打开本地连接(全部都使用自动获取IP和DNS就可以了),就可以了,有些时候,IE处的Internet选项会是宽带连接(当本地连接断开的时候,它就要拨号连接,可以取消)。

       再次:猫-路由器-电脑,都连接好,在电脑里输入,192.168.1.1 进入路由器控制页面,设置一些基本信息,(自动拨号:你先把账号和密码都输入,有个选项pppoe,然后你把下面,自动连接,在开机和断线后自动连接,保存后,在运行状态里面,看看路由器有没有拨号成功,如果没有就在重新找找问题)

       D-Link路由器的安装设置(XP系统)

       一、硬件连接与准备

       1.用直通网线连接电脑有线网卡端口到路由器任一LAN端口,网路商提供的网络信号(光猫、电猫、直通线送来)端接入路由器INTERNET(或WAN)端。电脑、路由器及网络信号均正常通电工作。

       2.右键点击桌面“网上邻居”-->“属性”-->右击“本地连接”-->“属性”-->左键双击“Internett协议(TCP/IP)”-->选中“使用下面IP地址”-->分别填入IP地址:192.168.0.200、子网掩码:255.255.255.0、默认网关:192.168.0.1-->选中“使用下面的DNS服务器地址”-->填入首选DNS服务器地址:168.195.1.1-->“确定”。本部分两项都点选“自动获得......”大多数也行。

       二、上网设置

       1.打开IE浏览器,地址栏输入192.168.0.1-->回车。

       2.在“路由器登录”页面,输入用户名:admin、密码:空,点击:“登录”。3.在:网络连接“页面-->“手工配置”-->在网络连接类型中下拉选择我的连接是“PPPoe(Userman/Passwod)”。

       4.在“PPPoe”设定中,输入网络商提供的用户名和密码,联机方式选中自动联机(路由器开启会自动拨号上网)。5.点击上方“保存设定”。

       三、无线网络设置(没有无线网络功能的路由器或不想加密无线网络供大众用,本部分跳过)

       1.点击左边“无线设置”。2.勾选“激活无线”-->取个自己易记好听的无线网络的名称输入“无线网络名称”-->勾选“自动扫描信道”-->勾选“802.11g方式”-->选中打开“WMM”-->“激活隐藏无线”为“空”(以后搜索网络能见该名称)。

       3.下拉选中“加密方式”为“激活WPA-Personal无线加密(加强)”-->下拉“密码类型”选中“AES”-->下拉“PSK/EAP”选中“PSK”-->设定可有小写英文字母的8位无线上网“密码”。(注意*****记下无线网名称和密码,以便需要上网的设备使用)4.点击上方“保存设定”。

第四篇:AR18系列路由器负载分担的典型配置

       AR18系列路由器负载分担的典型配置

       一

       组网需求:

       在很多地区,网吧用户同时申请了中国电信和中国网通两条宽带接入线路,如果此时双线路采用常规的“负载均衡”方式,就会发生访问网通站点走电信线路,访问电信站点走网通线路的情况,由于当前网通和电信两个运营商之间存在着互联互通速度慢的问题,造成速度瓶颈。如何实现“访问网通站点走网通线路,访问电信站点走电信线路”呢?在AR18系列路由器上可以通过配置策略路由的方式满足以上需要。

       二

       组网图

       三

       配置步骤:

       定义监测组,分别监测电信和网通网关

       进入系统视图,创建detect-group 1,监测电信网关:

       system

       Page 4 of 14

       System View: return to User View with Ctrl Z.[Quidway] detect-group 1

       [Quidway-detect-group-1]

       [Quidway-detect-group-1]detect-list 1 ip address 61.1.1.1

       [Quidway-detect-group-1]quit

       创建detect-group 1,监测网通网关:

       [Quidway]detect-group 2

       [Quidway-detect-group-2]detect-list 1 ip address 202.1.1.1

       [Quidway-detect-group-2]quit

       [Quidway]

       注:以上以地址61.1.1.1最为电信网关地址,地址202.1.1.1为网通网关地址为例,可以根据实际组网情况修改。

       配置两条默认路由互为备份,优先走电信线路:

       [Quidway]ip route-static 0.0.0.0 0.0.0.0 61.1.1.1 preference 60 detect-group 1

       [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 100 detect-group 2

       注:以上以地址61.1.1.1最为电信网关地址,地址202.1.1.1为网通网关地址为例,可以根据实际组网情况修改。

       配置静态路由与监测组关联,使访问网通流量优先走网通线路:

       以下配置较多,配置过程中可以用实际网通网关地址替换地址202.1.1.1后直接复制粘贴:

       ip route-static 58.16.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 58.100.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 58.240.0.0 255.240.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.0.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.8.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.12.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.13.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.13.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.16.0.0 255.240.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.24.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.31.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.208.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.216.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 60.220.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.48.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.52.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.54.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.55.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.133.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.134.64.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.134.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.135.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.136.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.138.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.139.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.148.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.149.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.156.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.158.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.159.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.161.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.161.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.162.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.163.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.168.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.176.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.179.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.180.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.181.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.182.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 61.189.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 124.90.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 124.162.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 192.168.2.246 255.255.255.255 192.168.2.254 preference 60

       ip route-static 202.32.0.0 255.224.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.96.64.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.97.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.98.0.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.99.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.102.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.102.224.0 255.255.254.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.106.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.107.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.108.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.110.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.110.192.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 202.111.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.79.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.80.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.81.0.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.86.32.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.86.64.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.90.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.90.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.90.192.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 203.92.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.12.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.12.192.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.13.0.0 255.255.255.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.14.160.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.14.192.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.15.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.15.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.16.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.21.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.22.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.51.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.52.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.53.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.74.64.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.74.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.78.0.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 210.82.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 211.100.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 211.101.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 211.147.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 211.167.96.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.4.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.10.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.21.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.24.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.26.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.27.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.28.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.56.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.60.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.62.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.67.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.68.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 218.109.159.0 255.255.255.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.141.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.142.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.154.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.156.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.158.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 219.159.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 220.248.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 220.252.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.0.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.4.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.6.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.7.128.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.8.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.10.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.11.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.12.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.12.0.0 255.255.128.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.12.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.192.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.195.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.199.0.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.199.32.0 255.255.240.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.199.128.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.199.192.0 255.255.240.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.200.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.204.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.207.0.0 255.255.192.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.208.0.0 255.240.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.208.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.213.0.0 255.255.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 221.214.0.0 255.254.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 222.128.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 222.132.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 222.136.0.0 255.248.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 222.160.0.0 255.252.0.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 222.163.0.0 255.255.224.0 202.1.1.1 preference 60 detect-group 2

       ip route-static 0.0.0.0 0.0.0.0 20.1.1.2 preference 60

       注:以上路由已经包含大部分网通地址段,如有更新可以动态添加。

       经过如上三个配置步骤后,路由器便能自动区分网通流量和电信流量,使访问网通站点走网通线路,访问电信站点走电信线路。并且当网通线路出问题后所有流量都会自动切换到电信线路上,使用户能够不间断访问网络。

       四

       配置关键点:

       关键点在于配置缺省路由走电信,精确路由走网通,同时配置一条优先级较低的缺省路由走网通,这样既能实现负载分担,也能实现备份功能

第五篇:cisco交换机、路由器配置的几个典型试验

       实验一:

       1.口令和设备名设置

       添加任意的交换机或路由器,先对交换机进行操作,双击SwitchA switch>en password:

       ;第一次密码为空,直接回车 switch#conf t

       ;进入全局配置模式 switch(config)#hostname swa

       ;设置交换机名

       swa(config)#enable secret aaa

       ;设置特权加密口令为 aaa swa(config)#enable password aax

       ;设置特权非密口令为 aax swa(config)#line console 0

       ;进入控制台口(Rs232)状态 swa(config-line)#login

       ;允许登录 swa(config-line)#password aa

       ;设置登录口令aa swa(config-line)#line vty 0 4

       ;进入虚拟终端virtual tty swa(config-line)#login

       ;允许登录 swa(config-line)#password a

       ;设置登录口令a swa(config-line)#exit

       ;返回上一层 swa(config)#exit

       ;返回上一层 swa#sh run

       ;看配置信息 swa#exit

       ;返回命令

       swa>en password:

       ;试验 哪一个口令可以通过

       双击ROA对路由器进行与交换机类似的设置。

       2.清除口令

       清除交换机口令,实际中是在开机时按住交换机上的mode钮,本模拟机按Ctrl Break

       清除路由器口令,参考如下:双击ROA

       先配置路由的特权口令:

       router>en password:

       ;第一次密码为空,直接回车 router#conf t

       ;进入全局配置模式 router(config)#enable secret aaa

       ;设置特权加密口令为 aaa router(config)#exit

       ;返回 router#exit router>en password:aaa router#

       清除口令是打开寄存器配置开关:

       router#reload

       ;重新启动,按Ctrl Break rommon> rommon>confreg 0x2142

       ;跳过配置,26xx 36xx 45xx rommon>reset

       ;重新引导,等效于重开机 router>en password: router#conf t router(config)#enable secret bbb

       ;设置特权加密口令为 aaa router(config)#config-register 0x2102

       ;正常使用配置文件 router(config)#exit router#exit router>en password:bbb router#

       实验二:计算机与交换机IP地址设置 图文件:switch1 规划ip地址:

       PCA: 10.65.1.1

       PCB: 10.65.1.2

       SWA: 10.65.1.3

       1.双击PCA

       输入用户名:root

       输入口令:linux

       设置 IP :[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0

       查看 IP :[root#PCA root]# ifconfig 删除 IP : [root#PCA root]# ifconfig eth0 10.65.1.1 netamsk 255.255.0.0 down 设置网关:[root#PCA root]# route add default gw 10.65.1.9 查看网关:[root#PCA root]# route

       删除网关:[root#PCA root]# route del default gw 10.65.1.9 2.双击PCB

       输入用户名:root

       输入口令:linux

       设置 IP :[root#PCB root]# ifconfig eth0 10.65.1.2 netmask 255.255.0.0

       设置网关:[root#PCB root]# route add default gw 10.65.1.9 3.双击SWA

       进入特权模式

       : switch>en

       进入全局配置模式: switch#conf t

       进入默认VLAN状态: switch(config)#int vlan 1

       设置ip地址和掩码: switch(config-if)#ip address 10.65.1.3 255.255.0.0

       设置switch的网关: switch(config)#ip defaule-gateway 10.65.1.9

       查看设置

       : #sh run 4.回PCA

       [root@PCA root]# ping 10.65.1.1

       [root@PCA root]# ping 10.65.1.2

       [root@PCA root]# ping 10.65.1.3

       5.修改PCB的ip地址

       修改为不同网段的一个ip地址,再从PCA Ping PCB。

       修改为相同网段的一个ip地址,再从PCA Ping PCB。

       断开交换机与PCB计算机连线,再从PCA Ping PCB。

       [root@PCA root]# ping 10.65.1.2

       实验三 交换机VLAN实验 图文件:switch2

       规划ip地址

       PCA的ip 地址: 10.65.1.1

       PCB的ip 地址: 10.66.1.1

       PCC的ip 地址: 10.65.1.3

       PCD的ip 地址: 10.66.1.3

       SWA的ip 地址: 10.65.1.7

       SWB的ip 地址: 10.65.1.8

       SWA的f0/1~f0/3 vlan 2 ,f0/8为trunk

       SWB的f0/2~f0/4 valn 2 ,f0/1为trunk

       2.设置VLAN 双击SWA: 改名Switch为SWA,建立2个vlan: 2 3 SWA#vlan database SWA(vlan)#vlan 2 SWA(vlan)#vlan 3 SWA(vlan)#exit SWA#conf t SWA#sh vlan 将f0/1,f0/2,f0/3 加入到vlan 2 SWA(config)#int f0/1 SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/2 SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/3 SWA(config-if)#switchport access vlan 2 SWA(config-if)# Ctrl z SWA#sh vlan 与SWA类似设置SWB 的VLAN。

       3.测试可通性

       从PCA到PCC测试:(通)[root@PCA root]# ping 10.65.1.3

       从PCA到PCB测试:(不通:不是一个网段,且不在一个VLAN)[root@PCA root]# ping 10.66.1.1

       从PCB到PCD测试:(不通:要求trunk)[root@PCB root]# ping 10.66.1.3 从PCA到SWA测试:(通)

       [root@PCA root]# ping 10.65.1.7 从PCA到SWB测试:(通)

       [root@PCA root]# ping 10.65.1.8

       从SWA到PCA测试:(通)SWA#ping 10.65.1.1 从SWA到SWB测试:(通)

       SWB#ping 10.65.1.8

       再将连接两个交换机的接口设置成trunk。SWA(config)#int f0/8 SWA(config-if)#switchport mode trunk SWB(config)#int f0/1 SWB(config-if)#switchport mode trunk 测试从PCA和PCB到PCC、PCD、SWA、SWB的可通性。

       5.装入Switch3图文件

       (1)都不设vlan情况下,测试连通性。(2)设置有vlan情况下,测试连通性。(3)使用trunk情况下,测试连通性。

       实验四:路由器的升级

       1.在ROM监控模式下,使用console通过计算机的超级终端设置。装入图文件:router1a

       要求路由器的console与计算机的rs232相连。

       router>Ctrl Break

       ;进入ROM监控状态

       rommon>copy xmodem:c2621.bin flash:c2621.bin ;从console升级IOS

       #### ok!rommon>dir flash: c2621.bin

       这种方式传送的速度比较慢,使用的是RS232串行接口的速率,波特率一般为9600,但不需要IOS的支持,在IOS损坏的情况下往往使用这种方式。

       2.在特权模式下的升级 装入图文件:router1b

       要求TFTP Server(PCA)接入路由器的以太口,且PCA的ip 地址与路由接口的ip地址 在一个网络段。设置TFTP的ip地址为:10.65.1.1 双击HostA: login: root password: linux [root#linux root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0 [root#linux root]# ifconfig

       ;查看IP地址

       双击要升级的路由器:

       设置与之tftp server相联接口f0/0的ip地址 router(cnfig-if)#ip address 10.65.1.2 255.255.0.0 router#copy tftp flash: tftp server ip address:10.65.1.1 flash file name:C2621.bin

       ok!router#dir flash: c2621.bin

       这种方式传输的速度较快,使用的是以太网的速率。但要求IOS是好的,所以升级 IOS使用这种方式较好。

       3.在rommon监控状态下,使用TFTP升级 装入图文件:router1c

       要求路由器console与计算机rs232相连,路由器f0/0与计算机网卡相连。router>Ctrl Break

       ;进入ROM监控状态

       rommon>ip_address=10.65.1.10

       ;设置路由器IP

       rommon>ip_subnet_mask=255.255.0.0

       ;设置路由器掩码 rommon>tftp_server=10.65.1.1

       ;指定TFTP服务器IP rommon>tftp_file=c2600.bin

       ;所要下载的文件

       rommon>tftpdnld

       ;ROM监控状态升级IOS

       ok!rommon>dir flash:

       ;查看闪存中的内容 c2621.bin rommon>boot

       ;引导IOS router>

       实验五

       路由器接口ip设置

       装入图文件:router1d 本实验两个计算机,一个路由器,测试路由器的直路由。设置PCA的IP地址为:10.65.1.1 255.255.0.0 设置PCB的IP地址为:10.66.1.1 255.255.0.0 设置RO f0/0的IP为:10.65.1.2 255.255.0.0 设置RO f0/1的IP为:10.66.1.2 255.255.0.0

       1.设置计算机ip地址

       设置 IP :[root#PCA root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0

       查看 IP :[root#PCA root]# ifconfig

       设置网关:[root#PCA root]# route add default gw 10.65.1.2

       查看网关:[root#PCA root]# route

       设置 IP :[root#PCB root]# ifconfig eth0 10.65.1.1 netmask 255.255.0.0

       查看 IP :[root#PCB root]# ifconfig

       2.双击ROA,配置路由器的接口IP地址: router>en router#conf t router(config)#hostname roa

       roa(config)int f0/0

       roa(config-if)#ip address 10.65.1.2 255.255.0.0 roa(config-if)#no shutdown

       roa(config)int f0/1

       roa(config-if)#ip address 10.66.1.2 255.255.0.0 roa(config-if)#no shut

       roa(config)int s0/0

       roa(config-if)#clock rate 64000 roa(config-if)#ip address 10.67.1.2 255.255.0.0 roa(config-if)#no shut

       roa(config)int s0/1

       roa(config-if)#clock rate 64000 roa(config-if)#ip address 10.68.1.2 255.255.0.0 roa(config-if)#no shut

       3.在计算机PCA分别ping 路由器的四个接口f0/0、f0/

       1、s0/0、s0/1 [root#PCA root]# ping 10.65.1.2 [root#PCA root]# ping 10.66.1.2 [root#PCA root]# ping 10.67.1.2 [root#PCA root]# ping 10.68.1.2

       [root#PCB root]# ping 10.65.1.2 [root#PCB root]# ping 10.66.1.2 [root#PCB root]# ping 10.67.1.2 [root#PCB root]# ping 10.68.1.2 上面的ping命令,这PCA都可以通,但PCB只能与直联口通,因为PCB没有设置网关。下面设置PCB的网关: [root#PCB root]# route add default gw 10.66.1.2 [root#PCB root]# route

       设置网关:[root#PCB root]# route add default gw 10.65.1.9

       查看网关:[root#PCB root]# route 再从PCB ping 各个接口,结果如何?(通)。

       实验六 路由器接口的secondary ip 装入图文件:router1e 这个图含有一个路由器,一个交换机,两个计算机。计算机的IP不变,即: 1.检查计算机和交换机的IP和网关,要求: PCA的IP地址:10.65.1.1 网关指向:10.65.1.2 PCB的IP地址:10.66.1.1 网关指向:10.66.1.2 此时PCA与PCB是不通的,因为它们的网络Id不一样。设置交换机的IP地址: switch(config)#int vlan 1 switch(config-if)#ip address 10.65.1.8 255.255.0.0

       2.设置路由器的接口f0/0的有两个ip地址。roa(config)int f0/0

       roa(config-if)#ip address 10.65.1.2 255.255.0.0 roa(config-if)#no shut roa(config-if)#ip address 10.66.1.2 255.255.0.0 secondary roa(config-if)#no shut roa#sh run

       3.测试可通性

       [root#PCA root]# ping 10.66.1.1 [root#PCA root]# ping 10.66.1.2 [root#PCB root]# ping 10.65.1.1 [root#PCB root]# ping 10.65.1.2 switch#ping 10.65.1.1 switch#ping 10.66.1.1

       以上都是可以通的,如果去掉交换机与路由的连线,PCA和PCB还可以通吗? 可见PCA到PCB的发包是经过路由器的,称之为单臂路由。

       这种情况PCA和PCB在同广播域中,对工作带宽不利。如果划分VLAN可以隔离广播域,下面实验是子接口对不同VLAN的路由。

       实验七 使用路由器子接口路由情况 装入图文件:router1e(同上图)

       此实验计算机和交换机的IP地址和网关不变,但要求交换机工作在两个VLAN的情况下,一个是原有的默认VALN,另一个是新设置的VLAN 2,含f0/

       5、f0/6。

       1.设置交换机,增加一个vlan 2 switch#vlan database Switch(vlan)#vlan 2 Switch(vlan)#exit Switch#conf t Switch(config)#hostname SWA SWA(config)#int f0/5 SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/6 SWA(config-if)#switchport access vlan 2 SWA(config-if)#int f0/1 SWA(config-if)#switchport mode trunk SWA(config-if)# SWA#sh vlan SWA#sh run(检查设置情况)

       2.路由器f0/0 有两个子接口

       roa(config)int f0/0 roa(config-if)#int f0/0.1 roa(config-subif.1)#encapsulation isl roa(config-subif.1)#ip address 10.65.1.2 255.255.0.0 roa(config-subif.1)#no shut roa(config-subif.1)#int f0/0.2 roa(config-subif.2)#encapsulation isl roa(config-subif.2)#ip address 10.66.1.2 255.255.0.0 roa(config-subif.2)#no shut roa#sh run

       检查计算机ip地址与子接口ip地址同网络,计算机网关指向网络的子接口ip。

       3.测试可通性

       [root#PCA root]# ping 10.66.1.1 [root#PCA root]# ping 10.66.1.2 [root#PCB root]# ping 10.65.1.1 [root#PCB root]# ping 10.65.1.2

       在使用一个路由器接口的情况下,如果下接的网络含有不同的VLAN,则要求路由器的接口

       要划分成子接口,并绑定isl协议。在交换机上通过多个VLAN的接口,要设置成trunk。

       如果去掉交换机与路由的连线,PCA和PCB还可以通吗?可见这也是一种单臂路由。实验八 静态路由实验

       装入图文件:router2

       先实验有两个路由器,两个计算机。规划IP地址: 1.设置计算机和路由器的IP 设置ROA的IP: f0/0: 10.65.1.2

       -->PCA:10.65.1.1 f0/1: 10.66.1.2

       s0/0: 10.67.1.2

       s0/1: 10.68.1.2-->

       设置ROB的IP:

       s0/0: 10.68.1.1 <--s0/1: 10.69.1.2 f0/0: 10.70.1.2

       f0/1: 10.71.1.2

       -->PCB:10.71.1.1

       2.静态路由:

       ROA(config)#ip route 10.71.0.0 255.255.0.0 10.68.1.1 ROA(config)#ip routing ROA#show ip route

       从PCA ping PCB 即: [root@PCA root]# ping 10.71.1.1 [root@PCA root]# ping 10.70.1.2

       3.默认路由

       ROA(config)#no ip route 10.71.0.0 255.255.0.0 10.68.1.1 ROA(config)#ip route 0.0.0.0 0.0.0.0 10.68.1.1 ROA#show ip route

       [root@PCA root]# ping 10.71.1.1 [root@PCA root]# ping 10.70.1.2 使用指定静态路由时,只ping能指定网络,使用默认路由时,不判断目的网络。

       4.静态路由接力

       再装入图文件:router3

       这个网络有三个路由器,四个计算机。假设计算机PCC的IP地址是:10.90.1.1 假设计算机PCD的IP地址是:10.91.1.1 如果要从PCA到PCC可通,要在路经的路由器接力设置静态路由。如: ROA(config)#ip route 10.90.0.0 255.255.0.0 ROA(config)#ip route 10.90.0.0 255.255.0.0 [root@PCA root]# ping 10.90.1.1

       实验九 三个路由器的静态路由 装入图文件:router3 设置ROA的IP: f0/0: 10.65.1.2-->PCA:10.65.1.1 f0/1: 10.66.1.2-->PCB:10.66.1.1 s0/0: 10.67.1.2

       s0/1: 10.68.1.2-->

       设置ROB的IP:

       s0/0: 10.68.1.1 <--s0/1: 10.69.1.2--> f0/0: 10.70.1.2

       f0/1: 10.71.1.2

       设置ROC的IP:

       s0/0: 10.69.1.1 <--s0/1: 10.72.1.2

       f0/1: 10.73.1.2-->PCC:10.73.1.1 f0/0: 10.74.1.2-->PCD:10.74.1.1

       设置从PCA到PCC的静态路由 ROA(config)#ip routing ROA(config)#ip route 10.73.0.0 255.255.0.0 10.68.1.1 ROA#show ip route

       ROB(config)#ip route 10.73.0.0 255.255.0.0 10.71.1.1 ROB#show ip route

       [root@PCA root]#ping 10.73.1.1

       使用默认路由

       ROA(config)#no ip route 10.73.0.0 255.255.0.0 10.66.1.1 [root@PCA root]#ping 10.73.1.1 ROA(config)#ip route 0.0.0.0.0.0.0.0 10.68.1.1 [root@PCA root]#ping 10.73.1.1

       实验九 三个路由器动态路由实验 装入图文件:router3 实验网络与上个实验相同,ip地址也不变,现在用动态路由实现网络的连通。ROA(config)#ip routing

       ROA(config)#router rip ROA(config-router)#network 10.0.0.0

       ROB(config)#ip routing

       ROB(config)#router rip ROB(config-router)#network 10.0.0.0

       ROC(config)#ip routing

       ROC(config)#router rip ROC(config-router)#network 10.0.0.0

       ROA#sh ip route ROB#sh ip route ROC#sh ip route

       是否可以看到动态路由表?如果看不到,请检查路由的接口是否激活,network指定 的网络是否包含指定网络。

       从计算机PCA 测试到各点的连通性

       注意同一个路由的不同接口应属不同网络,而一条连接两个路由器网络线的两个端点 IP应该属于同一网络。当设置同一路由器IP,而其它端口已有这个网络时,路由器会阻止设置,提示已有这个网络,并显示对应的端口。如果是本端口可以覆盖。

       实验十 交换机和路由器组合 装入文件router3a 1.交换机设置

       有两种情况,一种是有vlan,一种是无valn,请逐一实验。2.设置静态路

       自定义各点IP,在静态路由下完成任意点的连通性。3.设置动态路由。

       去掉静态路由,使用动态路由下完成。

       4.路由与静态路由结合

       停止某一个路由器的动态路由,写入静态路由,测试任意点的连通性。如:

       ROC(config)#no router rip ROC(config)#no network ROB(config)#ip route #sh run

       实验十 基本访问控制列表 装入文件或route3b

       1.配置路由达到网络各点可通。

       本实验使用有动态路由,也可以使用静态路由。假设网络是通畅的。ROA f0/0: 10.65.1.2-->PCA:10.65.1.1 ROA f0/1: 10.66.1.2-->PCB:10.66.1.1 ROA s0/0: 10.67.1.2

       ROA s0/1: 10.68.1.2-->

       ROB s0/0: 10.68.1.1 <--ROB s0/1: 10.69.1.2--> ROB f0/0: 10.70.1.2

       ROB f0/1: 10.71.1.2

       ROC s0/0: 10.69.1.1 <--ROC s0/1: 10.72.1.2

       ROC f0/1: 10.73.1.2-->PCC:10.73.1.1 ROC f0/0: 10.74.1.2-->PCD:10.74.1.1

       1.基本的访问控制列表: 先从PCA ping PCD: [root@PCA @root]#ping 10.74.1.1 应该是可以通的。

       在ROD的s0/0写一个输入的访问控制列表: ROB(config)#access-list 1 deny any ROB(config)#int s0/0 ROB(config-if)#ip access-group 1 in ROB#sh access-list

       测试PCA至PCD的联通性。(deny)测试PCC至PCD的联通性。(deny)测试PCD至PCA的联通性。(permit)

       2.删除这个列表

       ROD(config)#no access-lilt 1 ROD(config-if)#no ip access-group 1 in 二者都可能实现去掉访问列表的目的。

       前者是从列表号角度删除,后者是从接口及输入和输出的角度删除。可以通过sh run 和sh access-list 命令查看删除情况。

       3.再写访问控制列表

       ROA(config)#access-lilt 1 ROA(config)#access-list 1 deny 10.65.1.1 ROA(config)#access-list 1 permit any ROA(config)#int s0/0 ROA(config-if)#ip access-group 1 out ROA#sh access-list

       再测试PCA至PCD的联通性。(deny)再测试PCB至PCD的联通性。(permit)再测试PCD至PCA的联通性。(permit)

       4.重新设置各路由接口有电脑的ip地址。写一个梯形的访问控制列表。参考的访问列表如下:

       R0B(config)#access-list 4 permit 10.65.1.1 ROB(config)#access-list 4 deny 10.65.1.0 0.0.0.255

       (10.65.1.3 deny)ROB(config)#access-list 4 permit 10.65.0.0 0.0.255.255(10.65.0.0 permit)ROB(config)#access-list 4 deny 10.0.0.0 0.255.255.255

       (10.66.0.0 deny)ROB(config)#access-list 4 permit any

       (11.0.0.0 premit)ROB(config)#int s0/0 ROB(config-if)#ip access-group 4 in 接口的ip地址,计算机的ip地址,请自定。

       实验十一 扩展访问控制列表 装入文件router4

       扩展的访问控制列表,有源和目的两个ip,并且有协议。下面提供二个参考的例句: 1.阻止PCA访问PCD: ROB(config)# access-list 101 deny icmp 10.65.1.1 0.0.0.0 10.74.1.1 0.0.0.0 echo ROB(config)# access-list 101 permit ip any any ROB(config)# int s0/0 ROB(config-if)#ip access-group 101 in ROB#sh access-list [root@PCA root]#ping 10.74.1.1(不通)[root@PCC root]#ping 10.74.1.1(通)[root@PCD root]#ping 10.65.1.1(通)

       2.删除这个列表

       ROB(config)#no access-lilt 101 ROB#sh access-list

       (无)[root@PCA root]#ping 10.74.1.1(通)

       3.阻止10.65.0.0网络访问 10.74.1.1计算机(PCD)。

       ROA(config)#access-list 102 deny ip 10.651.1 0.0.0.255 10.74.1.1 0.0.0.0 ROA(config)#access-list 102 permit ip any any ROA(config)#interface s0/1 ROA(config-if)#ip access-group 102(默认为out)[root@PCA root]#ping 10.74.1.1(不通)[root@PCC root]#ping 10.74.1.1(不通)[root@PCD root]#ping 10.65.1.1(通)

       实验十二 综合实验 1.2.3.4.装入文件all 并使窗体最大化。自定义各点IP 配置各个设备,确保各个点可能ping通。适当设置访问控制列表,检查结果。