第一篇:上网行为管理路由器配置-管控配置篇
上网行为管理路由器配置-管控配置篇
互联网是信息时代企业的生产工具,随着 Internet在中小企业的不断普及,一方面员工上网的条件不断改善,另一方面因为缺乏有效的应用管理,网络资源往往得不到合理利用,并给企业带来诸多困扰和安全威胁。
上网行为管理路由器应用示例
西默上网行为管理路由器是面对中小型企业,给予专业网络安全平台,为企业量身定做的高性价比上网行为管理设备。通过 URL 过滤、文件类型过滤、关键字过滤、内容检测等多种方式,彻底防止了色情网站、网络游戏、BT 等互联网滥用的行为。通过应用软件的过滤,可以禁止员工在工作时间聊天、播放在线视频,防止带宽滥用,保障关键业务的开展。通过邮件监控可以防止企业重要机密泄露。
同时,智能 QOS会根据内网用户数量、上下行带宽使用比率等参数自动均衡每个 IP的带宽,充分利用企业带宽资源,保障网络通畅。
假设一家公司的 IP 段是 192.168.2.1—192.168.2.254 其中研发为
192.168.2.240—192.168.2.254,要求研发人员周一到周五上班时间不能下载,不能玩游戏。同时也要对其它上网行为进行限制。
第一步 :添加IP对象组:点击“系统菜单”→“上网行为”→“IP对象组设置”,如图 1-1所示:
图1-1“添加 IP对象组”
在 IP 对象组名称中输入“yanfan”(这里必须是字母、数字以及下划线),在 IP 地址中 输入 192.168.2.240 到 192.168.2.254,填写完成后点击“添加”,然后点击“提交”。得到如图 1-2 所示:
图 1-2 “IP对象组”
完成后点击“应用”即可生效。
第二步 :时间设置:点击“系统菜单”→“上网行为”→“时间计划设置”得到图1-3:
图1-3 “时间计划设置”
在时间计划名称中输入“shijian”(这里必须是字母、数字以及下划线),可在选择星期 中勾选星期一到星期五,在时间中输入“08:00
18:00”,设置完成后点击“提交”得到图1-4:
图 1-4 “时间计划”
第三步 :对上网行为的设置:点击“系统菜单”→“上网行为”→“上网行为管理”,得到如图1-5:
图1-5 “上网行为管理”
点击“全局控制”,可将游戏、视频全部设置为封堵,完成后点击“提交”,然后点击 “添加上网行为策略”得到图1-6:
图1-6 “添加上网行为策略”
在策略名称中输入“xianzhi”(同上也要输入拼音、数字以及下划线),在 IP 范围选项 中选择“选择 IP 组”,勾选“yanfan”,选择全部协议,时间选择“shijian”,动作设置为封 堵,完成后点击“提交”,如图 1-7:
图1-7 “上网行为策略列表”
到此即完成上网行为管理的设置。
第二篇:路由器上网行为管理
上网行为管理的应用价值
除了迟到、旷工,上网行为也要纳入到行政管理了,这是目前一些企业的网络应用需求。为此,越来越多的组网设备开始提供上网行为管理的功能。
上班不能玩游戏、不能私人聊天、不能炒股、不能发送可能泄漏公司商业秘密的邮件。。这些问题其实是一个职业素质的基本问题,但企业管理者由于各种原因,对此经常无可奈何。路由器上网行为管理正是迎合了这个需要,以电子化手段进行铁面无私的管理,行政措施得以有效的贯彻。
但是,上网行为管理功能的产品出现的时间不长,很多用户在应用中有一定的误区,产品选购上也无所适从。本文旨在上网行为管理功能的应用价值、技术实现、产品选择等方面做一个粗略的探讨。
一、上网行为管理的应用价值
首先应该明确的是,上网行为管理产品不是组网安全设备,而是行政管理的手段。上网行为管理是一种约束和规范企业员工遵守工作纪律、提高工作效率、保护公司隐私的工具,是行政管理的电子化辅助手段。具备上网行为管理功能的路由器无疑对企业网络访问的制度化管理起到了良好的辅助作用,从这一点上来说上网行为管理的应用对企业是有益的。诚然,精心部署上网行为管理,对企业网络的稳定性、可靠性有一定的帮助,但这是非常不够的。网络的稳定可靠不能仅仅依靠上网行为管理来实现,而主要还是要依靠专业的网络安全设备和方案。可是目前,在一些用户心中,依然对上网行为管理产品的作用存在一些模糊不清的认识:
误区一:上网行为管理能让网络不掉线 网络掉线是整个网络架构不健全的反应,是因为以太网本身的先天缺陷造成的。上网行为管理虽然解决了无序上网的问题,客观上对网络净化起到一些作用,但绝不是根本的手段。网络问题要从网络结构本身加以解决,解决网络掉线、卡滞等问题,应该使用类似欣向免疫墙之类的专业方案,那才是从根源着手的有效办法。误区二:上网行为管理能防病毒侵害
网络病毒的传播防不胜防,挂马成为了庞大产业。所以,靠上网行为的约束,期望杜绝病毒的侵入,在目前中国的网络环境下是杯水车薪。真正抵御病毒侵害要采取综合的手段,在网络层面,要部署防毒墙、垃圾邮件过滤、防火墙、免疫墙、UTM等,在单机层面,要安装杀毒软件、定期升级操作系统补丁等措施。所以,尽管上网行为管理对防范病毒侵害很重要,但也只能是一个辅助措施。
误区三:上网行为管理能控制网速
封QQ、封P2P、封视频,通过限制大容量的下载保证带宽的合理使用,这些都是权宜之计,不是一个完善可靠的办法。限制应用不能从根本上解决带宽管理问题,因为网络上的内容太丰富了,抢占带宽的流量无法一一识别并限制。在网络管理的技术方面,对带宽的管理是通过QoS实现的,而不是通过限制应用的方式。带宽管理的方法在很多路由器中都有提供,有传统的平均分配法、有自适应调节算法、还有“人少时快、人多时均”的欣向智能带宽算法等等。这些都是从专业角度进行的,对控制网速根本有效的办法。
因此,综上所述,上网行为管理功能解决不了网络的稳定性、可靠性问题,对网络本身的管理也不是根本的办法。应用上网行为管理后,企业的网络状况会有一定好转,但恐怕只是暂时的。上网行为管理最大的效用就是在行政管理上,它通过提高员工的工作效率为企业创造价值,这才是上网行为管理路由器得到欢迎的主要原因。
二、上网行为管理的技术实现
上网行为管理的技术实现大概分为几个部分:IP分组管理、特定应用封锁、行为审计、行为记录等。IP分组管理是实现上网行为管理的基础,对于每个特定的分组分配不同的上网权限,对各种不同部门、不同业务、不同人员的上网行为管理进行要求,这样才能适应企业的应用状况。那种不依赖分组的“一键封锁”是不能全面满足用户需求的。所以,分组管理和权限策略在路由器中设计为多重搭配组合的模式。
欣向免疫路由分组成员管理
特定应用封锁技术包括静态过滤、协议型封锁二种模式。静态过滤是通过封锁特定应用的网络服务器IP和端口,达到应用无法连接到服务器的目的,实现行为封锁的一种方式。这种功能其实在路由器中早就存在,它是“外网IP过滤”、“端口过滤”、“URL关键字过滤”等几个功能的组合。上网行为管理就是厂家把应用项目提出来,预制进产品中,通过一个在界面上的名字表达这个功能。这样做法就是方便了用户,不必让用户自己去查找要封锁项目的相关信息,再一条一条地在路由器上配置保存,这大大提高了产品的易用性。
而协议型封锁是通过对要封锁的协议进行分析,识别上网行为身份,进行对该协议的拦截,实现行为封锁的一种方式。这是编制在产品的执行程序中的,用户无法自己设置和干预。包括QQ、某些游戏、P2P等的部分应用,它们虽然有相对固定的服务器IP群,但它们的连接方式是靠协议握手,动态地变换IP和端口,甚至有些P2P应用连IP都是不确定的。这就需要协议型封锁的方式进行处理。从技术实现的角度来看,静态过滤是较容易的手段,而协议型封锁对产品设计的能力要求要高得多。协议型封锁既要吃透应用协议的内部过程,又要在实现的同时照顾路由器的转发效率,照顾多WAN情况下的负载均衡,算法上是比较复杂的。当前的网络设备市场,提供上网行为管理功能的路由器很多,表面上是大家都有上网行为管理功能,但实际上由于技术实现方式的不同,导致了有的上网行为管理功能只是空架子、有漏洞、不实用。
如果使用简单的静态过滤方式,而不是协议型封锁来实现上网行为管理,功能虽然提供了,而效果是不能令人满意的。遗憾的是,很多上网行为管理路由器就是这么做的。
拿大家熟悉的QQ来说,我们登陆QQ时,都需要连接网络上的QQ服务器进行帐号和密码的认证、好友列表的获取、未在线聊天内容的下载等等。通过获取网络中的所有QQ服务器列表,然后通过路由器进行这些服务器IP的过滤处理,这样QQ帐号密码认证不了,当然也就实现了拦截QQ的目的。
这种封QQ的方式存在两个问题:
1、当网络中特定应用添加或变更服务器IP时,就会出现行为管理失效,路由器不得不进行软件升级,效果不彻底,应用麻烦。
2、当使用代理服务器进行应用访问的中转时,由于认证和访问信息通过第三方中转,自然失去了上网行为管理的效果。网络上公布有大量的“QQ代理服务器”IP,就是用来破解此种行为管理的,QQ聊天软件也提供了绕过此种封锁的代理服务器设置(如图),区分上网行为管理设备是否彻底就可以通过QQ代理登陆的方式进行测试区分,所以静态过滤的方式对行为管理是不彻底的,无效的。
QQ代理服务器设置
而协议型封锁方式由于直接分析网络数据协议,所以无论如何设置代理都能直接识别封锁,效果彻底,然而此种行为管理方式需要的技术较高,路由器中很少使用。而已知的,欣向免疫墙路由器就是采用了协议分析的上网行为管理手段,这是很难得的。它采用了全新的应用层协议分析,根据不同应用的协议特征,对特定上网行为进行分析确认。由于采用了协议分析,行为管理真正做到了准确无误。基于协议的上网行为管理功能的实现,对路由器设计有较高的要求。尤其是多WAN环境下,不管是静态过滤还是协议封锁,都需要考虑对负载均衡的影响,也就是说,上网行为管理的启用,不能牺牲多WAN带宽汇聚的功能。有一些路由器在实现上网行为功能的时候,把内网IP固定地绑在某一个WAN口上,或者按照IP均衡的方式进行分配,这就失去了多WAN带宽叠加的应用效果。
欣向采用的是多年领先的基于身份绑定的第四代多WAN技术。作为第一个推出多WAN路由器的厂家,欣向一直从事多WAN下的应用协议分析,以保证各种网络访问在多WAN接入下的优化处理。在实现上网行为管理功能的时候,欣向路由对行为管理的有效性、路由转发效率、CPU负荷、多WAN带宽汇聚等进行综合考虑,是比较周全的方案,在这个方面无疑是占据了领先的高度。
欣向免疫墙路由器分组上网行为管理
三、上网行为管理的产品选择
由于存在着用户对上网行为管理功能的需求,很多网络设备开始提供这样的功能。不仅仅在路由器,在防火墙、安全网关、UTM、接入服务器等各种设备中都能见到上网行为管理功能的影子,甚至还有一些专门的上网行为管理设备卖的也很不错。
虽然存在的就是合理的,但对于用户来说,要根据自己的应用需求进行选择,要根据自身网络状况、投资额度、现有设备的功能组合、网络的优化升级等作整体的规划,最后考虑产品的优劣,从而进行正确的选择。
下面提供一些建议供企业朋友们参考。
对上网行为管理要求较高,管理严苛的较大型企业,应该选择专用的上网行为管理设备。这种设备不提供其他复杂的上网功能,也没有过多涉及防火防毒网络安全内容,它的主要功能就是上网行为管理,术业有专攻,它在产品功能上比较丰富,服务支撑比较到位。
至于防火墙、UTM中提供的上网行为管理功能,也是很可取的方案,它适用于一些信息化程度较高的企业,准备或已经部署了相关设备的情况下,启用附带的上网行为管理功能可以节省部署专用设备的资金。
选择宽带路由器中的上网行为管理功能,适用于大多数的中小企业。接入路由器是企业网络的大门,在大门处加一个门岗做上网行为管理,是简单易行的办法。但是,路由器主要的功能是高速数据转发,由于CPU负载能力和成本的限制,路由器功能设计不可能主次颠倒,在上网行为管理上不可能做到很强,所以不要对他抱有太多的期望值,够用好用就可以了。如果单纯因为上网行为管理去选择路由器,很可能会本末倒置。这就两难了。虽然上网行为管理在地位上应该是路由功能的附属,但对于大多数中小企业用户来说,这个功能确实又是需要的。同时企业网络又要解决网络的稳定、可靠、安全的问题,又不能牺牲网络接入的性能,尤其是一些用户还有多WAN带宽汇聚能力的要求。在IT投资不可能太大的情况下,那又该如何选择一台优质的路由器,同时满足多种需求呢? 强烈的建议是:配备带有上网行为管理的免疫墙路由器。
当前的企业网络普遍存在网络速度慢、网络掉线、卡滞等问题。很多企业都将其归咎于BT下载、QQ视频等的频繁使用,导致盲目上马上网行为管理设备,实则不然。以上网络应用仅是占用了大量的网络带宽,而企业路由器都有带宽管理功能,如果是因为特定行为访问导致的带宽不足,启用路由器带宽管理后就该没有问题了。但实际情况是,启用了带宽管理以上网络问题还存在,购置了新的上网行为管理设备网络问题还没有解决!
这主要是因为企业网络的免疫安全问题被忽视了!据统计,80%的网络问题都是由内网引起的。由于以太网的先天缺陷以及路由设备的脆弱,黑客能够充分利用协议漏洞对网络系统进行破坏,ARP、SYN攻击等就是基于这样的原理。补上协议漏洞、提高管理手段,对终端进行强制性管理,从而对网络进行整体的管控,使病毒的发作无法窜扰到网络上来,这样才能彻底解决网络问题。网络问题必须网络解决,提高网络免疫安全要有全面性和强制性。网络免疫技术由欣向首次提出并应用于路由器设备,欣全向公司基于这样的技术思路,让免疫墙路由器不仅在宽带接入端起到安全管理的作用,也能够深入到整个内网的每一个终端进行控制和保护。同时,在内网中还有一台监控中心,对整个内网的运行进行统计、显示、控制、告警、策略分发等工作,全网的状态时时刻刻一目了然。以免疫墙路由器组建企业内网,可以达到普通路由器难以企及的应用效果,在上网的稳定、高速、安全、可管理能力上,远远超过了普通路由的组网方案。
有了网络安全和稳定的运行基础,网络行为管理才能显示其更加细致的应用访问控制优势,才能真正满足中小企业对网络应用的多种需求。没有稳定可靠,上网行为管理就无从谈起,所谓皮之不存毛之焉在。欣向免疫墙路由器 总结
是否部署上网行为管理要依据企业的具体情况。如果企业网络稳定,并且有网络访问行为控制的要求,那么选择合适的上网行为管理设备是必要的。
上网行为管理功能需要采用静态过滤和协议型封锁2种技术方式,单纯依靠静态过滤处理上网行为管理是技术敷衍,功能是不可靠的。但上网行为管理仅限于网络访问权限的控制,是行政管理的辅助手段,并不能解决网络的安全和稳定问题。如果企业存在网络掉线、卡滞、速度慢、不安全、难管理等问题,那就需要带免疫墙功能的路由器,着重解决内网问题。中小企业既要上网行为管理,又要安全稳定可靠的网络,使用带有上网行为管理功能的免疫墙路由器可以一举多得。
第三篇:交换机路由器配置总结
交换机和路由器配置过程总结
作为网络中重要的硬件设备,随着网络融入我们的日常生活,交换机和路由器也逐渐被人们所熟悉。关于交换机、路由器的配置,计算机和网络专业的学生理应能够操作熟练。通过这次网络工程师培训,借助Packet Tracer 5.0仿真软件学习网络配置、拓扑图设计等,我对交换机、路由器配置有了深刻的了解,现将配置过程小结如下。
第一部分 交换机配置
一、概述 一层、二层交换机工作在数据链路层,三层交换机工作在网络层,最常见的是以太网交换机。交换机一般具有用户模式、配置模式、特权模式、全局配置模式等模式。
二、基本配置命令(CISCO)Switch >enable 进入特权模式
Switch #config terminal 进入全局配置模式 Switch(config)#hostname 设置交换机的主机名
Switch(config)#enable password 进入特权模式的密码(明文形式保存)Switch(config)#enable secret 加密密码(加密形式保存)(优先)Switch(config)#ip default-gateway 配置交换机网关
Switch(config)#show mac-address-table 查看MAC地址
Switch(config)logging synchronous 阻止控制台信息覆盖命令行上的输入 Switch(config)no ip domain-lookup 关闭DNS查找功能 Switch(config)exec-timeout 0 0 阻止会话退出
使用Telnet远程式管理
Switch(config)#line vty 0 4 进入虚拟终端 Switch(config-line)# password 设置登录口令 Switch(config-line)# login 要求口令验证
控制台口令
switch(config)#line console 0 进入控制台口 switch(config-line)# password xx switch(config-line)# 设置登录口令login 允许登录 恢复出厂配置
Switch(config)#erase startup-config Switch(config)delete vlan.dat Vlan基本配置
Switch#vlan database 进去vlan配置模式 Switch(vlan)#vlan 号码 name 名称 创建vlan及vlan名 Switch(vlan)#vlan号码 mtu数值 修改MTU大小
Switch(vlan)#exit 更新vlan数据并推出 Switch#show vlan 查看验证 Switch#copy running-config startup-config 保存配置 VLAN 中添加 删除端口
Switch#config terminal 进入全局配置 Switch(config)#interface fastethernet0/1 进入要分配的端口 Switch(config-if)#Switchport mode access 定义二层端口 Switch(config-if)#Switchport acces vlan 号 把端口分给一个vlan Switch(config-if)#switchport mode trunk 设置为干线
Switch(config-if)#switchport trunk encapsulation dot1q 设置vlan 中继协议 Switch(config-if)#no switchport mode 或(switchport mode access)禁用干线 Switch(config-if)#switchport trunk allowed vlan add 1,2 从Trunk中添加vlans Switch(config-if)#switchport trunk allowed vlan remove 1,2 从Trunk中删除vlan Switch(config-if)#switchport trunk pruning vlan remove 1,2 ;从Trunk中关闭局部修剪
查看vlan信息 Switch#show vlan brief 所有vlan信息
查看vlan信息 Switch#show vlan id 某个vlan信息 注:Switch#show int trunk 查看trunk协议
注:可以使用default interface interface-id 还原接口到默认配置状态 Trunk
开启(no)——将端口设置为永久中继模式
关闭(off)——将端口设置为永久非中继模式,并且将链路转变为非中继链路 企望(desirable)——让端口主动试图将链路转换成中继链路 自动(auto)——使该端口愿意将链路变成中继链路 交换机显示命令:
switch#show vtp status 查看vtp配置信息 switch#show running-config 查看当前配置信息 switch#show vlan 查看vlan配置信息 switch#show interface 查看端口信息 switch#show int f0/0 查看指定端口信息 switch#dir flash: 查看闪存
switch#show version 查看当前版本信息
switch#show cdp cisco设备发现协议(可以查看聆接设备)switch#show cdp traffic 杳看接收和发送的cdp包统计信息 switch#show cdp neighbors 查看与该设备相邻的cisco设备
switch#show interface f0/1 switchport 查看有关switchport的配置 switch#show cdp neighbors 查看与该设备相邻的cisco设备
三、模拟配置(一个实例)
图一:PC机IP地址、子网掩码、默认网关配置截图
图二:模拟网络拓扑结构图
图三:全局模式下对交换机进行配置
图四:查看VLAN当前配置信息
第二部分 路由器配置
一、环境搭建(借鉴网上的材料,通过自己配置也实现了同样的功能)
添加一个模块化的路由器,单击Packet Tracer 5.0的工作区中刚添加的路由器,在弹出的配置窗口上添加一些模块:
图五
默认情况下,路由器的电源是打开的,添加模块时需要关闭路由器的电源,单击图一箭头所指的电源开关,将其关闭,路由器的电源关闭后绿色的电源指示灯也将变暗。
图六 添加所需要的模块
在“MODULES”下寻找所需要的模块,选中某个模块时会在下方显示该模块的信息。然后拖到路由器的空插槽上即可。
图八 添加一计算机,其RS-232与路由器的Console端口相连
图九 用计算机的终端连接路由器
图十 实验环境搭建完成
二、配置单个路由器
路由器的几种模式:User mode(用户模式)、Privileged mode(特权模式)、Global configuration mode(全局配置模式)、Interface mode(接口配置模式)、Subinterface mode(子接口配置模式)、Line mode、Router configuration mode(路由配置模式)。每种模式对应不同的提示符。
图十一 几种配置命令提示符和配置路由器的名字
图十二 通过Console端口登录到路由器需要输入密码
图十三 显示信息的命令
通过模拟交换机和路由器的配置,进一步理解了它们的工作原理,对网络拓扑架构有了清晰的认识,为以后的网络知识学习打下了基础。谢谢彭老师!
第四篇:如何配置企业路由“上网行为管理”功能
企业路由器有个使用比较多的功能,就是对员工的上网行为管理,以达到合理管控员工的上网时间,提高工作效率的目的,由于上网行为管理的设置项比较多,很多人会感觉到复杂,不知道要实现的功能在哪里设置,如何设置,那今天我就以磊科企业路由器NR255G为例,配图来讲解下最长配置的功能:
一、登录路由器的管理界面
浏览器打开网址:leike.cc或者192.168.1.1,输入路由器管理账号和密码登录。
二、增加管理时间段
当领导要对员工的上班时间管理的时候,比如在早上9点到11点规定不能刷网页新闻,就需要添加被管理的时段(9:00-11:00),没有设置时间段的时候,默认是所有用户组的全部时间,为了便于管理,可以添加多个时间段分别管理,时间段可以设置为上班时间、下班时间、休息日等,可以按周/按日期/按月分别设置,可在每个时间段添加备注方便管理。这里设置好的时间段在后面的功能里都可以快速选择和新增,详见“时间组”。
三、设置用户/IP组
设置用户组可以以部门划分,也可以加入特定的用户,方便对每个部门或某个特定的人多元化管理。设置部门时,需要填写部门所有用户的IP,当要设置大领导为单独一个组时,只需要填写大领导的设备IP即可。
注意:如果一个IP地址属于多个组时,该IP仅会执行优先级最高的用户组的规则。最多支持10条IP规则,可输入单个主机或IP段,IP段请用“-”隔开,格式: 192.168.1.2-192.168.1.5/ 192.168.1.10
四、网址分类管理
被管理的用户组可以是所有用户,也可以是自定义的用户组,比如市场部,开启后状态有阻断/记录/警告三种,可以对聊天软件、网络游戏、电子购物等多种软件自定义勾选,方便对不同用户组的使用环境设置不同的网址管理。
五、聊天软件过滤
为了管控员工花费很多上班时间在聊天上,开启聊天软件过滤是一种很有效的的管控手法,启用过滤状态,可以对不同用户组选择阻断全部或者阻断单个聊天软件,还能对各软件进行记录;QQ黑白名单能进一步加强管控:
黑名单:未阻断的情况下,限制登陆的QQ号码; 白名单:阻断的情况下,允许登陆的QQ号码。同时可以监测QQ登录记录,设置可以参考图例。
六、视频软件过滤
与聊天软件过滤一样,可以对当下流行的视屏软件开启过滤,可对不同用户组设置全部阻断或单个阻断,并对其记录。
七、邮件监控
邮件的传输在企业内部的重要性有目共睹,领导之间,部门之间、业务之间的邮件往来都是工作的沟通,对邮件的监控就尤为重要,可以对不同的用户组的不同邮箱进行监控。
八、电子公告
电子公告功能是向内网主机用户发送通告信息,可以设置公告内容,发送时间、周期、次数及对象。
注意:当用户访问网页的时候,才能收到公告信息。
到这里,恭喜你已经掌握了上网行为管理的配置方法!
第五篇:典型路由器实验配置文档
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。
点击咨询 