第一篇:关于路由器的一些常见问题的归纳整理
一、Wan口无连接
二、Wan口有连接,但连接失败。
三、宽带正常,可以ping通,但无法打开网页
四、无线不能连接,但有线连接正常
五、频繁掉线
五、安装路由器后网速慢
六、不能获取IP地址(不能获取外网地址、不能获取内网地址)
七、IP地址冲突的调整
八、VPN连接
一、Wan口无连接。
Wan口无连接是安装路由器时最常见的故障之一,处理起来看似简单,实际上有可能根本无解!Wan无连接主要有以下几种情况:
1、线路没有接正确!这是最应该批评的疏忽大意!有时候路由器这边Wan口倒是插上网线了,但是却没有连接到Modem上,LAN接入的没有连接到墙壁上的模块中。
2、网线连通性故障,主要是网线质量差,或者线序都不正确。对于Modem接入的路由器,通常Modem距离路由器都不远,只要线序没有问题,就算是很差的网线都可以正常连接。对于LAN接入的宽带则要注意,如果楼道交换机到路由器之间距离比较远,网线质量必须过关,否则会因为线路质量差无法连通!这里网线不仅是网线本身,还包括水晶头、进户弱电箱、墙壁上面板、模块等一系列环节,其中任意一个环节不稳定都有可能导致WAN口无法连接!因此对于LAN接入的宽带路由器WAN口无连接的,必须慢慢一个一个环节检查。
3、速率不匹配。这个主要是对于LAN接入的方式的宽带。部分ISP偷工减料,楼道交换机到桌面被限制在10M的速率上,不能达到100M的标准。而目前大多数普通路由器都不支持10M的连接速率,因此会因为速率不匹配导致WAN无法连接!遇到这样的情况,可以找市面上小部分支持10M WAN口连接的路由器测试就清楚了。
4、Modem不稳定。这个情况很少遇到,但是一旦遇到则很难正确判断.故障表现如下:Modem单独连接电脑可以正常拨号上网,Ping值正常,连接路由器,路由器WAN口显示无连接,更换各个品牌路由器均无效果。因为单独连接电脑可以正常上网,则往往忽略Modem的问题。实际上,这个情况Modem往往存在内部元件损坏的故障,主要是供电电容爆浆,导致供电不稳定,从而路由器连接失败!更换Modem解决故障!
5、ISP限制端口连接数。曾经遇到一个非常典型的案例,客户家跑了几次,更换了几个路由器,均显示Wan口无连接,只有发送没有接受。原因是ISP限制客户线路只能连接一台终端,因此一旦接上路由器就出现故障。解决办法:投诉工信部,或者威胁拆机,不再使用他们的宽带。遇到这样的问题很难处理,要知道,这里是天朝!
6、线序不对。这条与上边第二条的线序不对有明显区别,那是因为疏忽大意导致的线序故障,而此条则是线路维护员故意这样搞的。极少数ISP的维护员故意将楼道交换机出来的网线线序按照他自己规定的做,这样不能工作在100M下,但可以工作在10M下,问题出来了!外边自己买的路由器因为此问题导致WAN口无连接,然后给维护员电话,维护员说只要电脑能联网就与他们无关。实际情况是,他们维护员自己带路由器去客户处安装,安装之前首先在交换机处按照正确的线序做好接头,然后在客户家重做水晶头,当然也是按照正确的做法,然后安装路由器,收取顾客高价,并将原有的技术员贬损一番。此故障我遇到过两次,非常麻烦。
二、Wan口有连接,但连接失败。
此种故障表现为,WAN口显示有连接,但数据包只有发送没有接收,或有接受到依然不能联网。
1、宽带欠费
2、用户名和密码输错
3、如果是绑定电话的,有可能绑定的电话欠费停机,导致宽带跟着断网。
4、之前顾客自己设置路由错误输入宽带密码,导致路由器使用错误密码频繁拨号,从而ISP后台锁死账号。
5、ISP的接入服务器出现不稳定故障,导致账号莫名其妙的自动锁死。
6、MAC地址绑定。部分ISP对于MAC地址采取了绑定的策略,因此更换网卡或者添加路由器之后,检测到MAC地址的变化,因此不予返回数据。遇到这样的情况,首先克隆正确的MAC,还不行的话,拨打ISP的客户电话,让对方在后台刷新一下数据,然后就可以正常调整路由器设置了。
7、网线质量不过关,发送数据和返回数据出现大范围丢包或者错误包,导致连接失败。更换水晶头和网线后再次测试。
8、电话线路衰减过大,导致modem信号不稳定,引起路由器拨号失败。
二、宽带正常,可以ping通公网地址,但无法打开网页。
路由器可以正常连接宽带,电脑或者手机也可以正常访问路由器,但是不能访问外网。此种情况主要是DNS设置需要调整。
1、手机能访问外网,电脑不能访问:此种情况表明路由器已经正常工作,但电脑的网卡需要设置DNS服务器地址,通常设置成所用的ISP的DNS服务器的地址,这样是最优化的方案,但实际应用中,极少数会遇到运营商的DNS服务器不稳定的故障,这个时候可以使用其它地区的公有DNS,个人比较推荐Google的DNS,可以说是速度和稳定性兼顾,8.8.8.8和8.8.4.4。
2、手机和电脑都不能访问外网,但可以访问路由器。此种情况主要是路由器的DNS设置出现了问题,虽然路由器连接上公网之后会自动获取DNS服务器地址,但是极少数情况下会出现获取失败的情况,因此导致终端访问故障。处理方式参考上边第一条。
3、电脑能访问外网,手机或者平板不能访问外网,主这种情况其实不是路由器故障,大多数时候是被路由器防火墙限制了。请联系路由器管理员。或者路由器重新复位进行设置。
4、操作系统故障。
三、无线不能连接,但有线连接正常
1、路由器故障,特别是无线模块出现故障,可以更换路由器测试。
2、笔记本无线网卡驱动异常,重新安装驱动。
3、找不到信号,检查无线开关。
4、笔记本无线网卡接触不良。
5、连接信号的时候始终显示正在连接,一个是系统问题,一个是无线密码输错,特别是笔记本,因为键盘上数字键和字母键状态不正确导致误输入。
6、无线路由器无线SSID最好别用中文。
7、信道受到外界干扰,导致连接失败,可以尝试着更换其它信道测试连接情况。
8、检查笔记本中午无线网卡的属性和路由器中是否一致,包括加密方式。
9、最低级的失误,路由器中无线功能根本就没有启用!
五、频繁掉线
1、检查水晶头是否氧化?是否松动脱落?LAN接入的检查入户处接头是否松动?线路是否破损?
2、Modem接入的,检查Modem到路由器之间的网线,以及Modem的电话线进线,Modem以及路由器的电源适配器是否可靠接触。
3、路由器是否处于按需连接的方式?此种方式在闲置一段时间后有可能会自动断开连接。
4、Modem质量问题,导致频繁掉线。
5、路由器质量问退,导致频繁掉线。
6、路由器到电脑主机之间网线连通性和可靠性。包括墙壁模块的可靠性。以及网线质量是否过关。可以将网卡强制到10M来测试看是否频繁掉线。正常情况下,网卡和路由器之间应该保证100M全双工模式。
7、如果是无线频繁掉线,要检查无线设置以及有无外来干扰。
8、电脑网卡和路由器之间的匹配问题。
9、如果是Modem接入的,检查一下分离器的地方是否电话线和Modem接线搞反了,以至于电话一响就断线了。
10、在有多个交换机的复杂网络中,有可能存在交换机多连接导致环路,引起IP地址冲突频繁掉线。
11、各个终端之间有可能多台电脑采用了同一个IP地址,或者有电脑中毒产生ARP欺骗。
12天朝特色,限制路由器。
六、不能获取IP地址(不能获取外网地址、不能获取内网地址)
A、不能获取外网地址,这种情况其实在单位中很常见。
1、线路质量不过关
2、设置不正确,特别是[敏感词]部门的内网,特别多。主要是因为他们的服务器基本上都是关闭DHCP,手动分配IP地址的,甚至部分还采用手动地址+MAC绑定的方式,既然新路由器上去,肯定是不能获取IP地址。而路由器通常出厂都是动态IP。
3、看看是否采用了VPN连接,这点在企业部门中很常见,各个门店或分支机构和总部之间多半采用的是VPN连接,而路由器设置不对,甚至部分路由器不支持VPN连接。
4、上级路由器或者交换机(往往是三层交换机)没有启用DHCP。
B、不能获取内网地址
1、线路质量不过关。
2、没有启用DHCP,而客户端也没有按照规则手动指定IP地址。
3、网卡和路由器不匹配。
4、系统故障。
七、IP地址冲突的调整
现在很多ISP赠送的Modem或者光猫或者无线猫,自带IP分配,而且往往和路由器的冲突,比如Modem分配给终端的是192.168.1.2,而路由器的默认网关是192.168.1.1,这个时候就会出现问题,可以把路由器的改为192.168.2.1,总之,无论怎么改,都不要产生同一个网关地址,根据实际情况调整,这里没法细说,否则就要出书了。
八、VPN连接
VPN连接一般个人用户使用很少,主要是单位和[敏感词]部门,单位主要是各个门店或者分支机构和总部之间的联系;[敏感词]部门则是各个下级单位和上级部门的联系,总之差不多,一个意思。设置VPN并不复杂,但是一定要注意对应的IP地址和端口,或者网址链接,我曾经遇到过复制网址的时候少了一个小数点,导致始终连接失败!
另外要注意的是,部分入门级路由器,不带VPN拨号的功能,只能换其它型号。
至于普通用户在电脑上设置VPN用于工作或翻墙,则是另外一回事,和路由器无关。
第二篇:申请路由器交换器
申请报告
公司领导:
由于酒店主机房设备自开业至今每天24小时运行工作,已逐步出现老化情况,现影响网速慢的主要原因为:
1、现主机房使用的路由器和交换机不是商业型的,无法控制每天电脑上网的流量,导致影响网路速度不均匀,造成客房内上网受到一定的影响,现需更换成商业型的路由器和交换机。(原路由器和交换机为百兆,现需更换为千兆的)。
2、原网络光钎为4兆,根据目前的需求量,原流量无法满足使用要求,现需将网络光钎增加为10兆。(现4兆每年费用为17200元,10兆每年费用为37200元)
3、2012年工作计划将9楼改为行政房,需增加电脑14台。
根据以上情况,故特此申请,望领导批准为盼。
(备注:
1、商业路由器的作用是可以把整个网络分配为多个网络点,也就是说,将每个上网端口分别做限量的网速,这样的话,互相上网就不怕影响到其他用户。目前来说,酒店的路由器没有做网络分流,也就是说只要有一个用户大流量使用网络,就会直接影响到其他用户。
2、交换机的作用是将所有的网络分配给各个端口)
第三篇:路由器 交换机 难点总结
目录
难点包括:
MSTP VRRP NAT ACL 静态路由
路由重发布
策略路由
多生成树协议MSTP 第一步:配置接入层交换机S2126-A S2126-A(config)#spanning-tree
!开启生成树
S2126-A(config)#spanning-tree mode mstp
!配置生成树模式为MSTP 创建vlan10,20,40 S2126-A(config)#spanning-tree mst configuration
!进入MSTP配置模式
S2126-A(config-mst)#instance 1 vlan 1,10
!配置instance 1(实例1)并关联Vlan 1和10 S2126-A(config-mst)#instance 2 vlan 20,40
!配置实例2并关联Vlan 20和40 S2126-A(config-mst)#name region1
!配置域名称
S2126-A(config-mst)#revision 1
!配置版本(修订号)
验证测试:验证MSTP配置
S2126-A#show spanning-tree mst configuration
!显示MSTP全局配置
第二步:配置接入层交换机S2126-B S2126-B(config)#spanning-tree
!开启生成树
S2126-B(config)#spanning-tree mode mstp
!采用MSTP生成树模式 创建vlan10,20,40 S2126-B(config)#spanning-tree mst configuration
!进入MSTP配置模式 S2126-B(config-mst)#instance 1 vlan 1,10
!配置instance 1(实例1)并关联Vlan 1和10 S2126-B(config-mst)#instance 2 vlan 20,40
!配置实例2并关联Vlan 20和40 S2126-B(config-mst)#name region1
!配置域名称
S2126-B(config-mst)#revision 1
!配置版本(修订号)
第三步:配置分布层交换机S3550-A S3550-A(config)#spanning-tree!开启生成树
S3550-A(config)#spanning-tree mode mstp
!采用MSTP生成树模式
S3550-A(config)#spanning-tree mst configuration
!进入MSTP配置模式 S3550-A(config)#spanning-tree mst 1 priority 4096
!配置交换机S3550-A在instance 1中的优先级为4096,缺省是32768,值越小越优先成为该instance中的root switch S3550-A(config-mst)#instance 1 vlan 1,10
!配置实例1并关联Vlan 1和10 S3550-A(config-mst)#instance 2 vlan 20,40
!配置实例2并关联Vlan 20和40 S3550-A(config-mst)#name region1
!配置域名为region1 S3550-A(config-mst)#revision 1
!配置版本(修订号)
第四步:配置分布层交换机S3550-B S3550-B(config)#spanning-tree!开启生成树
S3550-B(config)#spanning-tree mode mstp
!采用MSTP生成树模式
S3550-B(config)#spanning-tree mst 2 priority 4096
!配置交换机S3550-B在instance 2(实例2)中的优先级为4096,缺省是32768,值越小越优先成为该region(域)中的root switch S3550-B(config)#spanning-tree mst configuration
!进入MSTP配置模式 S3550-B(config-mst)#instance 1 vlan 1,10
!配置实例1并关联Vlan 1和10 S3550-B(config-mst)#instance 2 vlan 20,40
!配置实例2并关联Vlan 20和40
S3550-B(config-mst)#name region1
!配置域名为region1 S3550-B(config-mst)#revision 1
!配置版本(修订号)
第五步:验证交换机配置
S3550-A#show spanning-tree mst 1
!显示交换机S3550-A上实例1的特性
【注意事项】
对规模很大的交换网络可以划分多个域(region),在每个域里可以创建多个instance
(实例);
划分在同一个域里的各台交换机须配置相同的域名(name)、相同的修订号(revision number)、相同的 instance—vlan 对应表;
交换机可以支持65个MSTP instance,其中实例0是缺省实例,是强制存在的,其它实例可以创建和删除;
将整个spanning-tree恢复为缺省状态用命令spanning-tree reset。
VRRP VRRP单备份组配置示例
设备R1的配置:
进入内网端口
Ruijie(config-if)# vrrp 1 priority 120
Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 设备R2的配置:
进入内网端口
Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3
使用VRRP监视接口配置示例
设备R1的配置: 进入内网端口
Ruijie(config-if)# vrrp 1 priority 120
Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1
Ruijie(config-if)# vrrp 1 track GigabitEthernet 2/1 30
设备R2的配置: 进入内网端口
Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3
VRRP多备份组配置示例
设备R1的配置: 进入内网端口
Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 2 priority 120
Ruijie(config-if)# vrrp 2 timers advertise 3 Ruijie(config-if)# vrrp 2 ip 192.168.201.2
Ruijie(config-if)# vrrp 2 track GigabitEthernet 2/1 30
设备R2的配置: 进入内网端口
Ruijie(config-if)# vrrp 1 ip 192.168.201.1 Ruijie(config-if)# vrrp 1 timers advertise 3 Ruijie(config-if)# vrrp 1 priority 120
Ruijie(config-if)# vrrp 2 ip 192.168.201.2
Ruijie(config-if)# vrrp 2 timers advertise 3
NAT(网络地址转换)
利用动态 NAPT 实现局域网访问互联网
在lan-router 上配置缺省路由
lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2
配置动态NAPT 映射。
lan-router(config)#interface fastEthernet 1/0 lan-router(config-if)#ip nat inside!定义F1/0 为内网接口 lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip nat outside!定义S1/2 为外网接口
lan-router(config-if)#exit lan-router(config)#ip nat pool to_internet 200.1.8.7 200.1.8.7 netmask 255.255.255.0!定义内部全局地址池
lan-router(config)#access-list 10 permit 172.16.1.0 0.0.0.255!定义允许转换的地址
lan-router(config)#ip nat inside source list 10 pool to_internet overload!为内部本地调用转换地址池
验证测试。
1、在服务器63.19.6.2 上配置Web 服务(配置方法详见选修实验)。
2、在PC 机测试访问63.19.6.2 的网页。
3、在路由器lan-router 查看NAPT 映射关系。
lan-router#show ip nat translations!查看NAPT 的动态映射表
Pro Inside global Inside local Outside local Outside global tcp 200.1.8.7:2502 172.16.1.55:2502 63.19.6.2:80 63.19.6.2:80
利用 NAT 实现外网主机访问内网服务器
在lan-router 上配置缺省路由
lan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2
配置反向NAT 映射。
lan-router(config)#interface fastEthernet 1/0 lan-router(config-if)#ip nat inside lan-router(config-if)#exit lan-router(config)#interface serial 1/2 lan-router(config-if)#ip nat outside lan-router(config-if)#exit lan-router(config)#ip nat pool web_server 172.16.8.5 172.16.8.5 netmask 255.255.255.0!定义内网服务器地址池 lan-router(config)#access-list 3 permit host 200.1.8.7!定义外网的公网IP 地址
lan-router(config)#ip nat inside destination list 3 pool web_server!将外网的公网IP 地址转换为Web 服务器地址。
lan-router(config)# ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80!定义访问外网IP 的80 端口时转换为内网的服务器IP 的80 端口
lan-router#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 200.1.8.7:80 172.16.8.5:80 63.19.6.2:1026 63.19.6.2:1026
ACL ACL时间控制
S1(config)#time-range nowww!定义周期性时间段 名字为nowww
S1(config-time-range)#periodic Daily 8:00 to 17:00!定义周期性时间段为每天的8点到17点
S1(config-time-range)#exit S1(config)#ip access-list extended notcp!进入扩展ACL 名字为notcp S1(config-ext-nacl)#deny tcp any any eq www time-range nowww S1(config-ext-nacl)#permit ip any any S1(config-time-range)#exit S1(config)#interface GigabitEthernet 0/28 S1(config-if)#ip access-group notcp in
ACL限制IP访问
S1(config)#access-list 1 deny 192.168.3.0 0.0.0.255!拒绝来自192.168.3.0网段的流量通过 S1(config)#show access-lists 1!验证测试
S1(config)#interface fastEthernet 0/1 S1(config-if)#ip access-group 1 in!把访问控制列表在接口下应用
静态路由
Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1 或:
Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2
验证测试:验证路由器接口的配置。Router1#show ip interface brief
注意:查看接口的状态。Router1#show interface serial 1/2
PPP协议
PPP协议PAP加密
Ra=公司 Rb=ISP
先配置两个端口的IP
Ra(config-if)#encapsulation ppp!接口下封装PPP协议
Ra(config-if)#ppp pap sent-username Ra password 0 123!PAP认证的用户名、密码
Rb(config)#username Ra password 0 123!验证方配置被验证方用户名、密码 Rb(config-if)#clock rate 64000 Rb(config-if)#encapsulation ppp!
Rb9config-if)#ppp authentication pap!ppp启用PAP认证方式
最后别忘no shutdown
PPP协议CHAP加密
Ra(config)#username Rb password 0 star!以对方的主机名作为用户名,密码和对
方的路由器一致
Ra(config)#interface serial 1/2 Ra(config-if)#encapsulation ppp Ra(config-if)#ppp authentication chap!PPP 启用CHAP 方式验证
Rb(config)#username Ra password 0 star!以对方的主机名作为用户名,密码和对方的路由器一致
Rb(config)#interface serial 4/0 Rb(config-if)# encapsulation ppp
路由重发布
情况:三成交换机协议为RIP 路由器R2协议为OSPF 路由器R1配置路由重发布
R1(config)#route rip R1(config-router)#redistribute ospf 1 R1(config)#route ospf 1 R1(config-router)#redistribute rip subnets
策略路由
第一步:在路由器上配置 IP 路由选择和IP 地址 RG(config)#interface serial 1/3 RG(config-if)#ip address 192.168.6.5 255.255.255.0 RG(config-if)# clock rate 64000 RG(config)#interface FastEthernet 1/0 RG(config-if)#ip address 10.1.1.1 255.0.0.0 RG(config)#interface FastEthernet 1/1 RG(config-if)#ip address 172.16.7.6 255.255.255.0 RG(config)# ip route 0.0.0.0 0.0.0.0 FastEthernet 1/1 RG(config)#ip route 0.0.0.0 0.0.0.0 serial 1/3 RG(config)#ip route 10.0.0.0 255.0.0.0 FastEthernet 1/0
第二步:定义访问列表
RG(config)# access-list 10 permit 10.1.0.0 0.0.255.255 RG(config)# access-list 20 permit 10.2.0.0 0.0.255.255
第三步:配置路由映射表
RG(config)#route-map ruijie permit 10 RG(config-route-map)#match ip address 10 RG(config-route-map)#set ip default next-hop 192.168.6.6
RG(config)#route-map ruijie permit 20 RG(config-route-map)#match ip address 20 RG(config-route-map)#set ip default next-hop 172.16.7.7 RG(config)#route-map ruijie permit 30 RG(config-route-map)#set interface Null 0
第四步:在接口上应用路由策略 RG(config)# interface FastEthernet 1/0 RG(config-if)#ip policy route-map ruijie
第五步:验证测试
在 HOST A 上用PING 命令来测试路由映射。C:>ping 119.1.1.1 Pinging 119.1.1.1 with 32 bytes of data: Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Ping statistics for 119.1.1.1: Packets: Sent = 4, Received = 4, Lost = 0(0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms RG#sh route-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop 192.168.6.6 Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses: ip default next-hop 172.16.7.7 Policy routing matches: 0 packets, 0 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: interface Null 0 Policy routing matches: 0 packets, 0 bytes 在 HOST B 上用PING 命令来测试路由映射。C:>ping 119.1.1.1 Pinging 119.1.1.1 with 32 bytes of data: Reply from 119.1.1.1: bytes=32 time<1ms TTL=64
Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Reply from 119.1.1.1: bytes=32 time<1ms TTL=64 Ping statistics for 119.1.1.1: Packets: Sent = 4, Received = 4, Lost = 0(0% loss), Approximate round trip times in milli-seconds: Minimum = 0ms, Maximum = 0ms, Average = 0ms RG#sh route-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop 192.168.6.6 Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses: ip default next-hop 172.16.7.7 Policy routing matches: 9 packets, 576 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: interface Null 0 Policy routing matches: 0 packets, 0 bytes 把HOST B 的IP 地址改为10.3.1.1,用PING 命令来测试路由映射。C:>ping 119.1.1.1 Pinging 119.1.1.1 with 32 bytes of data: Pinging 17.1.1.1 with 32 bytes of data: Request timed out.Request timed out.Request timed out.Request timed out.RG#sh iroute-map route-map ruijie, permit, sequence 10 Match clauses: ip address 10 Set clauses: ip default next-hop 192.168.6.6 Policy routing matches: 21 packets, 2304 bytes route-map ruijie, permit, sequence 20 Match clauses: ip address 20 Set clauses:
ip default next-hop 172.16.7.7 Policy routing matches: 9 packets, 576 bytes route-map ruijie, permit, sequence 30 Match clauses: Set clauses: interface Null 0 Policy routing matches: 27 packets, 1728 bytes
第四篇:cisco 路由器 EZvpn 总结
实验拓扑图:
PC2192.168.150.2/24分支机构PC1192.168.100.0/24E0/3:.1R1192.168.100.2/24192.168.1.0/24E0/0:.1公司总部192.168.150.0/24192.168.2.0/24E0/3:.1E0/1:.2E0/0:.1E0/1:.2192.168.200.0/24E0/3:.1PC3R2R3192.168.200.2/24
实现目标
分支机构为不固定IP地址,分支机构和公司总部实现VPN互联。分支机构能够获取公司总部的网络资源。
基本配置:
EZvpn network-extension 模式 R1基本配置: R1# R1#show run
Building configuration...Current configuration : 1010 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker!noaaa new-model memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!!!interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex!interface Ethernet0/1 noip address shutdown half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any!!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login!end
R1#
R2的基本配置: R2# R2#show run
Building configuration...Current configuration : 825 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R2!boot-start-marker boot-end-marker!noaaa new-model memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!!!interface Ethernet0/0 ip address 192.168.2.1 255.255.255.0 half-duplex!interface Ethernet0/1 ip address 192.168.1.2 255.255.255.0 half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.150.1 255.255.255.0 half-duplex!ip http server noip http secure-server!ip forward-protocol nd!!
!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login!end R2#
R3的基本配置: R3# *Mar 1 00:13:56.891: %SYS-5-CONFIG_I: Configured from console by console R3# R3#show run Building configuration...Current configuration : 1010 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!noaaa new-model memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!!!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any!!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login!end
联通性测试: 在R1上测试:
在R3上测试:
在PC1上测试
在PC2上测试
在PC3上测试
设定公司总部R3为Ezvpn Server,则R3上配置如下 R3# R3#show run
Building configuration...Current configuration : 1505 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!aaa new-model!aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!
!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco!cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route!crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap!!
interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!
ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any!!control-plane!!!!!
line con 0 exec-timeout 0 0 line aux 0 linevty 0 4!End
公司分部R1为remote角色,在Ezvpn Remote 上面配置 R1# R1#sho run
Building configuration...Current configuration : 1244 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker!noaaa new-model memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!!!!
cryptoipsec client ezvpn client1 connect auto group group1 key cisco mode network-extension peer 192.168.2.2 xauthuserid mode interactive!!!interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1!interface Ethernet0/1 noip address shutdown half-duplex!
interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1 inside!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any!
!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login!end
R1#
查看R1的vpn状态
在PC1上测试
我们发现,vpn隧道虽然建立起来了,但是,外网和总部内网都ping不通了。这是由于PC1的数据都经由隧道了,包括访问公网的数据包,都被导入隧道中。我们将隧道进行分离,让访问公网的数据能正常被NAT成R1的公网地址。
R3#
show run Building configuration...Current configuration : 1568 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!aaa new-model!aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!
!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco acl 100!cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route!crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap!!
!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 1 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any!!control-plane!!!!
!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4!end
R3#
在R1上重建VPN
在R1上查看Vpn状态,我们发现,隧道被成功分离,只有去往192.168.200.0/24的数据才会经由隧道。
这个时候,我们在PC1上进行测试
发现,可以正常访问公网,但是还不能访问vpn对端内网,怎么回事呢?我们查看R3的NAT表。
在R3上面查看NAT表
发现,R3内网192.168.200.2机器icmp reply 全部被NAT成R3的公网接口192.168.2.2地址了。
在R3上修正NAT问题 R3# R3#show run Building configuration...Current configuration : 1678 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!aaa new-model!aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!
!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco acl 100!cryptoipsec transform-set mysetesp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set myset reverse-route!crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap!!
!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny
ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any!!control-plane!!!
!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4!end
R3#
我们通过ACL,先限制源地址192.168.200.0去往192.168.100.0地址进行NAT转换,然后允许其它流量转换。在PC1上重新测试
在PC3上进行测试
OK,VPN实现成功,总部和分支机构内部访问外网和对端网络都正常。
Ezvpn Client模式 R3上配置 R3# R3#show run
Building configuration...Current configuration : 1811 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!aaa new-model!aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!
!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco poolezvpnpool acl 100!cryptoipsec transform-set set1 esp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set set1 reverse-route!crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap!
!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip local pool ezvpnpool 10.10.10.1 10.10.10.100 ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny
ip 192.168.200.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 111 deny
ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any!!control-plane!!
!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4!end
R3#
R1上的配置 R1#show run
Building configuration...Current configuration : 1396 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R1!boot-start-marker boot-end-marker!noaaa new-model memory-sizeiomem 5!ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!!!!!
cryptoipsec client ezvpn client1 connect auto group group1 key cisco mode client peer 192.168.2.2 xauthuserid mode interactive cryptoipsec client ezvpn client connect auto mode network-extension xauthuserid mode interactive!!!interface Loopback0 ip address 10.10.10.1 255.255.255.255!interface Ethernet0/0 ip address 192.168.1.1 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1!interface Ethernet0/1 noip address shutdown half-duplex!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.100.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex cryptoipsec client ezvpn client1 inside!ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.1.2!ipnat inside source list 1 interface Ethernet0/0 overload!access-list 1 permit any!!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4 login!end
R1#
在R1上查看vpn状态
我们看到,当R1为client模式的时候,它将获取地址池中的一个地址,为10.10.10.7,所有vpn流量,都会用这个地址进行nat转换。我们看R1上的show ipnat translation
在R1上测试网络连通性
在R3上测试联通性
由于R1内部机器地址都会被NAT成10.10.10.7,所以,对于R3内部用户来说是不可访问的。
配置xauth认证 R3的配置 R3# R3#show run
Building configuration...Current configuration : 1941 bytes!version 12.4 service timestamps debug datetimemsec service timestamps log datetimemsec no service password-encryption!hostname R3!boot-start-marker boot-end-marker!aaa new-model!aaa authentication login ezvpnlogin local aaa authorization network ezvpnauthor local!aaa session-id common memory-sizeiomem 5!
ipcef noip domain lookup!ipauth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3!!!!!!!!username cisco password 0 cisco!
!!cryptoisakmp policy 1 authentication pre-share group 2!cryptoisakmp client configuration group group1 key cisco poolezvpnpool acl 100!cryptoipsec transform-set set1 esp-des esp-md5-hmac!crypto dynamic-map dymap 1 set transform-set set1 reverse-route!crypto map vpnmap client authentication list ezvpnlogin crypto map vpnmapisakmp authorization list ezvpnauthor crypto map vpnmap client configuration address respond crypto map vpnmap 1 ipsec-isakmp dynamic dymap!!interface Ethernet0/0 noip address shutdown half-duplex!interface Ethernet0/1 ip address 192.168.2.2 255.255.255.0 ipnat outside ip virtual-reassembly half-duplex crypto map vpnmap!interface Ethernet0/2 noip address shutdown half-duplex!interface Ethernet0/3 ip address 192.168.200.1 255.255.255.0 ipnat inside ip virtual-reassembly half-duplex!ip local pool ezvpnpool 10.10.10.1 10.10.10.100 ip http server noip http secure-server!ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 192.168.2.1!ipnat inside source list 111 interface Ethernet0/1 overload!access-list 1 permit any access-list 100 permit ip 192.168.200.0 0.0.0.255 any access-list 111 deny
ip 192.168.200.0 0.0.0.255 10.10.10.0 0.0.0.255 access-list 111 deny
ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 111 permit ip any any!!control-plane!!!!!line con 0 exec-timeout 0 0 line aux 0 linevty 0 4!end
R3#
R1上的过程
提示输入crypto ipsec client ezvpnxauth,并输入用户名和密码,VPN则认证成功。另外,cisco VPN Clint 支持Ezvpn client模式。
新建连接信息如下图所示:
第五篇:电信宽带限制路由器解决方案
电信宽带限制路由器解决方案
由于广州电信用宽带都限制路由器共享,一般都只能共享2台电脑,多于2台有可能会被电信限制带宽,经常弹出宽带共享提示等。而一般用宽带共享4台机以下都属于正常可接受围,但部分客户反应里只使用了两三台电脑都会有共享提示,那怎么解决呢?解决方法一:不使用无线路由器WF上网。使用无线路由器容易被人“蹭网”,就算加密技术多好都有可能被人破解连网,导致电信机房检测共享增多而出现错误。解决方法二:不启用路由器内置DHCP服务,进入路由器设置页面,选择不启用,如下图(各路由器页面不同,但设置相似):然后进入电脑控制面板,网络连接,点本地连接——右键点——属性,按下面设置:按以上设置好后重启电脑、DE、路由器,最好等几小时后再重新连线。解决办法三:如果确实需要共享很多台电脑,建议安装商务宽带,或者装多几条宽带。目前广州电信宽带推出优惠套餐——89元包月4,可以装多几台,具体套餐介绍可以本站联系在线客服。
点击咨询 