第一篇:[史上最详细]H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细)
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。1.11 NAT典型配置举例
1.11.1 内网用户通过NAT地址访问外网(静态地址转换)1.组网需求
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。2.组网图
图1-5 静态地址转换典型配置组网图
3.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings.IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100
Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1 1.11.2 内网用户通过NAT地址访问外网(地址不重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.0.0/16。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。2.组网图
图1-6 内网用户通过NAT访问外网(地址不重叠)
3.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 0 202.38.1.2 202.38.1.3
NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)Responder: Source IP/port: 200.1.1.10/4 Destination IP/port: 202.38.1.3/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: ICMP(1)State: ICMP_REPLY Application: INVALID Start time: 2012-08-15 14:53:29 TTL: 12s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1 1.11.3 内网用户通过NAT地址访问外网(地址重叠)1.组网需求 · 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内网用户可以通过域名访问外网的Web服务器。2.组网图
图1-7 内网用户通过NAT访问外网(地址重叠)
3.配置思路
这是一个典型的双向NAT应用,具体配置思路如下。· 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。· 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。· 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。4.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS的NAT ALG功能。
[Router] nat address-group 1 # 添加地址组成员202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。
[Router] nat address-group 2 # 添加地址组成员202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[Router] ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2 5.验证配置
以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3
NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Add route: N NO-PAT: Y Reversible: Y
NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.10/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.10/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 1.11.4 外网用户通过外网地址访问内网服务器 1.组网需求
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能: · 外部的主机可以访问内部的服务器。· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。2.组网图
图1-8 外网用户通过外网地址访问内网服务器
3.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。# 进入接口GigabitEthernet1/2。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www # 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp [Router-GigabitEthernet1/2] quit 4.验证配置 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT internal server information: There are 4 internal servers.Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/21 Local IP/port: 10.110.10.3/21
Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/25 Local IP/port: 10.110.10.4/25
Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/80 Local IP/port: 10.110.10.1/80
Interface: GigabitEthernet1/2 Protocol: 6(TCP)Global IP/port: 202.38.1.1/8080 Local IP/port: 10.110.10.2/80
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.38.1.10/1694 Destination IP/port: 202.38.1.1/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.10/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: FTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 1.11.5 外网用户通过域名访问内网服务器(地址不重叠)1.组网需求 · 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。· 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。· 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。需要实现,外网主机可以通过域名访问内网的Web服务器。2.组网图
图1-9 外网用户通过域名访问内网服务器(地址不重叠)
3.配置思路 · 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。4.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。
[Router] nat address-group 1 # 添加地址组成员202.38.1.3。
[Router-nat-address-group-1] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-1] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。
[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible [Router-GigabitEthernet1/2] quit 5.验证配置
以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 1 NAT address groups.Group Number Start Address End Address 1 202.38.1.3 202.38.1.3
NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y
NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.2/53 Local IP/port: 10.110.10.3/53
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 202.1.1.2/1694 Destination IP/port: 202.38.1.3/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 10.110.10.2/8080 Destination IP/port: 202.1.1.2/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 1.11.6 外网用户通过域名访问内网服务器(地址重叠)1.组网需求 · 某公司内网使用的IP地址为192.168.1.0/24。· 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。· 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。· 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。2.组网图
图1-10 外网用户通过域名访问内网服务器(地址重叠)
3.配置思路
这是一个典型的双向NAT应用,具体配置思路如下。· 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。· 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。· NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。# 开启DNS协议的ALG功能。
[Router] nat address-group 1 # 添加地址组成员202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit # 创建地址组2。
[Router] nat address-group 2 # 添加地址组成员202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit # 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。
[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.4 inside 200.1.1.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2 [Router-GigabitEthernet1/2] quit # 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 202.38.1.3 32 gigabitethernet1/2 20.2.2.2 5.验证配置
以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。[Router] display nat all NAT address group information: There are 2 NAT address groups.Group Number Start Address End Address 1 202.38.1.2 202.38.1.2 2 202.38.1.3 202.38.1.3
NAT inbound information: There are 1 NAT inbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Add route: N NO-PAT: N Reversible: N
NAT outbound information: There are 1 NAT outbound rules.Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y
NAT internal server information: There are 1 internal servers.Interface: GigabitEthernet1/2 Protocol: 17(UDP)Global IP/port: 202.38.1.4/53 Local IP/port: 200.1.1.3/53
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.2/8080 Destination IP/port: 202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/2 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 1.11.7 内网用户通过NAT地址访问内网服务器 1.组网需求 · 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。2.组网图
图1-11 内网用户通过NAT地址访问内网服务器
3.配置思路
该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。4.配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled
NAT hairpinning: There are 1 interfaces enabled with NAT hairpinning.Interface: GigabitEthernet1/1
NAT mapping behavior: Mapping mode: Address and Port-Dependent ACL :---
NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled # 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)Responder: Source IP/port: 192.168.1.4/21 Destination IP/port: 202.38.1.1/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol: TCP(6)State: TCP_ESTABLISHED Application: HTTP Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in): GigabitEthernet1/1 Interface(out): GigabitEthernet1/1 Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
第二篇:典型路由器实验配置文档
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。
第三篇:产品典型案例及配置_政府
政府网络优化方案
政府网络现状: 随着信息技术的飞速发展,信息化建设已经深入到政府部门,在政府快速的信息化进程中我们注意到政府网络具有如下特点: P2P下载占用带宽
大部分政府单位都会遇到因P2P下载等形为,导致本来很充裕的带宽资源捉襟见肘。各种关键业务受到严重影响。 内网中不同部门,不同用户分配不同的带宽
内网中多个部门共用同一出口,带宽的合理分配尤为重要。关键的业务及数据量较大的应用需得到保障,同时需要针对不同的部门,应用进行精细化管理。 网络可视化程度低
政府网使用情况缺乏透明度,全面掌握网络中断应用类别和流量分布,哪些用户在占用带宽资源,无法对网络问题进行快速定位。 非业务应用影响办公效率
QQ MSN,游戏等应用大量占用办公时间,严重影响办事效率。
政府网络解决方案目标: 针对政府网络的特点及其主要问题,在制定流控解决方案时,应达到如下目标: 1 保证关键业务 2 精细化管控 3限制非业务应用 4全面掌控
网神解决方案
精准的识别引擎,全面的洞察网络流量。
灵活的带宽管理策略,对P2P等大量占用带宽的应用进行限制,全面提升网络带宽利用率。高效的流量策略,保证关键业务运行,禁止非业务流量影响办公效率。针对每IP,IP段进行精细化带宽管理。完备的网络日志,方便网络违法事件后备查。降低IT运维成本,收益最大化。限制内网用户私接路由和代理服务。
网神解决方案价值 卓越的转发性能
采用深度优化的处理引擎,完全能够政府网大流量复杂应用的需求; 精准的应用识别引擎
系统内置强大的7层应用识别引擎,能够识别加密BT下载,加密电驴下载,迅雷等协议,识别准确率居业界领先水平。应用识别树采用多级分类,比传统的2级分类更科学,更精确,可以精确识别多达300多种应用。 精细化的带宽管理策略
网神带宽管理产品可以基于用户/用户组,IP/IP组,应用类型/URl等进行流量控制,灵活的时间对象定义可以帮助政府单位对内网用户分时段管控。对带宽资源进行合理划分,保证关键性业务,完全阻断工作时间非业务应用,协助政府单位对内网进行精细化管理。 网站URL及web下载文件后缀管理
能够对web进行精细化管理。可以针对不同的网站进行阻断,重定向和提示信息等管控并且可以控制从网站下载不通后缀的文件,有效的减少了下载病毒木马软件到内网的几率。
第四篇:思科网络典型配置案例集锦
本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com 本资料由-大学生创业|创业|创业网http://www.xiexiebang.com
第五篇:AR典型配置案例 配置路由器作为TFTP Client升级系统文件的示例
www.xiexiebang.com 9.Next startup system software: flash:/software.cc 10.Backup system software for next startup: null 11.Startup saved-configuration file: flash:/initcfg.cfg 12.Next startup saved-configuration file: flash:/initcfg.cfg 13.下载设备启动文件,并查看文件是否下载成功。14.
Directory of flash:/ Idx Attr Size(Byte)Date Time(LMT)FileName www.xiexiebang.com 5-rw-77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定设备下次启动时使用的系统文件。
19.
23.Info: The system is comparing the configuration, please wait.24.Warning: All the configuration will be saved to the next startup configuration.25.Continue ? [y/n]:n 26.System will reboot!Continue ? [y/n]:y Info: system is rebooting ,please wait...27.检查配置结果。
28.
29.MainBoard: 30.Startup system software: flash:/software_new.cc 31.Next startup system software: flash:/software_new.cc
32.Backup system software for next startup: null 33.Startup saved-configuration file: flash:/initcfg.cfg 34.Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事项
PC端需使能TFTP服务器功能,并存放系统文件。
保证设备操作期间,不能出现断电现象,断电后,可能会导致信息丢失,设备无法正常启动。
![下载[史上最详细]H3C路由器NAT典型配置案例word格式文档](http://static.xiexiebang.com/skin/default/images/icon_word.png){kind=icon}
点击咨询 