第一篇:AR典型配置案例 配置路由器作为TFTP Client升级系统文件的示例
www.xiexiebang.com 9.Next startup system software: flash:/software.cc 10.Backup system software for next startup: null 11.Startup saved-configuration file: flash:/initcfg.cfg 12.Next startup saved-configuration file: flash:/initcfg.cfg 13.下载设备启动文件,并查看文件是否下载成功。14.
Directory of flash:/ Idx Attr Size(Byte)Date Time(LMT)FileName www.xiexiebang.com 5-rw-77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定设备下次启动时使用的系统文件。
19.
23.Info: The system is comparing the configuration, please wait.24.Warning: All the configuration will be saved to the next startup configuration.25.Continue ? [y/n]:n 26.System will reboot!Continue ? [y/n]:y Info: system is rebooting ,please wait...27.检查配置结果。
28.
29.MainBoard: 30.Startup system software: flash:/software_new.cc 31.Next startup system software: flash:/software_new.cc
32.Backup system software for next startup: null 33.Startup saved-configuration file: flash:/initcfg.cfg 34.Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事项
PC端需使能TFTP服务器功能,并存放系统文件。
保证设备操作期间,不能出现断电现象,断电后,可能会导致信息丢失,设备无法正常启动。
第二篇:AR典型配置案例 配置路由器作为FTP Server升级系统文件的示例
www.xiexiebang.com 17.Next startup system software: sd1:/software.cc 18.Backup system software for next startup: null 19.Startup saved-configuration file: sd1:/initcfg.cfg 20.Next startup saved-configuration file: sd1:/initcfg.cfg 21.在FTP Client端上传系统文件,如图2。www.xiexiebang.com 2-rw-77,582,080 Dec 13 2011 16:31:17 software_new.cc 28.指定设备启动时使用的系统文件。
29.
33.Info: The system is comparing the configuration, please wait.www.xiexiebang.com 41.Next startup system software: sd1:/software_new.cc
42.Backup system software for next startup: null 43.Startup saved-configuration file: sd1:/initcfg.cfg 44.Next startup saved-configuration file: sd1:/initcfg.cfg 配置注意事项
设备操作期间,尽量避免出现断电现象,如出现,可能会导致信息丢失,设备无法正常启动。
FTP的工作目录必须配置,除了使用local-user huawei ftp-directory设置本地用户的授权目录,还可以通过set default ftp-directory来设置FTP用户的缺省工作目录。
第三篇:AR典型配置案例 通过BootROM FTP方式升级系统文件的示例
www.xiexiebang.com 43.Ethernet ip address : 192.168.200.174 44.Ethernet ip mask : ffffff00 45.Gateway ip address : 46.Ftp host ip address : 192.168.200.1 47.Ftp user : huawei Ftp password : ********** 48.完成属性配置后,自动返回至网络子菜单,选择第4项,从FTP服务器上下载资源文件。
49.Network Menu 50.51.1.Display parameter 52.2.Modify parameter 53.3.Save parameter 54.4.Download file 55.0.Return 56.www.xiexiebang.com] to file system........................................67.................................................................................68.................................................................................69................................................................................................................................OK!70.下载文件成功后返回主菜单,重启设备。
71.Network Menu 72.73.1.Display parameter 74.2.Modify parameter 75.3.Save parameter 76.4.Download file 77.0.Return 78.79.Enter your choice(0-4):0 80.Main Menu 81.82.1.Default Startup 83.2.Serial Menu 84.3.Network Menu 85.4.Startup Select 86.5.File Manager 87.6.Password Manager 88.7.Reboot 89.Enter your choice(1-6):7 配置注意事项 www.xiexiebang.com
建议不要随便进入BootROM菜单进行操作,若特别必要,可联系华为技术工程师指导操作。
AR150系列的管理网口为Ethernet0/0/3,AR160系列的管理网口为GigabitEthernet0/0/0,AR200系列的管理网口为Ethernet0/0/6,AR1200系列的管理网口为GigabitEthernet0/0/0,AR2220的管理网口为GigabitEthernet0/0/0,AR2240的管理网口为GigabitEthernet0/0/2,AR3200系列的管理网口为GigabitEthernet0/0/2。
说明:
AR160系列路由器从V200R005C00版本开始支持。
第四篇:典型路由器实验配置文档
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。
第五篇:AR典型配置案例 RADIUS认证登录其他设备的示例
www.xiexiebang.com
配置设备作为客户端,采用RADIUS认证登录其他设备的示例
规格
适用于所有版本、所有形态的AR路由器。组网需求
用户使用STelnet方式连接SSH服务器(即AR设备),要求在SSH认证过程中,配置SSH服务器支持SSH客户端通过RADIUS服务器进行远端认证。
RADIUS服务器认证该用户,将认证结果返回给SSH服务器。SSH服务器根据认证结果决定是否允许SSH客户端建立连接。组网图
图1 配置SSH支持RADIUS认证组网图
操作步骤
1.在SSH服务器端生成本地密钥对
[Huawei] sysname ssh server
[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差异,请关注对应版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0~4用户的验证方式为AAA 6.protocol inbound ssh //配置VTY支持SSH协议 www.xiexiebang.com
7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj # SSH客户端采用RADIUS认证连接SSH服务器。 [ssh client] stelnet 10.164.39.222 Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...www.xiexiebang.com Enter password: 输入密码huawei,显示登录成功信息如下: Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服务器端执行display radius-server configuration命令和display ssh server session命令,可以查看到SSH服务器端关于RADIUS服务器的配置,并且看到STelnet客户端采用RADIUS认证已经成功连接到SSH服务器。 [ssh server] display ssh server session ------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事项 在RADIUS服务器端添加对应客户端的用户名。 在RADIUS服务器端指定SSH服务器的地址和密钥。 如果配置SSH客户端用户使用password验证,只需在SSH服务器端生成本地RSA密钥。如果配置SSH客户端用户使用RSA验证,则在SSH服务器端和客户端都需生成本地RSA密钥,并将客户端上产生的RSA公钥输入到服务器端。
点击咨询 