第一篇:卷烟厂典型工艺流程和配置
卷烟厂典型工艺流程和配置
制丝线
制丝线一般包括:叶片线、白肋烟处理线、梗线、切丝 线、烘丝线、切梗丝线、梗丝膨胀线、掺配加香线、储丝 柜等几个工艺段。
制丝线设备主要种类包括:筒类、皮带输送机、震动输送
机、储柜、定量喂料系统等。
其一般运行原理是:使用储仓来缓冲、储备物料;通过提升机提取物料,其速度受定量管内物料高度的控制;而定量管能够使物料流成为较规则的形状,以提高皮带秤的测量精度;最后,电子皮带秤通过物料流量或皮带速度来控制物料的计量。
叶片线:叶片线由开包机、切片机、松散筒、异物剔除 机、润叶筒等部件组成,经叶片线处理后的物料变得柔 软、湿润,可大大提高物料的可加工性。
白肋烟处理线:主要设备由白肋烟储柜、加料机、烘培 机、电子皮带秤、加料筒组成。经白肋烟处理线处理后的白肋烟会被送入储柜进行混合、浸润、储存,然后与烤烟 叶片掺配、储存后进行切丝处理。
梗处理线:梗处理线由翻箱喂料机、提升喂料机、异物剔
除机、加湿筒(润梗筒)、储梗柜等组成。
切丝/切梗丝线:切丝/切梗丝线由切丝机、仓储喂料机、定量管、电子皮带秤、压梗机、切梗丝机等组成。
烘丝线/梗丝膨化塔:通过HT(HEATED TUNNEL)—加热通道、烘丝机/梗丝膨化塔等部件,使烟丝膨胀而变得柔 韧而有弹性。
配比加香线:通过冷却风机、储柜、翻箱喂料机、提升喂
料机、配比皮带秤、加香机和储丝柜等部件,将叶丝、膨胀 后的梗丝、薄片丝、膨胀后的叶丝及卷包车间回收的烟丝 按设定的比例掺配、加香。
二氧化碳膨胀烟丝线
烟草膨胀技术的研究始于60年代末,70年代开始应用于生产,在国际卷烟工业获得广泛应用。二氧化碳(CO2)烟丝膨胀技术是美国菲利浦·莫里斯(PM)烟草公司与阿尔考(AIRC0)公司于70年代联合研制的,目前应用最为普遍的CO2膨胀烟丝技术有BOC和BAT两种模式。
我国自1988年开始引进此项技术,1991年首先在上海、宁
波两家烟厂投入使用,随后广
一、张家口、武汉、深圳、蚌 埠五家烟厂引进,现在全国有30多条生产线,BOC和BAT 模式的均有。秦皇岛烟机厂引进并消化了两种技术,其中 BOC占2/3,BAT占1/3。
诰硌膛浞街胁粲门蛘脱趟浚坏梢约跎傺趟坑昧浚?时由于烟丝细胞组织“蓬松”而使燃烧性能得到改善,并 能减少卷烟烟气中焦油等有害成分。
CO2烟丝膨胀工艺流程:叶片烟经过开箱与计量、切片、松 散回潮、配叶贮叶、切丝、增温增湿和贮丝后被定
量送入 浸渍器中,利用液态CO2浸渍烟丝 ;将含有干冰的烟丝从 罐中卸出松散,并流量均匀地送入以过热蒸汽为干燥介质 的高温气流输送膨胀系统,烟丝内的CO2快速汽化和升华, 烟丝内的水分也被汽化和升华,烟丝细胞得到膨胀。膨胀后的烟丝经切向分离器与工艺气体分离,冷却至常温后, 通过回潮使其含水率达到工艺要求。
CO2膨胀烟丝线包括四大部分:烟丝制备段,冷端设备, 热端设备和回潮段。其中浸渍装置、升华装置和回潮机是 CO2膨胀烟丝的主机部分。
烟丝制备段:主要设备包括仓式喂料机、皮带秤、双速输 送皮带(布料带)、往复输送机。
·仓式喂料机与皮带秤组成恒流量控制系统,以提高布料 的均匀性
·双速输送皮带:由变频器控制,以低速度布料、高速度 供料
·往复输送机:通过接收供料信号往复输送物料
冷端设备:冷端设备主要包括浸渍器(液压站系统)、工艺 罐、工艺泵、高压回收罐、低压回收罐、高压压缩机、低 压压缩机、回收制冷机组、补偿泵、贮罐(传输泵)、停机 制冷机组。冷端设备所处理的介质主要为低温、高压的二氧化碳液体和气体。
·浸渍器单元:主要包括浸渍器和安全装置,浸渍器是整条线的核心设备之一,它的主要作用是完成CO2对烟丝的浸渍
工艺罐:用于储存和向浸渍器提供工艺用CO2液体和气体
高压回收罐:用于在浸渍过程中,对浸渍器吹除和一次 增压,回收浸渍器内高压的CO2气体和由低压回收罐经 低压压缩机压缩后的CO2气体
低压回收罐:回收浸渍器内高压回收后剩余的低压CO2,再经低压压缩机升压送入高压回收罐
低压压缩机:用于对低压回收罐内CO2气体进行压缩并 送入高压回收罐
高压压缩机:用于对高压回收罐内CO2气体进行压缩并 送入工艺罐,循环使用
制冷机组:用于对进入冷凝器的经高压压缩机压缩的CO2 气体进行冷却,使之成为CO2液体,被冷凝CO2液体 根据工艺控制需要,定时排入工艺罐
工艺泵:将工艺罐内的CO2液体迅速泵入浸渍器
储罐单元:用于贮存和供给工艺所必需的液态CO2,贮 罐的CO2液体由槽车提供
热端设备:热端设备包括传输槽、开松器、振动柜、计量 带、进料空气锁、升华器(工艺风机、废气风机)、切向分 离器、出料空气锁、燃烧炉(加热器、预热器)、冷却振动 输送机、冷却皮带输送机。热端设备工作温度较高,一般 均在300℃以上。
传输槽:用于接送从浸渍器卸下的-78℃的干冰烟丝,烟 丝经浸渍后通过传输槽进入开松器
开
松器:用于将传输槽落下的干冰烟丝打散,再落入振动柜
振动柜:接收来
自开松器的干冰烟丝,贮存并通过振动 体将烟丝通过限量管均匀送入计量带
计量带:由机架、输送槽体、传动装置和出料斗等组成,在输送皮带的上方设有光电管来检测物料的情况
进料空气锁:主要由箱体、转子、传动装置三部分组成, 其作用是当干冰烟丝通过时,能阻止空气通过,以免过 量空气进入升华器
升华器:由工艺风机、废气风机、升华管路、主工艺气 体管路、冷风旁路、废气管路、蒸汽系统等部分组成, 是CO2膨胀烟丝生产线热端的关键设备,主要完成对干 冰烟丝的升华,促使烟丝膨胀,并使工艺气体不断进入 燃烧炉再行加热循环使用
·切向分离器:用于将膨胀的烟丝与工艺气体分离
·出料空气锁:用于切向分离器分离出来的膨胀烟丝输出,并阻止空气不进入升华装置
·冷却振动输送机:接收出料空气锁落下的膨胀烟丝,散 热降温并均匀输送
·燃烧炉:为升华器中的高温工艺气体提供热量,并焚烧 生产线中的废气
·回潮段:用于对膨胀后的烟丝进行回潮降温处理,主要包 括:皮带秤、水分仪、回潮筒等设备。
·皮带秤:用于烟丝流量的测量,作为回潮筒加水、加香 的基础数据
·水分仪:用于烟丝水分的测量,其测得的数据作为反馈 信号,用来控制回潮筒加水量
·回潮筒:内装有喷淋装置,有些二氧化碳膨胀线在该筒 还装有加香加料装置,水分5%~10%左右的膨胀烟丝经
过充分回潮,含水率达13%±0.5%,即为成品膨胀烟丝
卷烟生产的物流系统
卷烟生产的物流主要包括:原料物流、辅料物流、成品物 流三部分。
原料物流系统
完成将卷烟生产使用的原料(把烟、片烟、烟梗)从进入工 厂到运送至制丝线生产现场的全过程的系统。包括原料供 应、原料储存、配方库、原料供给、剩料回收等几个过程。
·原料供应:将不同类型、不同品种的原料从运送的卡车卸下,并运送到原料储存仓库
·原料储存:包括登记原料信息并生成识别标签、原料运输与码放、储存、出库等工序
·配方库:配方库计算机管理系统接到排产单,根据排产
顺序,分别调用相应品牌产品的原料配方
·原料供给:当制丝线准备好后,发出供料申请信号,激光导引车则将原料从配方库送到相应地点等待加工
·剩料回收:有些原料在一个批次中无法使用整包,将剩余原料送回配方库暂存
辅料物流
辅料物流是将购进的卷烟辅料进行拆分后按比例重新打 包、储存、配送到各个机台的系统。该系统包括辅料供应、辅
料拆分与重新打包、辅料储存、辅料配送等几部分。
·辅料供应:将外购的辅料送至辅料拆分现场
·辅料拆分与重新打包:根据不同辅料的消耗量和包装规 格,拆分大包与重新包装
·辅料储存:将按生产需要,重新按比例组合好的辅料放入 高架仓库内储存
·辅料配送:根据 “辅料供给”请求信号配送辅料
成品物流
成品物流系统是将卷接包车间生产的箱装的成品烟进行分 捡、码垛、储存、配送的系统。该系统包括成品分捡、烟 箱码垛、托盘运输、成品储存、配送等几部分。
·成品分捡:通过对烟箱条形码扫描,将不同品牌规格的 成品烟分拣到不同的出口
·烟箱码垛:在烟箱输送轨道出口配有自动码垛机将烟箱 按设定数量码放在标准托盘上
·托盘运输:码放好成品烟箱的托盘,由激光导引小车运 送到成品烟仓库
·成品储存:对装有成品烟的托盘进行登记,生成识别标签并指定其存放位置
·成品配送:根据订单上需要的品牌,提取并修改托盘的识别标签,同时将烟箱通过轨道输送到装车地点
卷接包生产设备
卷烟厂的卷接包车间的设备分为:卷接机组、烟支输送与缓存设备、包装机组、烟丝回收设备、嘴棒输送设备等。
卷接机组:将成品烟丝送入卷烟机,并用盘纸将烟丝卷成烟条,再用水松纸将分切成要求长度的烟条和嘴棒接装成成品烟支的设备。卷接机组包括送丝、卷烟、接装等几部分。
烟支输送与缓存设备:是将卷接机组生产的烟支输送至包装机组、或暂时储存、或装盘储存的设备。整个系统包括 通道、装盘机、卸盘机、缓存设备等。
现代的卷接机组生产能力越来越大,1600支/分钟的设备已在一些烟厂使用,烟支缓存装置通过大容量的在线缓存 技术,保证了生产的连续性,是连接卷接机组和包装机组的桥梁。
包装机组:将烟支装入小盒,将小盒装入条盒,并在小盒、条盒外分别包上透明包装纸的设备。包装机组包括下 烟器、小盒包装机、小盒储存输送设备、条盒包装机等几部分。
·下烟器:将烟支梳理整齐,按顺序送入小盒包装机
·小盒包装机:该设备是包装机组最为复杂、工序最多、精度要求最高的部分。主要完成取定量烟支、缺支断支检测、空头监测、铝箔纸包装、硬盒/软盒包装、粘贴口花(软盒)、小透明纸包装工序的设备
·小盒储存
输送设备:是小盒包装机与条盒包装机之间的 连接部分,也是包装机组的缓冲装置
·条盒包装机:完成对每10小包进行一条包的包装,条盒外透明纸的包装过 程
烟丝回收设备:回收不合格烟支内烟丝的设备。基本工序包括烟支梳理(将烟支沿传输带纵向排放),沿支剖切(沿烟 支轴向剖开盘纸),筛分(将烟丝与其它杂物分离),装箱(将回收的烟丝与其它杂物分别装箱)。回收的烟丝可送至 制丝线掺配段掺兑到低档烟丝内重新利用。
嘴棒输送设备:
·嘴棒输送设备:将嘴棒送入管道,并用风力把嘴棒快速送至卷烟机的设备
·嘴棒发射装置-将嘴棒依次送入嘴棒输送管道的设备,可向一台或多台卷烟机供应相同的嘴棒
·嘴棒接收装置-嘴棒接收装置与卷烟机相连,用于接收从嘴棒发射装置发 送来的嘴棒.
第二篇:集成电路典型工艺流程
集成电路典型工艺流程
(1)晶圆
晶圆(Wafer)的生产由二氧化硅开始,经电弧炉提炼还原成冶炼级的硅,再经盐酸氯化,产生三氯化硅,经蒸馏纯化后,通过慢速分解过程,制成棒状或粒状的“多晶硅”。一般晶圆制造厂,将多晶硅熔化后,再利用“籽晶”慢慢拉出单晶硅棒。经研磨、拋光、切片后,即成为集成电路芯片生产的原料—晶圆片。
(2)光刻
光刻是在光刻胶上经过曝光和显影的工序,把掩模版上的图形转换到光刻胶下面的薄膜层或硅晶上。光刻主要包含了匀胶、烘烤、光罩对准、曝光和显影等工序。由于光学上的需要,这段工序的照明采用偏黄色的可见光,因此俗称此区域为黄光区。
(3)干法刻蚀
在半导体工艺中,刻蚀被用来将某种材质自晶圆表面上除去。干法刻蚀是目前最常用的刻蚀方式,以气体作为主要的刻蚀媒介,并凭借等离子体能量来驱动反应。
(4)化学气相淀积(Chemical Vapor Deposition,CVD)
化学气相淀积是制造微电子器件时用来淀积出某种薄膜(film)的技术,所淀积出的薄膜可能是介电材料(绝缘体,dielectrics)、导体或半导体。
(5)物理气相淀积(Physical Vapor Deposition,PVD)
物理气相淀积主要包括蒸发和溅射。如其名称所示,物理气相淀积主要是一种物理变化的工艺而非化学工艺。这种技术一般使用氩气等惰性气体,凭借在高真空中將氩离子加速以撞击靶材后,可将靶材原子一个个溅射出来,并使被溅射出来的材质(通常为铝、钛或其合金)淀积在晶圆表面。反应室內部的高温与高真空环境,可使这些金属原子结成晶粒,再通过光刻与刻蚀,来得到所要的导电电路。
(6)氧化
利用热氧化法生长一层二氧化硅薄膜,目的是为了降低后续淀积氮化硅薄膜时产生的应力(stress),氮化硅具有很强的应力,会影响晶圆表面的结构,因此在这一层氮化硅及硅晶圆之间,生长一层二氧化硅薄膜来减缓氮化硅与规晶圆间的应力。
(7)离子注入
离子注入工艺可将掺杂物质以离子形式注入半导体元件的特定区域上,以获得精确的电特性。這些离子必须先被加速至具有足够能量与速度,以穿透薄膜,到达预定的注入深度。离子注入工艺可对注入区內的掺杂浓度加以精密控制。基本上,此掺杂浓度由离子束电流与扫描率来控制,而离子注入的深度则由离子束能量之大小来决定。
(8)化学机械抛光(Chemical Mechanical PolishingCMP)
化学机械抛光兼其有抛光性物质的机械式研磨与酸碱溶液的化学式研磨两种作用,可以使晶圆表面达到全面性的平坦化,以利后续薄膜淀积工序的进行。
第三篇:污水处理典型工艺流程
来源:中国污水处理工程网
氧化沟工艺:
中水回用处理典型工艺流程:
来源:中国污水处理工程网
垃圾渗滤液典型工艺流程:
城市污水回用处理工艺:
来源:中国污水处理工程网
钢铁乳化液处理典型工艺流程:
第四篇:药品生产典型工艺流程框图
常见药品生产典型工艺流程框图
药品生产对环境的洁净等级要求与药品的品种、剂型和生产特点有关。常见药品生产的典型工艺流程及环境区域划分如图1-1至图1-9。
粗品或浓缩液活性炭溶剂过 滤结 晶分 离干 燥过 筛混 合包 装入 库贮 存30万级区包装桶清 洁内包装材料清 理
图1-1 非无菌原料药精制、干燥、包装工艺流程框图及环境区域划分
抗生素浓缩液粗品活性炭溶剂玻璃瓶或铝瓶瓶塞纯水注射用水过 滤无菌过滤结 晶分 离喷雾干燥干 燥过 筛混 合装 瓶贴 签装 箱入 库粗 洗清 洗精 洗干燥灭菌冷 却过 滤过 滤10万级区1万级区纸箱标签100级区
图1-2 无菌原料药精制、干燥、包装工艺流程框图及环境区域划分
原辅料粉 碎粗 筛精 筛配 料30万级区崩解剂润湿剂其他包装容器润滑剂崩解剂湿 法干 燥包衣液粗 洗精 洗干 燥配 制包 衣整 粒总 混压 片冲模制 粒干 法直接法玻璃瓶消 毒冷 却分 装冷 却干 燥消 毒包 装入 库包装材料内包装材料
图1-3 片剂生产工艺流程框图及环境区域划分
原辅料粉 碎粗 筛精 筛配 料30万级区填充物制备如粉末,颗粒,小丸等空心胶囊消 毒装 囊内包装材料消 毒包 装外包装材料外包装入 库
图1-4 硬胶囊剂生产工艺流程框图及环境区域划分
原辅料填充泵楔形注入器注入胶 带旋转模润滑油胶浆涂 胶模 压胶 带旋转模胶皮回收废油液切 离胶囊清洗定 型干 燥10万级区质 检包 装入 库图1-5 压制法软胶囊剂生产工艺流程框图及环境区域划分
饮用水安瓿原辅料离子交换切 割过 滤粗 洗配 制粗 滤纯化水蒸 馏过 滤精 洗干燥灭菌冷 却精 滤注射用水灌 装封 口灭菌、检漏印 字纸箱10万级区包装1万级区入 库
图1-6 可灭菌小容量注射剂生产工艺流程框图及环境区域划分
纸盒
饮用水胶塞隔离膜输液瓶原辅料离子交换酸碱处理粗 洗乙醇浸泡瓶外清洗清洁剂清洗称 量浓 配过 滤稀 配粗 滤精 滤纯水化煮 沸过 滤蒸 馏清 洗清 洗清 洗粗 洗清 洗注射用水精 洗过 滤精 洗精 洗灌 装放 膜上 塞翻 塞30万级区1万级区10万级区铝盖100级区扎 口纸箱标签灭菌灯 检加 盖入 库包 装贴 签
图1-7 可灭菌大容量注射剂生产工艺流程框图及环境区域划分 冻干用原料分装用原料玻璃瓶胶塞擦洗消毒配 料擦洗消毒洗 瓶酸碱处理饮用水洗纯化水洗干燥灭菌无菌过滤灌 装冻 干加 塞轧 盖检 查冷 却分 装轧 盖注射用水洗硅 化干燥灭菌灭 菌铝盖10万级区1万级区100级区纸箱目 检封 蜡白蜡纸盖入 库装 箱装 盒贴 签标签
图1-8 注射用无菌分装产品生产工艺流程框图及环境区域划分 胶塞非无菌原料药西林瓶酸碱处理饮用水洗纯化水洗注射用水洗溶解配制灭菌过滤洗 瓶干燥灭菌冷 却A法 B法定量灌装硅 化胶塞塞半干燥灭菌冷冻干燥冷 却胶塞全压塞铝盖轧 盖托盘注入冷冻干燥粉碎过筛分装到容器密 封10万级区生物洁净室A:管制抗生素玻璃瓶冻结法B:托盘冻结法检 查包 装入 库包装材料
图1-9 注射用冷冻干燥制品生产工艺流程框图及环境区域划分
第五篇:典型路由器实验配置文档
典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码)1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local!
username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0!
ip nat inside source list natacl interface f1/0!
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0)C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号!
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商!PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0!
crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。