基本操作
2950(config)#int vlan1
2950(config-if)#ip address 192.168.1.100 255.255.255.0 (VLAN1裏面設置IP地址)
2950(config)#ip default-gateway 192.168.1.1 (設置默認網關)
2950(config)#ip name-server 192.168.1.1 (設置域名服務器)
2950(config)#ip domain-name wqs.com (設置域名)
端口配置
2950(config)#int f0/1 (進入接口)
2950(config-if)#speed 100 (設置該接口速率為100Mb/s)
2950(config-if)#duplex ?
auto Enable AUTO duplex configuration
full Force full duplex operation
half Force half-duplex operation
2950(config-if)#description to_router1 (設置端口描述)
2950#show interfaces fastethernet1 [status] (查看端口配置結果和狀態)
MAC地址表相關命令
2950(config)#mac-address-table aging-time 100 (設置超時時間為100S)
2950(config)#mac-address-table permanent 000.0c01.bbcc f0/3 (加入永久地址)
2950(config)#mac-address-table restricted static 0000.0c02.bbcc f0/6 f0/7 (加入靜態地址)
2950#show mac-address-table (查看整個MAC地址表)
2950#clear mac-address-table restricted static (清除限制性MAC址表)
VTP的配置
2950#vlan database (進入VLAN配置模式)
2950(vlan)#vtp ? (查看VTP的子命令)
domain Set the name of the VTP administrative domain.
client Set the device to client mode.
server Set the device to server mode.
transparent Set the device to transparent mode.
password Set the password for the VTP administrative domain.
2950(vlan)#vtp domain server (設置本交換機為SEVER模式)
2950(vlan)#vtp domain wqs (設置域名)
2950(vlan)#vtp pruning (啟動修剪模式)
2950#show vtp status (查看VTP設置信息)
配置VLAN TRUNK端口
2950(config)#int f0/11 (進入F端口)
2950(config-if)#switchport mode trunk (設置該端口為TRUNK模式)
2950(config-if)#switchport trunk encapsulation {dot1q | isl | negotiate }(設置TRUNK封裝)
創建VLAN
2950#vlan database (進入VLAN配置模式)
2950(vlan)#vlan 2 (創建VLAN 2)
VLAN 2 added:
Name:VLAN0002 (系統默認名)
2950(vlan)#vlan 3 name wg_bisheng (創建VLAN 3,名為網工必勝)
VLAN 3 added:
Name:wg_bisheng
2950(config)#int f0/9 (進入接口配置模式)
2950(config-if)#switchport mode access (設置該接口為ACCESS模式)
2950(config-if)#switchport access vlan 2 (把端口9分配給VLAN2)
2950(config-if)#int f0/8
2950(config-if)#switchport mode access
2950(config-if)#switchport access vlan 3
2950(config-if)#end
生成樹協議的配置
生成樹負載均衡實現方法(感謝黑客天使提醒)
1 使用STP端口權值實現。
2 使用STP路徑值實現
2950(config)#int f0/11
2950(config-if)#spanning-tree vlan 2 port-priority 10 (將VLAN2的端口權值設為10)
2950(config-if)#spanning-tree vlan 2 cost 30 (設置VLAN2生成樹路徑值為30)
路由器的一些設置
靜態路由:
Router(config)#ip route destination-network network-mask {next-hop-ip | interface } [distance]
Router(config)#ip route 192.168.1.0 255.255.255.0 10.1.1.1
其中:192。168。1。0代表目標網絡。
255.255.255.0代表目標網絡的子網掩碼;
10.1.1.1代表下一跳地址。
next-hop-ip:到達目的網絡所經由的下一跳路由器接口的IP地址。
Interface:到達目標網絡的本機接口(僅限P2P線路)
Distance:為該路由人工指定管理距離
默認路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 {next-hop-ip | interface } [distance]
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
其中:0。0。0。0 0。0。0。0代表任意地址和任意掩碼,即所有網絡,其它參數同靜態路由。
選擇性通告路由:
如在RIP設置中,讓S0端口只收不發RIP通告。
Router(config)#router rip
Router(config-router)#passive-interface serial 0
常見路由協議的管理距離:
TABLE 5 . 2 Default Administrative Distances
Route Source Default AD
Connected interface 0
Static route 1
EIGRP 90
IGRP 100
OSPF 110
RIP 120
External EIGRP 170
Unknown 255 (this route will never be used)
ISDN(DDR,PRI,BRI,PPP)
相關命令
r1(config)#isdn switch-type ? (設置ISDN交換類型)
basic-1tr6 1TR6 switch type for Germany
basic-5ess AT&T 5ESS switch type for the U.S.
basic-dms100 Northern DMS-100 switch type
basic-net3 NET3 switch type for UK and Europe
basic-ni National ISDN switch type
basic-ts013 TS013 switch type for Australia
ntt NTT switch type for Japan
vn3 VN3 and VN4 switch types for France
primary-5ess
basic-ni1 Basic-Ni1
r1(config)#username name password secret (指定口令)
r1(config)#interface bri0 (接口BRI設置)
r1(config-if)#encapsulation ppp (設置PPP封裝)
r1(config-if)#ppp authentication {chap|chap pap |pap chap|pap}[callin](設置認證方式)
r1(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001 (設置協議地址與電話號碼的映射)
r1(config-if)#ppp multilink (啟動PPP多連接)
r1(config-if)#dialer load-threshold load(設置啟動另一個B通道的閾值)
r1(config-if)#clock rate speed (設置DCE端的線速度)
r1#sh isdn ? (查看ISDN相關信息)
active ISDN active calls
history ISDN call history
memory ISDN memory information
status ISDN Line Status
timers ISDN Timer values
一般需要配置的信息有ISDN交換機類型,IP地址,封裝類型,撥號串,撥號組,撥號列表等信息。
r2(config)#isdn switch-type basic-net3 (設置ISDN交換類型)
r2(config)#int bri0 (進入BRI接口配置模式)
r2(config-if)#ip address 192.168.1.2 255.255.255.0(設置接口IP地址)
r2(config-if)#encapsulation ppp (封裝協議為PPP)
r2(config-if)#dialer string 88888888 (設置撥號串,R1的ISDN號碼)
r2(config-if)#dialer-group 1 (設置撥號組號碼為1,把BRI0接口與撥號列表1相關聯)
r2(config-if)#no sh (激活接口)
%LINK-3-UPDOWN: Interface Bri0, changed state to up
r2(config-if)#exit
r2(config)#dialer-list 1 protocol ip permit (設置撥號列表1)
r1(config-if)#dialer idle-timeout 30
r1(config-if)#dilaer load-threshold 128
r1(config-if)#ppp authentication chap
r1(config)#dialer-list 1 protocol ip permit
上面整理得有點亂,詳細實例見以下三個實驗,建議大家用模擬器實踐以強化記憶。
LAB 17 – ISDN BRI-BRI using Legacy DDR
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 200.10.1.1 /24 32177820010100 7782001 basic-ni
router2 200.10.1.2 /24 32177820020100 7782002 basic-ni
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0
router1(config-if)# encap ppp
router1(config-if)# ip address 200.10.1.1 255.255.255.0
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer-group 1
router1(config-if)# dialer map ip 200.10.1.2 name router2 broadcast 7782002
router1(config-if)# ppp authentication chap
router1(config-if)# no shut
router2(config)# isdn switch-type basic-ni
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# interface bri0/0
router2(config-if)# encap ppp
router2(config-if)# ip address 200.10.1.2 255.255.255.0
router2(config-if)# isdn spid1 32177820020100
router2(config-if)# dialer-group 1
router2(config-if)# dialer map ip 200.10.1.1 name router1 broadcast 7782001
router2(config-if)# ppp authentication chap
router2(config-if)# no shut
LAB 18 – ISDN BRI-BRI using Dialer Profiles
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 200.10.1.1 /24 32177820010100 7782001 basic-ni
router2 200.10.1.2 /24 32177820020100 7782002 basic-ni
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0
router1(config-if)# encap ppp
router1(config-if)# ppp authentication chap
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer pool-member 1
router1(config-if)# no shut
router1(config-if)# interface dialer 1
router1(config-if)# no shut
router1(config-if)# ip address 200.10.1.1 255.255.255.0
router1(config-if)# encap ppp
router1(config-if)# dialer-group 1
router1(config-if)# dialer pool 1
router1(config-if)# dialer remote-name router2
router1(config-if)# dialer string 7782002
router1(config-if)# ppp authentication chap
router2(config)# isdn switch-type basic-ni
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# interface bri0/0
router2(config-if)# encap ppp
router2(config-if)# ppp authentication chap
router2(config-if)# isdn spid1 32177820020100
router2(config-if)# dialer pool-member 1
router2(config-if)# no shut
router2(config-if)# interface dialer 1
router2(config-if)# no shut
router2(config-if)# ip address 200.10.1.2 255.255.255.0
router2(config-if)# encap ppp
router2(config-if)# dialer-group 1
router2(config-if)# dialer pool 1
router2(config-if)# dialer remote-name router1
router2(config-if)# dialer string 7782001
router2(config-if)# ppp authentication chap
LAB 19 – ISDN PRI using Dialer Profiles
Router IP Address Mask SPID1 Local Tel# ISDN Switch
router1 201.10.1.1 /24 32177820010100 7782001 basic-ni
router2 201.10.1.2 /24 ----- 7782002 primary-5ess
router1(config)# isdn switch-type basic-ni
router1(config)# dialer-list 1 protocol ip permit
router1(config)# username router2 password cisco
router1(config)# interface bri0/0
router1(config-if)# encap ppp
router1(config-if)# ppp authentication chap
router1(config-if)# isdn spid1 32177820010100
router1(config-if)# dialer pool-member 1
router1(config-if)# no shut
router1(config-if)# interface dialer 2
router1(config-if)# no shut
router1(config-if)# ip address 201.10.1.1 255.255.255.0
router1(config-if)# encap ppp
router1(config-if)# dialer-group 1
router1(config-if)# dialer pool 1
router1(config-if)# dialer remote-name router2
router1(config-if)# dialer string 7782002
router1(config-if)# ppp authentication chap
router2(config)# isdn switch-type primary-5esss
router2(config)# dialer-list 1 protocol ip permit
router2(config)# username router1 password cisco
router2(config)# controller t1 0/0
router2(config-controller)# framing esf
router2(config-controller)# linecode b8zs
router2(config-controller)# pri-group timeslots 1-24
router2(config-controller)# exit
router2(config)# interface serial0/0:23
router2(config-if)# encapsulation ppp
router2(config-if)# ppp authentication chap
router2(config-if)# dialer pool-member 2
router2(config-if)# no shut
router2(config-if)# interface dialer 2
router2(config-if)# ip address 201.10.1.2 255.255.255.0
router2(config-if)# encapsulation ppp
router2(config-if)# dialer-group 1
router2(config-if)# dialer pool 2
router2(config-if)# dialer remote-name router1
router2(config-if)# dialer string 7782001
router2(config-if)# ppp authentication chap
router2(config-if)# no shut
FR的配置
Router(config-if)#encapsulation frame-relay [ietf|cisco] (在相關接口上封裝FR)
Router(config-if)#frame-relay lmi-type ? (設置LMI類型)
cisco
ansi
q933a
Router(config-if)#frame-relay interface-dlci 100 (設置FR DLCL編號)
Router(config-if)#frame-relay map ip 1.1.1.1 100 [broadcast](映射協議地址與DLCL)
Router(config)#interface serial 0/0.1 {point-to-point | multipoint }(設置子接口)
Router#sh frame-relay ? (查看FR狀態)
map Frame-Relay map table
pvc show frame relay pvc statistics
lmi show frame relay lmi statistics
route show frame relay route
svc show frame relay SVC stuff
traffic Frame-Relay protocol statistics
LAB 20 – FRAME RELAY
Router Interface IP Address Local DLCI
router1 serial 1 215.10.1.1 /24 105
router5 serial 0 215.10.1.2 /24 501
router1(config)# interface serial1
router1(config-if)# encapsulation frame-relay
router1(config-if)# ip address 215.10.1.1 255.255.255.0
router1(config-if)# frame-relay map ip 215.10.1.2 105 broadcast
router1(config-if)# frame-relay lmi-type ansi
router1(config-if)# no shut
router5(config)# interface serial0
router5(config-if)# encapsulation frame-relay
router5(config-if)# ip address 215.10.1.2 255.255.255.0
router5(config-if)# frame-relay map ip 215.10.1.1 501 broadcast
router5(config-if)# frame-relay lmi-type ansi
router5(config-if)# no shut
router1(config)# interface serial1
router1(config-if)# no ip address 215.10.1.1 255.255.255.0
router1(config-if)# no frame map ip 215.10.1.2 105 broadcast
router1(config-if)# interface serial1.1 point-to-point
router1(config-subif)# ip address 215.10.1.1 255.255.255.0
router1(config-subif)# frame-relay interface-dlci 105
router5(config)# interface serial0
router5(config-if)# no ip address 215.10.1.2 255.255.255.0
router5(config-if)# no frame map ip 215.10.1.1 501 broadcast
router5(config-if)# interface serial0.1 point-to-point
router5(config-subif)# ip address 215.10.1.2 255.255.255.0
router5(config-subif)# frame-relay interface-dlci 501
配置NAT
靜態NAT:
Router(config-if)#ip nat { outside | inside } 定義外部接口和內部接口。
Router(config)#ip nat {inside | outside }source static source_address translate_address
定義源地址翻譯。
router1(config)# ip nat inside source static 160.10.1.2 169.10.1.2
router1(config)# interface ethernet0
router1(config-if)# ip address 160.10.1.1 255.255.255.0
router1(config-if)# ip nat inside
router1(config-if)# interface serial0
router1(config-if)# ip address 175.10.1.1 255.255.255.0
router1(config-if)# ip nat outside
router1(config-if)# no shut
動態NAT
Router(config)#ip nat pool {netmask | prefix-length < prefix-length> }
router1(config)# no ip nat inside source static 160.10.1.2 169.10.1.2
router1(config)# ip nat pool pool1 169.10.1.50 169.10.1.100 netmask 255.255.255.0
router1(config)# ip nat inside source list 1 pool pool1
router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255
OVERLOAD:
router1(config)# ip nat inside source list 1 interface serial0 overload
router1(config)# interface Ethernet 0
router1(config-if)# ip address 160.10.1.1 255.255.255.0
router1(config-if)# ip nat inside
router1(config-if)# interface serial 0
router1(config-if)# ip address 175.10.1.1 255.255.255.0
router1(config-if)# ip nat outside
router1(config-if)# exit
router1(config)# access-list 1 permit 160.10.1.0 0.0.0.255
VPN的基本配置
作者:yc_liang
2003-4-24
VPN的基本配置
工作原理:
一邊服務器的網絡子網為192.168.1.0/24
路由器為100.10.15.1
另一邊的服務器為192.168.10.0/24
路由器為200.20.25.1。
執行下列步驟:
1. 確定一個預先共享的密鑰(保密密碼)(以下例子保密密碼假設為noIP4u)
2. 為SA協商過程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
註釋:policy 1表示策略1,假如想多配幾個VPN,可以寫成policy 2、policy3┅
Shelby(config-isakmp)#group 1
註釋:除非購買高端路由器,或是VPN通信比較少,否則最好使用group 1長度的密鑰,group命令有兩個參數值:1和2。參數值1表示密鑰使用768位密鑰,參數值2表示密鑰使用1024位密鑰,顯然後一種密鑰安全性高,但消耗更多的CPU時間。
Shelby(config-isakmp)#authentication pre-share
註釋:告訴路由器要使用預先共享的密碼。
Shelby(config-isakmp)#lifetime 3600
註釋:對生成新SA的周期進行調整。這個值以秒為單位,默認值為86400,也就是一天。值得註意的是兩端的路由器都要設置相同的SA周期,否則VPN在正常初始化之後,將會在較短的一個SA周期到達中斷。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
註釋:返回到全局設置模式確定要使用的預先共享密鑰和指歸VPN另一端路由器IP地址,即目的路由器IP地址。相應地在另一端路由器配置也和以上命令類似,只不過把IP地址改成100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
註釋:在這裏使用的訪問列表號不能與任何過濾訪問列表相同,應該使用不同的訪問列表號來標識VPN規則。
Shelby(config)#crypto ipsec transform-set vpn1 ah-md5-hmac esp-des esp-md5-hmac
註釋:這裏在兩端路由器唯一不同的參數是vpn1,這是為這種選項組合所定義的名稱。在兩端的路由器上,這個名稱可以相同,也可以不同。以上命令是定義所使用的IPSec參數。為了加強安全性,要啟動驗證報頭。由於兩個網絡都使用私有地址空間,需要通過隧道傳輸數據,因此還要使用安全封裝協議。最後,還要定義DES作為保密密碼鑰加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
註釋:以上命令為定義生成新保密密鑰的周期。如果攻擊者破解了保密密鑰,他就能夠解使用同一個密鑰的所有通信。基於這個原因,我們要設置一個較短的密鑰更新周期。比如,每分鐘生成一個新密鑰。這個命令在VPN兩端的路由器上必須匹配。參數shortsec是我們給這個配置定義的名稱,稍後可以將它與路由器的外部接口建立關聯。
Shelby(config-crypto-map)#set peer 200.20.25.1
註釋:這是標識對方路由器的合法IP地址。在遠程路由器上也要輸入類似命令,只是對方路由器地址應該是100.10.15.1。
Shelby(config-crypto-map)#set transform-set vpn1
Shelby(config-crypto-map)#match address 130
註釋:這兩個命令分別標識用於這個連接的傳輸設置和訪問列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
註釋:將剛才定義的密碼圖應用到路由器的外部接口。
現在剩下的部分是測試這個VPN的連接,並且確保通信是按照預期規劃進行的。
最後一步是不要忘記保存運行配置,否則所作的功勞白費了。
附:參照網絡安全範圍,VPN硬件設備應放置以下四個地點:
● 在DMZ的防火墻之外
● 連接到防火墻的第三個網卡(服務網絡)
● 在防火墻保護的範圍之內
● 與防火墻集成
文章標籤
全站熱搜
留言列表
