企業(yè)網(wǎng)絡(luò)應(yīng)用高級(jí)技術(shù)實(shí)驗(yàn)成功案例集

1、企業(yè)網(wǎng)絡(luò)高級(jí)技術(shù)成功案例集BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（一）實(shí)驗(yàn)時(shí)2011-1-18實(shí)驗(yàn)人實(shí)驗(yàn)名OSPF單域配置所屬模塊及課ATEN實(shí)驗(yàn)?zāi)繉W(xué)會(huì)OS PF單域，即骨干區(qū)域的配置實(shí)驗(yàn)拓R1:實(shí)驗(yàn)步1.配置loopback接口地址;R1(c on fig)# in ter loop back 0R1(co nfig-if)#ip addre 10.1.1R1(co nfig-if)#exit2. 為真實(shí)接口配置IP地址;R1(co nfig)#i nter f0/0R1(co nfig-if)# no shut 3.啟用OSPFR1(co nfig)#router os pf 20 0.0.0.

2、255 area 0R1(c on fig-router)# network 10.1.1R1(c on fig-router)#exitR2:1.配置loopback接口地址;R2(c on fig)# in ter loop back 0R2(co nfig-if)#ip addre 20.1.1R2(co nfig-if)#exit2. 為真實(shí)接口配置IP地址;R2(c on fig)#i nter f0/0R2(co nfig-if)# no shutR2(co nfig)# in ter f1/0R2(co nfig-if)#ip adR2(co nfig-if)# no shut

3、3.啟用OSPFR2(co nfig)#router os pf 55 area 055 area 0R2(co nfig-router)# network 20.1.1R2(c on fig-router)#e ndR3:1.配置loopback接口地址;R3(c on fig)# in ter loop back 0R3(co nfig-if)#i p addre 3R3(co nfig-if)#exit2.為真實(shí)接口配置IP地址;R3(c on fig)#i nter f0/0R3(co nfig-if)#ip add R3(co n

4、fig-if)# no shut3.啟用OSPFR3(co nfig)#router os pf 55 area 0 area 0R3(c on fig-router)#e nd實(shí)驗(yàn)結(jié)果分析實(shí)驗(yàn)結(jié)全網(wǎng)PING通，試驗(yàn)成功!BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（二）實(shí)驗(yàn)時(shí)2011-1-18實(shí)驗(yàn)人實(shí)驗(yàn)名所屬模塊及課ATEN實(shí)驗(yàn)?zāi)繉?shí)驗(yàn)拓R1 :1. 配置loopback接口地址;R1(co nfig)#i nter loo pback 0R1(co nfig-if)#exit實(shí)驗(yàn)步2. 配置真實(shí)接口的地址；R1(co nfig)#i nter f0/0R1(co nfig

5、-if)# no shut3. 啟用OS PFR1(co nfig)#router os pf area 055 area 0R1(c on fig-router)#exitR2:1. 配置loopback接口地址;R2(co nfig)#i nter loo pback 0 255.255R2(co nfig-if)#exit2. 配置真實(shí)接口的地址；R2(co nfig)#i nter f0/0R2(co nfig-if)# no shut3. 啟用OS PFR2(co nfig)#router os pf area 05

6、5 area 0R3:1. 配置loopback接口地址；R3(co nfig)#i nter loo pback 0R3(co nfig-if)#exit2. 配置真實(shí)接口的地址；R3(co nfig)#i nter f0/0R3(co nfig-if)# no shut3. 啟用OS PFR3(co nfig)#router os pf 55 area 0 area 0R3(c on fig-router)#e nd實(shí)驗(yàn)結(jié)路由器都學(xué)到了其他的網(wǎng)段回接口;果分析全網(wǎng)PING通，試驗(yàn)成功;實(shí)驗(yàn)結(jié)BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（三）ATEN綜合試驗(yàn)實(shí)驗(yàn)人2011

7、-1-17實(shí)驗(yàn)名ATEN綜合試驗(yàn)（PVST EthernetChannel、HSR針對(duì)每個(gè) vlan、OSPF所屬模塊及課實(shí)驗(yàn)?zāi)繉?shí)驗(yàn)拓實(shí)驗(yàn)步ATENRS-1:1.倉U建 vlan;envla n datavla n 2vla n 3vla n 4vla n 5exit2.幵啟路由功能;conf thost RS-1ip rout ing 3.配置 trunk;inter range fO/1 - 6 switch mode trunk exit4.配置以太通道;inter range f0/1 - 2 cha nn el-gro up 1 mode on exit 5.指定RS-1作為vian

8、2、vian3的根網(wǎng)橋;spannin g-tree via n 2 root p rimary spannin g-tree via n 3 root p rimary6.啟用路由接口;inter fO/15 no switch port ip add 5.5.5 no shut 7.配置vian以及針對(duì)vian的HSRP;in ter via n 2 ip add 1.1.1no ip redirects（關(guān)閉端口重定向）Stan dby 20 ip 54（加入熱備份組）standby 20 priority 200（設(shè)置優(yōu)先級(jí)，讓 RS-1成為vian2的活躍路由器）Sta

9、n dby 20 p ree mpt（配置占先權(quán)）no shutin ter via n 3ip add 2.2.2Stan dby 30 ip 54（加入熱備份組）no ip redirects（關(guān)閉端口重定向）standby 30 priority 200（設(shè)置優(yōu)先級(jí)，讓 RS-1成為vlan3的活躍路由器）Stan dby 30 p ree mpt （配置占先權(quán)）no shutin ter vla n 4ip add 3.3.3sta ndby 40 ip 54（加入熱備份組）no ip redirects（關(guān)閉端口重定向）Stan dby 40 p ree

10、mpt（配置占先權(quán)）no shut in ter vla n 5ip add 4.4.4Stan dby 50 ip 54（加入熱備份組）sta ndby 50 preempt（配置占先權(quán)）exit8.配置OSPF router os pf 100 network 1.1.1 network 2.2.2 network 3.3.3 n etwork 4.4.4 n etwork 5.5.5 exitRS-2:1.倉ij建 vian;en via n data via n 2 via n 3 via n 4 via n 5 exit2.幵啟路由功能;conf t host RS-2

11、 ip rout ing 3.配置 trunk;inter range fO/1 - 6 switch mode trunk exit4.配置以太通道;inter range f0/1 - 2 cha nn el-gro up 1 mode on exit 5.指定RS-2作為vian4、vian5的根網(wǎng)橋;spannin g-tree via n 4 root p rimary spannin g-tree via n 5 root p rimary6.啟用路由接口;inter fO/15 no switch port ip add 666 no shut 7.配置vian以及針對(duì)vian的

12、HSRR in ter via n 2ip add 1.1.1Stan dby 20 ip 54（加入熱備份組）Stan dby 20 p ree mpt（配置占先權(quán)）no shutin ter via n 3ip add 2.2.2Stan dby 30 ip 54（加入熱備份組）sta ndby 50 preempt（配置占先權(quán)）no ip redirects（關(guān)閉端口重定向）Stan dby 30 p ree mpt （配置占先權(quán)）no shut in ter vla n 4 ip add 3.3.3sta ndby 40 ip 54（加入熱備份

13、組）standby 40 priority 200（設(shè)置優(yōu)先級(jí)，讓 RS-2成為vlan4的活躍路由器）no ip redirects（關(guān)閉端口重定向）Stan dby 40 p ree mpt（配置占先權(quán)）no shutin ter vla n 5ip add 4.4.4Stan dby 50 ip 54（加入熱備份組）standby 50 priority 200（設(shè)置優(yōu)先級(jí)，讓 RS-2成為vlan5的活躍路由器）no ip redirects（關(guān)閉端口重定向）exit8.配置OSPFrouter os pf 100network 1.1.1 network 2.2.2 n

14、etwork 3.3.3 n etwork 4.4.4 network 6.6.6 exitS-3;1.倉ij建 vian;en via n 2 via n 3 exit 2.配置 trunk;conf t host S-3 inter range fO/1 - 2 switch mode trunk 3.將端口加入相應(yīng)的vla n;inter f0/23 switch access vla n 2 inter f0/24 switch access vla n 3exitS-4:1.倉ij建 vian;en via n 4 via n 5 exit 2.配置 trunk;conf t hos

15、t S-4 inter range fO/1 - 2 switch mode trunk3.將端口加入相應(yīng)的vlan ;inter f0/23 switch access vla n 4 inter f0/24 switch access vla n 5 exitS-5:1.倉ij建 vlan;en vla n 2via n 3 exit 2.配置 trunk;conf t host S-5 inter range fO/1 - 2 switch mode trunk3.把端口加入相應(yīng)的 vlan;inter f0/23 switch access vla n 2 inter f0/24 sw

16、itch access vla n 3 exitS-6:1.創(chuàng)建 vlan ；en vla n 4 vla n 5 exit 2.配置 trunk;conf t host S-6inter range fO/1 - 2 switch mode trunk 3.將端口加入相應(yīng)的via n;inter fO/23 switch access via n 4 inter fO/24 switch access via n 5 exitR1( pc1):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gate

17、way 543.配置IP地址;inter eO ip add 1.1.1 no shut endR2( PC2):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址;in ter e0 ip add 2.2.2 no shut endR3 (PC3):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址

18、;in ter e0 ip add no shut endR4 (PC4):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址;inter e0 ip add no shut endR5 (PC5):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址;inter e0 ip add

19、no shut endR6 ( PC6):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址;inter e0 ip add no shut endR7 ( PC?):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址）3.配置IP地址;ip default-gateway 54in ter eO ip add no shut e

20、ndR8 ( PC8):1. 關(guān)閉路由功能;en conf t no ip routi ng2. 配置默認(rèn)網(wǎng)關(guān)（為 HSRP組的虛擬IP地址） ip default-gateway 543.配置IP地址;in ter e0 ip add no shutR9:1.配置IP地址;en conf t host R9 inter f0/1ip add 5.5.5 no shut in ter fO/0 ip add 6.6.6 no shut inter e1/2 ip add 8.8.8 no shut inter e1/1 ip add 7.7.7 no shut e

21、xit 2.配置OSPF router os pf 100 n etwork 5.5.55 area 0 network 6.6.6 n etwork 7.7.7 network 8.8.8area 1 stub no-summary（配置為完全末梢區(qū)域）area 2 stub no summary （配置為完全末梢區(qū)域 ）R10:1.配置IP地址;en conf t host R10 inter eO/0 ip add 7.7.7 no shut exit2.配置OSPF配置成為末梢區(qū)域;router os pf 100 n etwork 7.7.7 area 1 stub endR11:1

22、.配置IP地址;en conf t host R11 inter e2/0 ip add 8.8.8 no shut2.配置OSPF配置成為末梢區(qū)域;exitrouter os pf 100network 8.8.8area 2 stubend果分析BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（四）DHC沖繼轉(zhuǎn)發(fā)時(shí)間名稱2011-1-8DHC沖繼轉(zhuǎn)發(fā)ATEN實(shí)現(xiàn)各VLAN互通和DHC沖繼轉(zhuǎn)發(fā)SW2(vla n)#exit目的拓?fù)銼W11.創(chuàng)建VLAN并把端口加入相應(yīng)得 VLAN ;SW1(vla n)#vla n 10SW1(vla n)#vla n 20SW1(vla n)#vla n 30SW1(vl

23、a n)#exitSW1(co nfig)#i nter fO/3SW1(c on fig-if)#switch access vlan 10SW1(co nfig-if)# in ter f0/2步驟SW1(c on fig-if)#switch access vlan 20SW1(co nfig-if)# in ter f0/0SW1(c on fig-if)#switch access vla n 12.配置VLAN的管理地址；管理地址相當(dāng)于這一 vlan （即這一網(wǎng)段）的網(wǎng)關(guān)，類似路由器上封裝的子接口地址SW1(co nfig)#i nter vlan 10SW1(co nfig-if

24、)# no shutSW1(co nfig-if)#i nter vlan 30SW1(coSW1(co nfig-if)# no shut3.配置與交換機(jī)相連的端口為 TRUNKSW1(co nfig-if)# in ter fO/1SW1(c on fig-if)#switch mode trunk4.啟動(dòng)路由功能SW1(co nfig)#ip rout ing5.配置DHC沖繼轉(zhuǎn)發(fā)（配置在不屬于 DHCP艮務(wù)器所在VLAN的VLAN上,在另一個(gè)三層交換上不需要再配置了）SW1(co nfig)#i nter vlan 20SW1(co nfig-if)#ip help er-addres

25、s 0SW1(co nfig-if)#i nter vlan 30SW21.創(chuàng)建VLAN并把端口加入相應(yīng)的 VLAN （創(chuàng)建VLAN時(shí)，兩個(gè)交換機(jī)創(chuàng)建同樣的VLAN可以避免再配靜態(tài)路由；如果不配置同樣的VLAN三層交換不能學(xué)習(xí)到對(duì)方有的但它們自身沒有的網(wǎng)段，這時(shí)就需要配置靜態(tài)路由來解決）SW2(vla n)#vla n 20SW2(vla n)#vla n 30SW2(vla n)#vla n 10SW2(c on fig)#i nter fO/3SW2(co nfig-if)#switch access vlan 20SW2(co nfig-if)#i nter f0/2SW

26、2(co nfig-if)#switch access vlan 302.配置與交換機(jī)相連的端口為 TRUN；SW2(co nfig-if)#i nter f0/1SW2(co nfig-if)#switch mode trunk3.配置VLAN的管理地址；（與SW1上的VLAN管理地址不同）SW2(co nfig)#i nter vlan 10SW2(co nfig-if)# no shutSW2(co nfig-if)#i nter vlan 20SW2(co nfig-if)# no shutSW2(co nfig-if)#i nter vlan 30SW2(co nfig-if)# n

27、o shut4.啟動(dòng)路由功能SW2(co nfig)#ip rout ingR1( DHCP Server):1.關(guān)閉路由功能R1 (con fig)# no ip routi ng2.配置ip地址;R1(co nfig)#i nter f0/0R1(co nfig-if)#ipR1(c on fig-if)# no shut3.配置地址池:R1(c on fig)# ip dhc p pool 1R1(dhc p-con fig)#default-router （此地址為與DHCPServer 直連的三層交換的各vlan的管理地址,即配置的地址池的網(wǎng)關(guān),不配好像也能R2(co

28、 nfig-if)# no shutR2(co nfig-if)#ip add dhc p clie nt-id fastEthernet 0/0分配？）R1(dhc p-con fig)# ip dhc p pool 2R1(dhc p-con fig)#default-router （此地址為與DHCPServer 直連的三層交換的各vlan的管理地址,即配置的地址池的網(wǎng)關(guān),不配好像也能分配？）R1(dhc p-con fig)# ip dhc p pool 3（此地址為與DHCPServer直連的三層交換的各vlan的管理地址，即配置的地址池的網(wǎng)關(guān)，不配好像也能分配？ ）

29、R1(dhc p-con fig)#e ndR2:1關(guān)閉路由功能R2(c on fig)# no ip routi ng2.幵啟DHCF的客戶端，以使得該接口動(dòng)態(tài)的從DHC服務(wù)器端獲得IP地址R2(co nfig)#i nter f0/0R2(co nfig-if)#e nd3.查看路由器通過dhcp獲得的ip地址R2#show ip in terfaceR31關(guān)閉路由功能R3(c on fig)# no ip routi ng2.幵啟DHCP勺客戶端，以使得該接口動(dòng)態(tài)的從DHCP艮務(wù)器端獲得IP地址R3(co nfig)#i nter fO/0R3(co nfig-if)# no shutR

30、3(co nfig-if)# ip add dhc p clie nt-id fastEthernet 0/0R3(co nfig-if)#e nd3.查看路由器通過dhcp獲得的ip地址R3#show ip in terfaceR41關(guān)閉路由功能R4(c on fig)# no ip routi ng2.幵啟DHCP勺客戶端，以使得該接口動(dòng)態(tài)的從DHCP艮務(wù)器端獲得IP地址R4(co nfig)#i nter f0/0R4(co nfig-if)# no shut3.查看路由器通過dhcp獲得的ip地址R4#show ip in terfaceR4(co nfig-if)#ip add dh

31、c p clie nt-id fastEthernet 0/0R4(co nfig-if)#e ndR51關(guān)閉路由功能R5con fig)# no ip rout ing2.幵啟DHCP勺客戶端，以使得該接口動(dòng)態(tài)的從DHCP艮務(wù)器端獲得IP地址R5(co nfig)#i nter fO/0R5(c on fig-if)# no shutR5(c on fig-if)# ip add dhc p clie nt-id fastEther net 0/0R5(c on fig-if)#e nd3.查看路由器通過dhcp獲得的ip地址R5#show ip in terfaceR2從DHCP服務(wù)器處獲

32、得地址R3從DHCfflK務(wù)器處獲得地址R4從DHCfflK務(wù)器處獲得地址分析R5從DHCP服務(wù)器處獲得地址結(jié)論全網(wǎng)ping通，試驗(yàn)成功!在三層交換上配置DHCF中繼轉(zhuǎn)發(fā)，能讓三層交換機(jī)將DHCP這種特殊的廣播信息在VLAN之間轉(zhuǎn)發(fā)（即讓DHCP勺廣播可以傳到不屬于它所在的 VLAN的內(nèi)部），讓其他VLAN的客戶機(jī)也能從DHCfflK務(wù)器那里獲得IP地址。BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（五）HSR P實(shí)驗(yàn)時(shí)實(shí)驗(yàn)人實(shí)驗(yàn)名2011-1-25HSR PR3(c on fig-if)# no ip redirectsR5(co nfig-if)#exit端口 f1/0所屬模塊及課ATEN實(shí)驗(yàn)?zāi)繉?shí)驗(yàn)拓

33、試驗(yàn)一：（路由器沒有設(shè)置優(yōu)先級(jí)）（注意要把交換機(jī)啟動(dòng)，將它改名就行了）R1：( PC11.配置IP地址;實(shí)驗(yàn)步R1(co nfig)#i nter f0/0R1(c on fig)#ip default-gateway .2543. 關(guān)閉路由器的路由功能;R1(c on fig)# no ip routi ngR2: (PC21.配置IP地址;R2(co nfig)#i nter fO/0R2(co nfig-if)# no shutR2(co nfig-if)exit2.設(shè)置默認(rèn)網(wǎng)關(guān)：地址為該 HSRP組的虛擬IP地址，由自己設(shè)定;3. 關(guān)閉路由器的路由功能;R2(c on fig)# no

34、 ip routi ngR3:端口 f0/01.配置IP地址;R3(co nfig)#i nter f0/0R3(c on fig-if)# no sh2.把路由器配置成一個(gè) HSRPa的成員，即加入一個(gè) HSRP組;3. 關(guān)閉端口重定向，防止主機(jī)發(fā)現(xiàn)HSRP組中路由器的真實(shí) MAC地址（活躍路由器地址）1.配置IP地址;R3(co nfig)#i nter f1/0R3(co nfig-if)#ip addR3(c on fig-if)# no sh2.把路由器配置成一個(gè) HSRP組的成員，即加入一個(gè) HSRffl;R3(co nfig-if)#sta ndby 10 ip .2543. 關(guān)

35、閉端口重定向，防止主機(jī)發(fā)現(xiàn)HSRffl中路由器的真實(shí)MAC地址（活躍路由器地址）R3(c on fig-if)# no ip redirectsR3(co nfig-if)#e ndR4:端口 f0/01.配置IP地址;R4(co nfig)#i nter f0/0R4(co nfig-if)#ip add 12R3(c on fig-if)# no sh2.把路由器配置成一個(gè) HSRP組的成員，即加入一個(gè) HSRffl;3. 關(guān)閉端口重定向，防止主機(jī)發(fā)現(xiàn)HSRffl中路由器的真實(shí)MAC地址（活躍路由器地址）1.配置IP地址;R4(co nfig)#i nter f1/0R4(co nfig-

36、if)#ip add .2R4(c on fig-if)# no sh2.把路由器配置成一個(gè) HSRP組的成員，即加入一個(gè) HSRffl;R4(co nfig-if)#sta ndby 10 ip .2543.關(guān)閉端口重定向，防止主機(jī)發(fā)現(xiàn)HSRffl中路由器的真實(shí)MAC地址（活躍路由器地址）R4(c on fig-if)# no ip redirectsR4(co nfig-if)#e nd試驗(yàn)二：（路由器設(shè)置優(yōu)先級(jí)，并且要配置占先權(quán)，占先權(quán)在每個(gè)端口都需要配置）R3:1.配置優(yōu)先級(jí);R3(co nfig)#i nter f0/0R3(co nfig-if)#sta ndby 172 prio

37、rity 1202.配置占先權(quán);R3(co nfig)#i nter f0/0R3(co nfig-if)#sta ndby 172 pree mptR3(c on fig-if)#sta ndby 10 preemptR4:1.配置優(yōu)先級(jí);R4(co nfig)#i nter f1/0R4(co nfig-if)#sta ndby 10 priority 1202.配置占先權(quán);R4(co nfig)#i nter f0/0R4(c on fig-if)#sta ndby 172 preemptR4(co nfig-if)exitR4(co nfig)#i nter f1/0R4(c on f

38、ig-if)#sta ndby 10 preempt試驗(yàn)三：（配置端口跟蹤一一當(dāng)活躍路由器上一個(gè)被跟蹤端口變得不可用時(shí)，活躍路由器的HSRP優(yōu)先級(jí)將會(huì)降低）R3:（端口跟蹤配置在活躍路由器的R3(co nfig)#i nter f0/0R3(co nfig-if)#sta ndby 172 track f1/0 100內(nèi)部端口，跟蹤的是外部端口即數(shù)據(jù)的出口,172是采用跟蹤功能的端口的組號(hào),f1/0指明將要跟蹤端口的類型和端口號(hào)，100說明了當(dāng)端口失效時(shí)路由器的熱備份優(yōu)先級(jí)將降低的數(shù)值，當(dāng)端口變?yōu)榭捎脮r(shí)，路由器的優(yōu)先級(jí)將加上該值， 范圍 是0255)R4:R#(co nfig)#i nter

39、f1/0R4(co nfig-if)#sta ndby 10 track f0/0 100R4(co nfig-if)#exit試驗(yàn)一:沒有配置優(yōu)先級(jí)，此時(shí)IP地址大的被選定為活躍路由器;試驗(yàn)二:設(shè)置優(yōu)先級(jí)后，優(yōu)先級(jí)高路由器的被選定為區(qū)域的活躍路由器試驗(yàn)三:實(shí)驗(yàn)結(jié)果分析實(shí)驗(yàn)結(jié)時(shí)間當(dāng)R4的fO/0端口 shutdown后，路由器R3也變成了 HSRP組10的活躍路由器；（必須要在每個(gè)端口上配置占先權(quán)，在區(qū)域的活躍路由器內(nèi)部端口上配置端口跟蹤，跟蹤地址為活躍路由器的外部端口）當(dāng)R3的f1/0端口 shutdown后，路由器R4也變成了 HSRP組172的活躍路由器；（必須要在每個(gè)端口上配置占先權(quán)，

40、在區(qū)域的活躍路由器內(nèi)部端口上配置端口跟蹤，跟蹤地址為活躍路由器的外部端口）BENET培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（六）IP Sec VPN2011-1-16VPN名稱ATENVPN-I Psec目的拓?fù)銻1:1.關(guān)閉路由功能;R1(c on fig)# no ip routi ng2.配置ip地址R1(co nfig)#i nter fO/0R1(c on fig-if)# no shut步驟R1(co nfig)#e ndR5:1.關(guān)閉路由功能;R5(c on fig)# no ip routi ng2.配置ip地址;R5(co nfig)#i nter f0/0R5(c on fig-if)#

41、ip addR5(c on fig-if)# no shutR5(c on fig-if)#e ndR2:基本配置;1.配置ip地址;R2(co nfig)#i nter fO/0R2(co nfig-if)# no shutR2(co nfig-if)#exitR2(co nfig)#i nter f1/0R2(co nfig-if)# no shutR2(co nfig-if)#exit2.配置默認(rèn)路由;R2(c on fig)# ip route 0.0.0:配置IKE協(xié)商3.建立IKE協(xié)商策略;R2(c on fig)#cry pto isak mp p olicy 1(1為IKE協(xié)商

42、策略的編號(hào)，取值范圍為110000,策略編號(hào)越低，其優(yōu)先級(jí)越高）4.配置IKE協(xié)商參數(shù);pre-share （告訴路由器要使用預(yù)先共享的R2（config-isakmp）#hash md5 （hash命令被用來設(shè)置密鑰認(rèn)證所用的算法）R2(c on fig-isak mp )#authe nticati on密鑰）5.設(shè)置共享密鑰和對(duì)端地址（SA是單向的，因此使用此命令來設(shè)置預(yù)先共享的密碼和對(duì)端IP地址。在設(shè)置密碼時(shí)，VPN鏈路兩端的密碼必須完全匹配）三：配置IP sec相關(guān)參數(shù);6.指定Crypto訪問列表（訪問列表被用于確定哪些業(yè)務(wù)將啟動(dòng)IKE 和 IP Sec 協(xié)商，它在VPN隧道中定義

43、什么樣的報(bào)文將被加密， 什么樣的不用加密而直接傳輸）R2(co nfig)#access-list0.0.07.配置IP sec傳輸模式R2(c on fig)#cry pto ip sec tra nsform-set better ah-md5-hmac esp-des（傳輸模式定義用于VPN隧道的認(rèn)證類型、完整性和負(fù)載加密）R2(cfg-cry pto-tra ns)#exit四：配置端口的應(yīng)用;8.設(shè)置 Cryp to MapR2(c on fig)#cry pto map best 1 ip sec-isak mp(創(chuàng)建 Crypto Map)% NOTE: This new cry

44、pto map will rema in disabled un til a peerand a valid access list have bee n con figured.（提示語：只有在對(duì)端配置好后才生效）（指定了此Crypto Map所對(duì)應(yīng)的VPN鏈路對(duì)端的IP地址）R2(config-crypto-map)#matchaddress 101(指定此 Crypto Map 使用的訪問控制列表）R2(c on fig-cry pto-ma p)#settra nsform-setbetter (指定了 Cry pto Map 此匕使用的傳輸模式）R2(c on fig-cry pto

45、-ma p)#exit9.應(yīng)用到外出端口;R2(co nfig)#i nter f1/0R2(c on fig-if)#cry pto map bestR3:1.配置ip地址;R3(co nfig)#i nter f1/0R3(co nfig-if)# no shutR3(co nfig-if)#exitR3(co nfig)# inte f0/0R3(co nfig-if)# no shutR3(co nfig-if)#exitR4:1.配置Ip地址;R4(co nfig)#i nter f0/0R4(co nfig-if)#ip addR4(co nfig-if)# no shutR4(c

46、o nfig-if)#exitR4(co nfig)#i nter f1/0R4(co nfig-if)#ip addR4(co nfig-if)# no shut2.設(shè)置默認(rèn)路由;R4(c on fig)#i p route 0.0.03.配置IKE協(xié)商;R4(c on fig)#cry pto isak mp p olicy 1R4(c on fig-isak mp )#hash md5R4(c on fig-isak mp )#authe nticati on pr e-shareR4(c on fig-isak mp )#exit 4.設(shè)置IP Sec相關(guān)參數(shù);R4(c on fig)

47、#access-list 101 p ermit iR4(c on fig)#cry pto ip sec tra nsform-set better ah-md5-hmac esp-desR4(cfg-cry pto-tra ns)#exit5.配置端口的應(yīng)用;R4(c on fig)#cry pto map best 1 ip sec-isak mp % NOTE: This new crypto map will rema in disabled un til a peerand a valid access list have bee n con figured.R4(c on fig

48、-cry pto-ma p)#match address 101R4(c on fig-cry pto-ma p)#set tra nsform-set betterR4(c on fig-cry pto-ma p)#exitR4(co nfig)#i nter f0/0R4(c on fig-if)#cry pto map bestR4(co nfig-if)#exit兩端在中間的路由器沒有宣告路由的情況下可以PING通，但都ping不通中間分析結(jié)論的路由器2011-1-18NATATENBENE培訓(xùn)/測試案例實(shí)驗(yàn)報(bào)告（七）NATPAT（復(fù)用內(nèi)部LAN的全局地址）TCP負(fù)載均衡試驗(yàn)一：試驗(yàn)中

49、注意公有與私有IP地址的使用PAT-復(fù)用路由器外部接口的地址（注意要與真機(jī)橋接，并正確設(shè)置真機(jī)的TCP/IP設(shè)置）R1:1.配置IP地址;R1(co nfig)#i nter fO/0R1(co nfig)#i nter f1/0R1(co nfig-if)# no shut驟R1(co nfig-if)# no shutR1(co nfig-if)#exitR2:1.配置IP地址;R2(co nfig)#i nter f1/0R2(co nfig-if)#ip add 192.167R2(co nfig-if)# no shutR2(co nfig-if)#exitR2(co nfig-if

50、)# in ter f0/0R2(co nfig-if)# no shut2.設(shè)置一條默認(rèn)路由（注意在R1上不需要，若配置了，則內(nèi)網(wǎng)與外網(wǎng)可直接通）R2(co nfig)#ip route 67.20.13.定義內(nèi)部訪問列表（即允許訪問INTERNET勺網(wǎng)段）0.0.0 2554. 使用動(dòng)態(tài)IP地址轉(zhuǎn)換（由于直接使用外部接口地址，所以不再定義IP地址池）R2(c on fig)# ip nat in side source list 1 in terface f1/0 overload5.在內(nèi)部和外部端口上啟用 NATR2(co nfig)#i nter f1/0R2(co nf

51、ig)#i nter f0/0R2(c on fig-if)# ip nat in sideR2(c on fig-if)# ip nat outsideR3(co nfig-if)#exitR2(co nfig-if)#e ndR3:1.關(guān)閉路由功能;R3(c on fig)# no ip routi ng2.幵啟HTTP服務(wù);R3(c on fig)# ip htt p server3. 設(shè)置IP地址，并激活R3(co nfig)#i nter fO/0R3(R3(co nfig-if)# no shutR3(co nfig-if)#exitR4:1.關(guān)閉路由功能;R4(c on fig)# no ip routi ng2.幵啟HTTP服務(wù);R4(c on fig)# ip htt