实验路由器的配置

第一篇：实验路由器的配置

典型路由器实验配置文档

目录

一，DHCP中继代理配置实验案例(多个DHCP服务器) ............................. 3 二，IPsecVPN穿越NAT实例配置 .............................................. 5 三，双PPPOE线路实验(神码) .................................................. 9 四，外网通过IPsec_VPN服务器(在内网)访问内网服务器 ......................... 15 五，DCR-2800和BSR-2800配置RIP路由 ..................................... 21 六，DCR-2800 L2TP服务器配置 .............................................. 24 七，总分部之间IPsecVPN对接 ................................................ 29 一，DHCP中继代理配置实验案例(多个DHCP服务器) 1，需求描述

如果DHCP客户机与DHCP服务器在同一个物理网段，则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段，则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器，也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机，而且一个网络中有可能存在多个DHCP服务器作为冗余备份。 2，拓扑图

3，配置步骤

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址 ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到) //有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp (开启DHCP服务，sh run 看不到) R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务，sh run 看不到) 4，配置验证

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址绑定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事项

(1)必须开启DHCP服务 service dhcp (2)客户端获取一个地址后，广播发送Request报文包含此地址的DHCP服务器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪费。

二，IPsecVPN穿越NAT实例配置

1，需求描述

IPSec协议的主要目标是保护IP数据包的完整性，这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以，如果从我们的网关出去的数据包经过了ipsec的处理，当这些数据包经过NAT设备时，包内容被NAT设备所改动，修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败，于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式，AH都会认证整个包 头，不同于ESP 的是，AH 还会认证位于AH头前的新IP头，当NAT修改了IP 头之后，IPSec就会认为这是对数以完整性的破坏，从而丢弃数据包。因此，AH是约 可能与NAT一起工作的。

意思就是说，AH处理数据时，所使用的数据是整个数据包，甚至是IP包头的IP地址，也是处理数据的一部分，对这些数据作整合，计算出一个值， 这个值是唯一的，即只有相同的数据，才可能计算出相同的值。当NAT设备修改了IP地址时，就不符合这个值了。这时，这个数据包就被破坏了。而ESP并不保护IP包头，ESP保护的内容是ESP字段到ESP跟踪字段之间的内容，因此，如何NAT只是转换IP的话，那就不会影响ESP的计算。但是如果是使用PAT的话，这个数据包仍然会受到破坏。

所以，在NAT网络中，只能使用IPSec的ESP认证加密方法，不能用AH。但是也是有办法解决这个缺陷的，不能修改受ESP保护的TCP/UDP，那就再加一个UDP报头。 解决方案：NAT穿越 2，拓扑图

3，配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置验证

R1#f0/0上抓包

ISAKMP报文

ESP报文

R2#f1/0上抓包

ISAKMP报文

ESP报文

5，注意事项

(1)R1与R3上的对端地址均为公网地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT时要变换IP地址和端口，从而导致对方认证失败，所以应该保证变换后的IP地址和端口和对端一致。

三，双PPPOE线路实验(神码) 1.需求描述

现实网络中有很多企业和机构都采用双线路来互相冗余备份，而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。 2.拓扑图

3，配置步骤

R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元

ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN

ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside ! interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside ! interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1 ! ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any ! vpdn enable 启用VPDN ! vpdn-group poe0 建vpdn组 request-dialin 请求拨号

port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议

pppoe bind f0/0 绑定到物理接口f0/0 ! vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0 ! ! ! ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1 ! R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码 ! interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数，否则只能完成发现阶段，不能建立会话阶段) ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN

peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside ! ! interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside ! ip route default 192.168.3.1 ! ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any ! vpdn enable //启用vpdn ! vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入

port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议

pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0 ! ! ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10 ! aaa authentication ppp default local !

username DCN1 password 0 DCN1 ! interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside ! Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside ! ! ip route default 192.168.3.1 ! ! ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any ! ! vpdn enable ! vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0 !

ip nat inside source list natacl interface f1/0 !

4，验证配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事项

(1)，pppoe-client配置虚拟通道时，最大传输单元为1492(默认)，ip地址为自协商，ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意：不能配置ppp authentication chap(认证方式为任意)。

(2)，pppoe-client配置vpdn时，先启用vpdn，创建vpdn组，请求拨号，应用虚拟隧道，封装pppoe协议，绑定到物理接口。

(3)，pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1，配置NAT时，出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。

(4)，pppoe-server配置时注意配置分配给客户端的地址池，开启本地ppp认证，配置本地认证用户名和密码。

(5)，pppoe-server配置虚拟模版时，最大传输单元1492，ip地址为固定ip(与地址池在同一网段，但不包含在地址池里)，ppp认证方式为chap或pap，认证的用户名和密码，给拨号上来的客户端分配地址池里的地址。

(6)，pppoe-server配置vpdn时，先启用vpdn，创建vpdn组，允许拨号，应用虚拟模版，封装pppoe协议，绑定到物理接口。

四，外网通过IPsec_VPN服务器(在内网)访问内网服务器

1，需求描述

有些企业单位将VPN服务器放在内网，需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器，办公系统等)。 2，拓扑图

3，配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由 ! ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //开启AAA认证 ! aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证 ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ! ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器 ! ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl ! interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ! ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由 ! ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事项

(1)，配置ipsecvpn时，注意将map绑定到物理接口。

(2)，nat_over路由器上配置的一条指向ipsecvpn服务器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由，数据转发时先查找路由从接口转发时再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。 天津多外线内部vpn服务器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息协议(Routing Information Protocol，缩写：RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络)，它可以通过不断的交换信息让路由器动态的适应网络连接的变化，这些信息包括每个路由器可以到达哪些网络，这些网络有多远等。 RIP 属于网络层协议，并使用UDP作为传输协议。(RIP是位于网络层的)

虽然RIP仍然经常被使用，但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然，我们也看到EIGRP，一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议，也得到了一些使用。 2，拓扑描述

3，配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable ! router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable ! router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0) C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，验证配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1 (192.168.3.1): 56 data bytes !!!!! --- 192.168.3.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事项

(1)，neighbor 为对端ip (2)，在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段， 如果这个接口有两个地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0 ， 192.168.4.0 六，DCR-2800 L2TP服务器配置

1，需求描述

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接;PPTP使用单一隧道，L2TP使用多隧道;L2TP提供包头压缩、隧道验证，而PPTP不支持。 2，拓扑描述

3，配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证 ! interface Virtual-template0 //创建虚拟接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址

no ip directed-broadcast

ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名

ppp chap password 0 admin //认证密码

peer default ip address pool l2tp_pool //调用地址池 ! vpdn enable //开启虚拟专用拨号 !

vpdn-group l2tp //定义vpdn组

accept-dialin //允许拨入

port Virtual-template0 //绑定虚拟接口模版

protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证

lcp-renegotiation //重新进行LCP协商 ! PC上配置

网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN

4，验证配置

拨号成功

5，注意事项

(1)，L2TP服务器上virtual-template接口的地址为任意地址

(2)，force-local-chap //强制进行CHAP验证，lcp-renegotiation //重新进行LCP协商 (3)，PC客户端上配置可选加密，勾选三种认证方式PAP，CHAP，MS-CHAP

七，总分部之间IPsecVPN对接

1，需求描述

导入IPSEC协议，原因有2个，一个是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。另外一个原因，是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。

IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信，分部和分部之间通过和总部建立的IPsecVPN隧道通信。 2，拓扑需求

3，配置步骤 总部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 1.1.1.2 ! ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl ! interface Loopback0 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 2.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl ! interface Loopback0 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1 ! ip route 0.0.0.0 0.0.0.0 3.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0 ! interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0 ! interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，验证配置

总部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 总部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A与分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B与总部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B与分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包：

分部A上抓包：

5，注意事项

(1)，思科IPsecvpn内网流量先查找路由后匹配策略，只有到达对端私网的路由，才能匹配策略加密封装。

(2)，隧道协商需要公网路由的可达性，但是只有内网有感兴趣流量时才能触发隧道协商，从而建立隧道，而且需要双向的触发。

第二篇：实验五 基于路由器VLAN构建于配置

实验五

二层交换机+路由器实现VLAN间通信

【实验目的】

进一步理解VLAN概念，掌握解决VLAN间通信的方法。

【实验任务】

1. 2. 3. 4. 5. 6. 按照给出的参考拓扑图构建逻辑拓扑图。 按照给出的配置参数表配置各个设备。

在路由器上创建子接口，选择VLAN包封装格式，并激活路由选择协议。 在交换机中创建VLAN，向VLAN中添加交换机端口，配置Trunk端口。 测试VLAN间相互通信。

【实验任务】

交换机2950.

1台，路由器2621. 1台，PC机. 2台。(在模拟软件Packet Tracer5.3环境下完成)

【实验背景】

在前面的应用案例中，若各个部门间也需要通信，就需要配置Vlan间通信。

【实验拓扑与配置参数】

图4.6 实验拓扑图与配置参数

【实验步骤】

步骤1 按照图4.6参考拓扑图构建逻辑拓扑图。并按照配置参数配置各个设备。

步骤2 在交换机上创建vlan

10、vlan20 ，并分别命名为v

10、v20：

Switch#configure terminal Switch(config)#vlan 10 Switch(config-vlan)#name v10 Switch(config-vlan)#exit Switch(config)#vlan 20 Switch(config-vlan)#name v20 步骤3 把交换机端口分配给vlan(Fa0/1划分给vlan10，Fa0/2划分给vlan20)，并在Fa0/24端口设置Trunk.：

Switch(config)#interface fastethernet0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface fastethernet0/2 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#interface fastethernet0/24 Switch(config-if)#switchport mode trunk (注意：Cisco中只支持802.1Q协议，所以在这里不用专门来指定封装协议。若要指定协议使用命令：Switch(config-if)#switchport trunk encapsulation dot1q) 步骤4 配置路由器子接口：

Router(config)#interface fastethernet0/0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastethernet0/0.1 Router(config-subif)#encapsulation dot1q 10

//配置封装模式为IEEE802.1Q，对应vlan号为10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#exit Router(config)#interface fastethernet0/0.2 Router(config-subif)#encapsulation dot1q 20 Router(config-subif) #ip address 192.168.20.1 255.255.255.0 步骤5 测试PC0到PC1的连通性。 单击拓扑图中的PC0图标。在弹出来得配置界面中，选择Desktop标签，选择Command P rompt，键入命令 ping 192.168.20.2 PC>192.168.20.2 【实验思考】

1. 子接口是物理接口还是逻辑接口?为什么?

2. 路由器可以配置的带802.1Q封装的子接口数量最多有多少?

3. 中继两端的封装为什么必须一致?Is1与Dot1q封装有什么不同?

第三篇：AR典型配置案例 配置路由器作为TFTP Client升级系统文件的示例

9. Next startup system software: flash:/software.cc 10. Backup system software for next startup: null 11. Startup saved-configuration file: flash:/initcfg.cfg 12. Next startup saved-configuration file: flash:/initcfg.cfg 13.下载设备启动文件，并查看文件是否下载成功。 14. tftp 10.1.1.1 get software_new.cc 15. Info: Transfer file in binary mode. 16. Downloa

Directory of flash:/ Idx Attr Size(Byte) Date Time(LMT) FileName 5 -rw- 77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定设备下次启动时使用的系统文件。

19. startup system-software software_new.cc 20. This operation will take several minutes, please wait......... Info: Succeeded in setting the file for booting system 21.重新启动设备。 22. reboot

23. Info: The system is comparing the configuration, please wait. 24. Warning: All the configuration will be saved to the next startup configuration. 25. Continue ? [y/n]:n 26. System will reboot! Continue ? [y/n]:y Info: system is rebooting ,please wait... 27.检查配置结果。

28. display startup

29. MainBoard: 30. Startup system software: flash:/software_new.cc 31. Next startup system software: flash:/software_new.cc

32. Backup system software for next startup: null 33. Startup saved-configuration file: flash:/initcfg.cfg 34. Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事项

PC端需使能TFTP服务器功能，并存放系统文件。

 保证设备操作期间，不能出现断电现象，断电后，可能会导致信息丢失，设备无法正常启动。 

第四篇：cisco2811路由器接入公网的具体配置方法

路由器接入公网的配置方法

电信宽带为2M, 分配给的固定IP地址：202.249.11.101 子网掩码：255.255.255.248 网关：202.249.11.20 局域网规划地址范围为： 192.168.0.2202.249.11.102”中的任意一个外网地址。后面的“overload”则表示，如果有多于地址池中定义的地址数量(比如原来有6个用户上网，他们各自所用的外网地址是202.249.11.97 、202.249.11.9

8、202.249.11.9

9、202.249.11.100、202.249.11.10

1、 202.249.11.102。而现在突然有30个用户上网了，这时就会按照上面的命令执行一个任务，那就是让多个内网用户使用同一个外网地址。这样一来，这个nanpool地址池就可以带动内网所有用户上网了。所以说，这一条命令是非常重要的!)。

Router#enable password 12345//设置密码为"12345" Router#enable secret 12345//设置特权密文为"12345" Router#line console 0//进入主控制台的"0"端口

Router#password cisco//将进入主控台登录密码设置为"cisco" Router#login//将主控台的"0"端口设置为“允许登录” Router#exit//退出

Router#line vty 0 4//进入VTY(virtue terminal line 虚拟终端，一般针对Telnet登录方式) Router#password cisco//设置虚拟终端登陆时的密码为"cisco" Router#exec-timeout 5 0//设置在登录路由器后，不做任何操作的情况下，5分0秒后将与路由器断开。如果不输入此命令，当你进入路由器没有输入任何内容时，10分钟后将被路由器自动踢出。“exec-timeout”命令的完整形式为：exec-timeout x x (也就是exec-timeout 分秒)注：如果你在此输入“exec-timeout 0 0”则表示你将永远与路由器保持联接，除非你自己logout。

Router#login//千万别忘了这最后一个login，呵～ 这是允许虚拟终端登录的重要命令。 好了，现在配置过程基本完成。

在以上配置中，路由器没有启用DHCP功能，所以，客户机如果想上网的话，还要对网卡进行相关设置。例： 客户端网卡的IP地址设置为： 192.168.0.3 子网掩码：255.255.255.0 网关：192.168.0.1 主DNS地址： 202.106.0.20 备用DNS地址：202.106.46.151 不过，大部份朋友使用Cisco 1721路由器后，都会在局域网内架设一台DHCP服务器，即可办公，又可给局域网内机器分配IP地址，从而节

省了1721的内存。建议大家不妨也用这种办法组网。对了，说到路由器的内存，下面再给大家介绍几个常用命令，一定要记住哦～

以下这几条命令都是在“ Router# ”状态下键入的：

show version: 显示系统的硬件配置、软件版本、配置文件的源和名字以及启动镜像等信息。 show processes: 显示当前活动进程 show protocols: 显示已经配置的协议 show memory: 显示路由器的内存信息 show ip route: 显示路由表信息 show flash: 显示闪存设备的信息 show running-config: 显示当前活动信息 show startup-config: 显示备份配置文件

show interfaces: 显示已经配置的端口属性。 如：show interface eth0 则会显示Ethernet 0的相关配置信息:)

DHCP router(config)#ip dhcp pool word(dhcp pool 的名称，任意取) router(dhcp-config)#network X.X.X.X /24(下放某个网段) router(dhcp-config)#default-router x.x.x.x router(dhcp-config)#dns-server x.x.x.x router(dhcp-config)#lease 1

还要在全局模式下面将网关地址去除，不能下放

router(config)#ip dhcp excluded-address x.x.x.x(gateway )

原本是在SERVER上开启DHCP服务，现在想在CIsco 路由器上设置 IP 范围是 192.168.1.1-192.168.1.255 可以根据MAC分配IP 再做ARP 绑定MAC与IP(会做) 自动DHCP范围是 192.168.1.32-64 conf t ip dhcp pool ruef dhcp-config #network 192.168.1.32 255.255.255.224 dhcp-config #dns-server 192.168.1.11 dhcp-config #default-router 192.168.1.1 dhcp-config #lease 30 接下来根据MAC分配指定IP 这里如何配置 dhcp-config #host 192.168.1.129 dhcp-config #client-identifier 0100.2100.f66c.1e 好像绑定不了，什么原因呢

搜索更多相关主题的帖子: Cisco DHCP

第五篇：使用水星无线路由器连接校园网的配置方法

1首先把自己电脑的IP地址通过本地连接手动配置为192.168.1.2网关为192.168.0.12然后在浏览器中输入192.168.1.1使用无线路由器上的默认用户名和密码登陆为自己的无线路由器添加密码防止别人来登陆同时要把DHCP功能关闭4配置完无线路由器再把本地连接的IP地址配置为自动获取搜索无线网络找到自己路由器所覆盖的无线网络并连接连接上无线网络之后使用认证客户端认证认证通过就可以进行使用Internet具体配置参照下图更改路由器的名称和密码关闭无线路由器DHCP功能。