RG-S3760應用協議配置

RG-S3760應用協議配置

1. dhcp 服務配置

提問：如何在設備上開啟dhcp 服務，讓不同VLAN 下的電腦獲得相應的IP 地址？

回答：

步驟一：配置VLAN 網關IP 地址，及將相關端口劃入相應的VLAN 中

S3760#con??t

S3760(config)#vlan 2 ----創建VLAN2

S3760(config-vlan)#exit ----退回到全局配置模式下

S3760(config)#vlan 3 ----創建VLAN3

S3760(config-vlan)#exit ----退回到全局配置模式下

S3760(config)#int vlan 2 ----進入配置VLAN2

S3760(config-if)#ip add 192.168.2.1 255.255.255.0??----設置VLAN2 的IP 地址

S3760(config-if)#exit ----退回到全局配置模式下

S3760(config)#int vlan 3 ----進入配置VLAN3

S3760(config-if)#ip add 192.168.3.1 255.255.255.0???----設置VLAN3 的IP 地址

S3760(config-if)#exit ----退回到全局配置模式下

S3760(config)#int f 0/2 ----進入接口f0/2

S3760(config-if)#switchport access vlan 2????----設置f0/2 口屬于VLAN2

S3760(config-if)#exit

S3760(config)#int f 0/3 ----進入接口f0/3

S3760(config-if)#switchport access vlan 3 ----設置f0/3 口屬于VLAN3

S3760(config-if)#exit

步驟二：配置dhcp server

S3760 (config)#service dhcp ???----開啟dhcp server 功能

S3760 (config)#ip dhcp ping packets 1

----在dhcp server 分配IP 時會先去檢測將要分配的IP 地址是否已有人使用，如果沒人

使用則分配，若已有人使用則再分配下一個IP

S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10

----設置排斥地址為192.168.2.1 至192.168.2.10 的ip 地址不分配給客戶端（可選配置）

S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10

----設置排斥地址為192.168.3.1 至192.168.3.10 的ip 地址不分配給客戶端（可選配置）

S3760 (config)#ip dhcp pool test2?----新建一個dhcp 地址池名為test2

S3760 (dhcp-config)# lease infinite?----租期時間設置為永久

S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0

----給客戶端分配的地址段

S3760 (dhcp-config)# dns-server 202.101.115.55 ----給客戶端分配的dns

S3760(dhcp-config)# default-router 192.168.2.1?----客戶端的網關

S3760(dhcp-config)#exit

S3760(config)#ip dhcp pool test3 ----新建一個dhcp 地址池名為test3

S3760(dhcp-config)# lease infinite?----租期時間設置為永久

S3760(dhcp-config)# network 192.168.3.0 255.255.255.0

S3760(dhcp-config)#?dns-server 202.101.115.55

S3760(dhcp-config)#?default-router 192.168.3.1

S3760(dhcp-config)#end

S3760#wr

2. 交換機dot1x 認證配置

提問：如何在交換機上開啟dot1x 認證？

回答：

步驟一：基本AAA 配置

Switch#conf

Switch(config)#?aaa new-model ----啟用認證

Switch(config)#?aaa accounting network test start-stop group radius

----配置身份認證方法

Switch(config)#?aaa group server radius test

Switch(config-gs-radius)# server X.X.X.X?----指定記帳服務器地址

Switch(config-gs-radius)# exit

Switch(config)# aaa authentication dot1x default group radius local

----配置dot1x 認證方法

Switch(config)# radius-server host X.X.X.X?----指定認證服務器地址

Switch(config)#?radius-server key 0 password?----指定radius 共享口令

Switch(config)#?dot1x accounting test?----開啟計帳功能

Switch(config)# dot1x authentication default ----開啟認證功能

Switch(config)# snmp-server community ruijie rw?----指定SNMP 共同體字段

Switch(config)# interface range fastethernet 0/1-24?----同時進入1-24 號接口

Switch(config-if-range)# dot1x port-control auto ----指定受控端口

Switch(config-if-range)#?exit?----退出接口模式

步驟二：配置客戶端探測功能

Switch(config)#?aaa accounting update?----啟用計帳更新

Switch(config)# aaa accounting update periodic 5

----指定計帳更新間隔為5 分鐘

Switch(config)#?dot1x client-probe enable?----啟用客戶端在線探測功能

Switch(config)# dot1x probe-timer interval 20?----指定探測周期為20 秒

Switch(config)#?dot1x probe-timer alive 60?----指定探測存活時間為60 秒

步驟三：配置記賬更新功能

Switch(config)#?dot1x timeout quiet-period 5?----指定認證失敗等待時間

Switch(config)# dot1x timeout tx-period 3

----指定交換機重傳Identity Requests 報文時間

Switch(config)# dot1x max-req 3

----指定交換機重傳Identity Requests 報文的最大次數

Switch(config)#?dot1x reauth-max 3

----指定認證失敗后交換機發起的重認證的最大次數

Switch(config)# dot1x timeout server-timeout 5

----指定認證服務器的響應超時時間

Switch(config)# dot1x timeout supp-timeout 3

----指定認證客戶端的響應超時時間

Switch(config)#?dot1x private-supplicant-only?----過濾非銳捷客戶端

Switch(config)# exit?----退出配置模式

3. QOS 限速配置

提問：如何通過QOS 實行限速？

回答：

步驟一：定義希望限速的主機范圍

S3760>en

S3760#conf

S3760(config)#access-list 101 permit ip host 192.168.1.101 any

----定義要限速的IP

S3760(config)#access-list 102 permit ip host 192.168.1.102 any

----定義要限速的IP

步驟二：創建規則類，應用之前定義的主機范圍

S3760(config)#class-map xiansu101?----創建class-map，名字為xiansu101

S3760(config-cmap)#match access-group 101 ----匹配IP 地址

S3760(config-cmap)#exit

S3760(config)#class-map xiansu102?----創建class-map，名字為xiansu102

S3760(config-cmap)#match access-group 102?----匹配IP 地址

S3760(config-cmap)#exit

步驟三：創建策略類：應用之前定義的規則，配置限速大小

S3760(config)#policy-map xiansu?----創建policy-map，名字為xiansu

S3760(config-pmap)#class xiansu101?----符合class xiansu101

S3760(config-pmap-c)#police 8000 512 exceed-action drop

----限速值為8000Kbit（1MB）

S3760(config-pmap)#class xiansu102?----符合class xiansu102

S3760(config-pmap-c)#police 4000 512 exceed-action drop

----限速值為4000Kbit

S3760(config-pmap-c)#end

步驟四：進入接口，應用之前定義的策略

S3760#conf

S3760(config)#int fa 0/10 ----進入接口

S3760(config-if)#service-policy input xiansu

----將該限速策略應用在這個接口上

注釋：

1. 通過QOS 只能限制上行流量

2. 推薦在S2924G，S3250 和S3760 上應用該功能

4. IPsec 配置

提問：如何在兩臺路由器之間啟用IPsec？

回答：

R1 路由器設置

步驟一：配置訪問控制列表，定義需要IPsec 保護的數據

R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2

步驟二：定義安全聯盟和密鑰交換策略

R1(config)#crypto isakmp policy 1

R1(isakmp-policy)#authentication pre-share?----認證方式為預共享密鑰

R1(isakmp-policy)#hash md5?----采用MD5 的HASH 算法

步驟三：配置預共享密鑰為dixy，對端路由器地址為1.1.1.2

R1(config)#crypto isakmp key 0 dixy address 1.1.1.2

步驟四：定義IPsec 的變換集，名字為dixy

R1(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

步驟五：配置加密映射，名字為dixy

R1(config)#crypto map dixy 1 ipsec-isakmp

R1(config-crypto-map)#set transform-set dixy ----應用之前定義的變換集

R1(config-crypto-map)#match address 101?----定義需要加密的數據流

R1(config-crypto-map)#set peer 1.1.1.2?----設置對端路由器地址

步驟六：在外網口上使用該加密映射

R1(config-if)#crypto map dixy

R1(config-if)#ip add 1.1.1.1 255.255.255.0

R2 路由器設置

R2 路由器的設置和R1 幾乎是相似，只用紅色字體標注出不一樣的地方。

R2(config)#access-list 101 permit ip host 1.1.1.2 host 1.1.1.1

R2(config)#crypto isakmp policy 1

R2(isakmp-policy)#authentication pre-share

R2(isakmp-policy)#hash md5

R2(config)#crypto isakmp key 0 dixy address 1.1.1.1

R2(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

R2(config)#crypto map dixy 1 ipsec-isakmp

R2(config-crypto-map)#set transform-set dixy

R2(config-crypto-map)#match address 101

R2(config-crypto-map)#set peer 1.1.1.1

R2(config-if)#crypto map dixy

R2(config-if)#ip add 1.1.1.2 255.255.255.0

5.GRE 配置

提問：如何在兩臺路由器之間啟用GRE？

回答：

NBR(config)#interface Tunnel0

NBR(config-if)#ip address 1.1.1.1 255.255.255.0

NBR (config-if)#tunnel mode gre ip

NBR (config-if)#tunnel source 10.1.1.1

NBR (config-if)#tunnel destiNation 10.1.1.2

6. PPTP 配置

提問：如何在路由器上配置PPTP？

回答：

步驟一：配置VPN 相關參數

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group pptp ??----創建一個VPDN 組，命名為pptp

R1762(config-vpdn)#accept-dialin????----允許撥號

R1762(config-vpdn-acc-in)#protocol pptp????----協議為PPTP

R1762(config-vpdn-acc-in)#virtual-template 1 ???----引用虛模板1

步驟二：配置用戶和地址池

R1762(config)#username test password 0 test

----創建一個賬戶，用戶和密碼都是test

R1762(config)#ip local pool VPN 192.168.1.100 192.168.1.110

----創建VPN 撥入的地址池，命名為VPN，范圍是192.168.1.100-110

步驟三：配置虛擬模板

R1762(config)#interface virtual-template 1??----創建虛模板1

R1762(config-if)#ppp authentication pap???----加密方式為PAP

R1762(config-if)#ip unnumbered fastEthernet 1/0??----關聯內網接口

R1762(config-if)#peer default ip address pool VPN??----引用地址范圍

R1762(config-if)#ip Nat inside???----參與Nat

7. 路由器L2TP 配置

提問：如何在兩臺路由器之間構建L2TP？

回答：

步驟一：SERVER 端路由器配置VPN 相關參數

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group l2tp?----創建一個VPDN 組，命名為l2tp

R1762(config-vpdn)#accept-dialin?----允許撥號

R1762(config-vpdn-acc-in)#protocol l2tp?----協議為l2tp

R1762(config-vpdn-acc-in)#virtual-template 1?----引用虛模板1

步驟二：SERVER 端路由器配置用戶和地址池

R1762(config)#username test password 0 test

----創建一個賬戶，用戶和密碼都是test

R1762(config)#ip local pool VPN 192.168.1.100 192.168.1.110

----創建VPN 撥入的地址池，命名為VPN，范圍是192.168.1.100-110

步驟三：SERVER 端路由器配置虛擬模板

R1762(config)#interface virtual-template 1?----創建虛模板1

R1762(config-if)#ppp authentication chap?----加密方式為CHAP

R1762(config-if)#ip unnumbered fastEthernet 1/0?----關聯內網接口

R1762(config-if)#peer default ip address pool VPN ----引用地址范圍

R1762(config-if)#ip Nat inside?----參與Nat

步驟四：Client 端路由器VPN 配置

R1762(config)#l2tp-class l2tp?----創建撥號模板，命名為l2tp

R1762(config)#pseudowire-class VPN-l2tp ----創建虛線路，命名為VPN-l2tp

R1762(config-pw-class)#encapsulation l2tpv2?----封裝l2tpv2 協議

R1762(config-pw-class)#protocol l2tpv2 l2tp

R1762(config-pw-class)#ip local interface 1/0?----關聯路由器外網接口

步驟五：Client 路由創建虛擬撥號口

R1762(config)#interface virtual-ppp 1?----創建虛擬ppp 接口

R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class VPN-l2tp

----L2TP 服務器路由器的地址

R1762(config)#ppp chap hostname test?----用戶名

R1762(config)# ppp chap password 0 test?----密碼

R1762(config)#?ip mtu 1460

R1762(config)#?ip address negotiate ----IP 地址商議獲取

R1762(config)# ip Nat outside?----參與Nat

8. 路由器Nat 配置

提問：如何設置Nat？

回答：

NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255

----設置允許Nat 的地址范圍

NBR(config)#interface FastEthernet 1/0

NBR(config-if)#ip Nat outside ----定義外網接口

NBR(config)#interface FastEthernet 0/0

NBR(config-if)#ip Nat inside?----定義內網接口

NBR(config)#ip Nat pool ?defult??prefix-length 24?----創建一個地址池，命名為defult

NBR(config-ipNat-pool)#address 208.10.34.2 208.10.34.7 match interface?FastEthernet 1/0

----公網地址范圍為208.10.34.2 到 208.10.34.7

NBR(config)#ip Nat inside source list 10???pool ?test???overload?

----應用地址池