标签:get div pap 虚拟 ack def basic 创建 work
#AS1
Switch>en
Switch#conf t
Switch(config)#vlan 11
Switch(config-vlan)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 11
Switch(config-if)#int f0/23
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 22
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
#AS2
Switch>en
Switch#conf t
Switch(config)#vlan 22
Switch(config-vlan)#int f0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 22
Switch(config)#int f0/24
Switch(config-if)#switchport mode trunk
#CS
Switch>en
Switch#conf t
Switch(config)#ip routing
Switch(config)#int f0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config)#int f0/2
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Switch(config)#vlan 11
Switch(config-vlan)#vlan 22
Switch(config-vlan)#vlan 100
Switch(config-vlan)#vlan 200
Switch(config-vlan)#int f0/24
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 200
Switch(config-if)#int vlan 1
Switch(config-if)#no shutdown
Switch(config-if)#int f0/22
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 1
Switch(config-if)#int f0/6
Switch(config-if)#no shutdown
Switch(config-if)#switchport access vlan 100
Switch(config-if)#int f0/1
Switch(config-if)#no shutdown
Switch(config-if)#int f0/2
Switch(config-if)#no shutdown
Switch(config)#int vlan 1
Switch(config-if)#ip address 172.16.1.1 255.255.255.0
Switch(config-if)#int vlan 11
Switch(config-if)#ip address 172.16.11.1 255.255.255.0
Switch(config-if)#int vlan 22
Switch(config-if)#ip address 172.16.22.1 255.255.255.0
Switch(config-if)#int vlan 100
Switch(config-if)#ip address 172.16.100.254 255.255.255.0
Switch(config-if)#int vlan 200
Switch(config-if)#ip address 172.16.200.1 255.255.255.0
Switch(config-if)#int f0/5
Switch(config-if)#no switchport
Switch(config-if)#ip address 172.16.253.1 255.255.255.0
Switch(config)#ip route 0.0.0.0 0.0.0.0 172.16.253.2
Router(config)#ip route 0.0.0.0 0.0.0.0 2.0.0.1
Router(config)#ip route 172.16.0.0 255.255.0.0 172.16.253.1
Router(config)#access-list 101 deny ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
Router(config)#access-list 101 permit ip 172.16.0.0 0.0.255.255 any
Router(config)#ip nat inside source list 101 interface f1/0 overload
Router(config)#int f0/0
Router(config-if)#ip access-group 101 in
Router(config-if)#ip nat inside
Router(config-if)#int f1/0
Router(config-if)#ip access-group 101 out
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 172.16.254.2 2.0.0.3
Router(config)#int f0/1
Router(config-if)#ip nat inside
Router(config)#access-list 103 deny ip 172.16.11.2 0.0.0.0 any
Router(config)#access-list 103 permit ip 172.16.11.2 0.0.0.0 172.16.254.2 255.555.255.0
Router(config)#access-list 103 permit ip any
Router(config)#int f0/0
Router(config-if)#ip access-group 103 out
4.配置ISP1、ISP2、ISP3互联网路由器
#ISP1
Router(config)#int loopback 0
Router(config-if)#ip address 1.1.1.1 255.0.0.0
Router(config)#router ospf 1
Router(config-router)#network 2.0.0.0 0.0.0.7 area 0
Router(config-router)#network 3.0.0.0 0.0.0.255 area 0
Router(config-router)#network 5.0.0.0 0.0.0.255 area 0
Router(config-router)#end
Router#show ip route
#ISP2
Router(config)#int loopback 0
Router(config-if)#ip address 2.2.2.2 255.0.0.0
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#network 5.0.0.0 0.0.0.255 area 0
Router(config-router)#network 4.0.0.0 0.0.0.255 area 0
Router(config-router)#network 8.0.0.0 0.0.0.255 area 0
Router(config-router)#network 7.0.0.0 0.0.0.3 area 0
Router(config-router)#end
Router#show ip route
#ISP3
Router(config)#int loopback 0
Router(config-if)#ip address 9.9.9.9 255.0.0.0
Router(config-if)#exit
Router(config)#route ospf 1
Router(config-router)#network 3.0.0.0 0.0.0.255 area 0
Router(config-router)#network 6.0.0.0 0.0.0.255 area 0
Router(config-router)#network 4.0.0.0 0.0.0.255 area 0
Router(config-router)#end
Router#show ip route
5.配置Div-R分公司路由器
#ISP2
ISP2(config)# interface serial 0/1/0
ISP2(config-if)# clock rate 2000000
ISP2(config-if)# encapsulation ppp
ISP2(config-if)# ppp authentication pap // 认证方式为PAP加密
ISP2(config)# username user1 password 0 123 //主认证方配置
#Div-R
Div-R(config)# interface serial 0/1/0
Div-R(config-if)# encapsulation ppp
Div-R(config-if)# ppp authentication pap // 认证方式为PAP加密
Div-R(config-if)# ppp pap sent-username user1 password 0 123
Div-R(config)#ip route 0.0.0.0 0.0.0.0 7.0.0.1
Div-R(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
Div-R(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 any
Div-R(config)#ip nat inside source list 101 int s0/1/0 overload
Div-R(config)#int s0/1/0
Div-R(config-if)#ip nat outside
Div-R(config)#int f0/0
Div-R(config-if)#ip nat inside
6、配置wlan无线接入
AP --> Config --> Port 1 --> SSID: AP1 WPA2-PSK: 12345678
Wireless Router0 --> Config --> Wireless --> SSID: AP2 WPA2-PSK: 87654321
在两台笔记本上配置无线网卡,分别接入无线AP和无线路由器
Laptop22.3:手动配置静态 IP 地址172.16.22.3
Laptop22.3: --> config --> wireless0 --> SSID: AP1 wpa2-psk:12345678
Laptop1: --> config --> wireless0 --> SSID: AP2 wpa2-psk:87654321
--> Desktop --> Connect --> Refresh --> 选择AP2 --> Connect
7、配置PPPoE接入
Cloud0 ---> DSL ---> Modem4 <-> Ethernet6
Modem5 <-> Ethernet6
#ISP2
Router(config)#int f1/0
Router(config-if)#ip address 8.0.0.1 255.0.0.0
Router(config)#pppoe enable // 配置接口启用pppoe
Router(config)#ip local pool mypool 8.0.0.10 8.0.0.100 // 配置地址池
Router(config)#username user1 password 0 123 /
Router(config)#aaa new-model // 启用 AAA
Router(config)#aaa authentication ppp default group radius // 使用 Radius 对所有 PPP 用户进行身份验证
Router(config)#radius-server host 6.0.0.2 key 123 // 指定外部 AAA 服务器,设置预共享密钥
Router(config)#int virtual-template 1 // 定义虚拟模板
Router(config-if)#ip unnumbered f1/0 // 借用以太口地址
Router(config)#peer default ip address pool mypool // 设定地址池
Router(config)#ppp authentication chap // 设定认证方式
Router(config)#vpdn enable // 全局启用虚拟拨号
Router(config)#vpdn-group mygroup // 定义虚拟拨号组
Router(config)#accept-dialin // 允许拨号接入
Router(config)#protocol pppoe // 接入协议为pppoe
Router(config)#virtual-template 1 // 设定虚拟模板
#Inter-Srv
Service ---> AAA --->
Network Configuration:
pppoe 4.0.0.2 Radius aaa
ppp 8.0.0.1 Radius aaa
User Setup:
u1 cisco // 用于 WireLess 认证
test 123 // 用于 PC0 认证
在pc0使用PPPoE Dialer接入网络,ipconfig查看地址并ping6.0.0.2
Desktop ---> PPPoE ---> User Name: u1 Password: cisco
配置无线路由器使用PPPoE接入网络
Setup ---> PPPoE ---> Username: test Password: 123 Save Settings
WireLess ---> Basic WireLess Settings ---> Network Name: AP2 Standard Channel: 11
---> WireLess Security ---> Security Mode: WAP2 Persional AES 87654321
8、配置×××
×××,对端为7.0.0.2,认证方式为pre?share,key为123,加密方式为ah?md5?hmac esp?des,从总部172.16.0.0到分公司192.168.1.0的流量加密
FireWall(config)# ip route 0.0.0.0 0.0.0.0 2.0.0.1 // 添加默认路由( 已添加 )# 配置 IKE 协商
FireWall(config)#crypto isakmp enable // 启动 IKE
FireWall(config)#crypto isakmp policy 1 // 建立 IKE 协商策略
FireWall(config-isakmap)#hash md5 // 认证算法
FireWall(config-isakmap)#authentication pre?share // 使用预定义密钥
FireWall(config-isakmap)#exit
FireWall(config)#crypto isakmp key aaa address 7.0.0.2 // 设置共享密钥和对端地址
#配置 IPSec 协商
FireWall(config)#crypto ipsec transform?set testform ah?md5?hmac esp?des
// 定义了使用AH还是ESP协议,以及相应协议所用的算法
FireWall(config)#access?list 102 permit ip 172.16.0.0 0.0.255.255 192.168.1.0 0.0.0.255
// 配置保护访问控制列表,用来定义哪些报文需要经过 IPSec 加密后发送,哪些报文直接发送
#配置端口的应用
FireWall(config)#crypto map testmap 1 ipsec?isakmp // 创建 Crypto Maps
FireWall(config-crypto-map)#set peer 7.0.0.2 // 对端地址
FireWall(config-crypto-map)#set transform?set testform // 传输模式的名称
FireWall(config-crypto-map)#match address 102 // ACL编号( access-list 102 )
FireWall(config)#interface f1/0 // 应用 Crypto Maps 到端口上
FireWall(config-if)# crypto map testmap
#检查 IPSec 配置
Router# show crypto isakmp policy // 查看IKE策略
Router# show crypto ipsec transform-set // 查看 IPSec 策略
Router# show crypto ipsec sa // 查看SA信息
Router# show crypto map // 查看加密映
#DIV-R
在分公司DIV-R配置端到端IPSec ×××,对端为2.0.0.2,认证方式为pre?share,key为123,加密方式为ah?md5?hmac esp?des,从分公司192.168.1.0到总部172.16.0.0的流量加密
DIV-R(config)# ip route 0.0.0.0 0.0.0.0 2.0.0.1 // 添加默认路由( 已添加 )
# 配置 IKE 协商
DIV-R(config)#crypto isakmp enable // 启动 IKE
DIV-R(config)#crypto isakmp policy 1 // 建立 IKE 协商策略
DIV-R(config-isakmap)#hash md5 // 认证算法
DIV-R(config-isakmap)#authentication pre?share // 使用预定义密钥
DIV-R(config-isakmap)#exit
DIV-R(config)#crypto isakmp key 123 address 2.0.0.2 // 设置共享密钥和对端地址
# 配置 IPSec 协商
DIV-R(config)#crypto ipsec transform?set testform ah?md5?hmac esp?des
// 定义了使用AH还是ESP协议,以及相应协议所用的算法
DIV-R(config)#access?list 102 permit ip 192.168.1.0 0.0.0.255 172.16.0.0 0.0.255.255
// 配置保护访问控制列表,用来定义哪些报文需要经过 IPSec 加密后发送,哪些报文直接发送
# 配置端口的应用
DIV-R(config)#crypto map testmap 1 ipsec?isakmp // 创建 Crypto Maps
DIV-R(config-crypto-map)#set peer 2.0.0.2 // 对端地址
DIV-R(config-crypto-map)#set transform?set testform // 传输模式的名称
DIV-R(config-crypto-map)#match address 102 // ACL编号( access-list 102 )
DIV-R(config)#interface s0/1/0 // 应用 Crypto Maps 到端口上
DIV-R(config-if)# crypto map testmap
# 检查 IPSec 配置
Router# show crypto isakmp policy // 查看IKE策略
Router# show crypto ipsec transform-set // 查看 IPSec 策略
Router# show crypto ipsec sa // 查看SA信息
Router# show crypto map // 查看加密映射9、配置VoIP
a)把总部IP电话和callmanager的接入端口加入到voice vlan1
AS1:
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
AS2:
vlan 100
int f0/1
switchport mode access
switchport access vlan 100
switchport voice vlan 1
CS:
int f0/6
switchport mode access
switchport access vlan 100
switchport voice vlan 1
b)把分公司IP电话和Div-R向内网的接入端口加入到voice vlan1
Switch3:
int f0/1
switchport voice vlan 1
switchport mode access
int f0/24
switchport mode access
switchport voice vlan 1
c)在公司总部配置callmanager ,测试总部两部电话的连通性
CallManager:
# 配置接口
# int f0/0
# ip add 172.16.100.1 255.255.255.0
# 配置DHCP
# ip dhcp pool voice
# network 172.16.100.0 255.255.255.0
# default-router 172.16.100.1
# option 150 ip 172.16.100.1
# 配置呼叫服务
# telephone-service
# max-dn 10
# max-ephone 10
# ip source-address 172.16.100.1 port 2000
# auto assign 1 to 10
# 为电话配置号码
# ephone-dn 1
# number 1001
# ephone-dn 2
# number 1002
d)在分公司配置Div-R出口路由器作为callmanager,检查分公司IP电话
Router:
# 配置接口
# int f0/0
# ip add 192.168.1.1 255.255.255.0
# 配置DHCP
# ip dhcp pool voip
# network 192.168.1.0 255.255.255.0
# default-router 192.168.1.1
# option 150 ip 192.168.1.1
# 配置呼叫服务
# telephone-service
# max-dn 10
# max-ephone 10
# ip source-address 192.168.1.1 port 2000
# auto assign 1 to 10
# 为电话配置号码
# ephone-dn 1
# number 2001
e)把总部IP电话和callmanager的接入端口加入到vlan100
在 9、a) 中已经完成该步操作
f)在CS上设置VLAN100的虚接口地址为172.16.100.254
int vlan 100
ip address 172.16.100.254 255.255.255.0
g)在总部callmanager上设置默认路由指向172.16.100.254
ip route 0.0.0.0 0.0.0.0 172.16.100.254
h)配置两台callmanager点对点连接,测试总部到分公司电话的连通性
CallManager:
dial-peer voice 1 voip
destination-pattern 2...
session target ipv4:192.168.1.1
Router-FW:
dial-peer voice 1 voip
destination-pattern 1...
session target ipv4:172.16.100.1
限制 11.2 上网
d)配置控制列表禁止PC11.2访问互联网
( ☆☆☆建议最后设置该规则☆☆☆ )
? 设置扩展访问控制列表,允许PC11.2访问DMZ-Srv、禁止PC11.2访问其他地址、允许所有IP流量
access-list 103 deny ip 172.16.11.2 0.0.0.0 any
access-list 103 permit ip 172.16.11.2 0.0.0.0 172.16.254.2 255.555.255.0
access-list 103 permit ip any
? 把访问控制列表应用于Firewall内网接口入方向上
int f0/0
ip access-group 103 out 标签:get div pap 虚拟 ack def basic 创建 work
原文地址:http://blog.51cto.com/13670314/2316347
