RG-S3760应用协议配置

1. dhcp 服务配置

提问：如何在设备上开启dhcp 服务，让不同VLAN 下的电脑获得相应的IP 地址？

回答：

步骤一：配置VLAN 网关IP 地址，及将相关端口划入相应的VLAN 中

S3760#con  t

S3760(config)#vlan 2 ----创建VLAN2

S3760(config-vlan)#exit ----退回到全局配置模式下

S3760(config)#vlan 3 ----创建VLAN3

S3760(config-vlan)#exit ----退回到全局配置模式下

S3760(config)#int vlan 2 ----进入配置VLAN2

S3760(config-if)#ip add 192.168.2.1 255.255.255.0  ----设置VLAN2 的IP 地址

S3760(config-if)#exit ----退回到全局配置模式下

S3760(config)#int vlan 3 ----进入配置VLAN3

S3760(config-if)#ip add 192.168.3.1 255.255.255.0   ----设置VLAN3 的IP 地址

S3760(config-if)#exit ----退回到全局配置模式下

S3760(config)#int f 0/2 ----进入接口f0/2

S3760(config-if)#switchport access vlan 2    ----设置f0/2 口属于VLAN2

S3760(config-if)#exit

S3760(config)#int f 0/3 ----进入接口f0/3

S3760(config-if)#switchport access vlan 3 ----设置f0/3 口属于VLAN3

S3760(config-if)#exit

步骤二：配置dhcp server

S3760 (config)#service dhcp    ----开启dhcp server 功能

S3760 (config)#ip dhcp ping packets 1

----在dhcp server 分配IP 时会先去检测将要分配的IP 地址是否已有人使用，如果没人

使用则分配，若已有人使用则再分配下一个IP

S3760 (config)#ip dhcp excluded-address 192.168.2.1 192.168.2.10

----设置排斥地址为192.168.2.1 至192.168.2.10 的ip 地址不分配给客户端（可选配置）

S3760 (config)#ip dhcp excluded-address 192.168.3.1 192.168.3.10

----设置排斥地址为192.168.3.1 至192.168.3.10 的ip 地址不分配给客户端（可选配置）

S3760 (config)#ip dhcp pool test2 ----新建一个dhcp 地址池名为test2

S3760 (dhcp-config)# lease infinite ----租期时间设置为永久

S3760 (dhcp-config)# network 192.168.2.0 255.255.255.0

----给客户端分配的地址段

S3760 (dhcp-config)# dns-server 202.101.115.55 ----给客户端分配的dns

S3760(dhcp-config)# default-router 192.168.2.1 ----客户端的网关

S3760(dhcp-config)#exit

S3760(config)#ip dhcp pool test3 ----新建一个dhcp 地址池名为test3

S3760(dhcp-config)# lease infinite ----租期时间设置为永久

S3760(dhcp-config)# network 192.168.3.0 255.255.255.0

S3760(dhcp-config)# dns-server 202.101.115.55

S3760(dhcp-config)# default-router 192.168.3.1

S3760(dhcp-config)#end

S3760#wr

2. 交换机dot1x 认证配置

提问：如何在交换机上开启dot1x 认证？

回答：

步骤一：基本AAA 配置

Switch#conf

Switch(config)# aaa new-model ----启用认证

Switch(config)# aaa accounting network test start-stop group radius

----配置身份认证方法

Switch(config)# aaa group server radius test

Switch(config-gs-radius)# server X.X.X.X ----指定记帐服务器地址

Switch(config-gs-radius)# exit

Switch(config)# aaa authentication dot1x default group radius local

----配置dot1x 认证方法

Switch(config)# radius-server host X.X.X.X ----指定认证服务器地址

Switch(config)# radius-server key 0 password ----指定radius 共享口令

Switch(config)# dot1x accounting test ----开启计帐功能

Switch(config)# dot1x authentication default ----开启认证功能

Switch(config)# snmp-server community ruijie rw ----指定SNMP 共同体字段

Switch(config)# interface range fastethernet 0/1-24 ----同时进入1-24 号接口

Switch(config-if-range)# dot1x port-control auto ----指定受控端口

Switch(config-if-range)# exit ----退出接口模式

步骤二：配置客户端探测功能

Switch(config)# aaa accounting update ----启用计帐更新

Switch(config)# aaa accounting update periodic 5

----指定计帐更新间隔为5 分钟

Switch(config)# dot1x client-probe enable ----启用客户端在线探测功能

Switch(config)# dot1x probe-timer interval 20 ----指定探测周期为20 秒

Switch(config)# dot1x probe-timer alive 60 ----指定探测存活时间为60 秒

步骤三： 配置记账更新功能

Switch(config)# dot1x timeout quiet-period 5 ----指定认证失败等待时间

Switch(config)# dot1x timeout tx-period 3

----指定交换机重传Identity Requests 报文时间

Switch(config)# dot1x max-req 3

----指定交换机重传Identity Requests 报文的最大次数

Switch(config)# dot1x reauth-max 3

----指定认证失败后交换机发起的重认证的最大次数

Switch(config)# dot1x timeout server-timeout 5

----指定认证服务器的响应超时时间

Switch(config)# dot1x timeout supp-timeout 3

----指定认证客户端的响应超时时间

Switch(config)# dot1x private-supplicant-only ----过滤非锐捷客户端

Switch(config)# exit ----退出配置模式

3. QOS 限速配置

提问：如何通过QOS 实行限速？

回答：

步骤一：定义希望限速的主机范围

S3760>en

S3760#conf

S3760(config)#access-list 101 permit ip host 192.168.1.101 any

----定义要限速的IP

S3760(config)#access-list 102 permit ip host 192.168.1.102 any

----定义要限速的IP

步骤二：创建规则类，应用之前定义的主机范围

S3760(config)#class-map xiansu101 ----创建class-map，名字为xiansu101

S3760(config-cmap)#match access-group 101 ----匹配IP 地址

S3760(config-cmap)#exit

S3760(config)#class-map xiansu102 ----创建class-map，名字为xiansu102

S3760(config-cmap)#match access-group 102 ----匹配IP 地址

S3760(config-cmap)#exit

步骤三：创建策略类：应用之前定义的规则，配置限速大小

S3760(config)#policy-map xiansu ----创建policy-map，名字为xiansu

S3760(config-pmap)#class xiansu101 ----符合class xiansu101

S3760(config-pmap-c)#police 8000 512 exceed-action drop

----限速值为8000Kbit（1MB）

S3760(config-pmap)#class xiansu102 ----符合class xiansu102

S3760(config-pmap-c)#police 4000 512 exceed-action drop

----限速值为4000Kbit

S3760(config-pmap-c)#end

步骤四：进入接口，应用之前定义的策略

S3760#conf

S3760(config)#int fa 0/10 ----进入接口

S3760(config-if)#service-policy input xiansu

----将该限速策略应用在这个接口上

注释：

1. 通过QOS 只能限制上行流量

2. 推荐在S2924G，S3250 和S3760 上应用该功能

4. IPsec 配置

提问：如何在两台路由器之间启用IPsec？

回答：

R1 路由器设置

步骤一：配置访问控制列表，定义需要IPsec 保护的数据

R1(config)#access-list 101 permit ip host 1.1.1.1 host 1.1.1.2

步骤二：定义安全联盟和密钥交换策略

R1(config)#crypto isakmp policy 1

R1(isakmp-policy)#authentication pre-share ----认证方式为预共享密钥

R1(isakmp-policy)#hash md5 ----采用MD5 的HASH 算法

步骤三：配置预共享密钥为dixy，对端路由器地址为1.1.1.2

R1(config)#crypto isakmp key 0 dixy address 1.1.1.2

步骤四：定义IPsec 的变换集，名字为dixy

R1(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

步骤五：配置加密映射，名字为dixy

R1(config)#crypto map dixy 1 ipsec-isakmp

R1(config-crypto-map)#set transform-set dixy ----应用之前定义的变换集

R1(config-crypto-map)#match address 101 ----定义需要加密的数据流

R1(config-crypto-map)#set peer 1.1.1.2 ----设置对端路由器地址

步骤六：在外网口上使用该加密映射

R1(config-if)#crypto map dixy

R1(config-if)#ip add 1.1.1.1 255.255.255.0

R2 路由器设置

R2 路由器的设置和R1 几乎是相似，只用红色字体标注出不一样的地方。

R2(config)#access-list 101 permit ip host 1.1.1.2 host 1.1.1.1

R2(config)#crypto isakmp policy 1

R2(isakmp-policy)#authentication pre-share

R2(isakmp-policy)#hash md5

R2(config)#crypto isakmp key 0 dixy address 1.1.1.1

R2(config)#crypto ipsec transform-set dixy ah-md5-hmac esp-des

R2(config)#crypto map dixy 1 ipsec-isakmp

R2(config-crypto-map)#set transform-set dixy

R2(config-crypto-map)#match address 101

R2(config-crypto-map)#set peer 1.1.1.1

R2(config-if)#crypto map dixy

R2(config-if)#ip add 1.1.1.2 255.255.255.0

5.GRE 配置

提问：如何在两台路由器之间启用GRE？

回答：

NBR(config)#interface Tunnel0

NBR(config-if)#ip address 1.1.1.1 255.255.255.0

NBR (config-if)#tunnel mode gre ip

NBR (config-if)#tunnel source 10.1.1.1

NBR (config-if)#tunnel destiNation 10.1.1.2

6. PPTP 配置

提问：如何在路由器上配置PPTP？

回答：

步骤一：配置VPN 相关参数

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group pptp   ----创建一个VPDN 组，命名为pptp

R1762(config-vpdn)#accept-dialin    ----允许拨号

R1762(config-vpdn-acc-in)#protocol pptp    ----协议为PPTP

R1762(config-vpdn-acc-in)#virtual-template 1    ----引用虚模板1

步骤二：配置用户和地址池

R1762(config)#username test password 0 test

----创建一个账户，用户和密码都是test

R1762(config)#ip local pool VPN 192.168.1.100 192.168.1.110

----创建VPN 拨入的地址池，命名为VPN，范围是192.168.1.100-110

步骤三：配置虚拟模板

R1762(config)#interface virtual-template 1  ----创建虚模板1

R1762(config-if)#ppp authentication pap   ----加密方式为PAP

R1762(config-if)#ip unnumbered fastEthernet 1/0  ----关联内网接口

R1762(config-if)#peer default ip address pool VPN  ----引用地址范围

R1762(config-if)#ip Nat inside   ----参与Nat

7. 路由器L2TP 配置

提问：如何在两台路由器之间构建L2TP？

回答：

步骤一：SERVER 端路由器配置VPN 相关参数

R1762#conf

R1762(config)#vpdn enable

R1762(config)#vpdn-group l2tp ----创建一个VPDN 组，命名为l2tp

R1762(config-vpdn)#accept-dialin ----允许拨号

R1762(config-vpdn-acc-in)#protocol l2tp ----协议为l2tp

R1762(config-vpdn-acc-in)#virtual-template 1 ----引用虚模板1

步骤二：SERVER 端路由器配置用户和地址池

R1762(config)#username test password 0 test

----创建一个账户，用户和密码都是test

R1762(config)#ip local pool VPN 192.168.1.100 192.168.1.110

----创建VPN 拨入的地址池，命名为VPN，范围是192.168.1.100-110

步骤三：SERVER 端路由器配置虚拟模板

R1762(config)#interface virtual-template 1 ----创建虚模板1

R1762(config-if)#ppp authentication chap ----加密方式为CHAP

R1762(config-if)#ip unnumbered fastEthernet 1/0 ----关联内网接口

R1762(config-if)#peer default ip address pool VPN ----引用地址范围

R1762(config-if)#ip Nat inside ----参与Nat

步骤四：Client 端路由器VPN 配置

R1762(config)#l2tp-class l2tp ----创建拨号模板，命名为l2tp

R1762(config)#pseudowire-class VPN-l2tp ----创建虚线路，命名为VPN-l2tp

R1762(config-pw-class)#encapsulation l2tpv2 ----封装l2tpv2 协议

R1762(config-pw-class)#protocol l2tpv2 l2tp

R1762(config-pw-class)#ip local interface 1/0 ----关联路由器外网接口

步骤五：Client 路由创建虚拟拨号口

R1762(config)#interface virtual-ppp 1 ----创建虚拟ppp 接口

R1762(config)#pseudowire 192.168.33.39 11 encapsulation l2tpv2 pw-class VPN-l2tp

----L2TP 服务器路由器的地址

R1762(config)#ppp chap hostname test ----用户名

R1762(config)# ppp chap password 0 test ----密码

R1762(config)# ip mtu 1460

R1762(config)# ip address negotiate ----IP 地址商议获取

R1762(config)# ip Nat outside ----参与Nat

8. 路由器Nat 配置

提问：如何设置Nat？

回答：

NBR(config)#access-list 10 permit 192.168.10.0 0.0.0.255

----设置允许Nat 的地址范围

NBR(config)#interface FastEthernet 1/0

NBR(config-if)#ip Nat outside ----定义外网接口

NBR(config)#interface FastEthernet 0/0

NBR(config-if)#ip Nat inside ----定义内网接口

NBR(config)#ip Nat pool  defult  prefix-length 24 ----创建一个地址池，命名为defult

NBR(config-ipNat-pool)#address 208.10.34.2 208.10.34.7 match interface FastEthernet 1/0

----公网地址范围为208.10.34.2 到 208.10.34.7

NBR(config)#ip Nat inside source list 10   pool  test   overload 

----应用地址池