HCMSR系列路由器IPsec典型配置举例V

7 相关资料

1 简介

本文档介绍IPsec的典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例

3.1 组网需求

如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：

?通过L2TP隧道访问Corporate network。

?用IPsec对L2TP隧道进行数据加密。

?采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图

3.2 配置思路

由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本

本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤

3.4.1 Device的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24

[Device-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24

[Device-GigabitEthernet2/0/2] quit

# 配置接口GigabitEthernet2/0/3的IP地址。

[Device] interface gigabitethernet 2/0/3

[Device-GigabitEthernet2/0/3] ip address 192.168.1.1 24

[Device-GigabitEthernet2/0/3] quit

(2) 配置L2TP

# 创建本地PPP用户l2tpuser，设置密码为hello。

[Device] local-user l2tpuser class network

[Device-luser-network-l2tpuser] password simple hello

[Device-luser-network-l2tpuser] service-type ppp

[Device-luser-network-l2tpuser] quit

# 配置ISP域system对PPP用户采用本地验证。

[Device] domain system

[Device-isp-system] authentication ppp local

[Device-isp-system] quit

# 启用L2TP服务。

[Device] l2tp enable

# 创建接口Virtual-Template0，配置接口的IP地址为172.16.0.1/24。[Device] interface virtual-template 0

[Device-Virtual-Template0] ip address 172.16.0.1 255.255.255.0

# 配置PPP认证方式为PAP。

[Device-Virtual-Template0] ppp authentication-mode pap

# 配置为PPP用户分配的IP地址为172.16.0.2。

[Device-Virtual-Template0] remote address 172.16.0.2

[Device-Virtual-Template0] quit

# 创建LNS模式的L2TP组1。

[Device] l2tp-group 1 mode lns

# 配置LNS侧本端名称为lns。

[Device-l2tp1] tunnel name lns

# 关闭L2TP隧道验证功能。

[Device-l2tp1] undo tunnel authentication

# 指定接收呼叫的虚拟模板接口为VT0。

[Device-l2tp1] allow l2tp virtual-template 0

[Device-l2tp1] quit

(3) 配置PKI证书

# 配置PKI实体 security。

[Device] pki entity security

[Device-pki-entity-security] common-name device

[Device-pki-entity-security] quit

# 新建PKI域。

[Device] pki domain headgate

[Device-pki-domain-headgate] ca identifier LYQ

[Device-pki-domain-headgate] certificate request url http://192.168.1.51/certsrv/mscep/mscep.dll [Device-pki-domain-headgate] certificate request from ra

[Device-pki-domain-headgate] certificate request entity security

[Device-pki-domain-headgate] undo crl check enable

[Device-pki-domain-headgate] public-key rsa general name abc length 1024

[Device-pki-domain-headgate] quit

# 生成RSA算法的本地密钥对。

[Device] public-key local create rsa name abc

The range of public key modulus is (512 ~ 2048).

If the key modulus is greater than 512,it will take a few minutes. Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

..........................++++++

.++++++

Create the key pair successfully.

# 获取CA证书并下载至本地。

[Device] pki retrieve-certificate domain headgate ca

The trusted CA's finger print is:

MD5 fingerprint:8649 7A4B EAD5 42CF 5031 4C99 BFS3 2A99

SHA1 fingerprint:61A9 6034 181E 6502 12FA 5A5F BA12 0EA0 5187 031C

Is the finger print correct?(Y/N):y

Retrieved the certificates successfully.

# 手工申请本地证书。

[Device] pki request-certificate domain headgate

Start to request general certificate ...

Certificate requested successfully.

(4) 配置IPsec隧道

# 创建IKE安全提议。

[Device] ike proposal 1

[Device-ike-proposal-1] authentication-method rsa-signature

[Device-ike-proposal-1] encryption-algorithm 3des-cbc

[Device-ike-proposal-1] dh group2

[Device-ike-proposal-1] quit

# 配置IPsec安全提议。

[Device] ipsec transform-set tran1

[Device-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[Device-ipsec-transform-set-tran1] esp encryption-algorithm 3des

[Device-ipsec-transform-set-tran1] quit

# 配置IKE profile。

[Device] ike profile profile1

[Device-ike-profile-profile1] local-identity dn

[Device-ike-profile-profile1] certificate domain headgate

[Device-ike-profile-profile1] proposal 1

[Device-ike-profile-profile1] match remote certificate device

[Device-ike-profile-profile1] quit

# 在采用数字签名认证时，指定总从本端证书中的主题字段取得本端身份。

[Device]ike signature-identity from-certificate

# 创建一条IPsec安全策略模板，名称为template1，序列号为1。

[Device] ipsec policy-template template1 1

[Device-ipsec-policy-template-template1-1] transform-set tran1

[Device-ipsec-policy-template-template1-1] ike-profile profile1

[Device-ipsec-policy-template-template1-1] quit

# 引用IPsec安全策略模板创建一条IPsec安全策略，名称为policy1，顺序号为1。

[Device] ipsec policy policy1 1 isakmp template template1

# 在接口上应用IPsec安全策略。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] ipsec apply policy policy1

[Device-GigabitEthernet2/0/2] quit

3.4.2 Host的配置

(1) 从证书服务器上申请客户端证书

# 登录到证书服务器：http://192.168.1.51/certsrv ，点击“申请一个证书”。

图1 进入申请证书页面

# 点击“高级证书申请”。

图2 高级证书申请

# 选择第一项：创建并向此CA提交一个申请。

图3 创建并向CA提交一个申请

# 填写相关信息。

?需要的证书类型，选择“客户端身份验证证书”；

?密钥选项的配置，勾选“标记密钥为可导出”前的复选框。

# 点击<提交>，弹出一提示框：在对话框中选择“是”。

# 点击安装此证书。

图4 安装证书

(2) iNode客户端的配置（使用iNode版本为：iNode PC 5.2(E0409)）

# 打开L2TP VPN连接，并单击“属性…(Y)”。

图5 打开L2TP连接

# 输入LNS服务器的地址，并启用IPsec安全协议，验证证方法选择证书认证。

图6 基本配置

# 单击<高级(C)>按钮，进入“L2TP设置”页签，设置L2TP参数如下图所示。图7 L2TP设置

# 单击“IPsec设置”页签，配置IPsec参数。图8 IPsec参数设置

# 单击“IKE设置”页签，配置IKE参数。

图9 IKE参数设置

# 单击“路由设置”页签，添加访问Corporate network的路由。图10 路由设置

# 完成上述配置后，单击<确定>按钮，回到L2TP连接页面。

3.5 验证配置

# 在L2TP连接对话框中，输入用户名“l2tpuser”和密码“hello”，单击<连接>按钮。

图11 连接L2TP

# 在弹出的对话框中选择申请好的证书，单击<确定>按钮。

图12 证书选择

# 通过下图可以看到L2TP连接成功。图13 连接成功

图14 连接成功

# 在Device上使用display ike sa命令，可以看到IPsec隧道第一阶段的SA正常建立。

display ike sa

Connection-ID Remote Flag DOI

------------------------------------------------------------------

10 102.168.1.1 RD IPSEC

Flags:

RD--READY RL--REPLACED FD-FADING

# 在Device上使用display ipsec sa命令可以看到IPsec SA的建立情况。

display ipsec sa

-------------------------------

Interface: GigabitEthernet2/0/2

-------------------------------

-----------------------------

IPsec policy: policy1

Sequence number: 1

Mode: template

-----------------------------

Tunnel id: 0

Encapsulation mode: tunnel

Perfect forward secrecy:

Path MTU: 1443

Tunnel:

local address: 102.168.1.11

remote address: 102.168.1.1

Flow:

sour addr: 102.168.1.11/255.255.255.255 port: 1701 protocol: udp

dest addr: 102.168.1.1/255.255.255.255 port: 0 protocol: udp

[Inbound ESP SAs]

SPI: 2187699078 (0x8265a386)

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843197/3294

Max received sequence-number: 51

Anti-replay check enable: Y

Anti-replay window size: 64

UDP encapsulation used for NAT traversal: N

Status: Active

[Outbound ESP SAs]

SPI: 3433374591 (0xcca5237f)

Transform set: ESP-ENCRYPT-3DES-CBC ESP-AUTH-SHA1

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843197/3294

Max sent sequence-number: 52

UDP encapsulation used for NAT traversal: N

Status: Active

3.6 配置文件

#

interface Virtual-Template0

ppp authentication-mode pap

remote address 172.16.0.2

ip address 172.16.0.1 255.255.255.0

#

interface GigabitEthernet2/0/1

ip address 192.168.100.50 255.255.255.0

#

interface GigabitEthernet2/0/2

ip address 102.168.1.11 255.255.255.0

ipsec apply policy policy1

#

interface GigabitEthernet2/0/3

ip address 192.168.1.1 255.255.255.0

#

domain system

authentication ppp local

#

local-user l2tpuser class network

password cipher $c$3$nl46fURLtkCkcbdnB6irTXma+E6u0c+h

service-type ppp

authorization-attribute user-role network-operator

#

pki domain headgate

ca identifier LYQ

certificate request url http://192.168.1.51/certsrv/mscep/mscep.dll

certificate request from ra

certificate request entity security

public-key rsa general name abc

undo crl check enable

#

pki entity security

common-name host

#

ipsec transform-set tran1

esp encryption-algorithm 3des-cbc

esp authentication-algorithm sha1

#

ipsec policy-template template1 1

transform-set tran1

ike-profile profile1

#

ipsec policy policy1 1 isakmp template template1

#

l2tp-group 1 mode lns

allow l2tp virtual-template 0

undo tunnel authentication

tunnel name lns

#

l2tp enable

#

ike signature-identity from-certificate

#

ike profile profile1

certificate domain headgate

local-identity dn

match remote certificate device

proposal 1

#

ike proposal 1

authentication-method rsa-signature

encryption-algorithm 3des-cbc

dh group2

#

4 IPsec over GRE的典型配置举例

4.1 组网需求

如图15所示，企业远程办公网络通过IPsec VPN接入企业总部，要求：通过GRE 隧道传输两网络之间的IPsec加密数据。

图15 IPsec over GRE组网图

4.2 配置思路

?为了对数据先进行IPsec处理，再进行GRE封装，访问控制列表需匹配数据的原始范围，并且要将IPsec应用到GRE隧道接口上。

?为了对网络间传输的数据先进行IPsec封装，再进行GRE封装，需要配置IPsec 隧道的对端IP地址为GRE隧道的接口地址。

4.3 使用版本

本举例是在R0106版本上进行配置和验证的。

4.4 配置步骤

4.4.1 Device A的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[DeviceA] interface gigabitethernet 2/0/1

[DeviceA-GigabitEthernet2/0/1] ip address 192.168.1.1 255.255.255.0

[DeviceA-GigabitEthernet2/0/1] tcp mss 1350

[DeviceA-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[DeviceA] interface gigabitethernet 2/0/2

[DeviceA-GigabitEthernet2/0/2] ip address 202.115.22.48 255.255.255.0

[DeviceA-GigabitEthernet2/0/2] quit

(2)配置GRE隧道

# 创建Tunnel0接口，并指定隧道模式为GRE over IPv4隧道。

[DeviceA] interface tunnel 0 mode gre

# 配置Tunnel0接口的IP地址为10.1.1.1/24。

[DeviceA-Tunnel0] ip address 10.1.1.1 255.255.255.0

# 配置Tunnel0接口的源端地址为202.115.22.48/24（Device A的GigabitEthernet2/0/2的IP地址）。

[DeviceA-Tunnel0] source 202.115.22.48

# 配置Tunnel0接口的目的端地址为202.115.24.50/24（Device B的GigabitEthernet2/0/2的IP地址）。

[DeviceA-Tunnel0] destination 202.115.24.50

[DeviceA-Tunnel0] quit

# 配置从Device A经过Tunnel0接口到Remote office network的静态路由。

[DeviceA] ip route-static 192.168.2.1 255.255.255.0 tunnel 0

(3)配置IPsec VPN

# 配置IKE keychain。

[DeviceA] ike keychain keychain1

[DeviceA-ike-keychain-keychain1] pre-shared-key address 10.1.1.2 255.255.255.0 key simple 123

[DeviceA-ike-keychain-keychain1] quit

# 创建ACL3000，定义需要IPsec保护的数据流。

[DeviceA] acl number 3000

[DeviceA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0

0.0.0.255

[DeviceA-acl-adv-3000] quit

# 配置IPsec安全提议。

[DeviceA] ipsec transform-set tran1

[DeviceA-ipsec-transform-set-tran1] esp encryption-algorithm des

[DeviceA-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceA-ipsec-transform-set-tran1] quit

# 创建一条IKE协商方式的IPsec安全策略，名称为policy1，序列号为1。

[DeviceA] ipsec policy policy1 1 isakmp

[DeviceA-ipsec-policy-isakmp-policy1-1] security acl 3000

[DeviceA-ipsec-policy-isakmp-policy1-1] remote-address 10.1.1.2

[DeviceA-ipsec-policy-isakmp-policy1-1] transform-set tran1

[DeviceA-ipsec-policy-isakmp-policy1-1] quit

# 在GRE隧道接口上应用安全策略。

[DeviceA] interface tunnel 0

[DeviceA-Tunnel0] ipsec apply policy policy1

[DeviceA-Tunnel0] quit

4.4.2 Device B的配置

(1) 配置各接口IP地址

# 配置接口GigabitEthernet2/0/1的IP地址。

system-view

[DeviceB] interface gigabitethernet 2/0/1

[DeviceB-GigabitEthernet2/0/1] ip address 192.168.2.1 255.255.255.0

[DeviceB-GigabitEthernet2/0/1] tcp mss 1350

[DeviceB-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[DeviceB] interface gigabitethernet 2/0/2

[DeviceB-GigabitEthernet2/0/2] ip address 202.115.24.50 255.255.255.0

[DeviceB-GigabitEthernet2/0/2] quit

(2)配置GRE隧道

# 创建Tunnel0接口，并指定隧道模式为GRE over IPv4隧道。

[DeviceB] interface tunnel 0 mode gre

# 配置Tunnel0接口的IP地址为10.1.1.2/24。

[DeviceB-Tunnel0] ip address 10.1.1.2 255.255.255.0

# 配置Tunnel0接口的源端地址为202.115.24.50/24（Device B的GigabitEthernet2/0/2的IP地址）。

[DeviceB-Tunnel0] source 202.115.24.50

# 配置Tunnel0接口的目的端地址为202.115.22.48/24（Device A的GigabitEthernet2/0/2的IP地址）。

[DeviceB-Tunnel0] destination 202.115.22.48

[DeviceB-Tunnel0] quit

# 配置从DeviceB经过Tunnel0接口到Corporate network的静态路由。

[DeviceB] ip route-static 192.168.1.1 255.255.255.0 tunnel 0

(3) 配置IPsec VPN

# 配置IKE keychain。

[DeviceB] ike keychain keychain1

[DeviceB-ike-keychain-keychain1] pre-shared-key address 10.1.1.1 255.255.255.0 key simple 123

[DeviceB-ike-keychain-keychain1] quit

# 创建ACL3000，定义需要IPsec保护的数据流。

[DeviceB] acl number 3000

[DeviceB-acl-adv-3000] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0

0.0.0.255

[DeviceB-acl-adv-3000] quit

# 配置IPsec安全提议。

[DeviceB] ipsec transform-set tran1

[DeviceB-ipsec-transform-set-tran1] esp encryption-algorithm des

[DeviceB-ipsec-transform-set-tran1] esp authentication-algorithm sha1

[DeviceB-ipsec-transform-set-tran1] quit

# 创建一条IKE协商方式的IPsec安全策略，名称为policy1，序列号为1。

[DeviceB] ipsec policy policy1 1 isakmp

[DeviceB-ipsec-policy-isakmp-policy1-1] security acl 3000

[DeviceB-ipsec-policy-isakmp-policy1-1] remote-address 10.1.1.1

[DeviceB-ipsec-policy-isakmp-policy1-1] transform-set tran1

[DeviceB-ipsec-policy-isakmp-policy1-1] quit

# 在GRE隧道接口上应用安全策略。

[DeviceB] interface tunnel 0

[DeviceB-Tunnel0] ipsec apply policy policy1

[DeviceB-Tunnel0] quit

4.5 验证配置

# 以Corporate network的主机192.168.1.2向Remote office network的主机192.168.2.2发起通信为例，从192.168.1.2 ping 192.168.2.2，会触发IPsec协商，建立IPsec隧道，在成功建立IPsec隧道后，可以ping通。

C:\Users\corporatenetwork> ping 192.168.2.2

Pinging 192.168.2.2 with 32 bytes of data:

Request timed out.

Reply from 192.168.2.2: bytes=32 time=2ms TTL=254

Reply from 192.168.2.2: bytes=32 time=2ms TTL=254

Reply from 192.168.2.2: bytes=32 time=1ms TTL=254

Ping statistics for 192.168.2.2:

Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),

Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 2ms, Average = 1ms

# 在Device A上使用display ike sa命令，可以看到第一阶段的SA正常建立。 display ike sa

Connection-ID Remote Flag DOI

------------------------------------------------------------------

1 10.1.1.

2 RD IPSEC

Flags:

RD--READY RL--REPLACED FD-FADING

# 在Device A上使用display ipsec sa命令可以看到IPsec SA的建立情况。 display ipsec sa

-------------------------------

Interface: Tunnel0

-------------------------------

-----------------------------

IPsec policy: policy1

Sequence number: 1

Mode: isakmp

-----------------------------

Tunnel id: 0

Encapsulation mode: tunnel

Perfect forward secrecy:

Path MTU: 1419

Tunnel:

local address: 10.1.1.1

remote address: 10.1.1.2

Flow:

sour addr: 192.168.1.1/255.255.255.255 port: 0 protocol: ip

dest addr: 192.168.2.1/255.255.255.255 port: 0 protocol: ip

[Inbound ESP SAs]

SPI: 3128557135 (0xba79fe4f)

Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/3550

Max received sequence-number: 3

Anti-replay check enable: Y

Anti-replay window size: 64

UDP encapsulation used for NAT traversal: N

Status: Active

[Outbound ESP SAs]

SPI: 2643166978 (0x9d8b8702)

Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

SA duration (kilobytes/sec): 1843200/3600

SA remaining duration (kilobytes/sec): 1843199/3550

Max sent sequence-number: 3

UDP encapsulation used for NAT traversal: N

Status: Active

# 在Device A上通过命令display interface tunnel 0可以查看经过GRE隧道传输的流量情况。

display interface tunnel 0

Tunnel0

Current state: UP

Line protocol state: UP

Description: Tunnel0 Interface

Bandwidth: 64kbps

Maximum Transmit Unit: 1476

Internet Address is 10.1.1.1/24 Primary

Tunnel source 202.115.22.48, destination 202.115.24.50

Tunnel keepalive disabled

Tunnel TTL 255

Tunnel protocol/transport GRE/IP

GRE key disabled

Checksumming of GRE packets disabled

Output queue - Urgent queuing: Size/Length/Discards 0/100/0

Output queue - Protocol queuing: Size/Length/Discards 0/500/0

Output queue - FIFO queuing: Size/Length/Discards 0/75/0

Last clearing of counters: Never

Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Input: 40 packets, 3300 bytes, 0 drops

Output: 41 packets, 3464 bytes, 0 drops

# 从Remote office network的主机向Corporate network的主机发起通信验证方法相同，此不赘述。

4.6 配置文件

? Device A：

#

interface GigabitEthernet2/0/1

ip address 192.168.1.1 255.255.255.0

tcp mss 1350

#

interface GigabitEthernet2/0/2

ip address 202.115.22.48 255.255.255.0

#

interface Tunnel0 mode gre

ip address 10.1.1.1 255.255.255.0

source 202.115.22.48

destination 202.115.24.50

ipsec apply policy policy1

#

ip route-static 192.168.2.0 24 Tunnel0

#

acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 #

ipsec transform-set tran1

esp encryption-algorithm des-cbc

esp authentication-algorithm sha1

#

ipsec policy policy1 1 isakmp

transform-set tran1

security acl 3000

remote-address 10.1.1.2

#

ike keychain keychain1

pre-shared-key address 10.1.1.2 255.255.255.0 key cipher

$c$3$n6jdlYtuR+K6mijQ8qp4hMMjV/iteA==

#

? Devoce B

#

interface GigabitEthernet2/0/1

ip address 192.168.2.1 255.255.255.0

tcp mss 1350

#

interface GigabitEthernet2/0/2

ip address 202.115.22.50 255.255.255.0

#

interface Tunnel0 mode gre

ip address 10.1.1.2 255.255.255.0

source 202.115.24.50

destination 202.115.22.48

ipsec apply policy policy1

#

ip route-static 192.168.1.1 24 Tunnel0

#

acl number 3000

rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255 #

ipsec transform-set tran1

esp encryption-algorithm des-cbc

esp authentication-algorithm sha1

华为路由器路由策略和策略路由

路由策略和策略路由 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。 匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL

CMSR系列路由器IPsec典型配置举例V

C M S R系列路由器I P s e c典型配置举例V 文件排版存档编号：[UYTR-OUPT28-KBNTL98-UYNN208]

1?简介 本文档介绍IPsec的典型配置举例。

2?配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3?使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1?组网需求 如所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求： 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1基于证书认证的L2TP over IPsec配置组网图 3.2?配置思路 由于使用证书认证方式建立IPsec隧道，所以需要在ike profile 中配置local-identity为dn，指定从本端证书中的主题字段取得 本端身份。 3.3?使用版本

本举例是在R0106版本上进行配置和验证的。 3.4?配置步骤 3.4.1?Device的配置 (1)配置各接口IP地址 #配置接口GigabitEthernet2/0/1的IP地址。 system-view [Device] interface gigabitethernet 2/0/1 [Device-GigabitEthernet2/0/1] quit #配置接口GigabitEthernet2/0/2的IP地址。 [Device] interface gigabitethernet 2/0/2 [Device-GigabitEthernet2/0/2] quit #配置接口GigabitEthernet2/0/3的IP地址。 [Device] interface gigabitethernet 2/0/3 [Device-GigabitEthernet2/0/3] quit (2)配置L2TP #创建本地PPP用户l2tpuser，设置密码为hello。 [Device] local-user l2tpuser class network [Device-luser-network-l2tpuser] password simple hello [Device-luser-network-l2tpuser] service-type ppp [Device-luser-network-l2tpuser] quit #配置ISP域system对PPP用户采用本地验证。 [Device] domain system

华为路由器路由策略和策略路由配置与管理

路由策略和策略路由配置管理 一、路由策略简介 路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。 路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如： 1、控制路由的接收和发布 只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。 2、控制路由的引入 在一种路由协议在引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。 3、设置特定路由的属性 修改通过路由策略过滤的路由的属性，满足自身需要。 路由策略具有以下价值： 通过控制路由器的路由表规模，节约系统资源；通过控制路由的接收、发布和引入，提高网络安全性；通过修改路由属性，对网络数据流量进行合理规划，提高网络性能。 二、基本原理 路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中，路由策略的6种过滤器也能单独使用，实现路由过滤。若设备支持BGP to IGP功能，还能在IGP引入BGP路由时，使用BGP私有属性作为匹配条件。 图1 路由策略原理图 如图1，一个路由策略中包含N（N>=1）个节点（Node）。路由进入路由策略后，按节点序号从小到大依次检查各个节点是否匹配。匹配条件由If-match子句定义，涉及路由信息的属性和路由策略的6种过滤器。 当路由与该节点的所有If-match子句都匹配成功后，进入匹配模式选择，不再匹配其他节点。

匹配模式分permit和deny两种： permit：路由将被允许通过，并且执行该节点的Apply子句对路由信息的一些属性进行设置。 deny：路由将被拒绝通过。 当路由与该节点的任意一个If-match子句匹配失败后，进入下一节点。如果和所有节点都匹配失败，路由信息将被拒绝通过。 过滤器 路由策略中If-match子句中匹配的6种过滤器包括访问控制列表ACL（Access Control List）、地址前缀列表、AS 路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。 这6种过滤器具有各自的匹配条件和匹配模式，因此这6种过滤器在以下的特定情况中可以单独使用，实现路由过滤。 1、ACL ACL是将报文中的入接口、源或目的地址、协议类型、源或目的端口号作为匹配条件的过滤器，在各路由协议发布、接收路由时单独使用。在Route-Policy的If-match子句中只支持基本ACL。 2、地址前缀列表（IP Prefix List） 地址前缀列表将源地址、目的地址和下一跳的地址前缀作为匹配条件的过滤器，可在各路由协议发布和接收路由时单独使用。 每个地址前缀列表可以包含多个索引（index），每个索引对应一个节点。路由按索引号从小到大依次检查各个节点是否匹配，任意一个节点匹配成功，将不再检查其他节点。若所有节点都匹配失败，路由信息将被过滤。 根据匹配的前缀不同，前缀过滤列表可以进行精确匹配，也可以进行在一定掩码长度范围内匹配。 说明： 当IP地址为0.0.0.0时表示通配地址，表示掩码长度范围内的所有路由都被Permit或Deny。 3、AS路径过滤器（AS_Path Filter） AS路径过滤器是将BGP中的AS_Path属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 AS_Path属性记录了BGP路由所经过的所有AS编号。 4、团体属性过滤器（Community Filter） 团体属性过滤器是将BGP中的团体属性作为匹配条件的过滤器，在BGP发布、接收路由时单独使用。 BGP的团体属性是用来标识一组具有共同性质的路由。 5、扩展团体属性过滤器（Extcommunity Filter） 扩展团体属性过滤器是将BGP中的扩展团体属性作为匹配条件的过滤器，可在VPN配置中利用VPN Target区分路由时单独使用。 目前，扩展团体属性过滤器仅应用于对VPN中的VPN Target属性的匹配。VPN Target属性在BGP/MPLS IP VPN 网络中控制VPN路由信息在各Site之间的发布和接收。 6、RD属性过滤器（Route Distinguisher Filter） RD团体属性过滤器是将VPN中的RD属性作为匹配条件的过滤器，可在VPN配置中利用RD属性区分路由时单独使用。 VPN实例通过路由标识符RD实现地址空间独立，区分使用相同地址空间的前缀。 BGP to IGP功能 BGP to IGP功能使IGP能够识别BGP路由的Community、Extcommunity、AS-Path等私有属性。 在IGP引入BGP路由时，可以应用路由策略。只有当设备支持BGP to IGP功能时，路由策略中才可以使用BGP 私有属性作为匹配条件。如果设备不支持BGP to IGP功能，那么IGP就不能够识别BGP路由的私有属性，将导致匹配条件失效。

华为路由器静态路由配置命令

华为路由器静态路由配置命令 4.6.1 ip route 配置或删除静态路由。 [ no ] ip route ip-address { mask | mask-length } { interfacce-name | gateway-address } [ preference preference-value ] [ reject | blackhole ] 【参数说明】 ip-address和mask为目的IP地址和掩码，点分十进制格式，由于要求掩码32位中‘1’必须是连续的，因此点分十进制格式的掩码可以用掩码长度mask-length来代替，掩码长度为掩码中连续‘1’的位数。 interfacce-name指定该路由的发送接口名，gateway-address为该路由的下一跳IP地址（点分十进制格式）。 preference-value为该路由的优先级别，范围0~255。 reject指明为不可达路由。 blackhole指明为黑洞路由。 【缺省情况】 系统缺省可以获取到去往与路由器相连子网的子网路由。在配置静态路由时如果不指定优先级，则缺省为60。如果没有指明reject或blackhole，则缺省为可达路由。 【命令模式】 全局配置模式 【使用指南】 配置静态路由的注意事项： 当目的IP地址和掩码均为0.0.0.0时，配置的缺省路由，即当查找路由表失败后，根据缺省路由进行包的转发。 对优先级的不同配置，可以灵活应用路由管理策略，如配置到达相同目的地的多条路由，如果指定相同优先级，则可实现负载分担；如果指定不同优先级，则可实现路由备份。 在配置静态路由时，既可指定发送接口，也可指定下一跳地址，到底采用哪种方法，需要根据实际情况而定：对于支持网络地址到链路层地址解析的接口或点到点接口，指定发送接口即可；对于NBMA接口，如封装X.25或帧中继的接口、拨号口等，支持点到多点，这时除了配置IP路由外，还需在链路层建立二次路

迈普路由器配置手册 系统基础

InfoExpress IOS InfoExpress l l l l 1.1 l console shell l 56/336modem LINE l Telnet l SNMP console 56/336modem LINE Telnet SNMP 1.2 InfoExpress IOS shell l l l Console Telnet l shell

InfoExpress IOS Shell l user EXEC l privileged EXEC l global configuration l interface configuration l router configuration l file system configuration l access list configuration l voice-port configuration l dial-peer configuration l crypto transform-set configuration l crypto map configuration l IKE isakmp configuration l pubkey-chain configuration l pubkey-key configuration l DHCP dhcp configuration 1-1 1-1 InfoExpress Lo en co in ro um

IP phone E1 filesystem router(config-fs)# exit ip access-list router(config-std-nacl)# cl)# voice-port ro rt) dial-peer router(config-dial-peer )# exit V oIP POTS crypto ipsec transform-set router(cfg-crypto-trans )# exit crypto map router(cfg-crypto-map) # exit IKE crypto isakmp router(config-isakmp)# crypto key pubkey-chain rsa router(config-pubkey-c hain)# exit RSA

华为AR1220路由器配置参数实际应用实例解说一

华为AR1220路由器配置参数实际应用实例解说一 1. 配置参数 [GZ]dis cu [V200R001C00SPC200] //路由器软件版本，可从官方网站下载 # sysname GZ //路由器名字GZ ftp server enable //ftp 服务开通以便拷贝出配置文件备份 # voice # http server port 1025 //http undo http server enable # drop illegal-mac alarm # l2tp aging 0 # vlan batch 10 20 30 40 50 //本路由器设置的VLAN ID # igmp global limit 256 # multicast routing-enable //开启组播 #

dhcp enable //全局下开启DHCP服务然后在各VLAN上开启单独的DHCP # ip vpn-instance 1 ipv4-family # acl number 2000 rule 10 permit # acl number 2001 //以太网访问规则列表。 rule 6 permit source 172.23.68.0 0.0.0.255 //允许此网段访问外网 rule 7 permit source 172.23.69.0 0.0.0.255 //允许此网段访问外网 rule 8 permit source 172.23.65.0 0.0.0.3 //允许此网段的前三个IP访问外网rule 9 deny //不允许其他网段访问外网 # acl number 3000 //此规则并未应用 rule 40 permit ip source 172.23.65.0 0.0.0.255 destination 172.23.69.0 0.0.0.25 5 # acl number 3001//定义两个网段主机互不访问，学生不能访问65网段。 rule 5 deny ip source 172.23.65.0 0.0.0.255 destination 172.23.68.0 0.0.0.255 rule 10 deny ip source 172.23.68.0 0.0.0.255 destination 172.23.65.0 0.0.0.255 # aaa //默认视图窗口定义本地登录帐号和密码

H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath系列防火墙IPSec典型配置举例 关键词：IKE、IPSec 摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。 缩略语： 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP

目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一：基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二：与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)

三层交换机与路由器的配置_实例(图解)

三层交换机与路由器的配置实例（图解） 目的：学会使用三层交换与路由器让处于不同网段的网络相互通信 实验步骤：一：二层交换机的配置： 在三个二层交换机上分别划出两VLAN，并将二层交换机上与三层交换或路由器上的接线设置为trunk接口 二：三层交换机的配置： 1：首先在三层交换上划出两个VLAN，并进入VLAN为其配置IP，此IP将作为与他相连PC的网关。 2：将与二层交换机相连的线同样设置为trunk接线，并将三层交换与路由器连接的线设置为路由接口（no switchsport） 3：将路由器和下面的交换机进行单臂路由的配置 实验最终结果：拓扑图下各个PC均能相互通信

交换机的配置命令： SW 0: Switch> Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 Switch(config-if)#no shut Switch(config-if)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)#exit Switch(config)# SW 1: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#int f0/2 Switch(config-if)#switchport access vlan 2 % Access VLAN does not exist. Creating vlan 2 Switch(config-if)#no shut Switch(config-if)#exit Switch(config)#int f0/3 Switch(config-if)#switchport mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/3, changed state to up Switch(config-if)# SW 2: Switch>en Switch#conf Configuring from terminal, memory, or network [terminal]?

华为策略路由配置实例

华为策略路由配置实例 1、组网需求 ?????????????????图1?策略路由组网示例图 ????公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。 2、配置思路 1、创建VLAN并配置各接口，实现公司和外部网络设备互连。 2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。 3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。 5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。 3、操作步骤 3.1、创建VLAN并配置各接口 #?在Switch上创建VLAN100和VLAN200。 ?system-view [HUAWEI]?sysnameSwitch [Switch]?vlanbatch100200 #?配置Switch上接口GE1/0/1、GE1/0/2和GE2/0/1的接口类型为Trunk，并加入VLAN100和VLAN200。 [Switch]?interfacegigabitethernet1/0/1 [Switch-GigabitEthernet1/0/1]?portlink-typetrunk [Switch-GigabitEthernet1/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/1]?quit

[Switch]?interfacegigabitethernet1/0/2 [Switch-GigabitEthernet1/0/2]?portlink-typetrunk [Switch-GigabitEthernet1/0/2]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet1/0/2]?quit [Switch]?interfacegigabitethernet2/0/1 [Switch-GigabitEthernet2/0/1]?portlink-typetrunk [Switch-GigabitEthernet2/0/1]?porttrunkallow-passvlan100200 [Switch-GigabitEthernet2/0/1]?quit 配置LSW与Switch对接的接口为Trunk类型接口，并加入VLAN100和VLAN200。#?创建VLANIF100和VLANIF200，并配置各虚拟接口IP地址。 [Switch]?interfacevlanif100 [Switch-Vlanif100]?ipaddress24 [Switch-Vlanif100]?quit [Switch]?interfacevlanif200 [Switch-Vlanif200]?ipaddress24 [Switch-Vlanif200]?quit 3.2、配置ACL规则 #?在Switch上创建编码为3001、3002的高级ACL，规则分别为允许IP优先级0、1、2、3和允许IP优先级4、5、6、7的报文通过。 [Switch]?acl3001 [Switch-acl-adv-3001]?rulepermitipprecedence0 [Switch-acl-adv-3001]?rulepermitipprecedence1 [Switch-acl-adv-3001]?rulepermitipprecedence2

华为路由器dhcp简单配置实例

华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途：给内部网络或网络服务供应商自动分配IP地址，给用户或者内部网络管理员作为对所有计算机作中央管理的手段，在RFC 2131中有详细的描述。DHCP有3个端口，其中UDP67和UDP68为正常的DHCP 服务端口，分别作为DHCP Server和DHCP Client的服务端口；546号端口用于DHCPv6 Client，而不用于DHCPv4，是为DHCP failover服务，这是需要特别开启的服务，DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议，主机发送请求消息到DHCP服务器的67号端口，DHCP服务器回应应答消息给主机的68号端口，DHCP的IP地址自动获取工作原理及详细步骤如下： 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文，所有的DHCP Server都会给出响应，向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址，且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文，一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文，在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后，判断选项字段中的IP地址是否与自己的地址相同。如果不相同，DHCP Server不做任何处理只清除相应IP地址分配记录；如果相同，DHCP Server就会向DHCP Client响应一个DHCP ACK 报文，并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后，检查DHCP Server分配的IP地址是否能够使用。如果可以使用，则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程；如果DHCP Client发现分配的IP地址已经被使用，则DHCP Client向DHCPServer发出DHCP Decline报文，通知DHCP Server禁用这个IP地址，然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后，随时可以通过发送DHCP Release报文释放自己的IP地址，DHCP Server收到DHCP Release报文后，会回收相应的IP地址并重新分配。

实验三路由器基本配置

上机报告 姓名学号专业 班级 计科普1002 课程 名称 网络系统集成 指导教师机房 名称 （I520） 上机 日期 2012 年10 月26 日 上机项目名称实验三：路由器基本配置 上机步骤及内容： 实验目的 1．使用路由器配置静态路由、RIP协议、OSPF协议。掌握使用相应协议实现路由选择的方法。 2．通过在路由器上使用相关的检查和排错命令学习如何维护和分析RIP协议、OSPF 协议。 3．通过RIPv1和RIPv2配置过程的不同体会两者在实际使用上的差别。 实验要求 1．在路由器上配置静态路由、缺省路由； 2．配置RIP协议；配置OSPF协议； 3．掌握路由器接口配置，测试网络连通性； 4．理解每一步实验的作用，把实验的每一步所完成的任务详细地叙述清楚，并记录在实验报告上； 5．实验结束后上缴实验报告 实验仪器设备和材料清单 1．具备两个以太网端口的路由器三台，交换机两台； 2．两台具备以太网接口的PC机，分别连接路由器的内外网口，路由器端口、PC的IP地址可自己分配和设置 3．路由器拓扑结构成环状或线性连接； 4. 实验组网图。

图实验组网图 实验内容 1．完成路由器的基本端口配置，静态路由，缺省路由配置； 2．RIPv2协议配置； 3. OSPF协议配置； 4．通过在路由器上使用相关的检查和排错命令学习如何维护和分析RIP协议、OSPF 协议。 实验步骤 1．作路由器的端口IP地址配置，代码如下： 路由器r1 [H3C]sysname r1 [r1]int e0/1 [r1-Ethernet0/1]ip add 24 [r1-Ethernet0/1] %Oct 28 16:55:42:805 2012 r1 IFNET/4/UPDOWN: Line protocol on the interface Ethernet0/1 is UP [r1-Ethernet0/1]int e0/0 [r1-Ethernet0/0]ip add 24 路由器r2 [H3C]sysname r2 [r2]int e0/1 [r2-Ethernet0/1]ip add 24 [r2-Ethernet0/1] %Oct 28 16:40:33:465 2012 r2 IFNET/4/UPDOWN: Line protocol on the interface Ethernet0/1 is UP [r2-Ethernet0/1]int e0/0

C路由器配置实例

C路由器配置实例 Document serial number【NL89WT-NY98YT-NC8CB-NNUUT-NUT108】

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（Ethernet0/0）： [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0.0 外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词：MSR;console; 一、组网需求： 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。

路由基础配置命令

路由基础配置命令UTP双绞线类型： 直通线： 交叉线： 广域网线缆连接类型： DTE： DCE: 时钟速率： 路由器的接口：（作用） 1. 广域网接口: serial 2. 内网接口： fastethernet 3. 管理接口： console （控制台） AUX(备份) 连接两个设备： 1. 物理连接 2. 逻辑连接 配置网络设备： 1. 管理属性：用户名密码描述警告 2. 协议地址：IP IPX 3. 协议策略：vlan 静态访问控制 交换机直接可以应用 路由器需要初始配置才能应用 设备启动过程： 1. 加电自检 2. 查找加载操作系统 3. 查找加载配置文件 配置网络设备方式： 1. 初始配置：console 2. 初始配置后通过interface（拥有ip地址的接口）： 1）telnet 2）TFTP 3）WEB 4）网络管理工具： SNA SDM 配置直接应用到内存

登陆路由器： Router> Router>enable /*进入特权模式 Router# Router#disable /*退出特权模式 Router> Router>logout /*退出路由器 Router>exit /*退出路由器 路由器IOS帮助功能：？的三个用法 1/ 直接问号 2/ Router#cl? clear clock Router#cl 3/ Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock 问号的帮助功能：（查找路由器设置时间的命令并设置时间） Router#cl? clear clock Router#clock % Incomplete command. Router#clock ? set Set the time and date Router#clock set % Incomplete command. Router#clock set ? hh:mm:ss Current Time Router#clock set 11:04:50 % Incomplete command. Router#clock set 11:04:50 ? <1-31> Day of the month MONTH Month of the year Router#clock set 11:04:50 15

IPSec配置案例

防火墙产品典型组网配置指导及使用注意事项 ike sa keepalive-timer interval 30 ike sa keepalive-timer timeout 90 1 IPSEC 建立点到点SA 配置采用IKE 方式建立SA, IKE自动协商方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护安全联盟。当与Eudemon 进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置安全联盟是可行的,但不推荐。对于小、中、大型的动态网络环境中，我们都推荐使用IKE协商建立安全联盟。第一节介绍点到点网络结构,使用IKE建立SA的典型配置 1.1 组网图 图1IKE点到点网络典型组网图 1.2 组网需求 ●PC1与PC2之间进行安全通信，在FWA与FWB之间使用IKE自动协 商建立安全通道。 ●在FWA和FWB上均配置序列号为10的IKE提议。 ●为使用pre-shared key验证方法的提议配置验证字。 ●FWA与FWB均为固定公网地址 1.3 适用产品、版本 设备型号：Eudemon100/100S/200/200S, Eudemon300/500/1000, USG50/3000/5000 实验设备: FWA Eudemon500 FWB Eudemon200

软件版本：V2R1及以上实验版本Eudemon500 V200R006C02B059 Eudemon200 V200R001B01D036 1.4 配置思路和步骤 1）防火墙基本配置,包括IP地址,安全域 2）配置公网路由, 一般情况下,防火墙上配置静态路由 3）定义用于包过滤和加密的数据流 4) 域间通信规则 5）配置IPSec安全提议 6) 配置IKE提议 7) 配置IKE Peer 8) 配置安全策略 9) 引用安全策略 1.5 配置过程和解释（关键配置） 配置FWA: 1）配置到达PC2的静态路由 [FWA]ip route-static 0.0.0.0 0.0.0.0 200.0.0.2 2）定义用于包过滤和加密的数据流 [FWA]acl 3000 [FWA-acl-adv-3000]rule permit ip source 10.0.0.0 0.0.0.255 destination 10.0.1.0 0.0.0.255 [FWA-acl-adv-3000]quit [FWA]acl 3001 [FWA-acl-adv-3001]rule permit ip source 10.0.1.0 0.0.0.255 [FWA-acl-adv-3001]quit 3）配置trust与untrust域间包过滤规则 [FWA]firewall interzone trust untrust [FWA-interzone-trust-untrust]packet-filter 3000 outbound [FWA-interzone-trust-untrust]packet-filter 3001 inbound

华为AR1200 路由器策略路由配置

华为AR1200 路由器策略路由配置 [Huawei]display current-configuration [V200R007C00SPC900] # drop illegal-mac alarm # l2tp enable # ipv6 # ip load-balance hash src-ip # dns resolve dns server 219.141.136.10 dns server 219.141.140.10 dns proxy enable # vlan batch 2 # dhcp enable #

pki realm default enrollment self-signed # ssl policy default_policy type server pki-realm default # aclnumber 2999 rule 5 permit source 172.16.10.0 0.0.1.255 # acl number 3000 1;创建用于策略路由的ACL rule 5 permit ip source 192.168.1.0 0.0.0.255 acl number 3001 用于策略路由及默认路由两个网段之间互通的ACL rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.1 0 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 172.16.10.0 0.0.1.255 # traffic classifier 2 operator or 2;创建traffic classifier 匹配acl两个网段互通 if-match acl 3001 traffic classifier 1 operator or创建traffic classifier 匹配acl策略路由 if-match acl 3000 # traffic behavior 2 3创建流行为网段互通不做任何行为

华为 浮动静态路由路径备份配置实例

华为浮动静态路由路径备份配置实例 作者：救世主220 实验日期：2015.7.3 实验拓扑如下： AR1配置： [AR1]dis current-configuration [V200R003C00] # sysname AR1 # interface GigabitEthernet0/0/0 ip address 100.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/1 ip address 10.0.21.1 255.255.255.0 # interface LoopBack0 ip address 1.1.1.1 255.255.255.0 ospf network-type broadcast # ospf 1 router-id 1.1.1.1 import-route direct area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 10.0.21.1 0.0.0.0 # ip route-static 3.3.3.0 255.255.255.0 100.1.1.2 preference 10 ip route-static 10.0.23.0 255.255.255.0 100.1.1.2 preference 10

注意：AR1上g0/0/0 断开前后AR1路由表变化 AR2配置： [AR2]dis current-configuration [V200R003C00] # sysname AR2 # interface GigabitEthernet0/0/0 ip address 100.1.1.2 255.255.255.0 #