2023年12月23日发(作者:)
PPP-C#conf t
PPP-C(config)#vpdn enable //启用路由器的虚拟专用拨号网络---vpnd 由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VPDN的功能
PPP-C(config)#int e1/0 // 路由器内网接口
PPP-C(config-if)#no shut
PPP-C(config-if)#ip add 192.168.0.1 255.255.255.0
PPP-C(config-if)#ip nat inside
PPP-C(config)#int f0/0 //与ADSL model连接的端口
PPP-C(config-if)#no ip add
PPP-C(config-if)#no shut
PPP-C(config-if)#pppoe enable
PPP-C(config-if)#pppoe-client dial-pool-number 100 // 将以太接口的pppoe拨号客户端加入拨号池 100
虚拟拨号接口
PPP-C(config)#int dialer 0 //配置虚拟拨号接口 0 ,类似于xp中建立的拨号连接
PPP-C(config-if)#ip address negotiated //协商获得ip地址
PPP-C(config-if)#ip mtu 1492 //适用于ADSL线路,原始大小是1500 ,1492=1500-pppoe header
PPP-C(config-if)#no shut
PPP-C(config-if)#encapsulation ppp //协议类型为ppp
PPP-C(config-if)#ppp authentication chap pap callin //验证方式采用chap和pap,方式取决于服务器方,二者前后位置可以调换
PPP-C(config-if)#ppp chap hostname cisco //设置chap 账号
PPP-C(config-if)#ppp chap password cisco //设置chap 密码
PPP-C(config-if)#ppp pap sent-username cisco password cisco //只是是采用pap验证,上面关于chap的不需要设置
PPP-C(config-if)#dialer pool 100 // 该接口使用100号拨号池进行拨号,应该与上面理接口f0/0
pppoe-client dial-pool-nuber 号码一致
PPP-C(config-if)#ppp ipcp dns request //客户端dns采用服务器上预先设置的,也可以手动设置固定ip地址:202.98.96.68
PPP-C(config-if)#ip nat outside //设置内部接口和dialer 0 的PAT
PPP-C(config)#access-list 1 permit 192.168.0.0 0.0.0.255
PPP-C(config)#ip nat inside source list 1 interface dialer 0 overload
PPP-C(config)#service dhcp
PPP-C(config)#ip dhcp pool nat-ip //配置作用域
PPP-C(dhcp-config)#network 192.168.0.0 255.255.255.0 //地址范围
PPP-C(dhcp-config)#default-router 192.168.0.1 // 默认网关
PPP-C(dhcp-config)#dns-server 10.0.0.2 //DNS服务器
PPP-C(dhcp-config)#lease 1 //租期1天
PPP-C(config)#ip dhcp excluded-address 192.168.0.2 192.168.0.15 //指定保留的ip地址
PPP-C(config)#ip route 0.0.0.0 0.0.0.0 dialer 0 //配置内部到远端的缺省路由
远程接入专题的最后我们介绍时下在个人用户和小企业中非常流行的ADSL拨号方式的配置方法。
配置命令:
config t 进入路由器配置模式
vpdn enable 启用VPDN
no vpdn logging 由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VPDN的功能。
vpdn-group pppoe 为PPPoE启动VPDN的进程
request-dialin
protocol pppoe
设置拨号协议为PPPoE
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
设置公司内部网络地址
ip nat inside 启用NAT转换,设置Fa0端口为内部网络,从内部网络收到数据的源地址转换为公网地址
interface ATM0 设置ADSL接口
no ip address 由于一般是自动获得IP地址所以不要设置IP
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
interface ATM0.1 point-to-point
由于ADSL的通讯依靠VC,所以必须设定点到点VC。
pvc 8/35 设置PVC的相关参数,即VCI和VPI的值,如果你不清楚可以问当地电信。
pppoe-client dial-pool-number 1 PPPoE拨号进程使用了常规的拨号进程dial-pool 1
interface Dialer1 建立一个虚拟拨号端口
ip address negotiated 由于局端提供动态地址,所以这里设定地址为自动协商获得,而不是手动设置。
ip mtu 1492 修改mtu值以适用于ADSL网络,默认为1500我们要修改为1492,这点要特别注意,不修改有可能出现丢包现象。
ip nat outside 启用NAT转换,设置外网端口为外部网络
encapsulation ppp 使用PPP的帧格式
dialer pool 1
ppp authentication pap callin
设置拨号的验证方式为pap而不是chap
ppp pap sent vip pass vip 发送用户名和密码,ADSL的拨号用户名为VIP,密码也为VIP,这里按照实际填写。
ip nat inside source list 1 interface Dialer1 overload 设置了NAT的转换方式,使用了dialer 1端口的动态地址
ip classless 无类IP识别子网
ip route 0.0.0.0 0.0.0.0 dialer1 添加一条缺省路由将所有不可路由的数据报转发给ADSL线路。
no ip http server
access-list 1 permit 10.92.1.0 0.0.0.255
设置ACL供NAT转换时进行过滤
总结:设置完毕后我们就可以通过路由器启用PPPOE连接ADSL了,这种方便简单廉价的上网方式为我们工作学习带来了巨大的帮助。
#p#
列表A可以查看我的配置实例。
ciscotermserver#sh run
Current configuration : 2656 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ciscots
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
!
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX
no aaa new-model
ip subnet-zero
no ip domain lookup
ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19
ip host pix 2012 10.253.100.19
ip host gig_switch2 2006 10.253.100.19
ip host dbunbii 2003 10.253.100.19
ip host up_switch1 2004 10.253.100.19
ip host gig_switch1 2005 10.253.100.19
ip host core 2002 10.253.100.19
ip host ras 2011 10.253.100.19
ip host router8 2009 10.253.100.19
ip host up_stack1 2007 10.253.100.19
!
!
!
!
interface Ethernet0
ip address 10.253.100.19 255.255.0.0
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
no ip http server
no ip classless
!
!
!
!
line con 0
line 1
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 2
session-timeout 30
location CORE
exec-timeout 0 0
no exec
transport input telnet
line 3
session-timeout 30
location DBUNBII
exec-timeout 0 0
no exec
transport input telnet
line 4
session-timeout 30
location UP_SWITCH1
exec-timeout 0 0
no exec
transport input telnet
line 5
session-timeout 30
location GIG_Switch4
exec-timeout 0 0
no exec
transport input telnet
line 6
session-timeout 30
location GIG_SWITCH2
exec-timeout 0 0
no exec
transport input telnet
line 7
session-timeout 30
location UP_STACK1
exec-timeout 0 0
no exec
transport input telnet
line 8
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 9
session-timeout 30
location ROUTER8
exec-timeout 0 0
no exec
transport input telnet
line 10
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 11
session-timeout 30
location RAS
exec-timeout 0 0
no exec
transport input telnet
speed 38400
line 12
session-timeout 30
location PIX
exec-timeout 0 0
no exec
transport input telnet
line 13
session-timeout 30
location DMZ_SWITCH
exec-timeout 0 0
no exec
transport input telnet
line 14
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 15
session-timeout 30
location GIG_SWITCH3
exec-timeout 0 0
no exec
transport input telnet
line 16
session-timeout 30
location INTERNET
exec-timeout 0 0
no exec
transport input telnet
line aux 0
line vty 0 4
exec-timeout 60 0
login local
!
end
ciscotermserver#
#p#
管理多个连接
在Telnet到控制台服务器并连接到这些设备后,你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。
按照如下步骤进行操作:
1、在命令行中输入主机名称,即使用一个IP主机Telnet到你已经配置过的设备上。这是1号连接。
2、在没有断开连接的情况下回到命令行,按下[Ctrl]+[Shift]+6,然后按下x。这将显示控制台服务器提示符。
3、在这里,你就可以通过从ip主机列表中键入其主机名称来Telnet到另一设备。这是2号连接。
4、一旦连接到了该路由器,再次按下[Ctrl]+[Shift]+6,还有x。这将返回到控制台提示符。
5、输入show sessions。该命令将列出你的当前会话。例如,你有了两个会话:一个到第一台路由器,一个到第二台。如果要取消其中某个会话,你可以输入
disconnect X,其中X即为连接号码(例如1或2)。
6、要转到某个会话,输入session number(同样,1或2)即可。如果在空命令行中直接回车也可以把你带回到上一个session。
注意:当你尝试在ip host命令中输入所赋予名称来回到已有的一个会话中,系统将返回"Connection refused by remote host.", 这表明要么你已经有了一个连接,要么有其他人已经连接到控制端口上了。
平衡易用性和安全性
需要牢记,安全性和易用性始终是一对矛盾。就像对机场而言,越安全,则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。
有时你会把所有的鸡蛋放在一个篮子里面——在这样的情况下,所有到核心网络设备的访问都是连接到相同的控制台服务器上的——这时安全是头等大事。你 应当始终为所有网络设备设置控制台密码。如果入侵者获取了控制台服务器的访问权限,他将仅仅能够访问没有设置控制台认证的设备。
此外,你还应当对这些服务器的控制端口设置超时。这样一来如果连接断开,那么控制台将会在几秒中内注销登录信息。
或许你在考虑如果网络崩溃了你如何才能Telnet到控制台服务器,这的确是应该想到的。你可以在控制台服务器安装一个拨号调制解调器,在最坏的情 况下通过这一设备远程拨号到控制台服务器上。另一方面,全世界的安全管理专家都会谴责这一解决方案。因为尽管它或许很方便,但它使得你的核心网络设备对全 世界所有的拨号黑客们大开城门。
最后,需要记住在网络上的任何Telnet通信都是没有加密的。因此,在本例中我们在网络上所传输的核心网络设备用户名和密码都是明文。但你可以使 用SSH而非Telnet来完成相同的工作。同时还要强调一次,你需要根据企业的具体需要来在易用性和安全性之间找出一个平衡点。
实例
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable password 12345
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool ABC
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 202.96.134.133 202.96.128.166 192.168.1.1
!
!
!
!
!
!
interface FastEthernet0/0
no ip address
duplex half
speed 10
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication pap callin
**************************************************!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip http server
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 12345
login
!
scheduler allocate 20000 1000
!
end
发布评论