Embed Size (px)
Citation preview
WH34890 0605 Printed in Japan
Network Equipment
Rev.8.03, Rev.9.00, Rev.10.01
Netw
ork Equipm
ent
2 序言
序言
本設置範例集簡潔地說明了 YAMAHA 路由器的硬件安裝結束后的設置。
關于設置和操作命令的詳細內容,請參照命令參考。
◆ 禁止擅自轉載本書所記載的部分或全部內容。
◆ 本書所記載內容變更時,恕不另行通知。
◆ 本公司對使用本設備后導致的信息消失等損失恕不負責。
本公司的產品保證僅限于本產品的物品損害,請事先諒解!
◆ 本公司在編製本書時,力求盡善盡美,如有說明遺漏或不恰當的內容,請通知本公司。
●關于通信費用將本機用作撥號路由器時,請認真理解了自動轉發信息的功能后再使用。將本機與計算機和 LAN 連接時,本機會監控流經計算機或
LAN 上的數據的流向,按照本機中設置的內容,自動向線路轉發信息。因此,在設置錯誤、忘記斷開線路、軟件定期轉發數據包等情
況下,會發生意想不到的線路使用費和服務提供商(ISP)的網絡服務費。在下面這些情況下,請隨時注意查看通信記錄,是否有無
意識的撥號連接。
○開始使用時
○更改了本機的設置時
○更改對服務提供商 (ISP)等的連接方式和通信速度 (MP 等),更改了通信公司提供的通信服務的使用方式時
○在計算機裡安裝了新軟件時
○在網絡上連接了新計算機、網絡設備和設備等時
○更新了本機的固件時
○進行了與以往不同的操作,感覺到不同的通信速度的響應時等等
本公司對因為本設備的使用不當和設置錯誤造成的所有損失不承擔任何責任,請事先諒解!
‧Ethernet 是美國施樂公司的註冊商標。
‧Apple、Macintosh、MacOS 是美國 Apple 公司的註冊商標及商標。
‧Microsoft、Windows 是美國微軟公司在美國及其他國家的註冊商標。
‧NetWare 是美國 Novell,Inc. 的註冊商標。
使用手冊的說明
注意
關于商標
序言 3
序言 ................................................................................... 2
1. 命令的使用方法 ....................................................................... 71.1 控制台..............................................................................................7
1.2 幫助功能............................................................................................8
1.2.1 控制台使用概要的顯示 (help 命令的執行).............................................................8
1.2.2 命令名稱一覽的顯示..................................................................................8
1.3 控制台的設置步驟....................................................................................8
1.3.1 從開始設置到結束....................................................................................8
1.3.2 使設置恢復默認值的方法.............................................................................10
2. IP 設置範例.......................................................................... 112.1 使用 ISDN 線路連接 LAN (PP 側是靜態路由)............................................................12
2.2 使用 ISDN 線路 MP 連接 LAN (PP 側是靜態路由).........................................................14
2.3 使用 ISDN 線路連接 LAN (PP 側使用 RIP2 協議).........................................................16
2.4 使用 ISDN 線路連接 3 個地點..........................................................................18
2.5 用默認路由連接.....................................................................................20
2.6 用免費撥號連接.....................................................................................21
2.7 使用 CALLBACK 連接 ISDN 線路.........................................................................23
2.8 用 Proxy ARP 使遠程的 LAN 看起來在同一網段 (主機路由)...............................................25
2.9 用 Proxy ARP 使遠程的 LAN 看起來在同一網段...........................................................27
2.10 與終端型設備(TA、ISDN 端口等)的連接..............................................................31
2.11 與終端型設備(TA、ISDN 端口等)的連接 (不特定對象)................................................33
2.12 採用 IP 偽裝 (IP Masquerade)功能的終端型撥號 IP 連接 ...............................................35
3. IP 過濾設置範例...................................................................... 373.1 只轉發來自特定網絡的數據包.........................................................................38
3.2 不轉發到達特定網絡的數據包.........................................................................39
3.3 只接收來自特定網絡的數據包.........................................................................40
3.4 不接收到達特定網絡的數據包.........................................................................41
3.5 只有 Established 能夠通信...........................................................................42
3.6 只有 SNMP 數據包能夠通信............................................................................43
3.7 只有 TELNET 數據包能夠雙向通信......................................................................44
3.8 拒絕來自外部的 PING 命令............................................................................45
3.9 只能進行單方向的 FTP 通信...........................................................................46
3.10 使用 RIP 協議時,不讓特定的路由信息通過.............................................................47
3.11 連接因特網,限制來自外部的連接(有 barrier segment)...............................................48
3.12 連接因特網,限制來自外部的連接(無 barrier segment)...............................................50
3.13 應對 ip spoofing 攻擊、land 攻擊和 smurf 攻擊 ........................................................52
4. 動態過濾 ............................................................................ 534.1 只允許向 PP 側轉發來自特定網絡的 TCP/UDP 數據包,並允許來自 PP 側的應答數據包進入.....................54
4.2 允許向 PP 側轉發來自內部特定網絡的所有數據包。特定外部的 DNS/ 郵件服務器.............................55
4.3 對 PP 側轉發所有數據包,讓來自 PP 側的內部對外部服務器建立的控制連接的數據包,
和之后的兩個數據連接的數據包通過...................................................................57
4.4 連接因特網,限制來自外部的訪問(有 barrier segnment)..............................................58
4.5 連接因特網,限制來自外部的訪問(無 barrier segment)...............................................60
5. 動態過濾之 2 (檢測非法訪問)......................................................... 635.1 檢測由 PP 接口轉發至內部的通信引起的非法入侵和攻擊..................................................63
5.2 檢測由 PP 接口轉發到內部的通信引起的非法入侵和攻擊,並且丟棄非法數據包..............................63
5.3 檢測由 PP 接口轉發到內部的通信引起的與 FTP/SMTP 有關的非法入侵和攻擊等的檢測.........................63
目錄
4 序言
6. PAP/CHAP 的設置 ......................................................................656.1 某一方使用 PAP 時...................................................................................66
6.2 兩側都使用 PAP 時...................................................................................67
6.3 某一方使用 CHAP 時..................................................................................67
6.4 兩側都使用 CHAP 時..................................................................................68
7. DHCP 功能設置範例 ....................................................................697.1 只在本地網絡使用 DHCP 服務器功能....................................................................70
7.2 在兩個網絡中使用 DHCP 功能..........................................................................72
7.3 從 DHCP 服務器獲取 WAN 側地址 (使用 IP 偽裝 (IP Masquerade)功能)...................................75
7.4 從 DHCP 服務器獲取 PP 遠程側地址.....................................................................76
8 . DHCP 功能設置範例 ...................................................................798.1 僅在本地網絡使用 DHCP 服務器功能....................................................................80
8.2 在兩個網絡中使用 DHCP 功能..........................................................................82
8.3 從 DHCP 服務器獲取 WAN 端地址 (使用 IP 地址掩蓋).....................................................85
8.4 從 DHCP 服務器獲取 PP 遠端地址.......................................................................86
9. IPsec 功能設置範例 ...................................................................899.1 用隧道模式連接 LAN .................................................................................90
9.2 用傳輸模式.........................................................................................93
9.3 撥號 VPN ...........................................................................................96
10. 本地路由器功能設置範例 .............................................................10110.1 連接兩個 LAN (僅限于 TCP/IP)......................................................................102
10.2 用 128kbit/s 數字專線連接兩個 LAN 和服務提供商 (ISP)...............................................103
11. NAT 描述符設置範例 .................................................................10511.1 用動態 NAT 連接兩個 LAN ............................................................................106
11.2 用靜態 NAT 連接兩個 LAN ............................................................................108
11.3 用 IP 偽裝 (IP Masquerade)連接兩個 LAN............................................................110
11.4 組合使用動態 NAT 和動態 IP 偽裝(IP Masquerade)....................................................112
11.5 用 IP 偽裝 (IP Masquerade)連接 primary 與 secondary ................................................114
12. OSPF 設置範例 ......................................................................11512.1 用 PPP 連接屬于主幹區域的兩個節點..................................................................116
12.2 用 PPP 連接處于不同區域的兩個節點..................................................................118
12.3 用 FR 連接多個節點.................................................................................120
12.4 靜態路由與 RIP 協議的組合使用......................................................................123
13. IPv6 設置範例 ......................................................................12513.1 IPv6LAN 間連接 (靜態路由設置、ISDN)..............................................................126
13.2 IPv6LAN 間連接 (動態路由設置、專線)..............................................................128
13.3 IPv6 over IPv4 隧道傳輸 ...........................................................................130
14. VRRP(Virtual Router Redundancy Protocol) 設置範例 ..................................13414.1 用 VRRP 協議建立兩台路由器的冗余結構...............................................................135
14.2 用 VRRP 協議建立兩台路由器的冗余結構(關機觸發)...................................................138
14.3 VRRP+IPsec ........................................................................................142
15. 多宿主連接 (Multihoming)設置範例 .................................................14915.1 多宿主連接 (Multihoming)(專線 128k+ 專線 64k)....................................................150
15.2 多宿主連接 (Multihoming)(ISDN+ISDN)............................................................152
16. 優先 / 帶寬控制的設置範例 ...........................................................15416.1 優先控制(優先特定主機的數據包)..................................................................155
16.2 優先控制(優先使用特定端口的數據包)..............................................................157
16.3 帶寬控制(為特定主機的數據包保證帶寬)............................................................159
16.4 帶寬控制(為使用特定協議的數據包保證帶寬)........................................................161
16.5 使用 PPPoE 線路時的優先控制........................................................................163
16.6 使用 PPPoE 線路時的帶寬控制........................................................................165
16.7 使用 IPsec 的 VPN 環境中的優先控制..................................................................167
16.8 使用 IPsec 的 VPN 環境中的帶寬控制..................................................................170
序言 5
17. BGP 設置範例....................................................................... 17317.1 BGP 和 RIP 的組合 ..................................................................................174
17.2 BGP 和 OSPF 的組合 .................................................................................175
17.3 用 VRRP 復用.......................................................................................176
17.4 用 ISDN 備份.......................................................................................178
18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接).................................... 18018.1 終端型連接........................................................................................181
18.2 網絡型連接........................................................................................183
18.3 用 ISDN 終端型連接備份 PPPoE 終端型連接.............................................................185
18.4 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡..........................................................187
18.5 由私有 IP 地址構成 LAN 側網絡.......................................................................190
18.6 由全球 IP 地址構成 LAN 側網絡.......................................................................192
18.7 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡..........................................................194
18.8 由私有 IP 地址構成 LAN 側網絡.......................................................................196
18.9 由全球 IP 地址構成 LAN 側網絡.......................................................................198
18.10 將 DMZ 端口用作服務器公開網段......................................................................200
18.11 在兩個網關中運用..................................................................................201
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 ........................................ 20319.1 進行 VPN 連接的節點全部分配了固定 IP 地址時.........................................................204
19.2 只有 VPN 的中心點分配了固定 IP 地址時...............................................................206
19.3 與因特網連接並存 (使用固定 IP 地址)...............................................................208
19.4 在撥號 VPN 中與因特網連接並存......................................................................210
19.5 在撥號 VPN 環境中,要進行中心到分支機構的通信時....................................................212
20. 用備份線路對通信中斷進行自動復原的設置範例 ........................................ 21420.1 用 ISDN 線路實現 ADSL 接入的 VPN 隧道的備份..........................................................215
20.2 使用 VRRP、OSPF 的 ISDN 線路備份....................................................................217
20.3 使用 VRRP、RIP 的 ISDN 線路備份.....................................................................220
20.4 用 ISDN 線路實現因特網 VPN 的備份...................................................................223
20.5 用因特網 VPN 實現因特網 VPN 的備份..................................................................227
20.6 用因特網 VPN 實現因特網 IP-VPN 的備份...............................................................232
20.7 用因特網 VPN 實現廣域以太網的備份..................................................................236
20.8 用因特網 VPN 實現因特網 VPN 的備份 (使用 1 台中心路由器)............................................239
20.9 用 ISDN 線路實現隧道備份...........................................................................244
20.10 用因特網 VPN 實現隧道備份..........................................................................246
20.11 用 VRRP 和因特網 VPN 實現隧道備份...................................................................249
21 .使用了 PPTP 的因特網 VPN 環境的設置範例 ............................................. 25321.1 遠程訪問 VPN 連接的設置範例........................................................................254
21.2 LAN 之間連接 VPN 的設置範例(通過 PPPoE 連接因特網時)..............................................256
21.3 LAN 之間連接 VPN 的設置範例(通過 CATV 連接因特網時)...............................................258
22 .3G 移動因特網連接的連接範例........................................................ 26022.1 使用中國電信的 3G 移動時的設置.....................................................................261
22.2 使用中國電信的 3G 移動網絡,限制超過上限的通信。...................................................263
6 序言
1. 命令的使用方法 7
1. 命令的使用方法
本機支持兩種設置方法,它們分別是直接向 YAMAHA 路由器逐次輸入命令的設置方法,以及轉發命令文件進行設置的方法。不能使用
LAN 接口時,可以使用 CONSOLE 或 SERIAL 端口,執行命令,進行恢復等必要的操作。
會話模式的設置方法稱為控制台操作 (console),它可以一個一個地執行命令,進行設置和操作。記述了所需命令格式的文件叫做
設置文件 (Config),可以通過 TFTP 從能夠連接 YAMAHA 路由器的環境轉發或接收設置文件。
1.1 控制台
為了對 YAMAHA 路由器進行各種設置,有 3 種設置方法:從主機的 CONSOLE (SERIAL)口連接終端的方法,從 LAN 上的主機通過
TELNET 或 SSH (※)登錄的方法、通過線路從其他的 YAMAHA 路由器登錄的方法。
在每種情況下,分別有 1 個用戶能夠連接 YAMAHA 路由器。其中同時只有一個用戶能夠成為管理員用戶。例如,在串行終端上連接的
用戶作為管理員用戶進行設置時,其他用戶只能作為一般用戶連接,不能作為管理員用戶進行設置。
對于支持 TELNET 多會話功能以及 SSH 服務器功能的機型, 多同時能有 8 個用戶通過 TELNET 或 SSH 訪問。並且,同時能有多個用戶
成為管理員用戶,也可以從不同的主機同時進行設置。另外,各用戶可以確認當前正在訪問的所有用戶的連接情況,如果是管理員用
戶,還可以強行中斷其他用戶的連接。
(※)僅限支持 SSH 服務器功能的機型
YAMAHA 路由器的連接方法
從 YAMAHA 路由器主機的 CONSOLE (SERIAL)口連接終端訪問
從 LAN 上的主機通過 TELNET 或 SSH 登錄
通過 ISDN 線路,從別的 YAMAHA 路由器登錄
ISDN
通過 TELNET 或 SSH 登錄
CONSOLE 或
SERIAL 端口
LAN
LAN
YAMAHA 路由器
串行端口
YAMAHA 路由器
從遠程路由器
8 1. 命令的使用方法
本機在剛剛購買后,沒有 IP 地址等任何子網掩碼。下表中列有進行初始設置的方法。
1.2 幫助功能
YAMAHA 路由器支持控制台使用方法的顯示功能、對忘記了命令的完整名稱時或不明白命令的詳細參數時有用的兩個幫助功能。
幫助功能提供的只是簡單的信息,命令的詳細說明、注意事項、設置範例等參照使用說明書和命令參考手冊。
1.2.1 控制台使用概要的顯示 (help 命令的執行)
要瞭解控制台使用方法的概要時,使用 help 命令。
> help
1.2.2 命令名稱一覽的顯示
控制台上能顯示命令名稱和它的簡單說明一覽表。這時使用 show command 命令。
這樣就可以瞭解類似命令的差異。
> show command
1.3 控制台的設置步驟
1.3.1 從開始設置到結束
從 CONSOLE 或 SERIAL 端口進行設置時,首先用交叉型的串口線連接 YAMAHA 路由器的 CONSOLE 或 SERIAL 端口與計算機連接。請使用
符合計算機插口的類型串口線兩端的連接器。計算機上使用終端軟件。操作系統是 Windows 時,使用 OS 附帶的 「超級終端」等軟
件。操作系統是 MacOS X 時,使用 OS 附帶的 「終端」應用程序。
通過 TELNET 設置時,計算機使用 TELNET 應用程序。操作系統是 Windows 時,使用 OS 附帶的「TELNET」軟件。操作系統是 MacOS X
時,使用 OS 附帶的「終端」應用程序執行 telnet 命令。
關于控制命令的具體內容,參照命令參考手冊。
使用控制命令時,請仔細理解命令的動作情況再進行使用。請一定要確認設備在設置后是否按預想的那樣運行。
控制台上顯示的字符串字體在默認情況下是 ASCII。通過 console character 命令根據終端的文字顯示能力選擇字體。請注意,無論
在哪種情況下,命令的共通輸入字體是 ASCII。
設置步驟大致如下。
1. 作為一般用戶登錄后,用 administrator 命令作為管理員用戶進入。如果這裡設置了管理員密碼,則需要輸入管理員密
碼。
2. 更改未連接線路的通信對象信息時,請在執行了 pp disable 命令后,更改對象的信息。線路已經進行連接時,預先用
disconnect 命令手動中斷線路。
RARP 服務器 以完成設置的路由器 初始設置的連接方法
有 有 串行終端、以太網上的主機、遠程路由器
有 無 串行終端、以太網上的主機
無 有 串行終端、遠程路由器
無 無 串行終端
1. 命令的使用方法 9
3. 用各種命令更改通信對象信息。根據網絡形態設置的範例請參照第 2 章以后的內容。
4. 執行 pp enable 命令。
5. 執行 save 命令,將設置內容保存進不揮發存儲器 (NVRAM)。
一邊按住 Ctrl 鍵,一邊按 S 鍵,就能暫停控制台的輸出。在這種狀態下按鍵,雖然畫面
上不會有反應,但是鍵盤輸入會被處理。要重新開始屏幕輸出時,同時按 Ctrl 鍵和 Q 鍵。
打開 YAMAHA 路由器的電源后,在與 CONSOLE (SERIAL)口相連的控制台上顯示路由器的輸出信息。系統啟動,準備結束后,通常進
入等待登錄的狀態。
即使通過 TELNET 登錄,也會出現相同顯示。
Password:
完成登錄后,進入等待命令狀態,可以執行各種命令。
下面的範例是表示使用超級終端登錄了 RTX1000 時的情況。
從安全的角度出發,在控制台上一定時間內無鍵盤輸入時,300 秒 (默認值)后自動退出登錄。這個時間可以用 login timer 命令來
更改。
新成為管理員用戶后,執行設置命令時,命令的內容馬上就會反映到本機的運行上,不執行 save 命令,就無法將命令保存進不揮發
存儲器(NVRAM)。
剛購買后啟動時和 cold start 后,既沒有設置登錄密碼,也沒有設置管理員密碼。從
YAMAHA 路由器的安全角度出發,建議設置登錄密碼和管理員密碼。
啟動剛購買的 YAMAHA 路由器后,可以從控制台進行各種設置,不實際轉發數據包。
關于安全的設置、各種詳細參數等的附加性設置,請根據每個網絡的運營方針等進行設
置。有關其詳細情況,請參照使用說明書及命令參考手冊。
10 1. 命令的使用方法
1.3.2 使設置恢復默認值的方法
將設置恢復默認值時,使用 cold start 命令。該命令使所有設置都恢復到出廠狀態。
執行 cold start 命令時,請注意以下情況。
‧執行 cold start 命令時,需要管理員密碼。
‧執行命令后,馬上中斷所有通信。
‧存在默認值的設置全部被更改為默認值。
‧過濾標準的定義和登錄了的地址全部消失。
‧不執行 save 命令,不揮發存儲器的內容就被會改寫,無法回到原先的設置。
有關各種命令的具體默認值請參照命令參考手冊。
2.IP 設置範例 11
2. IP 設置範例
在本章中,舉幾個具體的事例說明實現 IP 網絡基本連接方式的設置方法。關于安全的設置、各種詳細參數等的附加性設置,請根據
每個網絡的運營方針進行設置。
本章說明的網絡連接方式如下:
1. 使用 ISDN 線路連接 LAN (PP 側是靜態路由)
2. 使用 ISDN 線路 MP 連接 LAN (PP 側是靜態路由)
3. 使用 ISDN 線路連接 LAN (PP 側使用 RIP2 協議)
4. 使用 ISDN 線路連接 3 個地點
5. 用默認路由連接
6. 用免費撥號連接
7. 使用 CALLBACK 連接 ISDN 線路
8. 用 Proxy ARP 使遠程的 LAN 看起來在同一網段(主機路由)
9. 用 Proxy ARP 使遠程的 LAN 看起來在同一網段
10. 與終端型設備 (TA、ISDN 端口等)的連接
11. 與終端型設備 (TA、ISDN 端口等)的連接 (不特定對象)
12. 採用 IP 偽裝(IP Masquerade)功能的終端型撥號 IP 連接
對每個網絡的連接方式範例,以結構圖、步驟和解說的順序進行以下說明。
有必要對 YAMAHA 遠程路由器 LAN 上的個人電腦和工作站設置 default gateway時,用 ip interface address 命令設定 YAMAHA 遠程路由器的 LAN 側的 IP 地址。
12 2.IP 設置範例
2.1 使用 ISDN 線路連接 LAN (PP 側是靜態路由)
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
2.IP 設置範例 13
【解說】
說明用 ISDN 線路連接網絡 172.16.112.0 和網絡 192.168.128.0 時的設置。
在兩個路由器上分別用命令設定至對方網絡的路由 (靜態路由)。
路由器 A 和路由器 B 的設置步驟完全相同,只有 ISDN 號碼和 IP 地址等的命令參數不同。
1. 使用 isdn local address 命令設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至連接方網絡的路由信息。
4. 使用 pp select 命令,選擇通信對象信息號碼。
5. 使用 pp bind 命令,捆綁通信對象信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼 「/」
之后輸入。
7. 使用 pp enabl 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
14 2.IP 設置範例
2.2 使用 ISDN 線路 MP 連接 LAN (PP 側是靜態路由)
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# ppp mp use onpp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# ppp mp use onpp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
2.IP 設置範例 15
【解說】
說明用 ISDN 線路 MP 連接網絡 172.16.112.0 和網絡 192.168.128.0 時的設置。
在兩個路由器上分別用命令設定至對方網絡的路由 (靜態路由)。
路由器 A 和路由器 B 的設置步驟完全相同,只有 ISDN 號碼和 IP 地址等的命令參數不同。
1. 使用 isdn local address 命令設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至連接方網絡的路由信息。
4. 使用 pp select 命令,選擇通信對象信息號碼。
5. 使用 pp bind 命令,捆綁通信對象信息號碼和 BRI 端口。
6. 使用 ppp mp use 命令,設置成 MP 通信。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼 「/」
之后輸入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
16 2.IP 設置範例
2.3 使用 ISDN 線路連接 LAN (PP 側使用 RIP2 協議)
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 192.168.127.215/24# rip use on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# ip pp rip send on version 2pp1# ip pp rip hold routing onpp1# pp enable 1pp1# save
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# rip use on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# ip pp rip send on version 2pp1# ip pp rip hold routing onpp1# pp enable 1pp1# savepp1# connect 1pp1# disconnect 1
WS/PC
WS/PC
192.168.127.25
192.168.127.215
03-1234-5678/Tokyo
192.168.127.0 / 24 192.168.128.0 / 24
192.168.127.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1911-9999/Osaka
ISDN
2.IP 設置範例 17
【解說】
用 ISDN 線路連接網絡 192.168.127.0 和網絡 192.168.128.0。
使用 RIP2 協議建立至對方網絡的路由。
所以,必須先從某一方路由器手動連接線路,獲取路由信息。(參照路由器 B 的設置步驟)
■ 路由器 A
1. 使用 isdn local address 命令設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 rip use 命令,使 rip 生效。
4. 使用 pp select 命令,選擇通信對象信息號碼。
5. 使用 pp bind 命令,捆綁通信對象信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置通信對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼
「/」之后輸入。
7. 使用 ip pp rip send 命令,使線路側傳輸 RIP2 數據。
8. 使用 ip pp rip hold routing 命令進行設置,使線路連接時獲得的 RIP 信息在線路中斷后也能得到保存。
9. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
10. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
■ 路由器 B
1. 使用 isdn local address,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 rip use 命令,使 rip 生效。
4. 使用 pp select 命令,選擇通信對象信息號碼。
5. 使用 pp bind 命令,捆綁通信對象信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置通信對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼
「/」之后輸入。
7. 使用 ip pp rip send 命令,使線路側傳輸 RIP2 數據。
8. 使用 ip pp rip hold routing 命令進行設置,使線路連接時獲得的 RIP 信息在線路中斷后也能得到保存。
9. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
10. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
11. 使用 connect 命令,手動連接路由器 A,獲取 RIP 信息。此時,路由器 A 必須已被正確設置。
12. 使用 disconnect 命令,手動中斷線路。
18 2.IP 設置範例
2.4 使用 ISDN 線路連接 3 個地點
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 2# ip route 192.168.129.0/24 gateway pp 3# pp select 2pp2# pp bind bri1pp2# isdn remote address call 06-1111-9999/Osakapp2# pp enable 2pp2# pp select 3pp3# pp bind bri1pp3# isdn remote address call 052-765-4321/Nagoyapp3# pp enable 3pp3# save
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.0/24 gateway pp 1# ip route 192.168.129.0/24 gateway pp 3# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# pp select 3pp3# pp bind bri1pp3# isdn remote address call 052-765-4321/Nagoyapp3# pp enable 3pp3# save
WS/PC
WS/PC
172.16.112.25
WS/PC
192.168.129.0 / 24
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
192.168.129.10 052-765-4321/Nagoya
ISDN
2.IP 設置範例 19
【路由器 C 的設置步驟】
# isdn local address bri1 052-765-4321/Nagoya# ip lan1 address 192.168.129.10/24# ip route 172.16.112.0/24 gateway pp 1# ip route 192.168.128.0/24 gateway pp 2# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 06-1111-9999/Osakapp2# pp enable 2pp2# save
【解說】
用 ISDN 線路連接網絡 172.16.112.0 和網絡 192.168.128.0,以及網絡 192.168.129.0。
在兩個路由器上分別用命令設定至對方網絡的路由 (靜態路由)。在 1 台路由器上,對其他兩地的路由器分別進行設置。
路由器 A、路由器 B 和路由器 C 的設置步驟完全相同,只有 ISDN 號碼和 IP 地址等命令參數不同。
1. 使用 isdn local address,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至連接方網絡的路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼 「/」
之后輸入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
10. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼 「/」
之后輸入。
11. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
20 2.IP 設置範例
2.5 用默認路由連接
【結構圖】
【步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route default gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
【解說】通過 ISDN 線路,使用默認路由功能使網絡 192.168.128.0 與網絡 172.16.112.0 相連。
這時的前提是默認路由指定的路由器能夠進行通往因特網的路由。不設定具體的地址信息,而是通過默認路由實現與因特網的通信。
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置默認路由。這時,轉發到 192.168.128.0/24 以外的數據包全部被轉發到 ISDN 號碼是 03 - 1234
- 5678/Tokyo 的路由器。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼「/」
之后輸入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
WS/PC
172.16.112.2
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
The Internet
2.IP 設置範例 21
2.6 用免費撥號連接
【結構圖】
【路由器 A 的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【路由器 B 的設置步驟】
# isdn local address 06-1111-9999/Osaka# ip lan1 address 192.168.128.1# ip route 172.16.112.0/24 gateway pp 2# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0120-654321/Tokyo 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo0120-654321
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
22 2.IP 設置範例
【解說】
用 ISDN 線路連接網絡 172.16.112.0 和網絡 192.168.128.0。
從 192.168.120.0 通過免費電話撥打方式連接 172.168.112.0。
假設從設置了免費電話號碼的線路側的路由器 A 發起呼叫。
此時,雖然從路由器 B 到路由器 A 的呼叫可以使用免費電話號碼,但是從路由器 A 向路由器 B 發起呼叫時,應使用路由器 A 的簽約號
碼。所以,在路由器 B 上必須設定兩個號碼:向路由器 A 發起呼叫的號碼 (免費電話號碼)和路由器 A 的簽約號碼。
在兩個路由器上分別用命令設定至對方網絡的路由(靜態路由)。
■ 路由器 A
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至連接方網絡的路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。另外,同時設置子地址時,繼「/」
之后輸入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
■ 路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至連接方網絡的路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置向路由器 A 發起呼叫的號碼(免費撥號的 0120-654321)和接收來自路由器 A 的
呼叫號碼(03-1234-5678/Tokyo)。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
2.IP 設置範例 23
2.7 使用 CALLBACK 連接 ISDN 線路
【結構圖】
【要求 CALLBACK 的路由器的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn callback request onpp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【CALLBACK 的路由器的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.0/24 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn callback permit onpp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
Call Back
24 2.IP 設置範例
【解說】
說明用 CALLBACK 連接網絡 172.16.112.0 和網絡 192.168.128.0 時的設置。
在兩個路由器上分別用命令設定至對方網絡的路由(靜態路由)。
CALLBACK 功能是向 YAMAHA 遠程路由器發出回撥請求功能。使用 CALLBACK 功能,可以讓 YAMAHA 遠程路由器 (發起呼叫對方)承擔
ISDN 線路的通信費。
請注意,要求 CALLBACK 的路由器和應答 CALLBACK 的路由器的設置命令不同。
■ 要求 CALLBACK 方 (要求方)
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方網絡的路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn callback request 命令,將路由器設置成在連接時發出 CALLBACK 要求。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
■ CALLBACK 方 (應答方)
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方網絡的路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn callback permit 命令,將路由器設置成接收了 CALLBACK 要求后,做出應答。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
2.IP 設置範例 25
2.8 用 Proxy ARP 使遠程的 LAN 看起來在同一網段 (主機路由)
【結構圖】
【路由器 A 的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.1/24# ip route 172.16.112.241 gateway pp 1# ip route 172.16.112.242 gateway pp 1# ip route 172.16.112.243 gateway pp 1# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【路由器 B 的設置步驟】
# isdn local address 06-1111-9999/Osaka# ip lan1 address 172.16.112.241/28# ip route default gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
【解說】說明用 Proxy ARP 連接網絡 172.16.112.0 和其子網的設置。
下表是在結構圖中的 IP 地址的分配關係。
WS/PC
WS/PC
172.16.112.25
172.16.112.1
03-1234-5678/Tokyo
172.16.112.0 / 24 172.16.112.240 / 28
172.16.112.26
WS/PC
WS/PC
172.16.112.242
172.16.112.243
172.16.112.241
06-1111-9999/Osaka
ISDN
26 2.IP 設置範例
( 路由器 A 使用 Proxy ARP,與路由器 B 的 LAN 進行通信。來自路由器 B 的 LAN 上主機的數據包通過默認路由,轉發至路由器 A。)
■ 路由器 A
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip lan1 proxyarp 命令,設置成向 LAN 側返回 ARP 應答。
4. 使用 ip route 命令,設置至對方網絡的路由。
請注意,它不是普通的網絡路由,而是主機路由。如果設置成 ip route 172.16.112.240/28 gateway pp 1,則到
172.16.112.255 的廣播數據包都會轉發到路由器 B。
5. 使用 pp select 命令,選擇對方信息號碼。
6. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
■ 路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方網絡的路由。因為沒有至其他地址的路由,所以使用默認路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
IP 地址 分配
172.16.112.0 網絡地址
172.16.112.1 路由器 A 地址
172.16.112.2:
172.16.112.239主機 (238 台)地址
172.16.112.240:
172.16.112.254路由器 B 的網絡地址
172.16.112.255 廣播地址
IP 地址 分配
172.16.112.240 網絡地址
172.16.112.241 路由器 B地址
172.16.112.242:
172.16.112.254 主機 (13 台)地址
172.16.112.255 廣播地址
2.IP 設置範例 27
2.9 用 Proxy ARP 使遠程的 LAN 看起來在同一網段
【結構圖】
【路由器 A 的設置步驟】
# isdn local address bri1 03-1234-5679/Tokyo# ip lan1 address 172.16.112.1/24# ip route 172.16.112.241 gateway pp 1# ip route 172.16.112.242 gateway pp 1# ip route 172.16.112.243 gateway pp 1.
(只按照主機的數目進行相同的路由設置)
.# ip route 172.16.112.254 gateway pp 2# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.1
03-1234-5678/Tokyo
172.16.112.0 / 24 172.16.112.240 / 28
172.16.112.26
WS/PC
WS/PC
172.16.112.242
172.16.112.243
172.16.112.241
06-1111-9999/Osaka
ISDN
WS/PC
WS/PC
172.16.112.27
172.16.112.2
03-1234-5679/Tokyo2
172.16.112.28
WS/PC
172.16.112.238172.16.112.237
052-765-4321/Nagoya
ISDN
28 2.IP 設置範例
【路由器 B的設置步驟】
# isdn local address 03-1234-5679/Tokyo2# ip lan1 address 172.16.112.2/24# ip route 172.16.112.237 gateway pp 1# Ip route 172.16.112.238 gateway pp 1# ip lan1 proxyarp on# pp select 1pp1# isdn remote address call 052-765-4321/Nagoyapp1# pp bind bri1pp1# pp enable 1pp1# save
【路由器 C的設置步驟】
# isdn local address bri1 052-765-4321/Nagoya# ip lan1 address 172.16.112.237/30# ip route default gateway pp 1# pp select 1# pp bind bri1pp1# isdn remote address call 03-1234-5679/Tokyo2pp1# pp enable 1pp1# save
【路由器 D的設置步驟】
# isdn local address 06-1111-9999/Osaka# ip lan1 address 172.16.112.241/28# ip route default gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
2.IP 設置範例 29
【解說】說明用 Proxy ARP 連接網絡 172.16.112.0 和其屬下子網的設定。
下表說明了結構圖中的 IP 地址的分配關係。
路由器 A 和路由器 B 使用 Proxy ARP,分別與路由器 D和路由器 C 的 LAN 進行通信。來自路由器 C 和路由器 D 的 LAN 上的主機的數據
包通過默認路由,分別被轉發至路由器 B 和路由器 A。
另外,如表中所示,路由器 C的網絡能夠連接 1 台主機,路由器 D 的網絡只能連接 13 台主機。
■ 路由器 A及路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip lan1 proxyarp 命令,設置成向 LAN 返回 ARP 應答。
4. 使用 ip route 命令,設置至對方路由器連接的網絡的靜態路由。
請注意,它不是普通的網絡路由,而是主機路由。在路由器 A 中,如果將子網掩碼成 ip route 172.16.112.240/28 gateway
pp 1,則到 172.16.112.255 的廣播數據包都會傳輸到路由器 D。
5. 使用 pp select 命令,選擇對方信息號碼。
6. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
IP 地址 分配
172.16.112.0 網絡地址
172.16.112.1 路由器 A 地址
172.16.112.2 路由器 B 地址
172.16.112.3:
172.16.112.235主機 (233 台)地址
172.16.112.236:
172.16.112.239路由器 C 的網絡地址
172.16.112.240:
172.16.112.254路由器 D 的網絡地址
172.16.112.255 廣播地址
IP 地址 分配
172.16.112.236 網絡地址
172.16.112.237 路由器 C 地址
172.16.112.238 主機 (1 台)地址
172.16.112.239 廣播地址
IP 地址 分配
172.16.112.240 網絡地址
172.16.112.241 路由器 D 地址
172.16.112.242:
172.16.112.254主機 (13 台)地址
172.16.112.255 廣播地址
30 2.IP 設置範例
■ 路由器 C 及路由器 D
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方路由器連接的網絡的默認路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
2.IP 設置範例 31
2.10 與終端型設備 (TA、ISDN 端口等)的連接
【結構圖】
【步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# ip pp remote address 172.16.112.216pp1# pp enable 1pp1# save
【解說】說明用 ISDN 線路連接網絡 172.16.112.0 和裝載有終端型設備 (TA、ISDN 端口等)等的個人電腦和工作站時的設置。
因為在 PP 側設置了 IP 地址,所以沒有必要用命令設置路由。
另外,因為通過 PPP 從路由器上分配對方的個人電腦和工作站的 IP 地址,所以沒有必要在對方設置 IP 地址。對方設置自己的 IP 地
址時,請用 ip pp remote address 命令設置該 IP 地址。
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip lan1 proxyarp 命令,設置成向 LAN 返回 ARP 應答。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24
172.16.112.26
WS/PC
172.16.112.216
06-1111-9999/Osaka
ISDN
32 2.IP 設置範例
7. 使用 ip pp remote address 命令,設置選中的 PP 側的遠程 IP 地址。如果個人電腦和工作站已經設置好了 IP 地址,則
設置該 IP 地址。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
2.IP 設置範例 33
2.11 與終端型設備 (TA、ISDN 端口等)的連接 (不特定對象)
【結構圖】
【路由器的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip lan1 proxyarp on# pp select anonymousanonymous# pp bind bri1anonymous# ip pp remote address pool 172.16.112.216 172.16.112.217anonymous# pp auth request chapanonymous# pp auth username RT105i-A himitsuanonymous# pp enable anonymousanonymous# save
【解說】說明用 ISDN 線路按照 anonymous 方式連接網絡 172.16.112.0 和裝載有終端型設備 (TA、ISDN 端口等)等的個人電腦和工作站時的
設置。
因為在 PP 側設置了 IP 地址,所以沒有必要用命令設置路由。
另外,因為通過 PPP 從 YAMAHA 遠程路由器上分配對方的個人電腦和工作站的 IP 地址,所以沒有必要在對方設置 IP 地址。
因為與不特定的對象連接,所以要考慮安全,進行 CHAP 認證。例如,對方的用戶 ID 是 「RT105i-A」,密碼是「himitsu」。
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip lan1 proxyarp 命令,設置成向 LAN 返回 ARP 應答。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 ip pp remote address pool 命令,設置對 anonymous 的遠程 IP 地址。
7. 使用 pp auth request 命令,作為 PPP 的認證,設置使用 CHAP。
8. 使用 pp auth username 命令,設置 CHAP 的用戶名和密碼。
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24
172.16.112.26
WS/PC
172.16.112.216
06-1111-9999/Osaka
ISDN
34 2.IP 設置範例
9. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
10. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
2.IP 設置範例 35
2.12 採用 IP 偽裝 (IP Masquerade)功能的終端型撥號 IP 連接
【結構圖】
【步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route default gateway pp 1# nat descriptor type 1 masquerade# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp auth accept pap chappp1# pp auth myname RT105i-A himitsupp1# ppp ipcp ipaddress onpp1# ip pp nat descriptor 1pp1# pp enable 1pp1# save
172.16.112.215
03-1234-5678/Tokyo
WS/PC
WS/PC
172.16.112.25
172.16.112.0 / 24
172.16.112.26
ISDN
The Internet
36 2.IP 設置範例
【解說】
說明用終端型撥號 IP 連接方式連接網絡 172.16.112.0 和因特網時的設置。
服務提供商 (ISP)網絡的 IP 地址設置為通過 IPCP 協商獲得。
連接時的身份驗證即可設為 PAP,也可設為 CHAP。例如,對方的用戶 ID 是「RT105i-A」,密碼是「himitsu」。
使用 IP 偽裝(IP Masquerade)功能,不變更私有 IP 地址,就能使多台終端連接上因特網。
服務提供商 (ISP)方安裝的路由器的設置如 2.10 或 2.11 所示。另外,默認路由的設置也是必須的。
例如,服務提供商 (ISP)方 LAN 默認網關 IP 地址是 172.16.112.129 時,則服務提供商 (ISP)方的路由器必須設置 ip route
default gateway 為 172.16.112.129。
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方路由器連接的網絡的默認路由。
4. 使用 nat descriptor type 命令,將 NAT 轉換類型指定為 masquerade。
5. 使用 pp select 命令,選擇對方信息號碼。
6. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
8. 使用 pp auth accept 命令,作為 PPP 的認證,設置使用 PAP 或 CHAP。
9. 使用 pp auth myname 命令,設置 PAP 或 CHAP 的用戶名和密碼。
10. 使用 ppp ipcp ipaddress 命令,取得對方的線路接口的 IP 地址。
11. 使用 ip pp nat descriptor 命令,將在 4 中設置的 NAT 轉換適用于 pp1。
12. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,即可通過該接口轉發數據包。
13. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 37
3. IP 過濾設置範例
本章用具體範例說明網絡安全對策的 IP 數據包過濾的設置方法。
本章說明以下過濾範例。
1. 只轉發來自特定網絡的數據包
2. 不轉發到達特定網絡的數據包
3. 只接收來自特定網絡的數據包
4. 不接收到達特定網絡的數據包
5. 只有 Established 能夠通信
6. 只有 SNMP 數據包能夠通信
7. 只有 TELNET 數據包能夠雙向通信
8. 拒絕來自外部的 PING 命令
9. 只能進行單方向的 FTP 通信
10. 使用 RIP 協議時,不讓特定的路由信息通過
11. 連接因特網,限制來自外部的連接(有 barrier segment)
12. 連接因特網,限制來自外部的連接(無 barrier segment)
13. 應對 ip spoofing 攻擊、land 攻擊和 smurf 攻擊
下面對每個過濾,按照條件、步驟和解說的順序進行說明。
38 3.IP 過濾設置範例
3.1 只轉發來自特定網絡的數據包
【條件】對于對方信息號碼是 1 的對象,只向 PP 側轉發源網絡地址是 192.168.128.0/24 的數據包。
【步驟】
# pp select 1pp1# ip filter 1 pass 192.168.128.0/24 *pp1# ip pp secure filter out 1pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源 IP 地址固定是 192.168.128.0/24,目的 IP 地址是任意的,所以指定 「*」。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的出口進行過濾,所以指定 「out」。
4. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 39
3.2 不轉發到達特定網絡的數據包
【條件】對于對方信息號碼是 1的對象,不向 PP 側轉發目的網絡地址是 192.168.128.0/24 的數據包。
【步驟】
# pp select 1pp1# ip filter 1 reject * 192.168.128.0/24pp1# ip filter 2 pass * *pp1# ip pp secure filter out 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源 IP 地址是任意的,所以指定「*」,目的 IP 地址指定 192.168.128.0/24。定義 「reject」的過濾標準時,不符合條件的
其他數據包也會被過濾掉,所以要將過濾標準定義成其他全部通過。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的出口進行過濾,所以指定「out」。
還要指定過濾標準按照 1、2 的順序過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
40 3.IP 過濾設置範例
3.3 只接收來自特定網絡的數據包
【條件】對于對方信息號碼是 1 的對象,在 PP 側只接收源網絡地址是 192.168.128.0/24 的數據包。
【步驟】
# pp select 1pp1# ip filter 1 pass 192.168.128.0/24 *pp1# ip pp secure filter in 1pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源 IP 地址固定是 192.168.128.0/24,目的 IP 地址是任意的,所以指定 「*」。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的入口進行過濾,所以指定 「in」。
4. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 41
3.4 不接收到達特定網絡的數據包
【條件】對于對方信息號碼是 1的對象,在 PP 側不接收目的網絡地址是 192.168.128.0/24 的數據包。
【步驟】
# pp select 1pp1# ip filter 1 reject * 192.168.128.0/24pp1# ip filter 2 pass * *pp1# ip pp secure filter in 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filterr 命令,定義過濾標準。
源 IP 地址是任意的,所以指定「*」,目的 IP 地址指定 192.168.128.0/24。定義 「reject」的過濾標準時,不符合條件的
其他數據包也會被全部過濾掉,所以要將過濾標準定義成其他全部通過。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的入口進行過濾,所以指定「in」。還
要指定過濾標準按照 1、2 的順序過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
42 3.IP 過濾設置範例
3.5 只有 Established 能夠通信
【條件】對于對方信息號碼是 1 的對象,用 Established,拒絕所有來自 PP 側的連接,但是允許所有來自 LAN 的 TCP 的連接。
【步驟】
# pp select 1pp1# ip filter 1 pass * * establishedpp1# ip filter 2 pass * * tcp ftpdata *pp1# ip pp secure filter in 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源、目的 IP 地址是任意的,所以指定 「*」。將協議參數指定為「established」。指定 「established」后,TCP 以外的協
議就被禁止通信。
關于源端口號是「ftpdata」的會話 (Session),允許從 PP 接入。因為它用于 LAN 使用 FTP 向外部進行數據傳輸。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的入口進行過濾,所以指定「in」。還
要指定過濾標準按照 1、2 的順序過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 43
3.6 只有 SNMP 數據包能夠通信
【條件】對于對方信息號碼是 1的對象,只允許 SNMP 協議的數據包能夠雙向通信。
【步驟】
# pp select 1pp1# ip filter 1 pass * * udp snmp *pp1# ip filter 2 pass * * udp * snmppp1# ip pp secure filter in 1 2pp1# ip pp secure filter out 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源、目的 IP 地址是任意的,所以指定「*」。將協議參數指定為 UDP 協議,端口參數指定為 「snmp」。必須雙向指定端口,
所以需要源端口的過濾標準和目的端口的過濾標準。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。為使 PP 側的信息轉發和接收成為可能,所以對它們
分別進行過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
44 3.IP 過濾設置範例
3.7 只有 TELNET 數據包能夠雙向通信
【條件】對對方信息號碼為 1 的對象,只允許 TELNET 協議的數據包能夠雙向通信。
【步驟】
# pp select 1pp1# ip filter 1 pass * * tcp telnet *pp1# ip filter 2 pass * * tcp * telnetpp1# ip pp secure filter in 1 2pp1# ip pp secure filter out 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源、目的 IP 地址是任意的,所以指定 「*」。將協議參數指定為 TCP 協議,端口參數指定為「telnet」。必須雙向指定端
口,所以需要源端口的過濾標準和目的端口的過濾標準。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。為使 PP 側的信息轉發和接收成為可能,所以對它們
分別進行過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 45
3.8 拒絕來自外部的 PING 命令
【條件】對于對方信息號碼是 1的對象,拒絕來自 PP 側的所有 ICMP 協議的數據包。
【步驟】
# pp select 1pp1# ip filter 1 reject * * icmppp1# ip filter 2 pass * *pp1# ip pp secure filter in 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源、目的 IP 地址是任意的,所以指定「*」。將協議參數指定為 「icmp」協議。定義 「reject」過濾標準時,不符合條件
的其他數據包也會全部被過濾掉,所以要將過濾標準定義成其他全部通過。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。因為在 PP 側的入口進行過濾,所以指定「in」。還
要指定過濾標準按照 1、2 的順序過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
46 3.IP 過濾設置範例
3.9 只能進行單方向的 FTP 通信
【條件】只允許向對方信息號碼是 1 的對象進行 FTP 協議通信。
【步驟】
# pp select 1pp1# ip filter 1 pass * * tcp * ftppp1# ip filter 2 pass * * tcp ftp *pp1# ip pp secure filter out 1pp1# ip pp secure filter in 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源、目的 IP 地址是任意的,所以指定 「*」。將協議參數指定為 TCP 協議、端口參數指定為「ftp」。在 out 方向,預先準
備針對目的端口號的過濾標準;在 in 方向,預先準備針對源端口號的過濾標準。
3. 使用 ip pp secure filter 命令,對對方信息號碼 1 的對象進行過濾。向 PP 側轉發數據時,允許目的端口為 FTP 的數據包
通過。所以指定「out」。從 PP 側接收信息時,允許源端口為 FTP 的數據包通過,所以指定「in」。
4. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
3.IP 過濾設置範例 47
3.10 使用 RIP 協議時,不讓特定的路由信息通過
【條件】對于對方信息號碼為 1的對象,使用 RIP 協議時,僅禁止關于網絡地址為 192.168.128.0/24 的路由信息流向 PP 側。
【步驟】
# pp select 1pp1# ip filter 1 reject 192.168.128.* *pp1# ip filter 2 pass * *pp1# ip pp rip filter out 1 2pp1# save
【解說】1. 使用 pp select 命令,選擇對方信息號碼。
2. 使用 ip filter 命令,定義過濾標準。
源 IP 地址指定 192.168.128.*,目的 IP 地址是任意的,所以指定「*」。定義 「reject」過濾標準時,不符合條件的其他
數據包也會全部被過濾掉,所以要將過濾標準定義成其他全部通過。
3. 使用 ip pp rip filter 命令,對對方信息號碼 1 的對象進行 RIP 信息的過濾。因為在 PP 側的出口進行過濾,所以指定
「out」。還要指定過濾標準按照 1、2 的順序過濾。
4. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
48 3.IP 過濾設置範例
3.11 連接因特網,限制來自外部的連接 (有 barrier segment)
【條件】如下圖所示,192.168.1.0/24 的網絡經過 barrier segment 192.168.1.240/28,通過專線連接因特網。
還要假設以下條件。
‧ 來自外部的數據包只能到達 barrier segment 192.168.1.240/28
‧ 轉發到外部的數據包不受限制
‧ 在 YAMAHA 遠程路由器上進行所有安全相關的設置,在與 barrier segment 和網站內部相連的路由器上不進行安全相關
的設置。
【步驟】
# line type bri1 l64# ip lan1 address 192.168.1.241/28# ip route default gateway pp 1# ip filter 10 reject 192.168.1.0/24 * * * *# ip filter 11 pass * 192.168.1.0/24 icmp * *# ip filter 12 pass * 192.168.1.0/24 established **# ip filter 13 pass * 192.168.1.0/24 tcp * ident# ip filter 14 pass * 192.168.1.0/24 tcp ftpdata *# ip filter 15 pass * 192.168.1.0/24 udp domain *# ip filter 16 pass * 192.168.1.240/28 tcp,udp * telnet,smtp, gopher,finger,www,nntp,ntp,
33434-33500# ip filter source-route on# ip filter directed-broadcast on# pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 10 11 12 13 14 15 16pp1# pp enable 1pp1# syslog host 192.168.1.242pp1# syslog notice onpp1# savepp1# interface reset bri1
192.168.1.241
The Internet
192.168.1.240 / 28
192.168.1.0 / 24
3.IP 過濾設置範例 49
【解說】1. 使用 line type 命令,將線路種類設定為 64kbit/s 數字專線。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,將轉發到外部的數據包的默認路由改為使用專線。
4. 使用 ip filter 命令,定義過濾標準。
首先,定義過濾標準 10 號,過濾所有源 IP 地址為 192.168.1.* 的數據包。
然后,通過定義過濾標準 11 號至 15 號,對于從外部傳輸到網絡內部的業務進行過濾。
定義過濾標準 16 號,對于從外部傳輸到 barrier segment 的業務進行過濾。目的端口號碼 33434-33500 用于 traceroute。
5. 使用 ip filter source-route 命令,過濾掉帶 Source-route 選項的 IP 數據包。
6. 使用 ip filter directed-broadcast 命令,過濾掉目的 IP 地址為 Directed-Broadcast 的 IP 數據包。
7. 使用 pp select 命令,選擇對方信息號碼。
8. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
9. 使用 ip pp secure filter 命令,在 PP 側的入口進行過濾,所以指定「in」。
10. 使用 syslog host 命令,設置接收被過濾的數據包的 SYSLOG 的主機。
11. 使用 syslog notice 命令,用 SYSLOG 報告被過濾的數據包。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
13. 使用 interface reset 命令,切換線路的硬件。之后,數據包即開始被轉發。
50 3.IP 過濾設置範例
3.12 連接因特網,限制來自外部的連接 (無 barrier segment)
【條件】如下圖所示,192.168.1.0/24 的網絡無 barrier segment,通過專線連接因特網。
還要假設以下條件。
‧ 來自外部的數據包只能到達 192.168.1.2
‧ 轉發到外部的數據包不受限制
‧ 在 YAMAHA 遠程路由器上進行所有安全相關的設置
【步驟】
# line type bri1 l64# ip lan1 address 192.168.1.1/24# ip route default gateway pp 1# ip filter 10 reject 192.168.1.0/24 * * * *# ip filter 11 pass * 192.168.1.0/24 icmp * *# ip filter 12 pass * 192.168.1.0/24 established **# ip filter 13 pass * 192.168.1.0/24 tcp * ident# ip filter 14 pass * 192.168.1.0/24 tcp ftpdata *# ip filter 15 pass * 192.168.1.0/24 udp domain *# ip filter 16 pass * 192.168.1.2 tcp,udp * smtp,gopher,
finger,www,nntp,ntp,33434-33500# ip filter source-route on# ip filter directed-broadcast on# pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 10 11 12 13 14 15 16pp1# pp enable 1pp1# syslog host 192.168.1.3pp1# syslog notice onpp1# savepp1# interface reset bri1
192.168.1.1 192.168.1.0 / 24
The Internet
192.168.1.2 192.168.1.3
3.IP 過濾設置範例 51
【解說】1. 使用 line type 命令,將線路種類決定為 64kbit/s 數字專線。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,將轉發到外部的數據包的默認路由改為使用專線。
4. 使用 ip filter 命令,定義過濾標準。
首先,定義過濾標準 10 號,過濾所有源 IP 地址為 192.168.1.* 的數據包。
然后,通過定義過濾標準 11 號至 15 號,對于從外部傳輸到網絡內部的業務進行過濾。
定義過濾標準 16 號,對于從外部傳輸到 barrier segment 的業務進行過濾。目的端口號碼 33434-33500 用于 traceroute。
5. 使用 ip filter source-route 命令,過濾掉帶 Source-route 選項的 IP 數據包。
6. 使用 ip filter directed-broadcast 命令,過濾掉目的 IP 地址為 Directed-Broadcast IP 數據包。
7. 使用 pp select 命令,選擇對方信息號碼。
8. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
9. 使用 ip pp secure filter 命令,在 PP 側的入口進行過濾,所以指定「in」。
10. 使用 syslog host 命令,設置接收被過濾的數據包的 SYSLOG 的主機。
11. 使用 syslog notice 命令,用 SYSLOG 報告被過濾的數據包。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
13. 使用 interface reset 命令,切換線路的硬件。然后,數據包即開始被轉發。
52 3.IP 過濾設置範例
3.13 應對 ip spoofing 攻擊、land 攻擊和 smurf 攻擊
【條件】如下圖所示,為了保護 10.0.0.0/24 的網絡設備需要而具備 IP 數據包過濾功能。
同時具備對 ip spoofing 攻擊、land 攻擊和 smurf 攻擊的防禦功能。
【步驟】
# pp select 1pp1# ip filter 60 reject 10.0.0.0/24 * * * *pp1# ip filter 100 pass * 10.0.0.0/24 * * *pp1# ip pp secure filter in 60 100pp1# save
【解說】ip spoofing 攻擊 (Source Address Spoofing)是指偽造源 IP 地址進行通信,使看起來像是網絡內部的通信。
在與服務提供商(ISP)的連接等中,內部使用的網絡 (的 IP 地址)不會存在于外部,所以它會被 IP 數據包過濾功能過濾掉。
Land 攻擊是指拋出與源 IP 地址及目的 IP 地址基本相同的數據包。這種數據包會被 IP 數據包過濾功能過濾掉。
smurf 攻擊是指向 IP 廣播地址連續發送偽造的 ICMP echo Request 數據包,妨礙網絡業務運行的攻擊方式。
IP 數據包過濾功能過濾「網絡地址+ all 0…network address」和「網絡地址+ all 1…directed broadcast address」的數據包。
按下列方式設置 ip filter directed-broadcast 命令,同樣可以防禦 smurf 攻擊。
#ip filter directed-broadcast on
10.0.0.0 / 24
The Internet
WS/PC WS/PC WS/PC
4. 動態過濾 53
4. 動態過濾
動態過濾標準能夠監控數據包,根據需要,動態地讓數據包通過或阻止通過。
例如,只允許特定的客機-服務器間的數據包通過時 , 一般必須設置靜態過濾 , 允許客機 - 服務器之間雙向的數據流通過。此時,即
使客機 - 服務器之間沒有通信,符合過濾條件的數據包也能通過。
另一方面,用動態過濾標準設置過濾時,在檢測出客戶向服務器發出的要求數據包時,就會動態生成雙向過濾標準,允許該通信的數
據包通過。當檢測到連接已結束時,這些通過過濾標準就會無效,所以在客戶-服務器之間無通信的狀態下,任何數據包的傳輸都被
阻止。這時需要注意的是,為了阻止其他數據包的傳輸,必須配合使用動態過濾標準與靜態過濾標準。
例如,對 pp out 適用了動態過濾標準時,在雙方向(pp in)上也將生成動態過濾標準,允許相關的數據包通過。要阻止其他數據包
時,有必要進行以下靜態過濾標準的設置。
ip filter 100 reject * * * * * ip pp secure filter in 100
另外,在同一位置下靜態過濾標準和動態過濾標準配合使用時,按照以下步驟進行。
只設置了靜態過濾標準時
ip pp secure filter out 1
將數據包與過濾標準 1進行匹配和過濾,不符合條件的數據包被阻止傳輸。
靜態過濾標準和動態過濾標準配合使用時,
ip pp secure filter out 1 dynamic 10
各數據包首先與靜態過濾標準 1 進行匹配,決定是否讓其通過或阻止。只有通過的數據包才能進而與動態過濾標準 10 進行匹配。所
有通過靜態過濾標準 1的數據包,包括不符合動態過濾標準的數據包都能通過。
例如,同時在反方向上如果有
ip pp secure filter in dynamic 20
的設置,由于動態過濾標準 20 的作用,在 pp out 動態生成了使數據包通過的過濾標準時,各數據包在與上述靜態過濾標準 1 進行匹
配之前,先與自動生成的過濾標準進行匹配,如果符合條件,則當時決定通過,不被靜態過濾標準阻止。
只設置了動態過濾標準時
ip pp secure filter out dynamic 10
各數據包被與動態數據包 10 進行匹配和過濾,包括不符合條件的數據包在內,所有數據包均通過。
另外,設置了動態過濾標準時,與靜態過濾標準比較,處理負荷會增大。
54 4. 動態過濾
4.1 只允許向 PP 側轉發來自特定網絡的 TCP/UDP 數據包,並允許來自 PP 側的應答數據包進入
【設置步驟】
# ip filter dynamic 1 192.168.0.0/24 * ftp# ip filter dynamic 2 192.168.0.0/24 * tftp# ip filter dynamic 3 192.168.0.0/24 * tcp# ip filter dynamic 4 192.168.0.0/24 * udp# ip filter 1 pass 192.168.0.0/24 * tcp,udp# ip filter 100 reject * * * * *# pp select 1pp1# ip pp secure filter in 100pp1# ip pp secure filter out 1 dynamic 1 2 3 4
【解說】1. # ip filter dynamic 1 192.168.0.0/24 * ftp
# ip filter dynamic 2 192.168.0.0/24 * tftp# ip filter dynamic 3 192.168.0.0/24 * tcp# ip filter dynamic 4 192.168.0.0/24 * udp
對于 TCP/UDP 數據包,定義動態過濾標準。因為過濾 FTP 和 TFTP 數據包時,要判斷反方向的數據包讓其通過,所以另外指
定。指定源 IP 地址,只以來自特定網絡的數據包為對象。
2. # ip filter 1 pass 192.168.0.0/24 * tcp,udp定義限定轉發給 PP 側的數據包的過濾標準。
3. # ip filter 100 reject * * * * *定義過濾標準,阻止不符合動態生成的過濾標準的數據包。
4. # pp select 1pp1# ip pp secure filter in 100
原則上全部阻止來自 PP 側的數據包。在 PP out 使用的動態標準,會自動在反方向生成過濾標準,使來自 PP 側有接收必要
的數據通過。
5. pp1# ip pp secure filter out 1 dynamic 1 2 3 4對于被轉發到 PP 側的數據包進行過濾。不符合靜態過濾標準 1 的數據包全被阻止。作為動態過濾標準的過濾順序,必須在
TCP 之先指定 FTP,在 UDP 之先指定 TFTP。
4. 動態過濾 55
4.2 允許向 PP 側轉發來自內部特定網絡的所有數據包。特定外部的 DNS/ 郵件服務器
對來自 PP 側的數據包,除了對內部發出要求的通信進行應答的數據包以外,還允許從外部進行連接的內部 DNS/HTTP/ 郵件服務器的
數據包以及 ICMP 數據包通過。
DNS 服務器172.16.128.2
郵件服務器172.16.128.3
允許向 PP 轉發數據包的內部特定網絡192.168.0.0/24
內部 DNS 服務器192.168.0.2
內部 HTTP 服務器192.168.0.3
內部郵件服務器192.168.0.3
【設置步驟】
# ip filter dynamic 1 * 172.16.128.2 domain# ip filter 1 pass * * tcp * smtp,pop3# ip filter 2 pass * * tcp * ident# ip filter dynamic 2 192.168.0.0/24 172.16.128.3 filter 1 in 2# ip filter dynamic 3 192.168.0.0/24 * www# ip filter dynamic 4 192.168.0.0/24 * ftp# ip filter dynamic 5 192.168.0.0/24 * telnet# ip filter dynamic 10 192.168.0.0/24 * tcp syslog=off# ip filter dynamic 11 192.168.0.0/24 * udp syslog=off# ip filter 3 pass * 192.168.0.0/24 icmp * *# ip filter dynamic 20 * 192.168.0.2 domain# ip filter dynamic 21 * 192.168.0.3 www# ip filter 4 pass * 192.168.0.2 tcp * domain# ip filter 5 pass * 192.168.0.3 tcp * www# ip filter 6 pass * 192.168.0.3 tcp * smtp,pop3# ip filter 7 pass * * tcp * ident# ip filter dynamic 22 * 192.168.0.3 filter 6 in 7# pp select 1pp1# ip pp secure filter in 3 4 5 6 dynamic 20 21 22pp1# ip pp secure filter out dynamic 1 2 3 4 5 10 11
【解說】1. # ip filter dynamic 1 * 172.16.128.2 domain
針對外部特定 DNS 服務器定義動態過濾標準。不指定協議名稱 tcp/udp,而指定應用程序名,這是為了能進行動態過濾標準
的應用程序固有的處理。
2. # ip filter 1 pass * * tcp * smtp,pop3# ip filter 2 pass * * tcp * ident# ip filter dynamic 2 192.168.0.0/24 172.16.128.3 filter 1 in 2
針對外部特定郵件服務器定義動態過濾標準。指定源 IP 地址,只以來自內部特定網絡的數據包作為對象。檢測出符合過濾
標準 1 的數據包后,在反方向上允許符合過濾標準 2 的數據包在一段時間內通過。這個反方向的過濾標準在默認狀態下,沒
有數據通過后,還保持 3600 秒鐘。
TCP 的 ident 是一種認證。進行郵件通信時,有時會在郵件服務器上用 ident 進行用戶信息認證。
在 ip filter dynamic 命令中,也可以使用 ip filter 命令的定義,但此時不進行應用程序固有的處理。
要以檢測非法侵入等目的進行 smtp.pop3 固有的處理時,必須進行以下類似設置。
ip filter dynamic 1 192.168.0.0/24 172.16.128.3 smtp (client → server)
ip filter dynamic 2 192.168.0.0/24 172.16.128.3 pop3 (client → server)
ip filter 1 pass 172.16.128.3 192.168.0.0/24 tcp * identip filter dynamic 20 172.16.128.3 192.168.0.0/24 filter 1 (server → client)
pp select 1ip pp secure filter in 1 dynamic 20ip pp secure filter out dynamic 1 2
對 pp in 使用靜態過濾標準 1 是為了阻止不符合該靜態過濾標準 1 的數據包。因為動態過濾標準 1,2 的作用,在 pp in 中
自動生成允許數據包通過的過濾標準,所以 SMTP/POP3 中必要的數據包都能夠通過。
56 4. 動態過濾
3. # ip filter dynamic 3 192.168.0.0/24 * www# ip filter dynamic 4 192.168.0.0/24 * ftp# ip filter dynamic 5 192.168.0.0/24 * telnet
與對 DNS 服務器的動態過濾標準的設置相同,為了動態過濾標準指定的應用程序進行固有的處理,不是簡單地指定協議
tcp/udp,而是指定應用程序名。指定源 IP 地址,只以來自內部的特定網絡的數據包為對象。
4. # ip filter dynamic 10 192.168.0.0/24 * tcp syslog=off# ip filter dynamic 11 192.168.0.0/24 * udp syslog=off
過濾其他 TCP/UDP 數據包的動態過濾標準。設置成 syslog=off,不輸出關于 TCP/UDP 數據包的動態過濾標準的 Log (日
誌)。並且指定源 IP 地址,只以來自內部特定網絡的數據包為對象。
5. # ip filter 3 pass * 192.168.0.0/24 icmp * *定義讓 ICMP 數據包通過的過濾標準。
6. # ip filter dynamic 20 * 192.168.0.2 domain# ip filter dynamic 21 * 192.168.0.3 www
針對從外部訪問內部 DNS/HTTP 服務器的數據包,定義動態過濾標準。
7. # ip filter 4 pass * 192.168.0.2 tcp * domain# ip filter 5 pass * 192.168.0.3 tcp * www
針對從外部訪問內部 DNS/HTTP 服務器的數據包,定義動態過濾標準。被靜態過濾標準阻止后,動態過濾標準就無法進行過
濾,所以有必要定義上述使數據包通過的過濾標準。
8. # ip filter 6 pass * 192.168.0.3 tcp * smtp,pop3# ip filter 7 pass * * tcp * ident# ip filter dynamic 22 * 192.168.0.3 filter 6 in 7
針對從外部訪問內部郵件服務器的數據包,定義靜態過濾標準和動態過濾標準。該動態過濾標準的設置與上述動態過濾標準
2 的方向相反,適用于 pp in 側。為了檢測非法入侵而要對 smtp,pop3 進行固有處理時,需要進行以下類似設置,例如
ip filter dynamic 20 * 192.168.0.3 smtp (client → server)
ip filter dynamic 21 * 192.168.0.3 pop3 (client → server)
ip filter 1 pass * 192.168.0.3 tcp * smtp,pop3ip filter 2 pass * * tcp * ident
ip filter dynamic 1 192.168.0.3 * filter 2 (server → client)
pp select 1ip pp secure filter in 1 dynamic 20 21ip pp secure filter out dynamic 1
9. # pp select 1pp1# ip pp secure filter in 3 4 5 6 dynamic 20 21 22
對于從 PP 側接收的數據包,使用動態過濾標準。通過使用動態過濾標準,進行連接的管理等。
10. pp1# ip pp secure filter out dynamic 1 2 3 4 5 10 11對于向 PP 側轉發的數據包,使用動態過濾標準。指定過濾標準順序時,必須在指定應用程序的過濾標準之后指定過濾標準
10,11。
4. 動態過濾 57
4.3 對 PP 側轉發所有數據包,讓來自 PP 側的內部對外部服務器建立的控制連接的數據包,和之后的兩個數據連接的數據包通過
觸發的控制連接是至 TCP 的 6000 號端口號為的連接。兩個數據連接中,1 個與控制連接位于相同方向,從內部向服務器建立連
接,至 UDP 的 7001 號。另一個數據連接相反是由外部 (服務器側)建立的連接,至 UDP 的 7002 號。
外部服務器172.16.128.128
【設置步驟】
# ip filter 1 pass * * tcp * 6000# ip filter 2 pass * * udp * 7001# ip filter 3 pass * * udp * 7002# ip filter dynamic 1 * 172.16.128.128 filter 1 in 3 out 2# ip filter 100 reject * * * * *# pp select 1pp1# ip pp secure filter in 100pp1# ip pp secure filter out dynamic 1
【解說】1. # ip filter 1 pass * * tcp * 6000
# ip filter 2 pass * * udp * 7001# ip filter 3 pass * * udp * 7002# ip filter dynamic 1 * 172.16.128.128 filter 1 in 3 out 2
檢測到符合過濾標準 1 的至外部特定服務器的數據包后,讓相同方向相同主機間符合過濾標準 2 的數據包和相反方向的相同
主機間符合過濾標準 3 的數據包在一段時間內通過。該通過過濾標準在默認狀態下,在數據停止傳輸后,保持 30 秒鐘。
2. # ip filter 100 reject * * * * *定義過濾標準,阻止不符合動態生成的過濾標準的數據包。
3. # pp select 1pp1# ip pp secure filter in 100
原則上全部阻止來自 PP 側的數據包。
在 PP out 設置的動態過濾標準會使用于 PP in,自動生成使數據包通過的動態過濾標準,允許使 PP 側接收必要的數據包。
4. pp1# ip pp secure filter out dynamic 1對于轉發到 PP 側的數據包,使用動態過濾標準。
58 4. 動態過濾
4.4 連接因特網,限制來自外部的訪問 (有 barrier segnment)
【設置步驟】
# line type bri1 l128# ip lan1 address 192.168.1.241/28# ip filter 1 reject 192.168.1.0/24 * * * *# ip filter 2 pass * * icmp * *# ip filter dynamic 20 * 192.168.1.240/28 telnet# ip filter dynamic 21 * 192.168.1.240/28 smtp# ip filter dynamic 22 * 192.168.1.240/28 www# ip filter dynamic 30 * 192.168.1.240/28 tcp# ip filter dynamic 31 * 192.168.1.240/28 udp# ip filter 3 reject * 192.168.1.240/28 established * telnet,smtp,gopher,
finger,www,nntp,ntp# ip filter 4 pass * 192.168.1.240/28 tcp,udp * telnet,smtp,gopher,
finger,www,nntp,ntp,33434-33500# ip filter dynamic 1 * * domain# ip filter dynamic 2 * * www# ip filter dynamic 3 * * ftp# ip filter 5 pass * * tcp * smtp,pop3# ip filter 6 pass * * tcp * ident# ip filter dynamic 4 * * filter 5 in 6# ip filter dynamic 10 * * tcp# ip filter dynamic 11 * * udp# ip filter source-route on# ip filter directed-broadcast on# pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 1 2 3 4 dynamic 20 21 22 30 31pp1# ip pp secure filter out dynamic 1 2 3 4 10 11pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# syslog host 192.168.1.242# syslog notice on# save# interface reset bri1
【解說】1. # line type bri1 l128
設置線路類別。該設置在接口重啟或設置重新啟動后生效。
2. # ip lan1 address 192.168.1.241/28# ip filter 1 reject 192.168.1.0/24 * * * *
定義過濾標準,阻止源地址為 192.168.1.0/24 的數據包。
3. # ip filter 2 pass * * icmp * *定義讓 ICMP 數據包通過的過濾標準。
4. # ip filter dynamic 20 * 192.168.1.240/28 telnet# ip filter dynamic 21 * 192.168.1.240/28 smtp# ip filter dynamic 22 * 192.168.1.240/28 www# ip filter dynamic 30 * 192.168.1.240/28 tcp# ip filter dynamic 31 * 192.168.1.240/28 udp# ip filter 3 reject * 192.168.1.240/28 established * telnet,smtp,gopher, finger,www,nntp,ntp# ip filter 4 pass * 192.168.1.240/28 tcp,udp * telnet,smtp,gopher, finger,www,nntp,ntp,33434-33500
4. 動態過濾 59
在 barrier segnment 上定義允許讓向外部提供的服務通過的過濾標準。端口 33434-33500 被用于 traceroute。在動態過濾
標準的定義中,不指定協議名稱 tcp/udp,而指定應用程序名,這樣就可以進行動態過濾標準的應用程序固有的處理。
5. # ip filter dynamic 1 * * domain# ip filter dynamic 2 * * www# ip filter dynamic 3 * * ftp
定義針對外部各服務器的動態過濾標準。
不指定協議名稱 tcp/udp,而指定應用程序名,是為了能做到動態過濾標準的應用程序固有的處理。
6. # ip filter 5 pass * * tcp * smtp,pop3# ip filter 6 pass * * tcp * ident# ip filter dynamic 4 * * filter 5 in 6
定義針對外部郵件服務器的動態過濾標準。檢測到符合過濾標準 5 的數據包后,就在反方向上允許符合過濾標準 6 的數據包
通過在一定時間內。該反方向的允許數據包通過的過濾標準在默認狀態下,數據停止傳輸后,仍保持 3600 秒鐘。
TCP 的 ident 是一種認證。在進行郵件通信時,有時會在郵件服務器側用 ident 對用戶信息進行認證。
在 ip filter dynamic 命令中,也可以使用 ip filter 命令的定義,但此時不進行應用程序固有的處理。
為了檢測非法入侵等進行對 smtp.pop3 固有的處理時,必須進行以下類似設置。
ip filter dynamic 1 * * smtp ? (client → server)
ip filter dynamic 2 * * pop3 ? (client → server)
ip filter 1 pass * * tcp * identip filter dynamic 20 * * filter 1 (server → client)
pp select 1ip pp secure filter in 1 dynamic 20ip pp secure filter out dynamic 1 2
對 pp in 適用靜態過濾標準 1 是為了阻止不符合該靜態過濾標準 1 的數據包通過。因為動態過濾標準 1,2 的作用,在 pp in
中自動生成允許數據包通過的過濾標準,所以 SMTP/POP3 必要的數據包能夠通過。
# ip filter dynamic 10 * * tcp# ip filter dynamic 11 * * udp
定義針對其他 TCP/UDP 數據包的過濾標準。
# ip filter source-route on是阻止帶 source-route 選項的 IP 數據包通過的設置。因為 Source-route 選項可能被用作闖過過濾等的進攻工具,所以加
以阻止。
7. # ip filter directed-broadcast on是為了阻止轉發至 Directed Broadcast 地址的 IP 數據包通過的設置。對 smurf attack 有效。
8. # pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 1 2 3 4 dynamic 20 21 22 30 31
對從 PP 側接收的數據包使用過濾標準,進行過濾。指定過濾標準的順序時,必須在應用程序指定的過濾標準之后指定過濾
標準 30,31。
9. pp1# ip pp secure filter out dynamic 1 2 3 4 10 11關于轉發到 PP 側的數據包,使用動態過濾標準。指定過濾標準的順序時,必須在應用程序指定的過濾標準之后指定過濾標
準 10,11。因為不使用靜態過濾標準,所以所有在 PP 接口轉發方向上的數據包都能通過。
10. pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# syslog host 192.168.1.242# syslog notice on# save# interface reset bri1
與設置變更之前相比,線路種類發生了變化,所以重啟接口。可以用 restart 命令重新啟動整個設備。
60 4. 動態過濾
4.5 連接因特網,限制來自外部的訪問 (無 barrier segment)
【設置步驟】
# line type bri1 l128# ip lan1 address 192.168.1.1/24# ip filter 1 reject 192.168.1.0/24 * * * *# ip filter 2 pass * * icmp * *# ip filter dynamic 20 * 192.168.1.2 telnet# ip filter dynamic 21 * 192.168.1.2 smtp# ip filter dynamic 22 * 192.168.1.2 www# ip filter dynamic 30 * 192.168.1.2 tcp# ip filter dynamic 31 * 192.168.1.2 udp# ip filter 3 reject * 192.168.1.2 established * telnet,smtp,gopher,
finger,www,nntp,ntp# ip filter 4 pass * 192.168.1.2 tcp,udp * telnet,smtp,gopher,
finger,www,nntp,ntp,33434-33500# ip filter dynamic 1 * * domain# ip filter dynamic 2 * * www# ip filter dynamic 3 * * ftp# ip filter 5 pass * * tcp * smtp,pop3# ip filter 6 pass * * tcp * ident# ip filter dynamic 4 * * filter 5 in 6# ip filter dynamic 10 * * tcp# ip filter dynamic 11 * * udp# ip filter source-route on# ip filter directed-broadcast on# pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 1 2 3 4 dynamic 20 21 22 30 31pp1# ip pp secure filter out dynamic 1 2 3 4 10 11pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# syslog host 192.168.1.3# syslog notice on# save# interface reset bri1
【解說】1. # line type bri1 l128
設置線路種類。該設置在接口重啟或設置重新啟動后生效。
2. # ip lan1 address 192.168.1.1/24# ip filter 1 reject 192.168.1.0/24 * * * *
定義阻止源地址為 192.168.1.0/24 的數據包。
3. # ip filter 2 pass * * icmp * *定義允許 ICMP 數據包通過的過濾標準。
4. # ip filter dynamic 20 * 192.168.1.2 telnet# ip filter dynamic 21 * 192.168.1.2 smtp# ip filter dynamic 22 * 192.168.1.2 www# ip filter dynamic 30 * 192.168.1.2 tcp# ip filter dynamic 31 * 192.168.1.2 udp# ip filter 3 reject * 192.168.1.2established * telnet,smtp,gopher,finger,www,nntp,ntp
# ip filter 4 pass * 192.168.1.2 tcp,udp * telnet,smtp,gopher,finger,www,nntp,ntp,33434-33500
4. 動態過濾 61
允許特定服務器 192.168.1.2 向外部提供的服務。端口 33434-33500 被用于 traceroute。在動態過濾標準的定義中,不指
定協議名稱 tcp/udp,而指定應用程序名,這樣就可以進行動態過濾標準的應用程序固有的處理。
5. # ip filter dynamic 1 * * domain# ip filter dynamic 2 * * www# ip filter dynamic 3 * * ftp
定義針對外部各服務器的動態過濾標準。
不指定協議名稱 tcp/udp,而指定應用程序名,是為了能做到動態過濾標準的應用程序固有的處理。
6. # ip filter 5 pass * * tcp * smtp,pop3# ip filter 6 pass * * tcp * ident# ip filter dynamic 4 * * filter 5 in 6
定義針對外部郵件服務器的動態過濾標準。檢測到符合過濾標準 5 的數據包后,就在反方向上允許符合過濾標準 6 的數據包
在一定時間內通過。該反方向的允許數據包通過的過濾標準在默認狀態下,數據停止傳輸后仍保持 3600 秒鐘。TCP 的 ident
是一種認證。在進行郵件通信時,有時會在郵件服務器側用 ident 對用戶信息進行認證。
在 ip filter dynamic 命令中,也可以使用 ip filter 命令的定義,但此時不進行應用程序固有的處理。
為了檢測非法入侵等進行 smtp.pop3 固有的處理時,必須進行以下類似設置。
ip filter dynamic 1 * * smtp (client → server)
ip filter dynamic 2 * * pop3 (client → server)
ip filter 1 pass * * tcp * identip filter dynamic 20 * * filter 1 (server → client)
pp select 1ip pp secure filter in 1 dynamic 20ip pp secure filter out dynamic 1 2
對 pp in 適用靜態過濾標準 1 是為了阻止不符合該靜態過濾標準 1 的數據包通過。因為動態過濾標準 1,2 的作用,在 pp in
中自動生成通過過濾標準,所以 SMTP/POP3 的必要的數據包能夠通過。
# ip filter dynamic 10 * * tcp# ip filter dynamic 11 * * udp
定期過濾其他 TCP/UDP 數據包的動態過濾標準。
7. # ip filter source-route on阻止帶 source-route 選項的 IP 數據包通過。因為 Source-route 選項可能被用作闖過過濾等的進攻工具,所以加以阻止。
8. # ip filter directed-broadcast on阻止轉發至 Directed Broadcast 地址的 IP 數據包通過。對 smurf attack 有效。
9. # pp select 1pp1# pp bind bri1pp1# ip pp secure filter in 1 2 3 4 dynamic 20 21 22 30 31
對從 PP 側接收的數據包使用過濾標準,進行過濾。指定過濾標準的順序時,必須在應用程序指定的過濾標準之后指定過濾
標準 30,31。
10. pp1# ip pp secure filter out dynamic 1 2 3 4 10 11關于轉發到 PP 側的數據包,使用動態過濾標準。指定過濾標準的順序時,必須在應用程序指定的過濾標準之后指定過濾標
準 10,11。
因為不使用靜態過濾標準,所以所有在 PP 接口轉發方向上的數據包都能通過。
11. pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# syslog host 192.168.1.3# syslog notice on# save# interface reset bri1
與設置變更之前相比,線路種類發生了變化,所以要重啟接口。可以用 restart 命令重新啟動整個設備。
62 4. 動態過濾
5. 動態過濾之 2 (檢測非法訪問) 63
5. 動態過濾之 2 (檢測非法訪問)
將通過的數據包與非法數據包的特征比較,能夠檢測到非法入侵和攻擊,通知用戶。除了數據包單位的處理以外,還進行基于連接狀
態的檢查、需要進行端口掃描之類的狀態管理的檢查。但是,請注意,因為很難準確判斷是否是非法入侵行為,所以檢測不是萬能
的。
檢測非法訪問時,使用動態過濾標準管理的信息。通過結合使用動態過濾標準, 大限度地發揮檢測非法訪問的效果。例如,如果已
經設置了針對 SMTP 的動態過濾標準,則根據設置的信息,檢測與 SMTP 有關的非法入侵。相反,如果沒有設置動態過濾標準,則不檢
測與 SMTP 有關的非法入侵。
而像 IP 報頭和 ICMP 之類動態過濾標準無法過濾的數據包,無論是否設置了動態過濾標準,都會加以檢測。關于 TCP 和 UDP,基本上
即使不定義動態過濾標準,也會進行檢測。
5.1 檢測由 PP 接口轉發至內部的通信引起的非法入侵和攻擊
【設置步驟】
# pp select 1pp1# ip pp intrusion detection in on
【解說】以來自 pp 接口的數據包為對象檢測非法訪問。檢測到時,在默認狀態下,只是將它作為 LOG 記錄下來,而不會作為非法數據包丟棄。
5.2 檢測由 PP 接口轉發到內部的通信引起的非法入侵和攻擊,並且丟棄非法數據包
【設置步驟】
# pp select 1pp1# ip pp intrusion detection in on reject=on
【解說】指定 reject,丟棄非法數據包。
5.3 檢測由 PP 接口轉發到內部的通信引起的與 FTP/SMTP 有關的非法入侵和攻擊等的檢測
【設置步驟】
# ip filter dynamic 1 * * ftp# ip filter dynamic 2 * * smtp# pp select 1pp1# ip pp secure filter in dynamic 1 2pp1# ip pp intrusion detection in on
【解說】如果不設置動態過濾標準,就不能進行 FTP/SMTP 有關檢測,所以按照範例中的說明結合使用動態過濾標準。所有數據包都會通過,
與過濾標準的是否匹配無關。
64 5. 動態過濾之 2(檢測非法訪問)
6.PAP/CHAP 的設置 65
6. PAP/CHAP 的設置
本章說明 PAP/CHAP 的安全設置。
通過 PPP 的認證協議,PAP (Password Authentication Protocol)和 CHAP (Challenge Handshake Authentication
Protocol)可以保證與 PP 側的通信安全。對特定的通信對象,不能同時使用 PAP 和 CHAP。
按照下面的順序說明 PAP 和 CHAP 的設置方法。
1. 某一方使用 PAP 時
2. 兩側都使用 PAP 時
3. 某一方使用 CHAP 時
4. 兩側都使用 CHAP 時
66 6.PAP/CHAP 的設置
6.1 某一方使用 PAP 時
【認證的設置條件】‧路由器 A 只進行 PAP 認證
‧路由器 A 承認的路由器 B 的用戶名是 「RT105i-A」,並且它的密碼是 「himitsu」
‧路由器 B 承認 PAP 認證
‧路由器 B 轉發給路由器 A 的用戶名是 「RT105i-A」,並且它的密碼是 「himitsu」。
【路由器 A(認證方)的設置步驟】
# pp select 1pp1# pp auth request pappp1# pp auth username RT105i-A himitsupp1# pp enable 1pp1# save
【路由器 B(被認證方)的設置步驟】
# pp select 1pp1# pp auth accept pappp1# pp auth myname RT105i-A himitsupp1# pp enable 1pp1# save
172.16.112.215 192.168.128.2
6.PAP/CHAP 的設置 67
6.2 兩側都使用 PAP 時
與某一側使用 PAP 的場合一樣,兩側都進行以下設置。
【步驟】
# pp select 1pp1# pp auth request pappp1# pp auth accept pappp1# pp auth myname RT105i-A himitsupp1# pp auth username RT105i-A himitsupp1# pp enable 1pp1# save
6.3 某一方使用 CHAP 時
【認證的設置條件】
‧路由器 A 只進行 CHAP 認證
‧路由器 A 承認的路由器 B 的用戶名是 「RT105i-A」,並且密碼是 「himitsu」
‧路由器 B 承認 CHAP 認證
‧路由器 B 轉發給路由器 A 的用戶名是 「TR105i-A」,並且密碼是 「himitsu」
【路由器 A (認證方)的設置步驟】
# pp select 1pp1# pp auth request chappp1# pp auth username RT105i-A himitsupp1# pp enable 1pp1# save
【路由器 B (被認證方)的設置步驟】
# pp select 1pp1# pp auth accept chappp1# pp auth myname RT105i-A himitsupp1# pp enable 1pp1# save
172.16.112.215 192.168.128.2
68 6.PAP/CHAP 的設置
6.4 兩側都使用 CHAP 時
與某一側使用 CHAP 時一樣,兩側都進行以下設置。
【認證的設置步驟】
# pp select 1pp1# pp auth request chappp1# pp auth accept chappp1# pp auth myname RT105i-A himitsupp1# pp auth username RT105i-A himitsupp1# pp enable 1pp1# save
7.DHCP 功能設置範例 69
7. DHCP 功能設置範例
本章說明以下網絡連接方式。
1. 只在本地網絡使用 DHCP 服務器功能
2. 在兩個網絡中使用 DHCP 功能
3. 從 DHCP 服務器獲取 WAN 側地址 (使用 IP 偽裝 (IP Masquerade)功能)
4. 從 DHCP 服務器獲取 PP 遠程側地址
下面對各種網絡連接方式,按照結構圖、步驟和解說的順序進行說明。
70 7.DHCP 功能設置範例
7.1 只在本地網絡使用 DHCP 服務器功能
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 192.168.1.130/28# ip route 192.168.1.144/28 gateway pp 1# dhcp scope 1 192.168.1.129-192.168.1.142/28 except 192.168.1.130# dhcp service server# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.1.150/28# ip route 192.168.1.128/28 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
192.168.1.130
03-1234-5678/Tokyo
192.168.1.128 / 28 192.168.1.144 / 28
WS/PC
WS/PC
192.168.1.145
192.168.1.146
192.168.1.150
06-1111-9999/Osaka
ISDN
WS/PC WS/PC
7.DHCP 功能設置範例 71
【解說】說明將路由器 A 用作 DHCP 服務器,向網絡 192.168.1.128 的 DHCP 客戶動態分配 IP 地址時的設置。
因為用 ISDN 線路連接的網絡 192.168.1.144 與 DHCP 的動作無關,所以在路由器 B 側沒有必要進行有關 DHCP 的設置。
■ 路由器 A
1. 使用 isdn local address 命令,設置連接的 BRI 號碼和 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方網絡的靜態路由。
4. 使用 dhcp scope 命令,定義 DHCP 作用域(scope)。
在這種設置下,省略了用 gateway關鍵字設置的參數,路由器的 IP 地址作為網關地址通知給 DHCP 客戶。而且,省略了
用 expire, maxexpire關鍵字設置的參數,所以 IP 地址的租用期使用默認值 72 小時。
5. 使用 dhcp service 命令,啟動 DHCP 服務器功能。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
8. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
9. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
10. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
■ 路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方網絡的靜態路由。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
6. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
7. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
8. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
IP 地址 分配
192.168.1.128 LAN 側的網絡地址
192.168.1.129 DHCP 客戶 (1 台)地址
192.168.1.130 DHCP 服務器路由器的 LAN 接口地址
192.168.1.131:
192.168.1.142DHCP 客機 (client)(12 台)地址
192.168.1.143 LAN 的廣播地址
72 7.DHCP 功能設置範例
7.2 在兩個網絡中使用 DHCP 功能
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 192.168.1.1/24# ip route 192.168.2.0/24 gateway pp 1# dhcp scope 1 192.168.1.2-192.168.1.64/24 except 192.168.1.7# dhcp scope 2 192.168.2.1-192.168.2.32/24 except 192.168.2.8 gateway 192.168.2.8# dhcp scope bind 1 192.168.1.5 aa:aa:aa:aa:aa:aa# dhcp scope bind 1 192.168.1.6. ethernet bb:bb:bb:bb:bb:bb# dhcp scope bind 2 192.168.2.5. ethernet cc:cc:cc:cc:cc:cc# dns server 192.168.1.7# dhcp service server# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
DNSServer
WS/PC
192.168.1.7
192.168.1.1
03-1234-5678/Tokyo
192.168.1.0 / 24
aa:aa:aa:aa:aa:aa:192.168.1.5
bb:bb:bb:bb:bb:bb192.168.1.6
cc:cc:cc:cc:cc:cc192.168.2.5
192.168.2.0 / 24
WS/PC
WS/PC
192.168.2.8
06-1111-9999/Osaka
ISDN
WS/PC WS/PC
7.DHCP 功能設置範例 73
【路由器 B 的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.2.8/24# ip route 192.168.1.0/24 gateway pp 1# dhcp relay server 192.168.1.1# dhcp service relay# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
【解說】路由器 A 用作 DHCP 服務器,對網絡 192.168.1.0 及網絡 192.168.2.0 的 DHCP 客戶動態及固定分配 IP 地址時。
用 ISDN 線路連接的網絡 192.168.2.0 的路由器 B 必須發揮 DHCP 中繼代理的功能。而且務必要從 DHCP 作用域(scope)中去除,使其
不對網絡上的 DNS 服務器等的 IP 地址進行分配。
IP 地址 分配 作用域(scope)
192.168.1.0 LAN 側的網絡地址 —
192.168.1.1 DHCP 服務器路由器的 LAN 接口地址 —
192.168.1.2:
192.168.1.6DHCP 客戶 (5 台)地址 1
192.168.1.7 DNS 服務器地址 —
192.168.1.8:
192.168.1.64DHCP 客戶 (57 台)地址 1
192.168.1.65:
192.168.1.254主機 (190 台)地址 —
192.168.1.255 LAN 的廣播地址
192.168.2.0 LAN 側的網絡地址 —
192.168.2.1:
192.168.2.7DHCP 客戶 (7 台)地址 2
192.168.2.8 DHCP 中繼代理路由器的 LAN 接口地址 —
192.168.2.9:
192.168.2.32DHCP 客戶 (24 台)地址 2
192.168.2.33:
192.168.2.254主機(222 台)地址 —
192.168.2.255 LAN 的廣播地址 —
74 7.DHCP 功能設置範例
■ 路由器 A
1. 使用 isdn local address 命令,設置連接的 BRI 號碼和 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方路由器連接的網絡的靜態路由。
4. 使用 dhcp scope 命令,定義 DHCP 作用域 (scope)。
設置作用域 1 時,它是與作為 DHCP 服務器的路由器處于相同的網絡,省略了用 gateway關鍵字設置的參數,所以作為網
關地址,路由器的 IP 地址被通知給 DHCP 客戶。而且,省略了用 expire, maxexpire關鍵字設置的參數,所以 IP 地
址的租用期使用默認值 72 小時。
5. 使用 dhcp scope bind 命令,設置 DHCP 預約地址。
6. 使用 dns server 命令,設置 DNS 服務器的 IP 地址。
7. 使用 dhcp service 命令,啟動 DHCP 服務器的功能。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
10. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
11. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
12. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
■ 路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 側的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方路由器連接的網絡的靜態路由。
4. 使用 dhcp relay server 命令,設置 DHCP 服務器的 IP 地址。
5. 使用 dhcp service 命令,設置成 DHCP 中繼代理的功能。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
8. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
9. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
7.DHCP 功能設置範例 75
7.3 從 DHCP 服務器獲取 WAN 側地址 (使用 IP 偽裝 (IP Masquerade)功能)
【結構圖】
【設置步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address dhcp# nat descriptor type 1 masquerade# nat descriptor address outer 1 primary # ip lan2 nat descriptor 1# ip route default gateway dhcp lan2# save
【解說】
在 LAN1 側構建私有地址的網絡,在 LAN2 側使用 IP 偽裝 (IP Masquerade)功能,通過 DHCP 獲得的外部地址,使 LAN1 可與因特網連
接。通過 CATV 運營商與因特網相連時,有時會使用這種連接方式。
1. # ip lan1 address 192.168.0.1/24在 LAN1 側構建私有地址網絡。
2. # ip lan2 address dhcp在 LAN2 側使用從 DHCP 服務器獲得的地址。在輸入命令或啟動時向 DHCP 服務器發出地址要求。未能成功獲得地址時,用 ip
lan2 dhcp retry 命令,再次嘗試獲得地址。
3. # nat descriptor type 1 masquerade# nat descriptor address outer 1 primary # ip lan2 nat descriptor 1
對 LAN2 適用 IP 偽裝(IP Masquerade)功能。外側地址指定為 primary 地址,使用通過 DHCP 獲得的地址。
4. # ip route default gateway dhcp lan2# save
根據必要設置路由。在這種範例中,使默認路由指向通過 DHCP 得到的網關。
The InternetWS/PC
WS/PC
LAN1 LAN2
192.168.0.0 / 29
76 7.DHCP 功能設置範例
7.4 從 DHCP 服務器獲取 PP 遠程側地址
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# ip pp remote address dhcpc lan1pp1# pp enable 1pp1# save
【路由器 B的設置步驟】
# isdn local address bri1 0312345678# ip lan1 address 192.168.1.1/24# ip route default gateway pp 1# nat descriptor type 1 masquerade# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0387654321pp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# save
【解說】
路由器 B 通過 ISDN 與路由器 A 相連時,通過 IPCP 協商所獲得的 IP 地址,是由路由器 A 側 LAN 上的 DHCP 服務器分配的。
1. # isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678
設置線路連接所需的信息。
WS/PC
WS/PC
03-8765-4321
192.168.0.0 / 24
192.168.0.1 192.168.1.1
192.168.1.0 / 24
WS/PC
WS/PC
03-1234-5678
ISDN
7.DHCP 功能設置範例 77
2. pp1# ip pp remote address dhcpc lan1pp1# pp enable 1
在路由器 A 上,從 LAN1 的 DHCP 服務器獲得 pp 側的遠程地址。在輸入命令和啟動時,向 DHCP 服務器提出地址的要求。未能
成功獲得地址時,用 ip lan1 dhcp retry 命令,再次嘗試獲得地址。
3. # isdn local address bri1 0312345678# ip lan1 address 192.168.1.1/24# ip route default gateway pp 1# nat descriptor type 1 masquerade# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0387654321pp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# save
在路由器 B 上進行設置,使其在連接時,通過 IPCP 地址協商獲得地址。在這個範例中,獲得的 IP 地址用于 IP 偽裝 (IP
Masquerade)功能。詳細設置內容請參照用 IP 偽裝 (IP Masquerade)功能設置終端型撥號連接的設置範例等。
78 7.DHCP 功能設置範例
8. DHCP 功能設置範例 79
8. DHCP 功能設置範例
本章中明的網絡連接形態如下 :
1. 只在本地網絡使用 DHCP 服務器功能
2. 在兩個網絡中使用 DHCP 功能
3. 從 DHCP 服務器獲取 WAN 側地址 (使用 IP 偽裝 (IP Masquerade)功能)
4. 從 DHCP 服務器獲取 PP 遠程側地址
下文將針對各種網絡連接形態的範例依次明構成圖、步驟及解說。
80 8. DHCP 功能設置範例
8.1 僅在本地網絡使用 DHCP 服務器功能
[ 構成圖 ]
[ 路由器 A 的設置步驟 ]
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 192.168.1.130/28# ip route 192.168.1.144/28 gateway pp 1# dhcp scope 1 192.168.1.129-192.168.1.142/28 except 192.168.1.130# dhcp service server# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
[ 路由器 B 的設置步驟 ]
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.1.150/28# ip route 192.168.1.128/28 gateway pp 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
WS/PC
WS/PC
192.168.1.130
03-1234-5678/Tokyo
192.168.1.128 / 28 192.168.1.144 / 28
WS/PC
WS/PC
192.168.1.145
192.168.1.146
192.168.1.150
06-1111-9999/Osaka
ISDN
WS/PC WS/PC
8. DHCP 功能設置範例 81
[ 解 ]以下明的設置是了將 A作 DHCP 服務器、動態地分配 IP 地址給連接在 192.168.1.12 網絡中的 DHCP 客戶端。
通過 ISDN 路連接的 192.168.1.144 網絡與 DHCP 的動作無關,因此不需要在路由器 B 進行 DHCP 相關的設置。
■路由器 A
1. 使用 isdn local address 命令,設置已連接的 BRI 號碼和 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 端的 IP 地址和掩碼。
3. 使用 ip route 命令,設置至對方路由器所連接網絡的靜態路由信息。
4. 使用 dhcp scope 命令,定義 DHCP 範圍。
這種設置時,省略了通過 gateway 關鍵字的參數設置,因此,將 IP 地址作網地址通知給 DHCP 客戶端。並且,省略了通
過 expire, maxexpire 關鍵字的參數設置,因此,IP 地址的超期時間為默認值 72 小時。
5. 使用 dhcp service 命令, 設置作為 DHCP 服務器工作。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 pp bind 命令,將所選的對方信息號碼與 BRI 端口進行綁定。
8. 使用 isdn remote address 命令,設置所選擇的對方的 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
9. 使用 pp enable 命令,用 PP 端的接口。執行此命令后,數據報就立即能夠通過該接口。
10. 使用 save 命令,將上述設置寫入非揮發性存儲器中。
■路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在 “/”后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 端的 IP 地址和掩碼。
3. 使用 ip route 命令,設置至對方路由器所連接網絡的靜態路由信息。
4. 使用 pp select 命令,選擇對方信息號碼。
5. 使用 pp bind 命令,將所選的對方信息號碼與 BRI 端口進行綁定。
6. 使用 isdn remote address 命令,設置所選擇的對方的 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
7. 使用 pp enable 命令,用 PP 端的接口。執行此命令后,數據報就立即能夠通過該接口。
8. 使用 save 命令,將上述設置寫入非揮發性存儲器中。
IP 地址 分配
192.168.1.128 LAN 端的網絡
192.168.1.129 DNCP 客戶端 (1 台)
192.168.1.130 DHCP 服務器路由器的 LAN 接口
192.168.1.131:
192.168.1.142DNCP 客戶端 (12 台)
192.168.1.143 LAN 的廣播
82 8. DHCP 功能設置範例
8.2 在兩個網絡中使用 DHCP 功能
[ 構成圖 ]
[ 路由器 A 的設置步驟 ]
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 192.168.1.1/24# ip route 192.168.2.0/24 gateway pp 1# dhcp scope 1 192.168.1.2-192.168.1.64/24 except 192.168.1.7# dhcp scope 2 192.168.2.1-192.168.2.32/24 except 192.168.2.8 gateway 192.168.2.8# dhcp scope bind 1 192.168.1.5 aa:aa:aa:aa:aa:aa# dhcp scope bind 1 192.168.1.6. ethernet bb:bb:bb:bb:bb:bb# dhcp scope bind 2 192.168.2.5. ethernet cc:cc:cc:cc:cc:cc# dns server 192.168.1.7# dhcp service server# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# save
DNSServer
WS/PC
192.168.1.7
192.168.1.1
03-1234-5678/Tokyo
192.168.1.0 / 24
aa:aa:aa:aa:aa:aa:192.168.1.5
bb:bb:bb:bb:bb:bb192.168.1.6
cc:cc:cc:cc:cc:cc192.168.2.5
192.168.2.0 / 24
WS/PC
WS/PC
192.168.2.8
06-1111-9999/Osaka
ISDN
WS/PC WS/PC
8. DHCP 功能設置範例 83
[ 路由器 B 的設置步驟 ]
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.2.8/24# ip route 192.168.1.0/24 gateway pp 1# dhcp relay server 192.168.1.1# dhcp service relay# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# save
[ 解 ]以下明的設置是了將路由器 A作 DHCP 服務器、動態或固定地分配 IP 地址給連接在 192.168.1.0 和 192.168.2.0 網絡中的 DHCP 客戶
端。
通過 ISDN 路連接至 192.168.2.0 網絡的路由器 B 需要作 DHCP 中繼代理工作。另外,必須從 DHCP 範圍中刪除,從而不進行向網絡中
的 DNS 服務器等的 IPD 地址的分配。
IP 地址 分配 範圍
192.168.1.0 LAN 端的網絡 -
192.168.1.1 DHCP 服務器路由器的 LAN 接口 -
192.168.1.2:
192.168.1.6DNCP 客戶端(5 台) 1
192.168.1.7 DNS 服務器 -
192.168.1.8:
192.168.1.64DNCP 客戶端(57 台) 1
192.168.1.65:
192.168.1.254主機 (190 台 ) -
192.168.1.255 LAN 的廣播 -
192.168.2.0 LAN 端的網絡 -
192.168.2.1:
192.168.2.7DNCP 客戶端(7 台) 2
192.168.2.8 DHCP 中繼代理路由器的 LAN 接口 -
192.168.2.9:
192.168.2.32DNCP 客戶端(24 台) 2
192.168.2.33:
192.168.2.254主機 (222 台 ) -
192.168.2.255 LAN 的廣播 -
84 8. DHCP 功能設置範例
■路由器 A
1. 使用 isdn local address 命令,設置已連接的 BRI 號碼 heISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 端的 IP 地址和掩碼。
3. 使用 ip route 命令,設置至對方路由器所連接網絡的靜態路由信息。
4. 使用 dhcp scope 命令,定義 DHCP 範圍。
範圍 1 的設置時,與 DHCP 服務器的路由器在同一個網絡,省略了通過 gateway 關鍵字的參數設置,因此,路由器的 IP
地址作網地址通知給 DHCP 客戶端。並且,省略了通過 expire, maxexpire 關鍵字的參數設置,因此,IP 地址的超期
時間為默認值 72 小時。
5. 使用 dhcp scope bind 命令,設置 DHCP 預約地址。
6. 使用 dns server 命令,設置 DNS 服務器的 IP 地址。
7. 使用 dhcp service 命令, 使用、設置作為 DHCP 服務器工作。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,將所選的對方信息號碼與 BRI 端口進行綁定。
10. 使用 isdn remote address 命令,設置所選擇的對方的 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
11. 使用 pp enable 命令,用 PP 端的接口。執行此命令后,數據報就立即能夠通過該接口。
12. 使用 save 命令,將上述設置寫入非揮發性存儲器中。
■路由器 B
1. 使用 isdn local address 命令,設置 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在“/”后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 端的 IP 地址和掩碼。
3. 使用 ip route 命令,設置至對方路由器所連接網絡的靜態路由信息。
4. 使用 dhcp relay server 命令,設置 DHCP 服務器的 IP 地址。
5. 使用 dhcp service 命令,設置作為 DHCP 中繼代理工作。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 isdn remote address 命令,設置所選擇的對方的 ISDN 號碼。請勿忘記區號。另外,同時設置子地址時,請在
“/”后輸入。
8. 使用 pp enable 命令,用 PP 端的接口。執行此命令后,數據報就立即能夠通過該接口。
9. 使用 save 命令,將上述設置寫入非揮發性存儲器中。
8. DHCP 功能設置範例 85
8.3 從 DHCP 服務器獲取 WAN 端地址 (使用 IP 地址掩蓋)
[ 構成圖 ]
[ 設置步驟 ]
# ip lan1 address 192.168.0.1/24# ip lan2 address dhcp# nat descriptor type 1 masquerade# nat descriptor address outer 1 primary # ip lan2 nat descriptor 1# ip route default gateway dhcp lan2# save
[ 解 ]
在 LAN1 端構建私有地址的網絡,通過在 LAN2 端使用通過 DHCP 獲得的全局地址的 IP 地址掩蓋,從 LAN1 連接至因特網。此形態被用
於 CATV 運營商的因特網連接中。
1. # ip lan1 address 192.168.0.1/24在 LAN1 端構建私有地址網絡。
2. # ip lan2 address dhcp在 LAN2 中使用從 DHCP 服務器獲取的地址。向 DHCP 服務器的地址將在命令輸入時及動時被要求。獲取地址失敗時,根據 ip
lan2 dhcp retry 命令的設置嘗試獲取。
3. # nat descriptor type 1 masquerade# nat descriptor address outer 1 primary # ip lan2 nat descriptor 1
對 LAN2 適用 IP 地址掩蓋。外部地址指定為主地址,使用通過 DHCP 獲取的地址。
4. # ip route default gateway dhcp lan2# save
根據需要設置路由信息。本例中,將默認路由指向用 DHCP 獲取的網。
The InternetWS/PC
WS/PC
LAN1 LAN2
192.168.0.0 / 29
86 8. DHCP 功能設置範例
8.4 從 DHCP 服務器獲取 PP 遠端地址
[ 構成圖 ]
[ 路由器 A 的設置步驟 ]
# isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# ip pp remote address dhcpc lan1pp1# pp enable 1pp1# save
[ 路由器 B 的設置步驟 ]
# isdn local address bri1 0312345678# ip lan1 address 192.168.1.1/24# ip route default gateway pp 1# nat descriptor type 1 masquerade# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0387654321pp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# save
[ 解 ]
路由器 A 從 LAN 中的 DHCP 服務器獲取路由器 B 通過 ISDN 連接在路由器 A 時用 IPCP 獲取的地址。
1. # isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24# ip lan1 proxyarp on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678
設置路連接所需的信息。
WS/PC
WS/PC
03-8765-4321
192.168.0.0 / 24
192.168.0.1 192.168.1.1
192.168.1.0 / 24
WS/PC
WS/PC
03-1234-5678
ISDN
8. DHCP 功能設置範例 87
2. pp1# ip pp remote address dhcpc lan1pp1# pp enable 1
在路由器 A 端,從位于 LAN1 中的 DHCP 服務器獲取 pp 端的遠程地址。向 DHCP 服務器的地址將在命令輸入時及動時被要求。
獲取地址失敗時,根據 ip lan1 dhcp retry 命令的設置嘗試獲取。
3. # isdn local address bri1 0312345678# ip lan1 address 192.168.1.1/24# ip route default gateway pp 1# nat descriptor type 1 masquerade# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0387654321pp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# save
在路由器 B 端進行設置,實現連接時通過 IPCP 獲取地址。 另外,本例中通過 IP 地址掩蓋使用所獲取的 IP 地址。具體的設
置容請參考通用 IP 地址掩蓋功能進行終端撥號連接的設置範例等。
88 8. DHCP 功能設置範例
9.IPsec 功能設置範例 89
9. IPsec 功能設置範例
本章說明以下網絡連接方式。
1. 用隧道模式連接 LAN
2. 用傳輸模式
3. 撥號 VPN
下面對每種網絡的連接形態範例,按照結構圖、步驟和解說的順序進行說明。
90 9.IPsec 功能設置範例
9.1 用隧道模式連接 LAN
【結構圖】
【路由器 A的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.1 gateway pp 1# ip route 192.168.128.0/24 gateway tunnel 1# ipsec ike pre-shared-key 1 text himitsu# ipsec ike remote address 1 192.168.128.1# ipsec sa policy 101 1 esp des-cbc md5-hmac# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
9.IPsec 功能設置範例 91
【路由器 B 的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.215 gateway pp 1# ip route 172.16.112.0/24 gateway tunnel 1# ipsec ike pre-shared-key 1 text himitsu# ipsec ike remote address 1 172.16.112.215# ipsec sa policy 101 1 esp des-cbc md5-hmac# pp select 1pp1# pp bind bri1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# save
【解說】通過 ISDN 線路連接網絡 172.16.128.0 和網絡 192.168.128.0,用 IPsec 對線路上傳輸的雙向 IP 數據包設置加密。
請注意,對數據包進行隧道封裝時,為了不對用于與安全網關進行密碼交換的數據包加以封裝,只用主機路由指定安全網關的 IP 地
址。
■ 路由器 A
1. 使用 isdn local address 命令,設置連接的 BRI 號碼和 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方安全網關的靜態路由。
4. 使用 ip route 命令,設置至對方安全網關連接的網絡的靜態隧道路由。
5. 使用 ipsec ike pre-shared-key 命令,設置與對方安全網關預先共享的密鑰。
6. 使用 ipsec ike remote address 命令,設置受理密鑰交換要求的安全網關。
7. 使用 ipsec sa policy 命令,設置對方安全網關的 SA 策略。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
10. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
11. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
12. 使用 tunnel select 命令,選擇隧道接口號碼。
92 9.IPsec 功能設置範例
13. 使用 ipsec tunnel 命令,設置使用的 SA 的策略。
14. 使用 tunnel enable 命令,使隧道接口生效。
15. 使用 ipsec auto refresh 命令,設置成自動更新 SA。執行該命令后,馬上生成新 SA。
16. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
■ 路由器 B
1. 使用 isdn remote address 命令,設置選中的對象的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方安全網關的靜態路由。
4. 使用 ip route 命令,設置至對方安全網關連接的網絡的靜態隧道路由。
5. 使用 ipsec ike pre-shared-key 命令,設置與對方安全網關預先共享的密鑰。
6. 使用 ipsec ike remote address 命令,設置受理密鑰交換要求的安全網關。
7. 使用 ipsec sa policy 命令,設置對方安全網關的 SA 策略。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
10. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
11. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
12. 使用 tunnel select 命令,選擇隧道接口號碼。
13. 使用 ipsec tunnel 命令,設置使用的 SA 的策略。
14. 使用 tunnel enable 命令,使隧道接口生效。
15. 使用 ipsec auto refresh 命令,設置成自動更新 SA。執行該命令后,馬上生成新 SA。
16. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
9.IPsec 功能設置範例 93
9.2 用傳輸模式
【結構圖】
【路由器 A 的設置步驟】
# isdn local address bri1 03-1234-5678/Tokyo# ip lan1 address 172.16.112.215/24# ip route 192.168.128.0/24 gateway pp 1# ipsec ike pre-shared-key 1 text himitsu# ipsec ike remote address 1 192.168.128.1# ipsec sa policy 102 1 esp des-cbc sha-hmac# ipsec transport 1 102 tcp * telnet# ipsec transport 2 102 tcp telnet *# security class 1 on on#pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp enable 1pp1# ipsec auto refresh onpp1# save
WS/PC
WS/PC
172.16.112.25
172.16.112.215
03-1234-5678/Tokyo
172.16.112.0 / 24 192.168.128.0 / 24
172.16.112.26
WS/PC
WS/PC
192.168.128.3
192.168.128.5
192.168.128.1
06-1111-9999/Osaka
ISDN
94 9.IPsec 功能設置範例
【路由器 B的設置步驟】
# isdn local address bri1 06-1111-9999/Osaka# ip lan1 address 192.168.128.1/24# ip route 172.16.112.0/24 gateway pp 1# ipsec ike pre-shared-key 1 text himitsu# ipsec ike remote address 1 172.16.112.215# ipsec sa policy 102 1 esp des-cbc sha-hmac# ipsec transport 1 102 tcp * telnet# ipsec transport 2 102 tcp telnet *# security class 1 on on# pp select 1pp1# isdn remote address call 03-1234-5678/Tokyopp1# pp enable 1pp1# ipsec auto refresh onpp1# save
【解說】IP 地址為 172.16.112.215 的路由器 A與 IP 地址為 192.168.128.1 的路由器 B 用 TELNET 進行雙向通信時,用 IPsec 的傳輸模式進行
加密設置。
除了這些安全網關的 IP 地址以外,假定到其他主機的路由都不加密。
■ 路由器 A
1. 使用 isdn local address 命令,設置連接的 BRI 號碼和 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方安全網關連接的網絡的靜態路由。
4. 使用 ipsec ike pre-shared-key 命令,設置與對方安全網關預先共享的密鑰。
5. 使用 ipsec ike remote address 命令,設置受理密鑰交換要求的安全網關。
6. 使用 ipsec sa policy 命令,設置對方安全網關的 SA 策略。
7. 使用 ipsec transport 命令,定義傳輸模式。
8. 使用 security class 命令,設置成可使用 TELNET。
9. 使用 pp select 命令,選擇對方信息號碼。
10. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
11. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼「/」之后輸
入。
12. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
13. 使用 ipsec auto refresh 命令,設置成自動更新 SA。執行該命令后,馬上生成新 SA。
14. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
9.IPsec 功能設置範例 95
■ 路由器 B
1. 使用 isdn remote address 命令,設置選中的對象的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」
之后輸入。
2. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
3. 使用 ip route 命令,設置至對方安全網關連接的網絡的靜態路由。
4. 使用 ipsec ike pre-shared-key 命令,設置與對方安全網關預先共享的密鑰。
5. 使用 ipsec ike remote address 命令,設置受理密鑰交換要求的安全網關。
6. 使用 ipsec sa policy 命令,設置對方安全網關的 SA 策略。
7. 使用 ipsec transport 命令,定義傳輸模式。
8. 使用 security class 命令,設置成可使用 TELNET。
9. 使用 pp select 命令,選擇對方信息號碼。
10. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
11. 使用 isdn remote address 命令,設置對方的 ISDN 號碼。請不要忘記外地區號。同時設置子地址時,繼 「/」之后輸
入。
12. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
13. 使用 ipsec auto refresh 命令,設置成自動更新 SA。執行該命令后,馬上生成新 SA。
14. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
96 9.IPsec 功能設置範例
9.3 撥號 VPN
對方使用動態 IP 地址時,也能建立 VPN。此時,不用 IP 地址而使用名稱識別對方,並且從撥號發起密鑰交換。
【結構圖】
【路由器 A側】‧與服務提供商(ISP)通過專線連接
‧服務提供商 (ISP)分配的 IP 地址範圍:172.16.128.16/28
‧路由器 A 的 LAN 上 IP 地址:172.16.128.17/28
‧路由器 A 的線路側 IP 地址:172.16.0.2/30
‧路由器 A 的線路點到點連接側 IP 地址:172.16.0.1/30
‧通過 VPN 與路由器 B 的 LAN 進行通信、其他通信使用 NAT
‧LAN 的網絡地址:192.168.0.0/24
【路由器 B側】‧撥號連接服務提供商(ISP)
‧連接時獲得全球地址
‧通過 VPN 與路由器 A 的 LAN 進行通信,其他使用 IP 偽裝 (IP Masquerade)功能連接因特網
‧LAN 的網絡地址:192.168.1.0/24
ISDN
The Internet
WS/PC
WS/PC
172.16.128.17 / 28 172.16.0.2 / 30
172.16.0.1 / 30
03-1234-5678
192.168.0.0 / 24
192.168.0.1 / 24
WS/PC
192.168.1.0 / 24
192.168.1.1 / 24
9.IPsec 功能設置範例 97
【路由器 A 的設置步驟】
# line type bri1 l128# ip lan1 address 172.16.128.17/28# ip lan1 secondary address 192.168.0.1/24# nat descriptor type 1 nat-masquerade# nat descriptor address outer 1 172.16.128.18-172.16.128.30# nat descriptor address inner 1 192.168.0.1-192.168.0.254# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# ip pp address 172.16.0.2/30pp1# ip pp remote address 172.16.0.1pp1# ip route default gateway pp 1pp1# pp enable 1pp1# pp select none# ipsec ike pre-shared-key 1 text secret# ipsec ike remote address 1 any# ipsec ike remote name 1 routerB# ipsec sa policy 101 1 esp des-cbc md5-hmac# tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none# save# interface reset bri1
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.1/24# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.1 udp 500# nat descriptor masquerade static 1 2 192.168.1.1 esp *# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0312345678pp1# pp auth accept chappp1# pp auth myname userB passBpp1# ppp ipcp ipaddress onpp1# ip route default gateway pp 1pp1# pp enable 1pp1# pp select none# ipsec ike local address 1 192.168.1.1# ipsec ike local name 1 routerB# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text secret# ipsec sa policy 101 1 esp des-cbc md5-hmac# tunnel select 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none
98 9.IPsec 功能設置範例
# save
【解說】■ 路由器 A
1. # line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 172.16.128.17/28# ip lan1 secondary address 192.168.0.1/24
為了能從線路側以全球地址直接連接 RT,在 primary 地址中設置全球地址。
服務提供商 (ISP)提供的全球地址數比 LAN 上的主機數少,所以用 secondary 地址設置另一個網絡,用 NAT 轉換成全球地
址。
3. # nat descriptor type 1 nat-masquerade# nat descriptor address outer 1 172.16.128.18-172.16.128.30# nat descriptor address inner 1 192.168.0.1-192.168.0.254# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1
設置適用于線路側的 NAT 描述符 (descriptor)。外部地址設置為服務提供商 (ISP)提供的全球地址,內部地址設置為 LAN
的 secondary 網絡地址。
4. pp1# ip pp address 172.16.0.2/30pp1# ip pp remote address 172.16.0.1
有必要與服務提供商 (ISP)方的路由器連接時,設置線路側的 IP 地址。用 Unnumbered 連接時,不需要此設置,對方路由
器 B 的設置是 ipsec ike remote address 172.16.128.17。
5. pp1# ip route default gateway pp 1pp1# pp enable 1pp1# pp select none
設置線路側的默認路由。這會成為與 VPN 以外的對象通信的路由。
6. # ipsec ike pre-shared-key 1 text secret# ipsec ike remote address 1 any# ipsec ike remote name 1 routerB# ipsec sa policy 101 1 esp des-cbc md5-hmac
設置 IPsec 的定義。pre-shared-key 必須與對方設置相同。因為對方每次撥號,都會以不同的 IP 地址連接,所以將 IP 地
址設置為 any 並設置對方名稱。通過此名稱識別對方安全網關。使用 des-cbc 算法加密,並用 md5-hmac 算法認證。
7. # tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none
為了在與對方 LAN 通信中使用 IPsec,設置隧道路由。並設置成使用 IPsec 定義和自動進行密鑰交換。
8. # save# interface reset bri1
因為線路種類與默認值有所不同,所以重啟接口。也可以使用 restart 命令重新啟動整個裝置。
9.IPsec 功能設置範例 99
■ 路由器 B
1. # ip lan1 address 192.168.1.1/24在 LAN 側配置作私有地址網絡。
2. # nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.1 udp 500# nat descriptor masquerade static 1 2 192.168.1.1 esp *# pp select 1pp1# pp bind bri1pp1# ip pp nat descriptor 1
對線路側使用 IP 偽裝 (IP Masquerade)。密鑰交換所需的端口 udp500 與安全網關 RT 靜態結合。當有外部對內部的通信
時,必須使用靜態 IP 偽裝 (IP Masquerade),讓 ESP 數據包通過。
3. pp1# isdn remote address call 0312345678pp1# pp auth accept chappp1# pp auth myname userB passBpp1# ppp ipcp ipaddress onpp1# ip route default gateway pp 1pp1# pp enable 1pp1# pp select none
設置連接服務提供商(ISP)的信息。並設置線路側的默認路由。這會成為與 VPN 以外的對象通信的路由。
4. # ipsec ike local address 1 192.168.1.1# ipsec ike local name 1 routerB# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text secret# ipsec sa policy 101 1 esp des-cbc md5-hmac
設置 IPsec 的定義。pre-shared-key 必須與對方設置相同。設置對方安全網關的 IP 地址和對方識別自己的名稱。使用 des-
cbc 算法加密,並用 md5-hmac 算法認證。
5. # tunnel select 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none# save
為了在與對方 LAN 通信中使用 IPsec,設置隧道路由。並設置成使用 IPsec 定義和自動進行密鑰交換。
100 9.IPsec 功能設置範例
10. 本地路由器功能設置範例 101
10. 本地路由器功能設置範例
本章列舉幾個具體範例,說明本地路由器功能的設置方法。關于安全的設置、各種詳細參數等的附加性設置,請根據每個網絡的運營
方針等進行設置。
本章說明以下網絡連接方式。
1. 連接兩個 LAN (僅限于 TCP/IP)
2. 用 128kbit/s 數字專線連接兩個 LAN 和服務提供商 (ISP)
下面對每種網絡的連接方式,按照結構圖、步驟和解說的順序進行說明。
102 10. 本地路由器功能設置範例
10.1 連接兩個 LAN (僅限于 TCP/IP)
【結構圖】
【步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address 192.168.1.1/24# save
【解說】說明連接網絡 192.168.0.0 和網絡 192.168.1.0 時的設置。
1. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
2. 使用 ip lan2 address 命令,設置 LAN2 接口的 IP 地址和子網掩碼。
3. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
WS/PC
WS/PC
192.168.0.25
192.168.0.1
LAN1
192.168.1.1
LAN2
192.168.0.0 / 24 192.168.1.0 / 24
192.168.0.26
WS/PC
WS/PC
192.168.1.3
192.168.1.5
10. 本地路由器功能設置範例 103
10.2 用 128kbit/s 數字專線連接兩個 LAN 和服務提供商 (ISP)
【結構圖】
【設置步驟】
# line type bri1 l128# ip lan1 address 10.0.0.33/28# ip lan2 address 192.168.0.1/24# dns server 10.0.0.34# dns domain rtpro.yamaha.co.jp# dhcp scope 1 10.0.0.35-10.0.0.45/28# dhcp scope 2 192.168.0.2-192.168.0.254/24# dhcp service server# pp select 1pp1# pp bind bri1pp1# ip route default gateway pp 1pp1# nat descriptor type 1 masqueradepp1# nat descriptor address outer 1 10.0.0.46pp1# nat descriptor address inner 1 192.168.0.1-192.168.0.254pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# savepp1# interface reset bri1
【解說】將網絡 10.0.0.32 和網絡 192.168.0.0 配置為不同的網段,用 128kbit/s 數字專線連接服務提供商 (ISP)。
假定 LAN1 接口分配 16 個全球 IP 地址,LAN2 接口分配 256 個私有 IP 地址。為了使 DHCP 客戶能進行通信,將路由器設置成 DHCP 服務
器。私有 IP 地址使用 NAT 協議連接因特網,因此為了節約全球 IP 地址,使用 IP 偽裝(IP Masquerade)功能。
另外,不設置靜態 IP 偽裝 (IP Masquerade)條目 (entry),無法從全球 IP 地址接入 LAN2,使得 LAN1 接口的網段看起來是
barrier segment。
WS/PC
10.0.0.34
10.0.0.33
LAN1
192.168.0.1
LAN2
10.0.0.32 / 28 192.168.0.0 / 24
WS/PC
WS/PC
The Internet
104 10. 本地路由器功能設置範例
1. 使用 line type 命令,指定線路種類為 128kbit/s 數字專線。
2. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
3. 使用 ip lan2 address 命令,設置 LAN2 接口的 IP 地址和子網掩碼。
4. 使用 dns server 命令,設置 DNS 服務器的 IP 地址。
5. 使用 dns domain 命令,設置在 DNS 使用的域名。
6. 使用 dhcp scope 命令,定義 DHCP 作用域 (scope)。
7. 使用 dhcp service 命令,啟動 DHCP 服務器的功能。
8. 使用 pp select 命令,選擇對方信息號碼。
9. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
10. 使用 ip route 命令,設置至服務提供商 (ISP)的默認路由。
11. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
12. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
13. 使用 nat descriptor address inner 命令,設置 NAT 使用的內部的 IP 地址。
14. 使用 ip pp nat descriptor 命令,設置適用于 PP 接口的 NAT 識別號碼。
15. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
16. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
17. 因為線路種類與默認值不相同,所以使用 interface reset bri1 命令重啟接口,切換硬件。也可以用 restart 命令重新
啟動整個裝置。
IP 地址 分配 DHCP 作用域號碼
10.0.0.32 LAN1 的網絡 —
10.0.0.33 路由器的 LAN1 接口 —
10.0.0.34 DNS 服務器 —
10.0.0.35:
10.0.0.45DHCP 客戶(11 台) 1
10.0.0.46 LAN2 的 NAT 用全球 IP 地址 —
10.0.0.47 LAN1 的廣播 —
192.168.0.0 LAN2 的網絡 —
192.168.0.1 路由器的 LAN2 接口 —
192.168.0.2:
192.168.0.254DHCP 客戶 (253 台) 2
192.168.0.255 LAN2 的廣播 —
11.NAT 描述符設置範例 105
11. NAT 描述符設置範例
本章列舉幾個具體範例說明 NAT 描述符功能的設置方法。
關于安全的設置、各種詳細參數等的附加性設置,請根據每個網絡的運營方針等進行設置。
本章說明以下網絡連接方式。
1. 用動態 NAT 連接兩個 LAN
2. 用靜態 NAT 連接兩個 LAN
3. 用 IP 偽裝 (IP Masquerade)連接兩個 LAN
4. 組合使用動態 NAT 和動態 IP 偽裝(IP Masquerade)
5. 用 IP 偽裝 (IP Masquerade)連接 primary 與 secondary
下面對每種網絡的方式範例,按照結構圖、步驟和解說的順序進行說明。
106 11.NAT 描述符設置範例
11.1 用動態 NAT 連接兩個 LAN
【結構圖】
【步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address 10.0.0.68/24# ip lan2 nat descriptor 1# nat descriptor type 1 nat# nat descriptor address outer 1 10.0.0.200-10.0.0.203# nat descriptor address inner 1 192.168.0.1-192.168.0.254# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24# save
【解說】使用動態的 NAT 連接私有網絡 192.168.0.0 和公有網絡 10.0.0.0。
在這個範例中,通過 NAT,實現 LAN2 接口相連的 4 個全球地址與 LAN1 接口相連的所有私有地址的動態轉換,NAT 轉換發生在 LAN2 接
口的出口方向,所以從私有地址向全球地址轉換時, 多可同時允許 4 個主機自由連接。
1. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
2. 使用 ip lan2 address 命令,設置 LAN2 接口的 IP 地址和子網掩碼。
3. 使用 ip lan2 nat descriptor 命令,設置適用于 LAN2 接口的 NAT 識別號碼。
4. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
IP 地址 分配 DHCP 作用域號碼
192.168.0.0 LAN1 的網絡 —
192.168.0.1 路由器的 LAN1 接口 —
192.168.0.2:
192.168.0.254 DHCP 客戶 (253 台) 1
192.168.0.255 LAN1 的廣播 —
10.0.0.0 LAN2 的網絡 —
10.0.0.68 路由器的 LAN2 接口 —
10.0.0.255 LAN2 的廣播 —
WS/PC
WS/PC
192.168.0.25
192.168.0.1
192.168.0.1:
192.168.0.254
LAN1
10.0.0.68
LAN2
inner
192.168.0.0 / 24 10.0.0.0 / 24
192.168.0.26
WS/PC
WS/PC
10.0.0.3
10.0.0.5
10.0.0.200:
10.0.0.203
outer
11.NAT 描述符設置範例 107
5. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
6. 使用 nat descriptor address inner 命令,設置 NAT 使用的內部的 IP 地址。
7. 使用 dhcp service 命令,啟動 DHCP 服務器的功能。
8. 使用 dhcp scope 命令,定義 DHCP 作用域(scope)。
9. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
108 11.NAT 描述符設置範例
11.2 用靜態 NAT 連接兩個 LAN
【結構圖】
【步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address 10.0.0.68/24# ip lan2 nat descriptor 1# nat descriptor type 1 nat# nat descriptor address outer 1 10.0.0.200# nat descriptor address inner 1 192.168.0.64# nat descriptor static 1 1 10.0.0.200=192.168.0.64 16# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24# save
【解說】使用靜態 NAT 連接私有網絡 192.168.0.0 和公有網絡 10.0.0.0。
在這個範例中,LAN2 接口相連的 16 個連續的全球地址與 LAN1 接口相連的 16 個連續的私有地址 -- 對應。
對通過靜態 NAT 轉換設置的 IP 地址,可以從全球空間或私有空間任何一方開始建立連接。
IP 地址 分配 DHCP 作用域號碼
192.168.0.0 LAN1 的網絡地址 —
192.168.0.1 路由器的 LAN1 接口地址 —
192.168.0.2:
192.168.0.63DHCP 客戶 (62 台)地址 1
192.168.0.64:
192.168.0.79DHCP 客戶、且靜態 NAT 入口(16 台)地址 1
192.168.0.80:
192.168.0.254DHCP 客戶 (175 台)地址 1
192.168.0.255 LAN1 的廣播地址 —
10.0.0.0 LAN2 的網絡地址 —
10.0.0.68 路由器的 LAN2 接口地址 —
10.0.0.200:
10.0.0.215靜態 NAT 入口 (16 台)地址 —
10.0.0.255 LAN2 的廣播地址 —
WS/PC
WS/PC
192.168.0.25
192.168.0.1
192.168.0.64 = 10.0.0.200 :192.168.0.79 = 10.0.0.215
LAN1
10.0.0.68
LAN2
inner
192.168.0.0 / 24 10.0.0.0 / 24
192.168.0.26
WS/PC
WS/PC
10.0.0.3
10.0.0.5
outer
11.NAT 描述符設置範例 109
1. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
2. 使用 ip lan2 address 命令,設置 LAN2 接口的 IP 地址和子網掩碼。
3. 使用 ip lan2 nat descriptor 命令,設置適用于 LAN2 接口的 NAT 識別號碼。
4. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
5. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
6. 使用 nat descriptor address inner 命令,設置 NAT 使用的內部的 IP 地址。
7. 使用 nat descriptor static 命令,設置靜態 NAT 使用的 IP 地址。
8. 使用 dhcp service 命令,啟動 DHCP 服務器的功能。
9. 使用 dhcp scope 命令,定義 DHCP 作用域(scope)。
10. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
110 11.NAT 描述符設置範例
11.3 用 IP 偽裝 (IP Masquerade)連接兩個 LAN
【結構圖】
【步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address 10.0.0.68/24# ip lan2 nat descriptor 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 10.0.0.33# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24# save
【解說】使用 IP 偽裝(IP Masquerade)連接私有網絡 192.168.0.0 和公有網絡 10.0.0.0。
在這個範例中,通過 IP 偽裝 (IP Masquerade)實現 LAN2 上的某一個全球地址與 LAN1 上的私有地址的動態轉換。
IP Masquerade 轉換發生在 LAN2 接口的出口方向,所以從私有網絡到外部網絡的方向上,同時可允許許多個主機自由連接。
1. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
2. 使用 ip lan2 address 命令,設置 LAN2 接口的 IP 地址和子網掩碼。
3. 使用 ip lan2 nat descriptor 命令,設置適用于 LAN2 接口的 NAT 識別號碼。
4. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
5. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
IP 地址 分配 DHCP 作用域號碼
192.168.0.0 LAN1 的網絡 —
192.168.0.1 路由器的 LAN1 接口 —
192.168.0.2:
192.168.0.254 DHCP 客戶 (253 台) 1
192.168.0.255 LAN1 的廣播 —
10.0.0.0 LAN2 的網絡 —
10.0.0.68 路由器的 LAN2 接口 —
10.0.0.255 LAN2 的廣播 —
WS/PC
WS/PC
192.168.0.25
192.168.0.1
auto
LAN1
10.0.0.68
LAN2
inner
192.168.0.0 / 24 10.0.0.0 / 24
192.168.0.26
WS/PC
WS/PC
10.0.0.3
110.0.0.5
10.0.0.33
outer
11.NAT 描述符設置範例 111
6. 使用 dhcp service 命令,啟動 DHCP 服務器的功能。
7. 使用 dhcp scope 命令,定義 DHCP 作用域(scope)。
8. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
112 11.NAT 描述符設置範例
11.4 組合使用動態 NAT 和動態 IP 偽裝 (IP Masquerade)
【結構圖】
【設置步驟】
# line type bri1 l128# ip lan1 address 192.168.0.1/24# nat descriptor type 1 nat-masquerade# nat descriptor address outer 1 10.0.0.200-10.0.0.203# nat descriptor address inner 1 192.168.0.1-192.168.0.254# pp select 1pp1# pp bind bri1pp1# ip route default gateway pp 1pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# pp select none# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24# save# interface reset bri1
【解說】與服務提供商 (ISP)連接,用 NAT 和 IP 偽裝 (IP Masquerade)連接私有網絡 192.168.0.0。
在這個範例中,用動態 NAT 和 IP 偽裝 (IP Masquerade),實現 ISP 側的 4 個全球地址與 LAN 側的私有地址的轉換。使用動態 NAT 轉
換前 3 個 IP 地址,從第 4 個以后使用 IP Masquerade 進行地址轉換。
1. 使用 line type 命令,指定線路種類為 128kbit/s 數字專線。
2. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
3. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
IP 地址 分配 DHCP 作用域號碼
192.168.0.0 LAN 的網絡 —
192.168.0.1 路由器的 LAN 接口 —
192.168.0.2:
192.168.0.254DHCP 客戶 (253 台) 1
192.168.0.255 LAN 的廣播 —
192.168.0.1:
192.168.0.254
192.168.0.1
inner
192.168.0.0 / 24
WS/PC
WS/PC
192.168.0.25
192.168.0.26
10.0.0.200:
10.0.0.203
outer
The Internet
11.NAT 描述符設置範例 113
4. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
5. 使用 nat descriptor address inner 命令,設置 NAT 使用的內部的 IP 地址。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 ip route 命令,設置默認路由。這時,LAN 上的主機以外的數據包全部被轉發到服務提供商 (ISP)。
8. 使用 ip pp nat descriptor 命令,設置適用于 PP 接口的 NAT 識別號碼。
9. 使用 pp enable 命令,激活 PP 側接口。執行了該命令后,通過該接口即可轉發數據包。
10. 使用 dhcp service 命令,重啟 DHCP 服務器的功能。
11. 使用 dhcp scope 命令,定義 DHCP 作用域(scope)。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
13. 使用 interface reset 命令,重啟線路種類已經變化了的端口。也可以不重啟每個端口,使用 restart 命令重啟路由器
后,線路種類也會被切換。
114 11.NAT 描述符設置範例
11.5 用 IP 偽裝 (IP Masquerade)連接 primary 與 secondary
【結構圖】
【設置步驟】
# ip lan1 address 10.0.0.68/24# ip lan1 secondary address 192.168.0.1/24# ip lan1 nat descriptor 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 primary# nat descriptor address inner 1 10.0.0.68 192.168.0.2-192.168.0.254# save
【解說】
使用 IP 偽裝(IP Masquerade)連接 primary 的公有網絡和 secondary 的私有網絡 192.168.0.0。
在這個範例中,用 IP 偽裝(IP Masquerade)實現 primary 公有地址空間的某一個 IP 地址與 secondary 私有地址的轉換。
1. 使用 ip lan1 address 命令,設置 LAN1 接口的 IP 地址和子網掩碼。
2. 使用 ip lan1 secondary address 命令,設置 LAN 接口的 secondary IP 地址和子網掩碼。
3. 使用 ip lan1 nat descriptor 命令,設置適用于 LAN 接口的 NAT 識別號碼。
4. 使用 nat descriptor type 命令,設置 NAT 的識別號碼和它的類型。
5. 使用 nat descriptor address outer 命令,設置 NAT 使用的外部的 IP 地址。
6. 使用 nat descriptor address inner 命令,設置 NAT 使用的內部的 IP 地址。
7. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
WS/PC
WS/PC
192.168.0.25192.168.0.1secondary
10.0.0.68primary
10.0.0.68192.168.0.1
:192.168.0.254
inner
192.168.0.0 / 24 10.0.0.0 / 24
192.168.0.26
WS/PC
WS/PC
10.0.0.3
10.0.0.5
10.0.0.68
outer
12.OSPF 設置範例 115
12. OSPF 設置範例
本章說明 OSPF 設置範例。
1. 用 PPP 連接屬于主幹區域的兩個節點
2. 用 PPP 連接處于不同區域的兩個節點
3. 用 FR 連接多個節點
4. 靜態路由與 RIP 協議的組合使用
116 12.OSPF 設置範例
12.1 用 PPP 連接屬于主幹區域的兩個節點
【結構圖】
【路由器 A的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.1.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.255.253/29pp1# ip pp ospf area backbonepp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
192.168.1.0 / 24Ethernet
Area Backbone
Leased Line 128k 192.168.255.252 / 29
LAN1 : 192.168.1.1
BRI1 : 192.168.255.253
BRI1 : 192.168.255.254
LAN1 : 192.168.2.1
192.168.1.0 / 24Ethernet
12.OSPF 設置範例 117
【路由器 B 的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.2.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.255.254/29pp1# ip pp ospf area backbonepp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
【解說】用專線連接屬于主幹區域的兩台路由器。
1. 使用 line type 命令,指定線路種類為 128kbit/s 數字專線。
2. 使用 ospf use 命令,使 ospf 生效。
3. 使用 ospf area 命令,設置路由器所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
4. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
5. 使用 ip lan1 ospf area 命令,設置 lan1所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
8. 使用 ip pp address 命令,設置線路側接口的 IP 地址。
9. 使用 ip pp ospf area 命令,設置線路側接口所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
10. 使用 ppp ipcp ipaddress 命令,獲得對方的線路接口的 IP 地址。
11. 使用 pp enable 命令,激活 PP 側接口。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
13. 使用 interface reset 命令,切換線路的硬件。
14. 使用 ospf configure refresh 命令,使 OSPF 的設置生效。
118 12.OSPF 設置範例
12.2 用 PPP 連接處于不同區域的兩個節點
【結構圖】
【路由器 A的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.1.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.255.253/29pp1# ip pp ospf area backbonepp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
192.168.1.0 / 24Ethernet
Area Backbone
Area1
Leased Line 128k 192.168.255.252 / 29
LAN1 : 192.168.1.1
BRI1 : 192.168.255.253
BRI1 : 192.168.255.254
LAN1 : 192.168.2.1
192.168.1.0 / 24Ethernet
12.OSPF 設置範例 119
【路由器 B 的設置步驟】
# line type bri1 1128
# ospf use on# ospf area backbone# ospf area 1
# ip lan1 address 192.168.2.1/24# ip lan1 ospf area 1
# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.255.254/29pp1# ip pp ospf area backbonepp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
【解說】通過專線用兩台路由器連接主幹區域和區域 1。
1. 使用 line type 命令,指定線路種類為 128kbit/s 數字專線。
2. 使用 ospf use 命令,使 ospf 生效。
3. 使用 ospf area 命令,設置路由器所在的 OSPF 區域。屬于骨幹網時,指定 backbone。如路由器 2,屬于多個 OSPF 區域
時,設置所有區域。
4. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
5. 使用 ip lan1 ospf area 命令,設置 lan1 所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
8. 使用 ip pp address 命令,設置線路側接口的 IP 地址。
9. 使用 ip pp ospf area 命令,設置線路側接口所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
10. 使用 ppp ipcp ipaddress 命令,獲得對方的線路接口的 IP 地址。
11. 使用 pp enable 命令,激活 PP 側接口。
12. 使用 save 命令,將上述設置保存進不揮發存儲器(NVRAM)。
13. 使用 interface reset 命令,切換線路的硬件。
14. 使用 ospf configure refresh 命令,使 OSPF 的設置生效。
120 12.OSPF 設置範例
12.3 用 FR 連接多個節點
【結構圖】
【路由器 A的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.1.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# pp encapsulation frpp1# ip pp address 192.168.255.1/24pp1# ip pp ospf area backbone type=point-to-multipointpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
192.168.1.0 / 24Ethernet
FR Cloud192.168.255.0 / 24
LAN1 : 192.168.1.1
BRI1 : 192.168.255.1
192.168.2.0 / 24
192.168.3.0 / 24Ethernet 192.168.4.0 / 24
LAN1 : 192.168.2.1
BRI1 : 192.168.255.2
BRI1 : 192.168.255.3
LAN1 : 192.168.3.1
BRI1 : 192.168.255.4
LAN1 : 192.168.4.1
12.OSPF 設置範例 121
【路由器 B 的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.2.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# pp encapsulation frpp1# ip pp address 192.168.255.2/24pp1# ip pp ospf area backbone type=point-to-multipointpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
【路由器 C 的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.3.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# pp encapsulation frpp1# ip pp address 192.168.255.3/24pp1# ip pp ospf area backbone type=point-to-multipointpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
122 12.OSPF 設置範例
【路由器 D的設置步驟】
# line type bri1 l128
# ospf use on# ospf area backbone
# ip lan1 address 192.168.4.1/24# ip lan1 ospf area backbone
# pp select 1pp1# pp bind bri1pp1# pp encapsulation frpp1# ip pp address 192.168.255.4/24pp1# ip pp ospf area backbone type=point-to-multipointpp1# pp enable 1pp1# pp select none# save# interface reset bri1# ospf configure refresh
【解說】用幀中繼連接屬于主幹區域的 4 台路由器。
1. 使用 line type 命令,指定線路種類。
2. 使用 ospf use,使 ospf 生效。
3. 使用 ospf area 命令,設置路由器所在的 OSPF 區域。屬于骨幹網時,指定 backbone。
4. 使用 ip lan1 address 命令,設置 LAN 上的 IP 地址和子網掩碼。
5. 使用 ip lan1 ospf area 命令,設置 lan1 所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
6. 使用 pp select 命令,選擇對方信息號碼。
7. 使用 pp bind 命令,捆綁對方信息號碼和 BRI 端口。
8. 使用 pp encapsulation 命令,將 pp 側的封裝類型設置成幀中繼。
9. 使用 ip pp address 命令,設置線路側接口的 IP 地址。
10. 使用 ip pp ospf area 命令,設置線路側接口所在的 OSPF 區域和 type。使用幀中繼時,type 為點對多點。
11. 使用 pp enable 命令,激活 PP 側接口。
12. 使用 save 命令,將上述設置保存進不揮發存儲器 (NVRAM)。
13. 使用 interface reset 命令,切換線路的硬件。
14. 使用 ospf configure refresh 命令,使 OSPF 的設置生效。
12.OSPF 設置範例 123
12.4 靜態路由與 RIP 協議的組合使用
【結構圖】
【路由器的設置】
# pri leased channel 1/1 1 24# ip route default gateway pp 1# rip use on# ospf use on# ospf area backbone# ospf import from static# ospf import from rip# ip lan1 address 192.168.1.1/24# ip lan1 ospf area backbone passive# ip lan2 address 192.168.2.1/24# ip lan2 ospf area backbone# ip lan2 rip send off# ip lan2 rip receive off# pp select 1pp1# pp bind pri1/1pp1# pp enable 1pp1# ospf configure refresh
【解說】1. 使用 pri leased channel 命令,設置 PRI 的信息信道和時隙。
2. 使用 ip route 命令,設置至遠程 LAN 的路由。
3. 使用 rip use 命令,使 rip 生效。
4. 使用 ospf use 命令,使 ospf 生效。
5. 使用 ospf area 命令,設置路由器所在的 OSPF 區域。屬于主幹區域時,設為 backbone。
6. 使用 ospf import from 命令,從靜態設置引進路由信息。
7. 使用 ospf import from 命令,注入通過 rip 得到的路由信息。
8. 使用 ip lan1 address 命令,設置 LAN1 側的 IP 地址和子網掩碼。
9. 使用 ip lan1 ospf area 命令,設置 lan1 所在的 OSPF 區域。屬于主幹區域時,設為 backbone。設定為 passive,不向
LAN1 轉發 OSPF 數據包。
10. 使用 ip lan2 address 命令,設置 lan2 側的 IP 地址和子網掩碼。
11. 使用 ip lan2 ospf area 命令,設置 lan2 所在的 OSPF 區域。屬于主幹區域時,指定 backbone。
12. 使用 ip lan2 rip send 命令,在 lan2 不轉發 rip 信息。
LAN1 : 192.168.1.1
RIP only segment OSPF only segment
The Internet
LAN2 : 192.168.2.1
PRI1
192.168.1.0/24 192.168.2.0/24Ethernet
124 12.OSPF 設置範例
13. 使用 ip lan2 rip receive 命令,在 lan2 不接收 rip 信息。
14. 使用 pp select 命令,選擇對方信息號碼。
15. 使用 pp bind 命令,將 PRI 端口和指定信道與對方號碼綁定。
16. 使用 pp enable 命令,激活 PP 側接口。
13.IPv6 設置範例 125
13. IPv6 設置範例
1. IPv6LAN 間連接 (靜態路由設置、ISDN)
2. IPv6LAN 間連接 (動態路由設置、專線)
3. IPv6 over IPv4 隧道傳輸
126 13.IPv6 設置範例
13.1 IPv6LAN 間連接 (靜態路由設置、ISDN)
手動設置 RT 的 LAN 側的 IPv6 地址。對來自 LAN 上主機的 RS (Router Solicitation)消息,通知 RA (Router Advertisement)消
息,通知路由器的存在和 LAN 地址的前綴。
設置靜態的默認路由,通過 ISDN 線路連接 LAN。
【結構圖】
‧路由器 B 側的 LAN 的默認網關是路由器 C
【路由器 A的設置步驟】
# ipv6 lan1 address fec0:12ab:34cd:1::1/64# ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1pp1# pp select none# ipv6 route default gateway pp 1# save
【路由器 B的設置步驟】
# ipv6 lan1 address fec0:12ab:34cd:2::2/64# ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan1 rtadv send 1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# pp enable 1pp1# pp select none# ipv6 route fec0:12ab:34cd:1::/64 gateway pp 1# ipv6 route default gateway fe80::2a0:deff:fe00:1%1# save
ISDN
03-1234-5678
1
103-8765-4321
WS/PC
WS/PC
fec0:12ab:34cd:1:: / 64
2 WS/PC
fec0:12ab:34cd:2:: / 64
fe80::2a0:deff:fe00:1
13.IPv6 設置範例 127
【解說】■ 路由器 A
1. # ipv6 lan1 address fec0:12ab:34cd:1::1/64設置路由器的 IPv6 地址。
2. # ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1
設置在 LAN 上通知的地址前綴。
3. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1pp1# pp select none
設置通信對方信息。
4. # ipv6 route default gateway pp 1# save
為了轉發所有目的地址是 LAN 以外的數據包,設定 pp1 為默認路由。
■ 路由器 B
1. 路由以外的基本設置與路由器 A 相同。
設置路由器的 IPv6 地址。
2. # ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan1 rtadv send 1
設置在 LAN 上通知的地址前綴。
3. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# pp enable 1pp1# pp select none
設置通信對方信息。
4. # ipv6 route fec0:12ab:34cd:1::/64 gateway pp 1設置對方側 LAN 的路由信息。
5. # ipv6 route default gateway fe80::2a0:deff:fe00:1%1# save
為了轉發所有目的地址是 LAN 以外的數據包,設定 LAN 側默認網關為默認路由。
128 13.IPv6 設置範例
13.2 IPv6LAN 間連接 (動態路由設置、專線)
手動設置 RT 的 LAN 側的 IPv6 地址。對來自 LAN 上主機的 RS (Router Solicitation)消息,通知 RA (Router Advertisement)消
息,通知路由器的存在和 LAN 地址的前綴。
作為路由控制,使用 RIPng 協議,通過 128k 專線連接 LAN。
【結構圖】
‧路由器 B 側的 LAN 的默認網關是路由器 C
【路由器 A的設置步驟】
# line type bri1 l128# ipv6 lan1 address fec0:12ab:34cd:1::1/64# ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1# ipv6 rip use on# pp select 1pp1# pp bind bri1pp1# ipv6 pp rip connect send intervalpp1# pp enable 1pp1# pp select none# save# interface reset bri1
【路由器 B的設置步驟】
# line type bri1 l128# ipv6 lan1 address fec0:12ab:34cd:2::2/64# ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan1 rtadv send 1# ipv6 rip use on# pp select 1pp1# pp bind bri1pp1# ipv6 pp rip connect send intervalpp1# pp enable 1pp1# pp select none# save# interface reset bri1
1
1
WS/PC
WS/PC
fec0:12ab:34cd:1:: / 64
2 WS/PC
fec0:12ab:34cd:2:: / 64
13.IPv6 設置範例 129
【解說】■ 路由器 A
1. # line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ipv6 lan1 address fec0:12ab:34cd:1::1/64設置路由器的 IPv6 地址。
3. # ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1
設置在 LAN 上通知的地址前綴。
4. # ipv6 rip use on設置使用 RIPng 協議。LAN 和 PP 側共同使用。
5. # pp select 1pp1# pp bind bri1pp1# ipv6 pp rip connect send intervalpp1# pp enable 1pp1# pp select none
設置通信對方信息。
6. # save# interface reset bri1
線路種類與默認的不同,所以重啟接口。也可以用 restart 命令重新啟動整個裝置。
■ 路由器 B
1. 路由以外的基本設置與路由器 A 相同。
# line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ipv6 lan1 address fec0:12ab:34cd:2::2/64設置路由器的 IPv6 地址。
3. # ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan1 rtadv send 1
設置在 LAN 上通知的地址前綴。
4. # ipv6 rip use on設置使用 RIPng 協議。LAN 和 PP 側共同使用。
5. # pp select 1pp1# pp bind bri1pp1# ipv6 pp rip connect send intervalpp1# pp enable 1pp1# pp select none
設置通信對方信息。
6. # save# interface reset bri1
線路種類與默認的不同,所以重啟接口。也可以用 restart 命令重新啟動整個裝置。
130 13.IPv6 設置範例
13.3 IPv6 over IPv4 隧道傳輸
IPv6 網絡之間存在 IPv4 網絡時,IPv6 over IPv4 隧道能夠轉發 IPv6 數據包。在 IPv4 網絡內兩個 IPv6 網絡之間的數據包,會作為
IPv4 數據包傳輸。隧道終點的路由器必須有 IPv4 地址,通過線路的連接是 numbered 連接。
【結構圖】
‧路由器 A 的 LAN 和路由器 C 的一方的 LAN 是 IPv6 網絡
‧路由器 B 的 LAN 是 IPv4 網絡
‧路由器 A 與路由器 C 之間進行 IPv6 over IPv4 隧道傳輸
‧路由器 D 是 IPv6 網絡的默認網關
【路由器 A的設置步驟】
# line type bri1 l128# ipv6 lan1 address fec0:12ab:34cd:1::1/64# ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.128.1/24pp1# ip pp remote address 192.168.128.2pp1# pp enable 1pp1# tunnel select 1tunnel1# tunnel encapsulation ipiptunnel1# tunnel endpoint address 192.168.128.1 192.168.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipv6 route default gateway tunnel 1# ip route 192.168.0.0/24 gateway pp 1# save# interface reset bri1
11 2 2
1
WS/PC
WS/PC
fec0:12ab:34cd:1:: / 64
192.168.128.0 / 24
WS/PC
192.168.0.0 / 24
2
1
WS/PC
fec0:12ab:34cd:2:: / 64
fe80::2a0:deff:fe00:1
13.IPv6 設置範例 131
【路由器 B 的設置步驟】
# line type bri1 l128# ip lan1 address 192.168.0.2/24# pp select 1pp1# pp bind bri1pp1# pp enable 1pp1# ip pp address 192.168.128.2/24pp1# ip pp remote address 192.168.128.1pp1# pp select none# save# interface reset bri1
【路由器 C 的設置步驟】
# ip lan1 address 192.168.0.1/24# ipv6 lan2 address fec0:12ab:34cd:2::2/64# ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan2 rtadv send 1# tunnel select 1tunnel1# tunnel encapsulation ipiptunnel1# tunnel endpoint address 192.168.0.1 192.168.128.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipv6 route fec0:12ab:34cd:1::/64 gateway tunnel 1# ipv6 route default gateway fe80::2a0:deff:fe00:1%2# ip route 192.168.128.0/24 gateway 192.168.0.2# save
【解說】■ 路由器 A
1. LAN 側是 IPv6 網絡,PP 側是 IPv4 網絡。
# line type bri1 l128設置線路種類。該設置在進行接口重啟或設備重新啟動后生效。
2. # ipv6 lan1 address fec0:12ab:34cd:1::1/64# ipv6 prefix 1 fec0:12ab:34cd:1::/64# ipv6 lan1 rtadv send 1
LAN 側是 IPv6 網絡。設置 IPv6 地址和前綴。
3. # pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.128.1/24pp1# ip pp remote address 192.168.128.2pp1# pp enable 1
在 pp 側設置 IPv4 地址。通過此接口進行 IPv6 over IPv4 隧道傳輸。
4. pp1# tunnel select 1tunnel1# tunnel encapsulation ipip
對隧道路由設置 IPv6 over IPv4 隧道傳輸的封裝。
5. tunnel1# tunnel endpoint address 192.168.128.1 192.168.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none
設置 IPv6 over IPv4 隧道傳輸的終點的 IPv4 地址。本地地址是自身的 pp 側地址。
132 13.IPv6 設置範例
6. # ipv6 route default gateway tunnel 1送往 LAN 外部的所有 IPv6 數據包,都被轉發到隧道終點的 LAN 上。上述路由設定為默認路由。
7. # ip route 192.168.0.0/24 gateway pp 1封裝后的數據包被轉發至 192.168.0.1。
這時的路由設置為 IPv4 的路由。
8. # save# interface reset bri1
線路種類與默認的不同,所以重啟接口。也可以用 restart 命令重新啟動整個裝置。
■ 路由器 B
1. 路由器 B 是只有 IPv4 網絡中才存在的路由器。不需要進行和 IPv6 有關的設置。
# line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 192.168.0.2/24# pp select 1pp1# pp bind bri1pp1# pp enable 1pp1# ip pp address 192.168.128.2/24pp1# ip pp remote address 192.168.128.1pp1# pp select none
設置 LAN 地址和 PP 側地址。這時同時設置了 LAN 和 PP 的網絡,IPv4 數據包可以在兩個網絡之間轉發。
3. # save# interface reset bri1
線路種類與默認的不同,所以重啟接口。也可以用 restart 命令重新啟動整個裝置。
■ 路由器 C
1. LAN1 屬于 IPv4 網絡,是 IPv6 over IPv4 隧道的終點。LAN2 屬于 IPv6 網絡。
# ip lan1 address 192.168.0.1/24LAN1 是 IPv4 網絡。設置 IPv4 地址。
它是 IPv6 over IPv4 隧道傳輸的終點。
2. # ipv6 lan2 address fec0:12ab:34cd:2::2/64# ipv6 prefix 1 fec0:12ab:34cd:2::/64# ipv6 lan2 rtadv send 1
LAN2 是 IPv6 網絡。設置 IPv6 地址。
3. # tunnel select 1tunnel1# tunnel encapsulation ipip
對隧道路由設置 IPv6 over IPv4 隧道傳輸的封裝。
4. tunnel1# tunnel endpoint address 192.168.0.1 192.168.128.1tunnel1# tunnel enable 1tunnel1# tunnel select none
設置 IPv6 over IPv4 隧道傳輸的終點的 IPv4 地址。本地地址是自己的 LAN1 地址。
5. # ipv6 route fec0:12ab:34cd:1::/64 gateway tunnel 1設置至 IPv6 over IPv4 隧道的前面的 IPv6 網絡的路由。
13.IPv6 設置範例 133
6. # ipv6 route default gateway fe80::2a0:deff:fe00:1%2設置 IPv6 網絡的默認路由。
7. # ip route 192.168.128.0/24 gateway 192.168.0.2# save
封裝后的數據包被轉發到 192.168.128.1。
這時的路由被設為 IPv4 的路由。
134 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
14. VRRP(Virtual Router Redundancy Protocol) 設置範例
1. 用 VRRP 協議建立兩台路由器的冗余結構
2. 用 VRRP 協議建立兩台路由器的冗余結構 (關機觸發)
3. VRRP+IPsec
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 135
14.1 用 VRRP 協議建立兩台路由器的冗余結構
可以用 VRRP 保證冗余性。VRRP 路由器組由實際轉發數據包的主路由器和備份路由器組成。VRRP 路由器共同使用一個虛擬的 IP 地址 /
MAC 地址,擁有虛擬地址的虛擬路由器作為默認網關協調處理 PC 的通信。
【結構圖】
‧路由器 A 是主控路由器、路由器 B 是備份路由器
‧在對路由器 C 的撥號環境中,保證 192.168.0/24 側路由器的冗余性
【路由器 A 的設置步驟】
# isdn local address bri1 0312345678# ip lan1 address 192.168.0.1/24# ip lan1 vrrp 1 192.168.0.1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
【路由器 B 的設置步驟】
# isdn local address bri1 0312345679# ip lan1 address 192.168.0.2/24# ip lan1 vrrp 1 192.168.0.1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
ISDN
03-1234-5678
03-8765-4321
WS/PC
WS/PC
192.168.0.0 / 24
192.168.0.1
192.168.1.1
192.168.0.2
WS/PC
WS/PC
192.168.1.0 / 24
03-1234-5679
136 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
【路由器 C的設置步驟】
# isdn local address bri1 0387654321# ip lan1 address 192.168.1.1/24# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678 0312345679pp1# pp enable 1pp1# pp select none# ip route 192.168.0.0/24 gateway pp 1# save
【解說】■ 路由器 A
1. # isdn local address bri1 0312345678# ip lan1 address 192.168.0.1/24# ip lan1 vrrp 1 192.168.0.1
進行 LAN 側地址和 VRRP 的設置。因為虛擬路由器的 IP 地址與 LAN 上 IP 地址相同,所以優先級 高,該路由器成為 VRRP 中
的主控路由器。
2. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1
設置通信對象的信息。
3. pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
設置路由。
■ 路由器 B
1. # isdn local address bri1 0312345679# ip lan1 address 192.168.0.2/24# ip lan1 vrrp 1 192.168.0.1
進行 LAN 側地址和 VRRP 的設置。作為虛擬 IP 地址為 192.168.0.1 的備份路由器使用。在一定時間段內未接收到主控路由器
發出的數據包時,它就成為主控路由器,開始處理數據包。
2. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0387654321pp1# pp enable 1
設置通信對象的信息。在此範例中,通信對象與主控路由器相同,所以設置也相同。
3. pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
設置路由。路由信息也和主控路由器相同,不能在 LAN 上進行動態路由選擇。
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 137
■ 路由器 C
1. # isdn local address bri1 0387654321# ip lan1 address 192.168.1.1/24# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678 0312345679pp1# pp enable 1pp1# pp select none# ip route 192.168.0.0/24 gateway pp 1# save
與對方的備份動作無關,視為相同的 pp。
138 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
14.2 用 VRRP 協議建立兩台路由器的冗余結構 (關機觸發)
當主路由器從 LAN 上斷開,或電源切斷時,不可避免會造成關機,但是由于某種原因線路側無法通信時,主控路由器會主動關機,並
通知備份路由器,可以切換主備。
【結構圖】
‧路由器 A 是主控路由器,路由器 B 是備份路由器
‧保證 192.168.0.1/24 側路由器的冗余性
‧在 192.168.1.0/24 側使用 RIP 協議,切換路由
【路由器 A的設置步驟】
# line type bri1 l128# ip lan1 address 192.168.0.1/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off# ip lan1 vrrp 1 192.168.0.1# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echopp1# ip pp rip connect send intervalpp1# pp enable 1pp1# pp select none # ip route 192.168.1.0/24 gateway pp 1# save# interface reset bri1
ISDN
03-1234-8765
WS/PC
WS/PC
192.168.0.0 / 24
192.168.0.1
192.168.1.2192.168.0.2
WS/PC
WS/PC
192.168.1.0 / 24
192.168.1.1
03-1234-5678
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 139
【路由器 B 的設置步驟】
# isdn local address bri1 0312345678# ip lan1 address 192.168.0.2/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off# ip lan1 vrrp 1 192.168.0.1# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312348765pp1# ip pp rip connect send intervalpp1# ip pp rip hop out 2pp1# pp enable 1pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
【路由器 C 的設置步驟】
# line type bri1 l128# ip lan1 address 192.168.1.1/24# rip use on# pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echopp1# pp enable 1pp1# pp select none# save# interface reset bri1
【路由器 D 的設置步驟】
# isdn local address bri1 0312348765# ip lan1 address 192.168.1.2/24# rip use on# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# pp enable 1pp1# pp select none# save
【解說】■ 路由器 A
1. # line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 192.168.0.1/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off
設置 LAN 地址和使用 RIP 協議。為了用備份線路傳輸對方的數據包,對 pp 使用 RIP 協議。在 LAN 側 , 使用 VRRP, 不開啟
RIP。
140 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
3. # ip lan1 vrrp 1 192.168.0.1# ip lan1 vrrp shutdown trigger 1 pp 1
設置 VRRP。因為以與 LAN 的 IP 地址相同的地址作為虛擬路由器的 IP 地址,所以優先級 高,該路由器成為 VRRP 中的主控
路由器。
設置關機觸發,使 pp1 的接口中斷時,切換到備份路由器。
4. # pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echo
為了檢測專線中斷的情況,設置 KEEPALIVE (保持連接)。
5. pp1# ip pp rip connect send interval默認情況下,只有在路由發生變化時,才發出通告,但可能無法跟上 VRRP 的動作,所以定期通告路由。
6. pp1# pp enable 1pp1# pp select none # ip route 192.168.1.0/24 gateway pp 1
靜態設置至 pp 側的路由。
7. # save# interface reset bri1
因為線路種類與默認值不同,所以重啟接口。也可以用 restart 命令重新啟動整個設備。
■ 路由器 B
1. # isdn local address bri1 0312345678# ip lan1 address 192.168.0.2/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off
與主控路由器相同的設置。LAN 不使用 RIP 協議。
2. # ip lan1 vrrp 1 192.168.0.1作為虛擬 IP 地址 192.168.0.1 的備份路由器。在一定時間段內未接收到主控路由器發出的數據包時,它就成為主控路由
器,開始處理數據包。
3. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312348765pp1# ip pp rip connect send intervalpp1# ip pp rip hop out 2
為了讓對方 LAN 上的路由信息跟上 VRRP 的動作,定期通告路由。為了順利地從備份路由上復原,在備份路由上設置多個通
告跳 (HOP)數。
4. pp1# pp enable 1pp1# pp select none# ip route 192.168.1.0/24 gateway pp 1# save
設置至 pp 側的靜態路由。
■ 路由器 C
1. # line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 192.168.1.1/24# rip use on
在 LAN 側及 PP 側使用 RIP 協議。這樣就能在 LAN 上的多個路由器之間交換 pp 側的路由信息,即使在使路由切換了的情況
下,也能交換路由信息。
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 141
3. # pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echo
為了檢測專線中斷的情況,設置 KEEPALIVE (保持連接)
4. pp1# pp enable 1pp1# pp select none# save# interface reset bri1
因為線路種類與默認值不同,所以重啟接口。也可以用 restart 命令重新啟動整個設備。
■ 路由器 D
1. # isdn local address bri1 0312348765# ip lan1 address 192.168.1.2/24# rip use on
在 LAN 側及 PP 側使用 RIP 協議。這樣就能在 LAN 上的多個路由器之間交換 pp 側的路由信息,即使在使路由切換了的情況,
也能交換路由信息。
2. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312345678pp1# pp enable 1pp1# pp select none# save
作為備份線路的接受方,設置對方信息。
下面是將 192.168.1.0/24 側的兩台路由器置換成 1 台多端口路由器時的設置步驟。
# ip lan1 address 192.168.1.1/24# line type bri1 l128# rip use on# pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echopp1# pp enable 1pp1# pp select none# interface reset bri1# pp select 2pp2# pp bind bri2pp2# isdn local address bri2 0312348765pp2# isdn remote address call 0312345678pp2# pp enable 2pp2# pp select none# save
142 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
14.3 VRRP+IPsec
可以將用于 VRRP 的路由器用作安全網關。
【結構圖】
‧路由器 A 是主路由器,路由器 B 是備份路由器
‧保證 192.168.0.1/24 側路由器的冗余性
‧在 192.168.0.0/24 與 192.168.1.0/24 之間進行 IPsec 傳輸
‧路由器 A、B 及路由器 D 成為安全網關
ISDN
WS/PC
WS/PC
192.168.0.0 / 24
192.168.1.0 / 24
192.168.1.1 / 24
192.168.0.1 / 24
192.168.0.2
WS/PC
WS/PC
172.16.0.1 / 24
172.16.0.0 / 24
172.16.0.2 / 24
03-1234-5678 03-1234 -8765
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 143
【路由器 A 的設置步驟】
# line type bri1 l128# ip lan1 address 192.168.0.1/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off# ip lan1 vrrp 1 192.168.0.128 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echopp1# ip filter 1 reject 192.168.1.0/24 *pp1# ip filter 2 pass * *pp1# ip pp rip filter out 1 2pp1# ip pp rip connect send intervalpp1# pp enable 1pp1# pp select none # ipsec ike local address 1 vrrp lan1 1# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac# tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none# ip route default gateway pp 1# save# interface reset bri1
144 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
【路由器 B的設置步驟】
# ip lan1 address 192.168.0.2/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off# ip lan1 vrrp 1 192.168.0.128# pp select 1pp1# pp bind bri1pp1# isdn remote address call 0312348765pp1# ip filter 1 reject 192.168.1.0/24 *pp1# ip filter 2 pass * *pp1# ip pp rip filter out 1 2pp1# ip pp rip connect send intervalpp1# ip pp rip hop out 2pp1# pp enable 1pp1# pp select none # ipsec ike local address 1 vrrp lan1 1# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac# tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none# ip route default gateway pp 1# save
【路由器 C的設置步驟】
# line type bri2.1 l128# ip lan1 address 172.16.0.1/24# rip use on# pp select 1pp1# pp bind bri2.1pp1# pp keepalive use lcp-echopp1# pp enable 1pp1# pp select 2pp2# pp bind bri2.2pp2# isdn local address bri2.2 0312348765pp2# isdn remote address call 0312345678pp2# pp enable 2# save# interface reset bri2.1
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 145
【路由器 D 的設置步驟】
# ip lan1 address 172.16.0.2/24# ip lan2 address 192.168.1.1/24# rip use on# ip filter 1 reject 192.168.0.0/24 *# ip filter 2 pass * *# ip lan1 rip filter out 1 2# ipsec ike remote address 1 192.168.0.128# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac# tunnel select 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh ontunnel1# tunnel select none# ip route 192.168.0.128 gateway 172.16.0.1# save
【解說】■ 路由器 A
1. # line type bri1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 192.168.0.1/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off
設置 LAN 地址和使用 RIP 協議。為了用備份線路傳輸對方的數據包,對 pp 使用 RIP 協議。在 LAN 上使用 VRRP,不開啟
RIP。
3. # ip lan1 vrrp 1 192.168.0.128 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1
設置 VRRP。將該路由器的優先級設置成 200,用作主控路由器。優先級的值在默認情況下是 100。並設置關機觸發,使 pp1
的接口中斷時,切換到備份路由器。
4. # pp select 1pp1# pp bind bri1pp1# pp keepalive use lcp-echo
為了檢測專線中斷情況,設置 KEEPALIVE (保持連接)。
5. pp1# ip filter 1 reject 192.168.1.0/24 *pp1# ip filter 2 pass * *pp1# ip pp rip filter out 1 2
在 RIP 上設置過濾,阻止向 PP 側轉發至隧道的路由。不符合條件的路由信息全部被阻止,所以要轉發相應路由以外的信息
時,必須設置過濾標準 2。
6. pp1# ip pp rip connect send interval在默認情況下,只有路由發生變化時,才發出通告,但可能無法跟上 VRRP 的動作,所以定期通告路由。
146 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
7. pp1# pp enable 1pp1# pp select none # ipsec ike local address 1 vrrp lan1 1# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac
設置 IPsec 的定義。作為己方的安全網關地址指定 vrrp,只有在作為 VRRP 主路由器使用時,才將 VRRP 的虛擬 IP 地址作為
己方安全網關地址,進行密鑰交換。
必須與對方設置相同的 pre-shared-key。使用 des-cbc 算法加密且用 md5-hmac 算法進行認證。
8. # tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh on
因為與對方 LAN 的通信使用 IPsec,所以將其路由設置成隧道路由。並設置成使用 IPsec 定義和自動交換密鑰。
9. tunnel1# tunnel select none# ip route default gateway pp 1
其它數據包不是 IPsec 的對象,轉發到 pp 側。
10. # save# interface reset bri1
因為線路種類與默認值不同,所以重啟接口。也可以用 restart 命令重新啟動整個設備。
■ 路由器 B
1. # ip lan1 address 192.168.0.2/24# rip use on# ip lan1 rip send off# ip lan1 rip receive off
設置 LAN 地址和開啟 RIP 協議。為了用此路由器的線路傳輸對方的數據包,在 pp 側使用 RIP 協議。LAN 使用 VRRP,不開啟
RIP。
2. # ip lan1 vrrp 1 192.168.0.128作為虛擬 IP 地址 192.168.0.128 的備份路由器。在一定時間段內未接收主路由器發出的數據包時,它就成為主控路由器,
開始處理數據包。
3. # pp select 1pp1# pp bind bri1pp1# isdn remote address call 11pp1# ip filter 1 reject 192.168.1.0/24 *pp1# ip filter 2 pass * *pp1# ip pp rip filter out 1 2
在 RIP 上設置過濾,阻止向 PP 側轉發至隧道的路由。不符合條件的路由信息全部被阻止,所以要轉發相應路由以外的信息
時,必須設置過濾標準 2。
4. pp1# ip pp rip connect send intervalpp1# ip pp rip hop out 2
在默認情況下,只有路由發生變化時才發出通告,但可能無法跟上 VRRP 的動作,所以定期通告路由。為了順利地從備份路
由上復原,在備份路由上設置多個通告跳 (HOP)數。
14.VRRP(Virtual Router Redundancy Protocol) 設置範例 147
5. pp1# pp enable 1pp1# pp select none # ipsec ike local address 1 vrrp lan1 1# ipsec ike remote address 1 172.16.0.2# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac
關于 IPsec,設置與路由器 A相同的定義。作為己方的安全網關地址指定 vrrp,只有在用作 VRRP 主路由器時,才將 VRRP 的
虛擬 IP 地址作為己方安全網關地址,進行密鑰交換。
6. # tunnel select 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh on
因為與對方 LAN 的通信使用 IPsec,所以將路由設置成隧道路由。並設置成使用 IPsec 定義和自動交換密鑰。
7. tunnel1# tunnel select none# ip route default gateway pp 1
其它數據包不是 IPsec 的對象,轉發到 pp 側。
8. # save
■ 路由器 C
1. # line type bri2.1 l128設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 172.16.0.1/24# rip use on
使用 RIP 協議。特別是為了在線路側檢測路由發生的變化。
3. # pp select 1pp1# pp bind bri2.1pp1# pp keepalive use lcp-echopp1# pp enable 1
與路由器 A 進行連接的設置。為了檢測專線中斷情況,設置 KEEPALIVE (保持連接)。
4. pp1# pp select 2pp2# pp bind bri2.2pp2# isdn local address bri2.2 11pp2# isdn remote address call 21pp2# pp enable 2
與路由器 B 進行連接的設置。
5. # save# interface reset bri2.1
因為線路種類與默認值不同,所以重啟接口。也可以用 restart 命令重新啟動整個設備。
■ 路由器 D
1. # ip lan1 address 172.16.0.2/24# ip lan2 address 192.168.1.1/24# rip use on# ip filter 1 reject 192.168.0.0/24 *# ip filter 2 pass * *# ip lan1 rip filter out 1 2
在 RIP 上設置過濾,阻止向 LAN 側轉發至隧道的路由。不符合條件的路由信息全部被阻止,所以要轉發相應路由以外的信息
時,必須設置過濾標準 2。
148 14.VRRP(Virtual Router Redundancy Protocol) 設置範例
2. # ipsec ike remote address 1 192.168.0.128# ipsec ike pre-shared-key 1 text IKEsecretPASS# ipsec sa policy 101 1 esp des-cbc md5-hmac
設置 IPsec 的定義。對方的安全網關地址是對方的 VRRP 虛擬 IP 地址。己方不參與備份動作。必須與對方設置相同的 pre-
shared-key。使用 des-cbc 算法加密且用 md5-hmac 算法進行認證。
3. # tunnel select 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ipsec auto refresh on
因為與對方 LAN 的通信使用 IPsec,所以將路由設置成隧道路由。並設置成使用 IPsec 定義和自動交換密鑰。
4. tunnel1# tunnel select none# ip route 192.168.0.128 gateway 172.16.0.1
設定密鑰交換時的路由。
5. # save
15. 多宿主連接(Multihoming)設置範例 149
15. 多宿主連接 (Multihoming)設置範例
1. 多宿主連接(Multihoming)(專線 128k+ 專線 64k)
2. 多宿主連接(Multihoming)(ISDN+ISDN)
150 15. 多宿主連接 (Multihoming)設置範例
15.1 多宿主連接 (Multihoming)(專線 128k+ 專線 64k)
能夠同時連接多個服務提供商 (ISP),分散因特網通信的負荷。某條線路發生中斷時,可進行路由切換,也可以根據線路速度進行
負荷均衡。為了根據使用的服務提供商(ISP)區別使用 IP 地址,必須使用 NAT 或偽裝(Masquerade)功能。
【結構圖】
‧從服務提供商 (ISP)A 分配的 IP 地址範圍172.16.0.0/28
‧從服務提供商 (ISP)B 分配的 IP 地址範圍172.16.128.0/28
‧同樣是網絡型連接,使用 NAT 協議。
‧LAN 的網絡地址192.168.0.0/24
【設置步驟】
# line type bri2.1 l128# line type bri2.2 l64# ip lan1 address 192.168.0.1/24# nat descriptor type 1 nat# nat descriptor address outer 1 172.16.0.1-172.16.0.14# pp select 1pp1# pp bind bri2.1pp1# ip pp nat descriptor 1pp1# pp keepalive use lcp-echopp1# pp enable 1pp1# pp select none# nat descriptor type 2 nat# nat descriptor address outer 2 172.16.128.1-172.16.128.14# pp select 2pp2# pp bind bri2.2pp2# ip pp nat descriptor 2pp2# pp keepalive use lcp-echopp2# pp enable 2pp2# pp select none# ip route default gateway pp 1 weight 2 hide gateway pp 2 weight 1 hide# save# interface reset bri2.1# interface reset bri2.2
WS/PC
WS/PC
192.168.0.0 / 24
192.168.0.1
The Interne
15. 多宿主連接(Multihoming)設置範例 151
【解說】1. # line type bri2.1 l128
# line type bri2.2 l64
設置線路種類。該設置在接口重啟或設備重新啟動后生效。
2. # ip lan1 address 192.168.0.1/24為了使用 NAT,LAN 側設為私有地址網絡。
3. # nat descriptor type 1 nat# nat descriptor address outer 1 172.16.0.1-172.16.0.14# pp select 1pp1# pp bind bri2.1pp1# ip pp nat descriptor 1
設置對服務提供商 (ISP)A 使用的 NAT。
4. pp1# pp keepalive use lcp-echopp1# pp enable 1pp1# pp select none
為了檢測專線中斷情況,使用 KEEPALIVE (保持連接)。
5. # nat descriptor type 2 nat# nat descriptor address outer 2 172.16.128.1-172.16.128.14# pp select 2pp2# pp bind bri2.2pp2# ip pp nat descriptor 2
設置對服務提供商 (ISP)B 使用的 NAT。
6. pp2# pp keepalive use lcp-echopp2# pp enable 2pp2# pp select none
與 pp1 一樣,為了檢測專中斷情況,使用 KEEPALIVE (保持連接)。
7. # ip route default gateway pp 1 weight 2 hide gateway pp 2 weight 1 hide指向兩個 ISP 的路由設為默認路由。指定 weight,使負載的比例與連接各服務提供商 (ISP)的線路速度相應。線路速度相
同時,沒有必要指定 weight。通過制定 hide,當某一條線路中斷時隱藏其路由,使用其它路由以避免丟失數據包。
8. # save# interface reset bri2.1# interface reset bri2.2
因為線路種類與默認值不同,所以重啟接口。也可以用 restart 命令重新啟動整個設備。
152 15. 多宿主連接 (Multihoming)設置範例
15.2 多宿主連接 (Multihoming)(ISDN+ISDN)
【結構圖】
‧從服務提供商(ISP)A 分配的 IP 地址範圍172.16.0.0/28
‧在網絡型連接中使用 NAT
‧在連接時,服務提供商 (ISP)B 分配 IP 地址
‧在終端型連接中使用 IP 偽裝 (IP Masquerade)
‧LAN 側的網絡地址192.168.0.0/24
【設置步驟】
# ip lan1 address 192.168.0.1/24# nat descriptor type 1 nat# nat descriptor address outer 1 172.16.0.1-172.16.0.14# pp select 1pp1# pp bind bri2.1pp1# ip pp nat descriptor 1pp1# isdn remote address call 0312345678pp1# pp auth accept chap pappp1# pp auth myname userA passApp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none# nat descriptor type 2 masquerade# pp select 2pp2# pp bind bri2.2pp2# ip pp nat descriptor 2pp2# isdn remote address call 0387654321pp2# pp auth accept chap pappp2# pp auth myname userB passBpp2# ppp ipcp ipaddress onpp2# pp enable 2pp2# pp select none# ip route default gateway pp 1 gateway pp 2# save
WS/PC
WS/PC
192.168.0.0 / 24
192.168.0.1
ISDN The Internet
15. 多宿主連接(Multihoming)設置範例 153
【解說】1. # ip lan1 address 192.168.0.1/24
為了使用 NAT/ 偽裝 (Masquerade),LAN 側設為私有地址網絡。
2. # nat descriptor type 1 nat# nat descriptor address outer 1 172.16.0.1-172.16.0.14# pp select 1pp1# pp bind bri2.1pp1# ip pp nat descriptor 1
設置對服務提供商 (ISP)A 使用的 NAT。
3. pp1# isdn remote address call 0312345678pp1# pp auth accept chap pappp1# pp auth myname userA passApp1# ppp ipcp ipaddress onpp1# pp enable 1pp1# pp select none
設置與服務提供商 (ISP)A 連接所需信息。
接入點的電話號碼:03 - 1234 - 5678
用戶名: userA
密碼: passA
4. # nat descriptor type 2 masquerade# pp select 2pp2# pp bind bri2.2pp2# ip pp nat descriptor 2
對服務提供商(ISP)B,設置使用的 IP 偽裝 (IP Masquerade)。
5. pp2# isdn remote address call 0387654321pp2# pp auth accept chap pappp2# pp auth myname userB passBpp2# ppp ipcp ipaddress onpp2# pp enable 2pp2# pp select none
設置與服務提供商 (ISP)B 連接所需信息。
接入點的電話號碼:03 - 8765 - 4321
用戶名: userB
密碼: passB
6. # ip route default gateway pp 1 gateway pp 2# save
指向兩個服務提供商(ISP)的路由設為默認路由。
154 16. 優先 /帶寬控制的設置範例
16. 優先 / 帶寬控制的設置範例
使用優先控制功能,能夠對每種數據包,優先轉發高優先級的數據包。使用帶寬控制功能,能夠保證每種數據包的通信帶寬。但是,
帶寬控制功能與壓縮功能同時使用時,不能按照設置的比例調整速度。
優先控制時的處理負荷較少。無論採用哪種控制,控制的對象只是通過接口轉發出的數據包,為了對雙向通信進行優先 / 帶寬控制,
必須在與接口相連的兩個設備上進行設定。
1. 優先控制 (優先特定主機的數據包)
2. 優先控制 (優先使用特定端口的數據包)
3. 帶寬控制 (為特定主機的數據包保證帶寬)
4. 帶寬控制 (為使用特定協議的數據包保證帶寬)
5. 使用 PPPoE 線路時的優先控制
6. 使用 PPPoE 線路時的帶寬控制
7. 使用 IPsec 的 VPN 環境中的優先控制
8. 使用 IPsec 的 VPN 環境中的帶寬控制
16. 優先 /帶寬控制的設置範例 155
16.1 優先控制 (優先特定主機的數據包)
【結構圖】
‧優先轉發 PC-A 與點到點連接的 LAN 上的主機通信的數據包
【路由器 A 的設置步驟】
# pp select 1pp1# queue pp type prioritypp1# queue class filter 1 4 ip 192.168.0.2 * * * *pp1# queue pp class filter list 1pp1# save
【路由器 B 的設置步驟】
# pp select 1pp1# queue pp type prioritypp1# queue class filter 1 4 ip * 192.168.0.2 * * *pp1# queue pp class filter list 1pp1# save
【解說】■ 路由器 A
1. # pp select 1pp1# queue pp type priority
設置隊列 (Queue)類型,對 PP 實行優先控制。
2. pp1# queue class filter 1 4 ip 192.168.0.2 * * * *pp1# queue pp class filter list 1
設置過濾標準,從 PC-A 發出的數據包設置為級別 4 (優先級 高),在 pp 上使用過濾。從該 pp 接口發出的各數據包與該
過濾標準進行匹配,決定優先級。可以用 queue pp default class 命令設置與過濾標準不匹配的數據包,在默認情況下
作為級別 2 處理。
3. pp1# save
A
WS/PC
WS/PC
192.168.0.2
WS/PC
WS/PC
156 16. 優先 /帶寬控制的設置範例
■ 路由器 B
1. # pp select 1pp1# queue pp type priority
設置隊列(Queue)類型,在 pp 上實行優先控制。優先控制只對從接口發出的數據包有效,在雙向通信時,必須對雙方的
路由器進行優先控制的設置。
2. pp1# queue class filter 1 4 ip * 192.168.0.2 * * *pp1# queue pp class filter list 1
設置過濾標準,從 PC-A 發出的數據包設置為級別 4 (優先級 高),在 pp 上使用過濾標準。路由器 A 對指定源 IP 地址進
行過濾,與此相對應,路由器 B 對指定的目的 IP 地址進行過濾。
3. pp1# save
16. 優先 /帶寬控制的設置範例 157
16.2 優先控制 (優先使用特定端口的數據包)
【結構圖】
‧在 LAN 之間,按照下面的優先順序轉發數據包
‧ICMP 和 TELNET 的優先級是 4 級 ( 優先)
‧SMTP 和 POP3 的優先級是 3 級
‧IPX 的優先級 低
【路由器 A,B的設置步驟】
# pp select 1pp1# queue pp type prioritypp1# queue class filter 1 4 ip * * icmp pp1# queue class filter 2 4 ip * * tcp telnet *pp1# queue class filter 3 4 ip * * tcp * telnet pp1# queue class filter 4 3 ip * * tcp smtp,pop3 *pp1# queue class filter 5 3 ip * * tcp * smtp,pop3pp1# queue class filter 10 1 ipx * *pp1# pp queue class filter list 1 2 3 4 5 10pp1# save
【解說】兩個路由器的設置相同。在兩個路由器上分別控制從接口發出的數據包。
1. # pp select 1pp1# queue pp type priority
設置隊列 (Queue)類型,在該 pp 上實行優先控制。
2. pp1# queue class filter 1 4 ip * * icmp指定協議,定義過濾標準,設 ICMP 數據包的優先級為 4。
3. pp1# queue class filter 2 4 ip * * tcp telnet * pp1# queue class filter 3 4 ip * * tcp * telnet
定義過濾標準,設 TELNET 數據包的優先級為 4。
假設雙方都有服務器。
4. pp1# queue class filter 4 3 ip * * tcp smtp,pop3 * pp1# queue class filter 5 3 ip * * tcp * smtp,pop3
定義過濾標準,設與郵件轉發接收相關的 SMTP 和 POP3 數據包的優先級為 3。假設雙方都有服務器。
5. pp1# queue class filter 10 1 ipx * * 設 IPX 數據包的優先級為 1。
WS/PC WS/PC
WS/PC
158 16. 優先 /帶寬控制的設置範例
6. pp1# pp queue class filter list 1 2 3 4 5 10在 pp 上使用過濾標準。從該 pp 接口發出的各數據包都與該過濾標準依次匹配,決定優先級。可以用 queue pp default
class 命令設置與過濾標準不匹配的數據包,在默認情況下作為級別 2 處理。
7. pp1# save
16. 優先 /帶寬控制的設置範例 159
16.3 帶寬控制 (為特定主機的數據包保證帶寬)
【結構圖】
‧為 PC-A 轉發接收的數據包保證帶寬的 80%
【路由器 A 的設置步驟】
# pp select 1pp1# queue pp type cbqpp1# speed pp 128000pp1# queue class filter 1 1 ip 192.168.0.2 * * * *pp1# queue pp class property 1 bandwidth=80%pp1# queue pp class property 2 bandwidth=20%pp1# queue pp class filter list 1pp1# ppp ccp type nonepp1# save
【路由器 B 的設置步驟】
# pp select 1pp1# queue pp type cbqpp1# speed pp 128000pp1# queue class filter 1 1 ip * 192.168.0.2 * * *pp1# queue pp class property 1 bandwidth=80%pp1# queue pp class property 2 bandwidth=20%pp1# queue pp class filter list 1pp1# ppp ccp type nonepp1# save
【解說】■ 路由器 A
1. # pp select 1pp1# queue pp type cbq
設置隊列 (Queue)類型,控制該 pp 的帶寬。
2. pp1# speed pp 128000設置線路速度。根據該值計算帶寬。
3. pp1# queue class filter 1 1 ip 192.168.0.2 * * * *設置將 PC-A 轉發的數據包定為級別 1 的過濾標準。從 PC-A 送出的各數據包被與該過濾標準匹配,劃分等級。帶寬控制時,
級別之間沒有優先順序。各級別的屬性由下面的 queue pp class property 命令決定。
A
WS/PC
WS/PC
192.168.0.2
WS/PC
WS/PC
160 16. 優先 /帶寬控制的設置範例
4. pp1# queue pp class property 1 bandwidth=80%對級別 1 的數據包,保證帶寬的 80%。
5. pp1# queue pp class property 2 bandwidth=20%可以用 queue pp default class 命令設置與過濾標準不匹配的數據包,在默認情況下作為級別 2 處理。設置時,對該類
的數據包,保證剩余帶寬的 20%。未進行此設置時,將會向級別 2 提供 100% 的帶寬,無法按照已設定內容進行帶寬控制。
6. pp1# queue pp class filter list 1用 queue class filter 命令設置的過濾標準運行于此 pp。對此 pp 接口發出的數據包進行帶寬控制。
7. pp1# ppp ccp type none帶寬控制下不能使用壓縮功能,所以設置成不使用壓縮功能。
8. pp1# save
■ 路由器 B
1. # pp select 1pp1# queue pp type cbq
設置隊列(Queue)類型,控制該 pp 的帶寬。
因為只對從接口發出的數據包控制帶寬,所以雙向通信時,必須對雙方的路由器分別行帶寬控制的設置。
2. pp1# speed pp 128000設置線路速度。根據該值計算帶寬。
3. pp1# queue class filter 1 1 ip * 192.168.0.2 * * *設置將轉發到 PC-A 的數據包定為類 1 的過濾標準。控制對象只是從接口發出的數據包,路由器 A 對指定的源 IP 地址進行過
濾,與此相對應,路由器 B 對指定的目的 IP 地址進行過濾。
4. pp1# queue pp class property 1 bandwidth=80%pp1# queue pp class property 2 bandwidth=20%pp1# queue pp class filter list 1
與路由器 A 的設置相同,為對象數據包分配帶寬的 80%,為其他數據包分配帶寬的 20%,在 pp 上實行過濾標準。
5. pp1# ppp ccp type none在帶寬控制下,不能使用壓縮功能,所以設置成不使用壓縮功能。
6. pp1# save
16. 優先 /帶寬控制的設置範例 161
16.4 帶寬控制 (為使用特定協議的數據包保證帶寬)
【結構圖】
‧為使用 UDP 的通信保證帶寬的 50%
【路由器 A、B的設置步驟】
# pp select 1pp1# queue pp type cbqpp1# speed pp 128000pp1# queue class filter 1 1 ip * * udp * *pp1# queue pp class property 1 bandwidth=50%pp1# queue pp class property 2 bandwidth=50%pp1# queue pp class filter list 1pp1# ppp ccp type nonepp1# save
【解說】兩個路由器的設置相同。兩個路由器分別控制從接口發出的數據包。
1. # pp select 1pp1# queue pp type cbq
設置隊列 (Queue)類型,控制該 pp 的帶寬。
2. pp1# speed pp 128000設置線路速度。根據該值計算帶寬。
3. pp1# queue class filter 1 1 ip * * udp * *設置過濾標準,將使用 UDP 的數據包定為級別 1。這時,無論是使用 UDP 的哪個端口的數據包,都會被分類為級別 1,也可
以指定使用的端口號碼,限定對象數據包。這時請注意轉發方端口和接收方端口的差異。
各數據包與過濾標準匹配,劃分級別。帶寬控制時,級別之間沒有優先順序。各級別的屬性由下面的 queue pp class property 命令決定。
4. pp1# queue pp class property 1 bandwidth=50%對符合上述過濾標準的級別 1 的數據包,保證帶寬的 50%。
5. pp1# queue pp class property 2 bandwidth=50%可以用 queue pp default class 命令設置與過濾標準不匹配的數據包,在默認情況下,作為級別 2 處理。設置時,對該
級別的數據包,保證剩余帶寬的 50%。未進行此設置時,會向級別 2 提供 100% 的帶寬,無法按照已設定內容進行帶寬控制。
WS/PC
WS/PC WS/PC
WS/PC
162 16. 優先 /帶寬控制的設置範例
6. pp1# queue pp class filter list 1在 pp 上使用 queue class filter 命令設置的過濾標準。這時,對從該 pp 接口發出的數據包,進行帶寬控制。
7. pp1# ppp ccp type none帶寬控制下,不能使用壓縮功能,所以設置成不使用壓縮功能。
8. pp1# save
16. 優先 /帶寬控制的設置範例 163
16.5 使用 PPPoE 線路時的優先控制
【結構圖】
【路由器的設置步驟】
# ip lan1 address 172.16.128.1/29# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# queue lan2 type priority# speed lan2 10m# queue class filter 1 4 ip * * tcp telnet *# queue class filter 2 4 ip * * tcp * telnet# queue class filter 3 3 ip * * tcp www *# queue class filter 4 3 ip * * tcp * www# queue class filter 5 1 ip * * tcp ftp *# queue class filter 6 1 ip * * tcp * ftp# pp select 1pp1# queue pp class filter list 1 2 3 4 5 6pp1# save
【解說】LAN 網絡被分配為 172.16.128.0/29 的全球地址,設置多台 WWW 服務器、FTP 服務器和 WS/PC。在這個範例中,使用優先控制功能,使
FTP 通信、WWW 通信佔有線路帶寬,不損害 TELNET 的操作性。
優先級是 TELNET〉WWW〉非指定的通信〉FTP。
1. # queue lan2 type priority# speed lan2 10m
使用優先控制功能,設置線路帶寬。
The InternetWS/PC
WS/PC
LAN1 LAN2
172.16.128.0 / 29
172.16.128.1
164 16. 優先 /帶寬控制的設置範例
2. # queue class filter 1 4 ip * * tcp telnet *# queue class filter 2 4 ip * * tcp * telnet# queue class filter 3 3 ip * * tcp www *# queue class filter 4 3 ip * * tcp * www# queue class filter 5 1 ip * * tcp ftp *# queue class filter 6 1 ip * * tcp * ftp
設置每個服務使用的隊列 (Queue)號碼。未設置的服務進入默認級別 (級別 2)。進入級別號碼大的隊列 (Queue)的數
據包被優先發送。
3. # pp select 1pp1# queue pp class filter list 1 2 3 4 5 6
在 pp 接口上使用優先控制功能。
16. 優先 /帶寬控制的設置範例 165
16.6 使用 PPPoE 線路時的帶寬控制
【結構圖】
【路由器的設置步驟】
# ip lan1 address 172.16.128.1/29# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# queue lan2 type shaping# queue lan2 class property 1 bandwidth=3m# queue lan2 class property 2 bandwidth=5m# queue lan2 class property 3 bandwidth=2m# queue class filter 1 1 ip * * tcp www *# queue class filter 2 1 ip * * tcp * www# queue class filter 3 3 ip * * tcp ftp *# queue class filter 4 3 ip * * tcp * ftp# pp select 1pp1# queue pp class filter list 1 2 3 4pp1# save
【解說】LAN 網絡配置全球地址 172.16.128.0/29,設置多台 WWW 服務器、FTP 服務器和 WS/PC。在這個範例中,使用帶寬控制功能,使 WWW 通
信、FTP 通信和其他通信服務不佔有所有線路帶寬。
各通信服務能夠使用的帶寬是
級別 1 :WWW 通信:3Mbit/s
級別 2 (默認):其他通信:5Mbit/s
級別 3 :FTP 通信:2Mbit/s
The InternetWS/PC
WS/PC
LAN1 LAN2
172.16.128.0 / 29
172.16.128.1
166 16. 優先 /帶寬控制的設置範例
1. # queue lan2 type shaping# queue lan2 class property 1 bandwidth=3m# queue lan2 class property 2 bandwidth=5m# queue lan2 class property 3 bandwidth=2m使用帶寬控制功能,設置各隊列 (Queue)能夠使用的線路帶寬。
2. # queue class filter 1 1 ip * * tcp www *# queue class filter 2 1 ip * * tcp * www# queue class filter 3 3 ip * * tcp ftp *# queue class filter 4 3 ip * * tcp * ftp設置每個服務使用的隊列 (Queue)號碼。未設置的服務進入默認級別 (2)。
3. # pp select 1pp1# queue tunnel class filter list 1 2 3 4
在 pp 接口上使用帶寬控制功能。
16. 優先 /帶寬控制的設置範例 167
16.7 使用 IPsec 的 VPN 環境中的優先控制
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmacanti-replay-check=offtunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike local address 1 172.16.0.1tunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipsec auto refresh on# ip route 172.17.0.1 gateway pp 1# ip route 192.168.1.0/24 gateway tunnel 1# queue lan2 type priority# speed lan2 10m# queue class filter 1 4 ip * * tcp telnet *# queue class filter 2 4 ip * * tcp * telnet# queue class filter 3 3 ip * * tcp www *# queue class filter 4 3 ip * * tcp * www# queue class filter 5 1 ip * * tcp ftp *# queue class filter 6 1 ip * * tcp * ftp
The Internet
Y U1RE
Y U1RE3940380203
3; 4038: 0202"1"46
3; 4038: 020476
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"4763940390203
168 16. 優先 /帶寬控制的設置範例
# tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4 5 6tunnel1# tsave
【路由器 B的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=offtunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike local address 1 172.17.0.1tunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipsec auto refresh on# ip route 172.16.0.1 gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 1# queue lan2 type priority# speed lan2 10m# queue class filter 1 4 ip * * tcp telnet *# queue class filter 2 4 ip * * tcp * telnet# queue class filter 3 3 ip * * tcp www *# queue class filter 4 3 ip * * tcp * www# queue class filter 5 1 ip * * tcp ftp *# queue class filter 6 1 ip * * tcp * ftp# tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4 5 6tunnel1# save
【解說】總公司配置固定地址 172.16.0.1,分公司配置固定地址 172.17.0.1,總公司和分公司通過 IPsec 連接。總公司 LAN 和分公司 LAN 分
別設置多台 WWW 服務器、FTP 服務器和 WS/PC,相互之間進行業務數據的收發。也使用 TELNET 進行服務器的維護。在這個範例中,使
用優先控制功能,使 FTP 通信和 WWW 通信佔有線路帶寬,同時不影響通過 TELNET 進行的服務器維護工作。
優先級是 TELNET〉WWW〉非指定的通信〉FTP。
1. # queue lan2 type priority# speed lan2 10m
使用優先控制功能,設置線路帶寬。
16. 優先 /帶寬控制的設置範例 169
2. # queue class filter 1 4 ip * * tcp telnet *# queue class filter 2 4 ip * * tcp * telnet# queue class filter 3 3 ip * * tcp www *# queue class filter 4 3 ip * * tcp * www# queue class filter 5 1 ip * * tcp ftp *# queue class filter 6 1 ip * * tcp * ftp
設置每個服務使用的隊列 (Queue)號碼。未設置的服務將進入默認級別 (2)。進入號碼大的隊列 (Queue)的數據包被優
先轉發。
3. # tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4 5 6
在隧道接口上使用優先控制功能。
4. # ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off使用優先控制功能時,數據包的順序會發生調換。在 IPsec 通信中,設置不使用監控順序調換的功能。
170 16. 優先 /帶寬控制的設置範例
16.8 使用 IPsec 的 VPN 環境中的帶寬控制
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=offtunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike local address 1 172.16.0.1tunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipsec auto refresh on# ip route 172.17.0.1 gateway pp 1# ip route 192.168.1.0/24 gateway tunnel 1# queue lan2 type shaping# queue lan2 class property 1 bandwidth=3m# queue lan2 class property 2 bandwidth=5m# queue lan2 class property 3 bandwidth=2m# queue class filter 1 1 ip * * tcp www *# queue class filter 2 1 ip * * tcp * www# queue class filter 3 3 ip * * tcp ftp *# queue class filter 4 3 ip * * tcp * ftp
The Internet
WS/PC
WS/PC3940380203
192.168.0.0?/?24
3; 4038: 020476
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"4763940390203
16. 優先 /帶寬控制的設置範例 171
# tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4tunnel1# save
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=offtunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike local address 1 172.17.0.1tunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# tunnel enable 1tunnel1# tunnel select none# ipsec auto refresh on# ip route 172.16.0.1 gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 1# queue lan2 type shaping# queue lan2 class property 1 bandwidth=3m# queue lan2 class property 2 bandwidth=5m# queue lan2 class property 3 bandwidth=2m# queue class filter 1 1 ip * * tcp www *# queue class filter 2 1 ip * * tcp * www# queue class filter 3 3 ip * * tcp ftp *# queue class filter 4 3 ip * * tcp * ftp# tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4tunnel1# save
【解說】總公司被分配固定地址 172.16.0.1,分公司被分配固定地址 172.17.0.1,總公司和分公司通過 IPsec 連接。總公司 LAN 和分公司 LAN
分別設置多台 WWW 服務器、FTP 服務器和 WS/PC,相互之間進行業務數據的收發。另外還用自己的軟件提供通信服務。
在這個範例中,使用帶寬控制功能,使 WWW 通信、FTP 通信和其他通信服務不佔有所有線路帶寬。
各通信服務能夠使用的帶寬是
級別 1:WWW 通信 :3Mbit/s
級別 2 (默認):其他通信:5Mbit/s
級別 3 :FTP 通信:2Mbit/s
172 16. 優先 /帶寬控制的設置範例
1. # queue lan2 type shaping# queue lan2 class property 1 bandwidth=3m# queue lan2 class property 2 bandwidth=5m# queue lan2 class property 3 bandwidth=2m
使用帶寬控制功能,設置在各個隊列(Queue)中使用的帶寬各隊中使用的線路帶寬。
2. # queue class filter 1 1 ip * * tcp www *# queue class filter 2 1 ip * * tcp * www# queue class filter 3 3 ip * * tcp ftp *# queue class filter 4 3 ip * * tcp * ftp
設置每個服務使用的隊列 (Queue)號碼。未設置的服務將進入默認級別(2)。
3. # tunnel select 1tunnel1# queue tunnel class filter list 1 2 3 4
在隧道接口上使用帶寬控制功能。
4. # tunnel select 1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac anti-replay-check=off
使用帶寬控制功能時,數據包的順序會發生調換。在 IPsec 通信中,設置不使用監控順序調換的功能。
17.BGP 設置範例 173
17. BGP 設置範例
1. BGP 和 RIP 的組合
2. BGP 和 OSPF 的組合
3. 用 VRRP 復用
4. 用 ISDN 備份
174 17.BGP 設置範例
17.1 BGP 和 RIP 的組合
【結構圖】
【設置步驟】
# line type pri1 leased# pri leased channel 1/1 1 24# ip lan1 address 192.168.0.1/16# rip use on# ip lan1 rip send on version 2# ip lan1 rip receive on version 2# pp select 1pp1# pp bind pri1/1pp1# ip pp address 172.16.0.2/32pp1# ip pp remote address 172.16.0.1pp1# ip pp rip send offpp1# ip pp rip receive offpp1# pp enable 1pp1# pp select none# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 172.16.0.1# bgp import filter 1 include 192.168.0.0/16# bgp import 8000 rip filter 1# bgp export filter 1 include all# bgp export 8000 filter 1# save# interface reset pri1# bgp configure refresh
【解說】這是 BGP 的 簡單的設置範例。在用戶絡中運行 RIP 協議,用 BGP 通告路由。另一方,導入由 BGP 接收到的所有路由。
‧只通告 RIP 接收的 192.168.0.0/16 範圍內的路由。
‧接收所有路由。
‧不匯總路由。
WS/PC
WS/PC
172.16.0.1
AS 8000 AS 64001
192.168.0.0 / 16
WS/PC
WS/PC
192.168.0.3
192.168.0.5
172.16.0.2
192.168.0.1
17.BGP 設置範例 175
17.2 BGP 和 OSPF 的組合
【結構圖】
【設置步驟】
# line type pri1 leased# pri leased channel 1/1 1 24# ip lan1 address 192.168.0.1/16# ospf use on# ospf area backbone# ip lan1 ospf area backbone# pp select 1pp1# pp bind pri1/1pp1# ip pp address 172.16.0.2/32pp1# ip pp remote address 172.16.0.1pp1# pp enable 1pp1# pp select none# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 172.16.0.1# bgp aggregate filter 1 ospf include 192.168.0.0/16# bgp aggregate 192.168.0.0/16 filter 1# bgp import filter 1 include 192.168.0.0/16# bgp import filter 2 reject include 192.168.0.0/16# bgp import filter 3 include all# bgp import 8000 aggregate filter 1# bgp import 8000 ospf filter 2 3# bgp export filter 1 include 10.0.0.0/8# bgp export 8000 filter 1# save# interface reset pri1# ospf configure refresh# bgp configure refresh pp 1
【解說】這是將 1. 的 RIP 置換成 OSPF 的設置範例。並追加設置路由匯總、設置對信息接收路由的過濾。
‧匯總並通知 OSPF 接收的 192.168.0.0/16 範圍內的路由,直接通知其他路由。
‧只接受 10.0.0.0/8 的範圍的路由。
WS/PC
WS/PC
172.16.0.1
AS 8000 AS 64001
192.168.0.0 / 16
WS/PC
WS/PC
192.168.0.3
192.168.0.5
172.16.0.2
192.168.0.1
176 17.BGP 設置範例
17.3 用 VRRP 復用
【結構圖】
【路由器 A的設置步驟】
# line type pri1 leased# pri leased channel 1/1 1 24# ip lan1 address 192.168.0.1/16# pp select 1pp1# pp bind pri1/1pp1# ip pp address 172.16.0.2/32pp1# ip pp remote address 172.16.0.1pp1# pp enable 1pp1# pp select none# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 172.16.0.1# bgp export filter 1 include all# bgp export 8000 filter 1# ip lan1 vrrp 1 192.168.0.1# ip lan1 vrrp shutdown trigger 1 route 10.0.0.0/16# ip lan1 vrrp 2 192.168.0.2# ip lan1 vrrp shutdown trigger 2 route 10.0.0.0/16# dhcp service server# dhcp scope 1 192.168.0.100-192.168.0.125/24 gateway 192.168.0.1# dhcp scope 1 192.168.0.200-192.168.0.225/24 gateway 192.168.0.2# save# interface reset pri1# bgp configure refresh
WS/PC
WS/PC
172.16.1.1
AS 8000 VRID = 2
VRID = 1
AS 64001
192.168.0.0 / 16
WS/PC
WS/PC
192.168.0.3
192.168.0.5
172.16.1.2
192.168.0.2
172.16.0.1
AS 8000AS 64001
172.16.0.2
192.168.0.1
17.BGP 設置範例 177
【路由器 B 的設置步驟】
# line type pri1 leased# pri leased channel 1/1 1 24# ip lan1 address 192.168.0.2/16# pp select 1pp1# pp bind pri1/1pp1# ip pp address 172.16.1.2/32pp1# ip pp remote address 172.16.1.1pp1# pp enable 1pp1# pp select none# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 172.16.1.1# bgp export filter 1 include all# bgp export 8000 filter 1# ip lan1 vrrp 1 192.168.0.1# ip lan1 vrrp shutdown trigger 1 route 10.0.0.0/16# ip lan1 vrrp 2 192.168.0.2# ip lan1 vrrp shutdown trigger 2 route 10.0.0.0/16# save# interface reset pri1# bgp configure refreshe
【解說】準備兩台 BGP 路由器,通過 VRRP 復用。線路正常時,平均性地使用兩台路由器,某一方線路發生故障時,只使用另一方路由器。
關于路由器的 BGP 設置,除了 IP 地址等細小之處以外,全部相同。與復用相關的處理是通過 VRRP 實現的,所以設置 BGP 時不需要考
慮復用。
路由器 A 和路由器 B 不能通過 BGP 獲得 10.0.0.0/16 的路由的現象被用作 VRRP 的關機觸發。也就是說,必須能夠從 ISP 通過 BGP 接
收到 10.0.0.0/16 的路由。
‧除了 IP 地址等細小的部分以外,兩台路由器的 BGP 設置幾乎完全相同。
‧路由器 A 是 VRID=1 的主路由器,是 VRID=2 的備份。
‧路由器 B 是 VRID=2 的主路由器,是 VRID=1 的備份。
‧用 BGP 接收所有路由。
‧不用 BGP 轉發路由。
178 17.BGP 設置範例
17.4 用 ISDN 備份
【結構圖】
【路由器 A的設置步驟】
# line type bri1 l128# isdn local address bri2 11111111# ip lan1 address 10.201.0.1/16# ip lan1 ospf area backbone# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.1.2/32pp1# ip pp remote address 192.168.1.1pp1# pp enable 1pp1# pp select 2pp2# pp bind bri2pp2# isdn remote address call 22222222pp2# pp enable 2pp2# pp select none# ip route 10.202.0.0/16 gateway pp 2# ospf use on# ospf area backbone# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 192.168.1.1# bgp import filter 1 include 10.201.0.0/16# bgp import 8000 static filter 1# bgp import 8000 ospf filter 1# bgp export filter 1 include all# bgp export 8000 filter 1# bgp preference 20000# save# interface reset bri1# bgp configure refresh
WS/PC
WS/PC
AS 64001
AS 8000
IP-VPN
AS 64002
10.202.0.0 / 1610.201.0.0 / 16
WS/PC
WS/PC
10.202.0.3
10.202.0.5
10.201.0.3
10.201.0.5
192.168.2.2192.168.1.2
192.168.1.1 192.168.2.1
ISDN(Backup)
17.BGP 設置範例 179
【路由器 B 的設置步驟】
# line type bri1 l128# isdn local address bri2 22222222# ip lan1 address 10.202.0.1/16# ip lan1 ospf area backbone# pp select 1pp1# pp bind bri1pp1# ip pp address 192.168.2.2/32pp1# ip pp remote address 192.168.2.1pp1# pp enable 1pp1# pp select 2pp2# pp bind bri2pp2# isdn remote address call 11111111pp2# pp enable 2pp2# pp select none# ip route 10.201.0.0/16 gateway pp 2# ospf use on# ospf area backbone# bgp use on# bgp autonomous-system 64002# bgp neighbor 1 8000 192.168.2.1# bgp import filter 1 include 10.202.0.0/16# bgp import 8000 static filter 1# bgp import 8000 ospf filter 1# bgp export filter 1 include all# bgp export 8000 filter 1# bgp preference 20000# save# interface reset bri1# bgp configure refresh
【解說】用 ISDN 線路作備份。通常 BGP 會通告路由,路由器通過這些路由轉發數據包。當 BGP 的路由消失時,經 ISDN 線路的路由開始生效。
因此,對 ISDN 線路設置靜態路由,使它的優先級低于 BGP 的路由。
‧用 ISDN 備份 IP-VPN 的故障。
‧用戶網絡的內部運用 OSPF 協議。
‧用 BGP 通告屬于自己網絡的路由。
‧用 OSPF 通告通過 BGP 接收的路由。
180 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接)
本章說明不使用 VPN,通過 PPPoE 進行寬帶連接時的設置範例。使用 PPPoE 和 IPsec 建立 VPN 環境時,請參照第 22 章。在 PPPoE 環境
中進行優先控制和帶寬控制時,請結合參照第 19 章。
1. 終端型連接
2. 網絡型連接
3. 用 ISDN 終端型連接備份 PPPoE 終端型連接
4. 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡
5. 由私有 IP 地址構成 LAN 側網絡
6. 由全球 IP 地址構成 LAN 側網絡
7. 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡
8. 由私有 IP 地址構成 LAN 側網絡
9. 由全球 IP 地址構成 LAN 側網絡
10. 將 DMZ 端口用作服務器公開網段
11. 在兩個網關中運用
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 181
18.1 終端型連接
在實現寬帶接入時,能夠通過以太網的 LAN 進行 PPP 連接。例如,通過 LAN 與 PPPoE 服務器(Access Consentrator)進行 PPP 連接,
會獲得 IP 地址和 DNS 服務器地址,分配到的 IP 地址用于偽裝(Masquerade),使其象 outer 地址一樣,能同時實現多台主機的通
信。在默認情況下,中斷定時器是 off 狀態,必須中斷時,用 pppoe disconnect time 命令和 pppoe auto disconnect 命令設置。設備中配置的 PPPoE 功能是客戶端功能,可以連接服務器。但是在未連接時,不能接受接入要求。另外,不能使用 MP 和壓
縮功能。PPPoE 由 RFC2516 定義。
【結構圖】
‧LAN1 是 LAN 側,LAN2 是 WAN 側
‧LAN1 也用作 DHCP 服務器
‧LAN2 與寬帶線路調製解調器等以網線連接
【設置步驟】
# ip lan1 address 192.168.0.1/24# nat descriptor type 1 masquerade# pp select 1pp1# pppoe use lan2pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORDpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ip pp nat descriptor 1pp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ppp ccp type nonepp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# dns server pp 1# dns private address spoof on# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24# save
The InternetWS/PC
WS/PC
LAN1 LAN2
192.168.0.0 / 24
192.168.0.1
182 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
【解說】1. # ip lan1 address 192.168.0.1/24
LAN1 側設為私有地址網絡。
2. # nat descriptor type 1 masquerade為了在 pp1 使用 IP 偽裝 (IP Masquerade)功能,定義 NAT 描述符。
3. # pp select 1pp1# pppoe use lan2
對 LAN2 側使用的 PPPoE。
除本行設置以外,基本上與撥號的終端型連接設置相同。
4. pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORD
設置與 PPPoE 服務器的認證信息。
5. pp1# ppp ipcp ipaddress on在連接時,從服務器得到地址。
6. pp1# ppp ipcp msext on在連接時,從服務器獲得 DNS 服務器地址的通知。
7. pp1# ip pp nat descriptor 1在 pp1 上使用定義了 IP 偽裝 (IP Masquerade)功能的 NAT 描述符。
8. pp1# ppp lcp mru on 1454在 LCP 的協商中,使用 Maximum-Receive-Unit 選項,限制數據包的 大長度。
9. pp1# ppp ccp type none不能使用壓縮功能。在默認情況下,使用 stac 壓縮進行協商,因此必須設為 none。
10. pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1
將目的地址為 LAN 以外的所有數據包轉發至默認路由 pp1。
11. # dns server pp 1從 pp1 獲得 DNS 服務器地址。
12. # dns private address spoof on設置成不向 DNS 服務器轉發私有地址的 DNS 地址解決要求。
13. # dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.254/24
定義 LAN1 側的 DHCP 作用域 (scope)並啟動 DHCP 服務器功能。
14. # save
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 183
18.2 網絡型連接
事先已獲得多個全球地址的網絡連接舉例。LAN 上的所有主機都有全球地址,不使用 NAT。在默認情況下,中斷定時器是 off 狀態,
必須中斷時,用 pppoe disconnect time 命令和 pppoe auto disconnect 命令設置。設備中配置的 PPPoE 功能是客戶端功
能,可以連接服務器。但是在未連接時,不能接受接入要求。
【結構圖】
‧LAN1 是 LAN 側,LAN2 是 WAN 側
‧對 PPPoE 服務器進行網絡型連接
‧在 LAN1 側能夠使用的全球地址是 172.16.128.0/29
‧LAN2 與寬帶線路調製解調器等以網線連接
【設置步驟】
# ip lan1 address 172.16.128.1/29# pp select 1pp1# pppoe use lan2pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ppp ccp type nonepp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# dns server SERVER# save
【解說】1. # ip lan1 address 172.16.128.1/29
設置 LAN 地址。LAN 上的所有主機都有該網絡內的全球地址。
2. # pp select 1pp1# pppoe use lan2
在 LAN2 側使用 PPPoE。
除本行設置以外,基本上與撥號的終端型連接設置相同。
3. pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORD
設置與 PPPoE 服務器的認證信息。
4. pp1# ppp lcp mru on 1454在 LCP 協商中,使用 Maximum-Receive-Unit 選項,限制數據包的 大長度。
The InternetWS/PC
WS/PC
LAN1 LAN2
172.16.128.0 / 29
172.16.128.1
184 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
5. pp1# ppp ccp type none不能使用壓縮功能。在默認情況下,使用 stac 壓縮進行協商,,所以必須設置成 none。
6. pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1
目的地址為 LAN 以外的所有數據包的轉發至默認路由 pp1。
7. # dns server SERVER設置服務提供商(ISP)提供的 DNS 服務器的 IP 地址。
8. # save
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 185
18.3 用 ISDN 終端型連接備份 PPPoE 終端型連接
【結構圖】
【設置步驟】
# isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24# nat descriptor type 1 masquerade# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname name-orig pass-origpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp ccp type nonepp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# ip route default gateway pp 1pp1# pp enable 1pp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 0312345678pp2# pp auth accept chappp2# pp auth myname name-back pass-backpp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ip pp nat descriptor 1pp2# pp enable 2pp2# save
【解說】
進行服務提供商 (ISP)連接的備份。用 PPPoE 連接保持全天候連接狀態,但由于某種原因連接被中斷時,用 ISDN 連接服務提供商
(ISP)。與服務提供商 (ISP)的連接是終端型連接,使用 IP 偽裝(IP Masquerade)功能。
1. # isdn local address bri1 0387654321# ip lan1 address 192.168.0.1/24
設置本身的 ISDN 號碼和 LAN 的地址。因為 LAN2 側使用 PPPoE,不須設定 IP 地址。
2. # nat descriptor type 1 masquerade為了使用 IP 偽裝(IP Masquerade)功能,定義 NAT 描述符。
The InternetWS/PC
WS/PC LAN1 LAN2
192.168.0.0 / 24
192.168.0.1
03-8765-4321 03-1234-5678ISDN
186 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
3. # pp select 1pp1# pp backup pp 2
設置備份的 pp。
4. pp1# pp always-on on為了用保持連接來 (KEEPALIVE)檢測中斷情況和在發生故障時進行復原操作,設置全天候連接功能。
5. pp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname name-orig pass-origpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp ccp type nonepp1# ppp lcp mru on 1454pp1# ip pp mtu 1454
對 pp1 進行 PPPoE 的設置。詳細情況請參考 PPPoE 的設置範例。
6. pp1# ip pp nat descriptor 1在 pp1 上使用定義了 IP 偽裝 (IP Masquerade)功能的 NAT 描述符。
7. pp1# ip route default gateway pp 1pp1# pp enable 1
設置默認路由。切換到備份時,備份方會繼承路由信息,所以不需要對備份方設置路由。
8. pp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 0312345678pp2# pp auth accept chappp2# pp auth myname name-back pass-backpp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ip pp nat descriptor 1pp2# pp enable 2pp2# save
在 pp2 上進行通過 ISDN 連接服務提供商(ISP)的設置。對 pp2 使用定義了 IP 偽裝(IP Masquerade)功能的 NAT 描述符。
切換到備份線路時,會使用這裡的 NAT/ 偽裝 (Masquerade)表。
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 187
18.4 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 10.0.0.209/28# ip lan1 secondary address 192.168.0.1/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ppp ccp type nonepp1# ip pp nat descriptor 1pp1# pp enable 1pp1# ip route default gateway pp 1pp1# nat descriptor type 1 masqueradepp1# nat descriptor address outer 1 10.0.0.210pp1# nat descriptor address inner 1 192.168.0.1-192.168.0.254pp1# dns server SERVERpp1# dhcp service serverpp1# dhcp scope 1 192.168.0.2-192.168.0.254/24pp1# save
【解說】用私有地址空間和全球地址空間的兩個網絡構成 LAN。因為公開服務器設置在全球地址空間,所以不進行動態地址轉換。與私有地址
空間的網絡連接的終端使用 IP 偽裝 (IP Masquerade)功能,多台終端同時與外部通信。寬帶路由器的 LAN 用 primary/secondary 地
址與兩個網絡連接。用防火牆功能一直保護公開服務器,能夠提供與 WAN 側相同的地址。
雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自己的網絡。特別是在公開服務器時,請認真
進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置,
‧ LAN1 是 LAN 側,LAN2 是 WAN 側。
‧ 為了使 LAN 側私有網絡的多個主機同時與外部連接,對 WAN 使用 IP 偽裝 (Masquerade)功能。所以對 WAN 使用 IP 偽裝
(IP Masquerade)功能。
‧ 進行計算機的 IP 地址分配管理時,可以使用 DHCP 服務器功能。
The Internet
Y U1RE
Y U1RE
3202020444
320202042: "1"4;
3; 4038: 0202"1"46
3; 4038: 0203320202042;
188 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
如果從服務提供商 (ISP)分配的全球地址是 10.0.0.208/28 的網絡,IP 地址按照下表進行配置。
1. # ip lan1 address 10.0.0.209/28設置 LAN1 側的 primary 網絡地址。LAN 側的 primary 網絡的主機擁有該網絡內的全球地址。
2. # ip lan1 secondary address 192.168.0.1/24設置 LAN1 側的 secondary 網絡地址。LAN 側的 secondary 網絡的主機擁有該網絡內的私有地址。
3. # pp select 1設置 pp1 側接口。
4. pp1# pppoe use lan2LAN2 (WAN)側使用 PPPoE 協議。除本行設置以外,基本上與撥號的網絡型連接設置相同。
5. pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORD
設置與 PPPoE 服務器的認證信息。
6. pp1# ppp lcp mru on 1454在 LCP 的協商中,使用 Maximum-Receive-Unit 選項,限制數據包的 大長度。
7. pp1# ip pp mtu 1454用 LCP 從連接的對象接受 MRU 選項時,不需要此命令。設置對 pp1 的 MTU (Maximum Transfer Unit)。
8. pp1# ppp ccp type none在 PPPoE 中不能使用壓縮功能。必須設置成 none。
9. pp1# ip pp nat descriptor 1設置適用于 pp1 接口的 NAT 描述符。
10. pp1# pp enable 1使 pp1 生效。
IP 地址 用途
路由器的 primary 網絡 (全球地址空間)
10.0.0.208 network address
10.0.0.209 路由器地址
10.0.0.222 公開服務器地址
10.0.0.210 NAT 描述符地址
10.0.0.211
~ 固定分配地址
10.0.0.221
10.0.0.223 (directed) broadcast address
255.255.255.240 subnet mask 地址
路由器的 secondary 網絡(私有地址空間)
192.168.0.0 network address
192.168.0.1 路由器地址
192.168.0.2
~ DHCP 分配地址
192.168.0.254
192.168.0.255 (directed) broadcast address
255.255.255.0 subnet mask 地址
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 189
11. pp1# ip route default gateway pp 1將目的地址為 LAN 以外的所有數據包轉發至默認路由 pp1。
12. pp1# nat descriptor type 1 masuquerade在 pp1 上定義 NAT 描述符 1 的類型為 IP 偽裝(IP Masquerade)。
13. pp1# nat descriptor address outer 1 10.0.0.210pp1# nat descriptor address inner 1 192.168.0.1-192.168.0.254
分別指定作為 NAT 處理對象的內部和外部 IP 地址
14. pp1# dns server SERVER設置由服務提供商 (ISP)指定的 DNS 服務器。
15. pp1# dhcp service serverpp1# dhcp scope 1 192.168.0.2-192.168.0.254/24將設備用作 DHCP 服務器,指定 LAN 側的 secondary 網絡 IP 地址分配範圍。
190 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.5 由私有 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 192.168.0.1/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ppp ccp type nonepp1# ip pp nat descriptor 1pp1# pp enable 1pp1# ip route default gateway pp 1pp1# nat descriptor type 1 masqueradepp1# nat descriptor address outer 1 10.0.0.1pp1# nat descriptor address inner 1 192.168.0.1-192.168.0.254pp1# nat descriptor static 1 1 10.0.0.2=192.168.0.254 1pp1# dns server SERVERpp1# dhcp service serverpp1# dhcp scope 1 192.168.0.2-192.168.0.253/24pp1# save
【解說】包括公開服務器在內,LAN 側的網絡全部使用私有地址。與因特網連接時,使用 NAT 轉換和 IP 偽裝 (IP Masquerade)功能。必須用
靜態 NAT 為公開服務器分配固定的全球地址。其他 LAN 上的終端和寬帶路由器使用寬帶路由器的 WAN 地址(全球地址),通過 IP 偽
裝(IP Masquerade)功能,可同時與外部連接。
設置公開服務器使得從外部能夠訪問 LAN。雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自
己的網絡。特別是在公開服務器時,請認真進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置。
‧LAN1 是 LAN 側,LAN2 是 WAN 側。
‧為了使 LAN 側的多台終端同時與外部連接,在 WAN 側使用 IP 偽裝 (IP Masquerade)功能。
‧由服務提供商(ISP)分配的兩個全球地址,一個是 NAT 描述符的外側地址,另一個是公開服務器專用的 IP 地址。
‧進行計算機的 IP 地址分配管理時,可以使用 DHCP 服務器功能。
由服務提供商 (ISP)分配的全球地址是 10.0.0.1 和 10.0.0.2 時,IP 地址按照下表進行分配。
The Internet
Y U1RE
Y U1RE
3; 4038: 0202"1"46
3; 4038: 0203
3; 4038: 020476"?"32020204
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 191
1. # ip lan1 address 192.168.0.1/24設置 LAN1 側的 IP 地址。LAN 側的所有主機都有該網絡內的私有地址。
2. # pp select 1pp1# pppoe use lan2
LAN2 側 (WAN)使用 PPPoE。除了這一行以外,其他設置基本與撥號的終端型連接設置相同。
3. pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORD
設置與 PPPoE 服務器的認證信息。
4. pp1# ppp lcp mru on 1454在 LCP 的協商中,使用 Maximum-Receive-Unit 選項,限制數據包的 大長度。
5. pp1# ip pp mtu 1454用 LCP 從連接的對象接受 MRU 選項時,不需要此命令。設置對 pp1 的 MTU (Maximum Transfer Unit)。
6. pp1# ppp ccp type none在 PPPoE 中不能使用壓縮功能。有必要設置成 none。
7. pp1# ip pp nat descriptor 1設置適用于 pp1 接口的 NAT 描述符。
8. pp1# pp enable 1使 pp1 生效。
9. pp1# ip route default gateway pp 1將目的地址為 LAN 以外的所有數據包轉發至默認路由 pp1。
10. pp1# nat descriptor type 1 masqueradepp1# nat descriptor address outer 1 10.0.0.1pp1# nat descriptor address inner 1 192.168.0.1-192.168.0.254
在 pp1 上定義 NAT 描述符 1 的類型為 IP 偽裝(IP Masquerade),並指定適用于 NAT 描述符的外部和內部 IP 地址。
11. pp1# nat descriptor static 1 1 10.0.0.2=192.168.0.254 1用 NAT 描述符指定固定分配的 IP 地址的組合。
12. pp1# dns server SERVER設置服務提供商 (ISP)指定的 DNS 服務器。
13. pp1# dhcp service serverpp1# dhcp scope 1 192.168.0.2-192.168.0.253/24
將設備用作 DHCP 服務器,指定 LAN 上的 IP 地址的分配範圍。
IP 地址 用途
全球地址的分配
10.0.0.1 IP 偽裝 (IP Masquerade)功能用外側地址
10.0.0.2 公開服務器 (靜態 NAT)
LAN 側的網絡 (私有地址空間)
192.168.0.0 network address
192.168.0.1 路由器
192.168.0.2
~ DHCP 分配
192.168.0.253
192.168.0.254 公開服務器
192.168.0.255 (directed) broadcast address
255.255.255.0 subnet mask
192 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.6 由全球 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 10.0.0.209/28# pp select 1pp1# pppoe use lan2pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ip pp mtu 1454pp1# ppp ccp type nonepp1# pp enable 1pp1# ip route default gateway pp 1pp1# dns server SERVERpp1# dhcp service serverpp1# dhcp scope 1 10.0.0.210-10.0.0.221/28pp1# save
【解說】LAN 側全部使用全球地址。因為全部用全球地址構成,所以沒有必要進行動態地址轉換。相反,所有 LAN 上的終端都使用 IP 地址直接
通信,所以必須十分注意確保安全。
雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自己的網絡。特別是在公開服務器時,請認真
進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置,
‧LAN1 是 LAN 側,LAN2 是 WAN 側。
‧進行計算機的 IP 地址分配管理時,可以使用 DHCP 服務器功能。
由服務提供商 (ISP)分配的全球地址是 10.0.0.208/28 的網絡時,IP 地址按照下表進行分配。
IP 地址 用途
LAN 側網絡 (全球地址空間)
10.0.0.208 network address
10.0.0.209 路由器
10.0.0.210
~ DHCP 分配
10.0.0.221
10.0.0.222 公開服務器
10.0.0.223 (directed) broadcast address
255.255.255.240 subnet mask
The Internet
Y U1RE
Y U1RE
320202042: "1"4:
320202042;
3202020444
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 193
1. # ip lan1 address 10.0.0.209/28設置 LAN1 側的 IP 地址。LAN 上的所有主機都擁該網絡內的全球地址。
2. # pp select 1設置 pp1 接口。
3. pp1# pppoe use lan2LAN2 側 (WAN)使用 PPPoE。除了這一行以外,其他設置基本與撥號的網絡型連接設置相同。
4. pp1# pp auth accept chap pappp1# pp auth myname ID PASSWORD
設置與 PPPoE 服務器的認證信息。
5. pp1# ppp lcp mru on 1454在 LCP 的磋商中,使用 Maximum-Receive-Unit 選項,限制數據包的 大長度。
6. pp1# ip pp mtu 1454用 LCP 從連接的對象接受 MRU 選項時,不需要此命令。設置對 pp1 的 MTU (Maximum Transfer Unit)。
7. pp1# ppp ccp type none在 PPPoE 中不能使用壓縮功能。必須設置成 none。
8. pp1# pp enable 1使 pp1 生效。
9. pp1# ip route default gateway pp 1將目的地址為 LAN 以外的所有數據包轉發至默認路由 pp1。
10. pp1# dns server (設置服務提供商 (ISP)指定的 IP 地址。)
設置 DNS 服務器。
11. pp1# dhcp service serverpp1# dhcp scope 1 10.0.0.210-10.0.0.221/28
將設備用作 DHCP 服務器,指定 LAN 上 IP 地址的分配範圍。
194 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.7 由私有 IP 地址+全球 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 10.0.0.209/28# ip lan1 secondary address 192.168.0.1/24# ip lan2 address 172.16.112.101/30# ip lan2 nat descriptor 1# ip route default gateway GATEWAY# nat descriptor type 1 masquerade# nat descriptor address outer 1 10.0.0.210# nat descriptor address inner 1 192.168.0.1-192.168.0.254# dns server SERVER# dhcp service server# dhcp scope 1 10.0.0.211-10.0.0.221/28# dhcp scope 2 192.168.0.2-192.168.0.254/24# save
【解說】
由私有地址空間和全球地址空間的兩個網絡構成 LAN。因為公開服務器設置在全球地址空間,所以不進行動態地址轉換。與私有地址
空間的網絡連接的終端使用 IP 偽裝 (IP Masquerade)功能,多台終端同時與外部通信。寬帶路由器的 LAN 用 primary/secondary 地
址與兩個網絡連接。用防火牆功能一直保護公開服務器,可配置與 WAN 側相同的地址。
雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自己的網絡。特別是在公開服務器時,請認真
進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置。
‧LAN1 是 LAN 側,LAN2 是 WAN 側。
‧為了使 LAN 側私有網絡的多台終端同時與外部通信,所以在 WAN 側使用 IP 偽裝 (IP Masquerade)功能。
‧由服務提供商(ISP)分配的全球地址 (10.0.0.208/28)分配給 LAN。
‧由服務提供商(ISP)分配的私有地址 (172.16.112.100/30)分配給 WAN。
‧進行計算機的 IP 地址分配管理時,可以使用 DHCP 服務器功能。
由服務提供商 (ISP)所分配的全球地址是 10.0.0.208/28,私有地址是 172.16.112.100/30 時,按照下表所示分配 IP 地址。
The Internet
Y U1RE
Y U1RE
3202020444
320202042: "1"4:
25"1"2230433083049364"1"2020:8304;3
3; 4038: 0203
39403803340323
320202042;
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 195
1. # ip lan1 address 10.0.0.209/28設置 LAN1 側的 primary 網絡地址。LAN 側的 primary 網絡的主機擁有該網絡內的全球地址。
2. # ip lan1 secondary address 192.168.0.1/24設置 LAN1 側的 secondary 網絡地址。而且 LAN 側的 secondary 網絡的主機擁有該網絡內的私有地址。
3. # ip lan2 address 172.16.112.101/30設置 LAN2 側的 IP 地址。
4. # ip lan2 nat descriptor 1在 LAN2 上使用定義了 IP 偽裝 (IP Masquerade)功能的 NAT 描述符。
5. # ip route default gateway GATEWAY目的地址為 LAN 以外的所有數據包轉發至默認路由。(服務提供商 (ISP)指定的網關地址)
6. # nat descriptor type 1 masquerade設置適用于 pp1 接口的 NAT 描述符。
7. # nat descriptor address outer 1 10.0.0.210# nat descriptor address inner 1 192.168.0.1-192.168.0.254
指定適用于 NAT 描述符的外部和內部的 IP 地址。
8. # dns server SERVER設置服務提供商 (ISP)指定的 DNS 服務器。
9. # dhcp service server# dhcp scope 1 10.0.0.211-10.0.0.221/28
將設備用作 DHCP 服務器,指定 LAN 側 primary 網絡 IP 地址的分配範圍。
# dhcp scope 2 192.168.0.2-192.168.0.254/24
指定 LAN 側 secondary 網絡的 IP 地址分配範圍。
IP 地址 用途
路由器的 WAN 側網絡(私有地址空間)
172.16.112.100 network address
172.16.112.101 路由器
172.16.112.103 (directed) broadcast address
255.255.255.252 subnet mask
路由器的 LAN 側 primary 網絡(全球地址空間)
10.0.0.208 network address
10.0.0.209 路由器
10.0.0.210 NAT 描述符用地址
10.0.0.211
~ DHCP 分配
10.0.0.221
10.0.0.222 公開服務器
10.0.0.223 (directed) broadcast address
255.255.255.240 subnet mask
路由器的 LAN 側 secondary 網絡 (私有地址空間)
192.168.0.0 network address
192.168.0.1 路由器
192.168.0.2
~ DHCP 分配
192.168.0.254
192.168.0.255 (directed) broadcast address
255.255.255.0 subnet mask
196 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.8 由私有 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 192.168.0.1/24# ip lan2 address 172.16.112.101/30# ip lan2 nat descriptor 1# ip route default gateway GATEWAY# nat descriptor type 1 masquerade# nat descriptor address outer 1 10.0.0.34# nat descriptor address inner 1 192.168.0.1-192.168.0.253# nat descriptor static 1 1 10.0.0.35=192.168.0.254 1# dns server SERVER# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.253/24# save
【解說】包括公開服務器在內,全部由私有地址空間的網絡構成 LAN。與因特網連接時,使用 NAT 轉換和 IP 偽裝(IP Masquerade)功能。必
須用靜態 NAT 為公開服務器分配固定的全球地址。其他 LAN 上的終端和寬帶路由器使用別的全球地址,通過 IP 偽裝(IP
Masquerade)功能,多台終端可同時與外部通信。
設置公開服務器使得從外部能夠訪問 LAN。雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自
己的網絡。特別是在公開服務器時,請認真進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置。
‧LAN1 是 LAN 側,LAN2 是 WAN 側。
‧為了使 LAN 側多台終端可同時與外部通信,在 WAN 側使用 IP 偽裝 (IP Masquerade)功能。
‧由服務提供商(ISP)分配的兩個全球地址,一個是用于 NAT 描述符,另一個用于公開服務器的 IP 地址。
‧利用 DHCP 服務器功能,進行 IP 地址分配管理。
The Internet
Y U1RE
Y U1RE
3; 4038: 0202"1"46
3; 4038: 020476"?"320202057
39403803340322"1"52
3; 4038: 0203
39403803340323
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 197
由服務提供商(ISP)分配的全球地址是 10.0.0.34 和 10.0.0.35 時,按照下表所示分配 IP 地址。
1. # ip lan1 address 192.168.0.1/24設置 LAN1 側的 IP 地址。LAN 側的所有主機都有該網絡地址內的私有地址。
2. # ip lan2 address 172.16.112.101/30設置 LAN2 側的 IP 地址。
3. # ip lan2 nat descriptor 1設置適用于 LAN2 的 NAT 描述符。
4. # ip route default gateway GATEWAY目的地址為 LAN 以外的所有數據包轉發至默認路由。(服務提供商 (ISP)指定的網關地址)
5. # nat descriptor type 1 masquerade在 LAN2 上定義 NAT 描述符 1 的類型為 IP 偽裝 (IP Masquerade)。
6. # nat descriptor address outer 1 10.0.0.34# nat descriptor address inner 1 192.168.0.1-192.168.0.253
指定適用于 NAT 描述符的外部和內部的 IP 地址。
7. # nat descriptor static 1 1 10.0.0.35=192.168.0.254 1用 NAT 描述符指定固定分配的 IP 地址的組合。
8. # dns server SERVER設置服務提供商 (ISP)指定的 DNS 服務器。
9. # dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.253/24
將設備用作 DHCP 服務器,指定 LAN 網絡的 IP 地址分配範圍。
從私有網絡終端向公開服務器 (通過靜態 NAT 分配了 IP 地址的公開服務器),不能進行通信。
不能進行 192.168.0.2 ←→ 10.0.0.35 的通信。(可以進行 192.168.0.2 ←→ 192.168.0.254 的通信)
以公開服務器作為 WWW 服務器時,要在私有網絡的終端(PC)通過指定公開服務器的主機名 (URL)瀏覽公開服務器內的 WWW 網頁
時,必須按照進行以下設置:
‧將終端(PC)的 DNS 服務器的地址設置為寬帶路由器的地址(192.168.0.1)。
‧在寬帶路由器上設置公開服務器的命名。
【命令】ip host (服務器的名稱)192.168.0.254
‧DNS 服務器進行反向查詢時,還要設置客戶終端 (PC)。
【命令】ip host (PC 的名稱)192.168.0.2
IP 地址 用途
全球地址的分配
10.0.0.34 NAT 描述符用地址
10.0.0.35 公開服務器 (靜態 NAT)
LAN 側網絡 (私有地址空間)
192.168.0.0 network address
192.168.0.1 路由器
192.168.0.2
~ DHCP 分配
192.168.0.253
192.168.0.254 公開服務器
192.168.0.255 (directed) broadcast address
255.255.255.0 subnet mask
198 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.9 由全球 IP 地址構成 LAN 側網絡
【結構圖】
【設置步驟】
# ip lan1 address 10.0.0.209/28# ip lan2 address 172.16.112.101/30# ip route default gateway GATEWAY# dns server SERVER# dhcp service server# dhcp scope 1 10.0.0.210-10.0.0.221/28# save
【解說】
全部用全球地址空間的網絡構成 LAN。因為全部用全球地址,所以沒有必要進行動態地址轉換。相反,所有 LAN 上的終端都使用 IP 地
址直接通信,所以必須充分注意確保安全。
雖然因特網上有有益的信息,但是也存在危險。必須應用 低限度的過濾標準等,保護自己的網絡。特別是在公開服務器時,請認真
進行安全設置。這裡的設置範例不包括安全設置。請根據使用的環境,進行安全設置。
‧LAN1 是 LAN 側,LAN2 是 WAN 側。
‧由服務提供商(ISP)分配的全球地址 (10.0.0.208/28)分配給 LAN 側。
‧由服務提供商(ISP)分配的私有地址 (172.16.112.100/30)分配給 WAN 側。
‧進行計算機的 IP 地址分配管理時,可以使用 DHCP 服務器功能。
由服務提供商 (ISP)分配的全球地址是 10.0.0.208/28,私有地址是 172.16.112.100/30 時,按照下表所示分配 IP 地址。
IP 地址 用途
路由器的 WAN 側網絡 (私有地址空間)
172.16.112.100 network address
172.16.112.101 路由器
172.16.112.103 (directed) broadcast address
255.255.255.252 subnet mask
路由器的 LAN 側網絡 (全球地址空間)
10.0.0.208 network address
10.0.0.209 路由器
10.0.0.210
~ DHCP 分配
10.0.0.221
10.0.0.222 公開服務器
10.0.0.223 (directed) broadcast address
255.255.255.240 subnet mask
The Internet
Y U1RE
Y U1RE
320202042: "1"4:
3202020444
39403803340322"1"52
320202042;
39403803340323
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 199
1. # ip lan1 address 10.0.0.209/28設置 LAN1 側的 IP 地址。LAN 上的所有主機都有該網絡內的全球地址。
2. # ip lan2 address 172.16.112.101/30設置 LAN2 側的 IP 地址。
3. # ip route default gateway GATEWAY目的地址為 LAN 以外的所有數據包轉發至默認路由。(服務提供商 (ISP)指定的網關地址)
4. # dns server SERVER設置服務提供商 (ISP)指定的 DNS 服務器。
5. # dhcp service server# dhcp scope 1 10.0.0.210-10.0.0.221/24
將設備用作 DHCP 服務器,指定 LAN 網絡的 IP 地址分配範圍。
200 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
18.10 將 DMZ 端口用作服務器公開網段
【結構圖】
【設置步驟】
# ip lan1 address 192.168.0.1/24# ip lan3 address 192.168.10.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp mtu 1454pp1# ip pp address 172.16.0.1/32pp1# ip pp nat descriptor 1pp1# ip pp intrusion detection in onpp1# pp enable 1# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.16.0.1# nat descriptor masquerade static 1 1 192.168.10.2 tcp www# nat descriptor masquerade static 1 2 192.168.10.3 tcp 21# dhcp service server# dhcp scope 1 192.168.0.2-192.168.0.100/24# dns server SERVER# dns private address spoof on
【解說】LAN1 是 LAN 端口,LAN2 是 WAN 端口,LAN3 是 DMZ 端口。
公開服務器有私有地址,用一個固定全球地址和靜態 IP 偽裝(IP Masquerade)公開。
防火牆功能防止來自因特網的非法入侵,檢測對公開服務器的攻擊。
因為需要 3 個以上以太網接口,所以這是以使用 RTX3000、RTX1100 為前提的設置範例。
The Internet
WS/PC
WS/PC
192.168.0.0 / 24
192.168.10.0 / 24
192.168.10.1
192.168.0.1 172.16.0.1
WS/PC
18. 寬帶路由器的設置範例(使用 PPPoE 的非 VPN 連接) 201
18.11 在兩個網關中運用
【結構圖】
【路由器 A 的設置步驟】
# ip route default gateway pp 1# ip lan1 address 192.168.1.11/24# ip lan1 vrrp 1 192.168.1.1 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# ip lan1 vrrp 2 192.168.1.2 priority=100# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# nat descriptor type 1 masquerade# dns server SERVER# dns private address spoof on
WS/PC
WS/PC
192.168.1.0 / 24
192.168.1.11
192.168.1.12
The Internet
WS/PC
WS/PC
202 18. 寬帶路由器的設置範例 (使用 PPPoE 的非 VPN 連接)
【路由器 B的設置步驟】
# ip route default gateway pp 1# ip lan1 address 192.168.1.12/24# ip lan1 vrrp 1 192.168.1.1 priority=100# ip lan1 vrrp 2 192.168.1.2 priority=200# ip lan1 vrrp shutdown trigger 2 pp 1# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# nat descriptor type 1 masquerade# dns server SERVER# dns private address spoof on
【解說】使用 VRRP 功能的路由器和 WAN 線路冗余結構。
PC 的組 1 將路由器 A 設置為默認網關,組 2 設置路由器 B 為默認網關,當路由器或 WAN 線路發生故障時,自動由另一方的路由器工
作。
路由器 A 和路由器 B 在 WAN 側和 LAN 側都需要以太網接口,所以這是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 203
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
1. 進行 VPN 連接的節點全部分配了固定 IP 地址時
2. 只有 VPN 的中心點分配了固定 IP 地址時
3. 與因特網連接並存 (使用固定 IP 地址)
4. 在撥號 VPN 中與因特網連接並存
5. 在撥號 VPN 環境中,要進行中心到分支機構的通信時
204 19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
19.1 進行 VPN 連接的節點全部分配了固定 IP 地址時
【結構圖】
‧無因特網連接
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# ipsec ike local address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec auto refresh ontunnel1# save
The Internet
Y U1RE
Y U1RE3940380203
3; 4038: 0202"1"46
3; 4038: 020476
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"4763940390203
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 205
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pppoe use lan2pp1# pp always-on onpp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec ike local address 1 172.17.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec auto refresh ontunnel1# save
【解說】假設總公司 172.16.0.1 配置的固定 IP 地址為,分公司 172.17.0.1 配置的固定 IP 地址為。
用 VPN 連接總公司 (中心網絡 (192.168.0.0/24)和分公司(節點)網絡 (192.168.1.0/24)。
在 WAN 側和 LAN 側都需要以太網接口,所以這是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
206 19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
19.2 只有 VPN 的中心點分配了固定 IP 地址時
【結構圖】
‧無因特網連接
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# pp always-on onpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp mtu 1454pp1# ip pp address 172.16.0.1/32pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 anytunnel1# ipsec ike remote name 1 kyoten1tunnel1# ipsec ike local address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec auto refresh ontunnel1# save
The Internet
Y U1RE
Y U1RE3940380203
3; 4038: 0202"1"46
3; 4038: 020476
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"476
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 207
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# pp always-on onpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp mtu 1454pp1# ip pp nat descriptor 1 pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike local address 1 192.168.1.254tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# ipsec ike local name 1 kyoten1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec auto refresh ontunnel1# save
【解說】各分支機構沒有配置固定 IP 地址時,中心 (在本範例中是指路由器 A)的固定地址與前例相同 (172.16.0.1/32)。通常由分支機構
發起密鑰交換,當分支機構側通過隧道通信時,進行密鑰交換。關于該功能的詳細情況,請參照撥號 VPN 功能的說明。
208 19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
19.3 與因特網連接並存 (使用固定 IP 地址)
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# ipsec ike local address 1 192.168.0.254tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.0.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 esptunnel1# nat descriptor address outer 1 172.16.0.1tunnel1# ipsec auto refresh ontunnel1# save
The Internet
WS/PC
WS/PC172.16.0.1
192.168.0.0 / 24
192.168.0.254
WS/PC
192.168.1.0 / 24
192.168.1. 254172.17.0.1
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 209
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec ike local address 1 192.168.1.254tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# nat descriptor address outer 1 172.17.0.1tunnel1# ipsec auto refresh ontunnel1# save
【解說】在 「進行 VPN 連接的節點全部分配了固定 IP 地址」的情況下,在中心和分支機構之間,除了 VPN 連接以外,還同時希望與因特網連
接時的設置範例。此時,使用 NAT 功能。
210 19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
19.4 在撥號 VPN 中與因特網連接並存
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 anytunnel1# ipsec ike local address 1 192.168.0.254tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike remote name 1 kyoten1tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.0.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 esptunnel1# nat descriptor address outer 1 172.16.0.1tunnel1# ipsec auto refresh ontunnel1# save
The Internet
WS/PC
WS/PC172.16.0.1
192.168.0.0 / 24
192.168.0.254
WS/PC
192.168.1.0 / 24
192.168.1. 254
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 211
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike local name 1 kyoten1tunnel1# ipsec ike local address 1 192.168.1.254tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# ipsec auto refresh ontunnel1# save
【解說】在 「只有 VPN 的中心點分配了固定 IP 地址時」的情況下,在中心和分支機構之間,除了 VPN 連接以外,還同時希望與因特網連接時
的設置範例。這種情況下,使用 NAT 功能。另外,因為它採用撥號 VPN 的形式,所以也請確認撥號 VPN 的方法。
212 19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例
19.5 在撥號 VPN 環境中,要進行中心到分支機構的通信時
【結構圖】
‧無因特網連接
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# pp always-on onpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp mtu 1454pp1# ip pp address 172.16.0.1/32pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 anytunnel1# ipsec ike remote name 1 kyoten1tunnel1# ipsec ike local address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike keepalive use 1 ontunnel1# ipsec auto refresh ontunnel1# save
The Internet
WS/PC
WS/PC172.16.0.1
192.168.0.0 / 24
192.168.0.254
WS/PC
192.168.1.0 / 24
192.168.1. 254
19. 使用 PPPoE+IPsec 的因特網 VPN 環境的設置範例 213
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# pp always-on onpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route default gateway pp 1tunnel1# ipsec ike local address 1 192.168.1.254tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# ipsec ike local name 1 kyoten1tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike keepalive use 1 ontunnel1# ipsec auto refresh ontunnel1# save
【解說】與只有 VPN 環境的中心點配置了固定 IP 地址時情況相同,基本上為了生成 VPN 隧道,需要從分支機構側發出通信要求。保持連接
(KEEPALIVE)的設置 (ipsec ike keepalive use 1 on)本來是為了監控 VPN 隧道的狀態,在隧道由于某種原因損壞時,重新生成
VPN 隧道的。如果加了這個設置,分支機構將一直保持和中心的連接。分支機構,中心之間 VPN 隧道的持續連接,使來自中心至分支
機構的通信成為可能。關于該功能的詳細情況,請參照撥號 VPN 功能的說明。
214 20. 用備份線路對通信中斷進行自動復原的設置範例
20. 用備份線路對通信中斷進行自動復原的設置範例
1. 用 ISDN 線路實現 ADSL 接入的 VPN 隧道的備份
2. 使用 VRRP、OSPF 的 ISDN 線路備份
3. 使用 VRRP、RIP 的 ISDN 線路備份
4. 用 ISDN 線路實現因特網 VPN 的備份
5. 用因特網 VPN 實現因特網 VPN 的備份
6. 用因特網 VPN 實現因特網 IP-VPN 的備份
7. 用因特網 VPN 實現廣域以太網的備份
8. 用因特網 VPN 實現因特網 VPN 的備份 (使用 1 台中心路由器)
9. 用 ISDN 線路實現隧道備份
10. 用因特網 VPN 實現隧道備份
11. 用 VRRP 和因特網 VPN 實現隧道備份
20. 用備份線路對通信中斷進行自動復原的設置範例 215
20.1 用 ISDN 線路實現 ADSL 接入的 VPN 隧道的備份
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# isdn local address bri1 03-1234-5678/Tokyopp1# pp select 2pp2# pp bind bri1pp2# isdn remote address arrive 06-1111-9999/Osakapp2# pp enable 2pp2# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup pp 2tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1tunnel1# ip route 172.17.0.1 gateway pp 1tunnel1# ipsec auto refresh ontunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike keepalive use 1 ontunnel1# save
The Internet
Y U1RE
Y U1RE
3940380203
3; 4038: 0202"1"46
3; 4038: 020476
25/3456/789: 1Vqm{ q
28/3333/; ; ; ; 1Qucmc
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"476 3940390203
ISDN(Backup)
216 20. 用備份線路對通信中斷進行自動復原的設置範例
【路由器 B的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pppoe use lan2pp1# pp always-on onpp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1pp1# isdn local address bri1 06-1111-9999/Osakapp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-1234-5678/Tokyopp2# pp enable 2pp2# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup pp 2tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway tunnel 1tunnel1# ip route 172.16.0.1 gateway pp 1tunnel1# ipsec auto refresh ontunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.16.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ipsec ike keepalive use 1 ontunnel1# save
【解說】進行 VPN 連接的所有節點都配置了固定 IP 地址 , 在此基礎上增加進行 ISDN 線路的備份設置。此設置在 WAN 側和 LAN 側都需要以太網
接口和 BRI 接口,所以這是以使用 RTX1100 為前提的設置範例。
-- 注意事項—
必須注意的是 「keepalive」的設置。如果點到點連接的通信對象沒有進行此項設置,則沒有意義。請對建立 VPN 的兩端 RT 分別進行
設置。進行此項設置后,通過 ADSL 線路的 VPN 隧道中斷后約 1 分鐘(注)后,路由器判斷 VPN 中斷,通過 ISDN 線路建立路由。相
反,ADSL 線路復原后,則中斷 ISDN 線路的連接,自動恢復到原來的路由。
注)使用 ipsec ike keepalive use xxxx auto heatbeat xxxx 10 6 命令設置
20. 用備份線路對通信中斷進行自動復原的設置範例 217
20.2 使用 VRRP、OSPF 的 ISDN 線路備份
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.254/24# ip lan1 vrrp 1 192.168.0.254 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp keepalive use lcp-echopp1# pp keepalive interval 10 3pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1tunnel1# ip route default gateway pp 1tunnel1# ip route 192.168.1.0/24 gateway 192.168.0.253tunnel1# nat descriptor type 1 masquaradetunnel1# nat descriptor masquerade static 1 1 192.168.0.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 esptunnel1# ipsec auto refresh ontunnel1# ipsec ike keepalive use 1 ontunnel1# ipsec ike local address 1 192.168.0.254tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 anytunnel1# ipsec ike remote name 1 kyotentunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
The Internet
Y U1RE
Y U1RE3940380203
25/3456/789: 1Vqm{ q
28/3333/; ; ; ; 1Qucmc
28/3333/4444
3; 4038: 0202"1"46
3; 4038: 020476
3; 4038: 020475
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"476
ISDN
Dcemwr
218 20. 用備份線路對通信中斷進行自動復原的設置範例
tunnel1# ospf use ontunnel1# ospf preference 10001tunnel1# ospf router id 192.168.0.254tunnel1# ospf area backbonetunnel1# ip lan1 ospf area backbone passivetunnel1# save
【路由器 B的設置步驟】
# ip lan1 address 192.168.0.253/24# ip lan1 vrrp 1 192.168.0.254# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp auth request chappp1# pp auth accept chappp1# pp auth user name kyoten kyotenpp1# pp auth myname center centerpp1# pp enable 1pp1# ip route 192.168.1.0/24 gateway pp 1pp1# save
【路由器 C的設置步驟】
# ip lan1 address 192.168.1.254/24# isdn local address bri1 06-1111-9999/Osaka# pp select 1pp1# pp bind bri1pp1# pp always-on onpp1# isdn remote address call 06-1111-2222pp1# isdn disconnect time offpp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp ipcp ipaddress onpp1# ip pp nat descriptor 1pp1# pp enable 1pp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-1234-5678/Tokyopp2# pp auth request chappp2# pp auth accept chappp2# pp auth myname kyoten kyotenpp2# pp auth user name center centerpp2# pp enable2pp2# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1tunnel1# ip route default gateway pp 1tunnel1# ip route 192.168.0.0/24 gateway pp 2tunnel1# nat descriptor type 1 masquaradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# ipsec auto refresh ontunnel1# ipsec ike keepalive use 1 on
20. 用備份線路對通信中斷進行自動復原的設置範例 219
tunnel1# ipsec ike local address 1 192.168.1.254tunnel1# ipsec ike local name 1 kyotentunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# ospf use ontunnel1# ospf preference 10001tunnel1# ospf router id 192.168.1.254tunnel1# ospf area backbonetunnel1# ip lan1 ospf area backbone passivetunnel1# save
【解說】
在本設置範例中,假設總公司使用 ADSL 接入並配置了固定地址進行因特網連接,分公司採用 ISDN 全天候連接方式,進行因特網連
接。總公司和分公司之間採用因特網 VPN 連接,且用 ISDN 線路備份總公司和分公司之間的通信路由。設置內容簡單地說就是,基本
路由使用直接連接總公司與分公司的 ISDN 線路。因此,使用 「ospf preference 10001」命令,使 ospf 導入的路由優先級高于靜
態路由。(靜態路由的優先級固定是 10000)而且,在連接的因特網 VPN 隧道內,用 OSPF 進行路由信息交換時,總公司和分公司都會
導入通過 ospf 由對方通知的路由,使用優先級高的路由進行通信。如果因特網 VPN 隧道中斷,通過 ospf 由對方通知的路由被丟棄,
靜態路由生效。即連接總公司和分公司的 ISDN 路由生效。
路由器 A 在 WAN 側和 LAN 側都需要以太網接口,所以這是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 B 和路由器 C 在 WAN 側都需要 BRI 接口,所以這是以使用 RTX1100 為前提。
220 20. 用備份線路對通信中斷進行自動復原的設置範例
20.3 使用 VRRP、RIP 的 ISDN 線路備份
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# ip lan1 vrrp 1 192.168.0.254 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp keepalive use lcp-echopp1# pp keepalive interval 10 3pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# ip pp rip send onpp1# ip pp rip receive onpp1# pp enable 1pp1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel rip send ontunnel1# ip tunnel rip receive ontunnel1# ip tunnel rip filter out 1tunnel1# tunnel enable 1tunnel1# ip route default gateway pp 1tunnel1# ip route 192.168.1.0/24 gateway 192.168.0.253tunnel1# ip filter 1 pass 192.168.0.0/24tunnel1# nat descriptor type 1 masquaradetunnel1# nat descriptor masquerade static 1 1 192.168.0.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 esptunnel1# ipsec auto refresh on
The Internet
Y U1RE
Y U1RE3940380203
3; 4038: 0202"1"46
3; 4038: 020476
3; 4038: 020475
Y U1RE
3; 4038: 0302"1"46
3; 4038: 030"476
ISDN
Dcemwr
25/3456/789: 1Vqm{ q
28/3333/; ; ; ; 1Qucmc
28/3333/4444
20. 用備份線路對通信中斷進行自動復原的設置範例 221
tunnel1# ipsec ike keepalive use 1 ontunnel1# ipsec ike local address 1 192.168.0.254tunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 anytunnel1# ipsec ike remote name 1 kyotentunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# rip use ontunnel1# rip preference 10001tunnel1# save
【路由器 B 的設置步驟】
# ip lan1 address 192.168.0.253/24# ip lan1 vrrp 1 192.168.0.254# pp select 1pp1# pp bind bri1pp1# isdn remote address call 06-1111-9999/Osakapp1# pp auth request chappp1# pp auth accept chappp1# pp auth user name kyoten kyotenpp1# pp auth myname center centerpp1# pp enable 1pp1# ip route 192.168.1.0/24 gateway pp 1pp1# save
【路由器 C 的設置步驟】
# ip lan1 address 192.168.1.254/24# isdn local address bri1 06-1111-9999/Osaka# pp select 1pp1# pp bind bri1pp1# pp always-on onpp1# isdn remote address call 06-1111-2222pp1# isdn disconnect time offpp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp ipcp ipaddress onpp1# ip pp nat descriptor 1pp1# ip pp rip send onpp1# ip pp rip receive onpp1# pp enable 1pp1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-1234-5678/Tokyopp2# pp auth request chappp2# pp auth accept chappp2# pp auth myname kyoten kyotenpp2# pp auth user name center centerpp2# pp enable2pp2# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel rip send ontunnel1# ip tunnel rip receive ontunnel1# ip tunnel rip filter out 1tunnel1# tunnel enable 1
222 20. 用備份線路對通信中斷進行自動復原的設置範例
tunnel1# ip route default gateway pp 1tunnel1# ip route 192.168.0.0/24 gateway pp 2tunnel1# ip filter 1 pass 192.168.1.0/24tunnel1# nat descriptor type 1 masquaradetunnel1# nat descriptor masquerade static 1 1 192.168.1.254 udp 500tunnel1# nat descriptor masquerade static 1 2 192.168.1.254 esptunnel1# ipsec auto refresh ontunnel1# ipsec ike keepalive use 1 ontunnel1# ipsec ike local address 1 192.168.1.254tunnel1# ipsec ike local name 1 kyotentunnel1# ipsec ike pre-shared-key 1 text IKEKEYPASStunnel1# ipsec ike remote address 1 172.17.0.1tunnel1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel1# rip use ontunnel1# rip preference 10001tunnel1# save
【解說】在本設置範例中,假設總公司使用 IP 固定地址以 ADSL 接入因特網。分公司採用 ISDN 全天候連接方式,進行因特網連接。總公司和
分公司之間採用因特網 VPN 連接,且用 ISDN 線路備份總公司和分公司之間的通信路由。關于設置內容的說明,只是將 「使用 VRRP、
OSPF 的 ISDN 線路備份」中的 「OSPF」改成 「RIP」。
路由器 A 在 WAN 側和 LAN 側都需要以太網接口,所以這是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 B 和路由器 C 在 WAN 側都需要 BRI 接口,所以這是以使用 RTX1100 為前提。
20. 用備份線路對通信中斷進行自動復原的設置範例 223
20.4 用 ISDN 線路實現因特網 VPN 的備份
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# ipsec autorefresh on# ospf use on# ospf area backbone# ospf preference 10001# ospf router id 192.168.0.254# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.254 udp 500# nat descriptor masquerade static 1 2 192.168.0.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1
The Internet
WS/PC
WS/PC
WS/PC
172.16.0.1
192.168.0.0 / 24
192.168.0.254
192.168.0.253
192.168.1.0 / 24
WS/PC
192.168.2.0 / 24
192.168.1. 254
192.168.2.254
ISDN
Backup
03-123-4567/Tokyo
06-1111-9999/Osaka
052-999-1111/Nagoya
224 20. 用備份線路對通信中斷進行自動復原的設置範例
# ip route 192.168.1.0/24 gateway 192.168.0.253# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.254# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1# ipsec sa policy 101 1 esp 3des-cbc md5-hmactunnel2# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# ip tunnel ospf area backbonetunnel2# tunnel enable 2# ip route 192.168.2.0/24 gateway 192.168.0.253# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.0.254# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 B的設置步驟】
# ip lan1 address 192.168.0.253/24# isdn local address bri1 03-1234-5678/Tokyo# pp select anonymousanonymous# pp bind bri1anonymous# pp auth request chapanonymous# pp auth username kyoten1 kyoten1 06-1111-9999/Osakaanonymous# pp auth username kyoten2 kyoten2 052-999-1111/Nagoyaanonymous# pp enable anonymous# ip route 192.168.1.0/24 gateway pp anonymous name=kyoten1# ip route 192.168.2.0/24 gateway pp anonymous name=kyoten2
【路由器 C的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# isdn local address bri1 06-1111-9999/Osaka# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-123-4567/Tokyopp2# pp auth accept chappp2# pp auth myname kyoten1 kyoten1pp2# pp enable 2
20. 用備份線路對通信中斷進行自動復原的設置範例 225
# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway pp 2# ospf user on# ospf area backbone# ospf preference 10001# ospf router id 192.168.1.254# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.254 udp 500# nat descriptor masquerade static 1 2 192.168.1.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.254# ipsec ike local name 1 kyoten1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【路由器 D 的設置步驟】
# ip lan1 address 192.168.2.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# isdn local address bri1 052-999-1111/Nagoya# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-123-4567/Tokyopp2# pp auth accept chappp2# pp auth myname kyoten2 kyoten2pp2# pp enable 2# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway pp 2# ospf user on# ospf area backbone# ospf preference 10001# ospf router id 192.168.2.254# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.2.254 udp 500# nat descriptor masquerade static 1 2 192.168.2.254 esp# tunnel select 1
226 20. 用備份線路對通信中斷進行自動復原的設置範例
tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.2.254# ipsec ike local name 1 kyoten2# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【解說】中心和分支機構都通過 ADSL 線路與服務提供商(ISP)進行 PPPoE 連接,中心側配置固定地址。
平時運行時,進行因特網 VPN 通信。
在中心側的路由器 A 上,至分支機構側的靜態 (static)路由指向備份線路的路由器 B。在分支機構上,至中心側的靜態路由指向
ISDN 線路。將上述設定的路由作為備份路由使用,結合 ospf 導入的路由,實現各節點之間的通信備份。
假設分支機構 2 與因特網連接的線路中斷。路由器 D 會自動通過 ISDN 線路,嘗試與中心側的路由器 B 連接。
如上所述,分支機構例發生了線路故障,VPN 隧道中斷后,設置好了的用 OSPF 進行的路由信息交換也停止。這樣一來,通過 ospf 學
習到的路由信息就從路由器的路由表上刪除。(在默認設置下,線路中斷后, 多在 40 秒左右后刪除)通過 ospf 學習的路由信息消
失,就會使用靜態設置的到對方的路由 (指向 ISDN 線路的路由)。也就是說,開始通過備份路由的 ISDN 線路進行通信。
從備份恢復到主用時,隨著主用線路的 VPN 隧道復原,接受 ospf 提供的路由信息,就會自動切換通信路由,恢復正常使用。
連接中心側的主路由器的路由器 A 和因特網的線路中斷后,分支機構 1 和分支機構 2 都會切換到備份。
發同分支機構側線路發生故障時的動作一樣,VPN 線路中斷 ospf 路由信息被刪除,路由被切換到備份路由。
而當從備份恢復到主用時,恢復動作也與分支機構側線路從備份恢復到主用的動作一樣。
路由器 A 是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 B 是以使用 RTX1100 為前提的設置範例。
路由器 C 和路由器 D 是以使用 RTX1100 為前提的設置範例。
20. 用備份線路對通信中斷進行自動復原的設置範例 227
20.5 用因特網 VPN 實現因特網 VPN 的備份
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.102/24# ip lan1 vrrp 1 192.168.0.100 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# ipsec autorefresh on# ospf use on# ospf area backbone# ospf preference 10001# ospf router id 192.168.0.102# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.102 udp 500# nat descriptor masquerade static 1 2 192.168.0.102 esp# tunnel select 1
172.17.0.1
The Internet
WS/PC
WS/PC
WS/PC
172.16.0.1
Backup
Backup
Backup
192.168.0.0 / 24
192.168.0.102
192.168.0.101
192.168.1.0 / 24
WS/PC
192.168.2.0 / 24
192.168.1. 254
192.168.2.254
228 20. 用備份線路對通信中斷進行自動復原的設置範例
tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway 192.168.0.101# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.102# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# ip tunnel ospf area backbonetunnel2# tunnel enable 2# ip route 192.168.2.0/24 gateway 192.168.0.101# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.0.102# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten2-1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 B的設置步驟】
# ip lan1 address 192.168.0.101/24# ip lan1 vrrp 1 192.168.0.100 priority=100# pp select 1# pp always-on on# pppoe use lan2# pp auth accept pap chap# pp auth myname ID PASSWORD# ppp lcp mru on 1454# ppp ccp type none# ip pp address 172.17.0.1/32# ip pp mtu 1454# ip pp nat descriptor 1# pp enable 1# ip route default gateway pp 1# ipsec autorefresh on# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.101 udp 500# nat descriptor masquerade static 1 2 192.168.0.101 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.101# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-2# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102
20. 用備份線路對通信中斷進行自動復原的設置範例 229
tunnel2# tunnel enable 2# ip route 192.168.2.0/24 gateway tunnel 2# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.0.101# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten2-2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 C 的設置步驟】
# ip route default gateway pp 1# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# pp select 2pp2# pppoe use lan3pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 2# ipsec autorefresh on# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 2# ospf use on# ospf area backbone# ospf preference 10001# ospf router id 192.168.1.254# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.254 udp 500# nat descriptor masquerade static 1 2 192.168.1.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.254# ipsec ike local name 1 kyoten1-1# ipsec ike pre-shared-key 1 text ABC
230 20. 用備份線路對通信中斷進行自動復原的設置範例
# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.1.254# ipsec ike local name 2 kyoten1-2# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 D的設置步驟】
# ip lan1 address 192.168.2.254/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# pp select 2pp2# pppoe use lan3pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ppp ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 2# ipsec autorefresh on# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 2# ospf use on# ospf area backbone# ospf preference 10001# ospf router id 192.168.2.254# ip lan1 ospf area backbone passive# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.2.254 udp 500# nat descriptor masquerade static 1 2 192.168.2.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# ip tunnel ospf area backbonetunnel1# tunnel enable 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.2.254
20. 用備份線路對通信中斷進行自動復原的設置範例 231
# ipsec ike local name 1 kyoten2-1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.2.254# ipsec ike local name 2 kyoten2-2# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【解說】中心和分支機構都用 ADSL 接入服務提供商 (ISP)建立兩條 PPPoE 連接線路,中心側的主,備份線路上均配置固定地址。
平時運行時,進行因特網 VPN 通信。
在中心側為了防止設備故障和線路故障,用兩台路由器構成 VRRP 的結構。路由器 A 或主用線路發生故障時,路由器 B 自動與外部建
立連接。在分支機構側,為了防止線路故障,通過兩條不同的線路設置因特網連接。主用線路發生故障時,自動切換到備份路線,進
行因特網連接及 VPN 連接。每個分支機構都有兩條與中心連接的 VPN 隧道。以分支機構 1 為例,路由器 A- 路由器 C 之間和路由器 B
-路由器 C 之間連有 VPN 隧道。(不同時使用)
例如,假設分支機構 2與因特網的線路中斷。此時,路由器 D 會自動通過備份路由與中心側的路由器 A 連接。
在分支機構發現主用線路有故障,切換到用備份線路連接因特網。這時,VPN 隧道也被暫時中斷,用備份線路建立了與因特網的連接
后,與中心之間再次生成隧道。主用線路復原后,與因特網的連接從備份線路切換到主用線路。這時,VPN 隧道暫時被中斷,但馬上
會通過復原的主用線路與中心重新連接,恢復正常使用。
當中心側的主路由器路由器 A發生了故障時,分支機構 1 和分支機構 2 與中心的通信都切換到中心的備份路由器 B 的 VPN。
中心的路由器 A DOWN 機后,VRRP 設置的路由器 B 自動開始備份工作。在分支機構側,與中心側的路由器 A 的 VPN 隧道被中斷后,
ospf 通知的至中心的路由從路由表中刪除。這樣一來,就會使用靜態設置的至備份隧道的路由。也就是說與中心之間的通信使用路由
器 B 的 VPN 隧道。中心的主路由器(路由器 A)復原后,路由器 B 再次返回待機狀態。在分支機構側,如果與路由器 A之間的 VPN 隧
道復原,ospf 導入路由,與中心的通信將使用主隧道,恢復正常使用。
在本設置範例中,分支機構的數目是 2,增加與設置範例內的分支機構相關的設置,可以進行與多個分支機構的 VPN 通信的備份設
置。
路由器 A 和路由器 B 是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 C 和路由器 D 是以使用 RTX3000、RTX1100 為前提的設置範例。
232 20. 用備份線路對通信中斷進行自動復原的設置範例
20.6 用因特網 VPN 實現因特網 IP-VPN 的備份
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# pp enable 1# pp select 2pp2# pp always-on onpp2# pppoe use lan2pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ipcp msext onpp2# ip pp address 172.17.0.1/32pp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 2# bgp use on# bgp autonomous-system 64001# bgp neighbor 1 8000 172.16.0.2# bgp preference 10001
WS/PC
WS/PC
WS/PC
172.16.0.1
172.17.0.1 Backup
192.168.0.0 / 24
192.168.0.254
192.168.1.0 / 24
WS/PC
192.168.2.0 / 24
192.168.1. 254
192.168.2.254 172.16.0.3
172.16.0.2
The Internet
20. 用備份線路對通信中斷進行自動復原的設置範例 233
# bgp import filter 1 include all# bgp import 8000 statuc filter 1# bgp export filter 1 include all# bgp export 8000 filter 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.254 udp 500# nat descriptor masquerade static 1 2 192.168.0.254 esp# ip route default gateway pp 2# ipsec autorefresh on# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.254# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ip route 192.168.2.0/24 gateway tunnel 2# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.0.254# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.2/32pp1# ip pp mtu 1454pp1# pp enable 1# pp select 2pp2# pp always-on onpp2# pppoe use lan2pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ipcp msext onpp2# ppp ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 1
234 20. 用備份線路對通信中斷進行自動復原的設置範例
# bgp use on# bgp autonomous-system 8000# bgp neighbor 1 64001 172.16.0.1# bgp preference 10001# bgp import filter 1 include all# bgp import 64001 statuc filter 1# bgp export filter 1 include all# bgp export 64001 filter 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.254 udp 500# nat descriptor masquerade static 1 2 192.168.1.254 esp# ip route default gateway pp 2# ip route 192.168.0.0/24 gateway tunnel 1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.254# ipsec ike local name 1 kyoten1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.17.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【路由器 C的設置步驟】
# ip lan1 address 192.168.2.254/24# pp select1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.3/32pp1# ip pp mtu 1454pp1# pp enable 1# pp select 2pp2# pp always-on onpp2# pppoe use lan2pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ppp ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 1# bgp use on# bgp autonomous-system 8000# bgp neighbor 1 64001 172.16.0.1# bgp preference 10001# bgp import filter 1 include all# bgp import 64001 statuc filter 1
20. 用備份線路對通信中斷進行自動復原的設置範例 235
# bgp export filter 1 include all# bgp export 64001 filter 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.2.254 udp 500# nat descriptor masquerade static 1 2 192.168.2.254 esp# ip route default gateway pp 2# ip route 192.168.0.0/24 gateway tunnel 1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.2.254# ipsec ike local name 1 kyoten2# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.17.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【解說】中心和分支機構都用 ADSL 接入服務提供商 (ISP)建立 PPPoE 連接,中心側配置固定 IP 地址。
本設置範例中,通過 ADSL 接入 IP-VPN 網。
平時運行時,進行 IP-VPN 通信。
在中心側,把因特網側的 VPN 隧道作為至分支機構的靜態路由,在分支機構,把因特網側的 VPN 隧道作為至中心的靜態路由。分別設
定備用線路,結合 BGP 導入的路由,實現各機構之間的通信備份。
假設連接分支機構 2 和 IP-VPN 網的線路中斷。路由器 C 自動將與中心的通信從 IP-VPN 連接切換到因特網 VPN 連接。
與 IP-VPN 網的連接線路發生故障時,與 IP-VPN 網的 BGP 會話中斷。這樣一來,路由器 C 失去由 BGP 引入的至中心的路由信息,靜態
設置的通過因特網 VPN 至中心側的通信路由生效。從備份線路恢復到主用線路,與 IP-VPN 網的連接復原后,通過 BGP 再次導入路由。
這樣一來,至中心側的通信路由切換回 IP-VPN 網,恢復正常使用。
在本設置範例中,分支機構的數目是 2,增加與設置範例內的分支機構相關的設置,可以進行與多個分支機構的 VPN 通信的備份設
置。
這是以使用 RTX3000、RTX1100 為前提的設置範例。
236 20. 用備份線路對通信中斷進行自動復原的設置範例
20.7 用因特網 VPN 實現廣域以太網的備份
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.254/24# ip lan2 address 172.16.0.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan3pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ospf use on# ospf preference 10001# ospf router id 192.168.0.254# ospf area backbone# ip lan1 ospf area backbone passive# ip lan2 ospf area backbone# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.254 udp 500# nat descriptor masquerade static 1 2 192.168.0.254 esp# ip route default gateway pp 1# ipsec autorefresh on# tunnel select 1tunnel1# ipsec tunnel 101
WS/PC
WS/PC
WS/PC
172.16.0.1
172.17.0.1 Backup
192.168.0.0 / 24
192.168.0.254
192.168.1.0 / 24
WS/PC
192.168.2.0 / 24
192.168.1. 254
192.168.2.254 172.16.0.3
172.16.0.2
The Internet
20. 用備份線路對通信中斷進行自動復原的設置範例 237
tunnel1# tunnel enable 1
# ip route 192.168.1.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.254# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ip route 192.168.2.0/24 gateway tunnel 2# ipsec ike keepalive use 2 on# ipsec ike local address 2 192.168.0.254# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.254/24# ip lan2 address 172.16.0.2# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ospf use on# ospf router id 192.168.1.254# ospf preference 10001# ospf area backbone# ip lan1 ospf area backbone passive# ip lan2 ospf area backbone# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.254 udp 500# nat descriptor masquerade static 1 2 192.168.1.254 esp# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.254# ipsec ike local name 1 kyoten1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.17.0.1
238 20. 用備份線路對通信中斷進行自動復原的設置範例
# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【路由器 C的設置步驟】
# ip lan1 address 192.168.2.254/24# ip lan2 address 172.16.0.3# pp select 1pp1# pp always-on onpp1# pppoe use lan3pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ospf use on# ospf router id 192.168.2.254# ospf preference 10001# ospf area backbone# ip lan1 ospf area backbone passive# ip lan2 ospf area backbone# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.2.254 udp 500# nat descriptor masquerade static 1 2 192.168.2.254 esp# ip route default gateway pp 1# ip route 192.168.0.0/24 gateway tunnel 1# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1# ipsec autorefresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.2.254# ipsec ike local name 1 kyoten2# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.17.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac
【解說】中心和分支機構都用 ADSL 線路與服務提供商 (ISP)建立 PPPoE 連接,中心側配置固定地址。
平時運行時,用廣域以太網進行通信。
在中心側,把因特網側的 VPN 隧道作為至分支機構的靜態路由,在分支機構,把因特網側的 VPN 隧道作為至中心的靜態路由。分別設
定備用線路,結合 OSPF 導入的路由,實現各機構之間的通信備份。
假設連接分支機構 2 和廣域以太網的線路中斷。那么,路由器 C 自動將與中心的通信路由從廣域以太網連接切換到因特網 VPN 連接。
與廣域以太網的接入線路發生故障時,不能用 OSPF 進行交換路由信息。這樣一來,路由器 C 刪除由 ospf 導入的路由信息,靜態設置
的因特網 VPN 路由生效。從備份線路恢復到主用線路時,與廣域以太網的連接復原后,通過 OSPF 再次導入路由。這樣一來,至中心
側的通信路由切換回廣域以太網,恢復正常使用。
在本設置範例中,分支機構的數目是 2,增加與設置範例內的分支機構相關的設置,可以進行與多個分支機構的 VPN 通信的備份設
置。
這是以使用 RTX3000、RTX1100 為前提的設置範例。
20. 用備份線路對通信中斷進行自動復原的設置範例 239
20.8 用因特網 VPN 實現因特網 VPN 的備份 (使用 1台中心路由器)
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# pp select 2pp2# pppoe use lan3pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ip pp address 172.17.0.1/32pp2# ip pp mtu 1454pp2# ip pp nat descriptor 2pp2# pp enable 2# ip route default gateway pp 1# ipsec autorefresh on
The Internet
WS/PC
WS/PC
WS/PC
Backup
192.168.0.0 / 24
192.168.1.0 / 24
WS/PC
172.17.0.1
172.16.0.1
192.168.2.254
Backup
192.168.2.0 / 24
192.168.1. 254
Backup
192.168.0. 254
240 20. 用備份線路對通信中斷進行自動復原的設置範例
# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.16.0.1# nat descriptor masquerade static 1 1 192.168.0.254 udp 500# nat descriptor masquerade static 1 2 192.168.0.254 esp# nat descriptor type 2 masquerade# nat descriptor address outer 2 172.17.0.1# nat descriptor masquerade static 2 1 192.168.0.254 udp 500# nat descriptor masquerade static 2 2 192.168.0.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.254# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ipsec ike local address 2 192.168.0.254# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten1-2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac# tunnel select 3tunnel3# ipsec tunnel 103tunnel3# tunnel backup tunnel 4 switch-interface=ontunnel3# tunnel enable 3# ip route 192.168.2.0/24 gateway tunnel 3# ipsec ike keepalive use 3 on# ipsec ike local address 3 192.168.0.254# ipsec ike pre-shared-key 3 text ABC# ipsec ike remote address 3 any# ipsec ike remote name 3 kyoten2-1# ipsec sa policy 103 3 esp 3des-cbc md5-hmac# tunnel select 4tunnel4# ipsec tunnel 104tunnel4# tunnel enable 4# ipsec ike local address 4 192.168.0.254# ipsec ike pre-shared-key 4 text ABC# ipsec ike remote address 4 any# ipsec ike remote name 4 kyoten2-2# ipsec sa policy 104 4 esp 3des-cbc md5-hmac
【路由器 B的設置步驟】
# ip lan1 address 192.168.1.254/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2
20. 用備份線路對通信中斷進行自動復原的設置範例 241
pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# pp select 2pp2# pppoe use lan3pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ppp ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 2# ipsec autorefresh on# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.254 udp 500# nat descriptor masquerade static 1 2 192.168.1.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.0.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.254# ipsec ike local name 1 kyoten1-1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ipsec ike local address 2 192.168.1.254# ipsec ike local name 2 kyoten1-2# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【路由器 C 的設置步驟】
# ip lan1 address 192.168.2.254/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type none
242 20. 用備份線路對通信中斷進行自動復原的設置範例
pp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# pp select 2pp2# pppoe use lan3pp2# pp auth accept pap chappp2# pp auth myname ID PASSWORDpp2# ppp lcp mru on 1454pp2# ppp ccp type nonepp2# ppp ipcp ipaddress onpp2# ip pp mtu 1454pp2# ip pp nat descriptor 1pp2# pp enable 2# ipsec autorefresh on# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.2.254 udp 500# nat descriptor masquerade static 1 2 192.168.2.254 esp# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.0.0/24 gateway tunnel 1# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.2.254# ipsec ike local name 1 kyoten2-1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2# ipsec ike local address 2 192.168.2.254# ipsec ike local name 2 kyoten2-2# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac
【解說】中心和分支機構都用 ADSL 接入服務提供商 (ISP)建立兩條 PPPoE 連接線路,中心側的主用線路,備用線路都配置固定地址。
平時運行時,用主用線路進行因特網 VPN 通信。
在中心側,為了防備線路故障,中心和分支機構通過兩條不同的線路設置因特網連接。主用線路發生故障時,自動切換到備份線路,
進行因特網連接及 VPN 連接。
例如,分支機構 2 和因特網連接主用線路中斷。那么,路由器 C 自動通過備份線路,嘗試與中心的路由器 A的連接。
在分支機構側,檢測到主用線路發生故障時,切換到備份線路與因特網連接。這時,VPN 隧道也會暫時中斷,在用備份線路建立與因
特網的連接后,與中心之間重新生成隧道。主用線路復原后,至因特網的連接從備份線路返回主用線路。這時,VPN 隧道也將暫時中
斷,但馬上會通過復原的主用線路與中心重新連接,恢復正常使用。
假設中心和因特網連接的主用線路中斷。則分支機構側路由器 (路由器 B、路由器 C)建立通向中心的 VPN 隧道。
20. 用備份線路對通信中斷進行自動復原的設置範例 243
在中心側,主用線路發生故障時,開始用備份線路連接因特網。在分支機構側,檢測到通向中心的路由器 A 的 VPN 隧道中斷時,自動
啟動備份隧道,與中心之間生成新的 VPN 隧道。中心的主線路復原后,分支機構側 (路由器 B、路由器 C)與中心之間的主用隧道復
原。復原后,與中心之間的通信自動使用復原的主用隧道,恢復正常使用。
在本設置範例中,分支機構的數目是 2,增加與設置範例內的分支機構相關的設置,可以進行與多個分支機構的 VPN 通信的備份設
置。
這是以使用 RTX3000、RTX1100 為前提的設置範例。
244 20. 用備份線路對通信中斷進行自動復原的設置範例
20.9 用 ISDN 線路實現隧道備份
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.16.0.1# nat descriptor masquerade static 1 1 192.168.0.1 udp 500# nat descriptor masquerade static 1 2 192.168.0.1 esp# ipsec auto refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup lan1 192.168.0.2tunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1
The Internet
WS/PC
WS/PC
WS/PC
172.16.0.1
192.168.0.0 / 24
192.168.0.1
192.168.0.2
192.168.1.0 / 24
192.168.1. 1
ISDN
Backup
03-123-4567/Tokyo
20. 用備份線路對通信中斷進行自動復原的設置範例 245
【路由器 B 的設置步驟】
# ip lan1 address 192.168.0.2/24# isdn local address bri1 03-123-4567/Tokyo# pp select anonymousanonymous# pp bind bri1anonymous# pp auth request chapanonymous# pp auth username kyoten1 kyoten1anonymous# pp enable anonymous# ip route 192.168.1.0/24 gateway pp anonymous name=kyoten1
【路由器 C 的設置步驟】
# ip lan1 address 192.168.1.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-123-4567/Tokyopp2# pp auth accept chappp2# pp auth myname kyoten1 kyoten1pp2# pp enable 2# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.1 udp 500# nat descriptor masquerade static 1 2 192.168.1.1 esp# ipsec auto refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.1# ipsec ike local name 1 kyoten1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup pp 2 switch-router=ontunnel1# tunnel enable 1# ip route 192.168.0.0/24 gateway tunnel 1
【解說】中心和分支機構都用 ADSL 線路與服務提供商(ISP)建立 PPPoE 連接,中心側配置固定地址。
平時運行時,進行因特網 VPN 通信。
分支機構側用 1 台路由器收容兩條線路,根據線路發生的故障自動切換線路。在 VPN 隧道發生故障時,使用 ISDN 直接連接中心和分
支機構。
路由器 A 是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 B 是以使用 RTX1100 為前提的設置範例。
路由器 C 是以使用 RTX1100 為前提的設置範例。
246 20. 用備份線路對通信中斷進行自動復原的設置範例
20.10 用因特網 VPN 實現隧道備份
【結構圖】
【路由器 A的設置步驟】
# ip lan1 address 192.168.0.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp backup pp 2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# pp select 2pp1# pp always-on onpp1# pppoe use lan3pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 2pp1# pp enable 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.16.0.1# nat descriptor masquerade static 1 1 192.168.0.1 udp 500# nat descriptor masquerade static 1 2 192.168.0.1 esp# nat descriptor type 2 masquerade# nat descriptor address outer 2 172.17.0.1# nat descriptor masquerade static 2 1 192.168.0.1 udp 500# nat descriptor masquerade static 2 2 192.168.0.1 esp
WS/PC
WS/PC
WS/PC
172.16.0.1
192.168.0.0 / 24
192.168.0.1
192.168.1.0 / 24
192.168.1. 1
ISDN
172.17.0.1
03-123-4567
Backup
Backup The Internet
20. 用備份線路對通信中斷進行自動復原的設置範例 247
# ipsec auto refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1# ipsec ike local address 2 192.168.0.1# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 any# ipsec ike remote name 2 kyoten1-2# ipsec sa policy 102 2 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2
【路由器 B 的設置步驟】
# ip lan1 address 192.168.1.1/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp backup pp 2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-123-4567pp2# pp auth accept chappp2# pp auth myname ID PASSWORDpp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ip pp nat descriptor 1pp2# pp enable 2# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.1 udp 500# nat descriptor masquerade static 1 2 192.168.1.1 esp# ipsec auth refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.1# ipsec ike local name 1 kyoten1-1# ipsec ike pre-shared-key 1 text ABC
248 20. 用備份線路對通信中斷進行自動復原的設置範例
# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.0.0/24 gateway tunnel 1# ipsec ike local address 2 192.168.1.1# ipsec ike local name 2 kyoten1-2# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2
【解說】中心和分支機構都用 ADSL 線路與服務提供商 (ISP)建立 PPPoE 連接,中心側配置固定地址。
平時運行時,用主用線路進行因特網 VPN 通信。
用 1 台路由器收容兩條線路,在線路發生故障時,自動切換線路。
分支機構側的備份線路通過 ISDN 與因特網連接。
主用線路的 VPN 隧道發生了故障時,切換到備份線路的 VPN 隧道。在切換后,通信依舊保持加密狀態,無論線路狀態如何,都能保持
安全的因特網連接。
路由器 A 是以使用 RTX3000、RTX1100 為前提的設置範例。
路由器 B 是以使用 RTX1100 為前提的設置範例。
20. 用備份線路對通信中斷進行自動復原的設置範例 249
20.11 用 VRRP 和因特網 VPN 實現隧道備份
【結構圖】
【路由器 A 的設置步驟】
# ip lan1 address 192.168.0.2/24# ip lan1 vrrp 1 192.168.0.1 priority=200# ip lan1 vrrp shutdown trigger 1 pp 1# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.16.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.16.0.1# nat descriptor masquerade static 1 1 192.168.0.2 udp 500# nat descriptor masquerade static 1 2 192.168.0.2 esp# ipsec auto refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.0.2# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup lan1 192.168.0.3tunnel1# tunnel enable 1# ip route 192.168.1.0/24 gateway tunnel 1
WS/PC
WS/PC
WS/PC
172.16.0.1
192.168.0.0 / 24
192.168.0.2
192.168.0.3
192.168.1.0 / 24
192.168.1. 1
172.17.0.1
ISDN
03-123-4567
Backup
Backup The Internet
250 20. 用備份線路對通信中斷進行自動復原的設置範例
【路由器 B的設置步驟】
# ip lan1 address 192.168.0.3/24# ip lan1 vrrp 1 192.168.0.1 priority=100# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor address outer 1 172.17.0.1# nat descriptor masquerade static 1 1 192.168.0.3 udp 500# ipsec auto refresh on# ipsec ike local address 1 192.168.0.3# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 any# ipsec ike remote name 1 kyoten1-2# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel enable 1tunnel1# ip route 192.168.1.0/24 gateway tunnel 1
【路由器 C的設置步驟】
# ip lan1 address 192.168.1.1/24# pp select 1pp1# pp backup pp 2pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ipcp msext onpp1# ppp ipcp ipaddress onpp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1# ip route default gateway pp 1# pp select 2pp2# pp bind bri1pp2# isdn remote address call 03-123-4567pp2# pp auth accept chappp2# pp auth myname ID PASSWORDpp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ip pp nat descriptor 1pp2# pp enable 2
20. 用備份線路對通信中斷進行自動復原的設置範例 251
# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.1.1 udp 500# nat descriptor masquerade static 1 2 192.168.1.1 esp# ipsec auto refresh on# ipsec ike keepalive use 1 on# ipsec ike local address 1 192.168.1.1# ipsec ike local name 1 kyoten1-1# ipsec ike pre-shared-key 1 text ABC# ipsec ike remote address 1 172.16.0.1# ipsec sa policy 101 1 esp 3des-cbc md5-hmac# tunnel select 1tunnel1# ipsec tunnel 101tunnel1# tunnel backup tunnel 2 switch-interface=ontunnel1# tunnel enable 1# ip route 192.168.0.0/24 gateway tunnel 1# ipsec ike local address 2 192.168.1.1# ipsec ike local name 2 kyoten1-2# ipsec ike pre-shared-key 2 text ABC# ipsec ike remote address 2 172.17.0.1# ipsec sa policy 102 2 esp 3des-cbc md5-hmac# tunnel select 2tunnel2# ipsec tunnel 102tunnel2# tunnel enable 2
【解說】中心和分支機構都用 ADSL 線路與服務提供商(ISP)建立 PPPoE 連接,中心接受固定的地址分配。
平時運行時,用主用線路進行因特網 VPN 通信。
用 1 台路由器收容兩條線路,線路發生的故障時自動切換線路。分支機構側的備份線路通過 ISDN 與因特網連接。
中心側擁有冗余路由器,不僅防備線路故障,還能應對設備故障。
主線路的 VPN 隧道發生故障時,切換到備份線路的 VPN 隧道。切換后,通信依舊保持加密狀態,無論線路狀態如何,都能保持安全的
因特網連接。
路由器 A 和路由器 B 是以使用 RTX3000、RTX1100、RT107e 為前提的設置範例。
路由器 C 是以使用 RTX1100 為前提的設置範例。
252 20. 用備份線路對通信中斷進行自動復原的設置範例
21. 使用了 PPTP 的因特網 VPN 環境的設置範例 253
21. 使用了 PPTP 的因特網 VPN 環境的設置範例
1. 遠程訪問 VPN 連接的設置範例
2. LAN 之間連接 VPN 的設置範例 (通過 PPPoE 連接因特網時)
3. LAN 之間連接 VPN 的設置範例 (通過 CATV 連接因特網時)
254 21. 使用了 PPTP 的因特網 VPN 環境的設置範例
21.1 遠程訪問 VPN 連接的設置範例
[ 構成圖 ]
[ 設置步驟 ]
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# pp select anonymousanonymous# pp bind tunnel1 tunnel2 tunnel3anonymous# pp auth request mschapanonymous# pp auth username test1 test1anonymous# pp auth username test2 test2anonymous# pp auth username test3 test3anonymous# ppp ipcp ipaddress onanonymous# ppp ipcp msext onanonymous# ppp ccp type mppe-anyanonymous# ip pp remote address pool 192.168.1.100-192.168.1.102anonymous# ip pp mtu 1280anonymous# pptp service type serveranonymous# pp enable anonymousanonymous# pptp service onanonymous# tunnel select 1tunnel1# tunnel encapsulation pptptunnel1# tunnel enable 1tunnel1# tunnel select 2tunnel2# tunnel encapsulation pptptunnel2# tunnel enable 2
The Internet
WS/PC
WS/PC172.17.0.1
192.168.0.0 / 24
192.168.0.254
21. 使用了 PPTP 的因特網 VPN 環境的設置範例 255
tunnel2# tunnel select 3tunnel3# tunnel encapsulation pptptunnel3# tunnel enable 3tunnel3# tunnel select none# ip route default gateway pp 1# nat descriptor type 1 masquerade# nat descriptor masquerade static 1 1 192.168.0.254 tcp 1723# nat descriptor masquerade static 1 2 192.168.0.254 gre# save
[ 解 ]
假設情況如下:總公司通過 ADSL 連接因特網,收到提供商分配的 172.17.0.1 的固定地址。本設置範例是了已在總公司 (中心端)網
絡 (192.168.0.0/24)獲得動作確認的 PPTP 客戶端(Windows 計算機或 MacOS X 計算機)通過因特網進行 VPN 連接。
anonymous# pp bind tunnel1 tunnel2 tunnel3anonymous# pp auth username test1 test1anonymous# pp auth username test2 test2anonymous# pp auth username test3 test3anonymous# ip pp remote address pool 192.168.1.100-192.168.1.102
準備了三個帳號和通道以同時容納三個客戶端的連接。
anonymous# pp auth request mschap
配合 PPTP 客戶端的認證方式。
Windows 98SE/Me 時為 mschap。
Windows 2000/XP 時,mschap 和 mschap-ve 兩者均可在計算機中指定。
MacOS X (10.2 以上 ) 時為 mschap-v2。
# nat descriptor masquerade static 1 1 192.168.0.254 tcp 1723# nat descriptor masquerade static 1 2 192.168.0.254 gre
PPTP 傳遞 (pass-through)的設置。使用 NAT 時必須設置。
256 21. 使用了 PPTP 的因特網 VPN 環境的設置範例
21.2 LAN 之間連接 VPN 的設置範例 (通過 PPPoE 連接因特網時)
[ 構成圖 ]
[ 路由器 A 的設置步驟 ]
# ip lan1 address 192.168.0.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.17.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# pp select 2pp2# pp bind tunnel1pp2# pp auth request mschap-v2pp2# pp auth username test1 test1pp2# ppp ipcp ipaddress onpp2# ppp ccp type mppe-anypp2# ip pp mtu 1280pp2# pptp service type serverpp2# pp enable 2pp2# pptp service onpp2# tunnel select 1tunnel1# tunnel encapsulation pptptunnel1# tunnel endpoint address 172.18.0.1tunnel1# tunnel enable 1tunnel1# ip route 192.168.10.0/24 gateway pp 2tunnel1# ip route default gateway pp 1tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.168.0.254 tcp 1723tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 gretunnel1# save
The Internet
WS/PC
WS/PC172.17.0.1
192.168.0.0 / 24
192.168.0.254
WS/PC
192.168.10.0 / 24
192.168.10. 254172.18.0.1
21. 使用了 PPTP 的因特網 VPN 環境的設置範例 257
[ 路由器 B 的設置步驟 ]
# ip lan1 address 192.168.10.254/24# pp select 1pp1# pp always-on onpp1# pppoe use lan2pp1# pp auth accept pap chappp1# pp auth myname ID PASSWORDpp1# ppp lcp mru on 1454pp1# ppp ccp type nonepp1# ip pp address 172.18.0.1/32pp1# ip pp mtu 1454pp1# ip pp nat descriptor 1pp1# pp enable 1pp1# pp select 2pp2# pp bind tunnel1pp2# pp keepalive use lcp-echopp2# pp auth accept mschap-v2pp2# pp auth myname test1 test1pp2# ppp ipcp ipaddress onpp2# ppp ccp type mppe-anypp2# ip pp mtu 1280pp2# pptp service type clientpp2# pp enable 2pp2# pptp service onpp2# tunnel select 1tunnel1# tunnel encapsulation pptptunnel1# tunnel endpoint address 172.17.0.1tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway pp 2tunnel1# ip route default gateway pp 1tunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor masquerade static 1 1 192.1680.10.254 tcp 1723tunnel1# nat descriptor masquerade static 1 2 192.1680.10.254 gretunnel1# save
[ 解 ]本設置範例是了在使用了 ADSL 連接因特網的據點之間通過 PPTP 使用 VPN。
258 21. 使用了 PPTP 的因特網 VPN 環境的設置範例
21.3 LAN 之間連接 VPN 的設置範例 (通過 CATV 連接因特網時)
[ 構成圖 ]
[ 路由器 A 的設置步驟 ]
# ip lan1 address 192.168.0.254/24# ip lan2 address 172.17.0.1/24# ip lan2 nat descriptor 1# pp select 1pp1# pp bind tunnel1pp1# pp auth request mschappp1# pp auth username test1 test1pp1# ppp ipcp ipaddress onpp1# ppp ccp type mppe-anypp1# ip pp mtu 1280pp1# pptp service type serverpp1# pp enable 1pp1# pptp service onpp1# tunnel select 1tunnel1# tunnel encapsulation pptptunnel1# tunnel endpoint address 172.18.0.1tunnel1# tunnel enable 1tunnel1# ip route 192.168.10.0/24 gateway pp 1tunnel1# ip route default gateway GATEWAYtunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor address outer 1 primarytunnel1# nat descriptor masquerade static 1 1 192.168.0.254 tcp 1723tunnel1# nat descriptor masquerade static 1 2 192.168.0.254 gretunnel1# save
WS/PC
WS/PC
192.168.10.0 / 24192.168.0.0 / 24
WS/PC
WS/PC
192.168.10.3
192.168.10.5
192.168.0.3
192.168.0.5
172.18.0.1172.17.0.1
192.168.0.254 192.168.10.254
21. 使用了 PPTP 的因特網 VPN 環境的設置範例 259
[ 路由器 B 的設置步驟 ]
# ip lan1 address 192.168.10.254/24# ip lan2 address 172.18.0.1/24# ip lan2 nat descriptor 1# pp select 1pp1# pp bind tunnel1pp1# pp keepalive use lcp-echopp1# pp auth accept mschappp1# pp auth myname test1 test1pp1# ppp ipcp ipaddress onpp1# ppp ccp type mppe-anypp1# ip pp mtu 1280pp1# pptp service type clientpp1# pp enable 1pp1# pptp service onpp1# tunnel select 1tunnel1# tunnel encapsulation pptptunnel1# tunnel endpoint address 172.17.0.1tunnel1# tunnel enable 1tunnel1# ip route 192.168.0.0/24 gateway pp 1tunnel1# ip route default gateway GATEWAYtunnel1# nat descriptor type 1 masqueradetunnel1# nat descriptor address outer 1 primarytunnel1# nat descriptor masquerade static 1 1 192.1680.10.254 tcp 1723tunnel1# nat descriptor masquerade static 1 2 192.1680.10.254 gretunnel1# save
[ 解 ]本設置範例是了在使用了 CATVL 連接因特網的據點之間通過 PPTP 使用 VPN。
260 22. 3G 移動因特網連接的連接範例
22. 3G 移動因特網連接的連接範例
1. 使用中國電信的 3G 移動時的設置
2. 使用中國電信的 3G 移動網絡,限制超過上限的通信。
[ 注意事項 ]用本功能從 3G 終端進行數據包通信時,將根據各個 3G 運營商的收費標準發生費用。
關於收費標準,請確認與各個 3G 運營商的合同容。
請仔細讀 3G 終端的使用明書,用正確的使用方法進行使用。
連接之前的流程和將 USB3G 終端連接至計算機進行數據包通信一樣,路由器取代計算機進行設置
及發送數據的動作。
1.將 3G 終端連接至路由器的 USB 端口。
2.根據各個 3G 通信運營商進行設置,從路由器發送數據。
3.路由器就能經由 3G 運營商的網絡連接至因特網。
[ 設置及連接方法 ]
指定運營商
用 3G 移動因特網功能發送數據需要 APN (Access Point Name) 和 CID (Context Identifier) 以及發送對象號碼 (Dial Number) 等發
送對象的信息。
發送號碼信息及 APN、CID、發送對象號碼等信息均通過 AT 命令被發行至移動終端。
使用計算機發送時,可從終端自帶的應用軟件執行,從路由器發送時,路由器
對移動終端發行 AT 命令。
目前無法從界面(簡單設置頁面)進行設置。
各個運營商的 CID、APN 及發送對象號碼
下文記載的設置範例為連接至中國電信網絡的設置範例,使用時,請根據您所使用的終端及合同更改替換 APN 和發送對象號碼的設置。
發送數據所需的路由器的命令從 3G 移動終端向指定提供商發送數據主要需要以下四個命令。
mobile access-point name APN cid=CID........... 設置所選的對方的連接提供商
mobile dial number DIAL_STRING................. 設置連接對方的撥號字符串
mobile display caller id DISPLAY............... 指定是否顯示呼叫方
connect PP_NUM ................................ 實際指示 FOMA 發送數據
設置 mobile auto connect on 后,也能在發生數據包時自動發送。
本設置範例中,前提是使用 RTX1200/RTX800。
運營商名稱 CID APN 發送對象號碼
中國電信 1 ctnet #777
中國聯通 1 3gnet *99#
中國移動 1 cmnet *99**1#, *98*1#
22. 3G 移動因特網連接的連接範例 261
22.1 使用中國電信的 3G 移動時的設置
[ 構成圖 ]
[ 設置步驟 ]
# mobile use usb1 on# mobile type usb1 auto# pp select 1pp1# pp bind usb1pp1# pp auth accept pap chappp1# pp auth myname xxxxx yyyyypp1# ppp lcp mru off 1792pp1# ppp lcp accm onpp1# ppp lcp pfc onpp1# ppp lcp acfc onpp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp ipv6cp use offpp1# ip pp nat descriptor 1000pp1# mobile access-point name ctnet cid=1pp1#mobile dial number #777pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# dns server pp 1# nat descriptor type 1,000 masquerade# save
WS/PC
WS/PC
262 22. 3G 移動因特網連接的連接範例
[ 解 ]將 ctnet 指定為 APN,用 CID1 號發送數據。是中國電信,因此連接對象為 #777。
本設置範例中 , 數據包通信量限制和數据包通信時間限制設為默認值。
本設置範例中數據包通信量限制和數据包通信時間限制使用默認值,請根據實際使用情況加以限制。
1. # mobile use usb1 on
將 USB 端口設置為用於連接移動因特網。
2. # mobile type usb1 auto
將連接在 USB 端口的移動終端的類別設置為自動識別。
3. # pp select 1pp1# pp bind usb1將 USB 端口綁定至 pp1。
4. pp1# pp auth accept pap chappp1# pp auth myname xxxxx yyyyy指定任意的 ID/Password。
5. pp1# ppp lcp mru off 1792
推薦此設置以減少通信量。
pp1# ppp lcp accm on
推薦此設置以減少通信量。
pp1# ppp lcp pfc on
推薦此設置以減少通信量。
pp1# ppp lcp acfc on
推薦此設置以減少通信量。
6. pp1# ppp ipcp ipaddress onpp1# ppp ipcp msext onpp1# ppp ipv6cp use offpp1# ip pp nat descriptor 1000
pp1# mobile access-point name ctnet cid=1將 cid 分配為 1,pp1 設置為向中國電信發送數據。
7. pp1# mobile dial number #777
設置向中國電信網絡的撥號號碼。
8. pp1# pp enable 1pp1# pp select none# ip route default gateway pp 1# dns server pp 1# nat descriptor type 1000 masquerade# save
手動發送數據使用以下命令:
# connect 1
並且,設置 mobile auto connect on 后,也能在發生數據包時自動發送。
22. 3G 移動因特網連接的連接範例 263
22.2 使用中國電信的 3G 移動網絡,限制超過上限的通信。
[ 構成圖 ]
[ 設置步驟 ]
# mobile use usb1 on# mobile type usb1 auto# pp select 2pp2# pp bind usb1pp2# pp auth accept pap chappp2# pp auth myname xxxxx yyyyypp2# ppp lcp mru off 1792pp2# ppp lcp accm onpp2# ppp lcp pfc onpp2# ppp lcp acfc onpp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ppp ipv6cp use offpp2# ip pp nat descriptor 1000pp2# mobile access-point name ctnet cid=1pp2# mobile dial number #777pp2# mobile access limit length 10000pp2# mobile access limit time 3600pp2# mobile disconnect time 120pp2# pp enable 2pp2# pp select none# ip route default gateway pp 2# dns server pp 2# nat descriptor type 1,000 masquerade# save
WS/PC
WS/PC
264 22. 3G 移動因特網連接的連接範例
[ 解 ]將 ctnet 指定為 APN,用 CID1 號發送數據。
本設置範例中 , 設置了數據包通信量限制和數据包通信時間限制。
本例中的數據包通信量限制和數据包通信時間限制的設置值僅為範例,
請根據實際的使用情況加以限制。
1. # mobile use usb1 on將 USB 端口設置為用於連接移動因特網。
2. # mobile type usb1 auto將連接在 USB 端口的移動終端的類別設置為自動識別。
3. # pp select 2pp2# pp bind usb1
將 USB 端口綁定至 pp2。
4. pp2# pp auth accept pap chappp2# pp auth myname xxxxx yyyyy
指定任意的 ID/Password。
5. pp2# ppp lcp mru off 1792推薦此設置以減少通信量。
pp2# ppp lcp accm on
推薦此設置以減少通信量。
pp2# ppp lcp pfc on
推薦此設置以減少通信量。
pp2# ppp lcp acfc on
推薦此設置以減少通信量。
6. pp2# ppp ipcp ipaddress onpp2# ppp ipcp msext onpp2# ppp ipv6cp use offpp2# ip pp nat descriptor 1000
7. pp2# mobile access-point name ctnet cid=1將 cid 分配為 1,pp2 設置為向中國電信的 3G 移動網絡發送數據。
8. pp2# mobile dial number #777設置鏈接對象的撥號號碼。
9. pp2# mobile access limit length 10000纍計數據包長度超過 10,000 就強制結束通信,之後的通信也會擁塞。
pp2# mobile access limit time 3600纍計數據包長度超過 3,600 秒就強制結束通信,之後的通信也會擁塞。
pp2# mobile disconnect time 120如果連續 120 秒沒有數據包的收發就切斷通信。
10. pp2# pp enable 2pp2# pp select none# ip route default gateway pp 2# dns server pp 2# nat descriptor type 1,000 masquerade# save
手動發送數據使用以下命令:
# connect 2
並且,設置 mobile auto connect on 后,也能在發生數據包時自動發送。
265
administrator ........................................ 8
barrier segment ................................ 48,50BGP ................................................. 173
CALLBACK........................................ 11,23CHAP .............................. 33,36,65,67,68cold start........................................... 10connect .............................................. 17console character.................................... 8
DHCP ............................................ 69,79dhcp relay server.............................. 74,84dhcp scope 71,74,81,84,104,107,109,111,113dhcp scope bind ................................ 74,84dhcp service 71,74,81,84,104,107,109,111,113disconnect....................................... 8,17dns domain.......................................... 104dns server................................ 74,84,104
Established .................................... 37,42
FTP .................................................. 46
help .................................................. 8
interface reset ... 49,51,104,113,117,119,122IP.................................................... 11ip filter............................. 38 ~ 47,49,51ip filter directed-broadcast ................. 49,51ip filter source-route ........................ 49,51ip interface address ............................... 11ip lan1 address 13,15,17,19,20,22,24,26,29,
30,31,33,36,49,51,71,74,81,84,91,92,94,95,102,104,106,109,110,112,114,117,119,122,123
ip lan1 nat descriptor ............................ 114ip lan1 ospf area................ 117,119,122,123ip lan1 proxyarp ...................... 26,29,31,33ip lan1 secondary address......................... 114ip lan2 address ...... 102,104,106,109,110,123ip lan2 nat descriptor ................ 106,109,110ip lan2 ospf area.................................. 123ip lan2 rip receive ............................... 124ip lan2 rip send ................................... 123ip pp address .......................... 117,119,122ip pp nat descriptor ................... 36,104,113ip pp ospf area ........................ 117,119,122ip pp remote address .......................... 31,32ip pp remote address pool.......................... 33ip pp rip filter .................................... 47ip pp rip hold routing ............................. 17ip pp rip send ...................................... 17ip pp secure filter ................. 38 ~ 46,49,51ip route 13,15,19,20,22,24,26,29,30,36,49,
51,71,74,81,84,91,92,94,95,104,123IPsec .............................. 89,142,180,203ipsec auto refresh......................... 92,94,95ipsec ike pre-shared-key ............. 91,92,94,95
ipsec ike remote address ............ 91,92,94,95ipsec sa policy....................... 91,92,94,95ipsec transport................................. 94,95ipsec tunnel ........................................ 92IPv6 ................................................ 125IPv6 over IPv4 隧道................................ 130IP 地址 ................................................ 8IP 地址掩蓋.......................................... 85IP 偽裝(IP Masquerade)........... 36,75,110,114isdn callback permit ............................... 24isdn callback request.............................. 24isdn local address 13,15,17,19,20,22,24,26,29
~ 31,33,36,71,74,81,84,91,94isdn remote address 13,15,17,19,20,22,24,26,
29,30,31,36,71,74,81,84,91,92,94,95
line type ......... 49,51,104,112,117,119,122login timer ........................................... 9
MP ................................................... 14
nat descriptor address inner 104,107,109,113,114nat descriptor address outer 104,107,109,110,113,
114nat descriptor static............................. 109nat descriptor type 36,104,106,109,110,112,114NAT 描述符.......................................... 105
OSPF .......................................... 115,175ospf area ........................ 117,119,122,123ospf configure refresh................ 117,119,122ospf import from .................................. 123ospf use ......................... 117,119,122,123
PAP .................................... 36,65,66,67PING ................................................. 45pp auth accept...................................... 36pp auth myname...................................... 36pp auth request..................................... 33pp auth username ................................... 33pp bind 13,15,17,19,20,22,24,26,29~ 31,33,
36,49,51,71,74,81,84,91,92,94,95,104,117,119,122,124
pp disable ............................................ 8pp enable 9,13,15,17,19,20,22,24,26,29,30,
32,34,36,71,74,81,84,91,92,94,95,104,113,117,119,122,124
pp encapsulation .................................. 122pp select 13,15,17,19,20,22,24,26,29,30,31,
33,36,38 ~ 47,49,51,71,74,81,84,91,92,94,95,104,113,117,119,122,124
ppp ipcp ipaddress ...................... 36,117,119ppp mp use .......................................... 15PPPoE............................. 163,165,180,203pri leased channel ................................ 123Proxy ARP ....................................... 25,27
restart....................................... 104,113RIP ............................................ 47,123rip .................................................. 17
索引
266
rip use ........................................ 17,123
save 9,10,13,15,17,19,20,22,24,26,29,30,32,34,36,38 ~ 47,49,51,71,74,81,84,92,94,95,102,104,107,109,111,113,114,117,119,122
security class ................................. 94,95show command ......................................... 8SNMP ................................................. 43
syslog host .................................... 49,51syslog notice .................................. 49,51
TELNET ........................................... 7,44tunnel enable ....................................... 92tunnel select .................................. 91,92
VPN ................................ 96,167,170,203VRRP .......................................... 134,176
安全 ............................................. 9,11
幫助 .................................................. 8備份 ................................................ 178本地路由器.......................................... 101撥號 VPN ............................................. 96不揮發存儲器(NVRAM)............................... 9
傳輸模式............................................. 93
登錄密碼.............................................. 9帶寬控制...................................... 154,170動態 IP 偽裝(IP Masquerade)..................... 112多宿主(Multihoming)............................. 149
公開服務器........................ 190,194,196,198關機觸發............................................ 138管理員密碼......................................... 8,9管理員用戶............................................ 8過濾 ........................................ 37,53,63
檢測非法訪問 ........................................ 63靜態 NAT 轉換 ....................................... 108
控制台 ................................................ 9寬帶連接............................................ 180
命令參考............................................. 10默認路由........................................ 20,26默認值 ............................................... 10
隧道模式............................................. 90
一般用戶.............................................. 8因特網 ...................................... 37,48,50冗余結構...................................... 135,138優先控制...................................... 167,154
幀中繼 .............................................. 120
267
WH34890 0605 Printed in Japan
Network Equipment
Rev.8.03, Rev.9.00, Rev.10.01
Netw
ork Equipm
ent
