在远程接入专题的最后我们介绍时下在个人用户和小企业中非常流行的ADSL拨号方式的配置方法。
配置命令:
config t 进入路由器配置模式
vpdn enable 启用VPDN
no vpdn logging 由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VPDN的功能。
vpdn-group pppoe 为PPPoE启动VPDN的进程
request-dialin
protocol pppoe
protocol pppoe
设置拨号协议为PPPoE
interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip address 192.168.0.1 255.255.255.0
设置公司内部网络地址
ip nat inside 启用NAT转换,设置Fa0端口为内部网络,从内部网络收到数据的源地址转换为公网地址
interface ATM0 设置ADSL接口
no ip address 由于一般是自动获得IP地址所以不要设置IP
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
hold-queue 224 in
bundle-enable
dsl operating-mode auto
hold-queue 224 in
interface ATM0.1 point-to-point
由于ADSL的通讯依靠VC,所以必须设定点到点VC。
pvc 8/35 设置PVC的相关参数,即VCI和VPI的值,如果你不清楚可以问当地电信。
pppoe-client dial-pool-number 1 PPPoE拨号进程使用了常规的拨号进程dial-pool 1
interface Dialer1 建立一个虚拟拨号端口
ip address negotiated 由于局端提供动态地址,所以这里设定地址为自动协商获得,而不是手动设置。
ip mtu 1492 修改mtu值以适用于ADSL网络,默认为1500我们要修改为1492,这点要特别注意,不修改有可能出现丢包现象。
ip nat outside 启用NAT转换,设置外网端口为外部网络
encapsulation ppp 使用PPP的帧格式
dialer pool 1
ppp authentication pap callin
设置拨号的验证方式为pap而不是chap
ppp pap sent vip pass vip 发送用户名和密码,ADSL的拨号用户名为VIP,密码也为VIP,这里按照实际填写。
ip nat inside source list 1 interface Dialer1 overload 设置了NAT的转换方式,使用了dialer 1端口的动态地址
ip classless 无类IP识别子网
ip route 0.0.0.0 0.0.0.0 dialer1 添加一条缺省路由将所有不可路由的数据报转发给ADSL线路。
no ip http server
access-list 1 permit 10.92.1.0 0.0.0.255
access-list 1 permit 10.92.1.0 0.0.0.255
设置ACL供NAT转换时进行过滤
总结:设置完毕后我们就可以通过路由器启用PPPOE连接ADSL了,这种方便简单廉价的上网方式为我们工作学习带来了巨大的帮助。
#p#
列表A可以查看我的配置实例。
| ciscotermserver#sh run Building configuration... Current configuration : 2656 bytes ! version 12.3 service timestamps debug uptime service timestamps log uptime service password-encryption ! hostname ciscots ! boot-start-marker boot-end-marker ! enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX ! username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX no aaa new-model ip subnet-zero no ip domain lookup ip host internet 2016 10.253.100.19 ip host gig_switch3 2015 10.253.100.19 ip host dmz_switch 2013 10.253.100.19 ip host pix 2012 10.253.100.19 ip host gig_switch2 2006 10.253.100.19 ip host dbunbii 2003 10.253.100.19 ip host up_switch1 2004 10.253.100.19 ip host gig_switch1 2005 10.253.100.19 ip host core 2002 10.253.100.19 ip host ras 2011 10.253.100.19 ip host router8 2009 10.253.100.19 ip host up_stack1 2007 10.253.100.19 ! ! ! ! interface Ethernet0 ip address 10.253.100.19 255.255.0.0 ! interface Serial0 no ip address shutdown ! interface Serial1 no ip address shutdown ! no ip http server no ip classless ! ! ! ! line con 0 line 1 session-timeout 30 exec-timeout 0 0 no exec transport input telnet line 2 session-timeout 30 location CORE exec-timeout 0 0 no exec transport input telnet line 3 session-timeout 30 location DBUNBII exec-timeout 0 0 no exec transport input telnet line 4 session-timeout 30 location UP_SWITCH1 exec-timeout 0 0 no exec transport input telnet line 5 session-timeout 30 location GIG_Switch4 exec-timeout 0 0 no exec transport input telnet line 6 session-timeout 30 location GIG_SWITCH2 exec-timeout 0 0 no exec transport input telnet line 7 session-timeout 30 location UP_STACK1 exec-timeout 0 0 no exec transport input telnet line 8 session-timeout 30 exec-timeout 0 0 no exec transport input telnet line 9 session-timeout 30 location ROUTER8 exec-timeout 0 0 no exec transport input telnet line 10 session-timeout 30 exec-timeout 0 0 no exec transport input telnet line 11 session-timeout 30 location RAS exec-timeout 0 0 no exec transport input telnet speed 38400 line 12 session-timeout 30 location PIX exec-timeout 0 0 no exec transport input telnet line 13 session-timeout 30 location DMZ_SWITCH exec-timeout 0 0 no exec transport input telnet line 14 session-timeout 30 exec-timeout 0 0 no exec transport input telnet line 15 session-timeout 30 location GIG_SWITCH3 exec-timeout 0 0 no exec transport input telnet line 16 session-timeout 30 location INTERNET exec-timeout 0 0 no exec transport input telnet line aux 0 line vty 0 4 exec-timeout 60 0 login local ! end ciscotermserver# |
管理多个连接
在Telnet到控制台服务器并连接到这些设备后,你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。
在Telnet到控制台服务器并连接到这些设备后,你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。
按照如下步骤进行操作:
1、在命令行中输入主机名称,即使用一个IP主机Telnet到你已经配置过的设备上。这是1号连接。
2、在没有断开连接的情况下回到命令行,按下[Ctrl]+[Shift]+6,然后按下x。这将显示控制台服务器提示符。
3、在这里,你就可以通过从ip主机列表中键入其主机名称来Telnet到另一设备。这是2号连接。
4、一旦连接到了该路由器,再次按下[Ctrl]+[Shift]+6,还有x。这将返回到控制台提示符。
5、输入show sessions。该命令将列出你的当前会话。例如,你有了两个会话:一个到第一台路由器,一个到第二台。如果要取消其中某个会话,你可以输入disconnect X,其中X即为连接号码(例如1或2)。
6、要转到某个会话,输入session number(同样,1或2)即可。如果在空命令行中直接回车也可以把你带回到上一个session。
注意:当你尝试在ip host命令中输入所赋予名称来回到已有的一个会话中,系统将返回"Connection refused by remote host.", 这表明要么你已经有了一个连接,要么有其他人已经连接到控制端口上了。
平衡易用性和安全性
需要牢记,安全性和易用性始终是一对矛盾。就像对机场而言,越安全,则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。
需要牢记,安全性和易用性始终是一对矛盾。就像对机场而言,越安全,则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。
有时你会把所有的鸡蛋放在一个篮子里面——在这样的情况下,所有到核心网络设备的访问都是连接到相同的控制台服务器上的——这时安全是头等大事。你应当始终为所有网络设备设置控制台密码。如果入侵者获取了控制台服务器的访问权限,他将仅仅能够访问没有设置控制台认证的设备。
此外,你还应当对这些服务器的控制端口设置超时。这样一来如果连接断开,那么控制台将会在几秒中内注销登录信息。
或许你在考虑如果网络崩溃了你如何才能Telnet到控制台服务器,这的确是应该想到的。你可以在控制台服务器安装一个拨号调制解调器,在最坏的情况下通过这一设备远程拨号到控制台服务器上。另一方面,全世界的安全管理专家都会谴责这一解决方案。因为尽管它或许很方便,但它使得你的核心网络设备对全世界所有的拨号黑客们大开城门。
最后,需要记住在网络上的任何Telnet通信都是没有加密的。因此,在本例中我们在网络上所传输的核心网络设备用户名和密码都是明文。但你可以使用SSH而非Telnet来完成相同的工作。同时还要强调一次,你需要根据企业的具体需要来在易用性和安全性之间找出一个平衡点。
