省赛样题解析(非官方)


2022年山东省职业院校技能大赛

高职组“网络系统管理”赛项样卷



模块C  Linux环境

 

 

 

 

 

 

 

 

 

 


“网络系统管理”赛项专家组

2022年10月




目录


一、 竞赛简介................................................................................................................ 1

二、 竞赛注意事项......................................................................................................... 1

三、 竞赛结果文件的提交.............................................................................................. 1

四、 初始化环境............................................................................................................ 1

五、 初始化环境............................................................................................................ 1

1.默认账号及默认密码............................................................................................. 1

2.操作系统配置........................................................................................................ 2

六、 项目任务描述......................................................................................................... 2

1.拓扑图................................................................................................................... 2

2.基本配置............................................................................................................... 4

3.任务需求............................................................................................................... 4

CLIENT TASK................................................................................................... 5

RSERVER TASK................................................................................................ 5

SERVER01 TASK............................................................................................... 6

SERVER02 TASK............................................................................................... 8

SERVER03 TASK............................................................................................... 9

SERVER04 TASK............................................................................................. 10





一、   竞赛简介

1.   请认真阅读以下指引!

2.   比赛共4个小时,你必须自行决定如何分配你的时间。

3.   当比赛结束时,离开时请不要关机您的虚拟机。

4.   如果没有明确要求,请使用“Chinaskills22”作为默认密码。

5.   本模块所有的系统为已经安装的最基本的系统状态,客户端带桌面。

二、   竞赛注意事项

1.   竞赛所需的硬件、软件和辅助工具由组委会统一布置,选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。

2.   请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。

3.   操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,不要拆动硬件连接。

4.   比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。

5.   裁判以各参赛队提交的竞赛结果文档为主要评分依据。所有提交的文档必须按照赛题所规定的命名规则命名,不得以任何形式体现参赛院校、工位号等信息。

三、   竞赛结果文件的提交

按照题目要求,提交符合模板的WORD文件以及对应的PDF文件(利用Office Word另存为pdf文件方式生成pdf文件),所有截图建议除了配置文件截图外,还需要截功能测试的图,能在终端上测试的就一定要在终端上测试并截图,否则功能测试部分不得分。

四、   初始化环境

五、      初始化环境

1.默认账号及默认密码

Username:  root

Password: ChinaSkill22!

Username: skills

Password: ChinaSkill22!

注:若非特别指定,所有账号的密码均为

2.操作系统配置

所处区域:CST + 8

系统环境语言:English US (UTF-8)

键盘:English US

注意:当任务是配置TLS,请把根证书或者自签名证书添加到受信任区。

控制台登陆后不管是网络登录还是本地登录 ,都按下方欢迎信息内容显示

*********************************

ChinaSkills 2022 – CSK

Module C Linux


>>hostname<<

>>Linux Version<<

>> TIME <<

*********************************

六、      项目任务描述

某公司要为员工提供便捷、安全稳定内外网络服务,你作为一个公司网络系统管理员,负责公司网络系统管理,请根据网络拓扑、基本配置信息和服务需求完成网络服务安装与测试,网络拓扑图和基本配置信息如下:

1.拓扑图

 




 

2.基本配置

服务器和客户端基本配置如下表,各虚拟机已预装系统。

Device

Hostname

System

FQDN

IP Address

Service

Server01

Server01

Centos

Server01.sdskills.cn

172.16.100.201

RAID5

NFS

DNS

Webserver

SSH

DBMS

Server02

Server02

Centos

Server02.sdskills.cn

172.16.100.202

Ftp(vsftpd)

MAIL(postfix,dovecot)

SSH

SDN

Server03

Server03

UOS

Server03.skills.cn

192.168.10.3

Ntp(chrony),

SSH

Server04

Server04

UOS

Server04.skills.cn

192.168.10.X

DNS

Webserver

SSH

LDAP

Rserver

Rserver

Centos

Rserver.skills.cn

Rserver.sdskills.cn

172.16.100.254

192.168.10.2

10.10.100.254

proxy(squid)

firewall(iptables)

shellscript(bash)

CA

SSH

Dhcp

Client

Client

Centos


10.10.100.x

none

网络:

Network

CIDR

office

10.10.100.0/24

service

172.16.100.128/25

internet

192.168.10.0/28

3.任务需求

任务设备:Client,Rserver,servr01,server02,server03,server04。

注意:若题目中未明确规定,请使用默认配置。

CLIENT TASK

1.Client相关任务,具体要求如下:

•          要求能访问所有服务器,用于测试应用服务。

•          请为该主机安装支持GNOME桌面环境。

•          调整显示分辨率至1280x768;

•          测试DHCP,该主机网卡IPv4地址为自动获取;

•          测试dns,安装dnsutils、dig 命令行工具;

•          测试web,安装firefox 浏览器, curl 命令行测试工具,在任何时候进行访问测试时不允许弹出安全警告信息;

•          测试ssh,安装ssh 命令行工具;

•          测试ftp,安装ftp命令行客户端工具;

•          测试文件共享,安装Samba命令行客户端工具;

•          测试mail,安装thunderbird,并能正常进行邮件收发;

•          其他设定均采用默认设定。

RSERVER TASK

1.NETWORK

•          请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名等。

2.Squid

•          安装squid服务,开启路由转发,为当前实验环境提供路由功能;

3.Iptables

•          默认阻挡所有流量

•          添加必要的NAT规则和流量放行规则,正常情况下Internet网络不能访问office网络,满足使所有要求中的服务正常提供工作。


4.DHCP

•          Client Pool;

•          为客户端分配IP范围是10.10.100.1-10.10.100.50;

•          DNS:按照实际需求配置DNS服务器地址选项;

•          GATEWAY:按照实际需求配置网关地址选项。

5.SSH

•          安装SSH

•          仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;

•          配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为2222,并且拥有root控制权限。

6.CA

•           CA根证书路径/CA/cacert.pem;

•           签发数字证书,颁发者信息:

国家

单位  Inc

组织机构

公用名

7.Shellscript(bash)

•           安装bash服务

•           服务监控脚本:/shells/chkWeb.sh

Ÿ   在Rserver上编写脚本监控公司的网站运行情况;

Ÿ   脚本可以在后台持续运行;

Ÿ   每隔3S检查一次网站的运行状态,如果发现异常尝试3次;

Ÿ   如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面。

SERVER01 TASK

1.NETWORK

Ÿ   请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。

2.RAID5

Ÿ   在虚拟机上添加 4 个 1G 的硬盘;

Ÿ   创建 raid5,其中一个作为热备盘, 设备名为

Ÿ   将 md0 设置为 LVM,设备为/dev/vg01/lv01;

·      格式化为 ext4 文件系统;

·      开机自动挂载到/data 目录。

3.NFS

Ÿ   共享/data/share目录;

Ÿ   用于存储server01主机的web数据;

Ÿ   仅允许service网段访问该共享。

4.DNS(bind)

Ÿ   安装DNS服务相关软件包;

Ÿ   建立sdskills.cn域,为所有除Internet区域的主机或服务器建立正\反的域名解析。

Ÿ   当出现无法解析的域名时,向域skills.cn申请更高层次的解析。


5.Webserver(apache)

·         安装web服务相关软件包;

Ÿ   由Server01提供www.sdskills.cn

Ÿ   skills公司的门户网站;

Ÿ   使用apache服务;

Ÿ   网页文件放在/data/share/htdocs/skills;

Ÿ   服务以用户webuser运行;

Ÿ   首页内容为“This is the front page of sdskills's website.”;

Ÿ   /htdocs/skills/staff.html内容为“Staff Information”;

Ÿ   该页面需要员工的账号认证才能访问;

·         员工账号存储在ldap中,账号为zsuser、lsus

Ÿ   网站使用https协议;

Ÿ   SSL使用RServer颁发的证书, 颁发给:

C = CN

ST = China

L = ShangDong

O = skills

OU = Operations Departments

CN = *.skills.cn

Ÿ   Sever01的CA证书路径:/CA/cacert.pem

Ÿ   签发数字证书,颁发者:

C = CN;

O =  Inc

OU = www.skills.cn

CN = skill Global Root CA

Ÿ   客户端访问https时应无浏览器(含终端)安全警告信息;

Ÿ   当用户使用http访问时自动跳转到https安全连接;

Ÿ   当用户使用sdskills.cn或any.sdskills.cn(any代表任意网址前缀)访问时,自动跳转到www.sdskills.cn

6.SSH

Ÿ   安装SSH

Ÿ   仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;

Ÿ   配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为1122,并且拥有root控制权限。

7.Web Proxy

Ÿ   安装Nginx组件;

Ÿ   配置文件名为proxy.conf,放置在/etc/nginx/conf.d/目录下;

Ÿ   为www.chinaskills.cn配置代理前端,通过HTTPS的访问访问后端Web服务器;

Ÿ   后端服务器日志内容需要记录真实客户端的IP地址。

Ÿ   缓存后端Web服务器上的静态页面。

Ÿ   创建服务监控脚本:/shells/chkWeb.sh

Ÿ   编写脚本监控公司的网站运行情况;

Ÿ   脚本可以在后台持续运行;

Ÿ   每隔3S检查一次网站的运行状态,如果发现异常尝试3次;

Ÿ   如果确定网站无法访问,则返回用户“网站正在维护中,请您稍后再试”的页面;

8.Discuz!论坛系统

Ÿ   在该服务器上部署LNMP架构,然后部署Discuz!论坛系统,论坛网站根目录为/data/web_data;

Ÿ   数据库用户名为mysql,管理员信息自定义,实现通过http://www.rj.com/discuz能够登录论坛网站后台查看站点系统信息。

9.Mariadb Backup Script

Ÿ   脚本文件:/shells/mysqlbk.sh;

Ÿ   备份数据到/root/mysqlbackup 目录;

Ÿ   备份脚本每隔30分钟实现自动备份;

Ÿ   导出的文件名为 all-databases-20210213102333, 其中 20210213102333 为运行备份脚本的当前时间, 精确到秒。


SERVER02 TASK

1.NETWORK

·        请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。


2.Ftp(vsftpd)

·        使用ftp服务上传网页代码;

·        使用vsftpd服务;

·        ftp的上传文件根目录即为web服务器的网站根目录;

·        ftp登录的用户为ftpuser;

·        通过ftp上传的文件用户为webuser, 文件权限为644,目录权限为755。

3.MAIL

·        Postfix;

•          sdskill.cn 的邮件发送服务器

•          支持smtps(465)协议连接,使用Rserver颁发的证书,证书路径/CA/cacert.pem

•          创建邮箱账户“user1~user99”(共99个用户),密码为Chinaskill20!。

·        Dovecot;

•          sdskill.cn 的邮件接收服务器;

•          支持imaps(993)协议连接,使用Rserver颁发的证书,证书路径/CA/cacert.pem;

•          请保留至少两个用户已成功登录并能正常收发邮件,以方便测试。

4.SSH

•          安装SSH

•          仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;

•          配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为4444,并且拥有root控制权限。

5.SDN服务

•          安装opendaylight、mininet、Ovs软件平台。。

•          使用Mininet和OpenVswitch构建拓扑,采用采用OVSK交换机格式,端口6653,采用openflow1.3协议,构造如下拓扑:

•          通过OVS在S1下发一条流表实现H1与H2可以互通,H3与H4可以互通,但H1、H2与H3、H4间不可以连通;

•          用iperf工具测试H1和H2的带宽。


SERVER03 TASK

1.NETWORK

•          请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。

2.chrony

•           chrony为全网提供时间同步服务器;

•           Server01、Server02、Server04、Client和Rserver应定期与其校正时间;

•           每隔1分钟自动校正一次时间。

3.SSH

•          安装SSH;

•          仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;

•          配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为2233,并且拥有root控制权限。

SERVER04 TASK

 

1.NETWORK

•          请根据基本配置信息配置服务器的主机名,网卡IP地址配置、域名服务器、网关等。

2.DNS(bind)

•          安装DNS服务相关软件包;

•          为域skills.cn提供必要的域名解析;

•          当非skills.cn域的解析时,统一解析到Rserver连接Internet网段的IP地址或Rserver.skills.cn

3.Webserver(apache2)

Ÿ   提供www.skills.cn

Ÿ   skills公司的门户网站;

l   使用apache服务;

Ÿ   网页文件放在/htdocs/skills;

Ÿ   服务以用户webuser运行;

Ÿ   首页内容为“This is the front page of skills's website.”;

Ÿ   /htdocs/sdskills/staff.html内容为“Staff Information”;

Ÿ   该页面需要员工的账号认证才能访问;

·         员工账号存储在ldap中,账号为zsuser、lsus

Ÿ   网站使用https协议;

Ÿ   SSL使用RServer颁发的证书, 颁发给:

C = CN

ST = China

L = ShangDong

O = skills

OU = Operations Departments

CN = *.skills.cn

Ÿ   Rserver的CA证书路径:/CA/cacert.pem

Ÿ   签发数字证书,颁发者:

C = CN;

O =  Inc

OU = www.skills.cn

CN = skill Global Root CA

Ÿ   客户端访问https时应无浏览器(含终端)安全警告信息;

Ÿ   当用户使用http访问时自动跳转到https安全连接;

Ÿ   当用户使用skills.cn或any.skills.cn(any代表任意网址前缀)访问时,自动跳转到www.skills.com

4.SSH

•          安装SSH;

•          仅允许client客户端进行ssh访问,其余所有主机的请求都应该拒绝;

•          配置client只能在Chinaskill22用户环境下可以免秘钥登录,端口号为3344,并且拥有root控制权限。


5.LDAP

Ÿ   安装openldap,为apache服务提供账户认证;

Ÿ   创建chinaskills.cn目录服务,并创建用户组ldsgp ,将zsuser、lsusr、wuusr。

 

(二)

S5(config-if-GigabitEthernet 0/10)#int gi 0/11
S5(config-if-GigabitEthernet 0/11)#switchport protected 
S5(config-if-GigabitEthernet 0/11)#int gi 0/12          
S5(config-if-GigabitEthernet 0/12)#switchport protected 
S5(config-if-GigabitEthernet 0/12)#int gi 0/13          
S5(config-if-GigabitEthernet 0/13)#switchport protected 
S5(config-if-GigabitEthernet 0/13)#int gi 0/14         
S5(config-if-GigabitEthernet 0/14)#switchport protecte 
S5(config-if-GigabitEthernet 0/14)#int gi 0/15        
S5(config-if-GigabitEthernet 0/15)#switchport protecte
S5(config-if-GigabitEthernet 0/15)#
S6(config)#int gi 0/10
S6(config-if-GigabitEthernet 0/10)#sw
S6(config-if-GigabitEthernet 0/10)#switchport pr
S6(config-if-GigabitEthernet 0/10)#switchport protected 
S6(config-if-GigabitEthernet 0/10)#int gi 0/11          
S6(config-if-GigabitEthernet 0/11)#switchport protected 
S6(config-if-GigabitEthernet 0/11)#int gi 0/12          
S6(config-if-GigabitEthernet 0/12)#switchport protected 
S6(config-if-GigabitEthernet 0/12)#int gi 0/13          
S6(config-if-GigabitEthernet 0/13)#switchport protected 
S6(config-if-GigabitEthernet 0/13)#int gi 0/14         
S6(config-if-GigabitEthernet 0/14)#switchport protected
S6(config-if-GigabitEthernet 0/14)#int gi 0/15         
S6(config-if-GigabitEthernet 0/15)#switchport protected 
S6(config-if-GigabitEthernet 0/15)#
S5(config)#spanning-tree 
S5(config)#int range gi 0/1-4
S5(config-if-range)#spanning-tree bpduguard enable 
S5(config-if-range)#spanning-tree portfast
S6#con
Enter configuration commands, one per line.  End with CNTL/Z.
S6(config)#int range gi 0/1-16
S6(config-if-range)#ex    
S6(config)#spa
S6(config)#spanning-tree 
Enable spanning-tree.
S6(config)#spanning-tree  
S6(config)#int range gi 0/1-16
S6(config-if-range)#spanning-tree bpduguard enable  
S6(config-if-range)#spanning-tree portfast
S6(config)#rldp enable 
S6(config)#int gi 0/13
S6(config-if-GigabitEthernet 0/13)#rldp port loop-detect shutdown-port 
S6(config-if-GigabitEthernet 0/13)#exit
S5(config)#errdisable recovery interval 300

S6(config)#errdisable recovery interval 300
S6(config)#ip dhcp snooping 
S6(config)#int range gi 0/23-24
S6(config-if-range)#ip dhcp snooping trust
Ruijie(config)#interfac GigabitEthernet 0/3

Ruijie(config-if-GigabitEthernet 0/3)# switchport port-security binding 192.168.1.2  ------>把ip地址是192.168.1.2的终端定在交换机的Gi0/3接口

Ruijie(config-if-GigabitEthernet 0/3)#switchport port-security   ------>开启端口安全功能
S3:
spanning-tree
spanning-tree mst configuration 
instance 1 vlan 1,10,20,30,40,100
 revision 1
 name test
 instance 0 vlan 2-9, 11-19, 21-29, 31-39, 41-99, 101-4094
 instance 1 vlan 1, 10, 20, 30, 40, 100
 exit
spanning-tree mst 1 priority 8192
spanning-tree mst 0 priority 4096
S4:
spanning-tree
spanning-tree mst configuration 
instance 1 vlan 1,10,20,30,40,100
 revision 1
 name test
 instance 0 vlan 2-9, 11-19, 21-29, 31-39, 41-99, 101-4094
 instance 1 vlan 1, 10, 20, 30, 40, 100
 exit
spanning-tree mst 0 priority 8192
spanning-tree mst 1 priority 4096

VLAN

VRRP备份组号(VRID)

VRRP 虚拟IP

VLAN10

10

193.1.10.254

VLAN20

20

193.1.20.254

VLAN30

30

193.1.30.254

VLAN40

40

193.1.40.254

VLAN100(交换机间)

100

193.1.100.254

S3:
vlan 10
vlan 20
vlan 30
vlan 100
interface vlan 10
ip address 193.1.10.252 255.255.255.0
vrrp 10 ip 193.1.10.254
vrrp 10 priority 120

interface vlan 20
ip address 193.1.20.252 255.255.255.0
vrrp 20 ip 193.1.20.254
vrrp 20 priority 120

interface vlan 30
ip address 193.1.30.252 255.255.255.0
vrrp 30 ip 193.1.30.254
vrrp 30 priority 120

interface vlan 40
ip address 193.1.40.252 255.255.255.0
vrrp 40 ip 193.1.40.254
vrrp 40 priority 120

interface vlan 100
ip address 193.1.100.252 255.255.255.0
vrrp 100 ip 193.1.100.254
vrrp 100 priority 120
S4:
vlan 10
vlan 20
vlan 30
vlan 100
interface vlan 10
ip address 193.1.10.253 255.255.255.0
vrrp 10 ip 193.1.10.254
vrrp 10 priority 150

interface vlan 20
ip address 193.1.20.253 255.255.255.0
vrrp 20 ip 193.1.20.254
vrrp 20 priority 150

interface vlan 30
ip address 193.1.30.253 255.255.255.0
vrrp 30 ip 193.1.30.254
vrrp 30 priority 150

interface vlan 40
ip address 193.1.40.253 255.255.255.0
vrrp 40 ip 193.1.40.254
vrrp 40 priority 150

interface vlan 100
ip address 193.1.100.253 255.255.255.0
vrrp 100 ip 193.1.100.254
vrrp 100 priority 150
S2
switch virtual domain 1
switch 2 priority 150
switch 2 description S6000-2
exit
vsl-port
port-member interface TenGigabitEthernet 0/51
port-member interface TenGigabitEthernet 0/52
end
switch convert mode virtual
S1
switch virtual domain 1
switch 1 priority 120
switch 1 description S6000-1
exit
vsl-port
port-member interface TenGigabitEthernet 0/51
port-member interface TenGigabitEthernet 0/52
end
switch convert mode virtual
S2:
int gi 1/0/47
no switchport
exit
int gi 2/0/47
no switchport
exit
switch virtual domain 1
dual-active detection bfd
dual-active bfd interface gi1/0/47
dual-active bfd interface gi2/0/47
exit
R1:
router ospf 10
 network 10.1.0.8 0.0.0.3 area 0
 network 11.1.0.1 0.0.0.0 area 0
 network 12.1.0.0 0.0.0.255 area 0
 network 13.1.0.0 0.0.0.255 area 0
S2/S1:
rou ospf 10
net 192.1.20.0 0.0.0.255 area 0
net 192.1.30.0 0.0.0.255 area 0
net 192.1.100.0 0.0.0.255 area 0
net 10.1.0.9 0.0.0.3 area 0
net 11.1.0.31 0.0.0.0 area 0
AC1:
router ospf 10
 network 11.1.0.21 0.0.0.0 area 0
 network 192.1.100.0 0.0.0.255 area 0
AC2:
router ospf 10
network 11.1.0.22 0.0.0.0 area 0
network 192.1.100.0 0.0.0.255 area 0
EG1:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 11.1.0.11 0.0.0.0 area 0
S3:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 193.1.10.0 0.0.0.255 area 0
network 193.1.20.0 0.0.0.255 area 0
network 193.1.30.0 0.0.0.255 area 0
network 193.1.40.0 0.0.0.255 area 0
network 193.1.100.0 0.0.0.255 area 0
S4:
router ospf 10
network 10.1.0.0 0.0.0.255 area 0
network 11.1.0.34 0.0.0.0 area 0
network 193.1.10.0 0.0.0.255 area 0
network 193.1.20.0 0.0.0.255 area 0
network 193.1.30.0 0.0.0.255 area 0
network 193.1.40.0 0.0.0.255 area 0
network 193.1.100.0 0.0.0.255 area 0
EG2:
ip route 0.0.0.0 0.0.0.0 10.1.0.22
ip route 11.1.0.3 255.255.255.255 10.1.0.22
ip route 11.1.0.35 255.255.255.255 10.1.0.13
S5(config)#ip rout 0.0.0.0 0.0.0.0 10.1.0.14
S5(config)#ip rout 11.1.0.3 255.255.255.255 10.1.0.14
S5(config)#ip rout 11.1.0.12 255.255.255.255 10.1.0.14

12

R1(config)#rou ospf 10
R1(config-router)#passive-interface vlan 10   
R1(config-router)#passive-interface vlan 20
R1(config-router)#passive-interface vlan 30
S2(config)#rou ospf 10
S2(config-router)#passive-interface vlan 20
S2(config-router)#passive-interface vlan 30
S2(config-router)#passive-interface vlan 100
S2(config-router)#passive-interface gi 2/0/1
AC1(config)#rou ospf 10
AC1(config-router)#passive-interface vlan 100
AC2(config)#rou ospf 10
AC2(config-router)#passive-interface vlan 100
EG1(config)#rou ospf 10
EG1(config-router)#passive-interface gi 0/1
EG1(config-router)#passive-interface gi 0/2
EG1(config-router)#passive-interface gi 0/3
S3(config)#rou ospf 10
S3(config-router)#passive-interface vlan 10
S3(config-router)#passive-interface vlan 20
S3(config-router)#passive-interface vlan 30
S3(config-router)#passive-interface vlan 40
S3(config-router)#passive-interface vlan 100
S3(config-router)#passive-interface gi 0/24
S4(config)#rou ospf 10
S4(config-router)#passive-interface vlan 10
S4(config-router)#passive-interface vlan 20
S4(config-router)#passive-interface vlan 30
S4(config-router)#passive-interface vlan 40
S4(config-router)#passive-interface vlan 100
S4(config-router)#passive-interface gi 0/24
S4(config)#rou ospf 10       
S4(config-router)#router-id 11.1.0.34
S4(config-router)#default-information originate 

S3(config)#rou ospf 10
S3(config-router)#router-id 11.1.0.33
S3(config-router)#default-information originate 

EG1(config)#rou ospf 10
EG1(config-router)#router-id 11.1.0.11
EG1(config-router)#default-information originate 

AC2(config)#rou ospf 10
AC2(config-router)#router-id 11.1.0.22
AC2(config-router)#default-information originate 

AC1(config)#rou ospf 10
AC1(config-router)#router-id 11.1.0.21
AC1(config-router)#default-information originate 

S2(config)#rou ospf 10
S2(config-router)#router-id 11.1.0.31
S2(config-router)#default-information originate 

S2(config)#ip rout 0.0.0.0 0.0.0.0 loopback 0
S2(config-router)#rou ospf 10
S2(config-router)#redistribute static metric-type 1 subnets
R1(config-if-Loopback 0)#rou bgp 100
R1(config-router)#neighbor  11.1.0.2 remote-as 100      
R1(config-router)#neighbor  11.1.0.2 update-source lo 0
R1(config-router)#redistribute ospf 10 
R1(config-router)#neighbor  11.1.0.3 remote-as 100          
R1(config-router)#neighbor  11.1.0.3 update-source lo 0
R1(config-router)#redistribute ospf 10
R1(config-router)#redistribute bgp subnets 
R1(config-router)#
R2(config)#rou bgp 100
R2(config-router)#neighbor 11.1.0.1 remote-as 100
R2(config-router)#neighbor 11.1.0.1 update-source lo 0
R2(config-router)#neighbor 11.1.0.3 remote-as 100     
R2(config-router)#neighbor 11.1.0.3 update-source lo 0
R2(config-router)#redistribute ospf 10
R2(config-router)#rou ospf 10
R2(config-router)#redistribute bgp subnets
R3(config-if-Loopback 0)#rou bgp 100
R3(config-router)#neighbor 11.1.0.1 remote-as 100        
R3(config-router)#neighbor 11.1.0.1 update-source lo 0
R3(config-router)#neighbor 11.1.0.2 remote-as 100     
R3(config-router)#neighbor 11.1.0.2 update-source lo 0
R3(config-router)#redistribute ospf 10
R3(config-router)#rou ospf 10
R3(config-router)#redistribute  bgp subnets
R1(config-router)#rou bgp 100
R1(config-router)#neighbor 11.1.0.2 remote-as 100
R1(config-router)#neighbor 11.1.0.2 update-source loopback 0
R1(config-router)#neighbor 11.1.0.3 remote-as 100       
R1(config-router)#neighbor 11.1.0.3 update-source loopback 0
R2(config-router)#rou bgp 100
R2(config-router)#neighbor 11.1.0.1 remote-as 100
R2(config-router)#neighbor 11.1.0.1 update-source loopback 0
R2(config-router)#neighbor 11.1.0.3 remote-as 100       
R2(config-router)#neighbor 11.1.0.3 update-source loopback 0
R3(config-router)#rou bgp 100
R3(config-router)#neighbor 11.1.0.1 remote-as 100
R3(config-router)#neighbor 11.1.0.1 update-source loopback 0
R3(config-router)#neighbor 11.1.0.2 remote-as 100       
R3(config-router)#neighbor 11.1.0.2 update-source loopback 0
R3(config-router)#redistribute connected 
R3(config-router)#network 11.1.0.0 mask 255.255.255.0
R2(config-router)#net 10.1.0.0 mask 255.255.255.0
R2(config-router)#redistribute connected
S4(config)#int rang vLAN 10,20,30,40,100
S4(config-if-range)#ip ospf cost 5
S3(config)#int range vlan 10,20,30,40,100
S3(config-if-range)#ip ospf cost 10
S6(config)#int rang gi 0/5-16
S6(config-if-range)#rate-limit input 10240 1024
R3(config)#int gigabitEthernet 0/0
R3(config-if-GigabitEthernet 0/0)#rate-limit output 10000000  1024 2048 ction transmit exceed-action drop
R3(config-if-GigabitEthernet 0/0)#$0000  1000000 2000000 conform-action transm$

(三)

EG1(config)#service dhcp
EG1(config)#ip dhcp pool yonghu
EG1(dhcp-config)#exit
EG1(config)#ip dhcp pool yonghu
EG1(dhcp-config)#network 193.1.20.0 255.255.255.0
EG1(dhcp-config)#dns-server 8.8.8.8
EG1(dhcp-config)#default-router 193.1.20.254
EG1(dhcp-config)#exit
EG1(config)#ip dhcp pool AP
EG1(dhcp-config)#network 193.1.10.0 255.255.255.0
EG1(dhcp-config)#dns-server 8.8.8.8
EG1(dhcp-config)#default-router 193.1.10.254
S5(config)#service dhcp
S5(config)#ip dhcp pool Yonghu 
S5(dhcp-config)#network 194.1.20.0 255.255.255.0
S5(dhcp-config)#default-router 194.1.20.254
S5(dhcp-config)#dns-server 5.5.5.5
S5(dhcp-config)#exit
S5(config)#ip dhcp pool ap
S5(dhcp-config)#network 194.1.10.0 255.255.255.0
S5(dhcp-config)#default-router 194.1.10.254 
S5(dhcp-config)#dns-server 5.5.5.5
AC1(config)#vlan 100
AC1(config-vlan)#vlan 10
AC1(config-vlan)#vlan 20
AC1(config-vlan)#int vlan 20
AC1(config-if-VLAN 20)#ip ad 193.1.20.252 255.255.255.0
AC1(config-if-VLAN 20)#vlan 100
AC1(config-vlan)#exit
AC1(config)#wlan-config 1 Test-GZ_66
AC1(config-wlan)#enable-broad-ssid 
AC1(config-wlan)#exit 
AC1(config)#ap-group GZ
AC1(config-group)#interface-mapping 1 20
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 193.1.100.252
AC1(config-if-Loopback 0)#ip ad 11.0.1.22 255.255.255.255
AC1(config-if-Loopback 0)#exit
AC1(config)#vlan 10
AC1(config-vlan)#vlan 20
AC1(config-vlan)#vlan 100
AC1(config-vlan)#int vlan 20
AC1(config-if-VLAN 20)#exit  
AC1(config)#show wlan-config summary 
Total Wlan Num : 1
Wlan id  Profile Name         SSID                 STA NUM 

-------- -------------------- -------------------- --------

1                             Test-GZ_66           0        
AC1(config)#wlan-c                   
AC1(config)#wlan-config 1 Test-GZ_66

AC1(config-wlan)#enable-broad-ssid 
AC1(config-wlan)#exit
AC1(config)#ap-group GZ
AC1(config-group)#int
AC1(config-group)#interface-mapping 1 20
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.31
AC1(config)#no ip rout 0.0.0.0 0.0.0.0 11.1.0.31
AC1(config)#no ip rout 0.0.0.0 0.0.0.0 193.1.100.252
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.11
AC1(config)#int vlan 100
AC1(config-if-VLAN 100)#ip ad 192.1.100.2 255.255.255.0
AC1(config-if-VLAN 100)#int lo 0
AC1(config-if-Loopback 0)#ip ad 11.1.0.21 255.255.255.255
AC1(config-if-Loopback 0)#exit
AC1(config)#int gi 0/1
EG1(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.18
EG1(config)#
AC1(config)#wlan-config 2 Test-JL_01
AC1(config-wlan)#enable-broad-ssid 
AC1(config-wlan)#exit      
AC1(config)#ap-group JL    
AC1(config-group)#interface-mapping 2 20 
AC1(config-group)#exit
AC1(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.35

ip dhcp pool Yonghu
 network 194.1.20.0 255.255.255.0
 dns-server 5.5.5.5 
 default-router 194.1.20.254 
ip dhcp pool ap
 network 194.1.10.0 255.255.255.0
 dns-server 5.5.5.5 
 default-router 194.1.10.254 

S5(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.14
AC2(config)#wlan-config 1 Test-GZ_66
AC2(config-wlan)#exit
AC2(config)#wlan-config 2 Test-JL_01
AC2(config-wlan)#exit
AC2(config)#wlan-config 1 Test-GZ_66
AC2(config-wlan)#enable-broad-ssid 
AC2(config-wlan)#exit
AC2(config)#wlan-config 2 Test-JL_01
AC2(config-wlan)#enable-broad-ssid 
AC2(config-wlan)#exit              
AC2(config)#ap-group GZ
AC2(config-group)#interface-mapping 1 20
AC2(config-group)#interface-mapping 2 20
AC2(config-group)#exit
AC2(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.11
AC2(config)#ip rout 0.0.0.0 0.0.0.0 11.1.0.35


S5(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.14
S5(config)#ip rout 11.1.0.22 255.255.255.255 10.1.0.14

3333

S2(config)#service dhcp
S2(config)#ip dhcp pool AP1
S2(dhcp-config)#network 193.1.10.0 255.255.255.0
S2(dhcp-config)#default-router 193.1.10.254
S2(dhcp-config)#option 138 ip 11.1.0.31
S2(dhcp-config)#exit
S2(config)#ip dhcp pool PC1    
S2(dhcp-config)#network 193.1.20.0 255.255.255.0
S2(dhcp-config)#default-router 193.1.20.254 
S2(dhcp-config)#option 138 ip 11.1.0.31
S2(dhcp-config)#exit
S2(config)#ip rout 11.1.0.21 255.255.255.255 193.1.100.2
S2(config)#ip rout 11.1.0.22 255.255.255.255 193.1.100.3



AC1(config)#wlan-config 1 AP1 
AC1(config)#show wlan-config summary 
Total Wlan Num : 1
Wlan id  Profile Name         SSID                 STA NUM 

-------- -------------------- -------------------- --------

1                             Test-GZ_66           0        
AC1(config)#wlan-config 2 AP1        
AC1(config-wlan)#enable-broad-ssid 
AC1(config-wlan)#exit
AC1(config)#ap-group AP1
AC1(config-group)#interface-mapping 2 10
AC1(config-group)#show  ap-config summary 
========= show ap status =========
Radio: Radio ID or Band: 2.4G = 1#, 5G = 2#
       E = enabled, D = disabled, N = Not exist, V = Virtual AP
       Current Sta number
       Channel: * = Global
       Power Level = Percent

Online AP number: 0
Offline AP number: 0

AP Name                                  IP Address      Mac Address    Radio               Radio               Up/Off time   State

---------------------------------------- --------------- -------------- ------------------- ------------------- ------------- -----

AC1(config-group)#exit
AC1(config)#ap-config PC1



AC2(config)#ap-g
AC2(config)#wlan-config 1 AP1
AC2(config-wlan)#enable-broad-ssid 
AC2(config-wlan)#exit
AC2(config)#vlan 10
AC2(config-vlan)#vlan 20
AC2(config-vlan)#exit
AC2(config)#ap-group AP1
AC2(config-group)#interface-mapping 1 10
AC2(config-group)#exit
AC2(config)#ap-config AP1
AC2(config-ap)#ap-group AP1
AC2(config-ap)#exit
AC2(config)#show wlan-config summary 
AC1(config)#wlan hot-backup 11.1.0.22
AC1(config-hotbackup)#context 10
AC1(config-hotbackup-ctx)#priority level 6
AC1(config-hotbackup-ctx)#ap-group AP1
AC1(config-hotbackup-ctx)#exit
AC1(config-hotbackup)#wlan hot-backup enable 
AC1(config-hotbackup)#show wlan hot-backup
AC2(config)#wlan hot-backup 11.1.0.21
AC2(config-hotbackup)#context 10
AC2(config-hotbackup-ctx)#priority level 7
AC2(config-hotbackup-ctx)#ap-group AP1
AC2(config-hotbackup-ctx)#exit
AC2(config-hotbackup)#wlan hot-backup enable 
AC2(config-hotbackup)#exit
AC2(config)#end
AC2(config)#wlansec 1
AC2(config-wlansec)#security rsn enable 
AC2(config-wlansec)#security rsn ciphers aes enable 
AC2(config-wlansec)#security ren ak 
AC2(config-wlansec)#security rsn akm psk enable 
AC2(config-wlansec)#security rsn akm psk set-key ascii 12345678
AC1(config)#wlansec 1
AC1(config-wlansec)#security rsn enable 
AC1(config-wlansec)#security rsn ciphers aes enable 
AC1(config-wlansec)#security rsn akm psk enable 
AC1(config-wlansec)#security rsn akm psk set-key ascii 12345678
AC1(config)#wlan-config 2
AC1(config-wlan)#wlan-based per-user-limit d
AC1(config-wlan)#wlan-based per-user-limit down-streams a   
AC1(config-wlan)#$ average-data-rate 800 burst-data-rate 1600
AC1(config)#schedule session 1
AC1(config)#schedule session 2
AC1(config)#schedule session 1
AC1(config)#schedule session 1 time-range 1 period Mon to Fri t
AC1(config)#$-range 1 period Mon to Fri time 21:00 to 23:30
AC1(config)#wlan-config 1
AC1(config-wlan)#schedule session 1
AC1(config-wlan)#exit
AC1(config)#sntp enable
AC2(config)#schedule session 1
AC2(config)#schedule session 1 time-range 1 period Mon to Fri t
AC2(config)#$-range 1 period Mon to Fri time 21:00 to 23:30
AC2(config)#wlan-config 1
AC2(config-wlan)#schedule session 1
AC2(config-wlan)#exit
AC2(config)#sntp enable

(四)

广州分布

全网可达配置
EG1(config)#ip rout 193.1.0.0 255.255.0.0 10.1.0.1 
EG1(config)#ip rout 193.1.0.0 255.255.0.0 10.1.0.2
EG1(config)#ip access-list standard ACL110
EG1(config-std-nacl)#permit 10.1.0.0 0.0.255.255
EG1(config-std-nacl)#permit 11.1.0.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.10.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.20.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.30.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.40.0 0.0.0.255
EG1(config-std-nacl)#permit 193.1.100.0 0.0.0.255

配置策略路由
EG1(config)#route-map ACL110 permit 
EG1(config-route-map)#match ip address ACL110
EG1(config-route-map)#set ip next-hop 10.1.0.17
EG1(config-route-map)#ex

应用策略路由
EG1(config)#int gi 0/3
EG1(config-if-GigabitEthernet 0/3)#ip policy route-map ACL110
EG1(config-if-GigabitEthernet 0/3)#exit
EG1(config)#ip rout 11.1.0.34 255.255.255.255 10.1.0.5
EG1(config)#ip rout 11.1.0.33 255.255.255.255 10.1.0.1
S3(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.2
S3(config)#ip rout 11.1.0.11 255.255.255.255 10.1.0.2
S4(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.6
S4(config)#ip rout 11.1.0.11 255.255.255.255 10.1.0.6

吉林分部:

R1(config)#ip rout 12.1.0.0 255.255.255.0 12.1.0.2
R1(config)#ip rout 13.1.0.0 255.255.255.0 13.1.0.3
R1(config)#ip access-list standard ACL110
R1(config-std-nacl)#permit  10.1.0.0 0.0.0.255
R1(config-std-nacl)#per 12.1.0.0 0.0.0.255
R1(config-std-nacl)#permit 13.1.0.0 0.0.0.255
R1(config-std-nacl)#permit 192.1.20.0 0.0.0.255
R1(config-std-nacl)#permit  192.1.30.0 0.0.0.255
R1(config-std-nacl)#permit  192.1.100.0 0.0.0.255 
R1(config-std-nacl)#ex

R1(config)#route-map ACL110 permit 
R1(config-route-map)#match ip address ACL110
R1(config-route-map)#set ip next-hop 12.1.0.2
R1(config-route-map)#set ip next-hop 12.1.0.2
R1(config-if-FastEthernet 1/0)#int vlan 20
R1(config-if-VLAN 20)#ip policy route-map ACL110
R1(config-if-VLAN 20)#int vlan 30
R1(config-if-VLAN 30)#ip policy route-map ACL110
R1(config-if-VLAN 30)#ex

R1(config)#ip rout 11.1.0.31 255.255.255.255 10.1.0.9
R1(config)#ip rout 11.1.0.21 255.255.255.255 10.1.0.9
R1(config)#ip rout 11.1.0.22 255.255.255.255 10.1.0.9

北京本部

EG2(config)#ip rout 10.1.0.0 255.255.255.0 10.1.0.22 
EG2(config)#ip rout 11.1.0.3 255.255.255.255 10.1.0.22

EG2(config)#ip access-list standard ACL110
EG2(config-std-nacl)#permit  10.1.0.0 0.0.0.255
EG2(config-std-nacl)#permit  11.1.0.0 0.0.0.255
EG2(config-std-nacl)#permit 194.1.10.0 0.0.0.255
EG2(config-std-nacl)#permit 194.1.20.0 0.0.0.255
EG2(config-std-nacl)#ex

EG2(config)#route-map ACL110 permit 
EG2(config-route-map)#match ip address ACL110
EG2(config-route-map)#set ip next-hop 10.1.0.22
EG2(config-route-map)#int gi 0/3 
EG2(config-if-GigabitEthernet 0/3)#ip policy route-map ACL110
EG2(config-if-GigabitEthernet 0/3)#ex

EG2(config)#ip rout 11.1.0.35 255.255.255.255 10.1.0.13
EG2(config)#ip access-list extended 102
 10 permit icmp any host 194.1.10.254 
 20 permit icmp any host 194.1.20.254 
 30 permit icmp any host 10.1.0.13 
 40 permit icmp any host 11.1.0.35 
 50 permit tcp any host 10.1.0.18 eq telnet 
 60 permit icmp any 10.1.0.0 0.0.0.255 
 70 permit tcp any host 10.1.0.18 
 80 permit tcp any 194.1.10.0 0.0.0.255 eq telnet 
 90 permit tcp any 194.1.20.0 0.0.0.255 eq telnet 
 100 permit tcp any 10.1.0.0 0.0.0.255 eq telnet 
 110 permit tcp any 11.1.0.0 0.0.0.255 eq telnet 
 120 permit ip any host 194.1.10.254 
 130 permit ip any host 194.1.20.254 
 140 permit ip any host 10.1.0.13 
 150 permit ip any host 11.1.0.35 
 160 permit ip host 14.1.0.3 any 
 170 permit ip host 13.1.0.3 any 
 180 permit ip host 10.1.0.22 any 
 190 permit ip host 11.1.0.3 any 
 
 EG2(config)#ip session filter 102
1、配置总部路由器和各分支路由器,使其能够正常访问互联网
    保证在分支路由器上能够ping通总部路由器外网口公网IP地址。
2、在总部出口路由器上配置动态态IPSEC VPN隧道
(1)配置isakmp策略
crypto isakmp policy 1                //创建新的isakmp策略
 encryption 3des                         //指定使用3DES进行加密
 authentication pre-share            //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
(2)配置预共享密钥
crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0                 //配置预共享密钥为“ruijie”,IPSEC客户端也必须配置相同的密钥。由于对端的 ip地址是动态的,因此使用address 0.0.0.0 0.0.0.0代表所有ipsec客户端
(3)配置ipsec加密转换集
crypto ipsec transform-set myset esp-des esp-md5-hmac    //指定ipsec使用esp封装des加密、MD5检验
(4)配置动态ipsec加密图
crypto dynamic-map dymymap 5             //新建名为“dymymap”的动态ipsec加密图
 set transform-set myset                           //指定加密转换集为“myset”
(5)将动态ipsec加密图映射到静态的ipsec加密图中
crypto map mymap 10 ipsec-isakmp dynamic dymymap   //将动态的“dymymap”ipsec加密图映射至静态ipsec加密图mymap中
(6)将加密图应用到接口
interface GigabitEthernet 0/0
 crypto map mymap
3、在总部路由器上配置路由,将各分支网段路由指向出口
    ip route 192.168.1.0 255.255.255.0 10.0.0.2
ip route 192.168.2.0 255.255.255.0 10.0.0.2
ip route 192.168.3.0 255.255.255.0 10.0.0.2
......
4、在分支路由器上配置静态IPSEC VPN隧道(以分支1为例)
    (1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255  //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic  //配置IPSEC DPD探测功能
crypto isakmp policy 1            //创建新的isakmp策略
authentication pre-share         //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des                      //指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1  //指定peer 10.0.0.1的预共享密钥为“ruijie”,与总部出口路由器上配置的一致。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset  esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1                              //指定peer地址
set transform-set myset                  //指定加密转换集为“myset”
match address 101                         //指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface dialer 0
crypto map mymap 
5、在分支路由器上配置路由,将总部网段路由指向出口
    ip route 192.168.0.0 255.255.255.0 dialer 0
1、配置路由器R1和R2,使R1和R2能够正常访问互联网,并互相能够ping通。
2、在R1配置静态IPSEC VPN隧道
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255  //指定感兴趣流为源地址192.168.0.0/24,目的地址为192.168.1.0/24的网段。
(2)配置isakmp策略
crypto isakmp keepalive 5 periodic  //配置IPSEC DPD探测功能
crypto isakmp policy 1//创建新的isakmp策略
authentication pre-share         //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
group 2     //
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.1  //指定peer 10.0.0.1的预共享密钥为“ruijie”,对端也必须配置一致的密钥。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset  esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.1//指定peer地址
set transform-set myset//指定加密转换集“myset”
match address 101//指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface F0/0
crypto map mymap 
3、在R1配置路由,将局域网2网段路由指向出口
       ip route 192.168.1.0 255.255.255.0 10.0.0.2
4、在R2配置静态IPSEC VPN隧道
(1)配置ipsec感兴趣流
access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255  //指定感兴趣流为源地址192.168.1.0/24,目的地址为192.168.0.0/24的网段。
(2)配置isakmp策略
crypto isakmp policy 1//创建新的isakmp策略
authentication pre-share         //指定认证方式为“预共享密码”,如使用数字证书配置“authentication rsa-sig”,如使用数字信封配置“authentication digital-email”。
encryption 3des//指定使用3DES进行加密
(3)配置预共享密钥
crypto isakmp key 0 ruijie address 10.0.0.2  //指定peer 10.0.0.1的预共享密钥为“ruijie”,对端也必须配置一致的密钥。如使用数字证书/信封认证则无需配置。
(4)配置ipsec加密转换集
crypto ipsec transform-set myset  esp-des esp-md5-hmac //指定ipsec使用esp封装des加密、MD5检验
(5)配置ipsec加密图
crypto map mymap 5 ipsec-isakmp //新建名称为“mymap”的加密图
set peer 10.0.0.2//指定peer地址
set transform-set myset//指定加密转换集“myset”
match address 101//指定感兴趣流为ACL 101
(6)将加密图应用到接口
interface FastEthernet0/0
crypto map mymap 
5、在R2配置路由,将局域网2网段路由指向出口
       ip route 192.168.0.0 255.255.255.0 10.0.0.1