神州數(shù)碼各實驗配置注意文檔.doc

/重點：兩個三層交換機之間可以通過Vlan 1 進行路由退出的命令的運用在神州數(shù)碼的視圖下是沒有quit的命令的，但并不代表不能用quit，在大多數(shù)的視圖下，都可以用quit命令退回上一級視圖，當然用exit也可以，看個人喜好，但有視圖也是例外的，例如：# spanning-tree mst configuration視圖下就要用它專用的退出命令：abrotNAT配置：1、 配置acl允許通過的網(wǎng)段；/一般用標準acl2、 配置地址池；ip nat pool+名字+起始IP+終止IP+子網(wǎng)掩碼3、 配置nat轉(zhuǎn)換那個網(wǎng)段；Ip nat inside source list +acl名字 pool +地址池名字4、 配置int接口和out接口；【接口試圖】ip nat inside【接口試圖】ip nat insideNAT server：# ip nat inside source static tcp + 服務的IP地址 + 服務端口 + 要轉(zhuǎn)換成公網(wǎng)的IP地址 + 端口號在發(fā)布FTP的時候最好把21和20的都發(fā)布出去DNS一定要使用UDP服務路由器enable用戶密碼和時間配置：1、 enable password 0/7（不驗證和驗證）+密碼 level+權(quán)限（默認不配置的時候是15）2、 date（接下來按照指示配置就OK了）配置語言：1、路由器 Chinese2、交換機 language ChineseOSPF路由協(xié)議的配置：1、 router id的配置，可以選擇配置，配置的時候，要指向路由器接入的端口上的IP地址2、 router ospf +數(shù)字（可以隨意）network +使能的網(wǎng)段 +子網(wǎng)掩碼 +area +區(qū)域號（ospf 分單區(qū)域和多區(qū)域兩種,單區(qū)域的配置 要注意每一個使能的網(wǎng)段后面的區(qū)域號都要一致，多區(qū)域配置兩個區(qū)域相交的那路由器使能網(wǎng)段的時候要配置和對端相對應的區(qū)域號）3、 ospf的虛連接配置（ospf的虛連接是只多個不能直接相連接的區(qū)域通過建立邏輯的上虛擬連接，建立鄰居關(guān)系）：area +本網(wǎng)段的區(qū)域號 + virtual-link + 相同區(qū)域?qū)Χ说穆酚善鞯膔outer id（虛連接鏈路的配置是運用在至少3個不同區(qū)域的ospf上，而且其中兩個區(qū)域，分別和第三個區(qū)域連接）4、可以使用neighbor + 鄰接路由的IP地址Ping命令有趣使用：問題：ping 可以學成 ping 1.001 ，寫成1.1也能ping通因為ping 的協(xié)議的編寫時采用了IPV6的機制的，中間是出現(xiàn)連續(xù)兩個0的情況的話，可以合并，可以可以不寫。DHCP服務器在交換機（DCRS-5650）上的配置：1、 開啟DHCP服務器 service dhcp2、 定義DHCP的地址池和默認網(wǎng)關(guān)，DNS和租用時間：ip dhcp pool +名字（最好用要轉(zhuǎn)換的vlan的vlan號） default-router +默認網(wǎng)關(guān)（PC默認網(wǎng)關(guān)可以選擇vlan的ip） dns-server + DNS服務器的IP地址 network-address +做DHCP的網(wǎng)址網(wǎng)段 lease infinite （永久租用，可以選擇時間）3、 定以地址池的范圍：使用ip dhcp ip dhcp excluded-address +不要的地址（剩下的是使用的地址）注意：當要求要配置不同兩個虛擬局域網(wǎng)的DHCP時，一定要配置兩個地址池，按上面的制定，它會自動識別，配置在同一個下會出現(xiàn)后面配置的覆蓋了前面配置的WINS服務器名字和域名指定： /出現(xiàn)幾率少netbios-name-server 0 /服務器IPdomain-name /服務器域名RIP路由協(xié)議的配置：1、 進入RIP視圖下：Router rip2、 使能需要的網(wǎng)段：交換機：network +網(wǎng)段/子網(wǎng)掩碼位數(shù) Network +vlan +vlan號 Network+接口號路由器：network+網(wǎng)段+子網(wǎng)掩碼/子網(wǎng)掩碼很重要，不加默認為32，導致不能學習到預想的網(wǎng)段3、rip中的路由引入：Redistribute + 引入的路由協(xié)議 +協(xié)議號（有就要寫）/rip引入的時候，有時候要注意版本（不通可以換版本2）路由引入：不管在RIP引入ospf還是在OSPF引入rip ，都同樣的配置，視圖都是各自的配置視圖，要注意的是，一般要學習到直連的網(wǎng)段的路由，必需引入直連路由。ACL的配置：Acl的命名：Acl的命名重要的是簡單明了，要能區(qū)分不用的acl，但交換機和路由器是有些不同的擴展acl中：交換機不能以數(shù)字命名，例：ip access-list extended 32（不正確的）路由器可以使用數(shù)字ACL包括：標準ACL（standard）只能定義簡單的網(wǎng)段，最好用在nat轉(zhuǎn)換上 擴展ACL（extended）可以控制協(xié)議、端口、時間等，使用在高級控制中 數(shù)字ACL（交換機才有數(shù)字ACL，路由器沒有數(shù)字ACL）標準ACL在路由器和交換機的配置區(qū)別：交換機：#ip access-list standard +ACL名字 #permit/deny +IP地址網(wǎng)段+反子網(wǎng)掩碼路由器：#ip access-list standard +ACL名字 #permit/deny +IP地址網(wǎng)段+正子網(wǎng)掩碼/經(jīng)典配置例子：只允許Vlan 10（/24）在09：00-18:00的時間訪問FTP服務器（/24），配置如下：（1）創(chuàng)建時間表# time-range T1# periodic weekdays 09:00 to 18:00（2）建立acl 控制# ip access-list extended A1# permit tcp eq ftp time-range T1# deny tcp any eq ftp /這個很重要（3）運用到接口上：（要用對接口，一般用在和服務器連接的接口，而且是出口，要看準）# int vlan + 要運用acl的接口# ip access-group A1/在配置允許某個網(wǎng)段只有在特定的時間才能上網(wǎng)的時候，也用time-range和acl 來控制要轉(zhuǎn)換的網(wǎng)段。配置拒絕vlan 10和vlan 20之間的通信的配置，使用擴展acl ，配置在最近的端口上。鏡像端口配置：1、monitor session 1 sourc interface +源端口+進入管理/出去管理/進入出去管理/可以acl列表 （ 當出現(xiàn)要求特定的數(shù)據(jù)包做鏡像的時候，就要用到acl）2、monitor session 1 destination intface + 目的端口注意：做了鏈路聚合之后不能相互鏡像，因為是在同一個組內(nèi)，發(fā)的數(shù)據(jù)相同，看做是一個接口端口帶寬限制和工作模式配置：端口視圖#bandwidth control +允許的速度（單位比特/秒）+ 指定進出（進、出、進出）端口速度配置，在DCRS-5650的配置中，用的單位是M/s 端口視圖#speed-duplex + 工作模式和速率（例：speed-duplex force10-half 10兆半雙工）防ARP掃描功能配置：1、 開啟防ARP掃描功能：# anti-arpscan enable2、 進入端口視圖配置信任端口： 端口視圖# anti-arpscan trust port（后面跟supertrust-port是設置為超級信任端口）3、 設置信任IP：#anti-arpscan trust ip + 信任的IP地址 + 子網(wǎng)掩碼端口的安全配置（端口綁定配置）：1、 在端口視圖下開啟端口安全：端口視圖# switchport port-security2、 配置最大連接數(shù)（設置MAC的最大連接數(shù)）：端口視圖#switchport port-security maximum + 連接最大數(shù)3、 配置安全違背模式（超過最大連接數(shù)執(zhí)行）：端口視圖#switchport port-security violation + 關(guān)閉/保護模式4、 配置靜態(tài)MCA地址與端口綁定：端口視圖#switchport port-security mac-address + 要綁定的端口5、 動態(tài)實現(xiàn)配置MAC地址與端口綁定：（1） 啟動端口安全功能：端口視圖#switchport port-（2） 鎖定端口，關(guān)閉MAC地址學習功能：端口視圖#switchport port-security lock（3） 動態(tài)學習到的MAC地址轉(zhuǎn)換為靜態(tài)：端口視圖# switchport port-security convert（4） 啟動定時器：端口視圖#switchport port-security timeout + 超時的時間/另一種配置的方法：DCS-3926(config)#mac-address static address 00-08-0d-be-d8-d8 vlan 1 interface ethernet 0/0/10DCS-3926(config)#interface ethernet 0/0/10DCS-3926(config-ethernet0/0/10)#switchport port-securityDCS-3926(config-ethernet0/0/10)#switchport port-security lockDCS-3926#show mac-address-table 6、 ip地址與端口與MAC地址綁定： /三層交換機沒有IP地址綁定功能（1） 啟動am訪問控制功能：#am enable （2） 進入接口視圖配置IP與MAC地址的綁定： 要綁定的接口視圖# am port （先使能要綁定的端口，才能配置）要綁定的接口視圖# am mac-ip-pool + 要綁定的MAC地址 + 要綁定的IP地址動態(tài)MAC地址綁定：登錄MAC地址和端口綁定只有在配置的時候才能把動態(tài)學習到的MAC地址綁定到端口上，之后的不能夠再動態(tài)綁定，如果沒有綁定，則按照規(guī)定處理端口，例如關(guān)閉。最大連接數(shù)是只一個端口最大綁定多少個MAC地址；。注意：當IP地址和端口和MAC地址綁定了的時候，這臺PC機就不能插在別的端口上使用了，就算插上去也會出現(xiàn)錯誤，不能互通。13.mac地址表綁定mac-address-table static address mac地址 vlan 編號 int e 0/0/編號/解釋: 讓mac地址只能在指定vlan中的指定端口中使用,其他的都不能使用(未測試)14.mac地址過濾mac-address-table blackhole address mac地址 vlan 編號/解釋: 讓mac地址在指定vlan中不能使用(未測試)QOS的配置：交換機基于ACL的QOS配置1、 啟動QOS服務：#mls qos2、 定義ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.3、 建立class-map，根據(jù)ACL分類：#class-map + 圖的名字（例如：Q2）#match access-group + 根據(jù)的分類的ACL名字（例如：Q1）4、 建立policy-map策略表，把class-map圖加入策略表中,定義動作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /兩種動作如下：（1）#police + 【報文帶寬限制大?。ɡ纾?0M，單位bit/s）】+ 【突發(fā)最高值（例如：4M，單位bit/s）】 exceed-action + 【超速率動作（例如：diop丟包）】（2）#set ip + 【控制參數(shù)類型（例如：改變dscp值為0 #set ip dscp 0）dcsp的值0-63，值越小，優(yōu)先級越大】5、把策略表運用到接口上： #interface + 運用到策略表的接口（一般進接口） 接口視圖#service-policy input + 策略表的名字（例如：Q3）路由器基于ACL的QOS配置：注意：啟動QOS服務：#mls qos 只有DCRS-5650中才用到這個指令，路由器中式?jīng)]有的，估計默認QOS開啟1、 定義ACL#ip access-list standard +ACL名字（例如：Q1）#permit/deny.2、 建立class-map，根據(jù)ACL分類：#class-map +【 圖的名字（例如：Q2）】 match access-group + 【根據(jù)的分類的ACL名字（例如：Q1）】-和交換機的區(qū)別3、 建立policy-map策略表，把class-map圖加入策略表中,定義動作：#policy-map + 策略表名（例如：Q3）#class + class-map名字（例如：Q2） /兩種動作如下：police 8000 1 conform-action transmit（1）#police + 【報文帶寬限制大?。ɡ纾?0M，單位bit/s）】+ 【突發(fā)最高值（例如：4M，單位bit/s）】 conform-action transmit（遵循規(guī)則）-和交換機的區(qū)別（2）#set ip + 【控制參數(shù)類型（例如：改變dscp值為0 #set ip dscp 0）dcsp的值0-63，值越小，優(yōu)先級越大】注意：路由器允許的最低流量為8000bit/s4、把策略表運用到接口上： #interface + 運用到策略表的接口（一般進接口） 接口視圖#service-policy input + 策略表的名字（例如：Q3）路由器接口的限制速度配置：接口視圖下# rate-limit input或output + 限制的源路由器PQ的QOS配置：（DCRS-5650交換機沒有PQ的QOS）1、 定義ACL：#ip access-list standard +ACL名字（例如：QO1）#permit/deny.2、 配置優(yōu)先級列表：#priority-list +（優(yōu)先級列表號1-16，例如：1） protocol ip +【等級（4種等級，例如high）】list + （要控制的ACL名字，例如QO1）3、 把優(yōu)先級列表運用到接口上：#interface + 要運用列表的接口（一般是進入的接口）接口視圖#priority-group + （優(yōu)先級列表號，例如：1）例子如下：（配置vlan10 的優(yōu)先上傳服務器）/配置QOSDCR-2626B_config#mls qosDCR-2626B_config#ip access-list standard 1（acl名字）DCR-2626B_config_std_nacl#permit （vlan10網(wǎng)段）DCR-2626B_config_std_nacl#exitDCR-2626B_config#priority-list 1 （priority-list名字）protocol ip high list 1（acl名字）/把列表運用到接口上（數(shù)據(jù)的進入接口）DCR-2626B_config#interface fastEthernet 0/3DCR-2626B_config_f0/3#priority-group 1 （priority-list名字）DCR-2626B_config_f0/3#exitDCR-2626B_config#exit策略路由的配置:1、 建立ACL控制源地址：#ip access-list standard +ACL名字（例如：CL1）#permit/deny.2、 基于ACL建立route-map，并制定策略（例如：指定下一跳）：#route-map +【 map名字，例如：CL2】+ permit/deny#match ip address + 【ACL名字，控制的源地址，例如：CL1】 /可以制定多種策略：（下面與下一跳為例子） #set ip next-hop + 下一跳的IP地址3、 把route-map綁定到接口上：#interface + 要綁定的接口（一般為進入源地址的接口）接口視圖#ip policy route-map +【 map的名字，例如：CL2】時間表的配置：（定義一張時間表）# time-range +【時間表的名字】#periodic + 星期日期（例如：weekdays）+開始時間（例如：09：00）to +結(jié)束時間（例如：18：00）時間表可以運用到到ACL中，例子如下：（定義acl讓 在星期一到星期五09:0018:00期間可以訪問web服務器54）DCR-2626A_config# time-range vistweb（名字）DCR-2626A_config_time_range# periodic weekdays 09:00 to 18:00 DCR-2626A_config_time_range# exitDCR-2626A_config# ip access-list extended vistweb（ACL名字）DCR-2626A_config_ext_nacl# permit tcp 54 eq www time-range vistweb（time-range名字）DCR-2626A_config# interface fastEthernet 0/0DCR-2626A_config_f0/0# ip access-group vistweb （ACL名字）inVPN的配置：VPN的GRE類型的配置：1、 創(chuàng)建Tunnel接口，虛擬通道，并設置IP地址（兩端的IP地址一定要在同一網(wǎng)段）：Tunnel接口視圖# interface tunnel + 端口號（例如：0）Tunnel接口視圖# ip address + tunnel接口的IP地址 + 子網(wǎng)掩碼 2、 指定物理源端口與物理目的端口：Tunnel接口視圖# tunnel source +【 本段出外網(wǎng)的接口或IP地址】Tounel接口視圖# tunnel destination +【對端進入內(nèi)網(wǎng)接口或IP地址】3、 設置tounel的密鑰（可選）： Tounel接口視圖# tunnel key + 【密鑰數(shù)字，例如：4】4、 發(fā)布要VPN保護數(shù)據(jù)的網(wǎng)段：用靜態(tài)路由把指向?qū)Χ说膬?nèi)網(wǎng)，下一跳為Tunnel口# ip route + 【保護數(shù)字網(wǎng)段】 + 【子網(wǎng)掩碼】 + 【下一跳tunnel接口（例如：tunnel 0）】（兩端的配置基本一樣，但要注意源端口和目的端口的互換，要注意在同一網(wǎng)段，和網(wǎng)段的發(fā)布）VPN的IPSec類型：1、自動協(xié)商（1）定義要保護的數(shù)據(jù)源網(wǎng)段（使用擴張acl） /要注意定義源地址和目的地址都是保護的網(wǎng)段，配置（略）（2）配置IKE策略# crypto isakmp policy + 【優(yōu)先級（例如：10）】Isakmp視圖# authentication pre-share /認證方法Isakmp視圖# encryption des /加密方式Isakmp視圖# hash md5 /設置算法Isakmp視圖# group + 【DH號（1或2）】 /可選Isakmp視圖# lifetime + 【生存時間，例如：86400】 # crypto isakmp key + 【密碼（例如：u1）】 + 【指定對端公網(wǎng)口的IP地址】（3）創(chuàng)建變換集# crypto ipsec transform-set + 【變換集的名字，例如：T1】 /名字一定要記住后面要用# transform-type esp-des esp-md5-hmac （設置ESP加密和認證，如果沒有指定，就配置上面兩個）#mode + 【模式（例如：tunnel）】 /默認的情況下為tunnel（4）關(guān)聯(lián)變換集和創(chuàng)建對等體 # crypto map +【名字，例如：M1】 +【序列號，例如：1】+ ipsec-isakmp 協(xié)商模式 # set transform-set + 【變換集名字，例如：T1】 /關(guān)聯(lián)變換集 # set peer + 【對端公網(wǎng)口上的IP地址】 /要注意端口的IP不要指錯 # match address + 【ACL的名字，控制保護源網(wǎng)段的擴展ACL的名字】（5）運用到接口上 # interface + 要運用的接口 接口視圖# crypto map + 【名字，例如：M1】（6）把對端保護的數(shù)據(jù)在本段網(wǎng)絡發(fā)布，并指定端口的下一跳：/可以使用靜態(tài)路由/要建立IPSec VPN一定要有一個建立連接的過程，需要兩端能互相的數(shù)據(jù)包能到運用的接口上。2、手工配置 ？交換機的鏈路匯聚：靜態(tài)配置聚合組1、 建立匯聚組port-group：# port-group 匯聚組號（二層1-15，三層1-8，例如：1）2、 把接口加入到匯聚組中去：# interface + 要匯聚的接口 接口視圖# port-group +（組號，例如：1）mode + （模式，例如：on） 動態(tài)配置聚合組：（只有三層和三層的交換機才能動態(tài)聚合，二層和三層不能動態(tài)聚合）SA：# port-group + 聚合組號# interface + 要聚合的端口號接口視圖下# port-group + 組號 + mode +（active或passive）SB：# port-group + 聚合組號#interface + 要聚合的端口號接口視圖下# port-group + 組號 + mode +（active或passive）/重點：SA和SB的模式一端要active，另一端要passive。使用：show port-group brief命令查看聚合組有沒有配置成功，當Number of port-channels : 1 的值是“1”時，證明成功。文件管理（上傳和下載文件）：1、 配置IP地址：要讓設備的管理IP和TFTP/FTP的PCi的IP在同一網(wǎng)段2、 PC開啟配置TFTP/FTP服務器的目錄：主要配置服務器的下載文件的路勁3、 交換機/路由器啟動TFTP/FTP服務：# tftp-server enable# ftp-server enable4、 配置文件上傳或下載：#copy + 源文件名（例如：startup-config）+ tftp/ftp：/服務器PC的IP地址/+保存的文件名（例如：startup1）私有vlan配置：Private vlan分三種：（1）Primary VLAN（主lan）：它內(nèi)部端口可以和關(guān)聯(lián)帶該Primary VLAN 的Isolated VLAN 和 Community VLAN中的端口相通，它之間的端口也可以進行通信； （2）Isolated VLAN（隔離lan） 內(nèi)的端口之間不能通信，但可以和其關(guān)聯(lián)的Primary VLAN 內(nèi)的端口通信，而且不能和Community VLAN通信； （3）Community VLAN（群體vlan）內(nèi)的端口互相之間可以通信，但不同的群體VLAN間不能通信，也可以和其關(guān)聯(lián)的Primary VLAN 內(nèi)的端口通信，但不能和Isolated VLAN內(nèi)的端口進行通信。1、 創(chuàng)建VLAN，指定VLAN的Private VLAN 類型：# vlan + VLAN ID（例如：100）Vlan視圖# private-vlan + 私有vlan的類型（例如：primary 、community 或 isolated）2、 建立關(guān)聯(lián)關(guān)系（把Isolated VLAN與Community VLAN關(guān)聯(lián)到Primary VLAN 中去）：主vlan視圖# private-vlan association + 【要關(guān)聯(lián)的VLAN ID，可以用分號隔開】（例如： #private-vlan association 200；300；400）3、 在相應的VLAN中添加相應的端口：Vlan視圖# switchport interface + 【添加的相應端口】注意：1、創(chuàng)建私有vlan的時候，先做關(guān)聯(lián)，再添加端口。因為關(guān)聯(lián)時，會自動把原vlan的端口移除。 2、隔離vlan中不顯示隔離端口，只顯示混雜端口。交換機、路由器組播協(xié)議配置：交換機VRRP的配置：1、 建立虛擬路由器：# router vrrp + 【虛擬組號，例如：1】2、 指定虛擬IP地址（虛擬網(wǎng)關(guān)地址）和 設置優(yōu)先級：虛擬組視圖# virtual-ip + 【虛擬IP地址】虛擬組視圖# priority +【優(yōu)先級（1-255），master=255，backup=100】（默認為100）3、 在虛擬組中增加VLAN接口： 虛擬組視圖# interface + 【vlan接口，例如：vlan 2】4、 啟動虛擬路由組： 虛擬組視圖# enableVRRP的邊角配置：（1）設置VRRP的搶占模式： VRRP視圖# preempt-mode + flase(關(guān)閉搶占模式) 或 true （使能搶占模式） /默認是搶占模式（2）設置VRRP發(fā)送VRRP報文的時隔： VRRP視圖# advertisement-interval + 【時間，例如：3（單位：秒）】 注意：要兩邊的VRRP都同時設定相同的時間，才能交換VRRP報文，不然會出現(xiàn)，它們都認為自己是master的情況，不能進行主的選舉（3）配置VRRP的端口監(jiān)控： VRRP視圖# circuit-failover + 要監(jiān)測的端口 + 要降低的優(yōu)先級 /注意要先關(guān)閉VRRP會話（disable），才能配置，只有在搶占模式下才能起作用注意：配置了端口監(jiān)測后，拔掉下層的線會比較會影響VRRP的延遲時間，可能會丟掉很多的包。注意：假如都配置成功后，但有一臺交換機的狀態(tài)沒有轉(zhuǎn)變，那重啟一次VRRP就能解決這個問題。HSRP協(xié)議的配置：交換機的配置：（HSRP和VRRP很類似，都是可以做網(wǎng)關(guān)冗余的，所以使用的環(huán)境也很相同）HSRP的工作狀態(tài)為：active 備份的狀態(tài)：standby# interface + 【要配置的vlan接口，例如：vlan 2】接口視圖# standby + 【組號（0-255），默認為“0”】 + ip + 【要充當組共同的IP地址】接口視圖# standby + 【要設置優(yōu)先級的組號】+ priority + 【優(yōu)先級（默認為100，數(shù)值越大，優(yōu)先級越大），例如：要把該交換機設為主鏈路，寫成 120】接口視圖# standby + 【組號】+ authentication + 【驗證字符（1-8個字節(jié)）】 （可選）接口視圖# standby + 【組號】+ preempt /啟動搶占模式，只有搶占模式，才會在每次斷開時候重新選舉出優(yōu)先級高的交換機作為主交換機，默認情況下是非搶占模式路由器的配置：（路由器的HSRP和交換機的很類似，它是配置到F接口上的，如果下面有多個vlan使用獨臂路由，創(chuàng)建子接口，配置到子接口上）# interface + 【要配置的接口，例如：F0/0】接口視圖# standby + 【組號（0-255），默認為“0”】 + ip + 【要充當組共同的IP地址】接口視圖# standby + 【要設置優(yōu)先級的組號】+ priority + 【優(yōu)先級（默認為100，數(shù)值越大，優(yōu)先級越大），例如：要把該路由器設為主鏈路，寫成 120】接口視圖# standby + 【組號】+ authentication + 【驗證字符（1-8個字節(jié)）】 /注意：在路由器上，必需配置，不然不通接口視圖# standby + 【組號】+ preempt /啟動搶占模式，只有搶占模式，才會在每次斷開時候重新選舉出優(yōu)先級高的交換機作為主交換機，默認情況下是非搶占模式接口視圖# standby + 【組號】+ track + interface + 【要監(jiān)測的端口，例如F0/3】路由器的鏈路協(xié)議配置（DHLC、FR和PPP等）：1、神州數(shù)碼本身要配置時鐘指定DCE串行端口才能正常通信。 串行接口視圖# physical-layer speed + 【速率，例如：6400】2、DHLC協(xié)議配置（神州數(shù)碼默認為DHLC，H3C為無驗證PPP）： 串行接口視圖# encapsulation dhlc （鏈路協(xié)議，要保持兩端一至才能正常通信，所以要等兩端都配置好才能通信）3、FR（幀中繼）協(xié)議配置： （1）串口上啟動FR協(xié)議： 串行接口視圖# encapsulation frame-relay （2）建立虛擬鏈路號，及指定DCE或DTE，配置DCE的端口速率： 串行接口視圖# frame-relay local-dlci + 【鏈路號，例如：16】 串行接口視圖# frame-relay intf-type + DCE或DTE 串行接口視圖# physical-layer speed + 【速率，例如：6400】 （要一段指定DCE，另一端指定DTE，才能正常的通信，而且在DCE端配置時鐘速率） （3）配置虛擬鏈路（DLCI）與對端IP地址的映射： 串行接口視圖# frame-relay map + 對端的IP地址 pvc + 【本端的虛擬鏈路號，例如：16】broadcast 注意：本段的虛擬鏈路號 + 對端的IP地址，可以確認一條虛擬通道，一定要對應，不然出錯。4、PPP的無驗證配置： 串行接口視圖# encapsulation ppp（和DHLC配置類似）5、PPP的PAP驗證的配置： # username + 對方驗證賬號 + password + 對方驗證密碼 # aaa authentication ppp default local /設置PPP本地用戶認證，很重要，一定要配置接口視圖# encapsulation ppp接口視圖# ppp authentication pap /配置ppp的pap驗證接口視圖# ppp pap sent-username + 對端建立的驗證賬號 + password +對端建立的驗證密碼6、PPP的CHAP認證的配置： # username + 對方驗證賬號 + password + 對方驗證密碼 # aaa authentication ppp default local /設置PPP本地用戶認證，很重要，一定要配置接口視圖# encapsulation ppp接口視圖# ppp authentication chap /配置ppp的pap驗證/和pap不同的地方就是在配置用戶和密碼驗證的時候，兩個都要指定，不然不通接口視圖# ppp chap hostname + 對端建立的驗證賬號接口視圖# ppp chap password + 對端建立的驗證密碼6、PPP的PAP的單向認證： 這個實驗中，給大家提醒要注意的幾點：1，做pap實驗時，為了避免出錯，一定要先做單向?qū)嶒灒阂簿褪钦f在DCE端數(shù)據(jù)庫存儲一個用戶名密碼，讓DTE端發(fā)動用戶名密碼來認證。認證通過則打開信道。作單向認證時！要注意的問題?。悍斩蜶A設置：# username RB password RB# aaa authen ppp defaule local接口視圖# enca ppp接口視圖# ppp authen pap接口視圖# phy speed 64000客戶端RB設置：enca pppppp pap sent-username RB password RB/注意點：千萬不要在客戶端輸入“ppp authen pap” 這個命令的意思是需要做pap的認證。單向認證時，是不需要客戶端輸入這個命令的/注意：(改變了端口認證配置時 要重新啟動端口，才能生效)不管是pap驗證還是chap驗證都必須按步驟來第一步，兩端都封裝PPP協(xié)議，并配上IP ，進行聯(lián)通測試第二步，兩端都啟用pAP或chap驗證，再測試才能成功！如果不行將S口shutdown 后再 開啟7、PPP的chap的單向認證：RTA：# aaa authentication ppp + 【認證方法的名字，例如：test】+ local /建立本地aaa認證的方法，這個很重要# username + 【對端的用戶名】 password + 【密碼】# encapsulation ppp /啟動PP認證# ppp authentication chap + 【驗證方法，例如：test】# physical-layer speed 64000RTB：# aaa authentication ppp default local# encapsulation ppp# ppp chap hostname +【本端發(fā)送的用戶名】# ppp chap password +【密碼】經(jīng)典例子（很重要）：Router-A_config#aaa authentication ppp bisai localRouter-A_config#username RDCE password digital1Router-A_config_s0/1#encapsulation pppRouter-A_config_s0/1#ppp authentication chap bisaiRouter-A_config_s0/1#physical-layer speed 9600Router-B_config#aaa authentication ppp default localRouter-B_config_s0/1#encapsulation pppRouter-B_config_s0/1#ppp chap hostname RDCERouter-B_config_s0/1#ppp chap password digital18、PPP的papa和chap 混合使用：（例如：先pap后chap）RTA:# username rb password rb# aaa authen ppp defaule local接口視圖# enca ppp接口視圖# ppp authen pap chap / 混合使用，先pap，后chap接口視圖# phy speed 64000接口視圖# ppp pap sent ra pass ra接口視圖# ppp chap hostname ra接口視圖# ppp chap password raRTB：# username ra password ra# aaa authen p