(DCR2626)常用功能及其配置.doc

访问列表功能配置 ip访问列表是应用ip地址的允许和禁止条件的有序集合。神州数码ios 软件在访问列表中逐个按规则测试地址。??? 使用访问列表有以下两个步骤??? 第一步通过指定访问列表名及访问条件，建立访问列表。??? 第二步将访问列表应用到接口。??? ??? ??? 配置如下：??? dcr-2650-1的配置：??? router1#??? !??? interface fastethernet 0/0??? ip address ??? ip access-group aaa in??? !??? interface serial 1/0??? encapsulation hdlc??? ip address ??? !??? ip access-list extended aaa??? deny tcp any 55 eq 23??? ! NAT功能配置 internet面临的两个关键问题是ip地址空间的缺乏和路由的度量。网络地址翻译(nat)是一种允许一个组织的ip网络从外部看上去使用不同的ip地址空间而不是它实际使用的地址空间的特性。nat也在rfc 1631中讲述。??? ??? 2、配置举例：??? 此方案申请了1个合法的ip地址，然后访问internet,如图4-2所示??? ??? 图4-2 拓扑结构??? 配置如下：??? dcr-2650的配置：??? router#??? ！??? interface fastethernet 0/0??? ip address ??? ip nat inside??? !??? interface serial 1/0??? encapsulation ppp??? ip address 52??? ppp pap sent-username 169 169??? ip nat outside??? !??? ip access-list standard test1??? permit any??? !??? ip nat inside source list test1 interface serial 1/1??? !??? ip route default serial 1/0??? ! VPN(IPSec)功能配置 ipsec是ip安全的标准，提供了加密、验证和身份完整性保护、抗重播等服务，包括ah、esp、ike等协议组。ipsec为非安全网络提供了安全性。??? 神州数码的软件支持des、3des等对称加密算法，md5、sha等散列函数用于验证和数据完整性保护；支持安全联盟，pfs（完美向前保密）等技术。??? 配置ipsec的具体步骤如下：??? 1确定访问列表和ipsec兼容??? 2创建加密访问列表??? 3定义变换集合??? 4创建加密映射表??? 5将加密映射表应用于端口??? 配置ike的步骤：??? 1创建ike策略??? 2配置预共享密钥??? ??? ??? ??? 配置如下：??? dcr-2650-1的配置：??? router1#??? !??? interface fastethernet 0/0牋?ip address 牋?!牋?interface serial 1/0牋?encapsulation hdlc牋?ip address 牋?crypto map guize牋?!牋?ip access-li表应用于端口??? 配置ikest extended vpn1牋?permit ip 牋?deny ip any牋?!牋?crypto ipsec transform-set one //变换集合名字one??? transform-type esp-des esp-sha-hmac??? !??? crypto map guize 100 ipsec-isakmp //加密映射表的名字wuz??? match address vpn1 //引用访问列表??? set trasform-set one //引用变换集合??? set peer ??? !??? crypto isakmp policy 10 //定义ike策略10??? encryption des??? hash md5??? authentication pre-share??? group 2??? lifetime 5000??? !??? crypto isakmp policy 20 //定义ike策略20??? a