拨号cisco路由器ADSL拨号配置上网

PPP-C#conf t

PPP-C(config)#vpdn enable//启用路由器的虚拟专用拨号网络---vpnd由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VP DN的功能

PPP-C(config)#int e1/0//路由器内网接口

PPP-C(config-if)#no shut

PPP-C(config-if)#ip add 192.168.0.1 255.255.255.0

PPP-C(config-if)#ip nat inside

PPP-C(config)#int f0/0//与ADSL model连接的端口

PPP-C(config-if)#no ip add

PPP-C(config-if)#no shut

PPP-C(config-if)#pppoe enable

PPP-C(config-if)#pppoe-client dial-pool-number 100//将以太接口的pppoe拨号客户端加入拨号池100

虚拟拨号接口

PPP-C(config)#int dialer 0//配置虚拟拨号接口 0 类似于xp中建立的拨号连接

PPP-C(config-if)#ip address negotiated//协商获得ip地址

PPP-C(config-if)#ip mtu 1492//适用于ADSL线路原始大小是1500,1492=1500-pppoe headerPPP-C(config-if)#no shut

PPP-C(config-if)#encapsulation ppp//协议类型为ppp

PPP-C(config-if)#ppp authentication chap pap callin//验证方式采用chap和pap,方式取决于服务器方二者前后位置可以调换

PPP-C(config-if)#ppp chap hostname cisco//设置chap账号

PPP-C(config-if)#ppp chap password cisco//设置chap密码

PPP-C(config-if)#ppp pap sent-username cisco password cisco//只是是采用pap验证,上面关于chap的不需要设置

PPP-C(config-if)#dialer pool 100//该接口使用100号拨号池进行拨号,应该与上面理接口f0/0pppoe-client dial-pool-nuber号码一致

PPP-C(config-if)#ppp ipcp dns request //客户端dns采用服务器上预先设置的也可以手动设置固定ip地址 202.98.96.68

PPP-C(config-if)#ip nat outside//设置内部接口和dialer 0的PAT

PPP-C(config)#access-list 1 permit 192.168.0.00.0.0.255

PPP-C(config)#ip nat inside source list 1 interface dialer 0 overload

PPP-C(config)#service dhcp

PPP-C(config)#ip dhcp pool nat-ip//配置作用域

PPP-C(dhcp-config)#network 192.168.0.0255.255.255.0//地址范围

PPP-C(dhcp-config)#default-router 192.168.0.1 //默认网关

PPP-C(dhcp-config)#dns-server 10.0.0.2//DNS服务器

PPP-C(dhcp-config)#lease 1 //租期1天

PPP-C(config)#ip dhcp excluded-address 192.168.0.2192.168.0.15//指定保留的ip地址PPP-C(config)#ip route 0.0.0.00.0.0.0 dialer 0//配置内部到远端的缺省路由

远程接入专题的最后我们介绍时下在个人用户和小企业中非常流行的ADSL拨号方式的配置方法。

配置命令config t进入路由器配置模式vpdn enable启用VPDNno vpdn logging由于ADSL的PPPoE应用是通过虚拟拨号来实现的所以在路由器中需要使用VPDN的功能。vpdn-group pppoe为PPPoE启动VPDN的进程request-dialinprotocol pppoe

设置拨号协议为PPPoEinterface FastEthernet0ip address 192. 168.0. 1 255.255.255.0

设置公司内部网络地址ip nat inside启用NAT转换设置Fa0端口为内部网络从内部网络收到数据的源地址转换为公网地址interface ATM0设置ADSL接口no ip address 由于一般是自动获得IP地址所以不要设置IPno atm ilmi-keepalivebundle-enabledsl operating-mode autohold-queue 224 ininterface ATM0. 1 point-to-point

由于ADSL的通讯依靠VC所以必须设定点到点VC。pvc 8/35设置PVC的相关参数即VCI和VPI的值如果你不清楚可以问当地电信。pppoe-client dial-pool-number 1 PPPoE拨号进程使用了常规的拨号进程dial-pool 1

interface Dialer1建立一个虚拟拨号端口ip address negotiated由于局端提供动态地址所以这里设定地址为自动协商获得而不是手动设置。ip mtu 1492修改mtu值以适用于ADSL网络默认为1500我们要修改为1492这点要特别注意不修改有可能出现丢包现象。ip nat outside启用NAT转换设置外网端口为外部网络encapsulation ppp使用PPP的帧格式dialer pool 1ppp authentication pap callin

设置拨号的验证方式为pap而不是chapppp pap sent vip pass vip发送用户名和密码,ADSL的拨号用户名为VIP密码也为VIP这里按照实际填写。ip nat inside source list 1 interface Dialer1 overload设置了NAT的转换方式使用了dialer 1端口的动态地址ip classless无类IP识别子网ip route 0.0.0.0 0.0.0.0 dialer1添加一条缺省路由将所有不可路由的数据报转发给ADSL线路。no ip http serveraccess-list 1 permit 10.92. 1.0 0.0.0.255

设置AC L供NAT转换时进行过滤

总结设置完毕后我们就可以通过路由器启用PPPOE连接ADSL了这种方便简单廉价的上网方式为我们工作学习带来了巨大的帮助。

#p#

列表A可以查看我的配置实例。ciscotermserver#sh run

Building configuration. . .

Current configuration : 2656 bytes

!

version 12.3service timestamps debug uptimeservice timestamps log uptimeservice password-encryption

!hostname ciscots

!boot-start-markerboot-end-marker

!enable secret 5XXXXXXXXXXXXXXXXXXXXXXX

!username root privilege 15 password 7XXXXXXXXXXXXXXXXXXXXXXno aaa new-modelip subnet-zerono ip domain lookupip host internet 2016 10.253. 100. 19ip host gig_switch3 2015 10.253. 100. 19ip host dmz_switch 2013 10.253. 100. 19ip host pix 2012 10.253. 100. 19ip host gig_switch2 2006 10.253. 100. 19ip host dbunbii 2003 10.253. 100. 19ip host up_switch1 2004 10.253. 100. 19ip host gig_switch1 2005 10.253. 100. 19ip host core 2002 10.253. 100. 19ip host ras 2011 10.253. 100. 19ip host router8 2009 10.253. 100. 19ip host up_stack1 2007 10.253. 100. 19

!

!

!

!interface Ethernet0ip address 10.253. 100. 19 255.255.0.0

!interface Serial0no ip addressshutdown

!interface Serial1no ip addressshutdown

!no ip http server

no ip classless

!

!

!

!line con 0line 1session-timeout 30exec-timeout 0 0no exectransport input telnetline 2session-timeout 30location COREexec-timeout 0 0no exectransport input telnetline 3session-timeout 30location DBUNBIIexec-timeout 0 0no exectransport input telnetline 4session-timeout 30location UP_SWITCH1

exec-timeout 0 0no exectransport input telnetline 5session-timeout 30location GIG_Switch4

exec-timeout 0 0no exectransport input telnetline 6session-timeout 30location GIG_SWITCH2

exec-timeout 0 0no exectransport input telnetline 7session-timeout 30location UP_STACK1

exec-timeout 0 0no exectransport input telnetline 8session-timeout 30exec-timeout 0 0no exectransport input telnetline 9session-timeout 30location ROUTER8exec-timeout 0 0no exectransport input telnetline 10session-timeout 30exec-timeout 0 0no exectransport input telnetline 11session-timeout 30location RASexec-timeout 0 0no exectransport input telnetspeed 38400line 12session-timeout 30location PIXexec-timeout 0 0no exectransport input telnetline 13session-timeout 30location DMZ_SWITCH

exec-timeout 0 0no exectransport input telnetline 14session-timeout 30exec-timeout 0 0no exectransport input telnetline 15

session-timeout 30location GIG_SWITCH3

exec-timeout 0 0no exectransport input telnetline 16session-timeout 30location INTERNETexec-timeout 0 0no exectransport input telnetline aux 0line vty 0 4exec-timeout 60 0login local

!endciscotermserver#

#p#

管理多个连接

在Telnet到控制台服务器并连接到这些设备后你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。按照如下步骤进行操作

1、在命令行中输入主机名称即使用一个IP主机Telnet到你已经配置过的设备上。这是1号连接。

2、在没有断开连接的情况下回到命令行按下[Ctrl][Shift]6然后按下x。这将显示控制台服务器提示符。

3、在这里你就可以通过从ip主机列表中键入其主机名称来Telnet到另一设备。这是2号连接。

4、一旦连接到了该路由器再次按下[Ctrl][Shift]6还有x。这将返回到控制台提示符。

5、输入show sessions。该命令将列出你的当前会话。例如你有了两个会话一个到第一台路由器一个到第二台。如果要取消其中某个会话你可以输入disconnect X其中X即为连接号码例如1或2 。

6、要转到某个会话输入session number 同样 1或2即可。如果在空命令行中直接回车也可以把你带回到上一个session。

注意 当你尝试在ip host命令中输入所赋予名称来回到已有的一个会话中系统将返回"Connection refused by remote host. " 这表明要么你已经有了一个连接要么有其他人已经连接到控制端口上了。

平衡易用性和安全性

需要牢记安全性和易用性始终是一对矛盾。就像对机场而言越安全则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。

有时你会把所有的鸡蛋放在一个篮子里面——在这样的情况下所有到核心网络设备的访问都是连接到相同的控制台服务器上的——这时安全是头等大事。你应当始终为所有网络设备设置控制台密码。如果入侵者获取了控制台服务器的访问权限他将仅仅能够访问没有设置控制台认证的设备。

此外你还应当对这些服务器的控制端口设置超时。这样一来如果连接断开那么控制台将会在几秒中内注销登录信息。

或许你在考虑如果网络崩溃了你如何才能Telnet到控制台服务器这的确是应该想到的。你可以在控制台服务器安装一个拨号调制解调器在最坏的情况下通过这一设备远程拨号到控制台服务器上。另一方面全世界的安全管理专家都会谴责这一解决方案。因为尽管它或许很方便但它使得你的核心网络设备对全世界所有的拨号黑客们大开城门。

最后需要记住在网络上的任何Telnet通信都是没有加密的。因此在本例中我们在网络上所传输的核心网络设备用户名和密码都是明文。但你可以使用SSH而非Telnet来完成相同的工作。同时还要强调一次你需要根据企业的具体需要来在易用性和安全性之间找出一个平衡点。