第一篇:关于iMC操作员登录控制的典型配置
[XXX级别] 关于iMC操作员登录控制的典型配置
一、组网需求:
使用iMC产品的配置前台,需要先使用操作员登录进入管理前台,然后才能执行各种业务功能和操作。
二、组网图:
实际参考iMC服务器的部署组网即可。
三、配置步骤:
iMC操作员登录控制特性提供如下管理手段:
1)不同的认证方式:操作员可以使用iMC内嵌的操作员管理功能对操作员进行认证,也可以与RADIUS或LDAP服务器联动实现操作员的身份认证。
2)登录地址控制:iMC可以控制客户端的登录地址,只允许用户从特定的地址(范围)登录iMC。
3)密码控制策略:如果操作员在iMC系统上进行密码认证,则可以控制密码的强度、失效日期等。
4)密码防破解:iMC可以有效防范通过连续尝试的方式破解密码的非法行为。
iMC管理员可使用不同的登录认证方式。iMC提供三种操作员登录认证方式:
华为3Com机密 未经许可不得扩散
[XXX级别] 1)简单密码认证:使用iMC系统数据库中存放的操作员密码进行身份认证,是最常用的身份认证方式。
2)RADIUS认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到RADIUS服务器进行身份认证。
3)LDAP认证:使用iMC特定操作员的“操作员登录名”或“操作员全称”作为用户名,以及用户在登录时输入的密码,到LDAP服务器进行身份认证。
通过如下步骤,可配置不同的登录认证方式:
步骤一:配置操作员的登录认证方式。在增加或修改操作员界面,选择“登录认证方式”中的一种。如果选择了“简单密码认证”,则必须输入“登录密码”和“登录密码确认”;如果选择了“RADIUS认证”或“LDAP认证”,则无需输入登录密码信息。参考界面如下:
华为3Com机密 未经许可不得扩散
[XXX级别]
图1-1 配置登录认证方式
步骤二:如果使用“RADIUS认证”或“LDAP认证”,则同时需要对认证服务器进行配置。使用iMC的管理员登录iMC配置台,在“系统管理”中,点击“认证服务器配置”,根据需要对RADIUS认证服务器或LDAP认证服务器进行配置。参考界面如下:
华为3Com机密 未经许可不得扩散
[XXX级别]
图1-2 认证服务器配置界面
目前支持的RADIUS认证方式包括“PAP”和“CHAP”两种;支持的LDAP版本包括2和3两个版本;支持的服务器类型包括“通用LDAP服务器”和“微软活动目录”两类。用户可根据需要进行配置,各参数的详细说明可参考联机帮助。 登录地址控制。
iMC允许控制用户的登录客户端地址,即允许或禁止从某些地址(范围)登录。
华为3Com机密 未经许可不得扩散
[XXX级别] 在增加或修改操作员时,在“操作员访问控制列表”部分进行配置,如下图所示:
图1-3 登录地址控制的配置界面
上图的配置,只允许该操作员从“192.168.0.1-192.168.0.255”和“192.168.1.1-192.168.1.255”两个地址区域进行登录。
iMC操作员访问控制列表的匹配策略为“首先命中匹配”。例如:假设同时配置了“允许”地址段和“禁止”地址段,则在操作员进行登录时,将客户端的IP地址按照访问控制列表的顺序从上到下逐行匹配,如果与某段地址匹配成功,则使用该段地址的“访问类型”进行控制,即如果“访问类型”为“允许”,则允许登录;反之则禁止登录。如果所有地址段均不匹配,则使用“缺省访问控制列表匹配策略”的配置值进行控制。
此外,为了增加地址段的可重用性,iMC系统还提供了“访问控制模板”配置功能。在配置特定操作员的访问控制列表时,可以直接从已经配置好的模板中选取。 密码控制策略。
华为3Com机密 未经许可不得扩散
[XXX级别] iMC系统提供密码控制策略的配置,用于对操作员的登录密码管理进行监控。密码控制策略为全局配置,即对所有认证方式为“简单密码认证”的操作员均有效。如果操作员的认证方式为“RADIUS认证”或“LDAP认证”,则密码控制策略对该操作员无效。
使用iMC的管理员登录iMC配置台,在“系统管理”中,找到“密码控制策略”,点击进入如下配置界面:
图1-4 密码控制策略配置界面
各个参数的含义较明确,不再赘述。 密码防破解。
当使用某个操作员在同一个客户端连续尝试执行三次登录操作,且均失败时,iMC系统将在一分钟内禁止在该客户端上使用相同操作员继续执行登录操作(锁定)。一分钟后可以尝试一次,如果还是失败,则继续锁定一分钟。
华为3Com机密 未经许可不得扩散
[XXX级别] 需要注意的是:“失败”的原因不仅是密码错误,如果访问控制列表禁止或认证服务器不可用,均会登录失败,这些失败情况均用于密码防破解策略的判断条件。
该策略缺省启用,不允许关闭。
四、配置关键点:
使用RADIUS认证和LDAP认证时,需注意:
1)采用RADIUS或LDAP认证方式时,应使用“操作员登录名”或“操作员全称”作为RADIUS或LDAP身份认证的用户。即在RADIUS或LDAP身份认证时,首先尝试使用“操作员登录名+密码”进行认证;如果失败,则尝试使用“操作员全称+密码”进行认证。只要任何一种方式认证成功,则能成功登录。
2)当iMC的所有操作员(包括超级管理员“admin”)均使用RADIUS或LDAP方式进行身份认证时,如果由于意外故障导致RADIUS和LDAP服务器不可用,则无法再登录iMC。此时可以通过密码重置工具脚本(iMC安装路径clientbinresetpwd.bat),将操作员的认证方式和密码重置为缺省值(简单密码认证,缺省密码为“admin”)。
华为3Com机密 未经许可不得扩散
第二篇:AR典型配置案例 RADIUS认证登录其他设备的示例
www.xiexiebang.com
配置设备作为客户端,采用RADIUS认证登录其他设备的示例
规格
适用于所有版本、所有形态的AR路由器。组网需求
用户使用STelnet方式连接SSH服务器(即AR设备),要求在SSH认证过程中,配置SSH服务器支持SSH客户端通过RADIUS服务器进行远端认证。
RADIUS服务器认证该用户,将认证结果返回给SSH服务器。SSH服务器根据认证结果决定是否允许SSH客户端建立连接。组网图
图1 配置SSH支持RADIUS认证组网图
操作步骤
1.在SSH服务器端生成本地密钥对
[Huawei] sysname ssh server
[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差异,请关注对应版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0~4用户的验证方式为AAA 6.protocol inbound ssh //配置VTY支持SSH协议 www.xiexiebang.com
7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj # SSH客户端采用RADIUS认证连接SSH服务器。 [ssh client] stelnet 10.164.39.222 Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...www.xiexiebang.com Enter password: 输入密码huawei,显示登录成功信息如下: Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服务器端执行display radius-server configuration命令和display ssh server session命令,可以查看到SSH服务器端关于RADIUS服务器的配置,并且看到STelnet客户端采用RADIUS认证已经成功连接到SSH服务器。 [ssh server] display ssh server session ------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事项 在RADIUS服务器端添加对应客户端的用户名。 在RADIUS服务器端指定SSH服务器的地址和密钥。 如果配置SSH客户端用户使用password验证,只需在SSH服务器端生成本地RSA密钥。如果配置SSH客户端用户使用RSA验证,则在SSH服务器端和客户端都需生成本地RSA密钥,并将客户端上产生的RSA公钥输入到服务器端。 《因特网及商务应用》教案 《因特网及商务应用》教案 《因特网及商务应用》教案 4.14 远程登录与控制 局域网内文件共享的条件 知道局域网中计算机的IP地址或主机名 如: 教师机:192.168.1.107(a107) 学生机:192.168.1.70(a70) 局域网内计算机互访必须在同一个“工作组”之下 我的电脑->右键->属性->计算机名->更改: 《因特网及商务应用》教案 开启网络的文件和打印机共享 网上邻居->右键属性上网的图标(如:本地连接)->右键属性常规: 开启文件夹共享 某文件夹->右键->共享->“如果您知道„”->只启用文件共享 《因特网及商务应用》教案 修改共享文件夹读写属性 局域网内共享文件夹的访问方式 方法一 网上邻居->邻近的计算机(或:整个网络->Microsoft Windows网络)->工作组名->主机名 方法二 网上邻居->搜索->输入:主机名 方法三 IE访问 《因特网及商务应用》教案 局域网、因特网上的远程登录条件 知道对方计算机(远程计算机,下同)IP地址 各种专用软件,如: QQ珊瑚虫版、QQ传美版等 FolkOicq(QQ补丁),可显示IP,最新版FolkQQ0530SE_B2 嗅探专家等 对方计算机必须开启网络的文件和打印机共享 微软默认方式:开启 对方计算机不需要开启文件夹共享 对方计算机必须开启IPC$连接共享功能 微软默认方式:开启 知道对方计算机具有管理员权限的用户名、密码 微软默认具有管理员权限的用户名:Administrator 微软默认密码:空 什么是IPC$连接共享 IPC$(Internet Process Connection)是共享“命名管道”的资源,用户可通过正确的用户名和密码获得相应的权限,实现远程查看、控制、管理计算机的共享资源。 当对方计算机开启IPC$后,连接者甚至可以与目标主机建立一个空的连接而无需用户名与密码,利用这个空的连接,连接者可得到目标主机上的用户列表,配合使用一些字典工具,进行密码探测(枚举法的暴力破解)。 Windows默认安装,允许IPC$的远程登录和共享功能,且打开了所有的默认共享,即所有的逻辑盘(c$,d$,e$......)和系统目录winnt、windows的admin$。 只有NT/2000/XP才可以建立IPC$连接,98/me是不能建立IPC$连接的。 关闭/禁止IPC$ 共享的几种方法 运行regedit,修改注册表(WIN2000) 禁止默认的共享: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices lanmanserverparameters, 新建一个键名: 如果是服务器,则:AutoShareServer,键值设为“0”(推荐) 如果是客户机,则:AutoShareWks,键值设为“0”(推荐) 类型:“REG_DWORD”(“双字节值”) 禁止建立空连接: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA, 将键名为:RestrictAnonymous的键值改为: 1:匿名用户无法列举主机用户列表(推荐) 2:匿名用户无法连接你的IPS$共享,(推荐) 关闭“server”服务,使IPC$失效 控制面板管理工具服务server服务->右键:属性常规启动类型:停止服务、并禁用。(不推荐) 注:server为系统服务,停后会影响需调用server服务的程序实现。 《因特网及商务应用》教案 关闭共享组件 关闭网络共享文件或打印机(推荐) 关闭共享文件夹(包括显式、隐式) 关闭显式共享文件夹 已共享文件夹->右键->“共享„”->不共享该文件夹(推荐) 《因特网及商务应用》教案 关闭隐式(默认)共享文件夹 管理工具->计算机管理->共享->右键->停止共享 尤其是关闭IPC$(强烈推荐) DOS窗口的打开 开始->运行->CMD,输入下面举例的DOS命令 DOS命令的使用 停止“server”服务 net stop lanmanserver 注:server为系统服务,停后会影响需调用server服务的程序实现。 删除IPS$和默认共享(但重启后还会有) net share ipc$ /del net share admin$ /del net share c$ /del net share d$ /del „„ 重新开启IPC$共享 net share ipc$ net share c$=c: net share d$=d: „„ 查看已经开启的Windows系统服务(后台服务) Net start Net start servername(开启指定的系统服务) Net stop servername(关闭指定的系统服务) 查看本地共享资源 net share 《因特网及商务应用》教案 其它方式 安装防火墙 重要端口实施屏蔽(详见附件) 139 445(Windows 2000/2003 Server系统下作用和139端口完全相同) 139、445的用途 通过网上邻居访问局域网的共享文件、打印机时发挥作用 远程登录的DOS命令 net use xxx.xxx.xxx.xxxIPC$ “" /user:”administrator"(建立连接) net use x: xxx.xxx.xxx.xxxc$(共享文件夹映射到本机的x:盘符) net use z: IPC$(访问远程计算机) net user guest /active:yes(激活对方的Guest用户) net user guest 1234(将Guest的密码改为1234) net localgroup administrators guest /add(将Guest升级为Administrator) net use * /del(取消连接) IPC$连接失败的原因 你的系统不是NT或以上操作系统 对方没有打开IPC$默认共享 注册表被修改 server 已停止 DOS命令关闭了默认共享驱动盘 网络的文件和打印机共享被关闭 对方未开启139或445端口(或被防火墙屏蔽) 你的命令输入有误(如:缺少了空格等) 用户名或密码错误(空连接除外) 根据返回的错误号分析IPC$连接失败的原因 错误号5 拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限; 错误号51 Windows 无法找到网络路径 : 网络有问题; 错误号53,找不到网络路径 目标未开机; IP地址错误 目标lanmanserver服务未启动 目标有防火墙(端口过滤); 误号67,找不到网络名 你的lanmanworkstation服务未启动 目标删除了IPS$; 错误号1219,提供的凭据与已存在的凭据集冲突: 你已经和对方建立了一个IPS$,请删除再连。错误号1326 《因特网及商务应用》教案 未知的用户名或错误密码。 错误号1792,试图登录,但是网络登录服务没有启动: 目标NetLogon服务未启动。(连接域控会出现此情况) 错误号2242,此用户的密码已经过期: 目标有帐号策略,强制定期要求更改密码。 IPS$连不上的问题比较复杂,除了以上的原因,还会有其他一些不确定因素。 《因特网及商务应用》教案 扫描工具软件 目前流行的端口扫描利器 国内的流光、xscan、x-way等 国外的shadow security scanner、superscan、nmap等 流光 简介 被喻为中国 《因特网及商务应用》教案 Dameware Nt在局域网内的远程登录(入侵)实例 远程登录教师机(本机) 略 教师机远程登录学生机 教师机远程登录学生机(批量) 略 从学生机远程登录教师机 略 《因特网及商务应用》教案 远程监视学生机的设置 《因特网及商务应用》教案 远程监视学生机的效果 《因特网及商务应用》教案 Dameware Nt在因特网上的远程登录(入侵)实例 查看私人信息 查看QQ目录 开启默认共享盘 停止对方的杀毒软件 将远程计算机驱动盘映射到本机(用于上传文件、病毒、木马等,真酷!) 通过本机“我的电脑”打开映射驱动盘(对应着对方整个逻辑盘) 查看远程计算机的IE收藏夹信息 可修改、删除、上传文件 修改对方Administrator密码 进入远程计算机的DOS界面 查看对方的IPConfig/all信息 释放木马,实现远程监视(监视对方桌面的活动情况) 远程控制->输入:用户名(具有管理员权限的用户名)、密码->连接(1) 在对方计算机上安装客户端程序(安装木马)(2) 客户端程序的重要设置(3)上述截图全略 远程桌面的监视,实例1 《因特网及商务应用》教案 远程桌面的监视,实例2 特别提示:不设防的计算机中不要存放在个人隐私。如: 简历、照片 家庭住址、电话 账户名、身份证号、信用卡号、密码 特别提示:不设防的计算机中不要做在线交易。如: 网上购物支付 网上银行转账 网上炒股 特别声明 通过实例,提醒我们必须严重关注自己的计算机安全、学会基本的防范技巧。 不鼓励使用黑客工具软件,如想尝试,请见阅读《黑客守则》,不得违法。 本案属内部交流,不得外传。 无作业,不考试。 《因特网及商务应用》教案 4.15 黑客守则(简) 千万不要破坏别人的文件或数据。恶意破坏别人的软件或数据将导致法律责 任。 千万不要修改任何文件, 如果为了要进入而修改的,达到目的后请还原。不要轻易的将你要 Hack 的站点告诉你不信任的朋友。不要在 bbs/论坛上谈论关于你 Hack 的任何事情。不要入侵、攻击或破坏电信/政府机关的主机。不在电话中谈论关于你 Hack 的任何事情。不得删除或修改已侵入电脑中的帐号。不将你已破解的帐号与你的朋友分享。入侵期间不要随意离开你的电脑。将你的笔记放在安全的地方。„„ 4.16 随堂作业 4.17 思考题 目前流行的远程登录利器(至少5个) 如何防范远程登陆(至少5个) 关闭IPC$ 关闭server 添加复杂的管理员密码 少用有安全漏洞、有争议的软件 安装能实时监视的防护类软件, 微软补丁及时更新 „„ 《因特网及商务应用》教案 4.18 附录一 部分重要端口的作用和开启关闭方法 135端口 在许多“网管”眼里,135端口是最让人捉摸不透的端口,因为他们中的大多数都无法明确地了解到135端口的真正作用,也不清楚该端口到底会有哪些潜在的危险。直到一种名为“IEen”的专业远程控制工具出现,人们才清楚135端口究竟会有什么样的潜在安全威胁。 IEen工具能够借助135端口轻松连接到Internet上的其他工作站,并远程控制该工作站的IE浏览器。例如,在浏览器中执行的任何操作,包括浏览页面内容、输入帐号密码、输入搜索关键字等,都会被IEen工具监控到。甚至在网上银行中输入的各种密码信息,都能被IEen工具清楚地获得。除了可以对远程工作站上的IE浏览器进行操作、控制外,IEen工具通过135端口几乎可以对所有的借助DCOM开发技术设计出来的应用程序进行远程控制,例如IEen工具也能轻松进入到正在运行Excel的计算机中,直接对Excel进行各种编辑操作。 怎么样?135端口对外开放是不是很危险呀?当然,这种危险毕竟是理论上的,要想真正地通过135端口入侵其他系统,还必须提前知道对方计算机的IP地址、系统登录名和密码等。只要你严格保密好这些信息,你的计算机被IEen工具攻击的可能性几乎不存在。 为什么IEen工具能利用135端口攻击其他计算机呢?原来该工具采用了一种DCOM技术,可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时,会自动调用目标主机中的RPC服务,而RPC服务将自动询问目标主机中的135端口,当前有哪些端口可以被用来通信。如此一来,目标主机就会提供一个可用的服务端口作为数据传输通道使用。在这一通信过程中,135端口的作用其实就是为RPC通信提供一种服务端口的映射功能。说简单一点,135端口就是RPC通信中的桥梁。 137端口 137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态。 要是非法入侵者知道目标主机的IP地址,并向该地址的137端口发送一个连接请求时,就可能获得目标主机的相关名称信息。例如目标主机的计算机名称,注册该目标主机的用户信息,目标主机本次开机、关机时间等。此外非法入侵者还能知道目标主机是否是作为文件服务器或主域控制器来使用。 138端口 137、138端口都属于UDP端口,它们在局域网中相互传输文件信息时,就会发生作用。而138端口的主要作用就是提供NetBIOS环境下的计算机名浏览功能。 非法入侵者要是与目标主机的138端口建立连接请求的话,就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称,其对应的IP地址也就能轻松获得。如此一来,就为黑客进一步攻击系统带来了便利。 139端口 139端口是一种TCP端口,该端口在你通过网上邻居访问局域网中的共享文件 《因特网及商务应用》教案 或共享打印机时就能发挥作用。 139端口一旦被Internet上的某个攻击者利用的话,就能成为一个危害极大的安全漏洞。因为黑客要是与目标主机的139端口建立连接的话,就很有可能浏览到指定网段内所有工作站中的全部共享信息,甚至可以对目标主机中的共享文件夹进行各种编辑、删除操作,倘若攻击者还知道目标主机的IP地址和登录帐号的话,还能轻而易举地查看到目标主机中的隐藏共享信息。 445端口 445端口也是一种TCP端口,该端口在Windows 2000 Server或Windows Server 2003系统中发挥的作用与139端口是完全相同的。具体地说,它也是提供局域网中文件或打印机共享服务。不过该端口是基于CIFS协议(通用因特网文件系统协议)工作的,而139端口是基于SMB协议(服务器协议族)对外提供共享服务。同样地,攻击者与445端口建立请求连接,也能获得指定局域网内的各种共享信息。 到了这里,相信你对各端口开放时存在的安全威胁早已是恐慌不已了。毕竟,对这些端口放任不管的话,随时都可能引来“飞来横祸”。别急,下面本文特意为你提供了一些安全防范措施,让你根据实际需要,有选择、有针对性地关闭服务端口,以切断外来入侵途径。 关闭135端口 关闭135端口最直接有效的方法,就是将RPC服务停止掉。具体方法为:在“管理工具”菜单项下面,单击“服务”选项;在弹出的“服务”窗口中,将“Remote Procedure Call”选中,再单击右键菜单中的“属性”命令,弹出图1所示的设置窗口;在启动类型设置项处,选中“已禁用”选项,并单击“确定”按钮。 以后需要重新启用RPC服务时,必须打开注册表编辑窗口,找到“HKEY_LOCAL_ MACHINESYSTEMCurrentControlSetServices RpcSs”子键,双击该子键下面的“Start”项,将其数值设置为“0x02”,然后把系统重新启动一下就OK了。 上面的关闭方法有很大的局限性,因为一旦停止了RPC服务,服务器中的许多功能都有可能失效。例如数据库查询功能、Outlook功能、远程拨号功能等,都不能正常工作了。因此这种关闭方法只能适合在简单的Web服务器或DNS服务器中使用。 由此可见,简单地关闭RPC服务,会“殃及池鱼”。考虑到只有采用DCOM开发技术设计出来的应用程序,才会调用RPC服务,因此只要禁止使用系统中的DCOM,同样也会达到禁用RPC服务的目的。要禁用DCOM设置的话,可以按下面方法来进行:依次单击“开始” | “运行”命令,打开运行对话框,输入“dcomcnfg.exe”命令,单击回车键后,打开一个如图2所示的设置窗口。选中该窗口的“默认属性”标签,在其后的标签页面中,将“在这台计算机上启用分布式COM”选项选中,最后单击“确定”按钮,退出设置窗口。这样一来,任何黑客或非法入侵者都不能对计算机中的DCOM应用程序进行远程操作,至此你也就实现了间接关闭135端口的目的。 除了上面的方法外,你还可以采取另外一种相对复杂的办法来关闭135端口。这种方法是先用UltraEdit工具,打开系统文件夹system32下面的rpcss.dll文件。然后在该程序的主界面中,依次执行“搜索” | “查找”命令,并在弹出的查找对话框中,输入十六进制数“3100330035”,再单击一下“查 《因特网及商务应用》教案 找下一个”按钮,最后打开如图3所示的界面,在这里你必须将“3100330035”,修改为“3000300030”,这样就可以将“135端口”,修改为“000”了,接着将该文件重新换名保存。下面,你必须将系统切换到DOS状态下,用换名保存后的文件,覆盖以前的rpcss.dll文件。要是无法直接覆盖的话,可以进入到系统的安全操作模式下,再运行系统Support Tools中的pulist工具,将当前所有进程显示出来。接着,到网上下载一个名为pskill的工具,运行并利用它杀掉当前运行的svchost.exe进程。最后再用换名保存后的文件,覆盖rpcss.dll文件。相比而言,该方法比较烦琐,对Windows系统不太熟悉的朋友,最好不要用它,以免给系统造成破坏。 关闭137、138端口 考虑到基于TCP/IP协议下的NetBIOS服务,几乎都是通过137、138端口实现的,因此你只要将基于TCP/IP协议下的NetBIOS服务停止掉,就能实现间接关闭137、138端口的目的。现在就来看看停止NetBIOS服务的具体步骤。先用鼠标右键单击桌面上的“网上邻居”图标,从弹出的快捷菜单中,执行“属性”命令,打开“Internet协议(TCP/IP)”参数设置窗口;再单击一下“高级”按钮,并在随后弹出的设置框中,选中“WINS”标签;打开如图4所示的标签页面,选中“禁用TCP/IP上的NetBIOS(S)”, 典型路由器实验配置文档 目录 一,DHCP中继代理配置实验案例(多个DHCP服务器).............................3 二,IPsecVPN穿越NAT实例配置..............................................5 三,双PPPOE线路实验(神码)..................................................9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器.........................15 五,DCR-2800和BSR-2800配置RIP路由.....................................21 六,DCR-2800 L2TP服务器配置..............................................24 七,总分部之间IPsecVPN对接................................................29 一,DHCP中继代理配置实验案例(多个DHCP服务器)1,需求描述 如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。2,拓扑图 3,配置步骤 R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址!interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到)//有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp(开启DHCP服务,sh run 看不到)R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到)4,配置验证 Sh ip int br//查看端口信息 Show ip dhcp binding //查看所有的地址绑定信息 R1上抓包 R3上抓包 R4上抓包 5,注意事项 (1)必须开启DHCP服务 service dhcp(2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。 二,IPsecVPN穿越NAT实例配置 1,需求描述 IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。 意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值,这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。 所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。解决方案:NAT穿越 2,拓扑图 3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议 ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换 ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换 R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证 R1#f0/0上抓包 ISAKMP报文 ESP报文 R2#f1/0上抓包 ISAKMP报文 ESP报文 5,注意事项 (1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。 (2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。 三,双PPPOE线路实验(神码)1.需求描述 现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。2.拓扑图 3,配置步骤 R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元 ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside!interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside!interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside!ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1!ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any!vpdn enable 启用VPDN!vpdn-group poe0 建vpdn组 request-dialin 请求拨号 port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议 pppoe bind f0/0 绑定到物理接口f0/0!vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0!!ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1!R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码!interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段)ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside!interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any!vpdn enable //启用vpdn!vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入 port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议 pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0!ip nat inside source list natacl interface f1/0 R3# ip local pool pppoe 192.168.1.2 10!aaa authentication ppp default local! username DCN1 password 0 DCN1!interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside!Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside!ip route default 192.168.3.1!ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any!vpdn enable!vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0! ip nat inside source list natacl interface f1/0! 4,验证配置 R1#sh ip int br Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session PPPOE Session Information: Total sessions 2 ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up #sh pppoe session PPPOE Session Information: Total sessions 1 ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br Interface IP-Address Method Protocol-Status FastEthernet0/0 unassigned manual up FastEthernet0/1 192.168.3.2 manual up Virtual-template0 192.168.1.1 manual down Virtual-access0 192.168.1.1 manual up #sh pppoe session PPPOE Session Information: Total sessions 1 ID Remote_Address State Role Interface BindOn FC:FA:F7:D2:07:E9 Established server va0 f0/0 5,注意事项 (1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。 (2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。 (3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。 (4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。 (5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。 (6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器 1,需求描述 有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。2,拓扑图 3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2! crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl!interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由 ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由!ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 Telnet_Server# aaa new-model //开启AAA认证!aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证!interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0!ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关 NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside!ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器!ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射 IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1! crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl!interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图!interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0!ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由!ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1 IPsecVPN_Client f0/0上抓包 IPsecVPN_Server f0/0上抓包 NAT_Over f0/0上抓包 Telnet_Sever f0/0上抓包 5,注意事项 (1),配置ipsecvpn时,注意将map绑定到物理接口。 (2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。 (3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。天津多外线内部vpn服务器案例 五,DCR-2800和BSR-2800配置RIP路由 1,需求描述 路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的) 虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。2,拓扑描述 3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable!router rip 1 neighbor 192.168.1.2 DCR-2800#sh ip route C 192.168.1.0/24 is directly connected, GigaEthernet0/0 C 192.168.2.0/24 is directly connected, GigaEthernet0/1 R 192.168.3.0/24 [120,1] via 192.168.1.2(on GigaEthernet0/0) BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable!interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable!router rip 1 neighbor 192.168.1.1 BSR-2800#sh ip route C 192.168.1.0/24 is directly connected, GigaEthernet0/0 R 192.168.2.0/24 [120,1] via 192.168.1.1(on GigaEthernet0/0)C 192.168.3.0/24 is directly connected, GigaEthernet0/1 4,验证配置 DCR-2800#ping 192.168.3.1 PING 192.168.3.1(192.168.3.1): 56 data bytes!!!---192.168.3.1 ping statistics---5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项 (1),neighbor 为对端ip(2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段,如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0,192.168.4.0 六,DCR-2800 L2TP服务器配置 1,需求描述 L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。2,拓扑描述 3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证!interface Virtual-template0 //创建虚拟接口模版 ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址 no ip directed-broadcast ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名 ppp chap password 0 admin //认证密码 peer default ip address pool l2tp_pool //调用地址池!vpdn enable //开启虚拟专用拨号! vpdn-group l2tp //定义vpdn组 accept-dialin //允许拨入 port Virtual-template0 //绑定虚拟接口模版 protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证 lcp-renegotiation //重新进行LCP协商!PC上配置 网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN 4,验证配置 拨号成功 5,注意事项 (1),L2TP服务器上virtual-template接口的地址为任意地址 (2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商(3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP 七,总分部之间IPsecVPN对接 1,需求描述 导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。 IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。2,拓扑需求 3,配置步骤 总部: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0! crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 1.1.1.2!ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 1.1.1.1 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1!ip route 0.0.0.0 0.0.0.0 2.1.1.1!ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0!crypto ipsec transform-set tran1 esp-des esp-md5-hmac!crypto map map1 1 ipsec-isakmp set peer 1.1.1.1 set transform-set tran1 match address ipsecacl!interface Loopback0 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1!ip route 0.0.0.0 0.0.0.0 3.1.1.1!ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255 Internet: interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0!interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0!interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置 总部: Router#sh crypto isakmp sa dst src state 1.1.1.1 3.1.1.2 QM_IDLE 1.1.1.1 2.1.1.2 QM_IDLE 分部A: Router#sh crypto isakmp sa dst src state 1.1.1.1 2.1.1.2 QM_IDLE 总部和分部A通信: conn-id slot status 0 ACTIVE 0 ACTIVE conn-id slot status 0 ACTIVE Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包: 分部A与分部B通信: Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包: 分部B上抓包: 分部B: Router#sh crypto isakmp sa dst src state conn-id slot status 1.1.1.1 3.1.1.2 QM_IDLE 0 ACTIVE 分部B与总部A通信: Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包: 分部B与分部A通信: Router#ping 192.168.2.1 source 192.168.3.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1!!!Success rate is 100 percent(5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包: 分部A上抓包: 5,注意事项 (1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。 (2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。 卷烟厂典型工艺流程和配置 制丝线 制丝线一般包括:叶片线、白肋烟处理线、梗线、切丝 线、烘丝线、切梗丝线、梗丝膨胀线、掺配加香线、储丝 柜等几个工艺段。 制丝线设备主要种类包括:筒类、皮带输送机、震动输送 机、储柜、定量喂料系统等。 其一般运行原理是:使用储仓来缓冲、储备物料;通过提升机提取物料,其速度受定量管内物料高度的控制;而定量管能够使物料流成为较规则的形状,以提高皮带秤的测量精度;最后,电子皮带秤通过物料流量或皮带速度来控制物料的计量。 叶片线:叶片线由开包机、切片机、松散筒、异物剔除 机、润叶筒等部件组成,经叶片线处理后的物料变得柔 软、湿润,可大大提高物料的可加工性。 白肋烟处理线:主要设备由白肋烟储柜、加料机、烘培 机、电子皮带秤、加料筒组成。经白肋烟处理线处理后的白肋烟会被送入储柜进行混合、浸润、储存,然后与烤烟 叶片掺配、储存后进行切丝处理。 梗处理线:梗处理线由翻箱喂料机、提升喂料机、异物剔 除机、加湿筒(润梗筒)、储梗柜等组成。 切丝/切梗丝线:切丝/切梗丝线由切丝机、仓储喂料机、定量管、电子皮带秤、压梗机、切梗丝机等组成。 烘丝线/梗丝膨化塔:通过HT(HEATED TUNNEL)—加热通道、烘丝机/梗丝膨化塔等部件,使烟丝膨胀而变得柔 韧而有弹性。 配比加香线:通过冷却风机、储柜、翻箱喂料机、提升喂 料机、配比皮带秤、加香机和储丝柜等部件,将叶丝、膨胀 后的梗丝、薄片丝、膨胀后的叶丝及卷包车间回收的烟丝 按设定的比例掺配、加香。 二氧化碳膨胀烟丝线 烟草膨胀技术的研究始于60年代末,70年代开始应用于生产,在国际卷烟工业获得广泛应用。二氧化碳(CO2)烟丝膨胀技术是美国菲利浦·莫里斯(PM)烟草公司与阿尔考(AIRC0)公司于70年代联合研制的,目前应用最为普遍的CO2膨胀烟丝技术有BOC和BAT两种模式。 我国自1988年开始引进此项技术,1991年首先在上海、宁 波两家烟厂投入使用,随后广 一、张家口、武汉、深圳、蚌 埠五家烟厂引进,现在全国有30多条生产线,BOC和BAT 模式的均有。秦皇岛烟机厂引进并消化了两种技术,其中 BOC占2/3,BAT占1/3。 诰硌膛浞街胁粲门蛘脱趟浚坏梢约跎傺趟坑昧浚?时由于烟丝细胞组织“蓬松”而使燃烧性能得到改善,并 能减少卷烟烟气中焦油等有害成分。 CO2烟丝膨胀工艺流程:叶片烟经过开箱与计量、切片、松 散回潮、配叶贮叶、切丝、增温增湿和贮丝后被定 量送入 浸渍器中,利用液态CO2浸渍烟丝 ;将含有干冰的烟丝从 罐中卸出松散,并流量均匀地送入以过热蒸汽为干燥介质 的高温气流输送膨胀系统,烟丝内的CO2快速汽化和升华, 烟丝内的水分也被汽化和升华,烟丝细胞得到膨胀。膨胀后的烟丝经切向分离器与工艺气体分离,冷却至常温后, 通过回潮使其含水率达到工艺要求。 CO2膨胀烟丝线包括四大部分:烟丝制备段,冷端设备, 热端设备和回潮段。其中浸渍装置、升华装置和回潮机是 CO2膨胀烟丝的主机部分。 烟丝制备段:主要设备包括仓式喂料机、皮带秤、双速输 送皮带(布料带)、往复输送机。 ·仓式喂料机与皮带秤组成恒流量控制系统,以提高布料 的均匀性 ·双速输送皮带:由变频器控制,以低速度布料、高速度 供料 ·往复输送机:通过接收供料信号往复输送物料 冷端设备:冷端设备主要包括浸渍器(液压站系统)、工艺 罐、工艺泵、高压回收罐、低压回收罐、高压压缩机、低 压压缩机、回收制冷机组、补偿泵、贮罐(传输泵)、停机 制冷机组。冷端设备所处理的介质主要为低温、高压的二氧化碳液体和气体。 ·浸渍器单元:主要包括浸渍器和安全装置,浸渍器是整条线的核心设备之一,它的主要作用是完成CO2对烟丝的浸渍 工艺罐:用于储存和向浸渍器提供工艺用CO2液体和气体 高压回收罐:用于在浸渍过程中,对浸渍器吹除和一次 增压,回收浸渍器内高压的CO2气体和由低压回收罐经 低压压缩机压缩后的CO2气体 低压回收罐:回收浸渍器内高压回收后剩余的低压CO2,再经低压压缩机升压送入高压回收罐 低压压缩机:用于对低压回收罐内CO2气体进行压缩并 送入高压回收罐 高压压缩机:用于对高压回收罐内CO2气体进行压缩并 送入工艺罐,循环使用 制冷机组:用于对进入冷凝器的经高压压缩机压缩的CO2 气体进行冷却,使之成为CO2液体,被冷凝CO2液体 根据工艺控制需要,定时排入工艺罐 工艺泵:将工艺罐内的CO2液体迅速泵入浸渍器 储罐单元:用于贮存和供给工艺所必需的液态CO2,贮 罐的CO2液体由槽车提供 热端设备:热端设备包括传输槽、开松器、振动柜、计量 带、进料空气锁、升华器(工艺风机、废气风机)、切向分 离器、出料空气锁、燃烧炉(加热器、预热器)、冷却振动 输送机、冷却皮带输送机。热端设备工作温度较高,一般 均在300℃以上。 传输槽:用于接送从浸渍器卸下的-78℃的干冰烟丝,烟 丝经浸渍后通过传输槽进入开松器 开 松器:用于将传输槽落下的干冰烟丝打散,再落入振动柜 振动柜:接收来 自开松器的干冰烟丝,贮存并通过振动 体将烟丝通过限量管均匀送入计量带 计量带:由机架、输送槽体、传动装置和出料斗等组成,在输送皮带的上方设有光电管来检测物料的情况 进料空气锁:主要由箱体、转子、传动装置三部分组成, 其作用是当干冰烟丝通过时,能阻止空气通过,以免过 量空气进入升华器 升华器:由工艺风机、废气风机、升华管路、主工艺气 体管路、冷风旁路、废气管路、蒸汽系统等部分组成, 是CO2膨胀烟丝生产线热端的关键设备,主要完成对干 冰烟丝的升华,促使烟丝膨胀,并使工艺气体不断进入 燃烧炉再行加热循环使用 ·切向分离器:用于将膨胀的烟丝与工艺气体分离 ·出料空气锁:用于切向分离器分离出来的膨胀烟丝输出,并阻止空气不进入升华装置 ·冷却振动输送机:接收出料空气锁落下的膨胀烟丝,散 热降温并均匀输送 ·燃烧炉:为升华器中的高温工艺气体提供热量,并焚烧 生产线中的废气 ·回潮段:用于对膨胀后的烟丝进行回潮降温处理,主要包 括:皮带秤、水分仪、回潮筒等设备。 ·皮带秤:用于烟丝流量的测量,作为回潮筒加水、加香 的基础数据 ·水分仪:用于烟丝水分的测量,其测得的数据作为反馈 信号,用来控制回潮筒加水量 ·回潮筒:内装有喷淋装置,有些二氧化碳膨胀线在该筒 还装有加香加料装置,水分5%~10%左右的膨胀烟丝经 过充分回潮,含水率达13%±0.5%,即为成品膨胀烟丝 卷烟生产的物流系统 卷烟生产的物流主要包括:原料物流、辅料物流、成品物 流三部分。 原料物流系统 完成将卷烟生产使用的原料(把烟、片烟、烟梗)从进入工 厂到运送至制丝线生产现场的全过程的系统。包括原料供 应、原料储存、配方库、原料供给、剩料回收等几个过程。 ·原料供应:将不同类型、不同品种的原料从运送的卡车卸下,并运送到原料储存仓库 ·原料储存:包括登记原料信息并生成识别标签、原料运输与码放、储存、出库等工序 ·配方库:配方库计算机管理系统接到排产单,根据排产 顺序,分别调用相应品牌产品的原料配方 ·原料供给:当制丝线准备好后,发出供料申请信号,激光导引车则将原料从配方库送到相应地点等待加工 ·剩料回收:有些原料在一个批次中无法使用整包,将剩余原料送回配方库暂存 辅料物流 辅料物流是将购进的卷烟辅料进行拆分后按比例重新打 包、储存、配送到各个机台的系统。该系统包括辅料供应、辅 料拆分与重新打包、辅料储存、辅料配送等几部分。 ·辅料供应:将外购的辅料送至辅料拆分现场 ·辅料拆分与重新打包:根据不同辅料的消耗量和包装规 格,拆分大包与重新包装 ·辅料储存:将按生产需要,重新按比例组合好的辅料放入 高架仓库内储存 ·辅料配送:根据 “辅料供给”请求信号配送辅料 成品物流 成品物流系统是将卷接包车间生产的箱装的成品烟进行分 捡、码垛、储存、配送的系统。该系统包括成品分捡、烟 箱码垛、托盘运输、成品储存、配送等几部分。 ·成品分捡:通过对烟箱条形码扫描,将不同品牌规格的 成品烟分拣到不同的出口 ·烟箱码垛:在烟箱输送轨道出口配有自动码垛机将烟箱 按设定数量码放在标准托盘上 ·托盘运输:码放好成品烟箱的托盘,由激光导引小车运 送到成品烟仓库 ·成品储存:对装有成品烟的托盘进行登记,生成识别标签并指定其存放位置 ·成品配送:根据订单上需要的品牌,提取并修改托盘的识别标签,同时将烟箱通过轨道输送到装车地点 卷接包生产设备 卷烟厂的卷接包车间的设备分为:卷接机组、烟支输送与缓存设备、包装机组、烟丝回收设备、嘴棒输送设备等。 卷接机组:将成品烟丝送入卷烟机,并用盘纸将烟丝卷成烟条,再用水松纸将分切成要求长度的烟条和嘴棒接装成成品烟支的设备。卷接机组包括送丝、卷烟、接装等几部分。 烟支输送与缓存设备:是将卷接机组生产的烟支输送至包装机组、或暂时储存、或装盘储存的设备。整个系统包括 通道、装盘机、卸盘机、缓存设备等。 现代的卷接机组生产能力越来越大,1600支/分钟的设备已在一些烟厂使用,烟支缓存装置通过大容量的在线缓存 技术,保证了生产的连续性,是连接卷接机组和包装机组的桥梁。 包装机组:将烟支装入小盒,将小盒装入条盒,并在小盒、条盒外分别包上透明包装纸的设备。包装机组包括下 烟器、小盒包装机、小盒储存输送设备、条盒包装机等几部分。 ·下烟器:将烟支梳理整齐,按顺序送入小盒包装机 ·小盒包装机:该设备是包装机组最为复杂、工序最多、精度要求最高的部分。主要完成取定量烟支、缺支断支检测、空头监测、铝箔纸包装、硬盒/软盒包装、粘贴口花(软盒)、小透明纸包装工序的设备 ·小盒储存 输送设备:是小盒包装机与条盒包装机之间的 连接部分,也是包装机组的缓冲装置 ·条盒包装机:完成对每10小包进行一条包的包装,条盒外透明纸的包装过 程 烟丝回收设备:回收不合格烟支内烟丝的设备。基本工序包括烟支梳理(将烟支沿传输带纵向排放),沿支剖切(沿烟 支轴向剖开盘纸),筛分(将烟丝与其它杂物分离),装箱(将回收的烟丝与其它杂物分别装箱)。回收的烟丝可送至 制丝线掺配段掺兑到低档烟丝内重新利用。 嘴棒输送设备: ·嘴棒输送设备:将嘴棒送入管道,并用风力把嘴棒快速送至卷烟机的设备 ·嘴棒发射装置-将嘴棒依次送入嘴棒输送管道的设备,可向一台或多台卷烟机供应相同的嘴棒 ·嘴棒接收装置-嘴棒接收装置与卷烟机相连,用于接收从嘴棒发射装置发 送来的嘴棒.第三篇:远程登录与控制 教案
第四篇:典型路由器实验配置文档
第五篇:卷烟厂典型工艺流程和配置
点击咨询 