第一篇:ii型基站典型配置截图
WLC44XX配置截图
将vlan115的WLAN的security的Layer2 security设为 802.1x时:
将vlan115的WLAN的security的Layer2 security设为 none时:
将vlan115的WLAN的security的Layer2 security设为 WPA+WPA2时:
将vlan115的WLAN的security的Layer2 security设为 Static WEP时:
将vlan115的WLAN的security的Layer2 security设为 WEP,802.1x时:
指向ACS服务器的操作:
使用本地认证:
Monitor:
WLAN:
CONTROLLER:
第二篇:HAJ-II型呼吸器检测仪的使用操作方法
HAJ-II型呼吸器检测仪
在检测气囊式正压氧气呼吸时,一般要求是先检测整机气密性、再检测排气阀开启压力、自动补给开启压力、定量供氧流量。
在检测舱式正压氧气呼吸器时,先检测定量供氧。原因是:因为检测定量供氧时,要打开呼吸舱盖子,取出清净罐。在检测完毕后再将清净罐装好,将呼吸舱盖子装好。再去检测整机气密性、自动排气阀开启压力、自动补给阀开启压力。
如果按气囊式正压氧气呼吸器的检测方法,定量供氧检测在最后。如果在拆装呼吸舱盖子和清净罐时,如有不气密,就会使呼吸器不合格。除非在检测定量供氧完后,再又重新检测整机气密性。
一、呼吸器的检测:
HYZ4正压氧气呼吸器在检测时需要使用山西虹安公司生产的专用检测仪器:HAJ-II型呼吸器检测仪
检测前:1、先要在检测仪上的通气口、水柱压力计接口上分别接上一根一端带有胶塞的PU管。
2、在小流量计接口上接上一根一端带有定量孔罩的连接管。 开始检测呼吸器: 1、检测流量:小流量计浮子应稳定在1.4~1.8L/min之间为合格。
检测方法:①、将呼吸舱盖子打开,取出清净罐,将检测仪上接在小流量计接口处带有定量孔罩的接头罩住定量孔。
②、用2块木舌片从呼吸舱侧面两边对角的方向缝隙中轻轻插入,顶住呼吸舱内膜片。(使打开氧气时自动补给阀不能开启)
③、再打开氧气瓶开关,观察小流量计上浮子上升稳定后所指示的刻度,读出数。在1min内浮子应稳定在1.4~1.8L之间为合格。
如浮子没有在1.4~1.8L刻度之间,可调节定量孔螺丝。 调节方法:顺时针调是流量减小(即将螺丝拧紧)。
逆时针调是流量增大(即将螺丝拧松)。
④、定量供氧检测完毕后,关闭氧气瓶开关,将2块木舌片取出,把带定量孔罩的接头取下,将清净罐装入呼吸舱内,盖好呼吸舱盖,将盖子上的4个定位销卡好。
2、检测整机气密性:在1000pa压力位置,1min内水柱液面下降不超过30pa为整机气密。
检测方法:①、将呼吸软管连接处的藕接管一端松开,在另一根软管端也接上一个藕接管。
②、将接在检测仪上通气口,水柱压力计接口的2个胶管塞,一个胶管塞与呼吸器的呼气软管藕接管接好,另一个胶管塞与吸气软管藕接管接好。(2个胶管塞可任意与呼吸软管相连接)
③、用专用的顶杆从呼吸器背面的孔中插入,顶住排气阀,使排气阀不能开启。
④、将检测仪电源插头插上通电,此时,检测仪上电源指示灯亮。
⑤、往右边按动检测仪上电源开关,此时,检测仪上电源开关指示灯和气泵指示灯同时亮。
⑥、再将气泵开关拉出,气泵便发出嗡嗡的响声,开始向呼吸器内供气。此时要观察水柱压力液面上升时的速度,在1000pa刻度时,迅速将气泵开关推进(即关闭),待水柱液面位置稳定后,按检测仪右上角计时器按钮开始计时,在1min内水柱液面下降不超过30pa为整机气密。
3、检测自动排气阀开启压力:应在400~700pa之间开启为合格。
检测方法:①、将呼气软管(或吸气软管)接口处的胶管塞松开,把呼吸器内的气体放出,再把背面插孔中的顶杆取出,再又把胶管塞接好。(也可直接将呼吸器背面插孔中的顶杆取出) ②、将气泵开关拉出,气泵便发出嗡嗡的响声,开始向呼吸器内供气。此时要观察水柱压力液面上升时的速度,待水柱液面不再上升时的稳定值,读出数。自动排气阀开启压力应在:400~700pa之间为合格。
4、检测自动补给阀开启压力:应在50~200pa之间为合格。 检测方法:①、在检测自动排气阀开启压力完毕后,直接将检测仪上变换阀拉出(即抽气位置),气泵变成抽气负压状态,开始向呼吸器内抽气。
②、立即将氧气瓶开关打开,此时要观察水柱压力液面下降时的速度,待水柱液面不再下降的稳定值时,并同时听到呼吸舱内有补气的供氧声音,读出数。自动补给阀开启压力应在:50~200pa之间为合格。
③、检测自动补给阀开启压力完毕后,关闭氧气瓶开关,将气泵开关推进,变换阀开关推进,把电源开关往左边按下(即关闭),此时电源开关指示灯、气泵指示灯同时熄灭,最后将电源插头拨出,呼 吸器检测完毕。
二、在检测定量供氧流量时,要注意什么?
答:要注意的是:要用两块木舌片从呼吸舱侧面两边对角的方向缝隙中插入,顶住呼吸舱内膜片,使膜片不能触碰到自动补给“舌瓣片”,自动补给阀门就不能开启。
有用一块木舌片从呼吸舱侧面缝隙中插入的,插下时使呼吸舱内膜片一边往下压,一边翘起,有时导至木舌片插在呼吸舱与呼吸膜片之间的空隙中卡住,将木舌片往上拔出又卡住了,有的人强行将木舌片往上拔出,这样很容易造成将呼吸膜片划破。(用一块木舌片时,手捏住的这端尽量靠外,插下的这端靠中间,这样轻轻插下。)
如遇木舌片卡住在呼吸舱与呼吸膜片空隙之间的情况,此时不要强行将木舌片往上拔,可以再拿一块木舌片,从卡住的对角方向空隙中轻轻插下,使呼吸膜翘起的那边往下压,直到呼吸膜片两边平衡,这样就可以轻松地将卡住的木舌片取出了。
三、检测呼吸器有漏气时,要怎样查找漏气原因?
如在1min内水柱液面下降超过30pa则属整机不气密,在不气密的情况下,按以下方法查找漏气原因:
1、检查呼气器有“o”形密封圈各接头处,看“o”形密封圈是否丢失,“o”形密封圈上是否粘有氢氧化钙粉沫灰(将氢氧化钙粉沫灰擦干净),有卡箍的地方,卡箍螺丝是否拧紧,呼吸器所有接头处是否拧紧,该涂抹润滑油的地方涂上润滑油,待排除后再重新检测,如还是不气密,再按下面方法进行。
2、将呼吸舱侧面2根供氧流量铜管接头螺帽拆下,即手动供氧接头和定量供氧接头。
用HAJ—II型呼吸器检测仪自带的2个堵头,将呼吸舱侧面2个接头堵住,这样就将呼吸器高压供氧部分全部甩掉了。
3、再按整机气密性方法进行检测,在1000pa压力位置时: ①、如1min内水柱液面没有下降,则证明呼吸器的高压系统漏气。高压系统漏气好查,将2根供氧流量铜管螺帽与呼吸舱连接好,打开氧气,在高压系统各接头处涂上检漏液,看各接头处是否冒气泡,找到漏气的接头处理好。
②、如1min内水柱液面下降超过30pa,则证明呼吸器的低压系统漏气。
4、开始对呼吸器低压系统进行分段分块检测: 先将冷却罐与呼吸舱连接短管的接头拆掉,再将检测仪与吸气软管连接的胶塞拔出,堵在呼吸舱连接短管的接口上,这样就将冷却罐、吸气软管、排水阀这块甩掉了。
直接检测呼吸舱、呼气软管这一块的气密性,同样按整机气密性方法进行检测,在1000pa压力位置时:
①、如1min内水柱液面下降超过30pa,则证明就是呼吸舱、呼气软管这一块漏气。
②、如果1min内水柱液面没有下降,则证明是冷却罐、吸气软管、排水阀这一块漏气。
先按上面①漏气原因查:呼吸舱、呼气软管这一块漏气。
方法:将呼吸舱、呼气软管这一块拆下来,将2根连接在检测仪上的PU管拔出,把一根PU管捏死,使之不能漏气,另一根PU管接上HAJ—II型呼吸器检测仪自带的吸气球,手捏吸气球向呼吸舱内压气,待呼吸膜向上鼓起到适当位置后,将呼吸舱、呼气软管全部浸入水中,并双手向下压呼吸膜板,看哪里冒气泡就是哪里漏气。
再按上面②漏气原因查:冷却罐、吸气软管、排水阀这一块漏气。方法:将这一块拆下来,将一根PU管胶塞堵住吸气软管接口,并用手捏住胶管,使之不能漏气,将另一根接有吸气球的PU管胶塞堵住冷却罐与呼吸舱连接处的接口上,然后浸入水中,手捏吸气球压气,看哪里冒气泡就是哪里漏气。
四、用检测仪检测氧气呼吸器时,应注意什么?
应注意的是:
1、检测仪整机要气密。
2、检测仪上水柱压力计的水位要调整在“0”刻度位置。
3、读数时,人的视线要与水柱液面成平行位置。
4、检测仪向呼吸器供气或抽气时,一定要注意观察水柱液面上升或下降时的速度。
例如:检测整机气密性时,将气泵开关拉出后,气泵开始向呼吸器内供气,此时一定要观察水柱压力液面上升时的速度,在1000pa刻度时(或1050pa),迅速将气泵开关关闭。
有人在检测时,没有认真观察水柱压力液面上升时的速度,到了1000pa刻度时(或1050pa),没迅速将气泵开关关闭,有时造成将呼吸器检测仪水柱计玻璃管内面的水压出到仪器外面来,也造成呼吸舱内的气体压力增加,损坏呼吸舱内膜片组。
第三篇:爱立信基站典型故障处理案例
案例1:对基站进行IDB的配置总是无法完成,提示为时间超时。 当对基站进行IDB数据的配置时,因为TRU与DXU软件版本不一致,或BSC下载软件的同时进行DXU数据配置而产生冲突,或第一次IDB配置电源电压类型错误,或短时间内频繁的对DXU进行IDB配置等原因,偶尔可能导致再进行IDB的数据配置时,出现提示为时间超时而无法完成的现象。导致DXU同机架内部的通信上存在异常现象,出现类似机架掉死的现象,更换DXU无效。
解决的办法是,将DXU(或新的DXU)放到同基站的其它机架上,或另外的基站上,仅对DXU加电,按照存在问题的机架配置进行IDB的重新配置,完成后再安装到存在问题的机架上,不必再重新配置,对DXU等各模块加电重起,即可解决问题。
案例2:RBS200基站工作不稳定,经常退服。 基站各部件的稳定工作离不开稳定的时钟信号,而基站的时钟信号是从PCM传输中提取的,爱立信的基站不提供外部时钟输入的端口, RBS200基站是爱立信早期推出的GSM基站产品,这些基站设备是基于采用传统的PDH传输组网方式而设计的,并不非常适用于SDH传输组网方式,这就会导致RBS200基站在和某些厂家的SDH传输设备配合使用时,导致基站工作不稳定,频繁出现时钟同步的告警,经常退服,严重影响了基站的正常运行。
解决办法有两种:一种是将RBS200基站使用的SDH传输更换为PDH传输;另一种是将RBS200基站设备更换为RBS2000基站设备,因为RBS2000对同步要求较RBS200低,能够很好同SDH传输配合工作。
案例3:开始时,马厂湖基站有部分TS总是无法正常工作,且不固定在某个载频上,更换TRU、DXU无效,对基站的数据进行拆掉重新加载后仍无效,后来整个基站所有的TS均无法正常工作,基站硬件、传输、数据等均不存在问题。 点检查了基站的所有硬件均不存在故障现象,对怀疑有问题的TRU、DXU进行了更换;对传输进行了环路测量,也未发现传输电路存在质量问题;检查小区、基站的定义数据也都正常。怀疑基站的数据存在掉死的现象,但没有确凿的证据。 尝试用另外一种方法进行故障的定位。从BSC的ETC传输接口处,即ETRBLT板子2M接口处将马厂湖基站的传输DIP=97同另外一个类似配置的基站装载机厂的传输DIP=98直接进行互换,也就是说互相用对方基站的数据来开通基站。互换后发现,马厂湖基站的数据在装载机厂基站上仍然存在同样的问题,而装载机厂基站的数据在马厂湖基站上却能正常工作。这就可以说明,马厂湖基站的硬件、传输均不存在问题,基站数据确实存在掉死的现象。
在确认马厂湖基站的数据存在掉死的情况后,重新定义了新的TG数据,来替换原先存在掉死现象的TG数据,整个基站恢复正常运行。
对上述基站数据掉死的解决办法还有一种是进行BSC的重新启动,因为需要在晚上进行,因此可能会导致基站退服的时间较长。
案例4:中国银行基站第2小区对应的机架为2个CDU C,4个载频配置,总是在4个载频全部开起来后,又很快全部退服,现象为第
1、2个TRU状态为TX not enabled,第
3、4个TRU为Fault灯和Operational灯同时亮。每次对DXU进行复位,总是出现上述的同样现象,整个小区无法正常运行。
因为第
3、4个TRU总是出现故障现象,将这两个TRU更换,仍然出现同样的故障现象;更换第
3、4个TRU对应的第2个CDU C,仍然出现同样的故障现象。 将第
3、4个TRU放到第
5、6个TRU的位置上,将第2个CDU放到第3个CDU的位置,这样载频的位置为第
1、
2、
5、6,甩开TRU第
3、4位置不使用,整个小区正常运行,不再出现上述故障现象。
根据以上处理过程进行分析,应该是第2个CDU C对应的CDU BUS总线或第
3、4个TRU对应的背板存在问题,导致第2个CDU C不能正常工作,不仅导致第
3、4个TRU不能正常工作,而且导致整个小区不能正常工作。
将第2个CDU C对应的CDU BUS总线拆下来,更换一新的CDU BUS总线后,故障解决,确认是第2个CDU C对应的CDU BUS总线存在问题。 下图是CDU BUS的连接示意图:
还有一种解决办法,就是将CDU C更换为CDU C+,并且使用Y cable,按照如下图连接:
这样就可以不再使用第2个CDU C对应的有问题的CDU BUS总线,就不会出现整个小区开不起来的现象。
案例5:沂水城东基站A小区扩容一个机架,由6载频扩容为8载频。在打开跳频的情况下,A小区所有8个载频的时隙全部正常工作后很快陆续全部退服,同时出现1A级的XBus Fault告警,但告警很快又消失。对基站A小区复位或闭解CF,仍然是同样的故障现象。将A小区的跳频关掉后可以正常运行。
针对出现的XBus Fault告警,重点检查了新增扩的机架TRU和DXU背板跳点设置,CDU BUS的连接情况,均未发现异常,更换DXU也不能解决问题。考虑到当时是在上午忙时,此小区承担的话务量很高,有可能是因为A小区重起时接入用户太多导致负荷过高而不能以跳频方式正常运行,设置A小区参数CB=YES禁止待机时手机接入,设置A小区为Layer=3小区限制其它小区手机用户向A小区切换,这样的参数设置曾经解决过类似大容量小区在打开跳频的情况下忙时重起困难的问题,但仍不能解决沂水城东A小区的问题。
怀疑新增扩的2个TRU虽然状态显示正常,但仍然可能存在问题,导致XBbus工作异常。由于A小区的主架的6个TRU和副架的2个TRU间已多次互相倒换位置来排除TRU的问题,已经不能分清哪2个TRU是新增扩的。于是将A小区的所有8个载频全部替换,问题解决。 总结:某个存在故障的TRU可以导致其背板连接的总线工作异常,在这个案例中,导致了XBus工作异常,小区不能打开跳频,但是此TRU的状态显示完全正常。解决办法是替换怀疑有问题的TRU,尤其是新增扩的TRU,不要采取在有问题的小区内互相倒换的方式,因为存在故障的TRU无论在那个位置均可以导致同样的故障现象。应该用其它小区或新带来得TRU替换。
还有一个例子也是存在故障的TRU导致其背板连接的总线工作异常的情况:某小区新扩一个机架,载频由6个扩容到7个,但是每次启站时总是很快出现驻波比过高的基站告警,所有载频全部退服,故障原因是新扩的TRU(在新扩的副架上)存在问题,虽然表面状态均很正常,但是把它插到机框内加电后,就会干扰背板总线的正常工作,导致出现整个小区驻波比过高的问题产生。
案例6:付庄基站为3个RBS2202机架级联、4/4/4配置,故障现象为B小区退服,复位后B小区恢复正常,但几小时后又再次退服,基站不存在任何告警。如此反复,B小区工作状态很不稳定。
因为是在基站运行中出现的故障,所以首先怀疑是B小区DXU出现故障,但是更换后仍无法解决。检查B小区的射频电缆、PCM传输电缆、CDU总线均无异常。通过OMT软件监测付庄基站3个机架DXU的PCM连接状态均正常。 考虑到B小区是级联A小区的,即PCM传输电缆从A小区DXU的G.703-2端口连接到B小区DXU的G.703-1端口,这段传输通路是否存在问题?更换这段通路上的所有传输电缆,仍不能解决问题。再向前考虑一步,是不是A小区DXU的G.703-2端口存在问题,虽然没有故障状态显示?更换A小区的DXU,重新配置IDB数据后,问题解决。
总结:针对多机架级联的基站,第
2、3小区退服的情况,要考虑前一级级联的小区所在的机架是否存在DXU故障、PCM传输电缆接错、IDB数据中未定义PCM级联等情况。
案例7:某个基站第2小区有3个时隙LMO状态为0800,复位和更换载频后无效。
检查基站的定义数据,发现第2小区对应的TG-139,在定义半永久连接关系时,将RBLT-1309与DCP 28连接是错误的,导致DCP 28相对应的4个TS时隙,无法正常工作。应该是RBLT-1308与DCP 28连接,正确修改后,故障解除。 类似的故障现象可能还有如下的故障原因: (1)某个基站第2小区4个时隙LMO状态为0800复位和更换载频无效:用DTIDP指令检查DIP的定义数据,发现MODE=1是错误的。RBS200基站的DIP定义为MODE=1,即传输的第16时隙仅用于传信令,不用于传话音。而此基站为RBS2000基站,正确的定义是MODE=0,如果定义为MODE=1,会导致DCP 16,即传输的第16时隙不能正常使用,出现上述的故障现象,或者导致用户占用时出现单通现象。
(2)某个基站第3小区2个时隙LMO状态为0800,复位无效: 第3小区的2个时隙的故障原因是在定义基站数据时,MO CF的参数SIG=UNCONC错误,因为所有的TRX的SIG=CONC,导致TG分配的DCP不够用。将MO CF的参数该为SIG=CONC,故障消除。
案例8:某个新建基站传输状态正常,硬件也不存在问题,但基站开不起来 基站数据定义看起来不存在问题,其它检查也做了很多,但基站仍然不能开起来。重点检查基站DIP所连接的SNT的DEVICE数据定义,会发现RBLT的状态不对,为MBL闭掉的状态,试图解闭,可能还会发现未完全定义,再用EXDAI、EXDUI指令进行补充定义,解闭此SNT所带的RBLT,再重新LOAD基站数据后问题解决。 对新建基站开不起来的情况,还有BSC侧MO=RXOCF的TEI值与基站OMT软件定义的不一致,导致基站无法同BSC建立联系。此种情况较多的出现在级联基站上,重新定义,使基站的TEI值同BSC侧定义的TEI值一致便可解决问题。
案例9:盲校基站存在瞬断现象,导致信道完好率虽然很接近但达不到100%,同时基站传输设备也出现传输瞬断的现象。
检查基站硬件设备,及传输设备均未发现异常,更换DXU也无法解决问题。在基站上进行故障处理时,发现老式的爱立信开关电源存在模块损坏的情况,但仍能正常工作。经过长时间现场观察,发现交流电压不稳定,忽高忽低,当电压过高时,开关电源的过压保护器便跳脱保护,爱立信开关电源所有的模块处在过压保护的状态,同时传输设备瞬间复位,导致基站瞬断。此时就发现了交流电压过高可能是导致盲校基站瞬断的原因。 经过分析,老式的爱立信开关电源对交流电电压波动范围的适应性较差,当电压过高超出其限定值时,开关电源的所有模块出现瞬间的保护而导致其直流输出电压异常,从而导致传输设备因直流供电不能满足要求而瞬间复位,导致爱立信基站瞬间退服。
将老式的爱立信开关电源更换为能适应宽范围交流电压波动的新式开关电源,问题解决,盲校基站再也未出现瞬断的现象。这样的情况也存在于其它部分型号的、对交流电压波动适应性差的老式开关电源上。
案例10:柳行头基站为九期新建全向2载频基站,传输环路状态正常,不存在滑码、误码等传输质量差的情况,基站硬件状态正常,不存在任何告警,但将传输头子接到DXU的G.703-1接口后,BSC侧传输状态显示WO正常状态,但是DXU黑灯,所有的指示灯均不亮。从BSC侧观察是CF无法Load成功,导致此基站开不起来。
首先全面检查基站硬件、传输设备、传输电缆等均没有发现问题,检查柳行头基站数据、小区数据定义也没有发现问题,更换DXU也不能解决问题。
从BSC的ETC传输接口处将柳行头基站的传输同另外一个相同配置且正在运行的松峰基站传输互换,不必改动任何数据,也就是说互相用对方基站的数据来开通。柳行头基站的数据在松峰基站上运行正常,而松峰基站的数据却无法在柳行头基站上运行,这就可以说明柳行头基站的数据不存在错误、掉死等异常情况,而从BSC到柳行头基站的传输通路上存在问题,也可能是基站硬件存在问题(这已排除)。
这样重点怀疑从BSC到柳行头基站的传输通路上存在问题,需要仔细检查,传输维护人员从BSC往基站方向一段一段进行检查,果然发现在北园传输机房处柳行头基站的传输跳线存在问题,120欧姆4根信号传输线中的一根与配线端子处在似接触非接触的状态,重新卡接后,柳行头基站CF软件load成功,基站顺利开通,问题解决。
需要注意的是,基站电路环路时是通的,并不能代表基站电路完全不存在问题,因为还存在类似上述传输信号线接触不好、远端告警等一些特殊的传输故障现象。
案例11:邮政局基站C小区扩容到主、副架共12个载频,但是最多只能开起来10个载频,总有2个载频无论如何也开不起来,并且这2个开不起来的载频位置不固定,状态表现为仅Tx not enable灯亮。基站不存在告警。 更换相应的载频无效。仔细观察开不起来的2个载频的故障现象,发现总是某一个CU上的2个载频同时出现开不起来的现象,虽然这个CU也不是固定的。将12个载频中的某两个位于同一个CU上的载频TRX闭掉,其它10个载频均能正常工作。
根据以上现象,考虑到爱立信基站载频相互间发射部分TX和接收部分RX存在“借用现象”,即载频A的RX(可能载频A的TX存在问题)和载频B的TX可以组成一个完整的正常工作的“载频”,而载频A的状态可能为正常运行状态,而载频B的状态为仅Tx not enable灯亮。
进一步从BSC上观察邮政局基站C小区各MO的工作状态,发现最后2个载频的TX-11&&-12工作状态开始时总是NOOP,过一段时间之后状态变为FAIL,但是考虑到最后2个载频的TX发射部分可以借用另外2个载频的TX发射部分,即存在TX的“借用现象”,因此状态仍有可能是正常运行的。导致TX状态为FAIL的原因有发射通路上的CDU存在问题,连接的天线驻波比过大,TX定义的连接小区错误,TRU的发射部分存在故障等原因。 经过排查,重点怀疑是最后2个载频,即TRX-11&&-12对应连接的CU存在问题,虽然此CU的运行状态正常,无故障灯指示。更换此CU后,邮政局C小区的12个载频全部开起来,问题解决。 这种类型的故障处理,不要被基站各硬件的运行状态显示所迷惑,可能状态是正常的,但是也有可能存在问题,就像上面所讲的CU的故障现象。
案例12:TX无法正常工作,基站告警为CDU output power limits exceeds 九期工程中,在开通西梁王基站(S2,2,2)时,发现虽然基站本测过程中,各MO 状态正常,均无告警,但是在开站时,当TX打开后, B小区CDU的Fault 红灯亮,,小区不能工作。我们通过OMT查寻告警,监测到SO CF 2A:9 :CDU output power limits exceeds。首先我们怀疑天馈系统有问题,用驻波比测试仪测得DTF值1.08,SWR值1.19,均为正常值。随后更换了CDU及TRU后故障仍未排除。最后我们根据TX的原理,输出功率由前向及反向功率的比较得出的(Reference RBS2202) ,于是检查对应的Pref,Pfwd馈线,发现标签贴反,导致反向功率总大于前向功率,更改后故障消除。
案例13:基站存在SO CF 2A: Timing bus fault告警,TRU无法工作。 建工大厦基站(S6,6,6,)在扩为(S8,6,6)时,A小区扩容的副柜TRU状态不对,TRU的Fault在自检后长亮。此时B,C小区已正常。用B,C小区的机柜带A小区的副柜无问题,从而证明A小区的副柜本身无问题。通过OMT查寻告警,监测到SO CF 2A: Timing bus fault。更换C5 BUS线后故障仍未排除,于是判定故障点应在A小区机柜本身之内。根据OMT读出告警,判断故障为机柜内 BUS问题,更换后状态正常,A小区正常工作。
案例14:PSU的排障方法
下面是满配置的PSU与ECU的光纤连接示意图: 在基站出现同PSU相关的告警后,到基站上观察PSU的状态,可能有如下两种情况:第一种是PSU亮红灯或不亮灯,第二种是PSU面板状态正常但可能存在故障。 针对第一种情况,首先检查PSU的-48V直流(PSU -48)或230交流(PSU 230)输入是否正常,可能存在输入开关跳脱或熔丝熔断的情况,如果排除上述情况,那么很可能是亮红灯或不亮灯的PSU存在故障,进行更换确认。对更换后的新PSU,应该先加-48V直流或230交流输入(下面的接头),再连接直流输出接头(上面的接头),否则容易导致新加的PSU因为直流电流倒灌的原因而再次损坏。 针对第二种情况,使用逐个排除的方法来找出存在故障但面板显示正常的PSU。满配置的PSU数量一共是4个,与ECU通过光纤串联在一起,形成一个环路。首先甩开左边第1个PSU,将剩下的3个PSU同ECU通过光纤串形连接,再观察基站的PSU相关告警是否消除,如果消除,则说明左边第1个PSU存在故障,进行更换;如果故障仍未消除,可将左边第2个PSU单独甩开,将剩下的3个PSU同ECU通过光纤串形连接,需注意的是从左边第1个PSU直接连接到第3个PSU的光纤需要换成长一点的光纤,再观察基站的PSU相关告警是否消除,以此类推,逐个排查PSU。除了上述方法,类似的,还可采用每个PSU单独同ECU串形连接,再观察基站告警是否消除的方法,逐一进行排查。 还有一点需要说明的是,基站对PSU的识别并不是完全根据PSU的安装位置,例如最左边的PSU被识别为PSU-0,向右依次为PSU-
1、PSU-
2、PSU-3,实际上并不是这样的。基站识别PSU是通过光纤环路来识别的,不在这个环上的PSU将不被识别,同时针对这个不在环上的PSU基站也不会产生告警。光纤环路连接最左边的PSU被识别为PSU-0,然后依据光纤环路上的连接,向右依次识别为PSU-
1、PSU-2等,例如PSU-0,它的实际安装位置可能是从最左边数第3个PSU。
有一个故障现象是某个PSU的架顶-48V输入接口因短路损坏严重,不能再使用,并且基站存在相应告警。消除告警的办法是在PSU与ECU的光纤环路中,甩开这个损坏严重的架顶-48V输入接口对应的PSU,再从IDB数据中删除多余的PSU(损坏的接口对应的)即可消除告警。
第四篇:H3C WLAN配置与典型配置,配置举例v2.0
H3C WLAN产品出厂配置与典型配置详解
H3C WLAN产品出厂配置与典型配置详解
1.1 WA1208E出厂配置详解(V3版本)
下面以WA1208E-AGP设备为例,讲解WA1208E的出厂配置: #
sysname H3C
#
radius scheme system
server-type extended
primary authentication 127.0.0.1 1645
primary accounting 127.0.0.1 1646
user-name-format without-domain
accounting
domain system
radius-scheme system
access-limit disable
state active
idle-cut disable
domain default enable system
#
local-server nas-ip 127.0.0.1 key h3c
local-user admin
//默认情况下,支持telnet功能,用户名admin.,密码wa1208
password simple wa1208
service-type telnet level 3
service-type web level 2
#
config-file-auto-save-period set 30
cpu-performance-alarm-limit set 100
config-file-auto-save-mode-open
#
web-server max-user-number 5
web-server port 80
#
interface Aux0/0
link-protocol ppp
#
vlan 1
- 2H3C WLAN产品出厂配置与典型配置详解
#
//wireless类型接口可绑定ssid,用于连接无线客户端
interface Wds1/5
#
interface Wds1/6
#
interface Wds1/7
#
interface Wds1/8
#
interface Wds1/9
#
interface Wds1/10
#
interface Wds1/11
#
interface Wds1/12
#
interface Wds1/13
#
interface Wds1/14
#
interface Wds1/15
#
interface Wds1/16
#
interface Wds1/17
#
interface Wds1/18
#
interface Wds1/19
#
interface Wds1/20 //Wds1/5-1/20是radio 1上的16个无线桥接接口
#
//WDS类型接口可绑定wds-ssid,用于实现AP与AP间的无线连接
interface Wds2/5
#
interface Wds2/6
#
interface Wds2/7
#
interface Wds2/8
- 4H3C WLAN产品出厂配置与典型配置详解
1.2 WA1208E典型配置详解(V3版本)
1.2.1 组网图
组网说明 Fat AP上配置两个vlan:vlan 1000和vlan 256 vlan 1000为管理vlan;vlan 256为业务vlan,所有的无线客户端都属于vlan 256 Fat AP的管理IP地址为10.10.1.50/24,网关为10.10.1.254 服务集标识SSID为H3C-wireless,无认证无加密
1.2.2 配置步骤
步骤一:创建业务vlan(vlan256)和管理vlan(vlan 1000),并配置管理IP地址
[H3C] vlan 256
[H3C-vlan256] quit
[H3C] vlan 1000
[H3C-vlan1000] quit
[H3C] interface vlan 1000
[H3C-Vlan-interface1000] ip address 10.10.1.50 255.255.255.0 immediate
[H3C-Vlan-interface1000] quit 步骤二:将上行以太网口配置为Trunk类型
- 6H3C WLAN产品出厂配置与典型配置详解
#
local-server nas-ip 127.0.0.1 key h3c
local-user admin
password simple wa1208
service-type telnet level 3
service-type web level 2
#
config-file-auto-save-period set 30
cpu-performance-alarm-limit set 100
config-file-auto-save-mode-open
#
web-server max-user-number 5
web-server port 80
#
interface Aux0/0
link-protocol ppp
#
vlan 1
#
vlan 256
#
vlan 1000
#
interface Vlan-interface1
#
interface Vlan-interface1000
ip address 10.10.1.50 255.255.255.0 immediate
#
interface Ethernet0/1
port link-type trunk
port trunk permit vlan all
#
ssid H3C-wireless
set vlan 256
bind domain system
#
ssid wa1208e
bind domain system
#
- 8
H3C WLAN产品出厂配置与典型配置详解
#
interface Wds1/17
#
interface Wds1/18
#
interface Wds1/19
#
interface Wds1/20
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 10.10.1.254 preference 60 #
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme
#
return
- 10H3C WLAN产品出厂配置与典型配置详解
步骤二:将上行以太网口配置为Trunk类型
[H3C] interface Ethernet 1/0/1
[H3C-Ethernet1/0/1] port link-type trunk
[H3C-Ethernet1/0/1] port trunk permit vlan all
步骤三:创建无线接口,并指定此接口属于vlan 256(即连接此无线接口的无线客户端都属于vlan 256)
[H3C] interface WLAN-BSS 1
[H3C-WLAN-BSS1] port access vlan 256
步骤四:创建无线服务模板(SSID名称为H3C-wireless)
[H3C] wlan service-template 1 clear
//”clear”表示此模板是非加密类型的
[H3C-wlan-st-1] authentication-method open-system
//无线链路层认证采用”open-system”的方式
[H3C-wlan-st-1] ssid H3C-wireless
[H3C-wlan-st-1] service-template enable
//使能无线模板
步骤五:在11g射频卡上绑定无线服务模板和无线接口,配置信道为1
1、功率为15dBm
[H3C] interface WLAN-Radio 1/0/1
[H3C-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1
[H3C-WLAN-Radio1/0/1] radio-type 11g
[H3C-WLAN-Radio1/0/1] channel 11
[H3C-WLAN-Radio1/0/1] max-power 15
注:默认情况下,功率为20dBm(即100mW);信道为自动调整。 步骤六:配置默认路由
[H3C] ip route-static 0.0.0.0 0 10.10.1.254
1.3.3 Fat AP配置信息
#
version 5.20, 0001
- 2H3C WLAN产品出厂配置与典型配置详解
#
interface Ethernet1/0/2
#
interface WLAN-BSS1
port access vlan 256
#
interface WLAN-Radio1/0/1
channel 11
service-template 1 interface wlan-bss 1
#
interface WLAN-Radio1/0/2
#
user-interface con 0
user-interface vty 0 4
#
return
- 4H3C WLAN产品出厂配置与典型配置详解
1.4.2 三层交换机的主要配置
由于AP和无线客户端都是动态获取IP地址,而与DHCP Server之间跨越三层网络,所以需要在网关设备三层交换机上启用DHCP relay功能。以H3C三层交换机为例,具体配置如下:
三层交换机的主要配置(DHCP relay功能) [H3C] dhcp-server 0 ip 192.168.3.99 [H3C-Vlan-interface2] dhcp-server 0 [H3C-Vlan-interface4] dhcp-server 0 1.4.3 DHCPServer的主要配置
由于AP与AC之间跨越三层网络,所以需要通过Microsoft DHCP Server的option 43字段向AP下发AC IP地址,实现AP跨越三层网络在AC上的注册。
AP属于192.168.2.0/24网段,所以在192.168.2.0/24网段的地址池中需下发option 43字段,AC的IP地址为192.168.1.99,故根据option 43的填写规则,此字段下发的信息如下:
80 07 00 00 01 c0 a8 01 63 AP网段的地址池如下图所示:
无线客户端网段的地址池如下图所示:
- 6H3C WLAN产品出厂配置与典型配置详解
[WX5002-wlan-ap-ap2] serial-id 210235A29F0081000109
//AP的序列号
[WX5002-wlan-ap-ap2] radio 2 type dot11g
[WX5002-wlan-ap-ap2-radio-2] service-template 1
[WX5002-wlan-ap-ap2-radio-2] radio enable 指定与WX5002配套的WA2220E-AG的AP软件版本
[WX5002] wlan apdb WA2220E-AG Ver.A V100R001B10D004 [WX5002] wlan apdb WA2220E-AG Ver.B V100R001B10D004
//”V100R001B10D004”为WA2220E-AG的软件版本,表明AC当前版本需要与AP此版本配套,同时将AP的此版本文件以wa2200_fit.bin的文件名上传到AC上。
WX5002完整配置信息:
#
version 5.20, Release 1106
#
sysname WX5002
#
domain default enable system
#
wlan apdb WA2220E-AG Ver.A V100R001B10D004
wlan apdb WA2220E-AG Ver.B V100R001B10D004
#
vlan 1
#
vlan 4
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
wlan rrm
dot11a mandatory-rate 6 12 24
dot11a supported-rate 9 18 36 48 54
dot11b mandatory-rate 1 2
- 8H3C WLAN产品出厂配置与典型配置详解
#
user-interface aux 0
user-interface vty 0 4
#
return
- 10
1.1 1.2 WA1208E出厂配置详解(V3版本) .....................................................................................WA1208E典型配置详解(V3版本) .....................................................................................
1.2.1 1.2.2 组网图 .....................................................................................................................................- 6
1.2.3 Fat AP配置信息 .......................................................................................................................- 71配置步骤.................................................................................................................................- 11.4 WX5002典型配置详解(V5版本) .......................................................................................
1.4.1 1.4.2 组网图 .....................................................................................................................................- 5
1.4.3 DHCPServer的主要配置 ........................................................................................................- 6
- 1 -
第五篇: 典型路由器实验配置文档
目录
一,DHCP中继代理配置实验案例(多个DHCP服务器) ............................. 3 二,IPsecVPN穿越NAT实例配置 .............................................. 5 三,双PPPOE线路实验(神码) .................................................. 9 四,外网通过IPsec_VPN服务器(在内网)访问内网服务器 ......................... 15 五,DCR-2800和BSR-2800配置RIP路由 ..................................... 21 六,DCR-2800 L2TP服务器配置 .............................................. 24 七,总分部之间IPsecVPN对接 ................................................ 29 一,DHCP中继代理配置实验案例(多个DHCP服务器) 1,需求描述
如果DHCP客户机与DHCP服务器在同一个物理网段,则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段,则需要DHCP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器,也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机,而且一个网络中有可能存在多个DHCP服务器作为冗余备份。 2,拓扑图
3,配置步骤
R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //启用DHCP客户端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服务器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服务器2的地址 ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到) //有限广播DHCP报文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp (开启DHCP服务,sh run 看不到) R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(开启DHCP服务,sh run 看不到) 4,配置验证
Sh ip int br//查看端口信息
Show ip dhcp binding //查看所有的地址绑定信息
R1上抓包
R3上抓包
R4上抓包
5,注意事项
(1)必须开启DHCP服务 service dhcp (2)客户端获取一个地址后,广播发送Request报文包含此地址的DHCP服务器(R3)ID,R4收到后回收已分配的地址,避免造成地址浪费。
二,IPsecVPN穿越NAT实例配置
1,需求描述
IPSec协议的主要目标是保护IP数据包的完整性,这意味着IPSec会禁止任何对数据包的修改。但是NAT处理过程是需要修改IP数据包的IP 包头、端口号才能正常工作的。所以,如果从我们的网关出去的数据包经过了ipsec的处理,当这些数据包经过NAT设备时,包内容被NAT设备所改动,修 改后的数据包到达目的地主机后其解密或完整性认证处理就会失败,于是这个数据包被认为是非法数据而丢弃。无论传输模式还是隧道模式,AH都会认证整个包 头,不同于ESP 的是,AH 还会认证位于AH头前的新IP头,当NAT修改了IP 头之后,IPSec就会认为这是对数以完整性的破坏,从而丢弃数据包。因此,AH是约 可能与NAT一起工作的。
意思就是说,AH处理数据时,所使用的数据是整个数据包,甚至是IP包头的IP地址,也是处理数据的一部分,对这些数据作整合,计算出一个值, 这个值是唯一的,即只有相同的数据,才可能计算出相同的值。当NAT设备修改了IP地址时,就不符合这个值了。这时,这个数据包就被破坏了。而ESP并不保护IP包头,ESP保护的内容是ESP字段到ESP跟踪字段之间的内容,因此,如何NAT只是转换IP的话,那就不会影响ESP的计算。但是如果是使用PAT的话,这个数据包仍然会受到破坏。
所以,在NAT网络中,只能使用IPSec的ESP认证加密方法,不能用AH。但是也是有办法解决这个缺陷的,不能修改受ESP保护的TCP/UDP,那就再加一个UDP报头。 解决方案:NAT穿越 2,拓扑图
3,配置步骤 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP协议
ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址转换
ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址转换
R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4,配置验证
R1#f0/0上抓包
ISAKMP报文
ESP报文
R2#f1/0上抓包
ISAKMP报文
ESP报文
5,注意事项
(1)R1与R3上的对端地址均为公网地址,R1上要配缺省路由。
(2)IPsecVPN穿越NAT时要变换IP地址和端口,从而导致对方认证失败,所以应该保证变换后的IP地址和端口和对端一致。
三,双PPPOE线路实验(神码) 1.需求描述
现实网络中有很多企业和机构都采用双线路来互相冗余备份,而其中有很多通过pppoe拨号(ADSL宽带接入方式)来实现对每个接入用户的控制和计费。 2.拓扑图
3,配置步骤
R1# interface Virtual-tunnel0 //配置虚拟通道0 mtu 1492 //最大传输单元
ip address negotiated //IP地址自协商 no ip directed-broadcast ppp chap hostname DCN //chap认证方式用户名DCN ppp chap password 0 DCN //chap认证方式密码DCN
ppp pap sent-username DCN password 0 DCN //pap认证方式用户名DCN1密码DCN1 ip nat outside ! interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside ! interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! ip route default Virtual-tunnel0 //默认路由走虚拟隧道0 ip route default Virtual-tunnel1 //默认隧道走虚拟隧道1 ! ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any ! vpdn enable 启用VPDN ! vpdn-group poe0 建vpdn组 request-dialin 请求拨号
port Virtual-tunnel0 绑定虚拟隧道0 protocol pppoe 封装PPPOE协议
pppoe bind f0/0 绑定到物理接口f0/0 ! vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0 ! ! ! ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虚拟隧道0 ip nat inside source list natacl interface Virtual-tunnel1 ! R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配给客户端的地址池 aaa authentication ppp default local //开启本地ppp认证 username DCN password 0 DCN //本地认证的用户名密码 ! interface Virtual-template0 //建立虚拟模版0 ip address 172.16.1.1 255.255.0.0 //设置ip地址 no ip directed-broadcast ppp authentication chap //PPP认证为chap认证方式(virtual-tunnel隧道不能配置此参数,否则只能完成发现阶段,不能建立会话阶段) ppp chap hostname DCN //chap认证用户名DCN ppp chap password 0 DCN //chap认证密码DCN
peer default ip address pool pppoe //给拨号上来的客户端分配地址池里的地址 ip nat inside ! ! interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside ! ip route default 192.168.3.1 ! ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any ! vpdn enable //启用vpdn ! vpdn-group pppoe //建立vpdn组 accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟模版0 protocol pppoe //封装pppoe协议
pppoe bind fastEthernet0/0 //绑定到物理接口fsatethnet0/0 ! ! ip nat inside source list natacl interface f1/0
R3# ip local pool pppoe 192.168.1.2 10 ! aaa authentication ppp default local !
username DCN1 password 0 DCN1 ! interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap
ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside ! Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside ! ! ip route default 192.168.3.1 ! ! ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any ! ! vpdn enable ! vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0 !
ip nat inside source list natacl interface f1/0 !
4,验证配置
R1#sh ip int br
Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session
PPPOE Session Information: Total sessions 2
ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br
Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br
Interface
IP-Address
Method Protocol-Status FastEthernet0/0
unassigned
manual up
FastEthernet0/1
192.168.3.2
manual up Virtual-template0
192.168.1.1
manual down Virtual-access0
192.168.1.1
manual up
#sh pppoe session
PPPOE Session Information: Total sessions 1
ID
Remote_Address
State
Role
Interface BindOn
FC:FA:F7:D2:07:E9 Established
server
va0
f0/0
5,注意事项
(1),pppoe-client配置虚拟通道时,最大传输单元为1492(默认),ip地址为自协商,ppp认证方式为chap和pap(服务器提供的认证方式有可能为chap或pap)。注意:不能配置ppp authentication chap(认证方式为任意)。
(2),pppoe-client配置vpdn时,先启用vpdn,创建vpdn组,请求拨号,应用虚拟隧道,封装pppoe协议,绑定到物理接口。
(3),pppoe-client配置默认路由下一跳为虚拟隧道virual-tunnel0/virtual-tunnel1,配置NAT时,出接口为虚拟隧道virual-tunnel0/virtual-tunnel1。
(4),pppoe-server配置时注意配置分配给客户端的地址池,开启本地ppp认证,配置本地认证用户名和密码。
(5),pppoe-server配置虚拟模版时,最大传输单元1492,ip地址为固定ip(与地址池在同一网段,但不包含在地址池里),ppp认证方式为chap或pap,认证的用户名和密码,给拨号上来的客户端分配地址池里的地址。
(6),pppoe-server配置vpdn时,先启用vpdn,创建vpdn组,允许拨号,应用虚拟模版,封装pppoe协议,绑定到物理接口。
四,外网通过IPsec_VPN服务器(在内网)访问内网服务器
1,需求描述
有些企业单位将VPN服务器放在内网,需要让在外网出差的用户拨上VPN后能访问内网部分资源(如WEB服务器,办公系统等)。 2,拓扑图
3,配置步骤 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1
match address ipsecacl ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道协商的路由
ip route 172.16.1.0 255.255.255.0 10.1.1.1 //转发VPN客户端流量的路由 ! ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
Telnet_Server# aaa new-model //开启AAA认证 ! aaa authentication login default none //无认证登录 aaa authentication enable default none //无enable认证 ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.1.1.1 //网关
NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ! ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服务器 ! ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封装ESP协议 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射
IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 11.1.1.1 set transform-set tran1
match address ipsecacl ! interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //绑定转换图 ! interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ! ip route 10.1.1.0 255.255.255.0 11.1.1.1 //转发VPN流量的路由 ! ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
4,验证配置 172.16.1.1访问Telnet_Server Ping 10.1.1.3 source 172.16.1.1
IPsecVPN_Client f0/0上抓包
IPsecVPN_Server f0/0上抓包
NAT_Over f0/0上抓包
Telnet_Sever f0/0上抓包
5,注意事项
(1),配置ipsecvpn时,注意将map绑定到物理接口。
(2),nat_over路由器上配置的一条指向ipsecvpn服务器的路由。
(3),ipsecvpn_sever和ipsecvpn_client上配置隧道路由和数据路由,数据转发时先查找路由从接口转发时再看是否匹配ipsecacl,匹配才走ipsecvpn隧道。 天津多外线内部vpn服务器案例
五,DCR-2800和BSR-2800配置RIP路由
1,需求描述
路由信息协议(Routing Information Protocol,缩写:RIP)是一种使用最广泛的内部网关协议(IGP)。(IGP)是在内部网络上使用的路由协议(在少数情形下,也可以用于连接到因特网的网络),它可以通过不断的交换信息让路由器动态的适应网络连接的变化,这些信息包括每个路由器可以到达哪些网络,这些网络有多远等。 RIP 属于网络层协议,并使用UDP作为传输协议。(RIP是位于网络层的)
虽然RIP仍然经常被使用,但大多数人认为它将会而且正在被诸如OSPF和IS-IS这样的路由协议所取代。当然,我们也看到EIGRP,一种和RIP属于同一基本协议类(距离矢量路由协议,Distance Vector Routing Protocol)但更具适应性的路由协议,也得到了一些使用。 2,拓扑描述
3,配置步骤 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable ! router rip 1
neighbor 192.168.1.2 DCR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 C
192.168.2.0/24
is directly connected, GigaEthernet0/1 R
192.168.3.0/24
[120,1] via 192.168.1.2(on GigaEthernet0/0)
BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable ! router rip 1
neighbor 192.168.1.1 BSR-2800#sh ip route C
192.168.1.0/24
is directly connected, GigaEthernet0/0 R
192.168.2.0/24
[120,1] via 192.168.1.1(on GigaEthernet0/0) C
192.168.3.0/24
is directly connected, GigaEthernet0/1 4,验证配置
DCR-2800#ping 192.168.3.1 PING 192.168.3.1 (192.168.3.1): 56 data bytes !!!!! --- 192.168.3.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5,注意事项
(1),neighbor 为对端ip (2),在接口下 ip rip 1 enable 则宣告了这个接口的地址所在的网段, 如果这个接口有两个地址,例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 则只能成功宣告192.168.1.0 这个网段 如果一个接口分两个逻辑子接口,例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 则能成功宣告两个网段192.168.1.0 , 192.168.4.0 六,DCR-2800 L2TP服务器配置
1,需求描述
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。 2,拓扑描述
3,配置步骤 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //开启ppp认证 ! interface Virtual-template0 //创建虚拟接口模版
ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址为任意地址
no ip directed-broadcast
ppp authentication chap //认证方式为chap ppp chap hostname admin //认证用户名
ppp chap password 0 admin //认证密码
peer default ip address pool l2tp_pool //调用地址池 ! vpdn enable //开启虚拟专用拨号 !
vpdn-group l2tp //定义vpdn组
accept-dialin //允许拨入
port Virtual-template0 //绑定虚拟接口模版
protocol l2tp //定义协议为l2tp local-name default force-local-chap //强制进行CHAP验证
lcp-renegotiation //重新进行LCP协商 ! PC上配置
网络和共享中心->设置新的连接或网络->连接到工作区->使用我的Internet连接VPN
4,验证配置
拨号成功
5,注意事项
(1),L2TP服务器上virtual-template接口的地址为任意地址
(2),force-local-chap //强制进行CHAP验证,lcp-renegotiation //重新进行LCP协商 (3),PC客户端上配置可选加密,勾选三种认证方式PAP,CHAP,MS-CHAP
七,总分部之间IPsecVPN对接
1,需求描述
导入IPSEC协议,原因有2个,一个是原来的TCP/IP体系中间,没有包括基于安全的设计,任何人,只要能够搭入线路,即可分析所有的通讯数据。IPSEC引进了完整的安全机制,包括加密、认证和数据防篡改功能。另外一个原因,是因为Internet迅速发展,接入越来越方便,很多客户希望能够利用这种上网的带宽,实现异地网络的的互连通。
IPSEC协议通过包封装技术,能够利用Internet可路由的地址,封装内部网络的IP地址,实现异地网络的互通。总部和分部之间通过IPsecVPN隧道通信,分部和分部之间通过和总部建立的IPsecVPN隧道通信。 2,拓扑需求
3,配置步骤 总部:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0 !
crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 1.1.1.2 ! ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A:
crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl ! interface Loopback0 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 2.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B: crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp
set peer 1.1.1.1 set transform-set tran1
match address ipsecacl ! interface Loopback0 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1 ! ip route 0.0.0.0 0.0.0.0 3.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255
Internet:
interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0 ! interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0 ! interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4,验证配置
总部:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
3.1.1.2
QM_IDLE 1.1.1.1
2.1.1.2
QM_IDLE 分部A:
Router#sh crypto isakmp sa dst
src
state
1.1.1.1
2.1.1.2
QM_IDLE 总部和分部A通信:
conn-id slot status
0 ACTIVE
0 ACTIVE
conn-id slot status
0 ACTIVE
Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包:
分部A与分部B通信:
Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/94/140 ms 总部上抓包:
分部B上抓包:
分部B:
Router#sh crypto isakmp sa dst
src
state
conn-id slot status 1.1.1.1
3.1.1.2
QM_IDLE
0 ACTIVE 分部B与总部A通信:
Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包:
分部B与分部A通信:
Router#ping 192.168.2.1 source 192.168.3.1
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/144 ms 总部上抓包:
分部A上抓包:
5,注意事项
(1),思科IPsecvpn内网流量先查找路由后匹配策略,只有到达对端私网的路由,才能匹配策略加密封装。
(2),隧道协商需要公网路由的可达性,但是只有内网有感兴趣流量时才能触发隧道协商,从而建立隧道,而且需要双向的触发。