神州数码(DCR_2626)常用功能及其配置访问列表功能配置ip访问列表是应用ip地址的允许和禁止条件的有序集合。

神州数码ios 软件在访问列表中逐个按规则测试地址。

使用访问列表有以下两个步骤第一步通过指定访问列表名及访问条件，建立访问列表。

第二步将访问列表应用到接口。

神州数码路由器DCR-2626和交换机DCRS-5650-28命令总结⊙该文章转自[大赛人网站(技能大赛技术资源网)] 原文链接：/dcne tworks/215248619.html 配置如下：dcr-2650-1的配置：router1#!interface fastethernet 0/0ip address 192.9.200.1 255.255.255.0ip access-group aaa in!interface serial 1/0en ca psulation hdlcip address 10.1.1.1 255.255.0.0!ip access-list extended aaadeny tcp any 192.9.200.2 255.255.255.255 eq 23!Nat功能配置internet面临的两个关键问题是ip地址空间的缺乏和路由的度量。

网络地址翻译(Nat)是一种允许一个组织的ip网络从外部看上去使用不同的ip地址空间而不是它实际使用的地址空间的特性。

Nat也在rfc 1631中讲述。

2、配置举例：此方案申请了1个合法的ip地址，然后访问internet,如图4-2所示图4-2 拓扑结构配置如下：dcr-2650的配置：router#！interface fastethernet 0/0ip address 192.168.1.1 255.255.255.0ip Nat inside!interface serial 1/0en ca psulation pppip address 61.1.1.1 255.255.255.252ppp pap sent-username 169 169ip Nat outside!ip access-list standard test1permit any!ip Nat inside source list test1 interface serial 1/1!ip route default serial 1/0!VPN(IPSec)功能配置ipsec是ip安全的标准，提供了加密、验证和身份完整性保护、抗重播等服务，包括ah、esp、ike等协议组。

ipsec为非安全网络提供了安全性。

神州数码的软件支持des、3des等对称加密算法，md5、sha等散列函数用于验证和数据完整性保护；支持安全联盟，pfs（完美向前保密）等技术。

配置ipsec的具体步骤如下：1确定访问列表和ipsec兼容2创建加密访问列表3定义变换集合4创建加密映射表5将加密映射表应用于端口配置ike的步骤：1创建ike策略2配置预共享密钥配置如下：dcr-2650-1的配置：router1#!interface fastethernet 0/0ip address 192.168.1.1 255.255.255.0!interface serial 1/0en ca psulation hdlcip address 10.1.1.2 255.255.255.0crypto map guize!ip access-list extended VPN1permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 deny ip 192.168.1.0 255.255.255.0 any!crypto ipsec transform-set one //变换集合名字onetransform-type esp-des esp-sha-hmac!crypto map guize 100 ipsec-isakmp //加密映射表的名字wuzmatch address VPN1 //引用访问列表set trasform-set one //引用变换集合set peer 10.1.1.1!crypto isakmp policy 10 //定义ike策略10encryption deshash md5authenti ca tion pre-sharegroup 2lifetime 5000!crypto isakmp policy 20 //定义ike策略20authenti ca tion pre-sharelifetime 10000!crypto isakmp key aaaaaa 10.1.1.1!ip route 192.168.2.0 255.255.255.0 10.1.1.1!dcr-2650-2的配置：router2#!interface fastethernet 0/0ip address 192.168.2.1 255.255.255.0!interface serial 1/0en ca psulation hdlcip address 10.1.1.1 255.255.255.0crypto map guize!ip access-list extended VPN1permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0 deny ip 192.168.2.0 255.255.255.0 any !crypto ipsec transform-set one //变换集合名字onetransform-type esp-des esp-sha-hmac!crypto map guize 100 ipsec-isakmp //加密映射表的名字wuzmatch address VPN1 //引用访问列表set trasform-set one //引用变换集合set peer 10.1.1.2!crypto isakmp policy 10 //定义ike策略10encryption deshash md5authenti ca tion pre-sharegroup 2lifetime 5000!crypto isakmp policy 20 //定义ike策略20authenti ca tion pre-sharelifetime 10000!crypto isakmp key aaaaaa 10.1.1.2!ip route 192.168.1.0 255.255.255.0 10.1.1.2 ! VPN(GRE)功能配置gre也是通过第三层协议实现的，是一种简单的隧道安全协议。

配置gre的具体步骤如下：1定义tunnul端口2定义tunnul端口的ip地址3定义tunnul的源和目标ip地址4定义tunnul的交换密钥5添加相应的路由到相应的tunnul端口配置如下：dcr-2650-1的配置：router1#!interface fastethernet 0/0ip address 192.168.1.1 255.255.255.0 !interface serial 1/0en ca psulation hdlcip address 10.1.1.2 255.255.255.0!interface tunnul 1ip address 20.1.1.1tunnul source 10.1.1.2tunnul desti Nat ion 10.1.1.1tunnul key 1234!ip route 192.168.2.0 255.255.255.0 tunnul 1 !dcr-2650-2的配置：router2#!interface fastethernet 0/0ip address 192.168.2.1 255.255.255.0!interface serial 1/0en ca psulation hdlcip address 10.1.1.1 255.255.255.0!interface tunnul 1ip address 20.1.1.2tunnul source 10.1.1.1tunnul desti Nat ion 10.1.1.2tunnul key 1234!ip route 192.168.1.0 255.255.255.0 tunnul 1!QoS功能配置qos是指一个网络能够利用各种各样的基础技术向选定的网络提供更好的服务能力，神州数码的路由器能够提供更好的可预测的网络服务。

2、配置举例：如图4-5所示，我们保证ftp1(从192.168.1.2到192.168.2.2的高优先级)。

配置如下：dcr-2650-1的配置：router1#!interface fastethernet 0/0ip address 192.168.1.1 255.255.255.0 !interface serial1/0ip address 10.1.1.2 255.255.255.0en ca psulation hdlcservice-policy ftpbandwidth 64!class-map ftp1 match access-group 1class-map ftp2 match access-group 2!policy-map ftpclass ftp1 bandwidth 44class ftp2 bandwidth 20!ip access-list extended 1permit ip 192.168.1.2 255.255.255.255 192.168.2.2 255.255.255.255 deny ip any any!ip access-list extended 2permit ip 192.168.1.3 255.255.255.255 192.168.2.2 255.255.255.255 deny ip any any!AAA认证功能配置（含RADIUS和TA ca CS+）访问控制是用来控制接入路由器或网络访问服务器（nas）的用户，并限制他们可使用的服务种类。

提供认证、授权和记录（authenti ca tion，authorization，accounting）功能，以提高网络安全性能。

radius是分布式客户机/服务器系统，它保护网络不受未经授权的访问的干扰。

radius客户机运行于路由器上，并向中央radius服务器发出认证请求，这里的中央服务器包含了所有的用户认证和网络访问服务信息。