ii型基站典型配置截圖

第一篇：ii型基站典型配置截圖

WLC44XX配置截圖

將vlan115的WLAN的security的Layer2 security設為 802.1x時：

將vlan115的WLAN的security的Layer2 security設為 none時：

將vlan115的WLAN的security的Layer2 security設為 WPA+WPA2時：

將vlan115的WLAN的security的Layer2 security設為 Static WEP時：

將vlan115的WLAN的security的Layer2 security設為 WEP,802.1x時：

指向ACS服務器的操作：

使用本地認證：

Monitor：

WLAN:

CONTROLLER:

第二篇：HAJ-II型呼吸器檢測儀的使用操作方法

HAJ-II型呼吸器檢測儀

在檢測氣囊式正壓氧氣呼吸時，一般要求是先檢測整機氣密性、再檢測排氣閥開啟壓力、自動補給開啟壓力、定量供氧流量。

在檢測艙式正壓氧氣呼吸器時，先檢測定量供氧。原因是：因為檢測定量供氧時，要打開呼吸艙蓋子，取出清凈罐。在檢測完畢后再將清凈罐裝好，將呼吸艙蓋子裝好。再去檢測整機氣密性、自動排氣閥開啟壓力、自動補給閥開啟壓力。

如果按氣囊式正壓氧氣呼吸器的檢測方法，定量供氧檢測在最后。如果在拆裝呼吸艙蓋子和清凈罐時，如有不氣密，就會使呼吸器不合格。除非在檢測定量供氧完后，再又重新檢測整機氣密性。

一、呼吸器的檢測：

HYZ4正壓氧氣呼吸器在檢測時需要使用山西虹安公司生產的專用檢測儀器：HAJ-II型呼吸器檢測儀

檢測前：1、先要在檢測儀上的通氣口、水柱壓力計接口上分別接上一根一端帶有膠塞的PU管。

2、在小流量計接口上接上一根一端帶有定量孔罩的連接管。 開始檢測呼吸器： 1、檢測流量：小流量計浮子應穩定在1.4～1.8L/min之間為合格。

檢測方法：①、將呼吸艙蓋子打開，取出清凈罐，將檢測儀上接在小流量計接口處帶有定量孔罩的接頭罩住定量孔。

②、用2塊木舌片從呼吸艙側面兩邊對角的方向縫隙中輕輕插入，頂住呼吸艙內膜片。(使打開氧氣時自動補給閥不能開啟)

③、再打開氧氣瓶開關，觀察小流量計上浮子上升穩定后所指示的刻度，讀出數。在1min內浮子應穩定在1.4～1.8L之間為合格。

如浮子沒有在1.4～1.8L刻度之間，可調節定量孔螺絲。 調節方法：順時針調是流量減小(即將螺絲擰緊)。

逆時針調是流量增大(即將螺絲擰松)。

④、定量供氧檢測完畢后，關閉氧氣瓶開關，將2塊木舌片取出，把帶定量孔罩的接頭取下，將清凈罐裝入呼吸艙內，蓋好呼吸艙蓋，將蓋子上的4個定位銷卡好。

2、檢測整機氣密性：在1000pa壓力位置，1min內水柱液面下降不超過30pa為整機氣密。

檢測方法：①、將呼吸軟管連接處的藕接管一端松開，在另一根軟管端也接上一個藕接管。

②、將接在檢測儀上通氣口，水柱壓力計接口的2個膠管塞，一個膠管塞與呼吸器的呼氣軟管藕接管接好，另一個膠管塞與吸氣軟管藕接管接好。(2個膠管塞可任意與呼吸軟管相連接)

③、用專用的頂桿從呼吸器背面的孔中插入，頂住排氣閥，使排氣閥不能開啟。

④、將檢測儀電源插頭插上通電，此時，檢測儀上電源指示燈亮。

⑤、往右邊按動檢測儀上電源開關，此時，檢測儀上電源開關指示燈和氣泵指示燈同時亮。

⑥、再將氣泵開關拉出，氣泵便發出嗡嗡的響聲，開始向呼吸器內供氣。此時要觀察水柱壓力液面上升時的速度，在1000pa刻度時，迅速將氣泵開關推進(即關閉)，待水柱液面位置穩定后，按檢測儀右上角計時器按鈕開始計時，在1min內水柱液面下降不超過30pa為整機氣密。

3、檢測自動排氣閥開啟壓力：應在400～700pa之間開啟為合格。

檢測方法：①、將呼氣軟管(或吸氣軟管)接口處的膠管塞松開，把呼吸器內的氣體放出，再把背面插孔中的頂桿取出，再又把膠管塞接好。(也可直接將呼吸器背面插孔中的頂桿取出) ②、將氣泵開關拉出，氣泵便發出嗡嗡的響聲，開始向呼吸器內供氣。此時要觀察水柱壓力液面上升時的速度，待水柱液面不再上升時的穩定值，讀出數。自動排氣閥開啟壓力應在：400～700pa之間為合格。

4、檢測自動補給閥開啟壓力：應在50～200pa之間為合格。 檢測方法：①、在檢測自動排氣閥開啟壓力完畢后，直接將檢測儀上變換閥拉出(即抽氣位置)，氣泵變成抽氣負壓狀態，開始向呼吸器內抽氣。

②、立即將氧氣瓶開關打開，此時要觀察水柱壓力液面下降時的速度，待水柱液面不再下降的穩定值時，并同時聽到呼吸艙內有補氣的供氧聲音，讀出數。自動補給閥開啟壓力應在：50～200pa之間為合格。

③、檢測自動補給閥開啟壓力完畢后，關閉氧氣瓶開關，將氣泵開關推進，變換閥開關推進，把電源開關往左邊按下(即關閉)，此時電源開關指示燈、氣泵指示燈同時熄滅，最后將電源插頭撥出，呼 吸器檢測完畢。

二、在檢測定量供氧流量時，要注意什么?

答：要注意的是：要用兩塊木舌片從呼吸艙側面兩邊對角的方向縫隙中插入，頂住呼吸艙內膜片，使膜片不能觸碰到自動補給“舌瓣片”，自動補給閥門就不能開啟。

有用一塊木舌片從呼吸艙側面縫隙中插入的，插下時使呼吸艙內膜片一邊往下壓，一邊翹起，有時導至木舌片插在呼吸艙與呼吸膜片之間的空隙中卡住，將木舌片往上拔出又卡住了，有的人強行將木舌片往上拔出，這樣很容易造成將呼吸膜片劃破。(用一塊木舌片時，手捏住的這端盡量靠外，插下的這端靠中間，這樣輕輕插下。)

如遇木舌片卡住在呼吸艙與呼吸膜片空隙之間的情況，此時不要強行將木舌片往上拔，可以再拿一塊木舌片，從卡住的對角方向空隙中輕輕插下，使呼吸膜翹起的那邊往下壓，直到呼吸膜片兩邊平衡，這樣就可以輕松地將卡住的木舌片取出了。

三、檢測呼吸器有漏氣時，要怎樣查找漏氣原因?

如在1min內水柱液面下降超過30pa則屬整機不氣密，在不氣密的情況下，按以下方法查找漏氣原因：

1、檢查呼氣器有“o”形密封圈各接頭處，看“o”形密封圈是否丟失，“o”形密封圈上是否粘有氫氧化鈣粉沫灰(將氫氧化鈣粉沫灰擦干凈)，有卡箍的地方，卡箍螺絲是否擰緊，呼吸器所有接頭處是否擰緊，該涂抹潤滑油的地方涂上潤滑油，待排除后再重新檢測，如還是不氣密，再按下面方法進行。

2、將呼吸艙側面2根供氧流量銅管接頭螺帽拆下，即手動供氧接頭和定量供氧接頭。

用HAJ—II型呼吸器檢測儀自帶的2個堵頭，將呼吸艙側面2個接頭堵住，這樣就將呼吸器高壓供氧部分全部甩掉了。

3、再按整機氣密性方法進行檢測，在1000pa壓力位置時： ①、如1min內水柱液面沒有下降，則證明呼吸器的高壓系統漏氣。高壓系統漏氣好查，將2根供氧流量銅管螺帽與呼吸艙連接好，打開氧氣，在高壓系統各接頭處涂上檢漏液，看各接頭處是否冒氣泡，找到漏氣的接頭處理好。

②、如1min內水柱液面下降超過30pa，則證明呼吸器的低壓系統漏氣。

4、開始對呼吸器低壓系統進行分段分塊檢測： 先將冷卻罐與呼吸艙連接短管的接頭拆掉，再將檢測儀與吸氣軟管連接的膠塞拔出，堵在呼吸艙連接短管的接口上，這樣就將冷卻罐、吸氣軟管、排水閥這塊甩掉了。

直接檢測呼吸艙、呼氣軟管這一塊的氣密性，同樣按整機氣密性方法進行檢測，在1000pa壓力位置時：

①、如1min內水柱液面下降超過30pa，則證明就是呼吸艙、呼氣軟管這一塊漏氣。

②、如果1min內水柱液面沒有下降，則證明是冷卻罐、吸氣軟管、排水閥這一塊漏氣。

先按上面①漏氣原因查：呼吸艙、呼氣軟管這一塊漏氣。

方法：將呼吸艙、呼氣軟管這一塊拆下來，將2根連接在檢測儀上的PU管拔出，把一根PU管捏死，使之不能漏氣，另一根PU管接上HAJ—II型呼吸器檢測儀自帶的吸氣球，手捏吸氣球向呼吸艙內壓氣，待呼吸膜向上鼓起到適當位置后，將呼吸艙、呼氣軟管全部浸入水中，并雙手向下壓呼吸膜板，看哪里冒氣泡就是哪里漏氣。

再按上面②漏氣原因查：冷卻罐、吸氣軟管、排水閥這一塊漏氣。方法：將這一塊拆下來，將一根PU管膠塞堵住吸氣軟管接口，并用手捏住膠管，使之不能漏氣，將另一根接有吸氣球的PU管膠塞堵住冷卻罐與呼吸艙連接處的接口上，然后浸入水中，手捏吸氣球壓氣，看哪里冒氣泡就是哪里漏氣。

四、用檢測儀檢測氧氣呼吸器時，應注意什么?

應注意的是：

1、檢測儀整機要氣密。

2、檢測儀上水柱壓力計的水位要調整在“0”刻度位置。

3、讀數時，人的視線要與水柱液面成平行位置。

4、檢測儀向呼吸器供氣或抽氣時，一定要注意觀察水柱液面上升或下降時的速度。

例如：檢測整機氣密性時，將氣泵開關拉出后，氣泵開始向呼吸器內供氣，此時一定要觀察水柱壓力液面上升時的速度，在1000pa刻度時(或1050pa)，迅速將氣泵開關關閉。

有人在檢測時，沒有認真觀察水柱壓力液面上升時的速度，到了1000pa刻度時(或1050pa)，沒迅速將氣泵開關關閉，有時造成將呼吸器檢測儀水柱計玻璃管內面的水壓出到儀器外面來，也造成呼吸艙內的氣體壓力增加，損壞呼吸艙內膜片組。

第三篇：愛立信基站典型故障處理案例

案例1：對基站進行IDB的配置總是無法完成，提示為時間超時。 當對基站進行IDB數據的配置時，因為TRU與DXU軟件版本不一致，或BSC下載軟件的同時進行DXU數據配置而產生沖突，或第一次IDB配置電源電壓類型錯誤，或短時間內頻繁的對DXU進行IDB配置等原因，偶爾可能導致再進行IDB的數據配置時，出現提示為時間超時而無法完成的現象。導致DXU同機架內部的通信上存在異?，F象，出現類似機架掉死的現象，更換DXU無效。

解決的辦法是，將DXU(或新的DXU)放到同基站的其它機架上，或另外的基站上，僅對DXU加電，按照存在問題的機架配置進行IDB的重新配置，完成后再安裝到存在問題的機架上，不必再重新配置，對DXU等各模塊加電重起，即可解決問題。

案例2：RBS200基站工作不穩定，經常退服。 基站各部件的穩定工作離不開穩定的時鐘信號，而基站的時鐘信號是從PCM傳輸中提取的，愛立信的基站不提供外部時鐘輸入的端口, RBS200基站是愛立信早期推出的GSM基站產品，這些基站設備是基于采用傳統的PDH傳輸組網方式而設計的，并不非常適用于SDH傳輸組網方式，這就會導致RBS200基站在和某些廠家的SDH傳輸設備配合使用時，導致基站工作不穩定，頻繁出現時鐘同步的告警，經常退服，嚴重影響了基站的正常運行。

解決辦法有兩種：一種是將RBS200基站使用的SDH傳輸更換為PDH傳輸;另一種是將RBS200基站設備更換為RBS2000基站設備，因為RBS2000對同步要求較RBS200低，能夠很好同SDH傳輸配合工作。

案例3：開始時，馬廠湖基站有部分TS總是無法正常工作，且不固定在某個載頻上，更換TRU、DXU無效，對基站的數據進行拆掉重新加載后仍無效，后來整個基站所有的TS均無法正常工作，基站硬件、傳輸、數據等均不存在問題。 點檢查了基站的所有硬件均不存在故障現象，對懷疑有問題的TRU、DXU進行了更換;對傳輸進行了環路測量，也未發現傳輸電路存在質量問題;檢查小區、基站的定義數據也都正常。懷疑基站的數據存在掉死的現象，但沒有確鑿的證據。 嘗試用另外一種方法進行故障的定位。從BSC的ETC傳輸接口處，即ETRBLT板子2M接口處將馬廠湖基站的傳輸DIP=97同另外一個類似配置的基站裝載機廠的傳輸DIP=98直接進行互換，也就是說互相用對方基站的數據來開通基站?；Q后發現，馬廠湖基站的數據在裝載機廠基站上仍然存在同樣的問題，而裝載機廠基站的數據在馬廠湖基站上卻能正常工作。這就可以說明，馬廠湖基站的硬件、傳輸均不存在問題，基站數據確實存在掉死的現象。

在確認馬廠湖基站的數據存在掉死的情況后，重新定義了新的TG數據，來替換原先存在掉死現象的TG數據，整個基站恢復正常運行。

對上述基站數據掉死的解決辦法還有一種是進行BSC的重新啟動，因為需要在晚上進行，因此可能會導致基站退服的時間較長。

案例4：中國銀行基站第2小區對應的機架為2個CDU C，4個載頻配置，總是在4個載頻全部開起來后，又很快全部退服，現象為第

1、2個TRU狀態為TX not enabled，第

3、4個TRU為Fault燈和Operational燈同時亮。每次對DXU進行復位，總是出現上述的同樣現象，整個小區無法正常運行。

因為第

3、4個TRU總是出現故障現象，將這兩個TRU更換，仍然出現同樣的故障現象;更換第

3、4個TRU對應的第2個CDU C，仍然出現同樣的故障現象。 將第

3、4個TRU放到第

5、6個TRU的位置上，將第2個CDU放到第3個CDU的位置，這樣載頻的位置為第

1、

2、

5、6，甩開TRU第

3、4位置不使用，整個小區正常運行，不再出現上述故障現象。

根據以上處理過程進行分析，應該是第2個CDU C對應的CDU BUS總線或第

3、4個TRU對應的背板存在問題，導致第2個CDU C不能正常工作，不僅導致第

3、4個TRU不能正常工作，而且導致整個小區不能正常工作。

將第2個CDU C對應的CDU BUS總線拆下來，更換一新的CDU BUS總線后，故障解決，確認是第2個CDU C對應的CDU BUS總線存在問題。 下圖是CDU BUS的連接示意圖：

還有一種解決辦法，就是將CDU C更換為CDU C+，并且使用Y cable，按照如下圖連接：

這樣就可以不再使用第2個CDU C對應的有問題的CDU BUS總線，就不會出現整個小區開不起來的現象。

案例5：沂水城東基站A小區擴容一個機架，由6載頻擴容為8載頻。在打開跳頻的情況下，A小區所有8個載頻的時隙全部正常工作后很快陸續全部退服，同時出現1A級的XBus Fault告警，但告警很快又消失。對基站A小區復位或閉解CF，仍然是同樣的故障現象。將A小區的跳頻關掉后可以正常運行。

針對出現的XBus Fault告警，重點檢查了新增擴的機架TRU和DXU背板跳點設置，CDU BUS的連接情況，均未發現異常，更換DXU也不能解決問題?？紤]到當時是在上午忙時，此小區承擔的話務量很高，有可能是因為A小區重起時接入用戶太多導致負荷過高而不能以跳頻方式正常運行，設置A小區參數CB=YES禁止待機時手機接入，設置A小區為Layer=3小區限制其它小區手機用戶向A小區切換，這樣的參數設置曾經解決過類似大容量小區在打開跳頻的情況下忙時重起困難的問題，但仍不能解決沂水城東A小區的問題。

懷疑新增擴的2個TRU雖然狀態顯示正常，但仍然可能存在問題，導致XBbus工作異常。由于A小區的主架的6個TRU和副架的2個TRU間已多次互相倒換位置來排除TRU的問題，已經不能分清哪2個TRU是新增擴的。于是將A小區的所有8個載頻全部替換，問題解決。 總結：某個存在故障的TRU可以導致其背板連接的總線工作異常，在這個案例中，導致了XBus工作異常，小區不能打開跳頻，但是此TRU的狀態顯示完全正常。解決辦法是替換懷疑有問題的TRU，尤其是新增擴的TRU，不要采取在有問題的小區內互相倒換的方式，因為存在故障的TRU無論在那個位置均可以導致同樣的故障現象。應該用其它小區或新帶來得TRU替換。

還有一個例子也是存在故障的TRU導致其背板連接的總線工作異常的情況：某小區新擴一個機架，載頻由6個擴容到7個，但是每次啟站時總是很快出現駐波比過高的基站告警，所有載頻全部退服，故障原因是新擴的TRU(在新擴的副架上)存在問題，雖然表面狀態均很正常，但是把它插到機框內加電后，就會干擾背板總線的正常工作，導致出現整個小區駐波比過高的問題產生。

案例6：付莊基站為3個RBS2202機架級聯、4/4/4配置，故障現象為B小區退服，復位后B小區恢復正常，但幾小時后又再次退服，基站不存在任何告警。如此反復，B小區工作狀態很不穩定。

因為是在基站運行中出現的故障，所以首先懷疑是B小區DXU出現故障，但是更換后仍無法解決。檢查B小區的射頻電纜、PCM傳輸電纜、CDU總線均無異常。通過OMT軟件監測付莊基站3個機架DXU的PCM連接狀態均正常。 考慮到B小區是級聯A小區的，即PCM傳輸電纜從A小區DXU的G.703-2端口連接到B小區DXU的G.703-1端口，這段傳輸通路是否存在問題?更換這段通路上的所有傳輸電纜，仍不能解決問題。再向前考慮一步，是不是A小區DXU的G.703-2端口存在問題，雖然沒有故障狀態顯示?更換A小區的DXU，重新配置IDB數據后，問題解決。

總結：針對多機架級聯的基站，第

2、3小區退服的情況，要考慮前一級級聯的小區所在的機架是否存在DXU故障、PCM傳輸電纜接錯、IDB數據中未定義PCM級聯等情況。

案例7：某個基站第2小區有3個時隙LMO狀態為0800，復位和更換載頻后無效。

檢查基站的定義數據，發現第2小區對應的TG-139，在定義半永久連接關系時，將RBLT-1309與DCP 28連接是錯誤的，導致DCP 28相對應的4個TS時隙，無法正常工作。應該是RBLT-1308與DCP 28連接，正確修改后，故障解除。 類似的故障現象可能還有如下的故障原因： (1)某個基站第2小區4個時隙LMO狀態為0800復位和更換載頻無效：用DTIDP指令檢查DIP的定義數據，發現MODE=1是錯誤的。RBS200基站的DIP定義為MODE=1，即傳輸的第16時隙僅用于傳信令，不用于傳話音。而此基站為RBS2000基站，正確的定義是MODE=0，如果定義為MODE=1，會導致DCP 16，即傳輸的第16時隙不能正常使用，出現上述的故障現象，或者導致用戶占用時出現單通現象。

(2)某個基站第3小區2個時隙LMO狀態為0800，復位無效： 第3小區的2個時隙的故障原因是在定義基站數據時，MO CF的參數SIG=UNCONC錯誤，因為所有的TRX的SIG=CONC，導致TG分配的DCP不夠用。將MO CF的參數該為SIG=CONC，故障消除。

案例8：某個新建基站傳輸狀態正常，硬件也不存在問題，但基站開不起來 基站數據定義看起來不存在問題，其它檢查也做了很多，但基站仍然不能開起來。重點檢查基站DIP所連接的SNT的DEVICE數據定義，會發現RBLT的狀態不對，為MBL閉掉的狀態，試圖解閉，可能還會發現未完全定義，再用EXDAI、EXDUI指令進行補充定義，解閉此SNT所帶的RBLT，再重新LOAD基站數據后問題解決。 對新建基站開不起來的情況，還有BSC側MO=RXOCF的TEI值與基站OMT軟件定義的不一致，導致基站無法同BSC建立聯系。此種情況較多的出現在級聯基站上，重新定義，使基站的TEI值同BSC側定義的TEI值一致便可解決問題。

案例9：盲?；敬嬖谒矓喱F象，導致信道完好率雖然很接近但達不到100%，同時基站傳輸設備也出現傳輸瞬斷的現象。

檢查基站硬件設備，及傳輸設備均未發現異常，更換DXU也無法解決問題。在基站上進行故障處理時，發現老式的愛立信開關電源存在模塊損壞的情況，但仍能正常工作。經過長時間現場觀察，發現交流電壓不穩定，忽高忽低，當電壓過高時，開關電源的過壓保護器便跳脫保護，愛立信開關電源所有的模塊處在過壓保護的狀態，同時傳輸設備瞬間復位，導致基站瞬斷。此時就發現了交流電壓過高可能是導致盲?；舅矓嗟脑?。 經過分析，老式的愛立信開關電源對交流電電壓波動范圍的適應性較差，當電壓過高超出其限定值時，開關電源的所有模塊出現瞬間的保護而導致其直流輸出電壓異常，從而導致傳輸設備因直流供電不能滿足要求而瞬間復位，導致愛立信基站瞬間退服。

將老式的愛立信開關電源更換為能適應寬范圍交流電壓波動的新式開關電源，問題解決，盲?；驹僖参闯霈F瞬斷的現象。這樣的情況也存在于其它部分型號的、對交流電壓波動適應性差的老式開關電源上。

案例10：柳行頭基站為九期新建全向2載頻基站，傳輸環路狀態正常，不存在滑碼、誤碼等傳輸質量差的情況，基站硬件狀態正常，不存在任何告警，但將傳輸頭子接到DXU的G.703-1接口后，BSC側傳輸狀態顯示WO正常狀態，但是DXU黑燈，所有的指示燈均不亮。從BSC側觀察是CF無法Load成功，導致此基站開不起來。

首先全面檢查基站硬件、傳輸設備、傳輸電纜等均沒有發現問題，檢查柳行頭基站數據、小區數據定義也沒有發現問題，更換DXU也不能解決問題。

從BSC的ETC傳輸接口處將柳行頭基站的傳輸同另外一個相同配置且正在運行的松峰基站傳輸互換，不必改動任何數據，也就是說互相用對方基站的數據來開通。柳行頭基站的數據在松峰基站上運行正常，而松峰基站的數據卻無法在柳行頭基站上運行，這就可以說明柳行頭基站的數據不存在錯誤、掉死等異常情況，而從BSC到柳行頭基站的傳輸通路上存在問題，也可能是基站硬件存在問題(這已排除)。

這樣重點懷疑從BSC到柳行頭基站的傳輸通路上存在問題，需要仔細檢查，傳輸維護人員從BSC往基站方向一段一段進行檢查，果然發現在北園傳輸機房處柳行頭基站的傳輸跳線存在問題，120歐姆4根信號傳輸線中的一根與配線端子處在似接觸非接觸的狀態，重新卡接后，柳行頭基站CF軟件load成功，基站順利開通，問題解決。

需要注意的是，基站電路環路時是通的，并不能代表基站電路完全不存在問題，因為還存在類似上述傳輸信號線接觸不好、遠端告警等一些特殊的傳輸故障現象。

案例11：郵政局基站C小區擴容到主、副架共12個載頻，但是最多只能開起來10個載頻，總有2個載頻無論如何也開不起來，并且這2個開不起來的載頻位置不固定，狀態表現為僅Tx not enable燈亮?；静淮嬖诟婢?。 更換相應的載頻無效。仔細觀察開不起來的2個載頻的故障現象，發現總是某一個CU上的2個載頻同時出現開不起來的現象，雖然這個CU也不是固定的。將12個載頻中的某兩個位于同一個CU上的載頻TRX閉掉，其它10個載頻均能正常工作。

根據以上現象，考慮到愛立信基站載頻相互間發射部分TX和接收部分RX存在“借用現象”，即載頻A的RX(可能載頻A的TX存在問題)和載頻B的TX可以組成一個完整的正常工作的“載頻”，而載頻A的狀態可能為正常運行狀態，而載頻B的狀態為僅Tx not enable燈亮。

進一步從BSC上觀察郵政局基站C小區各MO的工作狀態，發現最后2個載頻的TX-11&&-12工作狀態開始時總是NOOP，過一段時間之后狀態變為FAIL，但是考慮到最后2個載頻的TX發射部分可以借用另外2個載頻的TX發射部分，即存在TX的“借用現象”，因此狀態仍有可能是正常運行的。導致TX狀態為FAIL的原因有發射通路上的CDU存在問題，連接的天線駐波比過大，TX定義的連接小區錯誤，TRU的發射部分存在故障等原因。 經過排查，重點懷疑是最后2個載頻，即TRX-11&&-12對應連接的CU存在問題，雖然此CU的運行狀態正常，無故障燈指示。更換此CU后，郵政局C小區的12個載頻全部開起來，問題解決。 這種類型的故障處理，不要被基站各硬件的運行狀態顯示所迷惑，可能狀態是正常的，但是也有可能存在問題，就像上面所講的CU的故障現象。

案例12：TX無法正常工作，基站告警為CDU output power limits exceeds 九期工程中，在開通西梁王基站(S2，2，2)時，發現雖然基站本測過程中,各MO 狀態正常,均無告警，但是在開站時,當TX打開后, B小區CDU的Fault 紅燈亮,，小區不能工作。我們通過OMT查尋告警，監測到SO CF 2A:9 :CDU output power limits exceeds。首先我們懷疑天饋系統有問題,用駐波比測試儀測得DTF值1.08,SWR值1.19,均為正常值。隨后更換了CDU及TRU后故障仍未排除。最后我們根據TX的原理,輸出功率由前向及反向功率的比較得出的(Reference RBS2202) ,于是檢查對應的Pref,Pfwd饋線,發現標簽貼反,導致反向功率總大于前向功率，更改后故障消除。

案例13：基站存在SO CF 2A: Timing bus fault告警，TRU無法工作。 建工大廈基站(S6,6,6,)在擴為(S8,6,6)時,A小區擴容的副柜TRU狀態不對,TRU的Fault在自檢后長亮。此時B,C小區已正常。用B,C小區的機柜帶A小區的副柜無問題,從而證明A小區的副柜本身無問題。通過OMT查尋告警，監測到SO CF 2A: Timing bus fault。更換C5 BUS線后故障仍未排除，于是判定故障點應在A小區機柜本身之內。根據OMT讀出告警，判斷故障為機柜內 BUS問題,更換后狀態正常，A小區正常工作。

案例14：PSU的排障方法

下面是滿配置的PSU與ECU的光纖連接示意圖： 在基站出現同PSU相關的告警后，到基站上觀察PSU的狀態，可能有如下兩種情況：第一種是PSU亮紅燈或不亮燈，第二種是PSU面板狀態正常但可能存在故障。 針對第一種情況，首先檢查PSU的-48V直流(PSU -48)或230交流(PSU 230)輸入是否正常，可能存在輸入開關跳脫或熔絲熔斷的情況，如果排除上述情況，那么很可能是亮紅燈或不亮燈的PSU存在故障，進行更換確認。對更換后的新PSU，應該先加-48V直流或230交流輸入(下面的接頭)，再連接直流輸出接頭(上面的接頭)，否則容易導致新加的PSU因為直流電流倒灌的原因而再次損壞。 針對第二種情況，使用逐個排除的方法來找出存在故障但面板顯示正常的PSU。滿配置的PSU數量一共是4個，與ECU通過光纖串聯在一起，形成一個環路。首先甩開左邊第1個PSU，將剩下的3個PSU同ECU通過光纖串形連接，再觀察基站的PSU相關告警是否消除，如果消除，則說明左邊第1個PSU存在故障，進行更換;如果故障仍未消除，可將左邊第2個PSU單獨甩開，將剩下的3個PSU同ECU通過光纖串形連接，需注意的是從左邊第1個PSU直接連接到第3個PSU的光纖需要換成長一點的光纖，再觀察基站的PSU相關告警是否消除，以此類推，逐個排查PSU。除了上述方法，類似的，還可采用每個PSU單獨同ECU串形連接，再觀察基站告警是否消除的方法，逐一進行排查。 還有一點需要說明的是，基站對PSU的識別并不是完全根據PSU的安裝位置，例如最左邊的PSU被識別為PSU-0，向右依次為PSU-

1、PSU-

2、PSU-3，實際上并不是這樣的?；咀R別PSU是通過光纖環路來識別的，不在這個環上的PSU將不被識別，同時針對這個不在環上的PSU基站也不會產生告警。光纖環路連接最左邊的PSU被識別為PSU-0，然后依據光纖環路上的連接，向右依次識別為PSU-

1、PSU-2等，例如PSU-0，它的實際安裝位置可能是從最左邊數第3個PSU。

有一個故障現象是某個PSU的架頂-48V輸入接口因短路損壞嚴重，不能再使用，并且基站存在相應告警。消除告警的辦法是在PSU與ECU的光纖環路中，甩開這個損壞嚴重的架頂-48V輸入接口對應的PSU，再從IDB數據中刪除多余的PSU(損壞的接口對應的)即可消除告警。

第四篇：H3C WLAN配置與典型配置,配置舉例v2.0

H3C WLAN產品出廠配置與典型配置詳解

H3C WLAN產品出廠配置與典型配置詳解

1.1 WA1208E出廠配置詳解(V3版本)

下面以WA1208E-AGP設備為例，講解WA1208E的出廠配置： #

sysname H3C

#

radius scheme system

server-type extended

primary authentication 127.0.0.1 1645

primary accounting 127.0.0.1 1646

user-name-format without-domain

accounting

domain system

radius-scheme system

access-limit disable

state active

idle-cut disable

domain default enable system

#

local-server nas-ip 127.0.0.1 key h3c

local-user admin

//默認情況下，支持telnet功能，用戶名admin.，密碼wa1208

password simple wa1208

service-type telnet level 3

service-type web level 2

#

config-file-auto-save-period set 30

cpu-performance-alarm-limit set 100

config-file-auto-save-mode-open

#

web-server max-user-number 5

web-server port 80

#

interface Aux0/0

link-protocol ppp

#

vlan 1

- 2H3C WLAN產品出廠配置與典型配置詳解

#

//wireless類型接口可綁定ssid，用于連接無線客戶端

interface Wds1/5

#

interface Wds1/6

#

interface Wds1/7

#

interface Wds1/8

#

interface Wds1/9

#

interface Wds1/10

#

interface Wds1/11

#

interface Wds1/12

#

interface Wds1/13

#

interface Wds1/14

#

interface Wds1/15

#

interface Wds1/16

#

interface Wds1/17

#

interface Wds1/18

#

interface Wds1/19

#

interface Wds1/20 //Wds1/5-1/20是radio 1上的16個無線橋接接口

#

//WDS類型接口可綁定wds-ssid，用于實現AP與AP間的無線連接

interface Wds2/5

#

interface Wds2/6

#

interface Wds2/7

#

interface Wds2/8

- 4H3C WLAN產品出廠配置與典型配置詳解

1.2 WA1208E典型配置詳解(V3版本)

1.2.1 組網圖

組網說明 ? ? ? ? Fat AP上配置兩個vlan：vlan 1000和vlan 256 vlan 1000為管理vlan;vlan 256為業務vlan，所有的無線客戶端都屬于vlan 256 Fat AP的管理IP地址為10.10.1.50/24，網關為10.10.1.254 服務集標識SSID為H3C-wireless，無認證無加密

1.2.2 配置步驟

步驟一：創建業務vlan(vlan256)和管理vlan(vlan 1000)，并配置管理IP地址

[H3C] vlan 256

[H3C-vlan256] quit

[H3C] vlan 1000

[H3C-vlan1000] quit

[H3C] interface vlan 1000

[H3C-Vlan-interface1000] ip address 10.10.1.50 255.255.255.0 immediate

[H3C-Vlan-interface1000] quit 步驟二：將上行以太網口配置為Trunk類型

- 6H3C WLAN產品出廠配置與典型配置詳解

#

local-server nas-ip 127.0.0.1 key h3c

local-user admin

password simple wa1208

service-type telnet level 3

service-type web level 2

#

config-file-auto-save-period set 30

cpu-performance-alarm-limit set 100

config-file-auto-save-mode-open

#

web-server max-user-number 5

web-server port 80

#

interface Aux0/0

link-protocol ppp

#

vlan 1

#

vlan 256

#

vlan 1000

#

interface Vlan-interface1

#

interface Vlan-interface1000

ip address 10.10.1.50 255.255.255.0 immediate

#

interface Ethernet0/1

port link-type trunk

port trunk permit vlan all

#

ssid H3C-wireless

set vlan 256

bind domain system

#

ssid wa1208e

bind domain system

#

- 8

H3C WLAN產品出廠配置與典型配置詳解

#

interface Wds1/17

#

interface Wds1/18

#

interface Wds1/19

#

interface Wds1/20

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 10.10.1.254 preference 60 #

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

#

return

- 10H3C WLAN產品出廠配置與典型配置詳解

步驟二：將上行以太網口配置為Trunk類型

[H3C] interface Ethernet 1/0/1

[H3C-Ethernet1/0/1] port link-type trunk

[H3C-Ethernet1/0/1] port trunk permit vlan all

步驟三：創建無線接口，并指定此接口屬于vlan 256(即連接此無線接口的無線客戶端都屬于vlan 256)

[H3C] interface WLAN-BSS 1

[H3C-WLAN-BSS1] port access vlan 256

步驟四：創建無線服務模板(SSID名稱為H3C-wireless)

[H3C] wlan service-template 1 clear

//”clear”表示此模板是非加密類型的

[H3C-wlan-st-1] authentication-method open-system

//無線鏈路層認證采用”open-system”的方式

[H3C-wlan-st-1] ssid H3C-wireless

[H3C-wlan-st-1] service-template enable

//使能無線模板

步驟五：在11g射頻卡上綁定無線服務模板和無線接口，配置信道為1

1、功率為15dBm

[H3C] interface WLAN-Radio 1/0/1

[H3C-WLAN-Radio1/0/1] service-template 1 interface WLAN-BSS 1

[H3C-WLAN-Radio1/0/1] radio-type 11g

[H3C-WLAN-Radio1/0/1] channel 11

[H3C-WLAN-Radio1/0/1] max-power 15

注：默認情況下，功率為20dBm(即100mW);信道為自動調整。 步驟六：配置默認路由

[H3C] ip route-static 0.0.0.0 0 10.10.1.254

1.3.3 Fat AP配置信息

#

version 5.20, 0001

- 2H3C WLAN產品出廠配置與典型配置詳解

#

interface Ethernet1/0/2

#

interface WLAN-BSS1

port access vlan 256

#

interface WLAN-Radio1/0/1

channel 11

service-template 1 interface wlan-bss 1

#

interface WLAN-Radio1/0/2

#

user-interface con 0

user-interface vty 0 4

#

return

- 4H3C WLAN產品出廠配置與典型配置詳解

1.4.2 三層交換機的主要配置

由于AP和無線客戶端都是動態獲取IP地址，而與DHCP Server之間跨越三層網絡，所以需要在網關設備三層交換機上啟用DHCP relay功能。以H3C三層交換機為例，具體配置如下：

三層交換機的主要配置(DHCP relay功能) [H3C] dhcp-server 0 ip 192.168.3.99 [H3C-Vlan-interface2] dhcp-server 0 [H3C-Vlan-interface4] dhcp-server 0 1.4.3 DHCPServer的主要配置

由于AP與AC之間跨越三層網絡，所以需要通過Microsoft DHCP Server的option 43字段向AP下發AC IP地址，實現AP跨越三層網絡在AC上的注冊。

AP屬于192.168.2.0/24網段，所以在192.168.2.0/24網段的地址池中需下發option 43字段，AC的IP地址為192.168.1.99，故根據option 43的填寫規則，此字段下發的信息如下：

80 07 00 00 01 c0 a8 01 63 AP網段的地址池如下圖所示：

無線客戶端網段的地址池如下圖所示：

- 6H3C WLAN產品出廠配置與典型配置詳解

[WX5002-wlan-ap-ap2] serial-id 210235A29F0081000109

//AP的序列號

[WX5002-wlan-ap-ap2] radio 2 type dot11g

[WX5002-wlan-ap-ap2-radio-2] service-template 1

[WX5002-wlan-ap-ap2-radio-2] radio enable ? 指定與WX5002配套的WA2220E-AG的AP軟件版本

[WX5002] wlan apdb WA2220E-AG Ver.A V100R001B10D004 [WX5002] wlan apdb WA2220E-AG Ver.B V100R001B10D004

//”V100R001B10D004”為WA2220E-AG的軟件版本，表明AC當前版本需要與AP此版本配套，同時將AP的此版本文件以wa2200_fit.bin的文件名上傳到AC上。

WX5002完整配置信息：

#

version 5.20, Release 1106

#

sysname WX5002

#

domain default enable system

#

wlan apdb WA2220E-AG Ver.A V100R001B10D004

wlan apdb WA2220E-AG Ver.B V100R001B10D004

#

vlan 1

#

vlan 4

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

wlan rrm

dot11a mandatory-rate 6 12 24

dot11a supported-rate 9 18 36 48 54

dot11b mandatory-rate 1 2

- 8H3C WLAN產品出廠配置與典型配置詳解

#

user-interface aux 0

user-interface vty 0 4

#

return

- 10

1.1 1.2 WA1208E出廠配置詳解(V3版本) .....................................................................................WA1208E典型配置詳解(V3版本) .....................................................................................

1.2.1 1.2.2 組網圖 .....................................................................................................................................- 6

1.2.3 Fat AP配置信息 .......................................................................................................................- 71配置步驟.................................................................................................................................- 11.4 WX5002典型配置詳解(V5版本) .......................................................................................

1.4.1 1.4.2 組網圖 .....................................................................................................................................- 5

1.4.3 DHCPServer的主要配置 ........................................................................................................- 6

- 1 -

第五篇： 典型路由器實驗配置文檔

目錄

一，DHCP中繼代理配置實驗案例(多個DHCP服務器) ............................. 3 二，IPsecVPN穿越NAT實例配置 .............................................. 5 三，雙PPPOE線路實驗(神碼) .................................................. 9 四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器 ......................... 15 五，DCR-2800和BSR-2800配置RIP路由 ..................................... 21 六，DCR-2800 L2TP服務器配置 .............................................. 24 七，總分部之間IPsecVPN對接 ................................................ 29 一，DHCP中繼代理配置實驗案例(多個DHCP服務器) 1，需求描述

如果DHCP客戶機與DHCP服務器在同一個物理網段，則客戶機可以正確地獲得動態分配的ip地址。如果不在同一個物理網段，則需要DHCP Relay Agent(中繼代理)。用DHCP Relay代理可以去掉在每個物理的網段都要有DHCP服務器的必要,它可以傳遞消息到不在同一個物理子網的DHCP服務器，也可以將服務器的消息傳回給不在同一個物理子網的DHCP客戶機，而且一個網絡中有可能存在多個DHCP服務器作為冗余備份。 2，拓撲圖

3，配置步驟

R1# interface FastEthernet0/0 ip address dhcp client-id FastEthernet0/0 //啟用DHCP客戶端模式 R2# interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.2.2 //真正的DHCP服務器1的地址 ip helper-address 192.168.2.3 //真正的DHCP服務器2的地址 ! interface FastEthernet1/0 ip address 192.168.2.1 255.255.255.0 R2(config)#ip forward-protocol udp 67(sh run 看不到) //有限廣播DHCP報文 R3# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.2 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R3(config)#service dhcp (開啟DHCP服務，sh run 看不到) R4# ip dhcp pool dhcp_pool network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 interface FastEthernet0/0 ip address 192.168.2.3 255.255.255.0 ip route 192.168.1.0 255.255.255.0 192.168.2.1 R4#(config)#service dhcp(開啟DHCP服務，sh run 看不到) 4，配置驗證

Sh ip int br//查看端口信息

Show ip dhcp binding //查看所有的地址綁定信息

R1上抓包

R3上抓包

R4上抓包

5，注意事項

(1)必須開啟DHCP服務 service dhcp (2)客戶端獲取一個地址后，廣播發送Request報文包含此地址的DHCP服務器(R3)ID，R4收到后回收已分配的地址，避免造成地址浪費。

二，IPsecVPN穿越NAT實例配置

1，需求描述

IPSec協議的主要目標是保護IP數據包的完整性，這意味著IPSec會禁止任何對數據包的修改。但是NAT處理過程是需要修改IP數據包的IP 包頭、端口號才能正常工作的。所以，如果從我們的網關出去的數據包經過了ipsec的處理，當這些數據包經過NAT設備時，包內容被NAT設備所改動，修 改后的數據包到達目的地主機后其解密或完整性認證處理就會失敗，于是這個數據包被認為是非法數據而丟棄。無論傳輸模式還是隧道模式，AH都會認證整個包 頭，不同于ESP 的是，AH 還會認證位于AH頭前的新IP頭，當NAT修改了IP 頭之后，IPSec就會認為這是對數以完整性的破壞，從而丟棄數據包。因此，AH是約 可能與NAT一起工作的。

意思就是說，AH處理數據時，所使用的數據是整個數據包，甚至是IP包頭的IP地址，也是處理數據的一部分，對這些數據作整合，計算出一個值， 這個值是唯一的，即只有相同的數據，才可能計算出相同的值。當NAT設備修改了IP地址時，就不符合這個值了。這時，這個數據包就被破壞了。而ESP并不保護IP包頭，ESP保護的內容是ESP字段到ESP跟蹤字段之間的內容，因此，如何NAT只是轉換IP的話，那就不會影響ESP的計算。但是如果是使用PAT的話，這個數據包仍然會受到破壞。

所以，在NAT網絡中，只能使用IPSec的ESP認證加密方法，不能用AH。但是也是有辦法解決這個缺陷的，不能修改受ESP保護的TCP/UDP，那就再加一個UDP報頭。 解決方案：NAT穿越 2，拓撲圖

3，配置步驟 R1# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.2 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.2 R2# interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ip nat inside source static esp 10.1.1.1 interface FastEthernet1/0 //支持ESP協議

ip nat inside source static udp 10.1.1.1 4500 interface FastEthernet1/0 4500 //NAT-T ipsecvpn端口地址轉換

ip nat inside source static udp 10.1.1.1 500 interface FastEthernet1/0 500 //普通 ipsecvpn 端口地址轉換

R3# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 11.1.1.1 ! ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.1 set transform-set tran1 match address ipsecacl ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 4，配置驗證

R1#f0/0上抓包

ISAKMP報文

ESP報文

R2#f1/0上抓包

ISAKMP報文

ESP報文

5，注意事項

(1)R1與R3上的對端地址均為公網地址，R1上要配缺省路由。

(2)IPsecVPN穿越NAT時要變換IP地址和端口，從而導致對方認證失敗，所以應該保證變換后的IP地址和端口和對端一致。

三，雙PPPOE線路實驗(神碼) 1.需求描述

現實網絡中有很多企業和機構都采用雙線路來互相冗余備份，而其中有很多通過pppoe撥號(ADSL寬帶接入方式)來實現對每個接入用戶的控制和計費。 2.拓撲圖

3，配置步驟

R1# interface Virtual-tunnel0 //配置虛擬通道0 mtu 1492 //最大傳輸單元

ip address negotiated //IP地址自協商 no ip directed-broadcast ppp chap hostname DCN //chap認證方式用戶名DCN ppp chap password 0 DCN //chap認證方式密碼DCN

ppp pap sent-username DCN password 0 DCN //pap認證方式用戶名DCN1密碼DCN1 ip nat outside ! interface Virtual-tunnel1 mtu 1492 ip address negotiated no ip directed-broadcast ppp chap hostname DCN1 ppp chap password 0 DCN1 ip nat outside ! interface f2/0 ip address 10.1.1.1 255.255.255.0 no ip directed-broadcast ip nat inside ! ip route default Virtual-tunnel0 //默認路由走虛擬隧道0 ip route default Virtual-tunnel1 //默認隧道走虛擬隧道1 ! ip access-list extended natacl permit ip 10.1.1.0 255.255.255.0 any ! vpdn enable 啟用VPDN ! vpdn-group poe0 建vpdn組 request-dialin 請求撥號

port Virtual-tunnel0 綁定虛擬隧道0 protocol pppoe 封裝PPPOE協議

pppoe bind f0/0 綁定到物理接口f0/0 ! vpdn-group pppoe1 request-dialin port Virtual-tunnel1 protocol pppoe pppoe bind f1/0 ! ! ! ip nat inside source list natacl interface Virtual-tunnel0 //NAT走虛擬隧道0 ip nat inside source list natacl interface Virtual-tunnel1 ! R2# config# ip local pool pppoe 172.16.1.2 10 //配置分配給客戶端的地址池 aaa authentication ppp default local //開啟本地ppp認證 username DCN password 0 DCN //本地認證的用戶名密碼 ! interface Virtual-template0 //建立虛擬模版0 ip address 172.16.1.1 255.255.0.0 //設置ip地址 no ip directed-broadcast ppp authentication chap //PPP認證為chap認證方式(virtual-tunnel隧道不能配置此參數，否則只能完成發現階段，不能建立會話階段) ppp chap hostname DCN //chap認證用戶名DCN ppp chap password 0 DCN //chap認證密碼DCN

peer default ip address pool pppoe //給撥號上來的客戶端分配地址池里的地址 ip nat inside ! ! interface f0/0 ip address 192.168.3.3 255.255.255.0 ip nat outside ! ip route default 192.168.3.1 ! ip access-list extended natacl permit ip 172.16.1.0 255.255.255.0 any ! vpdn enable //啟用vpdn ! vpdn-group pppoe //建立vpdn組 accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬模版0 protocol pppoe //封裝pppoe協議

pppoe bind fastEthernet0/0 //綁定到物理接口fsatethnet0/0 ! ! ip nat inside source list natacl interface f1/0

R3# ip local pool pppoe 192.168.1.2 10 ! aaa authentication ppp default local !

username DCN1 password 0 DCN1 ! interface Virtual-template0 mtu 1492 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ppp authentication chap

ppp chap hostname DCN1 ppp chap password 0 DCN1 peer default ip address pool pppoe ip nat inside ! Interface f 1/0 ip address 192.168.3.2 255.255.255.0 no ip directed-broadcast ip nat outside ! ! ip route default 192.168.3.1 ! ! ip access-list extended natacl permit ip 192.168.1.0 255.255.255.0 any ! ! vpdn enable ! vpdn-group pppoe accept-dialin port Virtual-template0 protocol pppoe pppoe bind FastEthernet0/0 !

ip nat inside source list natacl interface f1/0 !

4，驗證配置

R1#sh ip int br

Fastethnet2/0 10.1.1.1 manual up Fastethnet0/0 unassigned manual up Fastethnet1/0 unassigned manual up Virtual-tunnel0 172.16.1.2 manual up Virtual-tunnel1 192.168.1.2 manual up #sh pppoe session

PPPOE Session Information: Total sessions 2

ID Remote_Address State Role Interface BindOn 306 FC:FA:F7:B0:06:AE Established client vn1 f0/0 307 FC:FA:F7:7E:0C:A2 Established client vn0 f1/0 R2#sh ip int br

Interface IP-Address Method Protocol-Status fastEthernet0/0 unassigned manual up fastEthernet0/1 192.168.3.3 manual up Virtual-template0 172.16.1.1 manual down Virtual-access0 172.16.1.1 manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID Remote_Address State Role Interface BindOn 1 FC:FA:F7:D2:07:EA Established server va0 f0/0 R3#sh ip int br

Interface

IP-Address

Method Protocol-Status FastEthernet0/0

unassigned

manual up

FastEthernet0/1

192.168.3.2

manual up Virtual-template0

192.168.1.1

manual down Virtual-access0

192.168.1.1

manual up

#sh pppoe session

PPPOE Session Information: Total sessions 1

ID

Remote_Address

State

Role

Interface BindOn

FC:FA:F7:D2:07:E9 Established

server

va0

f0/0

5，注意事項

(1)，pppoe-client配置虛擬通道時，最大傳輸單元為1492(默認)，ip地址為自協商，ppp認證方式為chap和pap(服務器提供的認證方式有可能為chap或pap)。注意：不能配置ppp authentication chap(認證方式為任意)。

(2)，pppoe-client配置vpdn時，先啟用vpdn，創建vpdn組，請求撥號，應用虛擬隧道，封裝pppoe協議，綁定到物理接口。

(3)，pppoe-client配置默認路由下一跳為虛擬隧道virual-tunnel0/virtual-tunnel1，配置NAT時，出接口為虛擬隧道virual-tunnel0/virtual-tunnel1。

(4)，pppoe-server配置時注意配置分配給客戶端的地址池，開啟本地ppp認證，配置本地認證用戶名和密碼。

(5)，pppoe-server配置虛擬模版時，最大傳輸單元1492，ip地址為固定ip(與地址池在同一網段，但不包含在地址池里)，ppp認證方式為chap或pap，認證的用戶名和密碼，給撥號上來的客戶端分配地址池里的地址。

(6)，pppoe-server配置vpdn時，先啟用vpdn，創建vpdn組，允許撥號，應用虛擬模版，封裝pppoe協議，綁定到物理接口。

四，外網通過IPsec_VPN服務器(在內網)訪問內網服務器

1，需求描述

有些企業單位將VPN服務器放在內網，需要讓在外網出差的用戶撥上VPN后能訪問內網部分資源(如WEB服務器，辦公系統等)。 2，拓撲圖

3，配置步驟 IPsecVPN_Server# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.2 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp set peer 11.1.1.2 set transform-set tran1

match address ipsecacl ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖 ! ip route 11.1.1.0 255.255.255.0 10.1.1.1 //隧道協商的路由

ip route 172.16.1.0 255.255.255.0 10.1.1.1 //轉發VPN客戶端流量的路由 ! ip access-list extended ipsecacl permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Telnet_Server# aaa new-model //開啟AAA認證 ! aaa authentication login default none //無認證登錄 aaa authentication enable default none //無enable認證 ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 ! ip route 0.0.0.0 0.0.0.0 10.1.1.1 //網關

NAT_Over# interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface FastEthernet1/0 ip address 11.1.1.1 255.255.255.0 ip nat outside ! ip route 172.16.1.0 255.255.255.0 10.1.1.2 //指向VPN服務器 ! ip nat inside source static esp 10.1.1.2 interface FastEthernet1/0 //封裝ESP協議 ip nat inside source static udp 10.1.1.2 500 interface FastEthernet1/0 500 //端口映射 ip nat inside source static udp 10.1.1.2 4500 interface FastEthernet1/0 4500 //端口映射

IPsecVPN_Client# crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 11.1.1.1 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 11.1.1.1 set transform-set tran1

match address ipsecacl ! interface FastEthernet0/0 ip address 11.1.1.2 255.255.255.0 crypto map map1 //綁定轉換圖 ! interface FastEthernet1/0 ip address 172.16.1.1 255.255.255.0 ! ip route 10.1.1.0 255.255.255.0 11.1.1.1 //轉發VPN流量的路由 ! ip access-list extended ipsecacl permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255

4，驗證配置 172.16.1.1訪問Telnet_Server Ping 10.1.1.3 source 172.16.1.1

IPsecVPN_Client f0/0上抓包

IPsecVPN_Server f0/0上抓包

NAT_Over f0/0上抓包

Telnet_Sever f0/0上抓包

5，注意事項

(1)，配置ipsecvpn時，注意將map綁定到物理接口。

(2)，nat_over路由器上配置的一條指向ipsecvpn服務器的路由。

(3)，ipsecvpn_sever和ipsecvpn_client上配置隧道路由和數據路由，數據轉發時先查找路由從接口轉發時再看是否匹配ipsecacl，匹配才走ipsecvpn隧道。 天津多外線內部vpn服務器案例

五，DCR-2800和BSR-2800配置RIP路由

1，需求描述

路由信息協議(Routing Information Protocol，縮寫：RIP)是一種使用最廣泛的內部網關協議(IGP)。(IGP)是在內部網絡上使用的路由協議(在少數情形下,也可以用于連接到因特網的網絡)，它可以通過不斷的交換信息讓路由器動態的適應網絡連接的變化，這些信息包括每個路由器可以到達哪些網絡，這些網絡有多遠等。 RIP 屬于網絡層協議，并使用UDP作為傳輸協議。(RIP是位于網絡層的)

雖然RIP仍然經常被使用，但大多數人認為它將會而且正在被諸如OSPF和IS-IS這樣的路由協議所取代。當然，我們也看到EIGRP，一種和RIP屬于同一基本協議類(距離矢量路由協議,Distance Vector Routing Protocol)但更具適應性的路由協議，也得到了一些使用。 2，拓撲描述

3，配置步驟 DCR-2800上配置 DCR-2800# interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.2.1 255.255.255.0 ip rip 1 enable ! router rip 1

neighbor 192.168.1.2 DCR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 C

192.168.2.0/24

is directly connected, GigaEthernet0/1 R

192.168.3.0/24

[120,1] via 192.168.1.2(on GigaEthernet0/0)

BSR-2800上配置 BSR-2800# interface GigaEthernet0/0 ip address 192.168.1.2 255.255.255.0 ip rip 1 enable ! interface GigaEthernet0/1 ip address 192.168.3.1 255.255.255.0 ip rip 1 enable ! router rip 1

neighbor 192.168.1.1 BSR-2800#sh ip route C

192.168.1.0/24

is directly connected, GigaEthernet0/0 R

192.168.2.0/24

[120,1] via 192.168.1.1(on GigaEthernet0/0) C

192.168.3.0/24

is directly connected, GigaEthernet0/1 4，驗證配置

DCR-2800#ping 192.168.3.1 PING 192.168.3.1 (192.168.3.1): 56 data bytes !!!!! --- 192.168.3.1 ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 0/0/0 ms 5，注意事項

(1)，neighbor 為對端ip (2)，在接口下 ip rip 1 enable 則宣告了這個接口的地址所在的網段， 如果這個接口有兩個地址，例如 interface GigaEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.4.1 255.255.255.0 secondary 則只能成功宣告192.168.1.0 這個網段 如果一個接口分兩個邏輯子接口，例如 interface GigaEthernet0/0.0 ip address 192.168.1.1 255.255.255.0 interface GigaEthernet0/0.1 ip address 192.168.4.1 255.255.255.0 則能成功宣告兩個網段192.168.1.0 ， 192.168.4.0 六，DCR-2800 L2TP服務器配置

1，需求描述

L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡為IP網絡，L2TP要求面向數據包的點對點連接;PPTP使用單一隧道，L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。 2，拓撲描述

3，配置步驟 DCR-2800上配置 int g0/0 ip add 192.168.1.1 255.255.255.0 ip local pool l2tp_pool 172.16.1.1 10 //配置l2tp地址池 aaa authentication ppp default local //開啟ppp認證 ! interface Virtual-template0 //創建虛擬接口模版

ip add 192.168.2.1 255.255.255.0//virtual-template接口的地址為任意地址

no ip directed-broadcast

ppp authentication chap //認證方式為chap ppp chap hostname admin //認證用戶名

ppp chap password 0 admin //認證密碼

peer default ip address pool l2tp_pool //調用地址池 ! vpdn enable //開啟虛擬專用撥號 !

vpdn-group l2tp //定義vpdn組

accept-dialin //允許撥入

port Virtual-template0 //綁定虛擬接口模版

protocol l2tp //定義協議為l2tp local-name default force-local-chap //強制進行CHAP驗證

lcp-renegotiation //重新進行LCP協商 ! PC上配置

網絡和共享中心->設置新的連接或網絡->連接到工作區->使用我的Internet連接VPN

4，驗證配置

撥號成功

5，注意事項

(1)，L2TP服務器上virtual-template接口的地址為任意地址

(2)，force-local-chap //強制進行CHAP驗證，lcp-renegotiation //重新進行LCP協商 (3)，PC客戶端上配置可選加密，勾選三種認證方式PAP，CHAP，MS-CHAP

七，總分部之間IPsecVPN對接

1，需求描述

導入IPSEC協議，原因有2個，一個是原來的TCP/IP體系中間，沒有包括基于安全的設計，任何人，只要能夠搭入線路，即可分析所有的通訊數據。IPSEC引進了完整的安全機制，包括加密、認證和數據防篡改功能。另外一個原因，是因為Internet迅速發展，接入越來越方便，很多客戶希望能夠利用這種上網的帶寬，實現異地網絡的的互連通。

IPSEC協議通過包封裝技術，能夠利用Internet可路由的地址，封裝內部網絡的IP地址，實現異地網絡的互通?？偛亢头植恐g通過IPsecVPN隧道通信，分部和分部之間通過和總部建立的IPsecVPN隧道通信。 2，拓撲需求

3，配置步驟 總部：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 2.1.1.2 255.255.255.0 crypto isakmp key 123456 address 3.1.1.2 255.255.255.0 !

crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 2.1.1.2 set peer 3.1.1.2 set transform-set tran1 match address ipsecacl ! interface Loopback0 ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0 ip address 1.1.1.1 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 1.1.1.2 ! ip access-list extended ipsecacl permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 分部A：

crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 12345 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl ! interface Loopback0 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0 ip address 2.1.1.2 255.255.255.0 duplex auto speed auto crypto map map1 ! ip route 0.0.0.0 0.0.0.0 2.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.2.0 0.0.0.255 192.168.0.0 0.0.255.255 分部B： crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key 123456 address 1.1.1.1 255.255.255.0 ! crypto ipsec transform-set tran1 esp-des esp-md5-hmac ! crypto map map1 1 ipsec-isakmp

set peer 1.1.1.1 set transform-set tran1

match address ipsecacl ! interface Loopback0 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0 ip address 3.1.1.2 255.255.255.0 crypto map map1 ! ip route 0.0.0.0 0.0.0.0 3.1.1.1 ! ip access-list extended ipsecacl permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.255

Internet：

interface FastEthernet0/0 ip address 1.1.1.2 255.255.255.0 ! interface FastEthernet1/0 ip address 2.1.1.1 255.255.255.0 ! interface FastEthernet2/0 ip address 3.1.1.1 255.255.255.0 4，驗證配置

總部：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

3.1.1.2

QM_IDLE 1.1.1.1

2.1.1.2

QM_IDLE 分部A：

Router#sh crypto isakmp sa dst

src

state

1.1.1.1

2.1.1.2

QM_IDLE 總部和分部A通信：

conn-id slot status

0 ACTIVE

0 ACTIVE

conn-id slot status

0 ACTIVE

Router#ping 192.168.1.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/55/84 ms 分部A上抓包：

分部A與分部B通信：

Router#ping 192.168.3.1 source 192.168.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.3.1, timeout is 2 seconds: Packet sent with a source address of 192.168.2.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 60/94/140 ms 總部上抓包：

分部B上抓包：

分部B：

Router#sh crypto isakmp sa dst

src

state

conn-id slot status 1.1.1.1

3.1.1.2

QM_IDLE

0 ACTIVE 分部B與總部A通信：

Router#ping 192.168.1.1 source 192.168.3.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/92 ms 分部B上抓包：

分部B與分部A通信：

Router#ping 192.168.2.1 source 192.168.3.1

Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds: Packet sent with a source address of 192.168.3.1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/95/144 ms 總部上抓包：

分部A上抓包：

5，注意事項

(1)，思科IPsecvpn內網流量先查找路由后匹配策略，只有到達對端私網的路由，才能匹配策略加密封裝。

(2)，隧道協商需要公網路由的可達性，但是只有內網有感興趣流量時才能觸發隧道協商，從而建立隧道，而且需要雙向的觸發。