方案介绍
一个中小企业,由三个异地分支机构(A、B、C)组成。分支A负责仓储和物流,分支B和C主要是销售部门。A有人员8人,B和C各有人员20人。
过去的业务模式是B和C根据销售合同电话通知A准备商品,A在备货完成后,通知B或C的相关销售员。销售员与用户沟通后,将确认时间和地点再电话通知A。A完成商品的发送货。
随着企业ERP的要求,上述人工业务模式需要更改。由分散在三地的基于数据库的应用协同完成。即B和C的销售合同进入本地数据库。相关应用总结合同需要的商品和要求,传输给A的数据库。A的应用按照要求,通知相关人员组织商品及通知B或C的数据库应用A的准备时间,并要求B或C的应用通知销售员与用户协商,且将结果回传给A。A在指定时间内完成备货后,直接发送货给用户,并将完成标志回传给B或C的数据库应用。B和C可以查询A处合同的执行状态(如合同中的每一种商品何时到货,处于何种运作状态)。另外,B和C的管理人员也可以查询A的库存,并有针对性的制订促销策略。而且B和C的网络需要访问Internet。
在方案实施中,对网络的互联方案出现争议。
网络互联方案1——由专线DDN,直接将三地网络互联。但该企业认为其业务模式不要求网络一直连接,而且这种结构的网络运营费用较高,在初始阶段没有必要。
网络互联方案2——分别连接到ISP,各网络利用VPN实现互访。该企业认为这种方式的数据传输带宽受互联网的影响较大。
网络互联方案3——由ISDN实现DDR,按照实际访问需要实现网络连接。包括Internet的访问。该企业根据ERP的实际网络流量,认为64Kbps的连接可以满足当前销售额的带宽需求,也符合企业的规模,提出各分支部门只使用1条ISDN线路(64Kbps互联,64Kbps连接Internet),同时实现上述互联目标。
于是,下述的配置实例就是利用带框架的DDR实现上述互联目标,即B和C通过带框架的DDR使用NAT/PAT访问Internet,通过带框架的DDR使用同一个ISDN线路的另一个B通道实现分支网络互联。这种互联是双向DDR。即任何一方都可以根据访问需要,建立与对方的连接。
网络拓扑
配置介绍
下面,简要介绍A和B网络路由器的配置和测试过程。并对关键指令作必要的解释,C网络路由器与B类似,不在赘述。使用的路由器为有以太网口的Cisco产品,带ISDN S/T模块,IOS版本为12.1。
1、A网络路由器(Arouter)的配置
为路由器命名。
Router(config)#hostname Arouter
配置ISDN类型,中国的ISDN类型是basic-net3。
Arouter(config)#isdn switch-type basic-net3
Arouter(config)#inter bri0/0
Arouter(config-if)#isdn switch-type basic-net3
Arouter(config-if)#no shutdown
检查ISDN状态。
Arouter#show isdn status
在输出中,有ACTIVE和MULTIPLE_FRAME_ESTABLISHED字符串,表明ISDN接口可以正常工作。否则,可能是线路或信令有问题。
配置基本的安全控制。
Arouter(config)#aaa new-model
Arouter(config)#aaa authentication ppp default local
使用路由器上的用户/口令验证PPP连接
Arouter(config)#aaa authentication login default local
Arouter(config)#aaa authentication login console none
在控制台,不提示用户名和口令,但远程登陆需要输入用户名和口令。
Arouter(config)#line console 0
Arouter(config-if)#login authentication console
Arouter(config-if)#exit
Arouter(config)#username admin password 123456
远程登陆时的用户名和口令。
Arouter(config)#username Brouter password abcdef
Arouter(config)#username Crouter password qwerty
为Brouter和Crouter分别指定口令。互联的双方口令需要一致。
配置ISDN端口。
Arouter(config)#inter bri0/0
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#dialer pool-member 3
Arouter(config-if)#no cdp enable
Arouter(config-if)#ppp authentication chap
ISDN端口按照PPP协议封装,是拨号池3的成员。PPP验证使用CHAP匹配用户名和口令。
配置针对B路由器的DDR框架。
Arouter(config-if)#inter dialer0
Arouter(config-if)#description for Brouter
Arouter(config-if)#ip unnumber ethernet0/0
复用以太网接口地址,好处之一是不需要为每个互联网络指定静态路由。
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#no cdp enable
Arouter(config-if)#dialer pool 3
指定所拥有的物理接口。
Arouter(config-if)#dialer-group 5
指定DDR接受的数据包过滤规则。
Arouter(config-if)#ppp authentication chap
Arouter(config-if)#dialer remote-name Brouter
限制互联路由器的名字为Brouter。
Arouter(config-if)#dialer string 87654321
指定对方的电话号码。
Arouter(config-if)#dialer idle-timeout 300
在5分钟内,线路上没有数据包传输,则中断这个连接。
配置针对C路由器的框架。
Arouter(config-if)#inter dialer1
Arouter(config-if)#description for Crouter
Arouter(config-if)#ip unnumber ethernet0/0
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#no cdp enable
Arouter(config-if)#dialer pool 3
Arouter(config-if)#dialer-group 5
Arouter(config-if)#ppp authentication chap
Arouter(config-if)#dialer remote-name Crouter
Arouter(config-if)#dialer string 23456781
Arouter(config-if)#dialer idle-timeout 300
Arouter(config-if)#exit
说明激活DDR的条件。
Arouter(config)#dialer-list 5 protocol ip permit
设置针对B和C的激活条件。
Arouter(config)#ip route 172.16.1.0 255.255.255.0 dialer0
Arouter(config)#ip route 10.1.1.0 255.255.255.0 dialer1
至此,Arouter的配置工作完成。
2、B网络路由器(Brouter)的配置
B路由器的配置需要完成互联和与Internet连接两个任务。
Router(config)#hostname Brouter
Brouter(config)#isdn switch-type basic-net3
Brouter(config)#inter bri0/0
Brouter(config-if)#isdn switch-type basic-net3
Brouter(config-if)#no shutdown
Brouter(config)#aaa new-model
Brouter(config)#aaa authentication ppp default local
Brouter(config)#aaa authentication login default local
Brouter(config)#aaa authentication login console none
Brouter(config)#line console 0
Brouter(config-if)#login authentication console
Brouter(config-if)#exit
Brouter(config)#username admin password 123456
Brouter(config)#username Arouter password abcdef
口令需与Arouter上的配置一样。
Brouter(config)#inter bri0/0
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#dialer pool-member 3
Brouter(config-if)#no cdp enable
配置针对A路由器的框架。
Brouter(config-if)#inter dialer0
Brouter(config-if)#description for Arouter
Brouter(config-if)#ip unnumber ethernet0/0
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#no cdp enable
Brouter(config-if)#dialer pool 3
Brouter(config-if)#dialer-group 5
Brouter(config-if)#ppp authentication chap
Brouter(config-if)#dialer remote-name Arouter
限制互联路由器的名字为Arouter。
Brouter(config-if)#dialer string 12345678
指定对方的电话号码。
Brouter(config-if)#dialer idle-timeout 300
在5分钟内,线路上没有数据包传输,则中断这个连接。
配置针对Internet的框架。
Brouter(config-if)#inter dialer1
Brouter(config-if)#description for Internet
Brouter(config-if)#ip address negotiated
从ISP得到地址。
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#no cdp enable
Brouter(config-if)#dialer pool 3
Brouter(config-if)#dialer-group 5
Brouter(config-if)#ppp authentication pap
PPP验证使用PAP方式。
Brouter(config-if)#ppp pap sent-username 263 password 263
与ISP连接时验证需要输入的用户名和口令。
Brouter(config-if)#dialer string 95963
连接到263。
Brouter(config-if)#dialer idle-timeout 300
Brouter(config-if)#ip nat outside
Dialer1是NAT规则中的外部端口。
Brouter(config-if)#exit
说明激活DDR的条件。
Brouter(config)#dialer-list 5 protocol ip permit
设置针对A和Internet的激活条件。
Brouter(config)#ip route 192.168.1.0 255.255.255.0 dialer0
Brouter(config)#ip route 0.0.0.0 0.0.0.0 dialer1
配置访问Internet的NAT/PAT。
Brouter(config)#inter eth0/0
Brouter(config-if)#ip nat inside
以太网接口是NAT规则中的内部接口。
Brouter(config-if)#exit
设置PAT。
Brouter(config)#ip nat inside source list 2 interface dialer1 overload
设置访问控制。
Router(config)#access-list 2 deny 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
禁止使用Internet接口访问A网络。
Router(config)#access-list 2 permit ip 172.16.1.0 0.0.0.255 any
允许B网络内的计算机访问Internet。
至此,Brouter的配置工作完成。
测试步骤
1、B路由器的测试
首先观察NAT是否被正确配置。
Brouter#show ip nat stat
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Dialer1
Inside interfaces:
Ethernet0/0
……
在命令的输出中,说明了内部接口和外部接口。这样的输出说明NAT/PAT被正确配置。
其次,观察对A网络的路由器是否可以DDR。
先在Brouter上打开相关的调试命令,如:debug ppp nego,debug dialer,debug ppp authen等命令。
然后在B网络上,使用一台计算机,执行ping 192.168.1.1的DOS命令。观察在Brouter上的输出。正常情况下,可以看到B路由器开始启动Dialer0的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
第三,观察对Internet的DDR。
在B网络上,使用测试计算机,执行ping www.cisco.com命令,观察在Brouter上的输出。正常情况下,可以看到B路由器开始启动Dialer1的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
最后,等待一段时间,观察DDR自动断开连接。
2、A路由器的测试
首先,观察对B网络的路由器是否可以DDR。
先在Arouter上打开相关的调试命令,如:debug ppp nego,debug dialer,debug ppp authen等命令。
然后在A网络上,使用一台计算机,执行ping 172.16.1.1的DOS命令。观察在Arouter上的输出。正常情况下,可以看到A路由器开始启动Dialer0的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
其次,观察对C网络的路由器是否可以DDR。
在测试计算机,执行ping 10.1.1.1的DOS命令。观察在Arouter上的输出。正常情况下,可以看到A路由器开始启动Dialer1的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
最后,等待一段时间,观察DDR自动断开连接。
总 结
上述配置过程充分使用了带框架的DDR所拥有的优势,在仅使用一条ISDN线路的情况下,将两个通道分别用于不同的DDR请求。圆满地实现了网络互联的方案。经实践检验,完全满足用户的需求和应用软件对网络的要求。而且,本方案有较广阔的扩充空间,例如在A网络路由器上增加ISDN模块,同时将这些ISDN线路设置为组呼功能(由电信部门提供),便形成以A网络路由器为中心,与更多的分支机构网络互联的星型结构。
一个中小企业,由三个异地分支机构(A、B、C)组成。分支A负责仓储和物流,分支B和C主要是销售部门。A有人员8人,B和C各有人员20人。
过去的业务模式是B和C根据销售合同电话通知A准备商品,A在备货完成后,通知B或C的相关销售员。销售员与用户沟通后,将确认时间和地点再电话通知A。A完成商品的发送货。
随着企业ERP的要求,上述人工业务模式需要更改。由分散在三地的基于数据库的应用协同完成。即B和C的销售合同进入本地数据库。相关应用总结合同需要的商品和要求,传输给A的数据库。A的应用按照要求,通知相关人员组织商品及通知B或C的数据库应用A的准备时间,并要求B或C的应用通知销售员与用户协商,且将结果回传给A。A在指定时间内完成备货后,直接发送货给用户,并将完成标志回传给B或C的数据库应用。B和C可以查询A处合同的执行状态(如合同中的每一种商品何时到货,处于何种运作状态)。另外,B和C的管理人员也可以查询A的库存,并有针对性的制订促销策略。而且B和C的网络需要访问Internet。
在方案实施中,对网络的互联方案出现争议。
网络互联方案1——由专线DDN,直接将三地网络互联。但该企业认为其业务模式不要求网络一直连接,而且这种结构的网络运营费用较高,在初始阶段没有必要。
网络互联方案2——分别连接到ISP,各网络利用VPN实现互访。该企业认为这种方式的数据传输带宽受互联网的影响较大。
网络互联方案3——由ISDN实现DDR,按照实际访问需要实现网络连接。包括Internet的访问。该企业根据ERP的实际网络流量,认为64Kbps的连接可以满足当前销售额的带宽需求,也符合企业的规模,提出各分支部门只使用1条ISDN线路(64Kbps互联,64Kbps连接Internet),同时实现上述互联目标。
于是,下述的配置实例就是利用带框架的DDR实现上述互联目标,即B和C通过带框架的DDR使用NAT/PAT访问Internet,通过带框架的DDR使用同一个ISDN线路的另一个B通道实现分支网络互联。这种互联是双向DDR。即任何一方都可以根据访问需要,建立与对方的连接。
网络拓扑
配置介绍
下面,简要介绍A和B网络路由器的配置和测试过程。并对关键指令作必要的解释,C网络路由器与B类似,不在赘述。使用的路由器为有以太网口的Cisco产品,带ISDN S/T模块,IOS版本为12.1。
1、A网络路由器(Arouter)的配置
为路由器命名。
Router(config)#hostname Arouter
配置ISDN类型,中国的ISDN类型是basic-net3。
Arouter(config)#isdn switch-type basic-net3
Arouter(config)#inter bri0/0
Arouter(config-if)#isdn switch-type basic-net3
Arouter(config-if)#no shutdown
检查ISDN状态。
Arouter#show isdn status
在输出中,有ACTIVE和MULTIPLE_FRAME_ESTABLISHED字符串,表明ISDN接口可以正常工作。否则,可能是线路或信令有问题。
配置基本的安全控制。
Arouter(config)#aaa new-model
Arouter(config)#aaa authentication ppp default local
使用路由器上的用户/口令验证PPP连接
Arouter(config)#aaa authentication login default local
Arouter(config)#aaa authentication login console none
在控制台,不提示用户名和口令,但远程登陆需要输入用户名和口令。
Arouter(config)#line console 0
Arouter(config-if)#login authentication console
Arouter(config-if)#exit
Arouter(config)#username admin password 123456
远程登陆时的用户名和口令。
Arouter(config)#username Brouter password abcdef
Arouter(config)#username Crouter password qwerty
为Brouter和Crouter分别指定口令。互联的双方口令需要一致。
配置ISDN端口。
Arouter(config)#inter bri0/0
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#dialer pool-member 3
Arouter(config-if)#no cdp enable
Arouter(config-if)#ppp authentication chap
ISDN端口按照PPP协议封装,是拨号池3的成员。PPP验证使用CHAP匹配用户名和口令。
配置针对B路由器的DDR框架。
Arouter(config-if)#inter dialer0
Arouter(config-if)#description for Brouter
Arouter(config-if)#ip unnumber ethernet0/0
复用以太网接口地址,好处之一是不需要为每个互联网络指定静态路由。
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#no cdp enable
Arouter(config-if)#dialer pool 3
指定所拥有的物理接口。
Arouter(config-if)#dialer-group 5
指定DDR接受的数据包过滤规则。
Arouter(config-if)#ppp authentication chap
Arouter(config-if)#dialer remote-name Brouter
限制互联路由器的名字为Brouter。
Arouter(config-if)#dialer string 87654321
指定对方的电话号码。
Arouter(config-if)#dialer idle-timeout 300
在5分钟内,线路上没有数据包传输,则中断这个连接。
配置针对C路由器的框架。
Arouter(config-if)#inter dialer1
Arouter(config-if)#description for Crouter
Arouter(config-if)#ip unnumber ethernet0/0
Arouter(config-if)#encapsulation ppp
Arouter(config-if)#no cdp enable
Arouter(config-if)#dialer pool 3
Arouter(config-if)#dialer-group 5
Arouter(config-if)#ppp authentication chap
Arouter(config-if)#dialer remote-name Crouter
Arouter(config-if)#dialer string 23456781
Arouter(config-if)#dialer idle-timeout 300
Arouter(config-if)#exit
说明激活DDR的条件。
Arouter(config)#dialer-list 5 protocol ip permit
设置针对B和C的激活条件。
Arouter(config)#ip route 172.16.1.0 255.255.255.0 dialer0
Arouter(config)#ip route 10.1.1.0 255.255.255.0 dialer1
至此,Arouter的配置工作完成。
2、B网络路由器(Brouter)的配置
B路由器的配置需要完成互联和与Internet连接两个任务。
Router(config)#hostname Brouter
Brouter(config)#isdn switch-type basic-net3
Brouter(config)#inter bri0/0
Brouter(config-if)#isdn switch-type basic-net3
Brouter(config-if)#no shutdown
Brouter(config)#aaa new-model
Brouter(config)#aaa authentication ppp default local
Brouter(config)#aaa authentication login default local
Brouter(config)#aaa authentication login console none
Brouter(config)#line console 0
Brouter(config-if)#login authentication console
Brouter(config-if)#exit
Brouter(config)#username admin password 123456
Brouter(config)#username Arouter password abcdef
口令需与Arouter上的配置一样。
Brouter(config)#inter bri0/0
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#dialer pool-member 3
Brouter(config-if)#no cdp enable
配置针对A路由器的框架。
Brouter(config-if)#inter dialer0
Brouter(config-if)#description for Arouter
Brouter(config-if)#ip unnumber ethernet0/0
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#no cdp enable
Brouter(config-if)#dialer pool 3
Brouter(config-if)#dialer-group 5
Brouter(config-if)#ppp authentication chap
Brouter(config-if)#dialer remote-name Arouter
限制互联路由器的名字为Arouter。
Brouter(config-if)#dialer string 12345678
指定对方的电话号码。
Brouter(config-if)#dialer idle-timeout 300
在5分钟内,线路上没有数据包传输,则中断这个连接。
配置针对Internet的框架。
Brouter(config-if)#inter dialer1
Brouter(config-if)#description for Internet
Brouter(config-if)#ip address negotiated
从ISP得到地址。
Brouter(config-if)#encapsulation ppp
Brouter(config-if)#no cdp enable
Brouter(config-if)#dialer pool 3
Brouter(config-if)#dialer-group 5
Brouter(config-if)#ppp authentication pap
PPP验证使用PAP方式。
Brouter(config-if)#ppp pap sent-username 263 password 263
与ISP连接时验证需要输入的用户名和口令。
Brouter(config-if)#dialer string 95963
连接到263。
Brouter(config-if)#dialer idle-timeout 300
Brouter(config-if)#ip nat outside
Dialer1是NAT规则中的外部端口。
Brouter(config-if)#exit
说明激活DDR的条件。
Brouter(config)#dialer-list 5 protocol ip permit
设置针对A和Internet的激活条件。
Brouter(config)#ip route 192.168.1.0 255.255.255.0 dialer0
Brouter(config)#ip route 0.0.0.0 0.0.0.0 dialer1
配置访问Internet的NAT/PAT。
Brouter(config)#inter eth0/0
Brouter(config-if)#ip nat inside
以太网接口是NAT规则中的内部接口。
Brouter(config-if)#exit
设置PAT。
Brouter(config)#ip nat inside source list 2 interface dialer1 overload
设置访问控制。
Router(config)#access-list 2 deny 172.16.1.0 0.0.0.255 192.168.1.0 0.0.0.255
禁止使用Internet接口访问A网络。
Router(config)#access-list 2 permit ip 172.16.1.0 0.0.0.255 any
允许B网络内的计算机访问Internet。
至此,Brouter的配置工作完成。
测试步骤
1、B路由器的测试
首先观察NAT是否被正确配置。
Brouter#show ip nat stat
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Outside interfaces:
Dialer1
Inside interfaces:
Ethernet0/0
……
在命令的输出中,说明了内部接口和外部接口。这样的输出说明NAT/PAT被正确配置。
其次,观察对A网络的路由器是否可以DDR。
先在Brouter上打开相关的调试命令,如:debug ppp nego,debug dialer,debug ppp authen等命令。
然后在B网络上,使用一台计算机,执行ping 192.168.1.1的DOS命令。观察在Brouter上的输出。正常情况下,可以看到B路由器开始启动Dialer0的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
第三,观察对Internet的DDR。
在B网络上,使用测试计算机,执行ping www.cisco.com命令,观察在Brouter上的输出。正常情况下,可以看到B路由器开始启动Dialer1的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
最后,等待一段时间,观察DDR自动断开连接。
2、A路由器的测试
首先,观察对B网络的路由器是否可以DDR。
先在Arouter上打开相关的调试命令,如:debug ppp nego,debug dialer,debug ppp authen等命令。
然后在A网络上,使用一台计算机,执行ping 172.16.1.1的DOS命令。观察在Arouter上的输出。正常情况下,可以看到A路由器开始启动Dialer0的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
其次,观察对C网络的路由器是否可以DDR。
在测试计算机,执行ping 10.1.1.1的DOS命令。观察在Arouter上的输出。正常情况下,可以看到A路由器开始启动Dialer1的DDR。一般地,在测试计算机上,除第一个ping包丢失外,其它都返回正常。
最后,等待一段时间,观察DDR自动断开连接。
总 结
上述配置过程充分使用了带框架的DDR所拥有的优势,在仅使用一条ISDN线路的情况下,将两个通道分别用于不同的DDR请求。圆满地实现了网络互联的方案。经实践检验,完全满足用户的需求和应用软件对网络的要求。而且,本方案有较广阔的扩充空间,例如在A网络路由器上增加ISDN模块,同时将这些ISDN线路设置为组呼功能(由电信部门提供),便形成以A网络路由器为中心,与更多的分支机构网络互联的星型结构。
