小练习--ensp综合

1.拓扑结构

2.要求
总公司以AR1作为出口，进行NAPT转换，AR2模拟Internet
AR1,SW1,SW2运行OSPF，SW1和SW2模拟双核心
SW3模拟接入层交换机，其上连接普通用户，WEB用户和服务器
服务器采用固定IP地址，普通用户自动获取IP地址
DHCP服务器部署到SW1和SW2上
分公司AR3作为出口网关，只有一个公网IP地址，配置在G0/0/1上
总公司和分公司均采用私有IP地址，总公司为172.16.0.0/16，分公司为192.168.1.0/24
总公司可以所有用户均可访问分公司的HTTP Server，也可以访问总公司的HTTP和FTP服务器
分公司可以访问总公司的HTTP服务器，但不能访问FTP服务器
3.

r1
[V200R003C00]
#
 board add 0/1 2SA 
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
dhcp enable
#
acl number 2000  
 rule 1 permit source 172.16.11.0 0.0.0.255 
#
acl number 3000  
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface Serial1/0/0
 link-protocol ppp
 ip address 12.1.1.1 255.255.255.0 
 nat outbound 2000
#
interface Serial1/0/1
 link-protocol ppp
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
 ip address 172.16.11.134 255.255.255.252 
 ospf enable 1 area 0.0.0.0
#
interface GigabitEthernet0/0/2
 ip address 172.16.11.138 255.255.255.252 
 ospf enable 1 area 0.0.0.0
#
interface NULL0
#
interface Tunnel0/0/0
 description 23.1.1.2
 ip address 172.16.5.100 255.255.255.0 
 tunnel-protocol gre
 source 12.1.1.1
#
ospf 1 router-id 2.2.2.2 
 default-route-advertise always
 area 0.0.0.0 
  network 172.16.11.0 0.0.0.255 
#
rip 1
 undo summary
 version 2
 network 12.0.0.0
#
ip route-static 192.168.1.0 255.255.255.0 Tunnel0/0/0
ip route-static 192.168.1.0 255.255.255.0 12.1.1.2
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#

s1,s2差不多

```bash
#
sysname sw1
#
undo info-center enable
#
vlan batch 2 to 3 10 20
#
stp instance 1 root primary
stp instance 2 root secondary
#
cluster enable
ntdp enable
ndp enable
#
drop illegal-mac alarm
#
dhcp enable
#
diffserv domain default
#
stp region-configuration
 region-name a
 instance 1 vlan 10
 instance 2 vlan 20

```ip pool pool10      --地址池
 gateway-list 172.16.11.254
 network 172.16.11.0 mask 255.255.255.0
 excluded-ip-address 172.16.11.1 172.16.11.10
 dns-list 8.8.8.8
 
ospf 1 router-id 1.1.1.1 -- ospf
 area 0.0.0.0
  network 172.16.11.0 0.0.0.255

ar3

 [V200R003C00]
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
acl number 2000  
 rule 1 permit source 192.168.1.0 0.0.0.255 
#
acl number 3000  
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 23.1.1.2 255.255.255.0 
 nat outbound 2000
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
interface Tunnel0/0/0
 ip address 172.16.5.200 255.255.255.0 
 tunnel-protocol gre
 source 23.1.1.2
 destination 12.1.1.1
#
rip 1
 undo summary
 version 2
 network 23.0.0.0
#
ip route-static 172.16.11.0 255.255.255.0 Tunnel0/0/0
ip route-static 172.16.11.0 255.255.255.0 23.1.1.1
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

ar2

[V200R003C00]
#
 sysname ar2
#
 board add 0/1 2SA 
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load portalpage.zip
#
 drop illegal-mac alarm
#
 undo info-center enable
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
#
firewall zone Local
 priority 15
#
interface Serial1/0/0
 link-protocol ppp
 ip address 12.1.1.2 255.255.255.0 
#
interface Serial1/0/1
 link-protocol ppp
#
interface GigabitEthernet0/0/0
#
interface GigabitEthernet0/0/1
 ip address 23.1.1.1 255.255.255.0 
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
rip 1
 undo summary
 version 2
 network 12.0.0.0
 network 23.0.0.0
#
ip route-static 172.16.11.0 255.255.255.0 12.1.1.1
ip route-static 192.168.1.0 255.255.255.0 23.1.1.2
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return

我想用vpn去配置私网之间的互通，但是协议直接down，我分析原因是两处的接口不同有一处配置了ppp协议造成协议不对等

物理端口UP 协议DOWN 的排错步骤
在很多情况下，物理口Up、协议Down，用dis interface 命令查看端口的收发报文情
况，发现只有送出去的报文，收到的报文数量为零，而且连续使用dis interface 命令进行
查看，进一步发现送出去的报文数量在不断增长，但是收到的报文数量始终为零。这就说明
之所以广域网两端路由器之间的链路层协议处于Down 的状态，就是因为要么路由器之间的
传输、线缆出了问题，导致本端路由器收不到对端送过来的回应报文；要么是对端路由器本
身出了问题，导致无法给本端路由器发送回应报文。
除了最常用的收发报文数量比较的方法之外，在dis interface 命令的显示信息中，
还有一项很重要的内容，那就是端口所收到的错误报文数量。在Quidway 路由器的dis
interface 命令显示结果的倒数第二行，有如下的信息：
0 input errors, 0 CRC, 0 frame errors
如果由于传输误码、物理线路质量比较差或者是中间的基带Modem 出了问题，则容易
导致路由器收到的IP 报文中，很多是错误的报文。特别地，如果通过连续dis interface 发
现错误的包在不断增长，则可以判断此时广域网线路质量比较差、传输有误码，或者中间的
基带Modem、某段电缆出了问题，导致送给本端路由器的报文绝大部分是错误包，这样链路
层协议也肯定是不能Up 起来的。
另外，如果通过dis interface 命令发现收、发报文的数量基本相等，而且也没有错
误包，但协议还是Down，这个时候可以在路由器上打开该端口的链路层协议Debug 开关，
通过Debug 信息完整地分析一下协议的协商过程，看到底问题出在什么地方，出在协商的哪
个阶段。不过，这种情况在实际中很少碰到。
最后，正如前面提到的，在路由器中，物理口Up、链路协议Down，可能的原因非常
多，不同类型的端口、不同的协议，可能的原因都不尽相同。
我这里解决的办法是直接从静态地址里配置

AR2,外网配置