注:
1、早期的1.4.X的室内机不支持主从室内机呼叫,-C -A R0室内机是支持的(具体请以实际设备为准)
2、SIP1.0和SIP2.0的室内机无法做主从关系,即室内主机和分机的协议需要一致。
一、配置方法,请参阅:
1、【SIP1.0】室内分机设置方法
二、 室内主机与分机之间呼叫的方法
1、室内主机呼叫分机:
在拨号界面输入0-编号(如呼叫主机为 0-0;呼叫编号为 1 的分机为 0-1),并按呼叫键,可以呼叫编号为1的分机。
2、室内分机呼叫主机:
在拨号界面输入主机号(0-0)并按呼叫键,可以呼叫关联的室内主机(主机编号为0)
3、室内分机呼叫分机:
在拨号界面输入0-编号(如呼叫主机为 0-0;呼叫编号为 1 的分机为 0-1),并按呼叫键,可以呼叫编号为1的分机
场景说明:安装在小区大门口的围墙机,通过小区局域网呼叫整个小区任意一台室内机的场景。
一、操作流程:
1、SIP2.0室内机组网参数配置
2、围墙机编号/会话配置
3、管理机添加室内机和围墙机
4、功能验证
二、操作指导:
1、室内机配置:使用4200添加室内机,设备在线后点击远程配置按钮,进入配置界面
※设备组网参数配置
设置室内机参数:
●设备类型:根据现场实际配置选择主室内机/从室内机;
●期号、幢号、单元号、房间号:根据实际填写;
●注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
●管理机IP地址:填写主管理机ip地址;
●(主)门口机地址:根据实际填写,若没有则填0.0.0.0;
●SIP服务器ip:填写主管理机地址;
配置完成后点击“保存”。
2、围墙机配置(围墙机设置(含门口机、门禁一体机))
3、管理机配置(网页配置和本地配置,二选一)
方法一、管理机网页端配置:
(1)用IE浏览器输入管理机IP ,进入管理机的Web端。在管理机WEB页面端配置-对讲配置-对讲网络参数,填写私有对讲服务器IP(SIP服务器)与私有对讲服务器端口5065(保持默认)。
注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
无需在设备管理添加管理机,若是管理机注册SIP服务器成功,直接在管理机设备管理里看到管理机“已注册”。
注:管理机版本在V1.0.43版本开始为“已注册”,之前版本只会显示“在线”。
(2)在管理机WEB页面端–设备管理,设备类型选择围墙机,点击添加。
●设备类型选围墙机
●密码需填写围墙机激活密码;
●注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
●设备序列号:填写围墙机序列号;
●期号/编号:填写实际分配的期号/编号;
●IP地址:填写激活后围墙机使用的IP;
●IPv4子网掩码:填写激活后围墙机后期使用的IPv4子网掩码;
●IPv4默认网关:填写激活后围墙机后期使用的IPv4默认网关;
●端口填写8000即可;
●广播方式:任意选择,不影响功能。
(3)管理机WEB页面端–设备管理,围墙机显示“已注册”后,代表围墙机注册SIP成功。
(4)用IE浏览器输入管理机IP ,进入管理机的Web端。在管理机WEB页面端–设备管理,设备类型选择室内机,点击添加。
●设备类型选室内机
●密码需填写室内机激活密码;
●注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
●设备序列号:填写室内机序列号;
●IP地址:填写激活后室内机使用的IP;
●IPv4子网掩码:填写激活后室内机后期使用的IPv4子网掩码;
●IPv4默认网关:填写激活后室内机后期使用的IPv4默认网关;
●端口填写8000即可;
●期号/幢号/单元号/房间号:填写实际分配的期号/幢号/单元号/房间号填写;
●广播方式:任意选择,不影响功能。
方法二、管理机本地配置
(1)在管理机本地屏幕点击配置—高级设置—工程选项(输入激活密码),管理机设置——楼宇长号规则:
●填写期号,期号与室内机保持一致;
●编号为51,51代表主管理机,即作为SIP服务器。从管理机编号从52开始。
●管理机设置——SIP配置:
●SIP注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
●填写SIP服务器地址就是主管理机地址。SIP服务器端口5065保持默认。
(2)在管理机UI上点击配置—高级设置—工程选项(输入激活密码),设备管理界面点击右上角的+,弹出添加设备界面。按照添加设备界面要求填写信息:
●设备类型选围墙机;
●名称:自定义名称;
●设备激活密码需填写围墙机激活密码;
●SIP账号号码:填写实际分配的期号/编号;
●SIP账号号码密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
●设备序列号:填写围墙机序列号;
●IP地址:填写激活后围墙机使用的IP;
●IPv4子网掩码:填写激活后围墙机后期使用的IPv4子网掩码;
●IPv4默认网关:填写激活后围墙机后期使用的IPv4默认网关;
●端口填写8000即可;
●广播方式:单播和组播都可以,不影响功能。
(3)管理机WEB页面端–设备管理,围墙机显示“已注册”或者设备本地显示“R”,代表围墙机注册SIP成功。
(4)以相同的步骤添加室内机。
4、围墙机与室内机呼叫测试
围墙机呼叫住户方式:(期号#)栋号#(单元号#)房间号+呼叫按钮
若室内机响铃并且能正常接听对讲,则说明围墙机配置成功
一、主门口机编号及网络设置
【SIP2.0】单元门口主机配置,请参阅:
海康威视单元门口主机配置指导
二、主门口机添加从门口机
在门口机的WEB页面—设备管理—点击添加。
设备类型:选从门口机;
密码需填写:从门口机激活密码;
注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
设备序列号:填写从门口机序列号;
层号:填写从门口机所在实际楼层
编号:门口机最多支持1主8从,从门口机按1-8依次填写;
IP地址:填写激活后从门口机后期使用的IP;
IPv4子网掩码:填写激活后从门口机后期使用的IPv4子网掩码;
IPv4默认网关:填写激活后从门口机后期使用的IPv4默认网关;
端口填写:8000即可。
或者使用批量导入方法,在Web端设备管理—导入,点击导出模板。按照表格格式填写从门口机信息,填写完成后保存,导入。
该页作为门口机列表导入使用,所有字段均为必填,灰色部分为填充举例
以下为各个字段(列)输入的规则,请按规则填写设备信息.
设备类型:填写为门口机
●序列号:产品背板上的9位序列号,长度固定为9位
●从门口机激活密码:长度为8-16位,只能用数字、小写字母、大写字母、特殊字符的两种及以上组合
●注册码:设备注册到主门口机使用的注册码,长度为8-16位,只能用数字、小写字母、大写字母、特殊字符的两种及以上组合
●层号:范围:-10~10,且不能填为0
●编号:范围:1-8
●IP地址/IP掩码/P网关目前只支持ipv4
三、从门口机编号及配置
用 IE 浏览器输入从门口机 IP,登录到网页配置界面:对讲配置-编号配置,修改编号为 1-8 且不可重复,每个单元门口机必须有一台主门口机点击保存后设备自动重启
进入对讲配置-会话设置,关联主门口机 IP:
填写主门口机的 IP、填写管理机 IP (没有可以不填)与对讲服务器 IP(SIP 服务器)。
注册密码:可自定义注册密码(英文+数字,长度 8 位以上), 与小区所有室内机、门口机、管理机的注册密码保持一致
【前提条件】
需要门禁设备,支持二维码识别功能,请查看对应型号的功能描述说明。
【设置步骤】
设备添加到4200客户端,在人员管理-添加人员-添加卡片,可以在卡片右上角点击生成二维码,然后设备本地首界面点击二维码图标,识别二维码开门。
【注意事项】
1、门禁设备二维码是卡号的二维码,和卡号绑定的,没有时效限制,只要卡号不变,二维码一直有效。
2、下发完权限后就可以使用二维码开门,本地识别的还是二维码对应的卡号,所以认证方式选择有刷卡就可以。
3、人脸识别门禁:
1)如果既要刷人脸开门也要刷二维码开门的,刷二维码时,需要在门禁触摸屏上面点一下二维码图标才能使用二维码开门功能。
2)如果只用二维码开门不用人脸开门,可在本地后台菜单-门禁设置-二维码认证打开,可以直接刷二维码开门。
一、组网需求
网络管理站和被管理的网络设备通过网络连接,在网络管理站上,通过SNMP网络管理器,访问网络设备上的管理信息数据库,以及接收来自网络设备主动发出的消息,来对网络设备进行管理和监控。
● 网络工作站(NMS)基于用户的认证加密模式对网络设备(Agent)进行管理。
● 网络设备能够控制用户访问MIB对象的操作权限。
●网络设备能够主动向网管工作站发送验证加密的消息。
二、 组网图
三、配置要点
● 配置MIB视图和SNMP用户组。
● 配置SNMP用户。
● 配置SNMP主机。
● 配置Agent的IP地址。
三、 配置步骤
# 创建一个名称为view1点MIB视图,包含关联的MIB对象为1.3.6.1.2.1.1;再创建一个MIB视图“view2”,包含关联的MIB对象(1.3.6.1.2.1.1.4.0)。
Device> enable
Device# configure terminal
Device(config)# snmp-server view view1 1.3.6.1.2.1.1 include
# 创建一个名称为view2点MIB视图,包含关联的MIB对象为1.3.6.1.2.1.1.4.0。
Device(config)# snmp-server view view2 1.3.6.1.2.1.1.4.0 include
# 创建一个名称为g1的SNMP用户组,版本号为v3,安全级别为priv协议的认证加密模式,设置视图view1为可读视图,view2视图为可写视图。
Device(config)# snmp-server group g1 v3 priv read view1 write view2
# 配置SNMP用户。创建名称为user1的用户,属于组g1,选择版本号为v3,配置认证方式为MD5协议认证,认证密码为123,加密方式为DES56加密协议,加密密码为321。
Device(config)# snmp-server user user1 g1 v3 auth md5 123 priv des56 321
# 配置SNMP主机:配置主机地址为192.168.3.2,SNMP版本号为3,安全级别为priv的认证加密模式,关联对应的用户名为user1。
Device(config)# snmp-server host 192.168.3.2 traps version 3 priv user1
# 配置Agent主动向NMS发送Trap消息。
Device(config)# snmp-server enable traps
# 配置Agent的IP地址。配置接口GigabitEthernet 0/1的地址为192.168.3.1/24。
Device(config)# interface gigabitEthernet 0/1
Device(config-if-gigabitEthernet 0/1)# ip address 192.168.3.1 255.255.255.0
Device(config-if-gigabitEthernet 0/1)# exit
四、验证配置结果
# 通过ping命令验证Agent与NMS三层可达。
Device# ping 192.168.3.2
Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms.
# 通过show snmp user命令查看SNMP用户。
Device# show snmp user
User name: user1
Engine ID: 800013110300d0f8221120
storage-type: permanent active
Security level: auth priv
Auth protocol: MD5
Priv protocol: DES
Group-name: g1
# 通过show snmp view命令查看SNMP视图。
Device# show snmp view
view1(include) 1.3.6.1.2.1.1
view2(include) 1.3.6.1.2.1.1.4.0
default(include) 1.3.6.1
# 通过show snmp group命令查看SNMP组。
Device# show snmp group
groupname: g1
securityModel: v3
securityLevel:authPriv
readview: view1
writeview: view2
notifyview:
# 通过show snmp host命令查看用户配置的主机信息。
Device# show snmp host
Notification host: 192.168.3.2
udp-port: 162
type: trap
user: user1
security model: v3 authPriv
# 安装MIB-Browser查询。在IP Address中输入设备的IP地址:192.168.3.1,在UserName中输入“user1”,在Security Level中选择“AuthPriv”,在AuthPassWord中输入“123”,在AuthProtocol中选择“MD5”,在PrivPassWord中输入“321”。
点击add item按钮,选择要查询的MIB的具体管理单元,比如System。点击Start按钮,便开始对网络设备进行MIB的查询了,具体的查询结果见下图中对话框的最下面的窗口:
五、 配置文件
Agent的配置文件
interface GigabitEthernet 0/1
ip address 192.168.2.1 255.255.255.0
!
snmp-server view view1 1.3.6.1.2.1.1 include
snmp-server view view2 1.3.6.1.2.1.1.4.0 include
snmp-server user user1 g1 v3 encrypted auth md5 DE8E9D1158A057A69EF73D1C12C51CC5 priv des56
C767B705F9B261E6D359D4BFBDAF9CF4
snmp-server group g1 v3 priv read view1 write view2
snmp-server host 192.168.3.2 traps version 3 priv user1
snmp-server enable traps
!
end
一、组网需求
如下图:通过SNMP网络管理器,来对网络设备进行管理和监控。
二、 组网图
三、 配置步骤
# 开启SNMP代理功能。
Device> enable
Device# configure terminal
Device(config)# enable service snmp-agent
# 配置名称为comm_v1的读写团体。
Device(config)# snmp-server community comm_v2 rw
# 配置Agent的IP地址。配置接口GigabitEthernet 0/1的地址为192.168.3.1/24。
Device(config)# interface gigabitEthernet 0/1
Device(config-if-gigabitEthernet 0/1)# ip address 192.168.3.1 255.255.255.0
Device(config-if-gigabitEthernet 0/1)# exit
四、验证配置结果
# 通过ping命令验证Agent与NMS三层可达。
Device# ping 192.168.3.2
Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms.
# 通过show service命令查看SNMP代理功能是否开启。
Device# show service
snmp-agent : enabled
ssh-server : disabled
telnet-server : enabled
五、 配置文件
Agent的配置文件
interface GigabitEthernet 0/1
ip address 192.168.2.1 255.255.255.0
!
snmp-server community comm_v2 rw
!
end
一、开门超时报警设置:
1、设备接线。若要设置开门超时报警,门锁和门磁都需要接线(
2、设置门磁类型和超时时间。在访问控制-高级配置-设备参数,选择对应的门,设置门磁类型和门开超时时间。
3、设置联动报警。点击访问控制-联动配置,选择设备,点击添加,事件类型为门事件,门磁打开超时。联动目标根据具体需求选择,如联动报警输出。
二、关门后不报警设置:
点击4200客户端-访问控制-联动配置,选中设备,点添加,事件类型选择门磁正常关
三、效果验证:
可以在事件里面查看是否有对应的事件产生,如果有事件并且配置没问题的情况下,会有类似下面的事件可以查询到。
一、组网需求
如下图:配置基于时间段的ACL规则,只允许研发部门在每天的12:00到13:30访问Internet。
二、 组网图
三、配置要点
●Device A配置时间段,并添加每天12:00到13:30的时间段表项。
●Device A配置IP标准ACL并添加规则,包括:
○ 添加允许源IP网段地址为10.1.1.0/24的规则,关联的时间段为access-internet。
○ 添加禁止源IP网段地址为10.1.1.0/24的规则。表明时间段之外都不允许访问Internet。
○ 添加允许除研发网段地址外,其他所有网段地址的规则。
● Device A将ACL应用在连接研发部接口的入方向上。
四、 配置步骤
(1) 配置时间区。
# Device A配置时间段。
DeviceA> enable
DeviceA# configure terminal
DeviceA(config)# time-range access-internet
DeviceA(config-time-range)# periodic daily 12:00 to 13:30
DeviceA(config-time-range)# exit
(2) 配置IP标准ACL并添加访问规则。
# Device A配置IP标准ACL并添加访问规则。
DeviceA(config)# ip access-list standard ip_std_internet_acl
DeviceA(config-std-nacl)# permit 10.1.1.0 0.0.0.255 time-range access-internet
DeviceA(config-std-nacl)# deny 10.1.1.0 0.0.0.255
DeviceA(config-std-nacl)# permit any
DeviceA(config-std-nacl)# exit
(3) 将IP标准ACL应用到接口上。
# Device A将ACL应用在连接研发部接口的入方向上。
DeviceA(config)# interface gigabitethernet 0/1
DeviceA(config-if-GigabitEthernet 0/1)# ip access-group ip_std_internet_acl in
五、 验证配置结果
● 检查Device A设备ACL配置命令是否正确。
DeviceA# show time-range
time-range entry: access-internet (inactive)
periodic Daily 12:00 to 13:30
DeviceA# show access-lists
ip access-list standard ip_std_internet_acl
10 permit 10.1.1.0 0.0.0.255 time-range access-internet (inactive)
20 deny 10.1.1.0 0.0.0.255
30 permit any
DeviceA# show access-group
ip access-group ip_std_internet_acl in
Applied On interface GigabitEthernet 0/1
# 在时间段生效期内(12:00至13:30),从研发部分内的某台PC机访问百度主页,确认可以访问。
# 在时间段失效期(12:00至13:30时段外),从研发部分内的某台PC机访问百度主页,确认不能访问。
六、 配置文件
● DeviceA的配置文件
hostname DeviceA
!
ip access-list standard ip_std_internet_acl
10 permit 10.1.1.0 0.0.0.255 time-range access-internet
20 deny 10.1.1.0 0.0.0.255
30 permit any
!
time-range access-internet
periodic daily 12:00 to 13:30
!
interface GigabitEthernet 0/1
no switchport
ip access-group ip_std_internet_acl in
ip address 10.1.1.1 255.255.255.0
!
一、组网需求
如下图:Device A(VLAN 1)、Device B(VLAN 2)和Device C(VLAN 3)直连Device D,Device D是所有主机的网关。
需求1:VLAN2与VLAN3之间不可以Ping通,VLAN1与VLAN2可以Ping通,VLAN1与VLAN3可以Ping通。
需求2:VLAN1与VLAN2的DHCP报文互相不可达,其他正常通信。需求3:VLAN1不能通过Telnet或者SSH访问VLAN3,其他正常通信。
二、 组网图
三、配置要点
● Device D配置IP扩展ACL并添加访问规则,过滤UDP端口号67或者68可以实现需求2。Device C配置IP扩展ACL并添加访问规则,过滤TCP端口23和22可以实现需求3。
●Device D将IP扩展ACL分别应用在VLAN1接口、VLAN2接口和VLAN3接口上。Device C将IP扩展ACL应用在与Device D相线路上。
四、 配置步骤
(1) 配置所有设备接口的IP地址(略)。
(2) 配置IP扩展ACL并添加访问规则。
# Device D配置IP扩展ACL并添加访问规则。
DeviceD> enable
DeviceD# configure terminal
DeviceD(config)# ip access-list extended inter_vlan_access1
DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc
DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps
DeviceD(config-ext-nacl)# remark 拒绝 DHCP 报文
DeviceD(config-ext-nacl)# permit ip any any
DeviceD(config-ext-nacl)# remark 允许其他报文通信
DeviceD(config-ext-nacl)# exit
DeviceD(config)# ip access-list extended inter_vlan_access2
DeviceD(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
DeviceD(config-ext-nacl)# remark 拒绝 VLNN2 和 VLAN3 之间互 ping
DeviceD(config-ext-nacl)# deny udp any eq bootpc any eq bootps
DeviceD(config-ext-nacl)# deny udp any eq bootps any eq bootpc
DeviceD(config-ext-nacl)# remark 拒绝 DHCP 报文
DeviceD(config-ext-nacl)# permit ip any any
DeviceD(config-ext-nacl)# remark 允许其他报文通信
DeviceD(config-ext-nacl)# exit
DeviceD(config)# ip access-list extended inter_vlan_access3
DeviceD(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
DeviceD(config-ext-nacl)# remark 拒绝 VLNN3 和 VLAN2 之间互 ping
DeviceD(config-ext-nacl)# permit ip any any
DeviceD(config-ext-nacl)# remark 允许其他报文通信
DeviceD(config-ext-nacl)# exit
# Device C配置IP扩展ACL并添加访问规则。
DeviceC> enable
DeviceC# configure terminal
DeviceC(config)# ip access-list extended access_deny
DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet
DeviceC(config-ext-nacl)# remark 拒绝 VLAN1 通过 Telnet 访问 VLAN 3
DeviceC(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22
DeviceC(config-ext-nacl)# remark 拒绝 VLAN1 通过 SSH 访问 VLAN 3
DeviceC(config-ext-nacl)# exit
(3) 应用IP扩展ACL。
# Device D将IP扩展ACL应用到对应接口上。
DeviceD(config)# interface vlan 1
DeviceD(config-if-VLAN 1)# ip access-group inter_vlan_access1 in
DeviceD(config-if-VLAN 1)# exit
DeviceD(config)# interface vlan 2
DeviceD(config-if-VLAN 2)# ip access-group inter_vlan_access2 in
DeviceD(config-if-VLAN 2)# exit
DeviceD(config)# interface vlan 3
DeviceD(config-if-VLAN 3)# ip access-group inter_vlan_access3 in
DeviceD(config-if-VLAN 3)# exit
# Device C将IP扩展ACL应用到与Device D相连线路上。
DeviceC(config)# line vty 0
DeviceC(config-line)# access-class access_deny in
DeviceC(config-line)# exit
五、验证配置结果
(1) 验证连通性。
# VLAN 1与VLAN 2之间可以Ping通,VLAN 1与VLAN 3之间可以Ping通。
DeviceA# ping 192.168.2.2
Sending 5, 100-byte ICMP Echoes to 192.168.2.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
DeviceA#
DeviceA# ping 192.168.3.2
Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
# VLAN 2与VLAN 3之间不可以Ping通。
DeviceB# ping 192.168.3.2
Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:
< press Ctrl+C to break >
…..
Success rate is 0 percent (0/5)
(2) VLAN 1不能通过Telnet访问VLAN 3。
DeviceA# ping 192.168.3.2
Sending 5, 100-byte ICMP Echoes to 192.168.3.2, timeout is 2 seconds:
< press Ctrl+C to break >
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms
DeviceA#
DeviceA# telnet 192.168.3.2
Trying 192.168.3.2, 23…
% Destination unreachable; gateway or host down
六、 配置文件
●Device D的配置文件
hostname DeviceD
!
vlan 1
!
vlan 2
!
vlan 3
!
ip access-list extended inter_vlan_access1
10 deny udp any eq bootps any eq bootpc
20 deny udp any eq bootpc any eq bootps
remark 拒绝 DHCP 报文
30 permit ip any any
remark 允许其他报文通信
!
ip access-list extended inter_vlan_access2
10 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
remark 拒绝 VLNN2 和 VLAN3 之间互 ping
20 deny udp any eq bootpc any eq bootps
30 deny udp any eq bootps any eq bootpc
remark 拒绝 DHCP 报文
40 permit ip any any
remark 允许其他报文通信
!
ip access-list extended inter_vlan_access3
10 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
remark 拒绝 VLNN3 和 VLAN2 之间互 ping
20 permit ip any any
remark 允许其他报文通信
!
interface GigabitEthernet 1/0
switchport access vlan 1
description link_to_DeviceA
!
interface GigabitEthernet 1/1
switchport access vlan 2
description link_to_DeviceB
!
interface GigabitEthernet 1/2
switchport access vlan 3
description link_to_DeviceC
!
interface VLAN 1
ip access-group inter_vlan_access1 in
ip address 192.168.1.1 255.255.255.0
!
interface VLAN 2
ip access-group inter_vlan_access2 in
ip address 192.168.2.1 255.255.255.0
!
interface VLAN 3
ip access-group inter_vlan_access3 in
ip address 192.168.3.1 255.255.255.0
!
● Device A的配置文件
hostname DeviceA
!
interface GigabitEthernet 0/1
ip address 192.168.1.2 255.255.255.0
!
● Device B的配置文件
hostname DeviceB
!
interface GigabitEthernet 0/1
ip address 192.168.2.2 255.255.255.0
!
● Device C的配置文件
hostname DeviceC
!
ip access-list extended access_deny
10 deny tcp 192.168.1.0 0.0.0.255 eq telnet any eq telnet
remark 拒绝 VLAN1 通过 Telnet 访问 VLAN 3
20 deny tcp 192.168.1.0 0.0.0.255 eq 22 any eq 22
remark 拒绝 VLAN1 通过 SSH 访问 VLAN 3
!
interface GigabitEthernet 0/1
ip address 192.168.3.2 255.255.255.0
!
line vty 0
access-class access_deny in
login
password abcdef
!
一、组网需求
如下图:Area 2没有和Area 0直接连接,为保证网络中OSPF运行正常,在Device B和Device C之间配置虚链路。
二、 组网图
三、配置要点
● 所 有设备配置接口IP地址。
● 所有设备配置OSPF基本功能。
● 在Device B、C上配置虚链路。
四、 配置步骤
(1) 配置各接口的IP地址和OSPF路由协议。
(2) 在Device B、C上配置虚链路。
# Device B的配置。
Device B> enable
Device B# configure terminal
Device B(config)# router ospf 1
Device B(config-router)# area 1 virtual-link 192.168.23.3
# Device C的配置。
Device C> enable
Device C# configure terminal
Device C(config)# router ospf 1
Device C(config-router)# area 1 virtual-link 192.168.12.2
五、验证配置结果
# 检查Device A上使用show ip ospf database能学习到区域2的路由。
Device A# show ip ospf database
OSPF Router with ID (192.168.12.1) (Process ID 1)
Router Link States (Area 0)
Link ID ADV Router Age Seq# Checksum Link count
192.168.12.1 192.168.12.1 1025 0x80000002 0x00292E 1
192.168.12.2 192.168.12.2 3 0x80000004 0x00DA5E 2
192.168.23.3 192.168.23.3 7 (DNA) 0x80000001 0x001328 0
Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
192.168.12.2 192.168.12.2 1031 0x80000001 0x00CE8E
Summary Net Link States (Area 0)
Link ID ADV Router Age Seq# Checksum
192.168.23.0 192.168.12.2 820 0x80000001 0x0077CC
192.168.23.0 192.168.23.3 7 (DNA) 0x80000001 0x002414
192.168.34.0 192.168.23.3 7 (DNA) 0x80000001 0x00AA82
六、 配置文件
● Device B的配置文件。
!
router ospf 1
area 1 virtual-link 192.168.23.3
!
● Device C的配置文件。
!
router ospf 1
area 1 virtual-link 192.168.12.2
!
