路由器基本操作

1、 民族 安全 創(chuàng)新 服務 路由器接口技術技術基礎課程系列 民族 安全 創(chuàng)新 服務課程內容路由器認證和用戶管理4路由器硬件認識1路由器shell系統(tǒng)介紹2路由器系統(tǒng)配置與管理3路由器日志及配置管理5路由器軟件升級6 民族 安全 創(chuàng)新 服務MP2824路由器外觀MP2824正面面板圖MP2824背面面板圖 民族 安全 創(chuàng)新 服務MP2806正面面板圖MP2806背面面板圖RM2-1E1模塊 民族 安全 創(chuàng)新 服務路由器使用注意事項l使用設備前認真閱讀安裝手冊、說明書；l推薦使用UPS不間斷電源，并對供電系統(tǒng)采用嚴格的防電網干擾措施；l推薦使用時保證可靠接地，且最好不要與電力系統(tǒng)接地分離；l注意機房

2、環(huán)境，維持一定的溫度和濕度，保證室內防塵；l遠離大功率無線電發(fā)射臺，雷達發(fā)射臺、高頻大電流設備；l妥善放置設備，避免跌落；妥善接線，避免踩踏；l人體接觸電路板件，應戴防靜電手腕，穿防靜電工作服；l禁止帶電插拔電纜線； 民族 安全 創(chuàng)新 服務工具配備需求必需配備：配置口線纜；USB轉串口線纜配置終端（PC上的終端模擬軟件CRT等）建議配備：交叉網線和直連網線；防靜電手腕；各選配模塊的接口線纜十字槽螺絲刀； 民族 安全 創(chuàng)新 服務路由器硬件安裝上架安裝建議：1、當在同一個機柜上安裝多種設備時，在不影響整體布線、布局的前提下，應考慮盡量將重量大的設備安裝在機柜的底部或靠近底部的位置，以便降低機柜的重

3、心，提高穩(wěn)定性。2、在機柜中安裝設備時，為保證設備的散熱空間，設備和設備之間建議保留1U高度空間。設備和設備之間的間隙安裝機柜配置的空擋板。 民族 安全 創(chuàng)新 服務課程內容路由器認證和用戶管理4路由器硬件認識1路由器shell系統(tǒng)介紹2路由器系統(tǒng)配置與管理3路由器日志及配置管理5路由器軟件升級6 民族 安全 創(chuàng)新 服務路由器的配置方法 路由器配置方式：l通過終端或PC串口接路由器console接口，采用shell命令進行配置l通過Telnet遠程登錄到路由器上配置l通過頻帶modem模塊LINE口進行配置l通過SNMP網管系統(tǒng)對路由器進行配置 民族 安全 創(chuàng)新 服務CRT終端軟件使用路由器配置

4、方式：l點擊快速鏈接l選擇serial協(xié)議l選擇對應COM接口l設置數量9600，無流控 民族 安全 創(chuàng)新 服務路由器的操作系統(tǒng)shell 民族 安全 創(chuàng)新 服務Shell命令運行模式結構只能看看能夠操作進行配置router2(config)#interface s1/0router2(config-if-serial1/0)#physical-layer syncrouter2(config-if-serial1/0)#encapsulation ppprouter2(config-if-serial1/0)#ip address router2(conf

5、ig-if-serial1/0)#ppp pap sent-username goat password maipurouter2(config-if-serial1/0)#exit 普 通 用 戶 模 式 特 權 用 戶 模 式 全 局 配 置 模 式 接 口 配 置 模 式 路 由 配 置 模 式 文 件 系 統(tǒng) 模 式 訪 問 列 表 配 置 模 式 語 音 口 配 置 模 式 撥 號 端 配 置 模 式 加 密 變 換 配 置 模 式 加 密 映 射 配 置 模 式 公 鑰 配 置 模 式 IK E策 略 配 置 模 式 D H C P配 置 模 式e n a b l ef i l e

6、 s y s t e mc o n f i g u r ei n t e r f a c er o u t e r * * *i p a c c e s s - l i s tv o i c e - p o r td i a l - p e e rc r y p t o i p s e c t r a n s f o r m - s e t c r y p t o m a pc r y p t o i s a k m pc r y p t o k e yp u b k e y - c h a i n r s a公 鑰 系 列 配 置 模 式n a m e d - k e y 或 者a d d

7、r e s s e d - k e yi p d h c p p o o l 民族 安全 創(chuàng)新 服務Shell常用模式說明 模式名稱模式進入方法系統(tǒng)提示符退出方法功能說明普通用戶模式Loginrouter執(zhí)行exit命令退出改變終端設置執(zhí)行基本測試顯示系統(tǒng)信息特權用戶模式在普通用戶模式下執(zhí)行enable命令router#執(zhí)行disable命令退回到普通用戶模式配置路由器運行參數全局配置模式在特權用戶模式下執(zhí)行configure命令，同時指定相應的關鍵字router(config)#執(zhí)行exit命令退回到特權用戶模式下；配置路由器運行所需的全局參數接口配置模式在全局模式下執(zhí)行interface命

8、令（同時指定相應的接口或者接口組）router(config-if-xxxnumber)#執(zhí)行 exit命令退回到全局配置模式執(zhí)行 end命令退回到特權用戶模式在該模式下配置路由器接口 民族 安全 創(chuàng)新 服務Shell常用模式說明 模式名稱模式進入方法系統(tǒng)提示符退出方法功能說明路由配置模式在全局配置模式下執(zhí)行相應的路由配置命令router(config-static)#router(config-rip)#router(config-irmp)#執(zhí)行 exit命令退回到全局配置模式執(zhí)行 end命令退回到特權用戶模式配置IP路由協(xié)議，包括：靜態(tài)路由RIP動態(tài)路由IRMP配置模式文件系統(tǒng)配置模式在

9、全局模式下通過命令filesystem進入該模式router(config-fs)#執(zhí)行 exit命令退回到特權用戶模式完成路由器的文件系統(tǒng)的管理；升級路由器軟件。訪問列表配置模式在全局配置模式下，通過ip access-list命令進入該模式。router(config-std-nacl)#router(config-ext-nacl)#運行exit命令退回到全局配置模式配置防火墻訪問列表，包括：配置標準訪問列表配置擴展訪問列表 民族 安全 創(chuàng)新 服務Shell命令行常用功能在線幫助：（“help”和“？”的使用）l在任一命令模式下，鍵入help可以獲取有關幫助系統(tǒng)的簡單描述：routerh

10、elp l在任一命令模式下，鍵入“？”獲取該命令模式下所有命令及其簡單描述。 router#?l鍵入一命令，后接以空格分隔的“？”，則顯示出所有該命令在當前模式下可以執(zhí)行的子命令。router#show ? l鍵入一字符串，后緊接“？”，列出以該字符串開始的所有關鍵字及其描述router#d? 民族 安全 創(chuàng)新 服務Shell命令行常用功能歷史命令查看l系統(tǒng)將用戶輸入的命令自動保存到歷史命令緩沖區(qū)，用戶可以隨時調用命令行接口保存的歷史命令，并重復執(zhí)行，從而減少不必要的重復輸入工作。l命令行接口為每個連接到路由器的用戶最多保存10條命令，隨后新的命令將覆蓋掉舊的命令操作按鍵執(zhí)行結果訪問上一條歷史

11、命令上光標鍵或Ctrl+p如果還有更早的歷史命令，取出之；否則響鈴告警訪問下一條歷史命令下光標鍵或Ctrl+n如果還有更晚的歷史命令，取出之；否則清空命令行并響鈴告警 民族 安全 創(chuàng)新 服務Shell命令行常用功能編輯特性 命令行接口提供了基本的命令編輯功能，支持多行編輯，每行命令至多可達256個字符，下表即是shell子系統(tǒng)為命令行接口提供的基本編輯功能按鍵功能普通按鍵如編輯緩沖區(qū)未滿，則插入當前光標位置處，并向右移動光標；退格鍵Backspace刪除光標前一字符，光標前移，若已到達命令首，則響鈴告警刪除鍵Delete刪除光標處的字符，若已到達命令尾，則響鈴告警左光標鍵、B光標向左移動一個字

12、符位置，若已到達命令首，則響鈴告警右光標鍵、F光標向右移動一個字符位置，若已到達命令尾，則響鈴告警上下光標鍵顯示歷史命令A光標移到命令行首E光標移到命令行尾U刪除光標左邊的所有字符直到命令行首K刪除光標右邊的所有字符直到命令行尾 民族 安全 創(chuàng)新 服務Shell命令行常用功能命令簡寫 在用戶操作時，很多命令、參數的全稱較長，我們可以用簡寫的方式來簡化操作，只輸入開頭的幾個字母來代表全稱l簡寫命令和參數的條件是：在當前位置沒有2條及以上可以同時匹配簡寫的開頭字母。l簡寫命令時，也可以用TAB鍵顯示命令全稱。 完整命令：router#show running-config 簡寫命令：router#

13、sh run 民族 安全 創(chuàng)新 服務Shell命令行常用功能撤銷配置 每個配置命令都有相應的no命令，用于撤銷相應的配置，no命令的用法是在輸入原命令的模式下，先輸入no再輸入完整的原配置命令： 原命令：router(config-if)# ip route 撤銷命令：router(config-if)# no ip route 部分配置的撤銷命令輸入no后不需要輸入完整的原配置，具體情況可以通過系統(tǒng)幫助來查看。 民族 安全 創(chuàng)新 服務Shell命令行常用功能查看信息命令show系統(tǒng)命令show可以

14、查看的信息分為以下幾類： 系統(tǒng)軟、硬件資源信息 系統(tǒng)統(tǒng)計信息 系統(tǒng)配置信息 系統(tǒng)基本信息show命令一般只能在普通用戶模式和特權用戶模式執(zhí)行。 范例：查看路由器所有接口的狀態(tài)信息router#show interface 范例：查看路由器f0接口的狀態(tài)信息 router#show interface fastethernet 0 民族 安全 創(chuàng)新 服務Shell命令行常用功能協(xié)議調試命令debug： 系統(tǒng)當前提供眾多協(xié)議的調試開關，包含IP、PPP、HDLC、OSPF、FR、X25等，基本的命令是debugldebug命令一般只能在普通用戶模式和特權用戶模式執(zhí)行。l 為了避免數據量過大造成線路

15、中斷，系統(tǒng)默認不為l遠程登陸用戶送調試信息。l若一定需要為遠程登陸用戶送調試信息，可用：router#termial monitor 范例：打開IP協(xié)議訪問列表（access-list）報文調試開關： router#debug ip packet access-list 范例：關閉相應協(xié)議調試開關 router#no debug ip packet access-list 或者：（關閉所有的調試開關） router#no debug all 民族 安全 創(chuàng)新 服務課程內容路由器認證和用戶管理4路由器硬件認識1路由器shell系統(tǒng)介紹2路由器系統(tǒng)配置與管理3路由器日志及配置管理5路由器軟件升級6

16、 民族 安全 創(chuàng)新 服務路由器系統(tǒng)配置常用命令配置系統(tǒng)名稱l路由器在出廠時，其缺省的系統(tǒng)名稱是routerl在使用過程中，用戶可以根據自己的需要，隨時改變系統(tǒng)的名稱。 這種改動是立即生效的，即新的系統(tǒng)名稱將會在下一次系統(tǒng)提示符的顯示中出現(xiàn) 命令描述配置模式hostname hostname配置路由器名稱config 配置系統(tǒng)時間l路由器中設置了獨立的時鐘系統(tǒng)，用來記錄系統(tǒng)的當前時間，可以通過命令clock配置系統(tǒng)當前時間的年、月、日、時、分、秒 l可以通過配置NTP服務使系統(tǒng)在啟動后自動獲得當前時間命令描述配置模式clock year month day hour minute second配

17、置系統(tǒng)時鐘enablentp server 4配置系統(tǒng)服務器Config 民族 安全 創(chuàng)新 服務路由器存儲系統(tǒng)SDRAMSDRAMFLASHFLASHEEPROMEEPROM用作路由器應用程序的執(zhí)行空間存放應用程序、配置、BootROMBootROM程序等存放經常改動的系統(tǒng)配置文件、用戶信息等應用程序配置文件BootROMBootROM其他文件TFFS 民族 安全 創(chuàng)新 服務TFFSTrueFlashFileSystem 邁普路由器在系統(tǒng)flash設備上構造了一個基于DOS的文件系統(tǒng)，用于存放路由器應用程序（協(xié)議軟件、驅動程序等）、BootROM程序等很少需要修改的信息

18、。該文件系統(tǒng)稱之為TFFS（True Flash File System） 。 命令命令功能命令運行模式copy文件拷貝config-fsdelete文件刪除config-fsdir查看目錄或文件config-fscd 改變當前路徑config-fsmkdir創(chuàng)建目錄config-fspwd顯示當前所處路徑config-fs由于TFFS基于DOS文件系統(tǒng)，因此不支持長文件名，限制目錄名不超過8個字符，文件名滿足8.3命名規(guī)范。 民族 安全 創(chuàng)新 服務配置文件管理配置文件的內容和格式配置文件以文本文件的形式存在于文件系統(tǒng)中，名字是starup，其格式如下：l以配置命令的格式存在；l為節(jié)約flas

19、h設備的存儲空間，當前只保存配置模式下的命令；l命令的組織以命令模式為標準，同一模式下的命令組織在一起形成一個段落；l段落之間的順序按照一定規(guī)則排列：即全局配置模式、接口配置模式、路由配置模式；l按照命令之間的相互關系分類，相關的命令形成組，組與組之間通過空行分隔。 民族 安全 創(chuàng)新 服務配置文件管理配置文件的備份 配置文件可用文本編輯器按照格式編輯，然后通過FTP或TFTP下載到路由器上執(zhí)行。通過FTP下載路由器配置文件的方法：l在一臺計算機上編輯配置文件config;l啟動計算機上的FTP SERVER；l在路由器的文件配置模式下執(zhí)行命令ftpcopy，從計算機上下載配置文件；l重新啟動路

20、由器，執(zhí)行配置文件startup，修改系統(tǒng)配置。 router(config-fs)#ftpcopy A.B.C.D router router1 config startup 計算機地址 用戶名 密碼 文件名 本地文件名 通過TFTP下載配置文件與通過FTP下載類似，唯一區(qū)別在于要求計算機運行TFTP SERVER。 民族 安全 創(chuàng)新 服務配置文件管理配置文件的加載 配置文件可用文本編輯器按照格式編輯，然后通過FTP或TFTP下載到路由器上執(zhí)行。通過FTP下載路由器配置文件的方法：l在一臺計算機上編輯配置文件config;l啟動計算機上的FTP SERVER；l在路由器的文件配置模式下執(zhí)行命

21、令ftpcopy，從計算機上下載配置文件；l重新啟動路由器，執(zhí)行配置文件startup，修改系統(tǒng)配置。router(config-fs)#ftpcopy A.B.C.D router router1 config startup 計算機地址 用戶名 密碼 文件名 本地文件名 通過TFTP下載配置文件與通過FTP下載類似，唯一區(qū)別在于要求計算機運行TFTP SERVER。 民族 安全 創(chuàng)新 服務配置文件管理保存系統(tǒng)當前配置 用戶在修改了系統(tǒng)配置，經過驗證無誤后，可以將當前配置保存起來，以供下一次啟動路由器作為配置參數。 執(zhí)行下面的命令可以將當前運行的配置保存到啟動配置文件（STARTUP）中：查

22、看系統(tǒng)當前運行配置router#show running-config查看系統(tǒng)保存的啟動配置router#show startup-configrouter#writeAre you sure to overwrite /flash/startup (Yes|No)?yesBuilding Configuration.doneWrite to startup file . OK 民族 安全 創(chuàng)新 服務課程內容路由器認證和用戶管理4路由器硬件認識1路由器shell系統(tǒng)介紹2路由器系統(tǒng)配置與管理3路由器日志及配置管理5路由器軟件升級6 民族 安全 創(chuàng)新 服務看是否有配置line AAA認證用戶登錄

23、 進入Shell 未配置line未配置AAA已配置line已配置AAA看是否有配置AAA line認證Enable認證 民族 安全 創(chuàng)新 服務用戶及級別設置設置用戶及相關屬性使用user命令來配置本地用戶和相關用戶權限屬性。 命令描述配置模式user user-name password 0 password設置用戶及密碼。configuser user-name nopassword設置用戶在登錄時無需密碼驗證。configuser user-name privilege 0-15設置用戶的授權級別。config 用戶分015級，0-1進入普通用戶模式，2-14進入特權用戶模式，但不能進入配

24、置模式，15最高等級；只有高級別用戶才能對低級別用戶操作；設置用戶密碼時的參數0代表以明文輸入，而不是以密文輸入。 民族 安全 創(chuàng)新 服務用戶及級別設置修改命令的級別 在邁普路由器IOS中的每個shell命令都有一個默認的級別，但是可以通過命令privilege來修改其默認級別。 保證只有相應級別及以上的用戶才有配置、查看相應命令的權限。 命令描述配置模式privilege MODE level 0-15 all | command LINE修改命令的級別config設置enable密碼 設置進入各個用戶級別的本地enable密碼。也可以只設置一個共通的密碼（0代表輸入明文）。若沒有配置ena

25、ble密碼，則非console用戶不能進入特權模式。命令描述配置模式enable password level 1-15 0 password指定級別和密碼，密碼為明文。config 民族 安全 創(chuàng)新 服務用戶及級別設置設置line屬性 路由器支持一個console口用戶最多16個telnet用戶和16個ssh用戶同時登錄到設備上，line命令可以為這些登錄設置不同的認證、授權等屬性。命令描述配置模式line con 0進入console口line配置模式configline vty 0-15 0-15進入telnet用戶的line配置模式configline ssh-vty 0-15 0-1

26、5進入SSH用戶的line配置模式configprivilege level 0-15配置登錄用戶被授權的級別，默認級別為1。config-linepassword 0 password配置line密碼。（0代表輸入明文）config-linelogin local |配置登錄認證方式，其中l(wèi)ogin 使用line密碼認證，login local 使用本地用戶數據庫認證，no login表示不需要認證就可以登錄。config-line 民族 安全 創(chuàng)新 服務AAA技術概念l AAAAAA是認證、授權和統(tǒng)計（Authentication, Authorization and Authentica

27、tion, Authorization and AccountingAccounting）的簡稱。l 它提供了一個用來對這三種安全功能進行配置的一致性框架。AAAAAA的配置實際上是對網絡安全的一種管理。l 這里的網絡安全主要指訪問控制。包括： 哪些用戶可以訪問網絡服務器？ 具有訪問權的用戶可以得到哪些服務？ 如何對正在使用網絡資源的用戶進行記賬？ 民族 安全 創(chuàng)新 服務AAA基本原理NAS網絡接入服務器（Network Access Server）。在路由器上啟動AAA安全服務作為NAS。當用戶想要登錄NAS或與 NAS建立連接（比如撥號連接）從而獲得訪問其他網絡的權限時，NAS起到了驗證用

28、戶的作用。RADIUS遠程身份認證撥入用戶服務（Remote Authentication Dial In User Service）。 TacacsTacacs是終端訪問控制系統(tǒng)（Terminal Access Controller Access Control System）的簡稱。 民族 安全 創(chuàng)新 服務AAA認證簡單設置命令 命令描述配置模式aaa new-model*啟動AAAconfigaaa authentication login*配置AAA登陸認證configaaa authentication enable*配置進入特權模式認證config配置范例router(config

29、-if)# aaa new-model啟動AAA功能router(config-if)# aaa authentication login default local對登陸用戶根據本地用戶數據庫進行身份認證 民族 安全 創(chuàng)新 服務課程內容路由器認證和用戶管理4路由器硬件認識1路由器shell系統(tǒng)介紹2路由器系統(tǒng)配置與管理3路由器日志及配置管理5路由器軟件升級6 民族 安全 創(chuàng)新 服務路由器日志管理開啟路由器日志記錄功能命令描述配置模式logging enable啟動日志功能。相應執(zhí)行no logging enable關閉日志功能configlogging file logging-level配

30、置某個嚴重級別以上的信息記錄到flash的日志文件中，默認是warn級別，即04級的信息都記錄到flash的日志文件中configservice timestamps log datetime msec | uptime配置日志消息頭的時間戳選項：本地時間（datetime）或者系統(tǒng)啟動時間（uptime）config 民族 安全 創(chuàng)新 服務路由器日志管理查看和清除系統(tǒng)日志命令描述配置模式clear logging buffer | file清除內存或者flash文件的日志內容。如果不指定類型，則清除內存和flash的日志文件enableshow logging file | buffer顯示

31、內存或者flash文件的日志內容。如果不指定類型，則只顯示flash的日志內容enableterminal monitor在telnet、ssh的終端上打開打印日志信息的開關，只有執(zhí)行該命令，日志信息才能在telnet，ssh終端上打印 enable 民族 安全 創(chuàng)新 服務路由器日志管理日志服務器的設置命令描述配置模式logging log-server vrf vrf-name start-level end-level 配置日志服務器的主機名或IP地址，配置需要發(fā)送到日志服務器的信息級別范圍，可以通過指定VRF名把信息從經過VRF發(fā)送出去。默認沒有配置日志服務器，默認發(fā)送到日志服務器的信息

32、級別為04。configlogging event配置將操作執(zhí)行的shell命令發(fā)送到日志服務器上configlogging source-ip source-address配置發(fā)送信息到日志服務器時使用的源地址configlogging trap配置啟用將日志信息發(fā)送到指定的日志服務器上。相應的no logging trap命令關閉該功能config 民族 安全 創(chuàng)新 服務配置備份設備配置備份l 將startup啟動文件copy備份到指定ftp服務器上（文件系統(tǒng)模式下）Router(config-fs)#copy startup-config ftp vrf vrf-name dest-ip

33、address ftp-username ftp-password dest-filenamel 將runing-config啟動文件copy備份到指定ftp服務器上（文件系統(tǒng)模式下）Router(config-fs)# copy running-config ftp vrf vrf-name dest-ipaddress ftp-username ftp-password dest-filenamerouter1(config-fs)#copy startup-config tftp backup1 民族 安全 創(chuàng)新 服務配置恢復設備配置備份 將備份的startup啟動文件copy到路由器文件系統(tǒng)下覆蓋當前啟動文件（文件系統(tǒng)模式下）Router(config-fs)# copy ftp vrf vrf-name dest-ipaddress ftp-username ftp-password source-filename startup-configrouter1(confi