第8章 路由器的配置

第8章路由器的配置

8.1路由器的配置方式8.2配置PPP及其認(rèn)證8.3配置靜態(tài)路由8.4配置RIP8.5配置IP訪問列表8.6配置網(wǎng)絡(luò)地址轉(zhuǎn)換

(實訓(xùn)項目在實訓(xùn)時完成)補充:路由器的硬件與軟件保存開機(jī)診斷程序,執(zhí)行加電檢測(同PC機(jī)的POST)。ROM中還保存有引導(dǎo)程序和最小的操作系統(tǒng)軟件是路由器的工作存儲區(qū)，存儲活動的配置文件(running-config)、網(wǎng)絡(luò)映射表和路由地址列表，還能用來保存路由表，進(jìn)行報文緩存等，補充:路由器的硬件與軟件是一種可擦寫的，可編程類型的ROM。負(fù)責(zé)保存（IOS）的映像(image)和路由器的微碼(microcode)。FlashMemory還能通過使用簡單文件傳輸協(xié)議(TFTP)將IOS的映像備份到計算機(jī)上。在路由器關(guān)電時，仍保持其內(nèi)容。所以用其來存儲備份/配置文件(startup-config)。使路由器在電源故障時可以快速地恢復(fù)。使用NVRAM后，路由器就不再需要磁盤來保存其配置文件了。補充:路由器的硬件與軟件是報文進(jìn)出路由器的連接裝置。每一個I／O端口都連到一個特定介質(zhì)轉(zhuǎn)換器（MSC—Media-SpecificConverter）上，MSC提供物理接口到特定類型介質(zhì)的連接。補充:路由器的啟動過程setup

8.1路由器的配置方式ConsoleAux任何InterfaceTelnetTFTP

1.RJ-45toDB-9轉(zhuǎn)換器

2.翻轉(zhuǎn)線

3.PC超級終端程序

4.PCcom口的配置:

8.1.1通過帶外對路由器進(jìn)行管理SETUP交互配置模式1，路由器加電正常啟動進(jìn)入用戶模式：提示符“Red-Giant>”。2，如果是路由器出廠后第一次啟動或者使用了“writeerase”指令后再次啟動，則路由器自動進(jìn)入Setup智能配置，以交互式提示用戶配置路由器最初啟動所需要的參數(shù)。3，也可以在特權(quán)用戶模式下，隨時鍵入setup進(jìn)入交互式配置模式。

1.用戶模式[主機(jī)名>]:可以執(zhí)行EXEC命令的一部分Red-Giant>

2.特權(quán)模式[主機(jī)名#]:可以執(zhí)行全部的EXEC命令Red-Giant#

進(jìn)入特權(quán)模式

Red-Giant>enableRed-Giant#返回用戶模式

Red-Giant#disable

Red-Giant>8.1.2路由器的常見命令模式:EXEC模式

3.全局配置模式[主機(jī)名（config)#]進(jìn)入全局配置模式下

Red-Giant#configureterminalRed-Giant(config)#返回特權(quán)模式Red-Giant(config)#exit

Red-Giant#

路由器的操作模式:EXEC模式

4.進(jìn)入線路配置模式

Red-Giant(config)#lineconsole0

Red-Giant(config-line)#exit

Red-Giant(config)#

5.進(jìn)入接口配置模式

Red-Giant(config)#interfaceserial0

Red-Giant(config-if)#exit

Red-Giant(config)#

路由器的操作模式:配置模式

6.進(jìn)入路由配置模式（如RIP）Red-Giant(config)#routerrip

Red-Giant(config-router)#exit

Red-Giant(config)#

7.進(jìn)入子接口配置模式

Red-Giant(config)#interfaceserial0.1

Red-Giant(config-subif)#exit

Red-Giant(config)#

路由器的操作模式:配置模式

從子模式下直接返回特權(quán)模式Red-Giant(config-if)#end

Red-Giant#

路由器的操作模式:配置模式

1.Red-Giant#help顯示簡短的系統(tǒng)幫助描述信息

2.在每種操作模式下直接輸入“?”顯示該模式下所有的命令

3.命令空格“?”顯示命令參數(shù)并對其解釋說明

4.字符“?”顯示以該字符開頭的命令

5.命令歷史緩存:

(Ctrl+P)顯示上一條命令,(Ctrl+N)顯示下一條命令

RGNOS的操作幫助特點1,顯示路由器硬件及軟件的信息

Red-Giant#showversion

2,顯示當(dāng)前運行的配置參數(shù)

Red-Giant#showrunning-config

3,顯示NVRAM中配置參數(shù)的副本

Red-Giant#showstartup-config4,查看端口信息

Red-Giant#showinterfacetypenumber5,查看路由信息

Red-Giant#showiproute

6,顯示接口的摘要信息

Red-Giant#

showipinterfacebrief常用路由器顯示命令

1登錄遠(yuǎn)程主機(jī)

telnethostname/ipaddress2

偵測網(wǎng)絡(luò)的連通性

pinghostname/ipaddress3跟蹤遠(yuǎn)程主機(jī)的路徑信息

traceroutehostname/ipaddress常用路由控制命令

1,hostnamename

設(shè)置路由器名2,enablesecret/passwordpassword設(shè)置特權(quán)密碼3,iprouting 啟用ip路由4,interfacetypenumber

端口設(shè)置5,noshutdown激活端口6,ipaddressaddresssubnet-mask設(shè)置ip地址7,linetypenumber

物理線路設(shè)置8,login 啟動登錄進(jìn)程9,passwordpassword

設(shè)置登錄密碼路由基本設(shè)置命令

1,將當(dāng)前運行的配置參數(shù)復(fù)制到NVRAM

Red-Giant#copyrunning-configstartup-config

Buildingconfiguration...

[OK]

Red-Giant#

2,清空NVRAM中的配置參數(shù)

Red-Giant#erasestartup-config

[OK]

Red-Giant#

3,路由器重新啟動

Red-Giant#reload

Proceedwithreload?[confirm]常用路由器命令

Red-Giant(config)#hostnamelabr1配置路由器的主機(jī)名

配置遠(yuǎn)程登陸（TELNET）密碼

labr1(config)#linevty04

labr1(config-line)#login

labr1(config-line)#password123配置路由器口令配置特權(quán)密碼

labr1(config)#enablepassword123

labr1(config)#enablesecret123配置路由器口令配置接口IP地址

labr1(config-if)#ipaddress{IPaddress}{IP

subnetmask}將接口啟用

labr1(config-if)#noshutdown

將接口關(guān)閉

labr1(config-if)#shutdown路由器接口配置命令labr1#showinterfacesfastEthernet0

FastEthernet0isup,lineprotocolisup

(表示物理層協(xié)議工作正常)(表示數(shù)據(jù)鏈路層協(xié)議工作正常)

FastEthernet0isup,lineprotocolisdown

(表示物理層協(xié)議工作正常)(表示數(shù)據(jù)鏈路層協(xié)議工作不正常)

FastEthernet0isdown,lineprotocolisdown

(表示物理層協(xié)議工作不正常)

FastEthernet1isadministrativelydown,lineprotocolisdown

(表示從管理上將該接口處于關(guān)閉狀態(tài))路由器接口顯示命令含義路由器命令行自動補齊功能

如果您忘記了一個完整的命令，或者希望可以減少輸入的字符的數(shù)量，可以采用命令行自動補齊功能，你只需要輸入少量的字符，然后按<Tab>，或者按<Ctrl+I>鍵，由RGNOS自動補齊成為完整的命令，當(dāng)然必要條件是輸入的少量字符，已經(jīng)可以確定一個唯一的命令了。比如在特權(quán)用戶層，您只需要輸入conf，然后按<Tab>或者<Ctrl+I>，則由RGNOS自動為您補齊成為完整的configure命令。Red-Giant#conf<Tab>Red-Giant#configure路由器命令行錯誤提示信息

%Invalidinputdetectedat‘^’marker.

輸入的命令有錯誤，錯誤的地方在^指明的位置。%Incompletecommand.

命令輸入不完整。%Ambiguouscommand:"command"確以command開頭的指令有多個，指令輸入不夠明確。將配置參數(shù)上傳到TFTP服務(wù)器

labr1#copyrunning-config

tftp

從TFTP服務(wù)器上下載配置參數(shù)

labr1#copytftprunning-config路由器TFTP命令8.1.6實訓(xùn)路由器的基本配置

8.2配置點對點協(xié)議PPP及其認(rèn)證8.2.1配置PPP及其認(rèn)證

1，配置接口PPP封裝Red-Giant(config-if)#encapsulation

ppp

2，配置PPPCHAP被驗證方

（1）Red-Giant(config-if)#pppchaphostnamehostnmae

指定PPPCHAP驗證的主機(jī)名（2）Red-Giant(config-if)#pppchappassword{0|7}password

指定PPPCHAP驗證的密碼如果知道驗證方PPPCHAP所用的主機(jī)名，（2）也可換為：

（2）Red-Giant(config)#usernameusernamepassword{0|7}password

為驗證方主機(jī)名創(chuàng)建用戶數(shù)據(jù)庫記錄，兩端密碼要保持一致

8.2配置點對點協(xié)議PPP及其認(rèn)證8.2.1配置PPP及其認(rèn)證

3配置PPPCHAP驗證方

（1）Red-Giant(config-if)#pppauthenticationchap[callin]

啟動PPP驗證，并指定PPPCHAP驗證方式方式（2）Red-Giant(config-if)#no

pppauthenticationchap

取消PPPCHAP驗證（3）Red-Giant(config)#usernameusernamepassword{0|7}password

創(chuàng)建用戶數(shù)據(jù)庫記錄

作為驗證方，在用戶數(shù)據(jù)庫中需要設(shè)置好各個用戶名和相應(yīng)的密碼，而用戶名即是對方路由器（被驗證方）的PPP主機(jī)名。

8.2配置點對點協(xié)議PPP及其認(rèn)證8.2.1配置PPP及其認(rèn)證4配置PPPPAP被驗證方

（1）Red-Giant(config-if)#ppppapsent-usernameusernamepassword{0|7}password

指定PPPPAP驗證的用戶名和密碼（2）noppppapsent-username

取消PPP的PAP驗證的設(shè)定5，配置PPPPAP驗證方（1）Red-Giant(config-if)#pppauthenticationpap[callin]

設(shè)定PPP的PAP驗證方（2）Red-Giant(config)#usernameusernamepassword{0|7}password

創(chuàng)建用戶數(shù)據(jù)庫記錄8.2.2實訓(xùn)PPPCHAP認(rèn)證

8.3.2實訓(xùn)配置靜態(tài)路由

8.4配置RIP創(chuàng)建RIP路由進(jìn)程

1Router(config)#routerrip

創(chuàng)建RIP路由進(jìn)程

2Router(config-router)#network

network-number

定義關(guān)聯(lián)網(wǎng)絡(luò)說明：

Network命令定義的關(guān)聯(lián)網(wǎng)絡(luò)有兩層意思：

1）RIP只對外通告關(guān)聯(lián)網(wǎng)絡(luò)的路由信息

2）RIP只向關(guān)聯(lián)網(wǎng)絡(luò)所屬接口通告路由信息

8.4配置RIP定義RIP版本

RIP分為版本1和版本2，RIPv2可以支持認(rèn)證、密鑰管理、路由匯聚、CIDR和VLSMs。缺省情況下，RGNOS可以接收RIPv1和RIPv2的數(shù)據(jù)包，但是只發(fā)送RIPv1的數(shù)據(jù)包。你可以通過配置，只接收和發(fā)送RIPv1的數(shù)據(jù)包，也可以只接收和發(fā)送RIPv2的數(shù)據(jù)包。定義RIP版本Router(config-router)#version{1|2}

8.4配置RIP配置RIPVersion1路由協(xié)議

假設(shè)校園網(wǎng)通過一臺路由器Router1連接到校園外的另一臺路由器Router2上，現(xiàn)要在路由器上做適當(dāng)配置，實現(xiàn)校園網(wǎng)內(nèi)部主機(jī)與校園網(wǎng)外部主機(jī)的相互通信。

8.4.2實訓(xùn)配置RIPVersion1路由協(xié)議

8.4配置RIP小結(jié)1

在串口上配置時鐘頻率時，一定要在電纜DCE端的路由器上配置，否則鏈路不通；2定義關(guān)聯(lián)網(wǎng)絡(luò)時，命令network后面必須是與該路由器直連的主類網(wǎng)絡(luò)地址。

8.5配置IP訪問列表訪問控制列表ACL（AccessControlList）在路由器、三層交換機(jī)上進(jìn)行網(wǎng)絡(luò)安全屬性配置，可以實現(xiàn)對進(jìn)入到路由器、三層交換機(jī)的輸入數(shù)據(jù)流進(jìn)行過濾

8.5.2ACL的類型IP標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）IP擴(kuò)展訪問控制列表（ExtendedIPACL）主要動作為允許（Permit）和禁止（Deny）

主要應(yīng)用方法是入棧（In）和出棧（Out）ACL命令中的反掩碼

反掩碼與子網(wǎng)掩碼算法相似，但寫法不同，區(qū)別是：反掩碼中，0表示需要比較，1表示不需要比較。對于：55只比較前24位

55只比較前22位

55只比較前8位IP標(biāo)準(zhǔn)訪問控制列表StandardIPACL

Access-listlistnumber{permit|deny}address[wildcard–mask]

其中：listnumber是規(guī)則序號，標(biāo)準(zhǔn)訪問控制列表（StandardIPACL）的規(guī)則序號范圍是1-99；Permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過；Address是源地址IP；wildcard–mask是源地址IP的通配比較位，也稱反掩碼。IP標(biāo)準(zhǔn)訪問控制列表例如：（config）#access-list1permit55（config）#access-list2deny55源地址TCP/UDP數(shù)據(jù)IPIP擴(kuò)展訪問控制列表2ExtendedIPACL

Access-listlistnumber{permit|deny}protocolsourcesource-wildcard–mask

destinationdestination-wildcard–mask[operatoroperand]

其中：擴(kuò)展訪問控制列表（StandardIPACL）的規(guī)則序號范圍是100-199;protocol是指定的協(xié)議，如IP、TCP、UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩碼；operator和operand用于指定端口范圍，缺省為全部端口號0-65535，只有TCP和UDP協(xié)議需要指定的端口范圍。擴(kuò)展訪問控制列表目的地址源地址協(xié)議端口號數(shù)據(jù)TCP/UDPIP入棧（In）應(yīng)用和出棧（Out）應(yīng)用

兩個應(yīng)用是相對于設(shè)備的某一端口而言

當(dāng)要對從設(shè)備外的數(shù)據(jù)經(jīng)端口流入設(shè)備時做訪問控制，就是入棧（in）應(yīng)用

當(dāng)要對從設(shè)備內(nèi)的數(shù)據(jù)經(jīng)端口流出設(shè)備時做訪問控制，就是出棧（out）應(yīng)用

8.5.3命名的訪問控制列表在三層交換機(jī)上配置命名的ACL?？梢圆捎萌齻€步驟進(jìn)行

:創(chuàng)建ACL,接口上應(yīng)用ACL,查看ACL1創(chuàng)建StandardIPACLs

步驟1 configureterminal 進(jìn)入全局配置模式步驟2ipaccess-liststandard{name}

用數(shù)字或名字來定義一條StandardIPACL并進(jìn)入access-list配置模式。步驟3 deny

{sourcesource-wildcard|host

source|any}orpermit{sourcesource-wildcard|host

source|any}在access-list配置模式，申明一個或多個允許通過（permit）或丟棄（deny）的條件以用于交換機(jī)決定報文是轉(zhuǎn)發(fā)還是丟棄。hostsource代表一臺源主機(jī)，其source-wildcard為。any代表任意主機(jī)，即source為，source-wild為551創(chuàng)建StandardIPACLs實例

Switch（config）#ipaccess-liststandarddeny-host192.168.l2.x

Switch（config-std-nacl）#deny55Switch（config-std-nacl）#permitanySwitch（config-std-nacl）#end

Switch#showaccess-list

2創(chuàng)建ExtendedIPACLs

步驟1 configureterminal進(jìn)入全局配置模式步驟2ipaccess-listextended{name}

用數(shù)字或名字來定義一條ExtendedIPACL并進(jìn)入access-list配置模式步驟3 {deny|permit}protocol

{source

source-wildcard|hostsource|any}[operatorport] {destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，申明一個或多個允許通過（permit）或丟棄（deny）的條件以用于交換機(jī)決定匹配條件的報文是轉(zhuǎn)發(fā)還是丟棄。

2創(chuàng)建ExtendedIPACLs

定義TCP或UDP的目的或源端口的規(guī)則操作符（opeator）只能為eq

如果操作符在sourcesource-wildcard之后，則報文的源端口匹配指定值時條件生效如果操作符在destination

destination-wildcard之后，則報文的目的端口匹配指定值時條件生效Port為十進(jìn)制值，它代表TCP或UDP的端口號。值范圍為0-65535protocol可以為

tcp：指明為tcp數(shù)據(jù)流

udp：指明為udp數(shù)據(jù)流

ip：指明為任意ip數(shù)據(jù)流

2創(chuàng)建ExtendedIPACLs實例

Switch（config）#ipaccess-listextendedallow_0xc0a800_to_Switch（config-std-nacl）#permittcp

55hosteqwww

Switch（config-std-nacl）#endSwitch#showaccess-lists

3將命名ip

訪問列表應(yīng)用到指定接口上步驟1configureterminal 進(jìn)入全局配置模式步驟2 interfaceinterface-id

指定一個接口并進(jìn)入接口配置模式步驟3ipaccess-group{name}{in|out}

將指定的ACL應(yīng)用于該接口上，使其對輸入或輸出該接口的數(shù)據(jù)流進(jìn)行接入控制

下例顯示如何將access-listdeny_unknow_device應(yīng)用于VLAN接口2上：

Switch（config）#interfacevlan2

Switch（config-if）#ipaccess-groupdeny_unknow_devicein

8.5.4顯示ACLs配置showaccess-lists[name] 顯示所有配置或指定名字的ACLsshowipaccess-lists[name]

顯示IPACLs

Showipaccess-group[interfaceinterface-id]

顯示指定接口上的IPACLs配置

showrunning-config

顯示所有配置8.5.5實訓(xùn)編號的標(biāo)準(zhǔn)IP訪問列表你是一個公司的網(wǎng)絡(luò)管理員，公司的經(jīng)理部、財務(wù)部門和銷售部門分屬不同的三個網(wǎng)段，三部門之間用路由器進(jìn)行信息傳遞，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部門不能對財務(wù)部門進(jìn)行訪問，但經(jīng)理部可以對財務(wù)部門進(jìn)行訪問。

8.5.6實訓(xùn)命名的擴(kuò)展IP訪問列表你是學(xué)校的網(wǎng)絡(luò)管理員，在3550-24交換機(jī)上連著學(xué)校的提供WWW和FTP的服務(wù)器，另外還連接著學(xué)生宿舍樓和教工宿舍樓，學(xué)校規(guī)定學(xué)生只能對服務(wù)器進(jìn)行FTP訪問，不能進(jìn)行WWW訪問，教工則沒有此限制。

VLAN10VLAN30VLAN208.6配置網(wǎng)絡(luò)地址轉(zhuǎn)換8.6.1內(nèi)部源地址NAT配置第一步Red-Giant(config)#ip

natinsidesourcestaticlocal-addressglobal-address

定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系第二步Red-Giant(config)#interfaceinterface-typeinterface-number

進(jìn)入接口配置模式第三步 Red-Giant(config-if)#ip

natinside

定義該接口連接內(nèi)部網(wǎng)絡(luò)第四步 Red-Giant(config)#interfaceinterface-typeinterface-number

進(jìn)入接口配置模式第五步 Red-Giant(config-if)#ip

natoutside

定義接口連接外部網(wǎng)絡(luò)

以上配置為最簡單配置，你可以配置多個Inside和Outside接口

8.6.2動態(tài)NAT配置

第一步Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定義全局IP地址池

第二步Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard

定義訪問列表，只有匹配該列表的地址才轉(zhuǎn)換第三步Red-Giant(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool 定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系第四步Red-Giant(config)#interfaceinterface-typeinterfacenumber

進(jìn)入接口配置模式8.6.2動態(tài)NAT配置

第五步Red-Giant(config-if)#ip

natinside

定義接口連接內(nèi)部網(wǎng)絡(luò)第六步Red-Giant(config)#interfaceinterface-typeinterface-number 進(jìn)入接口配置模式第七步Red-Giant(config-if)#ip

natoutside

定義接口連接外部網(wǎng)絡(luò)8.6.3靜態(tài)NAPT

第一步 Red-Giant(config)#ip

natin