CISCO2621_基本配置步骤.doc

CISCO2621 基本配置步骤基本配置步骤 公司内路由器一般用的是CISCO2621，通过宽带连接因特网，局域网的微机通过路由器地址转换（NAT）上网，内部服务器上设置外部地址提供对外的访问。以此为例介绍路由器的配置步骤。路由器的10/100 ETHERNET0/0端口接外部网络，10/100 ETHERNET0/1端口接内部网络。 路由器第一次使用时，因为没有进行配置，因此必须利用微机通过超级终端连接路由器的Console口进行初始化。每台路由器都带有连接线，一端接微机的串口，另一端接路由器的Console口。即基本设置方式中的第一种方式。路由器第一次启动时，会进入设置对话过程，可以按照提示配置参数，也可以退出对话过程用命令的方式进行配置。以下介绍通过命令的方式进行配置（命令可以不完全输入，只输入单词中的黑体部分即可，以下同）。 1 配置端口的IP地址 router enable 进入特权命令状态 routerconfig terminal 进入全局设置状态 router(config)interface fastethernet0/0 配置00端口的参数 router(config-if)ip address 6 0/0端口的IP地址、子网掩码，此地址一般为网络供应商提供的外部互联地址 router(config)interface fastethernet0/1 配置0/1端口的参数 router(config-if)ip adderss 0/1端口的IP地址、子网掩码，公司内部分配，为局域网地址段的第一个地址 router(config-if)ip address 6 secondary 网络供应商分配的公用地址段的第一个地址及子网掩码 router(config-if)exit 退出当前配置状态，回到上一级配置状态 按Ctrl+z键可以直接回到特权命令状态。 2 配置默认网关 进入全局配置状态。采用的是静态路由方式，因此需要将一条静态路由记录加入，内容如下： router(config)ip route 3 外部网络互联地址，供应商提供 3 使路由器路由有效 router(config)ip routing 至此，路由器可以发挥路由作用，内部网络上的有外部地址的微机可以连接外部网络了。 4 配置地址转换（NAT） 只有内部地址的微机若需要通过路由器上网，按如下步骤配置。 第一步： router(config)ip nat pool poolname 6 6 netmask 定义地址转换地址池，poolname为地址池的名称，可以自己命名，62为起始地址，63为结束地址，表示内部地址转换成地址池范围内的地址对外访问，起始地址和结束地址可以相同。 第二步：router(config)ip access-list extended natip 定义访问列表名称为natip router(config-ext-nacl)#permit ip 55 any 允许255的地址访问任何地址，若只允许某些地址上网，可以在这里设置。如允许31的地址上任何网，其他地址只允许访问公司综合信息，可以按如下设置： router (config-ext-nacl)permit ip 1 any router (config-ext-nacl)permit tcp 55 host 66 eq www router (config-ext-nacl)deny any any (禁止其他地址的访问) 第三步：router(config)# ip nat inside source list natip pool poolname overload router(config)# ip nat inside source static 9 6配置NAT，natip范围的地址可以转换成poolname地址池中的地址上网。 第四步：router(config)interface fastethernet0/0router(config-if)ip nat outside 定义0/0端口为NAT的外部端口 第五步：router(config)interface fastethernet0/1router(config-if)ip nat inside定义0/1端口为NAT的内部端口局域网中的微机将默认网关设置为路由器的内部地址()，就可以通过路由器上网了。 5 通过访问列表控制对内部网络和外部网络的访问 控制内部微机对外部网络的访问，通过NAT中的访问列表控制，见以上的第二步。 控制外部网络对内部网络的访问，示例如下： 区别在： permit或deny后面紧接的先是内部地址还是外部地址 router(config)ip access-list extended access1 建立名称为access1的访问控制列表 router(config-ext-nacl)deny Icmp any any 禁攒止Icmp访问，如ping。 router(config-ext-nacl)permit tcp any host 64 eq www 允许外部网络访问64的web服务 router (config-ext-nacl)permit ip any host 65 允许外部地址对65的所有访问，如语音网关。 router (config-ext-nacl)permit tcp any host 66 eq 1352 允许外部网络访问66的1352端口。1352端口为LOTUS服务端口。 router(config)interface fastethernet0/0 router(config)ip access-group access1 in 将控制列表access1施加在0/0端口的对内访问上。 当外部网络访问通过路由器0/0端口控制内部网络时，路由器检查访问列表，找到匹配项后动作（deny或permit），以后的列表忽略，若找不到匹配项，丢弃该数据包。因此访问列表中一般需要将deny语句放在列表的前面。 访问控制列表中表示一个地址时用host 65；表示一段地址时用60 5，代表从60175。此处5与子网掩码的作用类似，但是写法恰好相反。在网络中地址段60175用60 40表示。访问控制列表中的掩码可以用255减去子网掩码每段的的数值得到。如子网掩码在访问控制列表中用55表示，子网掩码在访问控制列表中用55表示。 如果需要将微机的IP地址和网卡的地址绑定，即微机只能使用指定的IP地址，自己更改地址后路由器将拒绝访问，可以通过如下命令设置： router(config)arp 86 0030.2222.1111 ARPA router(config)arp 87 0030.2222.2222 ARPA 其中86为IP地址，0030.2222.1111为绑定的网卡地址。6 保存配置 routerwrite 保存配置文件在路由器中，若不保存路由器重新启动后配置将丢失。 若需要将路由器的配置保存到微机上，则微机上需要运行CISCO的TFTP软件，通过copy命令进行。 router(config)copy running-config tftp 然后根据提示输入TFTP的地址和保存的文件名称即可，保存的文件为文本文件。 router(config)copy from tftp 从TFTP恢复备份的配置 7 其他常用命令 router(config)show running-config 查看路由器配置 router(config)show processes cpu 查看路由器CPU利用情况 router(config)show processes memory 查看路由器内存利用情况 router(config)show interface 查看各端口的状况 router(config)show ip access-list 查看访问控制列表及数据包匹配情况 router(config)show ip nat statistics 查看NAT地址转换情况统计 router(config)show ip nat translations 查看NAT当前地址转换情况 网络运行过程中如果上网明显变慢，可以通过以上命令查看路由器的运行状况。如前段时间冲击波杀手病毒导致的上网慢甚至不能上网，用show processes cpu