第8章 路由器的配置

第8章路由器的配置

8.1路由器的配置方式8.2配置PPP及其认证8.3配置静态路由8.4配置RIP8.5配置IP访问列表8.6配置网络地址转换

(实训项目在实训时完成)补充:路由器的硬件与软件保存开机诊断程序,执行加电检测(同PC机的POST)。ROM中还保存有引导程序和最小的操作系统软件是路由器的工作存储区，存储活动的配置文件(running-config)、网络映射表和路由地址列表，还能用来保存路由表，进行报文缓存等，补充:路由器的硬件与软件是一种可擦写的，可编程类型的ROM。负责保存（IOS）的映像(image)和路由器的微码(microcode)。FlashMemory还能通过使用简单文件传输协议(TFTP)将IOS的映像备份到计算机上。在路由器关电时，仍保持其内容。所以用其来存储备份/配置文件(startup-config)。使路由器在电源故障时可以快速地恢复。使用NVRAM后，路由器就不再需要磁盘来保存其配置文件了。补充:路由器的硬件与软件是报文进出路由器的连接装置。每一个I／O端口都连到一个特定介质转换器（MSC—Media-SpecificConverter）上，MSC提供物理接口到特定类型介质的连接。补充:路由器的启动过程setup

8.1路由器的配置方式ConsoleAux任何InterfaceTelnetTFTP

1.RJ-45toDB-9转换器

2.翻转线

3.PC超级终端程序

4.PCcom口的配置:

8.1.1通过带外对路由器进行管理SETUP交互配置模式1，路由器加电正常启动进入用户模式：提示符“Red-Giant>”。2，如果是路由器出厂后第一次启动或者使用了“writeerase”指令后再次启动，则路由器自动进入Setup智能配置，以交互式提示用户配置路由器最初启动所需要的参数。3，也可以在特权用户模式下，随时键入setup进入交互式配置模式。

1.用户模式[主机名>]:可以执行EXEC命令的一部分Red-Giant>

2.特权模式[主机名#]:可以执行全部的EXEC命令Red-Giant#

进入特权模式

Red-Giant>enableRed-Giant#返回用户模式

Red-Giant#disable

Red-Giant>8.1.2路由器的常见命令模式:EXEC模式

3.全局配置模式[主机名（config)#]进入全局配置模式下

Red-Giant#configureterminalRed-Giant(config)#返回特权模式Red-Giant(config)#exit

Red-Giant#

路由器的操作模式:EXEC模式

4.进入线路配置模式

Red-Giant(config)#lineconsole0

Red-Giant(config-line)#exit

Red-Giant(config)#

5.进入接口配置模式

Red-Giant(config)#interfaceserial0

Red-Giant(config-if)#exit

Red-Giant(config)#

路由器的操作模式:配置模式

6.进入路由配置模式（如RIP）Red-Giant(config)#routerrip

Red-Giant(config-router)#exit

Red-Giant(config)#

7.进入子接口配置模式

Red-Giant(config)#interfaceserial0.1

Red-Giant(config-subif)#exit

Red-Giant(config)#

路由器的操作模式:配置模式

从子模式下直接返回特权模式Red-Giant(config-if)#end

Red-Giant#

路由器的操作模式:配置模式

1.Red-Giant#help显示简短的系统帮助描述信息

2.在每种操作模式下直接输入“?”显示该模式下所有的命令

3.命令空格“?”显示命令参数并对其解释说明

4.字符“?”显示以该字符开头的命令

5.命令历史缓存:

(Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令

RGNOS的操作帮助特点1,显示路由器硬件及软件的信息

Red-Giant#showversion

2,显示当前运行的配置参数

Red-Giant#showrunning-config

3,显示NVRAM中配置参数的副本

Red-Giant#showstartup-config4,查看端口信息

Red-Giant#showinterfacetypenumber5,查看路由信息

Red-Giant#showiproute

6,显示接口的摘要信息

Red-Giant#

showipinterfacebrief常用路由器显示命令

1登录远程主机

telnethostname/ipaddress2

侦测网络的连通性

pinghostname/ipaddress3跟踪远程主机的路径信息

traceroutehostname/ipaddress常用路由控制命令

1,hostnamename

设置路由器名2,enablesecret/passwordpassword设置特权密码3,iprouting 启用ip路由4,interfacetypenumber

端口设置5,noshutdown激活端口6,ipaddressaddresssubnet-mask设置ip地址7,linetypenumber

物理线路设置8,login 启动登录进程9,passwordpassword

设置登录密码路由基本设置命令

1,将当前运行的配置参数复制到NVRAM

Red-Giant#copyrunning-configstartup-config

Buildingconfiguration...

[OK]

Red-Giant#

2,清空NVRAM中的配置参数

Red-Giant#erasestartup-config

[OK]

Red-Giant#

3,路由器重新启动

Red-Giant#reload

Proceedwithreload?[confirm]常用路由器命令

Red-Giant(config)#hostnamelabr1配置路由器的主机名

配置远程登陆（TELNET）密码

labr1(config)#linevty04

labr1(config-line)#login

labr1(config-line)#password123配置路由器口令配置特权密码

labr1(config)#enablepassword123

labr1(config)#enablesecret123配置路由器口令配置接口IP地址

labr1(config-if)#ipaddress{IPaddress}{IP

subnetmask}将接口启用

labr1(config-if)#noshutdown

将接口关闭

labr1(config-if)#shutdown路由器接口配置命令labr1#showinterfacesfastEthernet0

FastEthernet0isup,lineprotocolisup

(表示物理层协议工作正常)(表示数据链路层协议工作正常)

FastEthernet0isup,lineprotocolisdown

(表示物理层协议工作正常)(表示数据链路层协议工作不正常)

FastEthernet0isdown,lineprotocolisdown

(表示物理层协议工作不正常)

FastEthernet1isadministrativelydown,lineprotocolisdown

(表示从管理上将该接口处于关闭状态)路由器接口显示命令含义路由器命令行自动补齐功能

如果您忘记了一个完整的命令，或者希望可以减少输入的字符的数量，可以采用命令行自动补齐功能，你只需要输入少量的字符，然后按<Tab>，或者按<Ctrl+I>键，由RGNOS自动补齐成为完整的命令，当然必要条件是输入的少量字符，已经可以确定一个唯一的命令了。比如在特权用户层，您只需要输入conf，然后按<Tab>或者<Ctrl+I>，则由RGNOS自动为您补齐成为完整的configure命令。Red-Giant#conf<Tab>Red-Giant#configure路由器命令行错误提示信息

%Invalidinputdetectedat‘^’marker.

输入的命令有错误，错误的地方在^指明的位置。%Incompletecommand.

命令输入不完整。%Ambiguouscommand:"command"确以command开头的指令有多个，指令输入不够明确。将配置参数上传到TFTP服务器

labr1#copyrunning-config

tftp

从TFTP服务器上下载配置参数

labr1#copytftprunning-config路由器TFTP命令8.1.6实训路由器的基本配置

8.2配置点对点协议PPP及其认证8.2.1配置PPP及其认证

1，配置接口PPP封装Red-Giant(config-if)#encapsulation

ppp

2，配置PPPCHAP被验证方

（1）Red-Giant(config-if)#pppchaphostnamehostnmae

指定PPPCHAP验证的主机名（2）Red-Giant(config-if)#pppchappassword{0|7}password

指定PPPCHAP验证的密码如果知道验证方PPPCHAP所用的主机名，（2）也可换为：

（2）Red-Giant(config)#usernameusernamepassword{0|7}password

为验证方主机名创建用户数据库记录，两端密码要保持一致

8.2配置点对点协议PPP及其认证8.2.1配置PPP及其认证

3配置PPPCHAP验证方

（1）Red-Giant(config-if)#pppauthenticationchap[callin]

启动PPP验证，并指定PPPCHAP验证方式方式（2）Red-Giant(config-if)#no

pppauthenticationchap

取消PPPCHAP验证（3）Red-Giant(config)#usernameusernamepassword{0|7}password

创建用户数据库记录

作为验证方，在用户数据库中需要设置好各个用户名和相应的密码，而用户名即是对方路由器（被验证方）的PPP主机名。

8.2配置点对点协议PPP及其认证8.2.1配置PPP及其认证4配置PPPPAP被验证方

（1）Red-Giant(config-if)#ppppapsent-usernameusernamepassword{0|7}password

指定PPPPAP验证的用户名和密码（2）noppppapsent-username

取消PPP的PAP验证的设定5，配置PPPPAP验证方（1）Red-Giant(config-if)#pppauthenticationpap[callin]

设定PPP的PAP验证方（2）Red-Giant(config)#usernameusernamepassword{0|7}password

创建用户数据库记录8.2.2实训PPPCHAP认证

8.3.2实训配置静态路由

8.4配置RIP创建RIP路由进程

1Router(config)#routerrip

创建RIP路由进程

2Router(config-router)#network

network-number

定义关联网络说明：

Network命令定义的关联网络有两层意思：

1）RIP只对外通告关联网络的路由信息

2）RIP只向关联网络所属接口通告路由信息

8.4配置RIP定义RIP版本

RIP分为版本1和版本2，RIPv2可以支持认证、密钥管理、路由汇聚、CIDR和VLSMs。缺省情况下，RGNOS可以接收RIPv1和RIPv2的数据包，但是只发送RIPv1的数据包。你可以通过配置，只接收和发送RIPv1的数据包，也可以只接收和发送RIPv2的数据包。定义RIP版本Router(config-router)#version{1|2}

8.4配置RIP配置RIPVersion1路由协议

假设校园网通过一台路由器Router1连接到校园外的另一台路由器Router2上，现要在路由器上做适当配置，实现校园网内部主机与校园网外部主机的相互通信。

8.4.2实训配置RIPVersion1路由协议

8.4配置RIP小结1

在串口上配置时钟频率时，一定要在电缆DCE端的路由器上配置，否则链路不通；2定义关联网络时，命令network后面必须是与该路由器直连的主类网络地址。

8.5配置IP访问列表访问控制列表ACL（AccessControlList）在路由器、三层交换机上进行网络安全属性配置，可以实现对进入到路由器、三层交换机的输入数据流进行过滤

8.5.2ACL的类型IP标准访问控制列表（StandardIPACL）IP扩展访问控制列表（ExtendedIPACL）主要动作为允许（Permit）和禁止（Deny）

主要应用方法是入栈（In）和出栈（Out）ACL命令中的反掩码

反掩码与子网掩码算法相似，但写法不同，区别是：反掩码中，0表示需要比较，1表示不需要比较。对于：55只比较前24位

55只比较前22位

55只比较前8位IP标准访问控制列表StandardIPACL

Access-listlistnumber{permit|deny}address[wildcard–mask]

其中：listnumber是规则序号，标准访问控制列表（StandardIPACL）的规则序号范围是1-99；Permit和deny表示允许或禁止满足该规则的数据包通过；Address是源地址IP；wildcard–mask是源地址IP的通配比较位，也称反掩码。IP标准访问控制列表例如：（config）#access-list1permit55（config）#access-list2deny55源地址TCP/UDP数据IPIP扩展访问控制列表2ExtendedIPACL

Access-listlistnumber{permit|deny}protocolsourcesource-wildcard–mask

destinationdestination-wildcard–mask[operatoroperand]

其中：扩展访问控制列表（StandardIPACL）的规则序号范围是100-199;protocol是指定的协议，如IP、TCP、UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩码；operator和operand用于指定端口范围，缺省为全部端口号0-65535，只有TCP和UDP协议需要指定的端口范围。扩展访问控制列表目的地址源地址协议端口号数据TCP/UDPIP入栈（In）应用和出栈（Out）应用

两个应用是相对于设备的某一端口而言

当要对从设备外的数据经端口流入设备时做访问控制，就是入栈（in）应用

当要对从设备内的数据经端口流出设备时做访问控制，就是出栈（out）应用

8.5.3命名的访问控制列表在三层交换机上配置命名的ACL。可以采用三个步骤进行

:创建ACL,接口上应用ACL,查看ACL1创建StandardIPACLs

步骤1 configureterminal 进入全局配置模式步骤2ipaccess-liststandard{name}

用数字或名字来定义一条StandardIPACL并进入access-list配置模式。步骤3 deny

{sourcesource-wildcard|host

source|any}orpermit{sourcesource-wildcard|host

source|any}在access-list配置模式，申明一个或多个允许通过（permit）或丢弃（deny）的条件以用于交换机决定报文是转发还是丢弃。hostsource代表一台源主机，其source-wildcard为。any代表任意主机，即source为，source-wild为551创建StandardIPACLs实例

Switch（config）#ipaccess-liststandarddeny-host192.168.l2.x

Switch（config-std-nacl）#deny55Switch（config-std-nacl）#permitanySwitch（config-std-nacl）#end

Switch#showaccess-list

2创建ExtendedIPACLs

步骤1 configureterminal进入全局配置模式步骤2ipaccess-listextended{name}

用数字或名字来定义一条ExtendedIPACL并进入access-list配置模式步骤3 {deny|permit}protocol

{source

source-wildcard|hostsource|any}[operatorport] {destinationdestination-wildcard|hostdestination|any}[operatorport]在access-list配置模式，申明一个或多个允许通过（permit）或丢弃（deny）的条件以用于交换机决定匹配条件的报文是转发还是丢弃。

2创建ExtendedIPACLs

定义TCP或UDP的目的或源端口的规则操作符（opeator）只能为eq

如果操作符在sourcesource-wildcard之后，则报文的源端口匹配指定值时条件生效如果操作符在destination

destination-wildcard之后，则报文的目的端口匹配指定值时条件生效Port为十进制值，它代表TCP或UDP的端口号。值范围为0-65535protocol可以为

tcp：指明为tcp数据流

udp：指明为udp数据流

ip：指明为任意ip数据流

2创建ExtendedIPACLs实例

Switch（config）#ipaccess-listextendedallow_0xc0a800_to_Switch（config-std-nacl）#permittcp

55hosteqwww

Switch（config-std-nacl）#endSwitch#showaccess-lists

3将命名ip

访问列表应用到指定接口上步骤1configureterminal 进入全局配置模式步骤2 interfaceinterface-id

指定一个接口并进入接口配置模式步骤3ipaccess-group{name}{in|out}

将指定的ACL应用于该接口上，使其对输入或输出该接口的数据流进行接入控制

下例显示如何将access-listdeny_unknow_device应用于VLAN接口2上：

Switch（config）#interfacevlan2

Switch（config-if）#ipaccess-groupdeny_unknow_devicein

8.5.4显示ACLs配置showaccess-lists[name] 显示所有配置或指定名字的ACLsshowipaccess-lists[name]

显示IPACLs

Showipaccess-group[interfaceinterface-id]

显示指定接口上的IPACLs配置

showrunning-config

显示所有配置8.5.5实训编号的标准IP访问列表你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的三个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

8.5.6实训命名的扩展IP访问列表你是学校的网络管理员，在3550-24交换机上连着学校的提供WWW和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。

VLAN10VLAN30VLAN208.6配置网络地址转换8.6.1内部源地址NAT配置第一步Red-Giant(config)#ip

natinsidesourcestaticlocal-addressglobal-address

定义内部源地址静态转换关系第二步Red-Giant(config)#interfaceinterface-typeinterface-number

进入接口配置模式第三步 Red-Giant(config-if)#ip

natinside

定义该接口连接内部网络第四步 Red-Giant(config)#interfaceinterface-typeinterface-number

进入接口配置模式第五步 Red-Giant(config-if)#ip

natoutside

定义接口连接外部网络

以上配置为最简单配置，你可以配置多个Inside和Outside接口

8.6.2动态NAT配置

第一步Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}定义全局IP地址池

第二步Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard

定义访问列表，只有匹配该列表的地址才转换第三步Red-Giant(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool 定义内部源地址动态转换关系第四步Red-Giant(config)#interfaceinterface-typeinterfacenumber

进入接口配置模式8.6.2动态NAT配置

第五步Red-Giant(config-if)#ip

natinside

定义接口连接内部网络第六步Red-Giant(config)#interfaceinterface-typeinterface-number 进入接口配置模式第七步Red-Giant(config-if)#ip

natoutside

定义接口连接外部网络8.6.3静态NAPT

第一步 Red-Giant(config)#ip

natin