系列路由器使用手册

《CISCO2500、1600系列路由器使用手册》目录1.CISCO2500，1600系列路由器基本知识1.1.物理端口介绍1.2.内存体系结构介绍1.3.配置途径1.4.命令行配置模式1.5.多重引导IOS1.6.从服务器中自动下载路由器配置文献1.7.配置Autoinstall功能1.8.常用的命令行快捷编辑器1.9.路由器口令的安全管理1.10.检查机灵配置及工作状态的常用命令2.IP协议配置的基本原则3.IP协议配置3.1.包过滤功能配置4.常见广域网协议配置4.1.CISCOHDLC协议配置4.2.X.25配置4.3.帧中继配置4.4.PPP配置5.IP路由协议配置5.1.静态路由配置5.2.缺省路由配置5.3.IGRP配置5.4.OSPF配置5.5.RIP配置6.远程访问服务配置7.DDRoverPSTN配置8.NAT(NetworkAddressTranslation)功能配置9.备份配置正文CISCO2500,1600系列路由基本知识CISCO2500，1600系列路由器是多协路由器，但从另一角度来说，它是一台计算机，就象大家熟悉的运营WINDOWS95的PC机同样。CISCO路由器也包含硬件和软件两部分。1.1.物理端口介绍CISCO2500系列包含以下几种端口：高速同步串口，最大支持2.048M的E1速率。通过软件配置，该种端口可以连接DDN，帧中继（FrameRelay），X.25，PSTN（模拟电话线路）。注意：假如用该同步端口连接电话线路，规定Moden必须支持V.25bis同步/异步串口，该种端口可以用软件设立为同步工作方式。在同步工作方式下，最大支持128K，异步方式下，最大支持115.2K。AUI端口，即粗缆口。一般需要外接转换器（AUI-RJ45），连接10Base-T以太网络。ISDN端口，可以连接ISDN网络(2B+D)。AUX端口，该端口为异步端口，最大支持３８４００的速率，重要用于远程配置或拔号备份。Console口，重要连接终端或运营终端仿真程序的计算机，在本地配置路由器。高密度异步端口，该端口通过一转八线缆，可以连接八条异步线路。CISCO1600系列路由器重要包含以下几种端口：AUI及10Base-T口，这两个端口只能同时用一个。同步／异步串口，通过软件设立为同步或异步的工作方式。同步方式最大支持２Ｍ的速率，异步方式最大支持到１１５.2Ｋ。Console口ISDN端口2500及1600系列路由器具有多种型号,各种型号分别饮食不同的端口种类及数目.具体情况向有关方面征询。1.2.内存体系结构介绍Cisco路由器的软件部分即网络操作系统。通过IOS，Cisco路由器可以连接IP，IPX，IBM，DEC，AppleTalk的网络，并实现许多丰富的网络功能。软件是需要内存的，Cisco2500,1600系列路由器的内存体系结构，如图：其中，ROM相称于PC机的BIOS，Cisco路由器运营时一方面运营ROM中的程序。该程序重要进行加电自检，对路由器的硬件进行检测。另一方面含引导程序及IOS的一个最小子集。ROM为一种只读存储器，系统掉电程序也不会丢失.FLASH是一种可擦写、可编程的ROM，FLASH包含IOS及微代码。可以把它想象和PC机的硬盘功能同样，但其速度快得多。可以通过写入新版本和OS对路由器进行软件升级。FLASH中的程序，在系统掉电时不会丢失。DRAM：动态内存。该内存中的内容在系统掉电时会完全丢失。DRAM中重要包含路由表，ARP缓存，fast-switch缓存，数据包缓存等。DRAM中也包具有正在执行的路由器配置文献。NVRAM：NVRAM中包具有路由器配置文献，NVRAM中的内容在系统掉电时不会丢失。一般地，路由器启动时，一方面运营ROM中的程序，进行系统自检及引导，然后运营FLASH中的IOS，并在NVRAM中寻找路由器的配置，并将装入DRAＭ中。1.3.配置途径一台新路由器买来，不象ＨＵＢ或一般的互换机插上线路就能用，需要根据所连接的网络用户的需求进行一定的设立才干使用。可以通过多种途径配置Cisco路由器，如图：通过console进行设立，这种方式是用户对路由器的重要设立方式。通过AUX端口连接Modem进行远程配置。通过Telnet方式进行配置。可以在网络中任一位置对路由器进行配置，只要你足够的权力。当然，也需要您的计算机支持Telnet。通过网管工作站进行配置，这就需要在您的网络中有至少一台运营Ciscoworks及CiscoView等的网管工作站。需要此外购买网管软件。通过tftp服务器下载路由器配置文献。可以用任何没有特殊格式的纯文本编辑器编辑路由器配置文献。并将其存放在TFTP服务器的根目录下，采用手支方式或Autoinstall方式下载路由器配置文献。一方面重要介绍一下运用Console口的设立,这里我们重要用Windows95下超级终端。 Cisco2500及1600提供了一条Cisco线(两头均为RJ-4及三个RJ-45转换头)。一般地，选择PC机的COM1或HYPERLINKmailto:COM@COM2中，选用RJ45-DB9或RJ45-DB25的转换头与COM口连接，再将Console线接入Console口中，采用Console100终端方式，超级终端的配置如图：这时，你就会进入路由器的命令行状态，你就可以操纵路由器了，有时你也许发现那是一场可怕的恶梦，那么的命令，那么多的参数，简直无法下手，但是一旦了解了它，你就会喜欢上它，并且时不时会给你意外的惊喜.1.4.命令行配置模式在命令行状态下,重要有几种工作模式：一般用户模式从Console口或T

elnet及AUX进入路由器时，一方面要进行一般用户模式，在一般用户模式下，用户只能运营少数的命令，并且不能对路由器进行配置。在没有进行任何配置的情况下，缺省的路由器提醒符为：Route>假如设立了路由器的名字，则提醒符为 路由器的名字>超级权限模式在缺省状态上，超级权限模式下可以使用比一般用户模式下多得多的命令。绝大多数命令用于测试网络，检查系统等，不能对端口及网络协议进行配置。在没有进行任何配置的情况下，缺省的超级权限提醒符为 ROUTER#假如设立了路由器的名字，则提醒符为 路由器的名字#这里介绍第一条命令，由一般用户模式切换到超级权限模式键入 enable在没有任何设立下，键入该命令即可进入超级权限模式下，假如设立了口令，则需要输入口令。此外，介绍一组配置常用到的命令copy命令 copy源位置目的位置表达将由某个源位置所指定的文献复制到目的地位置所指定处，与DOS或WIN95下的COPY命令功能是一致的。其中Cisco2500,1600系列中源和目的地位置可认为FLASH，DRAM，tftp，NVRAM。对于配置文献来说，参数值run表达存放在DRAM中的配置。start表达存放在NVRAM中的配置。所有的配置命令只要键入后立即存在DRAM并运营,但掉电后会立即丢失。而NVRAM中配置只有在重新启动之后才会被复制到DRAM中运营，掉电后不会丢失，因此，必须养成好的配置习惯。在确认配置对的无误后将配置文献复制到NVRAM中去。其命令为copyrunstart假如想用NVRAM中的配置覆盖DRAM中的配置用命令copystartrun可以将NVRAM中的配置复制到tftp服务器中进行备份，用命令 copystarttftp可以将DRAM中的配置复制到tftp服务器中进行备份,用命令 copyruntftp路由器会询问你的tftp服务器的IP地址及以何文献名存盘，输入对的的服务器IP地址和文献名后，即可。可以将tftp中的配置文献复制到路由器的DRAM中，用命令 copytftprun可以将tftp中的配置文献复制到路由器NVRAM中，用命令 copytftpstart路由器会询问tftp服务器根目录下的配置文献名及在路由器上以什么名字复制该配置文献。假如想删除NVRAM中的所有配置，用命令writeerase全局设立模式全局设立上可以设立一些全局性的参数，要进入全局设立模式，必须一方面进入超级模式，然后，在超级权限模式下键入configtermainal回车即进入全局设立模式。其缺省提醒符为 Router(config)#假如设立了路由器的名字,则其提醒符为 路由器的名字(config)#这里先介绍几个配置命令 配置路由器的名字 hostname路由器的名字 设立进入超级权限时的口令 enablepassword口令字符串 或enablesecret口令字符串其中用enablepassword设立的口令没有进行加密的，可以查看到口令字符串：用enablesecret设立的口令是加密的，设立后无法查看到口令字符串。注意:设立守口令后，一定不要忘掉，否则，要进入超级权限模式很麻烦，在某些情况下，除非重新回忆起口令，否则，你就无法进入超级权限模式。其他设立模式这里重要介绍几种其它设立模式。 要进入其它设立模式，一方面必须进入全局设立模式端口设立模式 在全局设立模式下： interface端标语 2500及1600系列的端口重要有interfaceserial号码高速同步串口的号码由0开始interfaceethernet号码以太口的号码由0开始interfaceasync号码象2509，2511有专门的异步端口的路由器，AUX口为async0，其它的专门的异步口由１开始编号。AUX口在所有2500系列路由器上编号为async1linecon0配置console口为安全起见，可以配置口令，配置如下linecon0loginpasswprd口令字符串 建议：不要容易配置login及口令，否则，一旦忘掉，再进入路由器很麻烦。SETUP模式SETUP模式是用对话的方式，即一问一答的方式实现对路由器的配置，但这种方式只能对路由器进入简朴的配置，无法实现进一步的配置。新路由器第一次进入配置时，系统会自动进入SETUP模式，并询问是否用SETUP模式进行配置。在任何时候，要进入SETUP模式，在超级权限模式下，键入setup

。RXBOOT模式在路由器出现问题时,有时可以RXBOOT模式解决。有两种方式可以进入RXBOOT模式。方法１：在路由器加电６０秒内，在WINDOWS95或NT的超级终端下,同时按ctrl+break键3-5秒左右就进入RXBOOT模式。方法２：在全局设立模式下，config-register0x0然后关电源重启动，或在超级权限下，键入reload则进入RXBOOT模式RXBOOT模式的提醒符为>在这里介绍一下,RXBOOT模式的一种用途：假如丢失了进入超级权限的口令怎么办？假如BREAK键没有被封锁，尚有救，否则，你只能吃后悔药，虽然没有。2500系列路由器环节在windows95或的超级终端下，重新加电，并在路由器启动60秒内，同时按Ctrl+break键3-5秒，进入RXBOOT模式改变寄存器值>o/r0x42重新初始化>i这时，路由器将跳过原有配置，也就是没有超级权限的口令。进入超级权限模式，重新设立超级权限的口令，在全局设立模式下，enablesecret口令字符串在全局设立模式下，恢复寄存器值到本来的位置config-register0x2102在超级权限模式下，保存配置copyrunstart重新加电，或在超级权限模式下，重新热启动路由器，输入reload对于1600系列路由器除了第2,3步命令不同,其它环节与2500系列路由器完毕同样。2.修改寄存器值confreg0x423.重新初始化路由器reset 1.5.多重引导ＩＯＳ缺省情况下，Cisco路由器在FLASH中寻找IOS并启动IOS，假如FLASH中没有，会启动ROM中IOS。可以设立Cisco路由器可以有多个引导源，以实现多重引导，在一些对安全较高的环境中，多重引导是需要的。多重引导表达路由器按照先后顺序，依次寻找IOS，假如前面所指定的位置没有，则到下面的位置找IOS。Cisco2500，1600系列可以从FLASH，tftp服务器，ROM中启动IOS。注意：假如从tftp服务器启动IOS，一般地，Cisco2500,1600路由器至少应有16MDRAM,由于所有IOS一方面以tftp服务器中下载到路由器的DRAM中，此外，规定tftp服务器必须正在运营，IOS软件在tftp服务器的根目录下。tftp服务器必须与Ｃisco路由器的某个活动端口在同一网段。一般tftp服务器在本地局域网中。多重启动配置如下：一般地启动顺序为FLASH，tftp，ROM，在ROM中启动，则路由器基本无法完毕正常的网络功能。一方面，从FLASH中启动,在全局设立状态下bootsystemflash然后，从tftp服务器中启动，在全局设立模式下bootsystemtftpIOS文献名tftp服务器IP地址最后，从ROM中启动，在全局设立模式下bootsystemrom在全局设立模式下设立寄存器值config-register寄存器值 Cisco路由器中的PC寄存器为16位。最低4位，该值假如为3-F(16进制)，表达可以由BOOT命令设立的地点启动IOS。一般为0x2103-0x210F实例Currentconfiguration:!version11.2serviceconfignoserviceudp-small-serversnoservicetcp-small-servers!hostnamekim!bootsystemflash!一方面，从FLASH中启动bootsystemtftpc2500-j-l_112-9_p.bin3!之后，从tftp服务器中启动!IOS文献名为c2500-j-l_112-9_p.bin，tftp服务器地址为3bootsystemrom!最后，从ROM中启动!interfaceEthernet0ipaddressnoipmroute-cachenoiproute-cache!interfaceSerial0ipaddressnoipmroute-cachenoiproute-cache!interfaceSerial1noipaddressnoipmroute-cachenoiproute-cacheshutdown!noipclassless!linecon0line18transportinputalllineaux0transportinputalllinevty04login!end1.6.从服务器中自动下载路由器配置文献路由器的配置文献可以存放在tftp，rcp或MOP服务器中，通过一定的设立，路由器在启动后可以自动下载路由器配置文献。路由器需要下载两个文献，也可以下载其中的一个文献，这个文献合在一起成为运营的配置。网络共用文献该文献包具有几个路由器共同的配置文献。私有配置文献该文献包具有某台路由器特有的配置信息。这两个文献可用任何纯文本编辑器进入编辑一般地，要从tftp服务器中下载配置文献的网络拓朴，如图：下载网络共用文献的配置环节在全局设立模式下,启动路由器配置文献下载功能serviceconfig在全局设立tftp服务器中下载网络共用配置文献bootnetworktftp网络共用配置文献名tftp服务器IP地址在端口设立状态下,设立端口IP地址ipaddress本地端口IP地址子网掩码下载私有配置文献配置环节在全局设立模式下，启动路由器下载配置文献功能serviceconfig在全局设立模式下，设立路由器从tftp服务器中下载私有配置文献boothosttftp私有配置文献名tftp服务器IP地址在端口设立状态，设立端口IP地址ipaddress本端口IP地址子网掩码实例:currentconfiguration:!version11.2serviceconfignoserviceudp-small-serversnoservicetcp-small-servers!hostnamekim!boothosttry-host3!从地址为3的tftp服务器中下载名为try-host的私有配置文献bootnetworktry-network3!从地址为3的tftp服务器中下载名为try-network的网络共用文献bootsystemflashbootsystemtftpc2500-j-l-112-9_p.bin3bootsystemrom!！interfaceEthernet0ipaddress3noipmroute-cachenoiproute-cache!interfaceSerial0noipaddressnoipmroute-cachenoiproute-cache!interfaceSerial1noipaddressnoipmroute-cachenoiproute-cacheshutdown!noipclassless!linecon0line18transportinputalllineaux0transportinputalllinevty04login!endtry-network文献内容iphostkimiphosttryiphosttrychat-sclabABORTERRORABORTBUSY“”ATDT\T”TIMEOUT60CONNECT\ctry-host文献内容!version11.2serviceconfignoserviceudp-small-serversnoservicetcp-small-servers!hostnamekim!boothosttry-host3bootnetworktry-network3bootsystemFlashbootsystemc2500-j-l_112-9_p.bin3bootsystemrom!interfaceEthernet0ipaddressnoipmroute-cachenoiproute-cache!interfaceSerial0ipaddressnoipmroute-cachenoiproute-cache!interfaceSerial1noipaddressnoipmroute-cachenoiproute-cacheshutdown!noipclassless!linecon0line18transportinputalllineaux0transportinputalllinevty04login!end1.7.配置Autoinstall功能cisco2500，1600系列路由器在没有任何配置之前,可以自动启动autoinstall自动配置功能即路由器会自动地到tftp服务器中寻找配置文献，并下载运营。配置文献需要事先编辑好，并存放在tftp服务器的根目录下：要启动自动配置功能，必须满足以下条件：路由器的物理线路必须事先接通。Cisco路由器可以通过以下几个端口找到tftp服务器。以太端口令牌环端口FDDI端口用ciscoHDLC或帧中继封装的同步串口Cisco2500,1600系列路由器的高速同步串口在缺省状态下封装的协议为CiscoHDLC 注意：假如在HDLC封装的端口无法实现自动配置功能，则路由器会自动在该端口上封装帧中继。新路由器的完整或最小的配置，必须存放在tftp服务器的根目录下，且tftp服务器必须正在运营。假如通过已配置好且正在与新路由器通过HDLC封装的端口相连的路由器帮助实现自动配置功能,则已配置好的路由器的该端口的IP地址的最后一个字节必须为1或2。（帧中继无此限制）假如通过已配置好的路由器的帧中继封装的端口帮助新路由器实现自动配置功能，已配置的路由器必须进行如下配置：定义IPhelper地址指向tftp服务器IPhelperaddresstftp服务器的IP地址映射新路由器的IP地址frame-relaymapip新路由器的与该端口的IP地址，本地帧中继地址假如通过已配置好的路由器的以太端口，令牌环端口，FDDI端口帮助新路由器实现自动配置功能，则这些端口所连接的网段上必须有BOOTP或RARP服务器.且必须将新路由器的MAC地址与IP地址进行映射。有时也许需设立IPhelper地址帮助传输tftp及DNS广播。以下介绍通过HDLC封装的端口实现自动配置。自动配置工作过程，如图：一方面，新路由器需要得到与已存在的路由器相连的通过HDLC封装的端口的IP地址。这里即是RouterA的Serial1端口。新路由器通过SLARP广播寻找。假如已配置好的路由器的与其相连的端口，这里即是RouterB的Serial0端口的IP地址的最后一个字节为1，则RouterA的Serial1的IP地址的最后一个字节为2，假如RouterB的Serial0的地址的最后一个字节为2，则RouterA的Serial1IP地址的最后一个字节为1。之后，新路由器需要知道自己的名字。假如在tftp服务器上，它会寻找一个名字为network-config或Cisconet.cfg的文献。在这个文献中，必须有RouterAserial1端口的IP地址与新路由器名字的映射，这里RouterA的名字为Kim。在新的路由器找到自己的名字之后，它会在tftp服务器的根目录下寻找自己的配置文献。配置文献的名字为：新路由器的名字-confg这里RouterA的配置文献名为Kim-confg新的路由器下载配置文献，并装DRAM中运营。实例：已配置好的路由器RouterB的配置kim#shorunBuildingconfiguration…Currentconfiguration:!version11.2noserviceudp-small-serversnoservicetcp-small-servers!hostnamekim1!bootsystemflashbootsystemrom!interfaceEthernet0ipaddressnoipmroute-cachenoiproute-cache!internetSerial0ipaddressiuphelper-address3!广播地址指向tftp服务器noipmroute-cachenoiproute-cache!本实例用V.35线缆直连模拟DDN专线，HDLC的配置请参照HDLC配置章节bandwidth2023!带宽为2Mclockrate2023000!同步时钟interfaceSerial1noipaddressnoipmroute-cachenoiproute-cacheshutdown!noipclassless!linecon0line18transportinputalllineaux0transportinputalllinevty04login!endnetwork-confg文献的内容：iphostkim!新路由器RouterA的高速同步串口１的地址与名字映射iphosttryiphosttry1kim-confg文献的内容inte0ipaddinte1ipaddiprouteRouterA的自动启动过程及启动后的执行配置%SYS-5-RELOAD:ReloadrequestedSystembootstrap,Version11.2(10c),SOFTWARECopyright©1986-1996byciscoSystems2500processorwith2048KbytesofmainmemoryNotioce:NVRAMinvalid,possiblyduetowriteerase.F3:5173084+61848+255460at0x3000060 RestrictedRightsLegendUse,duplication,ordisclosurebytheGovernmentissubjecttorestrictionsassetforthinsubparagraph(c)ofthecommercialComputerSoftware–RestrictedRightsclauseatFARsec.52.227-19andsubparagraph(c)(1)(ii)oftheRightsinTechnialDataandComputerSoftwareclauseatDFARSsec.252.225-7013. CiscoSystems,inc. 170WestTasmanDrive SanJose,california95134-1706CiscointernetworkOperatingSystemSoftwareIOS(tm)2500software(c2500-D-L),version11.2(5),RELEASESOFTWARE(fc1)Copyright(c)1986-1997byciscosystemsinc.CompiledMon31-Mar-9720:17byckralikImagetext-base:0x302a734data-base:0x00001000Cisco2500(68030)processor(revisionL)with2048K/2048Kbytesofmemory.ProcessorboardID06246045,withhardwarerevision00000000Bridgingsoftware.X.25software,version2.0,NET2BFEandGOSIPcompliant.2Ethernet/IEEE802.3interface(s)2Serialnetworkinterface(s)32Kbyteofnon-volatileconfigurationmemory.8192KbytesofprocessorboardsystemFlash(ReadONLY)Notice:NVRAMinvalid,possiblyduetowriteerase.SLARP:interfaceSerialresolved.ThisinterfacehasbeenautomaticallyresolvedthrutheSLARPprocess.Therouterwillnowattempttoretrieveitsnameandconfigurationfile.Loadingnetwork-configfrom3(viaSerial1):!!新路由器RouterA在tftp服务器中找到network-confg文献[OK–74/32723bytes]configurationmappedipaddresstokim!新路由器RouterA的名字为kim，地址为Loadingkim-confgfrom3(viaserial1):![OK–122/32723bytes]!新路由器RouterA从tftp服务器中成功下载自己的配置文献，名为kim-confgSETUP：newinterfaceSerial0placedin“shutdown”statePressRETURNtogetstarted!%LINK–5–SLARP:Serial1address,resolvedby%LINK–3–UPDOWNinterfaceEthernet0,changedstatetoup%LINK–3–UPDOWNinterfaceEthernet1,changedstatetoup%LINK–3–UPDOWNinterfaceserial0,changedstatetodown%LINK–3–UPDOWNinterfaceserial1,changedstatetoup%LINEPROTO-5-UPDOWN：lineprotocoloninterfaceethernet0,changedstatetodown%LINEPROTO-5-UPDOWN：lineprotocoloninterfaceethernet1,changedstatetodown%LINEPROTO-5-UPDOWN：lineprotocoloninterfaceserial0,changedstatetodown%LINEPROTO-5-UPDOWN：lineprotocoloninterfaceserial1,changedstatetoup%PARSER-4-BADCFG:Unexpectedendofconfigurationfile.%SYS-5-CONFIG:Configurationfromnetwork-confgbyconsoletftpfrom3%SYS-5-CONFIG:Configurationfromkim-confgbyconsoletftpfrom3%SYS-5-RESTART:Systemrestarted–ciscointernetworkOperatingSystemSoftwareIOS(tm)2500software(C2500-D-L),Version11.2(5),RELEASESOFTWARE(fc1)Copyright(c)1986-1997byciscosystem,Inc.CompiledMon31-Mar-9720:17byckralik%LINK–5–CHANGED:interfaceSerial0,changedstatetoadministrativelydownkim>en!新路由器RouterA的配置kim#shorunBuildingconfiguration…Currentconfiguration:!version11.2noserviceudp-small-serversnoservicetcp–small-servers!hostnamekim!!iphostkimiphosttryiphosttry1!interfaceEthernet0ipaddress!interfaceEthernet1ipaddress!interfaceSerial0noipaddressshutdown!interfaceSerial1ipaddress!noipclasslessiproute!linecon0lineaux0linevty04login!假如线路没有接好，或Autoinstall功能被错误地启动，或错误启动自动下载配置文献功能时，路由器会不断地寻找几个文献。如下：%SYS-5-RELOAD：ReloadrequestedSystemBootstrap.Version11.0(10c)，SOFTWARECopyright(c)1986-1995byciscosystems2500processwith2048Kbytesofmainmemory%SYS-4-CONFIG_NEWER:Configurationsfromversion11.2maynotbecorrectlyunderstood。F3:5173084+61848+255460at0x3000060RestrictedrightslegendUse，duplication,ordisclosurebytheGovernmentissubjecttorestrictionsassetforthinsubparagraph(c)oftheCommercialComputerSoftware-RestrictedRightsclauseatFARsec.52.227-19andsubparagraph(c)(1)(ii)oftheRightsinTechnicalDataandComputerSoftwareclauseatDFARSsec.252.227-7013.ciscoSystems.Inc.170WestTasmanDriveSanjose.California95134-1706CiscoInternetworkOperatingSystemSoftwareIOS(TM)2500Software(c2500-D-L),version11.2(5),RELEASESOFTWARE(fc1)Copyright(c)1986-1997byciscoSystems.Inc.CompiledMon31-Mar-9720:17byckralikImagetest-base:0x0302A734,data-base:0x00001000cisco2509(68030)processor(revisionM)with2048K/2048Kbytesofmemory.ProcesorboardID06900170.withhardwarerevision00000000Bridgingsoftware.X.25software.Version2.0,NET2,BFEandGOSIPcompliant.1Ethernet/IEEE802.3interface(s)2Serialnetworkinterfaces8teminalline(s)32Kbytesofnon-volatileconfigurationmemory.8192KbytesofprocessorboardSystemflash(ReadONLY)Loadingnetwork-confg[timedout]Loadingcisconet.cfg[timedout]Loadingkim-confg[timedout]Loadingkim.cfg[timedout]这时应断掉所有线路，在没有封锁BREAK情况下，重新启动路由器并在WIN95或NT的超级终端下键入CTRL+BREAK键，进入RXBOOT模式，并修改寄存器值到0x42并重新初始化。（此上环节与上面的解决口令丢失的环节同样）可以将原有配置所有删掉。在超级权限状态下writeerase回车并将寄存器值改回到0x2102，并重新启动或在全局设立模式下设立noserviceconfigcofing-register0x2102(疑应为config-register0x2102，但原文如此)之后重新启动。命令行规则：在任何模式下，只要键入的命令行的关键字从左至右所包含的字母能将该命令与其它同一模式下的命令完全区别开来。即可。如：interfaceserial0完全可以写成ints02.在任何模式下，打一个“？”即可以显示所有在该模式下的所有命令。3.假如不会对的拼写某个命令，可以键盘入开始的几个字母，在其后紧跟一个问号，路由器即提醒有什么样的命令与其匹配。4.如不知道命令行后面的参数应为什么，可以在该命令的关键字后空一个格，键盘入“？”，路由器即会提醒你与“？”相应的位置的参数是什么。如:copy?或copyrun?5.要去掉某条配置命令，在原配置命令前加一个no并空一个格，如要去掉前面提到的bootsystemflash，在相同模式下，可以键盘入nobootsystemflash。1.8.常用的命令行快捷编辑键Ctrl+p从最近一次键入的命令开始从后向前按一次Ctrl+p就会显示以前键入的一条命令。Ctrl+b在键入命令时，每按一次Ctrl+b，光标就会回退一格Ctrl+f在键入命令时，每按一次Ctrl+f，光标就会前进一格Ctrl+a在键入命令时，光标会在当前位置进到命令行的第一字母Ctrl+e在键入命令时，光标会在当位置回到命令行的末尾1.9.路由器口令的安全管理通过console端口，AUX端口，或Telnet进入路由器时，通常碰到两个口令1.进入路由器的口令2.从一般用户模式进入超级权限模式的口令进入路由器的口令设立环节在console，AUX，vty端口设立login password字符串多级权限配置缺省条件下，CiscoIOS只有一个超级权限的口令，可以配置CiscoIOS有多达16个级别的权限及其口令。可以设立通过某个级别的口令登录的用户只允许使用某些命令。设立环节：1.设立某条命令属于某个级别，在全局设立模式下 privilege模式level级别命令关键字 注意：CiscoIOS可以定制0-15个级别权限。0-15级别中，数字越大，权限越高，权限高的级别继承低权限的所有命令。2.设立某个级别的口令 enablesecretlevel级别口令 通过多级权限，可以根据管理规定，授予相应的工作以相应的权限。实例：Currentconfiguration:!version11.2servicepassword-encryptionnoserviceudp-small-serversnoservicetcp-small-servers!hostnamekim!enablesecretlevel15$1$i263$yOdAuqsvie8CyULIgGeRM/enablesecretlevel25$1$XvWZ$1rd0j5SjVd3172mBzd16e1enablesecret5$1$m3hv$ahrsOKrkeAXElm.yapgcA/!interfaceEthernet0noipaddressshutdown!interfaceSerial0noipaddressshutdown!interfaceSerial1noipaddressshutdown!interfaceAsync1noipaddress!noipclasslessprivilegeconfigurelevel2lineprivilegeconfigurelevel2iprouteprivilegeconfigurelevel2interfaceprivilegeconfigurelevel2iproutingprivilegeconfigurelevel15ipprivilegeexeclevel2start-chatprivilegeexeclevel2copyrunning-configstartup-configprivilegeexeclevel2copyrunning-configprivilegeexeclevel2copyprivilegeexeclevel2configureterminalprivilegeexeclevel2configureprivilegeexeclevel1showiprouteprivilegeexeclevel1showipprotocolsprivilegeexeclevel1showipprivilegeexeclevel1showstartup-configprivilegeexeclevel1showrunning-configprivilegeexeclevel1showprivilegeexeclevel1debugdialerprivilegeexeclevel1debugpppauthenticationprivilegeexeclevel1debugppperrorprivilegeexeclevel1debugpppnegotiationprivilegeexeclevel1debugppppacketprivilegeexeclevel1debugpppprivilegeexeclevel1debugiproutingprivilegeexeclevel1debugipprivilegeexeclevel1debugmodemprivilegeexeclevel1debug!linecon0line18lineaux0linevty04login!end1.10.检查路由器配置及工作状态的常用命令在超级权限模式下ping目地地址或ping回车，通过提醒进行扩展的ping，通过ping可以检测下三层，即物理层，数据链路层，IP层是否工作正常。trace目地地址可以跟踪数据通过哪一条途径到达目地telnet目地地址可以检测应和层是否工作正常此外，要经常用到以下二个命令，在超级权限模式下，show命令。show命令可以显示配置及许多路由器的参数以及工作状况：其中showrun显示当前正在运营的配置showstart显示当前在NVRAM中的配置showversion显示路由器软件版本，端口信息等showinterface端标语显示相应端口的工作状态及已配置的参数debug命令debug命令可以实时显示路由器的工作情况，缺省状态下，debug信息只能在与console端口连接的终端上显示。如想在远程Telnet方式下看到debug信息，则在超级权限状态下，terminalmonitor2.IP协议配置的基本原则要使Cisco路由器在IP网络中正常工作，一般要遵循一些规则：如图：对于A，B来说，它们互为相邻的路由器，其中A路由器的S０与B路由器的S1为相邻路由器的相邻端口，但A路由器的S1口与B路的器的S1口并不是相邻端口，A与D不是相邻路由器。规则：1、一般地，路由器的物理网络端口通常要有一个IP地址2、相邻路由器的相邻端口IP地址必须在同一IP网络上3、同一路由器的不同端口的IP地址必须在不同IP网段上4、除了相邻路由器的相邻端口外，所有网络中路由器所连接的网段即所有路由器的任何两个非相邻端口都必须不在同一网段上。3.IP协议配置IP协议配置的重要任务1、配置端口IP地址2、配置广域网线路协议3、配置IP地址与物理网络地址如何映射4、配置路由5、其它设立IP协议的重要配置为端口设立一个IP地址，在端口设立状态下ipaddress本端口IP地址子网掩码此外，在同一端口中可以设立两个以上的不同网段的IP地址，这样可以实现连接在同一局域网上不同网段之间的通讯。一般由于一个网段对于用户来说不够用，可以采用这种办法。在端口设立状态下ipaddress本端口IP地址子网掩码secondary注意：假如要实现连在同一路由器端口的不同网段的通讯，必须在端口设立状态下ipredirect一般地，Cisco路由器不允许从同一端口进来的IP包又发回到原端口中，ipredirect表达允许在同一端进入路由器的IP包由原端口发送回去。2、网络中具有0的IP地址如或，强烈建议尽量不要使用这样的IP地址，如要使用这的地址，在全局设立模式下必须设立ipsubnet-zero包过滤配置包过滤功能可以帮助路由器控制数据包在网络中的传输，通过包过滤可以限制网络流量以及增长网络安全性，包过滤功能对路由器自身产生的数据包不起作用，当数据包进入某个端口时，路由器一方面检查是否该数据包可以通过路由或桥接方式送出去。假如不能，则路由器将丢掉该数据包，假如该数据包可以传送出去，则路由器将检查该数据包是否满足该端口中定义的包过滤规则，假如包过滤规则不允许该数据包通过，则路由器将丢掉该数据包。有两种方式的包过滤规则：1、标准包过滤该种包过滤只对数据包中的源地址进行检查2、扩展包过滤该种包过滤对数据包中的源地址，目的地址，协议及端标语进行检查。3.1.包过滤功能配置1、定义标准包过滤规则，在全局配置状态下access-list标记号码deny或permit源地址通配符或在全局配置状态下，定义扩展包过滤规则access-list标记号码deny或permit协议标记源地址通配符目地地址通配符Cisco路由器中access-list规定的标记号码，如表：包过滤类型包过滤类型示识号码范围IP标准扩展99100-199IPX标准SAP800-8991000-1099AppleTalk600-699可以在指定范围内任意选择一个标记号码定义相应的包过滤规则，deny参数表达严禁，pernit表达允许。通配符也为32位二进制数字，并与相应的地址一一相应。路由器将检查与通配符中的“0”（2进制）位置同样的地址位，对于通配符中“1”（2进制）位置一致的地址位，将忽略不检查。一个包过滤规则可以包含一系列检查条件，即可以用同一标记号码定义一系列access-list语句，路由器将从最先定义的条件开始依次检查，如数据包满足某个条件，路由器将不再执行下面的包过滤条件，假如数据包不满足规则中的所有条件，Cisco路由器缺省为严禁该数据包，即丢掉该数据包。2、在需要包过滤功能的端口，引出包过滤规则ipaccess-group包过滤规则标记号in或out其中in表达对进入该端口的数据包进行检查out表达对要从该端口送出的数据包进行检查假如不进行环节2的配置，则所定义的包过滤规则主线不会执行。实例：Currrentconfiguration:!version11.3noservicepassword-encryption!hostname2511-1!enablepasswordcisco!username2505password0cisconoipdomain-lookup!interfaceEthernet0ipaddressipaccess-group101inipsecuritydedicatedconfidentialgensernoipsecurityaddipsecurityimplicit-labelling!interfaceSerial0ipaddressipaccess-group1in!引用标准包过滤规则1，严禁外部的用户采用IP欺骗的方式进入本地局域网ipsecuritydedicatedconfidentialgenserencapsulationframe-relayIETFipospfmessage-digest-key1md5kimnoipmroute-cachebandwidth2023frame-relaymapip100broadcastframe-relaylmi-typecisco!interfaceSeriallipaddressipaccess-group1inipsecuritydedicatedconfidentialgenserencapsulationpppipospfmessage-digest-key1md5kimipospfnetworknon-broadcastbandwidth64pppauthenticationchap!routerospf1passive-interfaceEthernet0network55area0network55area0network55area0neighborpriority1neighborpriority1area0authenticationmessage-digest!noipclasslessaccess-list1deny55access-list1permitany!定义标准包过滤，严禁网段使用IP网络access-list101permitiphost0anyaccess-list101denyicmpanyany!定义扩展包过滤规则只允许0的单机使用ping，其他所有计算机都不允许使用！ping。这台计算机为网管计算机。access-list101denytcpanyhostaccess-list101denytcpanyhostaccess-list101denytcpanyhostaccess-list101permitip55any!linecon0line18lineaux0linevty04passwordciscologin!end4.常见广域网协议配置4.1.CiscoHDLC协议配置ISOHDLC协议由IBMSDLC协议演化过来，ISOHDLC采用SDLC的帧格式，支持同步，全双工操作，ISOGDLC分为物理层及LLC（逻辑链路子层）二层。但CiscoHDLC无LLC层，这意味着CiscoHDLC对上层数据只进行物理帧封装，没有任何应答机制，重传机制，所有的纠错解决由上层协议解决。在Cisco路由器之间用同步专线连接时，采用CiscoHDLC比采用PPP协议效率高得多，但是，假如将Cisco路由器与非Cisco路由器进行同步专线连接时，不能用CiscoHDLC，由于它们不支持CiscoHDLC，可以采用PPP协议。建议：●在DDN专线上，Cisco路由器之间采用CiscoHDLC协议。●Cisco路由器与非Cisco路由器之间采用PPP协议。注意：Cisco2500系列，Cisco1600系列的同步串口，缺省状态下为HDLC封装，同步/异步串口缺省状态为同步工作方式HDLC封装，因此，一般地无需显示封装HDLC。配置环节：在端口配置状态下：封装HDLCencapsulationhdlc配置端口IP地址及掩码ipaddressIP地址子网掩码假如本端口连接的是DCE线缆，则要设同步时钟clockrate时钟频率注意：在实际应用中，Cisco路由器接DDN专线时，同步串口需通过V.35或RS232DTE线缆连接CSU/DSU，则Cisco路由器为DTE，CSU/DSU为DCE，由CSU/DSU提供时钟，因此无须设立同步时钟。假如将二台路由器通过V.35或RS232线缆进行直连时，则必须由连接DCE线缆的一方提供同步时钟，假如路由器为DCE，则必须配置：bandwidth带宽clockrate同步时钟2500系列产品高速同步串口最高可支持到2M，同步/异步串口同步方式下支持128K，异步方式下支持115.2K。申请DDN连接CHINANET的配置CHINANET骨干路由器均为Cisco路由器，当申请DDN上CHINANET时，（即通过CHINANET上Internet)，管理部门会分派给用户一组真正的IP地址，及一个广域口IP地址，一般的，CHINANET上的路由器采用HDLC封装配置环节：进入以太口配置状态，配置以太口地址ipaddressIP地址子网掩码该IP地址是从申请到的一组IP地址中挑选一个进入广域口配置状态，配置广域口封装格式encapsulationhdlc配置广域口IP地址ipaddress广域口IP地址子网掩码配置缺省路由，在全局参数配置状态下iproutescrial端标语或对方路由器相邻端口地址用户可以向管理部门询问与自己的路由器相连的CHINANET路由器端口的IP地址，假如可以PING通，则路由器工作正常。4.2.X.25配置X.25定义了数据通信的电话网络。在通信前一方一方面通过请求通讯进程呼喊另一方，被呼喊方接受或拒绝该呼喊。假如呼喊建立，两个系统可以开始进行全双工数据传输，任何一方都可以在任何时候中断连接。X.25规范定义了DTE与DCE之间的点对点互操作，DTE（及用户X.25DTE终端）连接DCE设备（基带MODEM，互换机等），一般地，Cisco路由器为DTE方，通过V.35或RS232线缆与DCE（基带MODEM）相连。X.25协议涉及了OSI模型的1-3层的功能，X.25第3层描述了X.25数据包格式入在对等第三层通讯实体间的数据包互换过程。X.25第二层为LAPB层，LAPB层定义了DTE/DCE连接时的帧格式，X.25第一层定义了物理接口的电气特性及物理特性。DTE之间端对端的通信（在这里，指Cisco路由器之间的通信）通过虚电路建立，虚电路可分为PVC（永入虚电路）和SVC（临时虚电路），PVC通常用于经常有大量数据传输的场合，SVC通常用于有间断数据传输的场合。X.25的地址，（却X.121地址）最大可认为14位10进制数。X.121地址在SVC进行呼喊建立时才用到当虚电路建立后，只通过逻辑通道标记符，标记远端DTE设备。第三层X.25用三种虚电路操作过程：呼喊建立过程数据传输过程呼喊连接清除过程对于PVC只有数据传输过程，由于PVC就如同DDN专线同样，一旦建立，就会永入保持该虚电路连接。对于SVC，包含以上所有三个过程。以上只是简要介绍一下X.25协议，总之，X.25协议是一种纠错能力很强的同步传输协议，一般最高带宽为640和156K两种，国内采用64K的最高带宽。X.25的配置在端口配置状态下封装X.25encapsulationX.25{dce}假如两台Cisco路由器通过V.35或RS232线缆直连时，进行X.25的配置时，其中连接DCE线缆一方要encapsulationX.25dce的配置。且该路由器要提供同步时钟bandwith带宽clockrate同步时钟设立申请到的本端口的X.121地址X.25address本端X.121地址将需要通信的对方的路由器或其它X.25设备的IP地址进行映射。X.25mapip对方路由器或其它X.25设备的IP地址对方X.121地址{broadcast}broadcast参数表达在X.25虚电路中可以传送路由广播信息，原则上,可以根据需要，进行多个映射。X.25htc申请的X.25的最大的双向虚电路编号国内的X.25可以按带宽申请，其中最高可申请64K，每个X.25线路可以最多同时有16个虚电路，编号为1-16，因此，该处配置一般为X.25htc16。缺省情况下，Cisco路由器的最低的双向虚电路号为1。X.25nvc进行一次X.25连接时可以同时建立的虚电路数。其中，该参数最大为8，且要为2的倍数。X.25idle分钟数当申请的线路为SVC时，该配置表达假如在指定的分钟数内没有任何数据传输（涉及动态路由数据），路由器将清除该X.25连接。注意：国内的X.25SVC按照两种办法进行收费涉及： 按数据流量； 按SVC连接时间因此假如采用静态路由，设立适当的分种数，比较节省费用，Cisco2500、1600系列路由器缺省状态下，idle参数为0，表达一旦建立X.25连接后，就永远不清除该连接。本端口IP地址ipaddress本端口IP地址子网掩码一般的，对于X.25配置以上参数既可，在某些情况下，X.25无法建立通讯，需要和电信管理部门协商，调整路由器X.25其它参数及LAPB层参数与其一致，可以通过showinterface命令看到端口X.25LAPB的参数。4.3.帧中继（FrameRelay）配置帧中继设立中可分为DCE端和DTE设立，在实际应用中，Cisco路由器为DTE端，通过V.35线缆连接CSU/DSU，假如将两个路由器通过V.35线缆直连，连接V.35DCE线缆的路由器充当DCE的角色，并且需要提供同步时钟。DTE端配置在端口配置中，封装帧中继encapsulationframe-relayIETFCisco路由器缺省为帧中继数据包封装格式为IETF，可以不用显示设立，此外，国内帧中继线路一般为IETF格式的封装，假如不同，请与本地电信管理部门联系，采用其它装格式。设立LMI信令格式frame-relaylmi-typeCiscoCisco路由器缺勤省的LMI信令格式为Cisco，可以不用设立，国内帧中继线路一般采用Cisco的LMI信令格式。假如不同，请与本地电信管理部门联系，采用相应的LMI信令格式。映射IP地址与帧中继地址frame-relaymapip对方路由器的IP地址本端口的帧中继号码{broadcast}broadcast参数表达允许在帧中继线路上传送路由广播信息本端口IP地址ipaddress本端口IP地址子网掩码充当DCE端的路由器设立在全局配置状态下，打开帧中继互换frame-relayswitching在端口设立状态下，封装帧中继encapsulationframe-relayIETF设立本端口在帧中继线路中充当DCEframe-relayintf-typeDCE映射IP地址及帧中继地址frame-relaymapip对方路由器的IP地址本端口帧中继号码{broadcast}设立带宽bandwith带宽单位为K设立同步时钟clockrate同步时钟本端口IP地址ipaddress本端口IP地址子网掩码注意：假如通过直连方式将两路由器连接起来，则两路由器的帧中继地址必须一致，地址可以随意设立。在实际应用中，申请的帧中继地址只有本地意义，两边进行通讯的路由器的帧中继地址可以不同。4.4.PPP协议设立DTE端设立环节1. 在没有用户验证的情况下，在端口设立状态下，封装PPP协议encapsulationppp设立本端口IP地址ipaddress本端口IP地址子网掩码去掉用户验证nopppauthCisco2500及1600系列的同步端口或同步/异步端口在封装PPP协议时，缺少为没有用户验证，无需此项设立。2. 有用户验证的情况下在全局设立模式下设立本路由器的名字hostname本路由器的名字在全局设立模式下，登记对方的路由器username对方路由器的名字password口令注意：两边路由器的口令必须一致。在端口设立状态下，封装PPPencapsulationppp设立PPP用户验证协议PPPautherchap或pap建议：建议使用chap，比较安全，假如一端用了用户验证协议，另一方必须也使用相同的用户验证协议。本端口IP地址ipaddress本端口IP地址子网掩码可以将两个路由器能过V.35或RS232线缆直接连接。连接DCE线缆的路由器必须提供同步时钟及带宽。其它方面与DTE的配置完全同样。5.IP路由协议配置Cisco路由器上可以配置三种路由1. 静态路由2. 动态路由3. 缺省路由一般地，路由器查找路由的顺序为静态路由，动态路由，假如以上路由表中都没有合适的路由，则通过缺省路由将数据包传输出去，可以综合使用三种路由。5.1.静态路由配置在全局设立模式下iproute目地子网地址子网掩码相邻路由器相邻端口地址或者本地物理端标语5.2.缺省路由配置在全局设立模式下iproute0.0.0相邻路由器的相邻端口地址或本地物理端标语5.3.IGRP路由协议基本配置1. 启动IGRP路由协议，在全局设立模式下，routerigrp自治域号同一自治域内的路由器才干互换路由信息2. 本路由器参与动态路由的子网network子网号IGRP只是将由network指定的子网在各端口中进行传送以互换路由信息，假如不指定子网，则路由器不会将该子网广播给其它路由器3. 指定某路由器所知的IGRP路由信息广播给那些与其相邻接的路由器neighbor邻接路由器的相邻端口IP地址IGRP是一个广播型协议，为了使IGRP路由信息能在非广播型网络中传输，必须使用该设立，以允许路由器间在非广播型网络中互换路由信息，广播型网络如以太网无须设立此项。以上为IGRP的基本设立，通过该设立，路由器已能完全通过IGRP进行路由信息互换其他设立。4. 不允许某个端口发送IGRP路由信息passive-interface端标语一般地，在以太网上只有一台路由器时，IGRP广播没有任何意义，且浪费带宽，完全可以将其过滤掉。5. 负载平衡设立IGRP可以在两个进行IP通信的设备间同时启用四条线路，且任何一条途径断掉都不会影响其它途径的传输。当两条途径或多条途径的metric相同或在一定的范围内，就可以启动平衡功能。1.设立是否使用负载平衡功能traffic-sharebalanced或minbalanced表达启用负载平衡min表达不启用负载平衡,只走最优途径。2.设立途径间的metric相差多大时，可以在途径间启用负载平衡variancemetric差值缺省值为1，表达只有两条途径metric相同时才干在两条途径上启用负载平衡。实例：2511－1的设立Currentconfiguration：！version11.3noservicepassword-encryption!hostname2511-1!enablepasswordcisco!!interfaceEthernet0ipaddress!interfaceSerial0ipaddressencapsulationframe-relayIETFnoipmroute-cachebandwidth2023frame-relaymapip100broadcastframe-relaylmi-typecisco!interfaceSerial1ipaddressencapsulationpppbandwidth64!routerigrp10passive-interfaceEthernet0networknetwor