第 8章 路由器的配置
8.1 路由器的配置方式
8.2 配置 PPP及其认证
8.3 配置静态路由
8.4 配置 RIP
8.5 配置 IP访问列表
8.6 配置网络地址转换
(实训项目在实训时完成 )
补充,路由器的硬件与软件
保存开机诊断程
序,执行加电检
测 (同 PC机的
POST)。 ROM中
还保存有引导程
序和最小的操作
系统软件
是路由器的工作
存储区,存储活
动的配置文件
(running-
config)、网络
映射表和路由地
址列表,还能用
来保存路由表,
进行报文缓存等,
补充,路由器的硬件与软件
是一种可擦写的,
可编程类型的 ROM。
负责保存( IOS)
的映像 (image)和
路由器的微码
(microcode)。
Flash Memory还能
通过使用简单文件
传输协议 (TFTP)将
IOS的映像备份到
计算机上。
在路由器关电时,仍
保持其内容。所以用
其来存储备份 /配置文
件 (startup-config)。
使路由器在电源故障
时可以快速地恢复。
使用 NVRAM后,路由器
就不再需要磁盘来保
存其配置文件了。
补充,路由器的硬件与软件
是报文进出路由器的连接装
置。每一个 I/ O端口都连到
一个特定介质转换器
( MSC— Media-
SpecificConverter)上,
MSC提供物理接口到特定类
型介质的连接。
补充,路由器的启动过程
setup
8.1 路 由器的配置方式
Console
Aux
任何 Interface
Telnet
TFTP
1,RJ-45 to DB-9转换器
2,翻转线
3,PC超级终端程序
4,PC com口的配置,
8.1.1 通过带外对路由器进行管理
SETUP交互配置模式
1,路由器加电正常启动进入用户模式:
提示符, Red-Giant>”。
2,如果是路由器出厂后第一次启动或者使用
了, write erase”指令后再次启动,则路
由器自动进入 Setup智能配置,以交互式
提示用户配置路由器最初启动所需要的参
数。
3,也可以在特权用户模式下,随时键入
setup进入交互式配置模式。
1.用户模式 [主机名 >]:可以执行 EXEC命令的一部分
Red-Giant>
2.特权模式 [主机名 #]:可以执行全部的 EXEC命令
Red-Giant#
?进入特权模式
Red-Giant>enable
Red-Giant #
?返回用户模式
Red-Giant#disable
Red-Giant>
8.1.2路由器的常见命令模式,EXEC模式
3.全局配置 模式 [主机名( config)#]
?进入全局配置模式下
Red-Giant#configure terminal
Red-Giant(config) #
?返回特权模式
Red-Giant(config)#exit
Red-Giant#
路由器的操作模式,EXEC模式
4.进入线路配置模式
Red-Giant(config)#line console 0
Red-Giant(config-line)#exit
Red-Giant(config)#
5.进入接口配置模式
Red-Giant(config)#interface serial 0
Red-Giant(config-if)#exit
Red-Giant(config)#
路由器的操作模式,配置模式
6,进入路由配置模式(如 RIP)
Red-Giant(config)#router rip
Red-Giant(config-router)#exit
Red-Giant(config)#
7.进入子接口配置模式
Red-Giant(config)#interface serial 0.1
Red-Giant(config-subif)#exit
Red-Giant(config)#
路由器的操作模式,配置模式
从子模式下直接返回特权模式
Red-Giant(config-if)#end
Red-Giant#
路由器的操作模式,配置模式
1.Red-Giant #help 显示简短的系统帮助描述信息
2.在每种操作模式下直接输入,?” 显示该模式下所
有的命令
3.命令空格,?” 显示命令参数并对其解释说明
4.字符,?” 显示以该字符开头的命令
5.命令历史缓存,
(Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令
RGNOS的操作帮助特点
1,显示路由器硬件及软件的信息
Red-Giant#show version
2,显示当前运行的配置参数
Red-Giant#show running-config
3,显示 NVRAM中配置参数的副本
Red-Giant#show startup-config
4,查看端口信息
Red-Giant#show interface type number
5,查看路由信息
Red-Giant#show ip route
6,显示接口的摘要信息
Red-Giant# show ip interface brief
常用路由器显示命令
1 登录远程主机
telnet hostname/ip address
2 侦测网络的连通性
ping hostname/ip address
3 跟踪远程主机的路径信息
traceroute hostname/ip address
常用路由控制命令
1,hostname name设置路由器名
2,enable secret/password password 设置特权密
码
3,ip routing 启用 ip路由
4,interface type number 端口设置
5,no shutdown 激活端口
6,ip address address subnet-mask 设置 ip地址
7,line type number 物理线路设置
8,login 启动登录进程
9,password password 设置登录密码
路由基本设置命令
1,将当前运行的配置参数复制到 NVRAM
Red-Giant#copy running-config startup-config
Building configuration...
[OK]
Red-Giant#
2,清空 NVRAM中的配置参数
Red-Giant#erase startup-config
[OK]
Red-Giant#
3,路由器重新启动
Red-Giant#reload
Proceed with reload? [confirm]
常用路由器命令
Red-Giant(config)#hostname labr1
配置路由器的主机名
配置远程登陆( TELNET)密码
labr1(config)#line vty 0 4
labr1(config-line)#login
labr1(config-line)#password 123
配置路由器口令
配置特权密码
labr1(config)#enable password 123
labr1(config)#enable secret 123
配置路由器口令
配置接口 IP地址
labr1(config-if)#ip address {IP address} {IP
subnet mask}
将接口启用
labr1(config-if)#no shutdown
将接口关闭
labr1(config-if)#shutdown
路由器接口配置命令
labr1#show interfaces fastEthernet 0
FastEthernet0 is up,line protocol is up
(表示物理层协议工作正常 ) (表示数据链路层协议工作正常 )
FastEthernet0 is up,line protocol is down
(表示物理层协议工作正常 ) (表示数据链路层协议工作不正常 )
FastEthernet0 is down,line protocol is down
(表示物理层协议工作不正常 )
FastEthernet1 is administratively down,line protocol is
down
(表示从管理上将该接口处于关闭状态 )
路由器接口显示命令含义
路由器 命令行自动补齐功能
如果您忘记了一个完整的命令,或者希望可以减
少输入的字符的数量,可以采用命令行自动补齐功能,
你只需要输入少量的字符,然后按 <Tab>,或者按
<Ctrl+I>键,由 RGNOS自动补齐成为完整的命令,当然
必要条件是输入的少量字符,已经可以确定一个唯一
的命令了。
比如在特权用户层, 您只需要输入 conf,然后按 <Tab>
或者 <Ctrl+I>,则由 RGNOS自动为您补齐成为完整的
configure命令 。
Red-Giant#conf<Tab>
Red-Giant#configure
路由器 命令行错误提示信息
% Invalid input detected at ‘^’ marker.
输入的命令有错误,错误的地方在 ^指明的位置。
% Incomplete command.
命令输入不完整 。
% Ambiguous command,"command"
确以 command开头的指令有多个, 指令输入不够明确 。
将配置参数上传到 TFTP服务器
labr1#copy running-config tftp
从 TFTP服务器上下载配置参数
labr1#copy tftp running-config
路由器 TFTP命令
8.1.6 实训 路由器的基本配置
R o u te r A
PC
N I C C o m
F 0 / 1 C o n s o l e
1 9 2, 1 6 8, 0, 1 3 8
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
1,配置接口 PPP封装
Red-Giant(config-if)#encapsulation ppp
2,配置 PPP CHAP被验证方
( 1) Red-Giant(config-if)#ppp chap hostname hostnmae
指定 PPP CHAP验证的主机名
( 2) Red-Giant(config-if)#ppp chap password {0|7} password
指定 PPP CHAP验证的密码
如果知道验证方 PPP CHAP所用的主机名, ( 2) 也可换为:
( 2) Red-Giant(config)#username username password {0|7} password
为验证方主机名创建用户数据库记录, 两端密码要保持一致
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
3 配置 PPP CHAP验证方
( 1) Red-Giant(config-if)#ppp authentication chap [callin ]
启动 PPP验证,并指定 PPP CHAP验证方式方式
( 2) Red-Giant(config-if)#no ppp authentication chap
取消 PPP CHAP验证
( 3) Red-Giant(config)#username username password {0|7}
password
创建用户数据库记录
作为验证方,在用户数据库中需要设置好各个用户名
和相应的密码,而用户名即是对方路由器(被验证方)的
PPP主机名。
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
4 配置 PPP PAP被验证方
( 1) Red-Giant(config-if)#ppp pap sent-username username
password {0|7} password
指定 PPP PAP验证的用户名和密码
( 2) no ppp pap sent-username
取消 PPP的 PAP验证的设定
5,配置 PPP PAP验证方
( 1) Red-Giant(config-if)#ppp authentication pap [callin]
设定 PPP的 PAP验证方
( 2) Red-Giant(config)#username username password {0|7}
password
创建用户数据库记录
8.2.2 实训 PPP CHAP认证
8.3.2 实训 配置静态路由
8.4 配置 RIP
?创建 RIP路由进程
1 Router(config)#router rip
创建 RIP路由进程
2 Router(config-router)#network network-number
定义关联网络
说明,Network命令定义的关联网络有两层意思:
1) RIP只对外通告关联网络的路由信息
2) RIP只向关联网络所属接口通告路由信息
8.4 配置 RIP
?定义 RIP版本
RIP分为版本 1和版本 2,RIPv2可以支持认证,
密钥管理, 路由汇聚, CIDR和 VLSMs。
缺省情况下, RGNOS可以接收 RIPv1和 RIPv2的数据
包, 但是只发送 RIPv1的数据包 。 你可以通过配置,
只接收和发送 RIPv1的数据包, 也可以只接收和发送
RIPv2的数据包 。
定义 RIP版本
Router(config-router)# version {1 | 2}
8.4 配置 RIP
?配置 RIP Version 1路由协议
假设校园网通过一台路由器 Router1连接到
校园外的另一台路由器 Router2上,现要在路
由器上做适当配置,实现校园网内部主机与
校园网外部主机的相互通信。
R o u te r 1P C 1 P C 2R o u te r 2
1 7 2, 1 6, 1, 0 / 2 4
1 7 2, 1 6, 2, 0 / 2 4 1 7 2, 1 6, 3, 0 / 2 4
.11,1
.1,2
.2,22
F0
F0
S0
S0
8.4.2 实训 配置 RIP Version 1路由协议
8.4 配置 RIP
?小结
1 在串口上配置时钟频率时,一定要在电缆
DCE端的路由器上配置,否则链路不通;
2 定义关联网络时,命令 network后面必须是
与该路由器直连的主类网络地址。
8.5 配置 IP访问列表
?访问控制列表 ACL( Access Control List)
?在路由器、三层交换机上进行网络安全属
性配置,可以实现对进入到路由器、三层
交换机的输入数据流进行过滤
8.5.2 ACL的类型
1,IP标准访问控制列表( Standard IP ACL)
2,IP扩展访问控制列表( Extended IP ACL)
? 主要动作为允许( Permit)和禁止( Deny)
? 主要应用方法是入栈( In )和出栈( Out)
? ACL命令中的反掩码
反掩码与子网掩码算法相似, 但写法不同, 区别是:反
掩码中, 0表示需要比较, 1表示不需要比较 。
对于,0.0.0.255 只比较前 24位
0.0.3.255 只比较前 22位
0.255.255.255 只比较前 8位
IP标准访问控制列表
1 Standard IP ACL
Access-list listnumber { permit |
deny } address [ wildcard–mask ]
? 其中,listnumber是规则序号, 标准访问控制
列表 ( Standard IP ACL) 的规则序号范围是 1-
99;
? Permit和 deny 表示允许或禁止满足该规
则的数据包通过; Address 是源地址 IP;
wildcard – mask是源地址 IP的通配比较
位, 也称反掩码 。
IP标准访问控制列表
例如:
( config) #access-list 1 permit 172.16.0.0
0.0.255.255
( config) #access-list 2 deny 0.0.0.0
255.255.255.255
源地址
TCP/UDP 数据IP
IP扩展访问控制列表
2 Extended IP ACL
Access-list listnumber { permit | deny }
protocol source source- wildcard–mask
destination destination-wildcard–mask
[ operator operand ]
? 其中:扩展访问控制列表( Standard IP ACL)
的规则序号范围是 100-199; protocol是指定的
协议,如 IP,TCP,UDP等; destination 是目
的地址 ; destination-wildcard-mask 是目的
地址的反掩码; operator 和 operand用于指定
端口范围,缺省为全部端口号 0-65535,只有
TCP和 UDP协议需要指定的端口范围。
扩展访问控制列表
目的地址
源地址
协议
端口号
数据TCP/UDPIP
入栈( In)应用和出栈( Out)应用
?两个应用是相对于设备的某一端口而言
?当要对从设备外的数据经端口流入设备时
做访问控制,就是入栈( in )应用
?当要对从设备内的数据经端口流出设备时
做访问控制,就是出栈( out )应用
8.5.3 命名的访问控制列表
? 在三层交换机上配置命名的 ACL。
可以采用三个步骤进行,
1,创建 ACL,
2,接口上应用 ACL,
3,查看 ACL
1 创建 Standard IP ACLs
步骤 1 configure terminal 进入全局配置模式
步骤 2 ip access-list standard { name}
用数字或名字来定义一条 Standard IP ACL并进入 access-list配置模式。
步骤 3 deny {source source-wildcard|host
source|any} or permit {source source-
wildcard|host source|any}
?在 access-list配置模式,申明一个或多个允许通过( permit)或
丢弃( deny)的条件以用于交换机决定报文是转发还是丢弃。
?host source代表一台源主机,其 source-wildcard为 0.0.0.0。
?any代表任意主机,即 source为 0.0.0.0,source-wild为
255.255.255.255
1 创建 Standard IP ACLs实例
Switch ( config) # ip access-list standard
deny-host 192.168.l2.x
Switch ( config-std-nacl) # deny 192.168.12.0
0.0.0.255
Switch ( config-std-nacl) # permit any
Switch ( config-std-nacl) # end
Switch # show access-list
2 创建 Extended IP ACLs
步骤 1 configure terminal 进入全局配置模式
步骤 2 ip access-list extended { name}
? 用数字或名字来定义一条 Extended IP ACL并进入
access-list配置模式
步骤 3 {deny|permit} protocol {source
source-wildcard |host source|
any}[operator port] {destination
destination-wildcard |host destination
|any}[operator port]
?在 access-list配置模式,申明一个或多个允许通过
( permit)或丢弃( deny)的条件以用于交换机决定匹配
条件的报文是转发还是丢弃。
2 创建 Extended IP ACLs
?定义 TCP或 UDP的目的或源端口的规则
?操作符( opeator)只能为 eq
?如果操作符在 source source-wildcard之后,则报文的源
端口匹配指定值时条件生效
?如果操作符在 destination destination-wildcard之后,
则报文的目的端口匹配指定值时条件生效
?Port为十进制值,它代表 TCP或 UDP的端口号。值范围为 0-
65535
?protocol可以为
? tcp:指明为 tcp数据流
? udp:指明为 udp数据流
? ip,指明为任意 ip数据流
2 创建 Extended IP ACLs实例
Switch ( config) # ip access-list extended
allow_0xc0a800_to_172.168.12.3
Switch ( config-std-nacl) # permit tcp
192.168.0.0 0.0.255.255 host 172.168.12.3
eq www
Switch ( config-std-nacl) #end
Switch # show access-lists
3 将命名 ip 访问列表应用到指定接口上
步骤 1 configure terminal 进入全局配置模式
步骤 2 interface interface-id
指定一个接口并进入接口配置模式
步骤 3 ip access-group {name} {in|out}
将指定的 ACL应用于该接口上,使其对输入或输出该接
口的数据流进行接入控制
?下例显示如何将 access-list deny_unknow_device
应用于 VLAN接口 2上:
Switch( config) # interface vlan 2
Switch( config-if) # ip access-group deny_unknow_device in
8.5.4 显示 ACLs配置
?show access-lists [name]
?显示所有配置或指定名字的 ACLs
?show ip access-lists [name]
?显示 IP ACLs
?Show ip access-group [interface
interface-id]
?显示指定接口上的 IP ACLs配置
?show running-config
?显示所有配置
8.5.5 实训 编号的标准 IP访问列表
? 你是一个公司的网络管理员,公司的经理部、财务部门和
销售部门分属不同的三个网段,三部门之间用路由器进行
信息传递,为了安全起见,公司领导要求销售部门不能对
财务部门进行访问,但经理部可以对财务部门进行访问。
8.5.6 实训 命名的扩展 IP访问列表
? 你是学校的网络管理员,在 3550-24交换机上连着学校的
提供 WWW和 FTP的服务器,另外还连接着学生宿舍楼和教工
宿舍楼,学校规定学生只能对服务器进行 FTP访问,不能
进行 WWW访问,教工则没有此限制。
VLAN 10
192.168.10.0
VLAN 30
192.168.30.0
VLAN 20
192.168.20.0
8.6 配置网络地址转换
8.6.1 内部源地址 NAT配置
第一步 Red-Giant(config)#ip nat inside source static local-address global-
address
定义内部源地址静态转换关系
第二步 Red-Giant(config)# interface interface-type interface-number
进入接口配置模式
第三步 Red-Giant(config-if)#ip nat inside
定义该接口连接内部网络
第四步 Red-Giant(config)# interface interface-type interface-number
进入接口配置模式
第五步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
以上配置为最简单配置,你可以配置多个 Inside和 Outside
接口
8.6.2 动态 NAT配置
第一步 Red-Giant(config)#ip nat pool address-pool
start-address end-address {netmask mask | prefix-
length prefix-length} 定义全局 IP地址池
第二步 Red-Giant(config)#access-list access-list-
number permit ip-address wildcard
定义访问列表,只有匹配该列表的地址才转换
第三步 Red-Giant(config)#ip nat inside sourcelist
access-list-number pool address-pool 定义内部源
地址动态转换关系
第四步 Red-Giant(config)# interface interface-type
interfacenumber 进入接口配置模式
8.6.2 动态 NAT配置
第五步 Red-Giant(config-if)#ip nat inside
定义接口连接内部网络
第六步 Red-Giant(config)# interface interface-type
interface-number 进入接口配置模式
第七步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.3 静态 NAPT
第一步 Red-Giant(config)#ip nat inside source
static {UDP | TCP} local-address port global-
address port 定义内部源地址静态转换关系
第二步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第三步 Red-Giant(config-if)#ip nat inside
定义该接口连接内部网络
第四步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第五步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.4 动态 NAPT
第一步 Red-Giant(config)#ip nat pool address-
pool start-address end-address {netmask mask |
prefix-length prefix-length} 定义全局 IP地址池,
对于 NAPT,一般就定义一个 IP地址
第二步 Red-Giant(config)#access-list access-
list-number permit ip-address wildcard 定义访问列
表, 只有匹配该列表的地址才转换
第三步 Red-Giant(config)#ip nat inside source
list access-list-number {[ pool address-pool] |
[interface interface-type interface-number]}
overload 定义源地址动态转换关系
8.6.4 动态 NAPT
第四步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第五步 Red-Giant(config-if)#ip nat inside 定义
接口连接内部网络
第六步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第七步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.5 实训,静态内部源地址转换 NAT
你是某公司的网络管理员,内部网络有 FTP服
务器可以为外部用户提供的服务,服务器的 IP地
址必须采用静态地址转换,以便外部用户可以使
用这些服务。
8.6.6 实训 复用内部全局地址转换 NAPT
实训内容
?你是某公司的网络管理员,公司只向 ISP申
请了一个公网 IP地址,希望全公司的主机
都能访问外网,请你实现。
8.1 路由器的配置方式
8.2 配置 PPP及其认证
8.3 配置静态路由
8.4 配置 RIP
8.5 配置 IP访问列表
8.6 配置网络地址转换
(实训项目在实训时完成 )
补充,路由器的硬件与软件
保存开机诊断程
序,执行加电检
测 (同 PC机的
POST)。 ROM中
还保存有引导程
序和最小的操作
系统软件
是路由器的工作
存储区,存储活
动的配置文件
(running-
config)、网络
映射表和路由地
址列表,还能用
来保存路由表,
进行报文缓存等,
补充,路由器的硬件与软件
是一种可擦写的,
可编程类型的 ROM。
负责保存( IOS)
的映像 (image)和
路由器的微码
(microcode)。
Flash Memory还能
通过使用简单文件
传输协议 (TFTP)将
IOS的映像备份到
计算机上。
在路由器关电时,仍
保持其内容。所以用
其来存储备份 /配置文
件 (startup-config)。
使路由器在电源故障
时可以快速地恢复。
使用 NVRAM后,路由器
就不再需要磁盘来保
存其配置文件了。
补充,路由器的硬件与软件
是报文进出路由器的连接装
置。每一个 I/ O端口都连到
一个特定介质转换器
( MSC— Media-
SpecificConverter)上,
MSC提供物理接口到特定类
型介质的连接。
补充,路由器的启动过程
setup
8.1 路 由器的配置方式
Console
Aux
任何 Interface
Telnet
TFTP
1,RJ-45 to DB-9转换器
2,翻转线
3,PC超级终端程序
4,PC com口的配置,
8.1.1 通过带外对路由器进行管理
SETUP交互配置模式
1,路由器加电正常启动进入用户模式:
提示符, Red-Giant>”。
2,如果是路由器出厂后第一次启动或者使用
了, write erase”指令后再次启动,则路
由器自动进入 Setup智能配置,以交互式
提示用户配置路由器最初启动所需要的参
数。
3,也可以在特权用户模式下,随时键入
setup进入交互式配置模式。
1.用户模式 [主机名 >]:可以执行 EXEC命令的一部分
Red-Giant>
2.特权模式 [主机名 #]:可以执行全部的 EXEC命令
Red-Giant#
?进入特权模式
Red-Giant>enable
Red-Giant #
?返回用户模式
Red-Giant#disable
Red-Giant>
8.1.2路由器的常见命令模式,EXEC模式
3.全局配置 模式 [主机名( config)#]
?进入全局配置模式下
Red-Giant#configure terminal
Red-Giant(config) #
?返回特权模式
Red-Giant(config)#exit
Red-Giant#
路由器的操作模式,EXEC模式
4.进入线路配置模式
Red-Giant(config)#line console 0
Red-Giant(config-line)#exit
Red-Giant(config)#
5.进入接口配置模式
Red-Giant(config)#interface serial 0
Red-Giant(config-if)#exit
Red-Giant(config)#
路由器的操作模式,配置模式
6,进入路由配置模式(如 RIP)
Red-Giant(config)#router rip
Red-Giant(config-router)#exit
Red-Giant(config)#
7.进入子接口配置模式
Red-Giant(config)#interface serial 0.1
Red-Giant(config-subif)#exit
Red-Giant(config)#
路由器的操作模式,配置模式
从子模式下直接返回特权模式
Red-Giant(config-if)#end
Red-Giant#
路由器的操作模式,配置模式
1.Red-Giant #help 显示简短的系统帮助描述信息
2.在每种操作模式下直接输入,?” 显示该模式下所
有的命令
3.命令空格,?” 显示命令参数并对其解释说明
4.字符,?” 显示以该字符开头的命令
5.命令历史缓存,
(Ctrl+P)显示上一条命令,(Ctrl+N)显示下一条命令
RGNOS的操作帮助特点
1,显示路由器硬件及软件的信息
Red-Giant#show version
2,显示当前运行的配置参数
Red-Giant#show running-config
3,显示 NVRAM中配置参数的副本
Red-Giant#show startup-config
4,查看端口信息
Red-Giant#show interface type number
5,查看路由信息
Red-Giant#show ip route
6,显示接口的摘要信息
Red-Giant# show ip interface brief
常用路由器显示命令
1 登录远程主机
telnet hostname/ip address
2 侦测网络的连通性
ping hostname/ip address
3 跟踪远程主机的路径信息
traceroute hostname/ip address
常用路由控制命令
1,hostname name设置路由器名
2,enable secret/password password 设置特权密
码
3,ip routing 启用 ip路由
4,interface type number 端口设置
5,no shutdown 激活端口
6,ip address address subnet-mask 设置 ip地址
7,line type number 物理线路设置
8,login 启动登录进程
9,password password 设置登录密码
路由基本设置命令
1,将当前运行的配置参数复制到 NVRAM
Red-Giant#copy running-config startup-config
Building configuration...
[OK]
Red-Giant#
2,清空 NVRAM中的配置参数
Red-Giant#erase startup-config
[OK]
Red-Giant#
3,路由器重新启动
Red-Giant#reload
Proceed with reload? [confirm]
常用路由器命令
Red-Giant(config)#hostname labr1
配置路由器的主机名
配置远程登陆( TELNET)密码
labr1(config)#line vty 0 4
labr1(config-line)#login
labr1(config-line)#password 123
配置路由器口令
配置特权密码
labr1(config)#enable password 123
labr1(config)#enable secret 123
配置路由器口令
配置接口 IP地址
labr1(config-if)#ip address {IP address} {IP
subnet mask}
将接口启用
labr1(config-if)#no shutdown
将接口关闭
labr1(config-if)#shutdown
路由器接口配置命令
labr1#show interfaces fastEthernet 0
FastEthernet0 is up,line protocol is up
(表示物理层协议工作正常 ) (表示数据链路层协议工作正常 )
FastEthernet0 is up,line protocol is down
(表示物理层协议工作正常 ) (表示数据链路层协议工作不正常 )
FastEthernet0 is down,line protocol is down
(表示物理层协议工作不正常 )
FastEthernet1 is administratively down,line protocol is
down
(表示从管理上将该接口处于关闭状态 )
路由器接口显示命令含义
路由器 命令行自动补齐功能
如果您忘记了一个完整的命令,或者希望可以减
少输入的字符的数量,可以采用命令行自动补齐功能,
你只需要输入少量的字符,然后按 <Tab>,或者按
<Ctrl+I>键,由 RGNOS自动补齐成为完整的命令,当然
必要条件是输入的少量字符,已经可以确定一个唯一
的命令了。
比如在特权用户层, 您只需要输入 conf,然后按 <Tab>
或者 <Ctrl+I>,则由 RGNOS自动为您补齐成为完整的
configure命令 。
Red-Giant#conf<Tab>
Red-Giant#configure
路由器 命令行错误提示信息
% Invalid input detected at ‘^’ marker.
输入的命令有错误,错误的地方在 ^指明的位置。
% Incomplete command.
命令输入不完整 。
% Ambiguous command,"command"
确以 command开头的指令有多个, 指令输入不够明确 。
将配置参数上传到 TFTP服务器
labr1#copy running-config tftp
从 TFTP服务器上下载配置参数
labr1#copy tftp running-config
路由器 TFTP命令
8.1.6 实训 路由器的基本配置
R o u te r A
PC
N I C C o m
F 0 / 1 C o n s o l e
1 9 2, 1 6 8, 0, 1 3 8
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
1,配置接口 PPP封装
Red-Giant(config-if)#encapsulation ppp
2,配置 PPP CHAP被验证方
( 1) Red-Giant(config-if)#ppp chap hostname hostnmae
指定 PPP CHAP验证的主机名
( 2) Red-Giant(config-if)#ppp chap password {0|7} password
指定 PPP CHAP验证的密码
如果知道验证方 PPP CHAP所用的主机名, ( 2) 也可换为:
( 2) Red-Giant(config)#username username password {0|7} password
为验证方主机名创建用户数据库记录, 两端密码要保持一致
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
3 配置 PPP CHAP验证方
( 1) Red-Giant(config-if)#ppp authentication chap [callin ]
启动 PPP验证,并指定 PPP CHAP验证方式方式
( 2) Red-Giant(config-if)#no ppp authentication chap
取消 PPP CHAP验证
( 3) Red-Giant(config)#username username password {0|7}
password
创建用户数据库记录
作为验证方,在用户数据库中需要设置好各个用户名
和相应的密码,而用户名即是对方路由器(被验证方)的
PPP主机名。
8.2 配置点对点协议 PPP及其认证
8.2.1 配置 PPP及其认证
4 配置 PPP PAP被验证方
( 1) Red-Giant(config-if)#ppp pap sent-username username
password {0|7} password
指定 PPP PAP验证的用户名和密码
( 2) no ppp pap sent-username
取消 PPP的 PAP验证的设定
5,配置 PPP PAP验证方
( 1) Red-Giant(config-if)#ppp authentication pap [callin]
设定 PPP的 PAP验证方
( 2) Red-Giant(config)#username username password {0|7}
password
创建用户数据库记录
8.2.2 实训 PPP CHAP认证
8.3.2 实训 配置静态路由
8.4 配置 RIP
?创建 RIP路由进程
1 Router(config)#router rip
创建 RIP路由进程
2 Router(config-router)#network network-number
定义关联网络
说明,Network命令定义的关联网络有两层意思:
1) RIP只对外通告关联网络的路由信息
2) RIP只向关联网络所属接口通告路由信息
8.4 配置 RIP
?定义 RIP版本
RIP分为版本 1和版本 2,RIPv2可以支持认证,
密钥管理, 路由汇聚, CIDR和 VLSMs。
缺省情况下, RGNOS可以接收 RIPv1和 RIPv2的数据
包, 但是只发送 RIPv1的数据包 。 你可以通过配置,
只接收和发送 RIPv1的数据包, 也可以只接收和发送
RIPv2的数据包 。
定义 RIP版本
Router(config-router)# version {1 | 2}
8.4 配置 RIP
?配置 RIP Version 1路由协议
假设校园网通过一台路由器 Router1连接到
校园外的另一台路由器 Router2上,现要在路
由器上做适当配置,实现校园网内部主机与
校园网外部主机的相互通信。
R o u te r 1P C 1 P C 2R o u te r 2
1 7 2, 1 6, 1, 0 / 2 4
1 7 2, 1 6, 2, 0 / 2 4 1 7 2, 1 6, 3, 0 / 2 4
.11,1
.1,2
.2,22
F0
F0
S0
S0
8.4.2 实训 配置 RIP Version 1路由协议
8.4 配置 RIP
?小结
1 在串口上配置时钟频率时,一定要在电缆
DCE端的路由器上配置,否则链路不通;
2 定义关联网络时,命令 network后面必须是
与该路由器直连的主类网络地址。
8.5 配置 IP访问列表
?访问控制列表 ACL( Access Control List)
?在路由器、三层交换机上进行网络安全属
性配置,可以实现对进入到路由器、三层
交换机的输入数据流进行过滤
8.5.2 ACL的类型
1,IP标准访问控制列表( Standard IP ACL)
2,IP扩展访问控制列表( Extended IP ACL)
? 主要动作为允许( Permit)和禁止( Deny)
? 主要应用方法是入栈( In )和出栈( Out)
? ACL命令中的反掩码
反掩码与子网掩码算法相似, 但写法不同, 区别是:反
掩码中, 0表示需要比较, 1表示不需要比较 。
对于,0.0.0.255 只比较前 24位
0.0.3.255 只比较前 22位
0.255.255.255 只比较前 8位
IP标准访问控制列表
1 Standard IP ACL
Access-list listnumber { permit |
deny } address [ wildcard–mask ]
? 其中,listnumber是规则序号, 标准访问控制
列表 ( Standard IP ACL) 的规则序号范围是 1-
99;
? Permit和 deny 表示允许或禁止满足该规
则的数据包通过; Address 是源地址 IP;
wildcard – mask是源地址 IP的通配比较
位, 也称反掩码 。
IP标准访问控制列表
例如:
( config) #access-list 1 permit 172.16.0.0
0.0.255.255
( config) #access-list 2 deny 0.0.0.0
255.255.255.255
源地址
TCP/UDP 数据IP
IP扩展访问控制列表
2 Extended IP ACL
Access-list listnumber { permit | deny }
protocol source source- wildcard–mask
destination destination-wildcard–mask
[ operator operand ]
? 其中:扩展访问控制列表( Standard IP ACL)
的规则序号范围是 100-199; protocol是指定的
协议,如 IP,TCP,UDP等; destination 是目
的地址 ; destination-wildcard-mask 是目的
地址的反掩码; operator 和 operand用于指定
端口范围,缺省为全部端口号 0-65535,只有
TCP和 UDP协议需要指定的端口范围。
扩展访问控制列表
目的地址
源地址
协议
端口号
数据TCP/UDPIP
入栈( In)应用和出栈( Out)应用
?两个应用是相对于设备的某一端口而言
?当要对从设备外的数据经端口流入设备时
做访问控制,就是入栈( in )应用
?当要对从设备内的数据经端口流出设备时
做访问控制,就是出栈( out )应用
8.5.3 命名的访问控制列表
? 在三层交换机上配置命名的 ACL。
可以采用三个步骤进行,
1,创建 ACL,
2,接口上应用 ACL,
3,查看 ACL
1 创建 Standard IP ACLs
步骤 1 configure terminal 进入全局配置模式
步骤 2 ip access-list standard { name}
用数字或名字来定义一条 Standard IP ACL并进入 access-list配置模式。
步骤 3 deny {source source-wildcard|host
source|any} or permit {source source-
wildcard|host source|any}
?在 access-list配置模式,申明一个或多个允许通过( permit)或
丢弃( deny)的条件以用于交换机决定报文是转发还是丢弃。
?host source代表一台源主机,其 source-wildcard为 0.0.0.0。
?any代表任意主机,即 source为 0.0.0.0,source-wild为
255.255.255.255
1 创建 Standard IP ACLs实例
Switch ( config) # ip access-list standard
deny-host 192.168.l2.x
Switch ( config-std-nacl) # deny 192.168.12.0
0.0.0.255
Switch ( config-std-nacl) # permit any
Switch ( config-std-nacl) # end
Switch # show access-list
2 创建 Extended IP ACLs
步骤 1 configure terminal 进入全局配置模式
步骤 2 ip access-list extended { name}
? 用数字或名字来定义一条 Extended IP ACL并进入
access-list配置模式
步骤 3 {deny|permit} protocol {source
source-wildcard |host source|
any}[operator port] {destination
destination-wildcard |host destination
|any}[operator port]
?在 access-list配置模式,申明一个或多个允许通过
( permit)或丢弃( deny)的条件以用于交换机决定匹配
条件的报文是转发还是丢弃。
2 创建 Extended IP ACLs
?定义 TCP或 UDP的目的或源端口的规则
?操作符( opeator)只能为 eq
?如果操作符在 source source-wildcard之后,则报文的源
端口匹配指定值时条件生效
?如果操作符在 destination destination-wildcard之后,
则报文的目的端口匹配指定值时条件生效
?Port为十进制值,它代表 TCP或 UDP的端口号。值范围为 0-
65535
?protocol可以为
? tcp:指明为 tcp数据流
? udp:指明为 udp数据流
? ip,指明为任意 ip数据流
2 创建 Extended IP ACLs实例
Switch ( config) # ip access-list extended
allow_0xc0a800_to_172.168.12.3
Switch ( config-std-nacl) # permit tcp
192.168.0.0 0.0.255.255 host 172.168.12.3
eq www
Switch ( config-std-nacl) #end
Switch # show access-lists
3 将命名 ip 访问列表应用到指定接口上
步骤 1 configure terminal 进入全局配置模式
步骤 2 interface interface-id
指定一个接口并进入接口配置模式
步骤 3 ip access-group {name} {in|out}
将指定的 ACL应用于该接口上,使其对输入或输出该接
口的数据流进行接入控制
?下例显示如何将 access-list deny_unknow_device
应用于 VLAN接口 2上:
Switch( config) # interface vlan 2
Switch( config-if) # ip access-group deny_unknow_device in
8.5.4 显示 ACLs配置
?show access-lists [name]
?显示所有配置或指定名字的 ACLs
?show ip access-lists [name]
?显示 IP ACLs
?Show ip access-group [interface
interface-id]
?显示指定接口上的 IP ACLs配置
?show running-config
?显示所有配置
8.5.5 实训 编号的标准 IP访问列表
? 你是一个公司的网络管理员,公司的经理部、财务部门和
销售部门分属不同的三个网段,三部门之间用路由器进行
信息传递,为了安全起见,公司领导要求销售部门不能对
财务部门进行访问,但经理部可以对财务部门进行访问。
8.5.6 实训 命名的扩展 IP访问列表
? 你是学校的网络管理员,在 3550-24交换机上连着学校的
提供 WWW和 FTP的服务器,另外还连接着学生宿舍楼和教工
宿舍楼,学校规定学生只能对服务器进行 FTP访问,不能
进行 WWW访问,教工则没有此限制。
VLAN 10
192.168.10.0
VLAN 30
192.168.30.0
VLAN 20
192.168.20.0
8.6 配置网络地址转换
8.6.1 内部源地址 NAT配置
第一步 Red-Giant(config)#ip nat inside source static local-address global-
address
定义内部源地址静态转换关系
第二步 Red-Giant(config)# interface interface-type interface-number
进入接口配置模式
第三步 Red-Giant(config-if)#ip nat inside
定义该接口连接内部网络
第四步 Red-Giant(config)# interface interface-type interface-number
进入接口配置模式
第五步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
以上配置为最简单配置,你可以配置多个 Inside和 Outside
接口
8.6.2 动态 NAT配置
第一步 Red-Giant(config)#ip nat pool address-pool
start-address end-address {netmask mask | prefix-
length prefix-length} 定义全局 IP地址池
第二步 Red-Giant(config)#access-list access-list-
number permit ip-address wildcard
定义访问列表,只有匹配该列表的地址才转换
第三步 Red-Giant(config)#ip nat inside sourcelist
access-list-number pool address-pool 定义内部源
地址动态转换关系
第四步 Red-Giant(config)# interface interface-type
interfacenumber 进入接口配置模式
8.6.2 动态 NAT配置
第五步 Red-Giant(config-if)#ip nat inside
定义接口连接内部网络
第六步 Red-Giant(config)# interface interface-type
interface-number 进入接口配置模式
第七步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.3 静态 NAPT
第一步 Red-Giant(config)#ip nat inside source
static {UDP | TCP} local-address port global-
address port 定义内部源地址静态转换关系
第二步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第三步 Red-Giant(config-if)#ip nat inside
定义该接口连接内部网络
第四步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第五步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.4 动态 NAPT
第一步 Red-Giant(config)#ip nat pool address-
pool start-address end-address {netmask mask |
prefix-length prefix-length} 定义全局 IP地址池,
对于 NAPT,一般就定义一个 IP地址
第二步 Red-Giant(config)#access-list access-
list-number permit ip-address wildcard 定义访问列
表, 只有匹配该列表的地址才转换
第三步 Red-Giant(config)#ip nat inside source
list access-list-number {[ pool address-pool] |
[interface interface-type interface-number]}
overload 定义源地址动态转换关系
8.6.4 动态 NAPT
第四步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第五步 Red-Giant(config-if)#ip nat inside 定义
接口连接内部网络
第六步 Red-Giant(config)# interface interface-
type interface-number 进入接口配置模式
第七步 Red-Giant(config-if)#ip nat outside
定义接口连接外部网络
8.6.5 实训,静态内部源地址转换 NAT
你是某公司的网络管理员,内部网络有 FTP服
务器可以为外部用户提供的服务,服务器的 IP地
址必须采用静态地址转换,以便外部用户可以使
用这些服务。
8.6.6 实训 复用内部全局地址转换 NAPT
实训内容
?你是某公司的网络管理员,公司只向 ISP申
请了一个公网 IP地址,希望全公司的主机
都能访问外网,请你实现。
