路由器配置练习.doc

1用途命令进入全局配置模式。实例：figure terminal Router enableRouter# configure terminal为路由器指定名称。实例：hostname name Router(config)# hostname Router1指定加密口令以防止未经授权的人员访问特权执行模式。清除路由器登录的密码清除路由器所有的配置实例：enable secret passwordRouter(config)# enable secret ciscoR1(config)#no enable secret xly（在全局模式下配置）Router1#erase startup-configRouter1#reload指定口令以防止未经授权的人员访问 控制台。（后面有图片说明）实例：password passwordloginRouter(config)# line con 0Router(config-line)# password class Router(config-line)# login 指定口令以防止未经授权的人员通过telnet 访问。路由器 vty 线路：0 4交换机 vty 线路：0 15实例：password passwordloginRouter(config)# line vty 0 4Router(config-line)# password classRouter(config-line)# login配置 MOTD 标语。清除标语：实例：Banner motd %Router(config)# banner motd %(#) message %(#)/Router(config)# no banner motd配置接口。 路由器接口默认关闭 交换机接口默认打开Router(config)# interface fa0/0Router(config-if)# description description（配置标识）Router(config-if)# ip address ip地址 掩码Router(config-if)# no shutdown 将配置保存到 NVRAM。实例：copy running-config startup-configRouter# copy running-config startup-config简写：R1#copy run start重启：reload设置时钟频率Router(config)# interface fa0/0Router(config-if)#clock rate 56000Router(config-if)# no shutdown清除启动配置文件禁用域名解析Router1#erase nvram: （erase startup-config）Router1(config)#no ip domain-lookup路由器配置练习1. 为路由器设置时间为当前时间。Router# clock set hh:mm:ss day month year 2. 设置telnet的空闲等待时间为3分钟，20秒。即用户在指定时间内不使用已打开的Telnet，路由器即关闭相应连接。RouterenRouter#conf tRouter(config)#line vty 0 4Router(config-line)#Exec-timeout 3 203. 配置路由器的telnet，只允许三个连接同时以telnet访问路由器，并设置telnet登陆方式为只检验密码，密码为cisco。Router(config)#line vty 0 2Router(config-line)#password ciscoRouter(config-line)#login4. 新建一个口令级别3，口令内容是testlevel3，让拥有此权限的用户可以设置telnet的空闲等待时间。Router(config)#enable password level 3 testlevel3 Router(config)#privilege line level 3 exec-timeout 5. 将路由器备份配置文件保存到TFTP服务器上,文件名为router.conf。Router#copy startup-config tftp6. 为路由器指定DNS服务器，0Routeren Router#conf tRouter(config)#ip name-server 07. 为路由器指定静态缺省路由到。RouterenRouter#conf tRouter(config)#ip route 8. 查看路由器第一个以太网口的状态,并将结果保存在C机器C盘根目录的status.txt中.捕获文字show int e0 停止捕获9. 查看路由器IP路由信息，并将其中显示结果保存到C机器C盘根目录的route.txt中捕获文字show ip route停止捕获10. 为路由器的第一个以太网口配置辅助IP地址172.16.(128+X).33，其中X为当前单元号。(例如10单元)RouterenRouter#conf tRouter(config)#interface e0Router(config-if)#ip address 3 28 secondary11. 在路由器第一个以太网口上设置访问控制表,禁止来自主机的数据包从该口输出,而允许其他所有数据包通过。Router(config)#access-list 1 deny host Router(config)#access-list 1 permit anyRouter(config)#interface e0Router(config-if)#ip access-group 1 out12. 为路由器第一个以太网口配置一个命名为serialout的标准访问列表，禁止来自地址-1及4-27机器的数据包从该口输出，但允许该口输出来自其它主机地址的数据包。RouterenRouter#conf tRouter(config)#ip access-list standard serialoutRouter(config-std-nacl)#deny 1 Router(config-std-nacl)#deny 4 3Router(config-std-nacl)#permit anyRouter(config)#interface e0/0Router(config-if)#ip access-group serialout out13. 路由器第一个以太网口连接内网，请为路由器第一个以太网口配置一个命名为inside的访问列表，定义有关内部机器访问FTP服务器的规则:FTP服务器3,允许IP地址属于-1网段机器访问FTP服务器提供的FTP服务,禁止该网段机器访问FTP服务器其他TCP服务。注意同时不能妨碍网络内机器的其他访问。enconf tip access-list extended insidepermit tcp 1 host 3 eq 21permit tcp 1 host 3 eq 20deny tcp 1 host 3 permit tcp any anyint e0ip access-group inside in14. 为路由器第一个以太网口配置一个命名为inside的访问列表，定义有关内部机器访问关键服务器的规则:内部关键服务器包括DNS服务器0,WEB服务器5,MAIL服务器0. IP地址 -172.16. 128. 255 属于内部的公共机房,只允许该网段机器访问DNS服务器提供的DNS服 务, MAIL服务器提供的SMTP与POP3服务,WEB服务器提供的WEB服务,而禁止该公共机房机器访问各服务器除规定资源外的其他资源。注意同时不能妨碍网络内机器的其他访问。enconf tip access-list extended insidepermit udp 55 host 0 eq 53permit tcp 55 host 0 eq 25permit tcp 55 host 0 eq 110permit tcp 55 host 5 eq 80deny tcp 55 host 0deny tcp 55 host 5deny tcp 55 host 0permit tcp any anyinterface e0ip access-group inside in15. 请在路由器第一个以太网口(34)配置，不允许地址范围为-1的机器以telnet方式访问本路由器。enconf taccess-list 101 deny tcp 1 host 34 eq 23access-list 101 permit tcp any anyint e0ip access-group 101 in16. 最近发现IP地址为33的外部机器,总是在恶意攻击公司服务器,经研究决定关闭该网段所有机器对公司网络的访问,请在第一个以太网口上阻断该网络发出的数据包进入公司网络.enconf t access-list 10 deny 55access-list 10 permit anyint e0ip access-group 10 in17. 在第一个以太网口上设置访问控制表,禁止来自-55数据包从该口输出,而允许其他所有数据包通过。enconf taccess-list 12 deny 55access-list 12 permit anyinterface e0ip access-group 12 out18. 地址为5的及其是供内部使用的FTP服务器,连接在路由器的第一个以太网口，考虑到软件知识产权的保护,希望在当前路由器第一个以太网口阻止任何来自外部机器对该服务器的FTP请求,请设置相关访问列表。conf taccess-list 104 deny tcp any host 5 eq 21access-list 104 permit ip any anyint e0ip access-group 104 in19. 路由器的第二个以太网口连接广域网,合法的IP地址为2-3,路由器端口地址为3+X(X为单元号,下同).路由器的第一个以太网口连接使用内部地址-55的内部网络,路由器端口地址为172.16.125.(35+X),其中的4-27可以通过第二个以太网口访问广域网.请用为内部有广域网访问权限的机器定义动态地址转换。(例如10单元)enconf tip nat pool dynamic 3 3 netmask access-list 10 permit 4 3ip nat inside source list 10 pool dynamicinterface e0/0ip address 5 seconderyno shutip nat inside interface e0/1ip address 3 24 seconderyno shutip nat outside20. 内部网络中172.16.126.X是一台WEB服务器(X为当前单元号)，它接在当前路由器的第一个以太网口，同时通过第二个以太网口向外网用户提供服务，其对外的地址为0，请使用地址转换进行配置。(假设X为10单元)enconf tinterface e0/1ip nat outsideinterface e0/0ip nat insideexitip nat inside source static tcp 0 80 0 8021. 为网络/24指定静态路由.Router(config)#ip route 22. 内部网络-55连接在当前路由器的第一个以太网口,路由器端口地址为172.16.125.(33+X)(X为单元号,下同),其中的3-2可以访问广域网,.路由器的第二个以太网口用于连接广域网,合法的IP地址为-1,路由器端口地址为202.121.1.X.请用为内部有广域网访问权限的机器定义动态地址转换.Router(config)#ip nat pool outip 1 netmask 24 Router(config)#access-list 1 permit 2 1Router(config)#ip nat inside source list 1 pool outip Router(config)#interface e0/1Router(config-if)#ip address 202.121.1.X 24 secondaryRouter(config-if)#ip nat outsideRouter(config)#interface e0/0Router(config-if)#ip address 3+X secondaryRouter(config-if)#ip nat inside23. 为路由器第一个以太网口配置一个命名为protect的访问列表，禁止来自地址-1及4-27发送到的TCP数据包通过该以太口流出路由器，但允许其他机器间的TCP数据报自由出入。Router(config)#ip access-list extended protectRouter(config-ext-nacl)#deny tcp 1 host Router(config-ext-nacl)#deny tcp 4 3 host Router(config-ext-nacl)#permit tcp any anyRouter(config)#interface e0/0Router(config-if)#ip access-group protect out24. 为路由器第一个以太网口配置一个命名为inside的访问列表，定义有关内部机器访问WWW服务器的规则:WWW服务器0,允许IP地址属于-1网段机器访问WWW服务器提供的WWW服务,禁止该网段机器访问WWW服务器其他TCP服务。注意同时不能妨碍网络内机器的其他访问. Router(config)#ip access-list extended insideRouter(config-ext-nacl)#permit tcp 1 host 0 eq wwwRouter(config-ext-nacl)#deny tcp 1 host 0Router(config-ext-nacl)#permit tcp any anyRouter(config)#interface e0/0Router(config-if)#ip access-group inside out25. 地址为5是供内部使用的FTP服务器,考虑到软件知识产权的保护,希望在当前路由器第二个以太网口阻止任何来自外部机器对该机器的FTP请求,请设置相关访问列表.Router(config)#access-list 101 deny tcp any host 5 eq ftpRouter(config)#access-list 101 permit tcp any any Router(config)#interface e0/1Router(config)#ip access-group 101 in26. 为路由器第一个以太网口配置一个命名为inside的访问列表，定义有关内部机器访问DNS服务器的规则:DNS服务器0,允许IP地址属于-55网段机器访问DNS服务器提供的DNS服务,禁止该网段机器访问DNS服务其他TCP服务。注意同时不能妨碍网络内机器的其他访问.Router(config)#ip access-list extended insideRouter(config-ext-nacl)#permit tcp 55 host 0 eq domain Router(config-ext-nacl)#deny tcp 55 host 0Router(config-ext-nacl)#permit tcp any anyRouter(config)#interface e0/0Router(config-if)#ip access-group inside out27. 地址为5是供内部使用的web服务器,考虑到软件知识产权的保护,希望在当前路由器第一个以太网口阻止任何来自外部机器对该机器的web请求,请设置相关访问列表Router(config)#access-list 101 deny tcp any host 5 eq wwwRouter(config)#access-list 101 permit tcp any any Router(config)#interface e0/0Router(config)#ip access-group 101 out28. 为单元内路由器定义isdn陷阱(trap),并指定由机器1接收该陷阱.Router(config)#snmp-server community public RORouter(config)#snmp-server enable traps isdnRouter(config)#snmp-server host 1 public isdn29. 为单元内路由器定义SNMP配置陷阱(trap),并指定由机器接收该陷阱.Router(config)#snmp-server community public RORouter(config)#snmp-server enable traps config Router(config)#snmp-server host public config30. 新建一个用户级别4,密码为testlevel4,拥有此权限的用户可以设置telnet的空闲等待时间Router(config)#enable password level 4 testlevel4Router(config)#privilege line level 4 exec-timeout 31. 将单元内机器C的MAC地址绑定到25 Router(config)# arp 25 XXXX.XXXX.XXXX arpa32. 修改路由器提示符为 RouterX, 其中X为所在单元号。 Router(config)#prompt RouterX实验拓扑图的路由器及端口的配置流程：1) 首先划分子网。提示：计算机的网关是路由器的ip地址。2) 建立编址表：内容如下：设备接口IP地址子网掩码默认网关R1Fa0/024不适用