CISCO路由器配置VIP

第六章 CISCO路由器配置6.1 路 由 器 配 置 基 础6.1.1 基本设置方式如图6-1所示一般来说，可以用5种方式来设置路由器： 图6-1 5种方式来设置路由器1Console口接终端或运行终端仿真软件的微机； 2AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连； 3通过Ethernet上的TFTP服务器； 4通过Ethernet上的TELNET程序； 5通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:波特率 ：9600 数据位 ：8 停止位 ：1 奇偶校验: 无 网络设备技术6.1.2 命令状态1. router 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局 数。 4. router(config-if)#； router(config-line)#； router(config-router)#； 路由器处于局 设置状态，这时可以设置路由器 局 的 数。 5. 路由器处于RXBOOT状态，在 机 60 内 ctrl-break可进入此状态，这时路由器不能 的 能， 能进行软件 和 工 。 6. 设置 话状态 这 一 路由器 机时 进入的状态，在特权命令状态 用SETUP命令 可进入此状态，这时可通过 话方式 路由器进行设置。6.1.3 设置对话过程1. 示提示 2.全局 数的设置3.接口 数的设置4. 示 用设置 话过程可以 工入命令的，但它还不能 全 工设置，一currency1特的设置还必须通过 工入的方式 。进入设置 话过程 ，路由器“ 示一currency1提示 ：- System Configuration Dialog - At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets . 这 fifl在设置 话过程 的方可以键入 到”的， ctrl-c可以出设置过程， 设置 示在 。 路由器问 进入设置 话：Would you like to enter the initial configuration dialog? yes: 如 y或，路由器进入设置 话过程。“fl可以看到端口115第 CISCO 路由器配置的状 ： First, would you like to see the current interface summary? yes: Any interface listed with OK? value NO does not have a valid configuration 6-1 - ，路由器 全局 数的设置： Configuring global parameters: 1设置路由器： Enter host name Router: 2设置进入特权状态的 (secret)，此 在设置以 不以 方式 示： The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3设置进入特权状态的 (password)，此 在 有 时作用， 在设置以 以 方式 示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4设置 终端访问时的 ： Enter virtual terminal password: cisco 5 问 设置路由器的种网络： Configure SNMP Network Management? yes: Configure DECnet? no: Configure AppleTalk? no: Configure IPX? no: Configure IP? yes: Configure IGRP routing? yes: Configure RIP routing? no: 116网络设备技术6如 配置的 访问服务器，”还设置 口的 数： Configure Async lines? yes: 1) 设置线路的最高速度： Async line speed 9600: 2) 用硬件流控： Configure for HW flow control? yes: 3) 设置modem： Configure for modems? yes/no: yes 4) 用默认的modem命令： Configure for default chat script? yes: 5) 设置 口的PPP 数： Configure for Dial-in IP SLIP/PPP access? no: yes 6) 用 态IP址： Configure for Dynamic IP addresses? yes: 7) 用 IP址： Configure Default IP addresses? no: yes 8) 用TCP头压缩： Configure for TCP Header Compression? yes: 9) 在 口上 用路由更 ： Configure for routing updates on async links? no: y 10) 设置 口上的其它。 接下来，” 每 接口进行 数的设置。 Configuring interface Ethernet0: 1) 用此接口： Is this interface in use? yes: 2) 设置此接口的IP 数： Configure IP on this interface? yes: 3)设置接口的IP址： IP address for this interface: 4)设置接口的IP子网掩 ： Number of bits in subnet field 0: Class C network is , 0 subnet bits； mask is /24 在设置 所有接口的 数 ，”把整 设置 话过程的 示出来The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 117第 CISCO 路由器配置enable password pass 请注意在enable secret 面 示的 乱 ，而enable password 面 示的设置的内容。 示 束 ，”问 用这 设置： Use this configuration? yes/no: yes 如 答yes，”把设置的 存入路由器的NVRAM ， 束设置 话过程， 路由器 的工作。6.1.4 常用命令1.在IOS操作 ，无论状态和位置，可以键入 到”的。2.改变命令状态 6-2务 命令 进入特权命令状态 b 出特权命令状态 b 进入设置 话状态 进入全局设置状态 m 出全局设置状态 进入端口设置状态 y /mb 进入子端口设置状态 y mb . b - - | m 进入线路设置状态 y /mb 进入路由设置状态 出局 设置状态 x 118网络设备技术3. 示命令6-3务 命令 查看版本及 w v 查看运行设置 w - 查看 机设置 w - 示端口 w y /mb 示路由 w 4.拷贝命令用于IOS及CONFIG的备份和 图6-2 路由器的备份5.网络命令 6-4务 命令 登录远程主机 m | 网络侦测 m | 119第 CISCO 路由器配置路由跟踪 m | 6. 基本设置命令6-5务 命令 全局设置 m 设置访问用户及 m m w w 设置特权 b w 设置路由器 m m 设置静态路由 b -m k x- 启 路由 启 X路由 x 端口设置 y /mb 设置 址 b -m k 设置 X网络 x w k w k 激活端口 w 物理线路设置 y mb 启 登录进程 | v 设置登录 w w 6.1.5 配置IP寻址1. IP址分类IP址分为网络址和主机址二 分，A类址8位为网络址，120网络设备技术24位为主机址，B类址16位为网络址， 16位为主机址，C类址24位为网络址， 8位为主机址，网络址范围如下6-6所示：6-6种类 网络址范围 1. . . 到126. . . 有效 . . . 和127. . . 保留 B 128.1. . 到191.254. . 有效 128. . . 和191.255. . 保留 C 192. .1. 到223.255.254. 有效 192. . . 和223.255.255. 保留 D 224. . . 到55用于多点广播 24 . . . 到54保留 55用于广播 2.分配接口IP址6-7务 命令 接口设置 y /mb 为接口设置 址 - m k 掩玛（mask）用于识别IP址 的网络址位数，IP址（ip-address）和掩 （mask）相与即到网络址。3. 用可变长的子网掩 通过 用可变长的子网掩 可以让位于不同接口的同一网络编 的网络 用不同的掩 ，这样可以节IP址，充分 用有效的IP址空间。如下图6-3所示：121第 CISCO 路由器配置图6-3 可变长的子网掩 R 1和R 2的 端口均 用了C类址192.1. . 作为网络址，R 1的 的 址为192.1. .128,掩 为92, R 2的 的网络址为192.1. .64,掩 为92，这样 一 C类网络址分配给了二 网，既划分了二 子网，到了节约址的作用。6.1.6 配置静态路由通过配置静态路由，用户可以人为指定 一网络访问时所 经过的路径,在网络 构比较简单， 一般到达 一网络所经过的路径唯一的情 下采用静态路由。6-8务 命令建立静态路由 x m k | m Prefix :所 到达的目的网络mask :子网掩 address :下一 跳的IP址，即相邻路由器的端口址。interface :本网络接口distance :管理 （可 ）tag tag :tag （可 ）permanent:指定此路由即 端口 不 。122网络设备技术图6-4 以下在 Router1 上设置了访问 4/26 这 网下一跳址 为,即有目的址 于4/26的网络范围的数据 ， 其路由到址为的相邻路由器。在Router3上设置了访问28/26及/30这二 网下一跳址为5。由于在Router1上端口Serial 0址为，/30这 网 于 连的网， 经存在访问/30的路径，所以不 在Router1上 静态路由。Router1:ip route 4 92 Router3:ip route 28 92 5ip route 52 5 同时由于路由器Router3 了与路由器Router2相连 ，不 与其 路由器相连，所以 可以为它 一 默认路由以以上的二 静态路由，ip route 5即 有在路由 到 特定目的址的路径, 数据均 路由到址为5的相邻路由器。6.2 RIP 路 由 设 置RIP(Routing information Protocol) 用较 用较 的内 网 (Interior Gateway Protocol,简 IGP)，用于同类网络， 的 (distance-vector)。 currency1RFC1058 RFC1723。 RIP通过广播UDP 来“路由 ，每30 一次路由 更。RIP提跳fifl数(hop count)作为 度来路由 ，跳fifl数 一 到达目所必须经过的路由器的数目。如 到相同目有二 不速或不同 的路由器，但跳fifl数相同， RIP认为 路由 的。RIP最多的跳数为15，即在和目的网间所 经过的最多路由器的数目为15，跳数16示不可达。123第 CISCO 路由器配置1. 有 命令6-9务 命令 指定 用R 指定R 版本 v 1|21 指定与 路由器相连的网络 w k w k 注：1.Cisco的RIP版本2验 ”管理 路由 无类间路由(CIDR)和变长子网掩 (VLSMs) 2. 图6-5 Router1: router rip version 2 network network 相 命令： show ip protocol show ip route6.3 OSPF 配 置OSPF(Open Shortest Path First) 一 内 网 (Interior Gateway Protocol,简 IGP)，用于在单一 ”(autonomous system,AS)内路由。与RIP相 ，OSPF 路状态路有，而RIP 路由。路 路由器接口的一种说， 此OSPF 为接口状态路由。OSPF通过路由器间通网络接口的状态来建立路状态数据， 最路径，每 OSPF路由器 用这currency1最路径构路由。124网络设备技术1有 命令全局设置6-10务 命令指定 用 - 1指定与 路由器相连的网络 w k w -m k - 2指定与 路由器相邻的节点址 b - 注：1 OSPF路由进程process-id必须指定范围在1-65535，多 OSPF进程可以在同一 路由器上配置，但最 不这样 。多 OSPF进程 多 OSPF数据的 本，必须运行多 最路径 的 本。process-id 在路由器内 作用，不同路由器的process-id可以不同。注：2 wildcard-mask 子网掩 的 , 网络 ID area-id在0-4294967295内的 进 数， 可以 有IP址 式的x.x.x.x。网络 ID为0或时为主 。不同网络 的路由器通过主 路由 。2基本配置 图6-6 Router1:interface ethernet 0ip address 29 92!interface serial 0125第 CISCO 路由器配置ip address 52!router ospf 100network area 0network 28 3 area 1!Router2:interface ethernet 0ip address 5 92! ip address 52!router ospf 200network area 0network 4 3 area 2!Router3:interface ethernet 0ip address 30 92!router ospf 300network 28 3 area 1!Router4:interface ethernet 0ip address 6 92!router ospf 400network 4 3 area 1!相 命令：debug ip ospf eventsdebug ip ospf packetshow ip ospfshow ip ospf databaseshow ip ospf interface126网络设备技术show ip ospf neighborshow ip route 6.4 路 由 器 访 问 控 6.4.1 网络安全保障的第一道关卡于 多网管来说，配置路由器的访问控 一件经 的工作，可以说，路由器的访问控 网络全保 的第一 。访问 提了一种机 ，它可以控 和过 通过路由器的不同接口 不同方的 流。这种机 用户 用访问来管理 流，以 定内 网络的相 。这currency1 可以 全 能， 流的 别。如， 可能 或 Internet 内 Web服务器的访问，或 内 局网上一或多 工作站能 数据流到广网上。这currency1情，以及其 的一currency1 能 可以通过访问来达到目的。6.4.2 访问列表的种类划分目的路由器一般种类的访问：基本访问和访问。基本访问控 基于网络址的 流， 过 址。访问通过网络址和 的数据类进行 流控 ， 过 址 目的址和上 用数据。6-11 出了路由器所的不同访问的 范围。 127第 CISCO 路由器配置由于 幅所限，本 准访问 和访问 进行讨论。 1 准IP访问准IP访问的基本 式为：access-list list numberpermit|denyhost/anysourceaddresswildcard-masklog下面 准IP访问基本 式 的项 数进行 释：（1）list number- 范围准IP访问的 识 从1到99。（2）permit/deny- 或 键字permit和deny用来示满足访问项的 通过接口，还 过 。permit示 通过接口，而deny示匹配准IP访问址的 丢弃 。（3）source address-址于准的IP访问，址 主机或一主机的点分 进 示，如:。（4）host/any-主机匹配host和any分别用于指定单 主机和所有主机。host示一种精确的匹配，其屏蔽 为。如，假定我们 从来的 ， 用准的访问控 语句如下:access-list 1 permit 如 采用 键字host， 可以用下面的语句来：128网络设备技术access-list 1 permit host 说，host 0.0.0.O通配符屏蔽 的简写。与此相 照，any /目址0.O.O.O/55的简写。假定我们 从址来的 ， 从其 址来的 ，准的IP访问可以 用下面的语句达到这 目的:access-list 1 deny host access-list 1 permit any注意，这 语句的顺序；访问语句的处理顺序 由上到下的。如 我们 语句顺序颠倒， permit语句放在deny语句的面， 我们 不能过 来 主机址的 ， 为permit语句 所有的 通过。所以说访问 的语句顺序 很重 的, 为不合理语句顺序 在网络 产 全漏洞，或 用户不能很 用的网络 。（5）wi1dcardmask-通配符屏蔽 Cisco访问 能所的通配符屏蔽 与子网屏蔽 的方式 刚 相 的， 说，二进 的O示一 匹配 件，二进 的1示一 不 心 件。假设 机构拥有一 C类网络，若不 用子网， 配置网络 的每一 工作站时， 用于网屏蔽 255.255.255.O。在这种情 下，1示一 匹配，而0示一 不 心的 件。 为Cisco通配符屏蔽 与子网屏蔽 相 的，所以匹配网络址 的所有 的通配符屏蔽 为:0.0.O.255。（6）Log-日志记录log 键字 在IOS版本11.3 存在。如 键字用于访问 ， 那currency1能匹配访问 的permit和deny语句的 进行日志记录。日志 含访问 的 或 IP址以及在 示了第一 匹配以来每5分钟间隔内的 数目。 用log 键字， 控 日志提测和 警种 能。”管理可以 用日志来观察不同活 下的 匹配情 ，从而可以测不同访问的设fl情 。其用于 警时，管理可以察看 示 ，以定位那currency1多次尝活 的访问语句。执行一 访问语句的多次尝活 ，很可能 有潜在的黑客攻击活 。2 的IP访问控 顾思义，的IP访问用于 过 能力。一 的IP访问 用户根据如下内容过 :和目的址 和目的端口以及在特定 字段 进行特位比较。一 的IP访问的一般语 或如下所示:- mb m / y -w -w 下面简 介绍 键字的 能:（1）list number- 范围IP访问的 识从l00到199。129第 CISCO 路由器配置（2）protocol-项定义了 过 的，如IP TCP UDP 1CMP。 项 很重 的， 为在TCP/IP栈 的种间有很 切的 ，如 管理 根据特进行 过 ， 指定 。 ，管理 注意 相 重 的过 项放在靠的位置。如 管理设置的命令 ， IP址的语句放在 TCP址的语句面， 一 语句根本不作用。但 如 这 语句“一下位置， 在 址上的其的同时， 了TCP。（3）端口 和目的端口 端口 可以用几种不同的方来指定。它可以 式指定， 用一 数字或 用一 可识别的记符。如，我们可以 用80或 http来指定Web的超 本 。 于TCP和UDP，读 可以 用操作符 (大于)=(于)以及(不于)来进行设置。目的端口 的指定方与端口 的指定方相同。读 可以 用数字 记符或 用操作符与数字或记符相 合的 式来指定一 端口范围。下面的实说 了IP访问 分 键字 用方:access-list 101 permit tcp any host eq smtpaccess-list 101 permit tcp any host eq www第一 语句 来 主机的TCP 到达特定主机的smtp服务端口(25)；第二 语句 来 主机的TCP 到达指定的主机的www或http服务端口(80)。（4） 项的IP访问很多 项。其 一 用的 项有log，它 在面讨论准访问时介绍过了。一 用的 项 fistahlishfid， 项 用于TCP 在TCP通 流的一 方上来响 由一端的话。为了实现 能， 用estab1ished 项的访问语句检查每 TCP ，以确定的ACK或RST位 设置。如，考虑如下的IP访问语句:access-list 101 permit tcp any host established语句的作用 : 的ACK和RST位 设置， 访问语句 来 址的TCP 流到指定的主机。这意味着主机此必须TCP话。（5）其 键字deny/permit 址和通配符屏蔽 目的址和通配符屏蔽 以及host/any的 用均与准IP访问 的相同。6-12 分 键字的具体 释。 6-12： 130网络设备技术3 管理和 用访问在一 接口上配置访问 三 骤：(1)定义访问；(2)指定访问所 用的接口；(3)定义访问作用于接口上的方。我们 经讨论了如定义准的和的IP访问，下面 讨论如指定访问所用的接口以及接口 用的方。一般，采用interface命令指定一 接口。如，为了 访问 用于串口0， 用如下命令指定此端口:interface serial0类似，为 访问 用于路由器的以太网端口上时，假定端口为Ethernet0， 用如下命令来指定此端口：interface ethernet0在上 三 骤 的第三 定义访问所 用的接口方，通 用ip access-group命令来指定。其 ， 识访问，而 键字in或out 指 访问所 用的方。方用于指出 在 进入或 路由器接口时 其进行过 。如下的实 这三 骤综合在一：intface serial0ip access-group 107 inaccess-list 107 remark allow traffic to toms pcaccess-list 107 ip any host 131第 CISCO 路由器配置access-list 107 remark allow only web traffic to webserveraccess-list 107 tcp any host 2 eq 80access-list 107 remark block everything elseaccess-list 107 deny any any在本 ， 用interface命令指定串行端口0， 用ipaccess-group命令来 访问l07 的语句 用于串行接口的内方上。最 ，入6 访问语句，其 三 访问语句 用 键字remark，以提 于 继语句的注 说 。注意访问 的最 一 语句，它示了每 访问相 的隐含denyall设置， 如 不 式 出 不看到 语句的。如 读 从路由器的控 端口相连的终端上 接入这currency1命令和语句， 用EXEC特权命令。这 终端话过程的实如下图6-7所示：图6-7 此 ，读 配置访问 用IOS的show命令查看 时，有时很容易示出来的内容所迷惑，这 由于通配符屏蔽 位 置为1(无 )时，1OS访问项的IP址 分的 位设置为二进 0。如，入如下的配置命令，用于创建一 的 访问， 其 内容 示出来：router# config terminalrouter(config)#access-list 101 permit ip 0 55 132网络设备技术host router(config)#exitrouter#show access-list 101extended ip acces list 101permit ip 55 host 在本 ，由于C类址的通配符屏蔽 的主机子段 设置为全1(255)，所以网络上的主机址0 转“为网段址。6.5 路 由 器 NAT 能 配 置 简 介随着internet的网络迅速，IP址 为一 分突出的问题。为了 这 问题，出现了多种 方案。下面几绍一种在目网络环境 比较有效的方即址转“(NAT) 能。 6.5.1 NAT简介NAT(Network Address Translation)的 能， 指在一 网络内 ，根据可以随意 定义的IP址，而不 经过申请。在网络内 ，fl 机间通过内 的IP址进行通讯。而内 的fl 机 与 internet网络进行通讯时，具有NAT 能的设备（比如：路由器）负责 其内 的IP址转“为合的IP址（即经过申请的IP址）进行通 。 6.5.2 NAT的应用环境情 1：一 企业不想让 网络用户知 己的网络内 构，可以通过NAT 内 网络与 Internet 隔 ， 用户根本不知 通过NAT设置的内 IP址。 情 2：一 企业申请的合Internet IP址很少，而内 网络用户很多。可以通过NAT 能实现多 用户同时用一 合IP与 Internet 进行通 。6.5.3 设置NAT所需路由器的硬件配置和软件配置设置NAT 能的路由器至少 有一 内 端口（Inside），一 端口（Outside）。内 端口连接的网络用户 用的 内 IP址。 内 端口可以为意一 路由器端口。 端口连接的 的网络，如Internet 。 端口可以为路由器上的意端口。 设置NAT 能的路由器的IOS NAT 能(本 事所用路由器为isco2501，其IOS为11.2版本以上NAT 能)。 133第 CISCO 路由器配置6.5.4 关于NAT的几个概念内 本址（Inside local address）：分配给内 网络 的fl 机的内 IP址。 内 合址（Inside global address）： 进入IP通 时，一 或多 内 本址的合IP址。 申请才可取的IP址。 6.5.5 NAT的设置方法NAT设置可以分为静态址转“ 态址转“ 复用 态址转“。 1 静态址转“用的环境 静态址转“ 内 本址与内 合址进行一 一的转“， 指定和哪 合址进行转“。如 内 网络有E-mail服务器或FTP服务器可以为 用户提的服务，这currency1服务器的IP址必须采用静态址转“，以便 用户可以 用这currency1服务。 静态址转“基本配置 骤： （1） 在内 本址与内 合址间建立静态址转“。在全局设置状态下入： Ip nat inside source static 内 本址 内 合址 （2） 指定连接网络的内 端口 在端口设置状态下入： ip nat inside （3） 指定连接 网络的 端口 在端口设置状态下入： ip nat outside 注：可以根据实际 定义多 内 端口及多 端口。 实1：本实实现静态NAT址转“ 能。 2501的以太口作为内 端口，同端口作为 端口。其 ，，的内 本址采用静态址转“。其内 合址分别 为，，。 路由器2501的配置： Current configuration： version 11.3 no service password-encryption hostname 2501 ip nat inside source static ip nat inside source static ip nat inside source static interface Ethernet0 ip address ip nat inside interface Serial0 134网络设备技术ip address ip nat outside interface Serial1 no ip address shutdown no ip classless ip route Serial0 end 配置 可以用以下语句进行查看： show ip nat statistcs show ip nat translations 2、 地址 适用的 境 态 转“ 环态址转“ 本址与内 合址一 一的转“，但 态址转“ 从内 合址池 态 择一 末 用的址 内 本址进行转“。 态址转“基本配置 骤： （1） 在全局设置模式下，定义内 合址池 ip nat pool 址池 IP址 终止IP址 子网掩 其 址池 可以意设定。 （2） 在全局设置模式下，定义一 准的access-list规 以 哪currency1内址可以进行 态址转“。 Access-list permit 址 通配符 其 为1-99间的整数。 （3） 在全局设置模式下， 由access-list指定的内 本址与指定的内 合址池进行址转“。 ip nat inside source list 访问 pool内 合址池字 （4） 指定与内 网络相连的内 端口在端口设置状态下： ip nat inside （5） 指定与 网络相连的 端口 Ip nat outside 实2： 本实 硬件配置同上，运用了 态NAT址转“ 能。 2501的以太口作为内 端口，同 端口作为 端口。其 10.1.