cisco2800配置手册.doc

Cisco 2801路由器 用户配置手册约定 在介绍重要的术语和概念时，或许以粗体显示。正文所包含的命令以常体显示，用于实例的所有名称或地址亦是这样，同时不应该用到你的实际网络中。配置你的系统时不要一字不差地输入名称或地址。最后，在某些例子中，在命令要求IP地址作为参数的地方，IP地址可能以xx.xx.xx.xx或aa.bb.cc.dd这种方式来表示。实际上，配置你的系统时永远不会用到这些字符串。本文的约定指出你应该把指明的地方替换成适当的IP地址。1. 本文档覆盖的东西有好几种方法可用来配置Cisco路由器。配置可以由TFTP服务器通过网络来完成；可以通过启动时提供的菜单界面来完成；并且可以由运行setup命令所提供的菜单界面来完成；还可以由保存到内存中的配置来完成。本手册不会覆盖这几种方法，它仅覆盖由IOS命令行界面来进行的配置。注意：本手册不覆盖路由器与它要路由的网络在物理上的连接，它仅覆盖操作系统配置。1.1 使用命令行的原因使用命令行界面而不使用菜单驱动界面的原因有两个：一个是速度。一旦你已花费时间去了解命令行命令，就可以比通过使用菜单更加迅速地完成许多操作。基本上，相对于菜单的所有命令行来说，这点是真的。对于了解Cisco IOS的命令行界面来说它是特别有效的东西，而Cisco IOS是跨越一切Cisco路由器的标准。其次，可以配置单个接口而不必中断其它接口上的服务。根据定义，路由器有多个接口。例如，在 Cisco 7200系列路由器中，路由器有多个端口，每个端口有几个可热插拔模块。这些模块能够经由命令行来单独配置是一种颇有价值的技术。1.2 文档结构本文的第一部分将介绍IOS的命令模式和Cisco路由器基本配置所必需的命令。文档的第二部分将在个案研究里示范这些命令的用法。个案研究是由本文作者完成的实际配置。2. 准备开始初时，你或许会通过终端来配置你的路由器。如果路由器已经配置过，而且至少一个端口已经用IP地址配置好，同时它与网络有物理连接的话，你也许能够telnet到路由器，通过网络来配置它。如果路由器未曾做过配置，那么你将不得不用终端和一条串口电缆直接和它连接。对于任何一台Windows主机来说，你都可以用超级终端（Hyperterminal）容易地连接路由器。把串口电缆插入PC机上的串口（COM），另一端插入Cisco路由器上的控制台端口。启动超级终端，告诉它所用的COM口并点击OK。把连接速率设置为 9600 波特，点击 OK。如果路由器未开机，启动它。如果你想由Linux主机来配置路由器，要运行Seyon或Minicom。至少它们中的一个，也许两个都在你的Linux分发套件中。通常，你需要敲Enter（回车）键来观看路由器所作的提示。如果路由器未做过配置，它看起来象这样：Cisco2801Cisco2801 为主机名称原始名称为(Router)为了更好的管理和使用特更改为（Cisco2801）你要配置路由器就必须进入特权模式。你可以通过使用enable命令来做到这点。特权模式通常是口令保护，除非路由器未配置好。你有无口令保护特权模式的选择，但极力推荐你选择有口令保护的特权模式。在你运行命令enable并提供口令之后，你就会进入特权模式。为了帮助用户看清所处的模式，每次进入不同的模式，命令行的提示都会发生改变。当你从非特权模式切换到特权模式时，提示由:Cisco2801 变成Cisco2801#配置实例用超级终端连接到到Cisco设备上输入登陆密码Passwrod:Cisco2801Cisco2801enable输入特权密码Passwrod:Cisco2801#Cisco2801#config tcisco2801(config)#配置模式cisco2801(config)#int fa0/0对fa0/0进行设置cisco2801(config-if)#子端口设置模式Cisco2801(config-if)# ip nat outside转换IP包的源，这些IP包正在从外部传输到内部 转换IP包的目的地，这些IP包正在从内部传输到外部cisco2801(config-if)#ip add aa.bb.cc.dd x.x.x.xaa.bb.cc.dd 为运营商所提供的IP地址x.x.x.x 为运营商所提供的子网掩码cisco2801(config-if)# no shut激活端口Cisco2801(config-if)#end退出子端口设置注：以上是对外网端口设置说明cisco2801#config t配置模式cisco2801(config)# int fa0/1对fa0/1进行设置cisco2801(config-if)#ip nat inside转换IP包的源，这些IP包正在从内部传输到外部 转换IP包的目的地，这些IP包正在从外部传输到内部cisco2801(config-if)#ip add 设置内网IP地址cisco2801(config-if)#no shut激活端口cisco2801(config-if)#end注：以上是对内网端口设置说明cisco2801#config t进入配置模式cisco2801(config)#access-list 1 permit any建立访问列表cisco2801(config)#ip nat inside source list 1 int fa0/0 overload就是在路由上不设置地址池，因为只有一个公网地址，而只对fa0/0接口的地址超载。注意：一条NAT转换条目要占用160字节内存，因此NAT的转换数目受路由器的内存限制。cisco2801(config)#ip route x.x.x.xx.x.x.x为网络运营上提供的网关cisco2801(config)#end退出配置模式cisco2801#wr保存配置信息与以往的26，36系列路由器相比，有如下变化：1、采用console口首次登录需要用户名和口令，缺省是cisco，cisco;2、系统取消了用户模式（提示符），通过认证后直接进入到特权模式（#提示符）;3、系统缺省给快速以太网0/0口配置了ip地址 48;4、系统默认建立了一个访问列表23;并应用在虚拟线路上;5、缺省开启http服务，内置了SDM模块进行管理;2800系列路由器缺省配置interface FastEthernet0/0description $ETH-LAN$ETH-SW-LAUNCH$INTF-INFO-FE 0/0$ip address 48duplex autospeed auto!interface FastEthernet0/1no ip addressshutdownduplex autospeed auto!ip classless!ip http serverip http access-class 23ip http authentication localip http timeout-policy idle 60 life 86400 requests 10000!access-list 23 permit !line con 0login localline aux 0line vty 0 4access-class 23 inprivilege level 15login localtransport input telnetline vty 5 15access-class 23 inprivilege level 15login localtransport input telnet!scheduler allocate 20000 1000!end路由器配置命令全集命令状态 1. router 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#; 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 三、设置对话过程 1. 显示提示信息 2. 全局参数的设置 3. 接口参数的设置 4. 显示结果 利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后，路由器首先会显示一些提示信息： - System Configuration Dialog - At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets . 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在中。然后路由器会问是否进入设置对话： Would you like to enter the initial configuration dialog? yes: 如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况： First, would you like to see the current interface summary? yes: Any interface listed with OK? value NO does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up 然后，路由器就开始全局参数的设置： Configuring global parameters: 1设置路由器名： Enter host name Router: 2设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示： The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示： The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4设置虚拟终端访问时的密码： Enter virtual terminal password: cisco 5询问是否要设置路由器支持的各种网络协议： Configure SNMP Network Management? yes: Configure DECnet? no: Configure AppleTalk? no: Configure IPX? no: Configure IP? yes: Configure IGRP routing? yes: Configure RIP routing? no: 6如果配置的是拨号访问服务器，系统还会设置异步口的参数： Configure Async lines? yes: 1) 设置线路的最高速度： Async line speed 9600: 2) 是否使用硬件流控： Configure for HW flow control? yes: 3) 是否设置modem： Configure for modems? yes/no: yes 4) 是否使用默认的modem命令： Configure for default chat script? yes: 5) 是否设置异步口的PPP参数： Configure for Dial-in IP SLIP/PPP access? no: yes 6) 是否使用动态IP地址： Configure for Dynamic IP addresses? yes: 7) 是否使用缺省IP地址： Configure Default IP addresses? no: yes 是否使用TCP头压缩： Configure for TCP Header Compression? yes: 9) 是否在异步口上使用路由表更新： Configure for routing updates on async links? no: y 10) 是否设置异步口上的其它协议。 接下来，系统会对每个接口进行参数的设置。 1Configuring interface Ethernet0: 1) 是否使用此接口： Is this interface in use? yes: 2) 是否设置此接口的IP参数： Configure IP on this interface? yes: 3) 设置接口的IP地址： IP address for this interface: 4) 设置接口的IP子网掩码： Number of bits in subnet field 0: Class C network is , 0 subnet bits; mask is /24 在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来： The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass 请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。 显示结束后，系统会问是否使用这个设置： Use this configuration? yes/no: yes 如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。 返回目录 四、常用命令 1. 帮助 在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。 2. 改变命令状态 任务 命令 进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 setup 进入全局设置状态 config terminal 退出全局设置状态 end 进入端口设置状态 interface type slot/number 进入子端口设置状态 interface type number.subinterface point-to-point | multipoint 进入线路设置状态 line type slot/number 进入路由设置状态 router protocol 退出局部设置状态 exit 3. 显示命令 任务 命令 查看版本及引导信息 show version 查看运行设置 show running-config 查看开机设置 show startup-config 显示端口信息 show interface type slot/number 显示路由信息 show ip router 4. 拷贝命令 用于IOS及CONFIG的备份和升级 5. 网络命令 任务 命令 登录远程主机 telnet hostname|IP address 网络侦测 ping hostname|IP address 路由跟踪 trace hostname|IP address 6. 基本设置命令 任务 命令 全局设置 config terminal 设置访问用户及密码 username username password password 设置特权密码 enable secret password 设置路由器名 hostname name 设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing 启动IPX路由 ipx routing 端口设置 interface type slot/number 设置IP地址 ip address address subnet-mask 设置IPX网络 ipx network network 激活端口 no shutdown 物理线路设置 line type number 启动登录进程 login local|tacacs server 设置登录密码 password password 五、配置IP寻址 1. IP地址分类 IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示： 种类 网络地址范围 A 到有效 和保留 B 到有效 和保留 C 到有效 和保留 D 到55用于多点广播 E 到54保留 55用于广播 2. 分配接口IP地址 任务 命令 接口设置 interface type slot/number 为接口设置IP地址 ip address ip-address mask 掩玛（mask）用于识别IP地址中的网络地址位数，IP地址（ip-address）和掩码（mask）相与即得到网络地址。 3. 使用可变长的子网掩码 通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。 如下图所示： Router1和Router2的E0端口均使用了C类地址作为网络地址，Router1的E0的网络地址为28,掩码为92, Router2的E0的网络地址为4,掩码为92，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。 4. 使用网络地址翻译（NAT） NAT（Network Address Translation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet. 当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的. l Class A: to 54 l Class B: to 54 l Class C: to 54 命令描述如下： 任务 命令 定义一个标准访问列表 access-list access-list-number permit source source-wildcard 定义一个全局地址池 ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length type rotary 建立动态地址翻译 ip nat inside source list access-list-number | name pool name overload | static local-ip global-ip 指定内部和外部端口 ip nat inside | outside 如下图所示， 路由器的Ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial 0端口为outside端口，其拥有合法IP地址（由NIC或服务提供商所分配的合法的IP地址）,来自网络/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址，经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法IP地址，它是由NIC或服务提供商所分配的地址）。命令ip nat pool c2501 2 netmask 92定义了全局地址的范围。 设置如下： ip nat pool c2501 2 netmask 92 interface Ethernet 0 ip address ip nat inside ! interface Serial 0 ip address 52 ip nat outside ! ip route Serial 0 access-list 2 permit 55 ! Dynamic NAT ! ip nat inside source list 2 pool c2501 overload line console 0 exec-timeout 0 0 ! line vty 0 4 end 六、配置静态路由 通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。 任务 命令 建立静态路由 ip route prefix mask address | interface distance tag tag permanent Prefix :所要到达的目的网络 mask :子网掩码 address :下一个跳的IP地址，即相邻路由器的端口地址。 interface :本地网络接口 distance :管理距离（可选） tag tag :tag值（可选） permanent :指定此路由即使该端口关掉也不被移掉。 以下在Router1上设置了访问4/26这个网下一跳地址为,即当有目的地址属于4/26的网络范围的数据报，应将其路由到地址为的相邻路由器。在Router3上设置了访问28/26及/30这二个网下一跳地址为5。由于在Router1上端口Serial 0地址为，/30这个网属于直连的网，已经存在访问/30的路径，所以不需要在Router1上添加静态路由。 Router1: ip route 4 92 Router3: ip route 28 92 5 ip route 52 5 同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由， ip route 5 即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为5的相邻路由器。 返回目录某单位使用 3620作为IOS DHCP Server，它和内网相连的fastethernet0端口的IP地址为，二层机采用两台 2950，三层机采用一台Cisco 3550。在整个网络中有二个VLAN，为简化描述，假设每个VLAN都采用24位网络地址，其中VLAN1的IP地址为54，VLAN2的IP地址为54。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址。考试大论坛配置DHCP地址池、附加信息以及租约期限DHCP的数据库被组织成一个树形结构，树根是用于动态分配的所有网络段的地址池，树枝是子网地址池，树叶是手工绑定给节点的地址。具体操作步骤如下：首先登陆到Cisco 3640器上：ghqenablePassword(输入器的特权口令)ghq #config terminal (进入配置模式)Enter configuration commands one per line.End with CNTL/Z.ghqconfig # ip dhcp pool global（配置一个根地址池，global是地址池的名称，你可以采用有意义的字符串来表示）ghq dhcp-config #network （动态分配的地址段）ghqdhcp-config #domain-name （为客户机配置域后缀）ghqdhcp-config #dns-server （为客户机配置DNS）ghqdhcp-config #netbios-name-server （为客户机配置wins服务器）ghqdhcp-config #netbios-node-type h-node（为客户机配置h节点模式）ghqdhcp-config #lease 30 （地址租用期为30天）本文来源:考试大网ghqdhcp-config #ip dhcp pool vlan1 （为VLAN1配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等参数）ghqdhcp-config #network （VLAN1动态分配192.168.1这个网段内可以被分配的地址，没有被排除的地址）ghqdhcp-config#default-router 54 （为客户机配置默认的网关，即VLAN1的IP地址）ghqdhcp-config#ip dhcp pool vlan2 （为VLAN2配置地址池，本池是global池的子池，将从global继承域后缀、DNS服务器、wins服务器等可继承的参数）ghqdhcp-config#network ghqdhcp-config#default-router 54设置不能用于动态分配的IP地址在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然，这些静态IP地址是不能用于动态分配的，这就需要将它们排除掉。其步骤如下：来源：考试大的美女编辑们ghqconfig#ip dhcp excluded-address （IP地址 至不能用于动态分配）ghqconfig# ip dhcp excluded-address 54（IP地址54固定为VLAN1的地址，不能用于动态分配）ghqconfig# ip dhcp excluded-address 54（IP地址54固定为VLAN2的地址，不能用于动态分配）设置DHCP数据库代理DHCP数据库代理是用于DHCP绑定信息的一台主机，它可以是FTP、TFTP或者是RCP服务器。当然，如有必要，你可以配置多个DHCP数据库代理。同样，不配置DHCP数据库代理也是允许的，但这是以不能在DHCP数据库代理上地址冲突日志为代价的。如果我们不想配置数据库代理，只要取消掉地址冲突日志的记录功能即可，操作命令如下：ghqconfig# no ip dhcp conflict logging （取消地址冲突记录日志）本文来源:考试大网配置路由器的静态路由表要使客户机能从用作DHCP