路由器基本操作

1、 民族 安全 创新 服务 路由器接口技术技术基础课程系列 民族 安全 创新 服务课程内容路由器认证和用户管理4路由器硬件认识1路由器shell系统介绍2路由器系统配置与管理3路由器日志及配置管理5路由器软件升级6 民族 安全 创新 服务MP2824路由器外观MP2824正面面板图MP2824背面面板图 民族 安全 创新 服务MP2806正面面板图MP2806背面面板图RM2-1E1模块 民族 安全 创新 服务路由器使用注意事项l使用设备前认真阅读安装手册、说明书；l推荐使用UPS不间断电源，并对供电系统采用严格的防电网干扰措施；l推荐使用时保证可靠接地，且最好不要与电力系统接地分离；l注意机房

2、环境，维持一定的温度和湿度，保证室内防尘；l远离大功率无线电发射台，雷达发射台、高频大电流设备；l妥善放置设备，避免跌落；妥善接线，避免踩踏；l人体接触电路板件，应戴防静电手腕，穿防静电工作服；l禁止带电插拔电缆线； 民族 安全 创新 服务工具配备需求必需配备：配置口线缆；USB转串口线缆配置终端（PC上的终端模拟软件CRT等）建议配备：交叉网线和直连网线；防静电手腕；各选配模块的接口线缆十字槽螺丝刀； 民族 安全 创新 服务路由器硬件安装上架安装建议：1、当在同一个机柜上安装多种设备时，在不影响整体布线、布局的前提下，应考虑尽量将重量大的设备安装在机柜的底部或靠近底部的位置，以便降低机柜的重

3、心，提高稳定性。2、在机柜中安装设备时，为保证设备的散热空间，设备和设备之间建议保留1U高度空间。设备和设备之间的间隙安装机柜配置的空挡板。 民族 安全 创新 服务课程内容路由器认证和用户管理4路由器硬件认识1路由器shell系统介绍2路由器系统配置与管理3路由器日志及配置管理5路由器软件升级6 民族 安全 创新 服务路由器的配置方法 路由器配置方式：l通过终端或PC串口接路由器console接口，采用shell命令进行配置l通过Telnet远程登录到路由器上配置l通过频带modem模块LINE口进行配置l通过SNMP网管系统对路由器进行配置 民族 安全 创新 服务CRT终端软件使用路由器配置

4、方式：l点击快速链接l选择serial协议l选择对应COM接口l设置数量9600，无流控 民族 安全 创新 服务路由器的操作系统shell 民族 安全 创新 服务Shell命令运行模式结构只能看看能够操作进行配置router2(config)#interface s1/0router2(config-if-serial1/0)#physical-layer syncrouter2(config-if-serial1/0)#encapsulation ppprouter2(config-if-serial1/0)#ip address router2(conf

5、ig-if-serial1/0)#ppp pap sent-username goat password maipurouter2(config-if-serial1/0)#exit 普 通 用 户 模 式 特 权 用 户 模 式 全 局 配 置 模 式 接 口 配 置 模 式 路 由 配 置 模 式 文 件 系 统 模 式 访 问 列 表 配 置 模 式 语 音 口 配 置 模 式 拨 号 端 配 置 模 式 加 密 变 换 配 置 模 式 加 密 映 射 配 置 模 式 公 钥 配 置 模 式 IK E策 略 配 置 模 式 D H C P配 置 模 式e n a b l ef i l e

6、 s y s t e mc o n f i g u r ei n t e r f a c er o u t e r * * *i p a c c e s s - l i s tv o i c e - p o r td i a l - p e e rc r y p t o i p s e c t r a n s f o r m - s e t c r y p t o m a pc r y p t o i s a k m pc r y p t o k e yp u b k e y - c h a i n r s a公 钥 系 列 配 置 模 式n a m e d - k e y 或 者a d d

7、r e s s e d - k e yi p d h c p p o o l 民族 安全 创新 服务Shell常用模式说明 模式名称模式进入方法系统提示符退出方法功能说明普通用户模式Loginrouter执行exit命令退出改变终端设置执行基本测试显示系统信息特权用户模式在普通用户模式下执行enable命令router#执行disable命令退回到普通用户模式配置路由器运行参数全局配置模式在特权用户模式下执行configure命令，同时指定相应的关键字router(config)#执行exit命令退回到特权用户模式下；配置路由器运行所需的全局参数接口配置模式在全局模式下执行interface命

8、令（同时指定相应的接口或者接口组）router(config-if-xxxnumber)#执行 exit命令退回到全局配置模式执行 end命令退回到特权用户模式在该模式下配置路由器接口 民族 安全 创新 服务Shell常用模式说明 模式名称模式进入方法系统提示符退出方法功能说明路由配置模式在全局配置模式下执行相应的路由配置命令router(config-static)#router(config-rip)#router(config-irmp)#执行 exit命令退回到全局配置模式执行 end命令退回到特权用户模式配置IP路由协议，包括：静态路由RIP动态路由IRMP配置模式文件系统配置模式在

9、全局模式下通过命令filesystem进入该模式router(config-fs)#执行 exit命令退回到特权用户模式完成路由器的文件系统的管理；升级路由器软件。访问列表配置模式在全局配置模式下，通过ip access-list命令进入该模式。router(config-std-nacl)#router(config-ext-nacl)#运行exit命令退回到全局配置模式配置防火墙访问列表，包括：配置标准访问列表配置扩展访问列表 民族 安全 创新 服务Shell命令行常用功能在线帮助：（“help”和“？”的使用）l在任一命令模式下，键入help可以获取有关帮助系统的简单描述：routerh

10、elp l在任一命令模式下，键入“？”获取该命令模式下所有命令及其简单描述。 router#?l键入一命令，后接以空格分隔的“？”，则显示出所有该命令在当前模式下可以执行的子命令。router#show ? l键入一字符串，后紧接“？”，列出以该字符串开始的所有关键字及其描述router#d? 民族 安全 创新 服务Shell命令行常用功能历史命令查看l系统将用户输入的命令自动保存到历史命令缓冲区，用户可以随时调用命令行接口保存的历史命令，并重复执行，从而减少不必要的重复输入工作。l命令行接口为每个连接到路由器的用户最多保存10条命令，随后新的命令将覆盖掉旧的命令操作按键执行结果访问上一条历史

11、命令上光标键或Ctrl+p如果还有更早的历史命令，取出之；否则响铃告警访问下一条历史命令下光标键或Ctrl+n如果还有更晚的历史命令，取出之；否则清空命令行并响铃告警 民族 安全 创新 服务Shell命令行常用功能编辑特性 命令行接口提供了基本的命令编辑功能，支持多行编辑，每行命令至多可达256个字符，下表即是shell子系统为命令行接口提供的基本编辑功能按键功能普通按键如编辑缓冲区未满，则插入当前光标位置处，并向右移动光标；退格键Backspace删除光标前一字符，光标前移，若已到达命令首，则响铃告警删除键Delete删除光标处的字符，若已到达命令尾，则响铃告警左光标键、B光标向左移动一个字

12、符位置，若已到达命令首，则响铃告警右光标键、F光标向右移动一个字符位置，若已到达命令尾，则响铃告警上下光标键显示历史命令A光标移到命令行首E光标移到命令行尾U删除光标左边的所有字符直到命令行首K删除光标右边的所有字符直到命令行尾 民族 安全 创新 服务Shell命令行常用功能命令简写 在用户操作时，很多命令、参数的全称较长，我们可以用简写的方式来简化操作，只输入开头的几个字母来代表全称l简写命令和参数的条件是：在当前位置没有2条及以上可以同时匹配简写的开头字母。l简写命令时，也可以用TAB键显示命令全称。 完整命令：router#show running-config 简写命令：router#

13、sh run 民族 安全 创新 服务Shell命令行常用功能撤销配置 每个配置命令都有相应的no命令，用于撤销相应的配置，no命令的用法是在输入原命令的模式下，先输入no再输入完整的原配置命令： 原命令：router(config-if)# ip route 撤销命令：router(config-if)# no ip route 部分配置的撤销命令输入no后不需要输入完整的原配置，具体情况可以通过系统帮助来查看。 民族 安全 创新 服务Shell命令行常用功能查看信息命令show系统命令show可以

14、查看的信息分为以下几类： 系统软、硬件资源信息 系统统计信息 系统配置信息 系统基本信息show命令一般只能在普通用户模式和特权用户模式执行。 范例：查看路由器所有接口的状态信息router#show interface 范例：查看路由器f0接口的状态信息 router#show interface fastethernet 0 民族 安全 创新 服务Shell命令行常用功能协议调试命令debug： 系统当前提供众多协议的调试开关，包含IP、PPP、HDLC、OSPF、FR、X25等，基本的命令是debugldebug命令一般只能在普通用户模式和特权用户模式执行。l 为了避免数据量过大造成线路

15、中断，系统默认不为l远程登陆用户送调试信息。l若一定需要为远程登陆用户送调试信息，可用：router#termial monitor 范例：打开IP协议访问列表（access-list）报文调试开关： router#debug ip packet access-list 范例：关闭相应协议调试开关 router#no debug ip packet access-list 或者：（关闭所有的调试开关） router#no debug all 民族 安全 创新 服务课程内容路由器认证和用户管理4路由器硬件认识1路由器shell系统介绍2路由器系统配置与管理3路由器日志及配置管理5路由器软件升级6

16、 民族 安全 创新 服务路由器系统配置常用命令配置系统名称l路由器在出厂时，其缺省的系统名称是routerl在使用过程中，用户可以根据自己的需要，随时改变系统的名称。 这种改动是立即生效的，即新的系统名称将会在下一次系统提示符的显示中出现 命令描述配置模式hostname hostname配置路由器名称config 配置系统时间l路由器中设置了独立的时钟系统，用来记录系统的当前时间，可以通过命令clock配置系统当前时间的年、月、日、时、分、秒 l可以通过配置NTP服务使系统在启动后自动获得当前时间命令描述配置模式clock year month day hour minute second配

17、置系统时钟enablentp server 4配置系统服务器Config 民族 安全 创新 服务路由器存储系统SDRAMSDRAMFLASHFLASHEEPROMEEPROM用作路由器应用程序的执行空间存放应用程序、配置、BootROMBootROM程序等存放经常改动的系统配置文件、用户信息等应用程序配置文件BootROMBootROM其他文件TFFS 民族 安全 创新 服务TFFSTrueFlashFileSystem 迈普路由器在系统flash设备上构造了一个基于DOS的文件系统，用于存放路由器应用程序（协议软件、驱动程序等）、BootROM程序等很少需要修改的信息

18、。该文件系统称之为TFFS（True Flash File System） 。 命令命令功能命令运行模式copy文件拷贝config-fsdelete文件删除config-fsdir查看目录或文件config-fscd 改变当前路径config-fsmkdir创建目录config-fspwd显示当前所处路径config-fs由于TFFS基于DOS文件系统，因此不支持长文件名，限制目录名不超过8个字符，文件名满足8.3命名规范。 民族 安全 创新 服务配置文件管理配置文件的内容和格式配置文件以文本文件的形式存在于文件系统中，名字是starup，其格式如下：l以配置命令的格式存在；l为节约flas

19、h设备的存储空间，当前只保存配置模式下的命令；l命令的组织以命令模式为标准，同一模式下的命令组织在一起形成一个段落；l段落之间的顺序按照一定规则排列：即全局配置模式、接口配置模式、路由配置模式；l按照命令之间的相互关系分类，相关的命令形成组，组与组之间通过空行分隔。 民族 安全 创新 服务配置文件管理配置文件的备份 配置文件可用文本编辑器按照格式编辑，然后通过FTP或TFTP下载到路由器上执行。通过FTP下载路由器配置文件的方法：l在一台计算机上编辑配置文件config;l启动计算机上的FTP SERVER；l在路由器的文件配置模式下执行命令ftpcopy，从计算机上下载配置文件；l重新启动路

20、由器，执行配置文件startup，修改系统配置。 router(config-fs)#ftpcopy A.B.C.D router router1 config startup 计算机地址 用户名 密码 文件名 本地文件名 通过TFTP下载配置文件与通过FTP下载类似，唯一区别在于要求计算机运行TFTP SERVER。 民族 安全 创新 服务配置文件管理配置文件的加载 配置文件可用文本编辑器按照格式编辑，然后通过FTP或TFTP下载到路由器上执行。通过FTP下载路由器配置文件的方法：l在一台计算机上编辑配置文件config;l启动计算机上的FTP SERVER；l在路由器的文件配置模式下执行命

21、令ftpcopy，从计算机上下载配置文件；l重新启动路由器，执行配置文件startup，修改系统配置。router(config-fs)#ftpcopy A.B.C.D router router1 config startup 计算机地址 用户名 密码 文件名 本地文件名 通过TFTP下载配置文件与通过FTP下载类似，唯一区别在于要求计算机运行TFTP SERVER。 民族 安全 创新 服务配置文件管理保存系统当前配置 用户在修改了系统配置，经过验证无误后，可以将当前配置保存起来，以供下一次启动路由器作为配置参数。 执行下面的命令可以将当前运行的配置保存到启动配置文件（STARTUP）中：查

22、看系统当前运行配置router#show running-config查看系统保存的启动配置router#show startup-configrouter#writeAre you sure to overwrite /flash/startup (Yes|No)?yesBuilding Configuration.doneWrite to startup file . OK 民族 安全 创新 服务课程内容路由器认证和用户管理4路由器硬件认识1路由器shell系统介绍2路由器系统配置与管理3路由器日志及配置管理5路由器软件升级6 民族 安全 创新 服务看是否有配置line AAA认证用户登录

23、 进入Shell 未配置line未配置AAA已配置line已配置AAA看是否有配置AAA line认证Enable认证 民族 安全 创新 服务用户及级别设置设置用户及相关属性使用user命令来配置本地用户和相关用户权限属性。 命令描述配置模式user user-name password 0 password设置用户及密码。configuser user-name nopassword设置用户在登录时无需密码验证。configuser user-name privilege 0-15设置用户的授权级别。config 用户分015级，0-1进入普通用户模式，2-14进入特权用户模式，但不能进入配

24、置模式，15最高等级；只有高级别用户才能对低级别用户操作；设置用户密码时的参数0代表以明文输入，而不是以密文输入。 民族 安全 创新 服务用户及级别设置修改命令的级别 在迈普路由器IOS中的每个shell命令都有一个默认的级别，但是可以通过命令privilege来修改其默认级别。 保证只有相应级别及以上的用户才有配置、查看相应命令的权限。 命令描述配置模式privilege MODE level 0-15 all | command LINE修改命令的级别config设置enable密码 设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码（0代表输入明文）。若没有配置ena

25、ble密码，则非console用户不能进入特权模式。命令描述配置模式enable password level 1-15 0 password指定级别和密码，密码为明文。config 民族 安全 创新 服务用户及级别设置设置line属性 路由器支持一个console口用户最多16个telnet用户和16个ssh用户同时登录到设备上，line命令可以为这些登录设置不同的认证、授权等属性。命令描述配置模式line con 0进入console口line配置模式configline vty 0-15 0-15进入telnet用户的line配置模式configline ssh-vty 0-15 0-1

26、5进入SSH用户的line配置模式configprivilege level 0-15配置登录用户被授权的级别，默认级别为1。config-linepassword 0 password配置line密码。（0代表输入明文）config-linelogin local |配置登录认证方式，其中login 使用line密码认证，login local 使用本地用户数据库认证，no login表示不需要认证就可以登录。config-line 民族 安全 创新 服务AAA技术概念l AAAAAA是认证、授权和统计（Authentication, Authorization and Authentica

27、tion, Authorization and AccountingAccounting）的简称。l 它提供了一个用来对这三种安全功能进行配置的一致性框架。AAAAAA的配置实际上是对网络安全的一种管理。l 这里的网络安全主要指访问控制。包括： 哪些用户可以访问网络服务器？ 具有访问权的用户可以得到哪些服务？ 如何对正在使用网络资源的用户进行记账？ 民族 安全 创新 服务AAA基本原理NAS网络接入服务器（Network Access Server）。在路由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接（比如拨号连接）从而获得访问其他网络的权限时，NAS起到了验证用

28、户的作用。RADIUS远程身份认证拨入用户服务（Remote Authentication Dial In User Service）。 TacacsTacacs是终端访问控制系统（Terminal Access Controller Access Control System）的简称。 民族 安全 创新 服务AAA认证简单设置命令 命令描述配置模式aaa new-model*启动AAAconfigaaa authentication login*配置AAA登陆认证configaaa authentication enable*配置进入特权模式认证config配置范例router(config

29、-if)# aaa new-model启动AAA功能router(config-if)# aaa authentication login default local对登陆用户根据本地用户数据库进行身份认证 民族 安全 创新 服务课程内容路由器认证和用户管理4路由器硬件认识1路由器shell系统介绍2路由器系统配置与管理3路由器日志及配置管理5路由器软件升级6 民族 安全 创新 服务路由器日志管理开启路由器日志记录功能命令描述配置模式logging enable启动日志功能。相应执行no logging enable关闭日志功能configlogging file logging-level配

30、置某个严重级别以上的信息记录到flash的日志文件中，默认是warn级别，即04级的信息都记录到flash的日志文件中configservice timestamps log datetime msec | uptime配置日志消息头的时间戳选项：本地时间（datetime）或者系统启动时间（uptime）config 民族 安全 创新 服务路由器日志管理查看和清除系统日志命令描述配置模式clear logging buffer | file清除内存或者flash文件的日志内容。如果不指定类型，则清除内存和flash的日志文件enableshow logging file | buffer显示

31、内存或者flash文件的日志内容。如果不指定类型，则只显示flash的日志内容enableterminal monitor在telnet、ssh的终端上打开打印日志信息的开关，只有执行该命令，日志信息才能在telnet，ssh终端上打印 enable 民族 安全 创新 服务路由器日志管理日志服务器的设置命令描述配置模式logging log-server vrf vrf-name start-level end-level 配置日志服务器的主机名或IP地址，配置需要发送到日志服务器的信息级别范围，可以通过指定VRF名把信息从经过VRF发送出去。默认没有配置日志服务器，默认发送到日志服务器的信息

32、级别为04。configlogging event配置将操作执行的shell命令发送到日志服务器上configlogging source-ip source-address配置发送信息到日志服务器时使用的源地址configlogging trap配置启用将日志信息发送到指定的日志服务器上。相应的no logging trap命令关闭该功能config 民族 安全 创新 服务配置备份设备配置备份l 将startup启动文件copy备份到指定ftp服务器上（文件系统模式下）Router(config-fs)#copy startup-config ftp vrf vrf-name dest-ip

33、address ftp-username ftp-password dest-filenamel 将runing-config启动文件copy备份到指定ftp服务器上（文件系统模式下）Router(config-fs)# copy running-config ftp vrf vrf-name dest-ipaddress ftp-username ftp-password dest-filenamerouter1(config-fs)#copy startup-config tftp backup1 民族 安全 创新 服务配置恢复设备配置备份 将备份的startup启动文件copy到路由器文件系统下覆盖当前启动文件（文件系统模式下）Router(config-fs)# copy ftp vrf vrf-name dest-ipaddress ftp-username ftp-password source-filename startup-configrouter1(confi