路由器的配置

5.4.2　路由器的配置

下面就路由器的典型应用介绍其使用方法，在介绍过程中主要以CISCO公司的CISCO 3640路由器为例。

1．CISCO 3600系列路由器简介

CISCO 3600系列路由器是CISCO公司推出的一种性能价格比较高的中档路由器，适用于大中型企业网和校园网。CISCO 3600系列路由器属于模块化路由器，根据模块的数量将CISCO 3600系列路由器分为三种款式：CISCO 3620路由器、CISCO 3640路由器和CISCO 3660路由器，这三款路由器最多可以安装2，4，6个可自行选择的模块，分别采用了80-MHz IDT R4700 RISC，100-M Hz IDT R4700RISC和225-M Hz QED RM 5271微处理器。图5-18是CISCO 3640路由器示意图，在插槽0和插槽1中分别安装了一块网络模块。

由于CISCO 3600系列路由器是模块化的路由器，因此给用户带来了很大的灵活性，用户可以根据自己的实际需要选购安装不同的网络模块。目前CISCO 3600系列路由器支持的网络端口（在CISCO路由器的文档中称作Interface，本书全部将其翻译为端口，而不将其翻译成接口）有：Ethernet/Fast Ehternet、ISDN、模拟Modem、数字Modem、令牌环、同步/异步串行口、ATM等。

图5-18　CISCO 3640路由器

2．CISCO路由器配置基础

（1）如何访问CISCO路由器

对CISCO进行访问同样有两种方法：通过控制台端口进行访问和通过Telnet进行远程访问，但在完成对CISCO路由器的基本配置之前，只能通过控制台端口对其进行访问。具体的操作方法请参见本书第3.4.3节“交换机的配置”中有关对交换机进行访问的介绍。

（2）CISCO路由器中模块及端口的编号

在对CISCO进行访问和配置过程中，熟悉路由器的模块和端口的编号是非常重要的，因为在配置命令中需要通过编号来确定操作对象。

对CISCO路由器中的端口进行编号的基本原则是在端口类型后加上该端口所在模块的编号和该端口在模块内部的编号，模块编号和端口编号之间使用“/”作为分隔符。而模块编号和模块中端口编号的基本原则是自下而上，自右向左，并以0作为编号的起始值。例如，Ethernet0/1表示位于模块0中第二个以太网端口。

（3）CISCO路由器的命令行简介

CISCO路由器的命令行与上一章中介绍的Catalyst6000系列交换机的命令行基本相同，最大的区别是CISCO路由器的命令行具有更多的命令行模式。除了基本的用户执行模式和特权执行模式以外，还有全局配置模式和端口配置模式。有关用户执行模式和特权执行模式的介绍请参阅本书第3.4.3节“交换机的配置”。

在CISCO路由器的特权执行模式下，基本上只能进行显示当前路由器的工作状态和配置等操作，而不能对路由器的配置进行修改。全局配置模式用于修改针对路由器整体工作状态的配置，而端口配置模式则用于修改针对单个或多个端口的工作状态的配置。识别路由器当前的命令行工作模式，可以从命令行的提示符加以区分。在下面给出的配置实例中，第1～4行分别处于用户执行模式、特权执行模式、全局配置模式和端口配置模式。

上面的配置实例中，Enable命令用于从用户特权模式进入特权执行模式，Configure Term inal命令用户从特权执行模式进入全局配置模式，Interface命令是从全局执行模式进入端口配置模式使用的命令，后面跟的参数是端口的类型和编号。Exit命令用于从一种命令行模式返回到上一层命令行模式，也可以在端口配置模式中输入End命令或者按Ctrl+Z键直接返回到特权执行模式。

CISCO路由器的命令行操作与Catalyst6000系列交换机的命令行还有一项重要的区别是：在Catalyst6000系列交换机中对配置进行修改后，交换机将自动保存最新的配置，而CISCO路由器中在对配置进行修改后，需要在特权执行模式下使用W rite命令对配置进行保存，否则在路由器重新启动后，将恢复到修改以前的配置。

另外，如要在CISCO 3640路由器中显示当前的配置文件，应该使用命令sh，如：

Router# sh running-configure

3．路由器的基本配置

路由器的基本配置操作是对路由器的名称、访问口令等基本信息进行设置。在首次启动路由器时，系统将提示用户是否要进入路由器的基本配置操作。

进入路由器的基本配置操作后，系统将首先询问是否需要显示路由器中所有端口的信息；然后系统将要求用户输入路由器的名称，路由器的名称将出现在命令行的提示符中。接下去要求用户设置进入特权执行模式时使用的SecretPassword或Password，这两者的差别在于：SecretPassword是以加密的形式存放的，而Password则以明文的形式保存在配置文件中，同时还要求这两者不能相同，并且在设置了SecretPassword的情况下输入Password是无效的。输入访问特权执行模式的访问口令后，系统提示用户设置登录交换机的口令。

对已经正常工作的路由器也需要经常修改其名称、访问的口令，此时可以直接使用相应的命令来进行单独的设置。

修改路由器名称的命令为Hostname，下列命令行把路由器命名为Ecnu_Router：

Router（config）# hostname Ecnu_Router

设置Secret Password的命令为Enable Secret，下列命令行设置Secret Password为

guessme：

Router（config）# enable secretguessme

设置Password的命令为Enable Password，下列命令行设置Password为guess：

Router（config）# enable password guess

设置路由器登录口令的命令为：

Router（config）# line vty 0 4

Router（config-line）# password guessagain

这样就将路由器的登录口令设置成了“guessagain”。

4．路由器端口的设置

CISCO 3640路由器中可以根据实际需要选择并安装不同类型的端口模块，同时需要设置这些端口，使其能够进行正常的工作。下面介绍较为常用的以太网端口和串行链路端口的配置方式。

（1）以太网端口

以太网端口是目前CISCO 3640路由器最为常见的网络端口，下面是配置以太网端口的操作过程：

在第3行命令中，“ip routing”命令激活了该以太网端口使用的IP路由协议。由于该命令是在全局配置模式下使用的，因此该命令将对路由器的所有端口都有效，在设置其他端口时，不必重复使用该命令。如果需要使用其他的路由协议，则可以使用相应的命令对其进行激活，例如，“ipx routing”命令用于激活IPX路由协议，这些不同的路由协议可以同时在CISCO 3640路由器中使用。

第4行命令的作用是选择要配置的以太网端口，命令中“ethernet0/1”是以太网端口的编号，表示选择了该路由器中第一个端口模块中的第2个以太网端口。

第5行命令是设置该以太网端口的IP地址为172.16.74.3，命令中的子网掩码表示网络号为172.16.74.0/24的网络与该以太网端口直接相连。在路由器任何端口中设置的IP地址均可以被用于远程访问路由器的连接。

设置完成后，可以使用“end”命令返回到特权执行模式；也可以使用“exit”命令返回到全局配置模式；还可以使用“interface”命令选择其他的端口继续进行配置。

（2）串行链路端口

串行链路通常用于连接广域网，根据其传输模式的不同可以分为同步串行链路和异步串行链路。串行链路端口模块通常属于以太网端口中的一个子模块，用户可以根据实际情况选择是否安装串行链路端口模块。下面是串行链路端口的配置过程：

第4行命令选择了CISCO 3640路由器中第1个模块的第1个串行链路端口。第5行命令设置了该串行链路端口的IP地址。后面的命令分别设置了串行端口的另外一些属性，如异步方式、速率、NRZI编码方式等。

（3）端口的关闭和激活

在对路由器中的网络端口进行了设置之后，该端口就进入了工作状态。在使用过程中，如果想关闭某个端口，使其停止工作，可以在进入端口配置模式后，输入以下命令：

Router（config-if）# shutdown

而激活一个被关闭的端口，只要在该命令前加上“no”，即：

Router（config-if）# no shutdown

5．路由协议的设置

（1）设置静态路由

虽然静态路由存在对网络变化适应性差的缺点，同时也经常会听到“不要使用静态路由”的劝告，但实际上在路由器中还是经常会使用静态路由，特别是在前面提到过的“端网络”的情况下。

设置静态路由的命令为：

Router（config）# ip route202.132.123.0 255.255.255.0 ethernet0/1

命令中202.132.123.0表示目的网络IP地址，255.255.255.0是目的网络的子网掩码，这两者组合在一起形成了目的网络的网络号。ethernet0/1表示该目的网络连接在路由器中的第1个模块的第2个以太网端口中。路由器中所有网络端口均可以在静态路由中使用，该参数还有一种形式是下一站路由器的地址：

Router（config）# ip route 202.132.124.32 255.255.255.224 202.131.5.169

缺省路由属于特殊的静态路由，在设置缺省路由时，将目的网络地址前缀和子网掩码均设置为0.0.0.0以表示这是缺省路由：

Router（config）# ip route 0.0.0.0 0.0.0.0 serial0/0

设置了缺省路由后，所有没有在路由表中出现的目的IP地址的报文将被发送到缺省路由中所指的网络端口或下一站路由器中。静态路由的使用可以简化路由表的设置。

（2）设置RIP协议

在CISCO 3640路由器中设置RIP协议的操作非常简单。首先是启动RIP协议，然后设置RIP协议的版本以及路由器中所有端口所对应的网络号。

启动RIP协议的命令为：

Router（config）# route rip

Router（config-router）#

启动了RIP协议后，系统将进入到RIP路由配置模式，请注意命令行提示符的变化。在RIP路由配置模式中，可以对RIP的参数进行设置。在进入RIP路由配置模式后，可以使用“exit”和“end”命令分别返回到全局配置模式和特权执行模式。

通常情况下，为了能够让RIP协议进行正常的工作，只要在路由器中设置好每个端口所连接的网络号即可，命令如下：

Router（config-router）# network 202.134.23.0

命令中的202.134.23.0是路由器中某个端口所连接的网络的网络号。可以反复使用该命令将路由器中所有端口所连接的网络的网络号设置在RIP协议中。

如果需要使用RIP-2协议，那么还需要将RIP协议的版本号设置为2，使用的命令为：

Router（config-router）# version 2

如果要停止RIP协议，则使用命令：

Router（config）# no route rip

（3）设置OSPF协议

与RIP协议的配置方法相似，设置OSPF协议同样是先启动OSPF协议，进入OSPF配置模式，使用的命令为：

Router（config）# route osp f 100

Router（config-router）#

根据OSPF协议的工作原理，将选择路由器各活动端口中最高的IP地址作为该路由器的ID，因此在路由器中启动OSPF协议之前，至少已经为其中的一个活动端口配置了IP地址，否则系统将给出错误提示。

命令中100被用作OSPF路由器的过程标识符，在一个OSPF区域中，各路由器的该标识符不必相同，但将它们保持一致将有利于管理。通常情况下，会选择某个单位的自治系统的标号作为过程标识符。

启动了OSPF协议之后，应该将OSPF协议应用到各路由器的端口。一般情况下，可以使用以下命令将OSPF协议加入到所有的网络端口中：

Router（config-router）# network 0.0.0.0 255.255.255.255 area 0

因为命令中的0.0.0.0 255.255.255.255包含了所有的IP地址，因此在这里就代表了所有的网络端口。area 0表示的是该路由器所在OSPF区域编号。

在完成了以上配置后，除了可以使用“sh ip route”命令来显示路由器当前的路由表之外，还可以使用以下命令来显示当前路由器的OSPF邻居及其状态：

这里介绍的只是OSPF协议配置中比较简单的一些操作。

6．访问控制列表的设置和应用

访问控制列表（ACL）是路由器中一项重要的技术，可以设定一定的条件，对流经路由器的报文进行一定的控制和引导。

（1）创建访问控制列表

创建访问控制列表首先要为其选择一个编号，这个编号不仅用于标识访问控制列表，而且从编号中也可以看出访问控制列表的类型。在CISCO 3640路由器中访问控制列表的类型有：IP，Ethernet，Transparent Bridging，XNS，IPX，DECnet，V INES，AppleTalk，Source-route Bridging等，除了AppleTalk和Source-route Bridging外，其他类型的访问控制列表都被划分为基本的（Standard）和扩展的（Extended）两种子类型。基本的IP访问控制列表的编号范围为1～99和1 300～1 999，扩展的IP访问控制列表的编号范围为100～199和2 000～2 699。

访问控制列表是由一组访问控制项所组成的，每个访问控制列表中至少具有一个以上的访问控制项。每个访问控制项由控制动作、协议、源地址和目的地址等基本内容所构成。

创建访问控制列表属于路由器的全局操作，其命令为：

Router（config）# access-list 1 perm it192.5.34.0 0.0.0.255

从命令中可以看出，上述命令创建了一个基本的IP访问控制列表，因为它的编号为1。同时，该命令还在访问控制列表1中添加了一个访问控制项，perm it是访问控制项的动作，表示允许满足该访问控制项条件的报文通过，常见的还有一个动作是deny，表示拒绝转发满足条件的报文。192.5.34.0和0.0.0.255分别表示报文中的目的IP地址和IP地址通配符，IP地址通配符的作用与子网掩码的作用有些相似，目的IP地址与IP地址通配符组合起来形成了目的IP地址的范围。上述命令中，目的IP地址的范围为：192.5.34.0~192.5.34.255。将IP地址通配符转换成二进制后，其中为1的那些位在目的IP地址中所对应的那些位可以是0也可以是1，而其他位必须按照目的IP地址所定义的，前面的0.0.0.255就是表示目的IP地址的低8位是可以变化的。

扩展的IP访问控制列表对基本IP访问控制列表在功能上进行了重要的扩充，主要体现在：可以针对具体的TCP/IP协议来进行访问控制；可以根据TCP协议和UDP协议的端口号进行访问控制；可以根据源IP地址进行访问控制。下面是设置扩展的IP访问控制列表的操作命令：

Router（config）# access-list102 perm it tcp 0.0.0.0 255.255.255.255 128.88.1.2 0.0.0.0 eq 25

在上述命令中，创建了一个编号为102的扩展IP访问控制列表。命令中的tcp是指出该访问控制项是针对TCP协议进行的控制，0.0.0.0和255.255.255.255给出了源IP地址及其通配符，在这里代表了所有的IP地址，实际上也可以用any来表示所有的IP地址。128.88.1.2 0.0.0.0表示了目的IP地址为128.88.1.2的单个IP地址，也可以用host128.88.1.2的形式来表示单个IP地址。eq在这里属于运算符，其运算对象为端口号，表示相等。除了eq以外，端口号运算符还有neq，lt，gt和range，分别表示不等于、小于、大于和之间，这些运算符中，除range需要给出两个端口号作为参数外，其他只要一个端口号。在上述的例子中，25就是端口号。综上所述，上述命令设置了这样一条访问控制列表：允许目的IP地址为128.88.1.2且目的端口号为25的TCP报文通过。

在实际使用过程中，路由器将在运用了访问控制列表的端口中对每个报文进行检测，将报文与访问控制列表中的每条访问控制项进行匹配，匹配的顺序为自上而下，如果检测到完全匹配的访问控制项，匹配过程将停止，并根据访问控制项中所规定的动作（Permit或Deny）对报文进行处理。如果所有的访问控制项均与报文不能匹配，那么路由器将使用缺省的访问控制项“deny any”拒绝该报文通过。

（2）访问控制列表的删除

删除访问控制列表的操作比较简单，操作的命令为：

Router（config）# no access-list102

需要注意的是该命令只能删除一个访问控制列表中的所有访问控制项，而不能针对单个访问控制项进行删除操作。

（3）访问控制列表的应用

创建了访问控制列表之后，必须将其应用到路由器的端口中才能开始发挥其作用。在路由器端口中应用访问控制列表前，需要在全局配置模式下选择某个端口进入到端口配置模式，然后使用命令：

Router（config-if）# ip access-group 102 in

命令中的“102”是应用的访问控制列表的编号，“in”表示在报文进入到该端口时进行访问控制，与此相反，可以使用“out”来表示在报文从该端口被转发出去之前进行访问控制。

7．拨号设置

CISCO 3640路由器中可以安装模拟Modem和ISDN BRI模块，使得路由器既可以通过拨号访问连接WAN，也可以作为拨号服务器供远程用户访问。

（1）Dialer的设置

Dialer是路由器中负责拨号的一个逻辑实体，包含了对方计算机的电话号码、用户名和口令等诸多拨号属性，与W indows操作系统中的拨号连接有许多相似之处。在CISCO 3640路由器中，对Dialer的设置可以分为拨出（DialOut）和拨入（Dial In）两种。

拨出Dialer是负责由路由器向外进行拨号的，设置的主要内容有：

第3行命令中通过Interface命令建立了一个编号为10的Dialer，在CISCO 3640路由器中，Dialer编号的范围为1~799。

第4行命令是设置该Dialer端口的IP地址由拨号时双方协商决定，实际上是要求由对方动态分配。

第5行命令设置拨号时使用PPP协议进行身份验证，而在第10行命令中设置拨号时使用的是用户名和口令，在上述例子中用户名和口令均为81890。

第6行命令设置了该Dialer所连接的对方计算机的电话号码为81890。

第7行命令设置了拨号的空闲中断时间为300秒，也就是说在300秒内没有数据通过该Dialer时，该Dialer将自动终止拨号连接。

第8行命令设定了该Dialer使用5号拨号池，拨号池的有效范围为1~255。

第9行命令设置了该Dialer使用1号拨号列表，拨号许可列表与访问控制列表的作用有些相似，用于指定可以触发拨号的条件。在第12、13行命令中对1号拨号列表进行了定义，实际上拨号列表可以被不同的Dialer所共享。

为了让路由器内部的计算机能够使用Dialer访问WAN，还必须对其设置相应的路由：

Router（config）# ip route0.0.0.0 0.0.0.0 dialer10

实际上，上述命令是将缺省路由设置为Dialer10。

拨入Dialer可以供远程的用户通过电话拨号的形式访问路由器及其连接的网络，下面是典型的拨入Dialer的配置过程：

拨入Dialer和拨出Dialer的配置过程非常相似，主要区别在于去除了拨号电话号码、用户名和口令的设置，而增加了拨入方的属性设置。

第8行命令设置了从IP地址池dial_in_pool中分配一个IP地址给拨入的计算机，dial_in_pool在第11行进行了创建，该IP地址池的地址范围为：192.168.128.2~192.168.128.10。

第10行命令设置了拨号用户的用户名和口令，根据拨号用户的数量，该命令需要重复多次。

（2）模拟Modem的设置

NM-8AM模块是CISCO 3640路由器中的模拟Modem模块，该模块共有8个模拟Modem端口，可以连接8路电话线。下面是模拟Modem的典型配置过程：

上述配置过程可以被划分为三个部分：第一部分是第3行，设置了Modem的国家代号，在这里选择了China；第二部分是4~7行，设置了单个Modem端口；第三部分是8~11行，设置了所有Modem端口的共同属性。

首先通过第4行命令选择了Async65端口进行设置，实际上Async65代表了插在第三个插槽中的模拟Modem中的第1个端口。这里需要注意的就是模拟Modem的编号，它不像其他端口，在端口编号没有附带端口所在插槽编号，而每个插槽中最多可以有32个模拟Modem的端口，因此65代表的是第3个插槽中的第1个端口。

第5、6行命令设置了模拟Modem的参数。

第7行命令选择了5号拨号池，即选择了Dialer10，意味着通过Dialer10进行拨号连接。

第三部分中，第8行命令选择了该模拟Modem模块中的所有端口进行了共同属性的设置，第9~11行是Modem的工作参数。

（3）ISDN BRI的设置

ISDN也是较为常用的拨号方式，具有比模拟Modem更快的访问速度。NM-8B-S/T模块是CISCO 3600系列路由器中的ISDN端口模块，共有8个端口。下面是ISDN BRI端口的配置过程：

由于大部分配置已经在Dialer里完成，因此ISDN BRI的设置已经变得非常简单。第3行命令是用于设置ISDN交换机的类型，中国应该属于basic-net3类型。第4行选择了路由器中第2个模块中的第1个ISDN BRI端口。第5行命令选择了Dialer5作为拨号的连接。第6行中的“no shutdown”命令实际上是激活该端口，缺省情况下，ISDN BRI端口被关闭。

8．地址转换的设置

目前使用的IP地址是由32位二进制数构成的，在Internet迅速发展和普及的今天，已经越来越明显地感觉到IP地址的严重不足。虽然下一代的TCP/IP协议将IP地址扩充为128位，但毕竟那是若干年以后的事情。因此，在当前局域网的组网中，网络地址转换（NAT）技术已经成了解决IP地址不足的主要途径。下面将介绍如何在CISCO 3640路由器中设置并使用地址转换技术。

网络地址转换技术的典型应用实例：某单位的局域网中有50台左右的PC机，同时使用了CISCO 3640路由器同广域网进行了连接，但申请到的IP地址资源相当有限（假设每次只有通过拨号动态地获取一个IP地址），NAT技术就可以解决让局域网内的所有PC机共享这个IP地址实现Internet的访问。在这种情况下，单位局域网内部应该使用专门供内部使用的IP地址（如192.168.0.0~192.168.255.255），而在路由器中设置地址转换是建立内部地址与申请到的地址之间的映射关系。由于通常情况下，内部地址会大大多于申请到的IP地址，因此这种映射应该是多对一的。下面是建立内部地址与申请到的地址之间映射关系所做的操作：

Router（config）# access-list 1 perm it192.168.1.0 0.0.0.255

Router（config）# ip nat inside source list1 interface Dialer3 overload

第一条命令首先定义了一个访问控制列表，这个访问控制列表将在第二条命令中使用，表示允许192.168.1.0/24范围内的计算机通过NAT访问Internet，也就是可以实现一定的访问控制，以限制某些计算机对外进行访问。第二条命令是建立映射关系，一边是访问控制列表中定义的内部IP地址，另一边是Dialer3，即代表拨号得到的IP地址，overload表示两者之间的映射是多对一的关系。

接下去还要在相应的端口中定义地址转换的动作，假设内部局域网连接在CISCO 3640路由器的Ethernet0/0端口，为了能够让NAT进行正常的工作，还需要完成以下操作：

图5-19　路由器配置综合实例

以上命令中，首先选择了局域网所连接的端口Ethernet0/0，将其NAT动作设置为inside，表示该端口连接的是内部IP地址。然后选择Dialer3，将其NAT动作设置为outside，表示该端口为外部IP地址。

NAT开始工作后，将在路由器中保留一个内部地址和外部地址之间的映射数据库，这是NAT进行工作的主要依据。可以通过下列命令查看当前路由器中的映射关系：

Router# sh ip nat translations