锐捷路由器配置大全.docx
《锐捷路由器配置大全.docx》由会员分享,可在线阅读,更多相关《锐捷路由器配置大全.docx(16页珍藏版)》请在冰豆网上搜索。
锐捷路由器配置大全
锐捷路由器配置大全
>Enable进入特权模式
#ExIT返回上一级操作模式
#delflash:
config.text删除配置文件(交换机及1700系列路由器)
#erasestartup-config删除配置文件(2500系列路由器)
#writememory或copyrunning-configstartup-config保存配置
#Configureterminal进入全局配置模式
(config)#hostnamerouterA配置设备名称为routerA
(config)#bannermotd&配置每日提示信息&为终止符
(config)#enablesecretstar或者:
enablepasswordstar
设置路由器的特权模式密码为star;secret指密码以非明文显示,password指密码以明文显示
查看信息
#showrunning-config查看当前生效的配置信息
#showinterfacefastethernet0/3查看F0/3端口信息
#showinterfaceserial1/2查看S1/2端口信息
#showipinterfacebrief查看端口信息
#showversion查看版本信息
#showrunning-config查看当前生效的配置信息
#showcontrollersserial1/2查看该端口信息,用于R2501
#showiproute查看路由表信息
#showaccess-lists1查看标准访问控制列表1的配置信息
远程登陆(telnet)
(config)#linevty04进入线路0~4的配置模式,4为连续线路最后一位的编号,线路为0~4
(conifg-line)#login
(config-line)#passwordstar配置远程登陆密码为star
(config-line)#end返回上层
端口的基本配置
(config)#Interfacefastethernet0/3进入F0/3的端口配置模式
(config)#interfacerangefa0/1-2进入F01至F0/2的端口配置模式
(config-if)#speed10配置端口速率为10M,可选10,100,auto
(config-if)#duplexfull配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
(config-if)#noshutdown开启该端口
(config)#interfaceserial1/2进入端口S1/2的配置模式
(config-if)#ipaddress1.1.1.1255.255.255.0配置端口IP及掩码
(config-if)#clockrate64000配置时钟频率(单位为K,仅用于DCE端)
(config-if)#bandwidth512配置端口带宽速率为512KB(单位为KB)
(config-if)#noshutdown开启该端口
(config-if)#encapsulationPPP定义封装类型为PPP,可选项:
Frame-relay帧中继
Hdlc高级数据链路控制协议
lapbX.25的二层协议
PPPPPP点到点协议
X25X.25协议
路由协议
(config)#iproute172.16.1.0255.255.255.0172.16.2.1配置静态路由
注:
172.16.1.0255.255.255.0为目标网络的网络号及子网掩码
172.16.2.1为下一跳的地址,也可用接口表示,如iproute172.16.1.0255.255.255.0serial1/2(172.16.2.0所接的端口)
(config)#routerrip开启RIP协议进程
(config-router)#network172.16.1.0申明本设备的直连网段信息
(config-router)#version2开启RIPV2,可选为version1(RIPV1)、version2(RIPV2)
(config-router)#noauto-summary关闭路由信息的自动汇总功能(只有在RIPV2支持)
(config)#routerospf开启OSPF路由协议进程(针对1762,无需使用进程ID)
(config)#routerospf1开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
(config-router)#network192.168.1.00.0.0.255area0
申明直连网段信息,并分配区域号(area0为骨干区域)
注意:
如果是RipVersion1,那么在不连续的子网中,需要为中间网段的两个路由器都配置子接口!
!
!
RA(config)#intserial0
RA(config-if)#ipaddress172.16.2.1255.255.255.0secondary
RB(config)#intserial0
RB(config-if)#ipaddress172.16.2.2255.255.255.0secondary
PAP
路由器Ra为被验证方、Rb为验证方;两路由器用V.35线连接(串口线),分别配置各端口的IP及时钟频率后:
Rb(config)#usernameRapassword0star验证方配置被验证方的用户名,密码
Rb(config)#intterfaceserial1/2进入S1/2端口
Rb(config-if)#encapsulationppp定义封装类型为PPP
Rb(config-if)#pppauthenticationpapPPP启用PAP认证方式
Ra(config)#itnterfaceserial1/2进入S1/2端口
Ra(config-if)#encapsulationppp定义封装类型为PPP
Ra(config-if)#ppppapsent-usernameRapassword0star设置用户名为ra密码为star,用于发送到验证方进行验证
#debugpppauthentication可选命令:
观察PAP验证过程(如果没看到验证消息,则将端口shutdown,然后再noshutdown,即可看到验证过程的相关信息)
CHAP
路由器Ra、Rb,两路由器用V.35线连接(串口线),分别配置各端口的IP及时钟频率后:
被验证方配置:
Ra(config)#usernameRbpassword0star以对方的主机名作为用户名,密码和对方的路由器一致
Ra(config)#interfaceserial1/2进入S1/2端口
Ra(config-if)#encapsulationPPP定义封装类型为PPP
验证方配置:
Rb(config)#usernameRapassword0star以对方的主机名作为用户名,密码和对方的路由器一致
Rb(config)#interfaceserial1/2进入S1/2端口
Rb(config-if)#encapsulationPPP定义封装类型为PPP
Rb(config-if)#pppauthenticationchapPPP启用CHAP方式验证
PAP与CHAP的区别:
1.PAP:
被验证方发送用户名、密码到验证方进行身份验证,所以需要在端口模式下设置Ra(config)#ppppapsent-usernameRapassword0star;
验证方需要定义用户和密码配对数据库记录,所以要定义命令:
Rb(config)#usernameRapassword0star
2.Chap:
CHAP由验证方主动发起挑战,由被验证方应答进行验证(三次握手),所以验证方要配置命令:
Rb(config-if)#pppauthenticationchap。
验证方与被验证方双方都要配置用户名和密码,验证期间双方密码要相同,用户名就用对方路由器的名称。
IPACL:
路由器使用编号标记列表号;编号1~99、1300~1999为标准ACL;编号100~199、2000~2699为扩展ACL。
1.标准ACL(以源IP地址为匹配原则)
(config)#access-list1deny172.16.1.00.0.0.255拒绝来自172.16.1.0网段的流量通过
(config)#access-list1permit172.16.2.00.0.0.255允许来自172.16.2.0网段的流量通过
(config)#interfacefastethernet0/1进入F0/1端口
(config-if)#ipaccess-group1out在该端口的出栈方向上访问控制列表,可选:
in(在入栈方向上应用)、out(在出栈方向上应用)。
入栈或出栈都是以路由器或交换机为基准,进入路由器为入栈,离开路由器为出栈。
2.扩展ACL(以“源IP地址+端口号”为匹配原则)
(config)#access-list101denytcp172.16.10.00.0.0.255172.16.20.00.0.0.255eqftp
拒绝源地址为172.16.10.0网段IP访问目的为172.16.20.0网段的FTP服务
注:
deny:
拒绝通过,可选:
deny(拒绝通过)、permit(允许通过)
tcp:
IP协议编号,可以是eigrp,gre,icmp,igmp,igrp,ip,ipinip,nos,ospf,pim,tcp,udp中的一个,也可以是代表IP协议的0-255编号。
一些重要协议如icmp/tcp/udp等单独列出进行说明。
172.16.10.00.0.0.255:
源地址及源地址通配符(反掩码)
172.16.20.00.0.0.255:
目的地址及目的地址通配符(反掩码)
eq:
操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
ftp:
端口号,可使用名称或具体编号
(config)#access-list101permitipanyany允许其它流量通过;any为任何
(config)#interfacefastethernet0/1进入端口配置模式
(config-if)#ipaccess-group101in访问控制列表在端口下in方向应用;可选:
in(入栈)、out(出栈)
(config-if)#end返回
注:
配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其它IP流量通过。
否则,设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。
静态NAT:
用于IP到IP的转换
(config)#ipnatinsidesourcestatic192.168.1.110.10.10.1
定义内部源地址静态转换关系,192.168.1.1为内部本地地址,10.10.10.1为内部全局地址(即外网地址)。
(conifg)#interfacefastethernet0进入端口配置模式,用于连接内网的端口
(config-if)#ipnatinside定义该端口为连接内部网络
(config)#interfaceserial0进入端口配置模式,用于连接外网的端口
(config-if)#ipnatoutside定义该端口为连接外部网络
配置基于MAC的ACL
【实验步骤】
第一步:
交换机基本配置
Switch#configureterminal
Switch(config)#vlan2
Switch(config-vlan)#exit
Switch(config)#interfacerangefastEthernet0/1-3
Switch(config-if-range)#switchportaccessvlan2
Switch(config-if-range)#exit
Switch(config)#interfacefastEthernet0/12
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#exit
第二步:
配置MACACL
由于本例中使用的交换机不支持出方向(out)的MACACL,因此需要将MACACL配置在接入主机的端口的入方向(in)。
由于只允许财务部主机访问财务服务器,所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。
Switch(config)#macaccess-listextendeddeny_to_accsry
Switch(config-mac-nacl)#denyanyhost000d.000d.000d
!
拒绝到达财务服务器的所有流量
Switch(config-mac-nacl)#permitanyany
!
允许其他所有流量
Switch(config-mac-nacl)#exit
第三步:
应用ACL
将MACACL应用到F0/2接口和F0/3接口的入方向,以限制非财务部主机访问财务服务器。
Switch(config)#interfacefastEthernet0/2
Switch(config-if)#macaccess-groupdeny_to_accsrvin
Switch(config-if)#exit
Switch(config)#interfacefastEthernet0/3
Switch(config-if)#macaccess-groupdeny_to_accsrvin
Switch(config-if)#exit
第四步:
验证测试
在财务部主机上ping财务服务器,可以ping通,但是在其他两台非财务部主机上ping财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被MACACL拒绝。
配置专家ACL
【实验步骤】
第一步:
交换机基本配置
Switch#configureterminal
Switch(config)#vlan2
Switch(config-vlan)#exit
Switch(config)#interfacerangefastEthernet0/1-3
Switch(config-if-renge)#switchportaccessvlan2
Switch(config-if-renge)#exit
Switch(config)#interfacefastEthernet0/12
Switch(config-if)#switchportaccessvlan2
Switch(config-if)#exit
第二步:
配置专家ACL
由于本例中使用的交换机不支持出方向(out)的专家ACL,所以需要将专家ACL配置在接入主机的端口的入方向(in)。
由于只允许财务部主机访问财务服务器的特定服务,因此需要在接入其他主机的接口的入方向禁止其访问财务服务器,并在接入财务部主机的接口的入方向只允许其访问财务服务器上的特定服务。
配置针对非财务部主机的专家ACL:
Switch(config)#expertaccess-listextendeddeny_to_accsrv
Switch(config-exp-nacl)#denyanyanyhost172.16.1.254host000d.000d.000d
!
拒绝到达财务服务器的所有流量
Switch(config-exp-nacl)#permitanyanyanyany
!
允许其他所有流量
Switch(config-exp-nacl)#exit
配置针对财务部主机的专家ACL
Switch(config)#expertaccess-listextendedallow_to_accsrv5555
Switch(config-exp-nacl)#permittcphost172.16.1.1host000a.000a.000ahost172.16.1.254anyeq5555
!
允许财务部主机访问财务服务器上的特定服务
Switch(config-exp-nacl)#permiticmphost172.16.1.1host000a.000a.000ahost172.16.1.254host000d.000d.000d
!
允许财务部主机到达财务服务器的ICMP报文,以便后续进行测试
Switch(config-exp-nacl)#denyanyanyhost172.16.1.254any
!
拒绝到达服务器的所有流量
Switch(config-exp-nacl)#permitanyanyanyany
!
允许其他所有流量
Switch(config-exp-nacl)#exit
第三步:
应用ACL
将专家ACL“deny_to_accsrv”应用到F0/2接口和F0/3接口的入方向,以限制非财务部主机访问财务服务器。
Switch(config)#interfacefastEthernet0/2
Switch(config-if)#expertaccess-goupdeny_to_accsrvin
Switch(config-if)exit
Switch(config)interfacefastEthernet0/3
Switch(config-if)expertaccess-groupdeny_to_accsrvin
Switch(config-if)#exit
将专家ACL“allow_to_accsrv5555”应用到F0/1接口的入方向,以限制财务部主机访问财务服务器的其他服务。
Switch(config)#interfacefastEthernet0/1
Switch(config-if)#expertaccess-groupallow_to_accsrv5555in
Switch(config-if)#end
第四步:
验证测试
在财务部主机上ping财务服务器,可以ping通,并且可以在访问服务器上的财务服务(TCP5555),但是不能访问服务器上的其他服务。
在其他两台非财务部主机上ping财务服务器,无法ping通,说明其他两台主机到达财务服务器的流量被专家ACL拒绝
配置基于时间的ACL
【实验步骤】
第一步:
路由器基本配置
Router#configureterminal
Router(config)#interfacefastEthernet0/0
Router(config-if)#ipaddress172.16.1.1255.255.255.0
Router(config-if)#exit
Router(config)#interfacefastEthernet0/1
Router(config-if)#ipaddress10.1.1.1255.255.255.0
Router(config-if)#exit
第二步:
配置时间段
定义正常上班的时间段
Router(config)#time-rangework-time
Router(config-time-range)#periodicweekdays09:
00to18:
00
Router(config-time-range)#exit
第三步:
配置ACL
配置ACL,并应用时间段,以实现需求中的基于时间段的访问控制。
Router(config)#ipaccess-listextendedacesctrl
Router(config-ext-nacl)#permitiphost172.16.1.25410.1.1.0.0.0.0.255
!
允许经理的主机在任何时间访问两台服务器
Router(config-ext-nacl)#premittcp172.16.1.00.0.0.255host10.1.1.200eqftptime-rangework-time
Router(config-ext-nacl)#permittcp172.16.1.00.0.0.255host10.1.1.200eqftp-datatime-rangework-time
!
只允许员工的主机在上班时间访问FTP服务器
Router(config-ext-nacl)#denytcp172.16.1.00.0.0.255host10.1.1.100eqwwwtime-rangework-time
!
不允许员工的主机在上班时间访问WWW服务器
Router(config-ext-nacl)#permittcp172.16.1.00.0.0.255host10.1.1.100eqwww
!
允许员工访问WWW服务器,但是仅当系统时间不在定义的时间段范围内时,才会执行此条规则
Router(config-ext-nacl)#exit
第四步:
应用ACL
将ACL应用到F0/0接口的入方向。
Router(config)#interfacefastEthernet0/0
Router(config-if)#ipaccess-groupaccessctrlin
Router(config-if)#end
第五步:
验证测试
在上班时间,普通员工的主机不能访问WWW服务器,但是可以访问FTP服务器,下班时间可以访问WWW服务器,但是不能访问FTP服务器。
经理的主机(172.16.1.254)在任何时间都可以访问这两台服务器。
动态NAT:
如果有多个已注册的公有IP,则这些公有IP可以作为内部全局地址。
内网的多个内部本地地址可以转换为前面的多个内部全局地址。
公有IP地址一旦被使用,则被某个内部本地地址独占!
所以,这种NAT主要用于掩盖内网的真实IP地址。
通过这种NAT,也可以使得内网的服务器可以对外提供服务
(config)#ipnatpoolpoolname202.16.1.1
升级会员 