锐捷路由器配置大全.docx

1、锐捷路由器配置大全锐捷路由器配置大全Enable 进入特权模式#ExIT 返回上一级操作模式#del flash:config.text 删除配置文件(交换机及1700系列路由器)#erase startup-config 删除配置文件(2500系列路由器)#write memory 或copy running-config startup-config 保存配置#Configure terminal 进入全局配置模式(config)# hostname routerA 配置设备名称为routerA(config)#banner motd & 配置每日提示信息 &为终止符(config)# e

2、nable secret star 或者:enable password star 设置路由器的特权模式密码为star；secret 指密码以非明文显示，password指密码以明文显示 查看信息#show running-config 查看当前生效的配置信息#show interface fastethernet 0/3 查看F0/3端口信息#show interface serial 1/2 查看S1/2端口信息#show ip interface brief 查看端口信息#show version 查看版本信息#show running-config 查看当前生效的配置信息#show c

3、ontrollers serial 1/2 查看该端口信息 , 用于R2501#show ip route 查看路由表信息#show access-lists 1 查看标准访问控制列表1的配置信息远程登陆（telnet）(config)# line vty 0 4 进入线路04的配置模式，4为连续线路最后一位的编号，线路为04(conifg-line)#login (config-line)#password star 配置远程登陆密码为star(config-line)#end 返回上层端口的基本配置(config)#Interface fastethernet 0/3 进入F0/3的端口配

4、置模式(config)#interface range fa 0/1-2 进入F01至F0/2的端口配置模式(config-if)#speed 10 配置端口速率为10M,可选10,100,auto(config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)(config-if)#no shutdown 开启该端口(config)# interface serial 1/2 进入端口S1/2的配置模式(config-if)# ip address 1.1.1.1 255.255.255.0 配置端口IP及掩码(config

5、-if)# clock rate 64000 配置时钟频率(单位为K , 仅用于DCE端)(config-if)# bandwidth 512 配置端口带宽速率为512KB(单位为KB)(config-if)# no shutdown 开启该端口(config-if)#encapsulation PPP 定义封装类型为PPP，可选项：Frame-relay 帧中继 Hdlc 高级数据链路控制协议 lapb X.25的二层协议PPP PPP点到点协议X25 X.25协议路由协议(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路

6、由注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码172.16.2.1 为下一跳的地址，也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)(config)# router rip 开启RIP协议进程(config-router)# network 172.16.1.0 申明本设备的直连网段信息(config-router)# version 2 开启RIP V2，可选为version 1(RIPV1)、version 2(RIPV2) (config-router)# n

7、o auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)(config)# router ospf 开启OSPF路由协议进程（针对1762，无需使用进程ID）(config)# router ospf 1 开启OSPF路由协议进程（针对2501，需要加OSPF进程ID）(config-router)# network 192.168.1.0 0.0.0.255 area 0 申明直连网段信息，并分配区域号(area0为骨干区域)注意：如果是Rip Version1，那么在不连续的子网中，需要为中间网段的两个路由器都配置子接口！RA(config)#int serial0

8、RA(config-if)#ip address 172.16.2.1 255.255.255.0 secondaryRB(config)#int serial0RB(config-if)#ip address 172.16.2.2 255.255.255.0 secondaryPAP路由器Ra为被验证方、 Rb为验证方； 两路由器用V.35线连接(串口线)，分别配置各端口的IP及时钟频率后：Rb(config)# username Ra password 0 star 验证方配置被验证方的用户名,密码Rb(config)# intterface serial 1/2 进入S1/2端口Rb(c

9、onfig-if)# encapsulation ppp 定义封装类型为PPPRb(config-if)# ppp authentication pap PPP启用PAP认证方式Ra(config)# itnterface serial 1/2 进入S1/2端口Ra(config-if)# encapsulation ppp 定义封装类型为PPPRa(config-if)# ppp pap sent-username Ra password 0 star 设置用户名为ra 密码为star,用于发送到验证方进行验证#debug ppp authentication 可选命令：观察PAP验证过程(

10、如果没看到验证消息，则将端口shutdown，然后再no shutdown，即可看到验证过程的相关信息)CHAP路由器Ra、 Rb, 两路由器用V.35线连接(串口线)，分别配置各端口的IP及时钟频率后：被验证方配置：Ra(config)# username Rb password 0 star 以对方的主机名作为用户名，密码和对方的路由器一致Ra(config)# interface serial 1/2 进入S1/2端口Ra(config-if)# encapsulation PPP 定义封装类型为PPP验证方配置：Rb(config)# username Ra password 0 st

11、ar 以对方的主机名作为用户名，密码和对方的路由器一致Rb(config)# interface serial 1/2 进入S1/2端口Rb(config-if)# encapsulation PPP 定义封装类型为PPPRb(config-if)# ppp authentication chap PPP启用CHAP方式验证PAP与CHAP的区别：1. PAP:被验证方发送用户名、密码到验证方进行身份验证，所以需要在端口模式下设置Ra(config)#ppp pap sent-username Ra password 0 star；验证方需要定义用户和密码配对数据库记录，所以要定义命令：Rb(

12、config)# username Ra password 0 star2. Chap:CHAP由验证方主动发起挑战，由被验证方应答进行验证（三次握手），所以验证方要配置命令：Rb(config-if)# ppp authentication chap。验证方与被验证方双方都要配置用户名和密码，验证期间双方密码要相同，用户名就用对方路由器的名称。IP ACL：路由器使用编号标记列表号；编号199、13001999为标准ACL；编号100199、20002699为扩展ACL。1.标准ACL（以源IP地址为匹配原则）(config)#access-list 1 deny 172.16.1.0 0.

13、0.0.255 拒绝来自172.16.1.0网段的流量通过(config)#access-list 1 permit 172.16.2.0 0.0.0.255 允许来自172.16.2.0网段的流量通过(config)#interface fastethernet 0/1 进入F0/1端口(config-if)# ip access-group 1 out 在该端口的出栈方向上访问控制列表，可选：in（在入栈方向上应用）、out（在出栈方向上应用）。入栈或出栈都是以路由器或交换机为基准，进入路由器为入栈，离开路由器为出栈。2.扩展ACL（以“源IP地址端口号”为匹配原则）(config)#ac

14、cess-list 101 deny tcp 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 eq ftp拒绝源地址为172.16.10.0网段IP访问目的为172.16.20.0网段的FTP服务注：deny：拒绝通过，可选：deny(拒绝通过)、permit(允许通过)tcp: IP协议编号，可以是eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp, udp中的一个，也可以是代表IP协议的0-255编号。一些重要协议如icmp/tcp/udp等单独列出进行说明。 172.16.10

15、.0 0.0.0.255：源地址及源地址通配符（反掩码）172.16.20.0 0.0.0.255：目的地址及目的地址通配符（反掩码）eq：操作符（lt-小于，eq-等于，gt-大于，neg-不等于，range-包含） ftp：端口号，可使用名称或具体编号(config)# access-list 101 permit ip any any 允许其它流量通过；any为任何(config)#interface fastethernet 0/1 进入端口配置模式(config-if)#ip access-group 101 in 访问控制列表在端口下in方向应用；可选：in(入栈)、out(出栈)

16、(config-if)#end 返回注：配置ACL时，若只想对其中部分IP进行限制访问时，必须配置允许其它IP流量通过。否则，设备只会对限制IP进行处理，不会对非限制IP进行允许通过处理。静态NAT：用于IP到IP的转换(config)# ip nat inside source static 192.168.1.1 10.10.10.1 定义内部源地址静态转换关系，192.168.1.1为内部本地地址，10.10.10.1为内部全局地址(即外网地址)。(conifg)# interface fastethernet 0 进入端口配置模式，用于连接内网的端口(config-if)# ip na

17、t inside 定义该端口为连接内部网络(config)# interface serial 0 进入端口配置模式，用于连接外网的端口(config-if)# ip nat outside 定义该端口为连接外部网络配置基于MAC的ACL【实验步骤】第一步：交换机基本配置Switch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#exitSwitch(config)#interface range fastEthernet 0/1-3Switch(config-if-range)#switchport access vla

18、n 2Switch(config-if-range)#exitSwitch(config)#interface fastEthernet 0/12Switch(config-if)#switchport access vlan 2Switch(config-if)#exit第二步：配置MAC ACL由于本例中使用的交换机不支持出方向（out）的MAC ACL，因此需要将MAC ACL配置在接入主机的端口的入方向（in）。由于只允许财务部主机访问财务服务器，所以需要在接入其他主机的接口的入方向禁止其访问财务服务器。Switch(config)#mac access-list extended d

19、eny_to_accsrySwitch(config-mac-nacl)#deny any host 000d.000d.000d！拒绝到达财务服务器的所有流量Switch(config-mac-nacl)#permit any any！允许其他所有流量Switch(config-mac-nacl)#exit第三步：应用ACL将MAC ACL应用到F0/2接口和F0/3接口的入方向，以限制非财务部主机访问财务服务器。Switch(config)#interface fastEthernet 0/2Switch(config-if)#mac access-group deny_to_accsrv

20、 inSwitch(config-if)#exitSwitch(config)#interface fastEthernet 0/3Switch(config-if)#mac access-group deny_to_accsrv inSwitch(config-if)#exit第四步：验证测试在财务部主机上ping财务服务器，可以ping通，但是在其他两台非财务部主机上ping财务服务器，无法ping通，说明其他两台主机到达财务服务器的流量被MAC ACL拒绝。配置专家 ACL【实验步骤】第一步：交换机基本配置Switch#configure terminalSwitch(config)#v

21、lan 2Switch(config-vlan)#exitSwitch(config)#interface range fastEthernet 0/1-3Switch(config-if-renge)#switchport access vlan 2Switch(config-if-renge)#exitSwitch(config)#interface fastEthernet 0/12Switch(config-if)#switchport access vlan 2Switch(config-if)#exit第二步：配置专家ACL由于本例中使用的交换机不支持出方向（out）的专家ACL，

22、所以需要将专家ACL配置在接入主机的端口的入方向（in）。由于只允许财务部主机访问财务服务器的特定服务，因此需要在接入其他主机的接口的入方向禁止其访问财务服务器，并在接入财务部主机的接口的入方向只允许其访问财务服务器上的特定服务。配置针对非财务部主机的专家ACL：Switch(config)#expert access-list extended deny_to_accsrvSwitch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d！拒绝到达财务服务器的所有流量Switch(config-exp-nacl

23、)#permit any any any any！允许其他所有流量Switch(config-exp-nacl)#exit配置针对财务部主机的专家ACLSwitch(config)#expert access-list extended allow_to_accsrv5555Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq5555！允许财务部主机访问财务服务器上的特定服务Switch(config-exp-nacl)#permit icmp host 1

24、72.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d！允许财务部主机到达财务服务器的ICMP报文，以便后续进行测试Switch(config-exp-nacl)#deny any any host 172.16.1.254 any！拒绝到达服务器的所有流量Switch(config-exp-nacl)#permit any any any any！允许其他所有流量Switch(config-exp-nacl)#exit第三步：应用ACL将专家ACL“deny_to_accsrv”应用到F0/2接口和F0/3接口的

25、入方向，以限制非财务部主机访问财务服务器。Switch(config)#interface fastEthernet 0/2Switch(config-if)#expert access-goup deny_to_accsrv in Switch(config-if)exitSwitch(config)interface fastEthernet 0/3Switch(config-if)expert access-group deny_to_accsrv inSwitch(config-if)#exit将专家ACL“allow_to_accsrv5555”应用到F0/1接口的入方向，以限制财务

26、部主机访问财务服务器的其他服务。Switch(config)#interface fastEthernet 0/1Switch(config-if)#expert access-group allow_to_accsrv5555 inSwitch(config-if)#end第四步：验证测试在财务部主机上ping财务服务器，可以ping通，并且可以在访问服务器上的财务服务（TCP5555），但是不能访问服务器上的其他服务。在其他两台非财务部主机上ping财务服务器，无法ping通，说明其他两台主机到达财务服务器的流量被专家ACL拒绝配置基于时间的ACL【实验步骤】 第一步：路由器基本配置Rou

27、ter#configure terminalRouter(config)#interface fastEthernet 0/0Router(config-if)#ip address 172.16.1.1 255.255.255.0Router(config-if)#exitRouter(config)#interface fastEthernet 0/1Router(config-if)#ip address 10.1.1.1 255.255.255.0Router(config-if)#exit 第二步：配置时间段 定义正常上班的时间段Router(config)#time-range w

28、ork-timeRouter(config-time-range)#periodic weekdays 09：00 to 18：00Router(config-time-range)#exit 第三步：配置ACL 配置ACL，并应用时间段，以实现需求中的基于时间段的访问控制。Router(config)#ip access-list extended acesctrl Router(config-ext-nacl)#permit ip host 172.16.1.254 10.1.1.0 .0.0.0.255！允许经理的主机在任何时间访问两台服务器Router(config-ext-nacl)

29、#premit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp time-range work-timeRouter(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.200 eq ftp-data time-range work-time！只允许员工的主机在上班时间访问FTP服务器Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www time-range work-time！

30、不允许员工的主机在上班时间访问WWW服务器Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 10.1.1.100 eq www！允许员工访问WWW服务器，但是仅当系统时间不在定义的时间段范围内时，才会执行此条规则Router(config-ext-nacl)#exit 第四步：应用ACL 将ACL应用到F0/0接口的入方向。Router(config)#interface fastEthernet 0/0Router(config-if)#ip access-group accessctrl inRouter(config

31、-if)#end 第五步：验证测试 在上班时间，普通员工的主机不能访问WWW服务器，但是可以访问FTP服务器，下班时间可以访问WWW服务器，但是不能访问FTP服务器。经理的主机（172.16.1.254） 在任何时间都可以访问这两台服务器。动态NAT：如果有多个已注册的公有IP，则这些公有IP可以作为内部全局地址。内网的多个内部本地地址可以转换为前面的多个内部全局地址。公有IP地址一旦被使用，则被某个内部本地地址独占！所以，这种NAT主要用于掩盖内网的真实IP地址。通过这种NAT，也可以使得内网的服务器可以对外提供服务(config)# ip nat pool poolname 202.16.1.1