cisco路由配置实例.docx

cisco路由配置实例.docx

《cisco路由配置实例.docx》由会员分享，可在线阅读，更多相关《cisco路由配置实例.docx（24页珍藏版）》请在冰点文库上搜索。

cisco路由配置实例

cisco路由配置实例

默认分类2010-11-1723:

37:

35阅读168评论0  字号：

大中小 订阅

思科路由、交换、安全设置实战手册

一、使网络能上网

配通步骤：

1、进入端口

内：

（config-if）# ip add XXX.XXX.XXX.XXX 255.255.255.0 （可以是vlan）

（config-if）# ip nat inside

（config-if）# no sh

外：

（config-if）# ip add XXX.XXX.XXX.XXX 255.255.255.0

（config-if）# ip nat outside

（config-if）# no sh

2、设置DNS、网关、路由、DHCP、控制列表和地址转换

DNS：

（config）# ip name-server 203.196.0.6 （可连续写6 个）

网关：

（config）# ip default-gateway XXX.XXX.XXX.XXX （可写可不写）

路由：

（config）# ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX（IP 或者端口---静态路由）

（config）# router rip （动态）

（config-router）# network XXX.XXX.XXX.XXX

DHCP（动态分配IP）：

（可以为多个vlan 做dhcp）

（config）#ip dhcp pool + 名字（DHCP 名）

（dhcp-config）# network 192.168.2.0 255.255.255.0（要分配的IP 池—注意：

A、B 类私网IP 一

定要加子网掩码，C 类不需要）

（dhcp-config）# dns-server 203.196.0.6 202.106.0.20（DNS）

（dhcp-config）# default-router 192.168.2.1 （网关）

（dhcp-config）# lease 3 （租用时间）

（config）#ip dhcp excluded-address 192.168.2.1 192.168.2.100（排除要分配的IP 段）

（config）#ip dhcp excluded-address 192.168.2.199 192.168.2.255（排除要分配IP 段）

3、控制列表：

（config）# access-list 1 permit（deny）192.168.0.0 0.0.255.255 （允

许或者拒绝的IP 段）

4、地址转换：

（config）# ip nat inside source list 1 interface FastEthernet4 overload （指定端口

-根据实际情况来定）

5、如果用池的方式：

先建立一个动态池

（config）# ip nat pool 871 211.99.151.208 211.99.151.208 netmask 255.255.255.0

（config）# ip nat inside source list 1 pool 871 overload （指定要将转换主机的IP 和池联系起

来）

6、静态IP 转换（主要应用于服务器）

（config）#ip nat inside source static 10.1.1.4 80.1.1.10 （内网主机IP 在前，公网IP 在后）

（config）#ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable （如果要带协议

的话---static tcp；内网主机后则必须要端口号；同样外网主机也需要端口号；extendable—

可选）

7、常用的清除配置命令：

2950#erase startup-config （和路由一样）

1900#delete nvram

#show processes cpu （查看CPU 使用率）

2

测试端口是否丢包！

#ping

Protocol [ip]:

 （回车）

Target IP address:

 211.99.151.193 （IP 地址）

Repeat count [5]:

 10000 （设置默认包是数量）

Datagram size [100]:

 10000 （包的大小）

Timeout in seconds [2]:

 （回车）

Extended commands [n]:

 （回车）

Sweep range of sizes [n]:

 （回车）

Type escape sequence to abort.

ping 192.168.1.11 source 192.168.1.23 repeat 1000 size 1000

停止：

#ctrl+shift+6

交换机升级成E 的步骤：

Switch#archive download-sw/ imageonly /overwrite/ reload tftp:

//10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar （此仅是IOS 软件的升级，还需要改号、改E 等）

trace 命令提供路由器到目的地址的每一跳的信息

#trace 171.144.1.39（目的IP）

#ctrl+shift+6 停止

telnet 设置

（config）#line vty 0 4

（config-if-line）#password XXXXXX

（config-if-line）#login

enable 密码设置

（config）# enable password XXXXX（不加密密码）

（config）# enable set XXXXX（加密密码）

问题备注：

1、现象：

从路由能ping 外网，也能ping 电脑。

电脑也能ping 路由，但电脑ping 不通

下一跳（或者说上不了网）

原因：

在路由的全局模式下加上网关即可。

（config）# ip default-gateway XXX.XXX.XXX.XXX

2、思科路由恢复口令方法。

（1）在启动的60 s 内按下中断键Ctrl+Break,，使设备进入rom monitor 状态。

（2）在rom monitor 中输入o 命令：

>o （查看当前的Configuration register 值）

configuration register=0X2102 （寄存器启动方式默认值）

at last boot

（3）输入“>o/r 0x0142” （修改寄存器启动方式，使其启动不运行配置）

3

>o/r 0x0142

（4）重新启动路由器：

>I

rommon 2>reset

（5）在“Setup”模式，对所有问题回答“No”

（6）进入特权模式：

router>enable

（7）下载NVRAM

Router>configure memory

（8）恢复原始配置寄存器值并激活所有端口：

#configure terminal

（config）#config register 0X2102 

（config）#interface xx

（config）#no shutdown

（9）查询并记录丢失的口令：

2509#show configuration （show startup config） 

（10）修改口令：

Router #configure terminal

（config） #line console 0

（config line）#login 

（configline）#password xxxxxxx

（config）#enable secret xxxxx

（11） 保存重起

Router #wr

Router# reload

3、要在路由上ping www 网址

（config）#ip name-server 203.196.0.6

（config）#ip name-server 202.106.0.20

二、ADSL 上网配置（用户端）

此设置是ADSL 猫加+路由器，如果是WIC-1ADSL+路由略有不同

871 配置

1、启用相关协议

（config）#vpdn enable

（config）#vpdn?

group 1 （也可以取名PPPOE）

（config-vpdn）#rrequest-dialin

（config-vpdn-req-in）#protocol pppoe

config）#vpdn ip udp ignore checksum （也可不写这个）

2、配置内网口

（config）#interface Ethernet0/0

（config-if）#ip address 内网地址

（config-if）#ip nat inside

（config-if）# no sh

（config-if）#ip tcp adjust-mss 1452 （主要是针对MSN 等程序起用此命令）

4

作用：

需要注意的就是ip tcp adjust-mss 1452 调整tcp 最大分段大小以满足PPPOE 下的

MTU

因为pppoe 下实际的数据段只能为1500-8（ppp 的头）=1492,1492 再减去TCP 和IP 头各20

等于1452,也就是说为了避免2 层上不停的分割数据包,适应某些应用如MSN,同时加快传输

3、配置外网口及其启用协议

（config）#interface Ethernet0/0

（config-if）#no ip address

（config-if）#pppoe enable （启用PPPOE 协议）

（config-if）#pppoe-client dial-pool-number 10 （建立客户端拨号表，10 代表表名字）

4、配置ADSL 接口

（config）#interface Dialer1 （如果是WIC-1ADSL+路由则应该是interface ATM 0）

（config-if）#ip address negotiated （自动获得IP）

（config-if）#ip nat outside

（config-if）#mtu 1492 （修改MTU 值）

（config-if）#encapsulation ppp （设置协议）

（config-if）#dialer pool 10 （拨号表名）

（config-if）#dialer?

group 10 （起用拨号表）

（config-if）#ppp authentication pap chap callin （认证方式）

（config-if）#ppp chap hostname ****** （chap 认证名字）

（config-if）#ppp chap password ****** （chap 认证密码）

（config-if）#ppp pap sent-username ****** password ****** （pap 认证名字和密码）

5、配置拨号列表和控制列表的关系和路由等

config）#dialer?

list 10 protocol ip permit （感兴趣流—即引发拨号的设置）

（config）#dialer-list 10 protocol ip list 1 （绑定拨号列表和控制列表之间的关系）

config）#ip nat inside source list 1 interface Dialer1 overload （NAT 设置）

config）#ip route 0.0.0.0 0.0.0.0 dialer1 （路由）

config）#access?

list 1 permit any （控制列表）

6、动态DHCP

DHCP（动态分配IP）：

（可以为多个vlan 做dhcp）

（config）#ip dhcp pool + 名字（DHCP 名）

（dhcp-config）# network 192.168.2.0 255.255.255.0（要分配的IP 池—注意：

A、B 类私网IP 一

定要加子网掩码，C 类不需要）

（dhcp-config）# dns-server 203.196.0.6 202.106.0.20（DNS）

（dhcp-config）# default-router 192.168.2.1 （网关）

（dhcp-config）# lease 3 （租用时间）

（config）#ip dhcp excluded-address 192.168.2.1 192.168.2.100（排除要分配的IP 段）

（config）#ip dhcp excluded-address 192.168.2.199 192.168.2.255（排除要分配的IP 段）

2620 配置（其他一样）

config）#vpdn enable

config）#vpdn ip udp ignore checksum

config）#vpdn-group pppoe （也可以用数字）

三、单背路由

5

如图所示：

（config）#int f0/0 （进入要分子接口的接口，注意：

此接口必须是三层接口）

（config-if）#no ip add

（config-if）#no sh

（config-if）# no switchport

（config-if）#int f 0/0.2 （划分子接口）

（config-subif）#ip add XXX.XXX.XXX.XXX 255.255.255.0

（config-subif）#encapsulation dot1Q 1--4094 （dot1Q 是协议，1—4094 是vlan 号，目的：

传输什么协议和指定用来接收那个vlan 的数据）

注意：

和划子接口相连的端口必须为trunk

其他的和一的配置没有什么区别！

四、划分VLAN、VTP、trunk 模式、交换机清除密码

1、VTP 域设置：

1900（config）#vtp server | transparent | client] （分别是服务模式、透明模式和客户端模式）

1900（config）#vtp domain domain-name（设置VTP 域的名字）

1900（config）#vtp password password （密码可选）2950#vlan database

2950（vlan）#vtp [ server | client | transparent ]

2950（vlan）#vtp domain domain-name （VTP 名字）

下面均可选

2950（vlan）#vtp password password （密码可选）

2950（vlan）#vtp pruning

2950（vlan）#snmp-server enable traps vtp

2950（vlan）#exit

设置trunk

（config-if）#switchport trunk encapsulation dot1q （协议在前，封装在后，设置trunk）

（config-if）#switchport mode trunk （设置trunk ，VTP 域只能在设置trunk 模式后才能学习）

划分VLAN：

1900（config）# vlan vlan#（VLAN 号）[name vlan-name（名字—可选）

2950#vlan database

6

2950（vlan）# vlan vlan# [name vlan-name]（名字可选）

将端口加入到VLAN 中

将端口8 加入到VLAN 9 中

1900（config）#interface ethernet 0/8

1900（config-if）#vlan-membership static 9

将端口8 加入到VLAN 9 中

2950（config）#interface ethernet 0/8

2950（config-if）#switchport mode access （将端口指定为接入模式）

2950（config-if）#switchport access vlan 9

3500#show vlan brief （查看VLAN）

3500#show vlan （查看VLAN）

871#show vlan-switch brief （查看VLAN）

871#show vlan-switch （查看VLAN）

（vlan）#show changes （查看VLAN 信息）

3500#show int trunk （查看trunk）

3500#show vtp status （查看VTP 模式）

3500#show vlan id 2 （单独查看VLAN 信息）

镜像映射配置

通过交换机的第2 号口监控第1 号口的流量

端口镜像映射配置

（config）# monitor session 1 source interface fastEthernet 0/1

（config）# monitor session 1 destination interface fastEthernet 0/2

VLAN 镜像映射配置

（config）#monitor session 1 source vlan 1

（config）# monitor session 1 destination interface fastEthernet 0/2

2、交换机恢复密码：

步骤1:

把管理机连接到交换机的CONSOLE 接口,然后拔掉电源.

步骤2:

按住前面板的MODE 按钮,然后插上交换机的电源线.过5 秒钟左右松手,系统会有一

些提示信息,表示进入监视模式switch:

步骤3:

输入flash_init 或flash 初始化FLASH 文件系统.

步骤4:

输入load_helper 装载并初始化帮助映像,这是存储在ROM 中的最小IOS 映像,用于灾

难恢复.

步骤5:

输入dir flash:

 显示FLASH 的文件和目录列表.

步骤6:

输入rename flash:

config.text flash:

config.old ,修改配置文件名.

步骤7:

输入boot,重启系统.

步骤8:

在提示符下键入N,跳过setup 模式.

步骤9:

在提示符下,键入enable 进入特权模式.

步骤10:

输入rename flash:

config.old flash:

config.text,将配置文件改回原来的名称.

步骤11:

将配置文件拷贝到运行的配置中:

Switch#copy startup-config running-config

步骤12:

改变口令.

步骤13:

将改变的配置拷贝到配置文件中.

7

路由器清除密码

1、在路由器启动后的60 秒内请在终端上键入中断键（Break 键或Ctrl_C 键），您会看到一

个前面没有路由器名字的>大于号）提示符。

2、在>号提示符下键入“o/r0x42”以便从Flash 启动，注意第一个字母“o”不是十进制数“0”

（该为不要配置启动）

3、在>号提示符下键入“i”，路由器便会忽视存储的配置文件进行重新启动。

4、路由器启动后，对所有的setup 的问题回答“no”。

5、在router> 提示符下键入“enable”，您就不需要口令就进入到enable 模式，并且看到

router# 提示符。

6、有两种方法可以改变enable 口令：

a. 删除所有的配置，键入“write erase”。

（清除所有配置）

b. 不删除所有的配置，只删除enable 的口令

. ①在router#conf t

. ②在router（config）#提示符下键入“enable secret xxxxxx”，其中“xxxxxx”为您想

所设定的口令。

. router# ③wr （保存）

7、在route（config）# 提示符下键入“config-register 0x2102”，或者您在第二步所记录下

来的值。

（改为正常值启动）

8、router# wr （保存）

9、在router# 提示符下键入“reload”。

（重新启动）

五、控制列表

每接口、每协议、每方向只能有一个访问列表

1、标准控制列表

（config）#access-list access-list-number {permit | deny | remark} source [mask

说明：

access-list-number：

是列表的号码名（1—99）

permit | deny 允许或者禁止

source [mask 源IP 或者IP 段和反掩码

例：

（config）#access-list 1 permit any（允许所有通过）

B、（config）#access-list access-list-number +（permit | deny ）+ host +IP 地址

例：

（config）#access-list 1 permit host 211.99.151.208

2、扩展控制列表

（config）# access-list +（名字—100-199）+ （permit | deny ）+ 协议+源IP（段）+ 反掩

码+ 目的IP（段）+反掩码+ （eq\gt\lt\range）+端口号

说明：

eq 就是等于gt 就是大于lt 就是小于range 就是包括

8

（config）# access-list +（名字—100-199）+ （permit | deny ）+ 协议+any （指所有） +any （指

所有）+ （eq\gt\lt\range）+端口号

客户要求：

（config）#interface fastEthernet 0/0 （进入外网口）

（config-if）#ip access-group 100 out

帮我配置一下：

外网222.77.64.146 255.255.255.252 222.77.64.145

内网192.168.0.1 255.255.255.255.0 192.168.0.1

DNS 202.101.107.55 202.101.98.55

禁止dhcp

禁止192.168.0.160-192.168.0.230 上外网（tcp）

禁止192.168.0.3-192.168.0.254 8000（udp）

禁止192.168.0.3-192.168.0.254 443 （tcp）

禁止192.168.0.3-192.168.0.254 访问218.117.209.1 - 218.117.209.255 80 （tcp www）

禁止192.168.0.3-192.168.0.254 访问 （ip）

配置如下：

暂时无配置

路由器通过以太网的子口建立与下连交换机TRUNK 口相连。

（下面未经过验证，故不能全信）

要求管理VLAN 可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN，但是其它VLAN

不可以访问管理VLAN。

下面把路由器上的配置附上：

ip access-list exte