公司内路由器一般用的是CISCO2621,通过宽带连接因特网,局域网的微机通过路由器地址转换(NAT)上网,内部服务器上设置外部地址提供对外的访问。以此为例介绍路由器的配置步骤。路由器的10/100 ETHERNET0/0端口接外部网络,10/100 ETHERNET0/1端口接内部网络。
路由器第一次使用时,因为没有进行配置,因此必须利用微机通过超级终端连接路由器的Console口进行初始化。每台路由器都带有连接线,一端接微机的串口,另一端接路由器的Console口。即基本设置方式中的第一种方式。路由器第一次启动时,会进入设置对话过程,可以按照提示配置参数,也可以退出对话过程用命令的方式进行配置。以下介绍通过命令的方式进行配置(命令可以不完全输入,只输入单词中的黑体部分即可,以下同)。
1 配置端口的IP地址
router> enable 进入特权命令状态
router>#config terminal 进入全局设置状态
router(config)#interface fastethernet0/0 配置0/0端口的参数
router(config-if)#ip address 222.132.92.46 255.255.255.0 0/0端口的IP地址、子网掩码,此地址一般为网络供应商提供的外部互联地址
router(config)#interface fastethernet0/1 配置0/1端口的参数
router(config-if)#ip adderss 191.0.10.1 255.255.255.0 0/1端口的IP地址、子网掩码,公司内部分配,为局域网地址段的第一个地址
router(config-if)#ip address 222.132.92.46 255.255.255.0 secondary 网络供应商分配的公用地址段的第一个地址及子网掩码
router(config-if)#exit 退出当前配置状态,回到上一级配置状态
按Ctrl+z键可以直接回到特权命令状态。
2 配置默认网关
进入全局配置状态。采用的是静态路由方式,因此需要将一条静态路由记录加入,内容如下:
router(config)#ip route 0.0.0.0 0.0.0.0 222.132.92.33 外部网络互联地址,供应商提供
3 使路由器路由有效
router(config)#ip routing
至此,路由器可以发挥路由作用,内部网络上的有外部地址的微机可以连接外部网络了。
4 配置地址转换(NAT)
只有内部地址的微机若需要通过路由器上网,按如下步骤配置。
第一步: router(config)#ip nat pool poolname 222.132.92.46 222.132.92.46 netmask 255.255.255.0
定义地址转换地址池,poolname为地址池的名称,可以自己命名,212.2.3.162为起始地址,212.2.3.163为结束地址,表示内部地址转换成地址池范围内的地址对外访问,起始地址和结束地址可以相同。
第二步:router(config)#ip access-list extended natip 定义访问列表名称为natip
router(config-ext-nacl)#permit ip 191.0.9.0 0.0.0.255 any 允许191.0.9.1-255的地址访问任何地址,若只允许某些地址上网,可以在这里设置。如允许191.0.9.1-31的地址上任何网,其他地址只允许访问公司综合信息,可以按如下设置:
router (config-ext-nacl)#permit ip 191.0.9.0 0.0.0.31 any
router (config-ext-nacl)#permit tcp 191.0.9.0 0.0.0.255 host 210.52.46.166 eq www
router (config-ext-nacl)#deny any any (禁止其他地址的访问)
第三步:
router(config)# ip nat inside source list natip pool poolname overload
router(config)# ip nat inside source static 191.0.10.29 222.132.92.46
配置NAT,natip范围的地址可以转换成poolname地址池中的地址上网。
第四步:
router(config)#interface fastethernet0/0
router(config-if)#ip nat outside
定义0/0端口为NAT的外部端口
第五步:
router(config)#interface fastethernet0/1
router(config-if)#ip nat inside
定义0/1端口为NAT的内部端口
局域网中的微机将默认网关设置为路由器的内部地址(191.0.10.1),就可以通过路由器上网了。
5 通过访问列表控制对内部网络和外部网络的访问
控制内部微机对外部网络的访问,通过NAT中的访问列表控制,见以上的第二步。
控制外部网络对内部网络的访问,示例如下:
区别在: permit或deny后面紧接的先是内部地址还是外部地址
router(config)#ip access-list extended access1 建立名称为access1的访问控制列表
router(config-ext-nacl)#deny Icmp any any 禁攒止Icmp访问,如ping。
router(config-ext-nacl)#permit tcp any host 212.2.3.164 eq www 允许外部网络访问212.2.3.164的web服务
router (config-ext-nacl)#permit ip any host 212.2.3.165 允许外部地址对212.32.3.165的所有访问,如语音网关。
router (config-ext-nacl)#permit tcp any host 212.2.3.166 eq 1352 允许外部网络访问212.2.3.166的1352端口。1352端口为LOTUS服务端口。
router(config)#interface fastethernet0/0
router(config)#ip access-group access1 in 将控制列表access1施加在0/0端口的对内访问上。
当外部网络访问通过路由器0/0端口控制内部网络时,路由器检查访问列表,找到匹配项后动作(deny或permit),以后的列表忽略,若找不到匹配项,丢弃该数据包。因此访问列表中一般需要将deny语句放在列表的前面。
访问控制列表中表示一个地址时用host 212.32.3.165;表示一段地址时用212.2.3.160 0.0.0.15,代表从212.2.3.160-175。此处0.0.0.15与子网掩码的作用类似,但是写法恰好相反。在网络中地址段212.2.3.160-175用212.2.3.160 255.255.255.240表示。访问控制列表中的掩码可以用255减去子网掩码每段的的数值得到。如子网掩码255.255.255.0在访问控制列表中用0.0.0.255表示,子网掩码255.255.254.0在访问控制列表中用0.0.1.255表示。
如果需要将微机的IP地址和网卡的地址绑定,即微机只能使用指定的IP地址,自己更改地址后路由器将拒绝访问,可以通过如下命令设置:
router(config)#arp 191.0.5.186 0030.2222.1111 ARPA
router(config)#arp 191.0.5.187 0030.2222.2222 ARPA
其中191.0.5.186为IP地址,0030.2222.1111为绑定的网卡地址。
6 保存配置
router#write 保存配置文件在路由器中,若不保存路由器重新启动后配置将丢失。
若需要将路由器的配置保存到微机上,则微机上需要运行CISCO的TFTP软件,通过copy命令进行。
router(config)#copy running-config tftp
然后根据提示输入TFTP的地址和保存的文件名称即可,保存的文件为文本文件。
router(config)#copy from tftp 从TFTP恢复备份的配置
7 其他常用命令
router(config)#show running-config 查看路由器配置
router(config)#show processes cpu 查看路由器CPU利用情况
router(config)#show processes memory 查看路由器内存利用情况
router(config)#show interface 查看各端口的状况
router(config)#show ip access-list 查看访问控制列表及数据包匹配情况
router(config)#show ip nat statistics 查看NAT地址转换情况统计
router(config)#show ip nat translations 查看NAT当前地址转换情况
网络运行过程中如果上网明显变慢,可以通过以上命令查看路由器的运行状况。如前段时间冲击波杀手病毒导致的上网慢甚至不能上网,用show processes cpu查看路由器CPU利用率几乎为100%,用show ip nat statistics查看转换统计有上万条,用show ip nat translations发现有大量的来自相同地址的ICMP数据包。冲击波杀手病毒发作时会向路由器发送大量ICMP数据包,通过路由器就可以看出哪一台微机感染了病毒。用show ip nat translations查看时,如果同一个地址有大量的连接,一般此地址的微机有问题,应该重点检查。
