锐捷路由器配置
>Enable 进入特权模式
#ExIT 返回上一级操作模式
#del flash:config.text 删除配置文件(交换机及1700系列路由器)
#erase startup-config 删除配置文件(2500系列路由器)
#write memory 或copy running-config startup-config 保存配置
#Configure terminal 进入全局配置模式
(config)# hostname routerA 配置设备名称为routerA
(config)#banner motd & 配置每日提示信息 &为终止符
(config)# enable secret star 或者:enable password star
设置路由器的特权模式密码为star;secret 指密码以非明文显示,password指密码以明文显示
查看信息
#show running-config 查看当前生效的配置信息
#show interface fastethernet 0/3 查看F0/3端口信息
#show interface serial 1/2 查看S1/2端口信息
#show ip interface brief 查看端口信息
#show version 查看版本信息
#show running-config 查看当前生效的配置信息
#show controllers serial 1/2 查看该端口信息 , 用于R2501
#show ip route 查看路由表信息
#show access-lists 1 查看标准访问控制列表1的配置信息
远程登陆(telnet)
(config)# line vty 0 4 进入线路0~4的配置模式,4为连续线路最后一位的编号,线路为0~4
(conifg-line)#login
(config-line)#password star 配置远程登陆密码为star
(config-line)#end 返回上层
端口的基本配置
(config)#Interface fastethernet 0/3 进入F0/3的端口配置模式
(config)#interface range fa 0/1-2 进入F01至F0/2的端口配置模式
(config-if)#speed 10 配置端口速率为10M,可选10,100,auto
(config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)
(config-if)#no shutdown 开启该端口
(config)# interface serial 1/2 进入端口S1/2的配置模式
(config-if)# ip address 1.1.1.1 255.255.255.0 配置端口IP及掩码
(config-if)# clock rate 64000 配置时钟频率(单位为K , 仅用于DCE端)
(config-if)# bandwidth 512 配置端口带宽速率为512KB(单位为KB)
(config-if)# no shutdown 开启该端口
(config-if)#encapsulation PPP 定义封装类型为PPP,可选项:
Frame-relay 帧中继
Hdlc 高级数据链路控制协议
lapb X.25的二层协议
PPP PPP点到点协议
X25 X.25协议
路由协议
(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由
注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码
172.16.2.1 为下一跳的地址,也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)
(config)# router rip 开启RIP协议进程
(config-router)# network 172.16.1.0 申明本设备的直连网段信息
(config-router)# version 2 开启RIP V2,可选为version 1(RIPV1)、version 2(RIPV2)
(config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)
(config)# router ospf 开启OSPF路由协议进程(针对1762,无需使用进程ID)
(config)# router ospf 1 开启OSPF路由协议进程(针对2501,需要加OSPF进程ID)
(config-router)# network 192.168.1.0 0.0.0.255 area 0
申明直连网段信息,并分配区域号(area0为骨干区域)
注意:如果是Rip Version1,那么在不连续的子网中,需要为中间网段的两个路由器都配置子接口!!!
RA(config)#int serial0
RA(config-if)#ip address 172.16.2.1 255.255.255.0 secondary
RB(config)#int serial0
RB(config-if)#ip address 172.16.2.2 255.255.255.0 secondary
PAP
路由器Ra为被验证方、 Rb为验证方; 两路由器用V.35线连接(串口线),分别配置各端口的IP及时钟频率后:
Rb(config)# username Ra password 0 star 验证方配置被验证方的用户名,密码
Rb(config)# intterface serial 1/2 进入S1/2端口
Rb(config-if)# encapsulation ppp 定义封装类型为PPP
Rb(config-if)# ppp authentication pap PPP启用PAP认证方式
Ra(config)# itnterface serial 1/2 进入S1/2端口
Ra(config-if)# encapsulation ppp 定义封装类型为PPP
Ra(config-if)# ppp pap sent-username Ra password 0 star 设置用户名为ra 密码为star,用于发送到验证方进行验证
#debug ppp authentication 可选命令:观察PAP验证过程(如果没看到验证消息,则将端口shutdown,然后再no shutdown,即可看到验证过程的相关信息)
CHAP
路由器Ra、 Rb, 两路由器用V.35线连接(串口线),分别配置各端口的IP及时钟频率后:
被验证方配置:
Ra(config)# username Rb password 0 star 以对方的主机名作为用户名,密码和对方的路由器一致
Ra(config)# interface serial 1/2 进入S1/2端口
Ra(config-if)# encapsulation PPP 定义封装类型为PPP
验证方配置:
Rb(config)# username Ra password 0 star 以对方的主机名作为用户名,密码和对方的路由器一致
Rb(config)# interface serial 1/2 进入S1/2端口
Rb(config-if)# encapsulation PPP 定义封装类型为PPP
Rb(config-if)# ppp authentication chap PPP启用CHAP方式验证
PAP与CHAP的区别:
1. PAP:
被验证方发送用户名、密码到验证方进行身份验证,所以需要在端口模式下设置Ra(config)#ppp pap sent-username Ra password 0 star;
验证方需要定义用户和密码配对数据库记录,所以要定义命令:Rb(config)# username Ra password 0 star
2. Chap:
CHAP由验证方主动发起挑战,由被验证方应答进行验证(三次握手),所以验证方要配置命令:Rb(config-if)# ppp authentication chap。验证方与被验证方双方都要配置用户名和密码,验证期间双方密码要相同,用户名就用对方路由器的名称。
IP ACL:
路由器使用编号标记列表号;编号1~99、1300~1999为标准ACL;编号100~199、2000~2699为扩展ACL。
1.标准ACL(以源IP地址为匹配原则)
(config)#access-list 1 deny 172.16.1.0 0.0.0.255 拒绝来自172.16.1.0网段的流量通过
(config)#access-list 1 permit 172.16.2.0 0.0.0.255 允许来自172.16.2.0网段的流量通过
(config)#interface fastethernet 0/1 进入F0/1端口
(config-if)# ip access-group 1 out 在该端口的出栈方向上访问控制列表,可选:in(在入栈方向上应用)、out(在出栈方向上应用)。入栈或出栈都是以路由器或交换机为基准,进入路由器为入栈,离开路由器为出栈。
2.扩展ACL(以“源IP地址+端口号”为匹配原则)
(config)#access-list 101 deny tcp 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 eq ftp
拒绝源地址为172.16.10.0网段IP访问目的为172.16.20.0网段的FTP服务
注:deny:拒绝通过,可选:deny(拒绝通过)、permit(允许通过)
tcp: IP协议编号,可以是eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp, udp中的一个,也可以是代表IP协议的0-255编号。一些重要协议如icmp/tcp/udp等单独列出进行说明。
172.16.10.0 0.0.0.255:源地址及源地址通配符(反掩码)
172.16.20.0 0.0.0.255:目的地址及目的地址通配符(反掩码)
eq:操作符(lt-小于,eq-等于,gt-大于,neg-不等于,range-包含)
ftp:端口号,可使用名称或具体编号
(config)# access-list 101 permit ip any any 允许其它流量通过;any为任何
(config)#interface fastethernet 0/1 进入端口配置模式
(config-if)#ip access-group 101 in 访问控制列表在端口下in方向应用;可选:in(入栈)、out(出栈)
(config-if)#end 返回
注:配置ACL时,若只想对其中部分IP进行限制访问时,必须配置允许其它IP流量通过。否则,设备只会对限制IP进行处理,不会对非限制IP进行允许通过处理。
静态NAT:用于IP到IP的转换
(config)# ip nat inside source static 192.168.1.1 10.10.10.1
定义内部源地址静态转换关系,192.168.1.1为内部本地地址,10.10.10.1为内部全局地址(即外网地址)。
(conifg)# interface fastethernet 0 进入端口配置模式,用于连接内网的端口
(config-if)# ip nat inside 定义该端口为连接内部网络
(config)# interface serial 0 进入端口配置模式,用于连接外网的端口
(config-if)# ip nat outside 定义该端口为连接外部网络
动态NAT:如果有多个已注册的公有IP,则这些公有IP可以作为内部全局地址。内网的多个内部本地地址可以转换为前面的多个内部全局地址。公有IP地址一旦被使用,则被某个内部本地地址独占!所以,这种NAT主要用于掩盖内网的真实IP地址。通过这种NAT,也可以使得内网的服务器可以对外提供服务
(config)# ip nat pool poolname 202.16.1.1 202.16.1.10 netmask 255.255.255.0
定义全局IP地址池,命名为poolname,起始地址为202.16.1.1,结束地址为202.16.1.10,子网掩码为255.255.255.0,可被使用的内部全局地址共有10个。
(config)# access-list 1 permit 172.16.1.0 0.0.0.255 定义允许转换的本地IP地址
(config)# ip nat inside source list 1 pool poolname 定义内部源地址转换关系,实现地址list 1到poolname地址的转换
(conifg)# interface fastethernet 0 进入端口配置模式,用于连接内网的端口
(config-if)# ip nat inside 定义该端口为连接内部网络
(config)# interface serial 0 进入端口配置模式,用于连接外网的端口
(config-if)# ip nat outside 定义该端口为连接外部网络
注:
1、关键字source表明转换属于内部源地址转换,即当内部网络需要与外部网络通讯时,需要配置NAT,将内部私有IP地址转换成全局唯一IP地址。即当内网访问列表中定义的内部主机(例如172.16.1.100)要访问外网时,路由器将数据包的源地址转换成地址池上定义的IP地址(可能是202.16.1.1,也有可能是202.16.1.10,看地址池内的哪个IP地址没有被占用)再发送出去。
2、另有关键字destination,属于目标地址转换,即将内部全局地址转换成内部本地地址,用于实现外网访问内网的服务器时对IP数据包中的目的IP地址实现转换。destination的目的是用来实现TCP的流量的负载均衡。如:ip nat inside destination list 1 pool poolname。 List1 指的是待转换的内网的对外的全局可路由IP地址(也可以称为虚拟IP地址,通常只有一个,例如202.16.1.1),poolname中指的是转换后的内网的某一台服务器的可全局路由的IP地址(假设从202.16.1.10~15)。那么,当外网IP访问内网的地址202.16.1.1时,路由器将数据包的目标地址转换成内网地址202.16.1.10~15的其中一个,再转发,以实现访问内网服务器的负载均衡功能。注意:在实现负载均衡的时候,内网的IP地址也必须是公有的、已注册、可全局路由的IP地址!!!如果内网的IP地址不是公有的、已注册的、全局可路由的,则需要再做一次动态NAPT转换,让内网的私有IP地址能够出外网!
静态NAPT:用于“IP+端口号”到“IP+端口号”的转换
(config)# ip nat inside source static tcp 172.16.8.1 80 200.1.1.1 80
定义本地IP:172.16.8.1的80端口与外网IP:200.1.1.1的80端口进行转换,TCP为协议类型(可以为UDP)。
(conifg)# interface fastethernet 0 进入端口配置模式,用于连接内网的端口
(config-if)# ip nat inside 定义该端口为连接内部网络
(config)# interface serial 0 进入端口配置模式,用于连接外网的端口
(config-if)# ip nat outside 定义该端口为连接外部网络
动态NAPT:常用于多个内网的IP共用一个外网的IP上网,是“IP+端口号”到“IP+端口号”的转换。
(config)# ip nat pool poolname 202.16.1.1 202.16.1.1 netmask 255.255.255.0
定义内部全局IP地址池,命名为poolname,通常IP地址只有一个,这里,起始地址为202.16.1.1,结束地址为202.16.1.1,子网掩码为255.255.255.0。
(config)# access-list 1 permit 192.168.1.0 0.0.0.255 定义内部本地地址,即内网待转换的IP地址
(config)# ip nat inside source list 1 pool poolname overload 定义内部源地址转换关系
*动态NAT与动态NAPT的命令差别在关键字overload,有则为动态NAPT,无则为动态NAT
(conifg)# interface fastethernet 0 进入端口配置模式,用于连接内网的端口
(config-if)# ip nat inside 定义该端口为连接内部网络
(config)# interface serial 0 进入端口配置模式,用于连接外网的端口
(config-if)# ip nat outside 定义该端口为连接外部网络
锐捷路由器配置汇总
基础配置
* configure terminal 从特权用户模式进入全局配置模式
* control e1 进入E1控制器设置模式
* disable 从特权用户模式退到普通用户模式或者要降低到特权等级
* dialer-peer 进入语音拨号对等配置模式
* enable 进入特权用户模式
* end 从当前配置模式退出,并直接返回到特权用户模式
* exit 返回到上一级配置模式或退出连接
* help 查看帮助系统的一些简要信息
* history 设置历史命令
* interface 进入接口配置模式,请执行全局配置命令interface
* line 要接口线路配置模式,请执行全局配置命令line。
* router-map 进入策略路由器配置模式,请执行全局配置命令router-map
* setup 进入setup交互式配置模式,请执行特权用户命令setup。
* show running-config 查看当前运行的路由器配置
* show histroy 查看当前终端会话中已输入的命令
* voice-port 进入语音端口配置模式
* voice service voip 进入语音服务配置模式
* calendar set 设置系统时钟,重启路由器仍然有效。
* clock set 设置系统时钟,clock set hh:mm:ss day month year
* copy 将配置文件进行复制操作
* hostname 指定或修改路由器的主机名
* show clock 查看系统时间
* dir 查看当前文件系统中所有文件列表信息
* delete 将文件系统中的某个处于激活状态的文件转变为删除状态。
* rename 将文件系统中的某个处于激活状态的文件改名
* squeeze 对flash做碎片整理 。将文件系统中所有处于删除状态的文件彻底清除。
* format 用于格式化flash 。将文件系统中所有文件清除。
* show running-config 当前路由器系统正在运行的配置信息
* show startup-config 查看保存在存储在NVRAM上路由器的配置信息
* reload 重起路由器,reload in 10 (10秒后)
* write 处理配置文件memory/network/terminal 写入NVARM/拷贝到TFTP服务器/显示运行
文件
* copy tftp flash 在路由器正常模式下升级RGNOS
* copy tftp update 将rgnos.bin、index.htm、vms15.htm、WebClt.jar打成一个包升级。
* ROM模式下升级 ROM监控模式下升级RGNOS,在开机时按ctrl+c进入升级菜单
* sntp enable 打开SNTP功能(同步时钟服务器)
* sntp interval 配置SNTP的时钟同步间隔(秒),默认1800秒。
* sntp server 配置SNTP服务器地址
* show sntp 查看SNTP的配置信息
* no snmp-server 关闭路由器SNMP代理功能
* show snmp 查看路由器SNMP代理功能
* snmp-server chassis-id 指定SNMP的系统序列号
* snmp-server community 指定SNMP团体的访问字符
* snmp-server contact 要指定SNMP系统联系方式
* snmp-server enable traps 要启用SNMP主动给NMS发送Trap消息
* snmp-server host 指定发送陷阱消息的SNMP主机(NMS)
* snmp-server location 设置SNMP的系统位置信息
* snmp-server packetsize 要控制SNMP最大的数据包大小
* snmp-server queue-length 指定陷阱消息队列长度
* snmp-server system-shutdown 启用SNMP系统重起通知功能
* snmp-server trap-source 指定SNMP的源地址
* snmp-server trap-timeout 定义陷阱消息重发的超时时间
* debug 打开调试开关,缺省情况下,调试信息不会发送到Telnet客户端,如果需要在
Telnet客户端显示调试信息,则需要在该终端会话的特权用户模式下,执行如下命令:terminal monitor
* ping 发出5个长度为100Byte的数据包发送到指定的IP地址
* show 查看路由器状态或运行统计信息
* service tcp-keepalives-in 服务器端通过周期性的发送TCP 保活报文出去探测TCP连接的令一方是否存活,若探
测到对方连接不存在或网络断开,就可以释放本的的TCP连接。本命令启用该功能。
* service tcp-keepalives-out
logging on 允许日志信息在不同设备上的显示
RGNOS不仅可以将日志信息显示在Console 窗口、VTY窗口上,也可以将日志信息记录在不同的设备上:内存缓冲区、扩展
FLASH、Syslog Server。该命令为日志总开关,如果关闭日志开关,所有日志信息将不被显示或记录。
terminal monitor 允许在当前VTY窗口上显示日志信息
logging buffered 设置记录日志信息的内存缓冲区参数缓冲区大小取值范围从4K到128K bytes
logging 202.101.11.1 将日志记录到指定的Syslog Sever,
logging file flash 将日志信息保存在扩展FLASH
service sequence-numbers 在日志信息中加上序号
service timestamps 在日志信息中加上时间戳信息
logging console [level] 设置允许在控制台上显示的日志信息级别
logging monitor 设置允许在VTY窗口(telnet 窗口、SSH窗口等)上显示的日志信息级别
logging trap 要设置允许发送给syslog server的日志信息级别
logging language 设置允许发送给syslog server的日志信息语言
logging source-interface 设置日志报文的源地址
logging facility 设置日志信息的设备值默认值(23)
show logging 查看日志配置的参数、统计信息,以及内存缓冲区中的日志报文
more flash 查看记录在扩展FLASH中日志文件内容
clear logging 清除内存缓冲区中的日志信息