思科路由功能

cisco路由器配置详解
一、Cisco路由器配置方式
一般来说，可以用5种方式来配置路由器：
1.Console口接终端或运行终端仿真软件的微机；
2.AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；
3.通过Ethernet上的TFTP服务器；
4.通过Ethernet上的TELNET程序；
5.通过Ethernet上的SNMP网管工作站。
但路由器的第一次设置必须通过第一种方式进行；这时终端的硬件设置为波特率：9600，数据位：8，
停止位：1，无校验。
二、命令状态
1.router>
路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。
2.router#
路由器处于特权命令状态，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。
3.router(config)#
路由器处于全局设置状态，这时可以设置路由器的全局参数。
4.router(config-if)#;
router(config-line)#;router(config-router)#……
路由器处于局部设置状态，这时可以设置路由器某个局部的参数。
5.只有>
路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。
6.设置对话状态这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态。这时可通过对话方式对路由器进行设置。
三、设置对话过程https://www.360docs.net/doc/f616654285.html,(学电脑)
利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后，路由器首先会显示一些提示信息：
---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark'?'forhelp.
Usectrlctoabortconfigurationdialogatanyprompt.
Defaultsettingsareinsquarebrackets'[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在'[]'中。然后路由器会问是否进入设置对话：
Wouldyouliketoentertheinitialconfigurationdialog?[yes]:
如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况：First,wouldyouliketoseethecurrentinterfacesummary?[yes]
:AnyinterfacelistedwithOK?Value"NO"doesnothaveavalidconfigurationInterface IP-Address OK? Nethod Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
…… …… … …… … …
然后，路由器就开始全局参数的设置：
Configuringglobalparameters:
1.设置路由器名：
Enterhostname[Router]:
2.设置进入特权状态的密文（secret），此密文在设置以后不会以明文方式显示：Theenablesecretisaone-way

cryptographicsecretusedinsteadoftheenablepasswordwhenitexists. --Enterenablesecret:cisco
3.设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：Theenablepasswordisusedwhenthereisnoenablesecretandwhenusingoldersoftwareandsomebootimages.--Enterenablepassword:pass
4.设置虚拟终端访问叶的密码：--Entervirtualterminalpassword:cisco
5.询问是否要设置路由器支持的各种网络协议：
--ConfigureSNMPNetworkManagement?[yes]:
--ConfigureDECnet?[no]:--ConfigureAppleTalk?[no]:
--ConfigureIPX?[no]:--ConfigureIP?[yes]:
--ConfigureIGRProuting?[yes]:
--ConfigureRIProuting?[no]:
6.如果配置的是拨号访问服务器，系统还会设置异步口的参数：
--ConfigureAsynclines?[yes]:
1）设置线路的最高速度：
--Asynclinespeed[9600]:
2)是否使用硬件流控：
--ConfigureforHWflowcontrol?[yes]:
3)是否设置modem:--Configureformodems?[yes/no]:yes
4)是否使用默认的modem命令：
--Configurefordefaultchatscript?[yes]:
5)是否设置异步口的PPP参数：
--configureforDial-inIPSLIP/PPPaccess?[no]
6)是否使用动态IP地址：-
-ConfigureforDynamicIPaddresses?[yes]:
7)是否使用缺省IP地址：
--ConfigureDefaultIPaddresses?[no]:yes
8)是否使用TCP头压缩：
--ConfigureforTCPHeaderCompression?[yes]:
9)是否在异步口上使用路由表更新：
Configureforroutingupdatesonasynclinks?[no]:y
10)是否设置异步口上的其它协议。
接下来，系统会一个接口连行参数的设置。
7.ConfiguringinterfaceEthernet0:
1)是否使用此接口：
--Isthisinterfaceinuse?[yes]:
2)是否设置此接口的IP参数：
--ConfigureIPonthisinterface?[yes]:
3)设置接口的IP地址：
--IPaddressforthisinterface:192.168.162.2
4)设置接口的IP子网掩码：
--Numberofbitsinsubnetfield[0]:
--ClassCnetworkis192.168.162.0,0subnetbits;maksis/24
在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：Thefollowingconfigurationcommandscriptwascreated:
hostnameRouter
enablesecret5$1$W5Oh$6J7tIgRMBOIKVXVG53Uh1
enablepasswordpass
…………
请注意在enablesecret后面显示的是乱码，而enablepassword后面显示的是设置的内容。
显示结束后，系统会问是否使用这个设置；
Usethisconfiguration?[yes/no]:yes
如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。
四、常用命令
1.帮助在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。
2.改变命令状态进入特权命令状态 enable
退出特权命令状态 disable
进入设置对话状态 setup
进入全局设置状态 configterminal
退出全局设置状态 end
进入端口设置状态 interfacetypeslot/number
进入子端口设置状态 interfacetypenumber.Sub

interface[point-to-point　multipoint]
进入线路设置状态 linetypeslot/number
进入路由设置状态 routerprotocol
退出局部设置状态 exit
３.显示命令
查看版本及引导信息 showversion
查看运行设置 showrunning-config
查看开机设置 showstartup-config
显示端口信息 showinterfacetypeslot/number
显示路由信息 showiprouter
４拷贝命令
用于IOS及CONFIG的备份和升级
５.网络命令
登录远程主机 telnethostname/IPaddress
网络侦测 pinghostname/IPaddress
路由跟踪 tracehostname/IPaddress
６.基本设置命令
全局设置 configterminal
设置访问用户密码 usernameusernamepasswordpassword
设置特权密码 enablesecretpassword
设置路由器名 hostnamename
设置静态路由 iproutedestinationsubnet-masknext-hop
启动IPX路由 ipxrouting
端口设置 interfacetypeslot/number
设置IP地址 ipaddressaddresssubnet-mask
设置IPX网络 ipxnetworknetwork
激活端口 noshutdown
物理线路设置 linetypenumber
启动登录进程 login[local　tacacsserver]
设置登录密码 passwordpassword
CISCO路由器安全配置
hostname Router1 ；路由器名称
enable secret xxxx ；特权访问口令为 xxxx
interface serial 0 ；定义接口
deion To Internet ； 目的描述
ip address 162.70.73.33 255.255.255.248 ；设置IP地址
ip access-list 101 in ； 定义入站过滤器
ip access-list 102 out ；定义出站过滤器
access-list 101 permit tcp any any established Note 1
；允许所有tcp业务流入，会话始于园区网内
access-list 101 permit tcp any host 144.254.1.3 eq ftp
；允许 ftp 到不洁网（dirty net ）中的ftp服务器
access-lsit 101 permit tcp any host 144.254.1.3 eq ftp-data !
；允许 ftp 数据到不洁网中的ftp服务器
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
；阻止来自Internet并以RFC
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
；保留地址为源的数据包入站
access-list 101 deny ip 172.16.0.0 0.240.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny icmp any any echo-reply
；拒绝任何应答
access-list 101 deny icmp any any host-unreachable
；拒绝任何无法接通的主机
access-list 101 deny udp any any eq snmp
；拒绝引入的SNMP
access-list 101 deny udp any eq 2000
；拒绝引入的openwindows
access-list 101 deny udp any any gt 6000
；拒绝引入的X-windows
access-list 101 deny tcp any any eq 2000 ； 拒绝引入的openwindows
access-list 101 deny tcp any any gt 6000 ；拒绝引入的X-windows
access-list 101 deny udp any any eq 69 ； 拒绝引入的tftpd
access-list 101 deny udp any any eq 111 ； 拒绝引入的SunRPC
access-list 1

01 deny udp any any eq 2049 ；拒绝引入的NFS
access-list 101 deny tcp any any eq 111 ； 拒绝引入的SunRPC
access-list 101 deny tcp any any eq 2049 ； 拒绝引入的 NFS
access-list 101 deny tcp any any eq 87 ； 拒绝引入的连接
access-list 101 deny tcp any any eq 512 ； 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 513 ； 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 514 ； 拒绝引入的 BSD UNIX “r”指令
access-list 101 deny tcp any any eq 515 ； 拒绝引入的 lpd
access-list 101 deny tcp any any eq 540 ； 拒绝引入的 uucpd
access-list 101 permit ip any any ； 其它均允许
access-list 102 permit ip 144.254.0.0 0.0.255.255 any ； 只允许有源的包
access-list 102 deny ip any any ；园区网到Internet的地址
aaa new-model ； 在全范围实现AAA
aaa authentication login default tacacs+
；默认登录方法经由 tacacs+
aaa authentication login staff tacacs+ local
；通过tacacs+鉴别工作人员用户名... ；
如果无法连接服务器，退而求其次的方法是本地鉴别
aaa authorization exec tacacs+ local
； 鉴别通过后，授权运行 exec shell
aaa authorization commands 0 tacacs+ none
；鉴别与指定特权等级相关的运行模式指令
aaa authorization commands 1 tacacs+ none
； 如果无可用的tacacs+ 服务器，
aaa authorization commands 15 tacacs+ local
； 15级权限指令就需要本地鉴别，其它不需要任何鉴别
aaa accounting update newinfo
； 每当有新的记帐信息需要报告时，中间记帐记录将被送到服务器
aaa accounting exec start-stop tacacs+ ； 对终端会话进行记帐
aaa accounting network start-stop tacacs
； 对所有 PPP, SLIP和ARAP连接记帐
username user1 password 7 user1 ；创建本地口令并以加密格式存储
tacacs-server host 244.252.5.9 ； 定义tacacs+ 服务器地址
tacacs-server key xxxxxxx ； 定义共享的 tacacs+ 密码
line con 0
exec-timeout 5 30 ； 确认控制台会话结束时间
login authentication user1 ；只有用户名工作人员可接入控制台
line aux 0
transport input none ；没有telnet进入
no exec ；该端口没有得到运行提示
line vty 0 3
exec-timeout 5 30 ； 确认 telnet 会话结束时间
login authentication default ； 通过 tacacs+ 登录鉴别
privilege level 15 ； 获得15 级权限
line vty 4
exec-timeout 5 30 ； 确认 telnet 会话结束时间
login authentication user1 ； 鉴别为工作人员
rotary 1
privilege level 1
logging on ； 开启syslog
logging 244.252.5.5 ；定义syslog服务器地址
logging console information ； 定义登录的信息
高手必须掌握的9个Cisco路由器知识
Cisco路由器知识在现代企业中得到了越来越广泛的应用，下面我们就简单的了解一下关于安全的配置路由器的方案。
网络工程师必须掌握的9个

Cisco路由器知识
1、Cisco路由器支持的路由协议与其他厂家设备的协议兼容吗?
除了IGRP和EIGRP，Cisco路由器知识之一就是支持的所有路由协议都与其他厂家实现的相同协议兼容。IGRP和EIGRP是Cisco的专利产品。
2、RIP路由表的表项的信息说明了什么?
RIP路由表的每一个表项都提供了一定的信息，包括最终目的地址、到目的地的下一跳地址和度量值。这个度量值表示到目的终端的距离(跳步数)。其他的信息也可以包括。
3、Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S?
Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。
但是需要注意的是:
只有快速以太网混合网络模块能够支持这两种广域网接口卡。
支持这两种接口卡的网络模块如下所示:
NM-1FE2W， NM-2FE2W， NM-1FE1R2W， NM-2W。
而以太网混合网络模块不支持，如下所示:
NM-1E2W，NM-2E2W， NM1E1R2W。
4、Cisco3600系列路由器的NM(4A/S，NM(8A/S网络模块和WIC(2A/S广域网接口卡支持的最大异/同步速率各是多少?
这些Cisco路由器知识告诉我们网络模块和广域网接口卡既能够支持异步，也能够支持同步。支持的最大异步速率均为115.2Kbps，最大同步速率均为128Kbps。
5、WIC-2T与WIC-1T的电缆各是哪种?
WIC-1T: DB60转V35或RS232、 449等电缆。如:CAB-V35-MT。
WIC-2T: SMART型转V35或RS232、 449等电缆。如: CAB-SS-V35-MT。
6、Cisco 7000系列上的MCE1与Cisco 2600/3600上的E1、 CE1有什么区别?
Cisco 7000上的MCE1可配置为E1、 CE1， 而Cisco 2600/3600上的E1、 CE1仅支持自己的功能。
7、Cisco 2600系列路由器，是否支持VLAN间路由，对IOS软件有何需求?
Cisco(2600系列路由器中，只有Cisco2620和Cisco2621可以支持VLAN间的 路由(百兆端口才支持VLAN间路由)。并且如果支持VLAN间路由，要求IOS软件必须包括IP Plus特性集。
8、Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?
Cisco路由器知识：了解它们的不同点:
* Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口;而Cisco3620/3640基本配置中不包括以太网接口。
* Cisco3660路由器支持网络模块热插拔，而 Cisco3620/3640不支持网络模块热插拔。
* Cisco3660的冗余电源为内置， 而Cisco3620/3640的冗余电源为外置的。
9、支持哪些类型的访问表?
一个访问表可以由它的编号来确定。具体的协议及其对应的访问表编号如下:
◎I P标准访问表编号:1～9 9
◎I P扩展访问表编号:1 0 0～1 9 9
◎I P X标准访问表编号:8 0 0～8 9 9
◎I P X扩展访问表编号:1 0 0 0～1 0 9 9
◎AppleTa l k访问表编号:6 0 0～6 9 9
提示在Cisco IOS Release11.2或以上版本中，可以用有名访问表确定编号在1～199的访问表。

如何提高Cisco路

由器远程管理的安全性
随着我国路由行业的发展，其市场需求也在不断的增加，Cisco路由器作为路由行业的领军人物，其市场占有量是非常高的。Telnet到Cisco路由器进行远程管理是很多网管的选择，但是通过Telnet传输的数据都是明文，因此这种登录方式存在很大的安全隐患。
1、安全测试
笔者在本地安装了sniffer，然后利用Telnet登录Cisco路由器。停止嗅探然后解码查看，如图1所示笔者登录Cisco路由器进入用户模式和全局模式是输入的密码都明文显示出来了。虽然密码被拆分成了两部分，但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码。其实，不仅仅是这些，利用嗅探工具管理员所有在Cisco路由器上输入的命令都会被嗅探到。这样，就算是管理员更改了Cisco路由器的密码，并且进行了加密但都可以嗅探得到。
2、SSH的安全性
SSH的英文全称为Secure Shell，它默认的连接端口是22。通过使用SSH，可以把所有传输的数据进行加密，这样类似上面的“中间人”攻击方式就不可能实现了，而且它也能够防止DNS和IP欺骗。另外，它还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。
3、SSH部署
基于上面的测试和SSH的安全特性，要实现Cisco路由器的安全管理用SSH代替Telnet是必要的。当然，要实现SSH对CISOC的安全管理，还需要在Cisco路由器上进行相关设置。下面笔者就在虚拟环境中演示SSH的部署、连接的技术细节。
上面设置完成后就不能Telnet到cisco了，必须用专门的SSH客户端进行远程登录。为了验证SSH登录的安全性，我们在登录的过程中启用网络抓包软件进行嗅探。笔者采用的SSH客户端为PuTTY，启动该软件输入Cisco路由器的IP地址192.168.2.1，然后进行扥两个会弹出一个对话框，让我们选择是否使用刚才设置的SSH密钥，点击“是”进入登录命令行，依次输入刚才在Cisco路由器上设置的SSH的登录用户及其密码ctocio，可以看到成功登录到Cisco路由器。然后我们查看嗅探工具抓包的结果，如图所示所有的数据都进行了加密，我们看不到注入用户、密码等敏感信息。由此可见，利用SSH可以确保我们远程登录Cisco路由器的安全。
总结：其实，SSH不仅可用于Cisco路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于SSH远程管理。另外，当下的SSH工具不仅有命令行下的，也有一些GUI图形界面下的工具。网络管理，安全第一，SSH能够极大程度地预防来自“中间人”的攻击，希望本文对大家提升网络管理的安全性有所帮助帮助。

CISCO路由器设置详解
学习CISCO路由器教程对于一般

的用户来讲，还是非常有用的，思科作为路由市场中需求量很多的企业，其用户量也是很多的，这里主要Cisco2620为例，像您介绍路由配置和接入的方法。
了解一些关于思科路由器的常识还是很重要的，这里主要讲解了CISCO路由器教程，从配置到接入方法都做了详细的分析。本文以Cisco2620为例，讲述了路由器配置以及远程接入的配置方法，探讨了如何使用内部网络的DHCP服务功能为远程拨入的用户分配地址信息以及路由器常见故障的排除技巧。
CISCO路由器教程之初始安装
第一次安装时系统会自动进入Dialog Setup，依屏幕提示，分别回答路由器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议以及各个接口的配置后，保存配置。在出现路由器名称后，打入enable命令，键入超级登录密码，出现路由器名称（这里假设路由器名称为Cisco2620），待出现Cisco2620#提示符后，表示已经进入特权模式，此时就可以进行路由器的配置了。
CISCO路由器教程之配置路由器
键入config terminal，出现提示符Cisco2620(config)#，进入配置模式。
CISCO路由器教程之设置密码
Cisco2620(config)#enable secret 123123：设置特权模式密码为123123
Cisco2620(config)#line console 0: 进入Console口配置模式
Cisco2620(config-line)#password 123123：设置Console口密码为123123
Cisco2620(config-line)#login：使console口配置生效
Cisco2620(config-line)#line vty 0 5：切换至远程登录口
Cisco2620(config-line)#password 123123：设置远程登录密码为123123
Cisco2620(config-line)#login：使配置生效
CISCO路由器教程之设置快速以太网口
Cisco2620(config)#interface fastFastethernet 0/0：进入端口配置模式
Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：设置IP地址及掩码
Cisco2620(config-if)#no shutdown: 开启端口
Cisco2620(config-if)#exit：从端口配置模式中退出
CISCO路由器教程之设置同步串口
Cisco2620(config)#interface serial 0/0：进入同步串口设置
Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用与快速以太网口相同的IP地址
Cisco2620(config-if)#encapsulation ppp: 把数据链路层协议设为PPP
设置16口Modem拨号模块，使用内部DHCP服务为拨入用户分配地址
Cisco2620(config)#interface Group-Async1
Cisco2620(config-if)# ip unnumbered FastEthernet0/0
Cisco2620(config-if)# encapsulation ppp
Cisco2620(config-if)# ip tcp header-compression passive：启用被动IP包头压缩
Cisco2620(config-if)# async mode dedicated:只在异步模式下工作
Cisco2620(config-if)# peer default ip address dhcp：将IP地址请求转发至DHCP服

务器
Cisco2620(config-if)# ppp authentication chap：将认证设为CHAP
Cisco2620(config-if)# group-range 33 48：拨号组包括16个口
Cisco的16AM模块提供了高密度的模拟电路接入方式，不在办公大楼的员工可以用Modem拨号联入局域网、登录服务器，实现远程办公。peer default ip address dhcp命令可以使拨入的工作站通过局域网内的DHCP服务器动态地获得IP地址，节约了IP地址资源，同时还接收了在DHCP服务器上配置的参数，比如 DNS服务器的IP地址，并配合全局模式下配置的指向防火墙的静态路由，使工作站同时也可以通过防火墙访问Internet。
对16AM模块物理特性的设置
Cisco2620(config)#line 33 48: 进入Modem 口线模式
Cisco2620(config-line)# session-timeout 30:超时设为30分钟
Cisco2620(config-line)# autoselect during-login：自动登录
Cisco2620(config-line)# autoselect ppp：自动选择PPP协议
Cisco2620(config-line)# login local：允许本地口令检查
Cisco2620(config-line)# modem InOut：允许拨入拨出
Cisco2620(config-line)# transport input all:指定传输协议
Cisco2620(config-line)# stopbits 1：设置一位停止位
Cisco2620(config-line)# flowcontrol hardware：设置硬件流控制
Cisco路由器配置教程
来源:https://www.360docs.net/doc/f616654285.html, 翻译：何高卓 (2001-04-19 14:28:01)

Josh　Gentry,　jgentry@https://www.360docs.net/doc/f616654285.html,
1999年9月6日，v.99

翻译：何高卓　1999.12.10


--------------------------------------------------------------------------------

本人声明：本人本着“我为人人，人人为我”的宗旨翻译了此文。本文仅为阁下提供参考。

如果由于本人在翻译过程中的疏忽和错误造成阁下经济上或精神上的损失，本人

只能深表遗憾而拒绝承担一切责任。


--------------------------------------------------------------------------------

本文覆盖了使用命令行界面的基本的Cisco路由器IP地址配置


--------------------------------------------------------------------------------



感谢

以下的资源非常有用：

Leinwand、Pinsky和Culpepper。Cisco路由器的配置。印第安纳州印第安纳波利斯：Cisco公司出版，1998。
Cisco系统公司，https://www.360docs.net/doc/f616654285.html,
感谢Newman给我上了配置Cisco路由器的第一节课。

本文的信息原先搜集于，或者说得自于James　Hart先生所完成的计划。他在Albuquerque,NM（美国新墨西哥州）的技术/职业学院教师。非常感谢他允许我参加该计划的工作。

弃权书

本文的传播无须明确或含蓄的授权，对本文包含的信息的正确性亦不作任何担保。本文仅提供给需要帮助的人使用，但使用者必须自己承担风险。如果使用者由于使用本文而造成的任何损失作者和TVI（技术/职

业学院）概不负责。

约定

在介绍重要的术语和概念时，或许以粗体显示。正文所包含的命令以常体显示，用于实例的所有名称或地址亦是这样，同时不应该用到你的实际网络中。配置你的系统时不要一字不差地输入名称或地址。最后，在某些例子中，在命令要求IP地址作为参数的地方，IP地址可能以xx.xx.xx.xx或https://www.360docs.net/doc/f616654285.html,.dd这种方式来表示。实际上，配置你的系统时永远不会用到这些字符串。本文的约定指出你应该把指明的地方替换成适当的IP地址。


--------------------------------------------------------------------------------

1.　本文档覆盖的东西
有好几种方法可用来配置Cisco路由器。配置可以由TFTP服务器通过网络来完成；可以通过启动时提供的菜单界面来完成；并且可以由运行setup命令所提供的菜单界面来完成；还可以由保存到内存中的配置来完成。本教程不会覆盖这几种方法，它仅覆盖由IOS命令行界面来进行的配置。

注意：本教程不覆盖路由器与它要路由的网络在物理上的连接，它仅覆盖操作系统配置。

1.1　使用命令行的原因
使用命令行界面而不使用菜单驱动界面的原因有两个：

一个是速度。一旦你已花费时间去了解命令行命令，就可以比通过使用菜单更加迅速地完成许多操作。基本上，相对于菜单的所有命令行来说，这点是真的。对于了解Cisco　IOS的命令行界面来说它是特别有效的东西，而Cisco　IOS是跨越一切Cisco路由器的标准。
其次，可以配置单个接口而不必中断其它接口上的服务。根据定义，路由器有多个接口。例如，在　Cisco　7200系列路由器中，路由器有多个端口，每个端口有几个可热插拔模块。这些模块能够经由命令行来单独配置是一种颇有价值的技术。

1.2　文档结构
本文的第一部分将介绍IOS的命令模式和Cisco路由器基本配置所必需的命令。文档的第二部分将在个案研究里示范这些命令的用法。个案研究是由本文作者完成的实际配置。

2.　准备开始
初时，你或许会通过终端来配置你的路由器。如果路由器已经配置过，而且至少一个端口已经用IP地址配置好，同时它与网络有物理连接的话，你也许能够telnet到路由器，通过网络来配置它。如果路由器未曾做过配置，那么你将不得不用终端和一条串口电缆直接和它连接。对于任何一台Windows主机来说，你都可以用超级终端（Hyperterminal）容易地连接路由器。把串口电缆插入PC机上的串口（COM），另一端插入Cisco路由器上的控制台端口。启动超级终端，告诉它所用的COM口并点击OK。把连接速率设置为　9600　波特，点击　OK。如果路由器未开机，启动它。

如果

你想由Linux主机来配置路由器，要运行Seyon或Minicom。至少它们中的一个，也许两个都在你的Linux分发套件中。

通常，你需要敲Enter（回车）键来观看路由器所作的提示。如果路由器未做过配置，它看起来象这样：

Router>

如果路由器预先用hostname（主机名）配置过，它看起来象这样：

hostname　of　router>

如果你刚刚开启路由器，引导之后它会向你发问，如果你想开始初始配置，回答no　。如果你回答yes，它会把你带入菜单界面。所以回答　no。

2.1模式（Modes）
Cisco　IOS命令行界面是围绕模式（Modes）这个概念来进行组织的。在配置路由器的时候，你要在几个不同的模式之间进进出出，而所处模式决定所用的命令。每个模式都有一整套可用于该模式的命令，并且其中的某些命令只能用于该模式。在任何模式中，输入问号将显示用于该模式的命令列表。

Router>?

2.2　非特权与特权模式
当你第一次连接路由器并提供口令（如果必要的话）时，进入EXEC模式。在第一个模式里，你可以由命令行来运行命令。在这里，你可以使用如ping、telnet和rlogin这样的非特权命令。你也可以使用一组show命令来获取有关的系统信息。在非特权模式里，你可以使用如show　version这样的命令来显示路由器正在运行的IOS的版本号。输入show　?　将会显示所有用于当前模式的show命令。

Router>show　?

你要配置路由器就必须进入特权模式。你可以通过使用enable命令来做到这点。特权模式通常是口令保护，除非路由器未配置好。你有无口令保护特权模式的选择，但极力推荐你选择有口令保护的特权模式。在你运行命令enable并提供口令之后，你就会进入特权模式。

为了帮助用户看清所处的模式，每次进入不同的模式，命令行的提示都会发生改变。当你从非特权模式切换到特权模式时，提示由:

Router>

变成

Router#

这也许并不是最好的处理方式，如果只有两种模式的话。事实上，有数目众多的模式，这样的特点或许是绝对必要的。任何时候都要密切注意提示。

特权模式里有许多子模式。　在本文中，我不会紧跟该模式层次的Cisco术语。坦白的说，我认为我的解释更加清楚。Cisco描述了两种模式，非特权模式与特权模式，然后是用在特权模式的命令层次。我的理由非常清楚，要弄明白你是否只考虑特权模式的许多子模式。特权模式，我又叫它作父模式。一旦你进入特权模式（父模式），提示就以井号（#）作为结束。只有在进入特权模式之后，你才能进入数目众多的模式。每种模式的提示方式为：

Router(参数)#

所有子模式仍

然以#号作结束，它们包含于特权模式之中。大多数模式都有自己的子模式。一旦你进入特权模式，你就有权访问所有的配置信息。而配置信息可选择由IOS提供，或者直接由父模式提供，或者由其中的一个子模式提供。

3.　配置
如果你刚刚开启路由器，它将是完全未配置过的。如果它已经配置过，你也许想查看它当前的配置。即使它先前未曾配置过，在开始配置路由器之前，你自己应该熟悉show命令的用法。通过运行命令enable进入特权模式，然后运行几个show命令来查看它们所显示的信息。记住，命令show　?　将显示所有可用于当前模式的show命令。干脆试验以下命令：

Router#show　interfaces
Router#show　ip　protocols
Router#show　ip　route
Router#show　ip　arp

当你通过使用命令enable进入特权模式时，你处在特权模式的顶层模式，也就是本文认为的“父模式”。在该顶层或父模式中，你可以显示很多有关路由器的信息。正如你现在所了解的，你可以用show命令来做到这点。在这里，你可以了解接口的配置和接口是否开或关。你可以显示正在使用的IP协议的信息，如动态路由协议。你可以查看路由和ARP表，而这些正是非常重要的几个选项。

当配置路由器时，你要进入各种子模式来设置选项，然后返回到父模式来显示命令结果。你还要返回到父模式来进入其它的子模式。为了返回父模式，按ctrl-z键。这时，你刚才运行的任何命令都会发生影响，并把你带回到父模式中。

3.1　共用配置（config）
配置路由器的任何特性，必须进入配置模式，这就是父模式的第一个子模式。在父模式中，运行　config命令。

Router#config
Router(config)#

如上所示，提示的改变表明你现在所处的模式。



在配置模式中，你可以设置适用广泛的系统选项，也称作“共用配置”。例如，为了易于识别你的路由器，命名你的路由器是一个好主意。在配置模式中，用hostname命令你可以做到这点。

Router(config)#hostname　ExampleName
ExampleName(config)#

如上所示，当你用hostname命令来设置主机名时，提示立即发生改变，用ExampleName替换Router。（注意：用一个组织化的命名方案来命名路由器是一个好主意。）



另一个由配置模式来运行的有用命令是指定路由器所用的DNS服务器的命令：

ExampleName(config)#ip　name-server　https://www.360docs.net/doc/f616654285.html,.dd
ExampleName(config)#ctrl-Z
ExampleName#

这也是你为特权模式设置口令的地方。

ExampleName(config)#enable　secret　examplepassword
ExampleName(config)#ctrl-Z
ExampleName#

直到你按下ctrl-Z键（或输入exit直到你到达父模式），命令尚未产生影响。

你可以进入配置模式，运行几个不同的命令，然后按ctrl-Z键激活所有命令。每次你按下ctrl-Z键返回到父模式并提示：

ExampleName#

在这里，你可以用show命令来验证你在config模式里所运行命令的效果。为了验证ip　name-server　命令的结果，运行命令show　host。

3.2　配置接口
命名Cisco接口是直发的，个别接口由本约定指定：

media　type　slot#/port#

　“介质类型”是指端口为诸如Ethernet、Token　Ring、FDDI、串口等接口的介质类型。插槽数只适用于为你提供可以安装模块的插槽的路由器。这些模块包括几个特定介质的端口，7200系列就是一个例子。这些模块甚至是可热插拔的。你可以从插槽中移去一个模块并用一块不同的模块来代替它，而不必中断由安装在路由器里的其它模块所提供的服务。这些插槽在路由器中是被编号的。

端口数涉及到的端口与该模块里的其它端口有关。编号方式是从左到右，所有编号都是从0开始，而不是1。

例如，Cisco　7206是带有6个插槽的7200系列路由器。提到的一个接口是安装在第六插槽的Ethernet模块的第三个端口，它应是以太网6/2接口。因此，为了显示该接口的信息，你可以使用命令：

ExampleName#show　interface　ethernet　6/2

如果你的路由器没有插槽，如1600，那么接口名的组成只有：

media　type　port#

例如：

ExampleName#show　interface　serial　0

这里有一个用一个IP地址来配置一系列端口的例子：

ExampleName#config
ExampleName(config)#interface　serial　1/1
ExampleName(config-if)#ip　address　192.168.155.2　255.255.255.0
ExampleName(config-if)#no　shutdown
ExampleName(config-if)#ctrl-Z
ExampleName#

然后验证配置：

ExampleName#show　interface　serial　1/1

注意no　shutdown命令。一个接口在正确配置及物理连接后，也许仍是“在管理上关掉”。在这种情形下，它不会起作用。引起一个接口在管理上关掉的命令是shutdown。

ExampleName(config)#interface　serial　1/1
ExampleName(config-if)#shutdown
ExampleName(config-if)#ctrl-Z
ExampleName#show　interface　serial　1/1

在Cisco　IOS中，相反的情形或者删除任何命令的结果是简单地把no放在该命令的前面。例如，如果我们想取消已经赋给interface　serial　1/1　的IP地址：

ExampleName(config)#interface　serail　1/1
ExampleName(config-if)#no　ip　address　192.168.155.2　255.255.255.0
ExampleName(config-if)ctrl-Z
ExampleName#show　interface　serial　1/1

为LAN(局域网)连接配置的多数接口可能仅有分配网络层地址和确定在管理上没有关掉的接口构成。它通常不需要规定数据链层封装。注意，为WAN（广域网）连接规定适当的数

据链层封装通常是必要的，如贞中继和ATM。系列接口缺省使用HDLC。数据链层协议的讨论超出了本文范围。想知道更多的详细资料你需要查找IOS命令封装。

3.3　路由
在Cisco路由器上，IP路由是自动激活的。在你的路由器上，如果IP路由先前一直是关闭的话，你可以用命令ip　routing返回到config模式中。

ExampleName(config)#ip　routing
ExampleName(config)#ctrl-Z

有两种主要的方式让路由器知道把包发送到什么地方，网管可以指定静态路由（static　routes），或者路由器可以通过使用动态路由协议（dynamic　routing　protocol）来知悉路由。

如今，静态路由通常被用在很简单的网络上，或者在必须使用静态路由的特殊情形下使用。为了创建静态路由，网管告知路由器操作系统，任何流向一个指定的网络层地址的网络通信流量应转发给另一个类似的指定网络层地址。在Cisco　IOS中，用ip　route命令来做到这点。

ExampleName#config
ExampleName(config)#ip　route　172.16.0.0　255.255.255.0　192.168.150.1
ExampleName(config)#ctrl-Z
ExampleName#show　ip　route

关于本例子讲了两件事。第一，包目标地址必须包含目标网络的子网掩码。第二，被转发的IP地址是下一个路由器沿着这条路径到达目标所指定的地址。这是安装静态路由的多数通用方法，而本文覆盖的只有一种方法。不过，应该知道还有其它方法。

动态路由协议，运行于已连接的路由器，使得那些路由器可以共享路由信息。这使到路由器能够知悉路由并可利用它们。在网络拓扑中，这种方法的好处是路由器能够适应变化。如果路由在物理上已删除，或者邻近的路由器关机，路由协议会搜索新的路由。在基于如网络拥塞或网络可靠性变化的可能路由之间，路由协议甚至能够被动态地选择。

有许多不同的路由协议，它们使用不同的变量，通称为“量度（metrics）”，决定适用的路由。不幸的是，路由器需要运行与相邻路由器一样的协议。不过，许多路由器可运行多重协议。还有，许多协议被设计成能够把路由信息传递给其它的路由协议，这叫做“重新分配（redistribution）”。作者没有尝试过进行重新分配工作的经验。有一个IOS重新分配命令你可以研究，如果你认为这是你需要的东西的话。本文的合作者的个案研究描述了一个在某种情况下处理不同的路由协议的可选方案。

路由协议是一个复杂的主题，本文的内容只是对它们作了肤浅的描述。如要对路由协议作更深入的了解，有很多有关的资源可利用。关于该主题极好的信息资源是Cisco站点https://www.360docs.net/doc/f616654285.html,。

本文描述了如何配置关于Cisco路由器的路由信息协议（

RIP）。通过命令行，我们必须明确告知路由器使用的协议，什么网络协议将要路由。

ExampleName#config
ExampleName(config)#router　rip
ExampleName(config-router)#network　https://www.360docs.net/doc/f616654285.html,.dd
ExampleName(config-router)#network　ee.ff.gg.hh
ExampleName(config-router)#ctrl-Z
ExampleName#show　ip　protocols

现在，当你运行show　ip　protocols命令时，你将会看到一个描述RIP配置的入口。

3.4　保存配置
一旦你在路由器上配置好路由和个别接口，你的路由器就应该能够进行路由通信。给片刻的时间让路由器与它相邻的路由器交谈，然后运行命令show　ip　route和show　ip　arp。在通过路由协议所获知的这些路由表里，现在应该有了入口。

如果你马上关掉路由器并再次开启，你将不得不重新配置一遍。运行时配置（running　configuration）不会保存到任何可存储介质。你可以用命令show　running-config来查看该配置。）

ExampleName#show　running-config

如果你确实想保存成功的运行时配置，运行命令copy　running-config　startup-config。

ExampleName#copy　running-config　startup-config

现在你的配置被保存到非挥发性随机存储器（NVRAM）中。运行命令show　startup-config可查看结果。

ExampleName#show　startup-config

现在，任何时候你需要把路由器返回到配置模式的话，运行命令copy　startup-config　running-config。

ExampleName#copy　startup-config　running-config

3.5　配置实例
1. Router>enable

2. Router#config

3. Router(config)#hostname　N115-7206

4. N115-7206(config)#interface　serial　1/1

5. N115-7206(config-if)ip　address　192.168.155.2　255.255.255.0

6. N115-7206(config-if)no　shutdown

7. N115-7206(config-if)ctrl-z

8. N115-7206#show　interface　serial　1/1

9. N115-7206#config

10. N115-7206(config)#interface　ethernet　2/3

11. N115-7206(config-if)#ip　address　192.168.150.90　255.255.255.0

12. N115-7206(config-if)#no　shutdown

13. N115-7206(config-if)#ctrl-z

14. N115-7206#show　interface　ethernet　2/3

15. N115-7206#config

16. N115-7206(config)#router　rip

17. N115-7206(config-router)#network　192.168.155.0

18. N115-7206(config-router)#network　192.168.150.0

19. N115-7206(config-router)#ctrl-z

20. N115-7206#show　ip　protocols

21. N115-7206#ping　192.168.150.1

22. N115-7206#config

23. N115-7206(config)#ip　name-server　172.16.0.10

24. N115-7206(config)#ctrl-z

25. N115-7206#ping　archie.au

26. N115-7206#config

27. N

115-7206(config)#enable　secret　password

28. N115-7206(config)#ctrl-z

29. N115-7206#copy　running-config　startup-config

30. N115-7206#exit

4.　疑问解答
不可避免将会出现问题。通常，它将会以用户向你通报的形式出现，这些通报根本不可能达到一定的目的，或任何目的。你需要能够查出路由器是如何尝试进行路由通信的，同时你必须能够捕获到故障点。

你已经熟悉了show命令，两个特殊的命令，并知道了其它的show命令是如何运用的。，你用来解难析疑的最基本、最有用几个命令是：

ExampleName#show　interfaces
ExampleName#show　ip　protocols
ExampleName#show　ip　route
ExampleName#show　ip　arp

4.1　测试连接
故障点很有可能不在路由器的配置里，或者根本在路由器上。如果你检查路由器的配置和操作，一切看起来毫无问题的话，问题也许在更远的线路上。实际上，也许是它本身的线路，或者可能是另一台路由器，哪种可能或不可能处于你的管控之下。

一个非常有用而简单的检测工具是ping命令。Ping是一个IP信息控制协议工具（ICMP）。Ping发送一个ICMP，并把请求回送给目标IP地址。如果目标机器收到请求，它用ICMP回应做应答。这是很简单的交换，其组成为：

Hello,　are　you　alive?（喂，你在吗？）

Yes,　I　am.（我在！）

ExampleName#ping　xx.xx.xx.xx

如果ping检测成功，你就知道你存在有难于到达的目标，而该目标在物理上是可到达的。

如果有路由器处在你的路由器和你难于到达的目标之间，问题也许在其它路由器中的一个。即使你ping一个路由器而它有响应，路由器也许有其它的接口是关掉的，它的路由表可能被破坏，或者任何数量的其它问题都可能存在。

为了查看包离开特殊目的的路由器到达什么地方，有多远，用trace命令。

ExampleName#trace　xx.xx.xx.xx

该实用程序的结束可能要花几分钟，因此应给它一些时间。它会显示一张在目标的路途上产生的所有路程段的列表。

4.2　调试命令
IOS提供了几个调试命令，这些命令没包含在这里。欲知更多的信息，请浏览Cisco站点。

4.3　硬件和物理连接
不要忽视故障点是硬件或者物理连接故障的可能性。任何事情都可以出错，从主板故障到电缆断裂到电源故障。本文不会描述这些问题的疑难解答，除了这些简单的东西。

查看路由器是否开机，确定电缆是否松动或者损坏，最后确定电缆是否插入正确的端口。建议过于简单，或者你需要检查其它故障源。

4.4　超出你的控制
如果故障点是线路的远端，问题也许系于不在你管控下的设备。你仅有的选择可能是与

设备管理员联系，把你的问题向他们通报，向他们寻求帮助。你要注意的是谦虚有礼。其他网管有他们自己的问题、自己的工作量和他们自己的优先权。他们的议程甚至可能直接与你的问题相冲突，如改变动态路由协议的意图等等。你必须与他们一起工作，即使在感到灰心的情形之下。疏远拥有权力的某个人使到重要的路由阻塞，对你的网络来说不是一个好主意。

5.　个案研究（正在构建中）
6.　参考资料
Leinwand、Pinsky和Culpepper。Cisco路由器的配置。印第安纳州印第安纳波利斯：Cisco公司出版，1998。
Cisco系统公司，https://www.360docs.net/doc/f616654285.html,/
7.　更多的文档
总之，欲知更多有关Cisco产品的信息和大量有关网络的文档，请浏览：https://www.360docs.net/doc/f616654285.html,/

由本文作者所写的更多文档：https://www.360docs.net/doc/f616654285.html,/~jgentry
(https://www.360docs.net/doc/f616654285.html,)