锐捷路由器配置手册
目录:
路由器基础:
路由器的几种配置方法
控制台
远程登录
其它配置方法
命令行(CLI)操作
命令模式
命令模式的切换
CLI命令的编辑技巧
常见CLI错误提示
使用 no 和 default 选项
配置文件的保存、查看与备份查看配置文件
保存配置文件
删除配置文件
备份配置文件
文件系统
文件系统概述
文件操作
目录操作
系统文件的备份与升级
搭建环境
用TFTP传输文件
用Xmodem传输文件
ROM监控模式
密码丢失的解决方法
路由器的基本配置:
配置主机名
配置口令
配置控制台口令
配置远程登录口令
配置特权口令
配置以太网接口
以太网接口的一般配置
配置多个IP地址
配置MAC地址
接口信息的查看
配置同步串行口
同步串行口的一般配置
配置反转时钟
配置链路封装协议
配置线路编解码方式
忽略DCD信号
接口信息的查看
配置回环接口
回环接口的配置
接口信息的查看
配置路由:
静态路由和缺省路由的配置
配置静态路由
配置默认路由
配置缺省网络
配置可被动态路由覆盖的静态路由
RIP协议的一般配置
RIP协议参数的配置
OSPF协议的配置
OSPF协议的一般配置
广域网协议配置:
HDLC协议配置
配置接口的HDLC封装
配置keepalive时间
PPP协议配置
配置接口的PPP封装
配置PPP协商超时时间
配置CHAP验证
配置CHAP服务端
配置CHAP客户端
配置双向CHAP验证
配置PAP验证
配置PAP服务端
配置PAP客户端
配置双向PAP验证
帧中继协议配置
点到点的帧中继配置
点到点子接口的帧中继配置NAT的配置:
静态NAT配置
静态NAT的配置
静态NAPT的配置
动态NAT配置
动态NAPT的配置
接口动态NAPT的配置
重叠地址NAT配置
外部源地址的静态NAT配置外部源地址的动态NAT配置TCP负载均衡
NAT信息的查看
DHCP的配置:
DHCP服务器的配置
启用DHCP服务器
配置DHCP地址池
配置选项
配置DHCP地址绑定
DHCP中继代理的配置
访问控制列表的配置:
标准访问控制列表的配置标准ACLs的语句规则
配置标号的标准ACLs
配置命名的标准ACLs
扩展访问控制列表的配置扩展ACLs的语句规则
配置标号的扩展ACLs
配置命名的扩展ACLs MAC扩展访问列表的配置MAC扩展ACLs的语句规则配置标号的MAC扩展ACLs 配置命名的MAC扩展ACLs
Expert扩展访问列表的配置
Expert扩展ACLs的语句规则
配置标号的Expert扩展ACLs
配置命名的Expert扩展ACLs
其它形式的访问列表
带序号的ACLs
带时间区的ACLs
第一部分路由器基础:
路由器的几种配置方法
控制台
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。
1、硬件连接:
把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。
Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。
注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。
2、软件安装:
在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法:
开始 | 程序 | 附件 | 通信 | 超级终端。
按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。
登录后,就可以对网络设备进行配置了。
说明:超级终端只需安装一次,下次再使用时可从“开始 | 程序 | 附件 | 通信 | 超级终端”中找到上次安装的超级终端,直接使用即可。
远程登录
通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。
远程登录条件:
1、网络设备已经配置了IP地址、远程登录密码和特权密码。
2、网络设备已经连入网络工作。
3、计算机也连入网络,并且可以和网络设备通信。
说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。
远程登录方法:
在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。
说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。
其它配置方法
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。
1、TFTP服务器:
TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。
由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
2、SSH:
SSH是一种安全的配置手段,其功能类似于远程登录。与Telnet不同的是,SSH传输中所有信息都是加密的,所以如果需要在一个不能保证安全的环境中配置网络设备,最好使用SSH。
3、Web:
有些种类的设备支持Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。
Web配置方式具有较好的直观性,用它可观察到设备的连接情况。
命令行(CLI)操作
路由配置模式
Config-vlan
VLAN配置模式
(config-vlan)#配置VLAN参数
命令模式的切换
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。进入某模式时,需要逐层进入。
要求命令举例说明
进入用户模式登录后就进入
进入特权模式Ruijie>enable
Ruijie#
在用户模式中输入enable命令
进入全局配置模式Ruijie#configure terminal
Ruijie(config)#
在特权模式中输入conf t命令
进入接口配置模式Ruijie(config)#interface
f0/1
Ruijie(config-if)#
在全局配置模式中输入interface命令,该命令
可带不同参数
进入线路配置模式Ruijie(config)#line console
Ruijie(config-line)#
在全局配置模式中输入line命令,该命令可带不
同参数
进入路由配置模式Ruijie(config)#router rip
Ruijie(config-router)#
在全局配置模式中输入router命令,该命令可带
不同参数
进入VLAN配置模式Ruijie(config)#vlan 3
Ruijie(config-vlan)#
在全局配置模式中输入vlan命令,该命令可带不
同参数
退回到上一层模式Ruijie(config-if)#exit
Ruijie(config)#
用exit命令可退回到上一层模式
退回到特权模式Ruijie(config-if)#end
Ruijie#
用end命令或Ctrl+Z可从各种配置模式中直接退
回到特权模式
退回到用户模式Ruijie#disable
Ruijie>
从特权模式退回到用户模式
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。
特例:当在特权模式下输入 Exit 命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是 disable。
CLI命令的编辑技巧
CLI(命令行)有以下特点。
1、命令不区分大小写。
2、可以使用简写。
命令中的每个单词只需要输入前几个字母。要求输入的字母个数足够与其它命令相区分即可。如:configure terminal 命令可简写为 conf t。
3、用 Tab 键可简化命令的输入。
如果你不喜欢简写的命令,可以用 Tab 键输入单词的剩余部分。每个单词只需要输入前几个字母,当它足够与其它命令相区分时,用 Teb 键可得到完整单词。如:输入 conf(Tab) t(Tab) 命令可得到 configure terminal。
4、可以调出历史来简化命令的输入。
历史是指你曾经输入过的命令,可以用“↑”键和“↓”键翻出历史命令再回车就可执行此命令。(注:只能翻出当前提示符下的输入历史。)
系统默认记录的历史条数是10条,你可以用 history size 命令修改这个值。
5、编辑快捷键:
Ctrl+A——光标移到行首,Ctrl+E——光标移到行尾。
6、用“”可帮助输入命令和参数。
在提示符下输入“”可查看该提示符下的命令集,在命令后加“”,可查看它第一个参数,在参数后再加“”,可查看下一个参数,如果遇到提示“
常见CLI错误提示
% Ambiguous command: "show c"
用户没有输入足够的字符,设备无法识别唯一的命令。
% Invomplete command.
命令缺少必需的关键字或参数。
% Invalid input detected at '^' marker.
输入的命令错误,符号 ^ 指明了产生错误的单词的位置
使用 no 和 default 选项
很多命令都有 no 选项和 default 选项。
no 选项可用来禁止某个功能,或者删除某项配置。
default 选项用来将设置恢复为缺省值。
由于大多数命令的缺省值是禁止此项功能,这时 default 选项的作用和 no 选项是相同的。但部分命令的缺省值是允许,这时default 选项的作用和 no 选项的作用是相反的。
no 选项和 default 选项的用法是在命令前加 no 或 defaule 前缀。如:
no shutdown
no ip address
default hostname
相比之下,我们多使用 no 选项来删除有问题的配置信息。
交换机和路由器都有两个配置文件:
1、运行配置文件:
这个文件位于RAM中,名为 running-config。它是设备在工作时使用的配置文件。
2、启动配置文件:
这个文件位于NVRAM中,名为 startup-config。当设备启动时,它被装入RAM,成为运行配置文件。
新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入 setup 方式配置一些基本信息,这些信息就生成了running-config ,我们以后所做的配置信息都会添加到 running-config 中。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。)
由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存到NVRAM中,这样配置文件就可以长期使用了。
从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把running-config 保存为startup-config 相当于一个存盘过程。
查看配置文件
模式:特权配置模式。
查看运行配置文件:
Ruijie#show running-config
或者:
Ruijie#write terminal
查看启动配置文件:
Ruijie#show startup-config
show running-config命令和write terminal命令的效果是完全相同的。
保存配置文件
保存配置文件就是把 running-config 保存为 startup-config。
模式:特权配置模式。
命令1:
Ruijie#copy running-config startup-config
命令2:
Ruijie#write
write命令与copy running-config startup-config命令的功能相同,它是人们习惯使用的一种简化写法。
删除配置文件
删除配置文件就是把NVRAM中的 startup-config 删除。
模式:特权配置模式。
命令:
Ruijie#delete flash:
说明:是配置文件在NVRAM中的文件名,它被删除后,再重启设备时会自动进入 setup 配置模式。
注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。
备份配置文件
通常我们把配置文件备份到TFTP服务器上,在需要时可以再从TFTP服务器上把配置文件回传到设备中。
准备:在作为TFTP服务器的计算机上打开TFTP服务器软件,并设置存放文件的路径(如下图)。然后在交换机或路由器上进行以下操作。
模式:特权配置模式。
命令:
Ruijie#copy running-config tftp
Address or name of remote host [ ]
Destination filename [ ]
说明:输入 copy 命令后还需要回答两个问题,一是TFTP服务器的地址,本例中假设为,二是备份的配置文件名,本例中假设为。备份成功后,在TFTP服务器指定的目录中可看到此文件。
从TFTP服务器回传配置文件:
Ruijie#copy tftp running-config
Address or name of remote host [ ]
Source filename [ ]
说明:有些设备不支持备份running-config文件,但支持备份startup-config文件。
文件系统
文件系统概述
交换机和路由器用一个并行Flash作为辅助存储器存储文件,Flash是一个可读可写的存储器,设备断电后,Flash的内容不会丢失,所以在交换机和路由器中Flash可被当作硬盘使用,用于存放需要长期保存的信息。
Flash中的文件主要包括:
1、主体文件
这个文件相当于交换机或路由器的操作系统,它的扩展名一般为 bin 或 upd,bin 文件是一个单独的文件,而 upd 文件是由多个文件打包而成,包含了 bin 文件和Web配置等文件。
主体文件很大,一般存放在Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏,设备将不能启动,开机后会进入ROM模式。
2、启动配置文件
这个文件由CLI命令组成,文件名一般为,它是一个文本文件。该文件就是我们在命令行中使用的startup-config,在设备启动时,该文件被装入RAM成为 running-config,设备执行其中的CLI命令完成初始化。
新设备是没有文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入 setup 模式,用户配置一些基本参数后,就生成了文件。
你也可以在特权模式下用 setup 命令来初始化配置文件,它可以清除原来的配置文件,生成一个只有几项基本参数的配置文件。
几点说明:
1、文件名对大小写不敏感,文件名长度不能超过23个字符。
2、不要删除主程序文件,它会导致设备不能启动。
3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。
4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。
文件操作
所有文件操作都是在特权模式下进行。
1、查看Flash中文件目录:
Ruijie#dir
Ruijie#dir
Directory of flash:/
-rw- 511 Dec 11 2002 10:11:08
-rw- 1002 Jan 15 2003 09:20:19
-rw- 2833568 Jan 14 2003 19:21:37
-rw- 80 Jan 14 2002 08:50:24
列表中列出的是处于激活状态的文件信息。
Ruijie#dir delete
该命令用于查看处于删除状态的文件信息。
2、删除文件:
Ruijie#delete flash:filename
filename是删除的文件名。例如:
Ruijie#delete flash:
删除的文件名被标记为删除状态,用 dir delete 命令可以看到。
3、查看文件内容:
Ruijie#more flash:filename
filename是文件名。例如:
Ruijie#more flash:
本命令只能查看文本文件。
4、重命名文件:
Ruijieh#rename flash:filename flash:newname
filename是原文件名,newname是新文件名。例如:
Ruijie#rename flash: flash:
对主体文件的重命名要谨慎,它会导致设备复位后不能启动。
5、碎片整理:
Ruijieh#squeeze flash:
碎片整理可以把处于删除状态的文件彻底清除,腾出空间保存新文件。
6、格式化:
Ruijieh#format flash:
格式化会清除Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。
目录操作
Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。
所有目录操作都是在特权模式下进行。
1、创建目录:
Ruijie#mkdir directory
directory是要创建的目录名称。例如:
Ruijie#mkdir txt
表示在当前目录中创建一个名为 txt 的子目录。
2、切换目录:
Ruijie#cd directory
directory是要进入的目录名称。其中当前目录用“.”表示,上级目录用“..”表示,根目录用“/”表示。例如:
①进入 txt 目录:
Ruijie#mv sour dest ./txt/
表示把当前目录中的移动到 txt 子目录中。
7、删除文件:
Ruijieh#rm filename
filename是要删除的文件名。例如:
Ruijie#rm
表示删除当前目录中的文件。
系统文件的备份与升级
搭建环境
在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案:
方案一:TFTP
计算机是通过网络访问设备的。要求设备已经配置了IP地址,且可以与计算机正常通信。计算机上应该
运行TFTP服务器软件。
方案二:Xmodem
计算机是通过Console线连接在设备上。要求在计算机上运行终端仿真软件(如:超级终端),设备可以没有IP地址。
利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于,TFTP是通过网络传输数据的,Xmodem是通过Console线传输数据的。
相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用TFTP。方案三:ROM监控模式
如果交换机或路由器的主体文件损坏了,在设备启动时会进入ROM监控模式,在此模式下可以用TFTP或Xmodem向设备传输文件
用TFTP传输文件
准备工作:
1、设备已经配置了IP地址,且可以与计算机正常通信(可以用ping命令检查)。
2、在计算机上运行TFTP服务器软件,并设置好文件保存的路径。如下图:
把设备中的文件传输到计算机中:
用控制台或Telnet登录设备,然后在特权模式下执行以下命令:
Ruijie#copy filename tftp
通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备 回答: 步骤一:配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar
更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令 回答: S5750(config)#username dixy password dixy ----设置dixy 用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 设备时钟设置 提问:如何设置设备时钟 回答:
1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备? 回答: 步骤一:配置VLAN1的IP地址 S5750>en----进入特权模式 S5750#conf----进入全局配置模式 S5750(config)#int vlan 1----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4----进入telnet密码配置模式 S5750(config-line)#login---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式
enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令? 回答: S5750(config)#username dixy password dixy----设置dixy用户名和密码 S5750(config)#username dixy privilege 10----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置
关于锐捷路由器配置命令,这些命令可能用的都不是很多,但是对于网络安全和性能来说很重要。 1. #Exit返回上一级操作模式 2. #del flash:config.text删除配置文件(交换机及1700系列路由器) 3. #erase startup-config删除配置文件(2500系列路由器) 4. #write memory 或copy running-config startup-config 保存配置 5. #Configure terminal 进入全局配置模式 6. (config)# hostname routerA配置设备名称为routerA 7.(config)#banner motd &配置每日提示信息&为终止符 8. (config)# enable secret star或者:enable password star 9.设置路由器的特权模式密码为star;secret 指密码以非明文显示, password指密码以明文显示 10.锐捷路由器配置命令之查看信息 11. #show running-config 查看当前生效的配置信息 12. #show interface fastethernet 0/3查看F0/3端口信息 13. #show interface serial 1/2 查看S1/2端口信息 14. #show ip interface brief 查看端口信息 15. #show version查看版本信息 16.#show running-config 查看当前生效的配置信息 17. #show controllers serial 1/2 查看该端口信息 , 用于R2501 18. #show ip route 查看路由表信息 19. #show access-lists 1查看标准访问控制列表1的配置信息 20.锐捷路由器配置命令之远程登陆(telnet) 21. (config)# line vty 0 4 进入线路0~4的配置模式, 4为连续线路最后一位的编号,线路为0~4 22. (conifg-line)#login 23. (config-line)#password star配置远程登陆密码为star 24. (config-line)#end返回上层 25. 锐捷路由器配置命令之端口的基本配置 26. (config)#Interface fastethernet 0/3 进入F0/3的端口配置模式 27. (config)#interface range fa 0/1-2进入F01至F0/2的端口配置模式 28. (config-if)#speed 10 配置端口速率为10M,可选10,100,auto 29. (config-if)#duplex full配置端口为全双工模式, 可选full(全双工),half(半双式),auto(自适应) 30. (config-if)#no shutdown 开启该端口 31. (config)# interface serial 1/2 进入端口S1/2的配置模式 32. (config-if)# ip address 1.1.1.1 255.255.255.0 配置端口IP及掩码 33.(config-if)# clock rate 64000 配置时钟频率(单位为K , 仅用于DCE端) 34.(config-if)# bandwidth 512 配置端口带宽速率为512KB(单位为KB) 35. (config-if)# no shutdown 开启该端口 36. (config-if)#encapsulation PPP 定义封装类型为PPP,可选项: 37. Frame-relay 帧中继 38. Hdlc 高级数据链路控制协议 39. lapb X.25的二层协议
锐捷5750基本配置 锐捷5750基本配置并不复杂,可以通过以下方式来进行设备配置。 1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备, 回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令,回答: S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp ----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置
网络配置教程(25)——锐捷路由器动态NAPT配置实验 2010-4-7 来源:本站原创作者:佚名【大中小】点击:42 次 【实训目的】 (1)理解NAT网络地址转换的原理及功能; (2)掌握路由器动态NAPT的配置,实现局域网访问互联网; 【实训技术原理】 NA T网络地址转换或网络地址翻译,是指将网络地址从一个地址空间转换为另一个地址空间的行为; NA T将网络划分为内部网络和外部网络两部分,局域网主机利用NAT访问网络时,是将局域网内部的本地地址转换为全局地址(互联网合法的IP地址)后转发数据包; NA T分为两种类型:NA T(网络地址转换)和NAPT(网络端口地址转换),NAT是实现转换后一个本地IP地址对应一个全局地址;NAPT是实现转换后多个本地IP地址对应一个全局地址。 【实现功能】 允许内部所有主机在公网地址缺乏的情况下可以访问外部网络; 【实训背景描述】 你是某公司的网络管理员,公司办公网需要接入互联网,公司只向ISP申请了一条专线,该专线分配了一个公网IP地址,配置实现全公司的主机都能访问外网。 【实训设备】 R1762(2台)、PC(2台)、直连线(2条)、V.35线(1条) 【实训内容】 (1)按照拓扑进行网络连接 (2)配置路由器接口IP地址 (3)配置路由器的缺省路由 (4)配置路由器的动态NAPT (5)测试
【实训拓扑图】 【实训步骤】 (1)配置路由器R1、R2接口IP地址;(使用串口线必须配置时钟)(2)配置R1、R2缺省路由; R1(config)#ip route 0.0.0.0 0.0.0.0 200.1.1.2 R2(config)#ip route 172.16.1.0 255.255.255.0 200.1.1.1 (1)配置路由器的动态NAPT R1(config)#interface fastethernet 1/0 R1 (config-if)#ip nat inside !定义F1/0为内部网接口,将访问控制列表应用于接口。 R1 (config)#interface serial 1/1 R1 (config-if)#ip nat outside !定义S1/1为外部网接口,将访问控制列表应用于接口。 R1(config)#ip nat pool local1 200.1.1.1 200.1.1.1 netmask 255.255.255.0 !定义全局IP地址池,地址池名为local1(包含开始地址—结束地址)R1(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !定义访问控制列表,只允许172.16.1.0的主机实现地址转换 R1(config)#ip nat inside source list 1 pool local1 overload !为内部本地调用转换地址池,将地址池与访问控制列表绑定
锐捷S3550配置手册 第一部分:交换机概述 一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连 接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始| 程序| 附件| 通信| 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。
登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始| 程序| 附件| 通信| 超级终端”中找到上次安装的超级终端,直接使用即可。 远程登录 通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。
3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网 络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 其它配置方法 除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后 的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
锐捷网络实验手册
————————————————————————————————作者:————————————————————————————————日期:
实验一交换机的基本配置 1.基本配置: 网络拓扑 RG-Switch ? 实验环境 将RG-Switch的其中一以太网口连至PC的以太网口 实验配置 1.配置交换机主机名 Red-Giant>enable(注:从用户模式进入特权模式) Red-Giant#configure terminal(注:从特权模式进入全局配置模式) Red-Giant(config)#hostname SW1(注:将主机名配置为“SW1”) SW1(config)# 2.配置交换机远程登陆密码 SW1(config)#enable secret level 1 0 star (注:将交换机远程登陆密码配置为“star”) 3.配置交换机特权模式口令 SW1(config)#enable secret level 15 0 star(注:将交换机特权模式口令配置为“star”) 4.为交换机分配管理IP地址 SW1(config)#interfacevlan1 SW1(config-if)#ip address 10.1.1.1 255.255.255.0 SW1(config-if)#no shutdown 注:为VLAN 1的管理接口分配IP地址(表示通过VLAN 1来管理交换机),设置交换机的IP地址为10.1.1.1,对应的子网掩码为255.255.255.0 5.显示交换机MAC地址表的记录 SW1#showmac-address-table 注:在PC上开一命令行窗口,运行命令:c:\>ping 10.1.1.1 能ping通则在交换机上执行show mac-address-table 可查看到PC的
33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略 路由,该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进 行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理, 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意: 我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路 由图,后的路由图会覆盖先前配置的路由图。 【举例】
以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报 源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1 则设置下一跳为196.168.5.6,否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注:route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由,请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
目录 第一章:设备配置和文件管理 (4) 1.1 通过TELNET 方式来配置设备 (4) 1.2 更改IOS 命令的特权等级 (4) 1.3 设备时钟设置 (5) 第二章:交换机基础配置 (5) 2.1 交换机vlan 和trunk 的置 (5) 2.2 turnk 接口修剪配置 (6) 2.3 PVLAN 配置 (7) 2.4 端口汇聚配置 (8) 2.5 生成树配置 (9) 2.6 端口镜像配置 (9) 第三章:交换机防止ARP 欺骗置 (10) 3.1 交换机地址绑定(address-bind )功能 (10) 3.2 交换机端口安全功能 (10) 3.3 交换机arp-check 功能 (11) 3.4 交换机ARP动态检测功能(DAI) (11) 第四章:访问控制列表配置(ACL) (12) 4.1 标准ACL配置 (12) 4.2 扩展ACL配置 (13) 4.3 VLAN之间的ACL配置 (13) 4.4 单向ACL的配置 (15) 第五章:应用协议配置 (16) 5.1 DHCP服务配置 (16) 5.2 交换机dot1x认证配置 (18) 5.3 QOS限速配置 (19) 5.4 IPsec配置 (20) 5.5 GRE配置 (22) 5.6 PPTP 配置 (22) 5.7 路由器L2TP配置 (23) 5.8 路由器NAT 配置 (24) 第六章:路由协议配置 (25) 6.1 默认路由配置 (25) 6.2 静态路由配置 (25) 6.3 浮动路由配置 (25) 6.4 策略路由配置 (25) 6.5 OSPF 配置 (26) 6.6 OSPF 中router ID 配置 (27)
S3750>enable 特权模式 S3750#configure terminal 全局模式 S3750(config)#hostname SW1 将交换机命名为SW1 SW1(config)#vlan 10 创建VLAN 10 SW1(config-vlan)#name 1 命名VLAN 10 为1 SW1(config-vlan)#exit 退出到上一级 SW1(config)#vlan 20 创建VLAN 20 SW1(config-vlan)#name 2命名VLAN 20 为2 SW1(config-vlan)#exit退出到上一级 SW1(config)#interface fastEthernet 0/1进入端口0/1 SW1(config-if)#no shutdown启用端口 SW1(config-if)#shutdown禁用端口 SW1(config-if)#exit退出到上一级 SW1(config)#interface range fastEthernet 0/2-5进入端口2-5端口 SW1(config-if-range)#switchport mode access将端口配置为access模式 SW1(config-if-range)#switchport access vlan 1 将端口划分给VLAN 1 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/6-10 进入6-10端口
SW1(config-if-range)#switchport mode access 将端口配置为access模式 SW1(config-if-range)#switchport access vlan 2 将端口划分给VLAN2 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface fastEthernet 0/1 进入端口0/1 SW1(config-if)#switchport mode trunk 将端口配置为trunk链路 SW1(config-if)#switchport trunk allowed vlan all trunk链路允许所有VLAN数据通过 SW1(config-if)#exit 退出到上一级 SW1(config)#interface aggregateport 1 创建聚合接口AGI SW1(config-if)#switchport mode trunk 配置AGI模式为trunk SW1(config-if)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/23-24 进入f0/23和f0/24端口 SW1(config-if-range)#port-group 1 配置属于f0/23和f0/24端口属于AGI SW1(config-if-range)#end 退出到特权模式下 SW1#write 保存当前配置 Building configuration...
锐捷路由器命令大全 2007-09-07 21:08 出现攻击时掉线时请用console链接路由,保存好如下命令的相关内容,用以分析: 1、show ver (版本信息) 2、show run (配置信息) 3、show arp (arp信息) 4、show interface (端口信息) 5、show ip nat trans (nat信息) 6、show ip nat stat 7、show ip nat statistics per-user (只要第1屏的信息) 8、show ip cache (只要第1屏的信息) 9、show ip nat statistics suspicious-pc 发送免费arp: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#int f 0/0(内网) lh(config)#arp gr int 1 lh(config)#int f 1/0(外网) lh(config)#arp gr int 1 lh(config)#end lh#wr端口映射: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat source static tcp 192.168.3.99ip 80 219.128.102.110 80 permit-inside lh(config)#end lh#wr限制内网某机器不限速(192.168.2.80): lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat translation rate-limit iprange 192.168.2.2 192.168.2.79 inbound 500 outbound 1000 lh(config)#ip nat translation rate-limit iprange 192.168.2.81 192.168.3.253 inbound 500 outbound 1000 lh(config)#end lh#wr限制内网PC的链接线程数同限速: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat translation per-user 0.0.0.0 250 lh(config)#ip nat translation rate-limit default inbound 500 outbound 1000 lh(config)#end lh#wr禁止公网访问IP lh#conf t Enter configuration commands, one per line. End with CNTL/Z.
交换机命令总结 enable进入特权模式 exit退出EXEC configure terminal进入配置模式 delete flash:config.text删除配置 reload停止并执行热启动 hostname {主机名} 配置交换机名 interface vlan 1 ip address {IP地址}{子网掩码} 指定交换机管理IP地址ip default-gateway {网关IP地址} 指定默认网 enable password level 10 {口令} 用户模式口令enable password level 15 0 {口令} 特权模式口令interface type {solt_#}/{port_#} 进入接口 no shutdows启用接口 shutdows禁用接口 duplex {auto | full | half}配置接口的双工模式 speed {100/10/auto}配置接口的速率 copy running-config startup-config write memory write 保存配置 Vlan vlan_# 建立VLAN name vlanname修改VLAN名称 switchport mode {access/Trunk} 配置接口模式switchport trunk allowed vlan remove 2 把端口配置为Trunk端口,但是不包含VLAN 2 no vlan vlan_# 删除VLAN switchport access vlan vlan_#把端口加入VLAN Show vlan 显示vlan信息 show version 显示IOS版本 show interface e0/1 显示接口信息 show configure查看保存在FLASH里的配置信息 show running-config查看RAM里当前生效的配置
RGOS?用户配置指导手册WEB配置
目录 第一章Web配置指导 (3) 1.1 进入Web管理 (3) 1.2 Web管理设置 (4) 1.3 各个菜单项说明 (6) 1.3.1 快速配置 (6) 1.3.1.1 快速配置 (6) 1.3.2 接口设置 (11) 1.3.2.1 LAN口设置 (11) 1.3.2.2 WAN口设置 (13) 1.3.2.3 公网模式配置 (14) 1.3.2.4 端口监控 (14) 1.3.2.5 WAN口线路检测 (15) 1.3.2.6 电信网通线路选择 (16) 1.3.3 网络安全 (17) 1.3.3.1 防火墙设置 (17) 1.3.3.2 病毒防御 (19) 1.3.3.3 防攻击 (20) 1.3.3.4 Telnet/Web访问保证 (22) 1.3.3.5 WEB端口配置 (22) 1.3.4 ARP安全 (23) 1.3.4.1 免费ARP设置 (23) 1.3.4.2 可信任ARP设置 (24) 1.3.4.3 ARP表 (24) 1.3.4.4 ARP欺骗嫌疑主机设置 (27) 1.3.5 网络选项 (27) 1.3.5.1 DNS设置 (27) 1.3.5.2 路由设置 (28) 1.3.5.3 负载均衡 (29) 1.3.5.4 NAT参数设置 (30) 1.3.5.5 域名过滤 (31) 1.3.5.6 端口映射 (32) 1.3.5.7 时间段设置 (34) 1.3.6 带宽控制 (35) 1.3.6.1 帮助指南 (35) 1.3.6.2 WAN口线路限速 (36) 1.3.6.3 游戏识别列表 (42) 1.3.6.4 p2p阻断设置 (43) 1.3.6.5 流量统计 (45) 1.3.7 DHCP服务 (47) 1.3.7.1 配置DHCP服务器 (47) 1.3.7.2 配置静态IP绑定 (48) 1.3.7.3 DHCP服务-查看状态 (49)
锐捷交换机路由器常用配置操作 1.1 通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备? 回答: 步骤一:配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式 S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 S5750(config)# enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2 更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令? 回答: S5750(config)#username dixy password dixy ----设置dixy用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置 提问:如何设置设备时钟? 回答: S5750#clock set 12:45:55 11 25 2008 ----设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar ----设置日历更新 S5750(config)#clock timezone CN 8 22 ----时间名字为中国,东8区22分 2.1 交换机vlan和trunk的配置 提问:如何在交换机上划分vlan,配置trunk接口? 回答: 步骤一:给交换机配置IP地址 S2724G#conf S2724G(config)#int vlan 1 S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0----给VLAN 1配置IP地址
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
锐捷交换机、路由器常用命令EXEC模式: 用户模式switch> 交换机信息的查看,简单测试命令 特权模式switch# 查看、管理交换机配置信息,测试、调试 配置模式: 全局配置模式switch(config)# 配置交换机的整体参数 接口配置模式switch(config-if)# 配置交换机的接口参数 进入全局配置模式 Switch#c onfigure terminal Switch(config)#exit Switch# 进入接口配置模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)# 从子模式下直接返回特权模式 Switch(config-if)#end
Switch# 命令行其他功能 获得帮助 switch#? switch#show ? 命令简写 全写:switch# configure terminal 简写:Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键) 配置交换机Telnet功能 配置远程登陆密码 Switch(config)#enable secret level 1 0 ruijie 配置进入特权模式密码 Switch (config)#enable secret level 15 0 ruijie
为交换机配置管理IP Switch (config)#interface vlan 1 Switch (config-if)#no shutdown Switch (config-if)#ip address 192.168.1.1 255.255.255.0 Switch (config-if)#end 配置文件的管理 保存配置 将当前运行的参数保存到flash 中用于系统初始化时初始化参数 Switch#copy running-config startup-config Switch#write memory Switch#write 删除配置 永久性的删除flash 中不需要的文件 使用命令delete flash:config.text 删除当前的配置:在配置命令前加no 例:switch(config-if)# no ip address 查看配置文件内容 Switch#show configure 查看保存在FLASH里的配置信息