锐捷路由器配置命令大全 Enable 进入特权模式#Exit 返回上一级操作模式#del flash:config.text 删除配置文件(交换机及1700系列路由器)#erase startup-config 删除配置文件(2500系列路由器)#write memory 或copy running-config startup-config 保存配置#Configure terminal 进入全局配置模式(config)# hostname routerA 配置设备名称为routerA(config)#banner motd 配置每日提示信息 为终止符(config)# enable secret star 或者:enable password star设置路由器的特权模式密码为starsecret 指密码以非明文显示password指密码以明文显示查看信息#show running-config 查看当前生效的配置信息#show interface fastethernet 0/3 查看F0/3端口信息#show interface serial 1/2 查看S1/2端口信息#show ip interface brief 查看端口信息#show version 查看版本信息#show running-config 查看当前生效的配置信息#show controllers serial 1/2 查看该端口信息 , 用于R2501#show ip route 查看路由表信息#show access-lists 1 查看标准访问控制列表1的配置信息远程登陆telnet(config)# line vty 0 4 进入线路0~4的配置模式4为连续线路最后一位的编号线路为0~4(conifg-line)#login(config-line)#password star 配置远程登陆密码为star(config-line)#end 返回上层端口的基本配置(config)#Interface fastethernet 0/3 进入F0/3的端口配置模式(config)#interface range fa 0/1-2 进入F01至F0/2的端口配置模式(config-if)#speed 10 配置端口速率为10M,可选10,100,auto(config-if)#duplex full 配置端口为全双工模式,可选full(全双工),half(半双式),auto(自适应)(config-if)#no shutdown 开启该端口(config)# interface serial 1/2 进入端口S1/2的配置模式(config-if)# ip address 1.1.1.1 255.255.255.0 配置端口IP及掩码(config-if)# clock rate 64000 配置时钟频率(单位为K , 仅用于DCE端)(config-if)# bandwidth 512 配置端口带宽速率为512KB(单位为KB)(config-if)# no shutdown 开启该端口(config-if)#encapsulation PPP 定义封装类型为PPP可选项Frame-relay 帧中继Hdlc 高级数据链路控制协议lapb X.25的二层协议PPP PPP点到点协议X25 X.25协议路由协议(config)# ip route 172.16.1.0 255.255.255.0 172.16.2.1 配置静态路由注:172.16.1.0 255.255.255.0 为目标网络的网络号及子网掩码172.16.2.1 为下一跳的地址也可用接口表示,如ip route 172.16.1.0 255.255.255.0 serial 1/2(172.16.2.0所接的端口)(config)# router rip 开启RIP协议进程(config-router)# network 172.16.1.0 申明本设备的直连网段信息(config-router)# version 2 开启RIP V2可选为version 1(RIPV1)、version 2(RIPV2)(config-router)# no auto-summary 关闭路由信息的自动汇总功能(只有在RIPV2支持)(config)# router ospf 开启OSPF路由协议进程针对1762无需使用进程ID(config)# router ospf 1 开启OSPF路由协议进程针对2501需要加OSPF进程ID(config-router)# network 192.168.1.0 0.0.0.255 area 0申明直连网段信息并分配区域号(area0为骨干区域)注意如果是Rip Version1那么在不连续的子网中需要为中间网段的两个路由器都配置子接口RA(config)#int serial0RA(config-if)#ip address 172.16.2.1 255.255.255.0 secondaryRB(config)#int serial0RB(config-if)#ip address 172.16.2.2 255.255.255.0 secondaryPAP路由器Ra为被验证方、 Rb为验证方 两路由器用V.35线连接(串口线)分别配置各端口的IP及时钟频率后Rb(config)# username Ra password 0 star 验证方配置被验证方的用户名,密码Rb(config)# intterface serial 1/2 进入S1/2端口Rb(config-if)# encapsulation ppp 定义封装类型为PPPRb(config-if)# ppp authentication pap PPP启用PAP认证方式Ra(config)# itnterface serial 1/2 进入S1/2端口Ra(config-if)# encapsulation ppp 定义封装类型为PPPRa(config-if)# ppp pap sent-username Ra password 0 star 设置用户名为ra 密码为star,用于发送到验证方进行验证#debug ppp authentication 可选命令观察PAP验证过程(如果没看到验证消息则将端口shutdown然后再no shutdown即可看到验证过程的相关信息)CHAP路由器Ra、 Rb, 两路由器用V.35线连接(串口线)分别配置各端口的IP及时钟频率后被验证方配置Ra(config)# username Rb password 0 star 以对方的主机名作为用户名密码和对方的路由器一致Ra(config)# interface serial 1/2 进入S1/2端口Ra(config-if)# encapsulation PPP 定义封装类型为PPP验证方配置Rb(config)# username Ra password 0 star 以对方的主机名作为用户名密码和对方的路由器一致Rb(config)# interface serial 1/2 进入S1/2端口Rb(config-if)# encapsulation PPP 定义封装类型为PPPRb(config-if)# ppp authentication chap PPP启用CHAP方式验证PAP与CHAP的区别1. PAP:被验证方发送用户名、密码到验证方进行身份验证所以需要在端口模式下设置Ra(config)#ppp pap sent-username Ra password 0 star验证方需要定义用户和密码配对数据库记录所以要定义命令Rb(config)# username Ra password 0 star2. Chap:CHAP由验证方主动发起挑战由被验证方应答进行验证三次握手所以验证方要配置命令Rb(config-if)# ppp authentication chap。验证方与被验证方双方都要配置用户名和密码验证期间双方密码要相同用户名就用对方路由器的名称。IP ACL路由器使用编号标记列表号编号1~99、1300~1999为标准ACL编号100~199、2000~2699为扩展ACL。1.标准ACL以源IP地址为匹配原则(config)#access-list 1 deny 172.16.1.0 0.0.0.255 拒绝来自172.16.1.0网段的流量通过(config)#access-list 1 permit 172.16.2.0 0.0.0.255 允许来自172.16.2.0网段的流量通过(config)#interface fastethernet 0/1 进入F0/1端口(config-if)# ip access-group 1 out 在该端口的出栈方向上访问控制列表可选in在入栈方向上应用、out在出栈方向上应用。入栈或出栈都是以路由器或交换机为基准进入路由器为入栈离开路由器为出栈。2.扩展ACL以“源IP地址端口号”为匹配原则(config)#access-list 101 deny tcp 172.16.10.0 0.0.0.255 172.16.20.0 0.0.0.255 eq ftp拒绝源地址为172.16.10.0网段IP访问目的为172.16.20.0网段的FTP服务注deny拒绝通过可选deny(拒绝通过)、permit(允许通过)tcp: IP协议编号可以是eigrp, gre, icmp, igmp, igrp, ip, ipinip, nos, ospf, pim, tcp, udp中的一个也可以是代表IP协议的0-255编号。一些重要协议如icmp/tcp/udp等单独列出进行说明。172.16.10.0 0.0.0.255源地址及源地址通配符反掩码172.16.20.0 0.0.0.255目的地址及目的地址通配符反掩码eq操作符lt-小于eq-等于gt-大于neg-不等于range-包含ftp端口号可使用名称或具体编号(config)# access-list 101 permit ip any any 允许其它流量通过any为任何(config)#interface fastethernet 0/1 进入端口配置模式(config-if)#ip access-group 101 in 访问控制列表在端口下in方向应用可选in(入栈)、out(出栈)(config-if)#end 返回注配置ACL时若只想对其中部分IP进行限制访问时必须配置允许其它IP流量通过。否则设备只会对限制IP进行处理不会对非限制IP进行允许通过处理。静态NAT用于IP到IP的转换(config)# ip nat inside source static 192.168.1.1 10.10.10.1定义内部源地址静态转换关系192.168.1.1为内部本地地址10.10.10.1为内部全局地址(即外网地址)。(conifg)# interface fastethernet 0 进入端口配置模式用于连接内网的端口(config-if)# ip nat inside 定义该端口为连接内部网络(config)# interface serial 0 进入端口配置模式用于连接外网的端口(config-if)# ip nat outside 定义该端口为连接外部网络动态NAT如果有多个已注册的公有IP则这些公有IP可以作为内部全局地址。内网的多个内部本地地址可以转换为前面的多个内部全局地址。公有IP地址一旦被使用则被某个内部本地地址独占所以这种NAT主要用于掩盖内网的真实IP地址。通过这种NAT也可以使得内网的服务器可以对外提供服务(config)# ip nat pool poolname 202.16.1.1 202.16.1.10 netmask 255.255.255.0定义全局IP地址池命名为poolname起始地址为202.16.1.1结束地址为202.16.1.10子网掩码为255.255.255.0可被使用的内部全局地址共有10个。(config)# access-list 1 permit 172.16.1.0 0.0.0.255 定义允许转换的本地IP地址(config)# ip nat inside source list 1 pool poolname 定义内部源地址转换关系实现地址list 1到poolname地址的转换(conifg)# interface fastethernet 0 进入端口配置模式用于连接内网的端口(config-if)# ip nat inside 定义该端口为连接内部网络(config)# interface serial 0 进入端口配置模式用于连接外网的端口(config-if)# ip nat outside 定义该端口为连接外部网络注1、关键字source表明转换属于内部源地址转换即当内部网络需要与外部网络通讯时需要配置NAT将内部私有IP地址转换成全局唯一IP地址。即当内网访问列表中定义的内部主机例如172.16.1.100要访问外网时路由器将数据包的源地址转换成地址池上定义的IP地址(可能是202.16.1.1也有可能是202.16.1.10看地址池内的哪个IP地址没有被占用)再发送出去。2、另有关键字destination属于目标地址转换即将内部全局地址转换成内部本地地址用于实现外网访问内网的服务器时对IP数据包中的目的IP地址实现转换。destination的目的是用来实现TCP的流量的负载均衡。如ip nat inside destination list 1 pool poolname。 List1 指的是待转换的内网的对外的全局可路由IP地址也可以称为虚拟IP地址通常只有一个例如202.16.1.1poolname中指的是转换后的内网的某一台服务器的可全局路由的IP地址(假设从202.16.1.10~15)。那么当外网IP访问内网的地址202.16.1.1时路由器将数据包的目标地址转换成内网地址202.16.1.10~15的其中一个再转发以实现访问内网服务器的负载均衡功能。注意在实现负载均衡的时候内网的IP地址也必须是公有的、已注册、可全局路由的IP地址如果内网的IP地址不是公有的、已注册的、全局可路由的则需要再做一次动态NAPT转换让内网的私有IP地址能够出外网静态NAPT用于“IP端口号”到“IP端口号”的转换(config)# ip nat inside source static tcp 172.16.8.1 80 200.1.1.1 80定义本地IP172.16.8.1的80端口与外网IP200.1.1.1的80端口进行转换TCP为协议类型可以为UDP。(conifg)# interface fastethernet 0 进入端口配置模式用于连接内网的端口(config-if)# ip nat inside 定义该端口为连接内部网络(config)# interface serial 0 进入端口配置模式用于连接外网的端口(config-if)# ip nat outside 定义该端口为连接外部网络动态NAPT常用于多个内网的IP共用一个外网的IP上网是“IP端口号”到“IP端口号”的转换。(config)# ip nat pool poolname 202.16.1.1 202.16.1.1 netmask 255.255.255.0定义内部全局IP地址池命名为poolname通常IP地址只有一个这里起始地址为202.16.1.1结束地址为202.16.1.1子网掩码为255.255.255.0。(config)# access-list 1 permit 192.168.1.0 0.0.0.255 定义内部本地地址即内网待转换的IP地址(config)# ip nat inside source list 1 pool poolname overload 定义内部源地址转换关系*动态NAT与动态NAPT的命令差别在关键字overload有则为动态NAPT无则为动态NAT(conifg)# interface fastethernet 0 进入端口配置模式用于连接内网的端口(config-if)# ip nat inside 定义该端口为连接内部网络(config)# interface serial 0 进入端口配置模式用于连接外网的端口(config-if)# ip nat outside 定义该端口为连接外部网络