锐捷路由器配置手册
目录:
路由器基础:
路由器的几种配置方法
控制台
远程登录
其它配置方法
命令行(CLI)操作
命令模式
命令模式的切换
CLI命令的编辑技巧
常见CLI错误提示
使用 no 和 default 选项
配置文件的保存、查看与备份
查看配置文件
保存配置文件
删除配置文件
备份配置文件
文件系统
文件系统概述
文件操作
目录操作
系统文件的备份与升级
搭建环境
用TFTP传输文件
用Xmodem传输文件
ROM监控模式
密码丢失的解决方法
路由器的基本配置:
配置主机名
配置口令
配置控制台口令
配置远程登录口令
配置特权口令
配置以太网接口
以太网接口的一般配置
配置多个IP地址
配置MAC地址
接口信息的查看
配置同步串行口
同步串行口的一般配置
配置反转时钟
配置链路封装协议
配置线路编解码方式
忽略DCD信号
接口信息的查看
配置回环接口
回环接口的配置
接口信息的查看
配置路由:
静态路由和缺省路由的配置
配置静态路由
配置默认路由
配置缺省网络
配置可被动态路由覆盖的静态路由
RIP协议的配置
RIP协议的一般配置
RIP协议参数的配置
OSPF协议的配置
OSPF协议的一般配置
广域网协议配置:
HDLC协议配置
配置接口的HDLC封装
配置keepalive时间
PPP协议配置
配置接口的PPP封装
配置PPP协商超时时间
配置CHAP验证
配置CHAP服务端
配置CHAP客户端
配置双向CHAP验证
配置PAP验证
配置PAP服务端
配置PAP客户端
配置双向PAP验证
帧中继协议配置
点到点的帧中继配置
点到点子接口的帧中继配置
NAT的配置:
静态NAT配置
静态NAT的配置
静态NAPT的配置
动态NAT配置
动态NAT的配置
动态NAPT的配置
接口动态NAPT的配置
重叠地址NAT配置
外部源地址的静态NAT配置
外部源地址的动态NAT配置
TCP负载均衡
NAT信息的查看
DHCP的配置:
DHCP服务器的配置
启用DHCP服务器
配置DHCP地址池
配置选项
配置DHCP地址绑定
DHCP中继代理的配置
访问控制列表的配置:
标准访问控制列表的配置
标准ACLs的语句规则
配置标号的标准ACLs
配置命名的标准ACLs
扩展访问控制列表的配置
扩展ACLs的语句规则
配置标号的扩展ACLs
配置命名的扩展ACLs
MAC扩展访问列表的配置
MAC扩展ACLs的语句规则
配置标号的MAC扩展ACLs
配置命名的MAC扩展ACLs
Expert扩展访问列表的配置
Expert扩展ACLs的语句规则
配置标号的Expert扩展ACLs
配置命名的Expert扩展ACLs
其它形式的访问列表
带序号的ACLs
带时间区的ACLs
第一部分 路由器基础:
路由器的几种配置方法
控制台 |
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。 Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。 按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始 | 程序 | 附件 | 通信 | 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。 登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始 | 程序 | 附件 | 通信 | 超级终端”中找到上次安装的超级终端,直接使用即可。 |
远程登录 |
通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 |
其它配置方法 |
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。 2、SSH: SSH是一种安全的配置手段,其功能类似于远程登录。与Telnet不同的是,SSH传输中所有信息都是加密的,所以如果需要在一个不能保证安全的环境中配置网络设备,最好使用SSH。 3、Web: 有些种类的设备支持Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。 Web配置方式具有较好的直观性,用它可观察到设备的连接情况。 |
命令行(CLI)操作
命令模式 | |||||||||||||||||||||||||||
交换机和路由器的命令是按模式分组的,每种模式中定义了一组命令集,所以想要使用某个命令,必须先进入相应的模式。各种模式可通过命令提示符进行区分,命令提示符的格式是: 提示符名 模式 提示符名一般是设备的名字,交换机的默认名字“Switch”,路由器的默认名字是“Router”(锐捷设备的默认名字是“Ruijie”),提示符模式表明了当前所处的模式。如:“>”代表用户模式,“#”代表特权模式。 以下是常见的几种命令模式:
| |||||||||||||||||||||||||||
命令模式的切换 | ||||||||||||||||||||||||||||||||||||
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。 进入某模式时,需要逐层进入。
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。 特例:当在特权模式下输入 Exit 命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是 disable。 | ||||||||||||||||||||||||||||||||||||
CLI命令的编辑技巧 |
CLI(命令行)有以下特点。 1、命令不区分大小写。 2、可以使用简写。 命令中的每个单词只需要输入前几个字母。要求输入的字母个数足够与其它命令相区分即可。如:configure terminal 命令可简写为 conf t。 3、用 Tab 键可简化命令的输入。 如果你不喜欢简写的命令,可以用 Tab 键输入单词的剩余部分。每个单词只需要输入前几个字母,当它足够与其它命令相区分时,用 Teb 键可得到完整单词。如:输入 conf(Tab) t(Tab) 命令可得到 configure terminal。 4、可以调出历史来简化命令的输入。 历史是指你曾经输入过的命令,可以用“↑”键和“↓”键翻出历史命令再回车就可执行此命令。(注:只能翻出当前提示符下的输入历史。) 系统默认记录的历史条数是10条,你可以用 history size 命令修改这个值。 5、编辑快捷键: Ctrl+A——光标移到行首,Ctrl+E——光标移到行尾。 6、用“”可帮助输入命令和参数。 在提示符下输入“”可查看该提示符下的命令集,在命令后加“”,可查看它第一个参数,在参数后再加“”,可查看下一个参数,如果遇到提示“ |
常见CLI错误提示 |
% Ambiguous command: "show c" 用户没有输入足够的字符,设备无法识别唯一的命令。 % Invomplete command. 命令缺少必需的关键字或参数。 % Invalid input detected at '^' marker. 输入的命令错误,符号 ^ 指明了产生错误的单词的位置 |
使用 no 和 default 选项 |
很多命令都有 no 选项和 default 选项。 no 选项可用来禁止某个功能,或者删除某项配置。 default 选项用来将设置恢复为缺省值。 由于大多数命令的缺省值是禁止此项功能,这时 default 选项的作用和 no 选项是相同的。但部分命令的缺省值是允许,这时default 选项的作用和 no 选项的作用是相反的。 no 选项和 default 选项的用法是在命令前加 no 或 defaule 前缀。如: no shutdown no ip address default hostname 相比之下,我们多使用 no 选项来删除有问题的配置信息。 |
交换机和路由器都有两个配置文件: 1、运行配置文件: 这个文件位于RAM中,名为 running-config。它是设备在工作时使用的配置文件。 2、启动配置文件: 这个文件位于NVRAM中,名为 startup-config。当设备启动时,它被装入RAM,成为运行配置文件。 新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入 setup 方式配置一些基本信息,这些信息就生成了running-config ,我们以后所做的配置信息都会添加到 running-config 中。(注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。) 由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存到NVRAM中,这样配置文件就可以长期使用了。 从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把 running-config 保存为 startup-config 相当于一个存盘过程。 |
查看配置文件 |
模式:特权配置模式。 查看运行配置文件: Ruijie#show running-config 或者: Ruijie#write terminal 查看启动配置文件: Ruijie#show startup-config show running-config命令和write terminal命令的效果是完全相同的。 |
保存配置文件 |
保存配置文件就是把 running-config 保存为 startup-config。 模式:特权配置模式。 命令1: Ruijie#copy running-config startup-config 命令2: Ruijie#write write命令与copy running-config startup-config命令的功能相同,它是人们习惯使用的一种简化写法。 |
删除配置文件 |
删除配置文件就是把NVRAM中的 startup-config 删除。 模式:特权配置模式。 命令: Ruijie#delete flash: 说明:是配置文件在NVRAM中的文件名,它被删除后,再重启设备时会自动进入 setup 配置模式。 注:有些设备没有setup配置模式,它在没有配置文件时会自动按照缺省值启动。 |
备份配置文件 |
通常我们把配置文件备份到TFTP服务器上,在需要时可以再从TFTP服务器上把配置文件回传到设备中。 准备:在作为TFTP服务器的计算机上打开TFTP服务器软件,并设置存放文件的路径(如下图)。然后在交换机或路由器上进行以下操作。 模式:特权配置模式。 命令: Ruijie#copy running-config tftp Address or name of remote host [ ] Destination filename [ ] 说明:输入 copy 命令后还需要回答两个问题,一是TFTP服务器的地址,本例中假设为,二是备份的配置文件名,本例中假设为。备份成功后,在TFTP服务器指定的目录中可看到此文件。 从TFTP服务器回传配置文件: Ruijie#copy tftp running-config Address or name of remote host [ ] Source filename [ ] 说明:有些设备不支持备份running-config文件,但支持备份startup-config文件。 |
文件系统
文件系统概述 |
交换机和路由器用一个并行Flash作为辅助存储器存储文件,Flash是一个可读可写的存储器,设备断电后,Flash的内容不会丢失,所以在交换机和路由器中Flash可被当作硬盘使用,用于存放需要长期保存的信息。 Flash中的文件主要包括: 1、主体文件 这个文件相当于交换机或路由器的操作系统,它的扩展名一般为 bin 或 upd,bin 文件是一个单独的文件,而 upd 文件是由多个文件打包而成,包含了 bin 文件和Web配置等文件。 主体文件很大,一般存放在Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏,设备将不能启动,开机后会进入ROM模式。 2、启动配置文件 这个文件由CLI命令组成,文件名一般为 ,它是一个文本文件。该文件就是我们在命令行中使用的 startup-config,在设备启动时,该文件被装入RAM成为 running-config,设备执行其中的CLI命令完成初始化。 新设备是没有文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入 setup 模式,用户配置一些基本参数后,就生成了文件。 你也可以在特权模式下用 setup 命令来初始化配置文件,它可以清除原来的配置文件,生成一个只有几项基本参数的配置文件。 几点说明: 1、文件名对大小写不敏感,文件名长度不能超过23个字符。 2、不要删除主程序文件,它会导致设备不能启动。 3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。 4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。 |
文件操作 |
所有文件操作都是在特权模式下进行。 1、查看Flash中文件目录: Ruijie#dir Ruijie#dir Directory of flash:/ -rw- 511 Dec 11 2002 10:11:08 -rw- 1002 Jan 15 2003 09:20:19 -rw- 2833568 Jan 14 2003 19:21:37 -rw- 80 Jan 14 2002 08:50:24 列表中列出的是处于激活状态的文件信息。 Ruijie#dir delete 该命令用于查看处于删除状态的文件信息。 2、删除文件: Ruijie#delete flash:filename filename是删除的文件名。例如: Ruijie#delete flash: 删除的文件名被标记为删除状态,用 dir delete 命令可以看到。 3、查看文件内容: Ruijie#more flash:filename filename是文件名。例如: Ruijie#more flash: 本命令只能查看文本文件。 4、重命名文件: Ruijieh#rename flash:filename flash:newname filename是原文件名,newname是新文件名。例如: Ruijie#rename flash: flash: 对主体文件的重命名要谨慎,它会导致设备复位后不能启动。 5、碎片整理: Ruijieh#squeeze flash: 碎片整理可以把处于删除状态的文件彻底清除,腾出空间保存新文件。 6、格式化: Ruijieh#format flash: 格式化会清除Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。 |
目录操作 |
Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。 所有目录操作都是在特权模式下进行。 1、创建目录: Ruijie#mkdir directory directory是要创建的目录名称。例如: Ruijie#mkdir txt 表示在当前目录中创建一个名为 txt 的子目录。 2、切换目录: Ruijie#cd directory directory是要进入的目录名称。其中当前目录用“.”表示,上级目录用“..”表示,根目录用“/”表示。例如: ①进入 txt 目录: Ruijie#cd txt ②返回上一级目录: Ruijie#cd .. ③返回根目录: Ruijie#cd / 注意:在 cd 后要有空格,用 cd/ 是错误的。 3、删除目录: Ruijieh#rmdir directory directory是要删除的目录名称。 注意:本命令只能删除空目录。例如: Ruijie#rmdir txt 4、查看目录下的文件: Ruijie#ls pathname pathname是路径名,如果省略路径,则显示当前目录下的文件。例如: Ruijie#ls 显示当前目录下的文件列表。 5、复制文件: 把文件从一个目录复制到另一个目录中。 Ruijieh#cp sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#cp sour dest ./txt/ 表示把当前目录中的 复制到 txt 子目录中。 注意:cp 命令不支持通配符,也不支持目录的复制。 6、移动文件: 把文件从一个目录移动到另一个目录中。 Ruijieh#mv sour pathname dest pathname sour pathname是源文件,dest pathname是目的文件。例如: Ruijie#mv sour dest ./txt/ 表示把当前目录中的 移动到 txt 子目录中。 7、删除文件: Ruijieh#rm filename filename是要删除的文件名。例如: Ruijie#rm 表示删除当前目录中的 文件。 |
系统文件的备份与升级
搭建环境 |
在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案: 方案一:TFTP 计算机是通过网络访问设备的。要求设备已经配置了IP地址,且可以与计算机正常通信。计算机上应该运行TFTP服务器软件。 方案二:Xmodem 计算机是通过Console线连接在设备上。要求在计算机上运行终端仿真软件(如:超级终端),设备可以没有IP地址。 利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于,TFTP是通过网络传输数据的,Xmodem是通过Console线传输数据的。 相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用TFTP。 方案三:ROM监控模式 如果交换机或路由器的主体文件损坏了,在设备启动时会进入ROM监控模式,在此模式下可以用TFTP或Xmodem向设备传输文件 |
用TFTP传输文件 |
准备工作: 1、设备已经配置了IP地址,且可以与计算机正常通信(可以用ping命令检查)。 2、在计算机上运行TFTP服务器软件,并设置好文件保存的路径。如下图: 把设备中的文件传输到计算机中: 用控制台或Telnet登录设备,然后在特权模式下执行以下命令: Ruijie#copy filename tftp filename是交换机或路由器上的文件。例如: ① 把running-config传输到计算机中 Ruijie#copy running-config tftp Address or name of remote host [ ] filename [ ] 是目的计算机的IP地址,应根据实际情况设置。是在计算机上保存的文件名,可自行命名。 以上操作也可以直接写作: Ruijie#copy running-config 把主体文件传输到计算机中 Ruijie#copy flash: tftp Address or name of remote host [ ] filename [ ] 主体文件的扩展名一般是 bin,不同型号的设备文件名有所不同,应先用 dir 命令查看后再备份。 以上操作也可以直接写作: Ruijie#copy flash: ,主体文件有固定的名字,为了方便以后的回传,最好使用相同的名字备份,且要做好记录。 其它文件的传输方法和以上实例类似。 把计算机中的文件回传到设备中: ① 把计算机中备份的配置文件回传到设备中 Ruijie#copy tftp running-config Address or name of remote host [ ] filename [ ] 本例把计算机中的 文件回传到设备中,使它成为 running-config。 ② 把计算机中备份的主体文件回传到设备中 Ruijie#copy tftp flash: Address or name of remote host [ ] filename [ ] 注意:各个设备的主体文件有固定的文件名和版本,回传时一定要保证版本正确,文件名正确,不然会导致设备复位后不能启动。 ③ 把计算机中打包的主体文件回传到设备中 有些型号的设备主体文件的扩展名为 udp,该文件实际上是一个软件包,里面包含了 bin 文件和Web配置软件。 udp 文件不能用 copy tftp flash 命令传输,应该使用 copy tftp update 命令传输。 Ruijie#copy tftp update Address or name of remote host [ ] filename [ ] |
用Xmodem传输文件 |
准备工作: 1、用Console线把设备和计算机连接起来,一端连接在设备的Consloe口上,另一端连接在计算机的串行口上。 2、在计算机上运行终端仿真软件(如:超级终端),登录设备。 把文件从设备传输到计算机中 在设备的特权模式下输入命令: Ruijie#copy flash: xmodem 在计算机的超级终端中,选择“传送”菜单中的“接收文件”功能,在弹出的对话框中设置文件的存放位置,接收协议选择“Xmodem”,点击“接收”,系统会提示存储于本地的文件名称,设置好后,单击“确定”按钮开始接收文件。 ②把文件从计算机回传到设备中 在设备的特权模式下输入命令: Ruijie#copy xmode flash: 在计算机的超级终端中,选择“传送”菜单中的“发送文件”功能,在弹出对话框的文件名中设置文件在本机中的位置,协议选择“Xmodem”,点击“发送”。 本例给出的是Flash中的文件的传输,其它文件的操作方法与此相同。 |
ROM监控模式 |
进入ROM监控模式有两种方法: 1、如果设备在启动时,无法在Flash中找到设备的主体文件,便直接进入ROM监控模式。 2、用手工进入,先用Console线连接设备和计算机,并在计算机上运行终端仿真软件(如:超级终端),然后开启设备,在开机后的3秒内按下 Ctrl+C,便进入ROM监控模式了。 进入监控模式后,先显示一些版本信息,然后是主菜单:()中的蓝字为注解 Main Menu: 1. TFTP Download & Run (用TFTP传入文件并运行) 2. TFTP Download & Write Into File (用TFTP传入文件并写入Flash) 3. X-Modem Download & Run (用Xmodem传入文件并运行) 4. X-Modem Download & Write Into File (用Xmodem传入文件并写入Flash) 5. List Active Files (列出Flash中文件信息) 6. List Deleted Files (列出Flash中删除文件的信息) 7. Run A File (运行一个文件) 8. Delete A File (删除一个文件) 9. Rename A File (重命名一个文件) a. Squeeze File System (碎片整理) b. Format File System (格式化Flash) c. Other Utilities (其它) d. hardware test e. TFTP Download & Update (用TFTP传入打包的主体文件) f. X-Modem Download & Update (用Xmodem传入打包的主体文件) Please select an item: 选项1和选项2的区别在于:选项1把文件传入到内存中,不写入Flash,所以在重启设备后,仍会使用原来的文件;选项2是把文件传入内存并写入Flash,使它永久有效。 通常,如果我们想要传入一个文件进行测试,应该使用选项1,如果想要传入一个永久有效的文件,应该使用选项2。 实例:假设某路由器的主体文件被损坏,现把TFTP服务器上备份的文件传入路由器的Flash中,使路由器恢复正常。 启动路由器,由于主体文件损坏,进入ROM监控模式,选择项目2进行传输。 Please select an item: 2 File name[]: Local IP[]: IP[]: 是主体文件名,Local IP是路由器IP地址,Remote IP是TFTP服务器的IP地址,这两个地址必须在同一网络中。然后就开始传输了。其中TFTP服务器可按前面的方法设置。 传输完成后,重新开启路由器,就可以使用新的主体文件了。 |
密码丢失的解决方法
如果忘记了路由器或交换机的登录密码,可以用以下方法解决:
用一台计算机作为控制台,用Console线连接在设备上,在计算机上运行终端仿真程序(如:超级终端)。
① 重启设备,在超级终端上按下 Ctrl+C,使设备进入ROM监控模式。
Main Menu:
1. TFTP Download & Run
2. TFTP Download & Write Into File
3. X-Modem Download & Run
4. X-Modem Download & Write Into File
5. List Active Files
6. List Deleted Files
7. Run A File
8. Delete A File
9. Rename A File
a. SqueezeFile System
b. Format File System
c. Other Utilities
d. hardware test
e. TFTP Download & Update
f. X-Modem Download & Update
Please select an item: 5
使用项目5,列出Flash中的文件目录,找到其中的配置文件(通常是名为的文件)。
② 用项目9更改配置文件的文件名。
Please select an item: 9
Old file name input.
Enter File Name (Input ESC to quit:
New file name input.
Enter File Name (Input ESC to quit:
③ 重启设备,由于找不到配置文件,设备以默认参数启动,此时原有的配置也没有了。
④ 进入特权模式,把原来的配置文件再装入设备。
Ruijie>enable
Ruijie#copy flash: running-config
Ruijie#
这样就恢复了原来的配置。由于此时已经进入特权模式,可以用命令删除原来的密码,也可以重新配置新密码。
⑤ 各部分密码都重新配置后,保存配置文件,以后就可以用新密码登录了。
Ruijie#copy running-config startup-config
第二部分 路由器的基本配置
配置主机名
配置主机名 |
主机名用于标识交换机和路由器,通常它会作为提示符的一部分显示在命令提示符的前面。 交换机的默认名字一般是“Switch”,路由器的默认名字一般是“Router”。锐捷设备一般把名字默认为“Ruijie”,你可以用命令重新设置设备的名字。 1、配置主机名 模式:全局配置模式。 命令:hostname name 参数:name是要设置的主机名,必须由可打印字符组成,长度不能超过255个字符。 主机名一般会显示在提示符前面,显示时最多只显示22个字符。 2、删除配置的主机名 在全局配置模式下,用 no hostname 命令可删除配置的主机名,恢复默认值。 配置举例:配置交换机的名字为S3550-1。 Switch>enable Switch#configure terminal Switch(config)#hostname S3550-1 S3550-1(config)# |
配置口令
口令(密码)可用于防范非法人员登录到交换机或路由器上修改设备的配置。 我们可以在几个不同位置设置口令,以达到多重保护的目的。 控制台口令:当我们从连接在Console口的控制台登录设备时,需要输入控制台口令。由于控制台是一种本地配置方式,所以不设置这个口令影响也不大。 远程登录口令:当我们从网络中的计算机通过Telnet命令登录设备时,需要输入远程登录口令。远程登录是一种远程配置方式,这个口令应该设置。在锐捷设备中,没有设置远程登录口令的设备是不能用Telnet命令登录的。 特权口令:当我们登录设备后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种配置模式的必经之路,在这里设置口令可有效防范非法人员对设备配置的修改。在锐捷设备中,特权模式可设置多个级别,每个级别可设置不同的口令和操作权限,你可以根据情况让不同人员使用不同的级别。在锐捷设备中,没有设置特权口令的设备也不能用Telnet命令登录。 在实际应用中,一般特权口令和远程登录口令是必需的,设置的口令不应该太简单,不同位置的口令也不应该相同。 |
配置控制台口令 |
控制台口令是通过控制台登录交换机或路由器时设置的口令。 1、设置控制台口令 模式:线路配置模式。 配置命令: Ruijie(config)#line console 0 Ruijie(config-line)#login Ruijie(config-line)#password password line console 0 命令表示配置控制台线路,0是控制台的线路编号。 login 命令用于打开登录认证功能。 password password 为控制台线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。 2、删除配置的控制台口令: Ruijie(config)#line console 0 Ruijie(config-line)#no password 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#line console 0 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置控制台口令为123。 |
配置远程登录口令 |
远程登录口令是通过Telnet登录交换机或路由器时设置的口令。 1、设置远程登录口令 模式:线路配置模式。 配置命令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#login Ruijie(config-line)#password password line vty 0 4 命令表示配置远程登录线路,0~4是远程登录的线路编号。 login 命令用于打开登录认证功能。 password password 为远程登录线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,则空格不能位于最前面,只有中间和末尾的空格可作为口令的一部分。 在 running-config 中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。 注意:远程登录口令是用Telnet登录的必备条件。 2、删除配置的远程登录口令: Ruijie(config)#line vty 0 4 Ruijie(config-line)#no password 配置举例:为交换机设置远程登录密码为123。 Ruijie>enable Ruijie#configure terminal Ruijie(config)#line vty 0 4 Ruijie(config-line)#login Ruijie(config-line)#password 123 Ruijie(config-line)#end Ruijie# 本例设置远程登录口令为123。 |
配置特权口令 |
特权口令是从用户模式进入特权模式时设置的口令。 1、设置特权口令 模式:全局配置模式。 配置命令: Ruijie(config)#enable password password Ruijie(config)#enable secret password enable password password 命令配置的口令在配置文件中是用简单加密方式存放的。(有些种类的设备是用明文存放的) enable secret password 命令配置的口令在配置文件中是用安全加密方式存放的。 说明:以上两种口令只需要配置一种,如果两种都配置了,则两个口令不应该相同,且用secret定义的口令优先。 2、删除配置的特权口令: Ruijie(config)#no enable password Ruijie(config)#no enable secret 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#enable secret 123 本例设置特权口令为123。使用安全加密的密文存放。 说明:本部分配置的特权口令是为最高的15级设置的口令,如果想要使用多级别的特权模式,需要先用 privilege 命令为相应级别授权,再用 enable secret 命令配置该级别的口令。 |
配置以太网接口
以太网接口主要用于连接局域网,常见的有: 1、Ethernet 遵循 10Base-T 规范,速率 10Mbit/s,有全双工和半双工两种类型。 2、FastEthernet 遵循 100Base-TX 规范,速率是 10/100Mbit/s 自适应的,有全双工和半双工两种类型。 3、GigabitEthernet 速率是 1000Mbit/s。 |
以太网接口的一般配置 |
一般情况下,我们只需要根据接口所连接的网络,为接口配置一个IP地址就可以了。 1、为以太网接口配置IP地址: Ruijie(config)#interface interface-id Ruijie(config-if)#ip address ip-address subnet-mask Ruijie(config-if)#no shutdown interface 命令用于指定要配置的接口,interface-id是接口号。 ip address 命令用于配置该接口的IP地址和子网掩码。 no shutdown 命令用于激活此接口。 2、删除配置的IP地址: Ruijie(config)#interface interface-id Ruijie(config-if)#no ip address 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address shutdown Ruijie(config-if)#end Ruijie# 本例为 FastEthernet0/0 口配置IP地址为。 |
配置多个IP地址 |
路由器允许在一个接口上配置多个IP地址,其中一个为主IP地址,其余为次IP地址。 通常我们在两种情况下考虑使用使用多IP地址: 1、在一个接口上连接了多个网络。比如我们在一个接口上连接了一个C类网络,后来由于网络规模增大,主机数超过了254台,需要在此接口上再分配一个C类网络,这样该接口就连接了两个网络。 2、一个网络的两个子网被另外的网络隔离开。通过配置次IP地址把隔离的子网连接起来。 1、在以太网接口配置次IP地址: Ruijie(config)#interface interface-id Ruijie(config-if)#ip address ip-address subnet-mask secondary interface 命令用于指定要配置的接口,interface-id是接口号。 ip address 命令用于配置该接口的IP地址和子网掩码。secondary 关键字表明该地址为次IP地址。 说明:必须先配置主IP地址,再配置次IP地址。反复使用 ip address 命令可配置多个次IP地址。 2、删除配置的次IP地址: Ruijie(config)#interface interface-id Ruijie(config-if)#no ip address ip-address subnet-mask secondary 以上命令可删除指定的次IP地址。 Ruijie(config)#interface interface-id Ruijie(config-if)#no ip address 以上命令删除该接口上所有的IP地址,包括主IP地址和次IP地址。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address address secondary Ruijie(config-if)#ip address secondary Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例为 FastEthernet0/0 口配置了3个IP地址。 注意:如果配置次IP地址时没有 secondary 关键字,则该地址会覆盖前面的主IP地址。 |
配置MAC地址 |
在设备出厂时,每个以太网接口就已经有了一个全球唯一的MAC地址,所以一般情况下,我们不需要为接口配置MAC地址。但在一些特殊的应用中,我们可以人工指定接口的MAC地址。 1、为以太网接口配置MAC地址: Ruijie(config)#interface interface-id Ruijie(config-if)#mac-address mac-address interface 命令用于指定要配置的接口,interface-id是接口号。 mac-address 命令用于配置该接口的MAC地址。 说明:MAC地址是一个48位二进制数,用12位十六进制数书写。你配置的MAC地址不需要保证全球的唯一性,但必须保证在局域网中的唯一性,否则会影响局域网内部的通信。 2、删除配置的MAC地址: Ruijie(config)#interface interface-id Ruijie(config-if)#no mac-address 删除后,接口的MAC地址恢复为出厂时默认值。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface f0/0 Ruijie(config-if)#mac-address 本例把 FastEthernet0/0 口的MAC地址配置为 。 |
接口信息的查看 |
在特权模式下,使用 show interface interface-id 可查看指定接口的信息。 示例: Ruijie>enable Ruijie#show interface f0/0 FastEthernet 0/0 is UP, line protocol is UP Hardware is Nat-Semi DP83815DVNG FastEthernet, address is (bia address is: type: ARPA, ARP Timeout: 3600 seconds MTU 1500 bytes, BW 100000 Kbit Encapsulation protocol is Ethernet-II, loopback not set Keepalive interval is 10 sec, set Carrier dalay is 2 sec RXload is 1, Txload is 1 Queueing strategy: FIFO Output queue 0/40, 0 drops; Input queue 0/75, 0 drops 5 minutes input rate 54 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec 24 packets input, 2548 bytes, 0 no buffer Received 24 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 本例显示的是 FastEthernet0/0 口的信息。信息中包括:接口状态、协议状态、MTU、Bandwidth、Loopback状态、接口队列的策略和队列使用情况、接口上报文的输入输出和差错情况、链路的物理状态等。 |
配置同步串行口
同步串行口的接口名称为 Serial。它常用于与广域网的接入。 同步串行口具有以下特性: 1、同步串行口支持多种协议的封装,包括PPP、帧中继、、HDLC、LAPB等。 2、同步串行口有DTE和DCE两种工作方式,其中DCE设备提供同步时钟。在局域网接入路由器上,通常DCE位于ISP一侧,DTE位于局域网用户一侧。 3、同步串行口支持多种类型的外接线缆,包括:EIA/TIA-232、、、EIA/TIA-449、EIA-530。所接的线缆可以被自动识别。 |
同步串行口的一般配置 |
一般情况下,如果两个路由器通过同步串行口相连,我们只需为接口配置IP地址,并在DCE设备上配置时钟就可以了。 1、配置DTE一侧的同步串行口: Ruijie(config)#interface interface-id Ruijie(config-if)#ip address ip-address subnet-mask Ruijie(config-if)#no shutdown interface 命令用于指定要配置的接口,interface-id是接口号。 ip address 命令用于配置该接口的IP地址和子网掩码。 no shutdown 命令用于激活此接口。 2、配置DCE一侧的同步串行口: Ruijie(config)#interface interface-id Ruijie(config-if)#ip address ip-address subnet-mask Ruijie(config-if)#clock rate clock Ruijie(config-if)#no shutdown clock rate 命令用于指定同步的时钟值。clock是时钟速率,多使用64000bps。 说明:时钟由DCE设备提供,DTE设备不需要配置时钟。 3、删除配置的IP地址: Ruijie(config)#interface interface-id Ruijie(config-if)#no ip address 配置举例: R1>enable R1#configure terminal R1(config)#interface s1/0 R1(config-if)#ip address shutdown R1(config-if)#end R1# R2>enable R2#configure terminal R2(config)#interface s1/0 R2(config-if)#ip address rate 64000 R2(config-if)#no shutdown R2(config-if)#end R2# 注意:相连的两个 Serial 接口的IP地址必须位于同一个网络之中。 |
配置反转时钟 |
由于信号在传输中存在时延,DCE侧接收的数据信号与DCE侧本地时钟存在相位差,如果相位差达到180度左右,就会导致DCE侧设备数据接收错误,这时需要反转DTE侧的时钟信号,把DTE侧发送的数据信号反转180度,以消除时延的影响。 1、配置反转时钟: Ruijie(config)#interface interface-id Ruijie(config-if)#invert txclock interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 invert txclock 命令设置反转发送时钟。 2、取消反转时钟: Ruijie(config)#interface interface-id Ruijie(config-if)#no invert txclock 说明:反转时钟只能在DTE侧配置,DCE侧不能配置。 当我们在线路没有问题,配置也没有问题时,如果仍不能通信,可以尝试用反转时钟解决问题。 |
配置链路封装协议 |
链路封装协议决定了同步串行口上的帧格式,同步串行口支持5种封装协议:PPP、帧中继(FR)、、HDLC、LAPB。默认为HDLC。 我们必须保证同步串行口发送和接收的是同一种帧,所以相连的两个设备必须使用相同的封装协议。 1、配置DHLC封装: 锐捷路由器的Serial口默认为DHLC封装,如果两个锐捷路由器相连,一般不需要配置DHLC封装。通常我们只是在一个接口已经被配置为其它协议时,才需要把它改回到HDLC封装。 Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation hdlc interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation hdlc 命令指定该接口采用HDLC协议封装。 2、配置PPP封装: 当把锐捷路由器和一个只支持PPP协议的设备相连时,需要把接口配置为PPP封装,或者你想要使用PPP协议的验证功能,可配置PPP封装。 Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp 3、配置帧中继封装: 当把锐捷路由器和帧中继网络相连时,需要把接口配置为帧中继封装。 Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation frame-relay 4、配置封装: 当把锐捷路由器和网络相连时,需要把接口配置为封装。 Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation x25 5、配置LAPB封装: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation lapb 注意:必须保证相连的两端使用相同的封装协议,使用不同协议的接口是不能通信的。 |
配置线路编解码方式 |
线路编解码方式有两种:不归零方式(NRZ)和反向不归零方式(NRZI)。我们必须保证相连的两个设备必须使用相同的编解码方式。 同步串行口默认的线路编解码方式为不归零方式(NRZ)。 1、配置线路编解码方式为反向不归零方式(NRZI): Ruijie(config)#interface interface-id Ruijie(config-if)#nrzi-encoding interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 nrzi-encoding 命令用于设置线路编解码方式为反向不归零方式(NRZI)。 2、恢复默认的线路编解码方式: Ruijie(config)#interface interface-id Ruijie(config-if)#no nrzi-encoding 说明:不同品牌的设备相连时,有时会出现编解码方式不同的问题,这时可尝试更改编解码方式来解决。 |
忽略DCD信号 |
DCD信号由DCE端发送,DTE端通过监视DCD信号来检测线路状态变化。但有些线缆(如)的信号线上没有DCD信号,它可能用CTS或DSR来替代,这时就需要配置忽略DCD信号,让同步串行口不检测线路的载波信号,改用检测其它信号来监视线路状态。 1、配置忽略DCD信号: Ruijie(config)#interface interface-id Ruijie(config-if)#ignore-dcd interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 ignore-dcd 命令用于设置接口忽略DCD信号。 2、恢复为检测DCD信号: Ruijie(config)#interface interface-id Ruijie(config-if)#no ignore-dcd 说明:是否配置忽略DCD信号取决于使用的线缆。 |
接口信息的查看 |
在特权模式下,使用 show interface interface-id 可查看指定接口的信息。 示例: Ruijie>enable Ruijie#show interface sreial 1/0 serial 1/0 is UP, line protocol is UP Hardware is Infineon DSCC4 PEB20534 H-10 serial Interface address is: 1500 bates, BW 2000 Kbit Encapsulation protocol is FRAME RELAY, loopback not set Keepalive interval is 10 sec, set Carrier dalay is 2 sec RXload is 1, Txload is 1 LMI enq recvd 8, LMI status sent 0, LMI update sent 0 LMI DLCI 0 LMI type is CCITT, frame relay DTE interface broadcasts 0 Queueing strategy: WFQ 3 minutes input rate 15 bits/sec, 0 packets/sec 3 minutes output rate 14 bits/sec, 0 packets/sec 1194 packets input, 20226 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 2052 packets output, 37755 bytes, 0 underruns 0 output errors, 0 collisions, 809 interface resets 11 carrier transitions V35 DCE cable DCD=up DSR=up DTR=up RTS=up CTS=up 本例显示的是 Sreial1/0 口的信息。信息中包括:接口状态、协议状态、IP地址、MTU、Bandwidth、Loopback状态、封装协议类型、协议的相关特征量、接口队列的策略和队列使用情况、接口上报文的输入输出和差错情况、链路的物理状态等。 |
配置回环接口
回环接口的接口名称为 Loopback。 回环接口具有以下特性: 1、回环接口是一种逻辑接口,是由软件模拟的本地接口。 2、回环接口永远处于Up状态,发往它的数据包会在设备本地处理。 3、回环接口的IP地址可用来作为OSPF协议的设备标识,也可作为Telnet访问的网络接口。 |
回环接口的配置 |
回环接口的配置类似于以太网接口,可把它看作一个虚拟的以太网接口。 1、创建回环接口: Ruijie(config)#interface loopback loopback-id Ruijie(config-if)#ip address ip-address subnet-mask interface loopback 命令用于指定一个Loopback接口,loopback-id是接口号。如果指定的Loopback接口不存在,则创建这个接口。 ip address 命令用于配置该接口的IP地址和子网掩码。 由于Loopback接口是自动激活的,所以不需要使用 no shutdown 命令激活此接口。 2、删除回环接口: Ruijie(config)#no interface loopback loopback-id 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface loopback 0 Ruijie(config-if)#ip address 0”通常可简写为“l0”。 |
接口信息的查看 |
在特权模式下,使用 show interface loopback loopback-id 可查看指定接口的信息。 示例: Ruijie>enable Ruijie#show interface loopback 0 Loopback 0 is UP, line protocol is UP Hardware is Loopback Interface address is: 1500 bytes, BW 8000000 Kbit Encapsulation protocol is LOOPBACK, loopback not set Keepalive interval is 0 sec, no set Carrier dalay is 2 sec RXload is 1, Txload is 1 Queueing strategy: FIFO Output queue 0/40, 0 drops; Input queue 0/75, 0 drops 5 minutes input rate 0 bits/sec, 0 packets/sec 5 minutes output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 本例显示的是 Loopback 0 口的信息。信息中包括:接口状态、协议状态、IP地址、MTU、Bandwidth、Loopback状态、封装协议类型、协议的相关特征量、接口队列的策略和队列使用情况、接口上报文的输入输出和差错情况、链路的物理状态等。 |
第三部分 配置路由
静态路由和缺省路由的配置
静态路由是手工配置的路由项目,在路由表中标志为“S”。缺省路由主要用于简化路由表,它在路由表中带有“*”标志。 路由表可以用 show ip route 命令查看。 |
配置静态路由 |
静态是手工添加的路由项目。 模式:全局配置模式。 1、配置静态路由: Ruijie(config)#ip route network-number network-mask ip-address 参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address 是下一跳地址。 说明:ip route命令定义的是一条传输路径,可以告知设备把某个地址的数据报送往何处。配置完成后可以使用 show ip route 命令查看路由表。 2、删除静态路由: Ruijie(config)#no ip route network-number network-mask 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route route 命令表示把所有目的地址在网络中的数据报发往地址 处。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#no ip route 本例删除了路由表中目的地址为网络的静态路由。 |
配置默认路由 |
默认路由又称为缺省静态路由,是静态路由的特例,它表示把所有本机不能处理的数据报发往指定的设备。 模式:全局配置模式。 1、配置默认路由: Ruijie(config)#ip route ip-address 参数: 表示任意地址。 ip-address 是下一跳地址。 说明:默认路由的优先级是最低的,设备首先会匹配静态路由和由路由协议生成的路由,只有当没有相匹配的项目时,才按照默认路由指定的地址发送。 2、删除默认路由: Ruijie(config)#no ip route 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route route 命令表示把所有没有匹配成功的目的地址发往地址 处。 |
配置缺省网络 |
缺省网络也是一种缺省路由,用于把本机不能处理的数据报发送往指定位置。但它和缺省静态路由还是有区别的: 缺省静态路由的下一跳地址必须位于路由器直连的网络中,它通常是与路由器的某个接口相连的对端接口地址。 缺省网络不能是和路由器直连的网络,但在路由表中可达。 1、配置缺省网络: Ruijie(config)#ip default-network network-number 参数: network-number 是目的地址,一般是一个网络地址。 2、删除缺省网络: Ruijie(config)#no ip default-network network-number 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip default-network default-network 命令表示把所有没有匹配成功的数据报都发往网络 。 注意:网络不是直连在路由器上的网络,但在路由表中有到达该网络的路由项目,这个路由项目可以是静态的也可以是动态的。 |
配置可被动态路由覆盖的静态路由 |
静态路由默认的管理距离是1,而OSPF路由的管理距离是110,RIP路由的管理距离是120。当路由表中存在同一目的地的多个路由项时,管理距离值小的项目优先。所以在默认情况下,静态路由要优先于各种动态路由。 在有些应用中,我们希望让动态路由的优先级更高,把静态路由作为备用路由使用,只有当动态路由失效时才按照静态路由转发。 配置这种备用的静态路由时,需要修改它的管理距离值。 配置备用的静态路由: Ruijie(config)#ip route network-number network-mask ip-address distance 参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address 是下一跳地址。 distance 是管理距离。你应该让它大于你使用的路由协议的管理距离值。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip route 125 本例配置的静态路由的管理距离为125,这样当路由表有通过路由协议学习到的到达 的表项时,这个静态路由不起作用。 |
RIP协议的配置
RIP是一种距离矢量协议,属于内部网关协议。 RIP协议的特点: RIP协议用跳数来评估路由,跳数最大为15,所以RIP协议不适合大规模的网络。 RIP协议每隔30秒(更新时间)发送路由更新报文。如果一个设备在180秒(失效时间)内没有发送更新报文,则该设备提供的路由被设置为不可用;如果再过120秒(清除时间)后仍未发送更新报文,则删除到此设备的路由。 RIP协议使用UDP报文发送路由更新,端口号为520。 RIP协议的管理距离是120。 RIP协议有RIPv1和RIPv2两个版本。 说明:在路由器和3层交换机上都可以配置RIP协议。 |
RIP协议的一般配置 |
1、配置RIP协议: Ruijie(config)#router rip Ruijie(config-router)#network network-number router rip 命令用于启用RIP,并进入RIP的配置模式。 network 命令用于指定参与RIP路由的网络,它的参数是网络号。如果设备连接了多个网络,你可以用多条 network 命令指定它们;如果要指定设备连接的所有网络,可以用 network 来表示所有网络。 说明:对于运行RIP协议的设备,只有用 network 命令指定的网络会参与到RIP发布的路由更新中,可以被其它运行RIP协议的设备学习到;而那些没有用 network 命令指定的网络,不会参与RIP路由,其它设备也不能学习到。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除RIP关联的网络: Ruijie(config)#router rip Ruijie(config-router)#no network network-number 3、关闭RIP协议: Ruijie(config)#no router rip 关闭后,本设备的RIP协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 本例在设备上启用了RIP协议,关联的网络是 和 。 注意: 和 都只能是和本设备直连的网络。 配置举例2: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router rip Ruijie(config-router)#network 本例用 network 来指定关联所有直连的网络,这样就无需再逐个指定各个接口上的网络了。 |
RIP协议参数的配置 |
通常情况下,我们让RIP协议的各项参数取默认值就行了,无需进行配置,如果需要的话可以用命令修改它们的值,修改时应该先用router rip 命令进入RIP的配置模式。 1、配置默认跳数: Ruijie(config-router)#default-metric number 默认跳数是指访问本地网络的花费(跳数)。它的取值范围为1~15,缺省值为1。 2、配置计时器: Ruijie(config-router)#timers basic update invalid holddown update:更新时间。是发送更新报文的时间间隔。默认为30秒,有效取值范围是0~47。 invalid:失效时间。是宣布无效的时间间隔。默认为180秒,有效取值范围是1~47。 holddown:清除时间。是对失效项目保持的时间。默认为120秒,有效取值范围是0~47。 3、配置邻居: Ruijie(config-router)#neighbor ip-address RIP协议是用广播发布路由更新的,设置邻居可以使RIP和非广播网络的路由器交换路由信息。命令中的ip-address是邻居路由器的地址。 4、设置RIP版本: Ruijie(config-router)#version version-number version-number的取值为1或2。默认情况下,RIP协议可接收RIPv1和RIPv2的报文,发送RIPv1的报文。用 version 1 命令可设置为仅发送和接收RIPv1的报文,用 version 2 命令可设置为仅发送和接收RIPv2的报文。另外,你也可以用 ip rip send|receive version 命令设置各个接口发送和接收的版本。 |
OSPF协议的配置
OSPF是一种基于链路状态的内部网关路由协议。 OSPF协议的特点: OSPF协议用链路状态来评估路由,可用于规模很大的网络。 OSPF可通过区域划分网络,对于规模较小的网络一般只设置一个区域0,对于规模较大的网络,可划分多个区域,其中区域0是必不可少的,它用于连接其它各区域。 OSPF协议采用组播方式进行OSPF包交换,组播地址为(全部OSPF路由器)和(指定路由器)。 OSPF协议的管理距离是110,低于RIP协议的120,所以如果设备同时运行OSPF协议和RIP协议,则OSPF协议产生的路由优先级高。 说明:在路由器和3层交换机上都可以配置OSPF协议。 |
OSPF协议的一般配置 |
1、配置OSPF协议: Ruijie(config)#router ospf process-id Ruijie(config-router)#network network-number wildcard-mask area area-id router ospf 命令用于启用OSPF,并进入OSPF的配置模式。process-id是进程号,用于路由器内部。 network 命令用于指定参与OSPF路由的网络,参数network-number是网络号,wildcard-mask是通配符掩码,area-id是区域号。 说明: 通配符掩码用于指定网络号中有效的位,取“0”代表匹配该位,取“1”代表忽略该位。很多情况下,通配符掩码是子网掩码的反码。 路由配置好后,可以在特权模式下用 show ip route 命令查看学习到的路由项目。 2、删除OSPF中配置的项目: Ruijie(config)#router ospf Ruijie(config-router)#no network network-number wildcard-mask area area-id 3、关闭OSPF协议: Ruijie(config)#no router ospf process-id 关闭后,本设备的OSPF协议将不再工作。 配置举例1: Ruijie>enable Ruijie#configure terminal Ruijie(config)#router ospf 1 Ruijie(config-router)#network area 0 Ruijie(config-router)#network area 0 Ruijie(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是 和 。 配置举例2: Switch>enable Switch#configure terminal Switch(config)#router ospf 1 Switch(config-router)#network area 0 Switch(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是所有形如 的网络。 |
第四部分 广域网协议配置
HDLC协议是一种简单、高效的点到点链路协议,主要用于点到点连接的路由器间的通信。 HDLC协议有 Cisco HDLC 和 ISO DHLC 两种,两者不能兼容。 锐捷路由器的同步串行口默认封装Cisco HDLC,所以锐捷路由器可以和Cisco路由器直接相连,但如果把锐捷路由器和不支持Cisco HDLC的路由器相连,就需要采用其它协议(如PPP)。 |
配置接口的HDLC封装 |
由于锐捷路由器的Serial口默认封装就是HDLC,所以通常不需要再去配置它,除非你曾把它改为其它封装协议,可以再用命令改回HDLC封装。 配置接口采用HDLC封装: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation hdlc interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation hdlc 命令指定该接口采用HDLC协议封装。 配置举例: R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation hdlc R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation hdlc 本例配置点到点相连的两个路由器采用HDLC协议进行通信。 |
配置keepalive时间 |
HDLC每隔10秒钟就互相发送链路探测的协商报文(KeepAlive报文),用于探查链路是否中断,每次收发的报文按序号递增,序号失序则链路中断。当接口连续3次(数据包速率超过1000packets/s时为6次)没有收到对方对自己的递增序号的确认时,HDLC协议就把链路状态由Up转变为Down,链路将不可用。 HDLC协议可配置的参数只有Keepalive的间隔时间,缺省值是10秒。可以根据链路的流量来修改这个值。 1、配置keepalive时间: Ruijie(config)#interface interface-id Ruijie(config-if)#keepalive seconds interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 keepalive 命令设置keepalive时间,seconds是以秒为单位的时间值。 2、忽略keepalive探查: Ruijie(config)#interface interface-id Ruijie(config-if)#no keepalive 使用 no keepalive 命令表示不进行HDLC链路状态探查,即不发送keepalive报文,也不处理收到的keepalive报文。 配置举例: R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation hdlc R1(config-if)#keepalive 15 R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation hdlc R2(config-if)#keepalive 15 注意:你必须保证相连两端的keepalive时间相同。 |
PPP协议配置
PPP协议是一种应用广泛的点到点链路协议,主要用于点到点连接的路由器间的通信。 PPP协议既可以用于同步通信,也可以用于异步通信,本部分只讨论同步接口上的PPP配置。 锐捷路由器的同步串行口默认封装Cisco HDLC,所以当把锐捷路由器和不支持Cisco HDLC的路由器相连时,通常采用PPP协议。 PPP协议支持验证功能,对于有验证要求的网络环境应采用PPP协议。 |
配置接口的PPP封装 |
由于锐捷路由器的Serial口默认封装是HDLC,如果需要使用PPP封装,需要配置它的封装协议。 1、配置接口采用PPP封装: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation ppp 命令指定该接口采用PPP协议封装。 2、去除接口的PPP封装: Ruijie(config)#interface interface-id Ruijie(config-if)#no encapsulation ppp 去除接口的PPP封装后,该接口采用默认的封装协议。 配置举例: R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation ppp 本例配置点到点相连的两个路由器采用PPP协议进行通信。 注意:你必须保证相连的接口使用相同的协议,不同协议间是不能通信的。 |
配置PPP协商超时时间 |
PPP协议在建立链路时有一个协商过程,其内容包括工作方式、身份验证、地址等,其中的LCP协商和IPCP协商都有个超时时间,当时间到时,LCP将重新发送请求。 当异种设备进行互联时,有可能出现两边的超时时间不一致的情况,这时可使用命令修改这个时间,使它们保持一致。 1、配置超时时间: Ruijie(config)#interface interface-id Ruijie(config-if)#ppp negotiation-timeout seconds interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 ppp negotiation-timeout 命令设置PPP的LCP协商的超时时间,seconds是以秒为单位的时间值。 2、恢复默认协商超时时间: Ruijie(config)#interface interface-id Ruijie(config-if)#no ppp negotiation-timeout 锐捷路由器默认的协商超时时间为3秒。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#interface s0/0 Ruijie(config-if)#encapsulation ppp Ruijie(config-if)#ppp negotiation-timeout 10 本例把 Serial 0/0 口的LCP协商的超时时间设置为10秒。 |
配置CHAP验证
PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了PPP封装就可以进行通信。 验证的目的防止未经授权的用户接入。配置了验证后,在建立PPP连接时,服务端会核实客户端的身份,如果身份合法,则可以建立PPP连接。 PPP协议支持两种验证方法:PAP和CHAP,配置时只需配置其中的一种。 CHAP验证采用三次握手验证: 1、验证由服务端发起,它向用户端发送一个随机性的询问消息; 2、客户端用自己的名字和密码对这个消息用MD5算法加密,把密文发回服务端; 3、服务端用自己保存的客户端名字和密码对原消息用MD5算法加密,把密文和收到的密文比较,相同则发送接受消息,否则拒绝连接。 由于CHAP验证不在网络中传输用户名和密码,安全性比PAP验证好。 |
配置CHAP服务端 |
服务端需要配置一个数据库,保存客户端的用户名和密码。 1、在服务端配置CHAP验证: Ruijie(config)#username username password password Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp Ruijie(config-if)#ppp authentication chap username...password 命令用于向数据库中添加客户端的用户名和密码。 interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation ppp 命令指定该接口采用PPP协议封装。 ppp authentication chap 命令用于在该接口上启用CHAP验证。 2、取消配置的CHAP验证: Ruijie(config)#interface interface-id Ruijie(config-if)#no ppp authentication chap 配置举例: R1>enable R1#configure terminal R1(config)#username comhost password comword R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication chap 本例中R1是服务端,它在 Serial 0/0 口配置了PPP协议,采用CHAP验证用户身份,用户名为 comhost,密码为 comword。 |
配置CHAP客户端 |
如果服务端要求进行CHAP验证,客户端需要使用服务端提供的用户名和密码加密询问消息。 方法一: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp Ruijie(config-if)#ppp chap hostname username Ruijie(config-if)#ppp chap password password interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation ppp 命令指定该接口采用PPP协议封装。 ppp chap hostname 命令配置CHAP验证使用的用户名,该名字必须和服务端数据库中的名字相同。 ppp chap password 命令配置CHAP验证使用的密码,该密码必须和服务端数据库中的密码相同。 配置举例: R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp chap hostname comhost R2(config-if)#ppp chap password comword 本例中R2是客户端,它在 Serial 0/0 口配置了PPP协议以及CHAP验证所需的用户名和密码,这里的用户名和密码由服务端提供。 方法二: 在默认情况下,客户端把自己的主机名作为CHAP验证的用户名使用,所以可以把服务端提供的用户名设置为主机名进行CHAP验证。 配置举例: R2>enable R2#configure terminal R2(config)#hostname comhost comhost(config)#interface s0/0 comhost(config-if)#encapsulation ppp comhost(config-if)#ppp chap password comword 本例把R2路由器的名字设置为验证使用的用户名,在 Serial 0/0 口只需配置PPP协议以及CHAP验证所需的密码即可。 |
配置双向CHAP验证 |
CHAP验证可以配置为双向的,两端都需要验证对方的身份,只有双方的验证都通过了,PPP连接才会建立。 配置举例: R1端验证的用户名为aaa,密码为123;R2端验证的用户名为bbb,密码为456。 R1>enable R1#configure terminal R1(config)#username bbb password 456 R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp chap hostname aaa R1(config-if)#ppp chap password 123 R1(config-if)#ppp authentication chap 说明:R1端数据库中存放的对端的用户名和密码;接口上配置的是本地的用户名和密码。R2也是如此。 R2>enable R2#configure terminal R2(config)#username aaa password 123 R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp chap hostname bbb R2(config-if)#ppp chap password 456 R2(config-if)#ppp authentication chap 为了简化CHAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。如果一台路由器需要配置多个接口的CHAP验证,通常也只配置一个公用用户名和公用密码,这已经可以起到验证效果,而配置过程可以简化许多。 |
配置PAP验证
PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了PPP封装就可以进行通信。 验证的目的防止未经授权的用户接入。配置了验证后,在建立PPP连接时,服务端会核实客户端的身份,如果身份合法,则可以建立PPP连接。 PPP协议支持两种验证方法:PAP和CHAP,配置时只需配置其中的一种。 PAP验证采用两次握手验证: 1、验证由客户端发起,它向服务端发送用户名和密码; 2、服务端查询自己的数据库,如果有匹配的用户名和密码,则验证通过,发送接受消息,否则拒绝连接。 由于PAP验证采用明文在网络中传输用户名和密码,安全性比CHAP验证差。 |
配置PAP服务端 |
服务端需要配置一个数据库,保存客户端的用户名和密码。 1、在服务端配置PAP验证: Ruijie(config)#username username password password Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp Ruijie(config-if)#ppp authentication pap username...password 命令用于向数据库中添加客户端的用户名和密码。 interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation ppp 命令指定该接口采用PPP协议封装。 ppp authentication pap 命令用于在该接口上启用PAP验证。 2、取消配置的PAP验证: Ruijie(config)#interface interface-id Ruijie(config-if)#no ppp authentication pap 配置举例: R1>enable R1#configure terminal R1(config)#username comhost password comword R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp authentication pap 本例中R1是服务端,它在 Serial 0/0 口配置了PPP协议,采用PAP验证用户身份,用户名为 comhost,密码为 comword。 |
配置PAP客户端 |
在PAP验证,客户端需要向服务端发送用户名和密码,由服务端检查用户的合法性。 在客户端配置PAP验证: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation ppp Ruijie(config-if)#ppp pap sent-username username password password interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation ppp 命令指定该接口采用PPP协议封装。 ppp pap sent-username 命令配置PAP验证发送的用户名和密码,该名字和密码必须和服务端数据库中的名字和密码相同。 配置举例: R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp pap sent-username comhost password comword 本例中R2是客户端,它在 Serial 0/0 口配置了PPP协议以及PAP验证所需的用户名和密码,这里的用户名和密码由服务端提供。 |
配置双向PAP验证 |
PAP验证可以配置为双向的,两端都需要验证对方的身份,只有双方的验证都通过了,PPP连接才会建立。 配置举例: R1和R2之间的PPP连接采用PAP验证,验证的用户名都为aaa,密码都为123。 R1>enable R1#configure terminal R1(config)#username aaa password 123 R1(config)#interface s0/0 R1(config-if)#encapsulation ppp R1(config-if)#ppp pap sent-username aaa password 123 R1(config-if)#ppp authentication pap R2>enable R2#configure terminal R2(config)#username aaa password 123 R2(config)#interface s0/0 R2(config-if)#encapsulation ppp R2(config-if)#ppp pap sent-username aaa password 123 R2(config-if)#ppp authentication pap 为了简化PAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。如果一台路由器需要配置多个接口的PAP验证,通常也只配置一个公用用户名和公用密码,这已经可以起到验证效果,而配置过程可以简化许多。 |
帧中继协议配置
帧中继(Frame Relay)是一种不可靠连接的点到多点的链路层协议。主要用于把远距离的局域网互联起来,使它们成为一个局域网。 帧中继网络由网络运营商(ISP)建立和维护,对于需要使用帧中继服务的局域网用户,只需要向ISP提出申请,租用一条虚电路,就可以利用帧中继把处于异地的局域网互联起来。 帧中继虚电路由ISP在组成帧中继网络的帧中继交换机上配置而成,局域网用户需要通过路由器把局域网接入帧中继网络,并进行适当配置。 |
点到点的帧中继配置 |
点到点帧中继使用物理接口接入,只能用于两个局域网的互联,需要向ISP租用一条虚电路。 接入帧中继的路由器需要配置以下内容: ① 在接口上配置帧中继封装。 帧中继封装有 Cisco 和 ietf 两种类型,你必须保证和ISP一侧使用相同的封装类型。目前国内的ISP多使用 ietf 封装。 ② 在接口上配置LMI类型。 LMI提供了帧中继连接状态检测等辅助服务功能,LMI有 Q933a、Cisco 和 ANSI 三种类型,你必须保证和ISP一侧使用相同的LMI。目前国内的ISP多使用 ANSI 类型。有些路由器可自动检测ISP的LMI类型,并自动调整为相同类型,这种路由器不需要手工配置LMI类型。 ③ 在接口上配置IP地址。 接口的IP地址由局域网管理员规划并配置,你需要保证两边的接口IP在同一个网络中,即R1的S0/0口和R2的S0/0口的IP地址需要在同一个网络中。 ④ 在接口上配置静态映射或动态映射。 地址映射是建立远端设备的IP地址和本地DLCI地址的对应关系。默认使用动态映射,这时,映射关系由反向ARP协议自动建立,一般不需要配置。如果使用静态映射,则映射关系是手动建立的,它主要用于那些不支持动态映射的设备。 1、连接帧中继网络的接口的一般配置: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation frame-relay ietf Ruijie(config-if)#frame-relay lmi-type q933a | ansi | cisco Ruijie(config-if)#ip address ip-address subnet-mask Ruijie(config-if)#frame-relay map ip ip-address dlci Ruijie(config-if)#no shutdown interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation frame-relay 命令指定该接口采用帧中继封装,锐捷路由器默认的封装类型是Cisco,如果ISP是ietf类型,需要加上 ietf 关键字。 frame-relay lmi-type 命令指定接口的LMI类型,锐捷路由器默认的LMI类型是 q933a。如果路由器有自动检测LMI类型的功能,此项配置可以不做。 ip address 命令配置接口的IP地址和子网掩码。 frame-relay map ip 命令用于配置静态映射。其中的ip-address是远端设备的IP地址,dlci是本地虚电路的DLCI地址。一般情况下,我们可以使用动态映射,此时可不使用此命令,只有远端设备不支持动态映射时,才使用动态映射。 no shutdown 命令激活此接口。 2、取消接口的帧中继封装: Ruijie(config)#interface interface-id Ruijie(config-if)#no encapsulation no encapsulation 命令恢复接口的默认封装类型,锐捷路由器默认的封装类型是HDLC。 配置举例1: 已知ISP的帧中继网络的报文封装类型为 ietf。两个局域网通过ISP的帧中继网络进行互联,虚电路由ISP配置。以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation frame-relay ietf R1(config-if)#ip address shutdown R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation frame-relay ietf R2(config-if)#ip address shutdown 以上配置中,假设R1、R2路由器都支持自动检测LMI类型的功能,都支持动态映射。配置完成后,从效果上来看,就好像R1和R2是通过 Serial 0/0 口直接连接在一起一样。之后,你可以在R1、R2上配置静态路由或路由协议,实现两边网络的通信。 配置举例2: 已知ISP的帧中继网络的报文封装类型为 cisco,LMI类型为 ansi。两个局域网通过ISP的帧中继网络进行互联,虚电路由ISP配置,接入路由器不支持动态映射,R1端的DLCI地址为20,R2端的DLCI地址为70。以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation frame-relay R1(config-if)#frame-relay lmi-type ansi R1(config-if)#ip address map ip 20 R1(config-if)#no shutdown R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation frame-relay R2(config-if)#frame-relay lmi-type ansi R2(config-if)#ip address map ip 70 R2(config-if)#no shutdown frame-relay map 命令配置的是静态映射。其中的IP地址是对端设备的IP地址,DLCI地址是本地虚电路的DLCI地址。 使用静态映射时,DLCI地址由ISP提供,如果ISP更改了DLCI地址,相应的配置也需要修改,而动态映射没有这个问题。 |
点到点子接口的帧中继配置
什么时候使用点到点子接口的帧中继 假设一个公司有多个子公司,分散在不同的地区,各个子公司都需要接入母公司的局域网。 如果使用点到点的帧中继,则每条虚电路需要使用一个物理接口,这样物理接口很快就耗尽了。如图: 子接口是一种逻辑接口,在一个物理接口上可定义多个子接口,利用子接口可使一个物理接口连接多个帧中继。如图:(图中的R1连接了两个帧中继,使用了R1路由器的S0/0一个物理接口,该接口上定义了S0/、S0/两个子接口。) 所以,当一台路由器需要连接多个帧中继,而物理接口不够用时,应该使用点到点子接口的帧中继。 |
点到点子接口的帧中继配置 |
定义帧中继子接口的路由器需要配置以下内容: ① 在接口上配置帧中继封装。 帧中继封装有 Cisco 和 ietf 两种类型。一般我们把封装类型定义在物理接口上,这样,它上面所有的子接口都使用相同的封装类型。你也可以让不同子接口使用不同的封装类型,不过这种情况很少见。 ② 在接口上配置LMI类型。 LMI提供了帧中继连接状态检测等辅助服务功能,LMI有 Q933a、Cisco 和 ANSI 三种类型,你必须保证和ISP一侧使用相同的LMI。目前国内的ISP多使用 ANSI 类型。有些路由器可自动检测ISP的LMI类型,并自动调整为相同类型,这种路由器不需要手工配置LMI类型。 ③ 创建点到点子接口。 在一个物理接口上创建的子接口数量原则上不受限制,但由于它们要共享物理接口的带宽,所以应根据实际情况创建。 ④ 在子接口上配置IP地址。 每个子接口都可以象物理接口一样配置IP地址,需要注意的是,使用了子接口后,在物理接口上不能有IP地址。 ⑤ 在子接口上配置DLCI地址。 DLCI地址是帧中继使用的第二层地址,用于标识一条虚电路,在使用子接口的环境中,由于在物理接口上连接了多条虚电路,需要用DLCI地址来区分各子接口所连接的虚电路。虚电路的DLCI地址由ISP提供,我们需要把它配置在相应的子接口上。 ⑥ 在子接口上配置静态映射或动态映射。 地址映射是建立远端设备的IP地址和本地DLCI地址的对应关系。默认使用动态映射,这时,映射关系由反向ARP协议自动建立,一般不需要配置。如果使用静态映射,则映射关系是手动建立的,它主要用于那些不支持动态映射的设备。 用子接口连接帧中继网络的一般配置: Ruijie(config)#interface interface-id Ruijie(config-if)#encapsulation frame-relay ietf Ruijie(config-if)#frame-relay lmi-type q933a | ansi | cisco Ruijie(config-if)#no shutdown Ruijie(config-if)#interface point-to-point Ruijie(config-subif)#ip address ip-address subnet-mask Ruijie(config-subif)#frame-relay interface-dlci dlci Ruijie(config-subif)#frame-relay map ip ip-address dlci interface 命令用于指定要配置的接口,必须是Serial口,interface-id是接口号。 encapsulation frame-relay 命令指定该接口采用帧中继封装,锐捷路由器默认的封装类型是Cisco,如果ISP是ietf类型,需要加上 ietf 关键字。 frame-relay lmi-type 命令指定接口的LMI类型,锐捷路由器默认的LMI类型是 q933a。如果路由器有自动检测LMI类型的功能,此项配置可以不做。 no shutdown 命令激活此接口。 interface...point-to-point 命令创建一个点到点类型的子接口。 ip address 命令配置子接口的IP地址和子网掩码。 frame-relay interface-dlci 命令配置子接口的DLCI地址。 frame-relay map ip 命令用于配置静态映射。其中的ip-address是远端设备的IP地址,dlci是本地虚电路的DLCI地址。一般情况下,我们可以使用动态映射,此时可不使用此命令,只有远端设备不支持动态映射时,才使用动态映射。 2、取消接口的帧中继封装: Ruijie(config)#interface interface-id Ruijie(config-if)#no encapsulation no encapsulation 命令恢复接口的默认封装类型,锐捷路由器默认的封装类型是HDLC。 配置举例1: 已知ISP的帧中继网络的报文封装类型为 ietf,路由器可自动检测LMI类型。R2、R3通过帧中继与R1进行互联,使用了Serial 0/0的两个子接口,路由器都支持动态映射。 说明:DLCI地址是帧中继服务商提供的,它只在本地有效,所以同一条虚电路两端的DLCI地址可以不同。 以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation frame-relay ietf R1(config-if)#no shutdown R1(config-if)#interface s0/ point-to-point R1(config-subif)#ip address interface-dlci 30 R1(config-subif)#interface s0/ point-to-point R1(config-subif)#ip address interface-dlci 31 R1(config-subif)#end R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation frame-relay ietf R2(config-if)#ip address shutdown R3>enable R3#configure terminal R3(config)#interface s0/0 R3(config-if)#encapsulation frame-relay ietf R3(config-if)#ip address shutdown 说明:本例中,只有R1采用的是点到点子接口的帧中继,R2和R3采用的都是点到点的帧中继,所以在R2和R3上不需要创建子接口,也不需要配置DLCI地址。 配置举例2: 拓扑同上,但R2和R3不支持动态映射,改用静态映射建立远端设备的IP地址和本地DLCI地址的对应关系。 R1>enable R1#configure terminal R1(config)#interface s0/0 R1(config-if)#encapsulation frame-relay ietf R1(config-if)#no shutdown R1(config-if)#interface s0/ point-to-point R1(config-subif)#ip address interface-dlci 30 R1(config-subif)#frame-relay map ip 30 R1(config-subif)#interface s0/ point-to-point R1(config-subif)#ip address interface-dlci 31 R1(config-subif)#frame-relay map ip 31 R1(config-subif)#end R2>enable R2#configure terminal R2(config)#interface s0/0 R2(config-if)#encapsulation frame-relay ietf R2(config-if)#ip address map ip 50 R2(config-if)#no shutdown R3>enable R3#configure terminal R3(config)#interface s0/0 R3(config-if)#encapsulation frame-relay ietf R3(config-if)#ip address map ip 19 R3(config-if)#no shutdown 说明:使用静态映射时,需要知道远端的IP地址和本地的DLCI地址,由于DLCI地址由帧中继服务商提供,如果服务商更改了DLCI地址,管理员就需要重新配置。 |
第五部分 NAT的配置
静态NAT配置
网络地址转换(NAT)用于把一个IP地址转换为另一个IP地址。 NAT的一些术语: 1、内部本地地址(Inside Local Address) 指本网络内部主机的IP地址。该地址通常是未注册的私有IP地址。 2、内部全局地址(Inside Global Address) 指内部本地地址在外部网络表现出的IP地址。它通常是注册的合法IP地址,是NAT对内部本地地址转换后的结果。 3、外部本地地址(Outside Local Address) 指外部网络的主机在内部网络中表现的IP地址。 4、外部全局地址(Outside Global Address) 指外部网络主机的IP地址。 5、内部源地址NAT 把 Inside Local Address 转换为 Inside Global Address。这也是我们通常所说的NAT。在数据报送往外网时,它把内部主机的私有IP地址转换为注册的合法IP地址,在数据报送入内网时,把地址转换为内部的私有IP地址。 6、外部源地址NAT 把 Outside Global Address 转换为 Outside Local Address。这种转换只是在内部地址和外部地址发生重叠时使用。 7、NAPT NAPT又称port NAT或PAT,它是通过端口复用技术,让一个全局地址对应多个本地地址,以节省对合法地址的使用量。 本部分只讨论内部源地址的静态NAT和静态NAPT的配置。 |
静态NAT的配置 |
这里指的是内部源地址的静态NAT的配置。它有以下特征: 1、内部本地地址和内部全局地址是一对一映射。 2、静态NAT是永久有效的。 通常我们为那些需要固定合法地址的主机建立静态NAT,比如一个可以被外部主机访问的Web网站。 1、静态NAT的配置: Ruijie(config)#ip nat inside source static local-address global-address [permit-inside] 这个命令用于指定内部本地地址和内部全局地址的对应关系。如果加上 permit-inside 关键字,则内网的主机既能用本地地址访问,也能用全局地址访问该主机,否则只能用本地地址访问。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 你可以配置多个 Inside 和 Outside 接口。 2、删除配置的静态NAT: Ruijie(config)#no ip nat inside source static local-address global-address [permit-inside] 该命令可删除NAT表中指定的项目,不影响其它NAT的应用。 如果在接口上使用 no ip nat inside 或 no ip nat outside 命令,则可停止该接口的NAT检查和转换,会影响各种NAT的应用。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat inside source static nat inside source static permit-inside Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no ip redirects Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例定义了两条静态NAT,私有地址 与合法地址 对应,私有地址 与合法地址 对应。 第一条静态NAT没有使用permit-inside关键字,内部主机只能用 访问该主机。第二条静态NAT使用了permit-inside关键字,内部主机可以用 访问,也能用 访问该主机,此时最好在 inside 口上添加 no ip redirects 命令,可防止该接口发送重定向报文,提高路由器效率。 |
静态NAPT的配置 |
静态NAPT可以使一个内部全局地址和多个内部本地地址相对应,从而可以节省合法IP地址的使用量。它有以下特征: 1、一个内部全局地址可以和多个内部本地地址建立映射,用IP地址+端口号区分各个内部地址。 2、从外部网络访问静态NAPT映射的内部主机时,应该给出端口号。 3、静态NAPT是永久有效的。 1、静态NAPT的配置: Ruijie(config)#ip nat inside source static {tcp|udp} local-address port global-address port [permit-inside] 这个命令用于指定内部本地地址和内部全局地址的对应关系,其中包括IP地址、端口号,使用的协议等信息。如果加上 permit-inside 关键字,则内网的主机既能用本地地址访问,也能用全局地址访问该主机,否则只能用本地地址访问。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 你可以配置多个 Inside 和 Outside 接口。 2、删除配置的静态NAPT: Ruijie(config)#no ip nat inside source static {tcp|udp} local-address port global-address port [permit-inside] 该命令可删除NAT表中指定的项目,不影响其它NAT的应用。 如果在接口上使用 no ip nat inside 或 no ip nat outside 命令,则可停止该接口的NAT检查和转换,会影响各种NAT的应用。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat inside source static tcp 80 80 Ruijie(config)#ip nat inside source static tcp 80 8080 Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例中假设内网中有两个Web网站,第一个网站在内网中的地址为 ,在外网中可用 访问,第二个网站在内网中的地址为 ,在外网中可用 访问,两个网站从外网来看,IP地址相同,但端口号不同。 如果想让内网用户也可用全局地址访问网站,需要加上permit-inside关键字。 说明:如果有条件,尽量不要用outside接口的IP地址作为内部全局地址,该地址属于网络服务商(ISP),它常会因线路变更等原因而改变,这样就需要更改相应的DNS记录。 |
动态NAT配置
网络地址转换(NAT)用于把一个IP地址转换为另一个IP地址。 NAT的一些术语: 1、内部本地地址(Inside Local Address) 指本网络内部主机的IP地址。该地址通常是未注册的私有IP地址。 2、内部全局地址(Inside Global Address) 指内部本地地址在外部网络表现出的IP地址。它通常是注册的合法IP地址,是NAT对内部本地地址转换后的结果。 3、外部本地地址(Outside Local Address) 指外部网络的主机在内部网络中表现的IP地址。 4、外部全局地址(Outside Global Address) 指外部网络主机的IP地址。 5、内部源地址NAT 把 Inside Local Address 转换为 Inside Global Address。这也是我们通常所说的NAT。在数据报送往外网时,它把内部主机的私有IP地址转换为注册的合法IP地址,在数据报送入内网时,把地址转换为内部的私有IP地址。 6、外部源地址NAT 把 Outside Global Address 转换为 Outside Local Address。这种转换只是在内部地址和外部地址发生重叠时使用。 7、NAPT NAPT又称port NAT或PAT,它是通过端口复用技术,让一个全局地址对应多个本地地址,以节省对合法地址的使用量。 本部分只讨论内部源地址的动态NAT和动态NAPT的配置。 |
动态NAT的配置 |
这里指的是内部源地址的动态NAT的配置。它有以下特征: 1、内部本地地址和内部全局地址是一对一映射。 2、动态NAT是临时的,如果过了一段时间没有使用,映射关系就会删除。 动态映射需要把合法地址组建成一个地址池,当内网的客户机访问外网时,从地址池中取出一个地址为它建立NAT映射,这个映射关系会一直保持到会话结束。 动态NAT的配置: Ruijie(config)#ip nat pool pool-name start-address end-address netmask subnet-mask 这个命令用于定义一个IP地址池,pool-name是地址池的名字,start-address是起始地址,end-address是结束地址,subnet-mask是子网掩码。地址池中的地址是供转换的内部全局地址,通常是注册的合法地址。 Ruijie(config)#access-list access-list-number permit address wildcard-mask 这个命令定义了一个访问控制列表,access-list-number是表号,address是地址,wildcard-mask是通配符掩码。它的作用是限定内部本地地址的格式,只有和这个列表匹配的地址才会进行NAT转换。 Ruijie(config)#ip nat inside source list access-list-number pool pool-name 这个命令定义了动态NAT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把和列表匹配的内部本地地址,用地址池中的地址建立NAT映射。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 你可以配置多个 Inside 和 Outside 接口。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat pool np netmask 1 permit 1 permit nat inside source list 1 pool np Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例把合法地址组建为一个地址池,地址范围是 ,内网中客户机的地址都是和的格式,当这种地址访问外网时,会用地址池中的地址建立NAT映射。 说明:访问列表的定义不要太宽,应尽量准确,否则可能会出现不可预知的结果。 |
动态NAPT的配置 |
动态NAPT可以使一个内部全局地址和多个内部本地地址相对应,从而可以节省合法IP地址的使用量。它有以下特征: 1、一个内部全局地址可以和多个内部本地地址建立映射,用IP地址+端口号区分各个内部地址。(锐捷路由器中每个全局地址最多可提供64512个NAT地址转换) 2、动态NAPT是临时的,如果过了一段时间没有使用,映射关系就会删除。 3、动态NAPT可以只使用一个合法地址为所有内部本地地址建立映射,但映射数量是有限的,如果用多个合法地址组建成一个地址池,每个地址都能映射多个内部本地地址,则可减少因地址耗尽导致的网络拥塞。 动态NAPT的配置与动态NAT基本上相同,只是在NAT定义中,需要加上overload关键字: Ruijie(config)#ip nat inside source list access-list-number pool pool-name overload 这个命令定义了动态NAPT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把和列表匹配的内部本地地址,用地址池中的地址建立NAPT映射。overload关键字表示启用端口复用。 加上overload关键字后,系统首先会使用地址池中的第一个地址为多个内部本地地址建立映射,当映射数量达到极限时,再使用第二个地址。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat pool np netmask 1 permit nat inside source list 1 pool np overload Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例把合法地址组建为一个地址池,地址范围是 ,内网中客户机的地址都是的格式,当这种地址访问外网时,会用地址池中的地址建立NAPT映射。 |
接口动态NAPT的配置 |
你可以使用outside接口的IP地址作为唯一的内部全局地址为所有内部本地地址提供映射,它可看作动态NAPT的特例。 接口动态NAPT的配置: Ruijie(config)#access-list access-list-number permit address wildcard-mask 这个命令定义了一个访问控制列表,access-list-number是表号,address是地址,wildcard-mask是通配符掩码。它的作用是限定内部本地地址的格式,只有和这个列表匹配的地址才会进行NAT转换。 Ruijie(config)#ip nat inside source list access-list-number interface interface-id overload 这个命令定义了动态NAPT,access-list-number是访问列表的表号,interface interface-id指定了内部全局地址所在的接口,一般是outside接口。它表示和列表匹配的内部本地地址,都用该接口的IP地址建立NAPT映射。overload关键字表示启用端口复用。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 从以上配置可以看出,配置接口动态NAPT时可以不配置地址池。 在接口动态NAPT的配置中,只是指定了映射时使用哪个接口的IP地址,当该接口的IP地址改变时,不需要重新定义。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 1 permit nat inside source list 1 interface s1/0 overload Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例定义了一个接口动态NAPT,所有形如的内部本地地址,都被映射为 Serial 1/0 口的IP地址,即 。 |
重叠地址NAT配置
如果你访问的一个IP地址在本地网络和另一个网络都存在,这种情况称为地址重叠。 在地址重叠时,是无法访问外部网络的主机的,因为它会被理解为本地网络的地址。重叠地址的NAT就是用来解决这个问题的。 例: 本地网络的客户机访问一个域名为的网站。该网站位于另一个局域网中,使用的是私有地址。 访问者把域名送往DNS服务器解析,解析的结果是。由于该地址和本地网络的地址重叠,所以不能用它访问网站。 路由器截获此DNS响应包,发现它包含的地址和内部本地地址重叠,就用NAT把它转换为一个本地网络没有的地址,比如。 客户机用和网站建立连接,路由器再用NAT把它转换成的外部地址与网站通信。 在本例中,网站在本地网络中表现的地址是,该地址称为外部本地地址(Outside Local Address),在外部网络中的地址是,该地址称为外部全局地址(Outside Global Address)。 路由器对Outside Local Address和Outside Global Address的NAT转换称为外部源地址NAT。 使用外部源地址NAT时,也可同时使用内部源地址NAT,用于实现内部本地地址和内部全局地址的转换。 |
外部源地址的静态NAT配置 | ||||||||||||
把一个外部全局地址用一个指定的外部本地地址建立映射,就是外部源地址的静态NAT。 配置外部源地址的静态NAT: Ruijie(config)#ip nat outside source static global-address local-address 这个命令用于指定外部全局地址和外部本地地址的对应关系。global-address是外部全局地址,local-address是外部本地地址。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat outside source static nat pool np netmask 1 permit nat inside source list 1 pool np overload Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例中,ip nat outside source命令定义的是外部源地址NAT,采用的是静态NAT,ip nat inside source命令定义的是内部源地址NAT,采用的是动态NAPT。这组NAT映射表可能会呈现为以下形式:
| ||||||||||||
外部源地址的动态NAT配置 |
把多个外部本地地址组成一个IP地址池,当有外部全局地址需要映射时,从地址池中取一个地址建立映射关系,会话结束后,再删除此映射关系。 配置外部源地址的动态NAT: Ruijie(config)#ip nat pool pool-name start-address end-address netmask subnet-mask 这个命令用于定义一个IP地址池,pool-name是地址池的名字,start-address是起始地址,end-address是结束地址,subnet-mask是子网掩码。地址池中的地址是供转换的外部本地地址,它应该和内部本地地址没有重叠。 Ruijie(config)#access-list access-list-number permit address wildcard-mask 这个命令定义了一个访问控制列表,access-list-number是表号,address是地址,wildcard-mask是通配符掩码。它的作用是限定外部全局地址的格式,只有和这个列表匹配的地址才会进行NAT转换。 Ruijie(config)#ip nat outside source list access-list-number pool pool-name 这个命令定义了动态NAT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把和列表匹配的外部全局地址,用地址池中的地址建立NAT映射。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat pool outp netmask 1 permit nat outside source list 1 pool outp Ruijie(config)#ip nat pool inp netmask 2 permit nat inside source list 2 pool inp overload Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例中,ip nat outside source命令定义的是外部源地址NAT,采用的是动态NAT,outp它的地址池,list 1是它的访问控制列表。 本例中,ip nat inside source命令定义的是内部源地址NAT,采用的是动态NAPT,inp它的地址池,list 2是它的访问控制列表。 |
TCP负载均衡
对于那些访问量很大的网络服务器,如果只使用一台主机,会造成负载过重的问题。利用NAT可实现多台主机的TCP负载均衡。 多台主机搭建成一个局域网,各主机的内容完全相同,各主机使用私有IP进行编址。在路由器上配置TCP负载均衡,从外部来看,这些主机只有一个IP地址,成为一个虚拟主机,当外部用户访问此虚拟主机时,路由器会把各个访问轮流映射到各个主机上,达到负载均衡的目的。 注意:TCP负载均衡只对TCP服务提供分流,对于其它IP流量没有影响,除非NAT作了其它配置。 |
TCP负载均衡配置 |
Ruijie(config)#ip nat pool pool-name start-address end-address netmask subnet-mask type rotary 这个命令用于定义一个IP地址池,pool-name是地址池的名字,start-address是起始地址,end-address是结束地址,subnet-mask是子网掩码。地址池中的地址必须是内网中各主机的实际IP地址。type rotary关键字表示定义为轮转型地址池。 Ruijie(config)#access-list access-list-number permit address wildcard-mask 这个命令定义了一个访问控制列表,access-list-number是表号,address是地址,wildcard-mask是通配符掩码。它只匹配虚拟主机的地址。 Ruijie(config)#ip nat inside destination list access-list-number pool pool-name 这个命令定义了NAT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把虚拟主机的地址映射到地址池中的地址上。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip nat inside 以上命令指定了网络的内部接口。 Ruijie(config-if)#interface interface-id Ruijie(config-if)#ip nat outside 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip nat pool np netmask type rotary Ruijie(config)#access-list 1 permit nat inside destination list 1 pool np Ruijie(config)#interface f0/0 Ruijie(config-if)#ip address nat inside Ruijie(config-if)#no shutdown Ruijie(config-if)#interface s1/0 Ruijie(config-if)#ip address nat outside Ruijie(config-if)#no shutdown Ruijie(config-if)#end Ruijie# 本例中,虚拟主机的IP地址是,当用户访问此地址时,路由器把它轮流映射到上。 |
NAT信息的查看
1、显示NAT转换记录:
Ruijie#show ip nat translations [verbose]
这个命令显示NAT转换记录,加上 verbose 关键字时,可显示更详细的转换信息。
如:
Ruijie>enable
Ruijie#show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 这里显示的是一次NAT的转换记录,内容依次为:协议类型(Pro)、内部全局地址及端口(Inside global)、内部本地地址及端口(Inside local)、外部本地地址及端口(Outside local)、外部全局地址及端口(Outside global)。
2、显示NAT规则和统计数据:
Ruijie#show ip nat statistics
如:
Ruijie>enable
Ruijie#show ip nat statistics
Total active translations: 372, max entries permitted: 30000
Outside interfaces: Serial 1/0
Inside interfaces: FastEthernet 0/0
Rule statistics:
[ID: 1] inside source dynamic
hit: 24737
match (after routing):
ip packet with source-ip match access-list 1
action:
translate ip packet's source-ip use pool abc
包括:当前活动的会话数(Total active translations)、允许的最大活动会话数(max entries permitted)、连接外网的接口(Outside interfaces)、连接内网的接口(Inside interfaces)、NAT规则(Rule,允许存在多个规则,用ID标识)。
规则1(ID: 1):NAT类型(本例为内部源地址动态NAT)、此规则被命中次数(hit值)、路由前还是路由后(match值,本例为路由前)、地址限制(本例受access-list 1限制)、转换行为(action值,本例用地址池abc转换源地址)。
3、清除NAT转换记录:
Ruijie#clear ip nat translation *
该命令会清除NAT转换表中的所有转换记录,它可能会影响当前的会话,造成一些连接丢失。
第六部分 DHCP的配置
路由器可以配置成DHCP服务器或DHCP中继代理。 当作为DHCP服务器时,它可以为网络中的主机分配IP地址和配置参数。当作为DHCP中继代理时,它可以接收客户机发出的DHCP请求,并把请求转发给指定的DHCP服务器。 锐捷路由器不能同时作为DHCP服务器和DHCP中继代理,这两个功能是互斥的,只能使用一个。 |
启用DHCP服务器 |
1、启用DHCP服务器: Ruijie(config)#service dhcp 这条命令在锐捷路由器的不同版本中有不同的解释。路由器的系统版本可以用 show version 命令查看。 在 的版本中,开启DHCP服务器和DHCP中继代理使用的都是这条命令,由于这两个功能是互斥的,使用哪一种功能取决于是否配置了DHCP地址池,如果配置了地址池,则为DHCP服务器。 在 之前的版本中,用 service dhcp 命令开启DHCP服务器,关闭DHCP中继代理;用 no service dhcp 命令开启DHCP中继代理,关闭DHCP服务器。 2、关闭DHCP服务器: Ruijie(config)#no service dhcp 在 的版本中,这条命令同时管理了DHCP服务器和DHCP中继代理功能。 在 之前的版本中,这条命令关闭了DHCP服务器,但开启了DHCP中继代理功能。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#service dhcp 本例开启了DHCP服务器功能,但还需要配置参数才能工作。 |
配置DHCP地址池 |
地址池是一个可分配给客户端的地址空间,DHCP按顺序分配地址池中的地址给客户端。分配的地址带有租约期限,当租约快到期时,客户端必须进行续租,否则服务器会收回该地址。 1、创建DHCP地址池: Ruijie(config)#ip dhcp pool pool-name Ruijie(dhcp-config)# 这条命令用于配置地址池名并进入DHCP配置模式,pool-name是地址池名,由字母、数字组成。锐捷路由器允许定义多个地址池,用名字进行区分。 2、定义地址范围和掩码: Ruijie(dhcp-config)#network network-number [mask] network 命令用于指定地址池子网,network-number是网络号,mask是掩码。如果省略mask,则使用默认掩码。 说明:在 DHCP 地址池中放置的是整个一个网段,默认情况下,该网段的所有地址都可以分配给客户机,你可以通过配置地址排除,把其中部分地址排除在外。 3、配置地址租约期限: Ruijie(dhcp-config)#lease days [hours] [minutes] 缺省的租约期限是 1 天,你可以用 lease 命令更改它。 4、配置排除的地址: Ruijie(config)#ip dhcp excluded-address start-address [end-address] 排除的地址是为路由器、服务器等保留的地址,这些地址不会分配给客户端。start-address是起始地址,end-address是结束地址。如果没有end-address,则排除的是单一的地址。 说明:排除地址是在全局配置模式中配置,不是在DHCP配置模式中配置。排除的地址范围可配置多个,用 no 命令可删除指定的地址段。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#service dhcp Ruijie(config)#ip dhcp excluded-address dhcp excluded-address dhcp pool net1 Ruijie(dhcp-config)#network 0 12 Ruijie(dhcp-config)#end 本例在路由器上配置了 DHCP 服务器,它包含了一个名为 net1 的地址池,可以为 网络的客户机分配 IP 地址,其中 以及 被排除在分配范围之外,地址的租约期限是 12 小时。 |
配置选项 |
DHCP服务器除了可以为客户机提供IP地址外,还可以提供默认网关、DNS服务器地址等参数,这些参数称为选项。 注意:选项是指派给客户机的参数,它们不是路由器自己使用的参数。它们的值要根据网络环境进行设置。 1、配置默认网关: Ruijie(dhcp-config)#default-router address [address2...address8] 这条命令用于配置客户端使用的默认网关,它必须和客户机的地址在同一个网段中。可以配置多个。 2、配置DNS服务器地址: Ruijie(dhcp-config)#dns-server address [address2...address8] 这条命令用于配置客户端使用的DND服务器地址,可以配置多个。 3、配置WINS服务器地址: Ruijie(dhcp-config)#netbios-name-server address [address2...address8] 这条命令用于配置客户端使用的WINS服务器地址,可以配置多个。 4、配置NetBIOS节点类型: Ruijie(dhcp-config)#netbios-node-type type 这条命令用于配置客户端的NetBIOS节点类型,取值可以为: 1 或 b-node:Broadcase 型节点,采用广播方式进行 NetBIOS 名字解析。 2 或 p-node:Peer-to-peer 型节点,使用WINS服务器进行 NetBIOS 名字解析。 4 或 m-node:Mixed 型节点,先通过广播方式,后使用WINS服务器进行 NetBIOS 名字解析。 8 或 h-node:Hybrid 型节点,先通过WINS服务器,后使用广播方式进行 NetBIOS 名字解析。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#service dhcp Ruijie(config)#ip dhcp excluded-address dhcp excluded-address dhcp pool net1 Ruijie(dhcp-config)#network 0 12 Ruijie(dhcp-config)#default-router h-node Ruijie(dhcp-config)#end 本例在上例的 DHCP 服务器上配置了选项,包括默认网关、DNS服务器地址(有2个),WINS服务器地址和NetBIOS节点类型。 |
配置DHCP地址绑定
当把路由器配置成DHCP服务器时,它为客户端分配IP地址有两种方式: 1、动态分配:当DHCP服务器收到DHCP请求时,从地址池中分配IP地址给客户端。这种分配方式中,客户端获得的IP地址是不确定的。 2、静态分配:DHCP服务器把客户端的MAC地址和某个IP地址进行绑定,只要是该客户端提出的DHCP请求,就分配一个固定的IP地址。 实现静态分配时,需要在DHCP服务器上手工配置地址绑定,为MAC地址和IP地址建立映射关系。 |
配置DHCP地址绑定 |
配置地址绑定时,需要专门建立一个地址池,并在地址池中建立MAC地址和IP地址的映射关系。 1、建立DHCP地址池: Ruijie(config)#ip dhcp pool pool-name Ruijie(dhcp-config)# 本命令用于建立一个DHCP地址池,pool-name是地址池的名字。该命令执行后会进入地址池配置模式,之后的配置命令是在地址池配置模式下进行的。 2、配置绑定的IP地址: Ruijie(dhcp-config)#host ip-address [netmask] 本命令用于指定一个IP地址,它是将来分配给某客户端的IP地址。netmask是子网掩码,如果省略该参数,则使用默认的掩码。 3、配置绑定的MAC地址或客户端标识: Ruijie(dhcp-config)#hardware-address mac-address 本命令用于指定绑定的MAC地址,它是客户端的MAC地址,用3组十六进制数书写,如:。 Ruijie(dhcp-config)#client-identifier identifier 本命令用客户端标识的方式来绑定客户端,客户端标识是一个由媒介类型、MAC地址和接口名称构成的十六进制串,如,一个 GigabitEthernet 0/1接口,MAC地址为,则它的客户端标识为: 如果要绑定一台以太网中的计算机,通常用MAC地址就可以了,如果要绑定一台设备的某个接口,应该使用客户端标识。 以上配置是IP地址和硬件地址的手工绑定,你还可以为此地址池配置默认网关、DNS服务器等选项,配置方法和动态地址池的配置方法相同。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#service dhcp Ruijie(config)#ip dhcp pool web1 Ruijie(dhcp-config)#host 本例配置了一个DHCP地址绑定,当MAC地址为 的客户机发出DHCP请求时,DHCP服务器为它配置的IP地址是 ,默认网关是 。 |
DHCP中继代理的配置
路由器可以配置成DHCP服务器或DHCP中继代理。 当作为DHCP服务器时,它可以为网络中的主机分配IP地址和配置参数。当作为DHCP中继代理时,它可以接收客户机发出的DHCP请求,并把请求转发给指定的DHCP服务器。 锐捷路由器不能同时作为DHCP服务器和DHCP中继代理,这两个功能是互斥的,只能使用一个。 |
配置DHCP中继代理 |
1、启用DHCP中继代理: Ruijie(config)#service dhcp Ruijie(config)#no service dhcp 这两条命令在锐捷路由器的不同版本中有不同的解释。路由器的系统版本可以用 show version 命令查看。 在 的版本中,开启DHCP服务器和DHCP中继代理使用的都是 service dhcp 命令,由于这两个功能是互斥的,使用哪一种功能取决于是否配置了DHCP地址池,如果配置了地址池,则为DHCP服务器。 在 之前的版本中,用 service dhcp 命令开启DHCP服务器,关闭DHCP中继代理;用 no service dhcp 命令开启DHCP中继代理,关闭DHCP服务器。 2、配置DHCP服务器地址: 当路由器作为DHCP中继代理时,必须指定DHCP服务器的IP地址。DHCP服务器的IP地址可以在全局配置模式中配置,也可在接口配置模式中配置。 当某接口收到DHCP请求时,首先使用接口指定的DHCP服务器,如果接口上没有配置DHCP服务器地址,则使用全局配置的DHCP服务器地址。 Ruijie(config)#ip helper-address IP-address Ruijie(config-if)#ip helper-address IP-address 说明:在每种配置模式中都可以配置多个DHCP服务器地址,最多可配置20个服务器地址。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#service dhcp Ruijie(config)#ip helper-address helper-address f0/1 Ruijie(config-if)#ip helper-address 本例是在 的版本中配置DHCP中继代理的过程。如果在 之前的版本,应该用 no service dhcp 命令开启DHCP中继代理功能。 本例的配置含义是:当路由器接收到客户端的DHCP请求包,如果是f0/1接口收到的,就把它转发给 处的DHCP服务器,其它接口收到的,就转发给 和 处的DHCP服务器。 |
第七部分 访问控制列表的配置
标准访问控制列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 标准访问控制列表只根据数据包的源IP地址进行过滤,根据设定的规则,允许或拒绝数据包通过。 标准访问控制列表用标号或名字进行标识,可使用的标号是1~99、1300~1999。 |
标准ACLs的语句规则 |
标准访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义。 1、permit 规则: permit 规则定义的是允许通过,有三种格式。 permit any 这条规则指定了源IP为任意值的数据包通过。 permit host ip-address 这条规则指定了允许源IP为指定地址的数据包通过。如:permit address wildcard 这条规则指定了允许源IP和指定的地址样式相匹配的数据包通过。如:permit 。 address wildcard用于定义一种地址样式,wildcard称为通配符掩码,它是一个32位二进制数,它和address搭配指定了一种地址样式。其中和wildcard中“0”对应位要求匹配,和“1”对应的位忽略。 如:permit 表示地址前3个数必须为192、168、2,最后一个数忽略。这样 的地址都是满足条件的地址,允许通过。 如: 表示地址前3个数必须为192、168、2,最后一个数的前2位必须为二进制数10,后2位忽略。这样只有的地址能满足要求,允许通过。(注:8的二进制值为1000,11的二进制值为1011。) 注意:permit 规则只是定义了某种数据包可以通过,对于不满足规则的数据包不会拒绝,它们能否通过取决于后续的规则。 如:permit 表示允许源IP为格式的数据包通过,不满足此规则的数据包将继续判定下一条规则。 2、deny 规则: deny 规则定义的是拒绝通过,也有三种格式。 deny any 这条规则拒绝了所有数据包通过。 deny host ip-address 这条规则只拒绝源IP为指定地址的数据包通过。如:deny address wildcard 这条规则拒绝了源IP和指定的地址样式相匹配的数据包通过。如:deny 。 注意:deny 规则只是定义了拒绝某种数据包通过,对于不满足规则的数据包需要由后续规则处理。 3、隐含规则: 在每个标准ACLs中,最后一条规则隐含为 deny any,这样,如果一个数据包的源IP地址没有和前面的permit规则相匹配,则这个数据包将被拒绝通过。 |
配置标号的标准ACLs |
标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的标准ACLs配置。 标号的标准ACLs在全局配置模式中配置; 标号的标准ACLs由一系列 access-list 语句组成; 属于同一个标准ACLs的 access-list 语句使用相同的标号。 1、access-list 语句: Ruijie(config)#access-list list-id 规则 list-id是标准ACLs的标号,取值范围是1~99和1300~1999,同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 说明:早期的系统只支持1~99的标号,1300~1999是现在的系统新增的。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip access-group list-id in | out interface命令指定了一个接口。 ip access-group命令指定在接口上应用的访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 1 permit 1 deny host 1 permit f0/1 Ruijie(config-if)#ip access-group 1 in 本例定义了一个标准访问控制列表,它由4条规则组成: ①允许源IP为的数据包通过; ②拒绝源IP为的数据包通过; ③允许源IP为的数据包通过,本句和②联在一起可解释为除了,其它的形如的数据包都能通过; ④拒绝所有数据包通过。这句是由隐含的规则定义的。 整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,只有源IP为和源IP为(除外)的数据包可以进入设备,其余的都拒绝进入。 注意:在用ACLs过滤时,当数据包匹配了一条规则后,就按该规则进行处理,不再匹配下一条规则,所以,在上例中,如果把②和③的顺序调换,则将是permit,不会再检查下一条规则。 |
配置命名的标准ACLs |
标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的标准ACLs配置。 命名的标准ACLs用标号或名字区分各个访问列表; 命名的标准ACLs的规则在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#ip access-list standard list-id | list-name Ruijie(config-std-nacl)# 本命令用于进入标准访问列表的配置模式。 list-id是标准ACLs的标号,取值范围是1~99和1300~1999。 list-name是标准ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。 2、配置访问列表的规则: Ruijie(config-std-nacl)#permit 规则 Ruijie(config-std-nacl)#deny 规则 规则形式参照前面的描述。 3、包过滤的配置: 把定义的ACLs应用在指定的接口上。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip access-group list-id | list-name in | out interface命令指定了一个接口。 ip access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip access-list standard ls1 Ruijie(config-std-nacl)#permit host f0/1 Ruijie(config-if)#ip access-group ls1 in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 |
扩展访问控制列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 扩展访问控制列表可根据数据包的源IP地址、目的IP地址、使用的协议、用途设置过滤,根据设定的规则,允许或拒绝数据包通过。 扩展访问控制列表用标号或名字进行标识,可使用的标号是100~199、2000~2699。 |
扩展ACLs的语句规则 |
扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为: [permit|deny] [协议] [源地址] [目的地址] [表达式] 1、permit|deny: 必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。 2、协议: 必需。指定数据包使用的网络层或传输层协议,常用的有:ip、icmp、tcp、udp。 3、源地址: 必需。指定数据包源IP的样式。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 它们的含义和标准访问控制列表的相同。 4、目的地址: 必需。指定数据包目的IP的样式。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 5、表达式: 可选。指定数据包的用途。常用格式: eq 端口名称 eq 端口号 eq 是等于运算符,可用的运算符还有:lt(小于)、gt(大于)、neq(不等于)、range(范围)。使用range时需要给出两个端口号,其余的只要给出一个端口号。 端口名称或端口号指定了数据包的用途。 举例: permit ip any 允许源地址为任意,目的地址为的IP数据报通过。 permit tcp host eq ftp 允许源地址为.*.*,目的地址为,协议为TCP,用途为ftp的数据报通过。 deny udp host host eq tftp 拒绝源地址为,目的地址为,协议为UDP,用途为tftp的数据报通过。 deny tcp any any eq 80 允许地址任意的,使用协议为TCP,端口号为80的数据报通过。 说明: 在每个扩展ACLs中,最后一条规则隐含为 deny ip any any,它表示拒绝任何IP数据报通过。 |
配置标号的扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的扩展ACLs配置。 标号的扩展ACLs在全局配置模式中配置; 标号的扩展ACLs由一系列 access-list 语句组成; 属于同一个扩展ACLs的 access-list 语句使用相同的标号。 1、access-list 语句: Ruijie(config)#access-list list-id 规则 list-id是扩展ACLs的标号,取值范围是100~199和2000~2699,同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 说明:早期的系统只支持100~199的标号,2000~2699是现在的系统新增的。 注意:标准ACLs和扩展ACLs是用标号区分的,标号为1~99、1300~1999的是标准ACLs,只能使用标准ACLs的规则,标号为100~199、2000~1699的是扩展ACLs,只能使用扩展ACLs的规则。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip access-group list-id in | out interface命令指定了一个接口。 ip access-group命令指定在接口上应用的访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 100 permit tcp host any eq www Ruijie(config)#access-list 100 deny ip host any Ruijie(config)#access-list 100 permit ip any Ruijie(config)#interface f0/1 Ruijie(config-if)#ip access-group 100 in 本例定义了一个扩展访问控制列表,它由4条规则组成: ①允许源IP为,目的地址任意,用途为www的TCP数据包通过; ②拒绝源IP为,目的地址任意的数据包通过; ③允许源IP为的数据包通过; ④拒绝所有数据包通过。这句是由隐含的规则定义的。 整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,当源IP为时,只有执行Web任务的数据包可以通过,当源IP为(除外)时,它的数据包可以通过,其余的都拒绝通过。 |
配置命名的扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的扩展ACLs配置。 命名的扩展ACLs用标号或名字区分各个访问列表; 命名的扩展ACLs的规则在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#ip access-list extended list-id | list-name Ruijie(config-ext-nacl)# 本命令用于进入扩展访问列表的配置模式。 list-id是扩展ACLs的标号,取值范围是100~199和2000~2699。 list-name是扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。 2、配置访问列表的规则: Ruijie(config-ext-nacl)#permit 规则 Ruijie(config-ext-nacl)#deny 规则 规则形式参照前面的描述。 3、包过滤的配置: 把定义的ACLs应用在指定的接口上。 Ruijie(config)#interface interface-id Ruijie(config-if)#ip access-group list-id | list-name in | out interface命令指定了一个接口。 ip access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#ip access-list extended els1 Ruijie(config-ext-nacl)#permit tcp host any eq www Ruijie(config-ext-nacl)#deny ip host any Ruijie(config-ext-nacl)#permit ip any Ruijie(config-ext-nacl)#exit Ruijie(config)#interface f0/1 Ruijie(config-if)#ip access-group els1 in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 |
MAC扩展访问列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 MAC扩展访问控制列表可根据数据包的源MAC地址、目的MAC地址、以太网协议类型设置过滤,根据设定的规则,允许或拒绝数据包通过。 MAC扩展访问控制列表用标号或名字进行标识,可使用的标号是700~799。 |
MAC扩展ACLs的语句规则 |
MAC扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为: [permit|deny] [源MAC地址] [目的MAC地址] [以太网协议类型] 1、permit|deny: 必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。 2、源MAC地址: 必需。指定数据包源MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 mac-address采用三组十六进制数书写,如:。 3、目的MAC地址: 必需。指定数据包目的MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 4、以太网协议类型: 可选。指定数据包的帧类型。在以太网的帧头中有两个字节长度的帧类型字段,可用来表明帧中封装的协议类型,如:类型字段为0x0800,表明帧中封装的是IP数据报,类型字段为0x0806,表明帧中封装的是ARP报文。 举例: permit host any 允许源MAC地址为,目的地址为任意的帧通过。 deny any host 拒绝源MAC地址任意,目的MAC地址为的帧通过。 deny host any 0x0800 拒绝源MAC地址为,目的地址为任意,封装了IP数据报的帧通过。 说明: 在每个MAC扩展ACLs中,最后一条规则隐含为 deny any any,它表示拒绝任何帧通过。 |
配置标号的MAC扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的MAC扩展ACLs配置。 标号的扩展ACLs在全局配置模式中配置; 标号的扩展ACLs由一系列 access-list 语句组成; 属于同一个扩展ACLs的 access-list 语句使用相同的标号。 1、access-list 语句: Ruijie(config)#access-list list-id 规则 list-id是MAC扩展ACLs的标号,取值范围是700~799,同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#mac access-group list-id in | out interface命令指定了一个接口。 mac access-group命令指定在接口上应用的MAC访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 701 deny host any Ruijie(config)#access-list 701 permit any any Ruijie(config)#interface f0/1 Ruijie(config-if)#mac access-group 701 in 本例定义了一个MAC扩展访问控制列表,它由3条规则组成: ①拒绝源MAC地址为,目的地址任意的帧通过; ②允许所有帧通过; ③拒绝所有帧通过。这句是由隐含的规则定义的。 整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,拒绝来自的帧通过,其余的都不受限制。 |
配置命名的MAC扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的MAC扩展ACLs配置。 命名的扩展ACLs用标号或名字区分各个访问列表; 命名的扩展ACLs的规则在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#mac access-list extended list-id | list-name Ruijie(config-mac-nacl)# 本命令用于进入MAC扩展访问列表的配置模式。 list-id是MAC扩展ACLs的标号,取值范围是700~799。 list-name是MAC扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。 2、配置访问列表的规则: Ruijie(config-mac-nacl)#permit 规则 Ruijie(config-mac-nacl)#deny 规则 规则形式参照前面的描述。 3、包过滤的配置: 把定义的ACLs应用在指定的接口上。 Ruijie(config)#interface interface-id Ruijie(config-if)#mac access-group list-id | list-name in | out interface命令指定了一个接口。 mac access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#mac access-list extended mls1 Ruijie(config-mac-nacl)#deny host any Ruijie(config-mac-nacl)#permit any any Ruijie(config-mac-nacl)#exit Ruijie(config)#interface f0/1 Ruijie(config-if)#mac access-group mls1 in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 |
Expert扩展访问列表的配置
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 Expert扩展访问控制列表是IP访问列表和MAC访问列表的综合体,可根据数据包的IP地址、MAC地址、使用的协议等设置过滤,根据设定的规则,允许或拒绝数据包通过。 Expert扩展访问控制列表用标号或名字进行标识,可使用的标号是2700~2899。 |
Expert扩展ACLs的语句规则 |
Expert扩展访问控制列表由一系列的规则组成,每条规则用一个 permit 或 deny 关键字定义,规则的格式为: [permit|deny] [协议|以太网协议类型] [源IP地址] [源MAC地址] [目的IP地址] [目的MAC地址] [表达式] 1、permit|deny: 必需。permit 定义的是允许通过的规则,deny 定义的是拒绝通过的规则。 2、协议|以太网协议类型: 可选。指定数据包的协议,如ip、icmp、tcp、udp等,或者指定帧的以太网协议类型。 3、源IP地址: 必需。指定数据包源IP地址。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 4、源MAC地址: 必需。指定数据包源MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 5、目的IP地址: 必需。指定数据包目的IP地址。有三种格式: any 表示任意地址 host ip-address 表示单一地址 address wildcard 表示一组地址 6、目的MAC地址: 必需。指定数据包目的MAC地址。有两种格式: any 表示任意地址 host mac-address 表示单一地址 7、表达式: 可选。指定数据包的用途。当“协议”字段指定了协议后,才能使用表达式来指定端口名称或端口号。 举例: deny tcp host host any any 拒绝源IP为,源MAC地址为,目的地址为任意,使用的协议为TCP的数据包通过。 说明: 在每个Expert扩展ACLs中,最后一条规则隐含为 deny any any any any,它表示拒绝任何数据包通过。 |
配置标号的Expert扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的Expert扩展ACLs配置。 标号的扩展ACLs在全局配置模式中配置; 标号的扩展ACLs由一系列 access-list 语句组成; 属于同一个扩展ACLs的 access-list 语句使用相同的标号。 1、access-list 语句: Ruijie(config)#access-list list-id 规则 list-id是Expert扩展ACLs的标号,取值范围是2700~2899,同一个ACLs中的各语句标号必须相同。 规则就是前面所说的 permit 和 deny 规则。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interface interface-id Ruijie(config-if)#expert access-group list-id in | out interface命令指定了一个接口。 extert access-group命令指定在接口上应用的Expert访问控制列表,list-id是访问列表的标号,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用合适选择。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#access-list 2701 tcp deny host host any any Ruijie(config)#access-list 2701 permit any any any any Ruijie(config)#interface f0/1 Ruijie(config-if)#expert access-group 2701 in 本例定义了一个Expert扩展访问控制列表,它由3条规则组成: ①拒绝源IP为、源MAC地址为的TCP数据包通过; ②允许所有数据包通过; ③拒绝所有数据包通过。这句是由隐含的规则定义的。 整个配置可以解释为,在 f0/1 接口的输入流中执行包过滤,拒绝来自、的帧通过,其余的都不受限制。 |
配置命名的Expert扩展ACLs |
扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的Expert扩展ACLs配置。 命名的扩展ACLs用编号或名字区分各个访问列表; 命名的扩展ACLs的规则在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#expert access-list extended list-id | list-name Ruijie(config-exp-nacl)# 本命令用于进入Expert扩展访问列表的配置模式。 list-id是Expert扩展ACLs的标号,取值范围是2700~2899。 list-name是Expert扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,则创建它并进入访问列表配置模式。 2、配置访问列表的规则: Ruijie(config-exp-nacl)#permit 规则 Ruijie(config-exp-nacl)#deny 规则 规则形式参照前面的描述。 3、包过滤的配置: 把定义的ACLs应用在指定的接口上。 Ruijie(config)#interface interface-id Ruijie(config-if)#expert access-group list-id | list-name in | out interface命令指定了一个接口。 expert access-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configure terminal Ruijie(config)#expert access-list extended exp1 Ruijie(config-exp-nacl)#deny host host any any Ruijie(config-exp-nacl)#permit any any any any Ruijie(config-exp-nacl)#exit Ruijie(config)#interface f0/1 Ruijie(config-if)#expert access-group exp1 in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 |
其它形式的访问列表
访问控制列表(ACLs)是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤,允许其通过或丢弃。 |
带序号的ACLs |
访问控制列表的语句顺序非常重要,设备按语句创建的顺序进行比较,找到匹配的语句后,就不再检查其后的规则。一般的访问列表不能在两个表项间插入语句。如果要更改语句顺序,通常需要删除整个访问列表,再重新输入。 带序号的访问列表的每个语句可以设置一个序号,它允许在两个语句之间插入新语句。 1、带序号的ACLs: 命名的ACLs就是带序号的ACLs,它默认的起始序号为10,序号增量为10。如: Ruijie(config)#ip access-list standard ls1 Ruijie(config-std-nacl)#permit host 这个访问列表的语句序号是: Ruijie#show access-lists ls1 ace1: 10 permit 20 deny host 30 permit 注:ACE指访问列表中的一条规则。 2、插入ACE: Ruijie(config)#ip access-list standard ls1 Ruijie(config-std-nacl)#25 deny host 本例在序号为20和30的ACE间插入了一条序号为25的语句。 说明:在 permit 或 deny 语句前面加上一个数字,就可以把该语句插入在指定的位置处。如果没有写序号,则插入到访问列表尾部。 3、删除ACE: Ruijie(config)#ip access-list standard ls1 Ruijie(config-std-nacl)#no 20 Ruijie(config-std-nacl)#exit 本例把访问列表中序号为20的ACE删除了。 4、重排序号: 经过一些插入、删除操作后,访问列表中各ACE的序号就变得较杂乱,如上例的ls1: Ruijie#show access-lists ls1 ace1: 10 permit 25 deny host 30 permit 重排序号命令: Ruijie(config)#ip access-list resequence list-id|list-name start-sn inc-sn 这条命令在全局配置模式中执行。list-id|list-name是访问列表标号或名字,start-sn是重排序号时使用的起始序号,inc-sn是序号增量。 该命令执行后会重排指定访问列表的序号,并进入列表配置模式。 Ruijie(config)#ip access-list resequence ls1 10 20 ace1: 10 permit 30 deny host 50 permit 说明:ip access-list resequence 命令只能对已存在的命名访问列表使用。 |
带时间区的ACLs |
带时间区的访问控制列表可以在指定的时间运行。比如让一个ACLs只在每天的指定时间段生效等。 使用带时间区的ACLs需要依赖系统时钟,所以你必须先查看系统时间是否准确,如果不准确,应该先配置系统时间。 1、定义时间区: Ruijie(config)#time-range name Ruijie(config-time-range)# 本命令用于定义一个时间区,并进入时间区配置模式,name时间区名字。 2、配置绝对时间区间: Ruijie(config-time-range)#absolute start time-date end time-date start time-date 指定了起始时间。end time-date 指定了终止时间。 time字段用24小时制的“小时:分钟”的形式表示,date字段用“日 月 年”的形式表示。 Ruijie(config)#time-range t1 Ruijie(config-time-range)#absolute start 8:10 1 jul 2009 end 8:10 1 aug 2009 本例定义了一个从2009年7月1日8:10到2009年8月1日8:10的时间区。 说明:如果没有指定起始时间,则表示立即开始。如果没有指定终止时间,表示永远有效。终止时间必须晚于起始时间。 3、配置周期时间区间: Ruijie(config-time-range)#periodic days-of-the-week hh:mm to days-of-the-week hh:mm days-of-the-week 指定一周中的某一天或某几天。取值有:monday(星期一)、tuesday(星期二)、wednesday(星期三)、thursday(星期四)、friday(星期五)、saturday(星期六)、sunday(星期日)、daily(每一天)、weekdays(星期一到星期五)、weekend(星期六和星期日)。 hh:mm 是24小时制的“小时:分钟”。 Ruijie(config)#time-range t2 Ruijie(config-time-range)#periodic daily 8:00 to 18:00 本例定义的时间区是每天的上午8点到下午6点。 Ruijie(config)#time-range t3 Ruijie(config-time-range)#periodic monday 22:00 to tuesday 4:00 本例定义的时间区是每周的星期一的晚10点到星期二的凌晨4点。 说明:在一个时间区中,绝对的时间区间只能设置一个,周期的时间区间可设置多个。 4、在访问列表中定义规则的有效时间: 在访问列表的定义中,access-list命令和permit、deny命令都可以指定有效时间,如: Ruijie(config)#ip access-list extended els1 Ruijie(config-ext-nacl)#permit tcp host any eq www time-range t1 Ruijie(config-ext-nacl)#deny ip host any time-range t1 Ruijie(config-ext-nacl)#permit ip any time-range t2 本例定义了一个扩展访问控制列表,它的第1和第2条规则在t1时间区有效,第3条规则在t2时间区有效。 |
¥29.8
¥9.9
¥59.8