教你配置路由器2

在我们的这个三步曲系列文章中，我们将回顾有关安装思科路由器的基本概念。第一部分讨论了如何安装新的思科路由器并且解释了思科路由器的各种不同的路由器模式。现在，在这一部分我们将会介绍如何利用口令来保证路由器的安全，如何将IP地址应用到网络接口上，以及如何激活这些接口并将其投入应用。

无论你是已经有了几年的与路由器打交道的经验，还是一个新手，看一看本文都没有什么坏处--即使你是一个经验丰富的管理员。为了解释一个成员最近提出的问题，我决定利用一个系列--三篇文章来解释一下思科路由器基本配置方法。在这个系列的第一篇文章--《路由器配置101：安装路由器》--中，我们回顾了连接一个新的思科路由器的过程、以及如何通过控制台来配置路由器，并且帮助你熟悉了思科路由器提供的不同思科网络操作系统（IOS）的管理模式。

在上一篇文章中，我们将路由器置于"全局配置模式"下，其提示符为"router(config)#"。现在，让我们来看一看如何利用口令来保证路由器的安全，如何将IP地址应用于网络接口以及如何激活这些接口并将其投入应用。

在我们开始这些工作之前，让我们来看一看图A，该图详细的说明了本文例子所用到的网络结构。在配置任何网络之前，甚至是一个非常小的网络--小到只有一个路由器--你都应该创建一个类似于图A的网络图表。

 

正如你所看到的一样，该路由器有两个网络接口。LAN的网络接口连接内部局域网，这个局域网应该是一个连接到PC的以太网络。如果你是这个网络中的唯一的管理员，你就可以根据blocks of RFC 1918 private IP addresses（当然你可以有其他的方法，但是这个规则是如今为局域网分配IP地址最常用的规则）中的规则自己选择局域网的IP地址方案。

然而，对于一个大型网络来说，它可能有一个网络管理员来负责为整个公司的网络分配IP地址。在这种情况下，你就需要从这个人那里获得你自己的局域网IP地址。

在这个网络图表的另一侧，也就是第二个网络接口连接的是广域网（WAN）。在我们的例子中，这个接口连接到因特网服务提供商（ISP），当然也就是这个因特网服务提供商提供到因特网的连接。这个ISP应该为你的这个连接提供IP地址。

由于我们都知道我们工作的内容是什么，那么让我们首先将一些基本的配置应用到路由器上，将IP地址绑定到我们的网络接口，并且激活这些网络接口。下面给出的一步步具体过程：

为路由器命名
所有的东西都需要有一个名字：你的PC有一个名字，所以你的路由器也需要有一个名字。下面的例子介绍的是如何为路由器命名：

Router(config)# hostname Internet-Router
Internet-Router(config)#

注意一下，在将路由器的名字改为Internet-Router后发生了什么变化，其提示符马上就改变了。这是因为提示符表现的就是路由器的名字，所以改变了路由器的名字也就改变了提示符的内容。

保证控制端口、辅助端口以及虚拟终端接线（VTY line）的安全
下一步，你需要做的工作是防止对控制端口、辅助端口以及虚拟终端接线的非授权访问。控制端口和辅助端口都是路由器上的物理端口。

虚拟终端接线是入站Telnet接线，你可以使用该功能Telnet到路由器上实现你的管理目的。一起有5个入站Telnet接线，其表记从0到4。

下面的例子介绍了如何进行这三个方面的配置，每个方面的配置过程大同小异：

Internet-Router(config)# line console 0
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit

Internet-Router(config)# line aux 0
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit

Internet-Router(config)# line vty 0 4
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit

注意提示符是如何从"config"变化到"config-line"的，这表明你以及从"全局配置模式"转换到"接线配置模式"。"全局配置模式"包含多个子配置模式，如"接线配置模式"。要从"接线配置模式" 返回到"全局配置模式"，只需要使用"退出（exit）"命令即可。

设置一个可以激活的安全口令
一个可以激活的口令控制着从"用户模式"到"优先模式"的访问。也就是说，当你输入"激活（enable）"进入"优先模式"的时候，路由器将提示你输入一个口令。

假设这个口令是你的管理口令，并且要确保这个口令与你刚才所分配的口令不同。安全的关键词将加密这个口令，所以提示过程中不会出现明文。

在"全局配置模式"中必须设置一个口令，下面给出了一个例子：

Internet-Router(config)# enable secret Secret99Password

为网络接口分配IP地址并且激活这个网络接口
下一步就是告诉路由器，网络接口与哪一个网络相连接。因为路由器是在网络之间转发信息的，所以在路由器上的每个接口上明显的只能连接一个不同的网络。

现在你应该从网络图表上得到了IP地址，所以现在你所需要做的事情是进入"接口配置模式"，列表A给出了一个例子。

首先，为了能够记住各个网络接口，要为各个网络接口做出相应的标记。其次，根据图表中的IP地址为每个网络接口分配IP并且激活这些端口。在思科的因特网操作系统中，在一个命令的前面增加"不（no）"表示该命令的反操作。因此，要激活一个网络接口，使用关闭（shutdown）的反义词--不关闭（no shutdown）

你可能已经注意到，在本文的例子中配置的广域网（WAN）网络接口，我们将"序列0/0（Serial 0/0）"作为因特网的网络接口。这是在将一个路由器连接到外部的联入因特网T1链路时所经常采用的配置方式。

保存配置
这一步骤虽然看起来很显然，但是却是至关重要的一步。到目前为止，我们只是在路由器的RAM中做出了更改。正如你所知道的那样，一次简单的断电将会把RAM中所有的信息都清除掉。所以，你需要将你的配置信息保存到不易丢失的RAM（NVRAM）中，以防止路由器掉电或者崩溃时将所做的改变丢失。

下面给出一个例子：

Internet-Router(config)# exit ! to go back to privileged mode
Internet-Router# copy running-configuration startup-configuration

另外一种完成这个工作的方法是这样的--这也是我最喜欢使用的一种方法--使用现在已经不再使用但是其功能仍然存在的命令--"写（write）"命令。思科路由器使用尽可能短的字符来表示一个命令，而"wr"是"write"命令最短的表示方法。所以，可以不用输入上面的命令，你只用输入"wr"就可以完成相同的工作，并且可以节约一定的时间。

下一次，我们将在配置路由器与因特网通信的章节中讲述这些内容。

本文作者David Davis在IT行业已经工作过12年，并且拥有多个不同的证书，包括CCIE、MCSE+I、 CISSP、CCNA、CCDA、以及CCNP。他目前管理着一家私营的零售公司的系统和网络管理员部门，并且在业余时间从事网络和系统咨询工作。

查看本文的国际来源