扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
无论你是已经有了几年的与路由器打交道的经验,还是一个新手,看一看本文都没有什么坏处--即使你是一个经验丰富的管理员。为了解释一个成员最近提出的问题,我决定利用一个系列--三篇文章来解释一下思科路由器基本配置方法。在这个系列的第一篇文章--《路由器配置101:安装路由器》--中,我们回顾了连接一个新的思科路由器的过程、以及如何通过控制台来配置路由器,并且帮助你熟悉了思科路由器提供的不同思科网络操作系统(IOS)的管理模式。
在上一篇文章中,我们将路由器置于"全局配置模式"下,其提示符为"router(config)#"。现在,让我们来看一看如何利用口令来保证路由器的安全,如何将IP地址应用于网络接口以及如何激活这些接口并将其投入应用。
在我们开始这些工作之前,让我们来看一看图A,该图详细的说明了本文例子所用到的网络结构。在配置任何网络之前,甚至是一个非常小的网络--小到只有一个路由器--你都应该创建一个类似于图A的网络图表。
正如你所看到的一样,该路由器有两个网络接口。LAN的网络接口连接内部局域网,这个局域网应该是一个连接到PC的以太网络。如果你是这个网络中的唯一的管理员,你就可以根据blocks of RFC 1918 private IP addresses(当然你可以有其他的方法,但是这个规则是如今为局域网分配IP地址最常用的规则)中的规则自己选择局域网的IP地址方案。
然而,对于一个大型网络来说,它可能有一个网络管理员来负责为整个公司的网络分配IP地址。在这种情况下,你就需要从这个人那里获得你自己的局域网IP地址。
在这个网络图表的另一侧,也就是第二个网络接口连接的是广域网(WAN)。在我们的例子中,这个接口连接到因特网服务提供商(ISP),当然也就是这个因特网服务提供商提供到因特网的连接。这个ISP应该为你的这个连接提供IP地址。
由于我们都知道我们工作的内容是什么,那么让我们首先将一些基本的配置应用到路由器上,将IP地址绑定到我们的网络接口,并且激活这些网络接口。下面给出的一步步具体过程:
为路由器命名
所有的东西都需要有一个名字:你的PC有一个名字,所以你的路由器也需要有一个名字。下面的例子介绍的是如何为路由器命名:
Router(config)# hostname Internet-Router
Internet-Router(config)#
注意一下,在将路由器的名字改为Internet-Router后发生了什么变化,其提示符马上就改变了。这是因为提示符表现的就是路由器的名字,所以改变了路由器的名字也就改变了提示符的内容。
保证控制端口、辅助端口以及虚拟终端接线(VTY line)的安全
下一步,你需要做的工作是防止对控制端口、辅助端口以及虚拟终端接线的非授权访问。控制端口和辅助端口都是路由器上的物理端口。
虚拟终端接线是入站Telnet接线,你可以使用该功能Telnet到路由器上实现你的管理目的。一起有5个入站Telnet接线,其表记从0到4。
下面的例子介绍了如何进行这三个方面的配置,每个方面的配置过程大同小异:
Internet-Router(config)# line console 0
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit
Internet-Router(config)# line aux 0
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit
Internet-Router(config)# line vty 0 4
Internet-Router(config-line)# password Complex21
Internet-Router(config-line)# login
Internet-Router(config-line)# exit
注意提示符是如何从"config"变化到"config-line"的,这表明你以及从"全局配置模式"转换到"接线配置模式"。"全局配置模式"包含多个子配置模式,如"接线配置模式"。要从"接线配置模式" 返回到"全局配置模式",只需要使用"退出(exit)"命令即可。
设置一个可以激活的安全口令
一个可以激活的口令控制着从"用户模式"到"优先模式"的访问。也就是说,当你输入"激活(enable)"进入"优先模式"的时候,路由器将提示你输入一个口令。
假设这个口令是你的管理口令,并且要确保这个口令与你刚才所分配的口令不同。安全的关键词将加密这个口令,所以提示过程中不会出现明文。
在"全局配置模式"中必须设置一个口令,下面给出了一个例子:
Internet-Router(config)# enable secret Secret99Password
为网络接口分配IP地址并且激活这个网络接口
下一步就是告诉路由器,网络接口与哪一个网络相连接。因为路由器是在网络之间转发信息的,所以在路由器上的每个接口上明显的只能连接一个不同的网络。
现在你应该从网络图表上得到了IP地址,所以现在你所需要做的事情是进入"接口配置模式",列表A给出了一个例子。
首先,为了能够记住各个网络接口,要为各个网络接口做出相应的标记。其次,根据图表中的IP地址为每个网络接口分配IP并且激活这些端口。在思科的因特网操作系统中,在一个命令的前面增加"不(no)"表示该命令的反操作。因此,要激活一个网络接口,使用关闭(shutdown)的反义词--不关闭(no shutdown)
你可能已经注意到,在本文的例子中配置的广域网(WAN)网络接口,我们将"序列0/0(Serial 0/0)"作为因特网的网络接口。这是在将一个路由器连接到外部的联入因特网T1链路时所经常采用的配置方式。
保存配置
这一步骤虽然看起来很显然,但是却是至关重要的一步。到目前为止,我们只是在路由器的RAM中做出了更改。正如你所知道的那样,一次简单的断电将会把RAM中所有的信息都清除掉。所以,你需要将你的配置信息保存到不易丢失的RAM(NVRAM)中,以防止路由器掉电或者崩溃时将所做的改变丢失。
下面给出一个例子:
Internet-Router(config)# exit ! to go back to privileged mode
Internet-Router# copy running-configuration startup-configuration
另外一种完成这个工作的方法是这样的--这也是我最喜欢使用的一种方法--使用现在已经不再使用但是其功能仍然存在的命令--"写(write)"命令。思科路由器使用尽可能短的字符来表示一个命令,而"wr"是"write"命令最短的表示方法。所以,可以不用输入上面的命令,你只用输入"wr"就可以完成相同的工作,并且可以节约一定的时间。
下一次,我们将在配置路由器与因特网通信的章节中讲述这些内容。
本文作者David Davis在IT行业已经工作过12年,并且拥有多个不同的证书,包括CCIE、MCSE+I、 CISSP、CCNA、CCDA、以及CCNP。他目前管理着一家私营的零售公司的系统和网络管理员部门,并且在业余时间从事网络和系统咨询工作。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者