SOHO如何配置无线路由器2

图A显示了该配置的逻辑图。橘色象征客户网络，而绿色代表内部网络。整个交换机被设置为VLAN1，因为851W和871标准IOS（这个“标准IOS”其实就是我们所说的“高级安全advanced security”IOS）不支持VLAN。只有运行“高级IP（Advanced IP）”IOS的871W才支持VLAN。这意味着仅有内部无线网络才能桥接到使用BVI 1的交换机上（BVI，“桥接虚拟接口”Bridge Virtual Interface的简写）。

端口F4是广域网端口，被设置为使用ADSL的Modem进行PPPoE拨号。“客户无线局域网GuestWLAN”——橘色的无线网络将可以无限制访问Internet，但是无法访问标记为绿色的内部网络。而内部网络则可以无限制访问橘色的客户网络以及Internet。客户无线局域网的SSID是“GuestWLAN”，而内部无线局域网的SSID则是“InternalWLAN”。现在，Cisco 851W和871W只能广播一个SSID，所以“GuestWLAN”将是唯一被广播的SSID。后续的硬件更新应该可以解决这个缺陷。

对于那些疑惑于“隐藏SSID到底是否有益于安全”的人来说，其实“隐藏SSID”毫无用处，就像MAC过滤以及其他无聊的传说一样。

初始硬件设置
在从盒子里取出851W或者871W并插上电源之后，将其附带的控制电缆连接到电脑的一个可用串行接口上。如果你使用的是笔记本电脑，没有提供串行接口，则需要使用一个USB-Serial的转换器。要想获得完美的测试效果，你需要一台支持无线局域网的笔记本和一台桌面电脑。将桌面电脑插进F1或快速以太网端口1（在图B中是左数第二个端口，F0是第一个）。绝大多数的桌面电脑至少有一个串口COM1，你可以把它作为控制计算机。将控制端口的RJ45接头插入最右侧标有“console”的RJ45端口上。如果你只有笔记本电脑，你可以用它来测试有线网和无线网的功能。

清除默认设置
对所有的新Cisco路由器，我所做的第一件事情就是清除它们的默认设置。老式的学校路由器中不带有任何用户名和密码，但是这些新设备可完全不同。你必须使用用户名“cisco”和口令“cisco”才能首次登录。对某些特定的Cisco路由器或者接入点，“cisco”中的“c”可能需要大写，不过绝大多数的新Cisco设备都使用小写的“cisco”。一旦你登录进去，你就需要键入如下命令：

enable
write erase
reload

路由器重启完毕后，你就可以看到一个“router>”的提示符，并不再要求你输入口令。现在，你所面对的路由器是一张白纸了。这次不比上一次，当我们需要创建一些VLAN时，871W的标准“高级安全IOS”功能包并不支持，而851W即使安装了IOS也不行。你现在需要进入全局配置模式（global configuration mode），方法就是输入古老的“config t”命令。

适用于851W或871W的CLI设置模版
我一直认为Cisco那些布满了行间注释和提示的配置教程太难使用，所以我用Excel创建了自己的配置模版系统。

在这份特别教程中，我已经为Cisco 851W或871W的标准“高级IP”IOS建立了3个模版，内含Justin的全新快速替换功能。第一个模版用于DSL PPPoE的部署。第二个模版用于DHCP或cable Modem的Internet连接（注意，如果用于cable modem的部署，你需要重启cable modem。它一般会将自己锁定在某个特定mac地址上，除非你重启modem，否则路由器将无法正常工作）。第三个模版则用于静态IP的广域网部署。

如何使用CLI模版
下载了本教程的模版后，可以很容易生成自己的Cisco 851w或871w配置文件。你需要做的只是填写黄色区域的变量表格，如图c所示。

图D显示了配置模版中用红色方括号注明的可替换变量名的参考表格。“替换（Replace）”按钮将拷贝参考表的内容到一个名为“871W”的新表中（用户配置在G5单元格），且每创建一个新配置文件，文件名将自动累加一位。

在851W或871W上插入设置
一旦配置创建成功，你就可以拷贝自行设定的命令列（有“command”标签的那一列），并粘贴到控制台中。注意所有的Excel格式都将被粘贴命令自动去除，而这正是我们所希望的。注意，某些命令插入的时间明显更长些，因为路由器需要进行相应的思考。我推荐你一次输入一小部分命令，并确认每个命令都正常执行无错误（有点警告信息倒没什么）。如果你贴入的太快，控制台常常会丢失正常状态，所以要确保路由器接受了每一个命令。你将不得不使用“show run”命令来进行校验。满意之后，不要忘记执行“write mem”命令来永久保存设定，否则下次重启路由器之后，一切又回到老样子了。

最后的Excel文件非常适用于初始化设置和永久记录。任何了解Cisco设备知识的人都可以明白使用这个模版将会发生什么。格式化的表格，高亮的关键词，以及对所有文本的格式化，都有助于Cisco CLI更易于被阅读和理解。

你也可以改变参考表，如果你打算修改模版来适应自己需求的话。比方说，你可能不希望迫使客户放弃WEP而改用WPA-PSK，或者干脆希望保持网络开放，提供一个免费的热点接入。

测试你的multi-VLAN、multi-WLAN路由器
你的桌面电脑连接到F0到F3端口都应该可以工作。你应该可以在内部网络上获得IP地址。如果你使用了我的IP方案，那么IP地址应该是192.168.1.100。你应该可以ping通192.168.1.1以及192.168.2.1，这是BVI1接口IP地址以及dot0.20的无线子接口IP地址。一旦配置完毕，你将需要使用自行定义的用户名和口令登录。如果Ping不通，你需要检查BVI的IP地址配置，以及无线子接口的IP地址配置。

如果你不能Ping到路由器，你自然也不能使用telnet，那么你就只能使用控制台来解决问题了。你可以通过使用“show ip int brief”命令来尝试解决IP设置问题，这个命令会列出Cisco路由器中所有的接口信息（图E）。

如果你输入了一个有效的DNS服务器地址，那么你应该也可以ping通类似techrepublic.com这样的地址。如果你不能ping通任何网站，可以尝试Ping一下你的DNS服务器，看它是否处于正常工作状态。如果DNS服务器Ping不通，你需要调试并校验你的配置是否正确无误。一个好办法是首先检查你的拨号接口1（Dialer1 interface），看它是否已被你的DSL提供商赋予了一个IP地址。如果使用的是cable modem，则一般是被配置为DHCP模式的快速以太网接口4（FastEthernet4）。

如果你可以ping通上述任何地址，则可以尝试使用你的无线笔记本连接2个无线局域网。“GuestWLAN”将是唯一可以看到的SSID，因为它是唯一被广播的。连上客户网后，你应该尝试Ping一下192.168.1.1，如果无法Ping通则代表Guest-ACL有效。注意Guest-ACL可以被修改以提供例外情况——比如，你希望你的客户们可以进行打印。客户网应该可以无限制访问Internet。

而想进入内部局域网“InternalWLAN”则有点小麻烦，因为你不可能通过浏览直接看到它的存在。你必须手工添加SSID，并将此网络的Profile移动到网络列表的最顶端。然后你必须从GuestWLAN上断开，而后在Windows XP SP2的网络浏览器中进行刷新，或使用你的无线客户软件进行刷新。略等片刻，应该就可以连上InternalWLAN。这就是为什么我很讨厌SSID隐藏的原因，用起来这么麻烦，却不能为提高安全带来任何好处。

（责任编辑:陈毅东）

查看本文的国际来源