教你如何調試CISCO路由器

    一般來說，可以用5種方式來設置路由器：

    1.Console口接終端或運行終端仿真軟件的微機；

    2.AUX口接MODEM，通過電話線與遠方的終端或運行終端仿真軟件的微機相連；

    3.通過Ethernet上的TFTP服務器；

    4.通過Ethernet上的TELNET程序；

    5.通過Ethernet上的SNMP網管工作站。

    但路由器的第一次設置必須通過第一種方式進行,一般用超級終端通過com口進行控制。此時終端的硬件設置如下:

    波特率  ：9600
    數據位  ：8
    停止位  ：1
    奇偶校驗: 無

    二、命令操作
    
    CISCO路由器所用的操作系統是IOS.共有以下幾種狀態：

    1、router>

    在router>提示符下，路由器處于用戶命令狀態，這時用戶可以看路由器的連接狀態，訪問其它網絡和主機，但不能看到和更改路由器的設置內容。此時輸入？并回車，可以查看到在此狀態下可以用的命令。（IOS允許你在任何時候用這種方式查看在某種狀態下可以用的命令）。在敲入enable并回車后，按照系統提示輸入密碼，（在新的路由器第一次進行調試的時候不需要輸入密碼，直接回車即可）進入#提示符，就可以對路由器進行各種操作了。

    2、router#

    路由器進入特權命令狀態router#后，不但可以執行所有的用戶命令，還可以看到和更改路由器的設置內容。此時就可以對路由器的名字、密碼等進行設置。
    3、router(config)#
    
    在router#提示符下鍵入configure terminal,出現提示符router(config)#，此時路由器處于全局設置狀態，這時可以設置路由器的全局參數。

    4、router(config-if)#;
       router(config-line)#;
       router(config-router)#;…

    路由器處于局部設置狀態，這時可以設置路由器某個局部的參數。
  
    5、路由器處于RXBOOT狀態，在開機后60秒內按ctrl-break可進入此狀態，這時路由器不能完成正常的功能，只能進行軟件升級和手工引導。在此狀態下，可以進行口令恢復。
三、常用命令
  
    1.幫助

    在IOS操作中，無論任何狀態和位置，都可以鍵入“？”得到系統的幫助。系統會顯示此時可以使用的命令。

    2.改變命令狀態

任務命令
進入特權命令狀態enable
退出特權命令狀態disable
進入設置對話狀態Setup
進入全局設置狀態config terminal
退出全局設置狀態End
進入端口設置狀態interface type slot/number
進入子端口設置狀態interface type number.subinterface [point-to-point | multipoint]
進入線路設置狀態line type slot/number
進入路由設置狀態router protocol
退出局部設置狀態Exit

    3.顯示命令

任務命令
查看版本及引導信息show version
查看運行設置show running-config
查看開機設置show startup-config
顯示端口信息show interface type slot/number
顯示路由信息show ip router

    4.拷貝命令

用于IOS及CONFIG的備份和升級

    5.網絡命令

任務命令
登錄遠程主機telnet hostname|IP address
網絡偵測ping hostname|IP address
路由跟蹤Trace hostname|IP address

    6.基本設置命令

    任務命令

全局設置config terminal
設置訪問用戶及密碼username username password password
設置特權密碼enable secret password
設置路由器名hostname name
設置靜態路由ip route destination subnet-mask next-hop
啟動IP路由ip routing
啟動IPX路由Ipx routing
端口設置interface type slot/number
設置IP地址ip address address subnet-mask
設置IPX網絡Ipx network network
激活端口no shutdown
物理線路設置line type number
啟動登錄進程login [local|tacacs server]
設置登錄密碼password password
四、總體設置
  
    在router#特權命令狀態下，可以用setup對路由器進行總體設計，利用這個設計過程可以省略手工設置的煩瑣。但它還不能完全代替手工設置，一些特殊的設置還必須通過手工輸入的方式完成。
進入設置對話過程后，路由器首先會顯示一些提示信息：
--- System Configuration Dialog ---

At any point you may enter a question mark @#?@# for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets @#[]@#.

    這是告訴你在設置對話過程中的任何地方都可以鍵入“？”得到系統的幫助，按ctrl-c可以退出設置過程，缺省設置將顯示在‘[]’中。然后路由器會問是否進入設置對話：

Would you like to enter the initial configuration dialog? [yes]:

    如果按y或回車，路由器就會進入設置對話過程。首先你可以看到各端口當前的狀況：

First, would you like to see the current interface summary? [yes]:

Any interface listed with OK? value "NO" does not have a valid configuration
InterfaceIP-AddressOK?MethodStatusProtocol
Ethernet0unassignedNOunsetupup
Serial0unassignedNOunsetupup
……………………………

    然后，路由器就開始全局參數的設置：

Configuring global parameters:

    1．設置路由器名：

Enter host name [Router]:

    2．設置進入特權狀態的密文(secret)，此密文在設置以后不會以明文方式顯示：

The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
  Enter enable secret: cisco

    3．設置進入特權狀態的密碼(password)，此密碼只在沒有密文時起作用，并且在設置以后會以明文方式顯示：

The enable password is used when there is no enable secret
and when using older software and some boot images.
  Enter enable password: pass

    4．設置虛擬終端訪問時的密碼：

Enter virtual terminal password: cisco

    5．詢問是否要設置路由器支持的各種網絡協議：
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6．如果配置的是撥號訪問服務器，系統還會設置異步口的參數：

  Configure Async lines? [yes]:]

    1)設置線路的最高速度：

    Async line speed [9600]:

    2)是否使用硬件流控：

    Configure for HW flow control? [yes]:

    3)是否設置modem：

    Configure for modems? [yes/no]: yes

    4)是否使用默認的modem命令：

    Configure for default chat script? [yes]:

    5)是否設置異步口的PPP參數：

    Configure for Dial-in IP SLIP/PPP access? [no]: yes

    6)是否使用動態IP地址：

      Configure for Dynamic IP addresses? [yes]:

    7)是否使用缺省IP地址：

    Configure Default IP addresses? [no]: yes

    是否使用TCP頭壓縮：

    Configure for TCP Header Compression? [yes]:

    9)是否在異步口上使用路由表更新：

    Configure for routing updates on async links? [no]: y

    10)是否設置異步口上的其它協議。接下來，系統會對每個接口進行參數的設置。

    1．Configuring interface Ethernet0:
    1)是否使用此接口：
    Is this interface in use? [yes]:
    2)是否設置此接口的IP參數：
    Configure IP on this interface? [yes]:
    3)設置接口的IP地址：
    IP address for this interface: 192.168.162.2
    4)設置接口的IP子網掩碼：
    Number of bits in subnet field [0]:

    Class C network is 192.168.162.0, 0 subnet bits; mask is /24
    在設置完所有接口的參數后，系統會把整個設置對話過程的結果顯示出來：
    The following configuration command script was created:

    hostname Router
    enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
    enable password pass
    …………

    請注意在enable secret后面顯示的是亂碼，而enable password后面顯示的是設置的內容。就是說，secret密碼的優先級比較高，在兩個密碼都設了的情況下，secret密碼起作用。

    顯示結束后，系統會問是否使用這個設置：

    Use this configuration? [yes/no]: yes
    如果回答yes，系統就會把設置的結果存入路由器的NVRAM中，然后結束設置對話過程，使路由器開始正常的工作。

    廣域網協議設置
    PPP

    PPP(Point-to-Point Protocol)是SLIP(Serial Line IP protocol)的繼承者，它提供了跨過同步和異步電路實現路由器到路由器(router-to-router)和主機到網絡(host-to-network)的連接。

    CHAP(Challenge Handshake Authentication Protocol)和PAP(Password Authentication Protocol) (PAP)通常被用于在PPP封裝的串行線路上提供安全性認證。使用CHAP和PAP認證,每個路由器通過名字來識別，可以防止未經授權的訪問。

    任務命令
    設置PPP封裝encapsulation ppp1
    設置認證方法ppp authentication {chap | chap pap | pap chap | pap} [if-needed] [list-name | default] [callin]
    指定口令username name password secret
    設置DCE端線路速度clockrate speed
舉例
    路由器Router1和Router2的S0口均封裝PPP協議，采用CHAP做認證，在Router1中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router2。同時在Router2中應建立一個用戶，以對端路由器主機名作為用戶名，即用戶名應為router1。所建的這兩用戶的password必須相同。

    設置如下：
Router1:
hostname router1
username router2 password xxx
interface Serial0
ip address 192.200.10.1 255.255.255.0
clockrate 1000000
ppp authentication chap
!

Router2:
hostname router2
username router1 password xxx
interface Serial0
ip address 192.200.10.2 255.255.255.0
ppp authentication chap
!

    ISDN

    1.綜合數字業務網（ISDN）
    綜合數字業務網（ISDN）由數字電話和數據傳輸服務兩部分組成，一般由電話局提供這種服務。ISDN的基本速率接口（BRI）服務提供2個B信道和1個D信道（2B+D）。BRI的B信道速率為64Kbps,用于傳輸用戶數據。D信道的速率為16Kbps，主要傳輸控制信號。在北美和日本，ISDN的主速率接口（PRI）提供23個B信道和1個D信道，總速率可達1.544Mbps，其中D信道速率為64Kbps。而在歐洲、澳大利亞等國家，ISDN的PRI提供30個B信道和1個64Kbps D信道，總速率可達2.048Mbps。我國電話局所提供ISDN PRI為30B+D。

    2.基本命令

    任務命令
    設置ISDN交換類型isdn switch-type switch-type1
    接口設置interface bri 0
    設置PPP封裝encapsulation ppp
    設置協議地址與電話號碼的映射dialer map protocol next-hop-address [name hostname] [broadcast] [dial-string]
    啟動PPP多連接ppp multilink
    設置啟動另一個B通道的閾值dialer load-threshold load
    顯示ISDN有關信息show isdn {active | history | memory | services | status [dsl | interface-type number] | timers}

    注：1.交換機類型如下表,國內交換機一般為basic-net3。
    按區域分關鍵字                  交換機類型
Australia
basic-ts013 Australian TS013 switches
Europe
basic-1tr6 German 1TR6 ISDN switches
basic-nwnet3 Norway NET3 switches (phase 1)
basic-net3 NET3 ISDN switches (UK, Denmark, and other nations); covers the Euro-ISDN E-DSS1 signalling system
primary-net5 NET5 switches (UK and Europe)
vn2 French VN2 ISDN switches
vn3 French VN3 ISDN switches
Japan
ntt Japanese NTT ISDN switches
primary-ntt Japanese ISDN PRI switches
North America
basic-5ess AT&T basic rate switches
basic-dms100 NT DMS-100 basic rate switches
basic-ni1 National ISDN-1 switches
primary-4ess AT&T 4ESS switch type for the U.S. (ISDN PRI only)
primary-5ess AT&T 5ESS switch type for the U.S. (ISDN PRI only)
primary-dms100 NT DMS-100 switch type for the U.S. (ISDN PRI only)
New Zealand
basic-nznet3 New Zealand Net3 switches

    3.ISDN實現DDR（dial-on-demand routing）實例:

    設置如下：
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 572
dialer load-threshold 80
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!
Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80  
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!

    Cisco路由器同時支持回撥功能，我們將路由器Router1作為Callback Server,Router2作為Callback Client。

    與回撥相關命令:

    任務命令
    映射協議地址和電話號碼，并在接口上使用在全局模式下定義的PPP回撥的映射類別。dialer map protocol address name hostname class classname dial-string
    設置接口支持PPP回撥ppp callback accept
    在全局模式下為PPP回撥設置映射類別map-class dialer classname
    通過查找注冊在dialer map里的主機名來決定回撥. dialer callback-server [username]
    設置接口要求PPP回撥ppp callback request  

    設置如下：
Router1:
hostname router1
user router2 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.1 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.2 name router2 class s3 572
dialer load-threshold 80
ppp callback accept
ppp multilink
dialer-group 1
ppp authentication chap
！
map-class dialer s3
dialer callback-server username
dialer-list 1 protocol ip permit
!

Router2:
hostname router2
user router1 password cisco
!
isdn switch-type basic-net3
!
interface bri 0
ip address 192.200.10.2 255.255.255.0
encapsulation ppp
dialer map ip 192.200.10.1 name router1 571
dialer load-threshold 80
ppp callback request  
ppp multilink
dialer-group 1
ppp authentication chap
！
dialer-list 1 protocol ip permit
!
相關調試命令：
debug dialer
debug isdn event
debug isdn q921
debug isdn q931
debug ppp authentication
debug ppp error
debug ppp negotiation
debug ppp packet
show dialer
show isdn status

    舉例:
    執行debug dialer命令觀察router2呼叫router1,router1回撥router2的過程.
router1#debug dialer
router2#ping 192.200.10.1

router1#
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:03:50: BRI0:1PP callback Callback server starting to router2 572
00:03:50: BRI0:1: disconnecting call
00:03:50: %LINK-3-UPDOWN: Interface BRI0:1, changed state to down
00:03:50: BRI0:1: disconnecting call
00:03:50: BRI0:1: disconnecting call
00:03:51: %LINK-3-UPDOWN: Interface BRI0:2, changed state to up
00:03:52: callback to router2 already started
00:03:52: BRI0:2: disconnecting call
00:03:52: %LINK-3-UPDOWN: Interface BRI0:2, changed state to down
00:03:52: BRI0:2: disconnecting call
00:03:52: BRI0:2: disconnecting call
00:04:05: : Callback timer expired
00:04:05: BRI0:beginning callback to router2 572
00:04:05: BRI0: Attempting to dial 572
00:04:05: Freeing callback to router2 572
00:04:05: %LINK-3-UPDOWN: Interface BRI0:1, changed state to up
00:04:05: BRI0:1: No callback negotiated
00:04:05: %LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up
00:04:05: dialer Protocol up for Vi1
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state
to up
00:04:06: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, chang
ed state to up
00:04:11: %ISDN-6-CONNECT: Interface BRI0:1 is now connected to 572
#router1

    4.ISDN訪問首都在線263網實例:
    本地局部網地址為10.0.0.0/24,屬于保留地址，通過NAT地址翻譯功能，局域網用戶可以通過ISDN上263網訪問Internet。263的ISDN電話號碼為2633，用戶為263，口令為263，所涉及的命令如下表：

任務命令
    指定接口通過PPP/IPCP地址協商獲得IP地址ip address negotiated
    指定內部和外部端口ip nat {inside | outside}
    使用ppp/pap作認證ppp authentication pap callin
    指定接口屬于撥號組1dialer-group 1
    定義撥號組1允許所有IP協議dialer-list 1 protocol ip permit
    設定撥號，號碼為2633dialer string 2633  
    設定登錄263的用戶名和口令ppp pap sent-username 263 password 263
    設定默認路由ip route 0.0.0.0 0.0.0.0 bri 0
    設定符合訪問列表2的所有源地址被翻譯為bri 0所擁有的地址ip nat inside source list 2 interface bri 0 overload
    設定訪問列表2，允許所有協議access-list 2 permit any

    具體配置如下：
hostname Cisco2503
!
isdn switch-type basic-net3
!
ip subnet-zero
no ip domain-lookup
ip routing
!
interface Ethernet 0
ip address 10.0.0.1 255.255.255.0
ip nat inside
no shutdown
!
interface Serial 0
shutdown
no description
no ip address
!
interface Serial 1
shutdown
no description
no ip address
!
interface bri 0
ip address negotiated
ip nat outside
encapsulation ppp
ppp authentication pap callin
ppp multilink
dialer-group 1
dialer hold-queue 10
dialer string 2633  
dialer idle-timeout 120
ppp pap sent-username 263 password 263
no cdp enable
no ip split-horizon
no shutdown
!
ip classless
!
! Static Routes
!
ip route 0.0.0.0 0.0.0.0 bri 0
!
! Access Control List 2
!
access-list 2 permit any
!
dialer-list 1 protocol ip permit
!
! Dynamic NAT
!
ip nat inside source list 2 interface bri 0 overload
snmp-server community public ro
!
line console 0
exec-timeout 0 0
!
line vty 0 4
!
end

    路由協議配置

    RIP協議

    RIP(Routing information Protocol)是應用較早、使用較普遍的內部網關協議(Interior Gateway Protocol,簡稱IGP)，適用于小型同類網絡，是典型的距離向量(distance-vector)協議。文檔見RFC1058、RFC1723。

    RIP通過廣播UDP報文來交換路由信息，每30秒發送一次路由信息更新。RIP提供跳躍計數(hop count)作為尺度來衡量路由距離，跳躍計數是一個包到達目標所必須經過的路由器的數目。如果到相同目標有二個不等速或不同帶寬的路由器，但跳躍計數相同，則RIP認為兩個路由是等距離的。RIP最多支持的跳數為15，即在源和目的網間所要經過的最多路由器的數目為15，跳數16表示不可達。

    1.有關命令

    任務命令
    指定使用RIP協議router rip
    指定RIP版本version {1|2}1
    指定與該路由器相連的網絡network network
    注：1.Cisco的RIP版本2支持驗證、密鑰管理、路由匯總、無類域間路由(CIDR)和變長子網掩碼(VLSMs)

    2.舉例
Router1:

router rip
version 2
network 192.200.10.0
network 192.20.10.0
！

    相關調試命令：
show ip protocol
show ip route

    IGRP協議
    IGRP (Interior Gateway Routing Protocol)是一種動態距離向量路由協議，它由Cisco公司八十年代中期設計。使用組合用戶配置尺度，包括延遲、帶寬、可靠性和負載。
  缺省情況下，IGRP每90秒發送一次路由更新廣播，在3個更新周期內(即270秒)，沒有從路由中的第一個路由器接收到更新，則宣布路由不可訪問。在7個更新周期即630秒后，Cisco IOS 軟件從路由表中清除路由。

    1.有關命令

    任務命令
指定使用igrp協議router igrp autonomous-system1
指定與該路由器相連的網絡network network
指定與該路由器相鄰的節點地址neighbor ip-address
注：1、autonomous-system可以隨意建立，并非實際意義上的autonomous-system,但運行IGRP的路由器要想交換路由更新信息其autonomous-system需相同。

    2．舉例
Router1:
router igrp 200
  network 192.200.10.0
  network 192.20.10.0
!

    虛擬局域網(VLAN)

    當前在我們構造企業網絡時所采用的主干網絡技術一般都是基于交換和虛擬網絡的。交換技術將共享介質改為獨占介質,大大提高網絡速度。虛擬網絡技術打破了地理環境的制約,在不改動網絡物理連接的情況下可以任意將工作站在工作組或子網之間移動,工作站組成邏輯工作組或虛擬子網,提高信息系統的運作性能,均衡網絡數據流量,合理利用硬件及信息資源。同時,利用虛擬網絡技術,大大減輕了網絡管理和維護工作的負擔,降低網絡維護費用。隨著虛擬網絡技術的應用，隨之必然產生了在虛擬網間如何通訊的問題．

    交換機間鏈路（ISL）協議

    ISL(Interior Switching Link)協議用于實現交換機間的VLAN中繼。它是一個信息包標記協議，在支持ISL接口上發送的幀由一個標準以太網幀及相關的VLAN信息組成。如下圖所示，在支持ISL的接口上可以傳送來自不同VLAN的數據。

    虛擬局域網（VLAN）路由實例

    3.1. 例一：
    設備選用Catalyst5500交換機1臺，安裝WS-X5530-E3管理引擎，多塊WS-X5225R及WS-X5302路由交換模塊,WS-X5302被直接插入交換機，通過二個通道與系統背板上的VLAN 相連，從用戶角度看認為它是1個1接口的模塊，此接口支持ISL。在交換機內劃有3個虛擬網，分別名為default、qbw、rgw，通過WS-X5302實現虛擬網間路由。
    以下加重下橫線部分，如set system name  5500C為需設置的命令。

    設置如下：
Catalyst 5500配置：

begin
set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70
set prompt Console>
set length 24 default
set logout 20
set banner motd ^C^C
!
#system
set system baud  9600
set system modem disable
set system name  5500C
set system location
set system contact  
!
#ip
set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255

set interface sc0 up
set interface sl0 0.0.0.0 0.0.0.0
set interface sl0 up
set arp agingtime 1200
set ip redirect   enable
set ip unreachable   enable
set ip fragmentation enable
set ip route 0.0.0.0 10.230.4.15 1
set ip alias default 0.0.0.0
!
#Command alias
!
#vtp
set vtp domain hne
set vtp mode server
set vtp v2 disable
set vtp pruning disable
set vtp pruneeligible 2-1000
clear vtp pruneeligible 1001-1005
set vlan 1 name default type ethernet mtu 1500 said 100001 state active
set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active
set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active
set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active
set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee
set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm
set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7
!
#set boot command
set boot config-register 0x102
set boot system flash bootflash:cat5000-sup3.4-3-1a.bin
!
#module 1 : 2-port 1000BaseLX Supervisor
set module name    1    
set vlan 1    1/1-2
set port enable     1/1-2
!
#module 2 : empty
!
#module 3 : 24-port 10/100BaseTX Ethernet
set module name    3    
set module enable  3
set vlan 1    3/1-22
set vlan 777  3/23
set vlan 888  3/24
set trunk 3/1  on isl 1-1005
#module 4 empty
!
#module 5 empty
!
#module 6 : 1-port Route Switch
set module name    6    
set port level      6/1  normal
set port trap       6/1  disable
set port name       6/1
set cdp enable   6/1
set cdp interval 6/1 60
set trunk 6/1  on isl 1-1005
!
#module 7 : 24-port 10/100BaseTX Ethernet
set module name    7    
set module enable  7
set vlan 1    7/1-22
set vlan 888  7/23-24
set trunk 7/1 on isl 1-1005
set trunk 7/2 on isl 1-1005
!
#module 8 empty
!
#module 9 empty
!
#module 10 : 12-port 100BaseFX MM Ethernet
set module name    10  
set module enable  10
set vlan 1    10/1-12
set port channel 10/1-4 off
set port channel 10/5-8 off
set port channel 10/9-12 off
set port channel 10/1-2 on
set port channel 10/3-4 on
set port channel 10/5-6 on
set port channel 10/7-8 on
set port channel 10/9-10 on
set port channel 10/11-12 on
#module 11 empty
!
#module 12 empty
!
#module 13 empty
!
#switch port analyzer
!set span 1 1/1 both inpkts disable
set span disable
!
#cam
set cam agingtime 1-2,777,888,1003,1005 300
end
5500C> (enable)
WS-X5302路由模塊設置：

Router#wri t
Building configuration...

Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface Vlan1
ip address 10.230.2.56 255.255.255.0
!
interface Vlan777
ip address 10.230.3.56 255.255.255.0
!
interface Vlan888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#

    3.1. 例二：

    交換設備仍選用Catalyst5500交換機1臺，安裝WS-X5530-E3管理引擎，多塊WS-X5225R在交換機內劃有3個虛擬網，分別名為default、qbw、rgw，通過Cisco3640路由器實現虛擬網間路由。交換機設置與例一類似。
    路由器Cisco3640，配有一塊NM-1FE-TX模塊，此模塊帶有一個快速以太網接口可以支持ISL。Cisco3640快速以太網接口與交換機上的某一支持ISL的端口實現連接，如交換機第3槽第1個接口（3/1口）。

Router#wri t
Building configuration...

Current configuration:
!
version 11.2
no service password-encryption
no service udp-small-servers
no service tcp-small-servers
!
hostname Router
!
enable secret 5 $1$w1kK$AJK69fGOD7BqKhKcSNBf6.
!
ip subnet-zero
!
interface FastEthernet1/0
!
interface FastEthernet1/0.1
encapsulation isl 1
ip address 10.230.2.56 255.255.255.0
!
interface FastEthernet1/0.2
encapsulation isl 777
ip address 10.230.3.56 255.255.255.0
!
interface FastEthernet1/0.3
encapsulation isl 888
ip address 10.230.4.56 255.255.255.0
!
no ip classless
!
line con 0
line aux 0
line vty 0 4
password router
login
!
end
Router#
安全性管理

    對路由器的安全性管理主要包括：建立口令以保護訪問路由器的安全，使用正確的訪問表以管理通過路由器的可接受數據流等。

    1、口令管理

    下面顯示了設置控制從終端進行訪問的口令的命令。

    命令                             操作效果
    Line console 0                   為控制臺終端建立一個口令
    Line vty 0 4                     telnet連接建立一個口令
    Enable-password                  為特權exec模式建立一個口令
    Enable-secret                    使用MD5加密方法建立密碼口令
    Service password-encryption      保護口令，避免其通過idsplay命令
                                     將口令顯示出來

    2、報文過濾

    cisco的防火墻功能主要是通過報文的過濾實現的。
    它可以實現對多種數據流的控制，如限制流入、以及流出等。通過對訪問列表的編寫，我們可以實現對特定網絡或主機的數據流限制。
    Accsess-list 的編號有特定的范圍：

  <1-99>       IP standard access list
  <100-199>    IP extended access list
  <1100-1199>  Extended 48-bit MAC address access list
  <200-299>    Protocol type-code access list
  <700-799>    48-bit MAC address access list
  
    例如我們可以定義如下的訪問表來實現允許任何主機到主機160..10.2.101的報文：
Accsess-list 101 permit ip any host 160.10.2.101
  
    而下面的語句允許使用客戶源端口（小于1024的端口留給服務器用）方式的主機發往160.10.2.100的udp報文通過，且報文的目的端口必須為dns端口（53）。其中gt為great than。
Accsess-list 101 permit udp any gt 1023 host 160.10.2.100 eq 53

    建立好訪問列表以后，要想讓它進行報文過濾，必須將它應用到端口上。在進入要控制的端口后，用如下的命令應用此訪問表：
router(config-if)#ip access-group 101 in

    其中的in表示對向里（針對此端口來說）的數據進行過濾。要注意的是，一個端口只能有一個向里和向外的列表，如果有幾個，則只有第一個起作用。

    參考：

    Cisco路由器口令恢復
    當Cisco路由器的口令被錯誤修改或忘記時，可以按如下步驟進行操作：
    1.開機時按使進入ＲOM監控狀態
    2.按o 命令讀取配置寄存器的原始值
> o
    3.作如下設置，使忽略NVRAM引導
>o/r0x**4*Cisco2500系列命令
rommon 1 >confreg 0x**4*Cisco2600、1600系列命令
    一般正常值為0x2102
    4.重新啟動路由器
>I
rommon 2 >reset
    5.在“Setup”模式，對所有問題回答No
    6.進入特權模式
Router>enable
    7.下載NVRAM
Router>configure memory
    8.恢復原始配置寄存器值并激活所有端口
“hostname”#configure terminal
“hostname”(config)#config-register 0x“value”
“hostname”(config)#interface xx
“hostname”(config)#no shutdown
    9.查詢并記錄丟失的口令
“hostname”#show configuration (show startup-config)
    10.修改口令
“hostname”#configure terminal
“hostname”(config)line console 0
“hostname”(config-line)#login
“hostname”(config-line)#password xxxxxxxxx
“hostname”(config-line)#
“hostname”(config-line)#write memory(copy running-config startup-config)

    ２、IP地址分配

    地址類網絡主機網絡地址范圍標準二進制掩碼
ＡN.H.H.H1-1261111 1111 0000 0000 0000 0000 0000 0000
ＢN.N.H.H128-1911111 1111 1111 1111 0000 0000 0000 0000
ＣN.N.N.H192-2231111 1111 1111 1111 1111 1111 0000 0000

    子網位個數子網掩碼子網數主機數

    B類地址
2255.255.192.0216382
3255.255.224.068198
4255.255.240.0144894
5255.255.248.0302846
6255.255.252.0621822
7255.255.254.0126518
8255.255.255.0254254
9255.255.255.128518126
10255.255.255.192182262
11255.255.255.224284630
12255.255.255.240489414
13255.255.255.24881986
14255.255.255.252163822
    C類地址
2255.255.255.192262
3255.255.255.224630
4255.255.255.2401414
5255.255.255.248306
6255.255.255.252622

原文轉自：http://www.kjueaiud.com