注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

往事如烟

科技创造价值

 
 
 

日志

 
 

原创:锐捷NBR80路由器基本配置实例  

2010-02-28 13:53:24|  分类: 网络管理 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

一、基础管理
    在网络设备的首次使用时只能使用串口(Console)方式连接网络设备,称为带外(Outband)管理方式。在进行了相关配置后,可以通过 Telnet  虚拟终端方式连接和管理网络设备。通过这两者都可以访问命令行界面。
    将路由器的控制口与PC的com1口连接,启动超级终端,,连接时使用COM1,COM1属性还原为默认值,打开路由器电源启动路由器。
NBR80>enable   //进入特权模式
Password:       //输入口令
NBR80#
1、查看系统信息
NBR80#show version    //显示系统版本信息
2、配置控制台登录口令
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#line console 0   //进入控制台线路模式(有aux、console、tty、vty四种线路模式),0是控制台的线路编号
NBR80(config-line)#password 8888   //设置line线路口令8888
NBR80(config-line)#login   //启用line线路口令保护
NBR80(config-line)#exit   //回到全局配置模式
3、配置Telnet登录口令
NBR80(config)#line vty 0 4   //进入vty线路模式(有aux、console、tty、vty四种线路模式),0~4是Telnet登录的线路编号
NBR80(config-line)#transport input telnet   //配置vty线路模式下允许的通信协议Telnet(有all、ssh、telnet、none)
NBR80(config-line)#password 8888   //设置line线路口令8888
NBR80(config-line)#login   //启用line线路口令保护
NBR80(config-line)#exit   //回到全局配置模式
4、配置特权模式口令
NBR80(config)#enable password 8888   //创建一个缺省为15级(最高授权级别)的静态口令8888
NBR80(config)#enable secret 8888   //创建一个缺省为15级(最高授权级别)安全口令8888(与上一条命令二选一)

二、配置接口和VLAN
(一) 以太网接口配置
1、配置LAN口(LAN口接三层交换机时)
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config-if)#ip address 10.1.252.25 255.255.255.252     //配置IP地址10.1.252.25子网掩码255.255.255.252
2、配置LAN口(LAN口接未划分VLAN的二层交换机或普通非网管交换机时)
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config-if)#ip address 10.0.240.254 255.255.255.0     //配置IP地址10.0.240.254子网掩码255.255.255.0
NBR80(config-if)#no shutdown   //重新打开此接口
NBR80(config-if)#exit   //回到全局配置模式
3、配置WAN口
NBR80(config)#interface fastethernet 1/0   //进入接口配置模式配置WAN口
NBR80(config-if)#ip address 10.0.254.24 255.255.255.0     //配置IP地址10.0.254.24子网掩码255.255.255.0
NBR80(config-if)#no shutdown   //重新打开此接口
NBR80(config-if)#exit   //回到全局配置模式 
* 配置DNS服务器IP地址 
NBR80(config)#ip name-server 218.201.21.132   //配置首选DNS服务器IP地址218.201.21.132
NBR80(config)#ip name-server 218.201.4.3   //配置备用DNS服务器IP地址218.201.4.3
NBR80(config)#end   //回到特权模式
NBR80#show interfaces    //显示接口全部信息
(二)VLAN配置(LAN口接划分VLAN的二层交换机时)
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config)#no ip address   //删除LAN口IP地址
NBR80(config)#interface fastethernet 0/0.10   //进入子接口配置模式配置子接口10
NBR80(config-subif)#encapsulation dot1Q 10   //配置802.1Q封装,指定VLAN ID号为10,必须为交换机上的一个VLAN ID号10
NBR80(config-subif)#ip address 10.0.240.254   //配置子接口10的IP地址,作为该VLAN的网关
NBR80(config-subif)#vlan port 0 tag   //将物理LAN口0绑定到VLAN 10上
NBR80(config-subif)#no shutdown   //激活此接口
NBR80(config-subif)#exit   //回到全局配置模式
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config)#interface fastethernet 0/0.20   //进入子接口配置模式配置子接口20
NBR80(config-subif)#encapsulation dot1Q 20   //配置802.1Q封装,指定VLAN ID号为20,必须为交换机上的一个VLAN ID号20
NBR80(config-subif)#ip address 10.0.241.254   //配置子接口20的IP地址,作为该VLAN的网关
NBR80(config-subif)#vlan port 1 3  tag   //将物理LAN口1、2、3绑定到VLAN 20上
NBR80(config-subif)#no shutdown   //激活此接口
NBR80(config-subif)#exit   //回到全局配置模式
NBR80(config)#end   //回到特权模式
NBR80#show vlan   //显示VLAN信息
NBR80#show interfaces    //显示接口全部信息

三、配置路由
(一)LAN口接三层交换机时
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#ip route 0.0.0.0 0.0.0.0 10.0.254.254   //配置网络地址为0.0.0.0 子网掩码为0.0.0.0 下一跳地址为10.0.254.254(路由器上一级网关IP地址)的静态路由作为缺省路由
NBR80(config)#ip route 10.0.240.0 255.255.255.0 10.1.252.26   //配置网络地址为10.0.240.0子网掩码为255.255.255.0下一跳地址为10.1.252.26(三层交换机接路由器的端口的IP地址)的静态路由
NBR80(config)#ip route 10.0.241.0 255.255.255.0 10.1.252.26   //配置网络地址为10.0.241.0子网掩码为255.255.255.0下一跳地址为10.1.252.26(三层交换机接路由器的端口的IP地址)的静态路由
NBR80(config)#ip route 10.0.242.0 255.255.255.0 10.1.252.26   //配置网络地址为10.0.242.0子网掩码为255.255.255.0下一跳地址为10.1.252.26(三层交换机接路由器的端口的IP地址)的静态路由
NBR80(config)#ip route 10.0.243.0 255.255.255.0 10.1.252.26   //配置网络地址为10.0.243.0子网掩码为255.255.255.0下一跳地址为10.1.252.26(三层交换机接路由器的端口的IP地址)的静态路由
NBR80(config)#end   //回到特权模式
NBR80#show ip route   //显示路由信息
(二)LAN口接划分VLAN和未划分VLAN的二层交换机或普通非网管交换机时
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#ip route 0.0.0.0 0.0.0.0 10.0.254.254   //配置网络地址为0.0.0.0 子网掩码为0.0.0.0 下一跳地址为10.0.254.254(路由器上一级网关IP地址)的静态路由作为缺省路由
NBR80(config)#end   //回到特权模式
NBR80#show ip route   //显示路由信息

四、配置网络地址转换(NAT)
    内部主机需要连接互联网,又没有公网IP地址,就需要配置网络地址转换(NAT),NBR系列路由器使用向导模式配置时会自动配置NAT,如果不使用向导配置就必须手动配置此项。(注意:路由器用于内网连接时,不需要配置此项,最好不使用向导配置)
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
(一)配置内部源地址动态NATP
NATP:将多个内部源地址映射到一个内部全局地址(多对一)的NAT。
NBR80(config)#ip nat pool qjsyxx 222.179.200.210 222.179.200.210 netmask 255.255.255.248
* 以上命令也可写为另一种格式:
NBR80(config)#ip nat pool qjsyxx 222.179.200.210 222.179.200.210 prefix-length 29   //配置NAT本地全局IP地址池名称为qjsyxx,IP地址范围为222.179.200.210至222.179.200.210(此处只有一个公网IP的情况即是NATP),子网掩码为255.255.255.248,前提是前面配置的WAN口IP地址必须配置为22.179.200.210 255.255.255.248。
NBR80(config)#access-list 99 permit any   //配置名称为99的访问控制列表,允许任何IP地址通过
NBR80(config)#ip nat inside source list 99 pool qjsyxx   //配置内部源地址动态转换关系
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config-if)#ip nat inside   //定义该接口连接内部网络
NBR80(config-if)#exit   //回到全局配置模式
NBR80(config)#iinterface fastethernet 1/0   //进入接口配置模式配置WAN口
NBR80(config-if)#ip nat outside   //定义该接口连接外部网络
NBR80(config-if)#exit   //回到全局配置模式
NBR80(config)#ip nat translation per-ip 0.0.0.0 300   //限制每IP的nat进程数为300
* 配置地址转换超时时间(可选)
NBR80(config)#ip nat translation udp-timeout 150   //定义UDP连接转换记录超时时间为150秒,缺省为300秒
NBR80(config)#ip nat translation icmp-timeout 30   //定义ICMP连接转换记录超时时间为30秒,缺省为60秒
NBR80(config)#ip nat translation tcp-timeout 600   //定义TCP连接转换记录超时时间为600秒,缺省为24小时
NBR80(config)#ip nat translation finrst-timeout 20   //定义TCP连接FIN以及RESET后转换记录超时时间为20秒,缺省为60秒
NBR80(config)#ip nat translation dns-timeout 30   //定义DNS转换记录超时时间为30秒,缺省为60秒
(二)配置内部源地址静态NATP

* 静态NATP可以用于构建虚拟服务器,即端口映射。
NBR80(config)#ip nat inside  source static tcp 10.0.243.10 80 222.179.200.210 80 permit-inside  
//配置内部源地址静态转换关系,这里将内部源地址10.0.243.10的80端口转换到内部全局地址222.179.200.210的80端口,实现web服务,permit-inside是表示内网用户能以全局IP地址来访问。
NBR80(config)#ip nat inside  source static tcp 10.0.243.10 3389 222.179.200.210 3389 permit-inside   //配置远程桌面端口映射
NBR80(config)#ip nat inside  source static tcp 10.0.243.20 110 222.179.200.210 110 permit-inside   //配置邮件服务器接收邮件POP3端口映射
NBR80(config)#ip nat inside  source static tcp 10.0.243.20 25 222.179.200.210 25  permit-inside   //配置邮件服务器发送邮件SMTP端口映射
……
* 以下配置如果前面已经配置,就不再配置。
NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config-if)#ip nat inside   //定义该接口连接内部网络
NBR80(config-if)#exit   //回到全局配置模式
NBR80(config)#iinterface fastethernet 1/0   //进入接口配置模式配置WAN口
NBR80(config-if)#ip nat outside   //定义该接口连接外部网络
NBR80(config-if)#exit   //回到全局配置模式
NBR80(config)#end   //回到特权模式
NBR80#show ip nat statistics   //显示NAT规则和统计状态
NBR80#show ip nat translations   //显示NAT转换记录

五、配置DHCP(可选)
    锐捷NBR系列路由器
支持DHCP服务,可将交换机配置成DHCP服务器,在三层交换机上配置DHCP中继服务。
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#service dhcp   //启用DHCP服务
NBR80(config)#ip dhcp excluded-address 10.0.241.1 10.0.241.10   //配置DHCP排斥地址10.0.241.1至10.0.241.10
NBR80(config)#ip dhcp excluded-address 10.0.242.201 10.0.242.253   //配置DHCP排斥地址10.0.242.201至10.0.241.253
NBR80(config)#ip dhcp pool vlan0002   //配置地址池名为vlan0002
NBR80(dhcp-config)#network 10.0.241.0 255.255.255.0   //配置地址池的网络号10.0.241.0和子网掩码255.255.255.0
NBR80(dhcp-config)#default-router 10.0.241.254   //配置客户端的缺省网关10.0.241.254
NBR80(dhcp-config)#dns-server 218.201.21.132 218.201.4.3   //配置客户端可用的DNS服务器地址218.201.21.132和218.201.4.3
NBR80(dhcp-config)#lease 180   //配置客户端IP地址的租期为180天(为infinite时表示无限期)
NBR80(dhcp-config)#exit   //回到全局配置模式
NBR80(config)#ip dhcp pool vlan0003   //配置地址池名为vlan0003
NBR80(dhcp-config)#network 10.0.242.0 255.255.255.0   //配置地址池的网络号10.0.242.0和子网掩码255.255.255.0
NBR80(dhcp-config)#default-router 10.0.242.254   //配置客户端的缺省网关10.0.242.254
NBR80(dhcp-config)#dns-server 218.201.21.132 218.201.4.3   //配置客户端可用的DNS服务器地址218.201.21.132和218.201.4.3
NBR80(dhcp-config)#lease 180   //配置客户端IP地址的租期为180天(为infinite时表示无限期)
NBR80(dhcp-config)#end   //回到特权模式
NBR80#show ip dhcp server statistics   //显示DHCP服务器统计信息

六、安全配置
NBR80#configure terminal   //进入全局配置模式
Enter configuration commands, one per line. End with CNTL/Z.
NBR80(config)#security deny lan-ping   //禁止内网主机ping路由器
NBR80(config)#security deny wan-ping   //禁止外网主机ping路由器
NBR80(config)#security deny lan-web   //禁止内网主机web访问路由器
NBR80(config)#security deny wan-web   //禁止外网主机web访问路由器(注意:如果有web服务向外网提供,请不要配置此命令,有可能造成外网无法访问内网提供的web服务)
NBR80(config)#preserve-ip 10.0.240.81   //配置telnet/web访问白名单,除此地址的主机能进行telent/web管理外,其他机器不能访问此管理界面)
    静态ARP配置
    此配置只适用于LAN口接划分VLAN和未划分VLAN的二层交换机或普通非网管交换机地情况,因为  NBR路由器只能配置与它直接连接的各个网段的主机的静态ARP,LAN口接三层交换机时,应在三层交换机上配置连接在三层交换机上的各个网段的主机的静态MAC地址或IP和MAC地址绑定。
NBR80(config)#arp 10.0.240.11 00d0.f800.4251 arpa   //配置ip地址10.0.240.11与mac地址00d0.f800.4251的静态ARP项
NBR80(config)#arp 10.0.240.12 00d0.f800.4252 arpa   //配置ip地址10.0.240.12与mac地址00d0.f800.4252的静态ARP项
……
NBR80(config)#no arp 10.0.240.21  //删除ip地址10.0.240.21的静态ARP项

NBR80(config)#interface fastethernet 0/0   //进入接口配置模式配置LAN口
NBR80(config-if)#arp trust-monitor enable   //开启LAN口动态ARP转为可信任ARP机制(默认)
NBR80(config-if)#mac-ip bind   //停止mac地址学习功能
NBR80(config-if)#arp gratuitous-send interval 1 5  
//免费ARP报文发送:1秒5个
NBR80(config-if)#exit   //回到全局配置模式
NBR80(config)#arp attacker-detect enable   //开启ARP欺骗嫌疑主机定位功能
NBR80(config)#security anti-wan-attack level high   //启用外网防攻击
NBR80(config)#security anti-lan-attack drop   //启用内网防攻击
NBR80(config)#end   //回到特权模式
NBR80#show arp   //显示静态ARP信息
NBR80#show running-config   //显示当前路由器配置信息
NBR80#copy running-config startup-config   //保存当前配置到启动配置文件
NBR80#reload   //重新启动路由器

七、备份和恢复配置文件
(略)

  评论这张
 
阅读(21168)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017