锐捷路由器配置手册
目录:
路由器根底:
路由器的几种配置方法 控制台 远程登录 其它配置方法 命令行(CLI)操作 命令模式
命令模式的切换 CLI命令的编辑技巧 常见CLI错误提示
使用 no和default选项 配置文件的保存、查看与备份查看配置文件 保存配置文件 删除配置文件 备份配置文件 文件系统 文件系统概述 文件操作 目录操作
系统文件的备份与升级 搭建环境
用TFTP传输文件 用Xmodem传输文件 ROM监控模式
密码丧失的解决方法 路由器的根本配置: 配置主机名 配置口令
配置控制台口令 配置远程登录口令 配置特权口令 配置以太网接口
以太网接口的一般配置 配置多个 IP地址 配置MAC地址 接口信息的查看 配置同步串行口
同步串行口的一般配置 配置反转时钟 配置链路封装协议 配置线路编解码方式 忽略DCD信号
1 / 1461
锐捷路由器配置标准手册
接口信息的查看 配置回环接口 回环接口的配置 接口信息的查看 配置路由:
静态路由和缺省路由的配置 配置静态路由 配置默认路由 配置缺省网络
配置可被动态路由覆盖的静态路由 RIP协议的配置
RIP协议的一般配置 RIP协议参数的配置 OSPF协议的配置
OSPF协议的一般配置 广域网协议配置: HDLC协议配置
配置接口的 HDLC封装 配置keepalive时间 协议配置
配置接口的PPP封装配置PPP协商超时时间配置CHAP验证 配置CHAP效劳端 配置CHAP客户端
配置双向 CHAP验证 配置PAP验证 配置PAP效劳端 配置PAP客户端
配置双向 PAP验证 帧中继协议配置
点到点的帧中继配置
点到点子接口的帧中继配置 NAT的配置: 静态NAT配置 静态NAT的配置 静态NAPT的配置 动态NAT配置 动态NAT的配置 动态NAPT的配置
接口动态 NAPT的配置 重叠地址 NAT配置
外部源地址的静态 NAT配置 外部源地址的动态 NAT配置 TCP负载均衡 NAT信息的查看
2 / 146
2
锐捷路由器配置标准手册
DHCP的配置: DHCP效劳器的配置 启用DHCP效劳器 配置DHCP地址池 配置选项
配置DHCP地址绑定 DHCP中继代理的配置 访问控制列表的配置: 标准访问控制列表的配置 标准ACLs的语句规那么 配置标号的标准 ACLs 配置命名的标准 ACLs 扩展访问控制列表的配置 扩展ACLs的语句规那么 配置标号的扩展 ACLs 配置命名的扩展 ACLs MAC扩展访问列表的配置 MAC扩展ACLs的语句规那么 配置标号的 MAC扩展ACLs 配置命名的 MAC扩展ACLs Expert扩展访问列表的配置 Expert扩展ACLs的语句规那么 配置标号的 Expert扩展ACLs 配置命名的 Expert扩展ACLs 其它形式的访问列表 带序号的 ACLs 带时间区的 ACLs
第一局部 路由器根底: 路由器的几种配置方法
控制台
用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接:
把Console线一端连接在计算机的串行口上,另一端连接在网络设备的 Console口上。 Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
3 / 146
3
锐捷路由器配置标准手册
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连接在网络设备 的Console口上。
注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。
2、软件安装:
在计算机上需要安装一个终端仿真软件来登录网
络设备。 终端的安装方法:
开始 |程序 |附件|通信 |超级终端。按照提示的步骤进行安装,其中连接的接口应选择
择“无〞,其它都使用默认值。登录后,就可以对网络设备进行配置了。说明:超级终端只需安装一次,下次再
使用时可从 装的超级终端,直接使用即可。远程登录
通过一台连接在网络中的计算机,用 Telnet命令登录网络设备进行配置。 远程登录条件:
1、网络设备已经配置了 IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。
“开| 程| 附| 通| 超级终端〞中找到上始 序 件 信 次安
“COM1〞,端口的速率应选择
“9600〞,数据流控制应选
通常我们使Window自带的“超级终端〞。用 s 超级
4 / 146
4
锐捷路由器配置标准手册
3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备 Console口上的计算机,而是网络中任一台计算机。 远程登录方法:
在计算机的命令行中,输入命令 “telnet网络设备 IP地址〞,输入登录密码就可以进入网络设备的命令配置 模式。
说明:远程登录方式不能用来配置新设备, 新设备应该用控制台配置 IP地址等参数,以后才能使用远程登 录进行配置。
其它配置方法
除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP效劳器:
TFTP效劳器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP效劳器之中,也可以把备份的文件传回到网络设备中。
由于设备的配置文件是文本文件,所以,你可以用文本编辑软件翻开进行修改,再把修改后的配置文件传
回网络设备,这样就可以实现配置功能。你也可以用TFTP效劳器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。 2、SSH:SH
S
是一种平安的配置手段,其功能类似于远程登录。与
Teln不同的是,SSH传输中所有信息都是加
et 密
的,所以如果需要在一个不能保证平安的环境中配置网络设
备,最好使用
SSH。
3、Web:
有些种类的设备支持 Web配置方式,你可以在计算机上用浏览器访问网络设备并配置。 Web配置方式具有较好的直观性,用它可观察到设备的连接情况。
命令行(CLI)操作
5 / 146
5
锐捷路由器配置标准手册
命令模式
交换机和路由器的命令是按模式分组的,每种模式中定义了一组命令集,所以想要使用某个命令,必须先
进入相应的模式。各种模式可通过命令提示符进行区分,命令提示符的格式是: 提示符名 模式 提示符名一般是设备的名字, 交换机的默认名字 “Switch,〞路由器的默认名字是 “Router〔〞锐捷设备的默认 名字是“Ruijie〕〞,提示符模式说明了当前所处的模式。如: “>〞代表用户模式, “#代〞表特权模式。
6 / 146
6
锐捷路由器配置标准手册
以下是常见的几种命令模式:
模式
提示符 说明
可用于查看系统根本信息和进行根本测试
UserEXEC 用户模式
>
PrivilegedEXEC 特权模式
Globalconfiguration
全局配置模式
#
查看、保存系统信息,该模式可使用密码保护
(config)#
配置设备的全局参数
Interfaceconfigur(config-ation if)#
接口配置模式
配置设备的各种接口
(config-Lineconfiguration line)# 线路配置模式
Routerconfiguration
路由配置模式
配置控制台、远程登录等线路
(config-router)#
配置路由协议
Config-vlan VLAN配置模式
命令模式的切换
(config-vlan)#
配置VLAN参数
交换机和路由器的模式大体可分为四层:用户模式→特权模式→全局配置模式→其它配置模式。
进入某模式时,需要逐层进入。
命令举
要求
进入用户模式
例
说明
登录后就进入
7 / 146
7
锐捷路由器配置标准手册
进入特权模式
Ruijie>enable
Ruijie#
在用户模式中输入
enable命令
进入全局配置模 Ruijie#configuretermin在特权模式al 中输入 Ruijie(config)#
conft命令
式
进入接口配置模
式
进入线路配
置模
式
进入路由配
置模
式 Ruijie(interf在全局配置模式config)# ace
中输入 f0/1
不同参数
Ruijie(config-if)#
Ruijie(lineco
在全局配置模式config)# nsole
中输入 0
参数
Ruijie(config-line)#
Ruijie(router
在全局配置模式config)# rip 中输入 Ruijie(config-router)#
同参数
8 / 1468
interface命令,
该命令可带
line命令,该命令
可带不同
router命令,该
命令可带不
锐捷路由器配置标准手册
进入VLAN配置
Ruijie(config)#vlan3
Ruijie(config-vlan)#
Ruijie(cexonfig-if)# it Ruijie(config)#
Ruijie(config-if)# d
Ruijie#
Ruijie#disable
Ruijie>
在全局配置模式中输入 vlan命令,该命令可带不同
模式
退回到上一层模
参数
用exit命令可退回到上一层模式
式
退回到特权模式
en
用end命令或可从各种配置模式中Ctrl+Z 直接退回
到特权模式
退回到用户模式
从特权模式退回到用户模式
说明:interface等命令都是带参数的命令,应根据情况使用不同参数。
特例:当在特权模式下输入Exit命令时,会直接退出登录,不是回到用户模式。从特权模式返回用户模式的命令是disable。
CLI命令的编辑技巧
CLI〔命令行〕有以下特点。 1、命令不区分大小写。 2、可以使用简写。
命令中的每个单词只需要输入前几个字母。
terminal 命令可简写为 3、用 Tab键可简化命令的输入。如果你不喜欢简写的命令,可以用足够与其它命令相区分时,用
要求输入的字母个数足够与其它命令相区分即可。
conft。
如:
configure
Tab键输入单词的剩余局部。每个单词只需要输入前几个字母,当T 它
eb 键可得到完整单词。如:输入 conf(Tab) t(Tab)命令可得到
configure
terminal。
4、可以调出历史来简化命令的输入。
历史是指你曾经输入过的命令,可以用“↑〞键和“↓〞键翻出历史命令再回车就可执行此命令。〔注:只能
翻出当前提示符下的输入历史。〕 系统默认记录的历史条数是 10条,你可以用historysize命令修改这个值。 5、编辑快捷键:
Ctrl+A——光标移到行首,
9 / 146
9
锐捷路由器配置标准手册
6、用“?可〞帮助输入命令和参数。 在提示符下输入 “?可〞查看该提示符下的命令集, 在命令后加“?,〞可查看它第一个参数,
可查看下一个参数,如果遇到提示 “ 在参数后再加“?,〞 常见CLI错误提示 %Ambiguouscommand:\"showc\" 用户没有输入足够的字符,设备无法识别唯一的命令。 %Invompletecommand. 命令缺少必需的关键字或参数。 %Invalidinputdetectedat'^'marker. 输入的命令错误,符号 ^指明了产生错误的单词的位置 10 / 146 10 锐捷路由器配置标准手册 使用 no和default选项 很多命令都有 ndefau 选lt o 项和 选项。 no选项可用来禁止某个功能,或者删除某项配置。 default选项用来将设置恢复为缺省值。由于大多数命令的缺省值是禁止此项功能,这时 缺省值是允许,这时 default选项的作用和 no选项和 default选项的用法是在命令前加 noshutdown noipaddress defaulthostname 相比之下,我们多使用 no选项来删除有问题的配置信息。 交换机和路由器都有两个配置文件: 1、运行配置文件: 这个文件位于 RAM中,名为 running-config。它是设备在工作时使用的配置文件。 2、启动配置文件: 这个文件位于 NVRAM 中,名为 startup-config。当设备启动时,它被装入 RAM,成为运行配置文件。 新出厂的交换机或路由器是没有配置文件的,当我们第一次配置它时会进入 setup方式配置一些根本信 息,这些信息就生成了 running-config ,我们以后所做的配置信息都会添加到 running-config 中。〔注: 有些设备没有 setup配置模式,它在没有配置文件时会自动按照缺省值启动。〕 由于RAM中的运行配置文件在断电或重启时就会消失,所以我们在配置好设备后,应该把配置文件保存 到NVRAM 中,这样配置文件就可以长期使用了。 从效果上讲,RAM相当于设备的内存,NVRAM相当于设备的硬盘,把running-config 保存为 startup-config 相当于一个存盘过程。 default选项的作用和 n选项是相同的。但局部命令 o 的 no选项的作用是相反 的。 no或defaule前缀。如: 11 / 146 11 锐捷路由器配置标准手册 查看配置文件 模式:特权配置模式。 查看运行配置文件: Ruijie#showrunning-config 或者: Ruijie#writeterminal 查看启动配置文件: 12 / 146 12 锐捷路由器配置标准手册 Ruijie#showstartup-config showrunning-config 命令和writeterminal命令的效果是完全相同的。 保存配置文件 保存配置文件就是把 running-config 保存为 startup-config。 模式:特权配置模式。 命令1: Ruijie#copyrunning-configstartup-config 命令2: Ruijie#write write命令与copyrunning-configstartup-config 命令的功能相同,它是人们习惯使用的一种简化写法。 删除配置文件 删除配置文件就是把 NVRAM 的 中startup-config 删除。 模式:特权配置模式。 命令: Ruijie#delete说明: 模式。 注:有些设备没有 备份配置文件 是配置文件在 NVRAM 中的文件名,它被删除后,再重启设备时会自动进入 setup配置模式,它在没有配置文件时会自动按照缺省值启动。 setu配p 置 通常我们把配置文件备份到 TFTP效劳器上,在需要时可以再从 TFTP效劳器上把配置文 件回传到设备 中。 准备:在作为 TFTP效劳器的计算机上翻开 TFTP效劳器软件,并设置存放文件的路径〔如下列图〕。然后 在交换机或路由器上进行以下操作。 13 / 146 13 锐捷路由器配置标准手册 模式:特权配置模式。 命令: Ruijie#copyrunning-configtftp Addressornameofremotehost[]? Destinationfilename[]? 说明:输入 copy命令后还需要答复两个问题,一是 TFTP效劳器的地址,本例中假设为 ,二 是备份的配置文件名,本例中假设为。备份成功后,在TFTP效劳器指定的目录中可看到此文件。 从TFTP效劳器回传配置文件: Ruijie#copytftprunning-config Addressornameofremotehost[]? Sourcefilename[]? 说明:有些设备不支持备份 running-config文件,但支持备份 startup-config文件。 文件系统 文件系统概述 交换机和路由器用一个并行 Flash作为辅助存储器存储文件, Flash是一个可读可写的存储器,设备断 电后,Flash的内容不会丧失,所以在交换机和路由器中 Flash可被当作硬盘使用,用于存放需要长期保存 的信息。 Flash中的文件主要包括: 1、主体文件 这个文件相当于交换机或路由器的操作系统, 它的扩展名一般为 bin或upd,bin文件是一14 / 146 14 锐捷路由器配置标准手册 个单独的文件, 而upd文件是由多个文件打包而成,包含了 bin文件和Web配置等文件。 主体文件很大,一般存放在 Flash的根目录中。它是管理软件运行的主程序,如果该文件被删除或被破坏, 设备将不能启动,开机后会进入 ROM模式。 15 / 146 15 锐捷路由器配置标准手册 2、启动配置文件 这个文件由 CLI命令组成,文件名一般为 ,它是一个文本文件。该文件就是我们在 命令行中使 命用的 startup-config,在设备启动时,该文件被装入 RAM成为 running-config,设备 令 执行其中的 CLI 完成初始化。 新设备是没有 文件的,此时,设备所有参数都采用缺省配置,有些种类的设备在启动时会进入 setup模式,用户配置一些根本参数后,就生成了 文件。 你也可以在特权模式下用 setup命令来初始化配置文件,它可以去除原来的配置文件,生成一个只有几项 根本参数的配置文件。 几点说明: 1、文件名对大小写不敏感,文件名长度不能超过 2、不要删除主程序文件,它会导致设备不能启动。 23个字符。 3、可以删除启动配置文件,用这种方法可以把设备恢复到缺省状态。 4、Flash中的文件有两种状态:激活状态和删除状态。当删除一个文件时,该文件只是被标记为删除,但仍然在Flash中,我们可以使用碎片整理功能把处于删除状态的文件彻底删除,腾出空间保存新文件。 文件操作 所有文件操作都是在特权模式下进行。 1、查看Flash中文件目录: Ruijie#dir Ruijie#dir Directoryofflash:/ -rw- -rw- 1002 003 511 002 Jan152 Dec112002 Dec112 09:41:34 10:11:08 09:20:19 temp 16 / 146 16 锐捷路由器配置标准手册 -rw- -rw- 2833568 Jan142003 Jan142 19:21:37 08:50:24 80 002 列表中列出的是处于激活状态的文件信息。 Ruijie#dirdelete 该命令用于查看处于删除状态的文件信息。 2、删除文件: Ruijie#deleteflash:filename filename是删除的文件名。例如: Ruijie#delete 删除的文件名被标记为删除状态,用 dirdelete命令可以看到。 3、查看文件内容: Ruijie#moreflash:filename filename是文件名。例如: Ruijie#more 本命令只能查看文本文件。 4、重命名文件: Ruijieh#renameflash:filenameflash:newname filename是原文件名, newname是新文件名。例如: 17 / 146 17 锐捷路由器配置标准手册 Ruijie#rename 对主体文件的重命名要谨慎,它会导致设备复位后不能启动。 5、碎片整理: Ruijieh#squeezeflash: 碎片整理可以把处于删除状态的文件彻底去除,腾出空间保存新文件。 6、格式化: Ruijieh#formatflash: 格式化会去除 Flash中所有文件,它会导致设备复位后不能启动,要慎重使用。 目录操作 Flash中的文件可以使用树形的目录结构,文件可以存放在不同的子目录中,也可以在目录之间移动、复制文件。 所有目录操作都是在特权模式下进行。 1、创立目录: Ruijie#mkdirdirectory directory是要创立的目录名称。例如: Ruijie#mkdirtxt 表示在当前目录中创立一个名为 txt的子目录。 2、切换目录: Ruijie#cddirectory di rector是要进入的目录名称。其中当前y①进目录用 入 txt目录: Ruijie#cdtxt ②返回上一级目录: Ruijie#cd.. ③返回根目录: Ruijie#cd/ 注意:在 d 后要有空格,cd是错误的。 / c用 “表.〞示,上级目录用 “..表〞示,根“/表〞示。例目录用 如: 3、删除目录: Ruijieh#rmdirdirectory directory是要删除的目录名称。 注意:本命令只能删除空目录。例如: Ruijie#rmdirtxt 4、查看目录下的文件: Ruijie#lspathname pathname是路径名,如果省略路径,那么显示当前目录下的文件。例如: Ruijie#ls 18 / 146 18 锐捷路由器配置标准手册 显示当前目录下的文件列表。 5、复制文件: 把文件从一个目录复制到另一个目录中。 Ruijieh#cpsourpathnamedestpathname sourpathname是源文件,destpathname是目的文件。例如: 19 / 146 19 锐捷路由器配置标准手册 Ruijie#cpsourdest 表示把当前目录中的 复制到 txt子目录中。 注意:cp命令不支持通配符,也不支持目录的复制。 6、移动文件: 把文件从一个目录移动到另一个目录中。 Ruijieh#mvsourpathnamedestpathname sourpathname是源文件,destpathname是目的文件。例如: Ruijie#mvsourdest 表示把当前目录中的 移动到 txt子目录中。 7、删除文件: Ruijieh#rmfilename filename是要删除的文件名。例如: Ruijie#rm 表示删除当前目录中的 文件。 系统文件的备份与升级 搭建环境 在备份和升级时需要搭建通信环境,让设备和计算机间可以传输文件。有三个方案: 20 / 146 20 锐捷路由器配置标准手册 方案一:TFTP 计算机是通过网络访问设备的。 要求设备已经配置了 IP地址,且可以与计算机正常通信。 计算机上应该运 行TFTP效劳器软件。方案二:Xmodem 21 / 146 21 锐捷路由器配置标准手册 计算机是通过 Console线连接在设备上。要求在计算机上运行终端仿真软件〔如:超级终端〕,设备可以 没有IP地址。 利用TFTP和Xmodem都可以实现在设备和计算机间传输文件,两者的区别在于, TFTP是通过网络传输 数据的,Xmodem是通过Console线传输数据的。 相比之下,Xmodem的传输速度较慢,而且不能进行远程传输,所以在传输较大的文件时建议使用 TFTP。 方案三:ROM监控模式 如果交换机或路由器的主体文件损坏了,在设备启动时会进入 ROM监控模式,在此模式下可以用 TFTP 或Xmodem向设备传输文件 用 TFTP 传输文件 准备工作: 1、设备已经配置了 2、在计算机上运行 IP地址,且可以与计算机正常通信〔可以用 ping命令检查〕。 TFTP效劳器软件,并设置好文件保存的路径。如下列图: 把设备中的文件传输到计算机中: 用控制台或 Telnet登录设备,然后在特权模式下执行以下命令: Ruijie#copyfilenametftp filename是交换机或路由器上的文件。例如: ①把running-config 传输到计算机中 Ruijie#copyrunning-configtftp Addressornameofremotehost[]? Destinationfilename[]? 是目的计算机的 IP地址,应根据实际情况设置。 是在计算机上保存的文件名,可 自行命名。 以上操作也可以直接写作: Ruijie#copyrunning-config ②把主体文件传输到计算机中Ruijie#copytftp Addressornameofremotehost[]? Destinationfilename[]?主体文件的扩展名一般是 bin,不同型号的设备文件名有所不同,应先用 dir 命令查看后再备份。 22 / 146 22 锐捷路由器配置标准手册 以上操作也可以直接写作: 23 / 146 23 锐捷路由器配置标准手册 Ruijie#copy 注意:由于在设备中,主体文件有固定的名字,为了方便以后的回传,最好使用相同的名字备份,且要做好记录。 其它文件的传输方法和以上实例类似。 把计算机中的文件回传到设备中: ①把计算机中备份的配置文件回传到设备中 Ruijie#copytftprunning-config Addressornameofremotehost[]? Sourcefilename[]? 本例把计算机中的 文件回传到设备中,使它成为 running-config。 ②把计算机中备份的主体文件回传到设备中 Ruijie#copytftp Addressornameofremotehost[]? Sourcefilename[]? 注意:各个设备的主体文件有固定的文件名和版本,回传时一定要保证版本正确,文件名正确,不然会导致设备复位后不能启动。 ③把计算机中打包的主体文件回传到设备中 有些型号的设备主体文件的扩展名为 udp,该文件实际上是一个软件包,里面包含了 置软件。 udp文件不能用 copytftpfl命令传输,应该ash 使用 Ruijie#copytftpupdate Addressornameofremotehost[]? Sourcefilename[]? bW文件配 in 和 eb copytft pupdate 命令传输。 用Xmodem传输文件 准备工作: 1、用Console线把设备和计算机连接起来,一端连接在设备的 Consloe口上,另一端连接在计算机的串行 口上。 2、在计算机上运行终端仿真软件〔如:超级终端〕,登录设备。 把文件从设备传输到计算机中 在设备的特权模式下输入命令: Ruijie#copyxmodem 在计算机的超级终端中,选择 “传送〞菜单中的“接收文件〞功能,在弹出的对话框中设置文件的存放位置, 接收协议选择 “Xmodem〞,点击“接收〞,系统会提示存储于本地的文件名称, 设置好后,单击“确定〞按钮开 始接收文件。 ②把文件从计算机回传到设备中 在设备的特权模式下输入命令: 24 / 146 24 锐捷路由器配置标准手册 Ruijie#copyxmode 在计算机的超级终端中,选择 “传送〞菜单中的“发送文件〞功能,在弹出对话框的文件名中设置文件在本机 中的位置,协议选择 “Xmodem〞,点击“发送〞。 25 / 146 25 锐捷路由器配置标准手册 本例给出的是 Flash中的文件的传输,其它文件的操作方法与此相同。 ROM监控模式 进入ROM监控模式有两种方法: 1、如果设备在启动时,无法在 Flash中找到设备的主体文件,便直接进入 ROM监控模式。 2、用手工进入,先用Console线连接设备和计算机,并在计算机上运行终端仿真软件〔如:超级终端〕,然后开启设备,在开机后的3秒内按下Ctrl+C,便进入ROM监控模式了。 进入监控模式后,先显示一些版本信息,然后是主菜单: ()中的蓝字为注解 MainMenu: 1.TFTPDownload&Run (用TFTP传入文件并运行 ) . TFTPDownload&WriteIntoFile(用TFTP传入文件并写入Flash) 3.X-ModemDownload&Run(用Xmodem传入文件并运行) X-ModemDownload&WriteIntoFile(用Xmodem传入文件并写入. Flash) . ListActiveFiles(列出Flash中文件信息) . ListDeletedFiles(列出Flash中删除文件的信息) RunAFile(运行一个文件) DeleteAFile(删除一个文件) RenameAFile(重命名一个文件) 7. a.SqueezeFileSystem(碎片整理) b.FormatFileSystem(格式化Flash) c.OtherUtilities (其它) d.hardwaretest e.TFTPDownload&Update (用TFTP传入打包的主体文件 ) f.X-ModemDownload&Update (用Xmodem传入打包的主体文件 Pleaseselectanitem: ) 选项1和选项 2的区别在于:选项 1把文件传入到内存中,不写入 Flash,所以在重启设备后,仍会使用 原来的文件;选项 2是把文件传入内存并写入 Flash,使它永久有效。 通常,如果我们想要传入一个文件进行测试,应该使用选项 1,如果想要传入一个永久有效的文件,应该 使用选项 2。26 / 146 26 锐捷路由器配置标准手册 实例:假设某路由器的主体文件被损坏,现把 器恢复正常。 启动路由器,由于主体文件损坏,进入 ROM TFTP效劳器上备份的文件传入路由器的 监控模式,选择工程 2进行传输。 F中, lash 使路由 Pleaseselectanitem:2 Filename[]: LocalIP[]: RemoteIP[]: 是主体文件名,LocalIP是路由器 IP地址,RemoteIP是TFTP效劳器的 IP地址,这两个 地址必须在同一网络中。然后就开始传输了。其中 TFTP效劳器可按前面的方法设置。 传输完成后,重新开启路由器,就可以使用新的主体文件了。 密码丧失的解决方法 如果忘记了路由器或交换机的登录密码,可以用以下方法解决: 用一台计算机作为控制台,用 Console线连接在设备上,在计算机上运行终端仿真程序〔如:超级终端〕。 ①重启设备,在超级终端上按下 Ctrl+C,使设备进入 ROM监控模式。 MainMenu: 1.TFTPDownload&Run 2.TFTPDownload&WriteIntoFile 3.X-ModemDownload&Run 4.X-ModemDownload&WriteIntoFile 5.ListActiveFiles 6.ListDeletedFiles 7.RunAFile 8.DeleteAFile 9.RenameAFile a.SqueezeFileSystem b.FormatFileSystem c.OtherUtilities d.hardwaretest e.TFTPDownload&Update f.X-ModemDownload&Update Pleaseselectanitem:5 使用工程 5,列出Flash中的文件目录,找到其中的配置文件〔通常是名为 ②用工程9更改配置文件的文件名。 27 / 146 27 锐捷路由器配置标准手册 Pleaseselectanitem:9 Oldfilenameinput. EnterFileName(InputESCtoquit: 的 文件〕。 28 / 146 28 锐捷路由器配置标准手册 Newfilenameinput. EnterFileName(InputESCtoquit: ③重启设备,由于找不到配置文件,设备以默认参数启动,此时原有的配置也没有了。 ④进入特权模式,把原来的配置文件再装入设备。 Ruijie>enable Ruijie#copyrunning-config Ruijie# 这样就恢复了原来的配置。由于此时已经进入特权模式,可以用命令删除原来的密码,也可以重新配置新密码。 ⑤各局部密码都重新配置后,保存配置文件,以后就可以用新密码登录了。 Ruijie#copyrunning-configstartup-config 29 / 146 29 锐捷路由器配置标准手册 第二局部 路由器的根本配置 配置主机名 配置主机名 主机名用于标识交换机和路由器,通常它会作为提示符的一局部显示在命令提示符的前面。 交换机的默认名字一般是“Switch,〞路由器的默认名字一般是“Router。〞锐捷设备一般把名字默认为“Ruijie,你〞可以用命令重新设置设备的名字。 1、配置主机名 模式:全局配置模式。 命令:hostnamename 参数:name是要设置的主机名,必须由可打印字符组成,长度不能超过 255个字符。 主机名一般会显示在提示符前面,显示时最多只显示 22个字符。 2、删除配置的主机名 在全局配置模式下,用 nohostname命令可删除配置的主机名,恢复默认值。 配置举例:配置交换机的名字为 S3550-1。 Switch>enable Switch#configureterminal Switch(config)#hostnameS3550-1 S3550-1(config)# 配置口令 口令〔密码〕可用于防范非法人员登录到交换机或路由器上修改设备的配置。 我们可以在几个不同位置设置口令,以到达多重保护的目的。 控制台口令:当我们从连接在 Console口的控制台登录设备时,需要输入控制台口令。由于控制台是一种 本地配置方式,所以不设置这个口令影响也不大。 远程登录口令:当我们从网络中的计Telnet命令登录设备时,需要输入远程登录口算机通过 令。远程登录 T是一种远程配置方式,这个口令应该设置。在锐捷设备中,没有设置远程登录口令的设elne备是不能用 t 30 / 146 30 锐捷路由器配置标准手册 命令登录的。 特权口令:当我们登录设备后,从用户模式进入特权模式,需要输入特权口令。由于特权模式是进入各种 配置模式的必经之路,在这里设置口令可有效防范非法人员对设备配置的修改。在锐捷设备中,特权模式 可设置多个级别,每个级别可设置不同的口令和操作权限,你可以根据情况让不同人员使用不同的级别。 在锐捷设备中,没有设置特权口令的设备也不能用 Telnet命令登录。 在实际应用中,一般特权口令和远程登录口令是必需的,设置的口令不应该太简单,不同位置的口令也不应该相同。 配置控制台口令 31 / 146 31 锐捷路由器配置标准手册 控制台口令是通过控制台登录交换机或路由器时设置的口令。 1、设置控制台口令 模式:线路配置模式。 配置命令: Ruijie(config)#lineconsole0 Ruijie(config-line)#login Ruijie(config-line)#passwordpassword lineconsole0命令表示配置控制台线路, 0是控制台的线路编号。 login命令用于翻开登录认证功能。 passwordpassword为控制台线路设置口令。 说明:设置的口令长度最大长度为 25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有 空格,那么空格不能位于最前面,只有中间和末尾的空格可作为口令的一局部。 在running-config中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。注意:如果没有设置login,即使配置了口令,登录时口令认证会被忽略。 2、删除配置的控制台口令: Ruijie(config)#lineconsole0 Ruijie(config-line)#nopassword 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#lineconsole0 Ruijie(config-line)#login Ruijie(config-line)#password123 Ruijie(config-line)#end Ruijie# 本例设置控制台口令为 123。 配置远程登录口令 远程登录口令是通过 Telnet登录交换机或路由器时设置的口令。 1、设置远程登录口令 模式:线路配置模式。 配置命令: Ruijie(config)#linevty04 Ruijie(config-line)#login Ruijie(config-line)#passwordpassword linevty04 命令表示配置远程登录线路, 0~4是远程登录的线路编号。 login命令用于翻开登录认证功能。 passwordpassword为远程登录线路设置口令。 说明:设置的口令长度最大长度为25个字符。口令中不能有问号和其他不可显示的字符。如果口令中有空格,那么空格不能位于最前面,只有中间和末尾的空格可作为口令的一局部。 在running-config中可以查看口令设置,但锐捷设备的口令都是以密文存放的,所以看到的是乱码。注意:远程登录口令是用Telnet登录的必备条件。 32 / 146 32 锐捷路由器配置标准手册 2、删除配置的远程登录口令: Ruijie(config)#linevty04 Ruijie(config-line)#nopassword 配置举例:为交换机设置远程登录密码为 Ruijie>enable Ruijie#configureterminal Ruijie(config)#linevty04 Ruijie(config-line)#login Ruijie(config-line)#password123 Ruijie(config-line)#end Ruijie# 本例设置远程登录口令为 123。 123。 配置特权口令 特权口令是从用户模式进入特权模式时设置的口令。 1、设置特权口令 模式:全局配置模式。 配置命令: Ruijie(config)# enablepasswordpassword Ruijie(enablesecretpasconfig)# sword enablepasswordpassword命令配置的口令在配置文件中是用简单加密方式存放的。 明文存放的〕 〔有些种类的设备是用 enablesecretpassword命令配置的口令在配置文件中是用平安加密方式存放的。 说明:以上两种口令只需要配置一种,如果两种都配置了,那么两个口令不应该相同,且用 令优先。 secret定义的口 2、删除配置的特权口令: Ruijie(config)# d noenablepasswor 33 / 146 33 锐捷路由器配置标准手册 Ruijie(config)# 配置举例: Ruijie>enable noenablesecret Ruijie#configureterminal Ruijie(config)# enablesecret123 本例设置特权口令为123。使用平安加密的密文存放。 说明:本局部配置的特权口令是为最高的 15级设置的口令,如果想要使用多级别的特权模式,需要先用 privilege命令为相应级别授enablesecret命令配置该级别的口权,再用 令。 配置以太网接口 34 / 146 34 锐捷路由器配置标准手册 以太网接口主要用于连接局域网,常见的有: 1、Ethernet 遵循 10Base-T标准,速率 10Mbit/s,有全双工和半双工两种类型。 2、FastEthernet 遵循 100Base-TX 标准,速率是 10/100Mbit/s 自适应的,有全双工和半双工两种类型。 3、GigabitEthernet 速率是 1000Mbit/s。 以太网接口的一般配置 一般情况下,我们只需要根据接口所连接的网络,为接口配置一个1、为以太网接口配置IP地址: Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# ipaddressip-addresssubnet-mask Ruijie(config-if)# IP地址就可以了。 noshutdown interface命令用于指定要配置的接口, interface-id是接口号。 ipaddress命令用于配置该接口的 IP地址和子网掩码。 noshutdown命令用于激活此接口。 2、删除配置的 IP地址: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noipaddress 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# noshutdown Ruijie(config-if)# end Ruijie# 本例为 FastEthernet0/0口配置IP地址为。 配置多个 IP地址 路由器允许在一个接口上配置多个 通常我们在两种情况下考虑 使用使用多 IP地址,其中一个为主 IP地址,其余为次 I地址。 P IP地址: 35 35 / 146 锐捷路由器配置标准手册 1、在一个接口上连接了多个网络。比方我们在一个接口上连接了一个C类网络,后来由于网络规模增大,主机数超过了254台,需要在此接口上再分配一个C类网络,这样该接口就连接了两个网络。 2、一个网络的两个子网被另外的网络隔离开。通过配置次 1、在以太网接口配置次 IP地址: Ruijie(config)#interfaceinterface-idRuijie(config-if)#ipaddressip-addresssubnet-masksecondary IP地址把隔离的子网连接起来。 36 / 146 36 锐捷路由器配置标准手册 interface命令用于指定要配置的接口, interface-id是接口号。 ipaddress命令用于配置该接口的 IP地址和子网掩码。 secondary关键字 说明该地址为次 IP地址。 说明:必须先配置主 IP地址,再配置次 IP地址。反复使用 IP地址。 ipaddress命令可配置多个次 2、删除 配置的次 IP地址: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noipaddressip-addresssubnet-masksecondary以上命令可删除 指定的次 I地址。 P Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# noipaddress 以上命令删除该接 口上所有的 IP地址,IP地IP地址。 包括主 址和次 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipaddresssecondary Ruijie(config-if)# ipaddresssecondary Ruijie(config-if)# noshutdown Ruijie(config-if)# end Ruijie# 本例为FastEthernet0/0 口配置了注意:如果配置次3个IP地址。 IP地址时没有 secondary关键字,那么该地址会覆IP地址。 盖前面的主 配置MAC地址 在设备出厂时,每个以太网接口就已经有了一个全球唯一的MAC地址,所以一般情况下,我们不需要为接口配置MAC地址。但在一些特殊的应用中,我们可以人工指定接口的MAC地址。 1、为以太网接口配置 MAC地址: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# mac-addressmac-addressinterface命令用于指定要配置的接口, maadress命令用于 interface-id是接口号。 c-d 配置该接口的 37 / 146 37 MA 锐捷路由器配置标准手册 说明:MAC地址是一个 48位二进制数,用12位十六进制数书 写。 你配置的 MAC 地址不需要保证全球 的 唯一性,但必须保证在局域网中的唯一性,否那么会影响局域网内部的通信。 2、删除配置的 MAC地址: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# nomac-address 删除后,接口的 MAC地址恢复为出厂时默认值。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#interfacef0/0 Ruijie(config-if)# mac-address 38 / 146 38 锐捷路由器配置标准手册 Ruijie(config-if)# end Ruijie# 本例把 FastEthernet0/0口的MAC地址配置为 。 接口信息的查看 在特权模式下,使用 showinterfaceinterface-id 可查看指定接口的信息。 例如: Ruijie>enable Ruijie#showinterfacef0/0 FastEthernet0/0isUP,lineprotocolisUP HardwareisNat-SemiDP83815DVNGFastEthernet,addressis(bia0a0b.0c0d.0e0f)Interfaceaddressis: ARPtype:ARPA,ARPTimeout:3600seconds MTU1500bytes,BW100000Kbit EncapsulationprotocolisEthernet-II,loopbacknotset Keepaliveintervalis10sec,set Carrierdalayis2sec RXloadis1,Txloadis1 Queueingstrategy:FIFO Outputqueue0/40,0drops; Inputqueue0/75,0drops 5minutesinputrate54bits/sec,0packets/sec 5minutesoutputrate0bits/sec,0packets/sec 24packetsinput,2548bytes,0nobuffer Received24broadcasts,0runts,0giants 0inputerrors,0CRC,0frame,0overrun,0abort 0packetsoutput,0bytes,0underruns 0outputerrors,0collisions,1interfaceresets 本例显示的是 FastEthernet0/0口的信息。信息中包括:接口状态、协议状态、MTU、Bandwidth、Loopback 状态、接口队列的策略和队列使用情况、接口上报文的输入输出和过失情况、链路的物理状态等。 配置同步串行口 同步串行口的接口名称为 Serial。它常用于与广域网的接入。 同步串行口具有以下特性: 39 / 146 39 锐捷路由器配置标准手册 1、同步串行口支持多种协议的封装,包括 PPP、帧中继、、HDLC、LAPB等。 2、同步串行口有DTE和DCE两种工作方式,其中DCE设备提供同步时钟。在局域网接入路由器上,通常DCE位于ISP一侧,DTE位于局域网用户一侧。 3、同步串行口支持多种类型的外接线缆,包括: EIA/TIA-232、、、EIA/TIA-449、EIA-530。所 接的线缆可以被自动识别。 同步串行口的一般配置 一般情况下,如果两个路由器通过同步串行口相连,我们只需为接口配置 DCE设备上配置 时钟就可以了。 IP地址,并在 1、配置DTE一侧的同步串行口: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# Ruijie(config-if)# ipaddressip-addresssubnet-mask noshutdown interface命令用于指定要配置的接口, ipaddress命令用于配置该接口的 noshutdown命令用于激活此接口。 2、配置DCE一侧的同步串行口: Ruijie(config)#interfaceinterface-id interface-id是接口号。 IP地址和子网掩码。 40 / 146 40 锐捷路由器配置标准手册 Ruijie(config-if)# ipaddressip-addresssubnet-mask Ruijie(cclockrateconfig-if)# lock Ruijie(config-if)# noshutdown clockrate命令用于指定同步的时钟值。 clock是时钟速率,多使用64000bps。 说明:时钟由 DCE设备提供,DTE设备不需要配置时钟。 3、删除配置的 IP地址: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noipaddress 配置举例: R1>enable R1#configureterminal R1(config)#interfaces1/0 R1(config-if)#ipaddress R1(config-if)#noshutdown R1(config-if)#end R1# R2>enable 41 / 146 41 锐捷路由器配置标准手册 R2#configureterminal R2(config)#interfaces1/0 R2(config-if)#ipaddress R2(config-if)#clockrate64000 R2(config-if)#noshutdown R2(config-if)#end R2# 注意:相连的两个 Serial接口的IP地址必须位于同一个网络之中。 配置反转时钟 由于信号在传输中存在时延,DCE侧接收的数据信号与DCE度左右,就会导致DCE侧设备数据接收错误,这时需要反转 侧本地时钟存在如果相位差到相位差, 达 180 DTE侧的时钟信号,DTE侧发送的数据信 把 号反转180度,以消除时延的影响。 1、配置反转时钟: Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# inverttxclock interface命令用于指定要配置的接口,必须是 inverttxclock 命令设置反转发送时钟。 2、取消反转时钟: Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# noinverttxclock 说明:反转时钟只能在 DTE侧配置,DCE侧不能配置。 当我们在线路没有问题,配置也没有问题时,如果仍不能通信,可以尝试用反转时钟解决问题。 Serial口,interface-id 是接口号。 配置链路封装协议 链路封装协议决定了同步串行口上的帧格式,同步串行口支持 5种封装协议:PPP、帧中继(FR)、、 HDLC、LAPB。默认为 HDLC。 我们必须保证同步串行口发送和接收的是同一种帧,所以相连的两个设备必须使用相同的封装协议。 42 / 146 42 锐捷路由器配置标准手册 1、配置DHLC封装: 锐捷路由器的 Serial口默认为 D封装。通 DHLC封装,如果 两个锐捷路由器相连, 一般不需要配置 HLC 常 我们只是在一个接口已经被配置为其它协议时,才需要把它改回到HDLC封装。 Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# encapsulationhdlc interface命令用于指定要配置的接 Serial口,是接口号。 口,必须是 encapsulationhdlc命令指定该接口采用interface-id协议 HDLC 封装。 2、 配置 PPP封装: 当把锐捷路由器和一个只支持 PPP协议的设备相连时, 要把接口配置为 协议的验证功能,可配置 PPP封装。 Ruijie(config)#interfaceinterface-id 43 / 146 43 PPP封装,或者你想要使用 PPP 需锐捷路由器配置标准手册 Ruijie(config-if)# encapsulationppp 3、配置帧中继封装: 当把锐捷路由器和帧中继网络相连时,需要把接口配置为帧中继封装。 Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# encapsulationframe-relay 4、配置 封装: 网络相连时,需要把 当把锐捷路由器和 接口配置为 封装。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationx25 5、配置LAPB封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationlapb 注意:必须保证相连的两端使用相同的封装协议,使用不同协议的接口是不能通信的。 配置线路编解码方式 线路编解码方式有两种:不归零方式〔 NRZ〕和反向不归零方式〔 必须使用相同的编解码方式。 同步串行口默认的线路编解码方式为不归零方式〔 NRZ〕。 1、配置线路编解码方式为反向不归零方式〔 NRZI〕: Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# nrzi-encoding interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 nrzi-encoding 命令用于设置线路编解码方式为反向不归零方式〔 NRZI〕。 2、恢复默认的线路编解码方式: Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# nonrzi-encoding 说明:不同品牌的设备相连时,有时会出现编解码方式不同的问题,这时可尝试更改编解码方式来解决。 NRZI〕。我们必须保证相连的两个设备 忽略DCD信号 44 / 146 44 锐捷路由器配置标准手册 DCD信号由DCE端发送,DTE 端通过监视DCD信号来检测线路状态变化。但有些线缆〔如 〕的信 号线上没有DCD信号,它CTS或DSR来替代,这时就需要配DCD信号,让同步串可能用 置忽略 行口不 检测线路的载波信号,改用检测其它信号来监视线路状态。 1、配置忽略DCD信号: Ruijie(config)#interfaceinterface-id Ruijie(config-if)#ignore-dcd interface命令用于指定要配置的接口,必须是 ignore-dcd命令用于设DCD置接口忽略 信号。 2、恢复为检测 DCD信号: Ruijie(config)# interfaceinterface-id Serial口, 45 / 146 45 是接口 interface-id号。锐捷路由器配置标准手册 Ruijie(config-if)# noignore-dcd 说明:是否配置忽略 DCD信号取决于使用的线缆。 接口信息的查看 在特权模式下,使用 showinterfaceinterface-id 可查看指定接口的信息。 例如: Ruijie>enable Ruijie#showinterfacesreial1/0 serial1/0isUP,lineprotocolisUP HardwareisInfineonDSCC4PEB20534H-10serial Interfaceaddressis: MTU1500bates,BW2000Kbit EncapsulationprotocolisFRAMERELAY,loopbacknotset Keepaliveintervalis10sec,set Carrierdalayis2sec RXloadis1,Txloadis1 LMIenqrecvd8,LMIstatussent0,LMIupdatesent0 LMIDLCI0LMItypeisCCITT,framerelayDTEinterface broadcasts0 Queueingstrategy:WFQ 3minutesinputrate15bits/sec,0packets/sec 3minutesoutputrate14bits/sec,0packets/sec 1194packetsinput,20226bytes,0nobuffer Received0broadcasts,0runts,0giants 0inputerrors,0CRC,0frame,0overrun,0abort 2052packetsoutput,37755bytes,0underruns 0outputerrors,0collisions,809interfaceresets 11carriertransitions V35DCEcable DCD=upDSR=upDTR=upRTS=upCTS=up 本例显示的是Sreial1/0口的信息。信息中包括:接口状态、协议状态、IP地址、MTU、 Bandwidth、Loopback状态、封装协议类型、协议的相关特征量、接口队列的策略和队列使用情况、接口上报文的输入输出和差 错情况、链路的物理状态等。 配置回环接口 46 / 146 46 锐捷路由器配置标准手册 回环接口的接口名称为 Loopback。 47 / 146 47 锐捷路由器配置标准手册 回环接口具有以下特性: 1、回环接口是一种逻辑接口,是由软件模拟的本地接口。 2、回环接口永远处于 Up状态,发往它的数据包会在设备本地处理。3、回环接口的 协议的设备标识,也可作为 回环接口的配置 IP地址可用来作为 OSPF Teln访问的网络接口。 et 回环接口的配置类似于以太网接口,可把它看作一个虚拟的以太网接口。 1、创立回环接口: Ruijie(config)#interfaceloopbackloopback-id Ruijie(config-if)# ipaddressip-addresssubnet-mask interfaceloopback命令用于指定一个Loopback接口,是接口号。如果Loopbackloopback-id 指定的 接口不 存在,那么创立这个接口。 ipaddress命令用于配置该接口的 IP地址和子网掩码。 由于Loopback接口是自动激活的,所以不需要使用noshutdown 2、删除回环接口: 命令激活此接口。 Ruijie(config)#nointerfaceloopbackloopback-id 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#interfaceloopback0 Ruijie(c ipaddress 48 / 146 48 锐捷路由器配置标准手册 onfig-if)# Ruijie(config-if)# end Ruijie# “loopback0通常〞可简写为“l0。〞 接口信息的查看 在特权模式下,使用 showinterfaceloopbackloopback-id 例如: Ruijie>enable Ruijie#showinterfaceloopback0 Loopback0isUP,lineprotocolisUP HardwareisLoopback Interfaceaddressis: MTU1500bytes,BW8000000Kbit EncapsulationprotocolisLOOPBACK,loopbacknotset Keepaliveintervalis0sec,noset Carrierdalayis2sec RXloadis1,Txloadis1 Queueingstrategy:FIFO 49 / 146 49 可查看指定接口的信息。 锐捷路由器配置标准手册 Outputqueue0/40,0drops; Inputqueue0/75,0drops 5minutesinputrate0bits/sec,0packets/sec 5minutesoutputrate0bits/sec,0packets/sec 0packetsinput,0bytes,0nobuffer Received0broadcasts,0runts,0giants 0inputerrors,0CRC,0frame,0overrun,0abort 0packetsoutput,0bytes,0underruns 0outputerrors,0collisions,0interfaceresets 本例显示的是 Loopback0口的信息。信息中包括:接口状态、协议状态、 IP地址、MTU、Bandwidth、 Loopback状态、封装协议类型、协议的相关特征量、接口队列的策略和队列使用情况、接口上报文的输入输出和过失情况、链路的物理状态等。 第三局部 配置路由 50 / 146 50 锐捷路由器配置标准手册 静态路由和缺省路由的配置 静态路由是手工配置的路由工程,在路由表中标志为 带有“*标〞志。 路由表可以用 showiproute命令查看。 配置静态路由 “S〞。缺省路由主要用于简化路由表,它在路由表中 静态是手工添加的路由工程。 模式:全局配置模式。 1、配置静态路由: Ruijie(config)#iproutenetwork-numbernetwork-maskip-address参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address是下一跳地址。 说明:iproute命令定义的是一条传输路径,可以告知设备把某个地址的数据报送往何处。配置完成后可以使用showiproute命令查看路由表。 2、删除静态路由: Ruijie(config)#noiproutenetwork-numbernetwork-mask 配置举例 1:Ruijie>enable Ruijie#configureterminal Ruijie(config)#iproute iproute 命令表示把所有目的地址在 址处。 配置举例 2: Ruijie>enable Ruijie#configureterminal Ruijie(config)#noiproute 本例删除了路由表中目的地址为 网络的静态路由。 配置默认路由 网络中的数据报发往地 默认路由又称为缺省静态路由,是静态路由的特例,它表示把所有本机不能处理的数据报发往指定的设备。 模式:全局配置模式。 1、配置默认路由: Ruijie(config)#iprouteip-address 参数: 表示任意地址。 ip-address是下一跳地址。 51 / 146 51 锐捷路由器配置标准手册 说明:默认路由的优先级是最低的,设备首先会匹配静态路由和由路由协议生成的路由,只有当没有相匹配的工程时,才按照默认路由指定的地址发送。 2、删除默认路由: Ruijie(config)#noiproute 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#iproute iproute命令表示把所有没有匹配成功的目的地址发往地址 配置缺省网络 处。 缺省网络也是一种缺省路由,用于把本机不能处理的数据报发送往指定位置。但它和缺省静态路由还是有区别的: 缺省静态路由的下一跳地址必须位于路由器直连的网络中,它通常是与路由器的某个接口相连的对端接口地址。 缺省网络不能是和路由器直连的网络,但在路由表中可达。 1、配置缺省网络: Ruijie(config)#ipdefault-network network-number 参数: network- number 是目的地址,一般是一个网络地址。 2、删除缺省网络: Ruijie(config)#noipdefault-network network-number 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipdefault-network ipdefault-network 命令表示把所有没有匹配成功的数据报都发往网络 。 注意:网络不是直连在路由器上的网络,但在路由表中有到达该网络的路由工程, 目可以是静态的也可以是动态的。 配置可被动态路由覆盖的静态路由 这个路由项 52 / 146 52 锐捷路由器配置标准手册 静态路由默认的管理距离是1,而OSPF路由的管理距离是110,RIP路由的管理距离是120。当路由表中存在同一目的地的多个路由项时,管理距离值小的工程优先。所以在默认情况下,静态路由要优先于各种 动态路由。 在有些应用中,我们希望让动态路由的优先级更高,把静态路由作为备用路由使用,只有当动态路由失效时才按照静态路由转发。 配置这种备用的静态路由时,需要修改它的管理距离值。 配置备用的静态路由: Ruijie(config)#iproutenetwork-numbernetwork-maskip-addressdistance 53 / 146 53 锐捷路由器配置标准手册 参数: network-number 是目的地址,一般是一个网络地址。 network-mask 是目的地址的子网掩码。 ip-address是下一跳地址。 distance是管理距离。你应该让它大于你使用的路由协议的管理距离值。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#iproute125本例配置的静态路由的管理距离为 125,这样当路由表有通过路由协议学习到的到达 的表项 时,这个静态路由不起作用。 RI P 协议的配置 RIP是一种距离矢量协议,属于内部网关协议。 RIP协议的特点: RIP协议用跳数来评估路由,跳数最大为 15,所以RIP协议不适合大规模的网络。 RIP协议每隔30秒〔更新时间〕发送路由更新报文。如果一个设备在 180秒〔失效时间〕内没有发送更新 报文,那么该设备提供的路由被设置为不可用;如果再过 120秒〔去除时间〕后仍未发送更新报文,那么删除 到此设备的路由。 R IP 协议使用UDP报文发送路由更新,端RI口号为 P 协议的管理距离是 120。 RI协议有RIPv1和RIPv2两个版本。 P 说明:在路由器和 RIP协议的一般配置 520。 3层交换机上都可以配置 R协议。 IP 1、配置RIP协议: Ruijie(config)#routerrip Ruijie(config-router)#networknetwork-number 54 / 146 54 锐捷路由器配置标准手册 routerrip 命令用于启用 RIP,并进入 RIP的配置模式。 network 命令用于指定参与 RIP路由的网络,它的参数是网络号。如果设备连接了多个网络,你可以用多 条network命令指定它们;如果要指定设备连接的所有网络,可以用 network来表示所有网络。 说明:对于运行 RIP协议的设备,只有用 network命令指定的网络会参与到 RIP发布的路由更新中, 可以 被其它运行RIP协议的设备学习到;而那些没有用network命令指定的网络,不会参与RIP路由,其它设备也不能学习到。 路由配置好后,可以在特权模式下用 showiproute命令查看学习到的路由工程。 2、删除RIP关联的网络: Ruijie(config)#routerrip 55 / 146 55 锐捷路由器配置标准手册 Ruijie(config-router)#nonetworknetwork-number 3、关闭RIP协议: Ruijie(config)#norouterrip 关闭后,本设备的 RIP协议将不再工作。 配置举例 1: Ruijie>enable Ruijie#configureterminal Ruijie(config)#routerrip Ruijie(config-router)#network Ruijie(config-router)#network Ruijie(config-router)#end 本例在设备上启用了 RIP协议,关联的网络是 和。 注意:和都只能是和本设备直连的网络。 配置举例 2: Ruijie>enable Ruijie#configureterminal Ruijie(config)#routerrip Ruijie(config-router)#network Ruijie(config-router)#end 本例用 network 来指定关联所有直连的网络,这样就无需再逐个指定各个接口上的网络了。 RIP协议参数的配置 通常情况下,我们让 RIP协议的各项参数取默认值就行了,无需进行配置,如果需要的话可以用命令 修改它们的值,修改时应该先用 routerrip命令进入 RIP的配置模式。 1、配置默认跳数: Ruijie(config-router)#default-metricnumber 默认跳数是指访问本地网络的花费〔跳数〕。它的取值范围为 1~15,缺省值为 1。 2、配置计时器: Ruijie(config-router)#timersbasicupdateinvalidholddownupdate:更新时间。是发送更新报文的时间间隔。默认为 30秒,有效取值范围是 0~2147483647。 invalid:失效时间。是宣布无效的时间间 180秒,有效取值范围是 1~2147483647。 隔。默认为holddown:去除时间。是对失效工程 120秒,有效取值范围是 0~2147483647。 保持的时间。默认为 3、配置邻居: Ruijie(config-router)#neighborip-addressRIP协议是用播送发布路由更新的,设置邻居可以使 ip-address是邻居路由器的地址。 4、设置RIP版本: RIP和非播送网络的路由器交换路由信息。命令中的 56 / 146 56 锐捷路由器配置标准手册 Ruijie(config-router)#versionversion-numberversion -number 的取值 为 1或 2。默认情况RIP协议可接RIPv1 下, 收 和 RIPv的报文,发RIPv的报文。 2 送 1 用version1命令可设置为仅发送和接收 RIPv1的报文,用 version2命令可设置为仅 发送和接收 的报文。另外,你也可以用 ipripsend|receiveversion命令设置各个接口发送和接收的版本。 RIPv257 / 146 57 锐捷路由器配置标准手册 OSPF协议的配置 OSPF是一种基于链路状态的内部网关路由协议。 OSPF协议的特点: OSPF协议用链路状态来评估路由,可用于规模很大的网络。 OSPF可通过区域划分网络,对于规模较小的网络一般只设置一个区域 多个区域,其中区域 0是必不可少的,它用于连接其它各区域。 OSPF协议采用组播方式进行 OSPF包交换,组播地址为 〔全部 路由器〕。OSPF 协议的管理距离是 110,低于 RI协议120,所以如果设备同时P 的 运行 0,对于规模较大的网络,可划分 OSPF路由器〕和 〔指定 OSPF协议和 RI协议,P 那么 OSPF协议产生的路由优先级高。 说明:在路由器和 3层交换机上都可以配置 OSPF协议的一般配置 OSPF协议。 1、配置OSPF协议: Ruijie(config)#routerospfprocess-id Ruijie(config-router)#networknetwork-numberwildcard-mask areaarea-id routerospf命令用于启用 OSPF,并进入OSPF的配置模式。 process-id是进程号,用于路由器内部。 network 命令用于指定参与 OSPF路由的网络,参数 network-number是网络号,wildcard-mask是通配符掩 码,area-id是区域号。 说明: 通配符掩码用于指定网络号中有效的位,取 “0〞表匹配该位,取代 “1代〞表忽略该位。很多情况下,通配符 掩码是子网掩码的反码。 路由配置好后,可以在特权模式下用 showiproute命令查看学习到的路由工程。 2、删除OSPF中配置的工程: Ruijie(config)#routerospf Ruijie(config-router)#nonetworknetwork-numberwildcard-maskareaarea-id3、关闭OSPF协议: Ruijie(config)#norouterospfprocess-id 关闭后,本设备的 OSPF协议将不再工作。 配置举例 1: Ruijie>enable Ruijie#configureterminal 58 / 146 58 锐捷路由器配置标准手册 Ruijie(config)#routerospf1 Ruijie(config-router)#networkarea0 Ruijie(config-router)#networkarea0 Ruijie(config-router)#end 本例在设备上启用了OSPF协议,关联的网络是 配置举例2: 和。 59 / 146 59 锐捷路由器配置标准手册 Switch>enable Switch#configureterminal Switch(config)#routerospf1 Switch(config-router)#networkarea0 Switch(config-router)#end 本例在设备上启用了 OSPF协议,关联的网络是所有形如 第四局部 的网络。 广域网协议配置 HDLC协议是一种简单、高效的点到点链路协议,主要用于点到点连接的路由器间的通信。 HDLC协议有 CiscoHDLC 和ISODHLC 两种,两者不能兼容。 锐捷路由器的同步串行口默认封装 CiscoHDLC,所以锐捷路由器可以和 Cisco路由器直接相连, 但如果把 锐捷路由器和不支持 CiscoHDLC的路由器相连,就需要采用其它协议〔如 PPP〕。 配置接口的 HDLC封装 由于锐捷路由器的 Serial口默认封装就是 曾把它改为其它封 装协议,可以再用命令改回 HDLC封装。 HDLC,所以通常不需要再去配置它,除非你 60 / 146 60 锐捷路由器配置标准手册 配置接口采用 HDLC封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationhdlc interface命令用于指定要配置的接 口,必须是 Serial口,是接口号。 encapsulationhdlc命令指定该接口采用interface-id协议 HDLC 封装。 配置举例: 61 / 146 61 锐捷路由器配置标准手册 R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(config-if)#encapsulationhdlc R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationhdlc 本例配置点到点相连的两个路由器采用 HDLC协议进行通信。 配置keepalive时间 HDLC每隔10秒钟就互相发送链路探测的协商报文〔 KeepAlive报文〕,用于探查链路是否中断,每次收 发的报文按序号递增,序号失序那么链路中断。当接口连续 3次〔数据包速率超过 1000packets/s时为6次〕 没有收到对方对自己的递增序号确实认时, HDLC协议就把链路状态由 Up转变为Down,链路将不可用。 HDLC协议可配置的参数只有 Keepalive的间隔时间,缺省值是 10秒。可以根据链路的流量来修改这个值。 1、配置keepalive时间: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# keepalivesecondsin terfac命令用于指定要配置的接口,e 必须是 Serial口,interface-id 是接口号。 keepalive命令设置 keepalive时间,seconds是以秒为单位的时间值。 2、忽略keepalive探查: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# nokeepalive 使用 nokeepalive命令表示不进行 HDLC 链路状态探查,即不发送 keepalive报文,也不处理收到的 keepalive报文。 配置举例: R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(config-if)#encapsulationhdlc R1(config-if)#keepalive15 62 62 / 146 锐捷路由器配置标准手册 R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationhdlc R2(config-if)#keepalive15 63 / 146 63 锐捷路由器配置标准手册 注意:你必须保证相连两端的 keepalive时间相同。 协议配置 协议是一种应用广泛的点到点链路协议,主要用于点到点连接的路由器间的通信。 PPP协议既可以用于同步通信,也可以用于异步通信,本局部只讨论同步接口上的 PPP配置。 锐捷路由器的同步串行口默认封装 CiscoHDLC,所以当把锐捷路由器和不支持 CiscoHDLC的路由器相连 时,通常采用 PPP协议。 PPP协议支持验证功能,对于有验证要求的网络环境应采用 PPP协议。 配置接口的 PPP封装 由于锐捷路由器的 Serial口默认封装是 HDLC,如果需要使用 PPP封装,需要配置它的封装协议。 1、配置接口采用 PPP封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationppp interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 encapsulationppp命令指定该接口采用 PPP协议封装。 2、去除接口的 PPP封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noencapsulationppp 去除接口的 PPP封装后,该接口采用默认的封装协议。 配置举例: R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(config-if)#encapsulationppp R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationppp 本例配置点到点相连的两个路由器采用 PPP协议进行通信。 注意:你必须保证相连的接口使用相同的协议,不同协议间是不能通信的。 64 / 146 64 锐捷路由器配置标准手册 配置PPP协商超时时间 65 / 146 65 锐捷路由器配置标准手册 PPP协议在建立链路时有一个协商过程, 其内容包括工作方式、 身份验证、地址等,其中的LCP协商和IPCP 协商都有个超时时间,当时间到时, LCP将重新发送请求。 当异种设备进行互联时,有可能出现两边的超时时间不一致的情况,这时可使用命令修改这个时间,使它们保持一致。 1、配置超时时间: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# pppnegotiation-timeoutseconds interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 pppnegotiation-timeout 命令设置 PPP的LCP协商的超时时间, seconds是以秒为单位的时间值。 2、恢复默认协商超时时间: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# nopppnegotiation-timeout 锐捷路由器默认的协商超时时间为 3秒。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#interfaces0/0 Ruijie(config-if)# encapsulationppp Ruijie(config-if)# pppnegotiation-timeout10 本例把Serial0/0口的LCP协商的超时时间设置为 配置CHAP验证 10秒。 PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了 PPP封装就可以进行通信。 验证的目的防止未经授权的用户接入。配置了验证后,在建立 PPP连接时,效劳端会核实客户端的身份, 如果身份合法,那么可以建立 PPP连接。 协议支持两种验证方法:PAP和CHAP,配置时只需配置其中的一种。 CHAP验证采用三次握手验证: 1、验证由效劳端发起,它向用户端发送一个随机性的询问消息; 2、客户端用自己的名字和密码对这个消息用 MD5算法加密,把密文发回效劳端;66 / 146 66 锐捷路由器配置标准手册 3、效劳端用自己保存的客户端名字和密码对原消息用 发送接受消息,否那么拒绝连接。 由于CHAP验证不在网络中传输用户名和密码,平安性比 配置CHAP效劳端 D5 M算法加密,把密文和收到的密文比拟,相同那么 验证好。 PAP 效劳端需要配置一个数据库,保存客户端的用户名和密码。1、在效劳端配置 CHAP验证: Ruijie(config)#usernameusernamepasswordpassword Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationppp Ruijie(config-if)# pppauthenticationchap username...password命令用于向数据库中添加客户端的用户名和密码。 interface命令用于指定要配置的接口,必须是 Serial口,interface-id encapsulationppp命令指定该接口采用 PPP协议封装。 pppauthenticationchap命令用于在该接口上启用 CHAP验证。 2、取消配置的 CHAP验证: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# nopppauthenticationchap 配置举例: R1>enable R1#configureterminal R1(config)#usernamecomhostpasswordcomword R1(config)#interfaces0/0 R1(config-if)#encapsulationppp R1(config-if)#pppauthenticationchap本 例中 R1是效劳端,它Serial0口配置密码在 /0 了 为 comword。 配置CHAP客户端 PPP协议,采用 CHAP 验证用户身份, 用 户名为 comhost, 是接口号。 67 / 146 67 锐捷路由器配置标准手册 如果效劳端要求进行 CHAP验证,客户端需要使用效劳端提供的用户名和密码加密询问消息。 方法一: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationppp Ruijie(config-if)# pppchaphostnameusername Ruijie(config-if)# pppchappasswordpassword 68 / 146 68 锐捷路由器配置标准手册 interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 encapsulationppp命令指定该接口采用 PPP协议封装。 chaphostname命令配置CHAP验证使用的用户名,该名字必须和效劳端数据库中的名字相同。 chappassword命令配置CHAP验证使用的密码,该密码必须和效劳端数据库中的密码相同。配置举例: R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationppp R2(config-if)#pppchaphostnamecomhost R2(config-if)#pppchappasswordcomword 本例中R2是客户端,它在Serial0/0口配置了PPP协议以及CHAP验证所需的用户名和密码,这里的用户名和密码由效劳端提供。 方法二: 在默认情况下,客户端把自己的主机名作为 CHAP验证的用户名使用, 所以可以把效劳端提供的用户名设 置为主机名进行 CHAP验证。 配置举例: R2>enable R2#configureterminal R2(config)#hostnamecomhost comhost(config)#interfaces0/0 comhost(config-if)#encapsulationppp comhost(config-if)#pppchappasswordcomword 本例把R2路由器的名字设置为验证使用的 用户名,在 需的密码即可。 配置双向 CHAP验证 CHAP 验证可以配置为双向的,两端都需要验证对方的身份,只有双方的验证都通过了, 立。 配置举例: R1端验证的用户名为 aaa,密码为 123;R2端验证的用户名为 R1>enable R1#configureterminal R1(config)#usernamebbbpassword456 R1(config)#interfaces0/0 R1(config-if)#encapsulationppp R1(config-if)#pppchaphostn ameaaa R1(config-if)#pppchappassword123 R1(config-if)#pppauthenticationchap Serial0口只需配PPP协议以/0 置 及 CHAP 验证 所 PPP连接才会建 69 / 146 69 锐捷路由器配置标准手册 bbb,密码为 说明: 456。 R也是如此。 2 R1端数据库中存放的对端的用户名和密码;接口上配置的是本地的用户名和密码。 R2>enable R2#configureterminal 70 / 146 70 锐捷路由器配置标准手册 R2(config)#usernameaaapassword123 R2(config)#interfaces0/0 R2(config-if)#encapsulationppp R2(config-if)#pppchaphostnamebbb R2(config-if)#pppchappassword456 R2(config-if)#pppauthenticationchap 为了简化 CHAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。 如果一台路由器需要配 置多个接口的 CHAP验证,通常也只配置一个公用用户名和公用密码,这已经可以起到验证效果,而配置 过程可以简化许多。置 配 PAP验证 PPP协议支持验证功能,默认情况下是不使用验证的,此时只要在两端配置了 PPP封装就可以进行通信。 验证的目的防止未经授权的用户接入。配置了验证后,在建立 PPP连接时,效劳端会核实客户端的身份, 如果身份合法,那么可以建立 PPP连接。 协议支持两种验证方法:PAP和CHAP,配置时只需配置其中的一种。 PAP验证采用两次握手验证: 1、验证由客户端发起,它向效劳端发送用户名和密码; 2、效劳端查询自己的数据库,如果有匹配的用户名和密码,那么验证通过,发送接受消息,否那么拒绝连接。 由于PAP验证采用明文在网络中传输用户名和密码,平安性比 CHAP验证差。 配置PAP效劳端 71 / 146 71 锐捷路由器配置标准手册 效劳端需要配置一个数据库,保存客户端的用户名和密码。 1、在效劳端配置 PAP验证: Ruijie(config)#usernameusernamepasswordpassword Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationppp Ruijie(config-if)# pppauthenticationpap username...password命令用于向数据库中添加客户端的用户名和密码。 72 / 146 72 锐捷路由器配置标准手册 interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 encapsulationppp命令指定该接口采用 PPP协议封装。 pppauthenticationpap命令用于在该接口上启用 PAP验证。 2、取消配置的 PAP验证: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# nopppauthenticationpap 配置举例: R1>enable R1#configureterminal R1(config)#usernamecomhostpasswordcomword R1(config)#interfaces0/0 R1(config-if)#encapsulationppp R1(config-if)#pppauthenticationpap 本例中R1是效劳端,它在 Serial0/0口配置了 PPP协议,采用 PAP验证用户身份,用户名为 comhost, 密码为 comword。 配置PAP客户端 在PAP验证,客户端需要向效劳端发送用户名和密码,由效劳端检查用户的合法性。在客户端配置PAP验证: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationppp Ruijie(config-if)# ppppapsent-usernameusernamepasswordpassword interface命令用于指定要配置的接口,必须是 Serial口,interface-id是接口号。 encapsulationppp命令指定该接口采用 PPP协议封装。 ppppapsent-username命令配置 PAP验证发送的用户名和密码, 该名字和密码必须和效劳端数据库中的名 字和密码相同。 配置举例: R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationppp R2(config-if)#ppppapsent-usernamecomhostpasswordcomword 本例中R2是客户端,它在 Serial0/0口配置了 PPP协议以及 PAP验证所需的用户名和密码,这里的用户 名和密码由效劳端提供。 73 / 146 73 锐捷路由器配置标准手册 配置双向 PAP验证 74 / 146 74 锐捷路由器配置标准手册 PAP验证可以配置为双向的, 两端都需要验证对方的身份, 只有双方的验证都通过了, PPP连接才会建立。 配置举例: R1和R2之间的PPP连接采用 PAP验证,验证的用户名都为 aaa,密码都为 123。 R1>enable R1#configureterminal R1(config)#usernameaaapassword123 R1(config)#interfaces0/0 R1(config-if)#encapsulationppp R1(config-if)#ppppapsent-usernameaaapassword123 R1(config-if)#pppauthenticationpap R2>enable R2#configureterminal R2(config)#usernameaaapassword123 R2(config)#interfaces0/0 R2(config-if)#encapsulationppp R2(config-if)#ppppapsent-usernameaaapassword123 R2(config-if)#pppauthenticationpap 为了简化 PAP验证的配置,我们通常把两端验证的用户名和密码设置成相同的。 如果一台路由器需要配置 多个接口的 PAP验证,通常也只配置一个公用用户名和公用密码, 这已经可以起到验证效果, 而配置过程 可以简化许多。 帧中继协议配置 帧中继(FrameRelay)是一种不可靠连接的点到多点的链路层协议。主要用于把远距离的局域网互联起来,使它们成为一个局域网。 75 / 146 75 锐捷路由器配置标准手册 帧中继网络由网络运营商 (ISP)建立和维护,对于需要使用帧中继效劳的局域网用户,只需要向 ISP提出申 请,租用一条虚电路,就可以利用帧中继把处于异地的局域网互联起来。 帧中继虚电路由 ISP在组成帧中继网络的帧中继交换机上配置而成,局域网用户需要通过路由器把局域网 76 / 146 76 锐捷路由器配置标准手册 接入帧中继网络,并进行适当配置。 点到点的帧中继配置 点到点帧中继使用物理接口接入,只能用于两个局域网的互联,需要向 接入帧中继的路由器需要配置以下内容: ①在接口上配置帧中继封装。 ISP租用一条虚电路。 帧中继封装有Cisco和ietf两种类型,你必ISP一侧使用相同的封装类型。须保证和 目前国内的 使用ietf封装。 ②在接口上配置LMI类型。 L提供了帧中继连接状态检测等辅助效劳功能,LMI ISP多 MI 有Q933a、Cisco和ANSI三种类型,你 必须保 ISP的LMI 证和ISP一侧使用相同的LMI。目前国内的ISPA类型。有些路由器可多使用 NSI 自动检测 类型,并自动调整为相同类型,这种路由器不需要手工配置 ③在接口上配置IP地址。 LMI类型。 接口的IP地址由局域网管理员规划并配置,你需要保证两边的接口 IP在同一个网络中,即 R1的S0/0口 和R2的S0/0口的IP地址需要在同一个网络中。 ④在接口上配置静态映射或动态映射。 地址映射是建立远端设备的IP地址和本地DLCI地址的对应关系。默认使用动态映射,这时,映射 77 / 146 77 锐捷路由器配置标准手册 关系由反向ARP协议自动建立,一般不需要配置。如果使用静态映射,那么映射关系是手动建立的,它主要用于 那些不支持动态映射的设备。 1、连接帧中继网络的接口的一般配置: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# encapsulationframe-relayietf Ruijie(config-if)# frame-relaylmi-type q933a|ansi|cisco Ruijie(config-if)# ipaddressip-addresssubnet-mask Ruijie(config-if)# frame-relaymapipip-addressdlci Ruijie(config-if)# noshutdown interface Serial interface-id encapsulationframe-relay 命令指定该接口采用帧中继封装, 锐捷路由器默认的封装类型是 是ietf类型,需要加上 ietf关键字。 frame-relay Cisco,如IS果 P lmi-type 命令指定接口的 L类型,锐捷路由器默MI 认的 MI L类型是 q933a。如果路由器有自 动检测 MI L类型的功能,此项配置可以不做。 ipaddress命令配置接口的 IP地址和子网掩码。 frame-relaymapip 命令用于配置静态映射。其中的 是本地虚电路的 ip-是远端IP地 address 设备的 址,dlci 78 / 146 78 锐捷路由器配置标准手册 DLCI地址。一般情况下,我们可以使用动态映射,此时可不使用此命令,只有远端设备不支持动态映射时,才使用动态映射。 noshutdown命令激活此接口。 2、取消接口的帧中继封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noencapsulation noencapsulation命令恢复接口的默认封装类型,锐捷路由器默认的封装类型是 HDLC。 配置举例 1: ISP的帧中继网络的报文封装类型为ietf。两个局域网通过ISP的帧中继网络进行互联,虚电路由ISP配置。以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(config-if)#encapsulationframe-relayietf R1(config-if)#ipaddress R1(config-if)#noshutdown R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationframe-relayietf R2(config-if)#ipaddress R2(config-if)#noshutdown 以上配置中,假设 R1、R2路由器都支持自LMI类型的功能,都支持动态映射。配置完成动检测 后,从效 R1、R2上 配置静 果上来看,R1和R2是通过Serial0/0口直接连接在一起一样。之就好似 后,你可以在 态路由或路由协议,实现两边网络的通信。 配置举例2: ISP的帧中继网络的报文封装类cisco,LMI类型为ansi。两个局域网ISP的帧中继 79 / 146 79 锐捷路由器配置标准手册 型为 通过 网络进 行互联,虚ISP配置,接入路由器不支持动R1端的DLCI地址为20,R2端的DLCI地电路由 态映射, 址 为70。以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(conencapsulationframe-fig-if)# relay R1(conframe-relaylmi-fig-if)# typeansi R1(config-if)# ipaddress 80 / 146 80 锐捷路由器配置标准手册 R1(config-if)#frame-relaymapip20 R1(config-if)#noshutdown R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationframe-relay R2(config-if)#frame-relaylmi-typeansi R2(config-if)#ipaddress R2(config-if)#frame-relaymapip70 R2(config-if)#noshutdown frame-relaymap命令配置的是静态映射。其中的 IP 地址是对端设备的 IP地址, DLC地址是本地虚电 I 路 的DLCI地址。使用静态映射时,DLCI地址由ISP提供,如果ISP更改了DLCI地址,相应的配置也需要修改,而 动态映射没有这个问题。 点到点子接口的帧中继配置 什么时候使用点到点子接口的帧中继? 假设一个公司有多个子公司,分散在不同的地区,各个子公司都需要接入母公司的局域网。 如果使用点到点的帧中继,那么每条虚电路需要使用一个物理接口,这样物理接口很快就耗尽了。如图: 子接口是一种逻辑接口,在一个物理接口上可定义多个子接口,利用子接口可使一个物理接口连接多个帧 中继。如图:〔图中的R1连接了两个帧中继,使用了R1路由器的S0/0一个物理接口,该接口上定义了、两个子接口。〕 81 / 146 81 锐捷路由器配置标准手册 所以,当一台路由器需要连接多个帧中继,而物理接口不够用时,应该使用点到点子接口的帧中继。 点到点子接口的帧中继配置 定义帧中继子接口的路由器需要配置以下内容: ①在接口上配置帧中继封装。 帧中继封装有Cisco和ietf两种类型。一般我们把封装类型定义在物理接口上,这样,它上面所有的子接口都使用相同的封装类型。你也可以让不同子接口使用不同的封装类型,不过这种情况很少见。②在接口上配置 LMI类型。 LMI 提供了帧中继连接状态检测等辅助效劳功能, LMI 证和ISP一侧使用相同的 LMI。目前国内的 ISP多使用 类型,并自动调整为相同类型,这种路由器不需要手工配置 ③创立点到点子接口。 有Q933a、Cisco和ANSI 三种类型,你必须保 ANSI 类型。有些路由器可自动检测 ISP的LMI LMI类型。 在一个物理接口上创立的子接口数量原那么上不受限制,但由于它们要共享物理接口的带宽,所以应根据实际情况创立。 ④在子接口上配置 IP地址。 每个子接口都可以象物理接口一样配置 IP地址,需要注意的是,使用了子接口后,在物理接口上不能有 IP地址。 ⑤在子接口上配置 DLCI地址。 DLCI 地址是帧中继使用的第二层地址,用于标识一条虚电路,在使用子接口的环境中,由于在物理接口 上连接了多条虚电路,需要用DLCI地址来区分各子接口所连接的虚电路。虚电路的DLCI地址由ISP提供,我们需要把它配置在相应的子接口上。 ⑥在子接口上配置静态映射或动态映射。 地址映射是建立远端设备的IP地址和本地DLCI地址的对应关系。默认使用动态映射,这时,映射关系由反向ARP协议自动建立,一般不需要配置。如果使用静态映射,那么映射关系是手动建立的, 82 82 / 146 锐捷路由器配置标准手册 它主要用于 那些不支持动态映射的设备。 用子接口连接帧中继网络的一般配置: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# number point-to-point encapsulationframe-relayietf frame-relaylmi-type q933a|ansi|cisco noshutdown interfaceinterface-id.subinterface- 83 / 146 83 锐捷路由器配置标准手册 Ruijie(config-subif)# ipaddressip-addresssubnet-mask Ruijie(config-subif)# frame-relayinterface-dlci dlci Ruijie(config-subif)# frame-relaymapipip-addressdlciinterface命令用于指定要配置的接口,必须是 encapsulationframe-relay Serial口,interface-id是接口号。 命令指定该接口采用帧中锐捷路由器默认的封 继封装, 装类型是 Cisco,如果ISP 是ietf类型,需ietf关键要加上 字。 frame-relaylmi-type命令指定接类型,锐捷路由口的LMI 器默认的 动检测LMI类型的功能,此项配置可以不做。 noshutdown命令激活此接口。 LMI类型是q933a。如果路由 器有自 interface...point-to-point命令创立一个点到点类型的子接口。 ipaddress命令配置子接口的IP地址和子网掩码。 frame-命令配置子 relayinterface-dlci 接口的 frame-relaymapip命令用于配置静态映射。其中的 DLCI地址。 ip-address是远端设备的IP地址,dlci是本地虚电路的 DLCI地址。一般情况下,我们可以使用动态映射,此时可不使用此命令,只有远端设备不支持动态映射时,才使用动态映射。 2、取消接口的帧中继封装: Ruijie(config)#interfaceinterface-id Ruijie(config-if)# noencapsulation noencapsulation命令恢复接口的默认封装类型,锐捷路由器默认的封装类型是 HDLC。 配置举例 1: ISP 的帧中继网络的报文封装类型为 ietf,路由器可自动检测 LMI类型。 进行互联, 84 / 146 84 锐捷路由器配置标准手册 使用了 Serial0/0的两个子接口,路由器都支持动态映射。 说明:DLCI 地址是帧中继效劳商提供的,它只在本地有效,所以同一条虚电路两端的 同。 以下是局域网管理员在接入路由器上的配置。 R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(config-if)#encapsulationframe-relayietf R1(config-if)#noshutdown R1(config-if)#interfacepoint-to-point R1(config-subif)#ipaddress R1(config-subif)#frame-relayinterface-dlci30 85 / 146 85 R2、通过帧中继R3 与 R1 DLCI 地址可以不 锐捷路由器配置标准手册 R1(config-subif)#interfacepoint-to-point R1(config-subif)#ipaddress R1(config-subif)#frame-relayinterface-dlci31 R1(config-subif)#end R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(conencapsulationframe-fig-if)# relayietf R2(config-if)# R2(config-if)# R3>enable ipaddress noshutdown R3#configureterminal R3(config)#interfaces0/0 R3(conencapsulationframe-fig-if)# relayietf R3(config-if)# R3(config-if)# ipaddress noshutdown 说明:本例中,只有R1采用的是点到点子接口的R2和R3采用的都是点到点的帧中帧中继, 继,所以在 R2和R3上不需要创立子接口,也不需要配置 配置举例2: DLCI地址。 拓扑同R2和R3不支持动态映射,改用静态映射建立上,但 远端设备的 IP地址和本地DLCI地 址的对应 86 / 146 86 锐捷路由器配置标准手册 关系。 R1>enable R1#configureterminal R1(config)#interfaces0/0 R1(conencapsulationframe-fig-if)# relayietf R1(config-if)# noshutdown R1(coninterfacepoint-to-fig-if)# point R1(config-subif)#ipaddress R1(config-subif)#frame-relayinterface-dlci30 R1(config-subif)#frame-relaymapip30 R1(config-subif)#interfacepoint-to-point R1(config-subif)#ipaddress R1(config-subif)#frame-relayinterface-dlci31 R1(config-subif)#frame-relaymapip31 R1(config-subif)#end R2>enable R2#configureterminal R2(config)#interfaces0/0 R2(config-if)#encapsulationframe-relayietf R2(config-if)#ipaddress R2(config-subif)#frame-relaymapip50 R2(config-if)#noshutdown 87 / 146 87 锐捷路由器配置标准手册 R3>enable R3#configureterminal R3(config)#interfaces0/0 R3(config-if)#encapsulationframe-relayietf R3(config-if)#ipaddress R3(config-subif)#frame-relaymapip19 R3(config-if)#noshutdown 说明:使用静态映射时,需要知道远端的IP地址和本地的DLCI地址,由于DLCI地址由帧中继效劳商提供,如果效劳商更改了DLCI地址,管理员就需要重新配置。 第五局部 NAT的配置 静态NAT配置 网络地址转换 (NAT)用于把一个 IP地址转换为另一个 IP地址。 NAT的一些术语: 1、内部本地地址 (InsideLocalAddress) 指本网络内部主机的 IP地址。该地址通常是未注册的私有 IP地址。 2、内部全局地址 (InsideGlobalAddress) 指内部本地地址在外部网络表现出的 IP地址。它通常是注册的合法 IP地址,是NAT对内部本地地址转换 后的结果。 3、外部本地地址 (OutsideLocalAddress) 指外部网络的主机在内部网络中表现的 IP地址。 4、外部全局地址 (OutsideGlobalAddress) 指外部网络主机的 IP地址。 5、内部源地址 NAT 把InsideLocalAddress 转换为 InsideGlobalAddress。这也是我们通常所说的 NAT。在数据报送往外网时, 它把内部主机的私有 IP地址转换为注册的合法 IP地址,在数据报送入内网时,把地址转换为内部的私有 IP地址。 6、外部源地址 NAT 把OutsideGlobalAddress 转换为 OutsideLocalAddress。这种转换只是在内部地址和外部地址发生重叠时 使用。 7、NAPT NAPT又称portNAT或PAT,它是通过端口复用技术,让一个全局地址对应多个本地地址,以节省对合 法地址的使用量。 本局部只讨论内部源地址的静态 NAT和静态NAPT的配置。 静态NAT的配置 88 / 146 88 锐捷路由器配置标准手册 这里指的是内部源地址的静态 NAT的配置。它有以下特征: 1、内部本地地址和内部全局地址是一对一映射。 2、静态NAT是永久有效的。 通常我们为那些需要固定合法地址的主机建立静态 NAT,比方一个可以被外部主机访问的 Web网站。 1、静态NAT的配置: Ruijie(config)#ipnatinsidesourcestaticlocal-addressglobal-address[permit-inside]这个命令用于指定内部本地地址和内部全局地址的对应关系。 如果加上 permit-inside 关键字,那么内网机既能用本地地址访问,也能用全局地址访问该主机,否那么只能用本地地址的主 访问。 Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# ipnatinside 以上命令指定了网络的内部接口。Ruijie(c onfig-if)# interfaceinterface-id Ruijie(config-if)# ipnatoutside 以上命令指定了网络的外部接口。 你可以配置多个 Inside和Outside接口。 2、删除配置的静态 NAT: Ruijie(config)#noipnatinsidesourcestaticlocal-addressglobal-address[permit-inside] 该命令NAT表中指定的工程,不影可删除 响其它 如果在接口上使用 noipnatinside或noipnatoutside NAT的应用。 命令,那么可停止该接口的 NAT检查和转换,会影响 各种NAT的应用。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)# ipnatinsidesourcestatic 89 / 146 89 锐捷路由器配置标准手册 Ruijie(config)# Ruijie(config)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie# ipnatinsidesourcestaticpermit-inside interfacef0/0 ipaddress ipnatinside noipredirects noshutdown interfaces1/0 ipaddress ipnatoutside noshutdown end 本例定义了两条静态 NAT,私有地址 与合法地址 对应。 第一条静态 NAT没有使用 permit-inside 与合法地址 关键字,内部主机只能用 对应,私有地址 访问该主机。第二条静态 NAT使 permit-inside关键字,内部主机可以用 访问,也能用 访问该主机, 用了 此时最好inside口上添加 noipredirects命令,可防止该接口发送重定向报文,提高路由器效率。在 90 / 146 90 锐捷路由器配置标准手册 静态NAPT的配置 静态NAPT可以使一个内部全局地址和多个内部本地地址相对应,从而可以节省合法 IP地址的使用量。 它有以下特征: 1、一个内部全局地址可以和多个内部本地地址建立映射,用 IP地址+端口号区分各个内部地址。 2、从外部网络访问静态 NAPT映射的内部主机时,应该给出端口号。 3、静态NAPT是永久有效的。 1、静态NAPT的配置: Ruijie(config)#ipnatinsidesourcestatic{tcp|udp} local-addressportglobal-addressport [permit-inside] 这个命令用于指定内部本地地址和内部全局地 址的对应关系, 息。如果加上 其中包括IP地址、端口号,使用的协议等信 permit-inside关键字,那么内网的主机既能用本地地址访问,也能用全局地址访问该主机,否 那么只能用本地地址访问。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipnatinside 以上命令指定了网络的内部接口。 Ruijie(config-if)# Ruijie(config-if)# interfaceinterface-id ipnatoutside 以上命令指定了网络的外部接口。 你可以配置多个 Inside和Outside接口。 2、删除配置的静态NAPT: Ruijie(noipnatinsidesourcestatilocal-addressportglobal-[permit-config)# c{tcp|udp} addressport inside] 该命令NAT表中指定的工程,不影N可删除 响其它 AT 如果在接的应用。 noipnatinside或noipnatoutside命令,那么可停止该检查和转换,91 / 146 91 锐捷路由器配置标准手册 口上使用 接口的NAT 会影响 各种NAT的应用。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)# Ruijie(config)# Ruijie(config)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# ipnatinsidesourcestatictcp8080 ipnatinsidesourcestatictcp808080 interfacef0/0 ipaddress ipnatinside noshutdown interfaces1/0 ipaddress ipnatoutside noshutdown end Ruijie# 本例中假设内网中有两个 Web网站,第一个网站在内网中的地址为 ,在外网中可用 访问,第二个网站在内网中的地址为 ,在外网中可用 200.6.15.1:8080 访问,两个网站从外网 来看,IP地址相同,但端口号不同。 如果想让内网用户也可用全局地址访问网站,需要加上 permit-inside关键字。 92 / 146 92 锐捷路由器配置标准手册 说明:如果有条件,尽量不要用outside接口的IP地址作为内部全局地址,该地址属于网络效劳商它常会因线路变更等原因而改变,这样就需要更改相应的DNS记录。 动态NAT配置 (ISP), 网络地址转换 AT N 的一些术语: (NAT)用于把一个 IP地址转换为另一个 IP地址。1、内部本地地址 指本网络内部主机的 2、内部全局地址 (InsideLocalAddress) I地址。该地址通常是未注册P 的私有 IP地址。 (InsideGlobalAddress) I地址。它通常是注册的P 合法 指内部本地地址在外部网络表现出的 后的结果。3、外部本地地址 IP地址,是 AT N对内部本地地址转换 (OutsideLocalAddress) 指外部网络的主机在内部网络中表 现的 IP 地址。 4、外部全局地址 (OutsideGlobalAddress) 指外部网络主机的 P 5、内部源地址 把 I地址。 NAT InsideLocal转换 Address 为 InsideGlobalAddress。这也是我 们通常所说的 NAT。在数据报送往外网时, 93 / 146 93 锐捷路由器配置标准手册 它把内部主机的私有 IP地址转换为注册的合法 IP地址,在数据报送入内网时,把地址转换为 内部的私有I P 地址。 6、外部源地址 NAT 转换为 把 OutsideGlobalAddress 使用。 7、NAPT OutsideLocalAddress。这种转换只是在内部地址和外部地址发生重叠时 NAPT又称portNAT或PAT,它是通过端口复用技术,让一个全局地址对应多个本地地址,以节省对合法地址的使用量。本局部只讨论内部源地址的动态 动态NAT的配置 NAT 和动NAPT 的配置。 态 这里指的是内部源地址的动态 NAT的配置。它有以下特征: 1、内部本地地址和内部全局地址是一对一映射。 2、动态NAT是临时的,如果过了一段时间没有使用,映射关系就会删除。 动态映射需要把合法地址组建成一个地址池,当内网的客户机访问外网时,从地址池中取出一个地址为它建立NAT映射,这个映射关系会一直保持到会话结束。 动态NAT的配置: Ruijie(config)#ipnatpoolpool-namestart-addressend-addressnetmasksubnet-mask 94 / 146 94 锐捷路由器配置标准手册 这个命令用于定义一个IP地址池,pool-name是地址池的名字,start-address是起始地址,end-address是结束地址,subnet-mask是子网掩码。地址池中的地址是供转换的内部全局地址,通常是注册的合法地址。 Ruijie(config)#access-listaccess-list-numberpermitaddresswildcard-mask 这个命令定义了一个访问控制列表, access-list-number是表号,address是地址,wildcard-mask是通配符掩 码。它的作用是限定内部本地地址的格式,只有和这个列表匹配的 地址才会进行 Ruijie(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name NAT转换。 这个命令定义NAT,access-list-number是访问列pool-name是地址池的名了动态 表的表号, 字。它表示把 和列表匹配的内部本地地址,用地址池中的地址建立 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# NAT映射。 ipnatinside 以上命令指定了网络的内部接口。 Ruijie(config-if)# Ruijie(config-if)# interfaceinterface-id ipnatoutside 以上命令指定了网络的外部接口。 你可以配置多个 Inside和Outside接口。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipnatpoolnpnetmask Ruijie(config)#access-list1permit Ruijie(config)#access-list1permit Ruijie(config)#ipnatinsidesourcelist1poolnp Ruijie(config)#interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatinside Ruijie(config-if)# noshutdown Ruijie(config-if)# interfaces1/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatoutside Ruijie(config-if)# noshutdown 95 / 146 95 锐捷路由器配置标准手册 Ruijie(config-if)# end Ruijie# 本例把合法地址组建为一个地址池,地址范围是 192.168.10.*和 ,内网中客户机的地址都是 192.168.20.*的格式,当这种地址访问外网时,会用地址池中的地址建立 N映射。 AT 说明:访问列表的定义不要太宽,应尽量准确,否那么可能会出现不可预知的结果。 动态NAPT的配置 动态NAPT可以使一个内部全局地址和多个内部本地地址相对应,从而可以节省合法 它有以下特征: 1、一个内部全局地址可以和多个内部本地地址建 立映射,用 I地址+端口号区分各个内部地址。路由器中每个全局地址最多可提供 64512个NAT地址转P 〔锐捷 换〕 2、动态NAPT是临时的,如果过了一段时间没有使用,映射关系就会删除。 I地址的使P 用量。 96 / 146 96 锐捷路由器配置标准手册 3、动态NAPT可以只使用一个合法地址为所有内部本地地址建立映射,但映射数量是有限的,如果用多个合法地址组建成一个地址池,每个地址都能映射多个内部本地地址,那么可减少因地址耗尽导致的网络拥塞。 动态NAPT的配置与动态NAT根本上相同,只是在 Ruijie(config)# NAT定义中,需要加上overload关键字: ipnatinsidesourcelistaccess-list-numberpoolpool-nameoverload 这个命令定义了动态NAPT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把 和列表匹配的内部本地地址,用地址池中的NAPT映射。overload关键字表示启用端地址建立 口复用。 加上overload关键字后,系统首先会使用地址池中的第一个地址为多个内部本地地址建立映射,当映射数 量到达极限时,再使用第二个地址。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)# Ruijie(config)# ipnatpoolnpnetmask access-list1permit Ruijie(ipnatinsidesourcelist1poolnconfig)# poverload Ruijie(config)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# interfacef0/0 ipaddress ipnatinside noshutdown 97 / 146 97 锐捷路由器配置标准手册 Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# interfaces1/0 ipaddress ipnatoutside noshutdown end Ruijie# 本例把合法地址组建为一个地址池,地址范围是,内网中客户机的地址都是192.168.10.*的格式,当这种地址访问外网时,会用地址池中的地址建立NAPT映射。 接口动态 NAPT的配置 你可以使用 outside接口的IP地址作为唯一的内部全局地址为所有内部本地地址提供映射,它可看作动态 NAPT的特例。 接口动态 NAPT的配置: Ruijie(config)#access-listaccess-list-numberpermitaddresswildcard-mask 这个命令定义了一个访问控制列表, access-list-number是表号,address是地址,wildcard-mask是通配符掩 码。它的作用是限定内部本地地址的格式,只有和这个列表匹配的地址才会进行 NAT转换。 Ruijie(config)#ipnatinsidesourcelistaccess-list-numberinterfaceinterface-idoverload 这个命令定义了动态 NAPT,access-list-number是访问列表的表号, interfaceinterface-id指定了内部全局地址所在的接口,一般是outside接口。它表示和列表匹配的内部本地地址,映射。overload关键字表示启用端口复用。 Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# ipnatinside 以上命令指定了网络的内部接口。 都用该接口IP地址建NAPT 的 立 98 / 146 98 锐捷路由器配置标准手册 Ruijie(cinterfaceintonfig-if)# erface-id Ruijie(config-if)# ipnatoutside 以上命令指定了网络的外部接口。 从以上配置可以看出,配置NAPT时可以不配置接口动态 地址池。 在接口动态NAPT的配置中,只是指定了映射时使用哪个IP地址,当该接口的 接口的 需要重新定义。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)# access-list1permit Ruijie(ipnatinsidesourcelist1interfaces1/0ovconfig)# erload Ruijie(config)# interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatinside Ruijie(config-if)# noshutdown Ruijie(cinterfaces1/ onfig-if)# 0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatoutside 99 / 146 99 IP地址改变时,不 锐捷路由器配置标准手册 Ruijie(config-if)# Ruijie(config-if)# Ruijie# noshutdown end 本例定义了一个接口动态 地址,即 重叠地址 NAPT,所有形如 192.168.10.*的内部本地地址,都被映射为 Serial1/0 口I的 P 。 NAT配置 如果你访问的一个 IP地址在本地网络和另一个网络都存在,这种情况称为地址重叠。 在地址重叠时,是无法访问外部网络的主机的,因为它会被理解为本地网络的地址。重叠地址的NAT就是用来解决这个问题的。 例: 100 / 146 100 锐捷路由器配置标准手册 Ruijie(config)#interfaceinterface-id 本地网络的客户机访问一个域名为 的网站。该网站位于另一个局域网中, 使用的是私有地址 。 访问者把域名送往DNS效劳器解析,解析的结果是。由于该地址和本地网络的地址重叠,所以不能用它访问网站。 路由器截获此 DNS响应包,发现它包含的地址和内部本地地址重叠,就用 NAT把它转换为一个本地网络 没有的地址,比方 。 客户机用和网站建立连接, 路由器再用 NAT把它转换成 的外部地址与网站通信。 在本例中,网站 在本地网络中表现的地址是 ,该地址称为外部本地地址 (Outside LocalAddress),在外部网络中的地址是 ,该地址称为外部全局地址 (OutsideGlobalAddress)。 路由器对 OutsideLocalAddress和OutsideGlobalAddress的NAT转换称为外部源地址 NAT。 使用外部源地址 NAT时,也可同时使用内部源地址 NAT,用于实现内部本地地址和内部全局地址的转换。 外部源地址的静态 NAT配置 把一个外部全局地址用一个指定的外部本地地址建立映射,就是外部源地址的静态 配置外部源地址的静态 NAT: Ruijie(config)#ipnatoutsidesourcestaticglobal-addresslocal-address 这个命令用于指定外部全局地址和外部本地地址的对应关系。 global-address 是外部本地地址。 Ruijie(config-if)# ipnatinside 以上命令指定了网络的内部接口。 Ruijie(config-if)# interfaceinterface-id Ruijie(config-if)# ipnatoutside NAT。 local-address 是外部全局地址, 101 / 146 101 锐捷路由器配置标准手册 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipnatoutsidesourcestatic Ruijie(config)#ipnatpoolnpnetmask Ruijie(config)#access-list1permit Ruijie(config)#ipnatinsidesourcelist1poolnpoverload 102 / 146 102 锐捷路由器配置标准手册 Ruijie(config)#interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatinside Ruijie(config-if)# noshutdown Ruijie(config-if)# interfaces1/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatoutside Ruijie(config-if)# noshutdown Ruijie(config-if)# end Ruijie# 本例中,ipnatoutsidesource命令定义的是外部源地址 NAT,采用的是静态 NAT, ipnatinsidesource 命定义的是内部源地址 NAT,采用的是动态 NAPT。这组NAT映射表可能会令 呈现为以下形式: InsideLocalAddress 192.168.10.10:1024 外部源地址的动态 InsideGlobalAddr ess 200.10.10.6:1024 NAT配置 OutsideGlobalAddr ess 192.168.10.1:23 OutsideLocalAddress 172.16.10.1:23 把多个外部本地地址组IP地址池,当有外部全局地址需成一个 要映射时, 关系,会话结束后,再删除此映射关系。 配置外部源地址的动态 NAT: 从地址池中取一个地址建立映射 Ruijie(config)#ipnatpoolpool-namestart-addressend-addressnetmasksubnet-mask 这个命令用于定义一个 IP地址池,pool-name是地址池的名字,start-address是起始地址,end-address是 它应该和内部本地地址没 结束地址,subnet-mask是子网掩码。地址池中的地址是供转换的外部本地地址, 有重叠。 Ruijie(config)#access-listaccess-list-numberpermitaddresswildcard-mask 103 / 146 103 锐捷路由器配置标准手册 这个命令定义了一个访问控access-list-number是表号,address是地址,wildcard-制列表, mask是通配符掩 码。它的作用是限定外部全局地址的格式,只有和这个列表匹配的地址才会进行 Ruijie(config)#ipnatoutsidesourcelistaccess-list-numberpoolpool-name NAT转换。 这个命令定义NAT,access-list-number是访问列表的表号,pool-name是地址池的名了动态 字。它表示把 和列表匹配的外部全局地址,用地址池中的地址建立 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipnatinside 以上命令指定了网络的内部接口。 Ruijie(config-if)# interfaceinterface-id Ruijie(config-if)# ipnatoutside 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipnatpooloutpnetmask Ruijie(config)#access-list1permit Ruijie(config)#ipnatoutsidesourcelist1pooloutp 104 / 146 104NAT映射。 锐捷路由器配置标准手册 Ruijie(config)# Ruijie(config)# Ruijie(config)# Ruijie(config)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# Ruijie(config-if)# ipnatpoolinpnetmask access-list2permit ipnatinsidesourcelist2poolinpoverload interfacef0/0 ipaddress ipnatinside noshutdown interfaces1/0 ipaddress ipnatoutside noshutdown end Ruijie# 本例中,ipnatoutsidesource命令定义的是外部源地址 NAT,采用的是动态 NAT,outp它的地址池,list1 是它的访问控制列表。 本例中,ipnatinsidesource命令定义的是内部源地址 NAT,采用的是动态 NAPT,inp它的地址池,list2 是它的访问控制列表。 TCP负载均衡 对于那些访问量很大的网络效劳器,如果只使用一台主机,会造成负载过重的问题。利用 NAT 可实现多 105 / 146 105 锐捷路由器配置标准手册 台主机的 TCP负载均衡。 多台主机搭建成一个局域网, 各主机的内容完全相同, 各主机使用私有 IP进行编址。在路由器上配置 TCP 负载均衡,从外部来看,这些主机只有一个 IP地址(60.8.1.1),成为一个虚拟主机,当外部用户访问此虚拟 主机时,路由器会把各个访问轮流映射到各个主机上,到达负载均衡的目的。 注意:TCP负载均衡只对 TCP效劳提供分流,对于其它 IP流量没有影响,除非 NAT作了其它配置。 TCP负载均衡配置 106 / 146 106 锐捷路由器配置标准手册 Ruijie(config)#ipnatpoolpool-namestart-addressend-addressnetmasksubnet-masktyperotary这个命令用于定义一个 IP地址池,pool-name是地址池的名字, start-address 结束地址,subnet-mask是子网掩码。地址池中的地址必须是内网中各主机的实际 字表示定义为轮转型地址池。 是起始地址,end-address是 IP地址。typerotary关键 Ruijie(config)#access-listaccess-list-numberpermitaddresswildcard-mask 这个命令定义了一个访问控制列表, access-list-number是表号,address是地址, 是通wildcard-mask 配符掩 码。它只匹配虚拟主机的地址。 Ruijie(config)#ipnatinsidedestinationlistaccess-list-numberpoolpool-name 这个命令定义了NAT,access-list-number是访问列表的表号,pool-name是地址池的名字。它表示把虚拟主机的地址映射到地址池中的地址上。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipnatinside 以上命令指定了网络的内部接口。 Ruijie(config-if)# interfaceinterface-id Ruijie(config-if)# ipnatoutside 以上命令指定了网络的外部接口。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipnatpoolnpnetmasktyperotary Ruijie(config)#access-list1permit Ruijie(config)#ipnatinsidedestinationlist1poolnp Ruijie(config)#interfacef0/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatinside Ruijie(config-if)# noshutdown Ruijie(config-if)# interfaces1/0 Ruijie(config-if)# ipaddress Ruijie(config-if)# ipnatoutside Ruijie(config-if)# noshutdown Ruijie(config-if)# end Ruijie# 本例中,虚拟主机的IP地址是,当用户访问此地址时,路由器把它轮流映射到上。 NAT信息的查看 1、显示NAT转换记录: 107 / 146 107 锐捷路由器配置标准手册 Ruijie#showipnattranslations[verbose] 这个命令显示 NAT转换记录,加上 换信息。verbose关键字时,可显示更详细的转108 / 146 108 锐捷路由器配置标准手册 如: Ruijie>enable Ruijie#showipnattranslations ro PInsideglobal t70.6.5.113:1815 InsidelocalOutsidelocalOutsideglobal 192.168.10.5:1815 211.67.71.7:80 211.67.71.7:80 cp 这里显示的是一次 内部本地地址及端口 global)。 NAT的转换记录,内容依次为: 协议类型 (Pro)、内部全局地址(Insidegl 及端口 obal)、 (Insidelocal)、外部本地地(Outsidelocal)、外部全局地址及端址及端口 口(Outside 2、显示NAT规那么和统计数据: Ruijie#showipnatstatistics 如: Ruijie>enable Ruijie#showipnatstatistics Totalactivetranslations:372,maxentriespermitted:30000 Outsideinterfaces:Serial1/0 Insideinterfaces:FastEthernet0/0 Rulestatistics: [ID:1]insidesourcedynamic hit:24737 match(afterrouting): ippacketwithsource-ipmatchaccess-list1 action: translateippacket'ssource-ipusepoolabc 包括:当前活动的会话数(Totalactivetranslations)、允许的最大活动会话数(maxentriespermitted)、连接外网的接口(Outsideinterfaces)、连接内网的接口(Insideinterfaces)、NAT规那么(Rule,允许存在多个规那么,用 ID标识)。 规那么1(ID:1):NAT类型(本例为内部源地址动态 NAT)、此规那么被命中次数 (hit值)、路由前还是路由后 (match 值,本例为路由前 )、地址限制(本例受access-list1限制)、转换行为(action值,本例用地址池 abc转换源地 址)。 3、去除NAT转换记录: Ruijie#clearipnattranslation* 该命令会去除 NAT转换表中的所有转换记录,它可能会影响当前的会话,造成一些连接丧失。 109 / 146 109 锐捷路由器配置标准手册 第六局部 DHCP的配置 110 / 146 110 锐捷路由器配置标准手册 路由器可以配置成 DHCP效劳器或 DHCP中继代理。 当作为DHCP效劳器时,它可以为网络中的主机分配 IP地址和配置参数。当作为 DHCP中继代理时,它 可以接收客户机发出的 DHCP请求,并把请求转发给指定的 DHCP效劳器。 锐捷路由器不能同时作为 DHCP效劳器和 DHCP中继代理,这两个功能是互斥的,只能使用一个。 启用DHCP效劳器 1、启用DHCP效劳器: Ruijie(config)#servicedhcp 这条命令在锐捷路由器的不同版本中有不同的解释。路由器的系统版本可以用 showversion命令查看。 在的版本中,开启 DHCP效劳器和 DHCP中继代理使用的都是这条命令,由于这两个功能 是互斥的,使用哪一种功能取决于是否配置了 DHCP地址池,如果配置了地址池,那么为 DHCP效劳器。在之前的版本中,用servicedhcp命令开启DHCP效劳器,关闭DHCP中继代理;用no servicedhcp命令开启DHCP中继代理,关闭 DHCP效劳器。 2、关闭DHCP效劳器: Ruijie(config)#noservicedhcp 在的版本中,这条命令同时管理了 DHCP效劳器和 DHCP中继代理功能。 在之前的版本中,这条命令关闭了DHCP效劳器,但开启了DHCP中继代理功能。配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#servicedhcp 本例开启了 DHCP效劳器功能,但还需要配置参数才能工作。 配置DHCP地址池 地址池是一个可分配给客户端的地址空间,DHCP按顺序分配地址池中的地址给客户端。分配的地址带有租约期限,当租约快到期时,客户端必须进行续租,否那么效劳器会收回该地址。 1、创立DHCP地址池: Ruijie(config)#ipdhcppoolpool-name Ruijie(dhcp-config)# 这条命令用于配置地址池名并进入DHCP配置模式,pool-name是地址池名,由字母、数字组成。锐捷路由器允许定义多个地址池,用名字进行区分。 2、定义地址范围和掩码: Ruijie(dhcp-config)#networknetwork-number[mask] network 命令用于指定地址池子网, network-number是网络号,mask是掩码。如果省略 mask,那么使用默认 掩码。 说明:在DHCP地址池中放置的是整个一个网段,默认情况下,该网段的所有地址都可以分配给客 111 / 146 111 锐捷路由器配置标准手册 户机,你可以通过配置地址排除,把其中局部地址排除在外。 3、配置地址租约期限: Ruijie(dhcp-config)#leasedays[hours][minutes] 112 / 146 112 锐捷路由器配置标准手册 缺省的租约期限是 1天,你4、配置排除的地可以用 址: lease 命令更改它。 Ruijie(config)#ipdhcpexcluded-addressstart-address[end-address]排除的地址是为路由器、效劳器等保存的地址,这些地址不会分配给客户端。 start-address 是起始地址, end-address是结束地址。如果没有 end-address,那么排除的是单一的地址。 说明:排除地址是在全局配置模式中配置,不是在 DHCP配置模式中配置。排除的地址范围可配置多个,用no命令可删除指定的地址段。配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(servicedhconfig)# cp Ruijie(config)# Ruijie(config)# ipdhcpexcluded-address ipdhcpexcluded-address Ruijie(ipdhcppooconfig)# lnet1 Ruijie(dhcp-config)#network Ruijie(dhcp-config)#lease012 Ruijie(dhcp-config)#end 本例在路由器上配置了DHCP 的客户机分配 的租约期限是 IP地址,其中 12小时。 效劳器,它包含了一个名为 网net1的地址池,可以为 络 地以及 被排除在分配范围之外, 址 113 / 146 113 锐捷路由器配置标准手册 配置选项 DHCP效劳器除了可以为客户机提供 IP地址外,还可以提供默认网关、 DNS效劳器地址等参数,这些参 数称为选项。 注意:选项是指派给客户机的参数, 它们不是路由器自己使用的参数。 它们的值要根据网络环境进行设置。 1、配置默认网关: Ruijie(dhcp-config)#default-routeraddress[address2...address8] 这条命令用于配置客户端使用的默认网关,它必须和客户机的地址在同一个网段中。可以配置多个。 2、配置DNS效劳器地址: Ruijie(dhcp-config)#dns-serveraddress[address2...address8] 这条命令用于配置客户端使用的 DND效劳器地址,可以配置多个。 3、配置WINS效劳器地址: Ruijie(dhcp-config)#netbios-name-serveraddress[address2...address8] 这条命令用于配置客户端使用的 WINS效劳器地址,可以配置多个。 4、配置NetBIOS节点类型: Ruijie(dhcp-config)#netbios-node-typetype 这条命令用于配置客户端的 NetBIOS节点类型,取值可以为: NetBIOS名字解析。 或b-node:Broadcase型节点,采用播送方式进行 或p-node:Peer-to-peer型节点,使用WINS效劳器进行NetBIOS名字解析。 或m-node:型节点,先通过播送方Mixed 式,后使用 WINS效劳 器进行 NetBIOS 名字解析。 或h-node:型节点,先通过WINS效劳器,后使用播送方式进Net名字Hybrid 行 BIOS 解析。 配置举例: 114 / 146 114 锐捷路由器配置标准手册 Ruijie>enable Ruijie#configureterminal Ruijie(config)# servicedhcp Ruijie(config)# ipdhcpexcluded-address Ruijie(config)# ipdhcpexcluded-address Ruijie(config)# ipdhcppoolnet1 Ruijie(dhcp-config)# network Ruijie(dhcp-config)# lease012 Ruijie(dhcp-config)# default-router Ruijie(dhcp-config)# dns-server Ruijie(dhcp-config)# netbios-name-server Ruijie(dhcp-config)# netbios-node-typeh-node Ruijie(dhcp-config)# end 本例在DHCP效劳器上配置了选项,包括默认上例的 网关、 地址和NetBIOS节点类型。配 置 DHCP 地址绑定 115 / 146 115 DNS效劳器地址〔有 2个〕,效劳器 WINS 锐捷路由器配置标准手册 当把路由 器配置成 DHCP效劳器时,它为客户端分配 IP地址有两种方式: 1、动态分配:DHCP效劳器收到 DHCP请求时,从地址池中分配 IP地址给客户端。这种分配方当 式中, 客户端获得的 IP地址是不确定的。 2、静态分配:DHCP效劳器把客户端的 要是该客户端提出的 DHCP 请求,就分配一个固定的 实现静态分配时,需要在 MAC地址和IP地址建立映射关系。 配置DHCP地址绑定 配置地址绑定时,需要专门建立一个地址池,并在地址池中建立 1、建立DHCP地址池: Ruijie(config)#ipdhcppoolpool-name Ruijie(dhcp-config)# 本命令用于建立一个 DHCP地址池, pool-name 是地址池的名字。该命令执行后会进入地址池配置模之后的配置命令是在地址池配置模式下进行式, 的。 2、配置绑定的 MAC地址和某个 IP地址进行绑定,只IP地址。 DHCP效劳器上手工配置地址绑定,为 MAC 地址和 P I地址的映射关系。 IP地址: Ruijie(dhcp-config)#hostip-address[netmask]本命令用于指定一个 IP地址,它是将来分配给某客户端的 I地址。netmask是子网掩码,如果省略该P 参数, 那么使用默认的掩码。 3、配置绑定的 MAC地址或客户端标识:116 / 146 116 锐捷路由器配置标准手册 Ruijie(dhcp-config)#hardware-addressmac-address本命令用于指定绑定的 MAC地址,它是客户端MAC 地址,用3组十六进制数书写,如:。 的 Ruijie(dhcp-config)#client-identifier identifier 本命令用客户端标识的方式来绑定客户端,客户端标识是一个由媒介类型、 MAC 地址和接口名称构成的 十六进制串,如,一个 GigabitEthernet0/1接口,MAC地址为,那么它的客户端标识为: 如果要绑定一台以太网中的计算机,通常用MAC地址就可以了,如果要绑定一台设备的某个接口,应该使用客户端标识。 以上配置是IP地址和硬件地址的手工绑定,你还可以为此地址池配置默认网关、DNS效劳器等选项,配置方法和动态地址池的配置方法相同。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#servicedhcp Ruijie(config)#ipdhcppoolweb1 Ruijie(dhcp-config)#host Ruijie(dhcp-config)#hardware-address Ruijie(dhcp-config)#default-router本例配置了一个 务器为它配置的 DHCP DHCP 地址绑定,MAC 地址 当 为 的客户机发DHCP 请求时,出 DHCP 服 IP 地址是 ,默认网关是 。 中继代理的配置 路由器可以配置成 DHCP效劳器或 DHCP中继代理。 当作为DHCP效劳器时,它可以为网络中的主机分配 IP地址和配置参数。当作为 理时,它 可以接收客户机发出的 DHCP请求,并把请求转发给指定的 DHCP效劳器。 DHCP中继代 117 / 146 117 锐捷路由器配置标准手册 锐捷路由器不能同时作为 DHCP效劳器和 DHCP中继代理,这两个功能是互斥的,只能使用一个。 配置DHCP中继代理 1、启用DHCP中继代理: Ruijie(config)#servicedhcp Ruijie(config)#noservicedhcp 这两条命令在锐捷路由器的不同版本中有不同的解释。路由器的系统版本可以用查看。118 / 146 118命令 showversion 锐捷路由器配置标准手册 在的版本中,开启 DHCP效劳器和 DHCP中继代理使用的都是 servicedhcp命令,由于这 两个功能是互斥的,使用哪一种功能取决于是否配置了 DHCP 地址池,如果配置了地址池,那么为 DHCP 效劳器。 在之前的版本中,用servicedhcp命令开启DHCP效劳器,关闭DHCP中继代理;用no servicedhcp命令开启DHCP中继代理,关闭 DHCP效劳器。 2、配置DHCP效劳器地址: 当路由器作为DHCP中继代理时,必须指定DHCP效劳器的IP地址。DHCP效劳器的IP地址可以在全局配置模式中配置,也可在接口配置模式中配置。 当某接口收到DHCP请求时,首先使用接口指定的DHCP效劳器,如果接口上没有配置DHCP效劳器地址,那么使用全局配置的DHCP效劳器地址。 Ruijie(config)#iphelper-addressIP-addressRuijie(c onfig-if)# iphelper-addressIP-address 说明:在每种配置模式中都可 以配置多个 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#servicedhcp Ruijie(config)#iphelper-address Ruijie(config)#iphelper-address Ruijie(config)#interfacef0/1 Ruijie(config-if)# iphelper-address 本例是在 的版本中配置 前的版本,应该用 no servi cedhcp 命令开DHCP 中继代理功能。 启 本例的配置含义是:当路由器接收到客户端的 D请求包,如HCP 果是 D效劳器地址,最多可HCP 配置 20个效劳器地址。 DHCP中继代理的过程。如果在之 0/1 和 f接口收到的,就把它转发给 处的 D效劳器,其它接口收到的,就HCP 转发给 处的 D效HCP 劳 器。 第七局部 119 / 146 119 锐捷路由器配置标准手册 访问控制列表的配置 标准访问控制列表的配置 访问控制列表〔ACLs〕是一种基于包过滤的防火墙技术, 它可以对接口上的数据包进 行过滤, 或丢弃。 标准访问控制列表只根据数据包的源 规那么,允许或拒绝数据包通过。 标准访问控制列表用标号或名字进行标识,可使用的标号是IP地址进行过滤,根据设定的 1~99、1300~1999。 120 / 146 120 允许其通过锐捷路由器配置标准手册 标准ACLs的语句规那么 标准访问控制列表由一系列的规那么组成,每条规那么用一个 permit 或 deny 关键字定义。 1、permit规那么: ermi规那么定义的是允许通过,有三种格式。 t permitany这条规那么指定了源 IP为任意值的数据包通过。 p permithostip-address这条规那么指定了允许源 IP为指定地址的数据包通过。permit 如: permitaddresswildcard 这条规那么指定了允许源 IP和指定的地址样式相匹配的数据包通过。如:permit。 addresswildcard用于定义一种地址样式, wildcard称为通配符掩码,它是一个 数,它和address 32位二进制 搭配指定了一种地址样式。其中和 wildcard中“0〞应位要求匹配,和对 表示地 3个数必须为 “1对〞应的位忽略。 192、168、2,最后一个数忽略。这样 如:permit 址前 的地址都是满足条件的地址,允许通过。 如: 后2 位忽略。这样只有 表示地址前 3个数192、168、2,最后一个数的前2位必须必须为 为二进制数 1 0, 的地址能满足要求,允许通过。〔注:8的二进1制值为 000, 11的二进制值为 1011。〕 注意:permit规那么只是定义了某种数据包可以通过,对于不满足规那么的数据包不会拒绝,它们能否通过取决于后续的规那么。 如:permit表示允许源IP为192.168.2.*格式的数据包通过,不满足此规那么的数据包将继续判定下一条规那么。 121 / 146 121 锐捷路由器配置标准手册 2、 deny 规那么: d eny 规那么定义的是拒绝通过,也有三种格式。 denyany 这条规那么拒绝了所有数据包通过。 denyhostip-address这条规那么只拒绝源 I为指定地址的数据包通过。deny P 如: denyaddresswildcard 这条规那么拒绝了源 IP和指定的地址样式相匹配的数据包通过。如: deny。 注意:deny规那么只是定义了拒绝某种数据包通过,对于不满足规那么的数据包需要由后续规那么处理。 3、隐含规那么: 在每个标准 ACLs中,最后一条规那么隐含为 denyany,这样,如果一个数据包的源 permit规那么相匹配,那么这个数据包将被拒绝通过。 配置标号的标准 ACLs I地址没有和前面P 的 标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的标准ACLs配置。标号的标准ACLs在全局配置模式中配置; 标号的标准 ACLs由一系列 access-list语句组成; 属于同一个标准 ACLs的access-list语句使用相同的标号。 122 / 146 122 锐捷路由器配置标准手册 1、access-list语句: Ruijie(config)#access-listlist-id 规那么 list-id是标准ACLs的标号,取值范围是 1~99和1300~1999,同一个ACLs中的各语句标号必须相同。 规那么就是前面所说的 permit和deny规那么。 说明:早期的系统只支持 1~99的标号,1300~1999是现在的系统新增的。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipaccess-grouplist-idin|out interface命令指定了一个接口。 ipaccess-group命令指定在接口上应用的访问控制列表, list-id是访问列表的标号, in指定在输入流中进行 过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用适宜选择。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#access-list1permit Ruijie(config)#access-list1denyhost Ruijie(config)#access-list1permit Ruijie(config)#interfacef0/1 Ruijie(config-if)# ipaccess-group1in 本例定义了一个标准访问控制列表,它由 4条规那么组成: ①允许源 IP为192.168.2.*的数据包通过; ②拒绝源 IP为的数据包通过; ③允许源 IP为192.168.10.*的数据包通过,本句和②联在一起可解释为除了 192.168.10.*的数据包都能通过; ④拒绝所有数据包通过。这句是由隐含的规那么定义的。 整个配置可以解释为,在f0/1接口的输入流中执行包过滤,只有源IP为192.168.2.*和源IP为192.168.10.*〔除外〕的数据包可以进入设备,其余的都拒绝进入。 注意:在用 ACLs过滤时,当数据包匹配了一条规那么后,就按该规那么进行处理,不再匹配下一条规那么,所 以,在上例中,如果把②和③的顺序调换,那么 将是permit,不会再检查下一条规那么。 ,其它的形如 配置命名的标准 ACLs 标准访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的标准ACLs配置。命名的标准ACLs用标号或名字区分各个访问列表; 命名的标准 ACLs的规那么在访问列表配置模式中配置。 123 / 146 123 锐捷路由器配置标准手册 1、进入访问列表配置模式: Ruijie(config)#ipaccess-liststandardlist-id|list-name Ruijie(config-std-nacl)# 本命令用于进入标准访问列表的配置模式。 124 / 146 124 锐捷路由器配置标准手册 list-id是标准ACLs的标号,取值范围是 1~99和1300~1999。 list-name是标准ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,那么创立它并进入访问列表配置模式。 2、配置访问列表的规那么: Ruijie(config-std-nacl)#permit规那么 Ruijie(config-std-nacl)#deny规那么 规那么形式参照前面的描述。 3、包过滤的配置: 把定义的 ACLs应用在指定的接口上。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipaccess-grouplist-id|list-name in|out interface命令指定了一个接口。 ipaccess-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipaccess-liststandardls1 Ruijie(config-std-nacl)#permit Ruijie(config-std-nacl)#denyhost Ruijie(config-std-nacl)#permit Ruijie(config-std-nacl)#exit Ruijie(config)#interfacef0/1 Ruijie(config-if)# ipaccess-groupls1in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 扩展访问控制列表的配置 访问控制列表〔ACLs〕是一种基于包过滤的防火墙技术, 或丢弃。 扩展访问控制列表可根据数据包的源 IP地址、目的 IP 那么,允许或拒绝数据包通过。 扩展访问控制列表用标号或名字进行标识,可使用的标号是 扩展ACLs的语句规那么 扩展访问 控制列表由一系列 的规那么组成,每条规那么用一个 地址、使用的协议、用途设置过滤,根据设定的规 它可以对接口上的数据包进行过滤,允许其通过 100~199、2000~2699。 125 / 146 125 锐捷路由器配置标准手册 permit 或 eny [permit|deny][协议][源地址][目的地址][表达式] 1、permit|deny: 126 / 146 126 d关键字定义,规那么的格式 为: 锐捷路由器配置标准手册 必需。permit 定义的是允许通过的规那么, deny 定义的是拒绝通过的规那么。 2、协议:必需。指定数据包使用的网络层或传输层协议,常用的有: ip、icmp、tcp、udp。 3、源地址: 必需。指定数据包源 IP的样式。有三种格式: any表示任意地址 hostip-address表示单一地址 addresswildcard 表示一组地址 它们的含义和标准访问控制列表的相同。 4、目的地址: 必需。指定数据包目的 IP的样式。有三种格式: any表示任意地址 hostip-address表示单一地址 addresswildcard 表示一组地址 5、表达式: 可选。指定数据包的用途。常用格式: eq端口名称 eq端口号 eq是等于运算符,可用的运算符还有: lt(小于)、gt(大于)、neq(不等于)、range(范围)。使用range时需要 给出两个端口号,其余的只要给出一个端口号。 端口名称或端口号指定了数据包的用途。 举例: permitipany 允许源地址为任意,目的地址为 192.168.1.I数据报通过。 *的 P permittcphosteqftp 允许源地址为172.16.*.*,目的地址为,协议为TCP,用途为ftp的数据报通过。denyudphosthosteqtftp 拒绝源地址为 ,目的地址为,协议为 UDP,用途为tftp的数据报通过。 denytcpanyanyeq80 允许地址任意的,使用协议为 TCP,端口号为 80的数据报通过。 说明: 在每个扩展 ACLs中,最后一条规那么隐含为 denyipanyany,它表示拒绝任何 IP数据报通过。 配置标号的扩展 ACLs 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的扩展ACLs配置。标号的扩展ACLs在全局配置模式中配置; 127 / 146 127 锐捷路由器配置标准手册 标号的扩展 ACLs由一系列 access-list语句组成; 属于同一个扩展 ACLs的access-list语句使用相同的标号。 1、access-list语句: Ruijie(config)#access-listlist-id 规那么 list-id是扩展ACLs的标号,取值范围是 100~199和2000~2699,同一个ACLs中的各语句标号必须相同。 规那么就是前面所说的 permit和deny规那么。128 / 146 128 锐捷路由器配置标准手册 说明:早期的系统只支持注意:标准ACLs和 扩展 100~199的标号,2000~2699是现在的系统新增的。 ACLs是用标号区分的,标号为 1~99、1300~1999的是标准 ACLs,只能使用标 准ACLs的规那么,标号为100~199、2000~1699的是扩展ACLs,只能使用扩展ACLs的规那么。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interfaceinterface-idRuijie(config-if)#ipaccess-grouplist-idin|outinterface命令指定了一个接口。 ipaccess-group命令指定在接口上应用的访问控制列表, list-id是访问列表的标号, in指定在输入流中进行 过滤,out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用适宜选择。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#access-list100permittcphostanyeqwww Ruijie(config)#access-list100denyiphostany Ruijie(config)#access-list100permitipany Ruijie(config)#interfacef0/1 Ruijie(config-if)# ipaccess-group100in 本例定义了一个扩展访问控制列表,它由 4条规那么组成: ①允许源 IP为,目的地址任意,用途为 www的TCP数据包通过; ②拒绝源 IP为,目的地址任意的数据包通过; ③允许源 IP为192.168.10.*的数据包通过; ④拒绝所有数据包通过。这句是由隐含的规那么定义的。 整个配置可以解释为,在 f0/1接口的输入流中执行包过滤,当源 IP为时,只有执行 Web 务的数据包可以通过,当源 IP为192.168.10.*〔除外〕时,它的数据包可以通过,其余的都拒 绝通过。 配置命名的扩展 ACLs 任 扩展访问控制列表有两种配置方法:标号的 ACLs和 ACLs,以下是命命名的 命名的扩展 ACLs用标号或名字区分各个访问列表; 名的扩展 命名的扩展ACLs的规那么在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#ipaccess-listextendedlist-id|list-name Ruijie(config-ext-nacl)# ACLs 配置。 129 / 146 129 锐捷路由器配置标准手册 本命令用于进入扩展访问列表的配置模式。 list-id是扩展ACLs的标号,取值范围是 100~19和 2000~2699。 9 list-name是扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,那么创立它并进入访问列表配置模式。 2、配置访问列表的规那么: 130 / 146 130 锐捷路由器配置标准手册 Ruijie(config-ext-nacl)#permit规那么 Ruijie(config-ext-nacl)#deny规那么 规那么形式参照前面的描述。 3、包过滤的配置: 把定义的 ACLs应用在指定的接口上。 Ruijie(config)#interfaceinterface-id Ruijie(config-if)# ipaccess-grouplist-id|list-name in|out interface命令指定了一个接口。 ipaccess-group命令指定在接口上应用的访问控制列表,list-id和list-name是访问列表的标号或名字,in指定在输入流中进行过滤,out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#ipaccess-listextendedels1 Ruijie(config-ext-nacl)#permittcphostanyeqwww Ruijie(config-ext-nacl)#denyiphostany Ruijie(config-ext-nacl)#permitipany Ruijie(config-ext-nacl)#exit Ruijie(config)#interfacef0/1 Ruijie(config-if)# ipaccess-groupels1in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 MAC 扩展访问列表的配置 访问控制列表〔ACLs〕是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤, 允许其通过 或丢弃。 MAC扩展访问控制列表可根据数据包的源 MAC地址、目的 MAC地址、以太网协议类型设置过滤,根据 设定的规那么,允许或拒绝数据包通过。AC M 扩展访问控制列表用标号或名字进行标识,可使用的标号是 MAC扩展ACLs的语句规那么 MAC 700~799。 扩展访问控制列表由一系列的规那么组成,每条 规那么用一个 permit 或 d关键字定义,规那eny 么的格式 131 / 146 131 锐捷路由器配置标准手册 为: [permit|d eny][源 MAC 地][目MAC 地][以太网协议 址 的 址 类型 1、 permit|deny: 必 需。 permit定义的是允许通过的规2、源 那么, MAC地址: ] d定义的是拒绝通过的规那么。 eny 必需。指定数据包源 MAC地址。有两种格式:132 / 146 132 锐捷路由器配置标准手册 any表示任意地址 hostmac-address表示单一地址 mac-address采用三组十六进制数书写,如: 。 3、目的MAC地址: 必需。指定数据包目的 MAC地址。有两种格式: any表示任意地址 hostmac-address表示单一地址 4、以太网协议类型: 可选。指定数据包的帧类型。在以太网的帧头中有两个字节长度的帧类型字段,可用来说明帧中封装的协 议类型,如:类型字段为 0x0800,说明帧中封装的是 IP数据报,类型字段为 0x0806,说明帧中封装的是 ARP报文。 举例: permithostany 允许源MAC地址为,目的地址为任意的帧通过。 denyanyhost 拒绝源MAC地址任意,目的 MAC地址为的帧通过。 denyhostany0x0800 拒绝源MAC地址为,目的地址为任意,封装了 IP数据报的帧通过。 说明: 在每个MAC扩展ACLs中,最后一条规那么隐含为 denyanyany,它表示拒绝任何帧通过。 配置标号的 MAC扩展ACLs 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的MAC扩展ACLs配置。标号的扩展ACLs在全局配置模式中配置; 标号的扩展 ACLs由一系列 access-list语句组成; 属于同一个扩展 ACLs的access-list语句使用相同的标号。 1、access-list语句: Ruijie(config)#access-listlist-id 规那么 list-id是MAC扩展ACLs的标号,取值范围是 700~799,同一个ACLs中的各语句标号必须相同。 规那么就是前面所说的 permit和deny规那么。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interfaceinterface-idRuijie(c onfig-if)# macaccess-grouplist-idin|out interface命令指定了一个接口。 macaccess-group命令指定在接口上 M访问控应用的 AC 制列表, i指定n 在输入 l是访问列表ist的标号, -id 133 / 146 133 锐捷路由器配置标准手册 流中进行过滤, out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用适宜选择。 配置举例: Ruijie>enable 134 / 146 134 锐捷路由器配置标准手册 Ruijie#configureterminal Ruijie(config)#access-list701denyhostany Ruijie(config)#access-list701permitanyany Ruijie(config)#interfacef0/1 Ruijie(config-if)# macaccess-group701in 本例定义MAC扩展访问控制列了一个 表,它由 ①拒绝源MAC 地 址为 3条规那么 组成: ,目的地址任意的帧通过; ②允许所有帧通过; ③拒绝所有帧通过。这句是由隐含的规那么定义的。 整个配置可以解释为,在 都不受限制。 配置命名的 MAC扩展ACLs f0/1接口的输入流中执行包过滤, 拒绝来自 的帧通过,其余的 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是命名的MAC扩展ACLs配置。命名的扩展ACLs用标号或名字区分各个访问列表; 命名的扩展 ACLs的规那么在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#macaccess-listextendedlist-id|list-name Ruijie(config-mac-nacl)# 本命令用于进入 MAC扩展访问列表的配置模式。 list-id是MAC扩展ACLs的标号,取值范围是 700~799。 list-name是MAC扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,那么创立它并进入访问列表配置模式。 2、配置访问列表的规那么: Ruijie(config-mac-nacl)#permit规那么 Ruijie(config-mac-nacl)#deny规那么 规那么形式参照前面的描述。 135 / 146 135 锐捷路由器配置标准手册 3、包过滤的配置: 把定义的 ACLs应用在指定的接口上。 Ruijie(config)#interfaceinterface-id Ruijie(c onfig-if)# macaccess-grouplist-id|list-name in|out interface命令指定了一个接口。 macaccess-group命令指定在接口上应用的访问控制列表, list-是访问列表的标号id和list-name 指定在输入流中进行过滤, out指定在输出流中进行过滤,两者只或名字, 能指定一个。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#macaccess-listextendedmls1 Ruijie(config-mac-nacl)#denyhostany Ruijie(config-mac-nacl)#permitanyany Ruijie(config-mac-nacl)#exit Ruijie(config)#interfacef0/1 in 136 / 146 136 锐捷路由器配置标准手册 Ruijie(config-if)# macaccess-groupmls1in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 E xper t 扩展访问列表的配置 访问控制列表〔ACLs〕是一种基于包过滤的防火墙技术,它可以对接口上的数据包进行过滤, 允许其通过 或丢弃。 Expert扩展访问控制列表是 IP访问列表和 MAC访问列表的综合体, 可根据数据包的 IP地址、MAC地址、 使用的协议等设置过滤,根据设定的规那么,允许或拒绝数据包通过。 xper扩展访问控制列表用标号或名字进行标识,可使用t 的标号是 Expert扩展ACLs的语句规那么 Expert E 2700~2899。 扩展访问控制列表由一系列的规那么组成,每条规 那么用一个 式为: permit 或 d关键字定义,规eny 那么的格 [permit|deny][协议|以太网协议类型][源IP地址][源MAC地址][目的IP地址][目的MAC地址][表达式]1、permit|deny:必 需。 perm定义的是允许通过的规 it 那么, den定义的是拒绝通过的规那么。 y 2、协议|以太网协议类型: 可选。指定数据包的协议,如 ip、icmp、tcp、udp等,或者指定帧的以太网协议类型。 3、源IP地址: 必需。指定数据包源 IP地址。有三种格式: any表示任意地址 hostip-address表示单一地址 137 / 146 137 锐捷路由器配置标准手册 addresswildcard 表示一组地址 4、源MAC地址: 必需。指定数据包源 MAC地址。有两种格式: any表示任意地址 hostmac-address表示单一地址 5、目的IP地址: 必需。指定数据包目的 IP地址。有三种格式: any表示任意地址 hostip-address表示单一地址 addresswildcard 表示一组地址 6、目的MAC地址: 138 / 146 138 锐捷路由器配置标准手册 必需。指定数据包目的 MAC地址。有两种格式: any表示任意地址 hostmac-address表示单一地址 7、表达式: 可选。指定数据包的用途。当 “协议〞字段指定了协议后,才能使用表达式来指定端口名称或端口号。 举例: denytcphosthostanyany 拒绝源 IP 为 通过。 说明: 在 每个 Expe扩 rt 展 ,源 MAC 地址,目的地址为任意,使用的协议为 为 TCP的数据包 ACLs 中,最后一条规那么 隐含为 denyanyanyanyany,它表示拒绝任何数据包通过。 配置标号的 Expert扩展ACLs 扩展访问控制列表有两种配置方法:标号的ACLs和命名的ACLs,以下是标号的Expert扩展ACLs配置。标号的扩展ACLs在全局配置模式中配置; 标号的扩展 ACLs由一系列 access-list语句组成; 属于同一个扩展 ACLs的access-list语句使用相同的标号。 1、access-list语句: Ruijie(config)#access-listlist-id 规那么 list-id是Expert扩展ACLs的标号,取值范围是 2700~2899,同一个 ACLs中的各语句标号必须相同。 规那么就是前面所说的 permit和deny规那么。 2、包过滤的配置: 定义的ACLs必须应用在指定的接口上,才能起到包过滤的作用。 Ruijie(config)#interfaceinterface-id Ruijie(c onfig-if)# expertaccess-grouplist-idin|out interface命令指定了一个接口。 extertaccess-group命令指定在接口上应用的 i指n 定在输 Expert访问控制列表, l是访问列表ist的标号, -id 入流中进行过滤, out指定在输出流中进行过滤,两者只能指定一个。 说明:在每个接口、每个方向上只能应用一个访问列表。在一个接口的入口和出口方向上可应用不同的访问列表。 使用入口过滤和出口过滤在效果上和效率上都有所不同,应根据具体的应用适宜选择。 配置举例: 139 / 146 139 锐捷路由器配置标准手册 Ruijie>enable Ruijie#configureterminal Ruijie(config)# Ruijie(config)# Ruijie(config)# access-list2701tcpdenyhosthostanyany access-list2701permitanyanyanyany interfacef0/1 Ruijie(config-if)# expertaccess-group2701in 本例定义Expert扩展访问控制列了一个 表,它由 3条规那么组成: ①拒绝源 IP为、源MAC地址为的TCP数据包通过; ②允许所有数据包通过; ③拒绝所有数据包通过。这句是由隐含的规那么定义的。 140 / 146 140 锐捷路由器配置标准手册 整个配置可以解释为,在f0/1接口的输入流中执行包过滤,拒绝来自、的帧通过,其余的都不受限制。 配置命名的 Expert扩展ACLs 扩展访问控制列表有两种配置方法:标号的 ACLs和命名的 ACLs,以下是命名的 Expert扩展ACLs配置。 命名的扩展 ACLs用编号或名字区分各个访问列表; 命名的扩展 ACLs的规那么在访问列表配置模式中配置。 1、进入访问列表配置模式: Ruijie(config)#expertaccess-listextendedlist-id|list-name Ruijie(config-exp-nacl)# 本命令用于进入 Expert扩展访问列表的配置模式。 list-id是Expert扩展ACLs的标号,取值范围是 2700~2899。 list-name是Expert扩展ACLs的名字,用字母、数字命名。 list-id和list-name只能指定一个,如果指定的访问列表不存在,那么创立它并进入访问列表配置模式。 2、配置访问列表的规那么: Ruijie(config-exp-nacl)#permit规那么 Ruijie(config-exp-nacl)#deny规那么 规那么形式参照前面的描述。 3、包过滤的配置: 把定义的 ACLs应用在指定的接口上。 Ruijie(config)#interfaceinterface-idRuijie(config-if)#expertaccess-grouplist-id|list-namein|outinterface命令指定了一个接口。 expertaccess-group命令指定在接口上应用的访问控制列表, list-id和list-name是访问列表的标号或名字, in指定在输入流中进行过滤, out指定在输出流中进行过滤,两者只能指定一个。 配置举例: Ruijie>enable Ruijie#configureterminal Ruijie(config)#expertaccess-listextendedexp1 Ruijie(config-exp-nacl)#denyhosthostanyany Ruijie(config-exp-nacl)#permitanyanyanyany Ruijie(config-exp-nacl)#exit Ruijie(config)#interfacef0/1 Ruijie(config-if)# expertaccess-groupexp1in 本例和前面的例子是一样的,只是采用了命名的方式定义的。 其它形式的访问列表 141 / 146 141 锐捷路由器配置标准手册 访问控制列表〔ACLs〕是一种基于包过滤的防火墙技术, 或丢弃。 带序号的 它可以对接口上的数据包 进行过滤, 允许其通过 ACLs 访问控制列表的语句顺序非常重要,设备按语句创立的顺序进行比拟,找到匹配的语句后,就不再检查其后的规那么。一般的访问列表不能在两个表项间插入语句。如果要更改语句顺序,通常需要删除整个访问列表,再重新输入。 带序号的访问列表的每个语句可以设置一个序号,它允许在两个语句之间插入新语句。 1、带序号的 ACLs:命名的ACLs就是带序号的 ACLs,它默认的起始序号为 Ruijie(config)#ipaccess-liststandardls1 Ruijie(config-std-nacl)#permit Ruijie(config-std-nacl)#denyhost Ruijie(config-std-nacl)#permit Ruijie(config-std-nacl)#exit 这个访问列表的语句序号是: Ruijie#showaccess-listsls1 ace1:10permit ace2:20denyhost ace3:30permit 注:ACE指访问列表中的一条规那么。 2、插入ACE: Ruijie(config)#ipaccess-liststandardls1 Ruijie(config-std-nacl)#25denyhost Ruijie(config-std-nacl)#exit本例在序号为 20和 30ACE间插入了一条序号为 25的语句。 的 10,序号增量为 10。如: 说明:在permit或deny语句前面加上一个数字,就可以把该语句插入在指定的位置处。如果没有写序号,那么插入到访问列表尾部。 3、删除ACE: Ruijie(config)#ipaccess-liststandardls1 Ruijie(config-std-nacl)#no20 Ruijie(config-std-nacl)#exit本例把访问列表中序号为 4、重排序号: 20的ACE 删除了。 142 / 146 142 锐捷路由器配置标准手册 经过一些插入、删除操作后,访 问列表中各 Ruijie#showaccess-listsls1 ace1:10permit ace2:25denyhost ace3:30permit 重排序号命令: ACE 的序号就变得较杂乱,如 上例的 ls1: Ruijie(config)#ipaccess-listresequencelist-id|list-namestart-sninc-sn 这条命令在全局配置模式中执行。 list-id|list-name start-sn是重排序号 是访问列表标号或名字, 143 / 146 143 时使用的起 锐捷路由器配置标准手册 始序号,inc-sn是序号增量。 该命令执行后会重排指定访问列表的序号,并进入列表配置模式。 Ruijie(config)#ipaccess-listresequencels11020 ace1:10permit ace2:30denyhost ace3:50permit Ruijie(config-std-nacl)#exit 说明:ipaccess-listresequence命令只能对已存在的命名访问列表使用。 带时间区的 ACLs 带时间区的访问控制列表可以在指定的时间运行。比方让一个 ACLs只在每天的指定时间段生效等。 使用带时间区的 ACLs需要依赖系统时钟,所以你必须先查看系统时间是否准确,如果不准确,应该先配 置系统时间。 1、定义时间区: Ruijie(config)#time-rangename Ruijie(config-time-range)# 本命令用于定义一个时间区,并进入时间区配置模式, name时间区名字。 2、配置绝对时间区间: Ruijie(config-time-range)# absolutestarttime-dateendtime-date starttime-date指定了起始时间。 endtime-date指定了终止时间。 time字段用24小时制的“小时:分钟〞的形式表示, date字段用“日月年〞的形式表示。 Ruijie(config)#time-ranget1 Ruijie(config-time-range)# absolutestart8:101jul2021end8:101aug2021 本例定义了一个从 2021年7月1日8:10到2021年8月1日8:10的时间区。 说明:如果没有指定起始时间,那么表示立即开始。如果没有指定终止时间,表示永远有效。终止时间必须晚于起始时间。 3、配置周期时间区间: Ruijie(config-time-range)#periodicdays-of-the-weekhh:mmtodays-of-the-weekhh:mmdays-of-the-week指定一周中的某一天或某几天。取值有:monday(星期一)、tuesday(星期二)、wednesday(星 期三)、thursday(星期四)、friday(星期五)、saturday(星期六)、sunday(星期日)、daily(每一天)、weekdays(星期一到星期五)、weekend(星期六和星期日)。 hh:mm 是 24 小时制的“小时:分钟〞。 Ruijie(config)#time-ranget2 Ruijie(config-time-range)# periodicdaily8:00to18:00本例定义的时间区是每天的上午 8点到下6点。 午 144 / 146 144 锐捷路由器配置标准手册 Ruijie(config)#time-ranget3 Ruijie(config-time-range)# periodicmonday22:00totuesday4:00 本例定义的时间区是每周的星期一的晚 10点到星期二的凌晨 4点。说明:在一个时间区中,绝对的时间区间只能设置一个,周期的时间区间可设置多个。 4、在访问列表中定义规那么的有效时间: 在访问列表的定义中, access-list命令和permit、deny命令都可以指定有效时间,如: Ruijie(config)#ipaccess-listextendedels1 145 / 146 145 锐捷路由器配置标准手册 Ruijie(config-ext-nacl)#permittcphostanyeqwwwtime-ranget1 Ruijie(config-ext-nacl)#denyiphostanytime-ranget1 Ruijie(config-ext-nacl)#permitipanytime-ranget2 本例定义了一个扩展访问控制列表,它的第1和第2条规那么在t1时间区有效,第3条规那么在t2时间区有效。 146 / 146 146 因篇幅问题不能全部显示,请点此查看更多更全内容