交换机．路由器．防火墙-技术提升【5.1】

10.4.2    LED 指示灯判断

借助路由器的 LED 指示灯，可以直观而快速判断系统工作状态和端口工作状态，从而有利于网络故障，特别是网络链路故障的诊断和排除。

1. Cisco 3825 路由器 LED 指示灯

路由器各接口的工作状态，也可以借由 LED 指示灯进行判断。图 10-43 所示为 Cisco 3825路由器前面板 LED 指示灯，图 10-44 所示为 Cisco 3825 路由器后面板 LED 指示灯。

2. Cisco 3845 路由器 LED 指示灯

图 10-45 所示为 Cisco 3845 路由器前面板 LED 指示灯，图 10-46 所示为 Cisco 3845 路由器后面板 LED 指示灯。

下面，以 Cisco 2800/3800 系列路由器为例，介绍一下 LED 指示灯的颜色、状态及其含义，如表 10-1 所示。

第 11 章 路由器的配置方式与初始化

路由器的配置方式与交换机基本相同。除了都可以采用图形化界面配置以外，也都支持使用 CLI 命令行进行配置。由于交换机与路由器的许多 CLI 配置命令完全相同，因此，两者之间的配置差异并不大。

11.1 路由器配置前的规划

对于局域网而言，路由器往往就是指边缘路由器，即用于实现与其他网络或 Internet 连接所使用的路由器。因此，路由器通常都位于网络中心。当然，在配置路由器之前，一定要与交换机、客户端统筹规划 IP 地址、主机名称、安全策略等。

1. IP 地址规划

IP 地址的规划包括以下几个方面的内容。

 内网 IP 地址规划。内网的 IP 地址规划，除了为不同 VALN 分配 IP 地址之外，还要为路由器的局域网端口划分 VLAN，指定 IP 地址段，并为路由器的局域网接口指定内网的 IP 地址。

 外网 IP 地址规划。合理分配由 ISP 提供的合法 IP 地址。当然，路由器的 WAN 口至少需要一个合法 IP 地址。如果分配有更多的合法 IP 地址，应当考虑给放置于外网的服务器分配合法的 IP 地址。

 内部服务器 IP 地址规划。如果服务器置于局域网内部，那么，一般应当为服务器单独指定一个 VLAN，然后，再在路由器上做 NAT 端口地址映射，实现内部服务器的Internet 发布。

 VPN 内网 IP 地址规划。如果在路由器上配置 VPN 服务，那么，也应当为 VPN 客户端规划内网 IP 地址，以便其安全访问内部网络。

2. 名称规划

名称规划包括以下几个方面的内容。

 每个接口所连接设备的名称，用于确认该接口所连接的网络或设备，便于日后实现对该接口的远程管理。接口注释中建议包含接口所连接的网络信息、设备信息等，便于日后对接口的管理。

 每台路由器的名称。如果网络内拥有多台路由器，那么，应当为每台路由器分别命名，用于确认该路由器所处的位置，便于与其他路由器区分，并对该路由器实现远程管理。路由器名称中建议包含路由器的型号信息、位置信息或用途信息，便于对路由器的识别与管理。

3. 安全规划

安全规划包括以下几个方面的内容。

 安全访问列表。确定在路由器上使用哪些访问列表，用于禁止在某个时间段访问网络、禁止访问某些 TCP 或 UDP 端口、禁止使用某些 IP 协议、限制某些 IP 地址范围内计算机的网络访问权限等。

 NAT 地址转换。是否采用 NAT 地址转换的方式实现 Internet 连接共享，并实现对内部网络计算机的保护。

 IOS 防火墙。是否启用 IOS 防火墙，以及启用哪些安全特性，如通信过滤、基于策略的多端口支持、网络地址转换、事件日志记录、虚拟专用网络、基于上下文的访问控制、 JAVA 阻断、服务拒绝检测/预防、审计踪迹、实时告警等。

4. 接口规划

接口规划包括以下几个方面的内容。

 接口连接。哪个接口连接到局域网，哪个接口连接到广域网（或 Internet），哪个接口用于备份线路。

 接口类型和速率。每个接口采用哪种传输介质、哪种接口类型。

11.2 路由器配置源与配置方式

路由器的配置与交换机的配置非常相似，一般都是先借助计算机和控制台端口进行初始化，然后，再借助 CLI 命令行或其他网络管理工具进行管理。另外，由于路由器用于实现不同网络之间的通信，因此，在没有完成配置之前，路由器所有端口都将处于 shutdown 状态，当然，网络之间也是无法连通的。

11.2.1    路由器的外部配置源

通常情况下，可以通过 3 种手段配置用于计算机与路由器之间的连接，即通过 Console 端口直接连接的方式、通过网络设备间接连接的方式、通过 AUX 端口远程连接的方式。

由于路由器没有自己的键入设备所以在对路由器进行配置时，一般都是通过另一台计算机连接到路由器的各种接口上进行配置，这些配置的方法称为外部配置源，如图 11-1 所示。

 控制台

将计算机的串口（ COM 口）通过 Console 线与路由器的 Console 端口相连；或者，将计算机的 USB 接口通过 USB 线缆与路由器的 mini-USB Console 端口连接，并在计算机上运行终端仿真软件（如超级终端），与路由器进行通信，完成路由器的配置。

 AUX

AUX 串行口可以连接调制解调器，网络管理员以电话拨号方式，对路由器进行远程配置和管理。

 虚拟终端（ Telnet）

如果路由器已有一些基本配置，至少配置了局域网接口或广域网接口的 IP 地址，就可通过运行 Telnet 程序的计算机作为路由器的虚拟终端与路由器建立通信，完成对路由器的配置与管理。

 网管工作站

路由器可通过运行网络管理软件的网管工作站进行配置，如 Cisco SDM、 CiscoWorks、 HP OpenView 等。

 TFTP 服务器

TFTP（ Trivial File Transfer Protocol）是一个 TCP/IP 简单文件传输协议，可将配置文件从路由器传送到 TFTP 服务器上，也可将配置文件从 TFTP 服务器传送到路由器上。 TFTP 不需要用户名和口令，使用非常简单。

11.2.2    路由器的配置接口

与交换机一样，路由器也没有自己的输入设备，所以，配置时都是通过专用电缆将计算机与路由器的配置接口进行连接，在计算机上完成相关配置操作。路由器的配置接口有两个： Console 接口和 AUX 接口。 Console 接口通常用来进行路由器的基本配置，通过专用 Console线连接到计算机，而 AUX 接口则用于路由器的远程配置连接。

1. Console 接口

Console 接口是典型的配置接口。使用 Console 线直接连接至计算机的串口，利用终端仿真程序（一般使用 Windows 自带的“超级终端”）在本地配置路由器。路由器的 Console 接口多为 RJ-45 接口，并标记有“ CONSOLE”字样。图 11-2 所示为 Console 接口。

Cisco 2900/3900 系列路由器同时提供了 mini-USB 接口作为 Console 接口（如图 11-3 所示），只需使用普通的 USB 电缆，即可实现对路由器的配置与管理。

2. AUX 接口

AUX 接口为异步接口，主要用于远程配置，也可用于拔号备份，可与 MODEM 连接。支持硬件流控制（ Hardware Flow Control）。 AUX 接口与 Console 接口通常被放置在一起，并标记有“ AUX”字样。

11.2.3    路由器与配置终端设备的连接

配置路由器除了可以借助 Console 口外，还可以借助 AUX 口进行远程配置。路由器与配置终端之间的连接，非常类似于交换机与配置终端之间的连接，既可以使用普通的 USB 电缆（如图 11-4 所示），也可以使用传统的 Console 线。

另外，路由器与可以借助传统的电话线和 Modem，以 AUX 端口从远程实现对路由器的配置和管理。借助 AUX 端口进行远程管理时，路由器与 Modem 之间的连接如图 11-5 所示。

11.2.4    路由器的配置方式

可以采用各种灵活多样的方式实现对路由器的配置与管理。通常情况下，可以借助超级终端、 Telnet 和 Cisco CP 完成所有工作任务。

借助超级终端和 Telnet 管理路由器时，其配置和管理方式与交换机非常相似，此处不复赘述，请参见“第 5 章交换机配置方式与初始化”中的相关内容。需要注意的是，路由器的 CLI 命令模式与交换机的 CLI 命令模式稍有差别。如表 11-1 所示为路由器的 CLI 命令模式。

路由器 CLI 各种命令模式的进入流程如图 11-6 所示。

Cisco CP（ Cisco Configuration Professional）是 Cisco 专门为中低端路由器开发的图形化管理软件，特别适用于没有经过专业训练的网络管理员。 Cisco CP 既可直接用于实现路由器的初始化，也可在路由器初始化完成之后，实现对路由器的图形化配置、管理、监控和故障诊断等任务。 Cisco CP 作为 Cisco SDM 的替代产品，被广泛应用于中低端新型路由器产品，如 Cisco 800 系列、 Cisco 1800/2800/3800 系列和 Cisco 1900/2900/3900/4400 系列路由器。图 11-8 所示为 Cisco CP 主界面。

11.3 路由器初始化配置

路由器的初始化可以采用 3 种不同的方式，即借助设置命令工具初始化、以手工方式初始化和借助 Cisco SDM 应用程序进行初始化。由于 Cisco SDM 初始化采用图形界面进行操作，因此，相对而言，借助 SDM 进行初始化相对简单。不过，当路由器中没有安装 Cisco SDM 时，则必须采用 CLI 命令行方式进行初始化。

11.3.1    使用设置命令工具初始化配置

当一个全新的路由器第一次打开电源时，或者想重新配置路由器时，都可以在路由器初始化向导的指引下，实现对路由器的快速配置，完成路由器的最基本配置，并为以后的远程配置和管理做好准备。使用设置命令工具，配置路由器的主机名，设置密码，以及如何配置接口，以便与管理网络通信。

设置命令工具提示输入与路由器和网络相关的基本信息，并创建初始配置文件。创建配置文件后，可使用 CLI 或 Cisco 路由器和安全设备管理器（ SDM）执行其他配置。设置命令工具的具体提示内容视路由器型号、已安装的接口模块和软件映像的情况而定。下列示例和用户项（以粗体显示）仅作为示例显示。
如果使用设置命令工具时出错，可以先退出，然后再次运行设置命令工具。按 Ctrl+C 组合键，然后在授权 Exec 模式提示符（ Router#）下输入 setup 命令。
① 若欲使用安装命令工具，结束后输入 yes。
— System Configuration Dialog —
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
Would you like to enter the initial configuration dialog? [yes/no]:
② 当下列信息出现时，按 Enter 键进入基本管理设置。
Continue with configuration dialog? [yes/no]:
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
③ 输入路由器的主机名（本示例使用 Router）。
Configuring global parameters:
Enter host name [Router]:BYRouter
④ 输入特权加密密码。该密码是加密的（更安全），并且查看配置时不能看到它。
The enable secret is a password used to protect access to
privileged Exec and configuration modes.This password, after
entered, becomes encrypted in the configuration.
Enter enable secret:xxxxxx
⑤ 输入不同于特权加密密码的特权密码。该密码未加密（不十分安全）并且查看配置时
能看到它。
The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password:xxxxxx
⑥ 输入虚拟终端密码，此密码防止通过控制台端口以外的端口进行未授权的访问。
The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password:xxxxxx
⑦ 根据网络的具体情况对下列提示给出合适的响应。
Configure SNMP Network Management?[yes]:
Community string [public]:
显示可用接口的汇总。

显示的接口编号视 Cisco 模块化路由器平台的类型和已安装的接口模块及接口卡而定。
Current interface summary
Controller Timeslots D-Channel Configurable modes Status
T1 0/0/0 24 23 pri/channelized Administratively up
T1 0/0/1 24 23 pri/channelized Administratively up
T1 0/2/0 24 23 pri/channelized Administratively up
T1 0/2/1 24 23 pri/channelized Administratively up
Any interface listed with OK? value “NO” does not have a valid configuration
Interface IP-Address OK?Method Status Protocol
GigabitEthernet0/0 unassigned NO unset up up
GigabitEthernet0/1 unassigned NO unset up up
⑧ 选择一个可用接口，以将路由器连接到管理网络。
Enter interface name used to connect to the
management network from the above interface summary:gigabitethernet0/0
⑨ 根据网络的具体情况对下列提示给出合适的响应。
Configuring interface GigabitEthernet0/0:
Use the 1000Base-T（ RJ-45） connector?[yes]:yes
Operate in full-duplex mode?[no]:no
Configure IP on this interface?[yes]:yes
IP address for this interface: 10.0.0.2
Subnet mask for this interface [255.0.0.0] : 255.255.255.248
Class B network is 10.0.0.2, 29 subnet bits; mask is /29
⑩ 显示配置。
The following configuration command script was created:
hostname BYRouter
enable secret 5 $1$D5P6$PYx41/lQIASK.HcSbfO5q1
enable password xxxxxx
line vty 0 4
password xxxxxx
snmp-server community public
!
no ip routing
!
interface GigabitEthernet0/0
no shutdown
media-type 1000Base-T
half-duplex
ip address 10.0.0.2 255.255.255.248
!
interface GigabitEthernet0/1
shutdown
no ip address
!
end
11 对下列提示给出响应，选择 [2] 保存初始配置。
[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.
Enter your selection [2]: 2
Building configuration…
Use the enabled mode 'configure' command to modify this configuration.
Press RETURN to get started!RETURN
出现用户提示：
Router>
12 验证初始配置。
 要验证接口运行是否正确，接口和线路协议是否处于正确状态（上或下），输入 show
interfaces 命令。
 要显示已为 IP 配置的接口的汇总状态，输入 show ip interface brief 命令。
 要验证是否已配置正确的主机名和密码，输入 show configuration 命令。
完成并验证了初始配置后， Cisco 路由器准备好进行特定功能的配置。
在全局配置模式下，输入 setup 命令，也可以进入初始化配置工具，对路由器进行重新设置。