公司內(nèi)路由器一般用的是CISCO2621,，通過(guò)寬帶連接因特網(wǎng)，局域網(wǎng)的微機(jī)通過(guò)路由器地址轉(zhuǎn)換（NAT）上網(wǎng),，內(nèi)部服務(wù)器上設(shè)置外部地址提供對(duì)外的訪問(wèn),。以此為例介紹路由器的配置步驟。路由器的10/100 ETHERNET0/0端口接外部網(wǎng)絡(luò),，10/100 ETHERNET0/1端口接內(nèi)部網(wǎng)絡(luò),。

   路由器第一次使用時(shí),，因?yàn)闆](méi)有進(jìn)行配置,，因此必須利用微機(jī)通過(guò)超級(jí)終端連接路由器的Console口進(jìn)行初始化。每臺(tái)路由器都帶有連接線,，一端接微機(jī)的串口,，另一端接路由器的Console口。即基本設(shè)置方式中的第一種方式,。路由器第一次啟動(dòng)時(shí),，會(huì)進(jìn)入設(shè)置對(duì)話過(guò)程，可以按照提示配置參數(shù),，也可以退出對(duì)話過(guò)程用命令的方式進(jìn)行配置,。以下介紹通過(guò)命令的方式進(jìn)行配置（命令可以不完全輸入,，只輸入單詞中的黑體部分即可，以下同）,。

1 配置端口的IP地址
router> enable     進(jìn)入特權(quán)命令狀態(tài)
router>＃config terminal   進(jìn)入全局設(shè)置狀態(tài)
router(config)＃interface fastethernet0/0   配置0／0端口的參數(shù)
router(config-if)＃ip address 222.132.92.46 255.255.255.0  0/0端口的IP地址,、子網(wǎng)掩碼，此地址一般為網(wǎng)絡(luò)供應(yīng)商提供的外部互聯(lián)地址
router(config)＃interface fastethernet0/1   配置0/1端口的參數(shù)
router(config-if)＃ip adderss 191.0.10.1 255.255.255.0     0/1端口的IP地址,、子網(wǎng)掩碼,，公司內(nèi)部分配，為局域網(wǎng)地址段的第一個(gè)地址
router(config-if)＃ip address 222.132.92.46 255.255.255.0 secondary  網(wǎng)絡(luò)供應(yīng)商分配的公用地址段的第一個(gè)地址及子網(wǎng)掩碼
router(config-if)＃exit 退出當(dāng)前配置狀態(tài),，回到上一級(jí)配置狀態(tài)
按Ctrl+z鍵可以直接回到特權(quán)命令狀態(tài),。

2 配置默認(rèn)網(wǎng)關(guān)
進(jìn)入全局配置狀態(tài)。采用的是靜態(tài)路由方式,，因此需要將一條靜態(tài)路由記錄加入,，內(nèi)容如下：

router(config)＃ip route 0.0.0.0 0.0.0.0 222.132.92.33 外部網(wǎng)絡(luò)互聯(lián)地址，供應(yīng)商提供
 
3 使路由器路由有效
router(config)＃ip routing
   至此,，路由器可以發(fā)揮路由作用,，內(nèi)部網(wǎng)絡(luò)上的有外部地址的微機(jī)可以連接外部網(wǎng)絡(luò)了。

4 配置地址轉(zhuǎn)換（NAT）
   只有內(nèi)部地址的微機(jī)若需要通過(guò)路由器上網(wǎng),，按如下步驟配置,。

   第一步： router(config)＃ip nat pool poolname 222.132.92.46 222.132.92.46 netmask 255.255.255.0
定義地址轉(zhuǎn)換地址池，poolname為地址池的名稱,，可以自己命名,，212.2.3.162為起始地址，212.2.3.163為結(jié)束地址,，表示內(nèi)部地址轉(zhuǎn)換成地址池范圍內(nèi)的地址對(duì)外訪問(wèn),，起始地址和結(jié)束地址可以相同。

   第二步：router(config)＃ip access-list extended natip  定義訪問(wèn)列表名稱為natip
router(config-ext-nacl)#permit ip 191.0.9.0 0.0.0.255 any  允許191.0.9.1－255的地址訪問(wèn)任何地址,，若只允許某些地址上網(wǎng),，可以在這里設(shè)置。如允許191.0.9.1－31的地址上任何網(wǎng),，其他地址只允許訪問(wèn)公司綜合信息,，可以按如下設(shè)置：
router (config-ext-nacl)＃permit ip 191.0.9.0 0.0.0.31 any
router (config-ext-nacl)＃permit tcp 191.0.9.0 0.0.0.255 host 210.52.46.166 eq www
router (config-ext-nacl)＃deny any any   (禁止其他地址的訪問(wèn))

 

   第三步：
router(config)# ip nat inside source list natip pool poolname overload 
router(config)# ip nat inside source static  191.0.10.29 222.132.92.46

配置NAT，natip范圍的地址可以轉(zhuǎn)換成poolname地址池中的地址上網(wǎng),。

   第四步：

router(config)＃interface fastethernet0/0 
router(config-if)＃ip nat outside
定義0/0端口為NAT的外部端口

   第五步：

router(config)＃interface fastethernet0/1 
router(config-if)＃ip nat inside 
定義0/1端口為NAT的內(nèi)部端口 
局域網(wǎng)中的微機(jī)將默認(rèn)網(wǎng)關(guān)設(shè)置為路由器的內(nèi)部地址(191.0.10.1),，就可以通過(guò)路由器上網(wǎng)了。

5  通過(guò)訪問(wèn)列表控制對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的訪問(wèn)

   控制內(nèi)部微機(jī)對(duì)外部網(wǎng)絡(luò)的訪問(wèn),，通過(guò)NAT中的訪問(wèn)列表控制,，見(jiàn)以上的第二步。
   控制外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，示例如下：
  區(qū)別在： permit或deny后面緊接的先是內(nèi)部地址還是外部地址
   router(config)＃ip access-list extended access1   建立名稱為access1的訪問(wèn)控制列表
   router(config-ext-nacl)＃deny Icmp any any  禁攢止Icmp訪問(wèn),，如ping,。
   router(config-ext-nacl)＃permit tcp any host 212.2.3.164 eq www  允許外部網(wǎng)絡(luò)訪問(wèn)212.2.3.164的web服務(wù)
   router (config-ext-nacl)＃permit ip any host 212.2.3.165  允許外部地址對(duì)212.32.3.165的所有訪問(wèn)，如語(yǔ)音網(wǎng)關(guān),。
router (config-ext-nacl)＃permit tcp any host 212.2.3.166 eq 1352 允許外部網(wǎng)絡(luò)訪問(wèn)212.2.3.166的1352端口,。1352端口為L(zhǎng)OTUS服務(wù)端口。
router(config)＃interface fastethernet0/0
router(config)＃ip access-group access1 in     將控制列表access1施加在0/0端口的對(duì)內(nèi)訪問(wèn)上,。

當(dāng)外部網(wǎng)絡(luò)訪問(wèn)通過(guò)路由器0/0端口控制內(nèi)部網(wǎng)絡(luò)時(shí),，路由器檢查訪問(wèn)列表，找到匹配項(xiàng)后動(dòng)作（deny或permit）,，以后的列表忽略,，若找不到匹配項(xiàng)，丟棄該數(shù)據(jù)包,。因此訪問(wèn)列表中一般需要將deny語(yǔ)句放在列表的前面,。

訪問(wèn)控制列表中表示一個(gè)地址時(shí)用host 212.32.3.165；表示一段地址時(shí)用212.2.3.160 0.0.0.15,，代表從212.2.3.160－175,。此處0.0.0.15與子網(wǎng)掩碼的作用類似，但是寫法恰好相反,。在網(wǎng)絡(luò)中地址段212.2.3.160－175用212.2.3.160 255.255.255.240表示,。訪問(wèn)控制列表中的掩碼可以用255減去子網(wǎng)掩碼每段的的數(shù)值得到。如子網(wǎng)掩碼255.255.255.0在訪問(wèn)控制列表中用0.0.0.255表示,，子網(wǎng)掩碼255.255.254.0在訪問(wèn)控制列表中用0.0.1.255表示,。

如果需要將微機(jī)的IP地址和網(wǎng)卡的地址綁定，即微機(jī)只能使用指定的IP地址,，自己更改地址后路由器將拒絕訪問(wèn),，可以通過(guò)如下命令設(shè)置：
router(config)＃arp 191.0.5.186 0030.2222.1111 ARPA
router(config)＃arp 191.0.5.187 0030.2222.2222 ARPA
其中191.0.5.186為IP地址，0030.2222.1111為綁定的網(wǎng)卡地址,。

6 保存配置
   router＃write  保存配置文件在路由器中,，若不保存路由器重新啟動(dòng)后配置將丟失。
   若需要將路由器的配置保存到微機(jī)上,，則微機(jī)上需要運(yùn)行CISCO的TFTP軟件,，通過(guò)copy命令進(jìn)行。
   router(config)＃copy running-config tftp
   然后根據(jù)提示輸入TFTP的地址和保存的文件名稱即可,，保存的文件為文本文件,。
   router(config)＃copy from tftp   從TFTP恢復(fù)備份的配置

7  其他常用命令
   router(config)＃show running-config    查看路由器配置
   router(config)＃show processes cpu    查看路由器CPU利用情況
   router(config)＃show processes memory  查看路由器內(nèi)存利用情況
   router(config)＃show interface    查看各端口的狀況
   router(config)＃show ip access-list  查看訪問(wèn)控制列表及數(shù)據(jù)包匹配情況
   router(config)＃show ip nat statistics  查看NAT地址轉(zhuǎn)換情況統(tǒng)計(jì)
   router(config)＃show ip nat translations  查看NAT當(dāng)前地址轉(zhuǎn)換情況

   網(wǎng)絡(luò)運(yùn)行過(guò)程中如果上網(wǎng)明顯變慢,，可以通過(guò)以上命令查看路由器的運(yùn)行狀況,。如前段時(shí)間沖擊波殺手病毒導(dǎo)致的上網(wǎng)慢甚至不能上網(wǎng)，用show processes cpu查看路由器CPU利用率幾乎為100％，用show ip nat statistics查看轉(zhuǎn)換統(tǒng)計(jì)有上萬(wàn)條,，用show ip nat translations發(fā)現(xiàn)有大量的來(lái)自相同地址的ICMP數(shù)據(jù)包,。沖擊波殺手病毒發(fā)作時(shí)會(huì)向路由器發(fā)送大量ICMP數(shù)據(jù)包，通過(guò)路由器就可以看出哪一臺(tái)微機(jī)感染了病毒,。用show ip nat translations查看時(shí),，如果同一個(gè)地址有大量的連接，一般此地址的微機(jī)有問(wèn)題,，應(yīng)該重點(diǎn)檢查,。