公司內(nèi)路由器一般用的是CISCO2621，通過寬帶連接因特網(wǎng)，局域網(wǎng)的微機(jī)通過路由器地址轉(zhuǎn)換（NAT）上網(wǎng)，內(nèi)部服務(wù)器上設(shè)置外部地址提供對外的訪問。以此為例介紹路由器的配置步驟。路由器的10/100 ETHERNET0/0端口接外部網(wǎng)絡(luò)，10/100 ETHERNET0/1端口接內(nèi)部網(wǎng)絡(luò)。

   路由器第一次使用時，因為沒有進(jìn)行配置，因此必須利用微機(jī)通過超級終端連接路由器的Console口進(jìn)行初始化。每臺路由器都帶有連接線，一端接微機(jī)的串口，另一端接路由器的Console口。即基本設(shè)置方式中的第一種方式。路由器第一次啟動時，會進(jìn)入設(shè)置對話過程，可以按照提示配置參數(shù)，也可以退出對話過程用命令的方式進(jìn)行配置。以下介紹通過命令的方式進(jìn)行配置（命令可以不完全輸入，只輸入單詞中的黑體部分即可，以下同）。

1 配置端口的IP地址
router> enable     進(jìn)入特權(quán)命令狀態(tài)
router>＃config terminal   進(jìn)入全局設(shè)置狀態(tài)
router(config)＃interface fastethernet0/0   配置0／0端口的參數(shù)
router(config-if)＃ip address 222.132.92.46 255.255.255.0  0/0端口的IP地址、子網(wǎng)掩碼，此地址一般為網(wǎng)絡(luò)供應(yīng)商提供的外部互聯(lián)地址
router(config)＃interface fastethernet0/1   配置0/1端口的參數(shù)
router(config-if)＃ip adderss 191.0.10.1 255.255.255.0     0/1端口的IP地址、子網(wǎng)掩碼，公司內(nèi)部分配，為局域網(wǎng)地址段的第一個地址
router(config-if)＃ip address 222.132.92.46 255.255.255.0 secondary  網(wǎng)絡(luò)供應(yīng)商分配的公用地址段的第一個地址及子網(wǎng)掩碼
router(config-if)＃exit 退出當(dāng)前配置狀態(tài)，回到上一級配置狀態(tài)
按Ctrl+z鍵可以直接回到特權(quán)命令狀態(tài)。

2 配置默認(rèn)網(wǎng)關(guān)
進(jìn)入全局配置狀態(tài)。采用的是靜態(tài)路由方式，因此需要將一條靜態(tài)路由記錄加入，內(nèi)容如下：

router(config)＃ip route 0.0.0.0 0.0.0.0 222.132.92.33 外部網(wǎng)絡(luò)互聯(lián)地址，供應(yīng)商提供
 
3 使路由器路由有效
router(config)＃ip routing
   至此，路由器可以發(fā)揮路由作用，內(nèi)部網(wǎng)絡(luò)上的有外部地址的微機(jī)可以連接外部網(wǎng)絡(luò)了。

4 配置地址轉(zhuǎn)換（NAT）
   只有內(nèi)部地址的微機(jī)若需要通過路由器上網(wǎng)，按如下步驟配置。

   第一步： router(config)＃ip nat pool poolname 222.132.92.46 222.132.92.46 netmask 255.255.255.0
定義地址轉(zhuǎn)換地址池，poolname為地址池的名稱，可以自己命名，212.2.3.162為起始地址，212.2.3.163為結(jié)束地址，表示內(nèi)部地址轉(zhuǎn)換成地址池范圍內(nèi)的地址對外訪問，起始地址和結(jié)束地址可以相同。

   第二步：router(config)＃ip access-list extended natip  定義訪問列表名稱為natip
router(config-ext-nacl)#permit ip 191.0.9.0 0.0.0.255 any  允許191.0.9.1－255的地址訪問任何地址，若只允許某些地址上網(wǎng)，可以在這里設(shè)置。如允許191.0.9.1－31的地址上任何網(wǎng)，其他地址只允許訪問公司綜合信息，可以按如下設(shè)置：
router (config-ext-nacl)＃permit ip 191.0.9.0 0.0.0.31 any
router (config-ext-nacl)＃permit tcp 191.0.9.0 0.0.0.255 host 210.52.46.166 eq www
router (config-ext-nacl)＃deny any any   (禁止其他地址的訪問)

 

   第三步：
router(config)# ip nat inside source list natip pool poolname overload 
router(config)# ip nat inside source static  191.0.10.29 222.132.92.46

配置NAT，natip范圍的地址可以轉(zhuǎn)換成poolname地址池中的地址上網(wǎng)。

   第四步：

router(config)＃interface fastethernet0/0 
router(config-if)＃ip nat outside
定義0/0端口為NAT的外部端口

   第五步：

router(config)＃interface fastethernet0/1 
router(config-if)＃ip nat inside 
定義0/1端口為NAT的內(nèi)部端口 
局域網(wǎng)中的微機(jī)將默認(rèn)網(wǎng)關(guān)設(shè)置為路由器的內(nèi)部地址(191.0.10.1)，就可以通過路由器上網(wǎng)了。

5  通過訪問列表控制對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的訪問

   控制內(nèi)部微機(jī)對外部網(wǎng)絡(luò)的訪問，通過NAT中的訪問列表控制，見以上的第二步。
   控制外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的訪問，示例如下：
  區(qū)別在： permit或deny后面緊接的先是內(nèi)部地址還是外部地址
   router(config)＃ip access-list extended access1   建立名稱為access1的訪問控制列表
   router(config-ext-nacl)＃deny Icmp any any  禁攢止Icmp訪問，如ping。
   router(config-ext-nacl)＃permit tcp any host 212.2.3.164 eq www  允許外部網(wǎng)絡(luò)訪問212.2.3.164的web服務(wù)
   router (config-ext-nacl)＃permit ip any host 212.2.3.165  允許外部地址對212.32.3.165的所有訪問，如語音網(wǎng)關(guān)。
router (config-ext-nacl)＃permit tcp any host 212.2.3.166 eq 1352 允許外部網(wǎng)絡(luò)訪問212.2.3.166的1352端口。1352端口為LOTUS服務(wù)端口。
router(config)＃interface fastethernet0/0
router(config)＃ip access-group access1 in     將控制列表access1施加在0/0端口的對內(nèi)訪問上。

當(dāng)外部網(wǎng)絡(luò)訪問通過路由器0/0端口控制內(nèi)部網(wǎng)絡(luò)時，路由器檢查訪問列表，找到匹配項后動作（deny或permit），以后的列表忽略，若找不到匹配項，丟棄該數(shù)據(jù)包。因此訪問列表中一般需要將deny語句放在列表的前面。

訪問控制列表中表示一個地址時用host 212.32.3.165；表示一段地址時用212.2.3.160 0.0.0.15，代表從212.2.3.160－175。此處0.0.0.15與子網(wǎng)掩碼的作用類似，但是寫法恰好相反。在網(wǎng)絡(luò)中地址段212.2.3.160－175用212.2.3.160 255.255.255.240表示。訪問控制列表中的掩碼可以用255減去子網(wǎng)掩碼每段的的數(shù)值得到。如子網(wǎng)掩碼255.255.255.0在訪問控制列表中用0.0.0.255表示，子網(wǎng)掩碼255.255.254.0在訪問控制列表中用0.0.1.255表示。

如果需要將微機(jī)的IP地址和網(wǎng)卡的地址綁定，即微機(jī)只能使用指定的IP地址，自己更改地址后路由器將拒絕訪問，可以通過如下命令設(shè)置：
router(config)＃arp 191.0.5.186 0030.2222.1111 ARPA
router(config)＃arp 191.0.5.187 0030.2222.2222 ARPA
其中191.0.5.186為IP地址，0030.2222.1111為綁定的網(wǎng)卡地址。

6 保存配置
   router＃write  保存配置文件在路由器中，若不保存路由器重新啟動后配置將丟失。
   若需要將路由器的配置保存到微機(jī)上，則微機(jī)上需要運(yùn)行CISCO的TFTP軟件，通過copy命令進(jìn)行。
   router(config)＃copy running-config tftp
   然后根據(jù)提示輸入TFTP的地址和保存的文件名稱即可，保存的文件為文本文件。
   router(config)＃copy from tftp   從TFTP恢復(fù)備份的配置

7  其他常用命令
   router(config)＃show running-config    查看路由器配置
   router(config)＃show processes cpu    查看路由器CPU利用情況
   router(config)＃show processes memory  查看路由器內(nèi)存利用情況
   router(config)＃show interface    查看各端口的狀況
   router(config)＃show ip access-list  查看訪問控制列表及數(shù)據(jù)包匹配情況
   router(config)＃show ip nat statistics  查看NAT地址轉(zhuǎn)換情況統(tǒng)計
   router(config)＃show ip nat translations  查看NAT當(dāng)前地址轉(zhuǎn)換情況

   網(wǎng)絡(luò)運(yùn)行過程中如果上網(wǎng)明顯變慢，可以通過以上命令查看路由器的運(yùn)行狀況。如前段時間沖擊波殺手病毒導(dǎo)致的上網(wǎng)慢甚至不能上網(wǎng)，用show processes cpu查看路由器CPU利用率幾乎為100％，用show ip nat statistics查看轉(zhuǎn)換統(tǒng)計有上萬條，用show ip nat translations發(fā)現(xiàn)有大量的來自相同地址的ICMP數(shù)據(jù)包。沖擊波殺手病毒發(fā)作時會向路由器發(fā)送大量ICMP數(shù)據(jù)包，通過路由器就可以看出哪一臺微機(jī)感染了病毒。用show ip nat translations查看時，如果同一個地址有大量的連接，一般此地址的微機(jī)有問題，應(yīng)該重點檢查。