CISCO

有些小伙伴常常在交换机删除Vlan这个问题上总是错漏百出，为此本文就分享了它的方法，本文主要通过详细的配置步骤向大家展示了CISCO交换机上删除Vlan的过程，

Vlan删除操作步骤如下：

在一个网络系统中VLAN规划好后一般是不需要对Vlan进行变更。实际应用中可能会因为网络的结构的变化，而对Vlan进行重新规划，那就涉及要Vlan的删除或重建。Vlan的删除在cisco 思科交换机中非常简单，只要在核心交换机上进行操作就可以了，在核心交换机上配置：

4506》en

password：输入密码

4506#vlan database 回车后显示：

% Warning： It is recommended to configure VLAN from config mode， as VLAN database mode is being deprecated. Please consult user documentaTIon for configuring VTP/VLAN in config mode. 4506（vlan）#no vlan 2

删除vlan 2，按照此命令格式将需要删除的Vlan全部删除。最后使用apply命令所有设置生效

4506（vlan）#apply APPLY completed.

退出

4506（vlan）#exit APPLY completed. ExiTIng.。。。 4506#

进入配置状态将所有vlan配置的ip均删除掉

4506#conf t 4506#conf t Enter configuraTIon commands， one per line. End with CNTL/Z. 4506（config）#int vlan 2 4506（config-if）#no ip address 10.XX.XX.XX 255.255.255.0 4506（config-if）#exit 4506（config）#int vlan 3

依次删除所有设定的IP地址

最后使用

4506#sh run

来查看配置情况

使用sh vlan来查看Vlan的设置情况

4506#sh vlan

最后是保存cisco的设置

4506#copy run start DesTInation filename ［startup-config］？ Building configuration.。。 Compressed configuration from 5469 bytes to 2088 bytes［OK］ 4506#

用no vlan删除VLAN，但是VLAN删不干净，怎么删比较干净？这样当然删不干净了，因为配置VLAN时还配置过接口。

先删接口

switch（config）#int ra f0/1 - 5 switch（config-if）#no switchport access vlan 20 switch（config-if）#exit

再删除配置接口

switch（config）#no int vlan 20

删除VLAN

switch（config）#NO vlan 20

VLAN删除就到此结束了.

剖析CISCO与华为3COM路由器的区别，熟练掌握下面涉及到的CISCO与华为3COM路由器知识，很多方法都会使你豁然开朗的。华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面，使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。

另外它的软件升级，远程配置，备份中心，P PPP回拨，路由器热备份等，对用户来说均是极有用的功能特性。

在配置方面，CISCO与华为3COM路由器以前的软件版本(VRP1.0-相当于CISCO的IOS)与CISCO有细微的差别，但目前的版本(VRP1.1)已和CISCO兼容，下面首先介绍VRP软件的升级方法，然后给出配置上的说明。

一、 VRP软件升级操作

CISCO与华为3COM路由器升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本，因为这关系到是否可以升级以及升级的方法，否则升级失败会导致路由器不能运行。在此我们以从VRP1.0升级到VRP1.1为例说明升级的方法。

◆1.路由器配置电缆一端与PC机的串口一端与路由器的console口连接

◆2.在win95/98下建立使用直连线的超级终端，参数如下：波特率9600，数据位8，停止位1，无效验，无流控 ，VT100终端类型

◆3.超级终端连机后打开路由器电源，屏幕上会出现引导信息，在出现：

◆Press Ctrl-B to enter Boot Menu.

◆时三秒内按下Ctrl+b，会提示输入密码

◆Please input Bootrom password：

默认密码为空，直接回车进入引导菜单Boot Menu，在该菜单下选1，即Download application program升级VRP软件，之后屏幕提示选择下载波特率，我们一般选择38400 bps，随即出现提示信息：Download speed is 38400 bps.Please change the terminal’s speed to 38400 bps，and select XMODEM protocol.Press ENTER key when ready.

此时进入超级终端“属性”，修改波特率为38400，修改后应断开超级终端的连接，再进入连接状态，以使新属性起效，之后屏幕提示：Downloading…CCC这表示路由器已进入等待接收文件的状态，我们可以选择超级终端的文件“发送”功能，选定相应的VRP软件文件名。

通讯协议选Xmodem，之后超级终端自动发送文件到路由器中，整个传送过程大约耗时8分半钟。完成后有提示信息出现，系统会将收到的VRP软件写入Flash Memory覆盖原来的系统，此时整个升级过程完成，系统提示改回超级终端的波特率：

Restore the terminal’s speed to 9600 bps. Press ENTER key when ready. 修改完后记住进行超级终端的断开和连接操作使新属性起效，之后路由器软件开始启动，用show ver命令将看见相应的版本信息。下面是与CISCO互通时应注意的地方：

二、 在默认链路层封装上的区别(主要用于DDN的配置)

◆华为VRP1.0及其以前的版本，在配置时，由于CISCO的默认链路层封装格式为HDLC，而华为路由器的默认链路层封装格式为PPP，因此为了能互通，需要将CISCO与华为3COM路由器的封装格式改为PPP格式，即使用命令： encapsulation PPP

◆华为VRP1.1及其以后的版本，增加了HDLC封装格式。这样，不需要改动CISCO的封装格式，而将华为路由器的封装格式改为HDLC封装格式即可，即使用命令：encapsulation hdlc

三、 在配置X.25上的区别

1.华为VRP1.0及其以前的版本在配置时，由于CISCO的 X25 默认封装格式为它自己的标准。而华为路由器的封装格式为国际标准IETF，因此为了能互通，需要将CISCO与华为3COM路由器的封装格式改为ietf格式，即使用命令：encapsulation x25 ietf

2.华为VRP1.1及其以后的版本，特地增加了与CISCO兼容的封装格式。这样，不需要改动 CISCO 的封装格式，而将华为路由器的 X25 封装格式改为 CISCO兼容封装格式即可，即使用命令：encapsulation x25 cisco

四、 在配置帧中继(Frame-Relay)上的区别

◆华为VRP1.0及其以前的版本，由于CISCO的默认 FR 封装格式为CISCO公司自己的标准;而华为路由器的封装格式为国际标准IETF.另外，由于在LMI(帧中继本地管理信息)类型的配置上，CISCO默认也是使用它自己的格式，而华为路由器使用的是国际标准的 Q.933a 格式，因此为了能互通，需要将 CISCO路由器的 FR 封装格式改为IETF，将LMI 改为 Q.933a 格式才能互通，即使用命令：encapsulation frame-realy ietf ，frame-realy lmi-type q933a

◆华为VRP1.1及其以后的版本，特地增加了与CISCO兼容的FR封装格式，以及LMI的格式。这样，不需要改动CISCO的封装，而只需将华为路由器的FR封装格式和LMI类型改为CISCO兼容格式即可，即使用命令：encapsulation frame-relay cisco。frame-relay lmi-type cisco

◆以上各点，是在华为与 CISCO与华为3COM路由器互连时应着重注意的，如果 CISCO 用户的链路封装不是国际标准而是它自己的格式，而且 CISCO 用户又不愿修改配置，则在华为一端一定要作相应的改变。

如何用flapList专用工具处理CISCOcmts络故障

主题内容：文章描述了怎样在CMTS系统中配置和使用flap list roubleshooting。利用CMTS自带的flap list专用工具诊断CM或Cable端口的潜在问题。并以本网中出现的故障为实例，介绍了flap list对网络进行监视，并根据flap―list的统计诊断网络状况，达到处理故障的目的。

关键詞：配置 跟踪 诊断 端口命令

攀钢有线电视系统经改造后，采用Cdble modem接入方式开展双向宽带上网业务，经一年多的运行，针对不同的问题和故障，采用在CMTS系统中配置和使用flap list troubleshooting。利用CMTS自带的flap list专用工具诊断CM或Cable端口的潜在问题。flap list跟踪那些有间断连接问题的CM，过多的flaping表示这些CM所在的上行或下行通道的设备或线路有问题。

1、 Flap list的检修功能只适用于双向观CM。（它不支持电话回传的观CM或机顶盒）。 Flap list是CMTS CISCO IOS软件自带的专有工具。它跟踪有间断连接问题的cm。显示出CM的问题或上行、下行通道RF噪声问题。Flap-list功能适用于所有附合DOCSIS标准的CM。因为它不发送特别的信息给CM，无需CM 回馈特别的信息。在正常注册和有站点维护的DOCSIS cm网络已具备该项监视功能。 在不产生附加包开支，在不压缩网络流量的情况下收集Flap-list数据。不象其它的监视方法，Flap-list所占有的带宽为零。

The Flap List Troubleshooting跟踪网络以下状态：

•Reinsertions—当观CM重复注册的频率大于CMTS所定义的插入时间时将产生reinsertion。该指标显示下行通道有潜在问题或CM不正常。

•Hits and Misses-当CM成功响应CMTS发出的遵从DOCSIS标准的站点维护信息时记做HIT。当CM在CMTS所规定的时间内没有响应时记做MISSES。MISSES显示上行或下行通道有问题或cm正在注册。•Power Adjustments—当CM 的信号电平不稳定时，系统可自行调整CM的发射功率直到其最大发射的功率。功率的从复调整表明回传通道增益有问题。

Flap-list提供了快速诊断问题的方法。例如用户报修时，我们可用show cable modem A.A.A（用户CM的MAC或IP地址），如果Flap-list很少或没有，则说明CMTS与CM之间的通信可靠。问题出在用户的计算机或其它连接到CM的设备上。

类似地，我们可以用指标reinsertion、hits、misses、power 、adjustment快速诊断以下类型的问题。

•. 如果用户的CM有大量的flap list。则要么是CM硬件有问题，要么是安装有误，要么到用户的线路或设备有问题。

•miss/hit在百分之十以上，表明CM与CMTS头端通信困难；

•CM电平调节每天超过50次。可以看出为上行路径问题；

•在flap-list信息中hits与miss数值大约相同并伴随着大量的Ins时，可能为下行路径问题（比如：进入CM的下行电平过低等）；

•所有的CM的Ins的数值同时增加，可能为某些服务器出错；

•CM的CRC值很高时，可能为上行路径或用户家中线路问题；

• 在某个上行端口所对应的所有CM显示的flap-list信息值相似时，能很快的判断出为此上行小区的设备或节点的问题；

另外：网络管理者和营运者可在本地计算机建立flap list数据库，收集每天的数据。这些数据为解决上行通道或下行通道的运行状况、进行质量控制、掌握网络的变化趋势提供了可靠依据。

系统支持自动电源调整功能，当头端检测到回传通道不稳定时，头端将调整CM的发射功率进行补偿。用show cable flap-list和show cable modem命令可以看到：“*”表示CM正在进行功率调整；“！”表示CM的发射功率已达到最大。

Flap-list不但提供CM实时监测。还将历史资料进行统计，为快速、准确地分析网络、设备中出现的问题，进行网络诊断提供依据。（较快掌握怎样诊断HFC双向网络故障、确定放大器或线路故障、区分是上行还是下行通道的故障、还是设备噪声隔离等故障问题）。

2、怎样配置FLAP LIST中的参数。

下面介绍怎样在CMTS中用端口命令方式配置[flap list参数[略去用网络管理协议（SNMP）配置flap list]。如果你想使用缺省方式可省去该步骤。

要将一个或多个CM从flap list中清除，或者要将flap list数据从一个或多个CM中清除。采取以下步骤：

CISCO CMTS能自动监视Cable modem的功率调整、要开启自动功率调整功能。其设定如下。

注：在某些情况下你可以用Cable upstream power-adjust command耒调整某些参数。

如果CM由于功率发射达到最大而不能完成初始化。你可以增加continue pwr-leve参数大于默认值2dB。建议在“C”版本不大于10 dB。在FPGA版本不大于5dB。

如果在flap list中显示大量的功率调整，而CM没有发现“NOISY”，减小noise perc-pwr-adj 值。如果太多的CM发现不必要的“NOISE”，增加百分比。

3、怎样用FLAP LIST对网络进行监视和维修

命令句型如下。

•show cable flap-list =显示所有CM的flap。

•show cable flap-list sort-interface =显示指定下行端口CM的flap

uBR7100#sh cable modem 00d0.3340.c6a8 flap

MAC Address I/F Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.c6a8 C3/0/U1 0 19034 11 0 0 0

所显各参数的解释：

MacAddr CM的MAC地址

CableIF CM相应的CMTS上行入口。

Ins该项显示了CM异常接入网络的次数。

当CM两次与头端建立连接的时间间隔小于所配置的阈值时计数增加一次。

CM上线工作中，同CMTS定期建立一个初始化维护的过程（Keep Alive Polling），默认的定期间隔为180 s (60~86 400 s可调)，若由于网络中断同步丟失、DHCP配置等问题造成维护过程 （Keep Alive Polling）的时间低于預定值，則Ins和Flap计数增加。）

在以下情况下发生ins属正常：

•初始连接插入跟随CMTS与CABLE MODEM之间的站点维护信息发生。

•Power on 电源开

•Initial maintenance 初始维护

•Station maintenance站点维护

•Power off

当掉线时。为重新建立连接，初始维护以以下方式循环。

•初始维护 @ Time T1

•站点维护

•初始维护 @ Time T2

当T2 - T1

该数可显示下行通道间断同步丢失或DHCP有问题或MODEM注册有问题。在后一种情况下INS与FALP同步增长。如果下行通道不稳定（电平变化经常超出CM的范围）INS增加，如果重新连接发生得太频繁，通常是CM注册有问题，在出现该问题时在INS增加的同时伴随着大量的FLAP.

Hit CM 成功回应MAC-层站点维护(Keepalive )信息的次数，（最少每30秒HIT一次，它显示上行间断连 接，雷射削波，公共通道失真）

Miss CM不能回应MAC-层站点维护(Keepalive )信息的次数。百分之8以下的MIS率属正常，它显示上行间断 连接，雷射削波，公共通道失真。

注： Hit和Miss统计了CM和CMTS之间站点维护过程的次数，站点维护过程每25 s一次，CMTS每接收CM的回应一次，Hit计数加1，CMTS沒有接收到CM的回应一次，Miss计数加1。Miss/Hit之比在8%以內一般是正常的，过高的Miss数（Miss/Hit之比超过10%）意味著：雷射器削波（Laser Clipper）、共用通路失真（Common Path Distortion）、入侵干扰杂波（Ingress or Interference）、上行通路衰減过大或过小（Much or Too Little Up stream Attenuation）等网络问题，此时CM可能会頻繁掉线无法完成注冊过程，连续16个Miss发生，意味著链路中断或断电；如果连续出现M个MISSES发生，FLAP增加一次（M是用cable flap miss-threshold命令配置的。（其有效值为1-12，默认值为6）

在INS不在增加时。可对HIT和MISS作出分析。通常：如果HIT和MISS数大约相同，CRC很低或没有时，则上行通道存在噪声

如果MISS很多则MODEM可能存在公共通道失真，则MODEM掉线或不能完成注册。,如果断开CABLE时噪声消失，检查物理连接,.如果有轻微的噪声，你可看到MIS百分比增加。如果噪声严重，则80%的RNG-RSP（初始响应）掉失，并出现大量的INS。

CRC 指CM的循环冗余码校验错误数。 較高的CRC表明间断的上行通道（Intermittent Upstream）、雷射器 削波（Laser Clipping）、共用通路失真（Common?path Distortion）、脉冲噪声或干扰、 （Impulsive Noise or Interference ）。

P-Adj 指CMTS指令CM调节发射功率大于3dB的次数。*表示CM正处在功率调整方式。！表示CM已达到最大发 射功率。较高的P-ADJ表明网络出现以下问题：放大器退化、网络接触不良、上行通道衰减过大或 过小、器件的热敏等问题。P-ADJ通常被看着是反应系统稳定度的指标。MODEM出现大量的P-ADJ。则 可预示MODEM将会出现掉线的情况。

Flap 综合了INS、MISS、P-ADY各项指标。INS计数增加、连续6个MISS发生、P-ADJ计数增加都将使FLAP增 加。

Time 指最近一次发生FLAP或掉线的时间。

•show cable flap-list cable interface [upstream port] = 显示指定上行端口cm的flap。

要变换输出方式，可附加以下字节。

•sort-flap =按CM的flap次数显示。

•sort-time =按CM最近一次发生flap的时间显示。

4、几个实例介绍：

uBR7100#show cable flap-list sort-time

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.aa60 Cable3/1/U3 4 35338 866 0 *361 419 Mar 25 20:36:34

00d0.3340.a0b0 Cable3/0/U2 4 37418 573 2 74 107 Mar 25 20:36:03

00d0.3340.b1d4 Cable3/1/U0 2 50165 747 11 225 261 Mar 25 20:35:28

uBR7100#show cable flap-list cable3/0 up 0

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.f954 Cable3/0/U0 1099 46960 44158 1 20378 22197 Mar 25 17:35:22

00d0.3340.bcfa Cable3/0/U0 148 24743 9860 0 5301 5593 Mar 25 06:11:34

00d0.3340.bca4 Cable3/0/U0 142 27653 6120 1 3121 3402 Mar 25 18:09:38

5、用SHOW CABLE MODEM FALP命令显示FLAP

uBR7100#sh cable modem 00d0.3340.c6a8 flap

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.c6a8 C3/0/U1 0 19034 11 0 0 0

uBR7100#sh cable modem 165.165.1.31 flap

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.c6a8 C3/0/U1 0 19057 11 0 0 0

uBR7100#sh cable modem ca3/0 flap

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3341.9a18 C3/0/U2 0 22147 172 2 2 13 Mar 25 17:19:39

00d0.3341.9a1e C3/0/U1 1 16421 304 1 7 18 Mar 22 10:33:57

0005.ca30.0b69 C3/0/U2 2 13445 99 5 14 22 Mar 21 19:38:47

uBR7100#sh cable modem ca3/0 up 0 flap

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.bb7e C3/0/U0 0 16493 58 2 0 3 Mar 14 22:03:22

0005.ca30.0749 C3/0/U0 3 54922 784 3 22 78 Mar 25 09:04:10

0011.2fde.59fc C3/0/U0 0 12962 168 1 12 20 Mar 25 17:23:06

•注：show cable modem flap与show cable flap-list所显示的信息相似，只是后者可以显示每一个CM的FLAP信息。

6、怎样根据FLAP-LIST的统计耒诊断网络状况：

6• 1: 低的MISS/HIT比（小于百分之2）、低的INS、低的P-ADJ，低的flap。老的时间表

分析: 显示网络处在理想状态。

6• 2: 高的MISS/HIT比（大于10%）

分析: 在INS不再增加时对HIT和MISS进行分析。通常：当HIT和MISS都很多时，可能是上行通道存在噪声。当出现大量的MISS，则cm可能频繁掉线或没有完成注册。上行或下行通道不够稳定造成连接不可靠。当HIT、MISS都很低而INS很高时，则可能是某服务器有问题。

6• 3: 比较高的P-ADJ

分析: 可能P-ADJ的阈值是缺省值2dB，CM发射步长是1.5dB。但头端命令步长为0.25dB。为增强flap list的可靠性，建议将功率阈值设为6dB

6• 4: P-Adj 和 CRC 都很高

分析: 它显示回传通道的光节点削波失真。这时CRC将很高。如果CM没有掉线（INS=0），用户将不会察觉到。然而，由于回传掉包，可能导致网速变慢。它也将导致CMTS的输入失真。

6• 5: 高的Iinsertion rate

分析:高的INS表明 CM重新建立连接发生的过于频繁，CM注册有问题。

show cable flap-list 和 show cable modem命令可充分显示CMTS的那个通道正在进行功率调整。那些Cable modem已经达到最大发射电平。这给我们提供了维修思路，使维修工作有的放矢。

检修实例：1

Router#sh cable flap-list ca3/1 up 0

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.baa6 Cable3/1/U0 46 27400 31953 2 2 22907 Mar 23 21:28:01

00d0.3340.c1e8 Cable3/1/U0 13 34400 18415 0 42 6446 Mar 26 02:06:27

00d0.3340.c6dc Cable3/1/U0 28 18536 4752 1 24 4418 Mar 25 11:26:25

这三个CM为同一个二分配下的三个用户，它们的MISS/HIT比都很高。经查二分配器的输入接触不良。

检修实例：2

Router#sh cable flap-list ca3/0 up 3

MAC Address Upstream Ins Hit Miss CRC P-Adj Flap Time

00d0.3340.a7e4 Cable3/1/U1 8 659 524 6 !125 156 Mar 25 20:45:08

00d0.3341.99c7 Cable3/1/U1 2 7428 513 1 !27 58 Mar 26 00:07:06

这两个CM为同一光站的同一端口下的猫。它们都有！号，查两只猫的发射功率分别为118dB和120dB以达到最大，询问用户有时掉线，经查光站中里这条支路的衰减器损坏。

检修实例3：

Route#sh cable modem ca3/0 up 0

MAC Address IP Address I/F MAC Prim RxPwr Timing Num BPI

State Sid (db) Offset CPE Enb

00d0.3340.bb7e 165.165.0.237 C3/0/U0 online * 21 -0.75 987 1 N

0005.ca30.0749 165.165.0.92 C3/0/U0 offline ！44 0.25 3815 0 N

000e.a629.a7bd 165.165.0.94 C3/0/U0 online * 54 0.00 2864 1 N

000e.a629.9c98 165.165.0.97 C3/0/U0 online * 58 0.25 2778 1 N

000c.e52d.63e6 165.165.1.14 C3/0/U0 online ！121 -0.25 2527 0 N

000b.063b.9670 165.165.1.7 C3/0/U0 online ！149 0.00 2528 0 N

00d0.3340.9a7c 165.165.0.102 C3/0/U0 offline * 173 -0.25 2004 0 N

00d0.3340.b1c6 165.165.0.99 C3/0/U0 online ！187 -0.25 2037 3 N

00d0.3340.c1e4 165.165.0.100 C3/0/U0 online ！89 -0.25 2049 2 N

00d0.3340.c6a4 165.165.0.111 C3/0/U0 offline ！2024 0 2015 0 N

00d0.3340.bcfa 165.165.0.109 C3/0/U0 offline * 566 -0.50 2035 0 N

00d0.3340.08d2 165.165.0.147 C3/0/U0 offline ！713 *0.00 4017 2 N

0011.2fde.510b 165.165.1.9 C3/0/U0 offline ！2093 0.00 2794 0 N

00d0.3340.f9f2 165.165.1.86 C3/0/U0 online ！799 -0.25 2049 1 N

00d0.3340.a056 165.165.0.90 C3/0/U0 online * 801 0.75 2080 1 N

以上为一小区四个光站下所有带“*”或“！”CM的flap，其余CM的flap正常。经查该小区所有光站的回传电平增益比正常值低了11dB，（CM的发射电平将上升11dB），从而导致那些非标准分配的CM所发射的功率达到临界值，（由于用户家中所接分配、分支器的不同，这些CM的发射电平本来就较高）。结果总回传接收模块损坏。

采用有线电视宽带上网传输技术是近几年发展起耒的新技术，在实际使用的过程中，会出现这样和那样的疑难故障，需要我们认真分析和查找故障，以上是我们利用fiap list专用工具分析、诊断、查找双向宽带网络故障的一种迅速、快捷和行之有效的好办法。

参考文献：Flap List Troubleshooting for the Cisco CMTS

CISCO常见路由器密码和版本恢复方法探讨

摘要：本文对CISCO公司的一些常见路由器的密码恢复进行了探讨和总结，同时描述了对路由器版本的灾难性恢复的一些方法。

随着互联网规模的不断扩大，网络与我们的生活已经越来越近，许多政府，学校和公司都组建了自己的信息网络，这使得路由器这一网络设备的使用越来越广泛。在使用路由器的过程中经常会出现忘记密码的事情，使维护人员无法登录，影响工作的进一步开展。同时，在操作过程中有时会因为一些意想不到的原因，将路由器内部的版本映象文件损坏，使路由器无法正常工作，路由器退回到监控状态，使用常用的版本拷贝命令无法更新版本。这两个问题都是较常见，但又是初学者感到比较棘手的问题。

对于版本的获得一般可以通过网站下载，或与供应商联系提供，也可以在路由器正常工作时利用常规命令将版本备份到服务器上，以备应急之用。CISCO 路由器品种较多，各种路由器的密码恢复和版本的灾难恢复情况又不同，现分别叙述。

一． 2500系列路由器（以2509为例）

1． 密码恢复

1.1 利用DB25转换接口，和交叉线将2509路由器的CONSOLE口和计算机串口相连，启动计算机超级终端，设置其参数为波特率9600，数据位8，奇偶校验为无，停止位为1，流控选择无。开启路由器电源，在开机60秒内按ctlr+break 使路由器进入rom monitor 状态，提示符 >

1.2 查看configure –register 值，并将该值记下。

>e/s2000002

返回值正常时一般为2102

1.3 更新configure-register 值使路由器启动时跳过配置文件，直接启动，以便使原来的密码不起作用。

>o/r0x0142

1.4 重新启动路由器>i

1.5 启动后进入特权模式，执行如下命令使原来的配置信息有效。

router(config)#config mem

1.6 此时可以按照正常操作查看原来的密码，或修改为新的密码。

1.7 将configure-register 值复原，并重新启动路由器。此时即可恢复正常。

Router(config)#configure-register 0x2102

Router(config)#wri

Router(config)#reload

2版本灾难性恢复

与其他路由器不同的是2509在rom内部有一个引导监控模式，内含一个小的映象版本，当flash中版本损坏时，可以用于正式版本下载。

2.1在计算机串口和2509CONSLOE 口相连的同时，还必须准备一个AUI 与RJ45的转换接口，以便可以使用交叉线将AUI口与计算机网口相连。

2.2在引导监控模式下，进入特权模式，配置以太口的接口地址和掩码，使其与计算机网口地址在同一子网，（假定计算机地址位168.1.32.206 255.255.0.0 路由器以太口地址位168.1.32.207 255.255.0.0）

router(boot)#config t

router(boot)(config)#int ethernet 0

router(boot)(config-if)#ip address 168.1.32.207 255.255.0.0

2.3验证网络互通性

router(boot)#ping 168.1.32.206

2.4 计算机上启动tftp服务器，将需要下载的版本放在服务器的指定目录下。

2.5 在超级终端上执行如下命令：

router(boot)#copy tftp flash

将新的版本下载到路由器的flash中，

2.6重新启动路由器，运行新的正常版本

router(boot)#reload

二 2600系列（以2621 为例）

1密码恢复

1.1将路由器的CONSOLE口和计算机串口相连，启动计算机超级终端，开启路由器电源，在开机60秒内按ctlr+break 使路由器进入rom monitor 状态，提示符

rommon1>

1.2重新配置组态寄存器

rommon1>confreg

当出现 do you wish to change the configuration (y/n) 时 选择y

接下来的选项选择n

当出现 enable”ignore system configuration information”(y/n) 选择y

接下来的选项选择n

1.3 重新启动路由器

rommon1>reset

1.4 启动后进入特权模式，执行如下命令使原来的配置信息有效。

router(config)#config mem

1.5可以进一步查看密码或更改密码

2版本的灾难性恢复。

2621 提供了两种灾难性恢复版本的方法，tftpdnld 和 xmodem 方式。

2.1 tftpdnld方式

2.1.1将计算机串口和路由器CONSLE口相连，将计算机网口与路由器以太口（一定要与第一个以太口）相连

2.1.2 启动TFTP服务器，并将要下载的版本放于指定目录下面。

2.1.3 开启路由器电源，由于没有有效版本，路由器启动后将直接进入监控模式。

Rommon1>

2.1.4按如下命令设置参数。

Rommon2>IP_ADDRESS=168.1.32.207

Rommon3>IP_SUBNET_MASK=255.255.0.0

Rommon4>DEFAULT_GATEWAY=168.1.32.206

Rommon5>TFTP_FILE=c2600-i-mz.121-3.T

Rommon6>tftpdnld

以上假定计算机地址为168.1.32.206 255.255.0.0,命令IP_ADDRESS=168.1.32.207

在监控模式下将168.1.32.207地址配置到路由器的第一个以太端口，从而建立起路由器与TFTP服务器之间的连接，正常下载版本。

2.1.5 组态配置寄存器

Rommon7>confreg

当出现do you wish to change the configuration ?y/n 选择y

其他选择n

当出现 change the boot charaterist ?y/n 选择 y

选择参数2

2.1.6启动版本

Rommon8>reset

2.2 xmodem 方式下载

该种方式下载不需要以太口电缆，只需超级终端即可。缺点是花费时间太多，速度太慢。Xmodem 是个人计算机通信中广泛使用的异步文件传输协议，以128字节块的形式传输数据，并且每个块都进行校验，，如果接受方校验正确，则发送认可信息，发送方发送下一个字块。Ymodem 异步传输协议，传输字块大小为1024，增加了批处理的功能。

2.2.1 用超级终端与路由器连接好后，启动路由器，路由器进入监控模式状态。

Rommon1>

2.2.2 启动xmodem 命令

Rommon2>xmodem –cx ? 敲入enter键

当出现do you wish to continous 时 选择y

2.2.3 打开超级终端的“传送”菜单，选择传送文件 则打开了传送文件窗口。

输入版本文件的位置，并选择xmodem 方式，确认后，经过几秒后，版本文件则会以xmodem的方式从计算机下载到路由器中。

修改相应命令和选项，也可以以ymodem的方式进行传送。

2.2.4 以上述同样的方法配置confreg 命令，重新启动后，路由器会进入正常状态。

三3600系列路由器的密码和版本恢复(以3640为例)

3.1 密码恢复

3640的密码恢复和26系列基本相似，都是进入监控模式，运行confreg 命令，启动时忽略配置文件，进行直接启动。此方法同样适用于4500 7500 12000系列路由器。

3.2 版本恢复

3640 的版本恢复没有提供tftpdnld命令，只提供了xmodem 命令，使用方法与26系列相同。

四几种进入ROM 状态的方法

对于cisco的各种路由器进入rom状态的方法不尽相同，但一般通过如下三种方法可以进入rom状态 ，在使用过程中可以分别试用进入。

4.1如果break 未被屏蔽，可以在开机60秒内按ctl+break 键中断启动过程，进入rom状态。

4.2 如果break键已经屏蔽，可以通过循环开机的方法进入rom状态。

方法是：路由器开机后，将电源关闭。间隔5秒后重新开机，一般会进入ｒom状态。此方法适用与7500 12000等路由器。

4.3将超级终端通讯波特率设置为1200，数据位8 ，奇偶位1 停止位无。开启路由器电源，启动后，关机。停5秒后，重新开机，同时一直按住空格键12秒后放开，等路由器启动完成后，重新更改超级终端位默认值。通讯波特率设置为9600，数据位8 ，奇偶位1 停止位无 。重新连接后，从终端上可以看到已经进入rom 状态。注意在波特率位1200时终端上没有内容显示。此方法适用于2500,2600,4500等系列路由器

五 结束语

作为三层设备，路由器在网络中担任着寻找路由的作用，但路由器又是一种技术含量很高的网络设备，涉及的各种协议，技术面较广，熟练运用各种路由器，及时处理各种突发故障对维护网路的正常运转有着重要意义。本文通过比较全面的汇总，总结了常见路由器的密码和版本的恢复方法，对处理常见的类似问题具有一定的指导作用。

CISCO单臂路由配置

单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应一个vlan。在每个子接口的数据在物理链路上传递都要标记封装。Cisco设备支持ISL和802.1q（dot1Q）协议。华为只支持802.1q。

DOT1Q和ISL的区别：DOT1Q是各类产品的VLAN通用协议模式，Dot1q是一种普遍使用的标准，适用所有交换机与路由设备。支持超过1024vlan，而ISL最多支持1024个vlan。ISL是CISCO设备的专用协议，适用于Cisco设备。 ISL（Interior Switching Link）交换机间协议用于实现CISCO交换机间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。

PC1： IP ：172.16.3.1/24 GW:255.255.255.0

PC2： IP ：172.16.4.1/24 GW:255.255.255.0

S1：

Switch》enable

Switch#vlan database

Switch（vlan）#vlan 30

Switch（vlan）#vlan 40

Switch# configure terminal

Switch（config）#int fastEthernet 0/1

Switch（config-if）#switchport access vlan 30

Switch（config-if）#int f0/2

Switch（config-if）#switchport access vlan 40

Switch（config-if）#int f 0/24

Switch（config-if）#switchport mode trunk （把该接口设置为trunk模式）

Switch（config-if）#switchport trunk allowed vlan all （运行所有vlan通过）

RT1：

Router》enable

Router#configure terminal

Router（config）#int fastEthernet 0/0.1 （进入子接口）

Router（config-subif）#encapsulaTIon dot1Q 30 （封装dot1Q协议，建立与vlan30的关联）

Router（config-subif）#ip add 172.16.3.254 255.255.255.0

Router（config-subif）#int f 0/0.2

Router（config-subif）#encapsulaTIon dot1Q 40 （封装dot1Q协议，建立与vlan40的关联）

Router（config-subif）#ip add 172.16.4.254 255.255.255.0

Router（config-subif）#int f 0/0

Router（config-if）#no shutdown （启动f0/0的接口，包括所有子接口）

完成。Vlan30能与vlan40互相通讯。

CISCO路由器如何登陆设置页面

路由器进入管理界面方法：

1、先查看ip，方法：win+r---输入：cmd---在再黑白界面输入：ipconfig，按回车。

2、根据网关查看路由器地址。若网关是：192.168.1.1，那么路由器的ip一般就是。192.168.1.1。

3、在IE地址栏中输入地址：192.168.1.1。

4、弹出路由器登陆界面输入路由器的默认登陆用户名：admin 密码：admin（如果不正确，就看路由器背面）。

CISCO路由器的第一次配置，使用终端进行连接，按如下图示操作即可，

首先，找到配置线，按如下连接方式进行连接。

在Windows中的【开始】→【程序】→【附件】→【通讯】菜单下，打开”超级终端”程序，出现如下左图窗口。在”名称”对话框中输入名称，例如”ZZQH-Router

‍

设置通信参数，通常路由器出厂时，波特率为9600bps，因此在下图窗口中，单击【还原为默认值】按钮设置超级终端的通信参数；再单击【确定】按钮

按【回车】键，启动路由器，并连接成功的话，你将看到超级终端窗口上出现路由器加载信息

第一次加载，选择N 退出setup配置模式，然后我们就可以进入配置界面进行配置了。

大家一定对CISCO路由器并不陌生，作为第一个入行的国际化企业而言，它的产品众所周知，但也正因为如此让大家对于一些有关它的配置有所困惑，本文主要介绍的是思科路由器配置基础，分别从所处状态各类、配置IP寻址、配置静态路由、配置动态路由（RIP）、配置DHCP、配置NAT等方面详细介绍思科路由器配置基础，具体的跟随小编一起来了解一下。

一、所处状态各类

router》

用户处于用户命令状态，可以查看网络和主机

router#

用户处于特权模式，可以查看状态，还可以看到和更改路由器的设置内容

router（config）#

全局配置状态，可以设置路由的全局参数

router（config-if）#;router（config-line）#;router（config-router）#

处于局部配置状态，可以设置路由的局部参数

二、配置IP寻址

1、 IP地址分类

IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：

种类网络地址范围

2、分配接口IP地址

3. 使用可变长的子网掩码

通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。

如下图所示：

Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址，Router1的E0的网络地址为192.1.0.128，掩码为255.255.255.192， Router2的E0的网络地址为192.1.0.64，掩码为255.255.255.192，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。

4. 使用网络地址翻译（NAT）

NAT（Network Address TranslaTIon）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.

当建立内部网的时候，建议使用以下地址组用于主机，这些地址是由Network Working Group（RFC 1918）保留用于私有网络地址分配的。

1） Class A:10.1.1.1 to 10.254.254.254

2）Class B:172.16.1.1 to 172.31.254.254

3）Class C:192.168.1.1 to 192.168.254.254

命令描述如下：

如下图所示，

路由器的Ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial 0端口为outside端口，其拥有合法IP地址（由NIC或服务提供商所分配的合法的IP地址），来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址，经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法IP地址，它是由NIC或服务提供商所分配的地址）。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下：

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface Ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside

！

interface Serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside

！

ip route 0.0.0.0 0.0.0.0 Serial 0

access-list 2 permit 10.0.0.0 0.0.0.255

！ Dynamic NAT

！

ip nat inside source list 2 pool c2501 overload

line console 0

exec-TImeout 0 0

！

line vty 0 4

end

单臂路由，即在路由器上设置多个逻辑子接口，每个子接口对应一个vlan。在每个子接口的数据在物理链路上传递都要标记封装。CISCO设备支持ISL和802.1q(dot1Q)协议。华为只支持802.1q。

DOT1Q和 ISL的区别：DOT1Q是各类产品的VLAN通用协议模式，Dot1q是一种普遍使用的标准，适用所有交换机与路由设备。支持超过1024vlan，而ISL最多支持1024个vlan。ISL是CISCO设备的专用协议，适用于Cisco设备。 ISL(Interior Switching Link)交换机间协议用于实现CISCO交换机间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。

PC1: IP :172.16.3.1/24 GW:255.255.255.0

PC2: IP :172.16.4.1/24 GW:255.255.255.0

S1:

Switch>enable

Switch#vlan database

Switch(vlan)#vlan 30

Switch(vlan)#vlan 40

Switch# configure terminal

Switch(config)#int fastEthernet 0/1

Switch(config-if)#switchport access vlan 30

Switch(config-if)#int f0/2

Switch(config-if)#switchport access vlan 40

Switch(config-if)#int f 0/24

Switch(config-if)#switchport mode trunk (把该接口设置为trunk模式)

Switch(config-if)#switchport trunk allowed vlan all (运行所有vlan通过)

RT1:

Router>enable

Router#configure terminal

Router(config)#int fastEthernet 0/0.1 (进入子接口)

Router(config-subif)#encapsulation dot1Q 30 (封装dot1Q协议，建立与vlan30的关联)

Router(config-subif)#ip add 172.16.3.254 255.255.255.0

Router(config-subif)#int f 0/0.2

Router(config-subif)#encapsulation dot1Q 40 (封装dot1Q协议，建立与vlan40的关联)

Router(config-subif)#ip add 172.16.4.254 255.255.255.0

Router(config-subif)#int f 0/0

Router(config-if)#no shutdown (启动f0/0的接口，包括所有子接口)

完成。Vlan30能与vlan40互相通讯。

一、如何区别新老RPR单板

新RPR都是SFP可插拔光模块的单板，老RPR都是固定光模块的单板，使用display device pic-status查看，新RPR单板类型为IRPR，老RPR单板类型RPR。

二、拔插某块LPU导致其他LPU板复位

当网板接口没有关闭，而直接拔出单板时，会有低于1%的概率引起其他单板复位重启。

三、备用主控板无法注册

备用主控板硬盘没有个时候，会导致备用主控板无法注册，主用主控板硬盘损坏，会导致备用主控板无法注册，主用主控板设置的系统启动文件与备用主控板设置的启动文件不一致，升级版本程序加载失败，备用主控板会将flash锁死，无法写入文件，导致更换槽位、倒回版本等措施无法生效。

四、备用主控板一会可以注册，一会不可以注册

上载版本不正确，主控板FLASH没有格式化。

五、单板注册异常

单板的bootroom与当前设备的系统软件版本不匹配。可以通过命令直接升级BootRom，新更换的主控板若CF卡出现故障，则无法注册，此时需要更换CF卡，不同类型的子卡混插会导致LPU板不能注册，或在单启动过程中拔出单板或将单板复位。

六、电源监控板不能注册

拨码开关设置错误，未设置拨码开关。

七、出现esfp接收功率低告警

在esfp类型光模块上，相对于sfp类型的来说增加了信号检测功能：如果没有插光纤，这时光模块无法收到光，从而打印出光信号弱的告警信息。此时将光模块拔出或者虚插即可消除该告警。

八、paf/license告警

文件可能上传不完整，可能升级了重启后传的paf/license文件，或是paf/license文件错误。

九、指针调整告警

时钟参数设置不对，导致其它端口将不能正确获取时钟信号。

思科路由器硬件故障的一些现象就给大家介绍到这里了，路由器故障其实是很常见的，遇到的时候不要慌张，仔细观察就一定可以找出解决的办法。

一、路由器密码恢复

按照以下步骤恢复路由器密码：

1. 关闭路由器的电源并在10秒后重新给路由器加电，在给路由器加电的同时(也可在路由器重启的60秒内)按住键盘上的Ctrl+Break几秒钟，待出现路由器提示符rommon 1 >后，输入confreg 0x2142或为 o/r 0x2142命令修改配置寄存器的值，其中的4表示跳过启动配置文件startup-config。

2. 输入reset命令重新启动路由器。

3. 当路由器重新启动结束出现提示是否运行配置向导时，输入“n”回到路由器提示符。

4. 输入enable命令进入特权用户模式。

5. 输入copy startup-config running-config命令将启动配置文件拷贝到运行配置文件中。 www.jb51.net

6. 输入configure terminal命令进入全局配置模式。

7. 输入enable secret newpass命令重新设置加密使能密码(当然如果需要，也可以在此更改使能密码及虚拟终端密码)。

8. 输入exit命令回到全局配置模式。

9. 输入config-register 0x2102命令将配置寄存器的值恢复成缺省值。

10. 输入exit命令回到特权用户模式。

11. 输入copy running-config startup-config命令将运行配置文件保存到启动配置文件中。

12. 输入reload命令重启启动路由器。到此为止，密码恢复过程完成。

13. 待路由器启动结束后，输入若干此“回车”直到出现路由器提示符Router>。

14. 输入enable命令进入特权用户模式，在被提示输入密码时输入新设置的加密使能密码，检查刚才的密码恢复过程是否正确执行。

二、交换机密码恢复

按照以下步骤恢复路由器密码：

1. 断开交换机的电源并重新给交换机加电，在给交换机加电的同时按住交换机前面板上的“模式(Mode)”按钮几秒钟，仔细观察超级终端程序中显示的交换机启动信息。

2. 待出现交换机提示符switch:后，输入flash_init命令。

3. 待上述命令执行完成后，输入load_helper命令。

4. 待上述命令执行完成后，输入dir flash: 命令查看闪存中的文件列表。

5. 输入rename flash:config.text flash:config.back命令将闪存中的保存有密码的文件改名。 www.jb51.net

6. 输入reset命令重新启动交换机(也可输入boot命令继续交换机启动进程)。

7. 当交换机重新启动结束出现提示是否运行配置向导时，输入“n”回到交换机提示符。

8. 输入enable命令进入特权用户模式。 www.jb51.net

9. 输入命令rename flash:config.back flash:config.text。

10. 输入copy flash:config.text system:running-config命令并确认。

11. 输入configure terminal命令进入全局配置模式。

12. 输入enable secret newpass命令重新设置加密使能密码(如果需要也可以在此更改使能密码及虚拟终端密码)。

13. 输入end命令回到特权用户模式。

14. 输入copy running-config startup-config命令将运行配置文件保存到启动配置文件中。到此为止，密码恢复过程完成。

15. 输入disable命令退到普通用户模式。

16. 输入enable命令进入特权用户模式，在被提示输入密码时输入新设置的加密使能密码，检查刚才的密码恢复过程是否正确执行。

CISCO路由器常见问题有哪些?下面一起来看看。

1、问题：Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S?

回答：Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。但是需要注意的是：只有快速以太网混合网络模块能够支持这两种广域网接口卡。支持这两种接口卡的网络模块如下所示：NM-1FE2W，NM-2FE2W，NM- 1FE1R2W，NM-2W。而以太网混合网络模块不支持，如下所示：NM-1E2W，NM-2E2W，NM1E1R2W。

2、问题：Cisco3600系列路由器的NM-4A/S，NM-8A/S网络模块和WIC-2A/S广域网接口卡支持的最大异/同步速率各是多少?

回答：这些网络模块和广域网接口卡既能够支持异步，也能够支持同步。支持的最大异步速率均为115.2Kbps，最大同步速率均为128Kbps。

3、问题：IC-2T与WIC-1T的电缆各是哪种?

回答：WIC-1T：DB60转V35或RS232、449等电缆。如：CAB-V35-MT。WIC-2T：SMART型转V35或RS232、449等电缆。如：CAB-SS-V35-MT。

4、问题：isco7000系列上的ME1与Cisco2600/3600上的E1、CE1有什么区别?

回答：Cisco7000上的ME1可配置为E1、CE1，而Cisco2600/3600上的E1、CE1仅支持自己的功能。

5、问题：Cisco2600系列路由器，是否支持VLAN间路由，对IOS软件有何需求?

回答：Cisco2600系列路由器中，只有Cisco2620和Cisco2621可以支持VLAN间的路由(百兆端口才支持VLAN间路由)。并且如果支持VLAN间路由，要求IOS软件必须包括IPPlus特性集。

6 问题：Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同?

回答：

不同点如下：

.Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口;而Cisco3620/3640基本配置中不包括以太网接口。

.Cisco3660路由器支持网络模块热插拔，而Cisco3620/3640不支持网络模块热插拔。 .Cisco3660的冗余电源为内置，而Cisco3620/3640的冗余电源为外置的。

7 问题：Cisco1720是否支持语音?

回答：不支持。

8、问题：Cisco805和其他Cisco800系列路由器的区别?

回答：Cisco805是一个串行口的路由器，它能够为小型办公室提供因特网的接入(可以通过专线、X25、FrameRelay或者异步拨号)。而其他800系列产品则提供的是ISDN的接口，用于因特网的接入。

9、问题：Cisco800系列路由器与Cisco1600系列比较起来，支持的特性有何不同?

回答：

Cisco800系列路由器不支持，但是Cisco1600系列路由器能够支持的功能如下所示：

.OpenShortestPathFirst(OSPF)协议

.HotStandbyRouterProtocol(HSRP)协议

.TACAS+协议

.RADIUS协议

.AppleTalk协议

.DLSW协议

.IBM功能

10、问题：Cisco800系列路由器和700系列路由器有何区别?

回答：

区别如下：

.Cisco800系列路由器集成了CiscoIOS功能，而Cisco700系列不支持。

.与Cisco700系列比较起来，Cisco800提供了更高性能的处理器，更多的内存等。

.Cisco800可以用于小型的办公室环境，但是Cisco700系列主要用于家庭使用。

CISCO路由器在网络互联中得到广泛的应用，其中2500系列路由器更是在低 端用户中被大量采用。那么，如果你不慎将2500系列路由器的超级用户密码忘掉 了，怎么办呢?不要怕，只要你按如下方法就可以恢复：

准备工作： 一台微机运行终端仿真程序(可以在Windows 95/98下启动超级终 端)，微机串口(COM1/COM2)通过Cisco公司随机配备的配置线与路由器Consol e口连接。

方法一：

(1)路由器开机，30秒内按Ctrl+Break键，出现提示符“>"(如果没有出 现该提示符，路由器重新开机，重复(1)步骤)。

(2)键入如下命令： ">o/r 0x142"。

(3)初始化路由器： ">i"。

(4)系统重新启动，屏幕显示系统配置对话： "?ystem configuraiton to get started?，键入 "no"，系统显示“Press RETURN to get started! "，按 “Return"键，系统显示“Router>"。

(5)键入如下命令： "Router>enable"进入超级用户状态(系统不再需要你输入超级口令了);“Router#show startup-config"显示配置参数，特别要注意记住所看到的密码(你也可以通过enable serect "changepassword"命令更改超级用户口令)。

(6)键入如下命令恢复原来的寄存器：

"Router(config)#config-reg 0x2102" ;

"Router(config)#ctrl-z";

"Router(config)#wr"存盘。

(7)重新启动路由器，即可：“Router#reload"。

方法二：

12月14日的《中国计算机报》D8版刊登一篇忘记了Cisco2500路由器密码时该

怎么办的文章，我认为该文章所述的恢复原理和步骤基本正确，但是在实现过程 中应该稍作改动：

1.路由器开机，依照Cisco公司提供的技术手册应该是60秒内按Break键，而不是该文中所述的30秒内按Crl+Break键。

2.在键入“>o/r 0x142"命令之前，应键入“>e/s 2000002"命令，并记录下返回值，用于在后面“Router(config)#config-register 0x2102"命令中替换2102(其实通常返回值就是2102，可是万一不是呢?)。

3.完成该文所述的3、4、5步骤后，千万不要直接运行步骤6，否则路由器的 配置将全部丢失!(虽说与Cisco公司提供的技术手册完全相同，但是恐怕Cisco 公司也没有考虑的这个后果)因为在步骤6中虽然可以恢复config-register，同时也用空白的配置文件覆盖了先前的配置文件，就算找到了Enable密码，也没有意义了。好在天无绝人之路，有两个办法可以继续工作：

a.直接重新起动路由器，继续步骤1，然后键入“>o/r 0x2102"(即所记录下的返回值)，键入“>i"即可。

b.键入如下命令：

“Router#copy start run"(先把配置文件拷贝到内存)

“Router#config t"

“Router(config)#config-register 0x2102"(即所记录下的返回值)

“Router(config)#Ctrl+z"

“Router#write(更改config-register后，保存配置文件”)

“Router#reload"

这个办法不但适用于Cisco2500，也适用于Cisco2000、Cisco3000、Cisco40 00和Cisco7000，在此且不赘述了。

CISCO路由器有什么配置预备知识?下面一起来看看。

一、设置方式

一般来说，可以用5种方式来设置路由器：

1.Console口接终端或运行终端仿真软件的微机;

2.AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连;

3.通过Ethernet上的TFTP服务器;

4.通过Ethernet上的TELNET程序;

5.通过Ethernet上的SNMP网管工作站。

但路由器的第一次设置必须通过第一种方式进行;这时终端的硬件设置为波特率：9600，数据位：8，

停止位：1，无校验。

二、命令状态

1.router>

路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2.router#

路由器处于特权命令状态，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3.router(config)#

路由器处于全局设置状态，这时可以设置路由器的全局参数。

4.router(config-if)#;

router(config-line)#;router(config-router)#……

路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5.只有>

路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

6.设置对话状态这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态。这时可通过对话方式对路由器进行设置。

三、设置对话过程

利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。

进入设置对话过程后，路由器首先会显示一些提示信息：

---SystemConfigurationDialog---Atanypointyoumayenteraquestionmark?forhelp.

Usectrlctoabortconfigurationdialogatanyprompt.

Defaultsettingsareinsquarebrackets[].

这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在[]中。然后路由器会问是否进入设置对话：

Wouldyouliketoentertheinitialconfigurationdialog?[yes]:

如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况：First，wouldyouliketoseethecurrentinterfacesummary?[yes]

:AnyinterfacelistedwithOK?Value"NO"doesnothaveavalidconfigurationInterface IP-Address OK? Nethod Status Protocol

Ethernet0 unassigned NO unset up up

Serial0 unassigned NO unset up up

…… …… … …… … …

然后，路由器就开始全局参数的设置：

Configuringglobalparameters:

1.设置路由器名：

Enterhostname[Router]:

2.设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：Theenablesecretisaone-waycryptographicsecretusedinsteadoftheenablepasswordwhenitexists.--Enterenablesecret: cisco

3.设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：Theenablepasswordisusedwhenthereisnoenablesecretandwhenusingoldersoftwareandsomebootimages.--Enterenablepassword:pass

4.设置虚拟终端访问叶的密码：--Entervirtualterminalpassword: cisco

5.询问是否要设置路由器支持的各种网络协议：

--ConfigureSNMPNetworkManagement?[yes]:

--ConfigureDECnet?[no]:--ConfigureAppleTalk?[no]:

--ConfigureIPX?[no]:--ConfigureIP?[yes]:

--ConfigureIGRProuting?[yes]:

--ConfigureRIProuting?[no]:

6.如果配置的是拨号访问服务器，系统还会设置异步口的参数：

--ConfigureAsynclines?[yes]:

1)设置线路的最高速度：

--Asynclinespeed[9600]:

2)是否使用硬件流控：

--ConfigureforHWflowcontrol?[yes]:

3)是否设置modem:--Configureformodems?[yes/no]:yes

4)是否使用默认的modem命令：

--Configurefordefaultchatscript?[yes]:

5)是否设置异步口的PPP参数：

--configureforDial-inIPSLIP/PPPaccess?[no]

6)是否使用动态IP地址：-

-ConfigureforDynamicIPaddresses?[yes]:

7)是否使用缺省IP地址：

--ConfigureDefaultIPaddresses?[no]:yes

8)是否使用TCP头压缩：

--ConfigureforTCPHeaderCompression?[yes]:

9)是否在异步口上使用路由表更新：

Configureforroutingupdatesonasynclinks?[no]:y

10)是否设置异步口上的其它协议。

接下来，系统会一个接口连行参数的设置。

7.ConfiguringinterfaceEthernet0:

1)是否使用此接口：

--Isthisinterfaceinuse?[yes]:

2)是否设置此接口的IP参数：

--ConfigureIPonthisinterface?[yes]:

3)设置接口的IP地址：

--IPaddressforthisinterface:192.168.162.2

4)设置接口的IP子网掩码：

--Numberofbitsinsubnetfield[0]:

--ClassCnetworkis192.168.162.0，0subnetbits;maksis/24

在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：Thefollowingconfigurationcommandscriptwascreated:

hostnameRouter

enablesecret5$1$W5Oh$6J7tIgRMBOIKVXVG53Uh1

enablepasswordpass

…………

请注意在enablesecret后面显示的是乱码，而enablepassword后面显示的是设置的内容。

显示结束后，系统会问是否使用这个设置;

Usethisconfiguration?[yes/no]:yes

如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。

四、常用命令

1.帮助在IOS操作中，无论任何状态和位置，都可以键入“?”得到系统的帮助。

2.改变命令状态进入特权命令状态 enable

退出特权命令状态 disable

进入设置对话状态 setup

进入全局设置状态 configterminal

退出全局设置状态 end

进入端口设置状态 interfacetypeslot/number

进入子端口设置状态 interfacetypenumber.Subinterface[point-to-point|multipoint]

进入线路设置状态 linetypeslot/number

进入路由设置状态 routerprotocol

退出局部设置状态 exit

3.显示命令

查看版本及引导信息 showversion

查看运行设置 showrunning-config

查看开机设置 showstartup-config

显示端口信息 showinterfacetypeslot/number

显示路由信息 showiprouter

4拷贝命令

用于IOS及CONFIG的备份和升级

5.网络命令

登录远程主机 telnethostname/IPaddress

网络侦测 pinghostname/IPaddress

路由跟踪 tracehostname/IPaddress

6.基本设置命令

全局设置configterminal

设置访问用户密码usernameusernamepasswordpassword

设置特权密码enablesecretpassword

设置路由器名hostnamename

设置静态路由iproutedestinationsubnet-masknext-hop

启动IPX路由ipxrouting

端口设置interfacetypeslot/number

设置IP地址 ipaddressaddresssubnet-mask

设置IPX网络ipxnetworknetwork

激活端口 noshutdown

物理线路设置linetypenumber

启动登录进程 login[local|tacacsserver]

设置登录密码passwordpassword

访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

第一阶段实验：配置实验环境，网络能正常通信

R1的配置：

复制代码

代码如下:

R1>en

R1#conf t

R1(config)#int f0/0

R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut

R1(config-if)#int loopback 0

R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1

R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit

R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4

R1(config-line)#login local

SW1的配置：

复制代码

代码如下:

SW1>en

SW1#vlan data

SW1(vlan)#vlan 2

SW1(vlan)#vlan 3

SW1(vlan)#vlan 4

SW1(vlan)#vlan 100

SW1(vlan)#exit

SW1#conf t

SW1(config)#int f0/1

SW1(config-if)#no switchport

SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut

SW1(config-if)#exit

SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15

SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(config-if-range)#switchport mode trunkSW1(config-if-range)#no shut

SW1(config-if-range)#exit

SW1(config)#int vlan 2

SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut

SW1(config-if)#int vlan 3

SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut

SW1(config-if)#int vlan 4

SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut

SW1(config-if)#int vlan 100

SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut

SW1(config-if)#exit

SW1(config)#ip routing

SW1(config)#int vlan 1

SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut

SW1(config-if)#exit

SW1(config)#username benet password testSW1(config)#line vty 0 4

SW1(config-line)#login local

SW2的配置：

复制代码

代码如下:

SW2>en

SW2#vlan data

SW2(vlan)#vlan 2

SW2(vlan)#vlan 3

SW2(vlan)#vlan 4

SW2(vlan)#exit

SW2#conf t

SW2(config)#int f0/15

SW2(config-if)#switchport mode trunk

SW2(config-if)#no shut

SW2(config-if)#exit

SW2(config)#int f0/1

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut

SW2(config-if)#int f0/2

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut

SW2(config-if)#int f0/3

SW2(config-if)#switchport mode access

SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut

SW2(config-if)#int vlan 1

SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut

SW2(config-if)#exit

SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing

SW2(config)#username benet password testSW2(config)#line vty 0 4

SW2(config-line)#login local

SW3的配置：

复制代码

代码如下:

SW3>en

SW3#vlan data

SW3(vlan)#vlan 100

SW3(vlan)#exit

SW3#conf t

SW3(config)#int f0/15

SW3(config-if)#switchport mode trunk

SW3(config-if)#no shut

SW3(config-if)#int f0/1

SW3(config-if)#switchport mode access

SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut

SW3(config-if)#int vlan 1

SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut

SW3(config-if)#exit

SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing

SW3(config)#username benet password testSW3(config)#line vty 0 4

SW3(config-line)#login local

网络管理区主机PC1 (这里用路由器模拟)

复制代码

代码如下:

R5>en

R5#conf t

R5(config)#int f0/0

R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut

R5(config-if)#exit

R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

财务部主机PC2配置IP:

IP地址：192.168.3.2 网关：192.168.3.1

信息安全员主机PC3配置IP:

IP地址：192.168.4.2 网关：192.168.4.1

服务器主机配置IP:

IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：

所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法：用PING命令)

在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)

第二阶段实验：配置ACL实现公司要求

1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置：

复制代码

代码如下:

R1#conf t

R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4

R1(config-line)#access-class 1 in

SW1的配置

复制代码

代码如下:

SW1#conf t

SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4

SW1(config-line)#access-class 1 in

SW2的配置

复制代码

代码如下:

SW2#conf t

SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4

SW2(config-line)#access-class 1 in

SW3的配置

复制代码

代码如下:

SW3#conf t

SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4

SW3(config-line)#access-class 1 in

验证：在PC1可以远程TELNET管理路由器和交换机，但在其他主机则被拒绝telnet

2、内网主机都可以访问服务器，但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器，外网只能访问服务器80端口。

在SW1三层交换机上配置扩展ACL

3、192.168.3.0/24网段主机可以访问服务器，可以访问网络管理员网段，但不能访问其他部门网段，也不能访问外网。

在SW1三层交换机上配置扩展ACL

4、192.168.4.0/24网段主机可以访问服务器，可以访问管理员网段，但不能访问其他部门网段，可以访问外网。

在SW1三层交换机上配置扩展ACL

策略路由

策略路由，是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。路由器将通过路由图决定如何对需要路由的数据包进行处理，路由图决定了一个数据包的下一跳转发路由器。

CISCO双出口策略实现的步骤：

复制代码

代码如下:

ROUTER>EN

ROUTER#CONFIG T

Router(Config)>int fa 0/0

Router(Config-if)>ip addr 192.168.0.1 255.255.255.0

Router(Config-if)>ip nat inside

Router(Config-if)>ip policy route-map dual_isp

Router(Config-if)>int fa 0/1

Router(Config-if)>ip addr 电信分配的地址

Router(Config-if)>no shut

Router(Config-if)>ip nat outside

Router(Config-if)>int fa 1/0

Router(Config-if)>ip addr 网通分配的地址

Router(Config-if)>no shut

Router(Config-if)>ip nat outside

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.102.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.11.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.21.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.24.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.26.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.27.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.28.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.56.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.60.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.62.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.67.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.68.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 218.7.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.141.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.142.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.154.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.156.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.158.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 219.159.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.102.224.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.106.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.107.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.108.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.110.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.110.192.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.111.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.96.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.96.64.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.97.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.98.0.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 202.99.0.0 255.255.255.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.0.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.10.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.11.192.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.12.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.12.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.13.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.13.64.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.13.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.192.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.196.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.199.0.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.199.32.0 255.255.240.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.199.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.199.192.0 255.255.240.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.200.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.204.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.207.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.208.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.4.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.6.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.7.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.7.64.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.7.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 221.8.0.0 255.254.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 222.128.0.0 255.240.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 222.160.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 222.163.0.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.0.0.0 255.248.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.8.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.10.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.12.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.13.0.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.13.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.16.0.0 255.240.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.208.0.0 255.248.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 60.220.0.0 255.252.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.133.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.134.96.0 255.255.224.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.134.128.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.135.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.136.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.138.0.0 255.255.128.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.138.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.139.128.0 255.255.192.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.148.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.149.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.156.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.158.0.0 255.255.0.0

Router(Config)>Access-list 101 permit Ip 192.168.0.0 0.0.0.255 61.159.0.0 255.255.192.0

Router(Config)>Access-list 102 permit Ip any any

Router(Config)>Ip Nat Inside Source Route-map CT_NAT int fa 0/1 overload

Router(Config)>Ip Nat Inside Source Route-map CNC_NAT int fa 1/0 overload

Router(Config)>Route-map CT_NAT Permit 10

Router(Config-route-map)>Match Int Fa 0/1 (这里不会匹配外面发给它的包，因为DNAT优先于路由选择)

Router(Config)>Route-map CNC_NAT Permit 10

Router(Config-route-map)>Match Int fa1/0 (指这个接口所收到的所有包除了DNAT匹配的，会先进行目标转换，这样目标并不会是FA1/0，而是内部的一个IP，这里其实可以写next-hop 便于理解，也便于检测对方的存在)

Router(Config)>Route-map dual_isp Permit 10

Router(Config-route-map)>Match Ip address 101

Router(Config-route-map)>set ip next-hop 网通网关 电信网关(这里恰好把包发给了NAT所需要的接口，注意这里只是改变了包的下一跳而不是目标。还要注意这里并不是把包扔给了next-hop而是改变了 寻路方式，转发将在此之后进行寻路，之后便是源地址转换：路由器2大功能寻路，转发是分开的，由此可以看出，如果策略NAT里匹配的是对方ISP的地址为 下一跳，那可以检测对方的存在与否)

Router(Config)>Route-map dual_isp Permit 20

Router(Config-route-map)>Match Ip address 102

Router(Config-route-map)>set ip next-hop 电信网关 网通网关

Router(Config)>Ip Route 0.0.0.0 0.0.0.0 电信网关

Router(Config)>Ip Route 0.0.0.0 0.0.0.0 网通网关

(注意 PBR优先于路由，而源地址转换路由又优先于NAT，那PBR会比NAT先进行，所以首先因该是进行PBR把包分类，扔给2个出口，之后再做路由选择路由 是默认的没什么，之后就是NAT了，策略一看在2出口上收到的包分别进行自己的策略NAT，当回来的时候，2个出口上收到的包并不会进行源转换为什么?因 为DNAT优先于路由，SNAT比路由还慢，所以DNAT是最先进行的。还有match next hop 匹配多个下一跳是与的关系，也就是说要满足全部的match才会用动作，所以前面不能match多个nexthop，否则一定砸了，只能match一个 nexthop，当然set可以set多个。 )

此策略路由和策略nat说明 ：目的地址为网通地址的包全部发给网通网关，其他一律发给电信，由于网通地址段较少，所以选择了做网通的acl条目，减轻工作 量。

本文主要给大家详细的介绍了对于CISCO路由器，我们应该如何进行管理，本文就从多角度给我们进行了详细的讲解，希望对大家有所帮助。

网络管理员若要对Cisco路由器进行设置、配置验证以及统计数据审核，往往需要连接路由器上去。而连接到Cisco路由器上有很多方法，如通过配置端口、辅助端口或者通过应用程序Telnet都可以实现这个目的。不过，笔者最喜欢采用的是通过控制台端口的方式连接到路由器上进行相关的管理与配置。

Cisco路由器的市场需求量非常高，于是我研究了一下Cisco路由器管理中关于辅助端口的作用，在这里拿出来和大家分享一下，希望对大家有用。网络管理员若要对Cisco路由器进行设置、配置验证以及统计数据审核，往往需要连接路由器上去。

而连接到Cisco路由器上有很多方法，如通过配置端口、辅助端口或者通过应用程序Telnet都可以实现这个目的。不过，笔者最喜欢采用的是通过控制台端口的方式连接到路由器上进行相关的管理与配置。辅助端口与控制台端口两者是亲兄弟，其功能基本一致。为此，网络管理员可以像使用控制台端口那么去使用它。不过，他有一个作用，是控制台端口无法实现的。若我们要通过控制台端口管理Cisco路由器的话，必须在路由器面前才行。而若我们通过辅助端口管理员路由器的话，则即使远在千里之外，网络管理员仍然可以控制他。当路由器出现问题或者网络管理员需要查看某些信息的时候，就可以采用远程拨号的方式通过辅助端口连接到“脱离网络”的路由器上。正是因为这个杰出的功能，所以其特别受到我们网络管理员的欢迎。若要使用好辅助端口，其也有一些小诀窍。笔者在这里就当作抛砖引玉，大家一起研究一下如何把Cisco路由器的辅助端口用的更好。

诀窍一：把辅助端口作为后备的控制台端口

众所周知，辅助端口其功能跟控制台端口一致。但是，其默认情况下，使不能够用作第二控制台端口的。这主要是因为控制台端口与辅助端口其端口的形状不同，所以不能够通用。但是，有时候，如控制台端口出现故障或者出于其他方面的原因，我们往往需要把辅助端口当作控制台端口来使用。

其实，这也是一件很容易办到的事情。我不知道大家怎么样，反正在笔者的工具箱中有一条特殊的电缆。利用这条电缆就可以把辅助端口的接口类型转化为配置端口的接口类型。这种电缆在市场上基本上都可以买到。网络管理员若觉得有这个需要，也可以去配一根，以防不时之需。在实际工作中，我们还往往将自己的笔记本电脑的串口通过专用的配置连接线与路由器的辅助端口直接相连，进行路由器的配置与维护。

诀窍二：把辅助端口当作异步串行接口使用

在有些路由器上，么有配置异步串行接口。此时，网络管理员就需要把辅助端口配置成异步串行端口来使用。若要达到这个目的，网络管理员可以通过line aux命令来进行配置，把这个辅助端口配置成辅助线路。不过，这个跟上面的控制台端口不一样。虽然可以通过辅助端口实现异步串行接口的相关功能，但是，其毕竟不是专业的，所以，在性能上达不到异步串行接口的性能。如异步串行接口支持直接内存访问。也就是说，路由器的缓冲直接将数据分组存储、读取系统内存，而不需要路由器CPU进行干预。很明显，这个特性就降低了路由器CPU的开销，提高路由器的性能。

如路由器具有异步串行接口，则其硬件芯片上有一个PPP帧可以用来消除路由器的中央处理器的开销。这个特性可以保证路由器同时在所有异步端口上保持高速度的通过量。这在实际管理中，非常有用。特别是在几个网络管理专家在共同会诊网络故障的时候，其价值就会体现出来了。不过，话说回来，虽然把辅助端口当作异步端口来使用，不能够达到专业的异步串行接口那样的性能。可是，已经基本可以满足普通的管理需求。

诀窍三：为辅助端口设置独立的密码 。

通过设计独立的密码，来提高路由器的安全性通过上面的描述，我们知道，辅助端口可以起到跟控制台端口相同的作用。所以，当辅助端口的密码泄露，被人远程拨号连接到路由器的话，那么对于企业网络的打击石致命的。所以，Cisco路由器为了提高本身的安全性，为辅助端口独立的设置了口令管理。故网络管理员在口令设置中，最好不要跟其他口令相同。否则的话，会降低路由器本身的安全性。

辅助端口在路由器管理中，具有举足轻重的作用。一般情况下，只有在路由器刚开始配置的时候需要用到控制台端口。而等到后续的网络维护与路由器一般故障排除的过程中，往往都是通过辅助端口来完成的。所以，辅助端口是路由器管理中的一个好帮手。谢谢阅读，希望能帮到大家，请继续关注脚本之家，我们会努力分享更多优秀的文章。

如何在CISCOIOS上限制NAT的单用户连接数呢?本文主要从技术手段，详细的向大家介绍了IOS如何去利用NAT单用户限制用户的连接数，那么我们要怎么去操作呢?相信看完此文会对你有所帮助。

在Cisco.chinaitlab.com/" target=_blank>Cisco IOS 12.3(4)T 后的IOS软件上支持NAT的单用户限制，即可以对做地址转换的单个IP限制其NAT的表项数，因为P2P类软件如BT的一大特点就是同时会有很多的连接数，从而占用了大量的NAT表项，因此应用该方法可有效限制BT的使用，比如我们为IP 10.1.1.1设置最大的NAT表项数为200;正常的网络访问肯定够用了，但如果使用BT，那么很快此IP的NAT表项数达到200，一旦达到峰值，该IP的其他访问就无法再进行NAT转换，必须等待到NAT表项失效后，才能再次使用，这样即有效地保护了网络的带宽，同时也达到了警示的作用。

例如限制IP地址为10.1.1.1的主机NAT的条目为200条，配置如下：

ip nat translation max-entries host 10.1.1.1 200

如果想限制所有主机，使每台主机的NAT条目为200，可进行如下配置：

ip nat translation max-entries all-host 200

限制或禁止在特定时间段内的BT下载

校园网络工作时间内限制或者禁止BT下载，这样工作时间内不会有BT下载流量和关键业务竞争，也充分保护了校园网络关键业务。同时，在非工作时间，校园网络也可以自行利用高速的网络资源。以Cisco设备为例，具体命令为：

time-range test

periodic daily 20：00 to 23：00

access-list 130 permit tcp any any range 6881 6890 time-range test

access-list 130 permit tcp any range 6881 6890 any time-range test

保证关键业务专用动态带宽

将校园网络关键业务划分到专用动态带宽中间，BT下载使用剩余带宽，避免两者竞争。

某些特定校园网络会使用BT下载提供服务。对于这样的校园网络，由于BT下载具有很高的侵略性，因此需要使用保护机制来保障其他关键业务的正常运行。网络管理员可以通过一些管理软件或者网络硬件配置，针对应用流进行较细粒度的速率限制，例如将BT用户下载的优先级限制为5(0最高，7最低)，带宽限制为64kbps，这样可以确保BT软件使用的同时不会影响其他业务的开展，充分保护这些应用。剩余的网络资源可以全部提供给BT下载使用。

在CISCO路由器产品中，在最初进行配置的时候通常需要使用限制一般用户的访问。这对于路由器是非常重要的，在默认的情况下，路由器是一个开放的系统，访问控制选项都是关闭的，任一用户都可以登陆到设备从而进行更进一步的攻击，所以需要网络管理员去配置密码来限制非授权用户通过直接的连接、CONSOLE终端和从拨号MODEM线路访问设备。下面就详细为大家介绍一下如何在CISCO路由器产品上进行配置路由器的密码。

配置进入特权模式的密码和密匙 ：

这两个密码是用来限制非授权用户进入特权模式。因为特权密码是未加密的，所以一般都推荐用户使用特权密匙，且特权密码仅在特权密匙未使用的情况下才会有效。

1、router(config)#enable password cisco

命令解释：开启特权密码保护。

2、router(config)#enable secret cisco

命令解释：开启特权密匙保护。

配置控制端口的用户密码

1、router(config)#line console 0

命令解释：进入控制线路配置模式。

2、router(config-line)#login

命令解释：开启登陆密码保护

3、router(config-line)#password cisco

命令解释:设置密码为cisco，这里的密码区分大小写。

配置辅助端口(AUX)的用户密码 ：

1、router(config)#line aux 0

命令解释:进入辅助端口配置模式。

2、router(config-line)#login

命令解释：开启登陆密码保护

3、router(config-line)#password cisco

命令解释:设置密码为cisco，这里的密码区分大小写。

配置VTY(telnet)登陆访问密码 :

1、router(config)#line vty 0 4

命令解释:进入VTY配置模式。

2、router(config-line)#login

命令解释：开启登陆密码保护

3、router(config-line)#password cisco

命令解释:设置密码为cisco，这里的密码区分大小写。

第一种方法

使用这种方法可恢复下列路由器：CISCO2000系列、2500系列、3000系列、使用680x0 Motorola CPU的Cisco 4000系列、运行10.0版本以上Cisco IOS系统的7000系列路由器。

实现步骤：

1.在路由器的console口接上一个终端或用安装仿真终端软件的PC机。

2.输入show version命令，然后记下寄存器值，通常是0x2102 or 0x102。这个值显示在最后一行，注意寄存器的配置是否把Break设为enable或disable。

缺省配置寄存器值是0x2102。这个值从左数第三个数字如果是1，则是disable Break;如果为零，则Break为enabled。

3.切断电源后再重启。

4.在路由器启动的60秒内在终端机上按Break键。将显示rommon>提示符。如果提示符不是这样，则终端没有发出正确的中断信号，检查Break键是否正确或是否被设为disable。

5.在提示符下输入o/r0x42或o/r0x41，o/r0x42意思是从Flash memory引导，o/r0x41意思是从ROMs引导(注意，第一个字符是字母o，不是数字0)。最好用0x42，

在Flash memory没有装或erase的情况下，才用0x41，如果有0x41则只能view或erase配置，不能直接更改密码。

6.在rommon>提示符下输入初始化命令。

7.输入系统配置对话提示符敲no，一直等提示信息显示：Press RETURN to get started!

8.敲回车，出现Router>提示符。

9.输入enable命令，出现Router#提示符。

10.选择下面选项中的一项：

如果password没有加密，直接用more nvram:startup-config命令可以看密码;在password加密的情况下，无法看，只能修改，输入命令如下：

Router # configure memory

Router # configure terminal

Router(config)# enable secret 1234abcd

Router(config)# ctrl-z

Router # write memory

11.在EXEC提示符输入configure terminal进入配置模式。输入config-register命令，把在第二步中记录的寄存器值复原。

12.敲Ctrl-Z，退出配置状态。

13.在特权模式下用write memory命令保存配置，然后reboot重启。

第二种方法

使用这种方法可恢复下列路由器：Cisco 1003、1600系列、3600系列、4500系列、7200系列、7500系列和IDT Orion-Based路由器。

实现步骤：

前四步与上一种方法一样。

5.在rommon>提示符下输入confreg命令，显示如下：

Do you wish to change configuration[y/n]?

输入yes，然后回车。在回答后面的问题时一直选择no，直到出现“ignore system config info[y/n]?”时输入yes。接着继续敲no回答，

一直到看到“change boot characteristics[y/n]?”时输入yes。显示如下：

enter to boot:

在这个提示符下可以有2和1两种选择。如果Flash memory is erased选择1，这样只能view or erase配置，不能直接修改password。

最好选择2。出现如下提示：

Do you wish to change configuration[y/n]?

回答no，然后回车，显示“rommon>”。

6.在特权EXEC下输入reload命令。

后面操作同第一种方法。

CISCO路由配置基础

刚刚接触cisco路由配置，下面是学习的笔记，感觉命令还是多敲才能熟悉

一、 所处状态各类

router>

用户处于用户命令状态，可以查看网络和主机

router#

用户处于特权模式，可以查看状态，还可以看到和更改路由器的设置内容

router(config)#

全局配置状态，可以设置路由的全局参数

router(config-if)#;router(config-line)#;router(config-router)#.....

处于局部配置状态，可以设置路由的局部参数

二、配置端口ip

命令

en

config t //全局模式

interface f0/0

ip address 192.168.1.1 255.255.255.0 //设置端口ip

no shu //生效

exit

interface f0/1

ip address 192.168.10.1 255.255.255.0

no shu

exit

end

disable

三、配置静态路由

命令

en

config t //全局模式

ip route 192.168.100.0 255.255.255.0 192.168.10.2 //到192.168.100.0/24通过192.168.10.2接口

end

show ip route //可以看到前面标明S，即为静态路由

四、配置动态路由(RIP)

命令

en

config t //全局模式

no route rip //禁止rip协议

route rip

network 192.168.1.0 //network参数为路由的两个端口对应的网络地址

network 192.168.10.0

exit

end

disable

五、配置DHCP

命令

en

config t //全局模式

ip dhcp excluded-address 192.168.1.1 //需要排除的ip地址

ip dhcp pool gr-dhcp-pool //ip地址池名

default-server 192.168.1.1 //指定dhcp服务器

network 192.168.1.0 255.255.255.0 //配置网络

dns-server 61.177.7.1 //配置dns服务器

exit

end

disable

可以通过 ip helper-address指定 DHCP中继代理

interface FastEthernet0/1

ip address 192.168.1.1 255.255.255.0

ip helper-address 192.168.10.2 配置DHCP中继代理，DHCP

六、配置NAT

命令

en

config t //全局模式

interface f0/0

ip address 192.168.1.1 255.255.255.0

ip nat inside //内部端口

no shu

exit

interface f0/1

ip address 192.168.10.1 255.255.255.0

ip nat outside //外部端口

no shu

exit

access-list 1 permit any //设置一个可访问列表

ip nat pool gr-nat-pool 192.168.10.3 192.168.10.254 netmask 255.255.255.0 //设置分配池

ip nat inside resource list 1 pool gr-nat-pool overload

show ip nat traslations

clear ip nat traslation *

七、其它

sh running-config //显示当前运行配置

sh startup-config //显示开机配置

sh ip route //显示路由

sh nat traslations //显示nat当前情况