公司內路由器一般用的是CISCO2621，通過(guò)寬帶連接因特網(wǎng)，局域網(wǎng)的微機通過(guò)路由器地址轉換（NAT）上網(wǎng)，內部服務(wù)器上設置外部地址提供對外的訪(fǎng)問(wèn)。以此為例介紹路由器的配置步驟。路由器的10/100 ETHERNET0/0端口接外部網(wǎng)絡(luò )，10/100 ETHERNET0/1端口接內部網(wǎng)絡(luò )。

   路由器第一次使用時(shí)，因為沒(méi)有進(jìn)行配置，因此必須利用微機通過(guò)超級終端連接路由器的Console口進(jìn)行初始化。每臺路由器都帶有連接線(xiàn)，一端接微機的串口，另一端接路由器的Console口。即基本設置方式中的第一種方式。路由器第一次啟動(dòng)時(shí)，會(huì )進(jìn)入設置對話(huà)過(guò)程，可以按照提示配置參數，也可以退出對話(huà)過(guò)程用命令的方式進(jìn)行配置。以下介紹通過(guò)命令的方式進(jìn)行配置（命令可以不完全輸入，只輸入單詞中的黑體部分即可，以下同）。

1 配置端口的IP地址
router> enable     進(jìn)入特權命令狀態(tài)
router>＃config terminal   進(jìn)入全局設置狀態(tài)
router(config)＃interface fastethernet0/0   配置0／0端口的參數
router(config-if)＃ip address 222.132.92.46 255.255.255.0  0/0端口的IP地址、子網(wǎng)掩碼，此地址一般為網(wǎng)絡(luò )供應商提供的外部互聯(lián)地址
router(config)＃interface fastethernet0/1   配置0/1端口的參數
router(config-if)＃ip adderss 191.0.10.1 255.255.255.0     0/1端口的IP地址、子網(wǎng)掩碼，公司內部分配，為局域網(wǎng)地址段的第一個(gè)地址
router(config-if)＃ip address 222.132.92.46 255.255.255.0 secondary  網(wǎng)絡(luò )供應商分配的公用地址段的第一個(gè)地址及子網(wǎng)掩碼
router(config-if)＃exit 退出當前配置狀態(tài)，回到上一級配置狀態(tài)
按Ctrl+z鍵可以直接回到特權命令狀態(tài)。

2 配置默認網(wǎng)關(guān)
進(jìn)入全局配置狀態(tài)。采用的是靜態(tài)路由方式，因此需要將一條靜態(tài)路由記錄加入，內容如下：

router(config)＃ip route 0.0.0.0 0.0.0.0 222.132.92.33 外部網(wǎng)絡(luò )互聯(lián)地址，供應商提供
 
3 使路由器路由有效
router(config)＃ip routing
   至此，路由器可以發(fā)揮路由作用，內部網(wǎng)絡(luò )上的有外部地址的微機可以連接外部網(wǎng)絡(luò )了。

4 配置地址轉換（NAT）
   只有內部地址的微機若需要通過(guò)路由器上網(wǎng)，按如下步驟配置。

   第一步： router(config)＃ip nat pool poolname 222.132.92.46 222.132.92.46 netmask 255.255.255.0
定義地址轉換地址池，poolname為地址池的名稱(chēng)，可以自己命名，212.2.3.162為起始地址，212.2.3.163為結束地址，表示內部地址轉換成地址池范圍內的地址對外訪(fǎng)問(wèn)，起始地址和結束地址可以相同。

   第二步：router(config)＃ip access-list extended natip  定義訪(fǎng)問(wèn)列表名稱(chēng)為natip
router(config-ext-nacl)#permit ip 191.0.9.0 0.0.0.255 any  允許191.0.9.1－255的地址訪(fǎng)問(wèn)任何地址，若只允許某些地址上網(wǎng)，可以在這里設置。如允許191.0.9.1－31的地址上任何網(wǎng)，其他地址只允許訪(fǎng)問(wèn)公司綜合信息，可以按如下設置：
router (config-ext-nacl)＃permit ip 191.0.9.0 0.0.0.31 any
router (config-ext-nacl)＃permit tcp 191.0.9.0 0.0.0.255 host 210.52.46.166 eq www
router (config-ext-nacl)＃deny any any   (禁止其他地址的訪(fǎng)問(wèn))

 

   第三步：
router(config)# ip nat inside source list natip pool poolname overload 
router(config)# ip nat inside source static  191.0.10.29 222.132.92.46

配置NAT，natip范圍的地址可以轉換成poolname地址池中的地址上網(wǎng)。

   第四步：

router(config)＃interface fastethernet0/0 
router(config-if)＃ip nat outside
定義0/0端口為NAT的外部端口

   第五步：

router(config)＃interface fastethernet0/1 
router(config-if)＃ip nat inside 
定義0/1端口為NAT的內部端口 
局域網(wǎng)中的微機將默認網(wǎng)關(guān)設置為路由器的內部地址(191.0.10.1)，就可以通過(guò)路由器上網(wǎng)了。

5  通過(guò)訪(fǎng)問(wèn)列表控制對內部網(wǎng)絡(luò )和外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)

   控制內部微機對外部網(wǎng)絡(luò )的訪(fǎng)問(wèn)，通過(guò)NAT中的訪(fǎng)問(wèn)列表控制，見(jiàn)以上的第二步。
   控制外部網(wǎng)絡(luò )對內部網(wǎng)絡(luò )的訪(fǎng)問(wèn)，示例如下：
  區別在： permit或deny后面緊接的先是內部地址還是外部地址
   router(config)＃ip access-list extended access1   建立名稱(chēng)為access1的訪(fǎng)問(wèn)控制列表
   router(config-ext-nacl)＃deny Icmp any any  禁攢止Icmp訪(fǎng)問(wèn)，如ping。
   router(config-ext-nacl)＃permit tcp any host 212.2.3.164 eq www  允許外部網(wǎng)絡(luò )訪(fǎng)問(wèn)212.2.3.164的web服務(wù)
   router (config-ext-nacl)＃permit ip any host 212.2.3.165  允許外部地址對212.32.3.165的所有訪(fǎng)問(wèn)，如語(yǔ)音網(wǎng)關(guān)。
router (config-ext-nacl)＃permit tcp any host 212.2.3.166 eq 1352 允許外部網(wǎng)絡(luò )訪(fǎng)問(wèn)212.2.3.166的1352端口。1352端口為L(cháng)OTUS服務(wù)端口。
router(config)＃interface fastethernet0/0
router(config)＃ip access-group access1 in     將控制列表access1施加在0/0端口的對內訪(fǎng)問(wèn)上。

當外部網(wǎng)絡(luò )訪(fǎng)問(wèn)通過(guò)路由器0/0端口控制內部網(wǎng)絡(luò )時(shí)，路由器檢查訪(fǎng)問(wèn)列表，找到匹配項后動(dòng)作（deny或permit），以后的列表忽略，若找不到匹配項，丟棄該數據包。因此訪(fǎng)問(wèn)列表中一般需要將deny語(yǔ)句放在列表的前面。

訪(fǎng)問(wèn)控制列表中表示一個(gè)地址時(shí)用host 212.32.3.165；表示一段地址時(shí)用212.2.3.160 0.0.0.15，代表從212.2.3.160－175。此處0.0.0.15與子網(wǎng)掩碼的作用類(lèi)似，但是寫(xiě)法恰好相反。在網(wǎng)絡(luò )中地址段212.2.3.160－175用212.2.3.160 255.255.255.240表示。訪(fǎng)問(wèn)控制列表中的掩碼可以用255減去子網(wǎng)掩碼每段的的數值得到。如子網(wǎng)掩碼255.255.255.0在訪(fǎng)問(wèn)控制列表中用0.0.0.255表示，子網(wǎng)掩碼255.255.254.0在訪(fǎng)問(wèn)控制列表中用0.0.1.255表示。

如果需要將微機的IP地址和網(wǎng)卡的地址綁定，即微機只能使用指定的IP地址，自己更改地址后路由器將拒絕訪(fǎng)問(wèn)，可以通過(guò)如下命令設置：
router(config)＃arp 191.0.5.186 0030.2222.1111 ARPA
router(config)＃arp 191.0.5.187 0030.2222.2222 ARPA
其中191.0.5.186為IP地址，0030.2222.1111為綁定的網(wǎng)卡地址。

6 保存配置
   router＃write  保存配置文件在路由器中，若不保存路由器重新啟動(dòng)后配置將丟失。
   若需要將路由器的配置保存到微機上，則微機上需要運行CISCO的TFTP軟件，通過(guò)copy命令進(jìn)行。
   router(config)＃copy running-config tftp
   然后根據提示輸入TFTP的地址和保存的文件名稱(chēng)即可，保存的文件為文本文件。
   router(config)＃copy from tftp   從TFTP恢復備份的配置

7  其他常用命令
   router(config)＃show running-config    查看路由器配置
   router(config)＃show processes cpu    查看路由器CPU利用情況
   router(config)＃show processes memory  查看路由器內存利用情況
   router(config)＃show interface    查看各端口的狀況
   router(config)＃show ip access-list  查看訪(fǎng)問(wèn)控制列表及數據包匹配情況
   router(config)＃show ip nat statistics  查看NAT地址轉換情況統計
   router(config)＃show ip nat translations  查看NAT當前地址轉換情況

   網(wǎng)絡(luò )運行過(guò)程中如果上網(wǎng)明顯變慢，可以通過(guò)以上命令查看路由器的運行狀況。如前段時(shí)間沖擊波殺手病毒導致的上網(wǎng)慢甚至不能上網(wǎng)，用show processes cpu查看路由器CPU利用率幾乎為100％，用show ip nat statistics查看轉換統計有上萬(wàn)條，用show ip nat translations發(fā)現有大量的來(lái)自相同地址的ICMP數據包。沖擊波殺手病毒發(fā)作時(shí)會(huì )向路由器發(fā)送大量ICMP數據包，通過(guò)路由器就可以看出哪一臺微機感染了病毒。用show ip nat translations查看時(shí)，如果同一個(gè)地址有大量的連接，一般此地址的微機有問(wèn)題，應該重點(diǎn)檢查。