锐捷NBR2000路由器说明书

® 锐捷 NBR 系列路由器用户手册 V1.2 版权声明福建星网锐捷网络有限公司©2005 版权所有，保留一切权利。没有经过本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或者全部，并且不得以任何形式传播。 RGNOS®、锐捷®、 ®、网络有限公司的注册商标，不得仿冒。 ® 都是福建星网锐捷前言版本说明本手册适用于锐捷 NBR 系列 NBR200, NBR1000E, NBR300, NBR1200 和 NBR2000 路由器。内容介绍这份手册主要介绍了锐捷 NBR 系列路由器的硬件特性、常用功能的软件配置以及常见故障的排除等。在安装路由器之前及安装过程中为避免可能出现的设备损坏和人身伤害，请仔细阅读本手册。建议：建议由熟悉电气环境、线缆连接以及有实际安装和配置路由器经验的专业技术人员进行安装和配置。这份手册包括以下章节： z 第一章产品介绍介绍了锐捷 NBR 系列路由器的外观图以及系统特性； z 第二章安装路由器前的准备描述了安装路由器的环境要求、安装前和安装过程中需要注意的事项、安装所需工具。 z 第三章路由器的安装介绍路由器的机械安装方法、电源连接方法、配置口电缆连接方法； z 第四章快速配置指导介绍如何启动并对路由器、搭建路由器的配置环境以及针对网吧的不同应用模式如何进行快速配置； z 第五章故障处理介绍了如何处理安装过程中可能出现的问题以及各种 LED 的含义； z 第六章高级配置指导介绍如何进行路由器的 IP 地址配置、静态路由配置、防火墙配置、PPPoE 配置、 DHCP 配置以及 NAT 配置。 z 第七章路由器的维护介绍如何进行路由器的维护和升级。感谢您选择锐捷 NBR 系列路由器！说明：该安装手册只介绍如何安装锐捷 NBR 系列路由器，以及一些常用功能的配置指南，要对路由器进行更进一步的配置，请参考随机光盘中的配置指南和命令参考。在本手册中，锐捷 RG-NBRxxx 系列路由器简称为锐捷 NBRxxx 系列路由器。详细的说明和配置以随机附带的光盘为准，如果因为时间而有改变，恕不另行通知。读者对象本书适合下列人员阅读 z 网络工程师 z 技术推广人员 z 网络管理员本书约定 1、通用格式约定宋体：正文采用 5 号宋体。楷体：警告、说明等提示等内容一律用楷体，并且在内容前后增加线条与正文隔离。 Terminal Display 格式：自定义的 Terminal Display 格式，英文 Courier New ，中文宋体，文字大小 8.5 ，表示屏幕输出信息，此外屏幕输出信息中夹杂的用户从终端输入的信息，采用加粗字体表示。 2、各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下： a：警告、危险、提醒操作中应注意的事项。 L：小心、注意、提醒操作中应注意的事项。：说明、提示、窍门、对操作内容的描述进行必要的补充和说明。锐捷 NBR 系列路由器使用说明书目录目第一章 1.1 1.2 1.3 第二章 2.1 2.2 2.3 第三章 3.1 3.2 3.3 3.4 3.5 第四章 4.1 4.2 录产品介绍 .................................................................................................................................... 1 锐捷NBR系列路由器 ................................................................................................................ 1 1.1.1 锐捷NBR200 路由器 ......................................................................................................... 1 1.1.2 锐捷NBR1000E路由器 ...................................................................................................... 2 1.1.3 锐捷NBR300 路由器 ......................................................................................................... 4 1.1.4 锐捷NBR1200 路由器 ....................................................................................................... 5 1.1.5 锐捷NBR2000 路由器 ....................................................................................................... 7 锐捷路由器特点......................................................................................................................... 8 1.2.1 丰富的协议支持................................................................................................................. 8 1.2.2 友好的用户界面................................................................................................................. 8 1.2.3 丰富的诊断和管理工具..................................................................................................... 9 1.2.4 良好的安全性..................................................................................................................... 9 1.2.5 方便的升级途径................................................................................................................. 9 典型应用 .................................................................................................................................... 9 路由器安装前的准备............................................................................................................... 13 安全注意事项........................................................................................................................... 13 安装环境要求........................................................................................................................... 13 2.2.1 温度/湿度要求 ................................................................................................................. 13 2.2.2 洁净度要求....................................................................................................................... 14 2.2.3 防静电要求....................................................................................................................... 14 2.2.4 抗干扰要求....................................................................................................................... 15 2.2.5 防雷击要求....................................................................................................................... 15 2.2.6 检查安装装置................................................................................................................... 15 安装工具和设备....................................................................................................................... 15 路由器的安装........................................................................................................................... 17 路由器的安装流程................................................................................................................... 17 固定路由器位置....................................................................................................................... 17 3.2.1 安装到机柜上................................................................................................................... 17 3.2.2 安装在工作台上............................................................................................................... 18 安装电源线及地线................................................................................................................... 18 连接控制台 .............................................................................................................................. 18 安装后的检查........................................................................................................................... 19 快速配置指导........................................................................................................................... 20 启动和配置路由器................................................................................................................... 20 4.1.1 出厂默认设置................................................................................................................... 20 4.1.2 搭建配置环境................................................................................................................... 20 4.1.3 路由器上电....................................................................................................................... 23 4.1.4 启动过程........................................................................................................................... 23 4.1.5 通过Setup配置路由器...................................................................................................... 25 Web配置指导 ........................................................................................................................... 27 4.2.1 进入Web管理 ................................................................................................................... 27 4.2.2 使用WebClient.................................................................................................................. 28 4.2.3 各个菜单项使用说明....................................................................................................... 29 锐捷 NBR 系列路由器使用说明书目录路由器配置示例....................................................................................................................... 75 4.3.1 固定IP地址接入典型配置 ............................................................................................... 76 4.3.2 PPPoE接入典型配置........................................................................................................ 79 4.3.3 DHCP动态IP接入典型配置 ............................................................................................ 83 第五章故障处理 .................................................................................................................................. 88 5.1 电源故障排除........................................................................................................................... 88 5.2 配置系统故障排除................................................................................................................... 88 5.3 端口故障排除........................................................................................................................... 89 第六章高级配置指导........................................................................................................................... 90 6.1 WAN口参数设置 ..................................................................................................................... 90 6.2 配置IP地址 ............................................................................................................................... 91 6.2.1 接口IP地址配置 ............................................................................................................... 91 6.2.2 地址解析协议(ARP)配置 ................................................................................................ 92 6.2.3 广播包处理配置............................................................................................................... 93 6.2.4 VLAN配置 ....................................................................................................................... 94 6.2.5 IP地址配置示例 ............................................................................................................... 95 6.3 配置静态路由........................................................................................................................... 95 6.3.1 配置静态路由................................................................................................................... 95 6.3.2 静态路由配置示例........................................................................................................... 95 6.4 配置防火墙 .............................................................................................................................. 96 6.4.1 配置基本访问列表........................................................................................................... 96 6.4.2 防火墙配置示例............................................................................................................... 96 6.5 配置PPPoE ............................................................................................................................... 96 6.5.1 配置以太网口................................................................................................................... 97 6.5.2 配置逻辑接口................................................................................................................... 97 6.5.3 配置必要的全局参数....................................................................................................... 98 6.5.4 PPPoE配置示例 ............................................................................................................... 99 6.6 配置NAT................................................................................................................................... 99 6.6.1 配置内部源地址静态NAT............................................................................................. 100 6.6.2 配置内部源地址NAPT .................................................................................................. 101 6.6.3 配置重叠地址NAT......................................................................................................... 102 6.6.4 配置TCP负载均衡 ......................................................................................................... 103 6.6.5 调整地址转换超时时间................................................................................................. 103 6.6.6 配置nat内部pc速率统计功能 ........................................................................................ 104 6.6.7 配置nat内部pc速率限制功能 ........................................................................................ 104 6.6.8 NAT配置示例................................................................................................................. 105 6.7 构建本地服务器配置示例......................................................................................................111 6.8 配置动态域名解析服务(DDNS) ........................................................................................... 114 6.8.1 配置DDNS的功能.......................................................................................................... 114 6.8.2 显示DDNS的连接状态.................................................................................................. 115 6.9 抗外网攻击 ............................................................................................................................ 115 6.9.1 设置安全等级................................................................................................................. 115 6.9.2 设置安全等级限速参数................................................................................................. 116 6.9.3 显示安全参数................................................................................................................. 116 6.10 抗内网攻击 ............................................................................................................................ 116 4.3 锐捷 NBR 系列路由器使用说明书目录 6.10.1 抗内网攻击配置............................................................................................................. 116 6.10.2 显示安全参数................................................................................................................. 116 6.11 智能MAC/IP绑定................................................................................................................... 116 6.11.1 MAC/IP绑定配置........................................................................................................... 117 第七章路由器的维护......................................................................................................................... 118 7.1 ROM监控模式维护与升级.................................................................................................... 118 7.1.1 ROM监控模式简介 ....................................................................................................... 118 7.1.2 如何进入ROM监控模式................................................................................................ 118 7.1.3 ROM监控模式的升级功能............................................................................................ 119 7.2 正常工作模式维护与升级..................................................................................................... 122 7.2.1 正常工作模式下路由器升级前准备............................................................................. 122 7.2.2 正常工作模式下路由器主体程序的升级..................................................................... 123 7.3 路由器密码丢失的处理方法................................................................................................. 124 锐捷 NBR 系列路由器使用说明书用户手册第一章产品介绍锐捷 NBR 系列路由器，是利用国际先进的半导体技术及通讯控制技术，由福建星网锐捷网络有限公司自主开发的数据通讯产品，具有自主知识产权。锐捷路由器完全按照国际标准进行开发，无论在使用方式及配置方法上都与目前国际流行的主流路由器产品相似，已经熟悉主流路由器配置命令的网络管理员通过阅读本手册，可不经培训直接配置使用本产品。 1.1 锐捷 NBR 系列路由器 1.1.1 锐捷 NBR200 路由器 1.1.1.1 锐捷 NBR200 路由器外观图图 1-1 锐捷 NBR200 路由器前面板图 1-2 锐捷 NBR200 路由器后面板（不支持扩展模块） 1.1.1.2 锐捷 NBR200 路由器基本配置锐捷 NBR200 的基本配置如下：项目描述内存 SDRAM：16MB FLASH：8MB I/O 设置 WAN 口：1 个 10/100M 自适应快速以太网口，自动识别网线和交叉线。 LAN 口：4 个 10/100M 自适应快速以太网口，自动识别网线和交叉线，支持端口状态手动配置，端口镜像。控制台口：1 个接口标准以太网：10Base-T/100Base-TX 配置口（控制台口）：RS-232 第 1 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册外型尺寸(高 ×长×宽) 44.4mm×437mm×210mm 电压 AC: 176~265V 47/53Hz 功率小于 20W 工作环境温度：0~40℃ 湿度：10~90% 不结露说明：动态存储器 SDRAM 作为主存储器，即内存。FLASH 储存主体软件。 1.1.1.3 锐捷 NBR200 路由器指示说明指示信号说明 STATUS 工作状态系统正常：绿色常亮系统复位：灭 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 100M 指示灯 100M 连接：亮 10M 连接：灭 Reset 按钮按下时间小于 5 秒，路由器复位；按下时间大于 5 秒，路由器恢复出厂设置并复位。 1.1.2 锐捷 NBR1000E 路由器 1.1.2.1 锐捷 NBR1000E 路由器外观图图 1-3 锐捷 NBR1000E 路由器前面板图 1-4 锐捷 NBR1000E 路由器后面板第 2 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 1.1.2.2 锐捷 NBR1000E 路由器基本配置锐捷 NBR1000E 的基本配置如下：项目描述内存 SDRAM：16MB FLASH：8MB I/O 设置 WAN 口：2 个 10/100M 自适应快速以太网口，自动识别网线和交叉线；1 个插槽可通过模块扩展 100M 长波，短波光纤接口。 LAN 口：4 个 10/100M 自适应快速以太网口，自动识别网线和交叉线，支持端口状态手动配置，端口镜像。控制台口：1 个接口标准以太网：10Base-T/100Base-TX，100Base-FX 配置口（控制台口）：RS-232 外型尺寸(高 ×长×宽) 44.4mm×437mm×210mm 电压 AC: 176~265V 47/53Hz 功率小于 20W 工作环境温度：0~40℃ 湿度：10~90% 不结露说明：动态存储器 SDRAM 作为主存储器，即内存。FLASH 储存主体软件。 1.1.2.3 锐捷 NBR1000E 路由器指示说明指示信号说明 STATUS 工作状态系统正常：绿色常亮系统复位：灭 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 100M 指示灯 100M 连接：亮 10M 连接：灭 MODULE 指示灯存在：亮不存在：灭 Reset 按钮按下时间小于 5 秒，路由器复位；按下时间大于 5 秒，路由器恢复出厂设置并复位。第 3 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 1.1.3 锐捷 NBR300 路由器 1.1.3.1 锐捷 NBR300 路由器外观图图 1-5 锐捷 NBR300 路由器前面板图 1-6 锐捷 NBR300 路由器后面板 1.1.3.2 锐捷 NBR300 路由器基本配置锐捷 NBR300 的基本配置如下：项目描述内存 SDRAM：64MB FLASH：8MB I/O 设置 WAN 口：1 个 10/100M 自适应快速以太网口，自动识别网线和交叉线。 LAN 口：4 个 10/100M 自适应快速以太网口，自动识别网线和交叉线，支持端口状态手动配置，端口镜像。控制台口：1 个接口标准以太网：10Base-T/100Base-TX 配置口（控制台口）：RS-232 外型尺寸(高 ×长×宽) 44.4mm×437mm×210mm 电压 AC: 176~265V 47/53Hz 功率小于 20W 工作环境温度：0~45℃ 湿度：10~90% 不结露说明：动态存储器 SDRAM 作为主存储器，即内存。FLASH 储存主体软件。第 4 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 1.1.3.3 锐捷 NBR300 路由器指示说明指示信号说明工作状态电源电源正常：绿色常亮告警正常：灭异常： NBR 受到攻击显示橙色状态正常运行：闪烁 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 100M 指示灯 100M 连接：亮 10M 连接：灭 Reset 按钮按下时间小于 5 秒，路由器复位；按下时间大于 5 秒，路由器恢复出厂设置并复位。 CPU 利用率指示灯 1、饱和：亮饱和、繁忙、正常、空闲 2、繁忙：亮繁忙、正常、空闲 3、正常：亮正常、空闲 4、空闲：亮 1.1.4 锐捷 NBR1200 路由器 1.1.4.1 锐捷 NBR1200 路由器外观图图 1-7 锐捷 NBR1200 路由器前面板图 1-8 锐捷 NBR1200 路由器后面板 1.1.4.2 锐捷 NBR1200 路由器基本配置锐捷 NBR12000 的基本配置如下：项目描述内存 SDRAM：64MB FLASH：8MB 第 5 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 I/O 设置 WAN 口：2 个 10/100M 自适应快速以太网口，自动识别网线和交叉线；1 个插槽可通过模块扩展 100M 长波，短波光纤接口。 LAN 口：4 个 10/100M 自适应快速以太网口，自动识别网线和交叉线，支持端口状态手动配置，端口镜像。控制台口：1 个接口标准以太网：10Base-T/100Base-TX，100Base-FX 配置口（控制台口）：RS-232 外型尺寸(高 ×长×宽) 44.4mm×437mm×210mm 电压 AC: 176~265V 47/53Hz 功率小于 20W 工作环境温度：0~45℃ 湿度：10~90% 不结露说明：动态存储器 SDRAM 作为主存储器，即内存。FLASH 储存主体软件。 1.1.4.3 锐捷 NBR1200 路由器指示说明指示信号说明工作状态电源电源正常：绿色常亮告警正常：灭异常：橙色状态正常运行：闪烁 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 100M 指示灯 100M 连接：亮 10M 连接：灭 MODULE 指示灯存在：亮不存在：灭 Reset 按钮按下时间小于 5 秒，路由器复位；按下时间大于 5 秒，路由器恢复出厂设置并复位。 CPU 利用率指示灯 5、饱和：亮饱和、繁忙、正常、空闲 6、繁忙：亮繁忙、正常、空闲 7、正常：亮正常、空闲 8、空闲：亮第 6 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 1.1.5 锐捷 NBR2000 路由器 1.1.5.1 锐捷 NBR2000 路由器外观图图 1-9 锐捷 NBR2000 路由器前面板图 1-10 锐捷 NBR2000 路由器后面板 1.1.5.2 锐捷 NBR2000 路由器基本配置锐捷 NBR2000 的基本配置如下：项目描述内存 SDRAM：256MB FLASH：32MB BOOTROM：2MB I/O 设置 WAN 口：1 个 10/100M 自适应快速以太网口，自动识别网线和交叉线；1 个 10/100/1000M 自适应快速以太网口，自动识别网线和交叉线。 LAN 口：1 个 10/100/1000M 自适应快速以太网口，自动识别网线和交叉线。控制台口：1 个接口标准以太网：10Base-T/100Base-TX/1000Base-TX，配置口（控制台口）：RS-232 外型尺寸(高 ×长×宽) 44.4mm×437mm×268mm 电压 AC: 176~265V 47/63Hz 功率小于 30W 工作环境温度：0~45℃ 湿度：10~90% 不结露说明：第 7 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册动态存储器 SDRAM 作为主存储器，即内存。FLASH 储存主体软件。 1.1.5.3 锐捷 NBR2000 路由器指示说明指示信号说明 STATUS 工作状态系统正常：绿色常亮系统复位：灭恢复默认设置：闪烁 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 100M 指示灯 100M 连接：亮 10M 连接：灭 Reset 按钮按下时间小于 5 秒，路由器复位；按下时间大于 5 秒，路由器恢复出厂设置并复位。 CPU 利用率指示灯 1、饱和：亮饱和、繁忙、正常、空闲 2、繁忙：亮繁忙、正常、空闲 3、正常：亮正常、空闲 4、空闲：亮 1.2 锐捷路由器特点 1.2.1 丰富的协议支持锐捷系列路由器适用于众多的网络环境，它提供丰富的协议支持： z 提供双绞线 RJ45 接口，支持以太网协议、ARP 协议 z 网络层上支持 TCP/IP 协议簇，实现了 IP、ICMP、IGMP、TCP 和 UDP、等协议 z 支持多种 IP 上的动态路由协议：RIP(V1/V2)等 z 支持网络管理协议 SNMP z 支持 TELNET z 支持 DHCP Relay 等 z 支持 PPPoE z 支持异步文件传输协议 X-MODEM 升级方式 z 支持 NAT z 支持 TFTP z 提供标准操作界面，配置直观，每条命令均提供详细的在线帮助。 1.2.2 友好的用户界面第 8 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 使用手册中针对各条命令都有详细的说明和示例，并提供全面的故障分析描述。 1.2.3 丰富的诊断和管理工具 z 提供了完备的调试跟踪手段，提供了丰富的 DEBUG 指令，方便准确的定位各种网络故障。 z 提供了丰富的统计和状态信息显示功能，使用户对网络的性能和运行状态一目了然。 z 支持多种终端登录配置方式： a) 通过 Console 口进行配置 b) 通过 TELNET 登录配置 c) 通过 TFTP 服务器配置 1.2.4 良好的安全性 z 采用完善的防火墙和 IP 包过滤技术，对网络地址、端口号或协议类型均可进行严密检查。 z PPP 协议上实现了 PAP 和 CHAP 协议。 z 支持 MAC 地址绑定功能。 z 网络地址翻译技术 NAT 1.2.5 方便的升级途径 z 支持异步文件传输 X-MODEM 协议，可以在各种操作环境(如 Windows 95、Windows NT、UNIX、DOS 等)下通过 Console 口下载新的升级版本。 z z 可以支持通过 TFTP 协议下载新的软件版本。 z NBR 的应用方案（中小网吧）支持 BOOTROM 在线升级。 1.3 典型应用中小网吧使用锐捷 NBR 系列（NBR200,NBR1000E）路由器接光纤或者以太网宽带上网，拓扑图如图 1-4：第 9 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册图 1-11 NBR 路由器的典型应用其中 NBR 通过光纤转换器或者光纤模块或者直接使用以太网与 Internet 连接。该方案的功能点是： 1、高速转发。 2、多出口实现负载均衡和线路备份； 3、防外网 DDOS 攻击。 z 单出口的网吧接入方案（大型网吧）作为单线路出口的网吧接入路由器，1000M 下联，100M 出口，网吧规模在 200 台以上。内部用 2 层交换机或者 3 层交换机，如果用 2 层交换机，则利用 NBR2000 的 2 层功能，可以进行 3 层转发，如果用 3 层交换机，则内部的 3 层交换由 3 层交换机来完成，主要推 3 层交换机的方案。该方案的功能点是： 1、千兆下联。 2、 100M 的线速转发。第 10 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 3、多出口实现负载均衡和线路备份； 4、防外网百兆线速 DDOS 攻击。 z 双出口的网吧接入方案（大型网吧）随着网吧规模的扩大，同时线路资费的下降，网吧要求速度快，同时稳定可靠一些，来自相同或者不同的运营商的宽带线路，接入到 NBR2000 路由器上，利用 1000M 线路下联到内部网，网吧内部划分不同的网段，核心用 3 层交换机，内部 3 层转发由 3 层交换机来完成，出口的双线路的选择和自动备份功能由 NBR2000 来完成！该方案的功能点是： 1、 3 层交换，内部划分不同网段，降低广播风暴。 2、多出口，提高线路速度。 3、多出口，自动负载均衡和备份。 4、千兆下联。 5、防外网百兆线速 DDOS 攻击。 z 多路由器多出口的网吧接入方案（大型网吧）第 11 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册现在网吧规模呈现出扩大的趋势，同时有不少地方推出了豪华的网吧，规模在 400 台以上，投资都在上百万元，这种规模的网吧，对于网络可靠稳定、速度要求极高，对于价格要求不是很敏感，在这种应用中，可以推双出口，双路由，实现负载均衡和线路备份的功能。内部用 S65 交换机作为核心，负载均衡由 S65 交换机来完成，利用 S65 交换机提供的策略路由的功能，就是基于 VLAN 的缺省路由的功能来实现负载均衡和备份。 1、 2、 3、 4、 5、该方案的功能点是：核心千兆 3 层交换机，划分不同网段，降低广播风暴。多台路由，速度都真正成倍增加。千兆下联。 100M 的线速转发。防外网百兆线速 DDOS 攻击。第 12 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第二章路由器安装前的准备 2.1 安全注意事项路由器承担着网络连接的中转站的重要作用，其正常使用关系到整个网络是否能正常运作。在路由器的安装和使用过程中特提出如下的安全建议 z 请不要将路由器放置在有水的地方，也不要让液体进入路由器。 z 请将路由器放置在远离热源的地方。 z 请确认路由器的正常接地。 z 请用户在安装维护过程中佩戴防静电手腕。 z 不要穿着松散的服装以防勾住器件造成损坏，为此请系紧衣带、围巾，扎好衣袖。 z 将工具、器件放在远离人员行走的地方以防碰。 z 建议用户使用 UPS 不间断电源，一方面可以避免断电，另一方面可以避免电源干扰。 2.2 安装环境要求锐捷系列路由器必须在室内使用，为保证路由器正常工作和延长使用寿命。安装场所应该满足下列要求： z 温度/湿度要求 z 洁净度要求 z 防静电要求 z 抗干扰要求 z 防雷击要求 z 检查安装台 2.2.1 温度/湿度要求为保证路由器正常工作并延长其使用寿命，机房必须维持一定的温度和湿度。若机房长期湿度过高，则易造成绝缘材料绝缘不良甚至发生漏电现象等机械性能变化现象；若相对湿度过低，则绝缘垫片可能会干缩而引起紧固螺丝松动，在干燥的气候环境下容易产生静电，危害路由器上的内部电路。温度过高会加速绝缘材料的老化过程，使路由器的可靠性大大降低，严重影响其使用寿命。对温度湿度的要求如下：温度相对湿度长期工作条件短期工作条件长期工作条件短期工作条件 15℃~30℃ 0℃~40℃ 40%~65% 10%~90% 第 13 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册说明：工作环境温度湿度是指在路由器机架前后没有保护板时距地板以上 1.5m 和距路由器架前方 0.4m 处测量所得的数值。短期工作条件指路由器连续工作不超过 48 小时或每年累计不超过 15 天。极端恶劣工作环境一般指路由器机房内空调系统出现故障，每次不应超过 5 小时即能恢复正常工作范围时可能出现的环境温度和湿度值。 2.2.2 洁净度要求灰尘对路由器的运行安全也是一大危害，室内灰尘落在路由器上会造成静电吸附，导致接触不良，不但影响设备寿命，而且容易造成通信故障。当室内相对湿度偏低时，更易产生这种静电吸附。锐捷系列路由器对机房内的灰尘含量及粒径要求见下表：最大直径(μ m) 0.5 1 3 5 最大浓度(每立方米所含颗粒数) 1.4×107 7×105 2.4×105 1.3×105 除灰尘外，路由器对机房空气中所含的盐酸硫化物也有严格的要求，这些有害气体会加速金属的腐蚀和某些路由器部件老化过程，机房内对 SO2、H2S、NO2、NH3、 Cl2 等有害气体的具体限制值见下表：气体平均（mg/m3）最大（mg/m3） SO2 0.2 1.5 H2S 0 0.03 NO2 0.04 0.15 NH3 0.05 0.15 Cl2 0.01 0.3 2.2.3 防静电要求路由器在设计电路时已作了防静电处理，但过强的静电仍会对路由器电路板产生破坏。与路由器连接的通信网中静电主要来自以下两个方面： z 室外高压输电线、雷电等外界电场环境。 z 室内环境地板材料整机结构等内部系统。因此，为防止静电的破坏应做到： z 设备及地板良好接地 z 室内防尘第 14 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 保持适当的温度湿度 z 接触路由器电路板时，应戴防静电手腕穿防静电工作服。 z 将拆卸下的路由器电路板面朝上放置在抗静电的工作台上或放入电磁屏蔽袋中。 z 观察或转移拆卸的路由器电路板时，请用手接触电路板的外边缘避免用手直接触摸电路板上的元器件。 2.2.4 抗干扰要求这里抗干扰主要是指电磁、电流等干扰，下面是抗干扰的一些要求： z 对供电系统采取有效的防电网干扰措施。 z 路由器工作地最好不要与电力设备的接地装置或防雷接地装置合用并尽可能相距远一些。 z 远离强功率无线电发射台、雷达发射台等高频大电流设备。 z 必要时采取电磁屏蔽的方法。 2.2.5 防雷击要求锐捷系列路由器对防雷击作了处理，但是作为一种电气设备，过强的雷击仍可能对其造成损坏。所以，采取防雷击措施是必须的： z 保证路由器接地线与大地保持良好接触。 z 保证交流电源插座的中性点与大地良好接触。 z 为了增强电源的防雷击效果，可以考虑在电源的输入前端加入电源避雷器。 2.2.6 检查安装装置无论将路由器安装在机柜内还是直接放在工作台上，都需要保证以下条件： z 确认路由器的入风口及通风口处留有空间以利于路由器机箱的散热。建议将路由器安装在 19"标准机柜上。在没有条件的地方，也可以将路由器水平放置在干净的平面上。在较炎热的地区，建议安装空调。 z 确认机柜和工作台自身有良好的通风散热系统。 z 确认机柜及工作台足够牢固，能够支撑路由器及其安装附件的重量。 z 确认机柜及工作台的良好接地。 2.3 安装工具和设备为了您的安装顺利，请准备： z 安装工具 z 连接电缆第 15 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 相关设备安装工具包括： z 十字螺丝刀 z 一字螺丝刀 z 防静电手腕连接电缆包括： z 电源线 z 配置线 z 以太网线说明：锐捷系列路由器随机附电源线、配置线、以太网线以及相关接头。如果还需要其它电缆，需要用户自己另外采购。相关设备包括： z HUB 或交换机 z 配置终端(传统字符终端、Windows 终端或者是终端仿真软件的 PC) z 电源插座第 16 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第三章路由器的安装 3.1 路由器的安装流程为了避免在安装过程中出现手忙脚乱或者误操作导致路由器损坏，请按照一下流程进行安装：安装开始准备工作：阅读第二章内容并满足其中的要求。安装路由器到指定位置连接电缆检查安装上电配置路由器安装结束 3.2 固定路由器位置安装路由器到指定位置即固定路由器，在安装准备工作结束以后，接着需要把路由器固定到指定位置。路由器的安装位置一般只有以下两种情况： z 安装到机柜上 z 安装在工作台上 3.2.1 安装到机柜上锐捷系列路由器是按照标准机柜的尺寸进行设计的，您可以根据机柜的情况使用路由器随机带的固定附件进行安装。第 17 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 3.2.2 安装在工作台上由于经济等各种原因，很多情况下用户并不具备标准机柜，更经常是将路由器放置在干净的工作台上，此种操作比较简单，操作中需要注意如下事项： z 保证工作台的平稳性与良好接地。 z 使用随机带的塑料垫粘到路由器底部的小孔上，同时在路由器周围留出 10cm 的散热空间。 z 不要在路由器上面放置重物。 3.3 安装电源线及地线锐捷系列路由器支持以下交流电源： AC: 176~264V 50/60Hz 请确认您的电源满足要求。路由器的电源线是三线的，建议使用有中性点接头的单相三线电源插座或多功能微机电源插座，电源的中性点在建筑物中要可靠接地。一般楼房在施工布线时已将本楼供电系统的电源中性点埋地，您需要确认本楼电源是否已经正确接地。请按照以下步骤安装电源线：第一步，将路由器随机所带的电源线一端插到路由器机箱后面板上的电源插座上，另一端插到交流电源插座上。第二步，检查路由器前面板电源灯是否变亮，灯亮则表示电源连接正确。 3.4 连接控制台锐捷系列路由器提供了一个符合 EIA/TIA-232 异步串行规范的配置口 Console，通过这个接口用户可完成对路由器的本地配置。如果您通过 WEB 方式对路由器进行配置，则不需要连接控制台。控制台连接属性：参数说明接头 RJ-45 接口标准异步 EIA/TIA-232 波特率 300-115200bps，默认是 9600bps。支持服务 1.命令行接口 2.与字符终端相连 3.当作一个异步接口，提供终端接入服务。第 18 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册您可以通过以下步骤连接路由器控制台口：第一步，使用随机附带的 DB-9 或 DB-25 孔式插头接到要对路由器进行配置的微机或终端的串口上。如果是微机，请确认微机上有终端仿真软件如超级终端。第二步，使用随机附带配置线，一端连到路由器的控制台口，另一端连接 DB-9 或 DB-25 插头的 RJ45 接口。 3.5 安装后的检查路由器机械安装完成后，在路由器上电启动前请先进行如下检查： z 若路由器安装在机柜上，请检查机柜与路由器的安装角铁是否牢固；若安装在工作台上，请检查路由器周围是否留有足够的散热空间，工作台是否稳固。 z 检查电源线所接电源与路由器要求电源是否一致。 z 检查路由器的地线是否连接正确。 z 检查路由器与配置终端等其它设备的连接关系是否正确。第 19 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第四章快速配置指导这一章将给出 NBR 功能快速配置说明，主要通过几个典型应用示例的配置过程来说明，用户可以对照自己的应用模式进行类比配置。如果用户需要更进一步的配置，请参考 NBR 功能高级配置部分的说明。无论是 NBR 功能的快速配置还是 NBR 功能的高级配置，都必须首先启动路由器并搭建配置环境。 4.1 启动和配置路由器 4.1.1 出厂默认设置 NBR 系列出厂时，默认 IP 设置为 192.168.1.1，默认子网掩码是 255.255.255.0。这些值可以根据您的需要而改变，如何修改，请参考后续相关章节的配置指导。出厂时 NBR 系列的 web 配置的默认用户名是 admin，口令是 admin。登录 NBR 系列 web 配置可对其进行配置时。如果您需要改变口令，也请参考后续相关章节的配置指导。按 NBR 系列前面面板上的复位键一下，将重启路由器。但如果连续按住复位键 5 秒，除了重启路由器外，还会将它的当前配置删除，并恢复到出厂时的默认设置。 4.1.2 搭建配置环境在路由器第一次使用的时候，可以通过 Web 方式或者 console 口方式对其进行配置。关于 Web 配置方式，我们在后面章节中描述。本节描述 Console 口配置方式。通过 Console 口方式对路由器进行配置，具体的操作步骤如下：第一步：如图 4-1 所示，将一字符终端或者微机的串口通过标准的 RS232 电缆和路由器的 Console 口（也叫配置口或控制台口）连接。 PC NBR1000 配置口配置线图 4-1 通过 Console 口搭建本地配置环境第二步：配置终端的通讯设置参数，如果采用微机，则需要运行终端仿真程序，如 Windows 操作系统提供的 Hyperterm(超级终端)等，以下以超级终端为例，说明具体的操作过程。运行超级终端软件，建立新连接，选择和路由器的 Console 连接的串口，设置通讯参数：9600 波特率、8 位数据位、1 位停止位、无校验、无流控，并且选择终端仿真类型位 VT100，如下图的 Windows 的超级终端的设置界面。第 20 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册图 4-2 建立新连接图 4-3 选择和路由器的 Console 连接的微机串口第 21 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册图 4-4 设置串口的通讯参数图 4-5 选择终端仿真类型第 22 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册搭建完配置环境，即可对路由器进行上电。 4.1.3 路由器上电 4.1.3.1 上电前检查在上电之前，请对路由器进行如下检查： z 电源线和地线连接是否正确 z 供电电压与路由器的要求是否一致 z 配置电缆连接是否正确配置用微机或终端是否已经打开并设置完毕 a 警告：请在路由器上电之前，确认路由器供电开关的位置，以便在发生事故时能够及时切断供电电源。 4.1.3.2 路由器上电 z 打开路由器供电电源开关 4.1.3.3 上电后检查路由器上电后，请进行如下检查： z 路由器前面板上的指示灯显示是否正常检查方法：路由器上电后，前面板上的 STATUS 指示灯常亮。 z 配置终端是否显示正常检查方法：路由器上电后终端上会显示路由器软件自解压等信息。 4.1.4 启动过程路由器第一次启动，会出现如下信息： Boot Program for nbr, Version 01.02, Rev 04, 2004-05-08. SDRAM 16M mccr1:F4680000 mccr2:000008A4 mccr3:FA000000 mccr4:36323234 Dev ID : 0x20100B Dev ID : 0x20100B -------------------------------------------------------------------------slot|seq|int|bus|dev|fun start end config devid name 0 0 0 0 20 0 80000000 80000fff 8000a000 20100b Ethernet 0 17 18 0 21 0 80001000 80001fff 8000a800 20100b Ethernet ------------------------------------------------------------------------------------系统中共有 2 个 PCI 设备 Parallel FLASH ID: 0000010F , Size 512 kbytes Serial FLASH ID: 0000ECE6 , Size 8192 kbytes The wired nand flash checking! 第 23 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!! Red-Giant Operating System Software RGNOS (tm) RELEASE SOFTWARE, Version 8.1(a2) building 2 Copyright (c) 2004 by Red-Giant Network co.,Ltd Compiled Jun 24 2004 10:01:37 by jiangzy Red-Giant NBR1000 series NBR1000 Motorola Power PC processor with 16384K bytes of memory. Processor board ID 00000001,with hardware revision 00000001 SDRAM: 16M Bank0: 00000000 - 00FFFFFF 16M System power off accidentally last. Parallel FLASH ID: 0000010F Size :512 KB Serial FLASH ID: 0000ECE6 Size :8192 KB Init nand flash device information for NBR1000. MII not found. pci information in the system ===================================== slot|seq|bus|int|dev|fun start end config devid fbtb name 00 00 00 01 21 00 80001000 80001fff 8000a800 0020100b 1 Ethernet 01 00 00 00 20 00 80000000 80000fff 8000a000 0020100b 1 Ethernet slot slot 0 card information in the system ===================================== class id type id hardware ver firmware version main board MB_M8241_NBR 1.0 1.0 %INK CHANGED: Interface FastEthernet 0/0, changed state to up %INE PROTOCOL CHANGE: Interface FastEthernet 0/0, changed state to UP 不同的软件版本上述提示信息可能会有些区别。这时敲回车键，进入普通用户配置模式，再输入 enable 命令以进入特权用户配置模式。这时路由器会提示您输入密码（出厂时的默认密码为 admin，如果您已将密码修改，则输入您的新密码）。过程如下： NBR > NBR >enable Password: NBR# <= 这里输入您的密码如果您对路由器配置很熟悉，则可以直接对路由器进行配置了。当然，这时您也可以通过 setup 快速配置功能对 NBR 进行配置，具体的说明见下节。建议：为了简化您的配置工作，我们建议您使用 NBR 针对网吧应用特别提供的 setup 快速配置功能对路由器常用的功能参数进行设置。第 24 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 4.1.5 通过 Setup 配置路由器在特权用户模式下，输入 setup 命令，则进入了 setup 快速配置过程。下面的示例是执行 setup 的配置过程，该例子中网吧通过两条线路上网，其中 WAN0 使用静态 IP 方式上网，同时 WAN1 使用 PPPoE 拨号上网。 NBR#setup ------------ 交互式系统配置 ---------------输入 ctrl-c 中止配置流程；默认配置参数在'[]'中。配置全局参数: 请输入路由器名称（只能用字母数字组合），直接回车恢复缺省值:nbr 请输入特权用户密码，直接回车则取消密码:aaa 请输入 telnet 远程登陆密码，直接回车则取消密码:bbb 请选择连接 internet 的 WAN 口: 0. WAN 0 1. WAN 1 请输入数字(0 - 1):0 请选择上网方式: 1. 静态 IP 2. PPPoE 连接 3. DHCP 动态 IP 请输入数字(1 - 2):1 请输入 WAN 口的 IP:202.101.1.1 请输入 WAN 口的子网掩码:255.255.255.0 请输入默认网关 IP 地址:202.101.1.254 ISP 是否分配了多个连续的全局地址[no]:yes 请输入最小的全局地址:202.101.1.1 请输入最大的全局地址:202.101.1.3 是否要配置 WAN 口线路检测方式[yes]: （注：只有多条 wan 口线路下才需要配置 wan 口线路检测从而方便线路备份，如果只有一条 wan 口线路,检测无意义且可能由于被测试对象不可靠而带来误报现象）请选择检测方式(1.发送 DNS 请求;2.发送 ping 请求):1 请输入发送请求的 IP 地址:202.101.98.55 请输入 ISP 提供的带宽，单位 Kbits。(1-1000000):10000 是否继续配置其它 WAN 口[no]:yes 请选择连接 internet 的 WAN 口: 0. WAN 0 1. WAN 1 请输入数字(0 - 1):1 请选择上网方式: 1. 静态 IP 2. PPPoE 连接 3. DHCP 动态 IP 请输入数字(1 - 2):2 第 25 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册请输入 PPPoE 的用户名:user 请输入 PPPoE 的密码:user 请输入 ISP 提供的带宽，单位 Kbits。(1-1000000):500 是否继续配置其它 WAN 口[no]: 提醒:如果您现在是以 telnet 方式运行该向导，并且修改 LAN 的 IP 地址，则在配置生效后，您的这次连接将中断。请用新的 LAN 口地址登录。是否修改 LAN 口的配置[no]: 是否设置端口镜像功能[no]:yes 请选择监控端口(LAN): 请输入数字(0 - 3):0 请选择被监控端口(LAN): 请输入端口号(0 - 3)，端口之间用','隔开:3 请选择监控类型: 0. 全部监控 1. 输入监控 2. 输出监控请输入数字(0 - 2):0 是否启用防冲击波病毒功能[yes]: WAN 口是否应答 ping 请求[yes]: 您输入的配置如下: 路由器名称:nbr 特权用户密码:aaa telnet 远程登录密码:bbb 广域网口上网方式: WAN 0: 静态 IP 地址: 202.101.1.1 255.255.255.0 默认网关:202.101.1.254 NAT 使用连续的全局地址:202.101.1.1 202.101.1.3 线路检测方式: 发送 DNS 请求到 202.101.98.55 带宽: 10000 Kbits WAN 1: PPPoE 用户名:user 密码:user 带宽: 500 Kbits 镜像端口设置: 监控口: LAN0 被监控口: LAN3 是否启用防冲击波病毒功能: 是 WAN 口是否应答 ping 请求: 是是否确认上述配置信息[yes]: 在本章后面我们会再结合两个典型应用示例来说明如何使用 NBR 的 Setup 命令进行快速配置。第 26 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册说明：您在 NBR 上的 Setup 快速配置流程中看到的提示信息或者配置步骤或许与本文档中略有出入，这种情况下请以 NBR 上的 RGNOS 当前版本以及随机附带的 CD-ROM 为准。 RGNOS功能的后续更新恕不另行通知，由此带来的任何可能损失本公司概不负责。如欲了解 RGNOS 功能的最新更新请联系设备供应商或者访问锐捷公司网站 www.ruijie.com.cn的相关链接。 4.2 Web 配置指导本章节说明使用 Web 管理界面的方法，您可以使用这个 Web 管理界面来管理您的路由器的常用功能。说明：本章中所描述的功能特性规格可能随产品的升级而发生改变。如有出入请以随机附带的 CD-ROM 上的相应文档为准。 4.2.1 进入 Web 管理当您在网络浏览器中输入路由器 IP 地址后，将出现授权对话框，您需要输入用户名和密码才可以进入路由器的 Web 管理界面（出厂默认设置：路由器 IP 地址为 192.168.1.1，用户名为 admin，密码为 admin），其中用户名是可选的，但密码是必须的。您的 PC 的 IP 地址必须与路由器的 IP 地址在同一网段。锐捷网络公司的 web 管理软件，是基于 java 平台的，需要在 windows 上安装 java 运行环境，否则将无法进入到下面的管理页面。安装 java 运行环境也很简单，就是到 www.sun.com 去下载 jre 运行环境,然后在 windows 上安装一下就可以了。锐捷网络公司附带的光盘中也有 jre 运行环境软件，可以直接安装。注：要使用 web 管理，还必须确认路由器的 flash 上存在 index.htm、vms15.htm、 webclt.jar 三个文件，否则也不会出现下面的管理页面，这些文件缺省已经安装在路由器上，如果没有安装，请按说明书中提到的升级文件的方式安装这些文件。 Web 管理界面将以一个 HTML 网页开始，如下图所示，上面主要有：第 27 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 ♦ ♦ 用户手册图1 如果您还没有安装 JRE，则请根据页面上的提示先安装 JRE。如果您已经安装了 JRE，则点击“进入可视化管理界面”，您就将来到 WebClient 的使用界面。 4.2.2 使用 WebClient WebClient 通过 Java Applet 小应用程序实现对网络设备的可视化管理，WebClient 致力于以简单、直观、方便的方式对网络设备进行管理。进入 WebClient 之前，Java Applet 还会要求您再输一次用户名和密码，您将刚才的输入再输一便就可以了。进入到 WebClient 的界面后，可以看到它是一个标准的窗口程序，有菜单栏、工具栏等各种窗口，如下图所示。一般情况下，您可以通过该界面完成路由器的配置和维护。后面我们将分别介绍 WebClient 界面中各个菜单项的功能。第 28 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册图2 4.2.3 各个菜单项使用说明 4.2.3.1 配置向导通过菜单“配置向导/配置向导”使用该功能。为了简化您的配置工作，我们建议您使用 NBR 针对网吧应用特别提供的配置向导对路由器常用的功能参数进行设置。其功能与上面介绍的 setup 命令类似。以下是配置向导主要的界面：第 29 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册基本参数配置: z 设备名：用于设置该 NBR 宽带路由器的主机名，例如是 NBR1200。 z 是否修改 web 登陆口令：如果打勾，就可以设置新的 web 登陆口令。在文本框中设置新口令并确认，如果设置了新口令，就要在设置后退出浏览器，然后使用新口令重新登陆。 z 是否修改 telnet 登陆口令：如果打勾,就可以设置新的 telnet 登陆口令。在文本框中设置新口令并确认，如果设置了新口令，就要在设置后退出浏览器，然后使用新口令重新登陆。 z 下一步：点击“下一步”将进入下一个配置窗口。 z 取消：按“取消”键将取消这次配置向导所做的所有配置。第 30 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册选择配置 WAN 口: z 选择 WAN 口：可以选择要配置的广域网口，WAN0 或者 WAN1，如果扩展了光纤模块，还可以配置 WAN2 口。NBR200/NBR300 只能选择 WAN0。千兆级的 NBR WAN0 对应的是 GigabitEthernet 0/1，WAN1 是 FastEthernet 0/2。 z 选择上网方式：请选择是采用静态 IP 上网、采用 PPPOE 上网或者采用动态 IP 上网。 z 下一步：如果您选择了静态 IP 上网，则点击“下一步”就进入配置静态 IP 相关内容的窗口，否则点击“下一步”就进入配置 PPPOE 相关内容的窗口。第 31 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册配置静态 IP: z IP 地址: 本路由器对广域网的 IP 地址，就是 ISP 提供给您的 IP 地址。 z 子网掩码: 本路由器对广域网口的子网掩码，就是 ISP 提供给您的子网掩码，一般是 255.255.255.0。 z 默认网关: 填入 ISP 提供给您的网关。 z ISP 提供的带宽: 填入 ISP 提供给您的广域网口的带宽（1Mbits 等于 1024Kbits）。 z 物理地址：Wan 口的 MAC 地址。注意：如果申请了双线路，并且一条是电信线路，另一条是网通线路，请到“网络参数”菜单，选择“电信网通线路选择”进行配置，实现电信、网通路由自动选择。第 32 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册配置连续公网地址：如果 ISP 给您分配了连续的公网全局地址，您打勾后可以进行相关配置。如果 ISP 只给您分配了一个单一的公网 IP 地址，则直接点击“下一步” 进入下一个配置窗口。 z 配置全局的最小 IP：输入 ISP 给您分配的连续公网全局地址的最小地址。 z 配置全局的最大 IP：输入 ISP 给您分配的连续公网全局地址的最大地址。第 33 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册线路检测配置：对于通过静态 IP 配置上网的情况，有时需要对广域网口的线路进行检测，以及时发现线路是否存在故障。（注：只有多 wan 口线路下才需要配置 wan 口线路检测从而方便多线路备份，如果只有一条线路配置 wan 口线路检测无意义且可能由于被测试对象不可靠而带来线路误判现象，如果启用该功能请确保被测试对象是可靠的） z 选择检测方式：发送 DNS 请求，向公网的 DNS 服务器发送请求，通过回应验证广域网口的线路是不是正常；发送 ping 请求，向 ISP 网关服务器发送 ping 请求，通过回应验证广域网口的线路是不是正常。 z 输入请求的 IP 地址：输入发送 DNS 请求或者 ping 请求的 IP 地址。 PPPOE 配置：如果您选择是 pppoe 配置，则进入该窗口。 z 用户名：填入 ISP 为您指定的上网帐户。 z 密码：填入 ISP 为您指定的上网口令。 z ISP 提供的带宽：填入 ISP 为您指定的带宽。 z 请选择拨号方式: 你可以选择是自动拨号还是按需拨号,如果是自动拨号, 不需要任何的流量刺激,路由器能自动拨号, 按需拨号则是在有流量的情况下才进行拨号。 z 最大空闲时间：如果检测到连续的一段时间中没有网络访问流量，路由器会自动断开网络连接，以节省您的上网费用。这一段时间称为最大空闲时间，缺省是 120 秒。动态 IP 配置：如果您选择是动态 IP 配置，则该广域网口采用 DHCP 方式获得配置信息，不需要手工配置上网参数。第 34 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册继续配置其他 wan 口：如果你还有其他的广域网口要配置，请选择继续配置其他广域网口。全部的 WAN 口配置完后，会进入下面的安全功能配置窗口。安全功能配置：路由器的广域网口经常会受到 DOS 的病毒攻击，所以可以选择是不是启用安全功能。 z 启用防冲击波病毒：针对冲击波病毒，对冲击波病毒的 UDP 端口进行报文过滤。第 35 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 屏蔽 WAN 口应答 ping 请求：不应答 ping 请求，可以避免受到一些恶意的 ping 攻击。 z 设置防外网攻击的强度：一般情况选择级别为高，避免受到外网的 DOS 等攻击。 z 启用防内网攻击：避免受到内部用户的恶意攻击。端口镜像配置：（注：无交换口的 NBR 不支持端口镜像）择监控端口: 选择了该监控端口后，该端口就能用来监控其他的 3 个 lan 口输入输出的报文。 z 选择被监控端口：选择了被监控端口，这些 lan 口的输入输出报文就能在监控端口捕捉到。 z 选择监控模式：双向监控(捕捉输入输出报文) 接收监控(捕捉输入报文) 发送监控(捕捉输出报文)。第 36 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 LAN 口设置： z IP 地址：配置本路由器 LAN 口的 IP 地址，该 IP 地址出厂时默认设置为 192.168.1.1，您可以改变它。如果您改变了该 IP 地址，您必须用新的 IP 地址才能登录路由器，并且局域网中的所有计算机默认网关必须设置为该 IP 地址才能正常上网。 z 子网掩码：本路由器 LAN 口 IP 地址的子网掩码。 z 定时发送免费 ARP：为了防止内网免费 ARP，请启用定时发送免费 ARP 功能。定时发送时间间隔一般为 1 秒。 z 设置报文发送个数：如果内网 ARP 欺骗非常严重，可以将定时发送时间间隔设置为 1 秒，报文个数设置为 5。第 37 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册流量限速：为了防止 BT 或 P2P 下载抢占其他用户带宽，可以启用 IP 限速功能。一般情况下，上行流量为 64kbyte/s，下行 200kbyte/s，比较合理。可以根据实际情况，进行调整。注意：如果要测试线路速度，要先暂时取消 IP 限速功能。到这里为止，配置向导的配置已经完成，您单击“下一步”可以浏览您前面所做的配置。第 38 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册配置内容：您可以在配置内容窗口中看到您在刚才中所配置的内容，检查一下是不是符合您的要求。如果符合，您就单击“确定”，这样您的配置就生效了。如果不符合，请单击“上一步”，一直到您需要的窗口，再重新输入配置。 4.2.3.2 接口参数通过菜单项“网络参数/接口参数”使用该功能。第 39 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 LAN 设置：其配置方式同“配置向导”中的 LAN 口设置。 WAN 设置：第 40 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册配置 WAN0，WAN1 口的上网方式，是静态 IP 上网、PPPOE 上网还是动态 IP 上网。其中 WAN0 对应于 fastethernet 1/0，WAN1 对应于 fastethernet 1/1。请选中其中的一条记录，然后单击“修改”就可以对该 WAN 口的配置进行修改了。两种不同的上网方式，其配置界面分别如下： WAN 静态 IP 设置：其配置方式同“配置向导”中的的“配置静态 IP”窗口。第 41 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 WAN 口 PPPOE 配置：其配置方式同“配置向导”中的“PPPOE 配置”窗口。注意: 由于 pppoe 在某些情况下必须配置不同的 mtu 值,否则就不能正常的上网,您可以通过修改 mtu 的值来解决这个问题。通常 mtu 是采用默认的 1488。 WAN 口动态 IP 配置：其配置方式同“配置向导”中的“动态 IP 配置”。 4.2.3.3 均衡和备份通过菜单项“网络参数/均衡和备份”使用该功能。第 42 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册当有多条外出线路时,用均衡备份这个功能,可以把多条的外出线路都利用起来,不会出现一条线路很繁忙,而另一条线路却不能被利用起来的情况。您可以选择以下的均衡策略: 按报文目标地址均衡: 可以根据报文的不同的目标地址来选择不同的线路。按报文源地址均衡: 可以根据报文的不同的源地址来选择不同的线路。 4.2.3.4 路由管理通过菜单项“网络参数/路由/路由管理”使用该功能。查看路由表：通过查看路由表，来查看路由器生成的所有有效的路由，包括直连路由、静态路由、动态路由等。您可以单击“刷新”来实时地更新当前的路由表。第 43 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册静态路由设置： z 目的地址：指定静态路由的目的地址，可以是一个网段，也可以是一个主机名。 z 子网掩码：指定静态路由的目的地址相对应的子网掩码。 z 下一跳：指定要到达该目的地址，下一跳的 IP 地址。 z 接口：指定要到达该目的地址，要走的接口。上面几项填好后，单击“增加”就可以增加一条静态路由了。通过单击“删除”也可以去掉不用的静态路由表项。 4.2.3.5 DHCP 服务器配置通过菜单项“网络参数/DHCP/DHCP 服务器配置”使用该功能。第 44 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 DHCP 服务器参数设置：DHCP 服务器提供了向局域网中所有的计算机配置 TCP/IP 协议的功能，包括 IP 地址、子网掩码、网关、以及 DNS 服务器等。 z 启动 DHCP 服务器：选择打开/关闭该 DHCP 服务器。 z 排斥地址设置：设置排斥地址的目的在于设置一些保留的地址，这些地址可能是固定设置给某些设备的，并禁止将这些地址分配给其他设备。 z 增加排斥地址：增加一个排斥地址或者一个地址范围。单击该按钮将显示一个对话框，用于输入新的排斥地址。 z 删除排斥地址：选中表中的排斥地址表项后，从系统中立即删除该项设置。 z 刷新：单击“刷新”，可以取得当前最新的 DHCP 服务器信息。 z 应用：使 DHCP 服务器开关立即生效。第 45 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册增加排斥地址：增加一个排斥地址或者一个地址范围。 z 排斥地址或起始地址：如果只指定一个单一的排斥地址，则只需要填写该项。 z 结束地址（可选）：如果需要指定一段地址范围，则需要填写该项。 z 确定：单击“确定”使设置生效。地址池设置：使用 DHCP 服务器，必须配置地址池，地址池中包括了可分配的地址、租期等信息。地址池是用名称来标记的，每个地址都有一个名称，已存在的地址池的名称都在地址池列表中显示。第 46 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 增加地址池：创建一个新的地址池，单击该按钮将会弹出一个对话框来设置地址池的名称。 z 删除地址池：先在地址池列表中选择一个已经存在的地址池，单击该按钮则将其删除。 z 修改地址池：选择一个已经存在的地址池，单击该按钮进入地址池设置页面进行设置。 z 刷新：单击“刷新”，可以取得当前最新的地址池列表的信息。增加地址池：创建一个新的地址池。 z 地址池名称：输入要创建的新的地址池名称。 z 确定：单击“确定”，创建新的地址池。第 47 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册地址池设置：设置地址池的基本信息。 z 客户端地址子网：设置分配给客户端地址的子网。 z 客户端地址掩码：设置分配给客户段地址的子网掩码。 z 租期设置：租期分永久租期和指定租期两种，如果没有选择永久租期，则可以指定租期的时间，在“天”、“小时”、“分钟”的输入框内填入相应的值，如“1 天 4 小时 30 分钟” z 刷新：单击“刷新”，可以取得当前最新的地址池设置的信息。 z 应用：单击“应用”，可以让地址池基本信息生效。第 48 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册客户端缺省网关设置：设置客户端的缺省网关信息，所有已经存在的缺省网关信息在列表中显示出来。 z 增加缺省网关：在输入框内填入新的网关信息，单击该按钮则立即增加一条缺省的网关。 z 删除缺省网关：先在列表中选择要删除的网关，单击该按钮则立即删除该网关。 z 刷新：单击“刷新”，可以取得该地址池当前最新的网关列表的信息。第 49 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册客户端域名服务器设置：设置客户端的域名以及域名服务器信息。所有已经存在的域名服务器信息在列表中显示出来。 z 客户端域名：设置客户端域名。 z 增加域名服务器：在输入框内填入新的域名服务器信息，单击该按钮则立即增加一条域名服务器。 z 删除域名服务器：先在列表中选择要删除的域名服务器，单击该按钮则立即删除该域名服务器。 z 刷新：单击“刷新”，可以取得该地址池当前最新的域名服务器的信息。 z 应用：单击“应用”，可以使客户端域名设置生效。第 50 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册客户端 NetBios 服务器设置：设置客户端的 NetBios 类型以及 NetBios 服务器信息。所有已经存在的 NetBios 服务器信息在列表中显示出来 z 客户端 NetBios 类型：设置客户端 NetBios 类型，范围 0～255。 z 增加 NetBios 服务器：在输入框内填入新的 NetBios 服务器信息，单击该按钮则立即增加一条 NetBios 服务器。 z 删除 NetBios 服务器：先在列表中选择要删除的 NetBios 服务器，单击该按钮则立即删除该 NetBios 服务器。 z 刷新：单击“刷新”，可以取得该地址池当前最新的 NetBios 服务器的信息。 z 应用：单击“应用”，可以使客户端 NetBios 类型设置生效。第 51 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册静态地址分配：静态地址分配为指定 MAC 地址的网络设备预留静态的 IP 地址。注意：一个地址池只能设置一个静态分配的地址，并且不能和客户端地址子网/掩码一起设置。 z MAC 地址：指定的网络设备的 MAC 地址。 z IP 地址：静态分配给这个 MAC 地址的 IP 地址。 z 刷新：单击“刷新”，可以取得该地址池当前最新的静态地址分配的信息。 z 应用：单击“应用”，可以使静态地址分配设置生效。第 52 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册地址绑定信息：地址绑定信息即已经分配出去的地址信息，包括已经分配的地址、用户标识、租期等。 z 清除地址绑定信息：单击该按钮将清除所有的地址绑定信息。 z 刷新：单击“刷新”，可以取得当前最新的地址绑定的信息。第 53 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册地址冲突信息：地址冲突信息即发生地址冲突的信息，即用户请求的地址在网络上已经存在，该地址被其他设备占用，因此不能将该地址分配出去。目前支持采用 ping 的方法来检测是否有地址冲突。清除地址冲突信息：单击该按钮将清除所有的地址冲突信息。 z 刷新：单击“刷新”，可以取得当前最新的地址冲突的信息。第 54 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册地址统计信息：显示整个 DHCP 服务器的统计信息，包括地址池、绑定地址、收发的报文等信息。清除地址统计信息：单击该按钮将清除所有的地址统计信息。 z 刷新：单击“刷新”，可以取得当前最新的地址统计的信息。 4.2.3.6 DNS 设置通过菜单项“网络参数/DNS 设置”使用该功能。第 55 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 DNS 设置：DNS 服务的设置实现域名解析的能力，DNS 服务器一般由 ISP 提供。可以设置多个 DNS 服务器，DNS 服务器有顺序之分，排在第一位的就是首选 DNS 服务器，其余按顺序均为备选 DNS 服务器。新增加的服务器排在最后，如果删除了首选 DNS 服务器，则排在第二位的服务器自动递补为首选 DNS 服务器。 z 允许 DNS 服务：打开 DNS 服务功能，允许向 DNS 服务器请求域名解析。 z 增加 DNS 服务器：在输入框中输入新服务器的地址，单击该按钮立即增加一个 DNS 服务器。 z 删除 DNS 服务器：首先在服务器列表中选择要删除的服务器，单击该按钮立即删除一个 DNS 服务器。 z 应用：单击“应用”，可以使允许 DNS 服务的设置生效。 z 刷新：单击“刷新”，可以取得当前最新的 DNS 设置的信息。 4.2.3.7 动态 DNS 设置通过菜单项“网络参数/动态 DNS 设置”使用该功能。第 56 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册动态 DNS 设置：路由器支持动态 DNS，设置并连接成功后，互联网上的其他主机就可以通过以域名方式访问路由器或虚拟主机。 z 服务提供者：目前支持“88IP” 动态 DNS 的服务器。如果您尚未申请用户，则可以选中服务提供者后，单击“注册去……”按钮登陆服务提供者的网站进行注册。 z 确定：选中服务提供者后，单击“确定”，进入配置页面对服务提供者进行配置。第 57 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 88IP 动态 DNS 配置：提供对 88IP 的 DDNS 服务进行设置，在设置之前需要事先在 88IP 的 DDNS 服务器上注册过用户，否则将无法连接成功。这里输入的用户名等信息将被保存在路由器上。 z 用户名：在 88IP 的 DDNS 服务器上注册的用户名。输入后，将在路由器上创建一个对应的 DDNS 用户，所有信息将被保存在路由器上。目前，路由器只为每个服务提供者设置并保存一个用户信息。 z 删除该用户：单击该按钮，在路由器上删除保存的 88IP 的 DDNS 用户配置信息。 z 密码：在 88IP 的 DDNS 服务器上注册的密码。 z 关联接口：确定该 DDNS 用户使用哪个广域网口和 88IP 的 DDNS 服务器进行通讯。 z 连接状态：当前与 88IP 的 DDNS 服务器的连接状态。 z 域名信息：当前从 88IP 的 DDNS 服务器获得的域名信息列表。 z 开始连接：单击该按钮，开始和 88IP 的 DDNS 服务器进行连接。 z 确定：单击“确定”，在路由器上保存一个 88IP 的 DDNS 用户信息，并使配置生效。 z 刷新：单击“刷新”，可以取得当前最新的 88IP 的 DDNS 设置的信息，以及连接状态等信息。 4.2.3.8 DNS 中继通过菜单“网络参数/DNS 中继”使用该功能。 z 路由器 LAN 口 IP 地址：设置路由器 LAN 口 IP 地址，PC 把 DNS 服务器指到路由器的 LAN 口，由路由器负责中继到真正的 DNS 服务器。 z DNS 服务器 IP 地址:设置 DNS 服务器的 IP 地址。 z 访问列表号：设置访问列表号，有效数值为 1-199，系统默认值为 99。第 58 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 确定：按“确定”按钮使配置生效并关闭窗口。 z 取消：按“取消”按钮不进行配置操作并关闭窗口。 z 应用：按“应用”按钮使配置生效，但不关闭窗口。 4.2.3.9 IP 限速通过菜单“网络参数/IP 限速”使用该功能。为了防止 BT 或 P2P 下载抢占其他用户带宽，可以启用 IP 限速功能。一般情况下，上行流量为 64kbyte/s，下行 200kbyte/s，比较合理。可以根据实际情况，进行调整。注意：如果要测试线路速度，要先暂时取消 IP 限速功能。 z 上行流量：设置上行流量大小。 z 下行流量：设置下行流量大小。 z IP 起始地址：设置要进行流量限速的起始 IP 地址。 z 地址个数：设置要进行流量限速的 IP 地址范围。 z 增加：按“增加”按钮进行设置。 z 删除：在配置信息表中选中要删除的行后按“删除”按钮来删除一条配置。流量充计配置第 59 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 启动流量统计：设置流量统计功能。 z 确定：按“确定”按钮使配置生效并关闭窗口。 z 应用：按“应用”按钮使配置生效，并可继续其它配置。查看流统计 z 流量统计时间间隔：设置流量统计时间间隔，取值范围为 60 到 300 秒之间。流量统计时间间隔为全局配置，如果您没有设置 IP 限速和启用流量统计，则不能设置流量统计时间。上行指的是内网出去的流量，主要是上传的数据流量；下行指的是外网进来的流量，主要是下载的数据流量。数据流量的单位是 kbit/s，即千比特每第 60 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册秒。 z 确定：按“确定”按钮使设置生效。 4.2.3.10 定时发送免费 ARP 通过菜单“网络参数/定时发送免费 ARP”使用该功能。本页面设置是否定时发送免费 arp，以避免 arp 地址欺骗（默认打开）。如果没有选择定时发送 arp,则删除相应接口的定时发送 arp 配置。如果要设置发送免费 arp 的定时间隔的话，建议设为 1 秒 z 指定相关接口：设置相应接口的定时发送 arp 配置。 z 定时发送免费 arp 复选框：选中该复选框以启用定时发送免费 arp 功能。 z 定时发送间隔：当选中定时发送免费 arp 复选框后才可以设置定时发送间隔，充许设置的有效值范围为 1-3600 秒。 z 设置 arp 报文发送个数复选框：选中该功能后，方可设置 arp 报文发送个数。 z 设置 arp 报文发送个数：设置 arp 报文的发送个数，有效值为 1-100 之间。 z 确定：按“确定”按钮使设置生效并关闭窗口。 z 应用：按“应用”按钮使设置生效并可继续其它设置。 4.2.3.11 日志信息管理通过菜单项“网络参数/日志信息管理”使用该功能。第 61 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册通过日志信息管理,您可以将日志信息发送到指定的 syslog 服务器上。 Log 信息配置 z 启用时间戳复选框：在日志中添加时间戳。 z 日期格式：设置时间戳格式为日期格式。 z 系统启机时间格式：设置时间戳格式为系统启机时间格式。 z 启用序列号：在日志中添加序列号。 z 定时收集信息：选中该复选框后，将开启定时收集信息功能。 Syslog 服务器配置 z 新建：按“新建”按钮弹出 z Syslog 服务器地址：设置 SYSLOG 服务器地址。 z 确定：按“确定”按钮使配置生效。第 62 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 取消：按“取消”按钮，不进行配置并关闭窗口。 z 删除：按“删除”按钮，将删除选中的表项。 4.2.3.12 配置 SNTP 通过菜单项“网络参数/配置 SNTP”使用该功能。注意：设置 Internet 时间服务器时请确认是否已经正确设置 DNS 服务器！ z 开启 SNTP 复选框：选中该复选框则开启 SNTP 功能，若不选中则关闭 SNTP 功能。 z Internet 时间服务器：从下拉列表中选择 Internet 时间服务器。 z SNTP 服务器:设置 SNTP 服务器 IP 地址。 z 配置同步时钟间隔：设置同步时钟间隔。 z 确定：按“确定”按钮使设置生效并关闭窗口。 z 应用：按“应用”按钮使设置生效并不关闭窗口，可以继续在该窗口中进行设置。 4.2.3.13 MAC/IP 绑定通过菜单项“网络参数/MAC/IP 绑定”使用该功能 a．点击“网络参数”——“MAC/IP 绑定”打开如下界面。第 63 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 b．在“接口扫描学习”中选定要扫描的接口和指定要扫描的 IP 地址范围，点击“扫描”按钮，这时路由器将对指定的网络主机进行 ARP 请求扫描。 c．在“ARP 表”中点击“刷新”按钮，这时网络中所有的主机的 ARP 表将被显示在表中。 d．选中需要绑定的 ARP 条目，点击“动态转静态”按钮便可将选中的 ARP 条目由动态转换为静态。第 64 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 e．进行 ARP 绑定后，可点击“接口扫描学习”，在“指定相关接口”中选择对应接口并点击“停止学习”按钮，以便达到停止 MAC 学习的目的。这样，路由器不再对指定接口现存 ARP 表以外的 ARP 请求进行处理，可禁止非法 MAC 和 IP 报文通过。 f．删除所有静态 ARP 表项可在“ARP 表”中选中“删除所有静态 ARP 项”，然后点击“删除”按钮。注：在开启停止接口 MAC 学习后禁止进行删除所有静态 ARP 项的操作，否则将可第 65 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册能会中断当前的网络，中断后只能通过重置路由器或通过 CONSOLE 口配置恢复。 4.2.3.14 电信网通线路选择通过菜单项“电信网通线路选择”使用该功能。点击“网络参数”——“电信网通线路选择”打开如下界面，在“网通线路”对应的接口前打钩即可完成设置。经过上述设置后，路由器会自动添加网通的静态路由表。第 66 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册注意：只有在配置了多个 WAN 口该功能才可用。 4.2.3.15 虚拟服务器通过菜单项“虚拟服务器/虚拟服务器”使用该功能。配置虚拟服务器：虚拟服务器是将广域网的虚拟服务器端口和局域网内部的实际网络服务器端口对应起来，使得所有对广域网的虚拟服务器端口的访问都重定向到实际网络服务器端口，达到广域网外部的主机也能访问局域网内部的主机的目的。 z 内部 IP 地址：配置局域网内部的实际网络服务器的 IP 地址。 z 内部端口：配置局域网内部的实际网络服务器的端口。 z 外部 IP 地址：如果选择了要配置外部 ip 地址，就是配置广域网的虚拟服务器的 IP 地址。 z 公开端口：配置广域网的虚拟服务器的端口。 z 接口：如果没有选择配置外部 IP 地址，就是选择一个广域网口作为虚拟服务器的 IP 地址。 z 类型：配置服务器的 tcp/ip 服务类型。 z 增加：单击“增加”，就可以增加上面输入的虚拟服务器记录了。 z 删除：选中列表中某一项后，单击“删除”，可以删除该记录。 z 刷新：单击“刷新”，可以取得当前最新的虚拟服务器记录项。 z 应用：单击“应用”，可以让虚拟服务器记录项生效。第 67 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 4.2.3.16 防火墙设置通过菜单项“安全设置/防火墙设置”使用该功能。防火墙设置:通过设置一系列规则来允许或者禁止用户的行为,外部防火墙用来控制外部网络的访问和防止外部攻击。内部防火墙用来控制内部网络的访问和防止外部攻击。新建规则: 新建一条防火墙规则,可以通过下面的窗口进行设置。删除规则: 删除列表中选择的防火墙规则。上移规则: 把选择的防火墙规则移到上一条目。下移规则: 把选择的防火墙规则移到下一条目。刷新：单击“刷新”，可以取得当前最新的监控端口记录项。应用：单击“应用”，可以让监控端口记录项生效。第 68 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册创建外部防火墙列表规则：创建防火墙列表，可以匹配源地址、目的地址、源端口、目的端口。 z 匹配的协议: 配置报文匹配的 tcp/ip 协议类型, 如果选择自定义协议号,您就必须自己输入 tcp/ip 协议号。 z 源 ip 地址范围: 指定匹配的源 ip 地址范围。如果选择任意源 ip 地址,则地址范围不需要输入。 z 源端口范围: 配置报文匹配的源端口范围。如果选择任意源端口,则端口范围不需要输入。 z 目的 ip 地址范围: 指定匹配的目的地址范围。如果选择任意目的 ip 地址, 则地址范围不需要输入。 z 目的端口范围: 配置报文匹配的目的端口范围。如果选择任意目的端口,则端口范围不需要输入。 z 允许报文通过: 指匹配该防火墙规则的报文允许通过。 z 禁止报文通过: 指匹配该防火墙规则的报文禁止通过。 z 确定：单击“确定”，就可以根据您的输入生成一条新的防火墙规则了。您可以用同样的方式创建内部防火墙列表规则。 4.2.3.17 端口监控通过菜单项“安全设置/端口监控”使用该功能。第 69 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册你可以选择一个端口来监控其他端口的发送和接收报文,比如,你可以选择用 lan1 口来监控 lan2,lan3,lan0 口,但是你不能用 lan1 来监控 lan1 本身,这是设置时必须注意的。 z 增加：单击“增加”，就可以增加上面设置的监控端口记录了。 z 删除：选中列表中某一项后，单击“删除”，可以删除该记录。 z 刷新：单击“刷新”，可以取得当前最新的监控端口记录项。 z 应用：单击“应用”，可以让监控端口记录项生效。 4.2.3.18 安全设置/病毒检测通过菜单项“安全设置/病毒检测”使用该功能。第 70 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册该功能目前支持冲击波和震荡波病毒的检测。这两种病毒会严重消耗路由器资源，因为它们会发起大量的 TCP 连接，其中冲击波是目标端口为 135 的，震荡波是目标端口为 445 的。该检测功能就是通过检查这些 TCP 连接的特征来推断内网的 PC 是否中毒。所以检测结果只是提供可疑 PC 的 IP，但不确诊为中毒。 z 4.2.3.19 开始检测：点击“开始检测”按钮，将会进行病毒检测并生成检测报告。防外网攻击通过菜单项“安全设置/防外网攻击”使用该功能。 z 设置防外网攻击的强度：选中该复选框后，才可设置防外网攻击强度级别。 z 确定：按“确定”按钮使设置生效。 4.2.3.20 防内网攻击通过菜单项“安全设置/防内网攻击“使用该功能。 z 启用防内网攻击复选框：选中启用防内网攻击复选框后按确定按钮使设置生效。第 71 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 4.2.3.21 软件版本升级通过菜单项“系统工具/软件版本升级”使用该功能。 NBR 的系统软件包括主软件和 WEB 配置软件两个部分。在 Web 配置软件的 2.12 版本中，这里只支持主软件的升级，配置软件自身的升级方法请参考《路由器的维护》这一章。在 Web 配置软件的 2.0 版本之后，这里可以升级主软件和配置软件（实际上也是下载一个升级文件，但这个文件是上述两个软件所打成的一个文件包）。 z TFTP 服务器地址：通过该服务器地址来把软件升级到路由器上。 z 文件名：要升级的软件的源文件名。 z 开始传输：单击“开始传输”就可以进行升级了。 4.2.3.22 恢复出厂设置通过菜单项“系统工具/恢复出厂设置”使用该功能。第 72 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册您可以通过单击“恢复出厂设置”来把路由器恢复成缺省设并且重新启动 NBR 路由器。使用该功能后已设置的参数将会全部丢失,并将恢复为缺省参数。 4.2.3.23 保存设置通过菜单项“系统工具/保存设置”使用该功能。您可以单击“保存”来把当前路由器的配置保存起来。 4.2.3.24 系统重启通过菜单项“系统工具/系统重启”使用该功能。您可以通过单击“重启设备”来重新启动 NBR 路由器。但是首先您要保存一下配置，否则未保存的配置参数将会丢失。 4.2.3.25 设置 web 登录口令通过菜单项“设置口令/设置 web 登录口令”使用该功能。第 73 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册其配置方式同“配置向导”中的“基本参数配置”窗口。 4.2.3.26 设置 telnet 登录口令通过菜单项“设置口令/设置 telnet 登录口令”使用该功能。其配置方式同“配置向导”中的“基本参数配置”窗口。 4.2.3.27 系统信息通过菜单项“运行状态/系统信息”使用该功能。该菜单项显示系统的一些基本信息，包括设备名称，运行时间，接口 IP 地址等。第 74 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 4.2.3.28 外观通过菜单项“窗口/外观”使用该功能。用户可以根据自己的爱好选择相应的窗口界面风格。有以下的窗口外观供用户选择 z metal z CDE/motif z windows 4.2.3.29 窗口和帮助关于窗口、帮助菜单，其使用与一般的 windows 程序类似，这里就不再赘述了。 4.3 路由器配置示例要使用路由器，必须根据需要对路由器进行具体的配置，下面将结合典型的应用使用具体的示例来描述如何在 NBR 上配置 IP 地址、静态路由、防火墙、PPPoE、DHCP 以及 NAT，其中使用’!”开头的斜体是注释说明部分，不是用户输入也不是路由器输出的信息。如果用户需要了解更详细的高级功能配置，可以参考下一章相关的功能配置说明部分。说明：第 75 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册下面的典型配置示例均是基于以下这种情况，即不进入初始配置流程，而是借助自动配置命令 setup 来实现。 4.3.1 固定 IP 地址接入典型配置如图 4-1，用户使用电信的光纤线路接入 Internet，用户将电信提供的光纤接头通过光纤转换器与路由器的 WAN 口连接。用户在 WAN 口上使用电信分配的广域网地址 218.5.19.2，在 LAN 口上使用内部网地址 192.168.0.1，该地址即内部网关地址。用户在 LAN 和 WAN 口上配置了 NAT 以使内部网用户可以共享光纤线路来访问 Internet。图 4-1 固定 IP 地址接入典型配置示例在这种情况下，就可以在 NBR 上如下配置即可： NBR>enable !启动快速配置功能 NBR#setup ------------ 交互式系统配置 ---------------输入 ctrl-c 中止配置流程；默认配置参数在'[]'中。配置全局参数: 请输入路由器名称，直接回车保留原值[NBR]: 请输入特权用户密码（只能用字母数字组合），直接回车则取消密码:admin 请输入 telnet 远程登陆密码（只能用字母数字组合），直接回车则取消密码:remoteuser 请输入 WAN 线路个数(1-单线路,2 -双线路,3-三线路,默认单线路)[1]: 请选择连接 internet 的 WAN 口: 0. WAN 0 1. WAN 1 请输入数字(0 - 1)[0]: 第 76 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册请选择上网方式: 1. 静态 IP 2. PPPoE 连接 3. DHCP 动态 IP 请输入数字(1 - 3)[1]: 请输入 WAN 口的 IP:218.5.19.2 请输入 WAN 口的子网掩码[255.255.255.252]:255.255.255.0 请输入默认网关 IP 地址:218.5.19.1 ISP 是否分配了多个连续的全局地址[no]: 请输入 ISP 提供的带宽，单位 Mbps。(1-100)[默认 100]: 是否设置定时发送免费 ARP[no]: 提醒:如果您现在是以 telnet 方式运行该向导，并且修改 LAN 的 IP 地址，则在配置生效后，您的这次连接将中断。请用新的 LAN 口地址登录。请输入 LAN 口的 IP[192.168.1.1]:192.168.0.1 请输入 LAN 口的子网掩码[255.255.255.0]: 是否设置定时发送免费 ARP[yes]: 请输入定时发送的时间间隔，单位秒。(1 - 3600)[1]: 请设置在 1 秒内发送报文个数。(1 -100)[5]: 是否设置端口镜像功能[no]:yes 请选择监控端口(LAN): 请输入数字(0 - 3):0 请选择被监控端口(LAN): 请输入端口号(0 - 3)，端口之间用','隔开:3 请选择监控类型: 0. 全部监控 1. 输入监控 2. 输出监控请输入数字(0 - 2):0 是否启用防冲击波病毒功能[yes]: 是否启用防外网攻击功能[yes]: 请选择防攻击安全等级: 1. 低等级 2. 中等级 3. 高等级请输入数字(1 - 3)[3]: 是否启用抗内网攻击[yes]: WAN 口是否应答 ping 请求[no]: 是否设置缺省的 IP 流量限速[no]: 是否将网关作为 DNS 服务器(DNS 中继)[no]: 您输入的配置如下: 路由器名称: 特权用户密码:admin telnet 远程登录密码:remoteuser 广域网口上网方式: 第 77 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 WAN 0: 静态 IP 地址: 218.5.19.2 255.255.255.0 默认网关:218.5.19.1 NAT 使用连续的全局地址:无带宽: 100 Mbps 局域网口配置: 地址: 192.168.0.1 255.255.255.0 定时发送免费 ARP: 1 Seconds 镜像端口设置: 监控口: LAN0 被监控口: LAN3 是否启用防冲击波病毒功能: 是是否启用外网攻击功能: 是是否启用内网攻击功能: 是 WAN 口是否应答 ping 请求: 否是否将网关作为 DNS 服务器(DNS 中继):否是否确认上述配置信息[yes]: 您修改了 LAN 口的 IP 地址，如果您是 telnet 到 LAN 口的 IP，那您这次连接将中断! !再次检查配置. NBR1#show running-config Building configuration... Current configuration : 1962 bytes ! version 9.0 (building 1) for NBR enable password 7 073f07221c1c ! access-list 3198 deny tcp any any eq 135 access-list 3198 deny tcp any any eq 445 access-list 3198 permit ip any any access-list 3199 deny icmp any any echo access-list 3199 deny tcp any any eq 135 access-list 3199 deny tcp any any eq 445 access-list 3199 permit ip any any access-list 99 permit any dialer-list 1 protocol ip permit mirror master lan 0 slave lan 3 all （注：无交换口的 NBR 无此项配置） ! ! ! service sequence-numbers service timestamps debug datetime service timestamps log datetime no service password-encryption ! （注：千兆级的 NBR LAN0 显示为 interface interface FastEthernet 0/0 GigabitEthernet 0/0） ip nat inside ip access-group 3198 in no ip redirects no ip mask-reply no ip proxy-arp ip address 192.168.0.1 255.255.255.0 arp gratuitous-send interval 1 5 ! 第 78 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 interface FastEthernet 1/0 （注：千兆级的 NBR WAN0 显示为 interface GigabitEthernet 0/1） ip nat outside ip access-group 3199 in no ip redirects no ip mask-reply no ip proxy-arp ip address 218.5.19.2 255.255.255.0 duplex auto speed auto !（注： NBR200/300 无 FastEthernet 1/1 配置项，千兆级的 NBR 的 WAN1 显示为 interface FastEthernet 0/2） interface FastEthernet 1/1 duplex auto speed auto shutdown ! interface Null 0 ! ip nat pool nbr_setup_build_pool prefix-length 24 address 218.5.19.2 218.5.19.2 match interface FastEthernet 1/0 ! ip nat inside source list 99 pool nbr_setup_build_pool ip nat translation max-entries 7000 ip nat translation per-user 0.0.0.0 350 ip nat translation udp-timeout 150 ip nat translation icmp-timeout 30 ip nat translation tcp-timeout 600 ip nat translation finrst-timeout 20 ip nat translation dns-timeout 30 security anti-wan-attack level high security anti-lan-attack ! ip route 0.0.0.0 0.0.0.0 FastEthernet 1/0 218.5.19.1 ! line con 0 line vty 0 login password 7 110022081d5e0834012e3e line vty 1 login password 7 072c06221a062210014f1f line vty 2 login password 7 093d101f2811175f1e2400 line vty 3 login password 7 050a03330c3b1007340000 line vty 4 login password 7 08112a181d330007590833 ! 4.3.2 PPPoE 接入典型配置如图 4-2，用户使用 ADSL 线路接入 Internet，用户使用以太网线将 ADSL Modem 的 RJ-45 接口与路由器的 WAN 口连接起来。用户在 WAN 口上使用配置 PPPoE， WAN 口的 IP 地址由 PPPoE 协商得到，在 LAN 口上使用内部网地址 192.168.0.1，第 79 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册该地址即内部网关地址。用户在路由器上配置了 NAT 以使内部网用户可以共享广域网线路来访问 Internet。图 4-2 PPPoE 接入典型配置示例在这种情况下，就可以在 NBR 上如下配置即可： !进入特权用户层 NBR>enable !启动快速配置功能 NBR#setup ------------ 交互式系统配置 ---------------输入 ctrl-c 中止配置流程；默认配置参数在'[]'中。配置全局参数: 请输入路由器名称，直接回车保留原值[NBR]: 请输入特权用户密码（只能用字母数字组合），直接回车则取消密码:admin 请输入 telnet 远程登陆密码（只能用字母数字组合），直接回车则取消密码:user 请输入 WAN 线路个数(1-单线路,2 -双线路,3-三线路,默认单线路)[1]: 请选择连接 internet 的 WAN 口: 0. WAN 0 1. WAN 1 请输入数字(0 - 1)[0]: 请选择上网方式: 1. 静态 IP 2. PPPoE 连接 3. DHCP 动态 IP 请输入数字(1 - 3)[1]:2 请输入 PPPoE 的用户名:pppoeuser 请输入 PPPoE 的密码:pppoepassword 请输入 ISP 提供的带宽，单位 Mbps。(1-100)[默认 100]: 第 80 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册提醒:如果您现在是以 telnet 方式运行该向导，并且修改 LAN 的 IP 地址，则在配置生效后，您的这次连接将中断。请用新的 LAN 口地址登录。请输入 LAN 口的 IP[192.168.0.1]: 请输入 LAN 口的子网掩码[255.255.255.0]: 是否设置定时发送免费 ARP[yes]: 请输入定时发送的时间间隔，单位秒。(1 - 3600)[1]: 请设置在 1 秒内发送报文个数。(1 -100)[5]: 是否设置端口镜像功能[no]: （注：无交换口的 NBR 无此选项）是否启用防冲击波病毒功能[yes]: 是否启用防外网攻击功能[yes]: 请选择防攻击安全等级: 1. 低等级 2. 中等级 3. 高等级请输入数字(1 - 3)[3]: 是否启用抗内网攻击[yes]: WAN 口是否应答 ping 请求[no]: 是否设置缺省的 IP 流量限速[no]: 是否将网关作为 DNS 服务器(DNS 中继)[no]: 您输入的配置如下: 路由器名称: 特权用户密码:admin telnet 远程登录密码:user 广域网口上网方式: WAN 0: PPPoE 用户名:pppoeuser 密码:pppoepassword 带宽: 100 Mbps 局域网口配置: 地址: 192.168.0.1 255.255.255.0 定时发送免费 ARP: 1 Seconds 镜像端口设置: 无是否启用防冲击波病毒功能: 是是否启用外网攻击功能: 是是否启用内网攻击功能: 是 WAN 口是否应答 ping 请求: 否是否将网关作为 DNS 服务器(DNS 中继):否是否确认上述配置信息[yes]: !再次确认配置 NBR#show running-config Building configuration... Current configuration : 2206 bytes ! version 9.0 (building 1) for NBR enable password 7 0242473a1108 ! 第 81 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 access-list 3198 deny tcp any any eq 135 access-list 3198 deny tcp any any eq 445 access-list 3198 permit ip any any access-list 3199 deny icmp any any echo access-list 3199 deny tcp any any eq 135 access-list 3199 deny tcp any any eq 445 access-list 3199 permit ip any any access-list 99 permit any dialer-list 1 protocol ip permit ! ! service sequence-numbers service timestamps debug datetime service timestamps log datetime no service password-encryption ! interface FastEthernet 0/0 （注：千兆级的 NBR LAN0 显示为 interface GigabitEthernet 0/0） ip nat inside ip access-group 3198 in no ip redirects no ip mask-reply no ip proxy-arp ip mtu 1488 ip address 192.168.0.1 255.255.255.0 arp gratuitous-send interval 1 5 ! interface FastEthernet 1/0 （注：千兆级的 NBR WAN0 显示为 interface GigabitEthernet 0/1） no ip redirects no ip mask-reply no ip proxy-arp pppoe enable pppoe-client dial-pool-number 1 no-ddr duplex auto speed auto !（注： NBR200/300 无 FastEthernet 1/1 配置项，千兆级的 NBR WAN1 显示为 interface FastEthernet 0/2） interface FastEthernet 1/1 duplex auto speed auto shutdown ! interface dialer 0 mtu 1488 encapsulation PPP ppp chap hostname pppoeuser ppp chap password 7 06162e132010022616015d023316 ppp pap sent-username pppoeuser password 7 093f05022800024b1e3205243e01 ip nat outside ip access-group 3199 in ip address negotiate fair-queue dialer pool 1 dialer idle-timeout 1200 dialer-group 1 bandwidth 100000 ! interface Null 0 第 82 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ! ! ip nat pool nbr_setup_build_pool prefix-length 24 address interface dialer 0 match interface dialer 0 ! ip nat inside source list 99 pool nbr_setup_build_pool ip nat translation max-entries 7000 ip nat translation per-user 0.0.0.0 350 ip nat translation udp-timeout 150 ip nat translation icmp-timeout 30 ip nat translation tcp-timeout 600 ip nat translation finrst-timeout 20 ip nat translation dns-timeout 30 security anti-wan-attack level high security anti-lan-attack ! ip route 0.0.0.0 0.0.0.0 dialer 0 ! line con 0 line vty 0 login password 7 04220b032c line vty 1 login password 7 1000012217 line vty 2 login password 7 08163c1000 line vty 3 login password 7 072b102a07 line vty 4 login password 7 050d153b11 ! ! End NBR# 说明：对于用户内部网的 PC 机，其域名服务器地址应设置为运营商提供的域名服务器，不要设置为 NBR 的 WAN 口地址或 LAN 口地址。 4.3.3 DHCP 动态 IP 接入典型配置如图 4-3，用户使用电信的光纤线路接入 Internet，用户将电信提供的光纤接头通过光纤转换器与路由器的 WAN 口连接。在 WAN 口上使用 DHCP 客户端来动态分配 IP 地址，在 LAN 口上使用内部网地址 192.168.0.1，该地址即内部网关地址。用户在 LAN 和 WAN 口上配置了 NAT 以使内部网用户可以共享光纤线路来访问 Internet。第 83 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册图 4-3 DHCP 动态 IP 接入典型配置示例在这种情况下，就可以在 NBR 上如下配置即可： NBR >enable !启动快速配置功能 NBR#setup ------------ 交互式系统配置 ---------------输入 ctrl-c 中止配置流程；默认配置参数在'[]'中。配置全局参数: 请输入路由器名称，直接回车保留原值[NBR]: 请输入特权用户密码（只能用字母数字组合），直接回车则取消密码:admin 请输入 telnet 远程登陆密码（只能用字母数字组合），直接回车则取消密码:remoteuser 请输入 WAN 线路个数(1-单线路,2 -双线路,3-三线路,默认单线路)[1]: 请选择连接 internet 的 WAN 口: 0. WAN 0 1. WAN 1 请输入数字(0 - 1)[0]: 请选择上网方式: 1. 静态 IP 2. PPPoE 连接 3. DHCP 动态 IP 请输入数字(1 - 3)[1]:3 请输入 ISP 提供的带宽，单位 Mbps。(1-100)[默认 100]: 是否设置定时发送免费 ARP[no]: 提醒:如果您现在是以 telnet 方式运行该向导，并且修改 LAN 的 IP 地址，则在配置生效后，您的这次连接将中断。请用新的 LAN 口地址登录。请输入 LAN 口的 IP[192.168.0.1]: 请输入 LAN 口的子网掩码[255.255.255.0]: 是否设置定时发送免费 ARP[yes]: 第 84 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册请输入定时发送的时间间隔，单位秒。(1 - 3600)[1]: 请设置在 1 秒内发送报文个数。(1 -100)[5]: 是否设置端口镜像功能[no]:（注：无交换口的 NBR 无此选项）是否启用防冲击波病毒功能[yes]: 是否启用防外网攻击功能[yes]: 请选择防攻击安全等级: 1. 低等级 2. 中等级 3. 高等级请输入数字(1 - 3)[3]: 是否启用抗内网攻击[yes]: WAN 口是否应答 ping 请求[no]: 是否设置缺省的 IP 流量限速[no]: 是否将网关作为 DNS 服务器(DNS 中继)[no]: 您输入的配置如下: 路由器名称: 特权用户密码:admin telnet 远程登录密码:remoteuser 广域网口上网方式: WAN 0: DHCP 动态获取 IP. 带宽: 100 Mbps 局域网口配置: 地址: 192.168.0.1 255.255.255.0 定时发送免费 ARP: 1 Seconds 镜像端口设置: 无是否启用防冲击波病毒功能: 是是否启用外网攻击功能: 是是否启用内网攻击功能: 是 WAN 口是否应答 ping 请求: 否是否将网关作为 DNS 服务器(DNS 中继):否是否确认上述配置信息[yes]: NBR# !再次检查配置. NBR#show running-config Building configuration... Current configuration : 1870 bytes ! version 9.0 (building 1) for NBR enable password 7 034233150f30 ! access-list 3198 deny tcp any any eq 135 access-list 3198 deny tcp any any eq 445 access-list 3198 permit ip any any access-list 3199 deny icmp any any echo access-list 3199 deny tcp any any eq 135 第 85 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 access-list 3199 deny tcp any any eq 445 access-list 3199 permit ip any any access-list 99 permit any dialer-list 1 protocol ip permit ! service sequence-numbers service timestamps debug datetime service timestamps log datetime no service password-encryption ! interface FastEthernet 0/0 （注：千兆级的 NBR LAN0 显示为 interface GigabitEthernet 0/0） ip nat inside ip access-group 3198 in no ip redirects no ip mask-reply no ip proxy-arp ip address 192.168.0.1 255.255.255.0 arp gratuitous-send interval 1 5 ! interface FastEthernet 1/0 （注：千兆级的 NBR WAN0 显示为 interface GigabitEthernet 0/1） ip nat outside ip access-group 3199 in no ip redirects no ip mask-reply no ip proxy-arp ip address dhcp duplex auto speed auto !（注： NBR200/300 无 FastEthernet 1/1 配置项，千兆级的 NBR WAN1 显示为 interface FastEthernet 0/2） interface FastEthernet 1/1 duplex auto speed auto shutdown ! interface Null 0 ! ! ip nat pool nbr_setup_build_pool prefix-length 24 address interface FastEthernet 1/0 match interface FastEthernet 1/0 ! ip nat inside source list 99 pool nbr_setup_build_pool ip nat translation max-entries 7000 ip nat translation per-user 0.0.0.0 350 第 86 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ip nat translation udp-timeout 150 ip nat translation icmp-timeout 30 ip nat translation tcp-timeout 600 ip nat translation finrst-timeout 20 ip nat translation dns-timeout 30 security anti-wan-attack level high security anti-lan-attack ! ! line con 0 line vty 0 login password 7 131717470235173e3f0057 line vty 1 login password 7 04251d0b31172a00012217 line vty 2 login password 7 0132464e380c032b102a07 line vty 3 login password 7 08112a181d330007590833 line vty 4 login password 7 03513215092a063a061735 ! ! end 第 87 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第五章故障处理 5.1 电源故障排除锐捷系列路由器可以根据前面板上的 Stauts 指示灯来判断路由器电源系统是否出现故障。电源系统工作正常时，Stauts 指示灯应保持常亮。如果电源指示灯 Stauts 不亮时，请进行如下检查： a z 路由器电源线是否连接正确 z 路由器供电电源与路由器所要求的电源是否匹配警告：如果检查确认一切没有问题，电源 Stauts 指示灯还是不亮，请与当地分销商或技术支持人员联系。 5.2 配置系统故障排除路由器上电后，如果系统正常，在终端上将显示相关信息。如果配置系统出现故障，终端上可能无显示或者显示乱码。如果终端没有显示信息，请进行如下检查： z 电源系统是否正常。 z 控制台口电缆是否正确连接如果以上检查确认没有问题后，还是无法显示，很可能是配置电缆错误或者终端参数的设置错误，请调整终端的参数。如果终端上出现乱码，可能是因为终端参数配置不匹配导致，请确认终端参数：波特率为 9600；数据位为 8；奇偶校验为无；停止位为 1；流量控制为无；终端仿真为 VT100。说明：如果您的路由器控制台口参数已经被修改，则也可能导致终端不显示。第 88 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 5.3 端口故障排除路由器提供了丰富的端口状态指示，4 个 LAN 口的状态指示，使用 4 个两位指示灯指示，上面四个指示 LINK/ACT，下面四个指示 100M。固化的 WAN 口，分别采用带灯的 RJ45 和 LAN 口可以明显区分。左边的一个指示 100M，右边一个指示 LINK/ACT。前面板还有一个模块状态指示灯，这样你可以方便的观察到模块的工作状态，MODULE 指示灯用于指示模块是否存在，LINK/ACT 用于指示模块的连接状态和数据收发状态。具体描述如下：工作状态故障诊断 LINK/ACT 指示灯连接正常：亮数据收发：闪烁 1、路由器是否上电。 2、网络线是否不良。 3、光纤是否匹配，收发是否接反。 4、对方设备是否正常工作。 100M 指示灯 100M 连接：亮 10M 连接：灭 1、路由器是否上电。 2、对方设备是否为 10M 设备。 MODULE 指示灯存在：亮不存在：灭 1、路由器是否上电。 2、模块是否插入。 Reset 按钮按下时间小于 5 秒， 2、没有恢复出厂设置，确认持续按下按钮时间是否大于 5 秒。路由器复位；按下时间大于 5 秒， 3、没有复位，确认按钮是否按下。路由器恢复出厂设置并复位。说明：如果您的路由器端口状态异常，根据故障诊断不能排除，请与当地分销商或技术支持人员联系。第 89 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第六章高级配置指导这部分的内容将介绍如何在 NBR 路由器上配置高级功能，它将描述如何在合适的工作模式下配置或者调整某一单项功能，在描述如何进行 WAN 口参数配置，IP 地址配置、静态路由配置、防火墙配置、PPPoE 配置、以及 NAT 配置之后，将给出一个使用固定 IP 地址接入 Internet 模式下构建多个本地服务器以供广域网用户访问的典型应用示例完整配置流程以供参考。建议一般用户选用 NBR 为网吧用户特意定制的快速配置功能 Setup 来进行配置。关于 NBR 更加详细的配置请参考随机光盘中的《RGNOSx.x 命令参考手册》和《RGNOSx.x 配置指导手册》，其中 x.x 表示版本号，可能是 8.1、8.2…，请以随机光盘的说明为准。 6.1 WAN 口参数设置在 WAN 口与局端的光电转换器相连时，因为有些光电转换器不支持以太口的自动协商功能，需要进行强制设置。为此，我们可以用 duplex 和 speed 命令为 WAN 口设置工作模式和速率。在接口配置模式下使用 duplex 命令配置以太网接口的双工模式，使用本命令的 no 形式恢复为缺省模式。命令作用 Red-Giant(config-if)# duplex {full | half | auto} 配置以太网接口的双工模式 Red-Giant(config-if)# no duplex 恢复为缺省模式，缺省模式为 auto 在接口配置模式下使用 speed 命令配置以太网接口的速率，使用本命令的 no 形式恢复为缺省配置。命令作用 Red-Giant(config-if)# speed {10 | 100 | auto} 配置以太网接口的速率 Red-Giant(config-if)# no speed 恢复为缺省配置，缺省配置为 auto dulpex 和 speed 命令功能的使用如下表：工作模式 Dulpex speed Full 10 强行工作在 10M 全双工模式 Full 100 强行工作在 100M 全双工 Half 10 强行工作在 10M 半双工 Half 100 强行工作在 100M 半双工 Auto auto 以太网口工作在自适应模式第 90 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册缺省情况下，每个以太网口都有一个全球唯一的 MAC 地址，这个值是路由器出厂时已经设置好的。如果需要，以太网接口的 MAC 地址可以修改，但必须保证同一局域网上 MAC 地址的唯一性。要配置以太网接口的 MAC 地址，在接口配置模式中执行以下命令：命令 Red-Giant mac-address 作用 (Config-if)#mac-address Red-Giant (Config-if)#no mac-address 配置 MAC 地址取消 MAC 地址的设定 MAC 地址的配置可能会影响通讯，没有必要的情况下，建议用户不要自行配置 MAC 地址。当 wan 口接入的运营商要求 wan 口的 MAC 地址必须是一个固定值时 wan 口需要配置这个参数。 6.2 配置 IP 地址 IP 地址配置任务包括以下各项，但只有第一项配置是必须要做，其它任务可以根据网络的具体需要决定是否要执行。 z 接口 IP 地址配置（要求） z 地址解析协议（ARP）配置（可选） z IP 到广域网地址映射配置（可选） z 关闭 IP 路由（可选） z 广播包处理配置（可选） 6.2.1 接口 IP 地址配置一个设备只有配置了 IP 地址，才可以接收和发送 IP 报文。要分配一个接口的 IP 地址，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)#ip address ip-address mask 设置一个接口的 IP 地址 Red-Giant(config-if)#no ip address 取消一个接口的 IP 地址配置 RGNOS 软件可以支持一个接口配置多个 IP 地址，其中一个为主 IP 地址，其余全部为次 IP 地址。次 IP 地址的配置理论上没有数目限制，可以随意配置。要配置次 IP 地址，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)#ip address ip-address mask secondary 设置接口次 IP 地址 Red-Giant(config-if)#no ip address ip-address mask secondary 取消接口次 IP 地址配置 RGNOS 支持无编号(unnumbered)接口功能。无编号接口就是只在接口启动 IP 协议，但是不分配 IP 地址，无编号接口需要关联一个具有 IP 地址的接口。无编号接第 91 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册口产生的 IP 数据包，该数据包的源 IP 地址为关联接口的 IP 地址。另外路由协议进程也根据关联接口的 IP 地址，决定是否往无编号接口发送路由更新报文。要配置无编号接口，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)# ip unnumbered interface-type interface-number 配置无编号接口的关联接口 Red-Giant(config-if)# no ip unnumbered 取消无编号接口配置 RGNOS 软件支持 DHCP 客户端。要配置客户端，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)# ip address dhcp 启用该接口上的 DHCP 客户端 Red-Giant(config-if)# no ip address dhcp 关闭接口上的 DHCP 客户端 6.2.2 地址解析协议(ARP)配置默认状态下，路由器已启动地址解析功能。RGNOS 允许用户通过配置来控制地址解析功能。ARP 协议提供了 IP 地址和 MAC 地址动态映射的功能。RGNOS 允许用户通过配置静态 ARP，还可以响应不是属于自己 IP 地址的 ARP 请求。要配置静态 ARP，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#arp ip-address mac-address arp-type 定义静态 ARP Red-Giant(config)#arp p-address mac-address arp-type alias 响应该 IP 地址的 ARP 请求 Red-Giant(config)#no arp ip-address 取消静态 ARP 目前 ARP 封装只支持 Ethernet II 类型，在 RGNOS 软件中也表示为 arpa 关键字。 ARP 超时设置只对动态学习到的 IP 地址和 MAC 地址映射有效。超时时间设置得越短，ARP 缓冲中保存的映射表就越真实，但是 ARP 报文消耗网络带宽也越多，所以需要权衡利弊。要配置 ARP 超时时间，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)#arp timeout seconds 配置 ARP 超时时间 Red-Giant(config-if)#no arp timeout 恢复缺省配置缺省情况下，超时时间为 3600 秒，即 1 个小时。路由器的代理 ARP 功能可以帮助没有路由信息的主机，获得与其它网络或子网通讯的能力。比如路由器接收到一个 ARP 请求，ARP 请求发送者的 IP 地址与所请求的 IP 地址不属于同一网络，而路由器又知道所请求 IP 地址的路由，路由器就会发送 ARP 响应，响应的 MAC 地址为路由器自身的以太网 MAC 地址，以上过程就是代理 ARP 的功能。要配置代理 ARP，在接口配置模式中执行以下命令：第 92 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册命令作用 Red-Giant(config-if)# ip proxy-arp 启用代理 ARP 功能 Red-Giant(config-if)# no ip proxy-arp 关闭代理 ARP 功能默认状态下，路由器在启动和接口 UP 时会发送免费 ARP 报文。免费 ARP，可简称 GARP，是指主机发送 ARP 查找自己的 IP 地址。其作用有二： 1. 通过它来确定另一个主机是否设置了相同的 IP 地址。 2. 自身地址改变时，通过它来通知其它主机。通过配置，在接口上定时发送免费 ARP 报文，可防止网络上的 ARP 欺骗病毒冒充路由器。当局域网内某台主机运行 ARP 欺骗的木马程序时，会欺骗局域网内所有主机和路由器，使它们的 ARP 表中路由器 IP 所对应的 MAC 地址变成病毒主机的 MAC 地址，从而让所有本来通过路由器转发的网络流量改经病毒主机。若路由器主动的发送免费 ARP 报文，去及时刷新被欺骗主机的 ARP 表，则可达到主动防御的目的。要配置定时发送免费 ARP 报文，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)# arp gratuitous-send interval seconds number 按照 seconds 指定的时间间隔内发送免费 ARP 报文的个数。seconds 的取值范围从 1 秒到 3600 秒，number 取值范围 1-100。 no Red-Giant(config-if)# gratuitous-send arp 关闭免费 ARP 定时发送功能通过配置可以对防止部分情况的 ARP 欺骗，在全局配置层执行一下命令：命令作用 Red-Giant(config)# seucrity 启用防 arp 欺骗功能。 anti-arp-spoof Red-Giant(config)#no seucrity 关闭防 arp 欺骗功能。 anti-arp-spoof 6.2.3 广播包处理配置如果 IP 网络设备无限制的转发广播报文，可能会导致网络阻塞，严重影响网络的通讯质量，这种情况称为广播风暴。路由器提供了一些办法能够将广播风暴限制在本地网络，阻止其继续无限制的扩散。但是桥和二层交换机等基于二层网络的网络设备将转发和传播广播风暴。解决广播风暴最好的办法就是给每个网络指定一个广播第 93 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册地址，这就是定向广播，这要求使用广播包的 IP 协议尽可能应用定向广播而不是淹没广播进行数据传播。RGNOS 提供三种途径来控制广播：1).定向网络广播到物理广播转换；2).UDP 广播包和协议转发；3).创建 IP 广播地址。 IP 定向广播报文是指目标地址为某个 IP 子网广播地址的 IP 报文，如目标地址为 172.16.16.255 的报文就称为定向广播报文。但是产生该广播报文的节点又不是目标子网的成员。没有与目标子网直连的路由器接收到 IP 定向广播报文，跟转发单播报文一样处理定向广播报文。你可以在指定的接口上，启动定向广播到物理广播转换的功能，这样该接口就可以转发到直连网络的定向广播了。该命令只影响已到最终目标子网的定向广播报文的最后传输。在接口配置模式中执行以下命令来配置定向广播到物理广播的转换：命令作用 Red-Giant(config-if)#ip directed-broadcast [access-list-number] 在接口上，启动定向广播到物理广播的转换 Red-Giant(config-if)#no ip directed-broadcast 取消转换网络上的主机有时需要使用 UDP 广播包来获取 IP 地址、配置信息、名字信息，如 BOOTP。如果主机所在的网络没有这样的服务器，UDP 广播通常又不转发，该主机就不能正常工作了。你可以通过配置与主机在同一网络的路由器接口，当该接口接收到该类广播包时，将转发到指定的 IP 地址(称为 Helper 地址)上。一个接口配置了 Helper 地址后，如果你没有配置需要转发哪些 UDP 广播包，缺省情况下，该路由器将作为 BOOTP 转发代理。配置 UDP 广播并指定目标地址，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)#ip helper-address ip-address 配置将 UDP 广播包转发到指定的 IP 地址，如 DHCP 包。 Red-Giant(config-if)#no ip helper-address ip-address 取消将 UDP 广播包转发到指定的 IP 地址当前使用最多的广播包，其目标地址为全“1”，表示为 255.255.255.255。RGNOS 可以通过软件定义产生其它地址的广播包，而且可以接收所有类型的广播包。要配置有别于 255.255.255.255 的广播地址，在接口配置模式中执行以下命令：命令作用 Red-Giant(config-if)#ip broadcast-address ip-address 创建新的广播地址 Red-Giant(config-if)#no ip broadcast-address 取消新的广播地址 6.2.4 VLAN 配置要支持 IEEE 802.1Q 协议，需要对以太口进行 VLAN 配置，首先在子接口模式下执行以下命令，将子接口封装为 IEEE 802.1Q：命令作用 NBR(config-subif)# encapsulation 在以太网子接口上封装 IEEE 802.1Q 第 94 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 dot1Q ｛VLANID｝并指定 vlan ID。 NBR(config-subif)# no encapsulation dot1Q [ VLANID ] 封装方式恢复为缺省值。 LAN 口在配置了子接口并封装 IEEE 802.1Q 协议后，需要对 LAN 口进行 vlan 划分。在子接口配置模式下，执行以下命令：命令作用 NBR(config-subif)#vlan port port_num_range 捆绑 vlan 子接口的物理 LAN 口， port_num_range 取值范围：0－3。 NBR(config-subif)#no vlan port 取消物理接口的捆绑。 6.2.5 IP 地址配置示例下面给出一个 IP 地址配置示例： Nbr#config terminal Enter configuration commands, one per line. End with CNTL/Z. Nbr(config)#interface fastethernet 0/0 Nbr(config-if)#ip add 192.168.20.3 255.255.255.0 Nbr(config)#end Nbr# 6.3 配置静态路由 6.3.1 配置静态路由静态路由就是手工配置的路由，使得到指定目标网络的数据包的传送，按照预定的路径进行。要配置静态路由，需在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip route network mask {ip-address | interface-type interface-number } [distance] [tag tag] [permanent] 配置静态路由 Router(config)#no ip route network mask 删除静态路由如果没有执行删除动作，RGNOS 将永久保留静态路由。当一个接口处于“down” 状态时，所有指向该接口的路由将全部从路由表中消失。另外，当 RGNOS 找不到静态路由下一跳地址的转发路由时，该静态路由也会从路由表中消失。 6.3.2 静态路由配置示例下面给出一个静态路由配置示例： Nbr#config terminal 第 95 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 Enter configuration commands, one per line. End with CNTL/Z. Nbr(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0 192.168.12.1 Nbr(config)#end Nbr# 6.4 配置防火墙访问控制列表(access control lists)，也称为访问列表(access lists)，俗称为防火墙，是通过定义一些准则对经过路由器接口上的数据报文进行控制：转发或丢弃。访问列表准则可以针对数据流的源地址、目标地址、上层协议或其他信息。 6.4.1 配置基本访问列表基本访问列表的配置包括以下两步：1).定义基本访问列表；2).将基本访问列表应用于特定接口。要配置基本访问列表，请在全局配置模式下执行以下命令：命令作用 Red-Giant(config)# access-list access-list-number {permit|deny} […...] 定义访问列表(必须) Red-Giant(config)# interface type number 选择要应用访问列表的接口 (必须) Red-Giant(config-if)# ip access-group access-list-number {in|out} 将访问列表应用特定接口(必须) 6.4.2 防火墙配置示例下面是一个基本访问列表配置示例： interface FastEthernet0/0 ip address 192.168.12.1 255.255.255.0 ! interface FastEthernet1/0 ip address 2.2.2.2 255.255.255.0 ip access-group 101 in ip access-group 101 out ! ip route 0.0.0.0 0.0.0.0 FastEthernet1/0 2.2.2.1 ! access-list 101 permit tcp 192.168.12.0 0.0.0.255 any eq telnet access-list 101 deny icmp 192.168.12.0 0.0.0.255 any access-list 101 deny ip 2.2.2.0 0.0.0.255 any 6.5 配置 PPPoE RGNOS 支持在以太网口上运行 PPP(PPPOE，PPP over Ethernet)，并进行按需拨号(有数据通信则刺激拨号，空闲指定时间以后，自动挂断线路)。PPPOE 配置包括以下三个方面：第 96 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 z 配置以太网口 z 配置逻辑接口 z 配置全局参数 6.5.1 配置以太网口以太网口配置任务包括以下部分：1).使能接口 PPPOE；2).绑定以太网口到指定的拨号池。当然，以太网口的其它一些基本配置是必须的，如接口激活(no shutdown) 等。要使能以太网口的 PPPOE，请在接口配置模式下执行以下命令：命令作用 Red-Giant(config-if)#pppoe enable 启用 PPPOE 由于 RGNOS 的 PPPOE 是按需拨号的，故必须将以太网接口绑定到指定的拨号池，供逻辑接口进行按需拨号使用。要绑定以太网口到指定的拨号池，请在接口配置模式下执行以下命令：命令作用 Red-Giant(config-if)#pppoe-client dial-pool-number pool-number dial-on-demand 将以太网口绑定到逻辑接口指定的逻辑拨号池命令作用 Red-Giant(config-if)#pppoe-client dial-pool-number pool-number no-ddr 该命令和上一条命令的功能基本相同,也是把以太网口绑定到逻指定的逻辑拨号池 (实现自动拨号的功能, 自动拨号到 pppoe 服务器) a 注意： dail-on-demand 和 no-ddr 必须选择一种配置，dail-on-demand 启用 PPPOE DDR 功能，主要实现空闲指定时间,挂断线路等 DDR 功能。 no-ddr 启用了 pppoe 的自动拨号的功能, 自动拨号到 pppoe 服务器。缺省的 setup 采用的是 no-ddr 的拨号模式。 6.5.2 配置逻辑接口配置逻辑接口。PPPoE 拨号所有的 PPP 协商均建立在逻辑接口上的，故须在逻辑接口上配置相关参数。要配置逻辑接口，请在全局配置模式下执行以下命令：命令作用 Red-Giant(config)#interface dialer dialer-number 进入指定的接口 Red-Giant(config-if)#ip address negotiate 地址由协商获得 Red-Giant(config-if)#dialer pool pool-number 关联拨号池第 97 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 Red-Giant(config-if)#dialer idle-timeout seconds (可选)配置最大空闲时间 Red-Giant(config-if)#encapsulation ppp 封装 PPP Red-Giant(config-if)#mtu mtu-number 设置最大传输单元 Red-Giant(config-if)#dialer-group dialer-group-number 与 dialer-list 对应，关联刺激拨号的规则。 Red-Giant(config-if)#ppp pap username password password sent-username 配置 PAP 认证使用的用户名和密码 Red-Giant(config-if)#ppp chap hostname username 配置 CHAP 认证用户名 Red-Giant(config-if)#ppp chap password password 配置 CHAP 认证的密码说明：以上配置命令除了第四步命令为可选命令以外，其他命令均必须配。特别是第六步 MTU 的值最大设置为 1492(建议设置为 1488，可以小于 1488，但是不能大于 1492)，否则无法正常通信。另外建议联系 ISP 以确认合适的 MTU，有的 ISP(如某些地方的典型局端)要求将 MTU 必须设置为 1488，而有的 ISP 要求将 MTU 必须设置为 1492。 6.5.3 配置必要的全局参数配置必要的全局参数。PPPoE 必要的全局参数，主要包括如下：1).定义拨号刺激规则；2).配置拨号路由。如果配合其他功能(如 NAt)一起使用 PPPoE，则还需要进行其它的配置，请根据具体的情况进行配置。要定义 PPPoE 拨号刺激规则，请在全局配置模式下执行以下命令：命令作用 Red-Giant(config)#dialer-list number dialer-group protocol protocol-name {permit | deny | list access-list-number | access-group} 定义刺激拨号的规则由于接口的 IP 地址一般情况下是协商获得，没有逻辑接口的直连路由，所以为了使数据通过 PPPoE 的接口进行转发，还必须配置一条目标接口为进行 PPPoE 拨号的逻辑接口的拨号路由。要配置拨号路由，请在全局配置模式下执行以下命令：命令作用 Red-Giant(config)#ip route 0.0.0.0 0.0.0.0 dialer dialer-number [permanent] 配置默认路由。说明：当然拨号路由可以不用配置成默认路由，可以根据需要配置指定的路由。但无论什么情况，都要配置一条拨号路由，否则就无法拨号。第 98 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.5.4 PPPoE 配置示例 hostname "Red-Giant" ! interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip mtu 1488 ip nat inside ! interface FastEthernet1/0 no ip address pppoe enable pppoe-client dial-pool-number 10 no-ddr ! interface Dialer1 ip address negotiate mtu 1488 encapsulation ppp ip nat outside dialer pool 10 dialer-group 1 dialer idle-timeout 300 ppp chap hostname pppoe ppp chap password 0 pppoe ppp pap sent-username pppoe password 0 pppoe ! ip nat inside source list 1 interface Dialer1 ip route 0.0.0.0 0.0.0.0 Dialer1 ! access-list 1 permit any dialer-list 1 protocol ip permit ! line con 0 line aux 0 line vty 0 4 login ! end 6.6 配置 NAT 在配置 NAT(网络地址转换)之前，你首先需要了解内部本地地址和内部全局地址的分配情况。根据你对 NAT 不同的需要，可以执行以下不同的任务来达到目的。 z 内部源地址 NAT 配置 z 内部源地址 NAPT 配置 z 重叠地址 NAT 配置 z TCP 负载均衡 z 配置特殊应用 NAT z 配置 NAT 快速优化 z 调整 NAT 超时时间第 99 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.6.1 配置内部源地址静态 NAT 当内部网络需要与外部网络通讯时，需要配置 NAT，将内部私有 IP 地址转换成全局唯一 IP 地址。你可以配置静态或动态的 NAT 来实现互联互通的目的，或者需要同时配置静态和动态的 NAT。静态 NAT，是建立内部本地地址和内部全局地址的一对一永久映射。当外部网络需要通过固定的全局可路由地址访问内部主机，静态 NAT 就显得十分重要。要配置静态 NAT，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat inside source static local-address global-address [permit-inside] 定义内部源地址静态转换关系 Red-Giant(config)# interface-number 进入接口配置模式 interface interface-type 定义该接口连接内部网络 Red-Giant(config-if)#ip nat inside Red-Giant(config)# interface-number interface interface-type Red-Giant(config-if)#ip nat outside 进入接口配置模式定义该接口连接外部网络以上配置为最简单配置，你可以配置多个 Inside 和 Outside 接口。动态 NAT，是建立内部本地地址和内部全局地址池的临时映射关系，过一段时间没有用就会删除映射关系。要配置动态 NAT，在在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} 定义全局 IP 地址池 Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换 Red-Giant(config)#ip nat inside source list access-list-number pool address-pool 定义内部源地址动态转换关系 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络说明：访问列表的定义，使得只在列表中许可的源地址才可以被转换，必须注意访问列表最后一个规则是否定全部。访问列表不能定义太宽，要尽量准确，否则将出现不可预知的结果。第 100 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.6.2 配置内部源地址 NAPT 传统的 NAT 一般是指一对一的地址映射，不能同时满足所有的内部网络主机与外部网络通讯的需要。使用 NAPT(网络地址端口转换)，可以将多个内部本地地址映射到一个内部全局地址。 NAPT 分为静态 NAPT 和动态 NAPT。静态 NAPT 一般应用在将内部网指定主机的指定端口映射到全局地址的指定端口上。而前一小节提及的静态 NAT，是将内部主机映射成全局地址。要配置静态 NAPT，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat inside source static {UDP | TCP} local-address port global-address port [permit-inside] 定义内部源地址静态转换关系 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络前小节所述的动态内部源地址转换，已经自动完成内部源地址动态 NAPT，配置是在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} 定义全局 IP 地址池，对于 NAPT，一般就定义一个 IP 地址 Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换 Red-Giant(config)#ip nat inside source list access-list-number {[ pool address-pool] | [interface interface-type interface-number]} overload 定义源地址动态转换关系，overload 有和没有是一样的效果。 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络第 101 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 NAPT 可以使用地址池中的 IP 地址，也可以直接使用接口的 IP 地址。一般来说一个地址就可以满足一个网络的地址转换需要，一个地址最多可以提供 64512 个 NAT 地址转换。如果地址不够，地址池可以将多定义几个地址。 6.6.3 配置重叠地址 NAT 两个需要互联的私有网络分配了同样 IP 地址，或者一个私有网络和公有网络分配了同样的全局 IP 地址，这种情况称为地址重叠。两个重叠地址的网络主机之间是不可能通信的，因为它们相互认为对方的主机在本地网络。重叠地址 NAT 就是专门针对重叠地址网络之间通信的问题，配置了重叠地址 NAT，外部网络主机地址在内部网络表现为另一个网络主机地址，反之一样。重叠地址 NAT 配置，其实分为两个部分内容：1).内部源地址转换配置，如何配置请参见上文；2)外部源地址转换配置，只有与内部网络地址重叠的外部网络需要配置外部源地址转换，外部源地址转换可以采用静态 NAT 配置或动态 NAT 配置。要配置外部源地址的静态 NAT，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat outside source static global-address local-address 定义外部源地址静态转换关系 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义该接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络要配置外部源地址的动态 NAT，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} 定义本地 IP 地址池 Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只有匹配该列表的地址才转换 Red-Giant(config)#ip nat outside source list access-list-number pool address-pool 定义外部源地址动态转换关系 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络第 102 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.6.4 配置 TCP 负载均衡当内部网络某台主机 TCP 流量负载过重时，可用多台主机进行 TCP 业务的均衡负载。这时，可以考虑用 NAT 来实现 TCP 流量的负载均衡。NAT 创建了一台虚拟主机提供 TCP 服务，该虚拟主机对应内部多台实际的主机，然后对目标地址进行轮询置换，达到负载分流的目的。要配置目标地址轮询转换，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length} 定义 IP 地址池，包含所有实际主机地址 Red-Giant(config)#access-list access-list-number permit ip-address wildcard 定义访问列表，只匹配虚拟主机地址 Red-Giant(config)#ip nat inside destination list access-list-number pool address-pool 定义内部目标地址动态转换关系 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat inside 定义接口连接内部网络 Red-Giant(config)# interface interface-type interface-number 进入接口配置模式 Red-Giant(config-if)#ip nat outside 定义接口连接外部网络 6.6.5 调整地址转换超时时间动态 NAT 转换空闲一段时间后就会超时。要调整 NAT 地址转换超时时间，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)#ip nat translation dns-timeout seconds 定义 DNS 转换记录的超时时间，缺省 60 秒 Red-Giant(config)#ip nat translation finrst-timeout seconds 定义 TCP 连接 FIN 以及 RESET 后转换记录的超时时间，缺省 60 秒 Red-Giant(config)#ip nat translation icmp-timeout seconds 定义 ICMP 转换记录的超时时间，缺省 60 秒 Red-Giant(config)#ip nat translation tcp-timeout seconds 定义 TCP 连接转换记录的超时时间，缺省 600 秒 Red-Giant(config)#ip nat translation udp-timeout seconds 定义 UDP 连接转换记录的超时时间，缺省 300 秒第 103 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.6.6 配置 nat 内部 pc 速率统计功能通过对 nat 中每个内网 ip 的 inbound 和 outbound 的流量进行统计, 来实现 nat 内网 ip 的流量统计的功能。要启用该功能，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)# ip nat translation net-flow 该命令是启动对 nat 内网 ip 流量的统计功能。 Red-Giant(config)# ip nat translation net-flow time seconds 该命令是设置流量统计的时间间隔。取值范围是 60－300，缺省是 60 秒，也就是 1 分钟速率统计。 6.6.7 配置 nat 内部 pc 速率限制功能通过限制 nat 中每个内网 ip 的 inbound 和 outbound 的流量,来实现 nat 内网 ip 的带宽限制功能。要启用该功能，在全局配置模式中执行以下命令：命令作用 Red-Giant(config)# ip nat translation rate-limit default inbound Kbit 比特 outbound Kbit 对所有的经过 nat 的 ip host 主机进行流量限速。单位是 Kbit，其速率范围是从 10Kbit – 100000Kbit。 Red-Giant(config)# ip nat translation rate-limit ip x.x.x.x inbound Kbit outboud Kbit 该命令是对某个特定的经过 nat 的 ip host 主机进行流量限速。单位是 Kbit ，其速率范围是从 10Kbit – 100000Kbit。 Red-Giant(config)# ip nat translation rate-limit iprange downip upip inbound Kbit outbound Kbit 该命令是对经过 nat 的符合 ip 范围的主机进行流量限速。单位是 Kbit，其速率范围是从 10Kbit – 100000Kbit。 Red-Giant# show ip nat translations flowrate inbound/outbound 显示所有经过 nat 的 ip host 主机的流量情况（缺省为 1 分钟速率）。分为 inbound 和 outbound ， inbound 是出去的流量统计， outbound 是进来的流量统计。说明：当配置了 nat 速率统计功能的命令后，nat 的速率限制功能的命令就不允许被配置。当配置了 nat 速率限制功能的命令后，nat 的速率统计功能的命令就不允许被配置。第 104 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册注意：用户可以配置多条基于 ip 地址和 ip 地址范围限速的策略。但是要注意的是，最多只能配置 100 条这样的策略。 6.6.8 NAT 配置示例本节提供了以下配置配置例子： z 动态内部源地址转换示例 z 内部全局地址复用示例 z 重叠地址转换示例 z TCP 负载均衡示例 z NAT 多个 outside 口负载均衡示例 z NAT 速率限制和速率统计示例 6.6.8.1 动态内部源地址转换示例在以下配置中，本地全局地址从 NAT 地址池 net200 中分配，该地址池定义了地址范围为 200.168.12.2~200.168.12.100。只有内部源地址匹配访问列表 1 的数据包才会建立 NAT 转换记录。 ! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.168.12.1 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.2 200.168.12.100 netmask 255.255.255.0 ip nat inside source list 1 pool net200 ! access-list 1 permit 192.168.12.0 0.0.0.255 6.6.8.2 内部全局地址复用示例内部全局地址复用，其实就是 NAPT。RGNOS8.1 以上版本的软件对于动态 NAT 自动实现 NAPT。在以下配置中，本地全局地址从 NAT 地址池 net200 中分配，该地址池只定义 200.168.12.200 一个 IP 地址，但允许复用。只有内部源地址匹配访问列表 1 的数据包才会建立该类型 NAT 转换记录。 ! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.168.12.200 255.255.255.0 第 105 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ip nat outside ! ip nat pool net200 200.168.12.200 200.168.12.200 netmask 255.255.255.0 ip nat inside source list 1 pool net200 access-list 1 permit 192.168.12.0 0.0.0.255 通过显示 NAT 映射表，可以看到是否能够正确建立转换记录： Red-Giant#show ip nat translations Pro Inside global Inside local Outside local Outside global tcp 200.168.12.200:2063 192.168.12.65:2063 168.168.12.1:23 168.168.12.1:23 6.6.8.3 内部源地址静态 NAPT 示例静态 NAPT 可以用于构建虚拟服务器。这里的构建虚拟服务器，是指在 NAT 内部网架设服务器，然后通过 NBR 路由器的静态 NAPT 映射到外部网。这样，用户访问 NBR 全局地址上的虚拟服务器，就被转换到内部网相应的服务器上。下面的例子是将一台内网的 WEB 服务器 192.168.12.3 映射到全局 IP200.198.12.1 的 80 端口。配置命令脚本如下： ! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.198.12.1 255.255.255.0 ip nat outside ! ip nat inside source static tcp 192.168.12.3 80 200.198.12.1 80 上例的 WEB 服务器，对于内网用户，可以直接用内网地址 192.168.12.3 直接访问。但有些游戏服务器构建在 NAT 的内部网，不仅要求外网用户能正常访问，还要求内网用户能以全局 IP 来访问这台游戏服务器。这时就要用到静态 NAPT 命令中的 permit-inside 关键字。配置命令脚本如下： ! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside no ip redirects ! interface FastEthernet 1/0 ip address 200.198.12.1 255.255.255.0 ip nat outside ! ip nat inside source static tcp 192.168.12.4 7777 200.198.12.1 7777 permit-inside 这时内网用户就可以通过全局 IP200.198.12.1 来访问 192.168.12.4 这台游戏服务器了。同时注意要在 inside 口配上 no ip redirects，防止 inside 口发重定向的报文，以提高效率。更详细的配置步骤见 6.7 章节《构建本地服务器配置示例》。 6.6.8.4 重叠地址转换示例当内部网络地址与外部网络地址重叠时，外部重叠地址在内部网络上应该表现为不同的私有网络地址。在以下配置中，内部网络分配了非注册的 192.198.12.0/24 第 106 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册网络地址，外部网络已经分配了该地址，因此当内部网络通过域名方式访问外部重叠地址主机时，NAT 会将重叠地址转换为地址池 net172 中的地址，这样重叠地址的问题就解决了。以下配置，访问外部重叠地址主机时，只能通过主机域名，如果需要通过 IP 地址直接访问，就要配置外部源地址静态 NAT 映射。内部主机访问外部主机的映射方式采用动态 NAPT 方式。 ! interface FastEthernet 0/0 ip address 192.198.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.198.12.1 255.255.255.0 ip nat outside ! ! ip nat pool net200 200.198.12.2 200.198.12.100 netmask 255.255.255.0 ip nat pool net172 172.16.198.2 172.16.198.100 netmask 255.255.255.0 ip nat inside source list 1 pool net200 ip nat outside source list 1 pool net172 ip route 172.16.198.0 255.255.255.0 200.198.12.2 access-list 1 permit 192.198.12.0 0.0.0.255 ! 通过显示 NAT 映射表，可以看到是否能够正确建立转换记录： Red-Giant#sh ip nat translations Pro Inside global Inside local Outside local Outside global udp 200.198.12.2:1256 192.168.12.91:1256 200.198.168.11:53 200.198.168.11:53 tcp 200.198.12.2:1257 192.168.12.91:1257 172.16.198.2:23 192.168.12.91:23 Red-Giant# 在以上配置中，如果没有配置到 172.16.198.0/24 的静态路由，从内部接口接收到目标地址为该网络的数据包，路由器不能判断出来该数据将往哪个接口转发，导致通讯失败。所以当配置重叠地址时，必须配置静态路由或者在 outside 接口配置次 IP 地址，使得路由器知道地址转换以后该往哪个接口转发数据包。 6.6.8.5 TCP 负载均衡示例在以下配置中，定义了一个虚拟主机地址，所有来自外部网络访问该虚拟主机的 TCP 连接，将被路由器分配到多台实际主机上，从而实现负载分流的目标。Realhosts 定义了实际主机地址池，访问列表 1 定义了虚拟主机地址。外部网的主机要有路由到这个虚拟主机地址。以下配置，只对 TCP 流量产生作用，对其它流量保持不变，除非有另外的 NAT 配置。 ! interface FastEthernet 0/0 ip address 10.10.10.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.198.12.1 255.255.255.0 ip nat outside ! ip nat pool realhosts 10.10.10.2 10.10.10.3 netmask 255.255.255.0 type rotary ip nat inside destination list 1 pool realhosts ! access-list 1 permit 10.10.10.100 第 107 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ! 通过显示 NAT 映射表，可以看到是否能够正确建立转换记录： Red-Giant#sh ip nat translations Pro Inside global Inside local Outside local Outside global tcp 10.10.10.100:23 10.10.10.2:23 100.100.100.100:1178 100.100.100.100:1178 tcp 10.10.10.100:23 10.10.10.3:23 200.200.200.200:1024 200.200.200.200:1024 6.6.8.6 域名解析中继服务(DNS relay)示例在一些 NAT 应用场合，NAT 内网里的主机直接将 DNS 服务器地址指向 NAT inside 接口上的 IP 地址，然后内网主机的 DNS 请求都发向 NAT inside 的接口。由于路由器自身不提供 DNS 服务，这时就是要求路由器将收到的 DNS 请求报文转发到真正的 DNS 服务器，并且将解析结果应答给请求主机。这个功能就被称作域名解析中继服务（DNS relay）。假设 NAT inside 接口的 IP 地址是 192.168.1.1，DNS 服务器的 IP 是 202.101.98.55，则 DNS relay 功能配置如下： ! access-list 1 permit 192.168.1.0 0.0.0.255 ! interface FastEthernet 0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.168.12.1 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.2 200.168.12.10 netmask 255.255.255.0 ! ip nat inside source list 1 pool net200 ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53 ! 上述 ip nat application 命令的语义就是：如果有源地址满足 access-list 1、目的地址是 192.168.1.1、目的端口是 53 的 UDP 报文，则修改这个 IP 报文的目的地址为 202.101.98.55、目的端口为 53。 6.6.8.7 NAT 多个 outside 口负载均衡示例在 NBR 的路由器上，如果有多个 WAN 口作 NAT 的 outside 口。这时多个 WAN 口之间实现按带宽分布负载。当某个 WAN 口线路不通时，自动将负载分配到存活的线路上。缺省情况下按 NAT 的全局目标地址进行分流。全局配置模式下的 ip default-route balance by-source 命令，修改成按内部网源地址进行均衡。下面就一个 NBR1000 两个 WAN 口负载均衡的例子。其中 NBR1000 有两条线路上外网： a) interface FastEthernet 1/0 为 100M 的以太网静态 IP 上网； b) interface FastEthernet 1/1 接一个 1M 的 ADSL，通过 PPPoE 上网。拓朴图如下：第 108 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册配置如下： ! !配置 ACL，允许内部网用户访问 internet access-list 99 permit 192.168.0.0 0.0.0.255 !配置 dialer-list，用于 PPPoE 拨号 dialer-list 1 protocol ip permit ! !配置 NBR1000 的 LAN 口 interface FastEthernet 0/0 ip mtu 1488 ip nat inside !有 PPPoE，所以把 LAN 的 mtu 改小 ip address 192.168.0.1 255.255.255.0 ! !这个 WAN0 口以静态 IP 连接外部网，每 60 秒发一个 dns 请求来检测线路 interface FastEthernet 1/0 ip nat outside ip address 218.5.19.2 255.255.255.0 keepalive 60 dns 202.101.98.55 !带宽 100M，以 Kbits 为单位 bandwidth 100000 ! !这个 WAN1 口接 ADSL，通过 PPPoE 拨号上网 interface FastEthernet 1/1 pppoe enable !配置 PPPoE 拨号为非按需拨号 pppoe-client dial-pool-number 2 no-ddr !拨号配置 interface dialer 1 encapsulation PPP 第 109 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ppp pap sent-username user password 7 072b102a07 ip nat outside mtu 1488 ip address negotiate dialer pool 2 dialer idle-timeout 1200 dialer-group 1 !带宽 1M，单位 Kbits bandwidth 1000 ! !配置 NAT 地址池，因为 NAT 有多个 outside 口，当 outside 口为 FastEthernet 1/0 时采用 218.5.19.2 的地址。当 outside 口为 dialer 1 即 PPPoE 的出口时，使用 dialer 口上的地址。 ip nat pool nbr_setup_build_pool prefix-length 24 address 218.5.19.2 218.5.19.2 match interface FastEthernet 1/0 address interface dialer 1 match interface dialer 1 !启用 NAT 内部源地址转换。 ip nat inside source list 99 pool nbr_setup_build_pool !配置缺省路由为两个 WAN，使均衡生效。 ip route 0.0.0.0 0.0.0.0 FastEthernet 1/0 202.101.98.1 ip route 0.0.0.0 0.0.0.0 dialer 1 ! 6.6.8.8 NAT 速率限制和速率统计示例在以下配置中，对所有的 nat 内部 pc 的报文，基于内部 ip 地址进行速率统计。 ! interface FastEthernet 0/0 ip address 192.168.210.190 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 192.168.100.150 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface FastEthernet 1/1 !配置 nat 内部 ip 地址速率统计，使速率统计功能生效。 ip nat translation netflow ! access-list 1 permit any ! 在以下配置中，对所有的 nat 内部 pc 的报文，基于内部 ip 地址进行速率限制，对于特殊的 ip 地址 192.168.210.120，采用特速的 ip 地址限速策略。 ! interface FastEthernet 0/0 ip address 192.168.210.190 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 第 110 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 ip address 192.168.100.150 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface FastEthernet 1/1 !配置 nat 内部 ip 地址缺省速率限制，使速率限制功能生效。 ip nat translation rate-limit default inbound 1600 outbound 2400 !配置 nat 内部 ip 地址特殊 ip 192.168.210.120 速率限制，使速率限制功能生效。 ip nat translation rate-limit ip 192.168.210.120 inbound 4000 outbound 4000 ! access-list 1 permit any ! 下面是速率统计 show 的显示信息： Red-Giant#sh ip nat translations flowrate inbound IP Inbound(Kb/sec) Outbound(Kb /sec) IsLimit 192.168.210.120 3 146 * * 192.168.210.123 0 0 * * 192.168.210.121 0 0 * * 192.168.210.119 0 0 * * 192.168.210.122 0 0 * * IsSpecial 上面 IsLimit 为“*”表示该 ip 需要进行速率限制，如果为“-”表示该 ip 不进行速率限制但有进行速率统计。IsSpecial 为“*”表示该 ip 是采用的特殊的限速策略，如果为“-”表示该 ip 是采用的缺省的限速策略。 6.7 构建本地服务器配置示例这里的本地服务器是指利用 NBR 将一个或者多个内部主机映射成网络服务器，从而使得广域网上的网络用户可以获得对应的服务。如图 5-1，用户在内部网内设置了三台服务器(FTP 服务器、WEB 服务器以及 E-MAIL 服务器)，他希望广域网上的网络主机能够访问这三个服务器。同时内部网的普通用户可以把网关设成 NBR 来访问 internet。RGNOS 提供静态 NAT 映射功能来实现服务器，动态 NAT 来实现用户上网。图 5-1 构建本地服务器的典型配置示例为了实现这些功能，需要配置 NAT 静态映射功能。进入特权用户模式进行高级设置：第 111 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 !进入特权用户层 Red-Giant>enable !进入全局配置层 Red-Giant#config terminal Enter configuration commands, one per line. End with CNTL/Z. !进入 WAN0 口配置层 Red-Giant(config)#interface fastethernet 1/0 !配置 WAN 口地址 Red-Giant(config-if)#ip address 218.5.19.2 255.255.255.0 !设置 WAN 口为共享连接的 Internet 接入口 Red-Giant(config-if)#ip nat outside !启用 WAN 口 Red-Giant(config-if)#no shut !返回普通用户层 Red-Giant(config-if)#end Red-Giant# !这些是系统提示信息，系统提示 WAN 口链路处于 UP 状态(可通讯状态). %LINK CHANGED: Interface FastEthernet 1/0, changed state to up %LINE PROTOCOL CHANGE: Interface FastEthernet 1/0, changed UPRed-Giant#config terminal Enter configuration commands, one per line. End with CNTL/Z. state to !进入 LAN 口配置层 Red-Giant(config)#interface fastethernet 0/0 !配置 LAN 口地址 Red-Giant(config-if)#ip address 192.168.0.1 255.255.255.0 !设置 LAN 口为共享连接的 Intranet 接入口 Red-Giant(config-if)#ip nat inside !启用 LAN 口 Red-Giant(config-if)#no shut Red-Giant(config-if)#end Red-Giant# %LINK CHANGED: Interface FastEthernet 0/0, changed state to up %LINE PROTOCOL CHANGE: Interface FastEthernet 0/0, changed state to UP Red-Giant#config terminal Enter configuration commands, one per line. End with CNTL/Z. !配置默认路由以访问 Internet Red-Giant(config)#ip route 0.0.0.0 0.0.0.0 fastethernet 1/0 218.5.19.1 !配置 NAT 应用的访问列表 Red-Giant(config)#access-list 1 permit any !配置连接共享规则，使内部网普通用户可以通过 NBR 上网 Red-Giant(config)#ip nat inside source list 1 interface fastethernet 1/0 !配置 FTP 服务器的静态映射 Red-Giant(config)#ip nat inside source static tcp 192.168.0.2 20 218.5.19.2 20 Red-Giant(config)#ip nat inside source static tcp 192.168.0.2 21 218.5.19.2 21 !配置 WEB 服务器的静态映射 Red-Giant(config)#ip nat inside source static tcp 192.168.0.3 80 218.5.19.2 80 !配置 EMAIL 服务器的静态映射 Red-Giant(config)#ip nat inside source static tcp 192.168.0.4 25 218.5.19.2 25 Red-Giant(config)#ip nat inside source static tcp 192.168.0.4 110 218.5.19.2 110 Red-Giant(config)#end Red-Giant# Red-Giant#config terminal Enter configuration commands, one per line. End with CNTL/Z. 第 112 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 !配置远程用户 Telnet 访问口令 Red-Giant(config)#line vty 0 4 Red-Giant(config-line)#password remoteuser Red-Giant(config-line)#end Red-Giant# Red-Giant#config terminal Enter configuration commands, one per line. End with CNTL/Z. Red-Giant(config)#enable secret private !配置路由器名称 Red-Giant(config)#host NBR NBR(config)#end NBR# !保存配置 NBR#write Building configuration... [OK] NBR# !检查配置 NBR#show running-config Building configuration... Current configuration: ! ! hostname NBR ! ! ! access-list 1 permit any ! ! interface FastEthernet 0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 218.5.19.2 255.255.255.0 ip nat outside ! ip nat inside source list 1 interface FastEthernet 1/0 ip nat inside source static tcp 192.168.0.4 110 218.5.19.2 110 ip nat inside source static tcp 192.168.0.4 25 218.5.19.2 25 ip nat inside source static tcp 192.168.0.3 80 218.5.19.2 80 ip nat inside source static tcp 192.168.0.2 21 218.5.19.2 21 ip nat inside source static tcp 192.168.0.2 20 218.5.19.2 20 ! ip route 0.0.0.0 0.0.0.0 FastEthernet 1/0 218.5.19.1 ! line con 0 line vty 0 4 password remoteuser login ! end NBR# 第 113 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.8 配置动态域名解析服务(DDNS) Internet 上的域名解析一般是静态的，即一个域名所对应的 IP 地址是静态的，长期不变的。也就是说，如果要在 Internet 上搭建一个网站，需要有一个固定的 IP 地址。而绝大部分 Internet 用户上网的时候分配到的 IP 地址都是动态的，若用传统的静态域名解析方法，用户想把自己上网的计算机做成一个有固定域名的网站，是不可能的。根据这个需求，锐捷路由器和一些动态域名提供商合作，在路由器上开发的动态域名服务功能。动态域名的功能，就是实现固定域名到动态 IP 地址之间的解析。每次上网得到新的 IP 地址之后，路由器就会把这个 IP 地址发送到动态域名解析服务器，更新域名解析数据库。Internet 上的其他人要访问这个域名的时候，动态域名解析服务器会返回正确的 IP 地址给他。你可以在路由器的Wan口上配置好DDNS功能，然后利用NAT在内部架设服务器，这样你就可以在局域网内部架设Internet上能够通过域名访问的服务器了。关于内部架设服务器请参考本文档的上一章节《构建本地服务器配置示例》说明：锐捷路由器目前支持的DDNS服务商为 88IP(www.88ip.cn)。详细情况可参见服务商的网站。 6.8.1 配置 DDNS 的功能要配置 DDNS 功能，在全局配置模式中执行以下命令进入 DDNS 配置模式：命令作用 NBR(config)#ddns 88ip usename 进入 DDNS 配置模式、希望配置的 DDNS 服务商，然后直接跟用户名。用户名在各 DDNS 服务提供商的主页上申请。在 DDNS 配置模式下执行以下命令： NBR(config-ddns)#passowrd password 使用 password 设置密码。 NBR(config-ddns)#bind interface-num 使用 bind 命令来绑定使用 DDNS 服务的接口。 interface-type NBR(config-ddns)#start 配置好上述信息后，用 start 命令来启动与 DDNS 服务器的连接，使 DDNS 服务生效。要删除 DDNS 的配置信息，在全局配置模式下执行以下命令：第 114 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册删除指定的 DDNS 配置信息 NBR(config)#no ddns {88ip } usename DDNS 是使用域名来连接服务提供商的服务器，因此得先打开并配置好了 DNS 域名解析功能。可以全局配置模式下执行以下命令： NBR(config-ddns)# ip domain-lookup 打开 DNS 功能，缺省是打开的。 NBR(config-ddns)# ip name-server 202.101.98.55 手工静态配置 DNS server 的 IP 地址。 6.8.2 显示 DDNS 的连接状态要显示 DDNS 的连接状态，在全局配置模式中执行以下命令：命令作用 Red-Giant#show ddns 通过 show 命令查看 DDNS 的相关信息 6.9 抗外网攻击针对目前网络上不同强度的攻击，可通过调整抗攻击的级别，让 NBR 系统负载处于一个安全的范围。目前抗外网攻击分为三个安全等级：低、中、高。 6.9.1 设置安全等级要设置不同的安全等级，请在全局配置模式下执行以下命令：命令作用 NBR2000(config)#security anti-wan-attack level low|medium|high 配置不同的安全等级。不同安全等级下的参数不同，参看下表：安全等级参数低 NBR 系列以及 1762 限速参数为 128Kbps，其他为 1Mbps。中 NBR 系列以及 1762 限速参数为 64Kbps，其他为 512Kbps。高 T NBR 系列以及 1762 限速参数为 32Kbps，其他为 128Kbps。第 115 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 6.9.2 设置安全等级限速参数要设置不同安全等级的限速参数，请在全局配置模式下执行以下命令：命令作用 NBR2000(config)#security anti-wan-attack parameter 配置不同的安全等级下的限速参数。配置范围：<8000-2000000000>bps low|medium|high num 6.9.3 显示安全参数要显示不同安全等级的相关参数，请在特权模式下执行以下命令：命令作用 NBR2000# show security 显示不同安全等级的安全参数。 6.10抗内网攻击如果内网有 PC 中毒或者有人在恶意破坏，可以启用抗内网攻击。抗内网攻击参数不可调整，固定为限速 64kbps。 6.10.1 抗内网攻击配置抗内网攻击配置命令如下：命令作用 NBR2000(config)#security anti-lan-attack 启用抗内网攻击 NBR2000(config)# 停止抗内网攻击 no security anti-lan-attack 6.10.2 显示安全参数要显示抗内网攻击的相关参数，请在特权模式下执行以下命令：命令作用 NBR2000(config)# show security 显示抗内网攻击的安全参数。 6.11 智能 MAC/IP 绑定智能 MAC/IP 绑定功能，可实现大量静态 MAC 地址自动绑定，在此基础上，还可实现只允许指定 MAC 地址以指定 IP 地址的 PC 上网。第 116 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册具体包括如下四个功能： 1．根据指定接口，学习该接口对应的所有主机的MAC地址。 2．根据指定的地址范围和接口，学习指定范围的主机MAC地址。 3．自动将相应的动态ARP转化为静态ARP。 4．接口启用MAC/IP绑定，不更新该接口对应ARP表项。 5．启用MAC/IP绑定功能，只用绑定的主机的数据流可以通过路由器。 6.11.1 MAC/IP 绑定配置 MAC/IP 绑定相关配置命令如下：命令 NBR2000(config)#arp A.B.C.D interface 作用 scan A.B.C.D 扫描指定范围的主机 MAC 地址 NBR2000(config)#arp scan interface 扫描接口 IP 范围的主机 MAC 地址 NBR2000(config)#arp convert A.B.C.D A.B.C.D interface 将指定范围的动态 ARP 转化为静态 ARP NBR2000(config)#arp convert interface 将接口关联的动态 ARP 转化为静态 ARP NBR2000(config)#no arp all 删除所有的静态 arp 条目 NBR2000(config-if)#mac-ip bind 接口配置 MAC/IP 绑定功能 NBR2000(config-if)#no mac-ip bind 接口取消 MAC/IP 绑定功能注：接口上启用 MAC/IP 绑定功能后，该接口不在学习新的主机 MAC 地址，使用时请注意。第 117 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册第七章路由器的维护 7.1 ROM 监控模式维护与升级 7.1.1 ROM 监控模式简介路由器软件包括 BootROM 启动软件和 RGNOS 路由器主体软件两种，两种软件运行在不同的模式下，BootROM 软件在路由器开机时，负责启动路由器，同时将路由器主体软件从 FLASH（闪速存储器）中读入到内存，启动完毕后，路由器便退出了 BootROM 软件，进入到正常运行模式，在正常运行模式下，便是 RGNOS 路由器主体软件在工作了，BootROM 软件也有自己的提示符和命令行接口，进入到 BootROM 提示符状态时，便称为 ROM 监控模式，在 ROM 监控模式下，可以完成路由器的 BootROM 升级，RGNOS 主体软件的升级，以及一些路由器的其他维护工作。 7.1.2 如何进入 ROM 监控模式如果在 BootROM 软件启动时，无法在 FLASH 内找到合法的 RGNOS 主体软件映像时，便直接进入到 ROM 监控模式了。也可以采用手工进入，首先在路由器的 Console 口用标准 RS-232 线缆连接一台微机，并且在微机上运行终端仿真程序，在开机或者复为位后的 3 秒内按，便进入了 ROM 监控模式了。 Boot Program for nbr, Version 01.02, Rev 04, 2004-05-08. SDRAM 16M mccr1:F4680000 mccr2:000008A4 mccr3:FA000000 mccr4:36323234 Dev ID : 0x20100B Dev ID : 0x20100B -------------------------------------------------------------------------slot|seq|int|bus|dev|fun start end config devid name 0 0 0 0 20 0 80000000 80000fff 8000a000 20100b Ethernet 0 17 18 0 21 0 80001000 80001fff 8000a800 20100b Ethernet ------------------------------------------------------------------------------------系统中共有 2 个 PCI 设备 Router is entering the monitor mode...... Parallel FLASH ID: 0000010F , Size 512 kbytes Serial FLASH ID: 0000ECE6 , Size 8192 kbytes The wired nand flash checking! Main Menu: 1. 2. 3. 4. 5. 6. TFTP Download & Run TFTP Download & Write Into File X-Modem Download & Run X-Modem Download & Write Into File List Active Files List Deleted Files 第 118 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 7. 8. 9. a. b. 用户手册 Run A File Erase A File Squeeze File System Format File System Other Utilities Please select an item: 说明：要进入 ROM 监控模式，只能在 Console 口上连接终端的方式才可以，不支持其他异步口配置方式和 Telnet 客户端配置方式进入。 7.1.3 ROM 监控模式的升级功能 a 警告：请不要随意进行路由器的软件升级，如确实有必要，最好在技术支持人员的指导下进行，另外在进行软件升级时，请注意确保所提供的升级文件和路由器的硬件版本匹配，否则路由器无法启动。 7.1.3.1 ROM 监控模式下升级路由器主体软件在 ROM 监控模式下，升级路由器主体软件的步骤如下： 1．选择用于升级的以太网口锐捷系列路由器支持通过特定的以太网口对路由器的主体软件进行升级（选择第一个以太口）。确定好以太口后，将该接口和一台有 TFTP 服务功能的微机（假定 IP 地址为 100.100.100.171）通过以太口连接，同时将路由器的配置口通过控制台线缆连接到一台微机的串口上（可以是同一台微机）。说明：在 ROM 监控模式下，需要通过特定的以太网口对路由器的主体软件进行升级，就是必须把网线接在 LAN 的第一个口上，才能正确的进行升级，如果把网线接在其他口，则不能在 ROM 监控模式进行升级。 2．在与路由器以太口连接的微机上运行 TFTP Server 程序，同时将升级路径指向放置升级文件（router.bin）的目录。 3．然后按照以下步骤进行操作 Main Menu: 1. TFTP Download & Run 2. TFTP Download & Write Into File 3. X-Modem Download & Run 第 119 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 4. 5. 6. 7. 8. 9. a. b. 用户手册 X-Modem Download & Write Into File List Active Files List Deleted Files Run A File Erase A File Squeeze File System Format File System Other Utilities Please select an item: 2 ⇐选择把映像文件下载到内存中后再写入到 flash 中 File name[ ]: router.bin ⇐映像文件名 Local IP[ ]: 100.100.100.100 ⇐本地 ip 地址 Remote IP[ ]: 100.100.100.171 ⇐tftp 服务器 ip 地址 Read Mac Addr from eeprom =00-D0-F8-0F-C2-02 %Now Begin Download File router.bin From 100.100.100.171 send download request. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! %Mission Completion. FILELEN = 3558528 Enter File Name(Input ESC to quit):[rgnos.bin] ⇐写入到 flash 中的映像文件名，这里必须为 rgnos.bin The wired nand flash checking!It may take several minutes. Sectors checking: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!! Sectors checking finish. Write file to flash: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!! Write file to flash successfully! 此时再次关开或复位路由器就可以进入新升级的路由器主体软件了。 7.1.3.2 ROM 监控模式网络下载执行功能对于手头路由器主体软件的映像文件，如果不能确定该映像文件是否正确，在功能上是否可以满足要求，不要随意的将该映像文件直接升级到路由器上，可以采用 RGNOS 提供的在 ROM 监控模式下，网络下载执行的功能，将映像文件从网络上下载到内存直接执行，来判断映像文件是否正确，功能是否可以满足需求，操作的步骤如下： 1．择用于下载的以太网口确定好以太口后，将该接口和一台有 TFTP 服务功能的微机（假定 IP 地址为 192.168.12.181）通过以太口连接，同时将路由器的配置口通过控制台线缆连接到一台微机的串口上（可以是同一台微机）。 2．与路由器以太口连接的微机上运行 TFTP Server 程序，同时将升级路径指向放置升级文件（router.bin）的目录。 3．然后按照以下步骤进行操作 Main Menu: 第 120 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 1. 2. 3. 4. 5. 6. 7. 8. 9. a. b. 用户手册 TFTP Download & Run TFTP Download & Write Into File X-Modem Download & Run X-Modem Download & Write Into File List Active Files List Deleted Files Run A File Erase A File Squeeze File System Format File System Other Utilities Please select an item:1 ⇐选择直接把映像文件下载到内存中 File name[router.bin]: ⇐下载执行路由器主体软件名 Local IP[100.100.100.100]: ⇐本地 ip 地址 Remote IP[100.100.100.171]: ⇐tftp 服务器的 ip 地址 Read Mac Addr from eeprom =00-D0-F8-0F-C2-02 %Now Begin Download File debug.bin From 192.168.210.109 send download request.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!! %Mission Completion. FILELEN = 3558528 Red-Giant Operating System Software RGNOS (tm) RELEASE SOFTWARE, Version 8.1(neibu) building 1 Copyright (c) 2004 by Red-Giant Network co.,Ltd Compiled Jun 7 2004 13:21:37 by Lanjx Red-Giant NBR1000 series NBR1000 Motorola Power PC processor with 16384K bytes of memory. Processor board ID 00000001,with hardware revision 00000001 SDRAM: 16M Bank0: 00000000 - 00FFFFFF 16M System power off accidentally last. Parallel FLASH ID: 0000010F Size :512 KB Serial FLASH ID: 0000ECE6 Size :8192 KB Init nand flash device information for NBR1000. pci information in the system ===================================== slot|seq|bus|int|dev|fun start end config devid fbtb name 00 00 00 01 21 00 80001000 80001fff 8000a800 0020100b 1 Ethernet 01 00 00 00 20 00 80000000 80000fff 8000a000 0020100b 1 Ethernet card information in the system ===================================== slot class id type id hardware ver firmware version slot 0 main board MB_M8241_NBR 1.0 1.0 MII not found. 第 121 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 %INE PROTOCOL %INE PROTOCOL %INK CHANGED: down %INK CHANGED: %INE PROTOCOL NBR > 用户手册 CHANGE: Interface dialer 0, changed state to DOWN CHANGE: Interface dialer 1, changed state to DOWN Interface FastEthernet 1/1, changed state to administratively Interface FastEthernet 0/0, changed state to up CHANGE: Interface FastEthernet 0/0, changed state to UP 7.2 正常工作模式维护与升级 7.2.1 正常工作模式下路由器升级前准备正常工作模式就是指路由器运行在正常工作状态下。在正常工作模式下，路由器可以完成利用 TFTP 服务器，升级路由器主体程序和模块上的微代码程序的功能；可以利用 TFTP 备份路由器的配置、设置路由器，所有这些功能都只用一个 COPY 命令来完成。使用这些功能之前，必须先搭建一个合适升级环境，事先做好如下的准备：路由器和用于升级路由器的微机在同一网络环境内，保证路由器和微机在网络上相通，搭建一个如下图所示的升级环境。图 4-1：用 Telnet 配置模式对路由器进行远程升级在微机上启动 TFTP Server。给路由器对应接口配置 IP 地址，该 IP 地址不能和网络上的其他设备冲突，并且与 TFTP Server 微机可以相互通讯。可以在路由器方先用 Ping 测试网络的连通性，如果能 Ping 通，说明使用正常工作模式下的维护功能的环境才能满足。说明：在正常工作模式下，对路由器的主体程序、web 文件进行升级时，可以采用任何的连接方式进入配置模式，可以在 Console 口进入，也可以通过异步口进入，还可以用 Telnet 的方式进入配置模式，都可以执行升级的命令，在升级路由器的主体程序时，不会影响路由器的正常运行，不过如果升级正在使用模块的微代码程序时，则会影响路由器的正常工作了，建议不要对正在工作的路由器进行升级。第 122 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 7.2.2 正常工作模式下路由器主体程序的升级 NBR 的系统软件包括主软件（rgnos.bin）和 WEB 配置软件（包括 index.htm、 vms15.htm、WebClt.jar 等三个文件）两个部分。在正常工作模式下有两种升级方法，第一种方法是各个文件分别升级，另外一种是升级一个打包后的文件，这个文件是上述四个文件打成的一个包。RGNOS8.1 版本只支持第一种方法，RGNOS8.2 之后的版本支持上述两种方法。方法一做好上述的升级前的准备工作，并且将用于升级的路由器主体程序文件拷贝到 TFTP 服务器所指定的目录下，在路由器特权用户模式下执行如下命令： Red-Giant#copy tftp flash 然后根据提示输入对应的参数。正常工作模式下路由器主体程序的升级操作实例如下： Red-Giant#copy tftp flash:/RGNOS.bin ⇐下载执行路由器主体软件 Address or name of remote host []?100.100.100.171 ⇐TFTP 服务器地址 Source filename []?debug.bin ⇐TFTP 服务器上的源文件名 Accessing tftp://100.100.100.171/debug.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Success : Transmission success,file length 2720256 Red-Giant # Red-Giant #dir ⇐查看是不是 RGNOS.bin 文件已经写到 flash 中 Directory of flash:/ 3 an 68 0x64892209 Dec 29 2003 00:00:00 tftp_config.bin 4 an 2720256 0x4c1467e3 Feb 17 2003 02:45:28 /RGNOS.bin 说明： 1．路由器主体程序文件下载到 flash 中,必须命名为 RGNOS.bin,而不能用其他的文件名,路由器启动后执行的主体文件就是 RGNOS.bin,要是找不到 RGNOS.bin,就只会进入 bootrom 的小版本模式 2．NBR 的 Flash 中还包括三个相关的 WEB 文件，分别为 index.htm、vms15.htm、 WebClt.jar，这三个文件必须存在，否则 WEB 配置功能将失效。如果不慎破坏了这几个文件或者这几个文件需要升级，其升级方法与本节所描述的方法一致，只是文件名需要为 index.htm、vms15.htm、WebClt.jar 而已。方法二做好上述的升级前的准备工作，并且将用于升级的路由器打包文件拷贝到 TFTP 服务器所指定的目录下，在路由器特权用户模式下执行如下命令：第 123 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 Red-Giant#copy tftp update 然后根据提示输入对应的参数。一个操作实例如下： SERVER2#copy tftp update Address or name of remote host []?100.100.100.171 ⇐TFTP 服务器地址 Source filename []?rgnos.upd ⇐TFTP 服务器上的源文件名 The wired nand flash checking!It may take several minutes. Sectors checking: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Sectors checking finish. Accessing tftp://100.100.100.171/rgnos.upd... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Success : Transmission success,file length 4231312 Red-Giant # 7.3 路由器密码丢失的处理方法如果路由器的特权用户密码丢失，可以按照以下步骤进行恢复。准备一台运行仿真终端程序的 PC ，推荐使用 Procomm 或者 Windows Hyper Terminal(超级终端)。将 PC 的串口和路由器的控制台口用配套的控制线连接。路由器重启，在超级终端上执行 ctrl+c ，使路由器进入 Rom 模式，出现以下菜单。 Main Menu: 1. 2. 3. 4. 5. 6. 7. 8. 9. a. b. c. TFTP Download & Run TFTP Download & Write Into File X-Modem Download & Run X-Modem Download & Write Into File List Active Files List Deleted Files Run A File Delete A File Rename A File Squeeze File System Format File System Other Utilities Please select an item:5 !选择菜单选项 5,列出 flash 上的所有文件, !其中配置文件名是 config.text show all Active files information in flash! filename filesize filebaseaddress filecrc time index.htm 820 0xf0008118 0x06f90e2b 2037-01-09 14:45:48 vms15.htm 2251 0xf00084b8 0x4626ac75 2037-01-09 14:46:12 webclt.jar 463424 0xf0008df8 0x0b908d33 2037-01-09 14:53:28 rgnos.bin 3939648 0xf007a278 0xa66d70f8 2037-01-09 14:46:19 tftp_config.bin 68 0xf043d668 0xacadf42f 2004-05-08 00:00:00 第 124 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书 config.text 用户手册 2491 0xf043eb78 0xaf60d9d7 2037-01-09 21:31:46 Please press any key to continue. Main Menu: 1. 2. 3. 4. 5. 6. 7. 8. 9. a. b. c. TFTP Download & Run TFTP Download & Write Into File X-Modem Download & Run X-Modem Download & Write Into File List Active Files List Deleted Files Run A File Delete A File Rename A File Squeeze File System Format File System Other Utilities Please select an item:9 !选择菜单选项 9,进行文件名修改操作 !把缺省的配置文件 config.text 改名称为 config.bak Old file name input. Enter File Name(Input ESC to quit):config.text New file name input. Enter File Name(Input ESC to quit):config.bak Write file to flash: !! Write file to flash successfully! Rename successfully! Main Menu: 1. 2. 3. 4. 5. 6. 7. 8. 9. a. b. c. TFTP Download & Run TFTP Download & Write Into File X-Modem Download & Run X-Modem Download & Write Into File List Active Files List Deleted Files Run A File Delete A File Rename A File Squeeze File System Format File System Other Utilities Please select an item:5 !此时 config.text 文件名已改为 config.bak, !路由器找不到配置文件 config.text， !就会以默认配置运行路由器， !这样就避开了原先配置的用户口令 show all Active files information in flash! filename filesize filebaseaddress filecrc time index.htm 820 0xf0008118 0x06f90e2b 2037-01-09 14:45:48 vms15.htm 2251 0xf00084b8 0x4626ac75 2037-01-09 14:46:12 webclt.jar 463424 0xf0008df8 0x0b908d33 2037-01-09 14:53:28 rgnos.bin 3939648 0xf007a278 0xa66d70f8 2037-01-09 14:46:19 tftp_config.bin 68 0xf043d668 0xacadf42f 2004-05-08 00:00:00 第 125 页共 134 页 http://www.ruijie.com.cn 锐捷 NBR 系列路由器使用说明书用户手册 config.bak 2491 0xf043f5a8 0xaf60d9d7 2004-05-08 00:00:00 Please press any key to continue. 通过以上操作，将配置文件 config.text 改名为 config.bak。这样启动路由器进入主模式之后，路由器找不到配置文件 config.text，就会以默认配置运行路由器，这样就避开了原先配置的用户口令了。进入路由器的大版本,再把配置恢复回来,并且重新修改密码进入大版本后,执行以下的操作来恢复原先的配置 NBR#dir !通过该命令,查看路由器上 flash 上的所有文件,其中 ! config.bak 是需要恢复的配置文件 ! config.text 是路由器生程的默认的配置文件 !现在就是要删除默认的配置文件,把备份的配置文件改名为默认配置文件 Directory of flash:/ 1 an 820 0x 6f90e2b Jan 16 2000 07:45:40 index.htm 2 an 2251 0x4626ac75 Jan 16 2000 07:46:11 vms15.htm 3 an 68 0xc262d273 May 8 2004 00:00:00 tftp_config.bin 5 an 463424 0x b908d33 Jan 21 2000 12:27:24 webclt.jar 6 an 3280512 0xf57c2af4 Jan 21 2000 12:57:43 rgnos.bin 7 an 313 0x732dfe8c Jan 22 2000 06:16:37 config.bak 8 an 73 0x 7c9de51 Jan 1 1970 08:00:16 config.text NBR# NBR# NBR#delete config.text NBR# !通过该命令,删除默认的配置文件 config.text NBR#rename config.bak config.text !通过该命令, 把备份的配置文件 config.bak !改名为默认的配置文件 config.text NBR#copy starup-config running-config !通过该命令，将配置文件拷贝到当前的！运行环境中通过以上的步骤，我们就把原先在 rom 版本改名的配置文件恢复回来了，现在您要做的只要把 enable 密码修改一下，记住修改后的密码，下次进路由器用修改后的密码登陆，就没有问题了。第 126 页共 134 页 http://www.ruijie.com.cn