路由器配置工具的使用 (图)

作者:南阳理工学院网络中心 吴绍兴

计算机发展到今天，在商业技术领域充分体现着其应用的广泛前景。随着计算机价格的下调，计算机大规模进入家庭，同时大中型企事业单位开始建设自己的内部网络。在教育行业中要求在2004年达到高等院校建立内部网并互入互联网，2008年有条件的中小学也要建立校校通。
在这种大的形势下，路由器成为大家越来越熟悉的网络设备，拿到路由器后，我们最迫切的想法是，如何快速地进行配置并投入使用？下面笔者结合自己的实际工作经历，以Cisco路由器为例，介绍界面友好、智能的路由器配置工具Cisco ConfigMaker的使用方法。

何为Cisco ConfigMaker

Cisco ConfigMaker是Cisco公司开发并免费提供使用的路由器配置工具，我们可以用ConfigMaker创建所有Cisco路由器的配置，做好配置后通过网络传到路由器中。如果网络尚未开通运行，可以从运行ConfigMaker的计算机通过控制端口和路由器相连，并将配置导入到路由器。使用ConfigMaker要注意的是路由器应该运行在Cisco IOS 11.2以上的版本，您可以在控制台的用户模式或特许模式通过show version命令来查看IOS的版本号，只要您的IOS版本支持ConfigMaker，一切就好办了。如果不支持也可以通过ConfigMaker来创建网络图，或者通过ConfigMaker来熟悉配置路由器接口的相关LAN协议和地址系统。

获取及安装ConfigMaker

Cisco ConfigMaker是适合在Windows 98/2000 使用的工具，它能使Cisco设备（包括Cisco 路由器、访问服务器、Micro 集线器、Micro 交换机和Micro Web服务器等）进行快速有效地配置。在Cisco公司的每一个支持设备的软件功能包中都可以免费获取，也可以从www.cisco.com/go/configmaker网址中免费下载。从Cisco网站上下载时，要求输入个人信息、使用在哪个操作系统下及网络协议等，并要求同意遵守相关的协议后，才能进行下载（见图1）。也可以通过其他途径获取该软件，安装过程很简单与一般应用软件相同，在此就不多叙述。

图1

用ConfigMaker设计网络

ConfigMaker也是一个很好的画图工具，可以为您的网络描绘一个示意图。我们可以通过桌面的图标或开始菜单中的程序进入到ConfigMaker主界面（见图2），图上设备窗口中提供了路由器、Hub、LAN、企业网络以及各种其他设备的图标，您只要将想要的设备拖到网络画图区就可以了。在连接窗口内提供网络图中各设备之间所要建立的各种连接的图标（如LAN、以太网、ISDN、Frame-relay、PPP、HDLC、Voice Line等）。

图2

一、在网络图窗口中添加路由器
1.从设备窗口中选中所需要的设备图标，接着拖动Cisco路由器（如Cisco 2514）到网络画图区。
2.出现Wizard窗口，还要求输入设备的名称。
3.要求输入登录到路由器的密码及用户模式到特许模式的密码（见图3）。

图3

4.选择路由器所支持的网络协议，如IP、IPX和AppleTalk等（见图4）。

图4

5.点击“完成”按钮将完成相关操作（见图5）。要设计过程中如果已选中某一设备又未拖动到网络图窗口中，突然改变主意，可以按“ESC”键取消所选图标；如果图标已出现在网络图窗口中，可选择该图标，再按“Delete”键删除即可。

图5

二、将LAN与路由器连接起来
可以从连接窗口中选择合适的连接类型，然后把它放到路由器和LAN之间，接着要输入一些地址信息（如路由器接口的IP地址、子网掩码、支持的网络协议等）。下面用“以太网连接”举例说明。
1．从连接窗口中找到“以太网连接”图标，然后单击该图标选中它，拖入到网络图窗口中。
2．在网络图窗口中先单击路由器，将鼠标移动到Ethernet LAN后单击，这样就将两个设备图标用“以太网连接”串接起来。并出现Ethernet Wizard窗口，它会帮助设置Ethernet LAN和路由器以太网接口之间的连接，单击“下一步”开始。
3．输入路由器以太网接口的IP地址和子网掩码，也可以输入网络位与借位的位数总和。
4．在Ethernet Wizard窗口中点击“下一步”后向导屏幕中会告诉您已成功建立连接。于是在路由器和Ethernet LAN之间就出现了一条连接线，还可以利用Attributes子菜单来对图中路由器接口贴上标签。
5．根据实际情况将图中的线路连接好以后就可以用鼠标右键点击路由器，选中“Telnet”便可以连接到路由器上（见图6）。

图6

通过同样的方法还可以在路由器与路由器之间建立相应的连接，并且可以使用不同的WAN线路，但在路由器与路由器之间连接时要选择使用Serial0/Serial1等接口，同样根据提示完成相应的设置。

将配置文件传送到路由器上

使用ConfigMaker可以创建整个网络结构图，可以连接局域网和路由器、主机和路由器、路由器和路由器，所以需要的网络设备和连接都可以在设备窗口与连接窗口中找到，网络结构图完成后，便可以将整个网络配置直接应用于路由器。
使用运行ConfigMaker的计算机直接向路由器下载配置文件，最简单的方法是直接将运行ConfigMaker计算机通过一根控制线（全反线）将路由器的Console口与计算机的COM1/COM2口连接起来。接着在传送配置信息之前需检查ConfigMaker的配置信息，因为系统中默认情况设置的是COM1口，可以通过主界面中的“View”菜单中选择“Options”，在“Options”对话框中将出现COM口，使用下拉箭头根据实际连接结构选定合适的COM口，然后单击OK；也可以在网络图中选择欲下载配置文件的设备后点击鼠标右键选中“Deliver configuration”进行修改，但一定要注意的是路由器中的IOS版本必须在11.2以上，否则不支持ConfigMaker通过COM口进行传送。
使用控制台端口传送路由器配置信息的步骤如下：
1．打开包含了路由器配置信息的ConfigMaker，选择相应的路由器图标，点击鼠标右键（见图7）。


图7
2．单击“Deliver”按钮，该按钮在ConfigMaker的工具栏上，将打开传送配置向导（Deliver Configuration Wizard），列出了网络图中所选路由器。
3．单击“下一步”继续，接着要求确认没有其他程序在使用传送配置所要用到的COM端口（如果此时计算机通过COM口连接到路由器的Console口上，则此时一定要退出，否则下一步将无法正常进行）。
4．一切准备就绪后，单击Next，这时在Wizard窗口上将显示配置传送的状态（见图8）。路由器当前配置将被删除，然后重启，新的配置将装入路由器的NVRAM中。最后在屏幕上将显示路由器的名字、传送方式（控制台）以及传送完成所用的时间和日期，单击Finish按钮关闭该窗口。

图8
5．这时，路由器已用刚才传送的配置信息进行了配置，您可用超级终端连接到路由器中，使用show startup-config命令检查所传送的配置信息，它应与ConfigMaker网络图中所出现的路由配置一样。也可以通过ConfigMaker中选中路由器并点击鼠标右键，用Read Configuration将配置文件读取出来。
6．配置完后可以在ConfigMaker上直接选取命令查看路由器的状态（见图9）。

图9

总结

在网络的建设、维护、升级、改造过程中，需查看路由器的状态，对路由器的进行配置、维护，通过Cisco公司的ConfigMaker软件可以迅速、方便地进行操作，用户不需要输入复杂的命令，而直接通过拖动鼠标便完成相应的操作。
路由器的安全配置
李家宏
路由器是众多网络设备的重要一员，它担负着网间互连、路由走向、协议配置和网络安全等重任，是信息出入的必经之路，对网络的安全具有极其重要的地位。路由器的安全与否，直接危及到我们网络的安全。本文是笔者多年使用Cisco路由器的一点体会。
    
路由器的自身安全

用户口令安全
路由器有普通用户和特权用户之分，口令级别有15种，如果使用明码，当您在浏览或修改配置时容易被其他无关人员窥视到，可在全局配置模式下使用service password-encryption命令将明文密码变为密文密码，保证了用户口令的安全。通过这个命令可以将明文密码变为密文密码，反过来不成立，即具有不可逆性，所以要保存好密码，以免自找麻烦。

配置登录安全
路由器的配置一般有3种方法：控制口（Console）配置、Telnet配置和SNMP（Simple Network Management Protocol）配置。其中控制口配置主要用于初始配置，使用中英文终端或Windows的超级终端，而SNMP配置则由于SNMP协议本身的复杂性而导致它们的配置方法都比较麻烦，故使用较少。Telnet配置方法一般用于远程配置，但由于Telnet是明文传输的,很可能被非法窃听而泄露路由器的特权密码，造成安全问题。   
为了保证使用Telnet配置路由器的安全，我们可以采用以下技术措施，仅让路由器管理员的工作站登录而不让其他机器登录到路由器，以保证路由器配置的安全：
（1）使用IP标准访问列表控制语句，在Cisco路由器的全局配置模式下,键入“#access-list 20 permit host 192.120.12.20”(只允许IP为192.120.12.20的主机登录到路由器)。为了保证192.120.12.20这一IP地址不被其他机器冒用,可以在全局配置模式下键入“#arp 192.120.12.20 xxxx.xxxx.xxxx arpa”(xxxx.xxxx.xxxx为机器的网卡物理地址,该地址可通过网卡工具得到，也可通过Arp命令得到，还可以在网卡的标签上查到。),把该IP地址与其网卡物理地址绑定。这样就可以保证在用Telnet配置路由器时不会泄漏路由器的口令。
（2）在Cisco路由器的全局配置模式下,进入虚终端配置模式,键入“#line vty 0 4”。
（3）键入“#access-class 20 in”。
  
路由协议的安全
大家知道,路由器、网络要进行通信，必须要有适当的协议，否则是不可能正常通信的，只有保证路由协议的有效性和正确性,路由器才能正常工作。目前比较常用的路由协议是距离向量协议RIP（Routing Information Protocol）、开放最短路径优先协议OSPF（Open Shortest Path First）和增强内部网关选择协议EIGRP（Enhancd Interior Gateway Routing Protcocol）。为保证路由协议的正常运行，我们在配置路由器时要使用协议认证。如果不是这样，路由器就会来者不拒，照单全收。假如某个人使用一些RIP或OSPF软件,或简单地给路由器发送一些错误RIP、OSPF或EIGRP包的话,那么路由器会得到一些错误的路由信息,从而产生IP寻址错误,造成网络瘫痪。所以在配置路由器的时候我们要注意这些协议的安全认证。具体操作如下：
（1）RIP路由协议验证
RIP有RIP-1和RIP-2，RIP-1是很不安全的，任何通过UDP的520端口发送分组的主机，都会被邻机当做一台路由器，从而相信它的广播信息。RIP-2对RIP-1进行了改进，增加了验证过程。我们假设串行口Serial 1运行RIP协议,并且需要RIP验证。那么在全局配置模式下键入：
# key chain rip-test（rip-test是关键链名）
# key 1
# key-string password （password是认证字符串,任取）
# router rip validate-update-source
# inter serial 1
# ip rip authentication key-chain rip-testip  rip authentication mode md5
需要说明的是,在所运行RIP协议的接口上才需要进行验证,并且运行RIP协议双方的路由器都要有相同的配置,否则RIP路由信息不能够很好地交换。
（2）OSPF路由协议验证
OSPF有3种认证方法，简单口令认证、报文整理5（MD5）和Null，在缺省时OSPF使用Null认证，也就是路由交换不通过认证。
简单口令认证，在全局配置模式下键入：
# ip ospf authentication-key 0 password
# router ospf 100
# area 0.0.0.0 authentication
报文整理认证，在全局配置模式下键入:
# ip ospf message－digest-key 10 md5 password
# router ospf 100
# area 0 authentication message-digest
这里也要说明的是,在运行OSPF协议的接口上才需要进行验证,并且运行OSPF协议双方的路由器都要有相同的配置，自治域也要相同，否则OSPF路由信息不能够很好地交换。
（3）EIGRP路由协议的验证
EIGRP认证仅仅支持MD5认证。认证的配置有3个步骤：在端口配置模式使MD5认证模式生效；密钥链要一致；给密钥链配置密钥。
定义密钥链和密钥：
# key chain mykey
# key 1
# key-string xxx
# accept-lifetime 01:00:00 sep 9 199 infinite
# send-lifetime 01:00:00 sep 9 199 infinite
在端口配置模式使MD5认证模式生效：
# interface serial0.101 point-to-point
# ip address xxxx xxxx
# ip authentication mode eigrp 7 md5
# ip authentication key-chain eigrp 7 mykey
（4）简单网管协议SNMP的安全
由于SNMP配置使用起来比较麻烦，一般使用较少，如果使用SNMP协议,对于其public和private的验证字一定要设置好,尤其是private的,一定要一个安全的、不易猜测的验证字,因为知道了它的验证字,就可以通过SNMP改变路由器的设置。