1. 神州数码路由器基础配置实战第一次拿到神州数码路由器时我盯着那个金属盒子看了半天——这玩意儿可比家用路由器复杂多了。不过别担心跟着我的步骤走你也能快速上手。先说说最基本的设备初始化这是所有高级功能的基础。登录设备的第一步是连接Console口。我习惯用SecureCRT波特率设成9600接上线就能看到登录界面。输入默认用户名密码通常是admin/admin后你会看到一个朴素的命令行界面。这里有个小技巧神州数码设备的命令模式和思科很像但有些细节差异比如特权模式是用enable而不是en。基础安全配置绝对不能跳过。我建议先改掉默认密码就像这样Router(config)#enable password MyStrongPwd2023 Router(config)#username admin password NewAdminPwd记得把密码复杂度设高些上次有个客户用123456被黑了排查了半天问题。远程管理是工程师的刚需。开启Telnet或SSH前一定要先配置访问控制Router(config)#telnet-server enable Router(config)#access-list 1 permit 192.168.1.100 0.0.0.0 Router(config)#line vty 0 4 Router(config-line)#access-class 1 in我吃过亏有次忘记加ACL结果路由器成了全网扫描的重灾区。时钟同步也很重要特别是需要日志分析时Router(config)#clock timezone CST 8 Router(config)#ntp server 210.72.145.44这个北京时间的NTP服务器我用了好多年相当稳定。2. 静态路由与单臂路由配置详解刚接手一个分公司网络改造项目时老板要求用最省成本的方式实现VLAN间通信。这时候单臂路由就派上用场了。先说说静态路由配置这是最基础也最稳定的路由方式。配置静态路由的命令很简单Router(config)#ip route 192.168.2.0 255.255.255.0 10.0.0.2但要注意掩码一定要写对我有次把255.255.255.0写成255.255.0.0导致整个网段通信异常。单臂路由配置稍微复杂些关键是要处理好子接口和VLAN的对应关系。比如要实现VLAN 10和VLAN 20互通Router(config)#interface fastEthernet 0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config)#interface fastEthernet 0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0这里有个坑主接口不要配IP地址我刚开始学的时候在这栽过跟头。3. 动态路由协议实战RIP与OSPF动态路由协议是中型网络的必备技能。先说说RIP配置虽然现在用得少了但在老旧设备上还是常见。RIPv2的基本配置Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network 192.168.1.0记得一定要用version 2v1不支持CIDR和无类路由。我见过有人用v1导致路由表不完整。OSPF的配置更复杂些但功能强大得多。基本配置如下Router(config)#router ospf 1 Router(config-router)#router-id 1.1.1.1 Router(config-router)#network 10.0.0.0 0.255.255.255 area 0区域划分是OSPF的重点。小型网络用area 0就够了但超过50台设备就要考虑多区域设计。去年我做过一个项目area划分不合理导致LSDB过大设备内存直接爆了。路由重分发也很实用特别是多协议共存时Router(config-router)#redistribute rip subnets Router(config-router)#redistribute static metric 50metric值要设合理否则可能导致次优路径。4. 高级策略部署策略路由与NAT策略路由(PBR)是我最喜欢的功能之一它能实现基于策略的灵活路由。比如要把财务部的流量单独走专线先建ACLRouter(config)#ip access-list extended FINANCE Router(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 any然后配置route-mapRouter(config)#route-map PBR permit 10 Router(config-route-map)#match ip address FINANCE Router(config-route-map)#set ip next-hop 172.16.1.1最后应用到接口Router(config)#interface GigabitEthernet 0/1 Router(config-if)#ip policy route-map PBRNAT配置是连接互联网的关键。静态NAT适合服务器Router(config)#ip nat inside source static 192.168.1.100 203.0.113.5动态NAT更适合办公网络Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 Router(config)#ip nat pool INTERNET 203.0.113.10 203.0.113.20 netmask 255.255.255.0 Router(config)#ip nat inside source list 1 pool INTERNET overloadPAT(端口复用)是最常用的Router(config)#ip nat inside source list 1 interface GigabitEthernet 0/0 overload5. PPP协议与广域网连接分公司互联经常要用到PPP协议。PAP认证配置简单但不够安全Router(config)#username BRANCH password OurSharedPwd Router(config)#interface Serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#ppp authentication papCHAP更安全配置稍复杂Router(config)#username BRANCH password SameSecretKey Router(config)#interface Serial 0/0 Router(config-if)#encapsulation ppp Router(config-if)#ppp authentication chap注意两边密码必须一致但用户名要写对方路由器的hostname。有次调试时两边密码设错折腾了两小时才发现。6. 实战中的排错技巧路由器配置最怕出问题。我总结了几条排错黄金法则先ping测试连通性Router#ping 192.168.1.1查看路由表Router#show ip route检查接口状态Router#show interface GigabitEthernet 0/0NAT调试Router#debug ip natOSPF邻居状态Router#show ip ospf neighbor记得debug完一定要关闭Router#no debug all有次我忘记关debug设备日志很快就爆了。配置保存也很重要Router#write memory Router#copy running-config startup-config神州数码设备两个命令效果一样但第二个更符合行业习惯。