思科无线路由器的详细设置方法
Cisco 851W路由器是一个相对廉价的多功能设备,最低价格292美元,支持防火墙隔离的虚拟无线局域网。虽然Cisco 871W可做更多事情,但它的价格在500到700美元之间,价格依据软件功能不同而变化—。这价格对于一个家用路由器或小型企业用的路由器来说过于昂贵了。就算是最便宜的Cisco 871W也需要500美元,但他的功能也不比Cisco 851W多多少,只不过多了个外接天线连接器,可以让你连接一个更大的天线。只有700美元的Cisco 871W才会提供额外的附加功能,例如BGP路由,VLAN的支持,以及QoS传输质量协议。上次,我解释了如何配置昂贵的871W。不幸的是,许多人因为没有高级IP的IOS功能包而无法使用它。本次教程主要针对那些已经拥有或者打算购买Cisco 851W的人。
高级SOHO双网体系
我将演示如何使用标准的“advanced security”IOS来设置一台Cisco 851w或Cisco 871w路由器,来完成一个高级SOHO配置,可以提供如下功能:
◆状态检查防火墙
◆2个虚拟无线局域网(最大10)
◆一个虚拟局域网接一个无线局域网
◆所有无线局域网设置使用WPA-PSK安全认证
◆一个无线局域网作为客户网络提供有限访问
◆DSL PPPoE客户端
◆DHCP服务器
上图显示了该配置的逻辑图。橘色象征客户网络,而绿色代表内部网络。整个交换机被设置为VLAN1,851W和871标准IOS(“标准IOS”就是“advanced security”IOS)不支持VLAN。只有运行“Advanced IP”IOS的Cisco 871W才支持VLAN。这表示只有内部无线网络才能接到使用BVI 1的交换机上(Bridge Virtual Interface)。
端口F4是广域网端口,设置为使用ADSL的Modem进行PPPoE拨号。“客户无线局域网GuestWLAN”,橘色的无线网络将可以无限制访问Internet,但无法访问图示为绿色的内部网络。内网则可以无限制访问橘色的客户网络以及Internet。客户无线局域网的SSID是“GuestWLAN”,内部无线局域网的SSID是“InternalWLAN”。现在,Cisco 851W和871W只能广播一个SSID,所以“GuestWLAN”将是唯一被广播的SSID。后续更新的硬件应该能解决这个问题。
对那些怀疑“隐藏SSID到底是否安全”的人来说,“隐藏SSID”毫无用处,就如同被过滤掉。
初始硬件设置
在取出851W或者871W并插上电源之后,将附带的控制电缆连接到电脑的一个可用串行接口上。如果你用的是笔记本电脑,没有提供串行接口,那则需要一个USB-Serial的转换器。如果你想要想获得比较理想的测试效果,那你需要一台支持无线局域网的笔记本和一台台式电脑。将台式电脑连接F1或快速以太网端口1(在下图中是左数第二个端口,F0是第一个)。大部分台式电脑至少有一个串口COM1,你可以把它设置为主制计算机。将控制端口的RJ45接头插入最右侧标有“console”的RJ45端口上。如果你只有笔记本电脑,你可以用它来测试有线和无线网络的功能。
清除默认设置
对所有的新Cisco路由器,我首先要清空默认设置。你必须用用户名“cisco”和口令“cisco”才能首次登录。对某些特定的Cisco路由器或者接入点,“cisco”中的“c”可能需要大写,不过绝大多数的新Cisco设备都使用小写的“cisco”。一旦你登录进去,你就需要键入如下命令:
enable
write erase
reload
路由器重启完毕后,你就可以看到一个“router>”的提示符,并不再要求你输入口令。现在,你所面对的路由器是一张白纸了。这次不比上一次,当我们需要创建一些VLAN时,871W的标准“高级安全IOS”功能包并不支持,而851W即使安装了IOS也不行。你现在需要进入全局配置模式(global configuration mode),方法就是输入古老的“config t”命令。
适用于851W或871W的CLI设置模版
我一直认为Cisco那些配置教程太难使用,所以我用Excel创建了自己的配置系统。
在这份教程中,我已经为Cisco 851W或871W的标准“Advanced IP”IOS建立了3个模版,含Justin的全新快速替换功能。第一个模版用于DSL PPPoE的部署。第二个模版用于DHCP或cable Modem的Internet连接(注意,如果用于cable modem的部署,你需要重启cable modem。它一般会锁定在某个特定mac地址上,除非你重启modem,否则路由器将无法正常工作)。第三个模版用于静态IP的广域网部署。
看了本教程后,可以很容易生成自己的Cisco 851w或871w配置文件。你所需要做的只是填写黄色区域的改变量的.表格,如下图所示。
下图显示了配置模版中用红色方括号注明的可替换变量名的参考表格。“替换(Replace)”按钮将拷贝参考表的内容到一个名为“871W”的新表中(用户配置在G5单元格),且每创建一个新配置文件,文件名将自动累加一位。
在851W或871W上插入设置
一旦配置创建成功,你就可以拷贝自行设定的命令列(有“command”标签的那一列),并粘贴到控制台中。注意所有的Excel格式都将被粘贴命令自动去除,而这正是我们所希望的。注意,某些命令插入的时间明显更长些,因为路由器需要进行相应的思考。我推荐你一次输入一小部分命令,并确认每个命令都正常执行无错误(有点警告信息倒没什么)。如果你贴入的太快,控制台常常会丢失正常状态,所以要确保路由器接受了每一个命令。你将不得不使用“show run”命令来进行校验。满意之后,不要忘记执行“write mem”命令来永久保存设定,否则下次重启路由器之后,一切又回到老样子了。
最后的Excel文件非常适用于初始化设置和永久记录。任何了解Cisco设备知识的人都可以明白使用这个模版将会发生什么。格式化的表格,高亮的关键词,以及对所有文本的格式化,都有助于Cisco CLI更易于被阅读和理解。
你也可以改变参考表,如果你打算修改模版来适应自己需求的话。比方说,你可能不希望迫使客户放弃WEP而改用WPA-PSK,或者干脆希望保持网络开放,提供一个免费的热点接入。
测试你的multi-VLAN、multi-WLAN路由器
你的台式电脑连接到F0到F3端口都应该可以工作。你应该可以在内部网络上获得IP地址。如果你使用了我的IP方案,那么IP地址应该是192.168.1.100。你应该可以ping通192.168.1.1以及192.168.2.1,这是BVI1接口IP地址以及dot0.20的无线子接口IP地址。一旦配置完毕,你将需要使用自行定义的用户名和口令登录。如果Ping不通,你需要检查BVI的IP地址配置,以及无线子接口的IP地址配置。
如果你不能Ping到路由器,你自然也不能使用telnet,那么你就只能使用控制台来解决问题了。你可以通过使用“show ip int brief”命令来尝试解决IP设置问题,这个命令会列出Cisco路由器中所有的接口信息。
如果你输入了一个有效的DNS服务器地址,那么你应该也可以ping通类似techrepublic.com这样的地址。如果你不能ping通任何网站,可以尝试Ping一下你的DNS服务器,看它是否处于正常工作状态。如果DNS服务器Ping不通,你需要调试并校验你的配置是否正确无误。一个好办法是首先检查你的拨号接口1(Dialer1 interface),看它是否已被你的DSL提供商赋予了一个IP地址。如果使用的是cable modem,则一般是被配置为DHCP模式的快速以太网接口4(FastEthernet4)。
如果你可以ping通上述任何地址,则可以尝试使用你的无线笔记本连接2个无线局域网。“GuestWLAN”将是唯一可以看到的SSID,因为它是唯一被广播的。连上客户网后,你应该尝试Ping一下192.168.1.1,如果无法Ping通则代表Guest-ACL有效。注意Guest-ACL可以被修改以提供例外情况——比如,你希望你的客户们可以进行打印。客户网应该可以无限制访问Internet。
而进入“InternalWLAN”是有点麻烦,因为你无法通过浏览看到它。你必须手动添加SSID,并将此网络的Profile移动到网络列表的最顶端。然后你必须从GuestWLAN上断开,而后在Windows XP SP2的网络浏览器中进行刷新,或使用你的无线客户软件进行刷新。略等片刻,应该就可以连上InternalWLAN。这就是为什么我讨厌SSID隐藏的原因,用起来这么麻烦,却不能为提高安全带来任何好处。
【思科无线路由器的详细设置方法】相关文章:
思科路由器设置VPDN的方法10-31
思科认证无线路由密码设置方法06-06
思科路由器设置11-13
ADSL无线路由器设置的方法05-10
思科路由器设置界面11-06
思科路由器怎么设置05-25