在全中采用的是CISCO3825的路由器，它通過自己的串行接口serial0/0使用DDN技術接入Internet。其作用主要是在Internet和企業(yè)網之間路由數(shù)據(jù)包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），路由器ZZrouter還可用來完成以自身為中心的流量控制和過濾功能并實現(xiàn)一定的安全功能。

其基本配置與接入層交換機的配置類似，配置命令如下：(需說明的是由普通用戶進入特權模式輸入命令enable，由特權模式進入全局配置模式輸入命令config t(全寫為configure terminal))

Router#configure terminal

Router(config)#hostname R1-out

R1-OUT(config)#enable secret cisco

R1-OUT(config)#no ip domain-lookup

R1-OUT(config)#logging synchronous

R1-OUT(config)#line con 0

R1-OUT(config-line)#exec-timeout 5 30

R1-OUT(config-line)#line vty 0 4

R1-OUT(config-line)#password cisco

R1-OUT(config-line)#login

R1-OUT(config-line)#exec-timeout 5 30

R1-OUT(config-line)#exit

主要是對接口FastEthernet0/0以及接口serial0/0的IP地址、子網掩碼的配置。配置命令如下：

R1-OUT(config)#interface fastethernet 0/0

R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0

R1-OUT(config-if)#no shutdown

R1-OUT(config-if)#interface serial 0/0

R1-OUT(config-if)#ip address 202.168.1.1

R1-OUT(config-if)#no shutdown

配置靜態(tài)路由

在R1-OUT路由器上需要定義兩個路由：到企業(yè)內部的靜態(tài)路由和到Internet上的缺省路由。

R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1

到企業(yè)網內部的路由經過路由匯總后形成兩個路由條目如下所示：

R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3

R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4

配置NAT

由于目前IP地址資源非常稀缺，不可能給企業(yè)網內部的每臺工作站都分配一個公有IP地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。

為了接入Internet，本企業(yè)網向當?shù)氐腎SP申請了10個IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配給了serial0/0，202.168.1.2和202.168.1.3分配給兩個經理辦公室。其它就進行NAT轉換。

R1-OUT(config)#interface fastethernet 0/0

R1-OUT(config-if)#ip nat inside

R1-OUT(config-if)#interface serial 0/0

R1-OUT(config-if)#ip nat outside

R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255（定義允許進行NAT轉換的工作站的IP地址范圍）

在路由器上配置訪問控制列表（ACL）

路由器是外網進入企業(yè)內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表（ACL）不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。

由于路由器介于企業(yè)內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統(tǒng)安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表（ACL）進行縝密的設計，來對企業(yè)內網包括對防火墻本身實施保護。

屏蔽文件共享協(xié)議端口2049，遠程執(zhí)行（rsh）端口512，遠程登錄（rlogin）端口513，遠程命令(rcmd) 端口514，遠程過程調用(sunrpc)端口111。命令如下：

R1-OUT(config)#access-list 101 deny udp any any ep snmp

R1-OUT(config)#access-list 101 deny udp any any ep snmptrap

R1-OUT(config)#access-list 101 deny tcp any any ep telnet

R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽遠程執(zhí)行（rsh）端口512和遠程命令(rcmd) 端口514

R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽遠程過程調用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽遠程過程調用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享協(xié)議端口2049

R1-OUT(config)#access-list 101 permit ip any any

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#ip access-group 101 in /acl端口應用

設置只允許來自服務器的IP地址才能訪問并配置路由器

命令如下：

R1-OUT(config)#line vty 0 4

R1-OUT(config-line)#access-class 2 in/建立訪問控制列表2（ACL2）

R1-OUT(config-line)#exit

R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255

為了支持無類別網絡以及全零子網進行如下的配置：

R1-OUT(config)#ip classless

R1-OUT(config)#ip subnet-zero

配置路由器的封裝協(xié)議和身份認證

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#encapsulation ppp

Ppp提供了兩種可選的身份驗證方法:口令驗證協(xié)議PAP(Password Authentication protocol, PAP)和質詢握手驗證協(xié)議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因為CHAP不在線路上發(fā)送明文密碼，而是發(fā)送經過摘要算法加工過的隨機序列。

但CHAP對端系統(tǒng)要求很高，需要耗費較多的CPU資源，一般只用在對安全性要求很高的場合。而PAP雖然用戶名和密碼是以明文的形式發(fā)送的，但它對端系統(tǒng)要求不高，所以我們普遍采用這種身份驗證機制。

配置命令如下：

首先要建立本地口令數(shù)據(jù)庫

R1-OUT(config)#username remoteuser password zhangguoyou

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#ppp authentication pap

到此路由器的配置就基本上完成了。