思科路由器网关配置

在构建和维护现代计算机网络时,路由器扮演着交通警察的角色，负责引导数据包在复杂的网络路径中正确传输，网关配置是路由器最核心、最基础的任务之一，一个正确配置的网关是局域网（LAN）与外部网络（如互联网）之间通信的桥梁，本文将深入探讨在思科路由器上进行网关配置的原理、步骤、验证方法以及一些高级应用，旨在为网络管理员提供一份清晰、实用的操作指南。

理解网关与默认路由

在开始配置之前,我们必须首先理解两个基本概念：网关和默认路由。

网关本质上是一个网络节点，它充当一个网络通往其他网络的入口或出口，对于一个家庭或企业局域网而言，网关通常是连接到互联网服务提供商（ISP）的路由器，局域网内的所有设备，当需要与局域网之外的设备通信时，都会将数据包发送给这个网关。

默认路由，也称为“最后手段网关”，是一种特殊的静态路由，它告诉路由器：当路由表中没有更具体的路由条目可以匹配目标IP地址时，应该将数据包发往哪里，这就像一个邮局的“其他所有地区”邮箱，所有无法明确投递的信件都会被放入其中，在绝大多数情况下，默认路由的下一跳地址就是ISP提供的网关地址。

思科路由器网关配置步骤

配置思科路由器的网关,主要涉及为连接外部网络的接口分配IP地址，并创建一条指向ISP网关的默认路由，以下是通过命令行界面（CLI）进行配置的详细步骤。

第一步：进入全局配置模式

我们需要通过控制台、SSH或Telnet登录到路由器，并进入特权EXEC模式，然后进入全局配置模式。

Router> enable
Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#

第二步：配置接口IP地址

路由器需要至少两个接口：一个连接内部局域网（LAN），一个连接外部广域网（WAN），我们需要为这两个接口配置IP地址和子网掩码。

假设GigabitEthernet0/0连接内部局域网，GigabitEthernet0/1连接外部ISP。

配置内部LAN接口：

Router(config)# interface GigabitEthernet0/0
Router(config-if)# description Connection to Internal LAN
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit

配置外部WAN接口：

Router(config)# interface GigabitEthernet0/1
Router(config-if)# description Connection to ISP
Router(config-if)# ip address 203.0.113.2 255.255.255.252
Router(config-if)# no shutdown
Router(config-if)# exit

• ip address命令为接口指定IP地址和子网掩码。
• no shutdown命令用于启用该接口（接口默认是关闭的）。
• 0.113.2是ISP分配给我们的公网IP地址，而ISP的网关地址可能是0.113.1。

第三步：配置默认静态路由

这是配置网关的核心步骤,我们使用ip route命令来创建默认路由，其语法为ip route <目标网络> <子网掩码> <下一跳IP地址或出站接口>。

对于默认路由,目标网络和子网掩码用0.0.0 0.0.0.0表示，意为“任何网络”，下一跳地址就是我们ISP的网关。

Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1

这条命令告诉路由器：“对于任何你不知道具体如何到达的目的地，都将数据包转发给IP地址为0.113.1的设备（即ISP的网关）。”

第四步：保存配置

配置完成后,必须将其保存到启动配置中，否则路由器重启后配置将会丢失。

Router(config)# end
Router# write memory
Building configuration...
[OK]

或者使用更现代的命令：

Router# copy running-config startup-config
Destination filename [startup-config]? 
Building configuration...
[OK]

验证网关配置

配置完成后,我们需要验证其是否正确生效，思科IOS提供了强大的show命令来帮助我们进行检查。

1. 检查接口状态：使用show ip interface brief命令，确认接口已启用且IP地址配置正确。

   Router# show ip interface brief
   Interface                  IP-Address      OK? Method Status                Protocol
   GigabitEthernet0/0         192.168.1.1     YES manual up                    up
   GigabitEthernet0/1         203.0.113.2     YES manual up                    up

   • Status和Protocol都应为up。

2. 检查路由表：使用show ip route命令，查看路由表中是否存在我们刚刚配置的默认路由。

   Router# show ip route
   Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
          D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
          N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
          E1 - OSPF external type 1, E2 - OSPF external type 2
          i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
          ia - IS-IS inter area, * - candidate default, U - per-user static route
          o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
          a - application route
          + - replicated route, % - next hop override
   Gateway of last resort is 203.0.113.1 to network 0.0.0.0
   S*   0.0.0.0/0 [1/0] via 203.0.113.1
        192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
   C        192.168.1.0/24 is directly connected, GigabitEthernet0/0
   L        192.168.1.1/32 is directly connected, GigabitEthernet0/0
        203.0.113.0/30 is subnetted, 1 subnets
   C        203.0.113.0 is directly connected, GigabitEthernet0/1

   • 关键信息是Gateway of last resort is 203.0.113.1和以S*开头的条目。S代表静态路由，代表它是候选默认路由。

3. 进行连通性测试：从路由器ping一个外部公网地址（如8.8.8），以确认数据包能否通过网关到达互联网。

   Router# ping 8.8.8.8
   Type escape sequence to abort.
   Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
   !!!!!
   Success rate is 100 percent (5/5), round-trip min/avg/max = 20/21/23 ms

   五个感叹号表示ping成功。

高级应用：浮动静态路由

为了提高网络的可靠性,可以配置一条备用链路和备用网关，这通过“浮动静态路由”实现，即配置两条默认路由，主路由使用默认的管理距离（1），备用路由使用更高的管理距离（如10），当主路由失效时，备用路由会自动“浮”上来接管流量。

! 主默认路由，管理距离为1（默认值）
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
! 备用默认路由，管理距离设为10
Router(config)# ip route 0.0.0.0 0.0.0.0 198.51.100.1 10

当主链路（下一跳0.113.1）中断时，路由器会自动将流量切换到备用链路（下一跳51.100.1）。

相关问答FAQs

问题1：我已经配置了默认路由，并且show ip route也能看到，但局域网内的用户仍然无法访问互联网，可能是什么原因？

解答： 这是一个常见的故障排查问题，原因可能出在多个环节：

1. 网络地址转换（NAT）配置问题：局域网用户使用的是私有IP地址（如192.168.1.x），这些地址无法在公网上路由，你必须在路由器上配置NAT（通常是PAT），将内部私有IP地址转换为出站接口（GigabitEthernet0/1）的公网IP地址，请检查NAT配置，包括access-list定义的内部网络范围和ip nat inside source命令。
2. 访问控制列表（ACL）阻止：检查是否在内外网接口上应用了ACL，意外地阻止了返回的流量或特定的服务（如HTTP、DNS），确保ACL允许了必要的通信。
3. DNS解析问题：用户可能无法将域名（如www.google.com）解析为IP地址，请检查用户的DNS服务器设置，可以将其设置为公共DNS（如8.8.8.8或114.114.114.114）或在路由器上配置DNS转发。
4. ISP端问题：联系你的ISP，确认他们那边的线路是否正常，以及他们分配给你的网关地址是否正确。
5. 防火墙或安全设备：检查网络中是否存在其他防火墙或安全设备，它们可能阻止了流量。

问题2：默认路由（ip route 0.0.0.0 0.0.0.0 ...）和普通的静态路由有什么区别？

解答： 默认路由是静态路由的一种特殊形式，它们的核心区别在于匹配的范围和用途。

• 静态路由：用于定义一条非常具体的路径，指向一个特定的目标网络。ip route 10.20.30.0 255.255.255.0 192.168.1.254告诉路由器，所有发往20.30.0/24网络的数据包都应该发送给168.1.254，它的匹配是精确的。
• 默认路由：使用0.0.0 0.0.0.0作为目标地址和子网掩码，这是“最不具体”的匹配，它是一个“兜底”选项，只有当路由表中没有任何其他更具体的静态、动态或直连路由可以匹配目标IP时，路由器才会使用默认路由。

静态路由是“精确导航”，而默认路由是“找不到路时的最后选择”，在绝大多数连接互联网的网络中，默认路由都是必需的，因为路由器不可能知道互联网上每一个网络的具体路径。