使用SDM的基本路由器配置

简介

本文档介绍如何使用 Cisco 安全设备管理器 (SDM) 设置路由器的基本配置。这包括配置 IP 地址、默认路由、静态和动态路由、静态和动态 NAT、主机名、标语、加密口令、用户帐户等。通过 Cisco SDM，您可以使用简单易用的基于 Web 的管理界面在各种网络环境（包括小型家庭办公室 (SOHO)、分支机构 (BO)、地区办事处以及中心站点或企业总部）中配置路由器。

先决条件

要求

本文档假设 Cisco 路由器处于完全运行状态，并配置为允许使用 Cisco SDM 进行配置更改。

注意：为了允许使用SDM配置路由器，请参阅允许SDM进行HTTPS访问。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Cisco 3640路由器^？软件版本12.4(8)

• Cisco 安全设备管理器 (SDM) 2.3.1 版

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

注意：如果您使用的是思科集成多业务路由器(ISR)，请参阅使用Cisco Configuration Professional的基本路由器配置，了解具有更强大功能的类似配置详细信息。有关Cisco CP支持哪些路由器的信息，请参阅Cisco Configuration Professional 2.5发行版本注释的支持的路由器部分。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

配置

本部分提供有关如何为网络中的路由器配置基本设置的信息。

网络图

本文档使用以下网络设置：

注意：此配置中使用的IP编址方案在Internet上不能合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。

接口配置

要配置 Cisco 路由器的接口，请完成以下步骤。

1. 单击 Home 转至 SDM 主页。

   SDM 主页提供路由器硬件和软件、功能可用性及配置概要等信息。绿色圆圈指示此路由器支持的功能，红色圆圈指示此路由器不支持的功能。

   

2. 要为接口配置 WAN 连接，请选择 Configure > Interfaces and Connections > Create Connection。

   例如，对于串行接口 2/0，请选择 Serial 选项，然后单击“Create New Connection”。

   注意：对于其他类型的接口，如以太网，请选择各自的接口类型，然后单击Create New Connection按钮继续。

   

3. 单击 Next 以在显示此接口后继续。

   

4. 从“Available Interfaces”选项中选择 Serial interface 2/0（根据需要），然后单击“Next”。

   

5. 选择该串行接口的封装类型，然后单击 Next。

   

6. 为该接口指定静态 IP 地址及相应的子网掩码，然后单击 Next。

   

7. 使用 ISP 提供的可选参数（例如下一跳 IP 地址，在网络图中为 192.168.1.2）配置默认路由，然后单击 Next。

   

   随即会出现此窗口，其中显示了由用户配置的配置概要。单击 完成。

   

   随即会出现此窗口，其中显示了路由器的命令传送状态。另外，如果因命令不兼容或功能不受支持而导致命令传送失败，则该窗口会显示错误。

   

8. 要添加/编辑/删除各种接口，请选择 Configure > Interfaces and Connections > Edit Interfaces/Connections。

   

   如果要编辑或更改接口配置，请突出显示要对其进行更改的接口，然后单击 Edit。在此可以更改现有的静态 IP 地址。

   

NAT 配置

动态 NAT 配置

要在 Cisco 路由器中配置动态 NAT，请完成以下步骤。

1. 要配置基本 NATing，请选择 Configure > NAT > Basic NAT，然后单击“Launch the selected task”。

   

2. 单击 Next。

   

3. 选择连接到 Internet 或 ISP 的接口，然后选择要共享 Internet 访问的 IP 地址范围。

   

4. 随即会出现此窗口，其中显示了由用户配置的配置概要。单击 完成。

   

5. “Edit NAT Configuration”窗口显示转换后的 IP 地址过载 (PATing) 的已配置动态 NAT 配置。如果要使用地址池配置动态 NATing，请单击 Address Pool。

   

6. 单击 Add。

   

   在此提供池名称及带网络掩码的 IP 地址范围等信息。有时，IP 地址池中的多数地址均已分配，因此该池几乎耗尽。如果出现这种情况，可以将 PAT 与单个 IP 地址一起使用，以便满足对 IP 地址的其他需求。如果希望路由器在地址池快要耗尽时使用 PAT，请选中 Port Address Translation (PAT)。

   

7. 单击 Add。

   

8. 单击 Edit。

   

9. 在“Type”字段中选择 Address Pool，将“Address Pool”的名称指定为 pool1，然后单击“OK”。

   

10. 此窗口说明如何使用地址池配置动态 NATing。单击 Designate NAT Interfaces。

    

    请使用此窗口指定要在 NAT 事务中使用的内部和外部接口。由于转换是从内部到外部或从外部到内部执行的，因此在 NAT 解释转换规则时使用内部和外部标记。

    指定后，这些接口将用在所有 NAT 转换规则中。指定的接口显示在 NAT 主窗口中的“Translation Rules”列表上方。

    

静态 NAT 配置

要在 Cisco 路由器中配置静态 NAT，请完成以下步骤。

1. 要配置静态 NATing，请选择 Configure > NAT > Edit NAT Configuration，然后单击“Add”。

   

2. 在 Direction 中选择从内部到外部或从外部到内部，在“Translate from Interface”下指定要进行转换的内部 IP 地址。在 Translate to Interface 区域中选择“Type”。

   • 如果希望将“Translate from Address”转换为“IP Address”字段中定义的 IP 地址，请选择 IP Address。

   • 如果希望“-Translate from Address”使用路由器接口的地址，请选择 Interface。Translate from Address 将转换为分配给“Interface”字段中指定的接口的 IP 地址。

   如果希望在转换中包含内部设备的端口信息，请选中 Redirect Port。这样，只要为每个设备指定不同的端口，您便可以对多个设备使用相同的公网 IP 地址。您必须为此转换目标地址的每个端口映射创建一个条目。如果这是 TCP 端口号，请单击 TCP；如果这是 UDP 端口号，请单击“UDP”。在“Original Port”字段中，输入内部设备的端口号。在“Translated Port”字段中，输入路由器将用来执行此转换的端口号。请参阅配置网络地址转换：入门的允许Internet访问内部设备部分。

   

   此窗口显示启用了端口重定向功能的静态 NATing 配置。

   

路由配置

静态路由配置

要在 Cisco 路由器中配置静态路由，请完成以下步骤。

1. 要配置静态路由，请选择 Configure > Routing > Static Routing，然后单击“Add”。

   

2. 输入带掩码的目标网络地址，然后选择传出接口或下一跳 IP 地址。

   

   此窗口显示为将 192.168.1.2 作为下一跳 IP 地址的 10.1.1.0 网络配置的静态路由。

   

动态路由配置

要在 Cisco 路由器中配置动态路由，请完成以下步骤。

1. 选择 Configure > Routing > Dynamic Routing。

2. 选择 RIP，然后单击“Edit”。

   

3. 选中 Enable RIP，选择 RIP 版本，然后单击“Add”。

   

4. 指定要通告的网络地址。

   

5. Click OK.

   

6. 要将命令传输到路由器，请单击 Deliver。

   

   此窗口显示动态 RIP 路由配置。

   

其他配置

要在 Cisco 路由器中配置其他基本设置，请完成以下步骤。

1. 如果要更改路由器的“主机名”、“域名”、“标语”和“启用加密口令”属性，请选择 Configure > Additional Tasks > Router Properties，然后单击“Edit”。

   

2. 要在路由器中添加/编辑/删除用户帐户，请选择 Configure > Additional Tasks > Router Access > User Accounts/View。

   

3. 要将当前配置保存到路由器及 PC 的 NVRAM，然后将该配置重置为默认（出厂）设置，请选择 File > Save Running Config to PC...。

   

4. 要启用以下“用户首选项”选项，请转至任务栏，然后选择 Edit > Preferences：

   • 在将命令传送到路由器之前先进行预览。

   • 将签名文件保存到闪存。

   • 退出 SDM 前予以确认。

   • 在切换模式/任务时继续监控接口状态。

   

5. 如果要执行以下任务，请从任务栏中选择 View：

   • 查看主页、配置页或监控页。

   • 查看路由器的运行配置。

   • 查看各种 show 命令。

   • 查看 SDM 默认规则。

   • 如果要将路由器配置（如果有任何通过 CLI 进行的配置）与 SDM 同步，请选择 Refresh。

   

CLI 配置

Router#show run
Building configuration...

Current configuration : 2525 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable password cisco
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!

!--- RSA certificate generated after you enable the !--- ip http secure-server command.

crypto pki trustpoint TP-self-signed-392370502
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-392370502
 revocation-check none
 rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
 certificate self-signed 01
  3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657
  69666963 6174652D 33393233 37303530 32301E17 0D303530 39323330 34333
  375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 13254
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333
  35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818
  C86C0F42 84656325 70922027 EF314C2F 17C8BBE1 B478AFA3 FE2BC2F2 3C272
  A3B5E13A 1392A158 73D8FE0D 20BFD952 6B22890C 38776830 241BE259 EE2AA
  CF4124EA 37E41B46 A2076586 2F0F9A74 FDB72B3B 6159EEF7 0DEC7D44 BE489
  9E351BF7 F5C808D9 2706C8B7 F5CE4B73 39ED8A61 508F455A 68245A6B D072F
  02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 06035
  11040A30 08820652 6F757465 72301F06 03551D23 04183016 80148943 F2369
  ACD8CCA6 CA04EC47 C68B8179 E205301D 0603551D 0E041604 148943F2 36910
  D8CCA6CA 04EC47C6 8B8179E2 05300D06 092A8648 86F70D01 01040500 03818
  3B93B9DC 7DA78DF5 6D1D0D68 6CE075F3 FFDAD0FB 9C58E269 FE360329 2CEE3
  D8661EB4 041DEFEF E14AA79D F33661FC 2E667519 E185D586 13FBD678 F52E1
  E3C92ACD 52741FA4 4429D0B7 EB3DF979 0EB9D563 51C950E0 11504B41 4AE79
  0DD0BE16 856B688C B727B3DB 30A9A91E 10236FA7 63BAEACB 5F7E8602 0C33D
  quit
!
!
!
!
!
!
!
!
!
!

!--- Create a user account named sdmsdm with all privileges.

username sdmsdm privilege 15 password 0 sdmsdm
!
!
!
!
!
!
interface Ethernet0/0
 no ip address
 shutdown
 half-duplex
!

!--- The LAN interface configured with a private IP address.

interface FastEthernet1/0
 ip address 172.16.1.2 255.255.255.0

!--- Designate that traffic that originates from behind !--- the interface is subject to Network Address Translation (NAT).

 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!

!--- This is the WAN interface configured with a routable (public) IP address.

interface Serial2/0
 ip address 192.168.1.1 255.255.255.0

!--- Designate that this interface is the !--- destination for traffic that has undergone NAT.
 
ip nat outside
 ip virtual-reassembly
!
interface Serial2/1
 no ip address
 shutdown
!
interface Serial2/2
 no ip address
 shutdown
!
interface Serial2/3
 no ip address
 shutdown
!

!--- RIP version 2 routing is enabled. 

router rip
 version 2
 network 172.1.0.0
 no auto-summary

!--- This is where the commands to enable HTTP and HTTPS are configured.

ip http server
ip http secure-server
!

 !--- This configuration is for dynamic NAT. 

!

!--- Define a pool of outside IP addresses for NAT.

ip nat pool pool1 192.168.1.3 192.168.1.10 netmask 255.255.255.0

!--- In order to enable NAT of the inside source address, !--- specify that traffic from hosts that match access list 1 !--- are NATed to the address pool named pool1.

ip nat inside source list 1 pool pool1
!

!--- Access list 1 permits only 172.16.1.0 network to be NATed.

access-list 1 remark SDM_ACL Category=2
access-list 1 permit 172.16.1.0 0.0.0.255
!

 !--- This configuration is for static NAT 


!--- In order to translate the packets between the real IP address 172.16.1.1 with TCP !--- port 80 and the mapped IP address 192.168.1.1 with TCP port 500.

ip nat inside source static tcp 172.16.1.1 80 192.168.1.3 500 extendable
!
!

!
!

!--- The default route is configured and points to 192.168.1.2.

ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
!

!--- The static route is configured and points to 192.168.1.2.

ip route 10.1.1.0 255.255.255.0 192.168.1.2
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0

!--- Telnet enabled with password as sdmsdm.

line vty 0 4
 password sdmsdm
 login
!
!
end

验证

要测试端到端连接，请选择 Configure > Interface & Connections > Edit Interface Connections > Test Connection。如果单击 User-specified 单选按钮，可以指定远程端 IP 地址。

故障排除

命令输出解释程序（仅限注册用户）(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

注意：在发布 debug 命令之前，请参阅有关 Debug 命令的重要信息。

要进行排除故障，请使用以下选项：

• 要对 SDM 执行 ping、Telnet 操作以及将 SDM 升级到最新版本，请从任务栏中选择 Tools > Update SDM。可以从 Cisco.com、本地 PC 或 CD 执行此操作。

  

• 要查看有关路由器硬件配置的信息，请选择 Help > About this Router。

  

  此窗口显示有关存储在路由器中的 IOS 映像的信息。

  

• Help option 为路由器配置提供有关 SDM 中各种可用选项的信息。

  

SDM与64位操作系统的兼容性

使用64位操作系统的计算机上不支持SDM。您应该在路由器上安装SDM，并通过Web浏览器访问它。

有关在路由器上安装SDM文件的详细信息，请参阅任务4：安装SDM文件。

无法通过Web浏览器启动SDM

问题

通过Web浏览器使用SDM时，会出现SDM start up（SDM启动）错误消息。

解决方案 1

问题可能出在Java的版本上。Java更新可能与SDM版本不兼容。如果Java的版本是Java 6 update 12，则卸载该版本并安装Java 6 update 3。这解决了问题。有关兼容性的详细信息，请参阅SDM 2.5发行版本注释的Web浏览器版本和Java运行时环境版本部分。SDM 2.5版在Java版本6的更新2和更新3下运行。

解决方案 2

在Internet Explorer选项中启用Allow active content to run in files on My Computer，可解决此问题。

1. 打开Internet Explorer并选择工具> Internet选项>高级。

2. 在“安全性”部分下，确保选中了允许活动内容在我的计算机上的文件中运行和允许活动内容安装软件（即使签名无效）选项旁边的复选框。

3. 现在请单击OK并重新启动浏览器以使更改生效。

错误： java.bling堆栈溢出

问题

我无法连接到SDM，收到以下错误消息：

java.bling stack over flow

解决方案

在使用Java代码版本1.5.0_06时，通常会发生此问题。有关如何解决此问题的信息，请参阅用户无法连接到安全设备管理器(SDM)并且收到java.bling stack over flow错误消息。

相关信息

• Cisco 安全设备管理器安装指南
• 思科产品支持页 - 路由器
• Cisco Configuration Professional支持页
• NAT 支持页
• 技术支持和文档 - Cisco Systems