思科無線路由器的詳細設置方法

Cisco 851W路由器是一個相對廉價的多功能設備，最低價格292美元，支持防火牆隔離的虛擬無線局域網。雖然Cisco 871W可做更多事情，但它的價格在500到700美元之間，價格依據軟件功能不同而變化—。這價格對於一個家用路由器或小型企業用的路由器來説過於昂貴了。就算是最便宜的Cisco 871W也需要500美元，但他的功能也不比Cisco 851W多多少，只不過多了個外接天線連接器，可以讓你連接一個更大的天線。只有700美元的Cisco 871W才會提供額外的附加功能，例如BGP路由，VLAN的支持，以及QoS傳輸質量協議。上次，我解釋瞭如何配置昂貴的871W。不幸的是，許多人因為沒有高級IP的IOS功能包而無法使用它。本次教程主要針對那些已經擁有或者打算購買Cisco 851W的人。

　　高級SOHO雙網體系

我將演示如何使用標準的“advanced security”IOS來設置一台Cisco 851w或Cisco 871w路由器，來完成一個高級SOHO配置，可以提供如下功能：

◆狀態檢查防火牆

◆2個虛擬無線局域網(最大10)

◆一個虛擬局域網接一個無線局域網

◆所有無線局域網設置使用WPA-PSK安全認證

◆一個無線局域網作為客户網絡提供有限訪問

◆DSL PPPoE客户端

◆DHCP服務器

上圖顯示了該配置的邏輯圖。橘色象徵客户網絡，而綠色代表內部網絡。整個交換機被設置為VLAN1，851W和871標準IOS(“標準IOS”就是“advanced security”IOS)不支持VLAN。只有運行“Advanced IP”IOS的Cisco 871W才支持VLAN。這表示只有內部無線網絡才能接到使用BVI 1的交換機上(Bridge Virtual Interface)。

端口F4是廣域網端口，設置為使用ADSL的Modem進行PPPoE撥號。“客户無線局域網GuestWLAN”，橘色的無線網絡將可以無限制訪問Internet，但無法訪問圖示為綠色的內部網絡。內網則可以無限制訪問橘色的客户網絡以及Internet。客户無線局域網的SSID是“GuestWLAN”，內部無線局域網的SSID是“InternalWLAN”。現在，Cisco 851W和871W只能廣播一個SSID，所以“GuestWLAN”將是唯一被廣播的SSID。後續更新的硬件應該能解決這個問題。

對那些懷疑“隱藏SSID到底是否安全”的人來説，“隱藏SSID”毫無用處，就如同被過濾掉。

　　初始硬件設置

在取出851W或者871W並插上電源之後，將附帶的控制電纜連接到電腦的一個可用串行接口上。如果你用的是筆記本電腦，沒有提供串行接口，那則需要一個USB-Serial的轉換器。如果你想要想獲得比較理想的測試效果，那你需要一台支持無線局域網的筆記本和一台台式電腦。將台式電腦連接F1或快速以太網端口1(在下圖中是左數第二個端口，F0是第一個)。大部分台式電腦至少有一個串口COM1，你可以把它設置為主制計算機。將控制端口的RJ45接頭插入最右側標有“console”的RJ45端口上。如果你只有筆記本電腦，你可以用它來測試有線和無線網絡的功能。

　　清除默認設置

對所有的新Cisco路由器，我首先要清空默認設置。你必須用用户名“cisco”和口令“cisco”才能首次登錄。對某些特定的Cisco路由器或者接入點，“cisco”中的“c”可能需要大寫，不過絕大多數的新Cisco設備都使用小寫的“cisco”。一旦你登錄進去，你就需要鍵入如下命令：

enable

write erase

reload

路由器重啟完畢後，你就可以看到一個“router>”的提示符，並不再要求你輸入口令。現在，你所面對的路由器是一張白紙了。這次不比上一次，當我們需要創建一些VLAN時，871W的標準“高級安全IOS”功能包並不支持，而851W即使安裝了IOS也不行。你現在需要進入全局配置模式(global configuration mode)，方法就是輸入古老的“config t”命令。

　　適用於851W或871W的CLI設置模版

我一直認為Cisco那些配置教程太難使用，所以我用Excel創建了自己的配置系統。

在這份教程中，我已經為Cisco 851W或871W的標準“Advanced IP”IOS建立了3個模版，含Justin的全新快速替換功能。第一個模版用於DSL PPPoE的部署。第二個模版用於DHCP或cable Modem的Internet連接(注意，如果用於cable modem的部署，你需要重啟cable modem。它一般會鎖定在某個特定mac地址上，除非你重啟modem，否則路由器將無法正常工作)。第三個模版用於靜態IP的廣域網部署。

看了本教程後，可以很容易生成自己的Cisco 851w或871w配置文件。你所需要做的只是填寫黃色區域的改變量的表格，如下圖所示。

下圖顯示了配置模版中用紅色方括號註明的可替換變量名的參考表格。“替換(Replace)”按鈕將拷貝參考表的內容到一個名為“871W”的新表中(用户配置在G5單元格)，且每創建一個新配置文件，文件名將自動累加一位。

　　在851W或871W上插入設置

一旦配置創建成功，你就可以拷貝自行設定的命令列(有“command”標籤的那一列)，並粘貼到控制枱中。注意所有的Excel格式都將被粘貼命令自動去除，而這正是我們所希望的。注意，某些命令插入的時間明顯更長些，因為路由器需要進行相應的思考。我推薦你一次輸入一小部分命令，並確認每個命令都正常執行無錯誤(有點警告信息倒沒什麼)。如果你貼入的太快，控制枱常常會丟失正常狀態，所以要確保路由器接受了每一個命令。你將不得不使用“show run”命令來進行校驗。滿意之後，不要忘記執行“write mem”命令來永久保存設定，否則下次重啟路由器之後，一切又回到老樣子了。

最後的Excel文件非常適用於初始化設置和永久記錄。任何瞭解Cisco設備知識的人都可以明白使用這個模版將會發生什麼。格式化的表格，高亮的關鍵詞，以及對所有文本的格式化，都有助於Cisco CLI更易於被閲讀和理解。

你也可以改變參考表，如果你打算修改模版來適應自己需求的話。比方説，你可能不希望迫使客户放棄WEP而改用WPA-PSK，或者乾脆希望保持網絡開放，提供一個免費的熱點接入。

　　測試你的multi-VLAN、multi-WLAN路由器

你的台式電腦連接到F0到F3端口都應該可以工作。你應該可以在內部網絡上獲得IP地址。如果你使用了我的IP方案，那麼IP地址應該是。你應該可以ping通以及，這是BVI1接口IP地址以及dot0.20的無線子接口IP地址。一旦配置完畢，你將需要使用自行定義的`用户名和口令登錄。如果Ping不通，你需要檢查BVI的IP地址配置，以及無線子接口的IP地址配置。

如果你不能Ping到路由器，你自然也不能使用telnet，那麼你就只能使用控制枱來解決問題了。你可以通過使用“show ip int brief”命令來嘗試解決IP設置問題，這個命令會列出Cisco路由器中所有的接口信息。

如果你輸入了一個有效的DNS服務器地址，那麼你應該也可以ping通類似這樣的地址。如果你不能ping通任何網站，可以嘗試Ping一下你的DNS服務器，看它是否處於正常工作狀態。如果DNS服務器Ping不通，你需要調試並校驗你的配置是否正確無誤。一個好辦法是首先檢查你的撥號接口1(Dialer1 interface)，看它是否已被你的DSL提供商賦予了一個IP地址。如果使用的是cable modem，則一般是被配置為DHCP模式的快速以太網接口4(FastEthernet4)。

如果你可以ping通上述任何地址，則可以嘗試使用你的無線筆記本連接2個無線局域網。“GuestWLAN”將是唯一可以看到的SSID，因為它是唯一被廣播的。連上客户網後，你應該嘗試Ping一下，如果無法Ping通則代表Guest-ACL有效。注意Guest-ACL可以被修改以提供例外情況——比如，你希望你的客户們可以進行打印。客户網應該可以無限制訪問Internet。

而進入“InternalWLAN”是有點麻煩，因為你無法通過瀏覽看到它。你必須手動添加SSID，並將此網絡的Profile移動到網絡列表的最頂端。然後你必須從GuestWLAN上斷開，而後在Windows XP SP2的網絡瀏覽器中進行刷新，或使用你的無線客户軟件進行刷新。略等片刻，應該就可以連上InternalWLAN。這就是為什麼我討厭SSID隱藏的原因，用起來這麼麻煩，卻不能為提高安全帶來任何好處。