在全中采用的是CISCO3825的路由器，它通過自己的串行接口serial0/0使用DDN技術接入Internet。其作用主要是在Internet和企業網之間路由數據包。除了完成主要的路由任務外，利用訪問控制列表（Access Control List，ACL），路由器ZZrouter還可用來完成以自身為中心的流量控制和過濾功能并實現一定的安全功能。

其基本配置與接入層交換機的配置類似，配置命令如下：(需說明的是由普通用戶進入特權模式輸入命令enable，由特權模式進入全局配置模式輸入命令config t(全寫為configure terminal))

Router#configure terminal

Router(config)#hostname R1-out

R1-OUT(config)#enable secret cisco

R1-OUT(config)#no ip domain-lookup

R1-OUT(config)#logging synchronous

R1-OUT(config)#line con 0

R1-OUT(config-line)#exec-timeout 5 30

R1-OUT(config-line)#line vty 0 4

R1-OUT(config-line)#password cisco

R1-OUT(config-line)#login

R1-OUT(config-line)#exec-timeout 5 30

R1-OUT(config-line)#exit

主要是對接口FastEthernet0/0以及接口serial0/0的IP地址、子網掩碼的配置。配置命令如下：

R1-OUT(config)#interface fastethernet 0/0

R1-OUT(config-if)#ip address 192.168.1.254 255.255.255.0

R1-OUT(config-if)#no shutdown

R1-OUT(config-if)#interface serial 0/0

R1-OUT(config-if)#ip address 202.168.1.1

R1-OUT(config-if)#no shutdown

配置靜態路由

在R1-OUT路由器上需要定義兩個路由：到企業內部的靜態路由和到Internet上的缺省路由。

R1-OUT(config)#ip route 0.0.0.0 0.0.0.0 202.168.1.1

到企業網內部的路由經過路由匯總后形成兩個路由條目如下所示：

R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.3

R1-OUT(config)#ip route 192.168.0.0 255.255.240.0 192.168.1.4

配置NAT

由于目前IP地址資源非常稀缺，不可能給企業網內部的每臺工作站都分配一個公有IP地址，為了解決所有工作站訪問Internet的需要，必須使用NAT（網絡地址轉換）技術。

為了接入Internet，本企業網向當地的ISP申請了10個IP地址。202.168.1.1.-202.168.1.10,其中202.168.1.1分配給了serial0/0，202.168.1.2和202.168.1.3分配給兩個經理辦公室。其它就進行NAT轉換。

R1-OUT(config)#interface fastethernet 0/0

R1-OUT(config-if)#ip nat inside

R1-OUT(config-if)#interface serial 0/0

R1-OUT(config-if)#ip nat outside

R1-OUT(config)#ip access-list 1 permit 192.168.2.0 0.0.10.255（定義允許進行NAT轉換的工作站的IP地址范圍）

在路由器上配置訪問控制列表（ACL）

路由器是外網進入企業內網的第一道關卡，是網絡防御的前沿陣地。路由器上的訪問控制列表（ACL）是保護內網安全的有效手段。一個設計良好的訪問控制列表（ACL）不僅可以起到控制網絡流量、流向的作用，還可以在不增加網絡系統軟、硬件投資的情況下完成一般軟、硬件防火墻產品的功能。

由于路由器介于企業內網和外網之間，是外網與內網進行通信時的第一道屏障，所以即使在網絡系統安裝了防火墻產品后，仍然有必要對路由器的訪問控制列表（ACL）進行縝密的設計，來對企業內網包括對防火墻本身實施保護。

屏蔽文件共享協議端口2049，遠程執行（rsh）端口512，遠程登錄（rlogin）端口513，遠程命令(rcmd) 端口514，遠程過程調用(sunrpc)端口111。命令如下：

R1-OUT(config)#access-list 101 deny udp any any ep snmp

R1-OUT(config)#access-list 101 deny udp any any ep snmptrap

R1-OUT(config)#access-list 101 deny tcp any any ep telnet

R1-OUT(config)#access-list 101 deny tcp any any range 512 514/屏蔽遠程執行（rsh）端口512和遠程命令(rcmd) 端口514

R1-OUT(config)#access-list 101 deny tcp any any eq 111/屏蔽遠程過程調用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny udp any any eq 111/屏蔽遠程過程調用(sunrpc)端口111

R1-OUT(config)#access-list 101 deny tcp any any eq 2049/屏蔽文件共享協議端口2049

R1-OUT(config)#access-list 101 permit ip any any

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#ip access-group 101 in /acl端口應用

設置只允許來自服務器的IP地址才能訪問并配置路由器

命令如下：

R1-OUT(config)#line vty 0 4

R1-OUT(config-line)#access-class 2 in/建立訪問控制列表2（ACL2）

R1-OUT(config-line)#exit

R1-OUT(config)#access-list 2 permit 192.168.10.0 0.0.0.255

為了支持無類別網絡以及全零子網進行如下的配置：

R1-OUT(config)#ip classless

R1-OUT(config)#ip subnet-zero

配置路由器的封裝協議和身份認證

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#encapsulation ppp

Ppp提供了兩種可選的身份驗證方法:口令驗證協議PAP(Password Authentication protocol, PAP)和質詢握手驗證協議CHAP(Challenge Handshake Authentication Protocol, CHAP)。CHAP比PAP更安全，因為CHAP不在線路上發送明文密碼，而是發送經過摘要算法加工過的隨機序列。

但CHAP對端系統要求很高，需要耗費較多的CPU資源，一般只用在對安全性要求很高的場合。而PAP雖然用戶名和密碼是以明文的形式發送的，但它對端系統要求不高，所以我們普遍采用這種身份驗證機制。

配置命令如下：

首先要建立本地口令數據庫

R1-OUT(config)#username remoteuser password zhangguoyou

R1-OUT(config)#interface serial 0/0

R1-OUT(config-if)#ppp authentication pap

到此路由器的配置就基本上完成了。