友情提示:如果本网页打开太慢或显示不完整,请尝试鼠标右键“刷新”本网页!
路由器基本知识及应用实例(DOC格式)-第2部分
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完,想下次继续接着阅读,可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能!
2。2。1。1。5 建立IP地址和主机名的对应关系
每台路由器都具有自己的IP地址,但名字是我们还是习惯使用名字来操作设备,所以需要建立IP地址和主机名的对应关系,建立这种对应关系有两种方法:IP地址与主机名对应表,使用DNS。
2。2。1。1。6 IP 地址与主机名对应表
使用 ip host 命令建立和维护路由器的主机表。每个主机可以最多对应8个IP地址:
ip host pyramid 10。10。1。3
ip host sphinx 10。10。1。2 10。10。1。4 10。10。1。5
删除对应关系使用 no ip host:
no ip host pyramid 10。10。1。3
no ip host sphinx 10。10。1。2 10。10。14 10。10。1。5
2。2。1。1。7 使用DNS
DNS是 Domain Name System (DNS),它可以承担主机名到IP地址的解析工作。这样就省掉了每台设备上的IP地址对应表,并且减少了分布式存储的麻烦。激活DNS功能可以使用ip domain…lookup。添加域名服务器,使用命令ip name…server。配置域名使用ip domain…name。典型的配置如下:
! Specify the DNS servers
ip name…server 10。10。9。1
ip name…server 10。10。9。2
!
! Set the name for unqualified hostnames
ip domain…name your…domain。
关闭DNS查询功能,使用下面的命令:
no ip domain…lookup
打开DNS查询功能,使用下面的命令:
! Enable DNS lookups
ip domain…lookup
使用 show hosts 命令察看本地已知的主机名和IP地址对应表:
Router》show hosts
Default domain is your…domain。
Name/address lookup uses domain service
Name servers are 10。10。9。1 10。10。9。1
Host Flags Age Type Address(es)
Foxtrot (temp; OK) 18 IP 10。10。1。3
sphinx (temp; OK) 18 IP 10。10。1。2
2。2。1。1。8 设置路由器的时间
使用clock set命令设定系统时钟:
Router#clock set 13:00:00 20 jun 1999
使用clock timezone 命令配置路由器的时区:
Router(config)#clock timezone EST …5
…5 是EST与UTC的时间差
2。2。1。1。9 日历时间和系统时钟
Cisco高端路由器有一个内部日历,该日历是持续运行的,既是系统关闭,也不会影响该日历的运行。使用calendar命令可以设置这个日历,使用clock read…calendar命令,可以让系统时钟从日历中获取时间。
Router#calendar set 12:10:00 5 September 1999
Router#clock read…calendar
2。2。1。1。10 配置 NTP
Network Time Protocol (NTP) 可以同步网络上设备的时钟,使用下面的命令配置NTP:
clock timezone EST …5
ntp server 10。10。1。5
2。2。1。1。11 激活SNMP功能
默认情况下,SNMP 功能是关闭的。打开SNMP; 使用下面的命令:
snmp…server munity name mode access…list
参数的含义:
name :访问SNMP的口令。
mode :RO(read…only )或RW (read…write)。RO是只读权限,RW是读写权限。
access…list:为了增加访问SNMP的安全性,可以使用access…list来限定访问SNMP的主机地址。
下面是一个SNMP配置的例子:
! Set up public access with a munity string of 〃not…public〃
snmp…server munity not…public RO
!
! Set up privileged access with a munity string of 〃not…secure〃
snmp…server munity not…secure RW
! Enable public access and apply access…list number 1
snmp…server munity not…public RO 1
!
! Enable privileged access and apply access…list number 2
snmp…server munity highly…secure RW 2
!
! Access…lists (See chapter 7 for syntax and usage)
access…list 1 permit 10。10。1。0 0。0。0。255
access…list 2 permit 10。10。1。35
! Specify what SNMP management station will receive our traps
! Our munity string is 〃little…secure〃
snmp…server host 10。10。1。2 little…secure traps
2。2。1。1。12 Cisco Discovery Protocol
通过Cisco Discovery Protocol (CDP) 协议,可以发现相邻设备的类型和地址。
激活CDP协议:cdp run
关闭CDP协议::no cdp run
也可以关闭某个端口的CDP,具体方法是在相应的端口使用no cdp enable。
显示CDP信息:
Router》show cdp neighbors
Capability Codes: R Router; T Trans Bridge; B Source Route Bridge
S Switch; H Host; I IGMP
Device ID Local Intrfce Holdtme Capability Platform Port ID
switch1 Eth 0 162 T S 1900 AUI
router2 Eth 0 176 R 4000 Eth 0
2。2。1。1。13 系统banner
banner是系统给用户的提示词,它可以起到说明、提示的。Banner有四种:motd、login、exec或ining。下面是banner的例子:
This is the message of the day banner。 (motd banner)
This is the login banner。 (login banner)
User access verification
Password: (not echoed)
This is the exec banner。 (exec banner)
Router》 (user mode prompt)
创建 Banners
使用banner命令创建四种形式的banner:
Router(config)#banner motd # message #
Router(config)#banner login # message #
Router(config)#banner exec # message #
Router(config)#banner ining # message #
删除Banners
使用no banner命令删除banner:
Router(config)#no banner ining
使用no exec…banner 和 no motd…banner 命令可以分别去除某线的banner。
Router(config)#line 5
Router(config…line)#no exec…banner
Router(config…line)#no motd…banner
2。2。1。2 GSR配置
2。2。1。2。1 Cisco IOS映像文件
默认情况下,GSR的IOS映像文件存储在位于0号PCMCIA槽位的Flash 内存或Flash 硬盘中。路由器的初始状态,也是使用这个映像文件启动系统,可以通过配置,使路由器从1号槽位或TFTP中的映像文件启动系统。
2。2。1。2。2 确认有效的IOS映像文件
如果路由器没有找到适当的系统映像文件,则系统会进入到只读存储器(ROM)监视模式,系统将显示Rommon》提示符。在这个模式下,可以使用下列命令确认IOS映像文件的位置。
命令
作用
Rommon 1》 dir bootflash:
显示SIMM(single inline memory module)中的内容;这里存储的是最小软件映像文件,该映像文件仅可以用来做基本配置。
Rommon 2》 dir slot0:
or
Rommon 2》 dir slot1:
显示Flash内存(位于PCMCIA 0号槽位或1号槽位)中的内容。
Rommon 3》 dir disk0:
or
Rommon 3》 dir disk1:
显示Flash硬盘(位于PCMCIA 0号槽位或1号槽位)中的内容。
下面是命令运行结果示例:
Rommon 1》 dir bootflash:
Directory of bootflash:/
1 …rw5043356 Jan 01 2000 00:01:15 gsr…boot…mz。120…8。S
Rommon 2》 dir slot0:
Directory of slot0:/
1 …rw13778192 Jan 14 2002 18:24:26 gsr…p…mz。120…19。S。bin
12 …rw3973 Sep 03 2002 23:09:47 ozRun
20578304 bytes total (6762344 bytes free)
2。2。1。2。3 手工从IOS映像文件启动系统
可以通过手工指定系统软件映像文件的方式启动系统。所涉及的命令如下:
mand
Purpose
Rommon 3》 boot
(没有参数) 从默认的映像文件(位于SIMM或bootflash)启动系统。在出厂时,SIMM中装有系统映像文件。
Rommon 3》 boot flash
(没有指定PCMCIA 的槽位号) 系统将尝试从RP的0号槽位flash内存的映像文件启动系统。
Rommon 3》 boot slot0: filename
指定从RP的0号槽位flash内存的映像文件启动系统。
Rommon 3》 boot disk0: filename
指定从RP的0号槽位flash硬盘的映像文件启动系统。
Rommon 3》 boot slot1: filename
指定从RP的1号槽位flash内存的映像文件启动系统
Rommon 3》 boot disk1: filename
指定从RP的1号槽位flash硬盘的映像文件启动系统。
Rommon 3》 boot bootflash: filename
指定使用RP上SIMM中的映像文件启动系统(文件名为filename)。
Rommon 3》 boot tftp: filename 'host'
指定TFTP主机上的指定文件启动系统。
2。2。1。2。4 为网管配置IP地址
可以使用GRP面板上的RJ…45 和 MII 接口(PRP面板上的RJ…45接口),作为网管接口;两个接口可以随便使用一个,但不能同时使用。
下面是为该接口配置IP地址的步骤:
1.进入端口配置
Router(config)# interface ethernet 0
2.为端口配置IP地址和子网掩码
Router(config…if)# ip address 10。10。1。1 255。255。0。0
2。2。1。2。5 配置 POS 线卡
1.进入在第3槽位的线卡的0号POS端口
Router(config)# interface pos 3/0
2.为端口配置IP地址和子网掩码
Router(config…if)# ip address 2。1。1。1 255。0。0。0
3.激活该端口
Router(config…if)# no shutdown
2。2。1。2。6 配置 ATM 线卡
1.进入在第1槽位的线卡的0号ATM端口
Router(config)# interface pos 1/0
2.为端口配置IP地址和子网掩码
Router(config…if)# ip address 2。0。0。1 255。0。0。0
3.激活该端口
Router(config…if)# no shutdown
2。2。1。2。7 PCMCIA Flash Memory 配置
格式化Flash Memory或 Flash Disk
在使用一个新的Flash Memory或 Flash Disk之前,必须对其格式化。
注意:这个步骤会清除Flash Memory或 Flash Disk上的所有数据
1.格式化位于RP 0号槽位的一个新的Flash Memory或 Flash Disk。
Router# format slot0:
或
Router# format disk0:
2.确认格式化操作
All sectors will be erased; proceed? 'confirm' y
3.指定卷号 :本例中是MyNewCard。
Enter volume id (up to 30 characters): MyNewCard
Formatting sector n
Format device slot0 pleted
从Flash Memory启动系统
To enable booting from a Cisco IOS software image file located on a PCMCIA Flash memory card or Flash disk; follow these steps:
命令
目的
1
Router# configure terminal
进入全局配置模式
2
Router(config)# boot system flash slot0:filename
指明在系统在启动时装入的软件名称,filename是软件名。 本例中指明软件在falsh memory上,所在位置为slot0。 根据实际情况,也可以是slot1: slot1的Flash memory ;或 disk0: 位于slot 0的Flash disk; 或disk1: f位于slot 1的Flash disk。
3
Router(config)# config…register 0x0102
屏蔽掉Break功能并且运行boot system flash 命令。
4
Router(config)# Ctrl…z
退出全局配置模式。
5
Router# copy running…config startup…config
或
Router# write memory
将软件配置存入NVRAM。
6
Router# reload
使用PCMCIA 0号槽位的flash内存重启系统。
Note 默认情况下,路由器从位于0号槽位的flash内存或硬盘启动系统。
升级和备份CISCO IOS软件映像文件和配置文件
从TFTP服务器升级flash内存中的CISCO IOS 软件映像文件
GSR出厂时,在0号槽位的Flash内存或硬盘中装有默认的CISCO IOS映像文件。当将来有新版本的IOS软件发布的时候,可以从Cisco。下载,并更新路由器软件系统。
注意: 为了在更新失败的时候,可以恢复到以前的IOS系统,请保留旧的系统映像文件备份。如果在Flash内存卡中没有足够的空间做这项工作,请先将旧的系统映像文件拷贝到另一个Flash内存或硬盘中,也可以备份到TFTP服务器上。具体操作步骤请见“在Flash内存或硬盘间拷贝IOS软件映像文件” 一节。
下面是从TFTP服务器更新Flash内存中系统映像文件的操作步骤:
mand
Purpose
Step 1
Router# show slot0:
查看是否有足够的空间拷贝新的软件映像文件。Flash内存的默认大小的20M如果发现没有足够的空间拷贝新的软件,请执行第四步。
Step 2
Router# delete slot0:filename
or
Router# delete disk0:filename
给在flash内存或硬盘中不需要的文件做上删除标记,对于重要的文件,请先备份
Step 3
Router# squeeze slot0:
永久删除Permanently removes deleted files from a Flash memory card located in slot 0。 The squeeze mand also makes all other undeleted files on the Flash card contiguous。 This step is not required if you are using a Flash disk。
Step 4
Router# copy tftp: slot0:
开始从TFTP服务器拷贝一个文件到0号槽位Flash内存的过程。
Step 5
Address or name of remote host ''? 192。168。16。254
指明TFTP服务器的地址。
Step 6
Source filename ''? gsr…p…mz。120…7。4。5
指明要拷贝的映像文件的名字。
Step 7
Destination filename 'gsr…p…mz。120…7。4。5'?
指明目的文件的名字。
Step 8
Router# configure terminal
Enter configuration mands; one per line。 End with CNTL/Z。
进入全局配置模式。
Step 9
Router(config)# boot system flash slot0:gsr…p…mz。120…7。4。5
指明启动系统时使用0号槽位flash内存的 gsr…p…mz。120…7。4。5 文件
Step 10
Router(config)# config…register 0x0102
关闭Break并且启动boot system flash过程。
Step 11
Router(config)# Ctrl…Z
退出全局配置模式。
Step 12
Router# copy running…config startup…config
or
Router# write memory
保存软件配置设置。
Step 13
Router# reload
重启系统
2。2。1。2。8 在Flash内存或硬盘间拷贝IOS软件映像文件
在Flash内存或硬盘间拷贝软件映像文件的过程如下:
mand
Purpose
Step 1
Router# copy slot1: slot0:
开始拷贝文件的过程:从1号槽位的Flash内存拷贝到0号槽位的Flash内存。
Step 2
Source filename ''? gsr…p…mz。120…7。4。5
指明源文件名称gsr…p…mz。120…7。4。5。
Step 3
Destination filename 'gsr…p…mz。120…7。4。5'?
指明目的文件名称。回车后开始拷贝,该过程可能比较长。
指定一个CISCO软件映像文件作为默认的启动映像文件。
命令
作用
1
Router# configure terminal
Enter configuration mands; one per line。 End with CNTL/Z。
进入全局配置模式
2
Router(config)# boot system flash slot0:gsr…p…mz。ME12_SRP_VER_12_08_12
指定系统启动的默认映像文件为gsr…p…mz。ME12_SRP_VER_12_08_12
3
Router(config)# config…register 0x0102
关闭Break并且启动boot system flash过程。
4
Router(config)# Ctrl…Z
退出全局配置模式。
5
Router# copy running…config startup…config
or
Router# write memory
存软件配置设置。
6
Router# reload
重启系统。
保存配置文件
保存配置文件,特别是在对配置文件做重大改动之前先将配置文件备份,是一个很好的习惯。系统有两个配置文件,一个是存储在NVRAM中的启动配置文件(startup configuration file), 另一个是存储在DRAM中的运行配置文件(running configuration file)。一般情况下,这两个配置文件是一样的,除非更改了运行配置文件,并且没有写回启动配置文件。
保存启动配置文件,使用下列相关命令:
命令
作用
Router# copy startup…config slot0:filename
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA Flash 内存中,并且命名为filename。
Router# copy startup…config slot1:filename
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA Flash 内存中,并且命名为filename。
Router# copy startup…config disk0:filename
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA Flash 硬盘中,并且命名为filename。
Router# copy startup…config disk1:filename
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA Flash 硬盘中,并且命名为filename。
Router# copy startup…config tftp:
将NVRAM中的启动配置文件拷贝到TFTP服务器。
保存运行配置文件;使用下列相关命令:
命令
作用
Router# copy running…config slot0:filename
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA Flash 内存中,并且命名为filename。
Router# copy running…config slot1:filename
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA Flash 内存中,并且命名为filename。
Router# copy running…config disk0:filename
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA Flash 硬盘中,并且命名为filename。
Router# copy running…config disk1:filename
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA Flash 硬盘中,并且命名为filename。
Router# copy running…config tftp:
将DRAM的运行配置文件拷贝到TFTP服务器。
使用dir 命令检查配置文件是否正确拷贝了,下面这个例子检查0号槽位的Flash内存: Router# dir slot0:
…#…length……………date/time……………name
1 5200084 May 10 1997 19:24:12 gsr…p…mz。112…8
3 1215 May 10 1997 20:30:52 myfile1
4 6176844 May 10 1997 23:04:10 gsr…p…mz。112…8。1
5 1186 May 10 1997 16:56:50 myfile2
9197156 bytes available (11381148 bytes used)
恢复配置文件
从Flash 内存或硬盘中恢复配置文件,步骤如下:
命令
作用
Step 1
Router# copy slot0:filename startup…config
将0号槽位的文件(名为filename),恢复作为启动配置文件。
Step 2
Router# copy startup…config running…config
将启动配置文件作为运行配置文件。
2。2。2 系统配置
2。2。2。1 设备安全保障
从系统角度来看,网络安全不是一个简单的产品问题,网络安全首先是个系统问题。Internet 标准文本RFC2196 〃Site Security Handbook〃( 互联网安全手册) 为我们提供了一个非常好的开端。该文本明确指出网络安全应该从以下五个方面来考虑:
* 确认需要被保护的对象
* 找出被保护对象可能受到的攻击方式
* 估计攻击事件的可能性
* 实施经济的‘有效的安全手段来保护已确认的‘需要被保护的对象
* 定期总结以上四步操作结果,加以完善
被保护的对象
骨干路由器
带外网管路由器
局域网交换机
攻击方式,可能性及防护手段
攻击方式: 猜测操作员姓名/口令
攻击事件的可能性: 高
防护手段:
操作员姓名/口令(Radius;TACACS+ or Kebros+一次性口令)
SNMP,VTY及Console 端口的限制接入(ACL 访问控制限制表)
VTY及Console 端口的timeout控制(Timer,定时)
口令加密
Login Banner (明确标识,警告非法性登陆的法律后果)
攻击方式: UDP/TCP诊断端口DoS(Denial of Service) 攻击
攻击事件的可能性: 高
防护手段:
关闭相应UDP/TCP端口服务
( no service udp…small…servers)
( no service tcp…small…servers)
攻击方式: 聆听“finger〃 以窃取用户login信息
攻击事件的可能性: 高
防护手段: 关闭相应”finger〃 服务(no service finger)
攻击方式: SMURF (有关SMURF定义可参考 Craig Heugen的网站:http://quadrunner。/~chueguen/smurf。txt)
攻击事件的可能性: 高
防护手段: 关闭骨干路由器相应IP性能
(no ip redirects)
(no ip directed…broadcast)
(no ip proxy…arp)
快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部!
温馨提示: 温看小说的同时发表评论,说出自己的看法和其它小伙伴们分享也不错哦!发表书评还可以获得积分和经验奖励,认真写原创书评 被采纳为精评可以获得大量金币、积分和经验奖励哦!