路由器基本知识及应用实例(DOC格式)-第2部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！







2。2。1。1。5　建立IP地址和主机名的对应关系
每台路由器都具有自己的IP地址，但名字是我们还是习惯使用名字来操作设备，所以需要建立IP地址和主机名的对应关系，建立这种对应关系有两种方法：IP地址与主机名对应表，使用DNS。
2。2。1。1。6　IP　地址与主机名对应表
使用　ip　host　命令建立和维护路由器的主机表。每个主机可以最多对应8个IP地址：　
ip　host　pyramid　10。10。1。3
ip　host　sphinx　10。10。1。2　10。10。1。4　10。10。1。5

删除对应关系使用　no　ip　host：
no　ip　host　pyramid　10。10。1。3
no　ip　host　sphinx　10。10。1。2　10。10。14　10。10。1。5

2。2。1。1。7　使用DNS
DNS是　Domain　Name　System　（DNS），它可以承担主机名到IP地址的解析工作。这样就省掉了每台设备上的IP地址对应表，并且减少了分布式存储的麻烦。激活DNS功能可以使用ip　domain…lookup。添加域名服务器，使用命令ip　name…server。配置域名使用ip　domain…name。典型的配置如下：　
！　Specify　the　DNS　servers
ip　name…server　10。10。9。1
ip　name…server　10。10。9。2
！
！　Set　the　name　for　unqualified　hostnames
ip　domain…name　your…domain。

关闭DNS查询功能，使用下面的命令：　
no　ip　domain…lookup

打开DNS查询功能，使用下面的命令：　　
！　Enable　DNS　lookups
ip　domain…lookup

使用　show　hosts　命令察看本地已知的主机名和IP地址对应表：
Router》show　hosts
Default　domain　is　your…domain。
Name/address　lookup　uses　domain　service
Name　servers　are　10。10。9。1　10。10。9。1

Host　　　　　　　　　　　　　　　　　　　　　Flags　　　　　　Age　Type　　　Address（es）
Foxtrot　　　　　　　　　　　　　　　　　　（temp；　OK）　　18　　　IP　　　　10。10。1。3
sphinx　　　　　　　　　　　　　　　　　　　（temp；　OK）　　18　　　IP　　　　10。10。1。2

2。2。1。1。8　设置路由器的时间
使用clock　set命令设定系统时钟：　
Router#clock　set　13：00：00　20　jun　1999

使用clock　timezone　命令配置路由器的时区：　
Router（config）#clock　timezone　EST　…5

…5　是EST与UTC的时间差
2。2。1。1。9　日历时间和系统时钟
Cisco高端路由器有一个内部日历，该日历是持续运行的，既是系统关闭，也不会影响该日历的运行。使用calendar命令可以设置这个日历，使用clock　read…calendar命令，可以让系统时钟从日历中获取时间。　
Router#calendar　set　12：10：00　5　September　1999
Router#clock　read…calendar

2。2。1。1。10　配置　NTP
Network　Time　Protocol　（NTP）　可以同步网络上设备的时钟，使用下面的命令配置NTP：　
clock　timezone　EST　…5
ntp　server　10。10。1。5

2。2。1。1。11　激活SNMP功能
默认情况下，SNMP　功能是关闭的。打开SNMP；　使用下面的命令：　
snmp…server　munity　name　mode　access…list

参数的含义：
name　：访问SNMP的口令。　
mode　：RO（read…only　）或RW　（read…write）。RO是只读权限，RW是读写权限。　
access…list：为了增加访问SNMP的安全性，可以使用access…list来限定访问SNMP的主机地址。　
下面是一个SNMP配置的例子：
！　Set　up　public　access　with　a　munity　string　of　〃not…public〃
snmp…server　munity　not…public　RO
！
！　Set　up　privileged　access　with　a　munity　string　of　〃not…secure〃　
snmp…server　munity　not…secure　RW

！　Enable　public　access　and　apply　access…list　number　1
snmp…server　munity　not…public　RO　1
！
！　Enable　privileged　access　and　apply　access…list　number　2
snmp…server　munity　highly…secure　RW　2
！
！　Access…lists　（See　chapter　7　for　syntax　and　usage）
access…list　1　permit　10。10。1。0　0。0。0。255
access…list　2　permit　10。10。1。35

！　Specify　what　SNMP　management　station　will　receive　our　traps
！　Our　munity　string　is　〃little…secure〃
snmp…server　host　10。10。1。2　little…secure　traps

2。2。1。1。12　Cisco　Discovery　Protocol
通过Cisco　Discovery　Protocol　（CDP）　协议，可以发现相邻设备的类型和地址。　
激活CDP协议：cdp　run
关闭CDP协议：：no　cdp　run
也可以关闭某个端口的CDP，具体方法是在相应的端口使用no　cdp　enable。
显示CDP信息：　
Router》show　cdp　neighbors
Capability　Codes：　R　Router；　T　Trans　Bridge；　B　Source　Route　Bridge
　　　　　　　　　　　　　　　　　　S　Switch；　H　Host；　I　IGMP

Device　ID　　　　　　　　Local　Intrfce　　　　　Holdtme　　　　Capability　　Platform　　Port　ID
switch1　　　　　　　　　　　　　Eth　0　　　　　　　　　　162　　　　　　　　　T　S　　　　　　　　1900　　　　　　AUI
router2　　　　　　　　　　　　　Eth　0　　　　　　　　　　176　　　　　　　　　　R　　　　　　　　　4000　　　　　　Eth　0

2。2。1。1。13　系统banner
banner是系统给用户的提示词，它可以起到说明、提示的。Banner有四种：motd、login、exec或ining。下面是banner的例子：
This　is　the　message　of　the　day　banner。　　　（motd　banner）
This　is　the　login　banner。　　　　　　　　　　　　　　　　　（login　banner）
User　access　verification
　　　　
Password：　　　　　　　（not　echoed）　
This　is　the　exec　banner。　　　　　（exec　banner）
Router》　　　　　　　　　（user　mode　prompt）


创建　Banners
使用banner命令创建四种形式的banner：　
Router（config）#banner　motd　#　message　#
Router（config）#banner　login　#　message　#
Router（config）#banner　exec　#　message　#
Router（config）#banner　ining　#　message　#

删除Banners
使用no　banner命令删除banner：
Router（config）#no　banner　ining

使用no　exec…banner　和　no　motd…banner　命令可以分别去除某线的banner。
Router（config）#line　5
Router（config…line）#no　exec…banner
Router（config…line）#no　motd…banner


2。2。1。2　GSR配置
2。2。1。2。1　Cisco　IOS映像文件
默认情况下，GSR的IOS映像文件存储在位于0号PCMCIA槽位的Flash　内存或Flash　硬盘中。路由器的初始状态，也是使用这个映像文件启动系统，可以通过配置，使路由器从1号槽位或TFTP中的映像文件启动系统。　
　
2。2。1。2。2　确认有效的IOS映像文件
如果路由器没有找到适当的系统映像文件，则系统会进入到只读存储器（ROM）监视模式，系统将显示Rommon》提示符。在这个模式下，可以使用下列命令确认IOS映像文件的位置。　
命令　
作用　
Rommon　1》　dir　bootflash：　
显示SIMM（single　inline　memory　module）中的内容；这里存储的是最小软件映像文件，该映像文件仅可以用来做基本配置。　
Rommon　2》　dir　slot0：
or
Rommon　2》　dir　slot1：　
显示Flash内存（位于PCMCIA　0号槽位或1号槽位）中的内容。
Rommon　3》　dir　disk0：
or
Rommon　3》　dir　disk1：　
显示Flash硬盘（位于PCMCIA　0号槽位或1号槽位）中的内容。　
下面是命令运行结果示例：　
Rommon　1》　dir　bootflash：　
Directory　of　bootflash：/　
1　…rw5043356　Jan　01　2000　00：01：15　gsr…boot…mz。120…8。S　
Rommon　2》　dir　slot0：　
Directory　of　slot0：/　
1　…rw13778192　Jan　14　2002　18：24：26　gsr…p…mz。120…19。S。bin　
12　…rw3973　Sep　03　2002　23：09：47　ozRun　
20578304　bytes　total　（6762344　bytes　free）　
2。2。1。2。3　手工从IOS映像文件启动系统
可以通过手工指定系统软件映像文件的方式启动系统。所涉及的命令如下：　
mand　
Purpose　
Rommon　3》　boot　
（没有参数）　从默认的映像文件（位于SIMM或bootflash）启动系统。在出厂时，SIMM中装有系统映像文件。　
Rommon　3》　boot　flash　
（没有指定PCMCIA　的槽位号）　系统将尝试从RP的0号槽位flash内存的映像文件启动系统。
Rommon　3》　boot　slot0：　filename　
指定从RP的0号槽位flash内存的映像文件启动系统。
Rommon　3》　boot　disk0：　filename　
指定从RP的0号槽位flash硬盘的映像文件启动系统。
Rommon　3》　boot　slot1：　filename　
指定从RP的1号槽位flash内存的映像文件启动系统
Rommon　3》　boot　disk1：　filename　
指定从RP的1号槽位flash硬盘的映像文件启动系统。
Rommon　3》　boot　bootflash：　filename　
指定使用RP上SIMM中的映像文件启动系统（文件名为filename）。　
Rommon　3》　boot　tftp：　filename　＇host＇　
指定TFTP主机上的指定文件启动系统。　

2。2。1。2。4　为网管配置IP地址
可以使用GRP面板上的RJ…45　和　MII　接口（PRP面板上的RJ…45接口），作为网管接口；两个接口可以随便使用一个，但不能同时使用。　
下面是为该接口配置IP地址的步骤：
1．进入端口配置
Router（config）#　interface　ethernet　0
2．为端口配置IP地址和子网掩码
Router（config…if）#　ip　address　10。10。1。1　255。255。0。0

2。2。1。2。5　配置　POS　线卡
1．进入在第3槽位的线卡的0号POS端口　
Router（config）#　interface　pos　3/0
2．为端口配置IP地址和子网掩码
Router（config…if）#　ip　address　2。1。1。1　255。0。0。0
3．激活该端口
Router（config…if）#　no　shutdown

2。2。1。2。6　配置　ATM　线卡
1．进入在第1槽位的线卡的0号ATM端口　
Router（config）#　interface　pos　1/0
2．为端口配置IP地址和子网掩码
Router（config…if）#　ip　address　2。0。0。1　255。0。0。0
3．激活该端口
Router（config…if）#　no　shutdown

2。2。1。2。7　PCMCIA　Flash　Memory　配置
　格式化Flash　Memory或　Flash　Disk
在使用一个新的Flash　Memory或　Flash　Disk之前，必须对其格式化。　


注意：这个步骤会清除Flash　Memory或　Flash　Disk上的所有数据

1．格式化位于RP　0号槽位的一个新的Flash　Memory或　Flash　Disk。
　　Router#　format　slot0：　
或　
Router#　format　disk0：

2．确认格式化操作
All　sectors　will　be　erased；　proceed？　＇confirm＇　y
3．指定卷号　：本例中是MyNewCard。　
Enter　volume　id　（up　to　30　characters）：　MyNewCard　
Formatting　sector　n　
Format　device　slot0　pleted

　从Flash　Memory启动系统
To　enable　booting　from　a　Cisco　IOS　software　image　file　located　on　a　PCMCIA　Flash　memory　card　or　Flash　disk；　follow　these　steps：　

命令　
目的　
　1　　
Router#　configure　terminal　

进入全局配置模式　
　2　　
Router（config）#　boot　system　flash　slot0：filename　
指明在系统在启动时装入的软件名称，filename是软件名。　本例中指明软件在falsh　memory上，所在位置为slot0。　根据实际情况，也可以是slot1：　slot1的Flash　memory　；或　disk0：　位于slot　0的Flash　disk；　或disk1：　f位于slot　1的Flash　disk。　
　3　　
Router（config）#　config…register　0x0102　
屏蔽掉Break功能并且运行boot　system　flash　命令。　
　4　　
Router（config）#　Ctrl…z　
退出全局配置模式。　
　5　　
Router#　copy　running…config　startup…config　
或　
Router#　write　memory　
将软件配置存入NVRAM。　
　6　　
Router#　reload　
使用PCMCIA　0号槽位的flash内存重启系统。　


Note　　　默认情况下，路由器从位于0号槽位的flash内存或硬盘启动系统。　　　　　　　　　　　　　　　　　　

升级和备份CISCO　IOS软件映像文件和配置文件
　从TFTP服务器升级flash内存中的CISCO　IOS　软件映像文件
GSR出厂时，在0号槽位的Flash内存或硬盘中装有默认的CISCO　IOS映像文件。当将来有新版本的IOS软件发布的时候，可以从Cisco。下载，并更新路由器软件系统。　


注意：　　为了在更新失败的时候，可以恢复到以前的IOS系统，请保留旧的系统映像文件备份。如果在Flash内存卡中没有足够的空间做这项工作，请先将旧的系统映像文件拷贝到另一个Flash内存或硬盘中，也可以备份到TFTP服务器上。具体操作步骤请见“在Flash内存或硬盘间拷贝IOS软件映像文件”　一节。　

下面是从TFTP服务器更新Flash内存中系统映像文件的操作步骤：　

mand　
Purpose　
Step　1　　
Router#　show　slot0：　
查看是否有足够的空间拷贝新的软件映像文件。Flash内存的默认大小的20M如果发现没有足够的空间拷贝新的软件，请执行第四步。　
Step　2　　
Router#　delete　slot0：filename
or
Router#　delete　disk0：filename　
给在flash内存或硬盘中不需要的文件做上删除标记，对于重要的文件，请先备份　
Step　3　　
Router#　squeeze　slot0：　
永久删除Permanently　removes　deleted　files　from　a　Flash　memory　card　located　in　slot　0。　The　squeeze　mand　also　makes　all　other　undeleted　files　on　the　Flash　card　contiguous。　This　step　is　not　required　if　you　are　using　a　Flash　disk。　
Step　4　　
Router#　copy　tftp：　slot0：　
开始从TFTP服务器拷贝一个文件到0号槽位Flash内存的过程。　
Step　5　　
Address　or　name　of　remote　host　＇＇？　192。168。16。254　
指明TFTP服务器的地址。
Step　6　　
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明要拷贝的映像文件的名字。　
Step　7　　
Destination　filename　＇gsr…p…mz。120…7。4。5＇？　　
指明目的文件的名字。
Step　8　　
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式。　
Step　9　　
Router（config）#　boot　system　flash　slot0：gsr…p…mz。120…7。4。5　
指明启动系统时使用0号槽位flash内存的　gsr…p…mz。120…7。4。5　文件
Step　10　　
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。
Step　11　　
Router（config）#　Ctrl…Z　
退出全局配置模式。　
Step　12　　
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
保存软件配置设置。　
Step　13　　
Router#　reload　
重启系统

2。2。1。2。8　在Flash内存或硬盘间拷贝IOS软件映像文件
在Flash内存或硬盘间拷贝软件映像文件的过程如下：　

mand　
Purpose　
Step　1　　
Router#　copy　slot1：　slot0：　
开始拷贝文件的过程：从1号槽位的Flash内存拷贝到0号槽位的Flash内存。　
Step　2　　
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明源文件名称gsr…p…mz。120…7。4。5。
Step　3　　
Destination　filename　＇gsr…p…mz。120…7。4。5＇？　　
指明目的文件名称。回车后开始拷贝，该过程可能比较长。　
　指定一个CISCO软件映像文件作为默认的启动映像文件。

命令　
作用　
　1　　
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式　
2　　
Router（config）#　boot　system　flash　slot0：gsr…p…mz。ME12_SRP_VER_12_08_12　
指定系统启动的默认映像文件为gsr…p…mz。ME12_SRP_VER_12_08_12　
3　　
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。　
4　　
Router（config）#　Ctrl…Z　
退出全局配置模式。　
5　　
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
存软件配置设置。
6　　
Router#　reload　
重启系统。
　保存配置文件　
保存配置文件，特别是在对配置文件做重大改动之前先将配置文件备份，是一个很好的习惯。系统有两个配置文件，一个是存储在NVRAM中的启动配置文件（startup　configuration　file），　另一个是存储在DRAM中的运行配置文件（running　configuration　file）。一般情况下，这两个配置文件是一样的，除非更改了运行配置文件，并且没有写回启动配置文件。
保存启动配置文件，使用下列相关命令：　
命令　
作用　
Router#　copy　startup…config　slot0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　startup…config　slot1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　startup…config　disk0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　disk1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　tftp：　
将NVRAM中的启动配置文件拷贝到TFTP服务器。　
保存运行配置文件；使用下列相关命令：　
命令　
作用　
Router#　copy　running…config　slot0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　running…config　slot1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　running…config　disk0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。
Router#　copy　running…config　disk1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　running…config　tftp：　
将DRAM的运行配置文件拷贝到TFTP服务器。　
使用dir　命令检查配置文件是否正确拷贝了，下面这个例子检查0号槽位的Flash内存：　Router#　dir　slot0：　
…#…length……………date/time……………name　
1　5200084　May　10　1997　19：24：12　gsr…p…mz。112…8　
3　1215　May　10　1997　20：30：52　myfile1　
4　6176844　May　10　1997　23：04：10　gsr…p…mz。112…8。1　
5　1186　May　10　1997　16：56：50　myfile2　
9197156　bytes　available　（11381148　bytes　used）　
　恢复配置文件
从Flash　内存或硬盘中恢复配置文件，步骤如下：

命令
作用　
Step　1　　
Router#　copy　slot0：filename　startup…config　
将0号槽位的文件（名为filename），恢复作为启动配置文件。　
Step　2　　
Router#　copy　startup…config　running…config　
将启动配置文件作为运行配置文件。　

2。2。2　系统配置
2。2。2。1　设备安全保障
从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。Internet　标准文本RFC2196　〃Site　Security　Handbook〃（　互联网安全手册）　为我们提供了一个非常好的开端。该文本明确指出网络安全应该从以下五个方面来考虑：
*　确认需要被保护的对象
*　找出被保护对象可能受到的攻击方式
*　估计攻击事件的可能性
*　实施经济的‘有效的安全手段来保护已确认的‘需要被保护的对象
*　定期总结以上四步操作结果，加以完善

被保护的对象
骨干路由器
带外网管路由器
局域网交换机
攻击方式，可能性及防护手段
攻击方式： 猜测操作员姓名/口令
攻击事件的可能性： 高
防护手段：
操作员姓名/口令（Radius；TACACS＋　or　Kebros＋一次性口令）
SNMP，VTY及Console　端口的限制接入（ACL　访问控制限制表）
VTY及Console　端口的timeout控制（Timer，定时）
口令加密
Login　Banner　（明确标识，警告非法性登陆的法律后果）

攻击方式： UDP/TCP诊断端口DoS（Denial　of　Service）　攻击
攻击事件的可能性： 高
防护手段：
关闭相应UDP/TCP端口服务
（　no　service　udp…small…servers）
（　no　service　tcp…small…servers）

攻击方式： 聆听“finger〃　以窃取用户login信息
攻击事件的可能性： 高
防护手段： 关闭相应”finger〃　服务（no　service　finger）

攻击方式： SMURF　（有关SMURF定义可参考　Craig　Heugen的网站：http：//quadrunner。/~chueguen/smurf。txt）
攻击事件的可能性： 高
防护手段： 关闭骨干路由器相应IP性能
（no　ip　redirects）
（no　ip　directed…broadcast）
（no　ip　proxy…arp）