[06-23] 路由器初学者完全教程
本文以Cisco2620为例,讲述了路由器的初始化配置以及远程接入的配置方法,探讨了如何使用内部网络的DHCP服务功能为远程拨入的用户分配地址信息以及路由器常见故障的排除技巧。
( w6 |: _1 C1 a& j2 m& C# j F# @$ _
7 H3 M5 k$ N$ {+ o$ S0 B; m. t( i8 y(本文假定Cisco2620路由器为提供远程接入访问,已经配置了同步串行模块和异步串行16AM模块。) 8 [$ ^) h$ I# j9 P6 m' k* [
1 \- w$ }( v4 m5 e, s: D* @
Cisco2620路由器的基本配置
F% U, j2 H; ~$ |( z& ]
* A% Z5 e! o: f, k4 y 1. 初始安装 " X5 ~( s {8 M; ?
3 P3 b+ Y# I% l$ | 第一次安装时系统会自动进入Dialog Setup,依屏幕提示,分别回答路由器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议以及各个接口的配置后,保存配置。在出现路由器名称后,打入enable命令,键入超级登录密码,出现路由器名称(这里假设路由器名称为Cisco2620),待出现Cisco2620#提示符后,表示已经进入特权模式,此时就可以进行路由器的配置了。
) s& F! P* _3 B1 A" K4 |. Q2 [
! B. E, L2 V% N5 } g; h 2. 配置路由器 1 J. H2 _8 D, j/ }
$ Q3 c% N9 ?2 G% \ 键入config terminal,出现提示符Cisco2620(config)#,进入配置模式。 ; x/ G7 L: r+ J3 u3 y
( k' ^! H- ~+ _9 _# Z
(1) 设置密码 . H) x% ?4 R% w6 N
: f) d" O% [- `- d2 T) W# n Cisco2620(config)#enable secret 123123:设置特权模式密码为123123 ! p! G) E' v; z3 r
. y. E( _0 O) w4 {+ d, \
Cisco2620(config)#line console 0: 进入Console口配置模式
. L. w ] a/ L$ f$ Q
' f; O9 x2 Y S6 l Cisco2620(config-line)#password 123123:设置Console口密码为123123 / g6 r- E, Y* l7 W
4 t& k J% D# J) x
Cisco2620(config-line)#login:使console口配置生效
0 O& d: F6 N3 r5 N/ u
3 h+ N. [+ X% K H- n5 \ Cisco2620(config-line)#line vty 0 5:切换至远程登录口
7 c# H3 O7 A" E1 g: o
7 F: `% J2 n6 ` Cisco2620(config-line)#password 123123:设置远程登录密码为123123 ' }2 M+ G9 ?. K; y% S( V
8 a. k+ s& M9 W! T
Cisco2620(config-line)#login:使配置生效
2 w, i8 _2 L* p( i {; M, A& X8 D! _8 U0 `! q
(2) 设置快速以太网口 ' i7 r% W0 J* b4 k
9 A2 _3 ~& u. g& }/ K
Cisco2620(config)#interface fastFastethernet 0/0:进入端口配置模式 2 K5 f) I7 ?3 B7 F
& Q) ~/ ~- U$ Q* p" s0 K Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0:设置IP地址及掩码
3 q, I+ X+ \% g ~8 c1 e
3 |5 L0 @, {+ M4 L) Z1 F5 Q Cisco2620(config-if)#no shutdown: 开启端口
* v0 [& Z# x5 q: v: j! v Q: x; O$ }" |* q6 q
Cisco2620(config-if)#exit:从端口配置模式中退出 & X+ [7 I' d9 I" L n% {
5 A# v# \6 A9 g {! [$ L/ P) t. p
(3) 设置同步串口
2 n2 S. j9 j( ^: i5 H' u( z6 P, H L7 }& d. u; ]$ t8 G
Cisco2620(config)#interface serial 0/0:进入同步串口设置 9 e3 p9 B" N d- ^3 Z
1 b6 F y* d% j; [$ E0 [0 W( m
Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0:同步串口使用与快速以太网口相同的IP地址 * n- X7 e/ o7 _. o, e
( O2 C, s0 Z* B
Cisco2620(config-if)#encapsulation ppp: 把数据链路层协议设为PPP
3 e' m$ D3 i4 E# V& h8 O- G" c" V) P6 Z5 F8 N
(4) 设置16口Modem拨号模块,使用内部DHCP服务为拨入用户分配地址
6 T/ t6 X) z1 k+ b# e' }
; y& [; W8 t& g7 C: r Cisco2620(config)#interface Group-Async1
" S& g2 [( a- N3 a9 X0 s& E5 R' U0 v5 M* l5 E; \1 B; p: G
Cisco2620(config-if)# ip unnumbered FastEthernet0/0
& @5 P. M- M7 g+ a$ I+ ]: u# N0 }/ d
Cisco2620(config-if)# encapsulation ppp
' @- h# u9 J' s4 `
/ g# X; U% t7 `8 a7 g Cisco2620(config-if)# ip tcp header-compression passive:启用被动IP包头压缩 ; V2 D- p4 M+ Q# A7 K* h
; j9 g8 }* O. `! z1 V1 g0 M
Cisco2620(config-if)# async mode dedicated:只在异步模式下工作
; \6 B! t- L& f" Z: ]% K! A/ w! a i+ B( K0 ~% f- M5 e* l
Cisco2620(config-if)# peer default ip address dhcp:将IP地址请求转发至DHCP服务器 " s8 D/ |2 m9 t$ j
, Y( l7 A* z( p& z- n
Cisco2620(config-if)# ppp authentication chap:将认证设为CHAP
( N' F' z% x% ^2 H) Q) W
! e1 N6 Z6 x" Q2 ~8 w: [$ t: F7 } Cisco2620(config-if)# group-range 33 48:拨号组包括16个口 / a: H: E+ T7 W/ o$ t& c
$ F( O' \% h+ B1 a/ W8 T: } Cisco的16AM模块提供了高密度的模拟电路接入方式,不在办公大楼的员工可以用Modem拨号联入局域网、登录服务器,实现远程办公。 : I6 `, t4 O {$ J# r; X' g
: Z* }7 d, J j% i1 Q
peer default ip address dhcp命令可以使拨入的工作站通过局域网内的DHCP服务器动态地获得IP地址,节约了IP地址资源,同时还接收了在DHCP服务器上配置的参数,比如DNS服务器的IP地址,并配合全局模式下配置的指向防火墙的静态路由,使工作站同时也可以通过防火墙访问Internet。
9 d- @8 M3 ~: V' i, n! VCisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4:设置到防火墙的静态路由 ; [* r9 Y; a j- v9 u1 u) x/ W2 C
2 \5 Z5 V; R0 ~6 Q
(5) 对16AM模块物理特性的设置
) G# t- I5 V% d/ p
* w% c6 Z$ u- L2 W( J7 C Cisco2620(config)#line 33 48: 进入Modem 口线模式 - K$ s5 X4 i) b5 [& U
, p- x* S& y" o$ D1 a4 T Cisco2620(config-line)# session-timeout 30:超时设为30分钟 . {# h \8 m3 T$ u* }" {! f' O) I
' f: U5 c5 Q/ L4 r8 P Cisco2620(config-line)# autoselect during-login:自动登录 & @) Y4 Z, e: x& t. J7 `, a. }0 ]
9 }- ?5 y+ F) C( Z* M0 z Cisco2620(config-line)# autoselect ppp:自动选择PPP协议
* ~) {0 C* n+ v* E5 m5 U" k- F! u$ G. V0 L: B+ A
Cisco2620(config-line)# login local:允许本地口令检查
: U7 U9 q" L# ?: V8 ]2 g
4 H0 Z6 @" }( R5 }# x+ N Cisco2620(config-line)# modem InOut:允许拨入拨出
' [- @+ v8 L5 }5 @4 h& Q3 K; V! C; J
Cisco2620(config-line)# transport input all:指定传输协议 1 H k3 e5 S1 u9 l' I( H
& @2 }% J) l5 D' D/ F& ^! t; o- [% N
Cisco2620(config-line)# stopbits 1:设置一位停止位
- |2 }8 L6 V3 `6 v7 f4 t+ K1 w% \( \( B& L7 `
Cisco2620(config-line)# flowcontrol hardware:设置硬件流控制 # I% m7 x; G- F0 R+ Q3 X; z
5 E# s3 d4 e/ y2 ~# s2 F: j
(6) 添加拨号用户的用户名和密码
# b7 ]; N- g& [1 r0 O1 W- i6 {
8 c- {3 Z0 k) N7 K Cisco2620(config)#username shixuegang password abc123:增加用户名shixuegang,口令为abc123
) G& M7 ]8 y! ?. u+ d6 D
/ e% I+ r# ]7 T5 ~ M (7) 启用rip路由 " V8 U$ q) y3 w! Q$ \. E( I
- V: f8 q* X4 r6 ?( B p! l) e5 b
Cisco2620(config)#router rip:启用rip路由 " P8 l" o9 f8 w5 _$ d! \0 V. p `
8 S9 K, ?1 R+ @; |9 [8 g' x
Cisco2620(config-rout)#version 2:第二版本 ' {, E+ W7 A8 N: m$ z
; h3 |: F( i5 B2 p! b4 g, d Cisco2620(config-rout)#network xxx.xxx.xxx.xxx:指定要转发数据包的网络号 ; o1 r) C3 P' ?+ D5 p% O7 ^
$ M$ a i& o# v Cisco2620路由器故障判断和故障排除
9 [0 K/ A% c; g/ _" p# i/ U6 Z3 d; z) R
1. 判断以太端口故障 ( e$ Z q9 Q9 V) I
; k* _+ Y6 `! ?1 G 对于以太端口故障的诊断,可以用show interface fastFastethernet 0/0(对于以太端口0的诊断)命令,它用来检查一条链路的状态,可能出现的结果如下: 1 \' u$ h2 k" q* o% ]
4 U6 \) U* f d1 l
如果以太网端口工作正常,则出现如下显示:Fastethernet 0/0 is up, line protocol is up;
' z, h- L7 Q8 Y0 R# p4 t& S- o5 d4 e
如果存在连接故障,比如路由器未接到LAN上,则出现:Fastethernet 0/0 is up, line protocol is down; 4 j4 R* Y- R, t+ T# ^5 n
8 b: Y" v4 v4 ^% B 如果接口出现故障,则出现:Fastethernet 0/0 is down, line protocol is down (disable) ; ; K: F5 Y- f4 |9 _# A
. z: l' Q' V: C, [- b0 Q. l$ {
接口被人为地关闭,则出现:Fastethernet 0/0 is administratively down, line protocol is down; + R9 B2 D3 r% B$ u8 t+ X
; F) i' R$ g+ J6 n l. M; Q* B7 A# W 此外,当怀疑端口有物理性故障时,可用show version命令,该命令将显示出物理性正常的端口,而出现物理性故障的端口将不被显示出来。
$ O B* ^% g( c. y7 p2 S4 r/ p# G- U7 ^" ~2 h
2. 判断同步串行端口故障
: o: B# O! d% S' {% V* L5 {! t, z4 B' g& d* Z( {9 E8 j
我们可以用show interface serial 0/0命令检查一条链路的状态,如出现Serial 0/0 is up, line protocol is up字样,则表示工作正常;如出现serial 0/0 is up, line protocol is down字样,则表示端口无物理故障,但上层协议未通(IP、IPX、X25等,此时应查看路由器的配置命令,检查地址是否匹配);如出现Serial 0/0 is down, line protocol is down (disable) 字样,则表示端口出现物理性故障,此时应更换端口;如出现Serial 0/0 is down, line protocol is down字样,则表示DCE设备(Modem/DTU)未送来载波/时钟信号;如出现Serial 0/0 is administratively down, line protocol is down字样,则表示接口被人为地关闭,可在配置状态中interface_mode下去掉shutdown命令。
- L$ ]$ ?( c& Q0 k! F
( \( r1 a( I0 t2 U2 {! i4 z 3. 判断模拟线路故障
7 Z8 I8 x2 G/ u+ {; @+ m
3 M! a1 \( o ~* P% l 可以先用电话直接拨打路由器中继线号码,听见啸叫声则说明线路正常,反之则应先查看电话线路。排除线路故障后如依然无法正常工作,就应查看路由器关于16AM模块的配置命令,确定配置命令无误后,可采取如下方法:
* N% J" z8 I! m$ j
. C2 I) e. Z* f! Y% h& U7 v 将模块重新良好接地;
! e$ J3 @; i" f1 U% M8 A3 u% ^/ a
6 O( p) e" r4 Z `: j, {; |: U( L 升级路由器IOS版本; 5 j. w4 {( A. Q9 b+ A, b2 q- F
) O8 e- d5 }6 C3 `9 { 更换16AM模块。
& \9 B+ H" J) Y* r( x p8 w0 n& q% }/ B5 T1 N4 V
Cisco2620路由器的密码恢复和灾难性恢复 - f1 [* G6 g. v4 n* ]6 z
2 B, l2 X8 a5 m# E- s5 e' t
在使用路由器的过程中,经常会出现忘记密码的情况。同时,在*作过程中有时会因为一些不可预料的原因,使路由器内部的版本映像文件受到损坏,使路由器无法正常工作,导致路由器退回到监控状态,而使用常用的版本拷贝命令无法更新版本。这两个问题都是在日常维护中较为常见的问题。
7 A% g7 H, ]& f H8 i% W- u7 ^. r2 K
1. 密码恢复 6 o$ ^" e# r* B% S
' k3 a( O( w# c$ r
(1) 将路由器的Console口和计算机串口相连,启动计算机超级终端,开启路由器电源,在开机60秒内按ctrl+break 使路由器进入rom monitor 状态,并出现如下提示符: # N& K% Z5 h! e9 m, K' B( d- z: ]3 s
& h/ `3 L1 F! ]& D1 c# \5 b4 _ rommon1>
$ A% M7 @: _3 O; c# I+ p5 B* w) Q' [1 m9 I* r* z
(2) 重新配置组态寄存器。
2 {2 R6 K; B; d& m) m+ W( p# e
9 t+ Y" G' n |3 k4 I( \8 I rommon1>confreg 7 q) F% D' }% }& {0 k0 O
9 e5 K# P% R8 w# ]0 U5 X
当出现do you wish to change the configuration (y/n) 时选择y,当出现enable ignore system configuration information(y/n) 时选择y。 5 U& _# a( h/ U0 V0 x' w
2 P% J4 a/ ?0 G L3 M (3) 重新启动路由器。
: E4 Q. x3 c7 S/ b* g% n* Y5 i3 l8 R1 n. f% l4 c7 d, h. _
rommon1>reset ! v( e3 r% g& E, ?0 O$ k8 _
(4) 启动后进入特权模式,执行如下命令使原来的配置信息有效。 0 \. f) x& Z( N. K1 S
1 v- |+ ?* Y, D2 W
router(config)#config mem
. J. ^8 n' {. u! ~* n9 @( @" ~. |: ?
(5) 可以进一步查看密码或更改密码。 / v/ H$ A: E, r- i6 H% u" B) f
( u6 |' o* y3 n 2. 版本的灾难性恢复 & E" ~5 K7 i7 D2 d2 I6 D5 H4 |
( {6 U/ U" s- w6 q
Cisco2620提供了两种灾难性恢复版本的方法:tftpdnld和xmodem方式。
$ a) t- h, \" ?' ^6 V! V1 v: A# ~+ U3 `" Y6 M5 P) j: F1 t) u
(1) tftpdnld方式 & k' g& E( j3 E" K
5 W2 H; Y8 t9 G2 Z! k 将计算机串口和路由器Console口相连,计算机网口与路由器以太口(一定要与第一个以太口)相连。
# P1 Z% ^7 S; g* B+ C u6 e+ b5 r# L/ Y( N0 n! a
启动TFTP服务器,将要下载的版本放于指定目录下面。
2 W! S2 D3 J$ w6 u$ y. g& }$ f# K) p1 I$ g8 d/ d! p! W7 t. A, o
开启路由器电源,由于没有有效版本,路由器启动后将直接进入监控模式。
; w' y/ A' e6 n1 O
2 t; G1 Q' q- n5 {- h4 R& | Rommon1>
; r4 ?5 h: @: a" {4 h C, l/ C- N2 u( a& i
按如下命令设置参数。 $ `" o$ e: T# d& j/ \. W" r
% l2 q% J6 G0 A$ N4 V* R
Rommon2>IP_ADDRESS=192.168.1.6: 将192.168.1.6地址配置到路由器的第一个以太端口
- r. b& J2 W8 u/ {/ d+ w2 e7 m2 s. x$ i) B* X
Rommon3>IP_SUBNET_MASK=255.255.255.0:设置掩码 ; B& A* ?* ?6 V3 }# o# K+ q3 ?3 g
% b7 T2 P7 }* @! `& S8 Z8 Y Rommon4>DEFAULT_GATEWAY=192.168.1.7:指定TFTP服务器地址 * ]8 b/ h Z* i: C0 |; g& b
( D1 k$ c& W1 k. ?! A O Rommon5>TFTP_FILE=c2600-i-mz.121-3.T:指定IOS文件名
+ M' i' W: g# d5 G0 R5 P) n" G0 K8 A M6 c6 V
Rommon6>tftpdnld:下载IOS文件 & O3 h& u+ I! k- j n. ]- z$ x
8 i( H( N5 m5 V7 _7 N9 d 组态配置寄存器
* v+ `- ^8 ^' ^: d* d1 i- P* _6 d3 Y0 _4 P) Z+ W6 x- V
Rommon7>confreg
; g$ y9 \! k2 l8 `: s2 X: {
c, F( J# q0 C, V/ h9 Y 当出现do you wish to change the configuration y/n时选择y,当出现 change the boot charaterist y/n时选择y,选择参数2。其他的选项选n。
; z3 u6 \9 M& B3 q
0 d- S& h, |8 A 启动版本 . Y, j/ T% }/ a3 `1 m0 g
% i' V' z8 J ~& K( v- B Rommon8> reset 0 t6 _1 E8 A) i9 m& o: U
0 a, X% G* J( W! \1 a$ C
(2) xmodem 方式下载 _% N' o, J1 p7 c* J# @
* o# Z- @, r" E9 q. k1 B- [ Q 该种方式下载不需要以太口电缆,只需超级终端即可。缺点是花费时间太多、速度太慢。xmodem是个人计算机通信中广泛使用的异步文件传输协议,以128字节块的形式传输数据,并且对每个块都进行校验,如果接受方校验正确,则发送认可信息,发送方发送下一个字块。
, q2 D9 w$ ?, F! J2 ~0 ^) }: y; Q# P1 q
其具体步骤如下: 5 \9 _) J+ r1 J6 R" c, ?
5 n. W* J9 _* V, z% q X5 ?5 {
用超级终端与路由器连接后,启动路由器,路由器进入监控模式状态。
5 m6 R7 r1 s9 B" t9 Z! b
! [' ]4 j! k. o, _5 |2 r* V Rommon1>
& g" }) D9 H; l0 U H
# O$ M3 f5 e* [: ` 启动xmodem 命令
" Q: Q3 U& ]6 G! @; {+ M
$ u% D9 X) q1 n8 u+ e# j, v Z Rommon2>xmodem -cx?:敲入Enter键
2 l" `: H8 m' p1 o! o) l) Y4 A8 a. j
* M2 {& [- W- O b z1 w 当出现do you wish to continue时选择y
- p: B2 P) s* p: @2 ~! t3 F9 r7 q4 y8 P" ]9 x( L' F/ T5 V" H- a* F
打开超级终端的“传送”菜单,选择传送文件,打开传送文件窗口。输入版本文件的位置,并选择xmodem 方式。
3 c" Y% v7 p$ {8 H/ B( k
! v7 i7 D+ x) |* `. R+ ~! K7 H: s6 d) | 修改相应命令和选项,也可以以ymodem的方式进行传送。 9 K% j/ T1 t4 s2 {) c3 p. P
" ^ L% b0 m# P 以上述同样的方法配置confreg命令,重新启动后路由器会进入正常状态。 3 T; E9 l/ L7 ?
- U! N& b4 ^% s 两种进入Cisco2620路由器 ROM 状态的方法 9 C8 s; w/ s! i/ E
5 h) _0 [: E4 A" x- I 1. 如果break 未被屏蔽,可以在开机60秒内按ctrl+break 键中断启动过程,进入rom状态。 " z# F: @9 ~' l4 K8 n9 q1 y9 r
. Y+ x/ W) \( ?7 e& {8 R& C8 K 2. 将超级终端通信波特率设置为1200、数据位为8、奇偶位为1、停止位无。开启路由器电源,启动后关机。停5秒后,重新开机,同时一直按住空格键12秒后放开,等路由器启动完成后,重新更改超级终端位默认值。通信波特率设置为9600、数据位为8、奇偶位为1、停止位无 。重新连接后,从终端上可以看到已经进入rom 状态。注意在波特率为1200时终端上没有内容显示。
/ f; v0 C k, T$ c+ U% [% D) ~2 @) q& R M6 j* x, Y
除了上述功能外,Cisco路由器还可通过IOS软件的升级, 在不改动硬件的条件下实现更多、更强大的功能,在满足客户不断增长的需求的同时保护了硬件投资。但这样做也同样增加了配置及管理的难度,同时对网络管理员也提出了更高的要求。因此如何让网络设备高效、可靠地工作,尽量减小维护的工作量,有待于我们在实践中进一步探索。 7 G2 \9 n2 j4 p# j ]
, p/ l3 A8 ?$ \
格尔信息安全论坛 . d2 m. z( m. B$ Y5 t
4 ?+ T9 R& k$ B, A8 U) [! j; r 为信息安全的建设建立安全风险评估机制
5 H' w7 a. G# q7 y
( O C% ]* @. I ]: }8 s 伴随着我国加入WTO以及全球信息化的发展,计算机信息系统的安全建设越来越受重视,同时我国的政府与企业也已经深刻地认识到了信息安全风险评估的重要性,并努力通过实践来建立、健全和完善计算机信息系统的安全风险评估机制。 ; @: M+ Z7 [, \% \$ R
- Q" _% ~# p7 `8 H3 ~& t1 ]2 k 安全风险评估是信息系统安全防范体系的建设依据,风险评估的目的在于指出信息系统的风险所在、防范风险的代价、风险可能造成的损失,并最终依据后两者的比较制定信息安全保障体系。需要密切关注的是,防范风险的代价和风险可能造成的损失是不断变化的,信息安全保障体系的完善是建立在阶段建设目标的不断修正和补充基础之上的。
( d2 w5 z- R% o' _# K( [" I' C
9 }. o% U% Q0 r; X! \: d 在信息安全风险评估的需求方面,金融企业尤为急迫。金融企业一直以来都是信息技术发展的领路人,但是其信息安全的建设远远滞后于信息系统自身的建设。在金融企业逐渐认识到信息安全保障体系建设的必要性的同时,也意识到单凭直观感觉而制定的信息安全建设目标缺乏科学依据,不能对长期的信息安全建设提供指导作用。金融企业将再一次承担起领路人的角色,当然这是由其自身信息系统具备的基础决定的。
, x3 V( _$ \* A* [* c/ o8 K& p2 K
安全风险评估分如下几个过程: 8 S6 p5 F( R8 O
& n) o B: r! Q2 A( d 1. 评估阶段。信息系统将接受各种评估工具的检测和调查,被评估的对象包括网络架构、应用系统、运行与安全管理、人员、安全策略等,评估的结果将反映信息系统在各个方面的威胁和脆弱性。 . T2 o4 ]( V0 O/ T
1 ^4 F C/ k$ K8 }* i A
2. 评估信息智能化处理阶段。需要对不同的评估工具所得出的原始评估数据进行深入挖掘,一方面,这些数据复杂、多样,而且会不断增加,因此需要按照统一的标准进行管理; 另一方面,这些数据内在的联系需要通过数据挖掘进行归纳分析和综合分析。
: m; \2 R+ h/ S5 g* I3 D- c$ g" f z0 z# f1 e4 s }2 n
3. 解决方案与后续建设目标阶段。根据评估信息分析的结果,制定相应的建设目标与方案,其核心是把风险的价值与保护风险的价值进行比较。
