路由器基本知识及应用实例(DOC格式)-第3部分

快捷操作: 按键盘上方向键 ← 或 → 可快速上下翻页 按键盘上的 Enter 键可回到本书目录页 按键盘上方向键 ↑ 可回到本页顶部! 如果本书没有阅读完，想下次继续接着阅读，可使用上方 "收藏到我的浏览器" 功能 和 "加入书签" 功能！

1．进入在第1槽位的线卡的0号ATM端口　
Router（config）#　interface　pos　1/0
2．为端口配置IP地址和子网掩码
Router（config…if）#　ip　address　2。0。0。1　255。0。0。0
3．激活该端口
Router（config…if）#　no　shutdown

2。2。1。2。7　PCMCIA　Flash　Memory　配置
　格式化Flash　Memory或　Flash　Disk
在使用一个新的Flash　Memory或　Flash　Disk之前，必须对其格式化。　


注意：这个步骤会清除Flash　Memory或　Flash　Disk上的所有数据

1．格式化位于RP　0号槽位的一个新的Flash　Memory或　Flash　Disk。
　　Router#　format　slot0：　
或　
Router#　format　disk0：

2．确认格式化操作
All　sectors　will　be　erased；　proceed？　＇confirm＇　y
3．指定卷号　：本例中是MyNewCard。　
Enter　volume　id　（up　to　30　characters）：　MyNewCard　
Formatting　sector　n　
Format　device　slot0　pleted

　从Flash　Memory启动系统
To　enable　booting　from　a　Cisco　IOS　software　image　file　located　on　a　PCMCIA　Flash　memory　card　or　Flash　disk；　follow　these　steps：　

命令　
目的　
　1　　
Router#　configure　terminal　

进入全局配置模式　
　2　　
Router（config）#　boot　system　flash　slot0：filename　
指明在系统在启动时装入的软件名称，filename是软件名。　本例中指明软件在falsh　memory上，所在位置为slot0。　根据实际情况，也可以是slot1：　slot1的Flash　memory　；或　disk0：　位于slot　0的Flash　disk；　或disk1：　f位于slot　1的Flash　disk。　
　3　　
Router（config）#　config…register　0x0102　
屏蔽掉Break功能并且运行boot　system　flash　命令。　
　4　　
Router（config）#　Ctrl…z　
退出全局配置模式。　
　5　　
Router#　copy　running…config　startup…config　
或　
Router#　write　memory　
将软件配置存入NVRAM。　
　6　　
Router#　reload　
使用PCMCIA　0号槽位的flash内存重启系统。　


Note　　　默认情况下，路由器从位于0号槽位的flash内存或硬盘启动系统。　　　　　　　　　　　　　　　　　　

升级和备份CISCO　IOS软件映像文件和配置文件
　从TFTP服务器升级flash内存中的CISCO　IOS　软件映像文件
GSR出厂时，在0号槽位的Flash内存或硬盘中装有默认的CISCO　IOS映像文件。当将来有新版本的IOS软件发布的时候，可以从Cisco。下载，并更新路由器软件系统。　


注意：　　为了在更新失败的时候，可以恢复到以前的IOS系统，请保留旧的系统映像文件备份。如果在Flash内存卡中没有足够的空间做这项工作，请先将旧的系统映像文件拷贝到另一个Flash内存或硬盘中，也可以备份到TFTP服务器上。具体操作步骤请见“在Flash内存或硬盘间拷贝IOS软件映像文件”　一节。　

下面是从TFTP服务器更新Flash内存中系统映像文件的操作步骤：　

mand　
Purpose　
Step　1　　
Router#　show　slot0：　
查看是否有足够的空间拷贝新的软件映像文件。Flash内存的默认大小的20M如果发现没有足够的空间拷贝新的软件，请执行第四步。　
Step　2　　
Router#　delete　slot0：filename
or
Router#　delete　disk0：filename　
给在flash内存或硬盘中不需要的文件做上删除标记，对于重要的文件，请先备份　
Step　3　　
Router#　squeeze　slot0：　
永久删除Permanently　removes　deleted　files　from　a　Flash　memory　card　located　in　slot　0。　The　squeeze　mand　also　makes　all　other　undeleted　files　on　the　Flash　card　contiguous。　This　step　is　not　required　if　you　are　using　a　Flash　disk。　
Step　4　　
Router#　copy　tftp：　slot0：　
开始从TFTP服务器拷贝一个文件到0号槽位Flash内存的过程。　
Step　5　　
Address　or　name　of　remote　host　＇＇？　192。168。16。254　
指明TFTP服务器的地址。
Step　6　　
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明要拷贝的映像文件的名字。　
Step　7　　
Destination　filename　＇gsr…p…mz。120…7。4。5＇？　　
指明目的文件的名字。
Step　8　　
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式。　
Step　9　　
Router（config）#　boot　system　flash　slot0：gsr…p…mz。120…7。4。5　
指明启动系统时使用0号槽位flash内存的　gsr…p…mz。120…7。4。5　文件
Step　10　　
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。
Step　11　　
Router（config）#　Ctrl…Z　
退出全局配置模式。　
Step　12　　
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
保存软件配置设置。　
Step　13　　
Router#　reload　
重启系统

2。2。1。2。8　在Flash内存或硬盘间拷贝IOS软件映像文件
在Flash内存或硬盘间拷贝软件映像文件的过程如下：　

mand　
Purpose　
Step　1　　
Router#　copy　slot1：　slot0：　
开始拷贝文件的过程：从1号槽位的Flash内存拷贝到0号槽位的Flash内存。　
Step　2　　
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明源文件名称gsr…p…mz。120…7。4。5。
Step　3　　
Destination　filename　＇gsr…p…mz。120…7。4。5＇？　　
指明目的文件名称。回车后开始拷贝，该过程可能比较长。　
　指定一个CISCO软件映像文件作为默认的启动映像文件。

命令　
作用　
　1　　
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式　
2　　
Router（config）#　boot　system　flash　slot0：gsr…p…mz。ME12_SRP_VER_12_08_12　
指定系统启动的默认映像文件为gsr…p…mz。ME12_SRP_VER_12_08_12　
3　　
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。　
4　　
Router（config）#　Ctrl…Z　
退出全局配置模式。　
5　　
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
存软件配置设置。
6　　
Router#　reload　
重启系统。
　保存配置文件　
保存配置文件，特别是在对配置文件做重大改动之前先将配置文件备份，是一个很好的习惯。系统有两个配置文件，一个是存储在NVRAM中的启动配置文件（startup　configuration　file），　另一个是存储在DRAM中的运行配置文件（running　configuration　file）。一般情况下，这两个配置文件是一样的，除非更改了运行配置文件，并且没有写回启动配置文件。
保存启动配置文件，使用下列相关命令：　
命令　
作用　
Router#　copy　startup…config　slot0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　startup…config　slot1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　startup…config　disk0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　disk1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　tftp：　
将NVRAM中的启动配置文件拷贝到TFTP服务器。　
保存运行配置文件；使用下列相关命令：　
命令　
作用　
Router#　copy　running…config　slot0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　running…config　slot1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　running…config　disk0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。
Router#　copy　running…config　disk1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　running…config　tftp：　
将DRAM的运行配置文件拷贝到TFTP服务器。　
使用dir　命令检查配置文件是否正确拷贝了，下面这个例子检查0号槽位的Flash内存：　Router#　dir　slot0：　
…#…length……………date/time……………name　
1　5200084　May　10　1997　19：24：12　gsr…p…mz。112…8　
3　1215　May　10　1997　20：30：52　myfile1　
4　6176844　May　10　1997　23：04：10　gsr…p…mz。112…8。1　
5　1186　May　10　1997　16：56：50　myfile2　
9197156　bytes　available　（11381148　bytes　used）　
　恢复配置文件
从Flash　内存或硬盘中恢复配置文件，步骤如下：

命令
作用　
Step　1　　
Router#　copy　slot0：filename　startup…config　
将0号槽位的文件（名为filename），恢复作为启动配置文件。　
Step　2　　
Router#　copy　startup…config　running…config　
将启动配置文件作为运行配置文件。　

2。2。2　系统配置
2。2。2。1　设备安全保障
从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。Internet　标准文本RFC2196　〃Site　Security　Handbook〃（　互联网安全手册）　为我们提供了一个非常好的开端。该文本明确指出网络安全应该从以下五个方面来考虑：
*　确认需要被保护的对象
*　找出被保护对象可能受到的攻击方式
*　估计攻击事件的可能性
*　实施经济的‘有效的安全手段来保护已确认的‘需要被保护的对象
*　定期总结以上四步操作结果，加以完善

被保护的对象
骨干路由器
带外网管路由器
局域网交换机
攻击方式，可能性及防护手段
攻击方式： 猜测操作员姓名/口令
攻击事件的可能性： 高
防护手段：
操作员姓名/口令（Radius；TACACS＋　or　Kebros＋一次性口令）
SNMP，VTY及Console　端口的限制接入（ACL　访问控制限制表）
VTY及Console　端口的timeout控制（Timer，定时）
口令加密
Login　Banner　（明确标识，警告非法性登陆的法律后果）

攻击方式： UDP/TCP诊断端口DoS（Denial　of　Service）　攻击
攻击事件的可能性： 高
防护手段：
关闭相应UDP/TCP端口服务
（　no　service　udp…small…servers）
（　no　service　tcp…small…servers）

攻击方式： 聆听“finger〃　以窃取用户login信息
攻击事件的可能性： 高
防护手段： 关闭相应”finger〃　服务（no　service　finger）

攻击方式： SMURF　（有关SMURF定义可参考　Craig　Heugen的网站：http：//quadrunner。/~chueguen/smurf。txt）
攻击事件的可能性： 高
防护手段： 关闭骨干路由器相应IP性能
（no　ip　redirects）
（no　ip　directed…broadcast）
（no　ip　proxy…arp）

攻击方式： 损耗CPU
攻击事件的可能性： 中
防护手段： 关闭相应骨干路由器服务
（no　service　pad）
（no　ip　bootp　server）
（no　cdp　run）
（no　cdp　enable）
定期总结，加以完善
究竟上述防护手段是否有效？如何发现新的攻击？ISP运营商常用的另一个环节就是对路由器系统信号（console　system　message）的收集，即logging。　　具体步骤分倆步：

在路由器或交换机上设置系统信号输出
（loggin　buffered　16348