路由器配置实例--100例
Cisco 路由器VOIP 配置解析
在企业网络中推广IP 语音技术有很多优点,例如可以控制数据流量,保证语音质量,充分利用企业租用的数据线路资源,节省传统的长途话费等等。企业使用IP 语音技术,可以将语音、数据和多媒体通信融合在一个集成的网络中,并在一个企业解决方案中,把专网和公网连接起来。
在2600和3600系列路由平台上,Cisco 提供了新型的H.323关守功能,该关守功能除提供策略管理功能外,还提供地址分辨、带宽管理、网关支持、用户鉴别以及账户记录。H.323关守在局域网和广域网上均可实现对基于H.323的语音、视频及数据会议话务流量的策略管理功能.
本文介绍的是一次利用Cisco 2600路由器,通过 E&M 干线连接PBX 用户,实现了 Voice over IP功能的过程。
某公司计划连接两个办公室:一个位于加利弗尼亚的San Jose,另一个位于盐湖城。该公司在其两个远程办公室之间已经建立了可工作的IP 连接。每个办公室有一个PBX 内部电话网络,通过一个E&M接口连接到语音网络。 盐湖城和San Jose 办公室都使用E&M 端口类型。每个 E&M 接口连接到路由器的两个语音接口连接端。在San Jose 的用户拨“8-111” 这一扩展号可接通盐湖城目标。在盐湖城的用户拨“4-111”扩展号可接通San Jose目标。
图1是本连接示例的拓扑(附件中1)
首先应配置好PBX ,使所有的DTMF 信号能通到路由器。若修改增益或电话端口,应确认电话端口仍然能接受DTMF 信号。然后对图中路由器 SJ 配置,第一步配置 pots 拨号对等 1:
hostname sanjose
dial-peer voice 1 pots
destination-pattern +111....
ort 1/0/0
配置 pots 拨号对等 2:
dial-peer voice 2 pots
destination-pattern +111....
ort 1/0/1
配置 voip 拨号对等 3:
dial-peer voice 3 voip
destination-pattern +111....
ession target ipv4:172.16.65.182
配置E&M 端口:
voice-port 1/0/0
ignal immediate
operation 4-wire
type 2
voice-port 1/0/1
ignal immediate
operation 4-wire
type 2
配置串行端口:
interface serial 0/0
description serial interface type dce (provides clock)
clock rate 2000000
ip address 172.16.1.123
o shutdown
接下来配置路由器 SLC ,步骤与配置SJ 类似。
经过这样配置,即可实现Cisco 2600路由器上,通过 E&M 干线连接PBX 用户的 VoIP 应用。 相关术语
DTMF(Dual tone multifrequency):双音多频——同时使用两种音频(例如按钮音) 进行拨号。
E& M:代表recEive and transMit (或Ear and Mouth). E&M一般是一个用于交换到交换或交换到网络连接的双向主干设备。Cisco 的 E&M 端口是一个RJ-48 连接器,该连接器可连接到PBX 主干线路(专线) 。 PBX :Private branch exchange 专用中心交换机。
POTS 拨号对等:通过一个传统的电话局网络连接的点对点拨号 ( Dial peer)。POTS 对等指向在语音网络设备上的特定语音端口。
[ 本帖最后由 宁静的清风 于 2007-8-5 10:09 编辑 ]
附件
2007-8-5 10:09
1.jpg
(10.56 KB)
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-07-27 18:34:00
1分钟答问卷赢4G 优盘
玩游戏赢足球巨星纪念品啦 ...楼主...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685985
Cisco 路由器的安全配置
目前大多数的企事业单位和部门连Internet 网,通常都是一台路由器与ISP 连结实现。这台路由器就是沟通外部Internet 和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。
现在大多数的路由器都是Cisco 公司的产品或与其功能近似,本文在这里就针对Cisco 路由器的安全配置进行管理。
考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。目前路由器(以Cisco 为例)本身也都带有一定的安全功能,如访问列表、加密等,但是在缺省配置时,这些功能大多数都是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要,且不降低网络的性能?本文从以下几个部分分别加以说明:
一. 口令管理
口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS 认证服务器上。但是几乎每一个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?
1. 使用enable secret
enable secret 命令用于设定具有管理员权限的口令。并且如果没有enable secret,则当一个口令是为控制台TTY 设置的,这个口令也能用于远程访问。这种情况是不希望的。还有一点就是老的系统采用的是enable password,虽然功能相似,但是enable password采用的加密算法比较弱。
2. 使用service password-encryption
这条命令用于对存储在配置文件中的所有口令和类似数据(如 CHAP )进行加密。避免当配置文件被
不怀好意者看见,从而获得这些数据的明文。但是service password-encrypation的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对enable password命令设置的口令。而enable secret命令采用的是 MD5算法,这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。 所以不要以为加密了就可以放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界得到。且设定enable secret和service password-encryption。
二. 控制交互式访问
任何人登录到路由器上都能够显示一些重要的配置信息。一个攻击者可以将路由器作为攻击的中转站。所以需要正确控制路由器的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例外,如直连的控制台终端等。
控制台端口具有特殊的权限。特别注意的是,当路由器重启动的开始几秒如果发送一个Break 信号到控制台端口,则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem 、终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。
除了通过控制台登录路由器外还有很多的方法,根据配置和操作系统版本的不同,可以支持如Telnet 、rlogin 、Ssh 以及非基于IP 的网络协议如 LAT 、MOP 、X.29和V.120等或者Modem 拨号。所有这些都涉及到TTY ,本地的异步终端和拨号Modem 用标准的"TTYs" 。远地的网络连结不管采用什么协议都是虚拟的TTYs ,即"VTYs" 。要控制路由器的访问,最好就是控制这些TTYs 或VTYs ,加上一些认证或利用login 、 no password命令禁止访问。
1.控制TTY
缺省的情况下一个远端用户可以连结到一个TTY ,称为" 反向 Telnet" ,允许远端用户和连接到这个TTY 上的终端或Modem 进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的 Modem 端口,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用transport input none设置任何异步或Modem 不接收来自网络用户的连结。如果可能,不要用相同的Modem 拨入和拨出,且禁止反向Telnet 拨入。
2.控制VTY
为了保证安全,任何VTY 应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY 只支持Telnet 服务,可以如下设置 transport input telnet。如果路由器操作系统支持SSH ,最好只支持这个协议,避免使用明文传送的Telnet 服务。如下设置: transport input ssh。也可以利用ip access-class
限制访问VTY 的ip 地址范围。
因为VTYs 的数目有一定的限制,当所有的VTYs 用完了,就不能再建立远程的网络连结了。这就有可能被利用进行Dos (拒绝服务攻击)。这里攻击者不必登录进入,只要建立连结,到login 提示符下就可以,消耗到所有的VTYs 。对于这种攻击的一个好的防御方法就是利用 ip access-class命令限制最后一个VTYs 的访问地址,只向特定管理工作站打开。而其他的VTYs 不限制,从而既保证了灵活性,也保证关键的管理工作不被影响。另一个方法是利用exec-timeout 命令,配置VTY 的超时。避免一个空闲的任务一直占用VTY 。类似的也可以用 service tcp-keepalives-in 保证Tcp 建立的入连结是活动的,从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护VTY 的方法是关闭所有非基于IP 的访问,且使用IPSec 加密所有的远端与路由器的连结。
三. 管理服务配置
许多的用户利用协议如Snmp 或Http 来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。
1. Snmp
Snmp 是最经常用于路由器的管理的协议。目前使用最多的Snmp 版本1,但是这个版本的Snmp 存在着很多的安全问题:
A . 使用明文认证,利用"community" 字符串。
B . 在周期性轮循时,重复的发送这些"community" 。
C . 采用容易被欺骗的基于数据包的协议。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且允许对于不同的管理数据进行限制。如果一定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community 如public ,private 等。避免对于每个设备都用相同的community ,区别和限制只读和读写 commnity 。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值。还有就是最好使用访问列表限定可以使用Snmp 管理的范围。
2. Http :
最近的路由器操作系统支持Http 协议进行远端配置和监视。而针对Http 的认证就相当于在网络上发送明文且对于Http 没有有效的基于挑战或一次性的口令保护。这使得用Http 进行管理相当危险。
如果选择使用Http 进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http 认证选择是利用TACACS+或RADIUS 服务器。
四. 日志
利用路由器的日志功能对于安全来说是十分重要的。Cisco 路由器支持如下的日志
1. AAA 日志:主要收集关于用户拨入连结、登录、Http 访问、权限变化等。这些日志用TACACS+或RADIUS 协议送到认证服务器并本地保存下来。这些可以用aaa accouting实现。
2. Snmp trap 日志:发送系统状态的改变到Snmp 管理工作站。
3. 系统日志:根据配置记录大量的系统事件。并可以将这些日志发送到下列地方:
a . 控制台端口
b . Syslog 服务器
c . TTYs 或VTYs
d . 本地的日志缓存。
这里最关心的就是系统日志,缺省的情况下这些日志被送到控制台端口,通过控制台监视器来观察系统的运行情况,但是这种方式信息量小且无法记录下来供以后的查看。最好是使用syslog 服务器,将日志信息送到这个服务器保存下来。
五.路由安全
1.防止伪造:
伪造是攻击者经常使用的方法。通过路由器的配置可以在一定程度上防止伪造。通常是利用访问列表,限制通过的数据包的地址范围。但是有下面几点注意的。
A . 可以在网络的任何一点进行限制,但是最好在网络的边界路由器上进行,因为在网络内部是难于判断地址伪造的。
B . 最好对接口进入的数据进行访问控制(用ip access-group list in)。因为输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保护了路由器本身不受到外界的攻击。
C . 不仅对外部的端口进行访问控制,还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为。
下面是一个是一个访问列表的例子:
ip access-list number deny icmp any any redirect 拒绝所有的Icmp 重定向
ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒绝Loopback 的数据包 ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包
除了访问列表的限制外,还可以利用路由器的RPF 检查(ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判断是不是到达这个源地址的路由是不是也经过这个接口转发,如果不是则抛弃。这进一步保证了数据源的正确性。但是这种方式不适合非对称的路由,即A 到B 的路由与B 到A 的路由不相同。所以需要判断清楚路由器的具体配置。
2.控制直接广播
一个IP 直接广播是一个目的地为某个子网的广播地址的数据包,但是这个发送主机的不与这个目的子网直接相连。所以这个数据包被路由器当作普通包转发直到目的子网,然后被转换为链路层广播。由于Ip 地址结构的特性,只有直接连接到这个子网的路由器能够识别一个直接广播包。针对这个功能,目前存在一种攻击称为"smurf" ,攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应,最终导致目的网络的广播风暴。
对于这种攻击可以在路由器的接口上设置no ip directed-broadcast,但是这种直接广播包,要被这个接口转换成链路层的广播而不是抛弃,所以为了更好防止攻击,最好在将所有可能连接到目的子网的路由器都配置no ip directed-broadcast。
3. 防止路由攻击
源路由攻击一种常用攻击方法,因为一些老的Ip 实现在处理源路由包时存在问题,所以可能导致这些机器崩溃,所以最好在路由器上关闭源路由。用命令no ip source-route。
Icmp 重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机,从而导致末端主机的错误路由。这种攻击可以通过在边界路由器上设定过滤所有icmp 重定向数据来实现。但是这只能阻止外部的攻击者,如果攻击者和目的主机在同一个网段则没有办法。
当路由器采用动态协议时,攻击者可以伪造路由包,破坏路由器的路由表。为了防止这种攻击可以利用访问列表(distribute-list in)限定正确路由信息的范围。并且如果可能则采用认证机制。如Rip 2或ospf 支持认证等。
六. 流量管理
目前大多数的Dos 攻击都是通过发送大量的无用包,从而占用路由器和带宽的资源,导致网络和设备过载,这种攻击也称为" 洪泛攻击" 。对于这种攻击的防范首先要明确瓶颈在哪里。例如:如果攻击导致线路阻塞,则在线路的源路由节点进行过滤可以有效的防止,但是在线路的目的路由端进行过滤,就没有什么效果。并且要注意路由器本身也可能成为攻击的对象,而且这种情况更加糟糕。对于这种类型攻击的防范有如下:
1. 网络保护:
利用路由器的Qos 功能来分担负载来防止一些洪泛攻击。方式有WFQ ,CAR ,GTS 等。但是要注意的是每种方式的应用不同。如WFQ 防止ping 攻击比SYN 攻击更有效。所以要正确选择方式,才能有效的防止攻击。
2. 路由器本身保护:
路由器虽然能保护网络中其他部分避免过载,但是本身也需要保护不受到攻击。应有的安全配置有: a . 采用CEF 交换模式而不是传统的路由表Cache 方式,因为采用CEF 方式,对于出现的新目的地不需要构筑路由Cache 入口。所以这种方式对于SYN 攻击能够更好的防止(因为SYN 攻击用的是随机的源地址)
b . 使用scheduler interval 或scheduler allocate。因为当大量的数据包要路由器快速转发情况下,可能路由器花费大量的时间处理网络接口的中断,导致其他的任务无法正常工作。为了避免这种情况,可以使用scheduler interval或scheduler allocate命令路由器在规定的时间间隔内停止处理中断去处理其他事件。这种方式的副作用很小,不会影响网络的正常传输。
c . 设定缺省路由到空设备(ip route 0.0.0.0 0.0.0.0 null 0 255):
这个设置可以很好抛弃掉不可达的目的地值得数据包,增加路由器的性能。
七.服务管理
路由器通常都提供很多的服务如Finger 、Telnet 等,但是这些服务中一些能够被攻击者利用,所以最好禁止所有不需要的服务。
1.Cisco 路由器提供一些基于TCP 和UDP 协议的小服务如:echo 、chargen 和discard 。这些服务很少被使用,而且容易被攻击者利用来越过包过滤机制。如echo 服务,就可以被攻击者利用它发送数据包,好像这些数据包来自路由器本身。所以最好禁止这些服务,可以利用 no service tcp-small-servers 和 no service udp-small-servers命令来实现。
2.Finger 、NTP 、CDP :
Finger 服务可能被攻击者利用查找用户和口令攻击。NTP 不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。CDP 可能被攻击者利用获得路由器的版本等信息,从而进行攻击。所以对于上面的几种服务如果没有十分必要的需求,最好禁止他们。可以用 no service finger 、no ntp enabel、no cdp running(或no cdp enable )实现。
通过采用和遵循上面的配置就可以实现一个路由器的基本的安全,但是这对于一个严格要求的安全环
境是不够的,因为还有很多的攻击无法从路由器上过滤,且对于来自内部网络的攻击,路由器是无能力进行保证的。但是通过一个路由器的安全配置,能够为网络的安全建立一个外部的屏障,减轻了内部防火墙的负担,并且保证了路由器本身的安全。所以路由器的安全配置还是十分重要
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-08-05 18:10:00
推荐:马上参加HRS 世界杯主题活动 ...第1楼...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0 0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685986
------Cisco 路由器配置信息在Unix 下的备份、恢复与更新---
随着计算机应用的不断发展,许多企业计算机局域网规模在不断扩大,网络的独立网关或独立网点数目也日益增多;同时,由于应用的发展,需要对网络进行优化和改造,并且增加新的业务,如语音和视频通信
等,因此,必须对原有的网络配置做出相应的调整。
作为网关的路由器,其配置的信息也要相应增加和调整。
Cisco 系统公司的多协议路由器已被大多数企业广泛用于组建自己的专网。当Cisco 路由器的配置信息需要增加或修改时,逐条在Cisco 路由器上进行配置和修改是相当费时和繁琐的,而如果Cisco 路由器上的配置信息,由于某种原因出现部分或完全丢失,此时网络上又运行着一些实时应用系统,如果不能迅速地恢复路由器的配置信息,则将会引起非常严重的后果。
本文介绍了一种方法,此方法可将Cisco 路由器上的所有配置信息备份到一台Unix 主机上以文件形式保存,作为Cisco 路由器配置信息的备份。利用此文件,可以迅速恢复Cisco 路由器的原有配置;也可以对此文件进行修改,以实现对路由器配置信息的快速更新。这种方法适用于局域网和广域网,对于网络的远程维护和配置非常有效。
一、网络实例
本文介绍的方法基于Cisco 路由器支持对TFTP 服务器进行读写操作,为了能够清楚地说明,以附图为例进行讨论。
附图中,Cisco1路由器通过X.25 或DDN 与异地的Cisco2路由器互联,它们的主机节点名分别为Cisco1和Cisco2,广域网IP 地址分别为10.111.255.1和 10.111.255.2,子网掩码为255.255.255.252; PC机上安装的是SCO Unix 5.0.5操作系统,与Cisco1在同一局域网上,它们的局域网地址分别为10.111.160.100和10.111.160.99,局域网子网掩码为255.255.255.0,网段为10.111.160.0;Unix 主机节点名为manager 。
二、在Unix 主机上的准备工作
为了使Unix 主机能够提供TFTP 服务,需要在Unix 主机上以root 身份注册,做以下操作。
1.用Vi 编辑根目录下的.rhosts , 在文件中添加如下2行:
Cisco1
Cisco2
使主机Cisco1和Cisco2被授权,能够对Unix 系统的根目录进行读写操作。
2.用Vi 编辑文件/etc/rc,添加如下一行:
route add host 10.111.255.1 10.111.255.2 1
加载路由到Cisco2。
3.用Vi 编辑/etc/hosts文件,添加如下2行:
10.111.160.99 Cisco1
10.111.255.2 Cisco2
便于按主机节点名寻址。
4.用Vi 编辑文件/etc/inetd.conf, 将其中一行
# tftp dgram udp wait nouser /etc/tftpd tftpd
行首的“#”号删除,以便启动TFTP 服务器。
5.在根目录下创建一个用于存放Cisco 路由器配置信息备份文件的目录(假设为Ciscobak) ,在该目录下创建2个空文件,分别用于保存Cisco1和Cisco2的配置信息(假设为Cisco1.conf 和Cisco2.conf) ,具体操作如下:
# mkdir Ciscobak
# cat /dev/null> /Ciscobak/Cisco1.conf
# cat /dev/null> /Ciscobak/Cisco2.conf
# chomd 777 /Ciscobak
# chmod 777 /Ciscobak/*
以上工作完成后需重新启动系统。
三、在Cisco 路由器上的准备工作
在Cisco1路由器上,进入全程配置,并作如下设置:
(config )# ip host manager 10.111.160.100
(config )# hostname Cisco1
(config )# exit
# wr
在异地的Cisco2路由器上,进入全程配置,并作如下设置:
(config )# ip host manager 10.111.160.100
(config )# hostname Cisco2
(config )# ip route 10.111.160.0 255.255.255.0 10.111.255.1
(config )# exit
# wr
说明: 以上为了叙述方便起见,对广域网的连接采用了静态路由的方式,而在实际应用中对于动态路由也
一样适用。
四、备份方法
以上是为了备份及恢复路由器配置信息所做的一些准备工作,接下来便可以对路由器的配置信息进行备份和恢复了。
1.Cisco1路由器的配置信息的备份
在Unix 主机上以root 用户注册,并执行如下命令:
# telnet Cisco1
根据路由器的各级密码登录,并进入特权模式,执行如下命令:
# write network
以下按系统提示进行操作:
# Remote host[ ]?
输入主机名:manager (或IP 地址10.111.160.100)
# Name of Configuration File to write [Cisco1-confg]?
回答要写的配置文件名,按绝对路径输入如下:
/Ciscobak/Cisco1.conf
输入文件名,按回车后将出现如下提示:
# Writing /Ciscobak/Cisco1.conf on host 10.111.160.100! [Confirm]
此时直接回车确认。确认后屏幕将显示:
Building configuration……
待出现信息:
Write /Ciscobak/Cisco1.conf ! ! [0k]
说明Cisco1路由器的配置信息已经成功写入文件/Ciscobak/Cisco1.conf。
2. 附图中Cisco2路由器配置信息的备份
操作方法同上,只是需要登录到Cisco2路由器上,在回答要需要输入的文件名时应输入
/Ciscobak/Cisco2.conf即可。
五、Cisco 路由器配置信息的恢复与更新
1.Cisco 路由器配置信息的恢复
网络中路由器的稳定运行,是各种网络应用系统得以正常运转的必备条件。如果因为某种原因使得路由器配置信息部分或全部丢失, 那么这对于网络中正在运行的实时应用系统是灾难性的。因此必须采取措施,在较短的时间内恢复路由器原来的配置,使得网络能够及时恢复畅通。利用已经备份好的配置文件,可以快捷方便地恢复Cisco 路由器的原有配置。这里分两种情况进行说明。
(1)Cisco 路由器的配置信息虽有丢失,但与附图中Unix 主机的通信仍然保持正常。
此时,系统管理网管人员应从Unix 主机上以root 注册,用telnet 登录到Cisco 路由器上,并进入特权模式,用“sh conf”命令检查全程配置信息中对路由器主机名和远程Unix 主机名的配置信息是否还存在。如果已经丢失,则如前所述进行配置;如果这2条配置信息存在,则可键入下列命令,恢复原有配置: # conf n
以下按提示输入:
Host or network configuration[host]?
直接按回车键,选host 。
Address of remote host [255.255.255.255]?
此时输入Unix 主机 IP 地址10.111.160.100。
Name of Configuration file[Cisco*.conf]?
如果是Cisco1则输入/Ciscobak/Cisco1.conf,如果是Cisco2则输入/Ciscobak/Cisco2.conf。
Configure using /Ciscobak/Cisco*.conf 10.111.160.100 [confirm]?
直接按回车确认。此时屏幕上将显示:
Loading /Ciscobak/Cisco*.conf form 10.111.160.100…
待出现“OK”信息后,说明附图中Cisco 路由器的配置信息已从Unix 主机上的备份文件中恢复,并处于运行状态。
(2)路由器的配置信息完全丢失。
此时,附图中Unix 主机与路由器的通信已经中断,所以为了能从Unix 中恢复Cisco 的配置信息,应先对路由器进行简单的配置,使得Unix 与Cisco 路由器之间能够通信。
对于附图中Cisco1路由器来说,只需从主控制口(console )进入路由器,配置好Cisco1的以太网接口,
即可解决其与Unix 主机的通信问题。
对于附图中的异地路由器Cisco2来说,可由Cisco2所在地的维护人员对其进行简单配置,也可以通过modem 拨号进行远程配置。通过以上2种方式中的任意一种,进入Cisco2后,配置其广域网接口使之与Cisco1路由器互联,并配置路由到Unix 主机所在的局域网网段,即可解决其与远程Unix 主机的通信问题。 通信问题解决后,便可按上面所介绍的方法,选择相应的备份文件对异地的Cisco2路由器的配置信息进行恢复。
2.Cisco 路由器配置信息的更新
用上述方法备份的Cisco 路由器的配置文件与在Cisco 路由器中用“sh conf”命令所显示的配置信息在形式上是完全一致的。因此,可以在Unix 主机上建立一个配置备份文件的拷贝,利用vi 编辑该拷贝,根据网络调整的具体要求在该拷贝的相应段落添加、修改或删除相应的文本,然后将其视为“备份”文件,再利用该“备份”文件来“恢复”Cisco路由器的配置,就可以达到对 Cisco 路由器配置信息进行更新的目的。
以上方法,本人在安顺邮政综合网的维护和管理中一直使用,在实践中取得了不错的应用效果。本文介绍的方法不仅能够集中快速地备份网络中路由器的配置信息,方便了管理,同时也能够快捷地恢复路由器的原有配置,在较短的时间内排除因路由器配置信息丢失造成的网络故障。另外,可通过对备份文件的编辑,即添加、修改和删除等操作,而后将其恢复到Cisco 路由器中来实现对Cisco 路由器配置信息的更新,这样,对路由器配置信息的更新问题实际上演变成了对文本文件的编辑问题。
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-08-05 18:12:00
推荐:求助,这样的设备需要花多少钱? ...第2楼...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0 0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685987
---Cisco 与 Intel 路由器的对连配置实例
对于不同厂商路由器的对连, 因为其具体功能实现方式的不同, 在配置上存在一定, 以Cisco 与Intel 的路由器为例
DDN 连接(Static)
Intel 9100的设置:
Basic
WAN1:Leased Line PPP
WAN2:Unused
Next
Bandrate(bps):64K 根据用户实际情况
Link Name: Test-Link1 用户自己定义
Next
IP Routing:RIP-1
IPX Routing: Disabled
WAN Bridging
isabled
Next
IP Address:10.1.0.1
NetworkMask:255.255.255.0
Protocol:RIP-1
Router Name:bluegarden
Finished
将管理PC 的IP 与Router 设在同样网段上,如:10.1.0.20。Restart 管理PC 。再次 打开DeviceView. Open 10.1.0.1(intel9100). 在Configuration 下选择 Save to FlashPROM。
Device Setup
Advanced
Link...
选择test-link1(在Basic 设置) 。然后Setup...
WAN Protocol:PPP over HDLC
DataCompression
isabled
OK ...
Protocols...
IP...
选择test-link1, 然后Setup...
Routing Protocol:None/Static Route
Numbered:Yes
IP Address:10.30.0.1
Network Mask: 255.255.255.0
OK
Static Routes...
Add...
Network Address:20.1.0.0
NetworkMask:255.255.255.0
Link:test-link1 10.30.0.1
OK ...
OK
Exit...
Exit(Savedata)
在Configuration 下选择 Save to FlashPROM。
Cisco2501的配置
version 11.0
service udp-small-servers
service tcp-small-servers
!
hostname Bluegarden
!
enable secret 5 $1$DLbm$E8bBQWDaqsoVxAqRtaMxm1
enable password bluegarden
!
!
interface Ethernet0
ip address 20.1.0.1 255.255.255.0
!
interface Serial0
ip address 10.30.0.2 255.255.255.0
encapsulation ppp
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 serial 0
!
!
line con 0
line aux 0
transport input all
line vty 0 4
password bluegarden
login
!
end
-------------------------------------------------------------------------------------------
路由器配置实例--100例
Cisco 路由器VOIP 配置解析
在企业网络中推广IP 语音技术有很多优点,例如可以控制数据流量,保证语音质量,充分利用企业租用的数据线路资源,节省传统的长途话费等等。企业使用IP 语音技术,可以将语音、数据和多媒体通信融合在一个集成的网络中,并在一个企业解决方案中,把专网和公网连接起来。
在2600和3600系列路由平台上,Cisco 提供了新型的H.323关守功能,该关守功能除提供策略管理功能外,还提供地址分辨、带宽管理、网关支持、用户鉴别以及账户记录。H.323关守在局域网和广域网上均可实现对基于H.323的语音、视频及数据会议话务流量的策略管理功能.
本文介绍的是一次利用Cisco 2600路由器,通过 E&M 干线连接PBX 用户,实现了 Voice over IP功能的过程。
某公司计划连接两个办公室:一个位于加利弗尼亚的San Jose,另一个位于盐湖城。该公司在其两个远程办公室之间已经建立了可工作的IP 连接。每个办公室有一个PBX 内部电话网络,通过一个E&M接口连接到语音网络。 盐湖城和San Jose 办公室都使用E&M 端口类型。每个 E&M 接口连接到路由器的两个语音接口连接端。在San Jose 的用户拨“8-111” 这一扩展号可接通盐湖城目标。在盐湖城的用户拨“4-111”扩展号可接通San Jose目标。
图1是本连接示例的拓扑(附件中1)
首先应配置好PBX ,使所有的DTMF 信号能通到路由器。若修改增益或电话端口,应确认电话端口仍然能接受DTMF 信号。然后对图中路由器 SJ 配置,第一步配置 pots 拨号对等 1:
hostname sanjose
dial-peer voice 1 pots
destination-pattern +111....
ort 1/0/0
配置 pots 拨号对等 2:
dial-peer voice 2 pots
destination-pattern +111....
ort 1/0/1
配置 voip 拨号对等 3:
dial-peer voice 3 voip
destination-pattern +111....
ession target ipv4:172.16.65.182
配置E&M 端口:
voice-port 1/0/0
ignal immediate
operation 4-wire
type 2
voice-port 1/0/1
ignal immediate
operation 4-wire
type 2
配置串行端口:
interface serial 0/0
description serial interface type dce (provides clock)
clock rate 2000000
ip address 172.16.1.123
o shutdown
接下来配置路由器 SLC ,步骤与配置SJ 类似。
经过这样配置,即可实现Cisco 2600路由器上,通过 E&M 干线连接PBX 用户的 VoIP 应用。 相关术语
DTMF(Dual tone multifrequency):双音多频——同时使用两种音频(例如按钮音) 进行拨号。
E& M:代表recEive and transMit (或Ear and Mouth). E&M一般是一个用于交换到交换或交换到网络连接的双向主干设备。Cisco 的 E&M 端口是一个RJ-48 连接器,该连接器可连接到PBX 主干线路(专线) 。 PBX :Private branch exchange 专用中心交换机。
POTS 拨号对等:通过一个传统的电话局网络连接的点对点拨号 ( Dial peer)。POTS 对等指向在语音网络设备上的特定语音端口。
[ 本帖最后由 宁静的清风 于 2007-8-5 10:09 编辑 ]
附件
2007-8-5 10:09
1.jpg
(10.56 KB)
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-07-27 18:34:00
1分钟答问卷赢4G 优盘
玩游戏赢足球巨星纪念品啦 ...楼主...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685985
Cisco 路由器的安全配置
目前大多数的企事业单位和部门连Internet 网,通常都是一台路由器与ISP 连结实现。这台路由器就是沟通外部Internet 和内部网络的桥梁,如果这台路由器能够合理进行安全设置,那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。
现在大多数的路由器都是Cisco 公司的产品或与其功能近似,本文在这里就针对Cisco 路由器的安全配置进行管理。
考虑到路由器的作用和位置,路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。目前路由器(以Cisco 为例)本身也都带有一定的安全功能,如访问列表、加密等,但是在缺省配置时,这些功能大多数都是关闭的。需要进行手工配置。怎样的配置才能最大的满足安全的需要,且不降低网络的性能?本文从以下几个部分分别加以说明:
一. 口令管理
口令是路由器是用来防止对于路由器的非授权访问的主要手段,是路由器本身安全的一部分。最好的口令处理方法是将这些口令保存在TACACS+或RADIUS 认证服务器上。但是几乎每一个路由器都要有一个本地配置口令进行权限访问。如何维护这部分的安全?
1. 使用enable secret
enable secret 命令用于设定具有管理员权限的口令。并且如果没有enable secret,则当一个口令是为控制台TTY 设置的,这个口令也能用于远程访问。这种情况是不希望的。还有一点就是老的系统采用的是enable password,虽然功能相似,但是enable password采用的加密算法比较弱。
2. 使用service password-encryption
这条命令用于对存储在配置文件中的所有口令和类似数据(如 CHAP )进行加密。避免当配置文件被
不怀好意者看见,从而获得这些数据的明文。但是service password-encrypation的加密算法是一个简单的维吉尼亚加密,很容易被破译。这主要是针对enable password命令设置的口令。而enable secret命令采用的是 MD5算法,这种算法很难进行破译的。但是这种MD5算法对于字典式攻击还是没有办法。 所以不要以为加密了就可以放心了,最好的方法就是选择一个长的口令字,避免配置文件被外界得到。且设定enable secret和service password-encryption。
二. 控制交互式访问
任何人登录到路由器上都能够显示一些重要的配置信息。一个攻击者可以将路由器作为攻击的中转站。所以需要正确控制路由器的登录访问。尽管大部分的登录访问缺省都是禁止的。但是有一些例外,如直连的控制台终端等。
控制台端口具有特殊的权限。特别注意的是,当路由器重启动的开始几秒如果发送一个Break 信号到控制台端口,则利用口令恢复程式可以很容易控制整个系统。这样如果一个攻击者尽管他没有正常的访问权限,但是具有系统重启(切断电源或系统崩溃)和访问控制端口(通过直连终端、Modem 、终端服务器)的能力就可以控制整个系统。所以必须保证所有连结控制端口的访问的安全性。
除了通过控制台登录路由器外还有很多的方法,根据配置和操作系统版本的不同,可以支持如Telnet 、rlogin 、Ssh 以及非基于IP 的网络协议如 LAT 、MOP 、X.29和V.120等或者Modem 拨号。所有这些都涉及到TTY ,本地的异步终端和拨号Modem 用标准的"TTYs" 。远地的网络连结不管采用什么协议都是虚拟的TTYs ,即"VTYs" 。要控制路由器的访问,最好就是控制这些TTYs 或VTYs ,加上一些认证或利用login 、 no password命令禁止访问。
1.控制TTY
缺省的情况下一个远端用户可以连结到一个TTY ,称为" 反向 Telnet" ,允许远端用户和连接到这个TTY 上的终端或Modem 进行交互。但是这些特征允许一个远端用户连接到一个本地的异步终端口或一个拨入的 Modem 端口,从而构造一个假的登录过程来偷盗口令或其他的非法活动。所以最好禁止这项功能,可以采用transport input none设置任何异步或Modem 不接收来自网络用户的连结。如果可能,不要用相同的Modem 拨入和拨出,且禁止反向Telnet 拨入。
2.控制VTY
为了保证安全,任何VTY 应该仅允许指定的协议建立连结。利用transport input命令。如一个VTY 只支持Telnet 服务,可以如下设置 transport input telnet。如果路由器操作系统支持SSH ,最好只支持这个协议,避免使用明文传送的Telnet 服务。如下设置: transport input ssh。也可以利用ip access-class
限制访问VTY 的ip 地址范围。
因为VTYs 的数目有一定的限制,当所有的VTYs 用完了,就不能再建立远程的网络连结了。这就有可能被利用进行Dos (拒绝服务攻击)。这里攻击者不必登录进入,只要建立连结,到login 提示符下就可以,消耗到所有的VTYs 。对于这种攻击的一个好的防御方法就是利用 ip access-class命令限制最后一个VTYs 的访问地址,只向特定管理工作站打开。而其他的VTYs 不限制,从而既保证了灵活性,也保证关键的管理工作不被影响。另一个方法是利用exec-timeout 命令,配置VTY 的超时。避免一个空闲的任务一直占用VTY 。类似的也可以用 service tcp-keepalives-in 保证Tcp 建立的入连结是活动的,从而避免恶意的攻击或远端系统的意外崩溃导致的资源独占。更好的保护VTY 的方法是关闭所有非基于IP 的访问,且使用IPSec 加密所有的远端与路由器的连结。
三. 管理服务配置
许多的用户利用协议如Snmp 或Http 来管理路由器。但是利用这些协议管理服务时,就会存在一定的安全问题。
1. Snmp
Snmp 是最经常用于路由器的管理的协议。目前使用最多的Snmp 版本1,但是这个版本的Snmp 存在着很多的安全问题:
A . 使用明文认证,利用"community" 字符串。
B . 在周期性轮循时,重复的发送这些"community" 。
C . 采用容易被欺骗的基于数据包的协议。
所以尽量采用Snmp V2,因为它采用基于MD5的数字认证方式,并且允许对于不同的管理数据进行限制。如果一定要使用Snmp V1,则要仔细的配置。如避免使用缺省的community 如public ,private 等。避免对于每个设备都用相同的community ,区别和限制只读和读写 commnity 。对于Snmp V2,则可能的话对于不同的路由器设定不同的MD5安全值。还有就是最好使用访问列表限定可以使用Snmp 管理的范围。
2. Http :
最近的路由器操作系统支持Http 协议进行远端配置和监视。而针对Http 的认证就相当于在网络上发送明文且对于Http 没有有效的基于挑战或一次性的口令保护。这使得用Http 进行管理相当危险。
如果选择使用Http 进行管理,最好用ip http access-class命令限定访问地址且用ip http authentication命令配置认证。最好的http 认证选择是利用TACACS+或RADIUS 服务器。
四. 日志
利用路由器的日志功能对于安全来说是十分重要的。Cisco 路由器支持如下的日志
1. AAA 日志:主要收集关于用户拨入连结、登录、Http 访问、权限变化等。这些日志用TACACS+或RADIUS 协议送到认证服务器并本地保存下来。这些可以用aaa accouting实现。
2. Snmp trap 日志:发送系统状态的改变到Snmp 管理工作站。
3. 系统日志:根据配置记录大量的系统事件。并可以将这些日志发送到下列地方:
a . 控制台端口
b . Syslog 服务器
c . TTYs 或VTYs
d . 本地的日志缓存。
这里最关心的就是系统日志,缺省的情况下这些日志被送到控制台端口,通过控制台监视器来观察系统的运行情况,但是这种方式信息量小且无法记录下来供以后的查看。最好是使用syslog 服务器,将日志信息送到这个服务器保存下来。
五.路由安全
1.防止伪造:
伪造是攻击者经常使用的方法。通过路由器的配置可以在一定程度上防止伪造。通常是利用访问列表,限制通过的数据包的地址范围。但是有下面几点注意的。
A . 可以在网络的任何一点进行限制,但是最好在网络的边界路由器上进行,因为在网络内部是难于判断地址伪造的。
B . 最好对接口进入的数据进行访问控制(用ip access-group list in)。因为输出列表过滤只保护了位于路由器后的网络部分,而输入列表数据过滤还保护了路由器本身不受到外界的攻击。
C . 不仅对外部的端口进行访问控制,还要对内部的端口进行访问控制。因为可以防止来自内部的攻击行为。
下面是一个是一个访问列表的例子:
ip access-list number deny icmp any any redirect 拒绝所有的Icmp 重定向
ip access-list number deny ip host 127.0.0.0 0.255.255.255 any 拒绝Loopback 的数据包 ip access-list number deny ip 224.0.0.0 31.255.255.255 any 拒绝多目地址的数据包
除了访问列表的限制外,还可以利用路由器的RPF 检查(ip verify unicast rpf)。这项功能主要用于检查进入接口的数据包的源地址,根据路由表判断是不是到达这个源地址的路由是不是也经过这个接口转发,如果不是则抛弃。这进一步保证了数据源的正确性。但是这种方式不适合非对称的路由,即A 到B 的路由与B 到A 的路由不相同。所以需要判断清楚路由器的具体配置。
2.控制直接广播
一个IP 直接广播是一个目的地为某个子网的广播地址的数据包,但是这个发送主机的不与这个目的子网直接相连。所以这个数据包被路由器当作普通包转发直到目的子网,然后被转换为链路层广播。由于Ip 地址结构的特性,只有直接连接到这个子网的路由器能够识别一个直接广播包。针对这个功能,目前存在一种攻击称为"smurf" ,攻击者通过不断的发送一个源地址为非法地址的直接广播包到攻击的子网。从而导致子网的所有主机向这个非法地址发送响应,最终导致目的网络的广播风暴。
对于这种攻击可以在路由器的接口上设置no ip directed-broadcast,但是这种直接广播包,要被这个接口转换成链路层的广播而不是抛弃,所以为了更好防止攻击,最好在将所有可能连接到目的子网的路由器都配置no ip directed-broadcast。
3. 防止路由攻击
源路由攻击一种常用攻击方法,因为一些老的Ip 实现在处理源路由包时存在问题,所以可能导致这些机器崩溃,所以最好在路由器上关闭源路由。用命令no ip source-route。
Icmp 重定向攻击也是一种常用的路由攻击方法。攻击者通过发送错误的重定向信息给末端主机,从而导致末端主机的错误路由。这种攻击可以通过在边界路由器上设定过滤所有icmp 重定向数据来实现。但是这只能阻止外部的攻击者,如果攻击者和目的主机在同一个网段则没有办法。
当路由器采用动态协议时,攻击者可以伪造路由包,破坏路由器的路由表。为了防止这种攻击可以利用访问列表(distribute-list in)限定正确路由信息的范围。并且如果可能则采用认证机制。如Rip 2或ospf 支持认证等。
六. 流量管理
目前大多数的Dos 攻击都是通过发送大量的无用包,从而占用路由器和带宽的资源,导致网络和设备过载,这种攻击也称为" 洪泛攻击" 。对于这种攻击的防范首先要明确瓶颈在哪里。例如:如果攻击导致线路阻塞,则在线路的源路由节点进行过滤可以有效的防止,但是在线路的目的路由端进行过滤,就没有什么效果。并且要注意路由器本身也可能成为攻击的对象,而且这种情况更加糟糕。对于这种类型攻击的防范有如下:
1. 网络保护:
利用路由器的Qos 功能来分担负载来防止一些洪泛攻击。方式有WFQ ,CAR ,GTS 等。但是要注意的是每种方式的应用不同。如WFQ 防止ping 攻击比SYN 攻击更有效。所以要正确选择方式,才能有效的防止攻击。
2. 路由器本身保护:
路由器虽然能保护网络中其他部分避免过载,但是本身也需要保护不受到攻击。应有的安全配置有: a . 采用CEF 交换模式而不是传统的路由表Cache 方式,因为采用CEF 方式,对于出现的新目的地不需要构筑路由Cache 入口。所以这种方式对于SYN 攻击能够更好的防止(因为SYN 攻击用的是随机的源地址)
b . 使用scheduler interval 或scheduler allocate。因为当大量的数据包要路由器快速转发情况下,可能路由器花费大量的时间处理网络接口的中断,导致其他的任务无法正常工作。为了避免这种情况,可以使用scheduler interval或scheduler allocate命令路由器在规定的时间间隔内停止处理中断去处理其他事件。这种方式的副作用很小,不会影响网络的正常传输。
c . 设定缺省路由到空设备(ip route 0.0.0.0 0.0.0.0 null 0 255):
这个设置可以很好抛弃掉不可达的目的地值得数据包,增加路由器的性能。
七.服务管理
路由器通常都提供很多的服务如Finger 、Telnet 等,但是这些服务中一些能够被攻击者利用,所以最好禁止所有不需要的服务。
1.Cisco 路由器提供一些基于TCP 和UDP 协议的小服务如:echo 、chargen 和discard 。这些服务很少被使用,而且容易被攻击者利用来越过包过滤机制。如echo 服务,就可以被攻击者利用它发送数据包,好像这些数据包来自路由器本身。所以最好禁止这些服务,可以利用 no service tcp-small-servers 和 no service udp-small-servers命令来实现。
2.Finger 、NTP 、CDP :
Finger 服务可能被攻击者利用查找用户和口令攻击。NTP 不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。CDP 可能被攻击者利用获得路由器的版本等信息,从而进行攻击。所以对于上面的几种服务如果没有十分必要的需求,最好禁止他们。可以用 no service finger 、no ntp enabel、no cdp running(或no cdp enable )实现。
通过采用和遵循上面的配置就可以实现一个路由器的基本的安全,但是这对于一个严格要求的安全环
境是不够的,因为还有很多的攻击无法从路由器上过滤,且对于来自内部网络的攻击,路由器是无能力进行保证的。但是通过一个路由器的安全配置,能够为网络的安全建立一个外部的屏障,减轻了内部防火墙的负担,并且保证了路由器本身的安全。所以路由器的安全配置还是十分重要
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-08-05 18:10:00
推荐:马上参加HRS 世界杯主题活动 ...第1楼...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0 0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685986
------Cisco 路由器配置信息在Unix 下的备份、恢复与更新---
随着计算机应用的不断发展,许多企业计算机局域网规模在不断扩大,网络的独立网关或独立网点数目也日益增多;同时,由于应用的发展,需要对网络进行优化和改造,并且增加新的业务,如语音和视频通信
等,因此,必须对原有的网络配置做出相应的调整。
作为网关的路由器,其配置的信息也要相应增加和调整。
Cisco 系统公司的多协议路由器已被大多数企业广泛用于组建自己的专网。当Cisco 路由器的配置信息需要增加或修改时,逐条在Cisco 路由器上进行配置和修改是相当费时和繁琐的,而如果Cisco 路由器上的配置信息,由于某种原因出现部分或完全丢失,此时网络上又运行着一些实时应用系统,如果不能迅速地恢复路由器的配置信息,则将会引起非常严重的后果。
本文介绍了一种方法,此方法可将Cisco 路由器上的所有配置信息备份到一台Unix 主机上以文件形式保存,作为Cisco 路由器配置信息的备份。利用此文件,可以迅速恢复Cisco 路由器的原有配置;也可以对此文件进行修改,以实现对路由器配置信息的快速更新。这种方法适用于局域网和广域网,对于网络的远程维护和配置非常有效。
一、网络实例
本文介绍的方法基于Cisco 路由器支持对TFTP 服务器进行读写操作,为了能够清楚地说明,以附图为例进行讨论。
附图中,Cisco1路由器通过X.25 或DDN 与异地的Cisco2路由器互联,它们的主机节点名分别为Cisco1和Cisco2,广域网IP 地址分别为10.111.255.1和 10.111.255.2,子网掩码为255.255.255.252; PC机上安装的是SCO Unix 5.0.5操作系统,与Cisco1在同一局域网上,它们的局域网地址分别为10.111.160.100和10.111.160.99,局域网子网掩码为255.255.255.0,网段为10.111.160.0;Unix 主机节点名为manager 。
二、在Unix 主机上的准备工作
为了使Unix 主机能够提供TFTP 服务,需要在Unix 主机上以root 身份注册,做以下操作。
1.用Vi 编辑根目录下的.rhosts , 在文件中添加如下2行:
Cisco1
Cisco2
使主机Cisco1和Cisco2被授权,能够对Unix 系统的根目录进行读写操作。
2.用Vi 编辑文件/etc/rc,添加如下一行:
route add host 10.111.255.1 10.111.255.2 1
加载路由到Cisco2。
3.用Vi 编辑/etc/hosts文件,添加如下2行:
10.111.160.99 Cisco1
10.111.255.2 Cisco2
便于按主机节点名寻址。
4.用Vi 编辑文件/etc/inetd.conf, 将其中一行
# tftp dgram udp wait nouser /etc/tftpd tftpd
行首的“#”号删除,以便启动TFTP 服务器。
5.在根目录下创建一个用于存放Cisco 路由器配置信息备份文件的目录(假设为Ciscobak) ,在该目录下创建2个空文件,分别用于保存Cisco1和Cisco2的配置信息(假设为Cisco1.conf 和Cisco2.conf) ,具体操作如下:
# mkdir Ciscobak
# cat /dev/null> /Ciscobak/Cisco1.conf
# cat /dev/null> /Ciscobak/Cisco2.conf
# chomd 777 /Ciscobak
# chmod 777 /Ciscobak/*
以上工作完成后需重新启动系统。
三、在Cisco 路由器上的准备工作
在Cisco1路由器上,进入全程配置,并作如下设置:
(config )# ip host manager 10.111.160.100
(config )# hostname Cisco1
(config )# exit
# wr
在异地的Cisco2路由器上,进入全程配置,并作如下设置:
(config )# ip host manager 10.111.160.100
(config )# hostname Cisco2
(config )# ip route 10.111.160.0 255.255.255.0 10.111.255.1
(config )# exit
# wr
说明: 以上为了叙述方便起见,对广域网的连接采用了静态路由的方式,而在实际应用中对于动态路由也
一样适用。
四、备份方法
以上是为了备份及恢复路由器配置信息所做的一些准备工作,接下来便可以对路由器的配置信息进行备份和恢复了。
1.Cisco1路由器的配置信息的备份
在Unix 主机上以root 用户注册,并执行如下命令:
# telnet Cisco1
根据路由器的各级密码登录,并进入特权模式,执行如下命令:
# write network
以下按系统提示进行操作:
# Remote host[ ]?
输入主机名:manager (或IP 地址10.111.160.100)
# Name of Configuration File to write [Cisco1-confg]?
回答要写的配置文件名,按绝对路径输入如下:
/Ciscobak/Cisco1.conf
输入文件名,按回车后将出现如下提示:
# Writing /Ciscobak/Cisco1.conf on host 10.111.160.100! [Confirm]
此时直接回车确认。确认后屏幕将显示:
Building configuration……
待出现信息:
Write /Ciscobak/Cisco1.conf ! ! [0k]
说明Cisco1路由器的配置信息已经成功写入文件/Ciscobak/Cisco1.conf。
2. 附图中Cisco2路由器配置信息的备份
操作方法同上,只是需要登录到Cisco2路由器上,在回答要需要输入的文件名时应输入
/Ciscobak/Cisco2.conf即可。
五、Cisco 路由器配置信息的恢复与更新
1.Cisco 路由器配置信息的恢复
网络中路由器的稳定运行,是各种网络应用系统得以正常运转的必备条件。如果因为某种原因使得路由器配置信息部分或全部丢失, 那么这对于网络中正在运行的实时应用系统是灾难性的。因此必须采取措施,在较短的时间内恢复路由器原来的配置,使得网络能够及时恢复畅通。利用已经备份好的配置文件,可以快捷方便地恢复Cisco 路由器的原有配置。这里分两种情况进行说明。
(1)Cisco 路由器的配置信息虽有丢失,但与附图中Unix 主机的通信仍然保持正常。
此时,系统管理网管人员应从Unix 主机上以root 注册,用telnet 登录到Cisco 路由器上,并进入特权模式,用“sh conf”命令检查全程配置信息中对路由器主机名和远程Unix 主机名的配置信息是否还存在。如果已经丢失,则如前所述进行配置;如果这2条配置信息存在,则可键入下列命令,恢复原有配置: # conf n
以下按提示输入:
Host or network configuration[host]?
直接按回车键,选host 。
Address of remote host [255.255.255.255]?
此时输入Unix 主机 IP 地址10.111.160.100。
Name of Configuration file[Cisco*.conf]?
如果是Cisco1则输入/Ciscobak/Cisco1.conf,如果是Cisco2则输入/Ciscobak/Cisco2.conf。
Configure using /Ciscobak/Cisco*.conf 10.111.160.100 [confirm]?
直接按回车确认。此时屏幕上将显示:
Loading /Ciscobak/Cisco*.conf form 10.111.160.100…
待出现“OK”信息后,说明附图中Cisco 路由器的配置信息已从Unix 主机上的备份文件中恢复,并处于运行状态。
(2)路由器的配置信息完全丢失。
此时,附图中Unix 主机与路由器的通信已经中断,所以为了能从Unix 中恢复Cisco 的配置信息,应先对路由器进行简单的配置,使得Unix 与Cisco 路由器之间能够通信。
对于附图中Cisco1路由器来说,只需从主控制口(console )进入路由器,配置好Cisco1的以太网接口,
即可解决其与Unix 主机的通信问题。
对于附图中的异地路由器Cisco2来说,可由Cisco2所在地的维护人员对其进行简单配置,也可以通过modem 拨号进行远程配置。通过以上2种方式中的任意一种,进入Cisco2后,配置其广域网接口使之与Cisco1路由器互联,并配置路由到Unix 主机所在的局域网网段,即可解决其与远程Unix 主机的通信问题。 通信问题解决后,便可按上面所介绍的方法,选择相应的备份文件对异地的Cisco2路由器的配置信息进行恢复。
2.Cisco 路由器配置信息的更新
用上述方法备份的Cisco 路由器的配置文件与在Cisco 路由器中用“sh conf”命令所显示的配置信息在形式上是完全一致的。因此,可以在Unix 主机上建立一个配置备份文件的拷贝,利用vi 编辑该拷贝,根据网络调整的具体要求在该拷贝的相应段落添加、修改或删除相应的文本,然后将其视为“备份”文件,再利用该“备份”文件来“恢复”Cisco路由器的配置,就可以达到对 Cisco 路由器配置信息进行更新的目的。
以上方法,本人在安顺邮政综合网的维护和管理中一直使用,在实践中取得了不错的应用效果。本文介绍的方法不仅能够集中快速地备份网络中路由器的配置信息,方便了管理,同时也能够快捷地恢复路由器的原有配置,在较短的时间内排除因路由器配置信息丢失造成的网络故障。另外,可通过对备份文件的编辑,即添加、修改和删除等操作,而后将其恢复到Cisco 路由器中来实现对Cisco 路由器配置信息的更新,这样,对路由器配置信息的更新问题实际上演变成了对文本文件的编辑问题。
-------------------------------------------------------------------------------------------
这个家伙很懒,什么也没留下......
发表于:2007-08-05 18:12:00
推荐:求助,这样的设备需要花多少钱? ...第2楼...
逆水ninishui41
来自:保密
注册:2005-04-18
发帖:1385+0 0
[编辑] [短信] [好友] [相册] [搜索] [举报] [道具][奖分] [只看此人] 管理: [删除] [IP]
misc.php?action=viewratings&tid=671168&pid=5685987
---Cisco 与 Intel 路由器的对连配置实例
对于不同厂商路由器的对连, 因为其具体功能实现方式的不同, 在配置上存在一定, 以Cisco 与Intel 的路由器为例
DDN 连接(Static)
Intel 9100的设置:
Basic
WAN1:Leased Line PPP
WAN2:Unused
Next
Bandrate(bps):64K 根据用户实际情况
Link Name: Test-Link1 用户自己定义
Next
IP Routing:RIP-1
IPX Routing: Disabled
WAN Bridging
isabled
Next
IP Address:10.1.0.1
NetworkMask:255.255.255.0
Protocol:RIP-1
Router Name:bluegarden
Finished
将管理PC 的IP 与Router 设在同样网段上,如:10.1.0.20。Restart 管理PC 。再次 打开DeviceView. Open 10.1.0.1(intel9100). 在Configuration 下选择 Save to FlashPROM。
Device Setup
Advanced
Link...
选择test-link1(在Basic 设置) 。然后Setup...
WAN Protocol:PPP over HDLC
DataCompression
isabled
OK ...
Protocols...
IP...
选择test-link1, 然后Setup...
Routing Protocol:None/Static Route
Numbered:Yes
IP Address:10.30.0.1
Network Mask: 255.255.255.0
OK
Static Routes...
Add...
Network Address:20.1.0.0
NetworkMask:255.255.255.0
Link:test-link1 10.30.0.1
OK ...
OK
Exit...
Exit(Savedata)
在Configuration 下选择 Save to FlashPROM。
Cisco2501的配置
version 11.0
service udp-small-servers
service tcp-small-servers
!
hostname Bluegarden
!
enable secret 5 $1$DLbm$E8bBQWDaqsoVxAqRtaMxm1
enable password bluegarden
!
!
interface Ethernet0
ip address 20.1.0.1 255.255.255.0
!
interface Serial0
ip address 10.30.0.2 255.255.255.0
encapsulation ppp
no fair-queue
!
interface Serial1
no ip address
shutdown
!
ip route 0.0.0.0 0.0.0.0 serial 0
!
!
line con 0
line aux 0
transport input all
line vty 0 4
password bluegarden
login
!
end
-------------------------------------------------------------------------------------------