网络故障应急处理-路由器的配置及管理-中国科技网.ppt

1、路由器配置基础及科技网网络介绍,中国科技网技术部 陈江宁,内容介绍,路由器配置介绍路由器基础知识介绍监控与故障诊断 基本测试方法设备配置存取及其备份路由器启动顺序及密码恢复保护Internet连接安全中国科技网介绍中国科技网的结构简介中国科技网网络设备简介国内外出口简介网络管理简介,路由器基础知识介绍,外部配置的途径Router 各种模式配置模式,配置模式及方法,主要内容,外部配置的途径,可以通过各种途径进行配置,Setup Mode,初始配置状态以对话的方式来创建一个基本配置才出厂的机器或删了startup-config的机器开机后自动进入或手动用 setup命令进入,Router(conf

2、ig)#,Global Configuration Mode,全局配置状态在特权执行态输入config terminal,Other Configuration Modes,Router(config - mode)#,开机后60秒内按 ctrl+break键则进入该态在机器不能正常自动引导时进行,RXBOOT Mode,Router 模式,其他的配置状态在特权执行状态输入相应的命令时进入.,Router(config)#,Router,Router#,路由器配置模式综述,User EXEC modePrivileged EXEC modeGlobal configuration mode,基

3、本的路由器设置,步骤一：配置主机名；步骤二：在路由器上设置口令；步骤三：在路由器的接口上配置IP地址；步骤四：在路由器上配置路由协议；步骤五：配置路由器串行接口参数；步骤六：激活接口，检查网络的连通性；步骤七：创建IP主机表；步骤八：配置“no ip domain-lookup”；步骤九：利用CDP协议查看与该路由器相连的网络设备,基本的路由器设置(续）,步骤十 ：显示路由器上的IP路由表，检查网络的连通性，应确认能够成功的ping通网络中其他的路由器；步骤十一：检查路由器的路由表，并通过“show ip protocols”检查路由器的协议配置；步骤十二：诊断网络利用debug等命令来捕获路

4、由更新信息；步骤十三：利用show version查看Cisco IOS版本和路由器的类型；步骤十四：保存路由器的配置；,配置路由器的标示,为路由器及其端口配置标示信息,配置密码,Router(config)# line console 0Router(config-line)#exec-timeout 15 0Router(config-line)# loginRouter(config-line)# password cisco,Console Password,Router (config-if) #,分配地址和掩码针对端口配置IP地址设定允许使用子网掩码,配置 IP 地址,ip add

5、ress ip-address subnet-mask,定义静态ARP缓存,Arp ip-address hardware-address type alias,ARP 封装类型,Arp arpa：IEEE 802.3 Ethernet（缺省值）,Arp probe：IEEE 802.3网络的HP-Probe协议,Arp snap：支持RFC 1402的FDDI和令牌环网络的arp报文,提供有主机名到IP地址的解析,Router (config) #,使用DNS服务,ip name-server server-address1 server-address2 . server-address6

6、 ,ip domain-name ,ip domain-lookup,BOOT SYSTEM列表,从flash启动系统从网络服务器启动系统从ROM启动系统(Cisco 7500上BOOTFLASH）,Router（config）boot system flash: rsp-IOS,Router（config）boot system flash slot0: rsp-IOS,Router（config）config-register 0x010F,Router（config）boot system rom,Router（config）boot system FTP rsp-IOS 10.6.1.

7、11,Router（config）boot system flash slot1: rsp-IOS,Routerwr,Routerreload,Defines a path to an IP destinationnetwork or subnet,ip route network mask address | interface distance ,Router (config) #,配置静态路由,举例:静态路由,ip route 172.16.1.0 255.255.255.0 172.16.2.1,172.16.2.0,Cisco A,172.16.1.0 255.255.255.0,1

8、72.16.2.1,Cisco B,E0,S0,S1,S2,S0,172.16.2.2,Make changes in configuration modes修改配置,配置修改后的保存,监控与故障诊断,show version 命令,Router# show running-configBuilding configuration.Current configuration:!version 11.2!- More -,Router# show startup-configUsing 1108 out of 130048 bytes!version 11.2!hostname router-

9、More -,show running-config 命令 show startup-config 命令,Use write terminal with Release 10.3 and earlier,Use show config with Release 10.3 and earlier,Router# show interface serial 1Serial1 is up, line protocol is up Hardware is cxBus Serial Description: 56Kb Line San Jose - MP : : : : : : : : : :,激活信号

10、Keepalives,载波信号Carrier Detect,show interface serial,清除show interface 中的计数器,列出 IP 路由表,show ip protocol 命令,RAM,Internetwork Operating System,Programs,Tables and Buffers,ActiveConfigurationFile,BackupConfigurationFile,Operating Systems,Interfaces,Router 状态检查命令,Router# show version,Flash,NVRAM,Showing C

11、DP Neighbors,RouterA#show cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge, S - Switch, H - Host, I - IGMPDevice ID Local Intrfce Holdtme Capability Platform Port ID Router Ser 0 151 R 2522 Ser 1 SwitchA0050BD855780 Eth 0 165 T s 1900 2RouterA#show cdp neighbors d

12、etail-Device ID: RouterBEntry address(es): IP address: 198.121.200.1 Novell address: 1002.0000.0c01.1111Platform: cisco 2522, Capabilities: RouterInterface: Serial1, Port ID (outgoing port): Serial0Holdtime : 149 sec,show cdp entry,RouterA#sh cdp entry *-Device ID: RouterB Entry address(es): IP addr

13、ess: 10.1.1.2 Platform: cisco 2522, Capabilities: Router Interface: Serial0, Port ID (outgoing port): Serial1Holdtime : 168 secVersion :Cisco Internetwork Operating System Software IOS (tm) 2500 Software (C2500-JS-L), Version 12.0(3), RELEASE SOFTWARE (fci)Copyright (c) 1986-1999 by cisco Systems, I

14、nc.Compiled Mon 08-Feb-99 18:18 by phanguye,SwitchB,RouterA,RouterB,SwitchA,10.3.3.2,10.3.3.1,10.1.1.1,10.1.1.2,10.2.2.1,10.2.2.2,S0,S1,telnet 操作,Initiate a session,Denver telnet paris,Tokyo,Paris,Denver,理解cisco错误消息,系统错误消息格式：,Facility subfacility Severity Mnemonic: Message Text,Facility 指出错误消息涉及的设备名

15、。该值可以是协议、硬件设备或者系统软件模块；,Subfacility 它仅与通道接口处理器（CIP）卡有关；,Sererity 它是一个范围在0到7之间的数字。数字的值越小，严重程度越高；,Mnemonic 唯一标识错误信息的单值代码，该代码通常可以暗示错误的类型；,Message Text 它是错误信息的简短描述，其中包括涉及的路由器硬件和软件信息；,注：并不是所有的消息都涉及到故障或者问题的状况，某些消息显示的是状态方面的信息,信息记录,指定记录到系统日志服务器中消息的调试级别，命令： logging trap level指定系统日志数据包含有特定接口的ip地址，而不管数据包通过哪个接口流

16、出路由器，命令： logging source-interface type number将消息记录到系统日志服务器主机，命令： logging on启用在日志消息中加入时戳功能，命令： service timestampslog|debug datetime mseclocaltimeshow-timezone,事件日志记录步骤：,信息记录,ConsoleTerminal,UNIX Host(Running Syslog Server),Buffers,131.108.1.8,(default),Telnet Terminal,no logging buffered,terminal mon

17、itor,logging onlogging 131.108.1.8,show logging,logging buffered,Debug OutputandSystem ErrorMessages,基本测试方法,测试综述,验证地址的配置,使用 ping 命令测试,各种协议的报文能够被正确的路由吗?,测试网络的连接状况,Ping,!响应成功接收 .请求超时U目的不可达P协议不可达N 网络不可达Iping被中断 (for example, Ctrl-Shift-6 X)? ?不可知报文类型,Router# pingProtocol ip:Target IP address: 192.168.1

18、01.162Repeat count 5:Datagram size 100:Timeout in seconds 2:Extended commands n: ySource address:Type of service 0:Set DF bit in IP header? no: yesData pattern 0xABCD:Loose, Strict, Record, Timestamp, Verbosenone:Sweep range of sizes n:Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to

19、192.168.101.162, timeout is 2 seconds:!Success rate is 100 percent (5/5), round-trip min/avg/max = 24/26/28 msRouter#,Ping 命令支持多协议,Ping(扩展),使用 trace 命令,数据报文传输时经过那条路径?,通过端口地址表示数据到达的地点,IP Trace,H主机不可达P协议不可达N网络不可达U端口不可达*报文超时?_ 报文类型不能识别,测试Application Layer使用telnet,你能登陆远程的路由器吗?,设备代码、配置存取及其备份,从NVRAM中加载配置文

20、件,Console,IOS,Setup utility,showstartup-config,showrunning-config,Load and execute config from NVRAMIf no config in NVRAM, enter setup mode,Config,Config,RAM,NVRAM,Router# show running-configBuilding configuration.Current configuration:!version 11.2!- More -,Router# show startup-configUsing 1108 out

21、 of 130048 bytes!version 11.2!hostname router- More -,show running-config 命令 show startup-config 命令,Display current and saved configuration,保存配置文件,Config,Config,RAM,NVRAM,NVRAM,copy running startup=write,copy startup running (merge),保存配置文件,Config,Config,Console,RAM,NVRAM,NVRAMTerminalTFTP server,cop

22、y running startup,copy startup running (merge),TFTPserver,copy start tftp,copy tftp start,copy run tftp,copy tftp run (merge),config term(merge),Copy startup tftp,Access_Server#copy ?,flash Copy from system flash flh-log Copy FLH log file to server mop Copy from a MOP server rcp Copy from an rcp ser

23、ver running-config Copy from current system configuration startup-config Copy from startup configuration tftp Copy from a TFTP server,Access_Server#copy startup-config ?,rcp Copy to an rcp serverrunning-config Update (merge with) current system configurationtftp Copy to a TFTP server,Access_Server#c

24、opy startup-config tftp,Remote host ? 172.18.7.114,Name of configuration file to write access_server-confg?,Write file access_server-confg on host 172.18.7.114? confirm,Writing access_server-confg ! OK,备份IOS Images,Networkserver,FLASH,Router,Networkserver,备份IOS Images,Check access to the server,Rout

25、er,Networkserver,wg_ro_a#show flashSystem flash directory:File Length Name/status 1 10084696 c2500-js-l_120-3.bin 10084760 bytes used, 6692456 available, 16777216 total16384K bytes of processor board System flash (Read ONLY),查看IOS Images,Verify Flash memory has room for the IOS image,创建 Image备份,Back

26、 up current files prior to updating Flash,Networkserver,FLASH,copy flash tftp,创建 Image备份(续),Access_Server#copy flash tftp,System flash directory:File Length Name/status 1 3988176 /igs-im-l_111-22.bin 3988240 bytes used, 4400368 available, 8388608 total,Address or name of remote host 255.255.255.255?

27、 172.18.7.114,Source file name? /igs-im-l_111-22.bin,Destination file name /igs-im-l_111-22.bin?,Verifying checksum for /igs-im-l_111-22.bin (file # 1). OK,Copy /igs-im-l_111-22.bin from Flash to server as /igs-im-l_111-22.bin? yes/no yes,!Upload to server doneFlash copy took 00:00:53 hh:mm:ss,恢复 Im

28、age备份,Erase Flash occurs before loading new imageNote message that image already exists,Networkserver,FLASH,系统启动综述,系统启动的顺序 通过终端不断反馈启动的信息,启动的顺序,RAM,Configuration register bits 3, 2, 1, and 0 set boot optionCheck configuration register value with show version,配置注册号,Configuration Register Boot Field Va

29、lue,0x0,0x2 to 0xF,0x1,Meaning,Use ROM monitor mode(Manually boot using the b command),Examine NVRAM for boot system commands (0x2 default if router has Flash),Automatically boot from ROM(Provides IOS subset),Router#configure terminalRouter(config)#config-register 0x2102Ctrl-ZRouter#reload,默认0x2102，

30、即：0010 0001 0000 0010从右开始数，为第0位.第15位第0-3位：0000-ROMMON，0001-MinIOS 其它正常启动第6位：即0x2142，忽略配置文件,注册号,Recovering a Lost Password(例),重新启动路由器,在60秒内按 ctrl + break 键, 后按回车;在 下键入 o/r 0x2142在 下键入 i ;在进入setup模式后,不进行配置(键入no),进入 Router(boot)状态;Router(boot) enableRouter(boot)# config terminalRouter(boot)(config)# en

31、able secret 你所配置的口令Router(boot)(config)# config-register 0x2102Router(boot)(config)# +ZRouter(boot)# write Router(boot) #reload,保护管理接口的安全细调线路参数特权级允许对网络设备进行受限制的访问限制Telnet的访问控制对路由器的http访问,网络基础设施的安全,主要内容,保护管理接口的安全,初始安装之后立即配置口令确保特权级口令与用户级口令不同在口令中使用混合字符以使口令破解企图难于成功不要将口令保存在易发现的地方不要使用易被猜出来的口令经常更换口令不要在生产环境中

32、使用“cisco”或其他明显的衍生词作为cisco路由器的口令,设置安全口令的技巧,保护管理接口的安全,保护控制台（console）端口访问安全特权模式口令口令加密,Router(config)#line console 0,Router(config-line)#login,Router(config-line)#password cisco,Router(config)#enable secret level level password|encryption-type encrypted-password,Router(config)#service password-encryptio

33、n,Router(config)#line console 0,设置线路超时值,Router(configline)#exec-timeout 2 30,可调节的其他线路类型,Router(config)#line ？ Fisrt line number aux Auxiliary line console Primary terminal line tty Terminal controller vty Virtual terminal,细调线路参数,级别1被预先定义为启用用户模式访问特权,级别2到14时可以定制的用户模式特权级别,级别15被预先定义为启用特权模式访问级别，与“enable”

34、命令所允许的访问级别相同,Priviledge mode level level command|reset command,Mode ： 指定配置模式，包括可执行（exec）、配置（configure）、线 路（line）、接口（interface）模式以及所有其他路由器配置模式,level level： 设置一个从0到15的特权级别与指定的命令向关联,Command： 指定上述特权级别与其之关联的命令,reset command：重置所指定命令的特权级别,设置多个特权级别,特权级别,通过修改用户的特权级别，你可以为用户分配更细微的权限,IOS路由器,privilege configure

35、level 3 usernameprivilege exec level 3 copy run startprivilege exec level 3 pingprivilege exec level 3 show runprivilege exec level 3 showenable secret level 3 cisco,Telnet端口在路由器上被称为虚拟终端端口（vty）必须配置一个启用口令在路由器上才能通过telnet获得启用访问权采用“access-class” 和“access-list”命令限制telnet访问限制由“transport input”命令允许连接到路由器上的

36、连接类型关闭入“ip alias”、“no cdp enable”等命令，以防止通过vty端口对路由器的攻击,限制来自特定IP地址的telnet访问定义一个包含所允许IP地址的标准访问控制列表通过“access-class” 命令将访问控制列表施加到vty线路上去,控制Telnet访问,Virtual Ports (vty 0 through 4),控制虚拟终端的访问,RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#line vty 0 4RSM143(config-line)#access-class 1 in,Te

37、lnet 172.16.41.143,172.16.41.3,172.16.41.143,控制HTTP访问,RSM143(config)#access-list 1 permit 172.16.41.3RSM143(config)#ip http serverRSM143(config)#ip http access-class 1RSM143(config)#ip http authentication localRSM143(config)#username student password cisco,172.16.41.3,172.16.41.143,HTTP 管理站点,缺省情况下HT

38、TP访问时关闭的；,配置一个访问控制列表指定访问路由器上的tcp端口80的地址；,HTTP使用与控制台和vty访问相似的口令安全机制；,控制TCP/IP服务访问控制DoS攻击防护记录（logging）边界路由器事件,保护Internet连接安全,主要内容,控制TCP/IP服务,控制路由器所提供TCP/IP服务的命令,No service tcp-small-servers,禁止对网络主机的一些低端口tcp服务进行访问，包括Discard、Charagen、Daytime端口,No service udp-small-servers,No service finger,禁止路由器处理finger

39、协议请求，阻止远程用户查询,No ip domain-lookup,在边界路由器上禁止基于IP DNS的主机名对地址的转换,禁止对网络主机的一些低端口udp服务进行访问，包括Discard、Charagen、Daytime端口,No ip tcp selective-ack,禁止TCP选择性应答，对性能有所影响，但是增加了抵御DoS攻击的能力,No cdp run,全局性禁止Cisco发现协议,No ip rsh-enable,将路由器配置成不允许远端用户用rsh在路由器上执行命令,控制TCP/IP服务,在接口模式下控制TCP/IP服务的命令,No ip proxy-arp,在接口上禁止代理a

40、rp,No ip redirects,No ip tcp path-mtu-discovery,在接口上禁止所有从路由器自身发起的新TCP连接的MTU发现。启用MTU发现会增加遭受DOS攻击的可能性,No ip unreachable,在接口上禁止产生icmp不可到达信息,禁止cisco ios软件在被要求经与数据包接受端口相同的端口上重发该数据包发送重定向消息。这可以限制在端口上扫描情况下路由器的反馈信息,No cdp enable,在接口上禁止cdp,No ip directed-broadcast,关闭ip定向广播，防止路由器在分布式DoS攻击中变为广播放大器。缺省命令,路由安全,静态路

41、由控制路由通告路由认证,控制访问,进入数据包过滤外出数据包过滤,DoS攻击防护,防止DDos攻击,防止网络设备成为DDos攻击的参与者采用访问控制列表对所有的入流量进行过滤，滤除源地址为私有和保留地址的数据包过滤所有的外出流量，以防止源ip地址欺骗采用承诺访问速率(committed access rate,CAR)对icmp数据包风暴进行限速对SYN包进行速率限制使用ip verify unicast reverse-path网络接口命令用NAT和PAT管理地址,防范分布式D.O.S攻击的配置,对ICMP报文设置流率限制,Router(config)#interface serial 0Ro

42、uter(config-if)# rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropRouter(config)#access-list 105 permit icmp any any echo-reply,首先，利用访问控制对数据包进行分类，定义出icmp数据流,再次，CAR有选择的将数据流量限制在指定的带宽之内,其次，确定在配置CAR之前，接口上的CEF功能已经打开,防范分布式D.O.S攻击的配置,为SYN报文设置流率限制,Router#sho

43、w interfaces rate-limit,首先，测量正常的SYN流量，帮助建立接口上正常流量速率的基准,其次，我们应尽量将SYN的速率限制得尽可能低,Router(config)#interface serial 0Router(config-if)# rate-limit output access-group 150 1540000 512000 786000 conform-action transmit exceed-action dropRouter(config)#access-list 150 permit tcp any host eq wwwRouter(config)

44、#access-list 150 permit tcp any host eq established,再次，启用边界设备的日志功能，以帮助追踪DDoS攻击,路由器防止病毒的安全配置,1、 用于控制Nachi蠕虫的扫描 access-list 110 deny icmp any any echo 2、用于控制Blaster蠕虫的传播 access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq 69 3、用于控制Blaster蠕虫的扫描和攻击 access-list 110 deny tcp any a

45、ny eq 135 access-list 110 deny udp any any eq 135 access-list 110 deny tcp any any eq 139 access-list 110 deny udp any any eq 139 access-list 110 deny tcp any any eq 445 access-list 110 deny udp any any eq 445 access-list 110 deny tcp any any eq 593 access-list 110 deny udp any any eq 593 4、用于控制 Sla

46、mmer 蠕虫的传播 access-list 110 deny udp any any eq 1434 access-list 110 permit ip any any 5、关闭可能存在的漏洞 access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 deny ip 172.16.0.0 0.240.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any,中国科技网介绍,中国科技网的结构简介中国科技网网络设备简介国内外出口简介网络管理简介,中国科技网发展简介,CSTNET是中国最早实现与Internet全功能互联的网络，经历了三个不同的发展阶段： NCFCCASNETCSTNETNCFC：中关村地区教育与科研示范网络CASNET：中国科学院网接入类型： *光纤 *卫星 *DDN *微波 *ISDN *HDSLCSTNET：以NCFC及CASNET为基础，连接中科院以外的一批中国科技单位而构成的全国性科技网络中国科技网,