路由器常用命令 1、Exec commands: <1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能 clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout 退出终端 mbranch 向树形下端分支跟踪多路由广播 mrbranch 向树形上端分支跟踪反向多路由广播 name-connection 给一个存在的网络连接命名 no 关闭调试功能 pad 打开X.29 PAD连接 ping 发送回显信息 ppp 开始点到点的连接协议 reload 停机并执行冷启动 resume 恢复一个活动的网络连接 rlogin 打开远程注册连接 rsh 执行一个远端命令 send 发送信息到另外的终端行 setup 运行setup命令 show 显示正在运行系统信息 slip 开始SLIP协议 start-chat 在命令行上执行对话描述 systat 显示终端行的信息 telnet 远程登录 terminal 终端行参数 test 测试子系统内存和端口 tn3270 打开一个tin3270连接 trace 跟踪路由到目的地 undebug 退出调试功能 verify 验证检查闪烁文件的总数 where 显示活动的连接 which-route 执行OSI路由表查找并显示结果 write 把正在运行的设置写入内存、网络、或终端 x3 在PAD上设置X.3参数 xremote 进入xremote模式 2、#show ? access-expression 显示访问控制表达式 access-lists 显示访问控制表 apollo Apollo 网络信息 appletalk Apple Talk 信息 arap 显示Appletalk 远端通道统计 arp 地址解析协议表 async 访问路由接口的终端行上的信息 bridge 前向网络数据库 buffers 缓冲池统计 clns CLNS网络信息 clock 显示系统时钟 cmns 连接模式网络服务信息 compress 显示压缩状态 configuration 非易失性内存的内容 controllers 端口控制状态 debugging 调试选项状态 decnet DEC网络信息 dialer 拨号参数和统计 dnsix 显示Dnsix/DMPP信息 entry 排队终端入口 extended 扩展端口信息 flash 系统闪烁信息 flh-log 闪烁装载帮助日志缓冲区 frame-relay 帧中继信息 history 显示对话层历史命令 hosts IP域名,查找方式,名字服务,主机表 interfaces 端口状态和设置 ip IP信息 ipx Novell IPX信息 isis IS-IS路由信息 keymap 终端键盘映射 lat DEC LAT信息 line 终端行信息 llc2 IBM LLC2 环路信息 lnm IBM 局网管理 local-ack 本地认知虚环路 memory 内存统计 netbios-cache NetBios命名缓冲存贮器内存 node 显示已知LAT节点 ntp 网络时间协议 processes 活动进程统计 protocols 活动网络路由协议 queue 显示队列内容 queueing 显示队列设置 registry 功能注册信息 rhosts 远程主机文件 rif RIF存贮器入口 route-map 路由器信息 sdlle 显示sdlc-llc2转换信息 services 已知LAT服务 sessions 远程连接信息 smds SMDS信息 source-bridge 源网桥参数和统计 spanning-tree 跨越树形拓朴 stacks 进程堆栈应用 standby 热支持协议信息 stun STUN状态和设置 subsystem 显示子系统 tcp TCP连接状态 terminal 显示终端设置 tn3270 TN3270 设置 translate 协议转换信息 ttycap 终端容易表 users 显示终端行的信息 version 系统硬、软件状态 vines VINES信息 whoami 当前终端行信息 x25 X.25信息 xns XNS信息 xermote Xremote统计 3、#config ? Memory 从非易失性内存设置 Network 从TFTP网络主机设置 Overwrite-network 从TFTP网络主机设置覆盖非易失性内存 Terminal 从终端设置 4、Configure commads: Access-list 增加一个访问控制域 Apollo Apollo全局设置命令 appletalk Appletalk 全局设置命令 arap Appletalk远程进出协议 arp 设置一个静态ARP入口 async-bootp 修改系统启动参数 autonomous-system 本地所拥有的特殊自治系统成员 banner 定义注册显示信息 boot 修改系统启动时参数 bridge 透明网桥 buffers 调整系统缓冲池参数 busy-message 定义当连接主机失败时显示信息 chat-script 定义一个调制解调器对话文本 clns 全局CLNS设置子命令 clock 设置时间时钟 config-register 定义设置寄存器 decnet 全局DEC网络设置子命令 default-value 缺省字符位值 dialer-list 创建一个拨号清单入口 dnsix-nat 为审计提供DMDM服务 enable 修改优先命令口令 end 从设置模式退出 exit 从设置模式退出 frame-relay 全局帧中继设置命令 help 交互帮助系统的描述 hostname 设置系统网络名 iterface 选择设置的端口 ip 全局地址设置子命令 ipx Novell/IPX全局设置命令 keymap 定义一个新的键盘映射 lat DEC本地传输协议 line 设置终端行 lnm IBM局网管理 locaddr-priority-list 在LU地址上建立优先队列 logging 修改注册(设备)信息 login-string 定义主机指定的注册字符串 map-class 设置静态表类 map-list 设置静态表清单 menu 定义用户接口菜单 mop 设置DEC MOP服务器 netbios NETBIOS通道控制过滤 no 否定一个命令或改为缺省设置 ntp 设置NTP priority-list 建立特权列表 prompt 设置系统提示符 queue-list 建立常规队列列表 rcmd 远程命令设置命令 rcp-enable 打开Rep服务 rif 源路由进程 router-map 建立路由表或进入路由表命令模式 router 打开一个路由进程 rsh-enable 打开一个RSH服务 sap-priority-list 在SAP或MAC地址上建立一个优先队列 service 修改网络基本服务 snmp-server 修改SNMP参数 state-machine 定义一个TCP分配状态的机器 stun STUN全局设置命令 tacacs-server 修改TACACS队列参数 terminal-queue 终端队列命令 tftp-server 为网络装载请求提供TFTP服务 tn3270 tn3270设置命令 translate 解释全局设置命令 username 建立一个用户名及其权限 vines VINES全局设置命令 x25 X.25 的第三级 x29 X.29 命令 xns XNS 全局设置命令 xremote 设置Xremote 4、(config)#ip Global IP configuration subcommands: Accounting-list 选择保存IP记帐信息的主机 Accounting-threshold 设置记帐入口的最大数 accounting-transits 设置通过入口的最大数 alias TCP端口的IP地址取别名 as-path BGP自治系统路径过滤 cache-invalidate-delay 延迟IP路由存贮池的无效 classless 跟随无类前向路由规则 default-network 标志网络作为缺省网关候选 default-gateway 指定缺省网(如果没有路由IP) domain-list 完成无资格主机的域名 domain-lookup 打开IP域名服务系统主机转换 domain-name 定义缺省域名 forward-protocol 控制前向的、物理的、直接的IP广播 host 为IP主机表增加一个入口 host-routing 打开基于主机的路由(代理ARP和再定向) hp-host 打开HP代理探测服务 mobile-host 移动主机数据库 multicast-routing 打开前向IP name-server 指定所用名字服务器的地址 ospf-name-lookup 把OSPF路由作为DNS名显示 pim PIM 全局命令 route 建立静态路由 routing 打开IP路由 security 指定系统安全信息 source-route 根据源路由头的选择处理包 subnet-zero 允许子网0子网 tcp 全局TCP参数================================== Cisco2620路由器的配置与维护 对于分布在多个不同场点的企业分部来说,如何访问中心场点服务器、获取相应的信息,是企业网络建设规划中不可缺少的一部分。本文以Cisco2620为例,讲述了路由器的初始化配置以及远程接入的配置方法,探讨了如何使用内部网络的DHCP服务功能为远程拨入的用户分配地址信息以及路由器常见故障的排除技巧。 (本文假定Cisco2620路由器为提供远程接入访问,已经配置了同步串行模块和异步串行16AM模块。) Cisco2620路由器的基本配置 1. 初始安装 第一次安装时系统会自动进入Dialog Setup,依屏幕提示,分别回答路由器名称、加密超级登录密码、超级登录密码、远程登录密码、动态路由协议以及各个接口的配置后,保存配置。在出现路由器名称后,打入enable命令,键入超级登录密码,出现路由器名称(这里假设路由器名称为Cisco2620),待出现Cisco2620#提示符后,表示已经进入特权模式,此时就可以进行路由器的配置了。 2. 配置路由器 键入config terminal,出现提示符Cisco2620(config)#,进入配置模式。 (1) 设置密码 Cisco2620(config)#enable secret 123123:设置特权模式密码为123123 Cisco2620(config)#line console 0: 进入Console口配置模式 Cisco2620(config-line)#password 123123:设置Console口密码为123123 Cisco2620(config-line)#login:使console口配置生效 Cisco2620(config-line)#line vty 0 5:切换至远程登录口 Cisco2620(config-line)#password 123123:设置远程登录密码为123123 Cisco2620(config-line)#login:使配置生效 (2) 设置快速以太网口 Cisco2620(config)#interface fastFastethernet 0/0:进入端口配置模式 Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0:设置IP地址及掩码 Cisco2620(config-if)#no shutdown: 开启端口 Cisco2620(config-if)#exit:从端口配置模式中退出 (3) 设置同步串口 Cisco2620(config)#interface serial 0/0:进入同步串口设置 Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0:同步串口使用与快速以太网口相同的IP地址 Cisco2620(config-if)#encapsulation ppp: 把数据链路层协议设为PPP (4) 设置16口Modem拨号模块,使用内部DHCP服务为拨入用户分配地址 Cisco2620(config)#interface Group-Async1 Cisco2620(config-if)# ip unnumbered FastEthernet0/0 Cisco2620(config-if)# encapsulation ppp Cisco2620(config-if)# ip tcp header-compression passive:启用被动IP包头压缩 Cisco2620(config-if)# async mode dedicated:只在异步模式下工作 Cisco2620(config-if)# peer default ip address dhcp:将IP地址请求转发至DHCP服务器 Cisco2620(config-if)# ppp authentication chap:将认证设为CHAP Cisco2620(config-if)# group-range 33 48:拨号组包括16个口 Cisco的16AM模块提供了高密度的模拟电路接入方式,不在办公大楼的员工可以用Modem拨号联入局域网、登录服务器,实现远程办公。 peer default ip address dhcp命令可以使拨入的工作站通过局域网内的DHCP服务器动态地获得IP地址,节约了IP地址资源,同时还接收了在DHCP服务器上配置的参数,比如DNS服务器的IP地址,并配合全局模式下配置的指向防火墙的静态路由,使工作站同时也可以通过防火墙访问Internet。 Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4:设置到防火墙的静态路由 (5) 对16AM模块物理特性的设置 Cisco2620(config)#line 33 48: 进入Modem 口线模式 Cisco2620(config-line)# session-timeout 30:超时设为30分钟 Cisco2620(config-line)# autoselect during-login:自动登录 Cisco2620(config-line)# autoselect ppp:自动选择PPP协议 Cisco2620(config-line)# login local:允许本地口令检查 Cisco2620(config-line)# modem InOut:允许拨入拨出 Cisco2620(config-line)# transport input all:指定传输协议 Cisco2620(config-line)# stopbits 1:设置一位停止位 Cisco2620(config-line)# flowcontrol hardware:设置硬件流控制 (6) 添加拨号用户的用户名和密码 Cisco2620(config)#username shixuegang password abc123:增加用户名shixuegang,口令为abc123 (7) 启用rip路由 Cisco2620(config)#router rip:启用rip路由 Cisco2620(config-rout)#version 2:第二版本 Cisco2620(config-rout)#network xxx.xxx.xxx.xxx:指定要转发数据包的网络号 Cisco2620路由器故障判断和故障排除 1. 判断以太端口故障 对于以太端口故障的诊断,可以用show interface fastFastethernet 0/0(对于以太端口0的诊断)命令,它用来检查一条链路的状态,可能出现的结果如下: 如果以太网端口工作正常,则出现如下显示:Fastethernet 0/0 is up, line protocol is up; 如果存在连接故障,比如路由器未接到LAN上,则出现:Fastethernet 0/0 is up, line protocol is down; 如果接口出现故障,则出现:Fastethernet 0/0 is down, line protocol is down (disable) ; 接口被人为地关闭,则出现:Fastethernet 0/0 is administratively down, line protocol is down; 此外,当怀疑端口有物理性故障时,可用show version命令,该命令将显示出物理性正常的端口,而出现物理性故障的端口将不被显示出来。 2. 判断同步串行端口故障 我们可以用show interface serial 0/0命令检查一条链路的状态,如出现Serial 0/0 is up, line protocol is up字样,则表示工作正常;如出现serial 0/0 is up, line protocol is down字样,则表示端口无物理故障,但上层协议未通(IP、IPX、X25等,此时应查看路由器的配置命令,检查地址是否匹配);如出现Serial 0/0 is down, line protocol is down (disable) 字样,则表示端口出现物理性故障,此时应更换端口;如出现Serial 0/0 is down, line protocol is down字样,则表示DCE设备(Modem/DTU)未送来载波/时钟信号;如出现Serial 0/0 is administratively down, line protocol is down字样,则表示接口被人为地关闭,可在配置状态中interface_mode下去掉shutdown命令。 3. 判断模拟线路故障 可以先用电话直接拨打路由器中继线号码,听见啸叫声则说明线路正常,反之则应先查看电话线路。排除线路故障后如依然无法正常工作,就应查看路由器关于16AM模块的配置命令,确定配置命令无误后,可采取如下方法: 将模块重新良好接地; 升级路由器IOS版本; 更换16AM模块。 Cisco2620路由器的密码恢复和灾难性恢复 在使用路由器的过程中,经常会出现忘记密码的情况。同时,在操作过程中有时会因为一些不可预料的原因,使路由器内部的版本映像文件受到损坏,使路由器无法正常工作,导致路由器退回到监控状态,而使用常用的版本拷贝命令无法更新版本。这两个问题都是在日常维护中较为常见的问题。 1. 密码恢复 (1) 将路由器的Console口和计算机串口相连,启动计算机超级终端,开启路由器电源,在开机60秒内按ctrl+break 使路由器进入rom monitor 状态,并出现如下提示符: rommon1> (2) 重新配置组态寄存器。 rommon1>confreg 当出现do you wish to change the configuration (y/n) 时选择y,当出现enable ignore system configuration information(y/n) 时选择y。 (3) 重新启动路由器。 rommon1>reset (4) 启动后进入特权模式,执行如下命令使原来的配置信息有效。 router(config)#config mem (5) 可以进一步查看密码或更改密码。 2. 版本的灾难性恢复 Cisco2620提供了两种灾难性恢复版本的方法:tftpdnld和xmodem方式。 (1) tftpdnld方式 将计算机串口和路由器Console口相连,计算机网口与路由器以太口(一定要与第一个以太口)相连。 启动TFTP服务器,将要下载的版本放于指定目录下面。 开启路由器电源,由于没有有效版本,路由器启动后将直接进入监控模式。 Rommon1> 按如下命令设置参数。 Rommon2>IP_ADDRESS=192.168.1.6: 将192.168.1.6地址配置到路由器的第一个以太端口 Rommon3>IP_SUBNET_MASK=255.255.255.0:设置掩码 Rommon4>DEFAULT_GATEWAY=192.168.1.7:指定TFTP服务器地址 Rommon5>TFTP_FILE=c2600-i-mz.121-3.T:指定IOS文件名 Rommon6>tftpdnld:下载IOS文件 组态配置寄存器 Rommon7>confreg 当出现do you wish to change the configuration y/n时选择y,当出现 change the boot charaterist y/n时选择y,选择参数2。其他的选项选n。 启动版本 Rommon8> reset (2) xmodem 方式下载 该种方式下载不需要以太口电缆,只需超级终端即可。缺点是花费时间太多、速度太慢。xmodem是个人计算机通信中广泛使用的异步文件传输协议,以128字节块的形式传输数据,并且对每个块都进行校验,如果接受方校验正确,则发送认可信息,发送方发送下一个字块。 其具体步骤如下: 用超级终端与路由器连接后,启动路由器,路由器进入监控模式状态。 Rommon1> 启动xmodem 命令 Rommon2>xmodem -cx?:敲入Enter键 当出现do you wish to continue时选择y 打开超级终端的“传送”菜单,选择传送文件,打开传送文件窗口。输入版本文件的位置,并选择xmodem 方式。 修改相应命令和选项,也可以以ymodem的方式进行传送。 以上述同样的方法配置confreg命令,重新启动后路由器会进入正常状态。 两种进入Cisco2620路由器 ROM 状态的方法 1. 如果break 未被屏蔽,可以在开机60秒内按ctrl+break 键中断启动过程,进入rom状态。 2. 将超级终端通信波特率设置为1200、数据位为8、奇偶位为1、停止位无。开启路由器电源,启动后关机。停5秒后,重新开机,同时一直按住空格键12秒后放开,等路由器启动完成后,重新更改超级终端位默认值。通信波特率设置为9600、数据位为8、奇偶位为1、停止位无 。重新连接后,从终端上可以看到已经进入rom 状态。注意在波特率为1200时终端上没有内容显示。 除了上述功能外,Cisco路由器还可通过IOS软件的升级, 在不改动硬件的条件下实现更多、更强大的功能,在满足客户不断增长的需求的同时保护了硬件投资。但这样做也同样增加了配置及管理的难度,同时对网络管理员也提出了更高的要求。因此如何让网络设备高效、可靠地工作,尽量减小维护的工作量,有待于我们在实践中进一步探索。 格尔信息安全论坛 为信息安全的建设建立安全风险评估机制 伴随着我国加入WTO以及全球信息化的发展,计算机信息系统的安全建设越来越受重视,同时我国的政府与企业也已经深刻地认识到了信息安全风险评估的重要性,并努力通过实践来建立、健全和完善计算机信息系统的安全风险评估机制。 安全风险评估是信息系统安全防范体系的建设依据,风险评估的目的在于指出信息系统的风险所在、防范风险的代价、风险可能造成的损失,并最终依据后两者的比较制定信息安全保障体系。需要密切关注的是,防范风险的代价和风险可能造成的损失是不断变化的,信息安全保障体系的完善是建立在阶段建设目标的不断修正和补充基础之上的。 在信息安全风险评估的需求方面,金融企业尤为急迫。金融企业一直以来都是信息技术发展的领路人,但是其信息安全的建设远远滞后于信息系统自身的建设。在金融企业逐渐认识到信息安全保障体系建设的必要性的同时,也意识到单凭直观感觉而制定的信息安全建设目标缺乏科学依据,不能对长期的信息安全建设提供指导作用。金融企业将再一次承担起领路人的角色,当然这是由其自身信息系统具备的基础决定的。 安全风险评估分如下几个过程: 1. 评估阶段。信息系统将接受各种评估工具的检测和调查,被评估的对象包括网络架构、应用系统、运行与安全管理、人员、安全策略等,评估的结果将反映信息系统在各个方面的威胁和脆弱性。 2. 评估信息智能化处理阶段。需要对不同的评估工具所得出的原始评估数据进行深入挖掘,一方面,这些数据复杂、多样,而且会不断增加,因此需要按照统一的标准进行管理; 另一方面,这些数据内在的联系需要通过数据挖掘进行归纳分析和综合分析。 3. 解决方案与后续建设目标阶段。根据评估信息分析的结果,制定相应的建设目标与方案,其核心是把风险的价值与保护风险的价值进行比较。
转载于:https://blog.51cto.com/peibaozhen/663944