CCNA专题6-访问控制列表、IOS升级和口令设置及恢复
一、访问控制列表
1
、
访问控制列表的概念
访问控制列表(
Access Control List
,
ACL)
是路由器接口的指令列表,用来控制端口进出的数据包。
访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制。路由器一个一个地检测包与访问列表的条件,在满足第一个匹配条件后,就可以决定路由器接收或拒收该包。
2
、ACL的作用
1
)
ACL
可以限制网络流量、提高网络性能。
2
)
ACL
提供对通信流量的控制手段。
3
)
ACL
是提供网络安全访问的基本手段。
4
)
ACL
可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
3
、ACL的分类
ACL
包括两种类型:
1)
标准访问列表:
只检查包的源地址。
2)
扩展访问列表:
既检查包的源地址,也检查包的目的地址,也可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度。
4
、ACL的执行过程
一个端口执行哪条
ACL
,这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查。
数据包只有在跟第一个判断条件不匹配时,它才被交给
ACL
中的下一个条件判断语句进行比较。如果匹配(假设为允许发送),则不管是第一条还是最后一条语句,数据都会立即发送到目的接口。如果所有的
ACL
判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃。
5
、ACL的取值范围
在路由器配置中,标准
ACL
和扩展
ACL
的区别是由
ACL
的表号来体现的,下表指出了每种协议所允许的合法表号的取值范围。
6
、正确放置ACL
ACL
通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把
ACL
放置在哪个地方。
1
)标准
ACL
要尽量靠近目的端。
2
)扩展
ACL
要尽量靠近源端。
7
、ACL的配置
ACL
的配置分为两个步骤:
1
)第一步
:
在全局配置模式下,使用下列命令创建
ACL
:
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中,
access-list-number
为
ACL
的表号。人们使用较频繁的表号是标准的
IP ACL
(
1
―
99
)和扩展的
IP ACL
(
100
-
199
)。
在路由器中,如果使用
ACL
的表号进行配置,则列表不能插入或删除行。如果列表要插入或删除一行,必须先去掉所有
ACL
,然后重新配置。
2
)第二步:在接口配置模式下,使用
access-group
命令
ACL
应用到某一接口上:
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中,
in
和
out
参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为
out
。
ACL
在一个接口可以进行双向控制,即配置两条命令,一条为
in
,一条为
out
,两条命令执行的
ACL
表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个
ACL
控制。
值得注意的是,在进行
ACL
配置时,网管员一定要先在全局状态配置
ACL
表,再在具体接口上进行配置,否则会造成网络的安全隐患。
7
、实例说明
----
例如:仅允许内部IP地址为11.66.129.1和 11.66.129.2的主机访问外部,禁止外部访问内部网主机的telnet和ftp端口。
router(config)#ip access-list 1 permit
11.66.129.1 0.0.0.0
router(config)#ip access-list 1 permit
11.66.129.2 0.0.0.0
router(config)#ip access-list 101 deny
tcp any any eq 23
router(config)#ip access-list 101 deny
tcp any any eq 21
router(config)#ip access-list 101 deny
tcp any any eq 20
(其中20、21为FTP的端口,23为TELNET端口)
router(config)#ip access-list 101 permit ip any any
router(config)#int e0
router(config-if)#ip access-group 1 out
router(config-if)#ip access-group 101 in
router(config-if)#exit
二、IOS升级
1
、Cisco路由器的存储器
路由器与计算机有相似点是,它也有内存、操作系统、配置和用户界面,
Cisco
路由器中,操作系统叫做互连网操作系统(
Internetwork Operating System
)或
IOS
。下面主要介绍路由器的存储器。
ROM
:只读存储器包含路由器正在使用的
IOS
的一份副本;
RAM
:
IOS
将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的
IOS
数据结构;
闪存
(FLASH)
:用来存储
IOS
软件映像文件,闪存是可以擦除内存,它能够用
IOS
的新版本覆写,
IOS
升级主要是闪存中的
IOS
映像文件进行更换。
NVRAM
:非易失性随机访问存储器,用来存储系统的配置文件。
2
、路由器IOS升级过程
1
)安装TFTP服务器软件。
此类软件有TFTPServer等([url]http://cisco-net.myrice.com[/url]网站上有该软件)。
2
)路由器IOS升级及配置文件的保存
Cisco
把它的系统软件存放在
Flash memory
里,每次启动路由器时,从
Flash memory
里调出系统并执行它。开机后进入初始化配置或用
"configer"
,
"setup"
作配置后
,
所作的配置要保存起来以便下一次启动直接运行,这就是配置文件了。配置文件存在非易失的
NVRAM
中。配置文件分成
start-up configer
和
running configer
两种。
Start-up configer
是开机时启动
NVRAM
配置。
A
、备份系统映象和配置文件
把系统文件和配置文件保存在网中的服务器上是一个很好的做法,帮助你在系统或配置文件丢失时
,
尽快恢复系统正常运行。
拷贝系统映象到网络服务器,首先显示
IOS
文件的文件名:
show flash
,拷贝系统文件到
TFTP Server
:
copy flash tftp
。
拷贝配置文件到网络服务器,把配置文件保存在
TFTP Server
中
copy running-config tftp
或
copy startup-config tftp
。
B
、升级系统映象和配置文件
当系统出现故障,系统升级,配置文件拷贝,我们需要把服务器里软件拷贝到路由器里。把系统映象从网络服务器拷贝到
Flash Memory
。网络上要有台计算机作
TFTP Server
,用
TFTP
把系统文件拷贝到路由器的
Flash memeory
中。
copy tftp flash
copy tftp file-id (Cisco 7000,7200
和7500系列)
copy tftp running-config
copy tftp startup-config
。
升级过程还需注意以下几点:
1
)配置路由器的计算机最好能使用串口接到路由器的CONSOL口上,TFTP服务器软件安装在该计算机上,以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。
2
)在升级IOS时要注意,升级新版本IOS文件如果大于FLASH内存容量时,应增加FLASH容量。
3
)在做升级时一定要慎重,以免丢失操作系统文件,不能启动系统。
三、口令设置和密码恢复
1
、路由器口令类别
●
有效加密口令(enabled secret password):安全级别最高的加密口令,在路由器的配置表中以密码的形式出现;
●
有效口令(enabled password):安全级别高的非加密口令,当没有设置有效加密口令时,使用该口令;
●
终端口令(console password):用于防止非法或未授权用户修改路由器配置的口令,在用户通过主控终端对路由器进行设置时,使用该口令。
●
远程配置口令(telnet password):用于防止非法或未授权用户通过网络远程修改路由器配置的口令,在用户通过telnet方式对路由器进行设置时,使用该口令。
2
、路由器口令的设置
1
)有效加密口令和有效口令用于用户进入路由器的特权配置模式。
router(config) #enable secret zheng
router(config) #enable password zheng
2
)控制台口令防止非授权用户从控制口对路由器进行配置。
router#line console 0
对控制端口设置口令
router(config-line)#login
router(config-line)#password cisco
3
)远程配置口令防止非授权用户从网络上用TELNET方式对路由器进行配置。
router#line vty 0 4
router(config-line)#login
router(config-line)#password cisco
如果在显示配置信息时,口令以明文方式存放,无关人员在一旁就能观察到密码,这样很不安全,通过对口令字的加密可使所设置的口令以密文形式存放。这样在显示配置文件时旁人无法辨认,可进一步保护系统安全。命令格式为
EXEC
状态下输入
service password-encryption
。这样利用
write terminal
和
show configuration
命令时将无法获得用户的口令字。需要注意的是,口令对字母的大小写敏感。
3
、口令恢复原理
Cisco
路由器可以保存几种不同的配置参数,并存放在不同的内存模块中。以
Cisco 2500
系列为例,其内存包括:
ROM
、闪存(
Flash Memory
)、不可变
RAM
(
NVRAM
)、
RAM
和动态内存(
DRAM
)五种。一般地,路由器启动时,首先运行
ROM
中的程序,进行系统自检及引导,然后运行闪存中的
IOS
,并在
NVRAM
中寻找路由器配置,并装入
DRAM
中。
口令恢复的关键在于对配置登记码(
Configuration Register Value
)进行修改,从而让路由器从不同的内存中调用不同的参数表进行启动。有效口令存放在
NVRAM
中,因此修改口令的实质是将登记码进行修改,从而让路由器跳过
NVRAM
中的配置表,直接进入
ROM
模式,然后对有效口令和终端口令进行修改或者重新设置有效加密口令
(
因为有效加密口令为加密乱码,无法进行恢复,只可以删掉或改写
)
,完成后再将登记码恢复。
4
、口令恢复步骤
1
)将路由器Console端口连接到PC机的串口(如COM1或COM2)上。
2
)启动超级终端,把配置设为9600波特率、8 个数据位、无奇偶校验、1 个停止位。
3
)在“>”提示符下,用Show Version 命令查看登记码(一般为0x2102或0x102),记住此登记码,在第9步要将此登记码还原。
4
)查看登记码,如果中断屏蔽(即登记码的第4位为1),则重启路由器,并在开机后30秒钟内按Ctrl+Break键;如果中断未屏蔽,则发送中断(Cisco公司提供的技术手册注明要在开机后60秒内按Break键)。
5
)根据路由器系列不同,分别进行如下配置:
●
如路由器是2000、2500、3000、680x0 based 4000、7000系列,IOS版本为10.0以下或出现“>”提示符:
> o/r 0x42
> i
●
如路由器是1003、1004、3600、4500、4700、72xx、75xx系列或出现 “ROMMON>” 提示符:
ROMMON> confreg 0x42
ROMMON> reset
6
)当提示是否进入配置对话框时(Would you like to enter the initial configuration dialog? [yes]:),回答“NO”。在出现“Press RETURN to get started!”提示时,按回车键,进入ROM 模式“ Router > ”。
7
)键入enable命令进入EXEC状态, 键入Router#show config查看原路由器配置和未加密口令,建议此时立刻做一个文本备份文件,以免误操作将原路由器配置丢失; 再键入Router#configuration memory,将NVRAM模式中的参数表装入内存。
8
)键入Router#configure terminal 命令进行配置,从配置表中找出(或改写)忘记的有效口令;更改完毕后一定要写入NVRAM中。
9
)将第3步查到的登记码还原,一般为0x2102(即从闪存正常启动,并屏蔽中断),并激活所有端口(系统会将所有端口自动关闭):
Router#config-register 0x2102
Router(config)#interface xx
Router(config-if)#no shutdown
Router#Ctrl-Z
10
)重新启动路由器:Router# reload
经过以上步骤,即可以在不丢失原有路由器配置的情况下,找到或更改口令。