Cisco2620路由器的配置與維護(hù)

服務(wù)器、獲取相應(yīng)的信息，是企業(yè)網(wǎng)絡(luò)建設(shè)規(guī)劃中不可缺少的一部分。本文以Cisco2620為例，講述了路由器的初始化配置以及遠(yuǎn)程接入的配置方法，探討了如何使用內(nèi)部網(wǎng)絡(luò)的DHCP服務(wù)功能為遠(yuǎn)程撥入的用戶分配地址信息以及路由器常見(jiàn)故障的排除技巧。
    （本文假定Cisco2620路由器為提供遠(yuǎn)程接入訪問(wèn)，已經(jīng)配置了同步串行模塊和異步串行16AM模塊。）
    Cisco2620路由器的基本配置
    1. 初始安裝
    第一次安裝時(shí)系統(tǒng)會(huì)自動(dòng)進(jìn)入Dialog Setup，依屏幕提示，分別回答路由器名稱、加密超級(jí)登錄密碼、超級(jí)登錄密碼、遠(yuǎn)程登錄密碼、動(dòng)態(tài)路由協(xié)議以及各個(gè)接口的配置后，保存配置。在出現(xiàn)路由器名稱后，打入enable命令，鍵入超級(jí)登錄密碼，出現(xiàn)路由器名稱（這里假設(shè)路由器名稱為Cisco2620），待出現(xiàn)Cisco2620#提示符后，表示已經(jīng)進(jìn)入特權(quán)模式，此時(shí)就可以進(jìn)行路由器的配置了。
    2. 配置路由器
    鍵入config terminal，出現(xiàn)提示符Cisco2620(config)#，進(jìn)入配置模式。
    (1) 設(shè)置密碼
    Cisco2620(config)#enable secret 123123：設(shè)置特權(quán)模式密碼為123123
    Cisco2620(config)#line console 0: 進(jìn)入Console口配置模式
    Cisco2620(config-line)#password 123123：設(shè)置Console口密碼為123123
    Cisco2620(config-line)#login：使console口配置生效
    Cisco2620(config-line)#line vty 0 5：切換至遠(yuǎn)程登錄口
    Cisco2620(config-line)#password 123123：設(shè)置遠(yuǎn)程登錄密碼為123123
    Cisco2620(config-line)#login：使配置生效
    (2) 設(shè)置快速以太網(wǎng)口
    Cisco2620(config)#interface fastFastethernet 0/0：進(jìn)入端口配置模式
    Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：設(shè)置IP地址及掩碼
    Cisco2620(config-if)#no shutdown: 開啟端口
    Cisco2620(config-if)#exit：從端口配置模式中退出
    (3) 設(shè)置同步串口
    Cisco2620(config)#interface serial 0/0：進(jìn)入同步串口設(shè)置
    Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用與快速以太網(wǎng)口相同的IP地址
    Cisco2620(config-if)#encapsulation ppp: 把數(shù)據(jù)鏈路層協(xié)議設(shè)為PPP
    (4) 設(shè)置16口Modem撥號(hào)模塊，使用內(nèi)部DHCP服務(wù)為撥入用戶分配地址
    Cisco2620(config)#interface Group-Async1
    Cisco2620(config-if)# ip unnumbered FastEthernet0/0
    Cisco2620(config-if)# encapsulation ppp
    Cisco2620(config-if)# ip tcp header-compression passive：?jiǎn)⒂帽粍?dòng)IP包頭壓縮
    Cisco2620(config-if)# async mode dedicated:只在異步模式下工作
    Cisco2620(config-if)# peer default ip address dhcp：將IP地址請(qǐng)求轉(zhuǎn)發(fā)至DHCP服務(wù)器
    Cisco2620(config-if)# ppp authentication chap：將認(rèn)證設(shè)為CHAP
    Cisco2620(config-if)# group-range 33 48：撥號(hào)組包括16個(gè)口
    Cisco的16AM模塊提供了高密度的模擬電路接入方式，不在辦公大樓的員工可以用Modem撥號(hào)聯(lián)入局域網(wǎng)、登錄服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程辦公。
    peer default ip address dhcp命令可以使撥入的工作站通過(guò)局域網(wǎng)內(nèi)的DHCP服務(wù)器動(dòng)態(tài)地獲得IP地址，節(jié)約了IP地址資源，同時(shí)還接收了在DHCP服務(wù)器上配置的參數(shù)，比如DNS服務(wù)器的IP地址，并配合全局模式下配置的指向防火墻的靜態(tài)路由，使工作站同時(shí)也可以通過(guò)防火墻訪問(wèn)Internet。
    Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4：設(shè)置到防火墻的靜態(tài)路由
    (5) 對(duì)16AM模塊物理特性的設(shè)置
    Cisco2620(config)#line 33 48: 進(jìn)入Modem 口線模式
    Cisco2620(config-line)# session-timeout 30:超時(shí)設(shè)為30分鐘
    Cisco2620(config-line)# autoselect during-login：自動(dòng)登錄
    Cisco2620(config-line)# autoselect ppp：自動(dòng)選擇PPP協(xié)議
    Cisco2620(config-line)# login local：允許本地口令檢查
    Cisco2620(config-line)# modem InOut：允許撥入撥出
    Cisco2620(config-line)# transport input all:指定傳輸協(xié)議
    Cisco2620(config-line)# stopbits 1：設(shè)置一位停止位
    Cisco2620(config-line)# flowcontrol hardware：設(shè)置硬件流控制
    (6) 添加撥號(hào)用戶的用戶名和密碼
    Cisco2620(config)#username shixuegang password abc123：增加用戶名shixuegang，口令為abc123
    (7) 啟用rip路由
    Cisco2620(config)#router rip：?jiǎn)⒂胷ip路由
    Cisco2620(config-rout)#version 2：第二版本
    Cisco2620(config-rout)#network xxx.xxx.xxx.xxx：指定要轉(zhuǎn)發(fā)數(shù)據(jù)包的網(wǎng)絡(luò)號(hào)
    Cisco2620路由器故障判斷和故障排除
    1. 判斷以太端口故障
    對(duì)于以太端口故障的診斷，可以用show interface fastFastethernet 0/0(對(duì)于以太端口0的診斷)命令，它用來(lái)檢查一條鏈路的狀態(tài)，可能出現(xiàn)的結(jié)果如下：
    如果以太網(wǎng)端口工作正常，則出現(xiàn)如下顯示：Fastethernet 0/0 is up, line protocol is up；
    如果存在連接故障，比如路由器未接到LAN上，則出現(xiàn)：Fastethernet 0/0 is up, line protocol is down；
    如果接口出現(xiàn)故障，則出現(xiàn)：Fastethernet 0/0 is down, line protocol is down (disable) ；
    接口被人為地關(guān)閉，則出現(xiàn)：Fastethernet 0/0 is administratively down, line protocol is down;
    此外，當(dāng)懷疑端口有物理性故障時(shí)，可用show version命令，該命令將顯示出物理性正常的端口，而出現(xiàn)物理性故障的端口將不被顯示出來(lái)。
    2. 判斷同步串行端口故障
    我們可以用show interface serial 0/0命令檢查一條鏈路的狀態(tài)，如出現(xiàn)Serial 0/0 is up, line protocol is up字樣，則表示工作正常；如出現(xiàn)serial 0/0 is up, line protocol is down字樣，則表示端口無(wú)物理故障，但上層協(xié)議未通（IP、IPX、X25等，此時(shí)應(yīng)查看路由器的配置命令，檢查地址是否匹配）；如出現(xiàn)Serial 0/0 is down, line protocol is down (disable) 字樣，則表示端口出現(xiàn)物理性故障，此時(shí)應(yīng)更換端口；如出現(xiàn)Serial 0/0 is down, line protocol is down字樣，則表示DCE設(shè)備（Modem/DTU）未送來(lái)載波/時(shí)鐘信號(hào)；如出現(xiàn)Serial 0/0 is administratively down, line protocol is down字樣，則表示接口被人為地關(guān)閉，可在配置狀態(tài)中interface_mode下去掉shutdown命令。
    3. 判斷模擬線路故障
    可以先用電話直接撥打路由器中繼線號(hào)碼，聽(tīng)見(jiàn)嘯叫聲則說(shuō)明線路正常，反之則應(yīng)先查看電話線路。排除線路故障后如依然無(wú)法正常工作，就應(yīng)查看路由器關(guān)于16AM模塊的配置命令，確定配置命令無(wú)誤后，可采取如下方法：
    將模塊重新良好接地；
    升級(jí)路由器IOS版本；
    更換16AM模塊。
    Cisco2620路由器的密碼恢復(fù)和災(zāi)難性恢復(fù)
    在使用路由器的過(guò)程中，經(jīng)常會(huì)出現(xiàn)忘記密碼的情況。同時(shí)，在操作過(guò)程中有時(shí)會(huì)因?yàn)橐恍┎豢深A(yù)料的原因，使路由器內(nèi)部的版本映像文件受到損壞，使路由器無(wú)法正常工作，導(dǎo)致路由器退回到監(jiān)控狀態(tài)，而使用常用的版本拷貝命令無(wú)法更新版本。這兩個(gè)問(wèn)題都是在日常維護(hù)中較為常見(jiàn)的問(wèn)題。
    1. 密碼恢復(fù)
    (1) 將路由器的Console口和計(jì)算機(jī)串口相連，啟動(dòng)計(jì)算機(jī)超級(jí)終端，開啟路由器電源，在開機(jī)60秒內(nèi)按ctrl+break 使路由器進(jìn)入rom monitor 狀態(tài)，并出現(xiàn)如下提示符：
    rommon1>
    (2) 重新配置組態(tài)寄存器。
    rommon1>confreg
    當(dāng)出現(xiàn)do you wish to change the configuration (y/n) 時(shí)選擇y，當(dāng)出現(xiàn)enable ignore system configuration information(y/n) 時(shí)選擇y。
    (3) 重新啟動(dòng)路由器。
    rommon1>reset
    (4) 啟動(dòng)后進(jìn)入特權(quán)模式，執(zhí)行如下命令使原來(lái)的配置信息有效。
    router(config)#config mem
    (5) 可以進(jìn)一步查看密碼或更改密碼。
    2. 版本的災(zāi)難性恢復(fù)
    Cisco2620提供了兩種災(zāi)難性恢復(fù)版本的方法:tftpdnld和xmodem方式。
    (1) tftpdnld方式
    將計(jì)算機(jī)串口和路由器Console口相連，計(jì)算機(jī)網(wǎng)口與路由器以太口（一定要與第一個(gè)以太口）相連。
    啟動(dòng)TFTP服務(wù)器，將要下載的版本放于指定目錄下面。
    開啟路由器電源，由于沒(méi)有有效版本，路由器啟動(dòng)后將直接進(jìn)入監(jiān)控模式。
    Rommon1>
    按如下命令設(shè)置參數(shù)。
    Rommon2>IP_ADDRESS=192.168.1.6: 將192.168.1.6地址配置到路由器的第一個(gè)以太端口
    Rommon3>IP_SUBNET_MASK=255.255.255.0：設(shè)置掩碼
    Rommon4>DEFAULT_GATEWAY=192.168.1.7：指定TFTP服務(wù)器地址
    Rommon5>TFTP_FILE=c2600-i-mz.121-3.T：指定IOS文件名
    Rommon6>tftpdnld：下載IOS文件
    組態(tài)配置寄存器
    Rommon7>confreg
    當(dāng)出現(xiàn)do you wish to change the configuration y/n時(shí)選擇y，當(dāng)出現(xiàn) change the boot charaterist y/n時(shí)選擇y，選擇參數(shù)2。其他的選項(xiàng)選n。
    啟動(dòng)版本
    Rommon8> reset
    (2) xmodem 方式下載
    該種方式下載不需要以太口電纜，只需超級(jí)終端即可。缺點(diǎn)是花費(fèi)時(shí)間太多、速度太慢。xmodem是個(gè)人計(jì)算機(jī)通信中廣泛使用的異步文件傳輸協(xié)議，以128字節(jié)塊的形式傳輸數(shù)據(jù)，并且對(duì)每個(gè)塊都進(jìn)行校驗(yàn)，如果接受方校驗(yàn)正確，則發(fā)送認(rèn)可信息，發(fā)送方發(fā)送下一個(gè)字塊。
    其具體步驟如下：
    用超級(jí)終端與路由器連接后，啟動(dòng)路由器，路由器進(jìn)入監(jiān)控模式狀態(tài)。
    Rommon1>
    啟動(dòng)xmodem 命令
    Rommon2>xmodem -cx?:敲入Enter鍵
    當(dāng)出現(xiàn)do you wish to continue時(shí)選擇y
    打開超級(jí)終端的“傳送”菜單，選擇傳送文件，打開傳送文件窗口。輸入版本文件的位置，并選擇xmodem 方式。
    修改相應(yīng)命令和選項(xiàng)，也可以以ymodem的方式進(jìn)行傳送。
    以上述同樣的方法配置confreg命令，重新啟動(dòng)后路由器會(huì)進(jìn)入正常狀態(tài)。
    兩種進(jìn)入Cisco2620路由器 ROM 狀態(tài)的方法
    1. 如果break 未被屏蔽，可以在開機(jī)60秒內(nèi)按ctrl+break 鍵中斷啟動(dòng)過(guò)程，進(jìn)入rom狀態(tài)。
    2. 將超級(jí)終端通信波特率設(shè)置為1200、數(shù)據(jù)位為8、奇偶位為1、停止位無(wú)。開啟路由器電源，啟動(dòng)后關(guān)機(jī)。停5秒后，重新開機(jī)，同時(shí)一直按住空格鍵12秒后放開，等路由器啟動(dòng)完成后，重新更改超級(jí)終端位默認(rèn)值。通信波特率設(shè)置為9600、數(shù)據(jù)位為8、奇偶位為1、停止位無(wú) 。重新連接后，從終端上可以看到已經(jīng)進(jìn)入rom 狀態(tài)。注意在波特率為1200時(shí)終端上沒(méi)有內(nèi)容顯示。
    除了上述功能外，Cisco路由器還可通過(guò)IOS軟件的升級(jí), 在不改動(dòng)硬件的條件下實(shí)現(xiàn)更多、更強(qiáng)大的功能，在滿足客戶不斷增長(zhǎng)的需求的同時(shí)保護(hù)了硬件投資。但這樣做也同樣增加了配置及管理的難度，同時(shí)對(duì)網(wǎng)絡(luò)管理員也提出了更高的要求。因此如何讓網(wǎng)絡(luò)設(shè)備高效、可靠地工作，盡量減小維護(hù)的工作量，有待于我們?cè)趯?shí)踐中進(jìn)一步探索。
    為信息安全的建設(shè)建立安全風(fēng)險(xiǎn)評(píng)估機(jī)制
    伴隨著我國(guó)加入WTO以及全球信息化的發(fā)展，計(jì)算機(jī)信息系統(tǒng)的安全建設(shè)越來(lái)越受重視，同時(shí)我國(guó)的政府與企業(yè)也已經(jīng)深刻地認(rèn)識(shí)到了信息安全風(fēng)險(xiǎn)評(píng)估的重要性，并努力通過(guò)實(shí)踐來(lái)建立、健全和完善計(jì)算機(jī)信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估機(jī)制。
    安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全防范體系的建設(shè)依據(jù)，風(fēng)險(xiǎn)評(píng)估的目的在于指出信息系統(tǒng)的風(fēng)險(xiǎn)所在、防范風(fēng)險(xiǎn)的代價(jià)、風(fēng)險(xiǎn)可能造成的損失，并最終依據(jù)后兩者的比較制定信息安全保障體系。需要密切關(guān)注的是，防范風(fēng)險(xiǎn)的代價(jià)和風(fēng)險(xiǎn)可能造成的損失是不斷變化的，信息安全保障體系的完善是建立在階段建設(shè)目標(biāo)的不斷修正和補(bǔ)充基礎(chǔ)之上的。
    在信息安全風(fēng)險(xiǎn)評(píng)估的需求方面，金融企業(yè)尤為急迫。金融企業(yè)一直以來(lái)都是信息技術(shù)發(fā)展的領(lǐng)路人，但是其信息安全的建設(shè)遠(yuǎn)遠(yuǎn)滯后于信息系統(tǒng)自身的建設(shè)。在金融企業(yè)逐漸認(rèn)識(shí)到信息安全保障體系建設(shè)的必要性的同時(shí)，也意識(shí)到單憑直觀感覺(jué)而制定的信息安全建設(shè)目標(biāo)缺乏科學(xué)依據(jù)，不能對(duì)長(zhǎng)期的信息安全建設(shè)提供指導(dǎo)作用。金融企業(yè)將再一次承擔(dān)起領(lǐng)路人的角色，當(dāng)然這是由其自身信息系統(tǒng)具備的基礎(chǔ)決定的。
    安全風(fēng)險(xiǎn)評(píng)估分如下幾個(gè)過(guò)程：
    1. 評(píng)估階段。信息系統(tǒng)將接受各種評(píng)估工具的檢測(cè)和調(diào)查，被評(píng)估的對(duì)象包括網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)、運(yùn)行與安全管理、人員、安全策略等，評(píng)估的結(jié)果將反映信息系統(tǒng)在各個(gè)方面的威脅和脆弱性。
    2. 評(píng)估信息智能化處理階段。需要對(duì)不同的評(píng)估工具所得出的原始評(píng)估數(shù)據(jù)進(jìn)行深入挖掘，一方面，這些數(shù)據(jù)復(fù)雜、多樣，而且會(huì)不斷增加，因此需要按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行管理; 另一方面，這些數(shù)據(jù)內(nèi)在的聯(lián)系需要通過(guò)數(shù)據(jù)挖掘進(jìn)行歸納分析和綜合分析。
    3. 解決方案與后續(xù)建設(shè)目標(biāo)階段。根據(jù)評(píng)估信息分析的結(jié)果，制定相應(yīng)的建設(shè)目標(biāo)與方案，其核心是把風(fēng)險(xiǎn)的價(jià)值與保護(hù)風(fēng)險(xiǎn)的價(jià)值進(jìn)行比較。