一 : Cisco网络教材：路由器基础介绍（二）

一、路由器开机初始序列

当路由器进行初始化时，路由器进行以下操作：

1)自ROM执行上电自检，检测CPU,内存、接口电路的基本操作。

2)自ROM进行引导，将操作系统装下载到主存。

3)引导操作系统由配置寄存器的引导预确定由FLASH 或网络下载，则配置文件的boot system 命令确定其确切位置。

4)操作系统下载到低地址内存，下载后由操作系统确定路由器的工作硬件和软件部分并在屏幕上显示其结果。

5)NVRAM中存储的配置文件装载到主内存并通过执行，配置启动路由进程，提供接口地址、设置介质特性。如果NVRAM中设有有效的配置文件，则进入Setup 会话模式。

6)然后进入系统配置会话，显示配置信息，如每个接口的配置信息。

二、Setup会话

当NVRAM里没有有效的配置文件时，路由器会自动进入Setup会话模式。以后也可在命令行敲入Setup进行配置。

Setup 命令是一个交互方式的命令，每一个提问都有一个缺省配置，如果用缺省配置则敲回车即可。

如果系统已经配置过，则显示目前的配置值。如果是第一次配置，则显示出厂设置。当屏幕显示 "--

---- More------",键入空格键继续；

若从Setup 中退出，只要键入Ctrl-C即可。

1、Setup主要参数：

配置它的一般参数，包括：

主机名 ：hostname

特权口令 ：enable password

虚终端口令 ：virtual terminal password

SNMP网管 ：SNMP Network Management

IP ：IP

IGRP路由协议：IGRP Routing

RIP路由协议 ：RIP Routing

DECnet : DECnet . 等

其中 Console 的secret、 password的设置：

enable secret

enable password

Virtual Terminor 的password的设置：

Line vty

Password

Host name的设置：

Hostname

2、Setup接口参数：

设置接口参数，如以太网口、TokenRing口、同步口、异步口等。包括IP地址、子网屏蔽、TokengRing速率等。

3、Setup描述：

在设置完以上参数后，该命令提示是否要用以上的配置，如果回答是"YES"则系统会存储以上的

配置参数，系统就可以使用了。

4、Setup相关命令：

Show config

write memory

write erase

reload

setup

5、路由器丢失PASSWORD的恢复

以下办法可以恢复：

enable secret password (适合10。3（2）或更新的版本)

enable password

console password

通过修改Configuration Register(出厂为0x2102)，使路由器忽略PASSWORD，这样就可以进入路由器，就可以看到enable password和Console password，但enable secret password以被加密，

只能替换。可以进入的configuration Register值为0x142.

运行password恢复可能会使系统DOWN掉一个半小时；

将Console terinal连在路由器的Console口上，确认终端设置为9600bps、8

Data bit 、No parity、1 stop bit;

·show version显示Configuration Register 0x2102；

·关机再开，按"Ctrl+ Break",进入ROM MONITOR状态，提示符为">"；

·键入"> o/r 0x142"，修改 Configuration Register到0x142,可以忽略原先的password；

·键入"> initialize",初始化路由器，等一段时间后，路由器会出现以下提示：

"system configuration Diaglog ……"

Enter "NO"

提示"Press RETURN to get started!" ,Press "Enter"

· 进入特权模式

Router>enable

Router#show startup-config

这样就可以得到password(enable&console password)

修改password

"Router#config ter"

"Router(config)# enable secret cisco"

"Router(config)# enable password cisco1"

"Router(config)# line con 0"

"Router(config)# password cisco"

"Router(config)# config-register 0x2102"

"ctrl + Z"

"Router#copy running-config startup-config"

"reload"

· 以password cisco进入特权用户。

三、路由器配置

1)路由器模式

在Cisco 路由器中，命令解释器称为EXEC，EXEC解释用户键入的命令并执行相应的操作，在输入EXEC命令前必须先登录到路由器上。基于安全原因，EXEC设置了两个访问权限：用户级和特权级，用户级可执执行的命令是特权级命令的子集。 在特权级，可以使用：configuration，interface，subinterface，line，router，router-map等命令。

2)配置模式

使用Config命令可进入配置模式，进入该模式后，EXEC提示用户可用的配置方式如终端、NVRAM、网络三种，缺省是终端方式。

3)IP路由协议模式

在配置模式下输入Router命令，可进入IP路由协议模式，可选的路由协议一般有：bgp、egp、igrp、eigrp、rip等动态路由和静态路由。

4)接口配置模式

在每一个端口上可以设置很多特性，接口配置命令修改以太网、令牌环网、FDDI 或同步、异步口等操作。

5)口令配置

可以采用口令来限制对路由器的访问，口令可以设定到具体的线路上或是特权ＥＸＥＣ模式。

Line console 0 命令设置控制台终端口令

Line vty 0 命令设置Telnet虚终端口令

Enable-password 命令设置特权EXEC访问权限

6)路由器命名

在配置模式下用hostname，如：

hostname RouterA

四、用户帮助提示

1、在用户提示符下键入？可以列出常用命令，通常有以下命令：

connect 打开一个中端连接

disconnect 关闭一个已有的telnet会话

enable 进入特权级

exit 退出EXEC

help 交互求助系统描述

lock 终端锁定

login 以特定用户登录

logout 退出EXEC

ping 发送echo信息

resume 恢复一个激活的telnet连接

show 显示正在运行的系统信息

systat 显示正在运行的系统信息

telnet 打开一个telnet连接

terminal 设置终端线路参数

where 列出激活的telnet连接

2、上下相关帮助

上下相关帮助包括：

符号转换 ：键入命令有错时提示；

关键字完成 ：键入命令字的一部分即可；

命令记忆 ：可用" "调出以前的命令；

命令提示 ：当命令记不完全时，可用"？"替代。

二 : Cisco路由器常见十大经典解答

1、问题：Cisco3600系列路由器目前是否支持广域网接口卡WIC-2T和WIC-2A/S？

回答：Cisco3600系列路由器在12.007XK及以上版本支持WIC-2T和WIC-2A/S这两种广域网接口卡。但是需要注意的是：只有快速以太网混合网络模块能够支持这两种广域网接口卡。支持这两种接口卡的网络模块如下所示：NM-1FE2W，NM-2FE2W，NM- 1FE1R2W，NM-2W。而以太网混合网络模块不支持，如下所示：NM-1E2W，NM-2E2W，NM1E1R2W。

2、问题：Cisco3600系列路由器的NM-4A/S，NM-8A/S网络模块和WIC-2A/S广域网接口卡支持的最大异/同步速率各是多少？

回答：这些网络模块和广域网接口卡既能够支持异步，也能够支持同步。支持的最大异步速率均为115.2Kbps，最大同步速率均为128Kbps。

3、问题：IC-2T与WIC-1T的电缆各是哪种？

回答：WIC-1T：DB60转V35或RS232、449等电缆。如：CAB-V35-MT。WIC-2T：SMART型转V35或RS232、449等电缆。如：CAB-SS-V35-MT。

4、问题：isco7000系列上的ME1与Cisco2600/3600上的E1、CE1有什么区别？

回答：Cisco7000上的ME1可配置为E1、CE1，而Cisco2600/3600上的E1、CE1仅支持自己的功能。

5、问题：Cisco2600系列路由器，是否支持VLAN间路由，对IOS软件有何需求？

回答：Cisco2600系列路由器中，只有Cisco2620和Cisco2621可以支持VLAN间的路由(百兆端口才支持VLAN间路由)。并且如果支持VLAN间路由，要求IOS软件必须包括IPPlus特性集。

6 问题：Cisco3660路由器与3620/3640路由器相比在硬件上有那些不同？

回答：
不同点如下：
.Cisco3660路由器基本配置包括1或2个10/100M自适应快速以太网接口；而Cisco3620/3640基本配置中不包括以太网接口。
.Cisco3660路由器支持网络模块热插拔，而Cisco3620/3640不支持网络模块热插拔。 .Cisco3660的冗余电源为内置，而Cisco3620/3640的冗余电源为外置的。

7 问题：Cisco1720是否支持语音？

回答：不支持。

8、问题：Cisco805和其他Cisco800系列路由器的区别？

回答：Cisco805是一个串行口的路由器，它能够为小型办公室提供因特网的接入(可以通过专线、X25、FrameRelay或者异步拨号)。而其他800系列产品则提供的是ISDN的接口，用于因特网的接入。

9、问题：Cisco800系列路由器与Cisco1600系列比较起来，支持的特性有何不同？

回答：
Cisco800系列路由器不支持，但是Cisco1600系列路由器能够支持的功能如下所示：
.OpenShortestPathFirst(OSPF)协议
.HotStandbyRouterProtocol(HSRP)协议
.TACAS+协议
.RADIUS协议
.AppleTalk协议
.DLSW协议
.IBM功能

10、问题：Cisco800系列路由器和700系列路由器有何区别？

回答：
区别如下：
.Cisco800系列路由器集成了CiscoIOS功能，而Cisco700系列不支持。
.与Cisco700系列比较起来，Cisco800提供了更高性能的处理器，更多的内存等。
.Cisco800可以用于小型的办公室环境，但是Cisco700系列主要用于家庭使用。

三 : 快速完成Cisco路由器安装与维护

　　Cisco路由器配置的终端或PC机也必须使用带有有效地的电源。Cisco的同步串行接口是多用的，通过不同的电缆可引出不同的接口。

　　可能很多人对Cisco路由器的安装和维护还不是很了解，下面我们主要讲解了如何快速完成Cisco路由器安装与维护。Cisco路由器作为网络通信的核心设备，在目前得以广泛的应用，下面就本人在实践中摸索出的经验做如下介绍：

　　控制口接口的做法及连接

　　将Cisco2500／1000系列路由器附件中的控制电缆RJ45的一端连接到Cisco的CONSOLE口上，Cisco路由器则将MODEM电缆的DB25的一端接到Cisco的CONSOLE口上，DB9的一端连接到PC的COMl／2上。在PC上设置仿真终端程序：比如用WINDOWS中的TERMINAL程序，使用COMl／2，9600BPS，8 DATA BIT，2STOP BIT。其余使用默认值。做好控制口连接后，打开路由器的电源开关。

　　初始化安装

　　路由器必须使用带有有效地的电源。一般要求使用的电源的零地间的电压小于4伏，零火／地火的电压就为220伏。地线保护基本上要求上网的设备需有保护地线、这些设备包括主机、工作站、集线器、交换机、路由器及连接路由器的MODEM等。Cisco路由器配置的终端或PC机也必须使用带有有效地的电源。Cisco的同步串行接口是多用的，通过不同的电缆可引出不同的接口。如RS232、V.35等。并且Cisco路由器的同步串行接口电缆的电缆是特别预制的。第一次安装时系统会自动进入DIALOG SETUP状态。依次回答路由器名称，加密超级登录密码，超级登录密码，远程登录密码，动态路由协议，各个接口的配置等。之后回答YES保存该配置。然后等2分钟，按回车数下。出现路由器名称，打人ENABLE命令，问答超级登录密码。出现路由器名称#。

　　对同步拨号、专线、DDN连接配置

　　IPX routing IPX routing

　　INTERFACE SERIAL 0 INTERFACE SERIAL 0

　　IP ADDRESS l．1．1．1 255．0．0．0 IP ADDRESS l．1．1．2．

　　255．0．0．0

　　IPX NETWORK lll IPX

　　NETWORK lll

　　INTERFACE ETHERNET 0 INTERFACE ETHERNET 0

　　IP ADDRESS 12.1.1.1 255.0.0.0 IPADDRESS 16.1.1.1

　　255.0.0.0

　　IPX NETWORK 123456 IPX

　　NETWORK 12.1TWt)KK 987654

　　ROUTER IGRP 1 ROUTER

　　IGRP l

　　NETWORK l.0.0.0 NETWORK l.0.0.0

　　NETWORK 12.0.0.0 NETWORK

　　16.0.0.0

 　　对X．25进行连接配置

　　IP ROUTIKG IP

　　ROUTING

　　INTERFACE SERIAL 0 INTERFACE SERIAL 0

　　IP ADDRESS 1.1.1.1 255.0.0.0 IP ADDRESS 1.1.1.2

　　255.0.0.0

　　ENCAPSULATIO X25 ENCAPSULATION X25

　　X25 ADDRESS 32699 X25 ADDRESS 32688

　　X25 HTC 16 X25 HTC l6

　　x25 IDLE

　　6 X25 IDLE 6

　　X25 map ip l.1.1．2 32688 broadcast X25 map ip l.1.1.1

　　32699 broadcast

　　INTERFACE ETHERNET 0 INTERFACE ETHERNET 0

　　IP ADDRESS 12.1.1.1 255.0.0.0 IP ADDRESS 16．1．1．1 255．0．0．0

　　ROUTER IGRP 1

　　NETWORK l.0.0.0 NETWORKl.0.0.0

　　NETWORK l2.0.0.0 NETWORK l6.0.0.0．

　　路由器的一般故障判断及排除方法

　　首先看MODEM的状态，如果MODEM的DCD不亮，则表示线路连接故障，请先检查线路连接。再检查Cisco路由器的电缆连接。将控制终端连接到路由器上。按回车数下，出现路由器名称，打入show interface serial 0, 观看第一行，line和line protocol的状态：如果line is up，表示路由器接收的该线路接口的DCD信号；否则表示线路接口的DCD信号为低。如果line protocol is up，表示该线路接口的线路协议匹配成功。否则表示线路协议匹配失败。打人show interface ethernet 0 如果line protocol is up,表示该线路接口连接正常。通讯系统在运行中可能出现一些故障，我们如何迅速地找出故障所在，并及时修改，是维持系统正常运行的关键，我们就端口、线路、链路等方面介绍故障的排除方法。

四 : CISCO路由器口令破解方法

　　　　故障现象

　　　　网络设备或大型应用服务软件为了安全起见，都会使用密码保护功能，这就需要网络管理员输入正确的密码后万能登录网络设备或服务软件中更改和浏览其配置，使用这一功能从一定程度上增加了系统的安全性，不过要是将事先设定的密码忘了。在恢复上将会带来很大的麻烦。下面这个例子，就是介绍在CISCO路由器特权密码忘记后，如何恢复并清除密码。

　　　　笔者所在公司使用一台CISCO 2511路由器，通过该路由器的串口与xDSL MODEM连接。接入数据局的DON专线。有一天，因为网络结构发生变化，Internet提供商由中国电信更换成中国联通。因此需要通过Console口进入路由器申更改IP地址、路由等相关内容。可是使用中发现登录路由器需要口令，因为该路由器的设置是由笔者的前任完成的，而其离开公司时末将该密码移交给笔者。加上平时该路由器工作稳定，而重启路由器时又不需要输入密码，因此对该密码也没有在意。如会设置密码的前任同事已经出国，看来找到该路由器的密码已经不太可能。
　　
　　　　诊断过程

　　　　既然无法找到路由器密码，那只好从破解路由器密码着手了。要破解路由器口令，首先应该了解路由器的启动原理，我们知道，[电脑学习资料：www.ban102.com.cn]路由器的存储介质一般由5部分组成，它们是ROM、闪存 (Flash Memory)、不可变RAM(NVRAM)、RAM和动态内存 (DRAM)。当路由器正常启动时，路由器首先运行ROM中的自检程序，对路由器硬件进行自检，并引导系统 (最小操作系统，Mini OS)。

　　　　接下来路由器将运行Flash中的IOS(Internetwork Operating System，网络操作系统)，在NVRAM中寻找路由器配置，并将其装入DRAM中。需要注意的是，当路由器加载最小操作系统后，操作员立即按 "Ctrl"十"Break"键，即可停止装载IOS，而进入监视调试模式。

　　　　在该模式下，用户可以更改翻查看配置文件的启动位置 (默认情况下，路由器配置保存在NVRAM中，该配置同时包含路由器的口令)。通过分析路由器的启动原理，可以得知，我们能够利用进入监视调试模式这一功能，跳过加载包含口令的路由器配置文件，而直接进入路由器的特权模式下重新设置路由器的口令。

　　　　另外，因为原来的路由器的配置文件中还包含许多有用的设置信息，因此在更改密码前，还应该用其起始配置文件替代当前运行的配置文件。在更改后，再将当前运行的配置文件替换为原来的起始配置文件。最后完成设置后，冉将路由器的启动顺序改回正常启动顺序。

　　　　通过上述设置，我们就可以将路由器的密码改为自己设置的密码，从而解决了因为遗忘密码，而不能登录路由器的问题。

　　　　理论分析可行后，就可以进行具体的操作了，下面就列出笔者清除并设置路由器密码的全过程:

　　　　第一步:将设置终端与路由器连接。

　　　　通过路由器自带的Console电缆，将路由器Console口与终端的COM口相连(与PC机的串口相连也可以，不过要在PC机上运行超级终端程序)。

　　　　第二步:进入监视调试模式更改启动顺序。

　　　　连接完成后，重新启动路由器，在终端屏幕上出现第三行提示时，按"Ctrl"十"Break"按钮，进入监视调试模式，并输入如下命令:

　　　　>o

　　　　输入上面命令后，在出现的提示信息第一行，记住最后使用的密码文件号:例如0x2102，并继续输入如下命令(/符号后的内容为说明文字)。

　　　　>o/r /更改启动文件，进入安全启动状态　　　　>0x42 /将0x4?密码文件设置为下次启动项
　　　　>i　　/重新启动路由器

　　　　第三步,清除并设置新的路由器密码.

　　　　路由器重新启动后,终端上将出现"Would you like to enter the initialconfiguration dialog?[yes]:"提示,输入no,并回车进入路由器的安全模式,继续输入如下命令:

　　　　Router(boot)>enable　　/进入特权用户模式
　　　　Router(boot)#copy startup-config running-config
　　　　/用起始配置文件替代当前运行的配置文件
　　　　Router(boot)#config terminal　　/进入全局配置模式
　　　　/设置Console密码/
　　　　Router(boot)(config)#line console 0　　/进入局部设置模式
　　　　Router(boot)(config-line)#login
　　　　Router(boot)(config-line)#password cisco
　　　　/更改Console密码,此例设为cisco(区分大小写)
　　　　Router(boot)(config-line)#exit
　　　　/设置telnet密码/
　　　　Router(boot)(config)#line vty 0 4
　　　　Router(boot)(config-line)#login
　　　　Router(boot)(config-line)password cisco
　　　　/更改telnet密码,此例设为cisco(区分大小写)
　　　　Router(boot)(config-line)#exit
　　　　/设置特权用户密码/
　　　　Router(boot)(config)#enable password cisco1
　　　　/更改特权用户密杩,此例设为cisco1(区分大小写)
　　　　Router(boot)(config)enable secret cisco
　　　　/更改加密的特权用户密码,此例设为cisco(区分大小写)
　　　　Router(boot)(config)#end
　　　　Router(boot)#copy running-config startup-config
　　　　/将当前运行的配置文件替代起始配置文件(保存)
　　　　Router(boot)#config terminal　　/进入全局配置模式
　　　　/恢复正常启动状态/
　　　　Router(boot)(config)#config-register 0x2102
　　　　/将原有的0x2102密码文件替换0x42，作为启动首选项
　　　　重新启动路由器后，在提示输入密码时，输入新设置的密码，即可登录路由器，运行Show Running-config命令，发现路由器原有配置还在。至此丢失路由器密码的问题解决。
　　
　　　　排除心得

　　　　作为一个网络管理员，有时需要面对几十个甚至上百个管理密码，如果想完全记住这些密码基本上是不可能的:有的管理员习惯将这些密码设置成一个口令，其实这是非常错误的，因为一旦一些别有用心的人获得了该密码，就等于能够控制你的整个网络系统，这是极度危险的。其实，栽们可以将这些密码保存到稳妥的地方，使用时先去查找就可以了 (笔者就将自己管理的密码保存在随身携带的笔记本电脑中，并使用PassKeep密码管理软件对其进行管理和安全防护)。

　　　　另外，对于网络管理员来说，掌握几种密码恢复手段也是十分必要的，这是因为即使是再好的管理密码方法也会出现遗漏的时候 (尤其对于多人管理的密码)，在这种 "万一"情况下，就可以使用密码恢复手段大显身手了

五 : 用Cisco IOS路由器实现Web内容过滤

　　如今，过滤网络内容已经不仅仅是企业的可选操作，而是已经成为了法律必须的以及企业为了防止员工犯错所必须采取的行动。在本文中，作者David Davis将向大家解说Cisco IOS 路由器如何通过第三方服务实现Web内容过滤。

　　为了保护企业网络以及终端用户免受恶意或不良网页内容的入侵，我们可以使用基于订阅的思科IOS内容过滤。这是思科首次将第三方公司如 SmartFilter (之前的N2H2公司)和Websense 提供的服务纳入IOS 12.2(15)T。今年，在IOS12.4 (15) XZ和12.4(20)T中，思科IOS又加入了Trend Micro(趋势)公司的URL过滤服务。

　　如果想使用上述功能，应该首先确保我们的路由器IOS支持该特性。通过Cisco IOS Feature Navigator，我们可以验证所使用的软件映像是否支持该特性。

　　当然，除了适当的IOS映像之外，我们必须在这些第三方公司进行服务注册，这样才能获取他们的URL过滤服务。根据趋势科技的向导，我们可以注册路由器以获取Trend Router Provisioning Server( TRPS ) 。更多的信息可以参阅Prerequisites for Cisco Subscription-based IOS Content Filtering。

　　为什么要依靠URL过滤？

　　作为网络管理员，我们肯定不想把大量时间用于关注用户浏览的网络内容上。而互联网过滤服务就是针对这种情况提供的方便功能。以前当我部署网页过滤服务的时候，我总是喜欢对提出抱怨的用户说： “这是Web过滤服务，说你的某某网站是不允许访问的。 ”

　　通过部署URL过滤，我们可以利用第三方公司的服务从终端用户过滤掉恶意或不恰当的互联网流量。除了可以简单的开启或关闭过滤功能外，我们也可以为特定的网站和用户开放这些内容或者站点。

　　终端用户的URL请求与Trend Router Provisioning Server( TRPS )关联 ，根据我们预先设定的策略允许或拒绝用户的访问。当用户键入一个网址，服务会进行策略执行查询。如果策略允许，那么用户可以继续向访问该网站，如果策略禁止，那么用户就被阻止访问这个URL地址。

　　Cisco 过滤选项

　　白名单：(信任域名单) 设定特定的域名，允许通过路由器，比如设定www.techrepublic.com。

　　黑名单：(非受信域名单) 设定特定的域名，无法通过路由器。设置信息会在路由器上进行缓存，以便后期检查。比如www.badsite.com。

　　阻止关键字： 设置用于过滤的 URL字符串或关键字，比如 *www.parrot.* 或者 *rockbaby* 。这样的话，一旦URL中出现“rockbaby,” ，路由器将阻止访问而不需要经过TRPS服务器。

　　缓存最近的请求： 此功能可以保存最近访问请求的处理策略。因此对于之后用户每一次请求就没有必要再让他们通过TRPS进程。

　　分组缓冲：此功能可让你在等待查询过程完成的过程中存储网址信息。这是一个强大的功能，可以防止HTTP请求量过大导致路由器超负荷。默认的响应数是200，不过可以进行修改。此功能同样也适用于第三方过滤器服务器Websense和SmartFilter 。

　　如何配置Cisco IOS URL过滤？

　　要配置 Cisco IOS URL过滤，我们需要深刻了解防火墙规则以及URL过滤原理。当我们在趋势科技的过滤系统进行注册后，在Cisco IOS里对Trend Micro URL 过滤服务的设置可以遵循以下步骤：

　　为本地URL过滤配置 Class Maps

　　为Trend Micro URL过滤配置 Class Maps

　　为Trend Micro URL过滤配置 Parameter Maps

　　配置 URL过滤策略

　　附加URL过滤策略

　　有关配置第三方URL过滤所需的 IOS命令以及配置范例，可以参阅Cisco’s Subscription-based IOS Content Filtering 网页。

　　总结

　　通过使用 Cisco IOS 过滤器过滤URL功能，我们可以轻松的将恶意网站屏蔽在企业网络之外。对于各种类型的企业来说，为了保护企业网络安全，保持员工工作效率，对于Web内容过滤的需求正在日渐增强。

本文标题：cisco路由器-Cisco网络教材：路由器基础介绍（二）
本文地址： http://www.61k.com/1108204.html