CCNA 专题 6-访问控制列表、IOS 升级和口令设置及恢复本专题内容:通过学习本专题掌握路由器标准访问控制列表和扩展访问控制列表的配置、路由器操作系统的升级、路由器口令的配置和恢复一、访问控制列表1、访问控制列表的概念访问控制列表(Access Control List,ACL) 是路由器接口的指令列表,用来控制端口进出的数据包访问列表(access-list)就是一系列允许和拒绝条件的集合,通过访问列表可以过滤发进和发出的信息包的请求,实现对路由器和网络的安全控制路由器一个一个地检测包与访问列表的条件,在满足第一个匹配条件后,就可以决定路由器接收或拒收该包2、ACL 的作用1)ACL 可以限制网络流量、提高网络性能2)ACL 提供对通信流量的控制手段 3)ACL 是提供网络安全访问的基本手段4)ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞3、ACL 的分类ACL 包括两种类型: 1)标准访问列表:只检查包的源地址2)扩展访问列表:既检查包的源地址,也检查包的目的地址,也可以检查特殊的协议类型、端口以及其他参数,具有更大的自由度3)名称访问列表4、ACL 的执行过程 一个端口执行哪条 ACL,这需要按照列表中的条件语句执行顺序来判断。
如果一个数据包的报头跟表中某个条件判断语句相匹配,那么后面的语句就将被忽略,不再进行检查数据包只有在跟第一个判断条件不匹配时,它才被交给 ACL 中的下一个条件判断语句进行比较如果匹配(假设为允许发送) ,则不管是第一条还是最后一条语句,数据都会立即发送到目的接口如果所有的 ACL 判断语句都检测完毕,仍没有匹配的语句出口,则该数据包将视为被拒绝而被丢弃 5、ACL 的取值范围在路由器配置中,标准 ACL 和扩展 ACL 的区别是由 ACL 的表号来体现的,下表指出了每种协议所允许的合法表号的取值范围 6、正确放置 ACL ACL 通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量然而,网络能否有效地减少不必要的通信流量,这还要取决于网络管理员把 ACL 放置在哪个地方 1)标准 ACL 要尽量靠近目的端 2)扩展 ACL 要尽量靠近源端 7、ACL 的配置 ACL 的配置分为两个步骤: 1)第一步:在全局配置模式下,使用下列命令创建 ACL: Router (config)# access-list access-list-number {permit | deny } {test-conditions} Router (config)# access-list access-list-number permit any其中,access-list-number 为 ACL 的表号。
人们使用较频繁的表号是标准的 IP ACL(1—99)和扩展的 IP ACL(100-199) 在路由器中,如果使用 ACL 的表号进行配置,则列表不能插入或删除行如果列表要插入或删除一行,必须先去掉所有 ACL,然后重新配置 2)第二步:在接口配置模式下,使用 access-group 命令 ACL 应用到某一接口上: Router (config-if)# {protocol} access-group access-list-number {in | out } 其中,in 和 out 参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out ACL 在一个接口可以进行双向控制,即配置两条命令,一条为 in,一条为 out,两条命令执行的 ACL 表号可以相同,也可以不同但是,在一个接口的一个方向上,只能有一个 ACL 控制 值得注意的是,在进行 ACL 配置时,网管员一定要先在全局状态配置 ACL 表,再在具体接口上进行配置,否则会造成网络的安全隐患7、实例说明---- 例如:仅允许内部 IP 地址为 11.66.129.1 和 11.66.129.2 的主机访问外部,禁止外部访问内部网主机的 telnet 和 ftp 端口。
router(config)#ip access-list 1 permit11.66.129.1 0.0.0.0router(config)#ip access-list 1 permit11.66.129.2 0.0.0.0router(config)#ip access-list 101 denytcp any any eq 23router(config)#ip access-list 101 denytcp any any eq 21router(config)#ip access-list 101 denytcp any any eq 20 (其中 20、21 为 FTP 的端口,23 为 TELNET 端口)router(config)#ip access-list 101 permit ip any anyrouter(config)#int e0router(config-if)#ip access-group 1 outrouter(config-if)#ip access-group 101 in router(config-if)#exit二、IOS 升级1、Cisco 路由器的存储器路由器与计算机有相似点是,它也有内存、操作系统、配置和用户界面,Cisco 路由器中,操作系统叫做互连网操作系统(Internetwork Operating System)或 IOS。
下面主要介绍路由器的存储器ROM:只读存储器包含路由器正在使用的 IOS 的一份副本;RAM:IOS 将随机访问存储器分成共享和主存主要用来存储运行中的路由器配置和与路由协议有关的 IOS 数据结构;闪存(FLASH):用来存储 IOS 软件映像文件,闪存是可以擦除内存,它能够用 IOS 的新版本覆写,IOS 升级主要是闪存中的 IOS 映像文件进行更换NVRAM:非易失性随机访问存储器,用来存储系统的配置文件2、路由器 IOS 升级过程1)安装 TFTP 服务器软件此类软件有 TFTPServer 等(http://cisco- 网站上有该软件)2)路由器 IOS 升级及配置文件的保存Cisco 把它的系统软件存放在 Flash memory 里,每次启动路由器时,从 Flash memory里调出系统并执行它开机后进入初始化配置或用"configer","setup"作配置后,所作的配置要保存起来以便下一次启动直接运行,这就是配置文件了配置文件存在非易失的NVRAM 中配置文件分成 start-up configer 和 running configer 两种Start-up configer 是开机时启动 NVRAM 配置。
A、备份系统映象和配置文件把系统文件和配置文件保存在网中的服务器上是一个很好的做法,帮助你在系统或配置文件丢失时,尽快恢复系统正常运行拷贝系统映象到网络服务器,首先显示 IOS 文件的文件名: show flash ,拷贝系统文件到 TFTP Server:copy flash tftp拷贝配置文件到网络服务器,把配置文件保存在 TFTP Server 中 copy running-config tftp 或 copy startup-config tftp B、升级系统映象和配置文件当系统出现故障,系统升级,配置文件拷贝,我们需要把服务器里软件拷贝到路由器里把系统映象从网络服务器拷贝到 Flash Memory网络上要有台计算机作 TFTP Server,用 TFTP 把系统文件拷贝到路由器的 Flash memeory 中拷贝系统文件到 Flash memory:copy tftp flashcopy tftp file-id (Cisco 7000,7200 和 7500 系列) 把配置文件从网络服务器拷贝到路由器 NVRAMcopy tftp running-config copy tftp startup-config 。
升级过程还需注意以下几点:1)配置路由器的计算机最好能使用串口接到路由器的 CONSOL 口上,TFTP 服务器软件安装在该计算机上,以利于将 IOS 文件可靠的传送TFTP 服务器的 IP 的地址要和路由器的以太网口在一个网段上 2)在升级 IOS 时要注意,升级新版本 IOS 文件如果大于 FLASH 内存容量时,应增加 FLASH容量 3)在做升级时一定要慎重,以免丢失操作系统文件,不能启动系统 三、口令设置和密码恢复 1、路由器口令类别● 有效加密口令(enabled secret password):安全级别最高的加密口令,在路由器的配置表中以密码的形式出现;● 有效口令(enabled password):安全级别高的非加密口令,当没有设置有效加密口令时,使用该口令;● 终端口令(console password):用于防止非法或未授权用户修改路由器配置的口令,在用户通过主控终端对路由器进行设置时,使用该口令● 远程配置口令(telnet password):用于防止非法或未授权用户通过网络远程修改路由器配置的口令,在用户通过 telnet 方式对路由器进行设置时,使用该口令。
2、路由器口令的设置1)有效加密口令和有效口令用于用户进入路由器的特权配置模式router(config) #enable secret zhengrouter(config) #enable password zheng2)控制台口令防止非授权用户从控制口对路由器进行配置router#line console 0 对控制端口设置口令router(config-line)#login router(config-line)#password cisco3)远程配置口令防止非授权用户从网络上用 TELNET 方式对路由器进行配置router#line vty 0 4router(config-line)#login router(config-line)#password cisco如果在显示配置信息时,口令以明文方式存放,无关人员在一旁就能观察到密码,这样很不安全,通过对口令字的加密可使所设置的口令以密文形式存放这样在显示配置文件时旁人无法辨认,可进一步保护系统安全命令格式为 EXEC 状态下输入 service password-encryption这样利用 write terminal 和 show configuration 命令时将无法获得用户的口令字。
需要注意的是,口令对字母的大小写敏感3、口令恢复原理Cisco 路由器可以保存几种不同的配置参数,并存放在不同的内存模块中以 Cisco 2500 系列为例,其内存包括:ROM、闪存(Flash Memory ) 、不可变 RAM(NVRAM) 、RAM 和动态内存(DRAM )五种一般地,路由器启动时,首先运行 ROM 中的程序,进行系统自检及引导,然后运行闪存中的 IOS,并在 NVRAM 中寻找路由器配置,并装入DRAM 中口令恢复的关键在于对配置登记码(Configuration Register Value)进行修改,从而让路由器从不同的内存中调用不同的参数表进行启动有效口令存放在 NVRAM 中,因此修改口令的实质是将登记码进行修改,从而让路由器跳过 NVRAM 中的配置表,直接进入ROM 模式,然后对有效口令和终端口令进行修改或者重新设置有效加密口令( 因为有效加密口令为加密乱码,无法进行恢复,只可以删掉或改写),完成后再将登记码恢复4、口令恢复步骤1)将路由器 Console 端口连接到 PC 机的串口(如 COM1 或 COM2)上2)启动超级终端,把配置设为 9600 波特率、8 个数据位、无奇偶校验、1 个停止。