“ineine”通过精心收集,向本站投稿了6篇Cisco路由器配置及端口的综合讲解,今天小编在这给大家整理后的Cisco路由器配置及端口的综合讲解,我们一起来看看吧!
- 目录
篇1:Cisco路由器配置及端口的综合讲解
端口是Cisco路由器配置中非常重要的部分,同时我们也要考虑配置文件和进程,才能彻底做好路由器的配置工作,几乎所有路由器都在路由器背后安装了一个控制台端口。控制台端口提供了一个EIA/TIA―232(以前叫作RS―232)异步串行接口、使我们能与路由器通信。至于同控制台口建立哪种形式的物理连接,则取决于路由器的型号。有些路由器采用一个DB25母连接(DB25F),有些则用RJ45连接器。通常,较小的路由器采用RJ45控制台连接器,而较大路由器采用DB25控制台连接器。
辅助端口
大多数Cisco路由器都配备了一个“辅助端口”(Auxiliary Port)。它和控制台湍口类似,提供了一个EIA/TIA―232异步串行连接,使我们能与路由器通信。辅助端口通常用来连接Modem,以实现对路由器的远程管理。远程通信链路通常并不用来传输平时的路由数据包,它的主要的作用是在网络路径或回路失效后访问一个路由器。
Cisco路由器配置文件
1)运行配置,
2)启动配置。
运行Cisco路由器配置
有时也称作“活动配置”,驻留于RAM,包含了目前在路由器中“活动”的I0S配置命令。配置10S时,就相当于更改Cisco路由器配置。两者均以ASCII文本格式显示。所以,我们能够很方便地阅读与操作。一个路由器只能从这两种类型中选择一种。
启动Cisco路由器配置
启动配置驻留在NVRAM中,包含了希望在路由器启动时执行的配置命令。启动完成后,启动配置中的命令就变成了“运行配置”。有时也把启动配置称作“备份配置”。这是由于修改并认可了运行配置后,通常应将运行配置复制到NVRAM里,将作出的改动“备份”下来,以便Cisco路由器配置下次启动时调用。
进程
所谓I0S“进程”、是指一个在路由器上运行的特殊软件任务,用于实现某种功能。例如,IP包的路由选择是由一个进程完成的;而AppleTalk包的路由选择是由另一个进程完成的。
I0S进程的其他例子如路由协议以及内存分配例程等等。当我们将命令放人配置文件对10S进行配置时,实际就相当于对构成10S各进程的行为加以控制。所有这些进程都在路由器上同时运行。至于能在一个路由器上运行的进程数量和种类,则取决于路由器CPU的速度以及安装的RAM容量。可以看出,这类似于PC上运行的程序数取决于CPU的类型以及配备的RAM容量。
篇2:一些关于Cisco路由器端口故障小结
Cisco器端口状态:CSU──channel server unit,DSU──data server,unit,DTE──DataTerminalEquipment
1、Serial * is down,line protocol is down(DTE)故障:
[1] 路由器未加电.
[2] LINE未与CSU/DSU联接.
[3] 硬件错误.
解决方法:
[1] 检查电源.
[2] 确认所用电缆及串口是否正确.
[3] 换到别的串口上.
2、Serial * is up,line protocol is down(DTE)故障:
[1] 本地或远程路由器配置丢失.
[2] 远程路由器未加电.
[3] 线路故障,开关故障.
[4] 串口的发送时钟在CSU/DSU上未设置.
[5] CSU/DSU故障.
[6] 本地或远程路由器硬件故障.
解决方法:
[1] 将MODEM、CSU或DSU设置为“LOOPBACK”状态,用“SHOW INT S*”命令确认LINE PROTOCOL是否UP,如果UP,证明是邮电局故障或远程路由器已经SHUTDOWN,
[2] 如果远程路由器也出现上述故障,重复步骤[1]。
[3] 检查电缆所连接的串口是否正确,用“SHOW CONTROLLERS”确认哪根电缆连接哪个串口。
[4] 键入“DEBUG SERIAL INTERFACE”,如果LINE PROTOCOL还没有COME UP,或键入的命令显示激活的端口数没有增加,证明路由器硬件错误,更换路由器端口;如果LINE PROTOCOL UP,并且激活的端口数增加,证明故障不在本地的路由器上。
[5] 更换路由器端口。
3、Serial * is up,line protocol is down(DCE)故障:
[1] 路由器端口配置中的CLOCKRATE丢失,
[2] DTE设备未启动。
[3] 远程的CSU/DSU有故障。
[4] 电缆连接错误或有故障。
[5] 路由器硬件错误。
解决方法:
[1] 将CLOCKRATE加到路由器端口配置中。
[2] 将DTE设备设置为SCTE模式。
[3] 确认所用电缆是否正确。
[4] 如果LINE PROTOCOL仍然DOWN,请更换路由器端口。
4、Serial * is up,line protocol is up(looped)故障:
LOOP存在线路中,在激活的软件包中的顺序号,当LOOP初始时变成随机的号码,如果相同的随机号码回到环线上,就产生了一个LOOP。
解决方法:
[1] 用“SH RUN”命令寻找LOOPBACK。
[2] 用“NO LOOPBACK”去掉LOOP。
[3] 如果PROTOCOL仍然DOWN,请与邮电局联系。
5、Serial * is up,line protocol is down(disabled)故障:
[1] 邮电局故障。
[2] CSU/DSU硬件故障。
[3] 路由器硬件故障。
解决方法:
[1]寻找CTS或DSR的双态元件信号。
[2]将CSU/DSU做LOOP(DTE LOOP),如果故障继续,可能是硬件故障;如果故障停止,证明是邮电局故障。
[3]更换坏掉的硬件故障。
6、Serial * is administratively down,line protocol is down故障:
[1] PORT可能被SHUTDOWN。
[2] IP地址重复。
解决方法:
[1] 用“NO SHUTDOWN”命令去掉SHUTDOWN。
[2] 将重复的IP地址中的一个更改。
本文出自 “网络技术自习室” 博客
篇3:cisco路由器配置TCP拦截
TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服务的初始报文时,该设备响应这个报文,发回一个设置了SYN和ACK位的报文,并等待源端来的ACK应答,那么,如果发送方并不回复ACK,主机就会因为超时而结束连接。当主机在等待这个连接超时的过程中,连接处于半开(Half-open)状态,半开连接消耗了主机的资源。在等待三次握手过程中耗尽主机资源就形成了SYN攻击,尤其是将成千上万的SYN发往某台主机,则该主机将很快崩溃掉。
在TCP连接请求到达目标主机之前,TCP拦截通过对其进行拦截和验证来阻止这种攻击,也就是说,路由器会代替主机进行连接。这时我就需要在路由器上配置TCP拦截(TCP intercept)来防止这种攻击了。
TCP拦截(TCP intercept)可以在两种模式上工作:拦截和监视。在拦截模式下(intercept mode),路由器拦截所有到达的TCP同步请求,并代表服务器建立与客户机的连接,并代表客户机建立与服务器的连接。如果两个连接都成功地实现,路由器就会将两个连接进行透明的合并。路由器有更为严格的超时限制,以防止其自身的资源被SYN攻击耗尽。在监视模式下(watch mode),路由器被动地观察half-open连接的数目。如果超过了所配置的时间,路由器也会关闭连接。ACL则用来定义要进行TCP拦截的源和目的地址。
基本配置命令:
ip tcp intercept mode{intercept/watch}设置TCP拦截的工作模式,默认是intercept。
ip tcp intercept list ACL编号调用ACL(扩展的)用来定义要进行TCP拦截的源和目的地址。
当一个路由器因为其所定义的门限值被超出而确认服务器正遭受攻击时,路由器就主动删除连接,直到half-open的连接值降到小于门限值。默认关闭的是最早的连接,除非使用了“ip tcp interceptdrop-mode random”命令(随机关闭半开连接)。当所设置的门限值被超时时,路由器进行下面的动作:
1)每一个新的连接导致一个最早的(或随机的)连接被删除。
2)初始的重传超时时间被减少一半,直到0.5秒,
3)如果处于监视模式,则超时时间减半,直到15秒。
有两个因素用来判断路由器是否正在遭受攻击。如果超过了两个高门限值中的一个,则表明路由器正遭受攻击,直到门限值已经降至两个低门限值以下。下面显示了有关的参数及其默认值,并对其加以简单描述。
1)ip tcp intercept max-incomplete high number 1100
在路由器开始删除连接之前,能够存在的half-open连接的最大数目。
2)ip tcp inercept max-incomplete low number 900
在路由器停止删除half-open连接之前,能够存在的最大half-open连接数目。
3)ip tcp intercept one-minute high number 1100
在路由器开始删除连接之前,每分钟内能存在的最大half-open连接数目。
4)ip tcp intercept one-minute low number 900
在路由器停止删除连接之前,每分钟内能存在的最小half-open连接数目。
half-open连接总数与每分钟half-open连接的数量比率是相联系的。任何一个最大值到达,TCP拦截就被激活并且开始删除half-open连接。一旦TCP拦截被激活,这两个值都必须下降到TCP拦截的低设置值,以便停止删除连接。
注意:
拦截模式下,路由器响应到达的SYN请求,并代替服务器发送一个响应初始源IP地址的SYN、ACK报文,然后等待客户机的ACK。如果收到ACK,再将原来的SYN报文发往服务器,路由器代替原来的客户机与服务器一起完成三次握手过程。这种模式会增加路由器的内存和CPU的额外开销,并且增加了一些初始会话的延时。
在监视模式下,路由器允许SYN请求直接到达服务器。
如果这个会话在30秒钟内(默认值)没有建立起来,路由器就给服务器发送一个RST,以清除这个连接。
篇4:Cisco路由器安全配置命令
1、在路由器上配置一个登录帐户
我强烈建议在路由器和交换机上配置一个真实的用户名和口令帐号,这样做,意味着你需要用户和口令来获得访问权。
除此之外,我建议为用户名使用一个秘密口令,而不仅有一个常规口令。它用MD5加密方法来加密口令,并且大大提高了安全性。举例如下:
Router(config)#user name root secret My$Password
在配置了用户名后,你必须启用使用该用户名的端口。举例如下:
Router(config)# line con 0
Router(config-line)#login local
Router(config)#line aux 0
Router(config-line)#login local
Router(config)#line vty 0 4
Router(config-line)#login local
2、在路由器上设置一个主机名
我猜测路由器上缺省的主机名是router。你可以保留这个缺省值,路由器同样可以正常运行。然而,对路由器重新命名并唯一地标识它才有意义。举例如下:
Router(config)#hostname Router-Branch-23
除此之外,你可以在路由器上配置一个域名,这样它就知道所处哪个DNS域中。举例如下:
Router-Branch-23(config)#ip domain name TechRepublic.com
3、为进入特权模式设置口令
当谈到设置进入特权模式的口令时,许多人想到使用enablepassword命令。然而,代替使用这个命令,我强烈推荐使用enablesecret命令。
这个命令用MD5加密方法加密口令,所以提示符不以明文显示。举例如下:
Router(config)#enable secret My$Password
4、加密路由器口令
Cisco路由器缺省情况下在配置中不加密口令。然而,你可以很容易地改变这一点。举例如下:
Router(config)#service password-encryption
5、禁用Web服务
Cisco路由器还在缺省情况下启用了Web服务,它是一个安全风险。如果你不打算使用它,最好将它关闭。举例如下:
Router(config)#no ip http server
6、配置DNS,或禁用DNS查找
让我们讨论Cisco路由器中我个人认为的一个小毛病:缺省情况下,如果在特权模式下误输入了一个命令,路由器认为你试图Telnet到一个远程主机。然而它对你输入的内容却执行DNS查找。
如果你没有在路由器上配置DNS,命令提示符将挂起直到DNS查找失败。由于这个原因,我建议使用下面两个方法中的一个。
一个选择是禁用DNS。做法是:
Router(config)#no ip domain-lookup
或者,你可以正确地配置DNS指向一台真实的DNS服务器,
Router(config)#ip name-server
7、配置命令别名
许多网络管理员都知道在路由器上配置命令的缩写(也就是别名)。举例如下:
Router(config)#alias exec s sh run
这就是说你现在可以输入s,而不必输入完整的showrunning-configuration命令。
8、设置路由器时钟,或配置NTP服务器
多数Cisco设备没有内部时钟。当它们启动时,它们不知道时间是多少。即使你设置时间,如果你将路由器关闭或重启,它不会保留该信息。
首先设置你的时区和夏令时。例子如下:
Router(config)#clock timezone CST-6
Router(config)#clock summer-time CDT recurring
然后,为了确保路由器的事件消息显示正确的时间,设置路由器的时钟,或者配置一个NTP服务器。设置时钟的例子如下:
Router# clock set 10:54:00 Oct 5
如果你已经在网络中有了一个NTP服务器(或可以访问Internet的路由器),你可以命令路由器将之作为时间源。这是你最好的选择,当路由器启动时,它将通过NTP服务器设置时钟。举例如下:
Router(config)# ntp server 132.163.4.101
9、不让日志消息打扰你的配置过程
CiscoIOS中另一个我认为的小毛病就是在我配置路由器时,控制台界面就不断弹出日志消息(可能是控制台端口,AUX端口或VTY端口)。要预防这一点,你可以这样做。
所以在每一条端口线路上,我使用日志同步命令。举例如下:
Router(config)#line con 0
Router(config-line)#logging synchronous
Router(config)#line aux 0
Router(config-line)#logging synchronous
Router(config)#line vty 0 4
Router(config-line)#logging synchronous
除此之外,你可以在端口上修改这些端口的执行超时时间。例如,我们假设你想禁用VTY线路上默认的十分钟超时时间。在线路配置模式下使用exec-timeout00命令,使路由器永不退出。
10、在路由器缓冲区或系统日志服务器中记录系统消息
捕获路由器的错误和事件以及监视控制台是解决问题的关键。默认情况下,路由器不会将缓冲的事件记录发送到路由器内存中。
然而,你可以配置路由器将缓冲的事件记录发送到内存。举例如下:
Router(config)#logging buffered 16384
你还可以将路由器事件发送到一个系统日志服务器。由于该服务器处在路由器外部,就有一个附加的优点:即使路由器断电也会保留事件记录。
篇5:Cisco路由器DHCP配置浅析(一)
在DHCP的设置中,我们通常会与路由器一起相结合使用,那么这里我们就来介绍一下Cisco路由器与DHCP的调试和设置。某单位使用Cisco 3620作为IOS DHCP Server,它和内网相连的fastethernet0端口的IP地址为192.168.1.4,二层交换机采用两台Cisco 2950,三层交换机采用一台Cisco 3550。
在整个网络中有二个VLAN,为简化描述,假设每个VLAN都采用24位网络地址,其中VLAN1的IP地址为192.168.1.254,VLAN2的IP地址为192.168.2.254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址,如下图所示。
配置DHCP地址池、附加信息以及租约期限
DHCP服务器的数据库被组织成一个树形结构,树根是用于动态分配的所有网络段的地址池,树枝是子网地址池,树叶是手工绑定给节点的地址。具体操作步骤如下:
首先登陆到Cisco 3640路由器上:
ghq>enable Password(输入路由器的特权口令) ghq#configterminal(进入配置模式) Enterconfigurationcommandsoneperline. EndwithCNTL/Z. ghq??config#ipdhcppoolglobal(配置一个根地址池,global是地址池的名称,你可以采用有意义的字符串来表示) ghqdhcp-config#network192.168.0.0255.255.0.0(动态分配的地址段) ghq??dhcp-config#domain-nameghq.com(为客户机配置域后缀) ghq??dhcp-config#dns-server192.168.1.1(为客户机配置DNS服务器) ghq??dhcp-config#netbios-name-server192.168.1.1(为客户机配置wins服务器) ghq??dhcp-config#netbios-node-typeh-node(为客户机配置h节点模式) ghq??dhcp-config#lease30(地址租用期为30天) ghq??dhcp-config#ipdhcppoolvlan1(为VLAN1配置地址池,本池是global池的子池,将从global继承域后缀、DNS服务器、wins服务器等参数) ghq??dhcp-config#network192.168.1.0255.255.255.0(VLAN1动态分配192.168.1这个网段内可以被分配的地址,没有被排除的地址) ghq??dhcp-config#default-router192.168.1.254(为客户机配置默认的网关,即VLAN1的IP地址) ghq??dhcp-config #ipdhcppoolvlan2(为VLAN2配置地址池,本池是global池的子池,将从global继承域后缀、DNS服务器、wins服务器等可继承的参数) ghq??dhcp-config#network192.168.2.0255.255.255.0 ghq??dhcp-config #default-router192.168.2.254
设置不能用于动态分配的IP地址
在整个网络中,有些IP地址需要静态的指定给一些特定的设备,例如路由器的端口、DNS服务器、wins服务器以及VLAN的地址等。显然,这些静态IP地址是不能用于动态分配的,这就需要将它们排除掉。其步骤如下:
ghq??config #ipdhcpexcluded-address192.168.1.1192.168.1.5 (IP地址192.168.1.1至192.168.1.5不能用于动态分配) ghq??config #ipdhcpexcluded-address192.168.1.254 (IP地址192.168.1.254固定为VLAN1的地址,不能用于动态分配) ghq??config #ipdhcpexcluded-address192.168.2.254 (IP地址192.168.2.254固定为VLAN2的地址,不能用于动态分配)
设置DHCP数据库代理
DHCP数据库代理是用于存储DHCP绑定信息的一台主机,它可以是FTP、TFTP或者是RCP服务器,
当然,如有必要,你可以配置多个DHCP数据库代理。同样,不配置DHCP数据库代理也是允许的,但这是以不能在DHCP数据库代理上存储地址冲突日志为代价的。如果我们不想配置数据库代理,只要取消掉地址冲突日志的记录功能即可,操作命令如下:
ghq??config #noipdhcpconflictlogging(取消地址冲突记录日志)
配置路由器的静态路由表
要使客户机能从用作DHCP Server的路由器中自动获得IP地址,首要条件就是各个VLAN中的客户机都能和路由器通信,因此首先就需要在路由器中设置一个路由以使路由器能和各个客户机通信。我们可以按如下设置 :
ghq??config #iproute192.168.1.0255.255.255.0FastEthernet0 (FastEthernet0为路由器和内网相连的以太网接口,该命令的作用是在以太网接口和VLAN1192.168.1.254间建立一条静态路由。)
ghq??config #iproute192.168.2.0255.255.255.0FastEthernet0 (该命令在以太网接口和VLAN2192.168.2.254间建立一条静态路由)
设置好之后,在配置模式中键入EXIT命令回到特权模式下,Ping一下VLAN1和VLAN2的IP地址??192.168.1.254和192.168.2.254 ,如果能够Ping通则表明配置正确,可以直接进入下一步的保存过程。编辑推荐TCP/IP协议专题
TCP/IP(传输入控制地议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与..
直击非法DHCP手把手教您解析路由器网络故障什么是DHCP?什么是DHCP服务器?DHCP服务器的安装和配置无线路由器外网访问故障剖析
在交换机上为不同的VLAN指定DHCP服务器地址
这一步骤只须在不同的VLAN中通过设置IP HELPER-ADDRESS即可搞定,指令如下:
switch>enable (进入交换机的特权模式) Password?? switch#configt(进入配置模式) Enterconfigurationcommands??oneperline. EndwithCNTL/Z. switch??config #interfacevlan1(配置VLAN1) switch??config-if #iphelper-address192.168.1.4(指定DHCP服务器的地址,即路由器的地址) ghq??config-if #interfacevlan2(配置VLAN2) ghq??config-if #iphelper-address192.168.1.4
篇6:Cisco路由器安全配置方案
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
★ 端口数量
★ 讲解范文
★ 导游讲解稿范文
★ 讲解导游词
Cisco路由器配置及端口的综合讲解(锦集6篇)
