CCNA专题6－访问控制列表、IOS升级和口令设置及恢复

[align=left]一、访问控制列表[/b][/align]
[align=left]1[/b]、[/b]访问控制列表的概念[/b][/b][/align]
访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进出的数据包。访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。路由器一个一个地检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定路由器接收或拒收该包。
[align=left]2[/b]、ACL的作用[/b][/align]
1）ACL可以限制网络流量、提高网络性能。
2）ACL提供对通信流量的控制手段。
3）ACL是提供网络安全访问的基本手段。
4）ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
[align=left]3[/b]、ACL的分类[/b][/align]
[align=left]ACL包括两种类型: [/align]
[align=left]1)标准访问列表：[/b]只检查包的源地址。[/align]
[align=left]2)扩展访问列表：[/b]既检查包的源地址，也检查包的目的地址，也可以检查特殊的协议类型、端口以及其他参数，具有更大的自由度。[/align]
[align=left]4[/b]、ACL的执行过程 [/b][/align]
一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。
[align=left]5[/b]、ACL的取值范围[/b][/align]
在路由器配置中，标准ACL和扩展ACL的区别是由ACL的表号来体现的，下表指出了每种协议所允许的合法表号的取值范围。
[align=center][/align]
[align=left]6[/b]、正确放置ACL [/b][/align]
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网络能否有效地减少不必要的通信流量，这还要取决于网络管理员把ACL放置在哪个地方。
1）标准ACL要尽量靠近目的端。
2）扩展ACL要尽量靠近源端。

[align=left]7[/b]、ACL的配置 [/b][/align]
ACL的配置分为两个步骤：
1）第一步:在全局配置模式下，使用下列命令创建ACL：
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中，access-list-number为ACL的表号。人们使用较频繁的表号是标准的IP ACL（1—99）和扩展的IP ACL（100－199）。
在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL，然后重新配置。
2）第二步：在接口配置模式下，使用access-group命令ACL应用到某一接口上：
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。
ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。
值得注意的是，在进行ACL配置时，网管员一定要先在全局状态配置ACL表，再在具体接口上进行配置，否则会造成网络的安全隐患。
[align=left]7[/b]、实例说明[/b][/align]
[align=left]---- 例如：仅允许内部IP地址为11.66.129.1和 11.66.129.2的主机访问外部,禁止外部访问内部网主机的telnet和ftp端口。 [/align]
[align=left] router(config)#ip access-list 1 permit[/align]
[align=left] 11.66.129.1 0.0.0.0[/align]
[align=left] router(config)#ip access-list 1 permit[/align]
[align=left] 11.66.129.2 0.0.0.0[/align]
[align=left] router(config)#ip access-list 101 deny[/align]
[align=left] tcp any any eq 23[/align]
[align=left] router(config)#ip access-list 101 deny[/align]
[align=left] tcp any any eq 21[/align]
[align=left] router(config)#ip access-list 101 deny[/align]
[align=left] tcp any any eq 20 [/align]
[align=left] （其中20、21为FTP的端口，23为TELNET端口）[/align]
[align=left] router(config)#ip access-list 101 permit ip any any[/align]
[align=left] router(config)#int e0[/align]
[align=left] router(config-if)#ip access-group 1 out[/align]
[align=left] router(config-if)#ip access-group 101 in [/align]
[align=left] router(config-if)#exit[/align]
[align=left][/align]
[align=left]二、IOS升级[/align]
[align=left]1、Cisco路由器的存储器[/b][/align]
路由器与计算机有相似点是，它也有内存、操作系统、配置和用户界面，Cisco路由器中，操作系统叫做互连网操作系统（Internetwork Operating System）或IOS。下面主要介绍路由器的存储器。
ROM：只读存储器包含路由器正在使用的IOS的一份副本；
RAM：IOS将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的IOS数据结构；
闪存(FLASH)：用来存储IOS软件映像文件，闪存是可以擦除内存，它能够用IOS的新版本覆写，IOS升级主要是闪存中的IOS映像文件进行更换。
NVRAM：非易失性随机访问存储器，用来存储系统的配置文件。
[align=left]2、路由器IOS升级过程[/b][/align]
[align=left]1）安装TFTP服务器软件。[/align]
[align=left]此类软件有TFTPServer等（http://cisco-net.myrice.com网站上有该软件）。[/align]
[align=left]2）路由器IOS升级及配置文件的保存[/align]
[align=left]Cisco把它的系统软件存放在Flash memory里，每次启动路由器时，从Flash memory里调出系统并执行它。开机后进入初始化配置或用"configer"，"setup"作配置后,所作的配置要保存起来以便下一次启动直接运行，这就是配置文件了。配置文件存在非易失的NVRAM中。配置文件分成start-up configer和running configer两种。Start-up configer是开机时启动NVRAM配置。[/align]
[align=left]A、备份系统映象和配置文件[/align]
[align=left]把系统文件和配置文件保存在网中的服务器上是一个很好的做法，帮助你在系统或配置文件丢失时,尽快恢复系统正常运行。[/align]
[align=left]拷贝系统映象到网络服务器，首先显示IOS文件的文件名： show flash ，拷贝系统文件到TFTP Server：copy flash tftp。[/align]
[align=left]拷贝配置文件到网络服务器，把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp 。[/align]
[align=left]B、升级系统映象和配置文件[/align]
[align=left]当系统出现故障，系统升级，配置文件拷贝，我们需要把服务器里软件拷贝到路由器里。把系统映象从网络服务器拷贝到Flash Memory。网络上要有台计算机作TFTP Server，用TFTP把系统文件拷贝到路由器的Flash memeory中。[/align]


拷贝系统文件到Flash memory：
[align=left]copy tftp flash[/align]
[align=left]copy tftp file-id (Cisco 7000,7200和7500系列) [/align]


把配置文件从网络服务器拷贝到路由器NVRAM。
[align=left]copy tftp running-config [/align]
[align=left]copy tftp startup-config 。[/align]
[align=left] [/align]
[align=left]升级过程还需注意以下几点：[/align]
[align=left]1）配置路由器的计算机最好能使用串口接到路由器的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。 [/align]
[align=left]2）在升级IOS时要注意，升级新版本IOS文件如果大于FLASH内存容量时，应增加FLASH容量。 [/align]
[align=left]3）在做升级时一定要慎重，以免丢失操作系统文件，不能启动系统。 [/align]
[align=left] [/align]
[align=left]三、口令设置和密码恢复 [/b][/align]
[align=left]1[/b]、路由器口令类别[/b][/align]
[align=left]● 有效加密口令（enabled secret password）：安全级别最高的加密口令，在路由器的配置表中以密码的形式出现；[/align]
[align=left]● 有效口令（enabled password）：安全级别高的非加密口令，当没有设置有效加密口令时，使用该口令;[/align]
[align=left]● 终端口令（console password）：用于防止非法或未授权用户修改路由器配置的口令，在用户通过主控终端对路由器进行设置时，使用该口令。[/align]
[align=left]● 远程配置口令（telnet password）：用于防止非法或未授权用户通过网络远程修改路由器配置的口令，在用户通过telnet方式对路由器进行设置时，使用该口令。[/align]
[align=left]2[/b]、路由器口令的设置[/b][/align]
[align=left]1）有效加密口令和有效口令用于用户进入路由器的特权配置模式。[/align]
[align=left] router(config) #enable secret zheng[/align]
[align=left] router(config) #enable password zheng[/align]
[align=left]2）控制台口令防止非授权用户从控制口对路由器进行配置。[/align]
[align=left] router#line console 0对控制端口设置口令[/align]
[align=left] router(config-line)#login [/align]
[align=left] router(config-line)#password cisco[/align]
[align=left]3）远程配置口令防止非授权用户从网络上用TELNET方式对路由器进行配置。[/align]
[align=left] router#line vty 0 4[/align]
[align=left] router(config-line)#login [/align]
[align=left] router(config-line)#password cisco[/align]
[align=left]如果在显示配置信息时，口令以明文方式存放，无关人员在一旁就能观察到密码，这样很不安全，通过对口令字的加密可使所设置的口令以密文形式存放。这样在显示配置文件时旁人无法辨认，可进一步保护系统安全。命令格式为EXEC状态下输入service password-encryption。这样利用write terminal 和show configuration命令时将无法获得用户的口令字。需要注意的是，口令对字母的大小写敏感。[/align]
3、口令恢复原理
[align=left]Cisco 路由器可以保存几种不同的配置参数，并存放在不同的内存模块中。以Cisco 2500系列为例，其内存包括：ROM、闪存（Flash Memory）、不可变RAM（NVRAM）、RAM和动态内存（DRAM）五种。一般地，路由器启动时，首先运行ROM中的程序，进行系统自检及引导，然后运行闪存中的IOS，并在NVRAM中寻找路由器配置，并装入DRAM中。[/align]
[align=left]口令恢复的关键在于对配置登记码（Configuration Register Value）进行修改，从而让路由器从不同的内存中调用不同的参数表进行启动。有效口令存放在NVRAM 中，因此修改口令的实质是将登记码进行修改，从而让路由器跳过NVRAM 中的配置表，直接进入ROM 模式，然后对有效口令和终端口令进行修改或者重新设置有效加密口令( 因为有效加密口令为加密乱码，无法进行恢复，只可以删掉或改写)，完成后再将登记码恢复。[/align]
[align=left]4、口令恢复步骤[/align]
[align=left]1）将路由器Console端口连接到PC机的串口（如COM1或COM2）上。[/align]
[align=left]2）启动超级终端，把配置设为9600波特率、8 个数据位、无奇偶校验、1 个停止位。[/align]
[align=left]3）在“>”提示符下，用Show Version 命令查看登记码（一般为0x2102或0x102），记住此登记码，在第9步要将此登记码还原。[/align]
[align=left]4）查看登记码，如果中断屏蔽（即登记码的第4位为1），则重启路由器，并在开机后30秒钟内按Ctrl+Break键；如果中断未屏蔽，则发送中断(Cisco公司提供的技术手册注明要在开机后60秒内按Break键)。[/align]
[align=left]5）根据路由器系列不同，分别进行如下配置：[/align]
[align=left]● 如路由器是2000、2500、3000、680x0 based 4000、7000系列，IOS版本为10.0以下或出现“>”提示符:[/align]
[align=left]> o/r 0x42[/align]
[align=left]> i[/align]
[align=left]● 如路由器是1003、1004、3600、4500、4700、72xx、75xx系列或出现 “ROMMON>” 提示符:[/align]
[align=left]ROMMON> confreg 0x42[/align]
[align=left]ROMMON> reset[/align]
[align=left]6）当提示是否进入配置对话框时（Would you like to enter the initial configuration dialog? [yes]:），回答“NO”。在出现“Press RETURN to get started!”提示时，按回车键，进入ROM 模式“ Router > ”。[/align]
[align=left]7）键入enable命令进入EXEC状态, 键入Router#show config查看原路由器配置和未加密口令，建议此时立刻做一个文本备份文件，以免误操作将原路由器配置丢失; 再键入Router#configuration memory,将NVRAM模式中的参数表装入内存。[/align]
[align=left]8）键入Router#configure terminal 命令进行配置，从配置表中找出（或改写）忘记的有效口令；更改完毕后一定要写入NVRAM中。[/align]
[align=left]9）将第3步查到的登记码还原，一般为0x2102（即从闪存正常启动，并屏蔽中断），并激活所有端口（系统会将所有端口自动关闭）：[/align]
[align=left]Router#config-register 0x2102[/align]
[align=left]Router(config)#interface xx[/align]
[align=left]Router(config-if)#no shutdown[/align]
[align=left]Router#Ctrl-Z[/align]
[align=left]10）重新启动路由器：Router# reload[/align]
[align=left]经过以上步骤，即可以在不丢失原有路由器配置的情况下，找到或更改口令。[/align]
[align=left] [/align]
[align=left] [/align]
本文出自 51CTO.COM技术博客