路由器配置100例.doc

路由器配置實例-100例Cisco路由器VOIP 配置解析在企業(yè)網(wǎng)絡(luò)中推廣IP語音技術(shù)有很多優(yōu)點，例如可以控制數(shù)據(jù)流量，保證語音質(zhì)量，充分利用企業(yè)租用的數(shù)據(jù)線路資源，節(jié)省傳統(tǒng)的長途話費等等。企業(yè)使用IP語音技術(shù)，可以將語音、數(shù)據(jù)和多媒體通信融合在一個集成的網(wǎng)絡(luò)中，并在一個企業(yè)解決方案中，把專網(wǎng)和公網(wǎng)連接起來。在2600和3600系列路由平臺上，Cisco提供了新型的H.323關(guān)守功能，該關(guān)守功能除提供策略管理功能外，還提供地址分辨、帶寬管理、網(wǎng)關(guān)支持、用戶鑒別以及賬戶記錄。H.323關(guān)守在局域網(wǎng)和廣域網(wǎng)上均可實現(xiàn)對基于H.323的語音、視頻及數(shù)據(jù)會議話務(wù)流量的策略管理功能.本文介紹的是一次利用Cisco 2600路由器，通過 E&M 干線連接PBX 用戶，實現(xiàn)了 Voice over IP功能的過程。某公司計劃連接兩個辦公室：一個位于加利弗尼亞的San Jose，另一個位于鹽湖城。該公司在其兩個遠程辦公室之間已經(jīng)建立了可工作的IP 連接。每個辦公室有一個PBX內(nèi)部電話網(wǎng)絡(luò)，通過一個E&M接口連接到語音網(wǎng)絡(luò)。 鹽湖城和San Jose 辦公室都使用E&M 端口類型。每個 E&M 接口連接到路由器的兩個語音接口連接端。在San Jose 的用戶撥“8-111” 這一擴展號可接通鹽湖城目標(biāo)。在鹽湖城的用戶撥“4-111”擴展號可接通San Jose目標(biāo)。圖1是本連接示例的拓撲(附件中1）首先應(yīng)配置好PBX ，使所有的DTMF 信號能通到路由器。若修改增益或電話端口，應(yīng)確認電話端口仍然能接受DTMF 信號。然后對圖中路由器 SJ 配置，第一步配置 pots 撥號對等 1：hostname sanjosedial-peer voice 1 potsdestination-pattern +111.ort 1/0/0配置 pots 撥號對等 2：dial-peer voice 2 potsdestination-pattern +111.ort 1/0/1配置 voip 撥號對等 3：dial-peer voice 3 voipdestination-pattern +111.ession target ipv4:82配置E&M 端口：voice-port 1/0/0ignal immediateoperation 4-wiretype 2voice-port 1/0/1ignal immediateoperation 4-wiretype 2配置串行端口:interface serial 0/0description serial interface type dce (provides clock)clock rate 2000000ip address 23o shutdown接下來配置路由器 SLC，步驟與配置SJ類似。經(jīng)過這樣配置，即可實現(xiàn)Cisco 2600路由器上，通過 E&M 干線連接PBX 用戶的 VoIP應(yīng)用。相關(guān)術(shù)語DTMF(Dual tone multifrequency)：雙音多頻同時使用兩種音頻(例如按鈕音)進行撥號。E& M：代表recEive and transMit (或Ear and Mouth). E&M一般是一個用于交換到交換或交換到網(wǎng)絡(luò)連接的雙向主干設(shè)備。Cisco的 E&M 端口是一個RJ-48 連接器，該連接器可連接到PBX 主干線路(專線)。PBX：Private branch exchange 專用中心交換機。POTS 撥號對等：通過一個傳統(tǒng)的電話局網(wǎng)絡(luò)連接的點對點撥號 ( Dial peer)。POTS 對等指向在語音網(wǎng)絡(luò)設(shè)備上的特定語音端口。 本帖最后由 寧靜的清風(fēng) 于 2007-8-5 10:09 編輯 1.jpg(10.56 KB, 下載次數(shù): 1462)2007-8-5 10:09:30 上傳下載次數(shù): 1462Cisco路由器的安全配置目前大多數(shù)的企事業(yè)單位和部門連Internet網(wǎng)，通常都是一臺路由器與ISP連結(jié)實現(xiàn)。這臺路由器就是溝通外部Internet和內(nèi)部網(wǎng)絡(luò)的橋梁，如果這臺路由器能夠合理進行安全設(shè)置，那么就可以對內(nèi)部的網(wǎng)絡(luò)提供一定安全性或?qū)σ延械陌踩嗔艘粚悠琳稀，F(xiàn)在大多數(shù)的路由器都是Cisco公司的產(chǎn)品或與其功能近似，本文在這里就針對Cisco路由器的安全配置進行管理。考慮到路由器的作用和位置，路由器配置的好壞不僅影響本身的安全也影響整個網(wǎng)絡(luò)的安全。目前路由器（以Cisco為例）本身也都帶有一定的安全功能，如訪問列表、加密等，但是在缺省配置時，這些功能大多數(shù)都是關(guān)閉的。需要進行手工配置。怎樣的配置才能最大的滿足安全的需要，且不降低網(wǎng)絡(luò)的性能？本文從以下幾個部分分別加以說明： 一. 口令管理口令是路由器是用來防止對于路由器的非授權(quán)訪問的主要手段，是路由器本身安全的一部分。最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認證服務(wù)器上。但是幾乎每一個路由器都要有一個本地配置口令進行權(quán)限訪問。如何維護這部分的安全？1 使用enable secretenable secret 命令用于設(shè)定具有管理員權(quán)限的口令。并且如果沒有enable secret，則當(dāng)一個口令是為控制臺TTY設(shè)置的，這個口令也能用于遠程訪問。這種情況是不希望的。還有一點就是老的系統(tǒng)采用的是enable password，雖然功能相似，但是enable password采用的加密算法比較弱。2 使用service password-encryption這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如 CHAP）進行加密。避免當(dāng)配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。但是service password-encrypation的加密算法是一個簡單的維吉尼亞加密，很容易被破譯。這主要是針對enable password命令設(shè)置的口令。而enable secret命令采用的是 MD5算法，這種算法很難進行破譯的。但是這種MD5算法對于字典式攻擊還是沒有辦法。所以不要以為加密了就可以放心了，最好的方法就是選擇一個長的口令字，避免配置文件被外界得到。且設(shè)定enable secret和service password-encryption。二. 控制交互式訪問任何人登錄到路由器上都能夠顯示一些重要的配置信息。一個攻擊者可以將路由器作為攻擊的中轉(zhuǎn)站。所以需要正確控制路由器的登錄訪問。盡管大部分的登錄訪問缺省都是禁止的。但是有一些例外，如直連的控制臺終端等?？刂婆_端口具有特殊的權(quán)限。特別注意的是，當(dāng)路由器重啟動的開始幾秒如果發(fā)送一個Break信號到控制臺端口，則利用口令恢復(fù)程式可以很容易控制整個系統(tǒng)。這樣如果一個攻擊者盡管他沒有正常的訪問權(quán)限，但是具有系統(tǒng)重啟（切斷電源或系統(tǒng)崩潰）和訪問控制端口（通過直連終端、Modem、終端服務(wù)器）的能力就可以控制整個系統(tǒng)。所以必須保證所有連結(jié)控制端口的訪問的安全性。除了通過控制臺登錄路由器外還有很多的方法，根據(jù)配置和操作系統(tǒng)版本的不同，可以支持如Telnet、rlogin、Ssh以及非基于IP的網(wǎng)絡(luò)協(xié)議如 LAT、MOP、X.29和V.120等或者Modem撥號。所有這些都涉及到TTY，本地的異步終端和撥號Modem用標(biāo)準(zhǔn)的TTYs。遠地的網(wǎng)絡(luò)連結(jié)不管采用什么協(xié)議都是虛擬的TTYs，即VTYs。要控制路由器的訪問，最好就是控制這些TTYs或VTYs，加上一些認證或利用login、 no password命令禁止訪問。1控制TTY缺省的情況下一個遠端用戶可以連結(jié)到一個TTY，稱為反向 Telnet，允許遠端用戶和連接到這個TTY上的終端或Modem進行交互。但是這些特征允許一個遠端用戶連接到一個本地的異步終端口或一個撥入的 Modem端口，從而構(gòu)造一個假的登錄過程來偷盜口令或其他的非法活動。所以最好禁止這項功能，可以采用transport input none設(shè)置任何異步或Modem不接收來自網(wǎng)絡(luò)用戶的連結(jié)。如果可能，不要用相同的Modem撥入和撥出，且禁止反向Telnet撥入。2控制VTY為了保證安全，任何VTY應(yīng)該僅允許指定的協(xié)議建立連結(jié)。利用transport input命令。如一個VTY只支持Telnet服務(wù)，可以如下設(shè)置 transport input telnet。如果路由器操作系統(tǒng)支持SSH，最好只支持這個協(xié)議，避免使用明文傳送的Telnet服務(wù)。如下設(shè)置： transport input ssh。也可以利用ip access-class限制訪問VTY的ip地址范圍。因為VTYs的數(shù)目有一定的限制，當(dāng)所有的VTYs用完了，就不能再建立遠程的網(wǎng)絡(luò)連結(jié)了。這就有可能被利用進行Dos（拒絕服務(wù)攻擊）。這里攻擊者不必登錄進入，只要建立連結(jié)，到login提示符下就可以，消耗到所有的VTYs。對于這種攻擊的一個好的防御方法就是利用 ip access-class命令限制最后一個VTYs的訪問地址，只向特定管理工作站打開。而其他的VTYs不限制，從而既保證了靈活性，也保證關(guān)鍵的管理工作不被影響。另一個方法是利用exec-timeout命令，配置VTY的超時。避免一個空閑的任務(wù)一直占用VTY。類似的也可以用 service tcp-keepalives-in 保證Tcp建立的入連結(jié)是活動的，從而避免惡意的攻擊或遠端系統(tǒng)的意外崩潰導(dǎo)致的資源獨占。更好的保護VTY的方法是關(guān)閉所有非基于IP的訪問，且使用IPSec加密所有的遠端與路由器的連結(jié)。三. 管理服務(wù)配置許多的用戶利用協(xié)議如Snmp或Http來管理路由器。但是利用這些協(xié)議管理服務(wù)時，就會存在一定的安全問題。1 SnmpSnmp是最經(jīng)常用于路由器的管理的協(xié)議。目前使用最多的Snmp 版本1，但是這個版本的Snmp存在著很多的安全問題：A 使用明文認證，利用community字符串。B 在周期性輪循時，重復(fù)的發(fā)送這些community。C 采用容易被欺騙的基于數(shù)據(jù)包的協(xié)議。所以盡量采用Snmp V2，因為它采用基于MD5的數(shù)字認證方式，并且允許對于不同的管理數(shù)據(jù)進行限制。如果一定要使用Snmp V1，則要仔細的配置。如避免使用缺省的community如public，private等。避免對于每個設(shè)備都用相同的community，區(qū)別和限制只讀和讀寫 commnity。對于Snmp V2，則可能的話對于不同的路由器設(shè)定不同的MD5安全值。還有就是最好使用訪問列表限定可以使用Snmp管理的范圍。2 Http：最近的路由器操作系統(tǒng)支持Http協(xié)議進行遠端配置和監(jiān)視。而針對Http的認證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護。這使得用Http進行管理相當(dāng)危險。如果選擇使用Http進行管理，最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認證。最好的http認證選擇是利用TACACS+或RADIUS服務(wù)器。四. 日志利用路由器的日志功能對于安全來說是十分重要的。Cisco路由器支持如下的日志1 AAA日志：主要收集關(guān)于用戶撥入連結(jié)、登錄、Http訪問、權(quán)限變化等。這些日志用TACACS+或RADIUS協(xié)議送到認證服務(wù)器并本地保存下來。這些可以用aaa accouting實現(xiàn)。2 Snmp trap 日志：發(fā)送系統(tǒng)狀態(tài)的改變到Snmp 管理工作站。3 系統(tǒng)日志：根據(jù)配置記錄大量的系統(tǒng)事件。并可以將這些日志發(fā)送到下列地方：a 控制臺端口 b Syslog 服務(wù)器 c TTYs或VTYsd 本地的日志緩存。這里最關(guān)心的就是系統(tǒng)日志，缺省的情況下這些日志被送到控制臺端口，通過控制臺監(jiān)視器來觀察系統(tǒng)的運行情況，但是這種方式信息量小且無法記錄下來供以后的查看。最好是使用syslog服務(wù)器，將日志信息送到這個服務(wù)器保存下來。五路由安全1防止偽造：偽造是攻擊者經(jīng)常使用的方法。通過路由器的配置可以在一定程度上防止偽造。通常是利用訪問列表，限制通過的數(shù)據(jù)包的地址范圍。但是有下面幾點注意的。A 可以在網(wǎng)絡(luò)的任何一點進行限制，但是最好在網(wǎng)絡(luò)的邊界路由器上進行，因為在網(wǎng)絡(luò)內(nèi)部是難于判斷地址偽造的。B 最好對接口進入的數(shù)據(jù)進行訪問控制（用ip access-group list in）。因為輸出列表過濾只保護了位于路由器后的網(wǎng)絡(luò)部分，而輸入列表數(shù)據(jù)過濾還保護了路由器本身不受到外界的攻擊。C 不僅對外部的端口進行訪問控制，還要對內(nèi)部的端口進行訪問控制。因為可以防止來自內(nèi)部的攻擊行為。下面是一個是一個訪問列表的例子：ip access-list number deny icmp any any redirect 拒絕所有的Icmp 重定向ip access-list number deny ip host 55 any 拒絕Loopback的數(shù)據(jù)包ip access-list number deny ip 55 any 拒絕多目地址的數(shù)據(jù)包除了訪問列表的限制外，還可以利用路由器的RPF檢查（ip verify unicast rpf）。這項功能主要用于檢查進入接口的數(shù)據(jù)包的源地址，根據(jù)路由表判斷是不是到達這個源地址的路由是不是也經(jīng)過這個接口轉(zhuǎn)發(fā)，如果不是則拋棄。這進一步保證了數(shù)據(jù)源的正確性。但是這種方式不適合非對稱的路由，即A到B的路由與B到A的路由不相同。所以需要判斷清楚路由器的具體配置。2控制直接廣播一個IP直接廣播是一個目的地為某個子網(wǎng)的廣播地址的數(shù)據(jù)包，但是這個發(fā)送主機的不與這個目的子網(wǎng)直接相連。所以這個數(shù)據(jù)包被路由器當(dāng)作普通包轉(zhuǎn)發(fā)直到目的子網(wǎng)，然后被轉(zhuǎn)換為鏈路層廣播。由于Ip地址結(jié)構(gòu)的特性，只有直接連接到這個子網(wǎng)的路由器能夠識別一個直接廣播包。針對這個功能，目前存在一種攻擊稱為smurf，攻擊者通過不斷的發(fā)送一個源地址為非法地址的直接廣播包到攻擊的子網(wǎng)。從而導(dǎo)致子網(wǎng)的所有主機向這個非法地址發(fā)送響應(yīng)，最終導(dǎo)致目的網(wǎng)絡(luò)的廣播風(fēng)暴。對于這種攻擊可以在路由器的接口上設(shè)置no ip directed-broadcast，但是這種直接廣播包，要被這個接口轉(zhuǎn)換成鏈路層的廣播而不是拋棄，所以為了更好防止攻擊，最好在將所有可能連接到目的子網(wǎng)的路由器都配置no ip directed-broadcast。3 防止路由攻擊源路由攻擊一種常用攻擊方法，因為一些老的Ip實現(xiàn)在處理源路由包時存在問題，所以可能導(dǎo)致這些機器崩潰，所以最好在路由器上關(guān)閉源路由。用命令no ip source-route。Icmp 重定向攻擊也是一種常用的路由攻擊方法。攻擊者通過發(fā)送錯誤的重定向信息給末端主機，從而導(dǎo)致末端主機的錯誤路由。這種攻擊可以通過在邊界路由器上設(shè)定過濾所有icmp重定向數(shù)據(jù)來實現(xiàn)。但是這只能阻止外部的攻擊者，如果攻擊者和目的主機在同一個網(wǎng)段則沒有辦法。當(dāng)路由器采用動態(tài)協(xié)議時，攻擊者可以偽造路由包，破壞路由器的路由表。為了防止這種攻擊可以利用訪問列表（distribute-list in）限定正確路由信息的范圍。并且如果可能則采用認證機制。如Rip 2或ospf支持認證等。六. 流量管理目前大多數(shù)的Dos攻擊都是通過發(fā)送大量的無用包，從而占用路由器和帶寬的資源，導(dǎo)致網(wǎng)絡(luò)和設(shè)備過載，這種攻擊也稱為洪泛攻擊。對于這種攻擊的防范首先要明確瓶頸在哪里。例如：如果攻擊導(dǎo)致線路阻塞，則在線路的源路由節(jié)點進行過濾可以有效的防止，但是在線路的目的路由端進行過濾，就沒有什么效果。并且要注意路由器本身也可能成為攻擊的對象，而且這種情況更加糟糕。對于這種類型攻擊的防范有如下：1 網(wǎng)絡(luò)保護：利用路由器的Qos功能來分擔(dān)負載來防止一些洪泛攻擊。方式有WFQ，CAR，GTS等。但是要注意的是每種方式的應(yīng)用不同。如WFQ防止ping 攻擊比SYN攻擊更有效。所以要正確選擇方式，才能有效的防止攻擊。2 路由器本身保護：路由器雖然能保護網(wǎng)絡(luò)中其他部分避免過載，但是本身也需要保護不受到攻擊。應(yīng)有的安全配置有：a 采用CEF交換模式而不是傳統(tǒng)的路由表Cache方式，因為采用CEF方式，對于出現(xiàn)的新目的地不需要構(gòu)筑路由Cache入口。所以這種方式對于SYN攻擊能夠更好的防止（因為SYN攻擊用的是隨機的源地址）b 使用scheduler interval 或scheduler allocate。因為當(dāng)大量的數(shù)據(jù)包要路由器快速轉(zhuǎn)發(fā)情況下，可能路由器花費大量的時間處理網(wǎng)絡(luò)接口的中斷，導(dǎo)致其他的任務(wù)無法正常工作。為了避免這種情況，可以使用scheduler interval或scheduler allocate命令路由器在規(guī)定的時間間隔內(nèi)停止處理中斷去處理其他事件。這種方式的副作用很小，不會影響網(wǎng)絡(luò)的正常傳輸。c 設(shè)定缺省路由到空設(shè)備（ip route null 0 255）：這個設(shè)置可以很好拋棄掉不可達的目的地值得數(shù)據(jù)包，增加路由器的性能。七服務(wù)管理路由器通常都提供很多的服務(wù)如Finger、Telnet等，但是這些服務(wù)中一些能夠被攻擊者利用，所以最好禁止所有不需要的服務(wù)。1Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機制。如echo服務(wù)，就可以被攻擊者利用它發(fā)送數(shù)據(jù)包，好像這些數(shù)據(jù)包來自路由器本身。所以最好禁止這些服務(wù)，可以利用 no service tcp-small-servers 和 no service udp-small-servers命令來實現(xiàn)。2Finger、NTP、CDP：Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導(dǎo)致日志和其他任務(wù)出錯。CDP可能被攻擊者利用獲得路由器的版本等信息，從而進行攻擊。所以對于上面的幾種服務(wù)如果沒有十分必要的需求，最好禁止他們?？梢杂?no service finger、no ntp enabel、no cdp running（或no cdp enable ）實現(xiàn)。通過采用和遵循上面的配置就可以實現(xiàn)一個路由器的基本的安全，但是這對于一個嚴(yán)格要求的安全環(huán)境是不夠的，因為還有很多的攻擊無法從路由器上過濾，且對于來自內(nèi)部網(wǎng)絡(luò)的攻擊，路由器是無能力進行保證的。但是通過一個路由器的安全配置，能夠為網(wǎng)絡(luò)的安全建立一個外部的屏障，減輕了內(nèi)部防火墻的負擔(dān)，并且保證了路由器本身的安全。所以路由器的安全配置還是十分重要-Cisco路由器配置信息在Unix下的備份、恢復(fù)與更新-隨著計算機應(yīng)用的不斷發(fā)展，許多企業(yè)計算機局域網(wǎng)規(guī)模在不斷擴大，網(wǎng)絡(luò)的獨立網(wǎng)關(guān)或獨立網(wǎng)點數(shù)目也日益增多；同時，由于應(yīng)用的發(fā)展，需要對網(wǎng)絡(luò)進行優(yōu)化和改造，并且增加新的業(yè)務(wù)，如語音和視頻通信等，因此，必須對原有的網(wǎng)絡(luò)配置做出相應(yīng)的調(diào)整。作為網(wǎng)關(guān)的路由器，其配置的信息也要相應(yīng)增加和調(diào)整。Cisco系統(tǒng)公司的多協(xié)議路由器已被大多數(shù)企業(yè)廣泛用于組建自己的專網(wǎng)。當(dāng)Cisco路由器的配置信息需要增加或修改時，逐條在Cisco路由器上進行配置和修改是相當(dāng)費時和繁瑣的，而如果Cisco路由器上的配置信息，由于某種原因出現(xiàn)部分或完全丟失，此時網(wǎng)絡(luò)上又運行著一些實時應(yīng)用系統(tǒng)，如果不能迅速地恢復(fù)路由器的配置信息，則將會引起非常嚴(yán)重的后果。本文介紹了一種方法，此方法可將Cisco路由器上的所有配置信息備份到一臺Unix主機上以文件形式保存，作為Cisco路由器配置信息的備份。利用此文件，可以迅速恢復(fù)Cisco路由器的原有配置；也可以對此文件進行修改，以實現(xiàn)對路由器配置信息的快速更新。這種方法適用于局域網(wǎng)和廣域網(wǎng)，對于網(wǎng)絡(luò)的遠程維護和配置非常有效。一、網(wǎng)絡(luò)實例本文介紹的方法基于Cisco路由器支持對TFTP服務(wù)器進行讀寫操作，為了能夠清楚地說明，以附圖為例進行討論。附圖中，Cisco1路由器通過X.25 或DDN與異地的Cisco2路由器互聯(lián)，它們的主機節(jié)點名分別為Cisco1和Cisco2，廣域網(wǎng)IP地址分別為和 ，子網(wǎng)掩碼為52; PC機上安裝的是SCO Unix 5.0.5操作系統(tǒng)，與Cisco1在同一局域網(wǎng)上，它們的局域網(wǎng)地址分別為00和9，局域網(wǎng)子網(wǎng)掩碼為，網(wǎng)段為；Unix主機節(jié)點名為manager。二、在Unix主機上的準(zhǔn)備工作為了使Unix主機能夠提供TFTP服務(wù)，需要在Unix主機上以root身份注冊，做以下操作。1用Vi編輯根目錄下的.rhosts， 在文件中添加如下2行：Cisco1Cisco2使主機Cisco1和Cisco2被授權(quán)，能夠?qū)nix系統(tǒng)的根目錄進行讀寫操作。2用Vi編輯文件/etc/rc，添加如下一行：route add host 1加載路由到Cisco2。3用Vi編輯/etc/hosts文件，添加如下2行：9 Cisco Cisco2便于按主機節(jié)點名尋址。4用Vi編輯文件/etc/inetd.conf， 將其中一行# tftp dgram udp wait nouser /etc/tftpd tftpd行首的“#”號刪除，以便啟動TFTP服務(wù)器。5在根目錄下創(chuàng)建一個用于存放Cisco路由器配置信息備份文件的目錄(假設(shè)為Ciscobak)，在該目錄下創(chuàng)建2個空文件，分別用于保存Cisco1和Cisco2的配置信息(假設(shè)為Cisco1.conf和Cisco2.conf)，具體操作如下:# mkdir Ciscobak# cat /dev/null /Ciscobak/Cisco1.conf# cat /dev/null /Ciscobak/Cisco2.conf# chomd 777 /Ciscobak# chmod 777 /Ciscobak/*以上工作完成后需重新啟動系統(tǒng)。三、在Cisco路由器上的準(zhǔn)備工作在Cisco1路由器上，進入全程配置，并作如下設(shè)置：（config）# ip host manager 00（config）# hostname Cisco1（config）# exit# wr在異地的Cisco2路由器上，進入全程配置，并作如下設(shè)置：（config）# ip host manager 00（config）# hostname Cisco2（config）# ip route （config）# exit# wr說明: 以上為了敘述方便起見，對廣域網(wǎng)的連接采用了靜態(tài)路由的方式，而在實際應(yīng)用中對于動態(tài)路由也一樣適用。四、備份方法以上是為了備份及恢復(fù)路由器配置信息所做的一些準(zhǔn)備工作，接下來便可以對路由器的配置信息進行備份和恢復(fù)了。1Cisco1路由器的配置信息的備份在Unix主機上以root用戶注冊，并執(zhí)行如下命令：# telnet Cisco1根據(jù)路由器的各級密碼登錄，并進入特權(quán)模式，執(zhí)行如下命令：# write network以下按系統(tǒng)提示進行操作：# Remote host ?輸入主機名：manager（或IP地址00）# Name of Configuration File to write Cisco1-confg?回答要寫的配置文件名，按絕對路徑輸入如下：/Ciscobak/Cisco1.conf輸入文件名，按回車后將出現(xiàn)如下提示：# Writing /Ciscobak/Cisco1.conf on host 00! Confirm此時直接回車確認。確認后屏幕將顯示：Building configuration待出現(xiàn)信息：Write /Ciscobak/Cisco1.conf ! ! 0k說明Cisco1路由器的配置信息已經(jīng)成功寫入文件/Ciscobak/Cisco1.conf。2 附圖中Cisco2路由器配置信息的備份操作方法同上，只是需要登錄到Cisco2路由器上，在回答要需要輸入的文件名時應(yīng)輸入 /Ciscobak/Cisco2.conf即可。五、Cisco路由器配置信息的恢復(fù)與更新1Cisco路由器配置信息的恢復(fù)網(wǎng)絡(luò)中路由器的穩(wěn)定運行，是各種網(wǎng)絡(luò)應(yīng)用系統(tǒng)得以正常運轉(zhuǎn)的必備條件。如果因為某種原因使得路由器配置信息部分或全部丟失， 那么這對于網(wǎng)絡(luò)中正在運行的實時應(yīng)用系統(tǒng)是災(zāi)難性的。因此必須采取措施，在較短的時間內(nèi)恢復(fù)路由器原來的配置，使得網(wǎng)絡(luò)能夠及時恢復(fù)暢通。利用已經(jīng)備份好的配置文件，可以快捷方便地恢復(fù)Cisco路由器的原有配置。這里分兩種情況進行說明。（1）Cisco路由器的配置信息雖有丟失，但與附圖中Unix主機的通信仍然保持正常。此時，系統(tǒng)管理網(wǎng)管人員應(yīng)從Unix主機上以root注冊，用telnet 登錄到Cisco路由器上，并進入特權(quán)模式，用“sh conf”命令檢查全程配置信息中對路由器主機名和遠程Unix主機名的配置信息是否還存在。如果已經(jīng)丟失，則如前所述進行配置；如果這2條配置信息存在，則可鍵入下列命令，恢復(fù)原有配置：# conf n以下按提示輸入：Host or network configurationhost?直接按回車鍵，選host。Address of remote host 55?此時輸入Unix主機 IP地址00。Name of Configuration fileCisco*.conf?如果是Cisco1則輸入/Ciscobak/Cisco1.conf，如果是Cisco2則輸入/Ciscobak/Cisco2.conf。Configure using /Ciscobak/Cisco*.conf 00 confirm?直接按回車確認。此時屏幕上將顯示：Loading /Ciscobak/Cisco*.conf form 00待出現(xiàn)“OK”信息后，說明附圖中Cisco路由器的配置信息已從Unix主機上的備份文件中恢復(fù)，并處于運行狀態(tài)。（2）路由器的配置信息完全丟失。此時，附圖中Unix主機與路由器的通信已經(jīng)中斷，所以為了能從Unix中恢復(fù)Cisco的配置信息，應(yīng)先對路由器進行簡單的配置，使得Unix與Cisco路由器之間能夠通信。對于附圖中Cisco1路由器來說，只需從主控制口（console）進入路由器，配置好Cisco1的以太網(wǎng)接口，即可解決其與Unix主機的通信問題。對于附圖中的異地路由器Cisco2來說，可由Cisco2所在地的維護人員對其進行簡單配置，也可以通過modem撥號進行遠程配置。通過以上2種方式中的任意一種，進入Cisco2后，配置其廣域網(wǎng)接口使之與Cisco1路由器互聯(lián)，并配置路由到Unix主機所在的局域網(wǎng)網(wǎng)段，即可解決其與遠程Unix主機的通信問題。通信問題解決后，便可按上面所介紹的方法，選擇相應(yīng)的備份文件對異地的Cisco2路由器的配置信息進行恢復(fù)。2Cisco路由器配置信息的更新用上述方法備份的Cisco路由器的配置文件與在Cisco路由器中用“sh conf”命令所顯示的配置信息在形式上是完全一致的。因此，可以在Unix主機上建立一個配置備份文件的拷貝，利用vi編輯該拷貝，根據(jù)網(wǎng)絡(luò)調(diào)整的具體要求在該拷貝的相應(yīng)段落添加、修改或刪除相應(yīng)的文本，然后將其視為“備份”文件，再利用該“備份”文件來“恢復(fù)”Cisco路由器的配置，就可以達到對 Cisco路由器配置信息進行更新的目的。以上方法，本人在安順郵政綜合網(wǎng)的維護和管理中一直使用，在實踐中取得了不錯的應(yīng)用效果。本文介紹的方法不僅能夠集中快速地備份網(wǎng)絡(luò)中路由器的配置信息，方便了管理，同時也能夠快捷地恢復(fù)路由器的原有配置，在較短的時間內(nèi)排除因路由器配置信息丟失造成的網(wǎng)絡(luò)故障。另外，可通過對備份文件的編輯，即添加、修改和刪除等操作，而后將其恢復(fù)到Cisco路由器中來實現(xiàn)對Cisco路由器配置信息的更新，這樣，對路由器配置信息的更新問題實際上演變成了對文本文件的編輯問題。-Cisco 與 Intel路由器的對