第八章路由器配置方案.ppt

8.9.1 访问控制列表配置 引用过滤已经定义的规则 在需要数据包过滤功能的接口引用过滤已经定义的规则，引用格式为： ip access-group 标识号 in│out 若对进入该接口的数据包进行检查，选择in，若对该接口送出的数据包进行检查，选择out。 规则中参数deny表示禁止，参数permit表示允许。 路由器检查与通配符的二进制位0位置对应地址位，对通配符二进制位1位置对应的地址位将不进行检查。 若所有条件不满足，默认是禁止该数据包，并丢弃。 网络工程技术及应用 8.9.2 标准访问控制列表配置 假设环境路由器、交换机、PC机连接、网络接口、路由协议、路由表等基本配置正确，PC-A与PC-B可通信。 在路由器2811-A进行过滤规则的配置： 2811-A(config)#access-list 99 deny 2811-A(config)#access-list 99 permit 55 !引用过滤规则 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 99 in 网络工程技术及应用 8.9.3 扩展访问控制列表配置 假设环境的路由器、交换机、PC机连接和基本配置已经设置正确，确信PC-B和路由器2811-A之间可通信。 !进行过滤规则的配置，标识号为99 2811-A(config)#access-list 110 deny tcp eq 23 2811-A(config)#access-list 110 permit ip any any !引用过滤规则 2811-A(config)#interface s0/0/1 2811-A(config-if)#ip access-group 110 in 测试和验证，在PC-B机输入telnet 。 网络工程技术及应用 8.10 路由器系统软件恢复和维护 路由器密码恢复 路由器IOS的故障 路由器IOS恢复方法 FTP站点的创建 Rommon模式下的IOS恢复 通过FTP或TFTP的IOS恢复 网络工程技术及应用 8.10.1 路由器密码恢复 以Cisco 2811路由器密码恢复为例进行讨论 路由器密码存放位置，所有设置的密码都在启动配置文件(Startup—config)，口令恢复关键绕过该文件。 密码恢复步骤（以恢复控制台密码为例） * 重新启动路由器，按Ctrl+Break终止进入Rommon模式 * 修改配置寄存器值，输入命令rommon1config0x2143 * 路由器重启后提示是否初始配置模式，选择不配置。 * 在用户模式（user mode）下，输入enable，进入特权模式，此时我们可有两种处理的方法： 一是将系统恢复出厂配置；二是保留配置中其他信息。 网络工程技术及应用 8.10.2 路由器IOS的故障 路由器使用IOS(路由器操作系统)对系统资源进行管理。 IOS可以存放在3个位置： * 路由器FLASH，IOS默认存放位置，可升级和更新； * 路由器ROM，存放IOS的一个子集，不可升级和更新； * TFTP服务器，可把IOS保存在TFTP服务器指定位置，恢复时放到路由器Flash中，可动态升级IOS。 IOS是路由器核心，与硬件分离，随技术不断发展。 IOS软件不但可完成RIP/EIGRP/OSPF/ISIS/BGP等路由计算功能，还集成Firewall/NAT/DHCP/FSM/FTP/HTTP /TFTP/Voice/Multicast等服务功能。 网络工程技术及应用 8.10.2 路由器IOS的故障 路由器启动，运行ROM程序进行自检及引导后，执行Flash的IOS，在NVRAM寻找路由器配置，装入DRAM。 IOS出现故障时所呈现的现象： * 若存放IOS的FLASH内存条发生故障或IOS丢失 * 路由器将停留在ROM启动过程 * 路由器无法进入正常的工作模式 * 进入ROM monitor模式，出现的命令行提示符为: ROMMON 1 * 其中“1”代表命令行的行数 网络工程技术及应用 8.10.2 路由器IOS的故障 ROM monitor模式 此时，就要对路由器进行IOS的恢复 网络工程技术及应用 8.10.3 路由器IOS恢复方法 要想对IOS进行恢复，就必须有一个完整的IOS文件。 一般有三种途径去获取这个IOS文件： 寻找以前保留下来的IOS备份；到相关网站下载；再做一个备份，即在现有正常运行路由器上拷贝一个IOS。 IOS的拷贝方式主要分为两种： * 从文件系统拷贝，又分为FTP、RCP、