常見路由命令

路由器常用命令 1、Exec commands: <1-99> 恢復一個會話 bfe 手工應急模式設置 clear 復位功能 clock 管理系統時鐘 configure 進入設置模式 connect 打開一個終端 copy 從tftp服務器拷貝設置文件或把設置文件拷貝到tftp服務器上 debug 調試功能 disable 退出優先命令狀態 disconnect 斷開一個網絡連接 enable 進入優先命令狀態 erase 擦除快閃內存 exit 退出exce模式 help 交互幫助系統的描述 lat 打開一個本地傳輸連接 lock 鎖定終端 login 以一個用戶名登錄 logout 退出終端 mbranch 向樹形下端分支跟蹤多路由廣播 mrbranch 向樹形上端分支跟蹤反向多路由廣播 name-connection 給一個存在的網絡連接命名 no 關閉調試功能 pad 打開X.29 PAD連接 ping 發送回顯信息 ppp 開始點到點的連接協議 reload 停機並執行冷啓動 resume 恢復一個活動的網絡連接 rlogin 打開遠程註冊連接 rsh 執行一個遠端命令 send 發送信息到另外的終端行 setup 運行setup命令 show 顯示正在運行系統信息 slip 開始SLIP協議 start-chat 在命令行上執行對話描述 systat 顯示終端行的信息 telnet 遠程登錄 terminal 終端行參數 test 測試子系統內存和端口 tn3270 打開一個tin3270連接 trace 跟蹤路由到目的地 undebug 退出調試功能 verify 驗證檢查閃爍文件的總數 where 顯示活動的連接 which-route 執行OSI路由表查找並顯示結果 write 把正在運行的設置寫入內存、網絡、或終端 x3 在PAD上設置X.3參數 xremote 進入xremote模式 2、#show ? access-expression 顯示訪問控制表達式 access-lists 顯示訪問控制表 apollo Apollo 網絡信息 appletalk Apple Talk 信息 arap 顯示Appletalk 遠端通道統計 arp 地址解析協議表 async 訪問路由接口的終端行上的信息 bridge 前向網絡數據庫 buffers 緩衝池統計 clns CLNS網絡信息 clock 顯示系統時鐘 cmns 連接模式網絡服務信息 compress 顯示壓縮狀態 configuration 非易失性內存的內容 controllers 端口控制狀態 debugging 調試選項狀態 decnet DEC網絡信息 dialer 撥號參數和統計 dnsix 顯示Dnsix/DMPP信息 entry 排隊終端入口 extended 擴展端口信息 flash 系統閃爍信息 flh-log 閃爍裝載幫助日誌緩衝區 frame-relay 幀中繼信息 history 顯示對話層歷史命令 hosts IP域名，查找方式，名字服務，主機表 interfaces 端口狀態和設置 ip IP信息 ipx Novell IPX信息 isis IS-IS路由信息 keymap 終端鍵盤映射 lat DEC LAT信息 line 終端行信息 llc2 IBM LLC2 環路信息 lnm IBM 局網管理 local-ack 本地認知虛環路 memory 內存統計 netbios-cache NetBios命名緩衝存貯器內存 node 顯示已知LAT節點 ntp 網絡時間協議 processes 活動進程統計 protocols 活動網絡路由協議 queue 顯示隊列內容 queueing 顯示隊列設置 registry 功能註冊信息 rhosts 遠程主機文件 rif RIF存貯器入口 route-map 路由器信息 sdlle 顯示sdlc-llc2轉換信息 services 已知LAT服務 sessions 遠程連接信息 smds SMDS信息 source-bridge 源網橋參數和統計 spanning-tree 跨越樹形拓樸 stacks 進程堆棧應用 standby 熱支持協議信息 stun STUN狀態和設置 subsystem 顯示子系統 tcp TCP連接狀態 terminal 顯示終端設置 tn3270 TN3270 設置 translate 協議轉換信息 ttycap 終端容易表 users 顯示終端行的信息 version 系統硬、軟件狀態 vines VINES信息 whoami 當前終端行信息 x25 X.25信息 xns XNS信息 xermote Xremote統計 3、#config ? Memory 從非易失性內存設置 Network 從TFTP網絡主機設置 Overwrite-network 從TFTP網絡主機設置覆蓋非易失性內存 Terminal 從終端設置 4、Configure commads: Access-list 增加一個訪問控制域 Apollo Apollo全局設置命令 appletalk Appletalk 全局設置命令 arap Appletalk遠程進出協議 arp 設置一個靜態ARP入口 async-bootp 修改系統啓動參數 autonomous-system 本地所擁有的特殊自治系統成員 banner 定義註冊顯示信息 boot 修改系統啓動時參數 bridge 透明網橋 buffers 調整系統緩衝池參數 busy-message 定義當連接主機失敗時顯示信息 chat-script 定義一個調制解調器對話文本 clns 全局CLNS設置子命令 clock 設置時間時鐘 config-register 定義設置寄存器 decnet 全局DEC網絡設置子命令 default-value 缺省字符位值 dialer-list 創建一個撥號清單入口 dnsix-nat 爲審計提供DMDM服務 enable 修改優先命令口令 end 從設置模式退出 exit 從設置模式退出 frame-relay 全局幀中繼設置命令 help 交互幫助系統的描述 hostname 設置系統網絡名 iterface 選擇設置的端口 ip 全局地址設置子命令 ipx Novell/IPX全局設置命令 keymap 定義一個新的鍵盤映射 lat DEC本地傳輸協議 line 設置終端行 lnm IBM局網管理 locaddr-priority-list 在LU地址上建立優先隊列 logging 修改註冊（設備）信息 login-string 定義主機指定的註冊字符串 map-class 設置靜態表類 map-list 設置靜態表清單 menu 定義用戶接口菜單 mop 設置DEC MOP服務器 netbios NETBIOS通道控制過濾 no 否定一個命令或改爲缺省設置 ntp 設置NTP priority-list 建立特權列表 prompt 設置系統提示符 queue-list 建立常規隊列列表 rcmd 遠程命令設置命令 rcp-enable 打開Rep服務 rif 源路由進程 router-map 建立路由表或進入路由表命令模式 router 打開一個路由進程 rsh-enable 打開一個RSH服務 sap-priority-list 在SAP或MAC地址上建立一個優先隊列 service 修改網絡基本服務 snmp-server 修改SNMP參數 state-machine 定義一個TCP分配狀態的機器 stun STUN全局設置命令 tacacs-server 修改TACACS隊列參數 terminal-queue 終端隊列命令 tftp-server 爲網絡裝載請求提供TFTP服務 tn3270 tn3270設置命令 translate 解釋全局設置命令 username 建立一個用戶名及其權限 vines VINES全局設置命令 x25 X.25 的第三級 x29 X.29 命令 xns XNS 全局設置命令 xremote 設置Xremote 4、(config)#ip Global IP configuration subcommands: Accounting-list 選擇保存IP記帳信息的主機 Accounting-threshold 設置記帳入口的最大數 accounting-transits 設置通過入口的最大數 alias TCP端口的IP地址取別名 as-path BGP自治系統路徑過濾 cache-invalidate-delay 延遲IP路由存貯池的無效 classless 跟隨無類前向路由規則 default-network 標誌網絡作爲缺省網關候選 default-gateway 指定缺省網（如果沒有路由IP） domain-list 完成無資格主機的域名 domain-lookup 打開IP域名服務系統主機轉換 domain-name 定義缺省域名 forward-protocol 控制前向的、物理的、直接的IP廣播 host 爲IP主機表增加一個入口 host-routing 打開基於主機的路由（代理ARP和再定向） hp-host 打開HP代理探測服務 mobile-host 移動主機數據庫 multicast-routing 打開前向IP name-server 指定所用名字服務器的地址 ospf-name-lookup 把OSPF路由作爲DNS名顯示 pim PIM 全局命令 route 建立靜態路由 routing 打開IP路由 security 指定系統安全信息 source-route 根據源路由頭的選擇處理包 subnet-zero 允許子網0子網 tcp 全局TCP參數 ================================== Cisco2620路由器的配置與維護 對於分佈在多個不同場點的企業分部來說，如何訪問中心場點服務器、獲取相應的信息，是企業網絡建設規劃中不可缺少的一部分。本文以Cisco2620爲例，講述了路由器的初始化配置以及遠程接入的配置方法，探討了如何使用內部網絡的DHCP服務功能爲遠程撥入的用戶分配地址信息以及路由器常見故障的排除技巧。 （本文假定Cisco2620路由器爲提供遠程接入訪問，已經配置了同步串行模塊和異步串行16AM模塊。） Cisco2620路由器的基本配置 1. 初始安裝 第一次安裝時系統會自動進入Dialog Setup，依屏幕提示，分別回答路由器名稱、加密超級登錄密碼、超級登錄密碼、遠程登錄密碼、動態路由協議以及各個接口的配置後，保存配置。在出現路由器名稱後，打入enable命令，鍵入超級登錄密碼，出現路由器名稱（這裏假設路由器名稱爲Cisco2620），待出現Cisco2620#提示符後，表示已經進入特權模式，此時就可以進行路由器的配置了。 2. 配置路由器 鍵入config terminal，出現提示符Cisco2620(config)#，進入配置模式。 (1) 設置密碼 Cisco2620(config)#enable secret 123123：設置特權模式密碼爲123123 Cisco2620(config)#line console 0: 進入Console口配置模式 Cisco2620(config-line)#password 123123：設置Console口密碼爲123123 Cisco2620(config-line)#login：使console口配置生效 Cisco2620(config-line)#line vty 0 5：切換至遠程登錄口 Cisco2620(config-line)#password 123123：設置遠程登錄密碼爲123123 Cisco2620(config-line)#login：使配置生效 (2) 設置快速以太網口 Cisco2620(config)#interface fastFastethernet 0/0：進入端口配置模式 Cisco2620(config-if)#ip address 192.168.1.6 255.255.255.0：設置IP地址及掩碼 Cisco2620(config-if)#no shutdown: 開啓端口 Cisco2620(config-if)#exit：從端口配置模式中退出 (3) 設置同步串口 Cisco2620(config)#interface serial 0/0：進入同步串口設置 Cisco2620(config-if)#ip unnumbered fastFastethernet 0/0：同步串口使用與快速以太網口相同的IP地址 Cisco2620(config-if)#encapsulation ppp: 把數據鏈路層協議設爲PPP (4) 設置16口Modem撥號模塊，使用內部DHCP服務爲撥入用戶分配地址 Cisco2620(config)#interface Group-Async1 Cisco2620(config-if)# ip unnumbered FastEthernet0/0 Cisco2620(config-if)# encapsulation ppp Cisco2620(config-if)# ip tcp header-compression passive：啓用被動IP包頭壓縮 Cisco2620(config-if)# async mode dedicated:只在異步模式下工作 Cisco2620(config-if)# peer default ip address dhcp：將IP地址請求轉發至DHCP服務器 Cisco2620(config-if)# ppp authentication chap：將認證設爲CHAP Cisco2620(config-if)# group-range 33 48：撥號組包括16個口 Cisco的16AM模塊提供了高密度的模擬電路接入方式，不在辦公大樓的員工可以用Modem撥號聯入局域網、登錄服務器，實現遠程辦公。 peer default ip address dhcp命令可以使撥入的工作站通過局域網內的DHCP服務器動態地獲得IP地址，節約了IP地址資源，同時還接收了在DHCP服務器上配置的參數，比如DNS服務器的IP地址，並配合全局模式下配置的指向防火牆的靜態路由，使工作站同時也可以通過防火牆訪問Internet。 Cisco2620(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.4：設置到防火牆的靜態路由 (5) 對16AM模塊物理特性的設置 Cisco2620(config)#line 33 48: 進入Modem 口線模式 Cisco2620(config-line)# session-timeout 30:超時設爲30分鐘 Cisco2620(config-line)# autoselect during-login：自動登錄 Cisco2620(config-line)# autoselect ppp：自動選擇PPP協議 Cisco2620(config-line)# login local：允許本地口令檢查 Cisco2620(config-line)# modem InOut：允許撥入撥出 Cisco2620(config-line)# transport input all:指定傳輸協議 Cisco2620(config-line)# stopbits 1：設置一位停止位 Cisco2620(config-line)# flowcontrol hardware：設置硬件流控制 (6) 添加撥號用戶的用戶名和密碼 Cisco2620(config)#username shixuegang password abc123：增加用戶名shixuegang，口令爲abc123 (7) 啓用rip路由 Cisco2620(config)#router rip：啓用rip路由 Cisco2620(config-rout)#version 2：第二版本 Cisco2620(config-rout)#network xxx.xxx.xxx.xxx：指定要轉發數據包的網絡號 Cisco2620路由器故障判斷和故障排除 1. 判斷以太端口故障 對於以太端口故障的診斷，可以用show interface fastFastethernet 0/0(對於以太端口0的診斷)命令，它用來檢查一條鏈路的狀態，可能出現的結果如下： 如果以太網端口工作正常，則出現如下顯示：Fastethernet 0/0 is up, line protocol is up； 如果存在連接故障，比如路由器未接到LAN上，則出現：Fastethernet 0/0 is up, line protocol is down； 如果接口出現故障，則出現：Fastethernet 0/0 is down, line protocol is down (disable) ； 接口被人爲地關閉，則出現：Fastethernet 0/0 is administratively down, line protocol is down; 此外，當懷疑端口有物理性故障時，可用show version命令，該命令將顯示出物理性正常的端口，而出現物理性故障的端口將不被顯示出來。 2. 判斷同步串行端口故障 我們可以用show interface serial 0/0命令檢查一條鏈路的狀態，如出現Serial 0/0 is up, line protocol is up字樣，則表示工作正常；如出現serial 0/0 is up, line protocol is down字樣，則表示端口無物理故障，但上層協議未通（IP、IPX、X25等，此時應查看路由器的配置命令，檢查地址是否匹配）；如出現Serial 0/0 is down, line protocol is down (disable) 字樣，則表示端口出現物理性故障，此時應更換端口；如出現Serial 0/0 is down, line protocol is down字樣，則表示DCE設備（Modem/DTU）未送來載波/時鐘信號；如出現Serial 0/0 is administratively down, line protocol is down字樣，則表示接口被人爲地關閉，可在配置狀態中interface_mode下去掉shutdown命令。 3. 判斷模擬線路故障 可以先用電話直接撥打路由器中繼線號碼，聽見嘯叫聲則說明線路正常，反之則應先查看電話線路。排除線路故障後如依然無法正常工作，就應查看路由器關於16AM模塊的配置命令，確定配置命令無誤後，可採取如下方法： 將模塊重新良好接地； 升級路由器IOS版本； 更換16AM模塊。 Cisco2620路由器的密碼恢復和災難性恢復 在使用路由器的過程中，經常會出現忘記密碼的情況。同時，在操作過程中有時會因爲一些不可預料的原因，使路由器內部的版本映像文件受到損壞，使路由器無法正常工作，導致路由器退回到監控狀態，而使用常用的版本拷貝命令無法更新版本。這兩個問題都是在日常維護中較爲常見的問題。 1. 密碼恢復 (1) 將路由器的Console口和計算機串口相連，啓動計算機超級終端，開啓路由器電源，在開機60秒內按ctrl+break 使路由器進入rom monitor 狀態，並出現如下提示符： rommon1> (2) 重新配置組態寄存器。 rommon1>confreg 當出現do you wish to change the configuration (y/n) 時選擇y，當出現enable ignore system configuration information(y/n) 時選擇y。 (3) 重新啓動路由器。 rommon1>reset (4) 啓動後進入特權模式，執行如下命令使原來的配置信息有效。 router(config)#config mem (5) 可以進一步查看密碼或更改密碼。 2. 版本的災難性恢復 Cisco2620提供了兩種災難性恢復版本的方法:tftpdnld和xmodem方式。 (1) tftpdnld方式 將計算機串口和路由器Console口相連，計算機網口與路由器以太口（一定要與第一個以太口）相連。 啓動TFTP服務器，將要下載的版本放於指定目錄下面。 開啓路由器電源，由於沒有有效版本，路由器啓動後將直接進入監控模式。 Rommon1> 按如下命令設置參數。 Rommon2>IP_ADDRESS=192.168.1.6: 將192.168.1.6地址配置到路由器的第一個以太端口 Rommon3>IP_SUBNET_MASK=255.255.255.0：設置掩碼 Rommon4>DEFAULT_GATEWAY=192.168.1.7：指定TFTP服務器地址 Rommon5>TFTP_FILE=c2600-i-mz.121-3.T：指定IOS文件名 Rommon6>tftpdnld：下載IOS文件 組態配置寄存器 Rommon7>confreg 當出現do you wish to change the configuration y/n時選擇y，當出現 change the boot charaterist y/n時選擇y，選擇參數2。其他的選項選n。 啓動版本 Rommon8> reset (2) xmodem 方式下載 該種方式下載不需要以太口電纜，只需超級終端即可。缺點是花費時間太多、速度太慢。xmodem是個人計算機通信中廣泛使用的異步文件傳輸協議，以128字節塊的形式傳輸數據，並且對每個塊都進行校驗，如果接受方校驗正確，則發送認可信息，發送方發送下一個字塊。 其具體步驟如下： 用超級終端與路由器連接後，啓動路由器，路由器進入監控模式狀態。 Rommon1> 啓動xmodem 命令 Rommon2>xmodem -cx?:敲入Enter鍵 當出現do you wish to continue時選擇y 打開超級終端的“傳送”菜單，選擇傳送文件，打開傳送文件窗口。輸入版本文件的位置，並選擇xmodem 方式。 修改相應命令和選項，也可以以ymodem的方式進行傳送。 以上述同樣的方法配置confreg命令，重新啓動後路由器會進入正常狀態。 兩種進入Cisco2620路由器 ROM 狀態的方法 1. 如果break 未被屏蔽，可以在開機60秒內按ctrl+break 鍵中斷啓動過程，進入rom狀態。 2. 將超級終端通信波特率設置爲1200、數據位爲8、奇偶位爲1、停止位無。開啓路由器電源，啓動後關機。停5秒後，重新開機，同時一直按住空格鍵12秒後放開，等路由器啓動完成後，重新更改超級終端位默認值。通信波特率設置爲9600、數據位爲8、奇偶位爲1、停止位無 。重新連接後，從終端上可以看到已經進入rom 狀態。注意在波特率爲1200時終端上沒有內容顯示。 除了上述功能外，Cisco路由器還可通過IOS軟件的升級, 在不改動硬件的條件下實現更多、更強大的功能，在滿足客戶不斷增長的需求的同時保護了硬件投資。但這樣做也同樣增加了配置及管理的難度，同時對網絡管理員也提出了更高的要求。因此如何讓網絡設備高效、可靠地工作，儘量減小維護的工作量，有待於我們在實踐中進一步探索。 格爾信息安全論壇 爲信息安全的建設建立安全風險評估機制 伴隨着我國加入WTO以及全球信息化的發展，計算機信息系統的安全建設越來越受重視，同時我國的政府與企業也已經深刻地認識到了信息安全風險評估的重要性，並努力通過實踐來建立、健全和完善計算機信息系統的安全風險評估機制。 安全風險評估是信息系統安全防範體系的建設依據，風險評估的目的在於指出信息系統的風險所在、防範風險的代價、風險可能造成的損失，並最終依據後兩者的比較制定信息安全保障體系。需要密切關注的是，防範風險的代價和風險可能造成的損失是不斷變化的，信息安全保障體系的完善是建立在階段建設目標的不斷修正和補充基礎之上的。 在信息安全風險評估的需求方面，金融企業尤爲急迫。金融企業一直以來都是信息技術發展的領路人，但是其信息安全的建設遠遠滯後於信息系統自身的建設。在金融企業逐漸認識到信息安全保障體系建設的必要性的同時，也意識到單憑直觀感覺而制定的信息安全建設目標缺乏科學依據，不能對長期的信息安全建設提供指導作用。金融企業將再一次承擔起領路人的角色，當然這是由其自身信息系統具備的基礎決定的。 安全風險評估分如下幾個過程： 1. 評估階段。信息系統將接受各種評估工具的檢測和調查，被評估的對象包括網絡架構、應用系統、運行與安全管理、人員、安全策略等，評估的結果將反映信息系統在各個方面的威脅和脆弱性。 2. 評估信息智能化處理階段。需要對不同的評估工具所得出的原始評估數據進行深入挖掘，一方面，這些數據複雜、多樣，而且會不斷增加，因此需要按照統一的標準進行管理; 另一方面，這些數據內在的聯繫需要通過數據挖掘進行歸納分析和綜合分析。 3. 解決方案與後續建設目標階段。根據評估信息分析的結果，制定相應的建設目標與方案，其核心是把風險的價值與保護風險的價值進行比較。