路由器是局域网连接外部网络的重要桥梁,是网络系统中不可或缺的重要部件,也是网络安全的前沿关口。但是路由器的维护却很少被大家所重视。试想,如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。我们下面就给大家介绍一些路由器加强路由器安全的措施和方法,让我们的网络更安全。
1. 为路由器间的协议交换增加认证功能,提高网络安全性。
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。这个问题的解决办法是对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式,就会鉴别路由信息的收发方。
2. 路由器的物理安全防范。
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3. 保护路由器口令。
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。一旦密码泄漏,网络也就毫无安全可言。
4. 阻止察看路由器诊断信息。
关闭命令如下: no service tcp-small-servers no service udp-small-servers
5. 阻止查看到路由器当前的用户列表。
关闭命令为:no service finger。
6. 关闭CDP服务。
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息: 设备平台、操作系统版本、端口、IP地址等重要信息。可以用命令: no cdp running或no cdp enable关闭这个服务。
7. 阻止路由器接收带源路由标记的包,将带有源路由选项的数据流丢弃。
“IP source-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。关闭命令如下: no ip source-route。
8. 关闭路由器广播包的转发。
Sumrf D.o.S攻击以有广播转发配置的路由器作为反射板,占用网络资源,甚至造成网络的瘫痪。应在每个端口应用“no ip directed-broadcast”关闭路由器广播包。
9. 管理HTTP服务。
HTTP服务提供Web管理接口。“no ip http server”可以停止HTTP服务。如果必须使用HTTP,一定要使用访问列表“ip http access-class”命令,严格过滤允许的IP地址,同时用“ip http authentication ”命令设定授权限制。
10. 抵御spoofing(欺骗) 类攻击。
使用访问控制列表,过滤掉所有目标地址为网络广播地址和宣称来自内部网络,实际却来自外部的包。 在路由器端口配置: ip access-group list in number 访问控制列表如下: access-list number deny icmp any any redirect access-list number deny ip 127.0.0.0 0.255.255.255 any access-list number deny ip 224.0.0.0 31.255.255.255 any access-list number deny ip host 0.0.0.0 any 注: 上述四行命令将过滤BOOTP/DHCP 应用中的部分数据包,在类似环境中使用时要有充分的认识。
11. 防止包嗅探。
黑客经常将嗅探软件安装在已经侵入的网络上的计算机内,监视网络数据流,从而盗窃密码,包括SNMP 通信密码,也包括路由器的登录和特权密码,这样网络管理员难以保证网络的安全性。在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议,请使用SSH 或 Kerberized Telnet,或使用IPSec加密路由器所有的管理流。
12.校验数据流路径的合法性。
使用RPF (reverse path forwarding)反相路径转发,由于攻击者地址是违法的,所以攻击包被丢弃,从而达到抵御spoofing 攻击的目的。RPF反相路径转发的配置命令为: ip verify unicast rpf。 注意: 首先要支持 CEF(Cisco Express Forwarding) 快速转发。
13. 防止SYN 攻击。
目前,一些路由器的软件平台可以开启TCP 拦截功能,防止SYN 攻击,工作模式分拦截和监视两种,默认情况是拦截模式。(拦截模式: 路由器响应到达的SYN请求,并且代替服务器发送一个SYN-ACK报文,然后等待客户机ACK。如果收到ACK,再将原来的SYN报文发送到服务器; 监视模式:路由器允许SYN请求直接到达服务器,如果这个会话在30秒内没有建立起来,路由器就会发送一个RST,以清除这个连接。) 首先,配置访问列表,以备开启需要保护的IP地址: access list [1-199] [deny|permit] tcp any destination destination-wildcard 然后,开启TCP拦截: Ip tcp intercept mode intercept Ip tcp intercept list access list-number Ip tcp intercept mode watch
14. 使用安全的SNMP管理方案。
SNMP广泛应用在路由器的监控、配置方面。SNMP Version 1在穿越公网的管理应用方面,安全性低,不适合使用。利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。配置命令: snmp-server community xxxxx RW xx ;xx是访问控制列表号 SNMP Version 2使用MD5数字身份鉴别方式。不同的路由器设备配置不同的数字签名密码,这是提高整体安全性能的有效手段。
综述:
路由器作为整个网络的关键性设备,安全问题是需要我们特别重视。当然,如果仅仅是靠上面的这些设置方法,来保护我们的网络是远远不够的,还需要配合其他的设备来一起做好安全防范措施,将我们的网络打造成为一个安全稳定的信息交流平台。
当路由协议数据包、管理数据包、keepaive等信息进入路由器时需要RP(Route Processor)来处理,或者说目的地址是路由器本身时,也需要由RP来处理。当有针对路由器自身的dos攻击时,如果所有信息都有RP处理,很容易导致路由器瘫痪。此时可通过设置selective packet discard来丢弃一些恶意的数据包,来保证设备的稳定运行。 * SPD默认是enable的 ;* SPD最初只是为pos口设计的,但后来GE口也可以使用spd技术 * 7200 Series Router * 7500 Series Router * 12000 Series Router SPD可通过2种方式丢弃数据包: * SPD State Check * Input Queue Check 所有到RP的数据包可分为2类: * 如果进入priority queue的,并且priority为7和6的,永远都不会被drop掉 * 其他数据包被放入general packet queue,并进行spd state check 对于进入general packet queue的数据包,也就是进行spd state check的数据包会进行如下处理: * 如果queue的长度小于min-threshold,正常包和畸形包都不会被drop掉 * 如果queue的长度在min-threshold和max-threshold之间 * 如果是normal mode,正常包和畸形包会被随机的丢弃 * 如果是aggresive mode,所有畸形包会被丢弃 * 如果queue的长度大于max-threshold,那么所有正常包和畸形包都会被drop掉 * 如果spd工作在aggressive mode,所有的畸形包会被丢弃,例如invalid checksum、incorrect version、incorrect header length、incorrect packet length等。 * 通过命令ip spd mode aggressive开启aggressive mode * 12000系列路由器不支持aggressive mode,因为畸形包在会被每个linecard丢弃,而不需要由GRP(gigabit route processor)处理 SPD state check是基于RP的,而Input Queue Check是基于interface的。如果不开启spd的话,默认情况下每个interface的queue是75,当queue中的数据大于75时,大于75的部分会被丢弃。这个queue可以通过show interface看到。 GigabitEthernet1/2 is up, line protocol is up Hardware is GigMac 3 Port GigabitEthernet, address is 0005.5ffd.4082 (bia 0005.5ffd.4082) Description: sample Internet address is x.x.x.x/30 MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, rely 255/255, load 131/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full Duplex, 1000Mbps, link type is force-up, media type is LX output flow-control is unsupported, input flow-control is unsupported ARP type: ARPA, ARP Timeout 04:00:00 Last input 00:00:00, output 00:00:03, output hang never Last clearing of "show interface" counters never Queueing strategy: fifo Output queue 0/40, 0 drops; input queue 0/75, 25 drops //[就在这里] 30 second input rate 613917000 bits/sec, 122041 packets/sec 30 second output rate 517166000 bits/sec, 123695 packets/sec 77400124545 packets input, 44369025705444 bytes, 0 no buffer Received 5898 broadcasts, 0 runts, 0 giants, 0 throttles 647964 input errors, 0 CRC, 0 frame, 485923 overrun, 162041 ignored 0 watchdog, 0 multicast, 0 pause input 69912443364 packets output, 41951561990047 bytes, 0 underruns Transmitted 1 broadcasts 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier, 0 pause output 0 output buffer failures, 0 output buffers swapped out 如果需要修改这个queue的长度,可通过以下命令修改 O-HPM-GSR-1(config-if)#hold-queue ? <0-4096> Queue length O-HPM-GSR-1(config-if)#hold-queue 100 ? in Input queue out Output queue O-HPM-GSR-1(config-if)#hold-queue 100 in O-HPM-GSR-1(config-if)#hold-queue 100 in ? O-HPM-GSR-1(config-if)#hold-queue 100 in 如果开启了SPD,那么priority为7和6的数据包会进入process level input queue(这个queue的名字叫headroom),而其他的数据包仍然会放在interface input queue里。process level input queue的大小默认为100.也就是说当interface总的queue长度175被用满后,priority是7和6的数据包就会被丢弃了。对于 GSR来说,这个process level input queue的长度默认是1000,这是由于clear ip bgp时会有很多packet进来,如果还是100的话,很多bgp包会被丢弃,这样就会影响网络收敛的速度。 由于ospf、isis、ppp、clns这类igp和2层链路间的keepalive的priority和bgp一样,如果在一个很大的bgp网络中, bgp的packet会比igp的多的多,那么他会大量的占据headroom,这就有可能导致igp的中断、或者直接在layer 2链路down掉。因此对于这样的数据包,默认再分配一个值为10的extended headroom,来保证igp和layer2 link的正常工作。 O-HPM-GSR-1#sho ip spd Current mode: normal. Queue min/max thresholds: 73/74, Headroom: 1000, Extended Headroom: 10 IP normal queue: 0, priority queue: 0. SPD special drop mode: none
在网络设备维护上,现在很多维护的资料上都讲到“路由策略”与“策略路由”这两个名词,但是有很多搞维护的技术人员对这两个名词理解的还不是很透彻,无法准确把握这两者之间的联系与区别。本文简单分析一下这两者之间的概念,并介绍一些事例,希望大家能从事例中得到更深的理解。
一、路由策略
路由策略,是路由发布和接收的策略。其实,选择路由协议本身也是一种路由策略,因为相同的网络结构,不同的路由协议因为实现的机制不同、开销计算规则不同、优先级定义不同等可能会产生不同的路由表,这些是最基本的。通常我们所说的路由策略指的是,在正常的路由协议之上,我们根据某种规则、通过改变某些参数或者设置某种控制方式来改变路由产生、发布、选择的结果,注意,改变的是结果(即路由表),规则并没有改变,而是应用这些规则。
下面给出一些事例来说明。
改变参数的例子:例如,A路由器和B路由器之间是双链路(分别为AB1和AB2)且带宽相同,运行是OSPF路由协议,但是两条链路的稳定性不一样,公司想设置AB1为主用电路,当主用电路(AB1)出现故障的时候才采用备用电路(AB2),如果采取默认设置,则两条电路为负载均衡,这时就可以采取分别设置AB1和AB2电路的COST(开销)值,将AB1电路的COST值改小或将AB2电路的COST值设大,OSPF会产生两条开销不一样的路由,COST(开销)越小路由代价越低,所以优先级越高,路由器会优先采用AB1的电路。还可以不改COST值,而将两条电路的带宽(BandWidth)设置为不一致,将AB1的带宽设置的比AB2的大,根据OSPF路由产生和发现规则,AB1的开销(COST)会比AB2低,路由器同样会优先采用AB1的电路。
改变控制方式的例子,基本就是使用路由过滤策略,通过路由策略对符合一点规则的路由进行一些操作,例如最普通操作的是拒绝(deny)和允许(Permit),其次是在允许的基础上调整这些路由的一些参数,例如COST值等等,通常使用的策略有ACL(Acess Control List访问控制列表)、ip-prefix、AS-PATH、route-policy等等。大部分的路由策略都和BGP协议配合使用中,属于路由接收和通告原则。
例如,AS1不向AS2发布19.1.1.1/32这个网段,可以设置ACL列表,在RTB上设置(以华为的路由器为例):
[RTB]acl number 1 match-order auto
[RTB-acl-basic-1]rule deny source 19.1.1.1 0
[RTB-acl-basic-1]rule permit source any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] peer 2.2.2.2 filter-policy 1 export
如果B向C发布了这条路由,但是C不想接收这条路由,则C可以设置:
[RTC]acl number 1 match-order auto
[RTC-acl-basic-1]rule deny source 19.1.1.1 0
[RTC-acl-basic-1]rule permit source any
[RTC]bgp 2
[RTC-bgp]peer 2.2.2.1 as-number 1
[RTC-bgp] peer 2.2.2.1 filter-policy 1 import
再举个ip-prefix的例子:
例如RTB不向RTC发布19.1.1.0/24这个网段的路由,则可以设置
[RTB]ip ip-prefix test index 10 deny 19.1.1.0 24
[RTB]ip ip-prefix test index 20 permit any
[RTB]bgp 1
[RTB-bgp]peer 2.2.2.2 as-number 2
[RTB-bgp] import-route ospf
[RTB-bgp] import-route direct
[RTB-bgp]peer 2.2.2.2 ip-prefix test export
ip-prefix是精确匹配的,如果想实现模糊匹配,可以通过后面的参数less-equal或greater-equal来实现,例如ip ip-prefix test index 10 deny 19.1.1.0 24 less-equal 31就表示从19.1.1.0/24、19.1.1.0/25、19.1.1.0/26一直到19.1.1.0/31都能匹配上,否则这仅仅表示只匹配目的网络是19.1.1.0/24这一条路由,而19.1.1.0/25不满足该条件,具体可以参考命令手册,这里不详细解释了。
上面讲的都是路由的运行和禁止,下面讲更灵活的路由策略设置方式:route-policy中if-match和apply的匹配,这里不仅能设置允许或禁止某些路由,还能对允许的路由设置其属性。
RTB与RTC之间跑的是IBGP协议,RTA与RTB、RTC之间跑的是EBGP协议。Router_ID按A、B、C、D从小到大排序。正常情况下,RTA到RTD之间的通信会选择RTB做中转,RTD到RTA的通信也会选择RTB,在默认情况下,所有参数都相同,BGP会选择router_ID较小的一条路径。现在想让RTD到RTA之间的通信都走RTB,而RTA到RTD之间的通信都通过RTC,即两台路由器中RTB专门负责自治域内路由器与域外路由器之间的出口通信,而RTC专门做自治域外路由器与域内路由器的进口通信,我们可以用route-policy中的as-path来实现,在RTB上做:
[rtb]route-policy test permit node 10
[rtb-route-policy]apply as-path 300 400 //添加虚假的路径,使as-path增长
[rtb-bgp]peer 1.1.1.1 route-policy test export //向RTA发布路由信息的时候使用策略
这样B在向A发布BGP路由的时候,加大路由的AS-Path值,根据BGP路由选择规则,优先选用AS-Path较短的路由,这样RTA向RTD通信的时候,优先选用AS-Path短的RTC这条路由,而RTD在选择到RTA路由的时候仍然选择的是RTB,因为对RTD来说,影响路由的参数什么都没有任何变化。其实也可以使用改变Med值来设定,这里用路由策略来举例。
这种方法特别灵活在apply语句中能设置多种参数,除了as-path,还有ip next hop(设置下一跳)、local-preference(本地出口优先级)、cost(开销)、origin(起源,来自igp、egp还是incomplete)、tag(标记)。
二、策略路由
2.2.2.2/30
2.2.2.1/30
1.1.1.2/30
RTB
1.1.1.1/30
10.10.10.0/24
策略路由是在路由表已经产生的情况下,不按照现有的路由表进行转发,而是根据需要,某些通信流量选择其他路由的方式。
PC2
PC1
交换机
RTA
如图,RTA和RTB之间的通信有2条链路,其中上面那条电路是主用,带宽是1000M的,下面的电路是备用,带宽是10M的,目前10M基本是空闲,大部分的通信都走主用上走,PC1(10.10.10.10/24)是某个特别重要的客户,他发的信息要求被立即传送,我们根据这种情况,我们可以将他的发送通信量单独使用下面备用电路的方法。
rule-map intervlan permitpc1 ip 10.10.10.10 0.0.0.0 any
flow-action next2 redirect ip 2.2.2.2
eacl abc permitpc1 next2
然后在和10.10.10.0/24网络直连的端口上使用 access-group eacl abc命令下发应用。
这是一个策略路由的典型应用。这个应用是根据源地址来选择转发路径的,还可以根据协议类型(例如将UDP和TCP分开跑不同的电路)、应用(例如某些视频应用要求实时传送,可以将rstp流单独使用一条电路来跑)、报文大小或它们的组合等来设置转发条件。其实就是将acl规则应用到数据转发上,rule-map的规则同ACL,这里就不在举再多的例子了,熟悉ACL的技术人员都知道。
这里flow-action做的动作redirect就是设置下一条,使用flow-action还可以进行QoS相关的操作,例如使用cos或car动作对数据包进行队列匹配,再根据相关设置的流量模型规则进行操作,具体参阅命令参考手册。
三、联系与区别
联系:
双方都是为了转发数据包而进行路径选择的策略,都是根据某种规则改变某些参数或控制手段来设置不同的转发路径。
区别:
路由策略是根据一些规则,使用某种策略改变规则中影响路由发布、接收或路由选择的参数而改变路由发现的结果,最终改变的是路由表的内容。是在路由发现的时候产生作用。
策略路由是尽管存在当前最优的路由,但是针对某些特别的主机(或应用、协议)不使用当前路由表中的转发路径而单独使用别的转发路径。在数据包转发的时候发生作用、不改变路由表中任何内容。
策略路由的优先级比路由策略高,当路由器接收到数据包,并进行转发的时候,会优先根据策略路由的规则进行匹配,如果能匹配上,则根据策略路由来转发,否则按照路由表中转发路径来进行转发。
概括一点讲就是,路由策略是路由发现规则,策略路由是数据包转发规则。其实将“策略路由”理解为“转发策略”,这样更容易理解与区分。由于转发在底层,路由在高层,所以转发的优先级比路由的优先级高,这点也能理解的通。其实路由器中存在两种类型和层次的表,一个是路由表(routing-table),另一个是转发表(forwording-table)。转发表是由路由表映射过来的,策略路由直接作用于转发表,路由策略直接作用于路由表。
四、优缺点
网络通信的规则是先有路由,才有转发。路由策略由于仅仅在路由发现的时候产生作用,在路由表产生且稳定之后,如果网络不发生变化,路由表通常都不会变化,这时候,路由策略没有应用就不会占用资源。而策略路由是在转发的时候发生作用,路由器在初始产生路由表之后,基本工作量都在数据包转发上,如果没有策略路由,路由器只要分析每一个数据包的目的地址,再按路由表来匹配就可以决定下一跳;但是如果有策略路由,策略路由就一直处于应用状态,如果策略路由特别复杂,路由器要根据规则来判断数据包的源地址、协议或应用等附加信息,这样就会一直占用大量的资源,所以除非不得已,尽量使用路由策略,而不要使用策略路由。网络优化的时候需要考虑这一点,如果策略路由特别复杂,能通过将网络进行简单分解而达到取消策略路由的尽量进行分解,否则路由器负担很重。
在Cisco路由器中有一个配置注册码,即Configuration register value,使用show version命令后,在最后一行可以看到它的值,它是由4个16进制数组成,如0x2102,用二进制表示就是0010000100000010,它的后四位称为Boot field,路由器根据Boot field的值决定从哪里启动IOS系统,具体规定如表所示。它的第六位(有下划线的位)一般为“0”,如果是“1”则表示让路由器启动的时候绕过配置文件进入到Startup模式,这时没有口令提示就直接进入特权配置模式,于是通过修改第六位的值就可以实现恢复口令的目的。
Boot field 字段的值
启动方式
0x0-(0000)
直接进入Rommon>方式,此方式可以修改Configuration register 的值
0x1-(0001)
从ROM中自动引导IOS
0x2-0xF(0010-1111)
如果没有Boot system命令,将安装Flash中的IOS,失败的话以广播的方式在TFTP服务器上寻找IOS,如果再次失败,从ROM中安装IOS.
如果有Boot system命令,则查看Boot system命令来决定用什么方式安装IOS.
首先,准备一台装有Windows9x/2000/xp操作系统的计算机,使用路由器所带的console线连接PC的com口和路由器的console 口,然后进入PC,进入“开始→程序→附件→通讯→超级终端”,建立一个新连接,使用COM串口,端口设置为:每秒位数9600bps、数据位8位、奇偶检验无、停止位1、数据流控制无。然后打开路由器电源,键入回车键即可显示路由器启动信息。
然后,需要修改启动路由器的配置注册码(Configuration register value)。在路由器启动的第一个60秒内按下CTRL BREAK键,这时会终止路由器的启动,进入ROMMON模式下,即ROMMON 1>,输入下面的命令:
Rommon 1 > confreg 0x2142 (针对1600、2600系列路由器)
Rommon 2 > reset (重新启动路由器)
如果是1500、2500系列路由器,输入“o/r 0x2142”命令,0x2142中的“4”,用二进制表示就是0100,把配置注册码的第6位设置为“1”,也就是0010000101000010,这使得路由器启动的时候绕过配置文件进入到Startup模式。路由器启动后进入Startup模式,显示系统配置对话,提示是否进入初始配置时,输入 “N”不进行配置,然后在用户模式下(User mode)输入enable命令直接进入特权模式(Privileged mode),这时没有提示输入口令。
这时进入路由器的特权配置模式,使用#show running-config命令可以发现没有任何配置,使用#show startup-config命令可以看到原来配置的参数,使用下面的命令进行参数恢复。
Router#copy startup-config running-config |
最后,修改密码和配置注册码(Configuration register value)后,保存配置并重新启动路由器就可以了。
Router#config terminal |
第一种方法:X-Modem
曾经尝试过一种方法,就是当Flash被删除后,启动无法进入系统,可以用X-Modem来
恢复它。当时我不小心删除了一台Cisco2950交换机的FlashIOS,导致系统无法启动,在查
过不少资料后得到一个结论:唯一的方法通过X-Modem来恢复。我的恢复方法如下:
1、用控制线连接交换机console口与计算机串口1,用带有xmodem功能的终端软件连接
(win2000 and xp的超级终端就带这功能)。
2、设置连接方式为串口1(如果连接的是其他串口就选择其他串口),速率9600,无
校验,无流控,停止位1。或者点击默认设置也可以。
3、连接以后计算机回车出现交换机无ios的界面,一般的提示符是:switch:
4、拔掉交换机后的电源线重新启动交换机
5、在超级终端输入:
switch:flash_init
会出现如下提示:
Initializing Flash...
6:输入拷贝指令:
switch:copy xmodem: flash:image_filename.bin
出现如下提示:
Begin the Xmodem or Xmodem-1K transfer now...
7、系统提示不断出现C这个字母就可以开始传文件了
8、点击超级终端菜单:传送---发送文件,在协议选项中选择Xmodem或者Xmodem-1K协
议,然后选择ios的影像文件(*.bin),开始传送。
9、因为不能改速率,所以传送得很慢,我的大概传送了80分钟左右,请耐心等待。
10、传送完毕后提示:
File "xmodem:" successfully copied to ....
switch:
11、在提示符下输入
switch:boot
启用新的ios系统
12、重新加电完成恢复工作。
这个是我恢复的方法,现在看来非常的不科学,效率低。后来看了别人同样用X-Modem
恢复IOS,但是效率要高的方法:
先打开超级终端,进入rommon 模式(Ctrl Break组合键),键入confreg,如下:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
rommon 1 > confreg 回车
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands
or default to: cisco2-C2600
do you wish to change the configuration? y/n [n]: y (选择 yes)
enable "diagnostic mode"? y/n [n]: n (选择 no)
enable "use net in IP bcast address"? y/n [n]: n (选择 no)
disable "load rom after netboot fails"? y/n [n]: n (选择 no)
enable "use all zero broadcast"? y/n [n]: n (选择 no)
enable "break/abort has effect"? y/n [n]: n (选择 no)
enable "ignore system config info"? y/n [n]: n (选择 no)
change console baud rate? y/n [n]: y (选择 yes)
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400
4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [0]: 7 (选择 7,用最大
的115200速率的xmodem传输)
change the boot characteristics? y/n [n]: n (选择 no)
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 115200
boot: image specified by the boot system commands
or default to: cisco2-C2600
do you wish to change the configuration? y/n [n]: n (选择 no)
You must reset or power cycle for new config to take effect
rommon 2 > reset 回车
【注意】在此时键入 reset键之前,开始定义串口速度(我的电脑---端口属性----串
口速度调为115200),然后再修改超级终端里设置速率为115200,记住,一定这么做!否
则出现乱码! 然后关闭这个超级终端,重新建立一个超级终端连接,(期间系统重新启动
)启动后,出现rommon 1> 提示符然后,输入
rommon 1> xmodem -r
Do not start the sending program yet...
Invoke this application only for disaster recovery.
Do you wish to continue? y/n [n]: y (选择 yes)
Ready to receive file ...
此时,在超级终端的菜单上的“传送”---“发送文件”----选择IOS镜像文件所在地
以及选择使用“xmodem”协议,点击“发送”即可然后等待10-20分钟左右就把3-6M的IOS
灌进去了!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
(修改回计算机串口与超级终端、路由器confreg下的xmodem 等9600的
传输速率)
(videre注:实际用的时候,我发现这个命令总是改不成功,后来发现在line con 0
下面有了一个speed 115200,所以即使改register成功,启动以后router又执行speed
115200,还是不行,所以如果有这个问题,记得把这个语句no掉)
Router>en 进入新IOS的特权模式
Router#reload 重启系统
Proceed with reload? [confirm] 回车
00:01:04: %SYS-5-RELOAD: Reload requested
System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by cisco Systems, Inc.
TAC:Home:SW:IOS:Specials for info
PC = 0xfff0a530, Vector = 0x500, SP = 0x680127b0
C2600 platform with 24576 Kbytes of main memory
PC = 0xfff0a530, Vector = 0x500, SP = 0x80004684
monitor: command "boot" aborted due to user interrupt
rommon 1 > confreg ( 输入“confreg”命令)
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 115200
boot: image specified by the boot system commands
or default to: cisco2-C2600
do you wish to change the configuration? y/n [n]: y (选择 yes)
enable "diagnostic mode"? y/n [n]: n (选择 no)
enable "use net in IP bcast address"? y/n [n]: n (选择 no)
disable "load rom after netboot fails"? y/n [n]: n (选择 no)
enable "use all zero broadcast"? y/n [n]: n (选择 no)
enable "break/abort has effect"? y/n [n]: n (选择 no)
enable "ignore system config info"? y/n [n]: n (选择 no)
change console baud rate? y/n [n]: y (选择 yes)
enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400
4 = 19200, 5 = 38400, 6 = 57600, 7 = 115200 [7]: 0 (选择 0,改回用
标准速率速率9600的xmodem传输)
change the boot characteristics? y/n [n]: n (选择 no)
Configuration Summary
enabled are:
load rom after netboot fails
console baud: 9600
boot: image specified by the boot system commands
or default to: cisco2-C2600
do you wish to change the configuration? y/n [n]: n
You must reset or power cycle for new config to take effect
rommon 2 >
此时手工改回计算机串口与超级终端2者传输速率为9600,然后敲入rommon 2 >reset(
最好关电源)他的方法有两个地方和我的不一样,首先是他在启动后进入了rommon模式,其
次是他修改了串口的速率,这样就比我快的多了。
第二种方法:TFTP
本来在用X-Modem之前尝试用TFTP的方法来恢复,但是都没有成功,就以为TFTP方法行不同。但后来在网上看到,其实TFTP也是可以用的,而且效率可能更高。下面是别人恢复的方法,可惜我没实践过,因为我没有进入过rommon模式:
在一台机器上安装TFTP服务器软件,将IOS 文件放置在TFTP服务器的默认根目录下,打开TFTP服务器,用控制线将这台机器与ROUTER连接起来,另外用交叉网线连接机器的网卡和ROUTER的以太口。(也可以用普通的网线将ROUTER和交换机相连再连接机器)做好以上工作后,打开机器的超级终端工具,连接上ROUTER,按Ctrl Break组合键,此时窗口中
出现的命令行提示符为: ROMMON 1 >
(其中“1”代表命令行的行数)。在提示符后输入命令:
ROMMON 1 >IP_ADDRESS= ROUTER的IP地址(要和TFTP服务器在同一网段内)
ROMMON 2 >IP_SUBNET_MASK= ROUTER的子网掩码
ROMMON 3 >DEFAUT_GATEWAY= 默认网关地址 (可以没有,也可以是TFTP服务器)
ROMMON 4 >TFTP_SERVER= TFTP 服务器IP地址
ROMMON 5 >TFTP_FILE= IOS文件名(只给出文件名,不需要路径)
ROMMON 6 >tftpdnld 回车
【注意】前面的几条命令必须使用大写,而最后的tftpdnld则要用小写。在tftpdnld命令执行后,只要根据提示选择,就可完成文件的传输。当文件传输完后,将自动回到命令行下,输入reset重启ROUTER,重启后就又回到了熟悉的IOS模式下甚至连以前配置的信息都不会丢失。
注意的几个问题:
A.在连接运行tftp server的PC 机至路由器时,必需使用路由器的第一个以太口,即Ethernt0(对2500系列等),Ethernet0/0(对2600系列等),其它系列略有差别,可根据使用手册进行确定。
B.在使用连接电缆时,一定要用交叉线,因这种情况属DTE与DCE之间的连接。
C.在运行tftp server的PC 机上,一定要有相应的路由器的IOS映象文件,可以通过多种渠道和多种方式获得该文件。
D.tftp server的地址可以随意定义,但必须与路由器定义的地址在同一网段上。
可以看到,以上两种方法都需要有IOS 文件,如果没有备份原文件的话,可以找个同一版本的IOS 来替代。
