网络工程设计与应用(第8).ppt

配置ACL时需要注意的问题 1）在定义访问控制列表时，需要注意语句输入的先后顺序 2）路由器不对由自身产生的IP包进行过滤，在实验时应由其他的设备发包进行测试 3）show ip access-list命令列出了所定义的访问控制列表的情况。show ip int s0 命令列出的信息会给出关于访问控制列表引用情况的信息，表明在进入（in）或出（out）路由器的方向上引用访问控制列表的情况 4）clear access-list counters 指令清空了访问控制列表的计数器，以便观察配置结果 5）为了验证访问控制列表配置的正确性，可以形成回路的路由器的网络接口关闭，使网络路由拓扑不形成回路 6）可以使用扩展的 ping 命令测试访问控制列表的定义和引用情况 8.10 路由器系统软件恢复和维护 8.10.1 路由器密码恢复 8.10.2 路由器IOS的故障 8.10.3 路由器IOS恢复方法 8.10.4 FTP站点的创建 8.10.5 Rommon模式下的IOS恢复 8.10.6 通过FTP或TFTP的IOS恢复 8.10.1路由器密码恢复 以Cisco 2811 路由器密码恢复为例进行讨论 1、路由器密码存放的位置 2、密码恢复步骤（以恢复控制台密码为例） ①重新启动路由器 ②修改配置寄存器的值 ③路由器重启后会提示是否进入初始配置模式 ④在用户模式（user mode）下，输入“enable”进入特权模式此时我们可以有两种处理的方法 一是将系统恢复出厂配置 二是保留配置中其他信息 路由器密码存放的位置 路由器在启动的时候，首先会进行路由器加电自检测试（POST），然后在闪存（flash）中查找IOS，随后IOS处理装载，并且在NVRAM中查找有效配置文件，也就是通常所说的启动配置文件（startup-config） 如果配置文件存在，则运行相应的配置信息，如果不存在，则会进入设置模式 这里要注意的是，所有被设置的密码信息就包含在这个启动配置文件（startup-config）中 所以口令恢复的关键是在于绕过startup-config文件，不加载配置信息，也就不会出现输入密码的提示 配置寄存器中与密码配置有关的位 要提到一个重要的概念：配置寄存器它是一个位于NVRAM中的16位软件寄存器 默认情况下，配置寄存器的值是0x2102 二进制表示为：0010000100000010，从右到左依次是第0位…第15位。这个值意味着路由器从闪存加载IOS并告诉路由器从NVRAM调用启动配置（startup-config） 相反，如果第6位是“1”则表示让路由器启动的时候绕过startup-config文件进入到设置模式，这时没有“Password”的提示 所以口令恢复的关键就在于修改“配置注册码”的第6位，使启动绕过存放在NVRAM(存储备份配置文件)中的“有效口令”，而进行直接启动 密码恢复方法与步骤 1）重新启动路由器，在路由器启动的第一个60秒内按下Ctrl+Break键，这时会终止路由器的启动，进入Rommon模式下，会出现如下所示的提示 rommon 1 2）修改配置寄存器的值，在rommon 1提示下输入 rommon 1confreg 0x2142 接着重新启动路由器，命令如下 rommon 2reset 3）路由器重启后会提示是否进入初始配置模式，选择no，不进行配置。 Would you like to enter the initial configuration dialog? [yes/no] no 4）在用户模式（user mode）下，输入“enable”进入特权模式（privileged mode）下，此时可以有两种处理的方法 一是将系统恢复出厂配置 二是保留配置中其他信息，只删除密码信息或者设置新的密码。 5）将系统恢复出厂配置 将系统恢复出厂配置，配置过程 Router#erase startup-config Router#config t Router(config)#config-register 0x2102 Router(config)#exit Router#copy running-config startup-config 重新启动路由器。 上述命令所执行的操作依次是：删除系统的启动配置文件；进入全局配置模式下，将配置寄存器的值修改为默认值；然后在特权模式下保存当前的运行配置 取消口令的设置或者修改新的口令 Router#copy startup-config running-config Router#show running-config Router#config t Router(config)#line console 0 Router(config-line