CCNA教程 第8-2章.ppt

第8章 使用并升级Cisco PIX防火墙软件映像 本章包含下列主题： 使用命令接口 配置、维护并测试PIX防火墙 升级PIX OS 进行口令恢复操作 PIX 命令行接口 PIX 提供了四种管理访问模式： 非特权模式——当一开始访问PIX防火墙时，就是处于这种模式中。这种模式经常被称为用户可执行模式。显示的提示符是。 特权模式——这种模式显示的提示符是#，在这种模式中，我们可以改变当前设置。在特权模式中，我们也可以使用任何非特权命令。一旦我们访问特权模式，就可以访问配置模式。 维护并测试PIX防火墙 在使用PIX防火墙的时候，有许多通用的维护配置命令。为了从非特权模式进入到特权模式，然后再进入配置模式，需要输入下列命令序列： pixfirewall enable password: ****** pixfirewall# config t pixfirewall(conf)# 下列命令用于配置、维护和测试PIX防火墙： enable——如果用户知道口令，enable命令就可以让他进入特权模式。输入enable命令之后，PIX防火墙将要求用户输入特权模式的口令。要想退出特权模式并返回前一种模式，可以使用disable、exit或quit命令。设置口令的命令是enable password password。在PIX防火墙的配置文件中，口令时被加密保存的。 configure terminal——如果我们想交互式地改变PIX防火墙的配置，应采用命令configure terminal。任何添加的配置参数都将被归并到当前运行的配置当中。当对PIX防火墙进行配置修改时，修改会立刻生效，并被保存到RAM里正在运行的配置当中。 enable password——这条配置命令的参数将设置允许我们访问特权模式的口令。在我们输入enable命令之后，就被要求输入这个口令。系统没有为enable password命令分配缺省的口令。当第一次访问特权模式时（在产生第一个enable口令之前），要求我们输入一个口令。因为还没有设置口令，所以只要输入一个回车就可以访问特权模式。口令时区分大小写的，而且可以具有最多16个字母数字型的字符。我们可以使用任何字符，但是问号、空格和冒号除外。如果改变了一个口令，最好采用一种符合该节点安全策略的方式，对口令进行存储（例如，写入到日志中，并存储到一个安全的区域）。因为enable password是被加密的（缺省），一旦它被产生或改变，在配置文件中都不能以明文的形式看到它。命令show enable 显示的是口令的加密形式。在设置enable password 时，我们也可以选择输入口令的加密形式。具体做法是，在输入password后，输入可选项encrypted。 passwd——命令passwd可以让用户为访问PIX防火墙的Telnet设置口令。缺省的口令值是“cisco”。口令值是一个区分大小写的、最长16个字符的、字母数字型的字符串。可以使用除了问号或空格以外的任何字符。需要着重指出的是，如果美哟设置Telnet口令，一个加密的字符串仍然出现在配置中。命令clear passwd将把Telnet口令重置为cisco。在使用passwd命令来设置口令时，用户也可以选择输入口令的加密形式。具体做法是在输入口令后，输入可选项encrypted。 Show configure——这条命令在终端上显示存储在Flash存储器中的配置文件（有时被称为“启动配置（start configuration）”）。因为Flash是非易失性的，所以如果PIX发生掉电或重启动，存储在那里的配置不会被丢失。启动配置是在系统启动期间，PIX防火墙将装载到RAM中的配置。 write terminal——这条命令在终端上显示当前运行的配置（有时被称为“当前配置（current terminal）”）。这个配置是被存储在RAM中的。 write net——将当前运行的配置文件存储到TFTP服务器上。将所有配置文件进行离线备份存储是一个好的习惯。当指定TFTP服务器的IP地址和文件路径时，运行的配置就被存储在那个指定的位置。 write erase——这条命令清除位于Flash存储器中的配置文件。 write floppy——这条命令将运行配置存储到磁盘上。 write memory——对PIX做出的任何改动都会立即生效。改动将被写入到位于RAM中的运行配置中。如果想把一个改动保存在PIX防火墙上，就应该用命令write memory将它存储在Flash存储器中。使用这条命令将会用RAM中的配置替换Flash中现存的配置。RAM中的配置保持不变。此命令不会干扰防火墙的数据包处理工