《路由器基本知识及应用实例(DOC格式)》第5章

裎募薄∫唤凇！?br />
下面是从TFTP服务器更新Flash内存中系统映像文件的操作步骤：　
mand　
Purpose　
Step　1
Router#　show　slot0：　
查看是否有足够的空间拷贝新的软件映像文件。Flash内存的默认大小的20M如果发现没有足够的空间拷贝新的软件，请执行第四步。　
Step　2
Router#　delete　slot0：filename
or
Router#　delete　disk0：filename　
给在flash内存或硬盘中不需要的文件做上删除标记，对于重要的文件，请先备份　
Step　3
Router#　squeeze　slot0：　
永久删除Permanently　removes　deleted　files　from　a　Flash　memory　card　located　in　slot　0。　The　squeeze　mand　also　makes　all　other　undeleted　files　on　the　Flash　card　contiguous。　This　step　is　not　required　if　you　are　using　a　Flash　disk。　
Step　4
Router#　copy　tftp：　slot0：　
开始从TFTP服务器拷贝一个文件到0号槽位Flash内存的过程。　
Step　5
Address　or　name　of　remote　host　＇＇？　192。168。16。254　
指明TFTP服务器的地址。
Step　6
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明要拷贝的映像文件的名字。　
Step　7
Destination　filename　＇gsr…p…mz。120…7。4。5＇？
指明目的文件的名字。
Step　8
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式。　
Step　9
Router（config）#　boot　system　flash　slot0：gsr…p…mz。120…7。4。5　
指明启动系统时使用0号槽位flash内存的　gsr…p…mz。120…7。4。5　文件
Step　10
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。
Step　11
Router（config）#　Ctrl…Z　
退出全局配置模式。　
Step　12
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
保存软件配置设置。　
Step　13
Router#　reload　
重启系统
2。2。1。2。8　在Flash内存或硬盘间拷贝IOS软件映像文件
在Flash内存或硬盘间拷贝软件映像文件的过程如下：　
mand　
Purpose　
Step　1
Router#　copy　slot1：　slot0：　
开始拷贝文件的过程：从1号槽位的Flash内存拷贝到0号槽位的Flash内存。　
Step　2
Source　filename　＇＇？　gsr…p…mz。120…7。4。5　
指明源文件名称gsr…p…mz。120…7。4。5。
Step　3
Destination　filename　＇gsr…p…mz。120…7。4。5＇？
指明目的文件名称。回车后开始拷贝，该过程可能比较长。　
指定一个CISCO软件映像文件作为默认的启动映像文件。
命令　
作用　
1
Router#　configure　terminal　
Enter　configuration　mands；　one　per　line。　End　with　CNTL/Z。　
进入全局配置模式　
2
Router（config）#　boot　system　flash　slot0：gsr…p…mz。ME12_SRP_VER_12_08_12　
指定系统启动的默认映像文件为gsr…p…mz。ME12_SRP_VER_12_08_12　
3
Router（config）#　config…register　0x0102　
关闭Break并且启动boot　system　flash过程。　
4
Router（config）#　Ctrl…Z　
退出全局配置模式。　
5
Router#　copy　running…config　startup…config　
or　
Router#　write　memory　
存软件配置设置。
6
Router#　reload　
重启系统。
保存配置文件　
保存配置文件，特别是在对配置文件做重大改动之前先将配置文件备份，是一个很好的习惯。系统有两个配置文件，一个是存储在NVRAM中的启动配置文件（startup　configuration　file），　另一个是存储在DRAM中的运行配置文件（running　configuration　file）。一般情况下，这两个配置文件是一样的，除非更改了运行配置文件，并且没有写回启动配置文件。
保存启动配置文件，使用下列相关命令：　
命令　
作用　
Router#　copy　startup…config　slot0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　startup…config　slot1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　startup…config　disk0：filename　
将NVRAM中的启动配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　disk1：filename　
将NVRAM中的启动配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　startup…config　tftp：　
将NVRAM中的启动配置文件拷贝到TFTP服务器。　
保存运行配置文件；使用下列相关命令：　
命令　
作用　
Router#　copy　running…config　slot0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　内存中，并且命名为filename。
Router#　copy　running…config　slot1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　内存中，并且命名为filename。　
Router#　copy　running…config　disk0：filename　
将DRAM的运行配置文件拷贝到0号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。
Router#　copy　running…config　disk1：filename　
将DRAM的运行配置文件拷贝到1号槽位的PCMCIA　Flash　硬盘中，并且命名为filename。　
Router#　copy　running…config　tftp：　
将DRAM的运行配置文件拷贝到TFTP服务器。　
使用dir　命令检查配置文件是否正确拷贝了，下面这个例子检查0号槽位的Flash内存：　Router#　dir　slot0：　
…#…length……………date/time……………name　
1　5200084　May　10　1997　19：24：12　gsr…p…mz。112…8　
3　1215　May　10　1997　20：30：52　myfile1　
4　6176844　May　10　1997　23：04：10　gsr…p…mz。112…8。1　
5　1186　May　10　1997　16：56：50　myfile2　
9197156　bytes　available　（11381148　bytes　used）　
恢复配置文件
从Flash　内存或硬盘中恢复配置文件，步骤如下：
命令
作用　
Step　1
Router#　copy　slot0：filename　startup…config　
将0号槽位的文件（名为filename），恢复作为启动配置文件。　
Step　2
Router#　copy　startup…config　running…config　
将启动配置文件作为运行配置文件。　
2。2。2　系统配置
2。2。2。1　设备安全保障
从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。Internet　标准文本RFC2196　〃Site　Security　Handbook〃（　互联网安全手册）　为我们提供了一个非常好的开端。该文本明确指出网络安全应该从以下五个方面来考虑：
*　确认需要被保护的对象
*　找出被保护对象可能受到的攻击方式
*　估计攻击事件的可能性
*　实施经济的‘有效的安全手段来保护已确认的‘需要被保护的对象
*　定期总结以上四步操作结果，加以完善
被保护的对象
骨干路由器
带外网管路由器
局域网交换机
攻击方式，可能性及防护手段
攻击方式： 猜测操作员姓名/口令
攻击事件的可能性： 高
防护手段：
操作员姓名/口令（Radius；TACACS＋　or　Kebros＋一次性口令）
SNMP，VTY及Console　端口的限制接入（ACL　访问控制限制表）
VTY及Console　端口的timeout控制（Timer，定时）
口令加密
Login　Banner　（明确标识，警告非法性登陆的法律后果）
攻击方式： UDP/TCP诊断端口DoS（Denial　of　Service）　攻击
攻击事件的可能性： 高
防护手段：
关闭相应UDP/TCP端口服务
（　no　service　udp…small…servers）
（　no　service　tcp…small…servers）
攻击方式： 聆听“finger〃　以窃取用户login信息
攻击事件的可能性： 高
防护手段： 关闭相应”finger〃　服务（no　service　finger）
攻击方式： SMURF　（有关SMURF定义可参考　Craig　Heugen的网站：http：//quadrunner。/~chueguen/smurf。txt）
攻击事件的可能性： 高
防护手段： 关闭骨干路由器相应IP性能
（no　ip　redirects）
（no　ip　directed…broadcast）
（no　ip　proxy…arp）
攻击方式： 损耗CPU
攻击事件的可能性： 中
防护手段： 关闭相应?