路由器IOS剖析
2008-12-31 00:00:00王佩楷
電腦知識與技術(shù) 2008年36期
摘要:互聯(lián)網(wǎng)操作系統(tǒng)(IOS)是路由器中核心軟件數(shù)據(jù)包,它是一種特殊的軟件。可用它配置路由器硬件,實現(xiàn)路由器硬件將信息從一個網(wǎng)絡(luò)路由或橋接至另一個網(wǎng)絡(luò),從而使得路由器具有英特網(wǎng)智能作用。它提供路由器這種網(wǎng)絡(luò)設(shè)備的所有主要的互聯(lián)網(wǎng)協(xié)議和路由選擇的支持。正是由于IOS的存在才使路由器具有強大的生命力,因此如何正確配置路由器的IOS就顯得尤為重要。
關(guān)鍵詞:路由器;路由;IOS;升級;權(quán)限
中圖分類號:TP393.03文獻標識碼:A文章編號:1009-3044(2008)36-2835-02
On the Internet Operating System(IOS) in a Router
WANG Pei-kai
(Huanggang Polytechnic College, Huanggang 438002, China)
Abstract: The Internet Operating System is the key software databank. It is a special software. All the router hardwares can be determined by the IOS, and those informations of hardwares will be routed or bridged from one network to another so that the router will have the function of internet intelligence. The IOS offers all those important internet protocols and supports the choice of routing. It is the existance of IOS that the router has so powful funtion. So a right IOS in a router will be the most important.
Key words: router; routing; IOS; updating; limits of authority
1 引言
路由器中的IOS它是一個與硬件分離的軟件體系結(jié)構(gòu),隨網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,可動態(tài)地升級以適應(yīng)不斷變化的技術(shù)。IOS可以被視作一個網(wǎng)際互連中樞:一個高度智能的管理員,負責管理的控制復(fù)雜的分布式網(wǎng)絡(luò)資源的功能。了解路由器IOS的特征和對IOS進行合理的配置是應(yīng)用好路由器的關(guān)鍵。
2 路由器的IOS
2.1 IOS主要特征如下
2.1.1 可靠的適當路徑
路由器中IOS軟件為所有主要的互聯(lián)網(wǎng)協(xié)議組包括IP、Novell NetWare、Apple AppleTalk、Banyan VINES、OSI、XNS及 Apollo域等提供了協(xié)議和路由選擇支持。
2.1.2 帶寬最優(yōu)化
路由器中IOS體系結(jié)構(gòu)通過消除廣域網(wǎng)(WAN)鏈路上不必要的流量以及智能選擇最經(jīng)濟的可用WAN鏈路來實現(xiàn)帶寬的最優(yōu)化處理。IOS性能諸如帶寬預(yù)留和優(yōu)先權(quán)排序等使得網(wǎng)絡(luò)管理員能夠存儲帶寬,并基于應(yīng)用程序類型、源或目的地等劃分流量優(yōu)先級。
2.1.3 資源分配控制
路由器中IOS中包含優(yōu)先權(quán)排隊和客戶排隊操作。優(yōu)先權(quán)輸出排隊操作允許網(wǎng)絡(luò)管理員傳送一定的數(shù)據(jù)包到較高優(yōu)先級的隊列中,而客戶排隊操作允許網(wǎng)絡(luò)管理員預(yù)留帶寬,或基于用戶定義的變量類型劃分WAN鏈路上的流量優(yōu)先級。路由器中 與其他桌面軟件TCP/IP和計算機供應(yīng)商共同合作,將路由器中IOS體系結(jié)構(gòu)部件應(yīng)用于服務(wù)器,并從服務(wù)器一直延伸至終端用戶站都支持帶寬預(yù)留和排隊技術(shù)。
2.1.4 管理和安全
路由器中IOS軟件具有一組完善的安全工具箱,用以區(qū)分資源以及禁止訪問敏感或保密信息或程序。多面濾波器可以防止用戶知道其他網(wǎng)絡(luò)用戶或資源信息。密碼加密處理、撥入認證、多級配置權(quán)限、計費和日志等特性可以阻止未被授權(quán)的用戶訪問信息。強大的防火墻技術(shù)和遠程訪問安全方案主要用于保護共同信息和資產(chǎn)。
2.1.5 綜合和可伸縮性
路由器中IOS軟件支持綜合路由選擇技術(shù)、LAN交換技術(shù)以及ATM信元交換技術(shù),并提供了可伸縮性,即可以任意連接大量的LANs和終端站。此外IOS也支持可伸縮路由選擇協(xié)議,從而可以避免無用擁塞,克服協(xié)議固有局限性,并越過由于互聯(lián)網(wǎng)區(qū)域分布特點及其分布范圍引起的障礙。
2.2 路由器IOS升級及配置文件的保存
Cisco把它的系統(tǒng)軟件存放在Flash memory里,每次啟動路由器時,從Flash memory里調(diào)出系統(tǒng)并執(zhí)行它。開機后進入初始化配置或用\"configer\",\"setup\"作配置后,所作的配置要保存起來以便下一次啟動直接運行,這就是配置文件了。配置文件存在非易失的NVRAM中。配置文件分成start-up configer和running configer兩種。Start-up configer是開機時啟動NVRAM配置。由于Cisco路由器指令系統(tǒng)是即時生效的,故運行的配置可能與啟動時的配置不同,把running configer寫到NVRAM中才是start-up configer。
路由器的系統(tǒng)文件和配置文件都可以象主機一樣拷貝進來,拷貝出去。
2.2.1 升級系統(tǒng)映像和配置文件
當系統(tǒng)出現(xiàn)故障,系統(tǒng)升級,配置文件拷貝,我們需要把服務(wù)器里軟件拷貝到路由器里。把系統(tǒng)映像從網(wǎng)絡(luò)服務(wù)器拷貝到Flash Memory。網(wǎng)絡(luò)上要有臺計算機作TFTP Server,用TFTP把系統(tǒng)文件拷貝到路由器的Flash memeory中。
建議大家在作系統(tǒng)升級時,為防止不正確操作等引起的升級失敗,請先把路由器原有的系統(tǒng)備份下來,包括FLASH中IOS和NVRAM中的配置文件。
拷貝系統(tǒng)文件到Flash memory:
copy tftp flash
copy tftp file-id (Cisco 7000,7200和7500系列)
cisco2600# copy tftp flash
IP address or name of remote host [255.255.255.255]?10.10.10.1(TFTP服務(wù)器地址)
Name of file to copy? c3640-is-mz_120-7_t.bin(該文件要存放在TFTP服務(wù)器TFTP軟件目錄下)
Copy c3640-is-mz_120-7_t.bin from 10.10.10.1 into flash memory? [confirm]
Flash is filled to capacity.
Erasure is needed before flash may be written.
Erase flash before writing? [confirm]
eeeeeeeeeeeeeeee...
Loading from 10.10.10.1:!!!!...
[OK - 8141044/8388608 bytes]
Verifying via checksum...
Flash verification successful. Length = 8141044, checksum = 0x12AD
把配置文件從網(wǎng)絡(luò)服務(wù)器拷貝到路由器NVRAM。
從TFTP Server中把文件拷入路由器 copy tftp running-config 或copy tftp startup-config 。
2.2.2 備份系統(tǒng)映像和配置文件
把系統(tǒng)文件和配置文件保存在網(wǎng)中的服務(wù)器上是一個很好的做法,幫助你在系統(tǒng)或配置文件丟失時,盡快恢復(fù)系統(tǒng)正常運行。
拷貝系統(tǒng)映像到網(wǎng)絡(luò)服務(wù)器,首先顯示IOS文件的文件名:show flash ,拷貝系統(tǒng)文件到TFTP Server:copy flash tftp。
拷貝配置文件到網(wǎng)絡(luò)服務(wù)器,把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp。
以上是我在工作中總結(jié)的經(jīng)驗,供大家參考。升級過程還需注意以下幾點:
配置路由器的計算機最好能使用串口接到路由器的CONSOL口上,TFTP服務(wù)器軟件安裝在該計算機上,以利于將IOS文件可靠的傳送。TFTP服務(wù)器的IP的地址要和路由器的以太網(wǎng)口在一個網(wǎng)段上。
網(wǎng)絡(luò)大家在升級IOS時要注意,升級新版本IOS文件如果大于FLASH內(nèi)存容量時,應(yīng)增加FLASH容量。
請大家在做升級時一定要慎重,以免丟失操作系統(tǒng)文件,不能啟動系統(tǒng)。
2.3 IOS的訪問權(quán)限
當你在缺省配置下登錄到路由器中路由器,你是在用戶EXEC模式(等級1)下。在這個模式中,你可以查看路由器的某些信息,例如接口狀態(tài),而且你可以查看路由表中的路由。然而,你不能做任何修改或查看運行的配置文件。
由于這些限制,路由器中路由器的多數(shù)用戶馬上輸入enable以退出用戶EXEC模式。默認情況下,輸入enable會進入等級15,也就是特權(quán)EXEC模式。在路由器中 IOS當中,這個等級相當于在UNIX擁有root權(quán)限或者在Windows中擁有管理員權(quán)限。換句話說,你可以對路由器進行全面控制。
許多時候,當有一個支持小組或不需要在路由器上進行過多訪問的缺乏經(jīng)驗的管理員時問題就出現(xiàn)了。或許他們只是需要連接到路由器以查看運行配置或重新設(shè)置接口。
在這種情況下,這些人會需要介于等級1到等級15之間的某個等級進行操作。請記住最小權(quán)限原則:只賦予必需的最少的訪問權(quán)限。
Enable:管理員通常使用這個命令以進入特權(quán)EXEC模式。然而,它也可以帶你進入任何特權(quán)模式。這里給出一個例子:
router# show privilege
Current privilege level is 3
router# enable 1
router> show privilege
Current privilege level is 1
User:這個命令不僅可以設(shè)定用戶,它還可以告訴IOS,用戶在登錄的時候?qū)碛泻畏N權(quán)限等級。這里給出一個例子:
router(config)# username test password test privilege 3
Privilege:這個命令設(shè)定某些命令只在某個等級才能用。這里給出一個例子:
router(config)# enable secret level 5 level5pass
Enable secret:默認情況下,這個命令創(chuàng)建一個進入特權(quán)模式15的口令。然而,你也可以用它創(chuàng)建進入其他你可以創(chuàng)建的特權(quán)模式的口令。
假設(shè)你想創(chuàng)建一個維護用戶,他可以登錄到路由器并且查看啟動信息。
router(config)# user support privilege 3 password support
router(config)# privilege exec level 3 show startup-config
需要注意的是并不需要enable secret命令,除非你想讓以等級1登錄進來的用戶為了能提升到等級3而使用口令。
3 結(jié)論
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,更多的網(wǎng)絡(luò)設(shè)備供應(yīng)商提供路由器產(chǎn)品,不同廠商的路由器IOS的功能、性能、配置方式都不相同,如何應(yīng)對這種設(shè)備應(yīng)用局面,關(guān)鍵在于掌握一般路由器的基本原理。
參考文獻:
[1] Donna L.Harrington,著.童小林,譯.CCNP實戰(zhàn)指南[M].北京:人民郵電出版社,2003.
[2] 朱培棟.高性能路由器[M].北京:人民郵電出版社,2005.
[3] 馮昊.路由器/交換機配置管理[M].北京:清華大學(xué)出版社,2005.
[4] http://www.vlan9.com/路由器技術(shù)專題,[電子文獻/載體類型標識]2006
[5] 海向陽.CISCO路由器的IOS的升級和恢復(fù)[J].市場研究,2002(8).
[6] 龐亞賓.思科IOS系統(tǒng)的防火墻功能實現(xiàn)研究[J].甘肅科技,2008(5).
[7] 唐永建.Cisco IOS訪問列表的應(yīng)用[J].微電腦世界,2001(2).
[8] 甘金明.淺談路由器IOS的安裝與設(shè)置[J].廣西大學(xué)梧州分校學(xué)報,2002(4).
