浅谈路由器的安全配置.doc

浅谈路由器的安全配置 随着Internet的快速发展和政府、企业上网工程的日益推广，越来越多的政府机关和企业在网络上建立网站来进行对外宣传，这样，网络上的安全问题就显得日益突出。许多政府机关及企业都安装了防火墙来保证网络服务器的安全，却往往忽视了站在最前沿的“卫士”路由器。在网络上，一旦有人恶意进入你的路由器，将对你的网络安全产生极大的威胁。 实际上，路由器可以看作是一台具有中央处理器、内存、操作系统的计算机，将地理上分散的网络连接在一起，实现它们之间的网络通信。所以，路由器配置的是否正确、安全会对网络的通畅起着举足轻重作用。在实际的工作中，我们接触到比较多的是Cisco的路由器，下面就以Cisco路由器为例，看看路由器的配置。 Cisco路由器中的操作系统叫做互连网络操作系统（Internet Operating System），或简称为IOS，对Cisco路由器的配置可以通过手工使用连接到控制端口的终端或者利用Telnet会话等方式进行配置，常用的是利用Console口进行配置，将Cisco自带的配置线和一台计算机的COM口连接好，在Windows95/98或Windows NT中的超级终端进行连接，步骤如下: 1、 在超级终端中新建连接，在连接时使用下拉式菜单种选择直连串口连接1（或者直连串口连接2），在COM口的属性页中按还原默认设置，将波特率设置为9600bps、数据位8位，奇偶校验位无、停止位1，确认即可。 2、 确认之后，进入超级终端的控制窗口，这时你就可以利用这个连接对路由器进行配置。如果你的路由器是第一次打开电源，路由器将会进入到初始化配置对话，这是可根据提示一步步地对路由器进行配置。配置时请注意你输入的enable password和virtual terminal password，这两个密码将对你的路由器安全举足轻重。enable password是你进入特权模式的口令，virtual terminal password是通过虚拟终端（Telnet访问）时的密码。 3、 如果你的路由器已经配置完毕，请在特权模式下执行：(特权模式的提示符为“#”) Router（config）#sh run 你可能会看到有这么几行： line vty 0 4 password *(*为你设置的密码) 或 login local 这几行配置的含义是：第一行定义五个允许的Telnet访问（编码0-4），下一行表明进入到提示符前要输入密码*或是以路由中设立的用户名和密码登录。可以看出，利用路由器中的用户名和密码登录将比直接利用密码登录安全。 下面大致写一下在路由器中建立用户，设置进入密码和虚终端密码的步骤： Router Router enable /进入到特权模式下 Password: Router #conf t /进入到全局模式下 Enter configuration commands, one per line. End with CNTL/Z. Router (config)#hostname Myrouter /给自己的路由器起一个名字 Router (config)#enable password ababab /将enable的密码设置为ababab /在路由器中建立用户名称为aaa密码为bbb Myrouter (config)#username aaa password bbb Myrouter (config)#line con 0 /配置Console口 Myrouter (config-line)#login local /用路由器中的用户名和密码登录 Myrouter (config-line)#flowcontrol hardware Myrouter (config-line)#end Myrouter (config)#line vty 0 4 /配置远程登录虚终端0-4 Myrouter (config-line)#login local /用路由器中的用户名和密码登录 Myrouter (config-line)#end Myrouter (config)#end Myrouter write /将刚才的设置存盘 配置完成之后，你可以用Telnet远程登录你的路由器来测试一下，看登录和进入特权模式是否需要密码。 在刚才设置的过程中，要注意设置的enable密码一定不要和你的路由器名称一样。经过这样的设置之后，就可以不让网络上的有恶意的人轻易进入到你的路由器中，既可以保证了你的路由器的安全，又可以保障你的网络畅通。 路由器丢失PASSWORD的恢复 enable secret password (适合10。3（2）或更新的版本) enable password console password 通过修改Configuration Register(出厂为0x2102)，使路由器忽略PASSWORD，这样就可以进入路由器，就可以看到enable password和Console password，但enable secret password以被加密，只能替换。可以进入的configuration Register值为0x142. 运行password恢复可能会使系统DOWN掉一个半小时； 将Console terinal连在路由器的Console口上，确认终端设置为9600bps、8Data bit 、No parity、1 stop bit; show version显示Configuration Register 0x2102； 关机再开，按Ctrl+ Break,进入ROM MONITOR状态，提示符为； 键入 o/r 0x142，改Configuration Register到0x142,忽略原先的password； 键入 initialize,初始化路由器，等一段时间后，路由器会出现以下提示： system configuration Diaglog Enter NO 提示Press RETURN to get started! ,Press Enter 进入特权模式 Routerenable Router#show startup-config 这样就可以得到password(enable&console password) 修改password Router#config ter Router(config)# enable secret cisco Router(config)# enable password cisco1 Router(config)# line con 0 Router(config)# password cisco Router(config)# config-register 0x2102 ctrl + Z Router#copy running-config startup-config reload 以password cisco进入特权用户。 路由器用户使用问题集锦 问题 两台2501专线连通后，互相ping对端时丢报严重 解决：可在两端相应连接专线的串口上翻转时钟，配置命令为 invert transmit-clock 分析: 丢报严重可能是线路上的时钟错位导致线路两端路由器收和发不能同步引起，在接口上将时钟翻转 invert transmit-clock后相当于使时钟改变半个周期而使时钟对准。时钟不准并不是丢报严重的唯一原因，如果改变时钟后仍不能解决问题，且确认配置无误，则需要检查线路是否正常。 问题 用户用QUIDWAY路由器连接时广域网口的PPP协议不通，判断问题所在。 解决：PPP协议属ISO二层协议，所以判断问题所在要从第一层起判断，用show in s N （N为所用串口）查看底层DTR，DSR，RTS，CTS，DCD信号是否都UP， 如不是，说明DTE与DCE间物理线路没连好，查一下连接电缆问题，当串口提示UP且无错帧时，说明物理层正常。如物理层没问题，则用show in s N命令查一下LCP，IPCP是否OPEN如LCP OPEN而IPCP INITIAL，说明PPP验证没通过，查一下PPP验证的问题。 分析：PPP协议不通一般集中在物理层有问题或是验证出错，物理层的状态可从show in s N命令中的查询信息中得到，物理层正常时串口应是UP，还应观察是否有很多错帧，如果错帧很多也说明物理层有问题，虽然串口提示是UP。物理层的问题排除后，如果还不通需要检查验证是否正确，以PAP为例。 验证方配置： config# user 169 password 0 169 config-if-serial0# ppp authentication pap 被验证方配置： config-if-serial0# ppp pap send-username 169 password 169 验证中注意用户名和口令一致。 问题 华为2501路由器和 CISCO 的路由器ppp对接不通 分析： CISCO 路由器的默认协议是 HDLC，而华为的路由器默认协议为PPP，用户使用华为路由器的时候，因为和CISCO的路由器相似，容易误认为 CISCO 也是PPP协议而没有改动CISCO的配置，当在2501 上用show in s N(为串口号，或）命令时，会发现串口 up，链路协议 down。将CISCO 端协议改为PPP即可。 解决：在CISCO端的协议封装改为PPP 命令：enc ppp 且将华为2501的广域网口地址设为和CISCO的广域网口地址同一网段。 问题 最近，有用户提出用QUIDWAY4001作接入服务器的要求，确实，对一个企业或公司来说，用QUIDWAY4001的PRI口做30路用户的接入，的确是一个不错的选择。下面是一个配置实例。 分析： 根据用户需求,QUIDWAY4001的 CE1/PRI口 走PRI30B+D信令可以接入30路用户. 解决： 配置如下： sh run Now create configuration. Current configuration ! user aa password 0 123 user bb password 0 321 dialer-list 1 protocol ip permit ip local pool 1 1 snmp-server traps enable hostname Quidway4001 ! controller e 0 pri-group timeslot 1-31 ! interface Ethernet0 ip address ! interface Serial0 enable encapsulation ppp ! interface Serial1 flowcontrol normal encapsulation ppp ! interface Serial2:15 encapsulation ppp ppp authentication pap peer default ip address pool 1 ip address 54 dialer in-band dialer-group 1 ! router rip ! end8540密码恢复Routerenable Password: % Bad secrets Routershow version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE System image file is flash:c2600-is-mz.120-7.T cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144K bytes of memory. Processor board ID JAB031202NK (3878188963) 2 Ethernet/IEEE 802.3 interface(s) 2 Serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash partition 1 (Read/Write) 8192K bytes of processor board System flash partition 2 (Read/Write) Configuration register is 0x2102 rommon 1 confreg 0x2142 You must reset or power cycle for new config to take effect rommon 2 reset System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) C2600 platform with 32768 Kbytes of main memory Self decompressing the image : # # # OK Restricted Rights Legend Use, duplication, or disclosure by the Government is 8192K bytes of processor board System flash partition 1 (Read/Write) 8192K bytes of processor board System flash partition 2 (Read/Write) - System Configuration Dialog - Would you like to enter the initial configuration dialog? yes/no: n Press RETURN to get started! Router Routerenable Router#copy startup-config running-config Destination filename running-config? 1324 bytes copied in 2.35 secs (662 bytes/sec) Router# 00:01:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, changed state to down 00:01:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:2, changed state to down Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#enable secret cisco Router(config)#Z 00:01:54: %SYS-5-CONFIG_I: Configured from console by console Router#show ip interface brief Interface IP-Address OK? Method Status Protocol Ethernet0/0 7 YES TFTP administratively down down Serial0/0 unassigned YES TFTP administratively down down BRI0/0 57 YES unset administratively down down BRI0/0:1 unassigned YES unset administratively down down BRI0/0:2 unassigned YES unset administratively down down Ethernet0/1 unassigned YES TFTP administratively down down Serial0/1 unassigned YES TFTP administratively down down Loopback0 57 YES TFTP up up Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface Ethernet0/0 Router(config-if)#no shutdown Router(config-if)# 00:02:14: %LINK-3-UPDOWN: Interface Ethernet0/0, changed state to up 00:02:15: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to up Router(config-if)#interface BRI0/0 Router(config-if)#no shutdown Router(config-if)#Z Router#copy running-config startup-config Router#show version 8192K bytes of processor board System flash partition 1 (Read/Write) 8192K bytes of processor board System flash partition 2 (Read/Write) Configuration register is 0x2142 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#config-register 0x2102 Router(config)#Z 00:03:20: %SYS-5-CONFIG_I: Configured from console by console Router#show version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-IS-M), Version 12.0(7)T, RELEASE ROM: System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) System returned to ROM by abort at PC 0x802D0B60 System image file is flash:c2600-is-mz.120-7.T cisco 2611 (MPC860) processor (revision 0x202) with 26624K/6144Kbytes of memory. Configuration register is 0x2142 (will be 0x2102 at next reload) Router#Cisco Router恢复丢失的口令 Cisco 1003,4500,7500系列恢复口令基本步骤: 1.连接到终端上. 2.用show version命令记录配置寄存器值.它通常是0x2102或0x102. 3.关掉路由器并重新开启. 4.开机路由器60秒之内按Break键,出现提示符. 5.在提示符下,键入configure-register命令,出现下面提示: Do you wish to change configurationy/n? 6.键入yes. 7.后面问题均键入no,直到出现: ignore system config infoy/n? 8.键入yes. 9.后面问题均键入no,直到出现: change boot characteristicsy/n? 10.键入yes.出现下面提示: enter to boot: 11.在这个提示符下,键入1或2.出现下面提示: Do you wish to change configurationy/n? 12.回答no,出现提示符. 13.Reload启动路由器直到出现: Press RETURN to getstarted! 14.敲Return,进入Router提示符下. 15.敲enable命令将不再要求输入密码,直接进入Router#提示符下. 16.更改密码. 17.用configure-register命令恢复原来的配置寄存器值. 18.保存配置,重启路由器.Cisco路由器口令恢复 1如果路由器没有关闭的话，执行一下 router# show version ,注意这一句：Configurationregister is 0x2102，我们要改掉它。（如果路由器已经关闭的话，可跳过这一步。） 2重新加电，指关掉电源，再打开电源。 3在1060秒钟，同时按下ctrl + break中断键，中断引导过程，强制进入ROM Monitor 4在模式下键入？ ？ 5o/r 0x2142 6i 7Setup模式,所有选项都选No或ctrl + c 8router#show run （可跳过这一步） 9routeren 10.router# 11.router#copy start-config running-config 12.route#show run（可跳过这一步） router#show start（可跳过这一步） 13.设置你的密码 14.router#config t 15.router(config)#config-register 0x2102 16.router#copy running start 17.router#show ver （可不执行这一步） 路由器一定要放在一个安全的地方,千万不要相信所谓的密码！ CISCO的口令如何设置？ 一共有三种口令， 开机、ENABLE、Telnet口令， Console Password Router(config)# line console 0 Router(config)# login Router(config-line)# password cisco telnet口令 Router(config)# line vty 0 4 Router(config-line)# login Router(config-line)# password cisco Enable Password Router(config)# enable-password san-fran如何进行CISCO路由器密码恢复 环境 cisco 2500系列路由器 问题 Cisco 路由器密码的恢复 解答 Cisco 2500路由器有几种密码，包括enable secret,enable password,telnetpassword等等。其中enable secret最为重要，密码遗忘后一定要采用非常手段才能恢复。下面将密码恢复过程作一个简述： 路由器断电 路由器加电 在30秒内按Ctrl+Break,终端上显示 执行o/r 0x2142命令 执行i命令重启动路由器 路由器进入setup方式后，用Ctrl+C退出该模式 在Router下用enable进入超级用户模式：Router# 执行copy start running 命令 修改新密码 修改寄存器值为2102，(Router-config)#config-r 0x2102退出并保存配置。恢复Cisco路由器密码的二种方法 在Cisco路由器忘记或丢失enable密码的情况时，一共有两种方法恢复，取决于你使用的路由器是哪一系列产品。 第一种方法-使用这种方法可恢复下列路由器：Cisco 2000系列、2500系列、3000系列、使用680x0 MotorolaCPU的Cisco 4000系列、运行10.0版本以上Cisco IOS系统的7000系列路由器。实现步骤： 1.在路由器的console口接上一个终端或用安装仿真终端软件的PC机。 2.输入show version命令，然后记下寄存器值，通常是0x2102 or 0x102。这个值显示在最后一行，注意寄存器的配置是否把Break设为enable或disable。缺省配置寄存器值是0x2102。这个值从左数第三个数字如果是1，则是disableBreak；如果为零，则Break为enabled。 3.切断电源后再重启。 4.在路由器启动的60秒内在终端机上按Break键。将显示rommon提示符。如果提示符不是这样，则终端没有发出正确的中断信号，检查Break键是否正确或是否被设为disable。 5.在提示符下输入o/r 0x42或o/r 0x41，o/r0x42意思是从Flash memory引导，|o/r0x41意思是从ROMs引导(注意，第一个字符是字母o，不是数字0)。最好用0x42，在Flashmemory没有装或erase的情况下，才用0x41，如果有0x41则只能view或erase配置，不能直接更改密码。 6.在rommon提示符下输入初始化命令，即rommoni。 7.输入系统配置对话提示符敲no,一直等提示信息显示：Press RETURN to get started! 8.敲回车，出现Router提示符。 9.输入enable命令，出现Router#提示符。 10.选择下面选项中的一项： 如果password没有加密，直接用more nvram:startup-config命令可以看密码；在password加密的情况下，无法看，只能修改，输入命令如下： Router # configure memory Router # configure terminal Router(config)# enable secret 1234abcd Router(config)# ctrl-z Router # write memory 11.在EXEC提示符输入configure terminal进入配置模式。输入config-register命令，把在第二步中记录的寄存器值复原。 12.敲Ctrl-Z，退出配置状态。 13.在特权模式下用write memory命令保存配置，然后reboot重启。第二种方法 使用这种方法可恢复下列路由器：Cisco 1003、1600系列、3600系列、4500系列、7200系列、7500系列和IDTOrion-Based路由器。实现步骤： 前四步与上一种方法一样。 5.在rommon提示符下输入confreg命令，显示如下： Do you wish to change configurationy/n? 输入yes，然后回车。在回答后面的问题时一直选择no，直到出现“ignore system configinfoy/n?”时输入yes。接着继续敲no回答，一直到看到“change bootcharacteristicsy/n?”时输入yes。显示如下： enter to boot: 在这个提示符下可以有2和1两种选择。如果Flash memory is erased选择1，这样只能view or erase配置，不能直接修改password。最好选择2。出现如下提示：Do you wish to change configurationy/n? 回答no，然后回车，显示“rommon”。 6.在特权EXEC下输入reload命令。 后面操作同第一种方法。路由器丢失PASSWORD的恢复 enable secret password (适合10。3（2）或更新的版本) enable password console password 通过修改Configuration Register(出厂为0x2102)，使路由器忽略PASSWORD，这样就可以进入路由器，就可以看到enable password和Console password，但enable secret password以被加密，只能替换。可以进入的configuration Register值为0x142. 运行password恢复可能会使系统DOWN掉一个半小时； 将Console terinal连在路由器的Console口上，确认终端设置为9600bps、8Data bit 、No parity、1 stop bit; show version显示Configuration Register 0x2102； 关机再开，按Ctrl+ Break,进入ROM MONITOR状态，提示符为； 键入 o/r 0x142，修改 Configuration Register到0x142,可以忽略原先的password； 键入 initialize,初始化路由器，等一段时间后，路由器会出现以下提示： system configuration Diaglog Enter NO 提示Press RETURN to get started! ,Press Enter 进入特权模式 Routerenable Router#show startup-config 这样就可以得到password(enable&console password) 修改password Router#config ter Router(config)# enable secret cisco Router(config)# enable password cisco1 Router(config)# line con 0 Router(config)# password cisco Router(config)# config-register 0x2102 ctrl + Z Router#copy running-config startup-config reload 以password cisco进入特权用户。 路由器口令的安全管理 通过console端口，AUX端口，或Telnet进入路由器时，通常遇到两个口令 1.进入路由器的口令 2.从一般用户模式进入超级权限模式的口令 进入路由器的口令设置步骤：在console，AUX，vty端口设置 login password 字符串 多级权限配置： 缺省条件下，Cisco IOS只有一个超级权限的口令，可以配置Cisco IOS有多达16个级别的权限及其口令。可以设置通过某个级别的口令登录的用户只允许使用某些命令。 设置步骤： 1.设置某条命令属于某个级别，在全局设置模式下 privilege 模式 level级别 命令关键字 注意：Cisco IOS 可以定制0-15个级别权限。0-15级别中，数字越大，权限越高，权限高的级别继承低权限的所有命令。 2.设置某个级别的口令 enable secret level 级别 口令 通过多级权限，可以根据管理要求，授予相应的工作以相应的权限。 实例： Current configuration: ! vers