MP技术支持培训-路由系统基础

*,迈普技术支持培训,路由器系统基础,路由器硬件认识,路由器shell系统认识,路由器系统配置与管理,路由器认证和用户管理,路由器软件升级,课程内容,MP2600E硬件结构,RM2-16A,RM2-1SA,RM2-1E1,MP7200硬件结构,RM7A-MPU306-3GE,4SAH,4CE1H,1CPOS-OC3H,路由器使用注意事项,使用设备前认真阅读安装手册、说明书；,推荐使用UPS不间断电源，并对供电系统采用严格的防电网干扰措施；,推荐使用时保证可靠接地，且最好不要与电力系统接地分离；,注意机房环境，维持一定的温度和湿度，保证室内防尘；,远离大功率无线电发射台，雷达发射台、高频大电流设备；,妥善放置设备，避免跌落；妥善接线，避免踩踏；,人体接触电路板件，应戴防静电手腕，穿防静电工作服；,禁止带电插拔电缆线；,需要准备的道具和工具,必需配备：,配置口线缆；,十字槽螺丝刀；,配置终端（可以是普通PC）,各选配模块的接口线缆,建议配备：,交叉网线和直连网线；,防静电手腕；,跳线板；,万用表,路由器硬件安装上架,安装建议：,1、当在同一个机柜上安装多种设备时，在不影响整体布线、布局的前提下，应考虑尽量将重量大的设备安装在机柜的,底部,或靠近底部的位置，以便降低机柜的重心，提高稳定性。,2、在机柜中安装设备时，为保证设备的散热空间，设备和设备之间建议保留,1U,高度空间。设备和设备之间的间隙安装机柜配置的空挡板。,路由器硬件认识,路由器shell系统认识,路由器系统配置与管理,路由器认证和用户管理,路由器软件升级,课程内容,路由器的配置方法,路由器配置方式：,通过终端或PC串口接路由器console接口，采用shell命令进行配置；,通过Telnet远程登录到路由器上配置；,通过频带modem模块LINE口进行配置。,通过SNMP网管系统对路由器进行配置。,路由器的操作系统shell,Shell命令运行模式结构的示意图,只能看看,能够操作,进行配置,router2(config)#interface,s1/0,router2(config-if-serial1/0)#physical-layer sync,router2(config-if-serial1/0)#encapsulation ppp,router2(config-if-serial1/0)#ip address,3.3.3.2,255.0.0.0,router2(config-if-serial1/0)#ppp pap sent-username goat password maipu,router2(config-if-serial1/0)#exit,模式名称,模式进入方法,系统提示符,退出方法,功能说明,普通用户模式,Login,router,执行,exit,命令退出,改变终端设置,执行基本测试,显示系统信息,特权用户模式,在普通用户模式下执行,enable,命令,router#,执行,disable,命令退回到普通用户模式,配置路由器运行参数,全局配置模式,在特权用户模式下执行configure命令，同时指定相应的关键字,router(config)#,执行,exit,命令退回到特权用户模式下；,配置路由器运行所需的全局参数,接口配置模式,在全局模式下执行interface命令（同时指定相应的接口或者接口组）,router(config-if-xxxnumber)#,执行 exit命令退回到全局配置模式,执行 end命令退回到特权用户模式,在该模式下配置路由器接口，,路由配置模式,在全局配置模式下执行相应的路由配置命令,router(config-static)#,router(config-rip)#,router(config-irmp)#,执行 exit命令退回到全局配置模式,执行 end命令退回到特权用户模式,配置IP路由协议，包括：,静态路由,RIP动态路由,IRMP配置模式,文件系统配置模式,在全局模式下通过命令filesystem进入该模式,router(config-fs)#,执行 exit命令退回到特权用户模式,完成路由器的文件系统的管理；,升级路由器软件。,访问列表配置模式,在全局配置模式下，通过ip access-list命令进入该模式。,router(config-std-nacl)#,router(config-ext-nacl)#,运行exit命令退回到全局配置模式,配置防火墙访问列表，包括：,配置标准访问列表,配置扩展访问列表,Shell常用模式说明,Shell命令行接口常用功能（1）,在线帮助：,1、在任一命令模式下，键入,help,可以获取有关帮助系统的简单描述：,router,help,2、在任一命令模式下，键入“,？,”获取该命令模式下所有命令及其简单描述。,router#,?,3、键入一命令，后接以空格分隔的“,？,”，则显示出所有该命令在当前模式下可以执行的子命令。,router#,show ?,4、键入一字符串，后紧接“,？,”，列出以该字符串开始的所有关键字及其描述,router#,d?,Shell命令行接口常用功能（2）,历史命令：,系统将用户输入的命令自动保存到历史命令缓冲区，用户可以随时调用命令行接口保存的历史命令，并重复执行，从而减少不必要的重复输入工作。,命令行接口为每个连接到路由器的用户最多保存,10条,命令，随后新的命令将覆盖掉旧的命令：,操作,按键,执行结果,访问上一条历史命令,上光标键,或,Ctrl+p,如果还有更早的历史命令，取出之；否则响铃告警,访问下一条历史命令,下光标键,或,Ctrl+n,如果还有更晚的历史命令，取出之；否则清空命令行并响铃告警,Shell命令行接口常用功能（3）,编辑特性：,命令行接口提供了基本的命令编辑功能，支持多行编辑，每行命令至多可达256个字符，下表即是shell子系统为命令行接口提供的基本编辑功能：,按键,功能,普通按键,如编辑缓冲区未满，则插入当前光标位置处，并向右移动光标；否则响铃告警。,退格键,Backspace,删除光标前一字符，光标前移，若已到达命令首，则响铃告警,删除键Delete,删除光标处的字符，若已到达命令尾，则响铃告警,左光标键,、B,光标向左移动一个字符位置，若已到达命令首，则响铃告警,右光标键,、F,光标向右移动一个字符位置，若已到达命令尾，则响铃告警,上下光标键,显示历史命令,A,光标移到命令行首,E,光标移到命令行尾,U,删除光标左边的所有字符直到命令行首,K,删除光标右边的所有字符直到命令行尾,Shell命令行接口常用功能（4）,显示特性：,在用户操作时，经常会遇到需要显示超过一屏长度信息的情况，为方便用户，命令行接口提供如下的显示特性：,按键,功能,键或Ctrl-B,显示上一屏信息,空格键(Space) 或,键或Ctrl-F,继续显示下一屏信息,-或,键,屏幕显示信息向上翻滚一行,回车键(,Enter,) 或=或,键,继续显示下一行信息,Ctrl-H,回到显示内容的最前面,其 余 按 键,退出显示,Shell命令行接口常用功能（5）,命令简写：,在用户操作时，很多命令、参数的全称较长，我们可以用简写的方式来简化操作，只输入开头的几个字母来代表全称：,完整命令：,router#,show,running-config,简写命令：,router#,sh,run, 注意：,简写命令和参数的条件是：,在当前位置没有,2条及以上可以同时匹配简写的开头字母。,简写命令时，也可以用,TAB,键显示命令全称。,Shell命令行接口常用功能（6）,撤销配置：,每个配置命令都有相应的,no,命令，用于撤销相应的配置，no命令的用法是在输入原命令的模式下，先输入no再输入完整的原配置命令：,原命令：,router(config-if)# ip route 0.0.0.0 0.0.0.0 1.1.1.1,撤销命令：,router(config-if)#,no ip route 0.0.0.0 0.0.0.0 1.1.1.1, 注意：,部分配置的撤销命令输入no后不需要输入,完整的原配置，具体情况可以通过系统帮助来查看。,Shell命令行接口常用功能（7）,查看信息命令show：,系统命令,show,可以查看的信息分为以下几类：, 系统软、硬件资源信息, 系统统计信息, 系统配置信息, 系统基本信息, 注意：,show命令一般只能在普通用户模式和特权,用户模式执行。,范例：查看路由器所有接口的状态信息,router#,show,interface,范例：查看路由器f0接口的状态信息,router#,show,interface fastethernet 0,Shell命令行接口常用功能（8）,协议调试命令debug：,系统当前提供众多协议的调试开关，包含IP、PPP、HDLC、OSPF、FR、X25等，基本的命令是,debug, 注意：,debug命令一般只能在普通用户模式和特权,用户模式执行。,为了避免数据量过大造成线路中断，系统默认不为,远程登陆用户送调试信息。,若一定需要为远程登陆用户送调试信息，可以用：,router#,termial,monitor,范例：打开IP协议访问列表（access-list）报文调试开关：,router#,debug,ip packet access-list,范例：关闭相应协议调试开关,router#,no,debug,ip packet access-list,或者：（关闭所有的调试开关）,router#,no,debug,all,路由器硬件认识,路由器操作系统认识,路由器系统配置与管理,路由器用户和认证管理,路由器软件升级,课程内容,路由器系统配置常用命令,配置系统名称：,路由器在出厂时，其缺省的系统名称是,router,。,在使用过程中，用户可以根据自己的需要，随时改变系统的名称。 这种改动是,立即生效,的，即新的系统名称将会在下一次系统提示符的显示中出现。,命令,描述,配置模式,hostname,hostname,* 配置路由器名称,config,配置系统时间：,路由器中设置了独立的时钟系统，用来记录系统的当前时间，可以通过命令,clock,配置系统当前时间的年、月、日、时、分、秒。,由于低端路由器中并没有实时时钟系统，因此每一次系统加电启动后，系统时钟将恢复成,1970年1月1日00:00:00,。可以通过配置,NTP,服务使系统在启动后自动获得当前时间。,命令,描述,配置模式,clock,year month day hour minute,second,* 配置系统时钟,enable,路由器存储系统介绍,SDRAM,FLASH,EEPROM,用作路由器应用程序的执行空间,存放应用程序、配置、BootROM程序等,存放经常改动的系统配置文件、用户信息等,应用程序,配置文件,BootROM,其他文件,TFFS,T,rue,F,lash,F,ile,S,ystem,TFFS：,迈普路由器在系统flash设备上构造了一个基于,DOS,的文件系统，用于存放路由器应用程序（协议软件、驱动程序等）、BootROM程序等很少需要修改的信息。该文件系统称之为,TFFS,（True Flash File System） 。,命令,命令功能,命令运行模式,copy,文件拷贝,config-fs,delete,文件删除,config-fs,dir,查看目录或文件,config-fs,cd,改变当前路径,config-fs,mkdir,创建目录,config-fs,pwd,显示当前所处路径,config-fs, 注意：,由于TFFS基于DOS文件系统，因此,不支持长文件名,，限制目录名不超过,8个字符,，文件名满足8.3命名规范。,路由器配置文件管理（1）,配置文件的内容和格式：,配置文件以,文本文件的形式,存在于文件系统中，名字是,starup,，其格式如下：,（可参考附件：配置文件范例）,A、,以配置命令的格式存在；,B、,为节约flash设备的存储空间，当前只保存配置模式下的命令；,C、,命令的组织以命令模式为标准，同一模式下的命令组织在一起形成一个段落；,D、,段落之间的顺序按照一定规则排列：即全局配置模式、接口配置模式、路由配置模式；,E、,按照命令之间的相互关系分类，相关的命令,形成组，组与组之间通过空行分隔。,路由器配置文件管理（2）,配置文件的加载：,配置文件可用文本编辑器按照格式编辑，然后通过,FTP,或,TFTP,下载到路由器上执行。,通过FTP下载路由器配置文件的方法：,第一步,：在一台计算机上,编辑,配置文件config;,第二步,：启动计算机上的,FTP SERVER,；,第三步,：在路由器的文件配置模式下执行命令,ftpcopy,，从计算机上下载配置文件；,router(config-fs)#,ftpcopy A.B.C.D router router1 config startup,计算机地址 用户名 密码 文件名 本地文件名,（通过TFTP下载配置文件与通过FTP下载类似，唯一区别在于要求计算机运行TFTP SERVER。）,第四步,：,重新启动,路由器，执行配置文件startup，修改系统配置。,路由器配置文件管理（3）,保存系统当前配置：,用户在修改了系统配置，经过验证无误后，可以将当前配置保存起来，以供下一次启动路由器作为配置参数。,执行下面的命令可以将当前运行的配置保存到启动配置文件（,STARTUP,）中：,router#,copy running-config startup-config,router#,write,startup-config,router#,write,查看系统当前配置：,router#,show,running-config,查看系统保存的配置：,router#,show,startup-config,路由器硬件认识,路由器操作系统认识,路由器系统配置与管理,路由器用户和认证管理,路由器软件升级,课程内容,路由器身份认证体制,看是否有配置line,AAA认证,用户登录,进入Shell,未配置line,未配置AAA,已配置line,已配置AAA,看是否有配置AAA,line认证,Enable认证,用户及级别设置（1）,设置用户及相关属性：,使用user命令来配置本地用户和相关用户权限属性。,命令,描述,配置模式,user,user-name,password,0,password,设置用户及密码。,config,user,user-name,nopassword,设置用户在登录时无需密码验证。,config,user,user-name,privilege,0-15,设置用户的授权级别。,config, 注意：,用户分,015级,，,15最高,；只有高级别用户才能对低级别用户操作；,设置用户密码时的,参数0代表以明文输入,，而不是以密文输入。,用户及级别设置（2）,修改命令的级别：,在迈普路由器IOS中的每个shell命令都有一个默认的级别，但是可以通过命令privilege来修改其默认级别。 保证只有相应级别及以上的用户才有配置、查看相应命令的权限。,命令,描述,配置模式,privilege,MODE,level,0-15, ,all,|,command,LINE,修改命令的级别,config,设置enable密码：,设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码（,0代表输入明文,）。,若没有配置enable密码，则非console用户不能进入特权模式。,命令,描述,配置模式,enable password,level,1-15, ,0,password,指定级别和密码，密码为明文。,config,用户及级别设置（3）,设置line属性：,路由器支持,一个console口用户,最多,16个telnet用户,和,16个ssh用户,同时登录到设备上，line命令可以为这些登录设置不同的认证、授权等属性。,命令,描述,配置模式,line con 0,进入console口line配置模式,config,line vty,0-15, ,0-15,进入telnet用户的line配置模式,config,line ssh-vty,0-15, ,0-15,进入SSH用户的line配置模式,config,privilege level,0-15,配置登录用户被授权的级别，默认级别为1。,config-line,password 0,password,配置line密码。,（0代表输入明文）,config-line,login,local | authencation,配置登录认证方式，,其中login,CR,使用line密码认证，,login local 使用本地用户数据库认证，,login authentication 使用AAA认证。,no login表示不需要认证就可以登录。,config-line,AAA技术概念,AAA,是,认证,、,授权,和,统计（,Authentication, Authorization and Accounting,）,的简称。,它提供了一个用来对这三种安全功能进行配置的一致性框架。,AAA,的配置实际上是对网络安全的一种管理。,这里的网络安全主要指访问控制。包括：,哪些用户可以访问网络服务器？, 具有访问权的用户可以得到哪些服务？,如何对正在使用网络资源的用户进行记账？,AAA基本原理,NAS,网络接入服务器（Network Access Server）。在路由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接（比如拨号连接）从而获得访问其他网络的权限时，NAS起到了验证用户的作用。,RADIUS,远程身份认证拨入用户服务（Remote Authentication Dial In User Service）。,Tacacs,Tacacs,是终端访问控制系统（,Terminal Access Controller Access Control System）,的简称。,AAA认证相关配置,AAA认证简单设置命令：,命令,描述,配置模式,aaa new-model,*启动AAA,config,aaa authentication login,*配置AAA登陆认证,config,aaa authentication enable,*配置进入特权模式认证,config,配置范例：,router(config-if)#,aaa new-model,启动AAA功能,router(config-if)#,aaa authentication login default local,对登陆用户根据本地用户数据库进行身份认证,路由器硬件认识,路由器操作系统认识,路由器系统配置与管理,路由器用户和认证管理,路由器软件升级,课程内容,启动应用程序IOS,路由器加电,提供软件功能,管理flash空间,启动ROOT程序（Monitor）,路由器软件加载顺序,加载配置文件startup,设置应用参数,本地升级IOS,本地升级ROOT,进入shell,远程升级IOS,本地升级ROOT和IOS（1）,升级前准备：,PC机一台：Windows 95/98/NT/XP系统，Hyper Terminal（超级终端）程序；,相应路由器Monitor程序（ROOT）的,hex,文件。,（禁止不同路由器Monitor程序混用！）,相应路由器IOS程序的,bin,文件。,（注意不同级别的路由器IOS程序一般不可互通使用）,Hex：,16,进制编码文件；,Bin：,2,进制编码文件；,同一文件按照2进制编码比16进制小；,ROOT,升级步骤：,第一步： 设置超级终端,波特率为9600，软流控，数据位是8位，无奇偶校验，1位停止位。,第二步：进入Monitor模式,路由器启动时出现“Monitor version 2.02 is Booting (c enter monitor mode) .”的信息时，按下,CTRL+C,敲即可进入Monitor模式,第三步：重新设置console口及超级终端的速率,在提示符下，用“,mpMonitor:s 115200,”命令设置路由器console口速率为115200bps。,设置超级终端速率为,115200bps,(属性-配置-波特率)。,在超级终端中断开连接，重新连接。,第四步：升级ROOT程序的hex文件,在mpMonitor:下键入“,lr,”,选择传送菜单里的,发送文本文件,选项。选定待升级的ROOT程序(.hex文件)后开始发送。,第五步：升级完成,，把超级终端的属性改回初始设置，断电重启路由器。,本地升级ROOT程序,IOS,升级步骤：,第一步至第三步和升级ROOT相同,第四步：擦除原有的IOS,在提示符下，用“mpMonitor:,del startup,”命令或者“mpMonitor:,del XX.bin,”的命令，擦除flash中现有的IOS。,（两个命令的区别：前者仅擦除配置文件；后者擦IOS文件。 ROOT程序只能通过升级更新，不可以被擦除。 ）,第五步：升级IOS程序的bin文件,在mpMonitor:下键入“,lx,”选择传送菜单里的,发送文件,选项，在弹出的对话框中选择,xModem协议,。选定待升级的IOS程序(bin文件)后开始发送。,第六步：升级完成,，把超级终端的属性改回初始设置，断电重启路由器。,本地升级IOS程序,远程升级IOS程序（1）,升级前准备：,PC机一台：Windows 95/98/NT/XP系统，带网卡，TFTP服务器程序；,交叉网线一条,相应路由器IOS程序的,bin,文件。,（注意不同级别的路由器IOS程序一般不可互通使用）,第一步：运行、设置TFTP/FTP服务器,以Maipu TFTP服务器为例进行说明：打开Maipu TFTP服务器，点击工具栏上的“,选项(,O,),”按钮即出现如下界面。,设置“,公共路径,”为升级程序所在目录；,设置“,服务器IP地址,”为本PC地址；,设置“,服务器端口,”为TFTP服务端口69；,其余使用模式参数即可；,点击“确定(,O,)”关闭“选项”窗口回到主窗口。,远程升级IOS程序（2）,第二步：使TFTP服务器处于侦听状态,点击工具栏上“侦听(,L,)”按钮,第三步：连通网络,将作为TFTP服务器的PC和路由器通过,以太网连通，保证两者能互相ping通。,第四步：升级应用程序,进入路由器的特权用户模式；,使用,sysupdate,命令升级；,例：,MP2692#,sysupdate 128.255.32.10 mp2692.bin,升级IOS TFTP服务器地址 IOS文件名,Do you really update mp2692.bin ? (yes|no):,升级确认,y ,第五步：升级完成,，断电重启路由器。,也可用,reload,命令重启,测试：,启动路由器,配置用户，用户名mp，密码mp，级别15,配置enable密码mp,配置AAA，对登陆用户采用本地用户名认证,保存配置,将配置文件复制为文件config保存在flash中,删除配置，重启,远程升级路由器IOS，并恢复配置,更改enable密码为乱字符,通过ROOT删除配置,通过ROOT升级IOS,达标时间：,30分钟,Thank you very much!,