CCNA 专题 6－访问控制列表、IOS 升级和口令设置及恢复

本专题内容：
通过学习本专题掌握路由器标准访问控制列表和扩展访问控制列表的配置、路由器操作系
统的升级、路由器口令的配置和恢复。

一、访问控制列表
1、访问控制列表的概念
访问控制列表（Access Control List，ACL) 是路由器接口的指令列表，用来控制端口进
出的数据包。访问列表（access-list）就是一系列允许和拒绝条件的集合，通过访问列表
可以过滤发进和发出的信息包的请求，实现对路由器和网络的安全控制。路由器一个一个地
检测包与访问列表的条件，在满足第一个匹配条件后，就可以决定路由器接收或拒收该包。
2、ACL 的作用
1）ACL 可以限制网络流量、提高网络性能。
2）ACL 提供对通信流量的控制手段。
3）ACL 是提供网络安全访问的基本手段。
4）ACL 可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。
3、ACL 的分类
ACL 包括两种类型:
1)标准访问列表：只检查包的源地址。
2)扩展访问列表：既检查包的源地址，也检查包的目的地址，也可以检查特殊的协议类
型、端口以及其他参数，具有更大的自由度。
4、ACL 的执行过程
一个端口执行哪条 ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数
据包的报头跟表中某个条件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。
数据包只有在跟第一个判断条件不匹配时，它才被交给 ACL 中的下一个条件判断语句
进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立
即发送到目的接口。如果所有的 ACL 判断语句都检测完毕，仍没有匹配的语句出口，则该
数据包将视为被拒绝而被丢弃。
5、ACL 的取值范围
在路由器配置中，标准 ACL 和扩展 ACL 的区别是由 ACL 的表号来体现的，下表指出
了每种协议所允许的合法表号的取值范围。
6、正确放置 ACL
ACL 通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而，网
络能否有效地减少不必要的通信流量，这还要取决于网络管理员把 ACL 放置在哪个地方。
1）标准 ACL 要尽量靠近目的端。
2）扩展 ACL 要尽量靠近源端。

7、ACL 的配置
ACL 的配置分为两个步骤：
1）第一步:在全局配置模式下，使用下列命令创建 ACL：
Router (config)# access-list access-list-number {permit | deny } {test-conditions}
其中，access-list-number 为 ACL 的表号。人们使用较频繁的表号是标准的 IP ACL（1—
99）和扩展的 IP ACL（100－199）。
在路由器中，如果使用 ACL 的表号进行配置，则列表不能插入或删除行。如果列表要
插入或删除一行，必须先去掉所有 ACL，然后重新配置。
2）第二步：在接口配置模式下，使用 access-group 命令 ACL 应用到某一接口上：
Router (config-if)# {protocol} access-group access-list-number {in | out }
其中，in 和 out 参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为
out。
 ACL 在一个接口可以进行双向控制，即配置两条命令，一条为 in，一条为 out，两条
命令执行的 ACL 表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一
个 ACL 控制。
值得注意的是，在进行 ACL 配置时，网管员一定要先在全局状态配置 ACL 表，再在
具体接口上进行配置，否则会造成网络的安全隐患。
7、实例说明
---- 例如：仅允许内部 IP 地址为 11.66.129.1 和 11.66.129.2 的主机访问外部,禁止外部
访问内部网主机的 telnet 和 ftp 端口。
router(config)#ip access-list 1 permit
11.66.129.1 0.0.0.0
router(config)#ip access-list 1 permit
11.66.129.2 0.0.0.0
router(config)#ip access-list 101 deny
tcp any any eq 23
router(config)#ip access-list 101 deny
tcp any any eq 21
router(config)#ip access-list 101 deny
tcp any any eq 20
（其中 20、21 为 FTP 的端口，23 为 TELNET 端口）
router(config)#ip access-list 101 permit ip any any
router(config)#int e0
router(config-if)#ip access-group 1 out
router(config-if)#ip access-group 101 in
router(config-if)#exit

二、IOS 升级
1、Cisco 路由器的存储器
路由器与计算机有相似点是，它也有内存、操作系统、配置和用户界面，Cisco 路由器中，
操作系统叫做互连网操作系统（Internetwork Operating System）或 IOS。下面主要介绍路由
器的存储器。
ROM：只读存储器包含路由器正在使用的 IOS 的一份副本；
RAM：IOS 将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和
与路由协议有关的 IOS 数据结构；
闪存(FLASH)：用来存储 IOS 软件映像文件，闪存是可以擦除内存，它能够用 IOS 的
新版本覆写，IOS 升级主要是闪存中的 IOS 映像文件进行更换。
NVRAM：非易失性随机访问存储器，用来存储系统的配置文件。
2、路由器 IOS 升级过程
1）安装 TFTP 服务器软件。
此类软件有 TFTPServer 等（http://cisco-net.myrice.com 网站上有该软件）。
2）路由器 IOS 升级及配置文件的保存
Cisco 把它的系统软件存放在 Flash memory 里，每次启动路由器时，从 Flash memory
里调出系统并执行它。开机后进入初始化配置或用"configer"，"setup"作配置后,所作的配置
要保存起来以便下一次启动直接运行，这就是配置文件了。配置文件存在非易失的 NVRAM
中。配置文件分成 start-up configer 和 running configer 两种。Start-up configer 是开机时启动
NVRAM 配置。
A、备份系统映象和配置文件
把系统文件和配置文件保存在网中的服务器上是一个很好的做法，帮助你在系统或配
置文件丢失时,尽快恢复系统正常运行。
拷贝系统映象到网络服务器，首先显示 IOS 文件的文件名： show flash ，拷贝系统文
件到 TFTP Server：copy flash tftp。
拷贝配置文件到网络服务器，把配置文件保存在 TFTP Server 中 copy running-config
tftp 或 copy startup-config tftp 。
B、升级系统映象和配置文件
当系统出现故障，系统升级，配置文件拷贝，我们需要把服务器里软件拷贝到路由器
里。把系统映象从网络服务器拷贝到 Flash Memory。网络上要有台计算机作 TFTP Server，用
TFTP 把系统文件拷贝到路由器的 Flash memeory 中。
 拷贝系统文件到 Flash memory：
copy tftp flash
copy tftp file-id (Cisco 7000,7200 和 7500 系列)
 把配置文件从网络服务器拷贝到路由器 NVRAM。
copy tftp running-config
copy tftp startup-config 。

升级过程还需注意以下几点：
1）配置路由器的计算机最好能使用串口接到路由器的 CONSOL 口上，TFTP 服务器软件
安装在该计算机上，以利于将 IOS 文件可靠的传送。TFTP 服务器的 IP 的地址要和路由器的
以太网口在一个网段上。
2）在升级 IOS 时要注意，升级新版本 IOS 文件如果大于 FLASH 内存容量时，应增加
FLASH 容量。
3）在做升级时一定要慎重，以免丢失操作系统文件，不能启动系统。

三、口令设置和密码恢复
1、路由器口令类别
● 有效加密口令（enabled secret password）：安全级别最高的加密口令，在路由器
的配置表中以密码的形式出现；
● 有效口令（enabled password）：安全级别高的非加密口令，当没有设置有效加密口
令时，使用该口令;
● 终端口令（console password）：用于防止非法或未授权用户修改路由器配置的口令，
在用户通过主控终端对路由器进行设置时，使用该口令。
● 远程配置口令（telnet password）：用于防止非法或未授权用户通过网络远程修改路
由器配置的口令，在用户通过 telnet 方式对路由器进行设置时，使用该口令。
2、路由器口令的设置
1）有效加密口令和有效口令用于用户进入路由器的特权配置模式。
router(config) #enable secret zheng
router(config) #enable password zheng
2）控制台口令防止非授权用户从控制口对路由器进行配置。
router#line console 0 对控制端口设置口令
router(config-line)#login
router(config-line)#password cisco
3）远程配置口令防止非授权用户从网络上用 TELNET 方式对路由器进行配置。
router#line vty 0 4
router(config-line)#login
router(config-line)#password cisco
如果在显示配置信息时，口令以明文方式存放，无关人员在一旁就能观察到密码，这
样很不安全，通过对口令字的加密可使所设置的口令以密文形式存放。这样在显示配置文件
时旁人无法辨认，可进一步保护系统安全。命令格式为 EXEC 状态下输入 service password-
encryption。这样利用 write terminal 和 show configuration 命令时将无法获得用户的口令字。需
要注意的是，口令对字母的大小写敏感。
3、口令恢复原理
Cisco 路由器可以保存几种不同的配置参数，并存放在不同的内存模块中。以 Cisco
2500 系列为例，其内存包括：ROM、闪存（Flash Memory）、不可变
RAM（NVRAM）、RAM 和动态内存（DRAM）五种。一般地，路由器启动时，首先运行
ROM 中的程序，进行系统自检及引导，然后运行闪存中的 IOS，并在 NVRAM 中寻找路由
器配置，并装入 DRAM 中。
口令恢复的关键在于对配置登记码（Configuration Register Value）进行修改，从而让
路由器从不同的内存中调用不同的参数表进行启动。有效口令存放在 NVRAM 中，因此修
改口令的实质是将登记码进行修改，从而让路由器跳过 NVRAM 中的配置表，直接进入
ROM 模式，然后对有效口令和终端口令进行修改或者重新设置有效加密口令( 因为有效加
密口令为加密乱码，无法进行恢复，只可以删掉或改写)，完成后再将登记码恢复。
4、口令恢复步骤
1）将路由器 Console 端口连接到 PC 机的串口（如 COM1 或 COM2）上。
2）启动超级终端，把配置设为 9600 波特率、8 个数据位、无奇偶校验、1 个停止位。
3）在“>”提示符下，用 Show Version 命令查看登记码（一般为 0x2102 或 0x102），
记住此登记码，在第 9 步要将此登记码还原。
4）查看登记码，如果中断屏蔽（即登记码的第 4 位为 1），则重启路由器，并在开机后
30 秒钟内按 Ctrl+Break 键；如果中断未屏蔽，则发送中断(Cisco 公司提供的技术手册
注明要在开机后 60 秒内按 Break 键)。
5）根据路由器系列不同，分别进行如下配置：
● 如路由器是 2000、2500、3000、680x0 based 4000、7000 系列，IOS 版本为 10.0
以下或出现“>”提示符:
> o/r 0x42
>i
● 如路由器是 1003、1004、3600、4500、4700、72xx、75xx 系列或出现 “ROMMON>”
提示符:
ROMMON> confreg 0x42
ROMMON> reset
6）当提示是否进入配置对话框时（Would you like to enter the initial configuration
dialog? [yes]:），回答“NO”。在出现“Press RETURN to get started!”提示时，按回车
键，进入 ROM 模式“ Router > ”。
7）键入 enable 命令进入 EXEC 状态, 键入 Router#show config 查看原路由器配置和
未加密口令，建议此时立刻做一个文本备份文件，以免误操作将原路由器配置丢失; 再键
入 Router#configuration memory,将 NVRAM 模式中的参数表装入内存。
8）键入 Router#configure terminal 命令进行配置，从配置表中找出（或改写）忘记的
有效口令；更改完毕后一定要写入 NVRAM 中。
9）将第 3 步查到的登记码还原，一般为 0x2102（即从闪存正常启动，并屏蔽中断），
并激活所有端口（系统会将所有端口自动关闭）：
Router#config-register 0x2102
Router(config)#interface xx
Router(config-if)#no shutdown
Router#Ctrl-Z
10）重新启动路由器：Router# reload
经过以上步骤，即可以在不丢失原有路由器配置的情况下，找到或更改口令。