路由器IOS剖析

摘要：互联网操作系统（IOS）是路由器中核心软件数据包，它是一种特殊的软件。可用它配置路由器硬件，实现路由器硬件将信息从一个网络路由或桥接至另一个网络，从而使得路由器具有英特网智能作用。它提供路由器这种网络设备的所有主要的互联网协议和路由选择的支持。正是由于IOS的存在才使路由器具有强大的生命力，因此如何正确配置路由器的IOS就显得尤为重要。

关键词：路由器；路由；IOS；升级；权限

中图分类号：TP393.03文献标识码：A文章编号：1009-3044(2008)36-2835-02

On the Internet Operating System(IOS) in a Router

WANG Pei-kai

(Huanggang Polytechnic College, Huanggang 438002, China)

Abstract: The Internet Operating System is the key software databank. It is a special software. All the router hardwares can be determined by the IOS, and those informations of hardwares will be routed or bridged from one network to another so that the router will have the function of internet intelligence. The IOS offers all those important internet protocols and supports the choice of routing. It is the existance of IOS that the router has so powful funtion. So a right IOS in a router will be the most important.

Key words: router; routing; IOS; updating; limits of authority

1 引言

路由器中的IOS它是一个与硬件分离的软件体系结构，随网络技术的不断发展，可动态地升级以适应不断变化的技术。IOS可以被视作一个网际互连中枢：一个高度智能的管理员，负责管理的控制复杂的分布式网络资源的功能。了解路由器IOS的特征和对IOS进行合理的配置是应用好路由器的关键。

2 路由器的IOS

2.1 IOS主要特征如下

2.1.1 可靠的适当路径

路由器中IOS软件为所有主要的互联网协议组包括IP、Novell NetWare、Apple AppleTalk、Banyan VINES、OSI、XNS及 Apollo域等提供了协议和路由选择支持。

2.1.2 带宽最优化

路由器中IOS体系结构通过消除广域网（WAN）链路上不必要的流量以及智能选择最经济的可用WAN链路来实现带宽的最优化处理。IOS性能诸如带宽预留和优先权排序等使得网络管理员能够存储带宽，并基于应用程序类型、源或目的地等划分流量优先级。

2.1.3 资源分配控制

路由器中IOS中包含优先权排队和客户排队操作。优先权输出排队操作允许网络管理员传送一定的数据包到较高优先级的队列中，而客户排队操作允许网络管理员预留带宽，或基于用户定义的变量类型划分WAN链路上的流量优先级。路由器中 与其他桌面软件TCP/IP和计算机供应商共同合作，将路由器中IOS体系结构部件应用于服务器，并从服务器一直延伸至终端用户站都支持带宽预留和排队技术。

2.1.4 管理和安全

路由器中IOS软件具有一组完善的安全工具箱，用以区分资源以及禁止访问敏感或保密信息或程序。多面滤波器可以防止用户知道其他网络用户或资源信息。密码加密处理、拨入认证、多级配置权限、计费和日志等特性可以阻止未被授权的用户访问信息。强大的防火墙技术和远程访问安全方案主要用于保护共同信息和资产。

2.1.5 综合和可伸缩性

路由器中IOS软件支持综合路由选择技术、LAN交换技术以及ATM信元交换技术，并提供了可伸缩性，即可以任意连接大量的LANs和终端站。此外IOS也支持可伸缩路由选择协议，从而可以避免无用拥塞，克服协议固有局限性，并越过由于互联网区域分布特点及其分布范围引起的障碍。

2.2 路由器IOS升级及配置文件的保存

Cisco把它的系统软件存放在Flash memory里，每次启动路由器时，从Flash memory里调出系统并执行它。开机后进入初始化配置或用"configer"，"setup"作配置后,所作的配置要保存起来以便下一次启动直接运行，这就是配置文件了。配置文件存在非易失的NVRAM中。配置文件分成start-up configer和running configer两种。Start-up configer是开机时启动NVRAM配置。由于Cisco路由器指令系统是即时生效的，故运行的配置可能与启动时的配置不同，把running configer写到NVRAM中才是start-up configer。

路由器的系统文件和配置文件都可以象主机一样拷贝进来，拷贝出去。

2.2.1 升级系统映像和配置文件

当系统出现故障，系统升级，配置文件拷贝，我们需要把服务器里软件拷贝到路由器里。把系统映像从网络服务器拷贝到Flash Memory。网络上要有台计算机作TFTP Server，用TFTP把系统文件拷贝到路由器的Flash memeory中。

建议大家在作系统升级时，为防止不正确操作等引起的升级失败，请先把路由器原有的系统备份下来，包括FLASH中IOS和NVRAM中的配置文件。

拷贝系统文件到Flash memory：

copy tftp flash

copy tftp file-id (Cisco 7000,7200和7500系列)

cisco2600# copy tftp flash

IP address or name of remote host [255.255.255.255]?10.10.10.1(TFTP服务器地址)

Name of file to copy? c3640-is-mz_120-7_t.bin（该文件要存放在TFTP服务器TFTP软件目录下）

Copy c3640-is-mz_120-7_t.bin from 10.10.10.1 into flash memory? [confirm]

Flash is filled to capacity.

Erasure is needed before flash may be written.

Erase flash before writing? [confirm]

eeeeeeeeeeeeeeee...

Loading from 10.10.10.1:!!!!...

[OK - 8141044/8388608 bytes]

Verifying via checksum...

Flash verification successful. Length = 8141044, checksum = 0x12AD

把配置文件从网络服务器拷贝到路由器NVRAM。

从TFTP Server中把文件拷入路由器 copy tftp running-config 或copy tftp startup-config 。

2.2.2 备份系统映像和配置文件

把系统文件和配置文件保存在网中的服务器上是一个很好的做法，帮助你在系统或配置文件丢失时,尽快恢复系统正常运行。

拷贝系统映像到网络服务器，首先显示IOS文件的文件名：show flash ，拷贝系统文件到TFTP Server：copy flash tftp。

拷贝配置文件到网络服务器，把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp。

以上是我在工作中总结的经验，供大家参考。升级过程还需注意以下几点：

配置路由器的计算机最好能使用串口接到路由器的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。

网络大家在升级IOS时要注意，升级新版本IOS文件如果大于FLASH内存容量时，应增加FLASH容量。

请大家在做升级时一定要慎重，以免丢失操作系统文件，不能启动系统。

2.3 IOS的访问权限

当你在缺省配置下登录到路由器中路由器，你是在用户EXEC模式（等级1）下。在这个模式中，你可以查看路由器的某些信息，例如接口状态，而且你可以查看路由表中的路由。然而，你不能做任何修改或查看运行的配置文件。

由于这些限制，路由器中路由器的多数用户马上输入enable以退出用户EXEC模式。默认情况下，输入enable会进入等级15，也就是特权EXEC模式。在路由器中 IOS当中，这个等级相当于在UNIX拥有root权限或者在Windows中拥有管理员权限。换句话说，你可以对路由器进行全面控制。

许多时候，当有一个支持小组或不需要在路由器上进行过多访问的缺乏经验的管理员时问题就出现了。或许他们只是需要连接到路由器以查看运行配置或重新设置接口。

在这种情况下，这些人会需要介于等级1到等级15之间的某个等级进行操作。请记住最小权限原则：只赋予必需的最少的访问权限。

Enable：管理员通常使用这个命令以进入特权EXEC模式。然而，它也可以带你进入任何特权模式。这里给出一个例子：

router# show privilege

Current privilege level is 3

router# enable 1

router> show privilege

Current privilege level is 1

User：这个命令不仅可以设定用户，它还可以告诉IOS，用户在登录的时候将拥有何种权限等级。这里给出一个例子：

router(config)# username test password test privilege 3

Privilege:这个命令设定某些命令只在某个等级才能用。这里给出一个例子：

router(config)# enable secret level 5 level5pass

Enable secret：默认情况下，这个命令创建一个进入特权模式15的口令。然而，你也可以用它创建进入其他你可以创建的特权模式的口令。

假设你想创建一个维护用户，他可以登录到路由器并且查看启动信息。

router(config)# user support privilege 3 password support

router(config)# privilege exec level 3 show startup-config

需要注意的是并不需要enable secret命令，除非你想让以等级1登录进来的用户为了能提升到等级3而使用口令。

3 结论

随着网络应用的发展，更多的网络设备供应商提供路由器产品，不同厂商的路由器IOS的功能、性能、配置方式都不相同，如何应对这种设备应用局面，关键在于掌握一般路由器的基本原理。

参考文献：

[1] Donna L.Harrington,著.童小林,译.CCNP实战指南[M].北京:人民邮电出版社,2003.

[2] 朱培栋.高性能路由器[M].北京:人民邮电出版社,2005.

[3] 冯昊.路由器/交换机配置管理[M].北京:清华大学出版社,2005.

[4] /路由器技术专题,[电子文献/载体类型标识]2006

[5] 海向阳.CISCO路由器的IOS的升级和恢复[J].市场研究,2002(8).

[6] 庞亚宾.思科IOS系统的防火墙功能实现研究[J].甘肃科技,2008(5).

[7] 唐永建.Cisco IOS访问列表的应用[J].微电脑世界,2001(2).

[8] 甘金明.浅谈路由器IOS的安装与设置[J].广西大学梧州分校学报,2002(4).