工程学院宿舍楼网络组建

计算机网络专业毕业论文（设计）题目工程学院宿舍楼网络组建班级网络工程姓名田伟民学号201312050102培养单位四川工程职业技术学院指导教师鲜敏黄景广日期2015年12月17日摘要INTERNET的迅速发展，极大地推动了我国的网络建设。而中国教育科研网（CERNET）的快速发展，则极大地促进了高校校园网的建设。校园网的建设能从根本上促进教学科研人员之间的信息交流、资源共享、科研合作，是学校教育和科研工作的最重要的基础设施之一。本文通过介绍四川工程职业技术学院校园网的设计与建设,来说明高校在组建内部网时所应经历的步骤；通过介绍该学校内部网设计前的各种需求分析、设计方案的选择、网络安全维护工作以及最后的具体的组网实践，来说明如何高效安全地规划组建高校的校园网。关键词校园网、需求分析、设计方案、网络安全ABSTRACTTHERAPIDDEVELOPMENTOFINTERNETHASGREATLYPROMOTEDTHENETWORKCONSTRUCTIONOFOURCOUNTRYANDTHERAPIDDEVELOPMENTOFCHINESEEDUCATIONSCIENTIFICRESEARCHNETWORKCERNET,WILLGREATLYPROMOTETHECONSTRUCTIONOFTHECAMPUSNETWORKINCOLLEGESANDUNIVERSITIESCONSTRUCTIONOFCAMPUSNETWORKCANFUNDAMENTALLYPROMOTETHEINFORMATIONEXCHANGE,RESOURCESHARINGBETWEENTEACHINGANDSCIENTIFICRESEARCHPERSONNEL,SCIENTIFICRESEARCHCOOPERATION,ISTHESCHOOLEDUCATIONANDSCIENTIFICRESEARCHWORKOFONEOFTHEMOSTIMPORTANTINFRASTRUCTUREINTHISPAPER,BYINTRODUCINGTHESICHUANENGINEERINGVOCATIONALTECHNICALCOLLEGECAMPUSNETWORKDESIGNANDCONSTRUCTION,TOSHOWTHESTEPSSHOULDEXPERIENCEINBUILDINGANINTRANETTHROUGHTHEINTRODUCTIONOFTHEVARIOUSNEEDSOFTHESCHOOLINTRANETDESIGNBEFOREANALYSIS,THESELECTIONOFDESIGNSCHEME,THENETWORKSECURITYMAINTENANCEWORK,ANDFINALLYTHESPECIFICNETWORKPRACTICE,TOILLUSTRATEHOWTOEFFICIENTPLANNINGFORMCOLLEGECAMPUSNETWORKSAFELYKEYWORDSCAMPUSNETWORK,DEMANDANALYSIS,DESIGN,NETWORKSECURITY目录摘要2ABSTRACTIII第一章绪论111引言112选题的背景与意义1第二章概述221宿舍网络设计的基本概述2211IP地址规划与VLAN的划分2212相应拓扑图322运用的主要技术及介绍623宿舍网络通信安全介绍8第三章设备的配置清单1031三层交换机1032路由器1233防火墙1434二层交换机15第四章设备主要用途及说明1741所需设备17411CISCOASA5505防火墙17412CISCO2801路由器17413CISCO2960交换机17414CISCO3560交换机1842信息点安置设计18421信息点统一化18第五章遇到问题与解决方法1951三层交换机IOS丢失1952防火墙密码破解2153设备只能在ROMMON模式22结论23致谢23参考文献23第一章绪论11引言科学技术的发展日新月异，在计算机技术和通信技术结合下，网络技术得到了飞速的发展。整个社会都不可能脱离网络而存在。网络技术已经成为现代信息技术的主流，成为人们生活、工作、学习中必不可少的一部分，人们对网络的认识也随着网络应用的逐渐普及而迅速改变。未来的网络技术将向着简单、高速快捷、多网合一、安全保密的方向发展。未来进一步提升自身实力，很多高校都开始自己建设学院网络，而校园宿舍网络也是其中重要的一部分。我学院宿舍网络将实现与校内各部门进行通信。我学院宿舍网络将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的高校。12选题的背景与意义各学院为了加快校园信息化建设，需要建设一个高性能的、安全可靠的校园网络，校园网建成后，要求能够实现校园内部各种信息服务功能，实现与教育网的无阻碍连通，同时提供宽带接入功能，以备主连接失效情况下的被用连接要求，能够实现校园办公自动化需求。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理，同时可以实现各级管理层之间的信息数据交换，实现宿舍网络智能化，实现网上信息采集和处理的自动化，实现信息和设备资源的共享，使其为各学科的教学和实验服务。第二章概述21宿舍网络设计的基本概述通过对我校宿舍楼进行的实地考察，了解房间分布，从而知道所需信息点和设备个数，以及设备放置的合理房间。考察完成以后根据实地作出所需拓扑图。然后，规划IP地址和划分VLAN，使其便于管理与维护。通过配置路由器、交换机与防火墙实现智能化管理与上网限制及监控。从而达到文明上网、便捷上网、安全上网的目的。211IP地址规划与VLAN的划分IP及VLAN规划212相应拓扑图逻辑拓扑图物理拓扑图机柜安装图真实机柜图22运用的主要技术及介绍动态路由（OSPF）OSPF是OPENSHORTESTPATHFIRST（即“开放最短路由优先协议”）的缩写。OSPF是IETF（INTERNETENGINEERINGTASKFORCE）组织开发的一个基于链路状态的自治系统内部路由协议，是目前使用最为广泛的内部网关路由协议。在IP网络上，它通过收集和传递自治系统的链路状态来动态地发现并传播路由。适应范围OSPF支持各种规模的网络，最多可支持几百台路由器。快速收敛如果网络的拓扑结构发生变化，OSPF立即发送更新报文，使这一变化在自治系统中同步。无自环由于OSPF通过收集到的链路状态用最短路径树算法计算路由，故从算法本身保证了不会生成自环路由。子网掩码由于OSPF在描述路由时携带网段的掩码信息，所以OSPF协议不受自然掩码的限制，对VLSM提供很好的支持。区域划分OSPF协议允许自治系统的网络被划分成区域来管理，区域间传送的路由信息被进一步抽象，从而减少了占用网络的带宽。等值路由OSPF支持到同一目的地址的多条等值路由。路由分级OSPF使用4类不同的路由，按优先顺序来说分别是区域内路由、区域间路由、第一类外部路由、第二类外部路由。支持验证它支持基于接口的报文验证以保证路由计算的安全性。组播发送OSPF在有组播发送能力的链路层上以组播地址发送协议报文，即达到了广播的作用，又最大程度的减少了对其他网络设备的干扰。交换机端口镜像把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口的方法。端口镜像（PORTMIRRORING）可以让用户将所有的流量从一个特定的端口复制到一个镜像端口。如果您的交换机提供端口镜像功能，则允许管理人员自行设置一个监视管理端口来监视被监视端口的数据。监视到的数据可以通过PC上安装的网络分析软件来查看，通过对数据的分析就可以实时查看被监视端口的情况。端口镜像选取的设备原则为网络中连接重要服务器群的交换机或路由器，或是连接到网通的出口路由器。通常为了部署流量分析、IDS等产品需要监听网络流量，但是在目前广泛采用的交换网络中监听所有流量有相当大的困难，因此需要通过配置交换机来把一个或多个端口（VLAN）的数据转发到某一个端口来实现对网络的监听。端口镜像通常有以下几种别名PORTMIRRORING通常指允许把一个端口的流量复制到另外一个端口，同时这个端口不能再传输数据。MONITORINGPORT监控端口SPANNINGPORT通常指允许把所有端口的流量复制到另外一个端口，同时这个端口不能再传输数据。SPANPORT在CISCO产品中，SPAN通常指SWITCHPORTANALYZER。某些交换机的SPAN端口不支持传输数据。基于时间的ACLACL（访问控制列表，ACCESSCONTROLLIST）是路由器和交换机接口的指令列表，用来控制端口进出的数据包，告诉路由器哪些数据包可以接收、哪些数据包需要拒绝，保证网络资源不被非法使用和访问。ACL适用于所有的被路由协议，如IP、IPX、APPLETALK等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。ACL是保证网络安全最重要的核心策略之一。要通过ACL来限制用户在规定的时间范围内访问特定的服务，首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务，这样的命令，在配置ACL时，是正常配置的，但是，如果就将命令正常配置之后，默认是在所有时间内允许的，要做到在相应时间内允许，还必须为该命令加上一个时间限制，这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围，是通过配置TIMERANGE来实现的，在TIMERANGE中定义好时间，再将此TIMERANGE跟在某ACL的条目之后，那么此条目就在该时间范围内起作用，其它时间是不起作用的。在定义TIMERANGE时，常用的时间简单分为两种，第一种叫做绝对时间（ABSOLUTE），即这个时间只生效一次，比如2010年1月1月1500；另一种时间叫做周期时间（PERIODIC），即这个时间是会多次重复的，比如每周一，或者每周一到周五。NAT配置NAT网络地址转换，是通过将专用网络地址（如企业内部网INTRANET）转换为公用地址（如互联网INTERNET），从而对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP地址，从而减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。NAT功能通常被集成到路由器、防火墙、单独的NAT设备中，当然，现在比较流行的操作系统或其他软件（主要是代理软件，如WINROUTE），大多也有着NAT的功能。NAT设备（或软件）维护一个状态表，用来把内部网络的私有IP地址映射到外部网络的合法IP地址上去。每个包在NAT设备（或软件）中都被翻译成正确的IP地址发往下一级。与普通路由器不同的是，NAT设备实际上对包头进行修改，将内部网络的源地址变为NAT设备自己的外部网络地址，而普通路由器仅在将数据包转发到目的地前读取源地址和目的地址。NAT分为三种类型静态NAT（STATICNAT）、NAT池（POOLEDNAT）和端口NAT（PAT）。其中静态NAT将内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址，而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络，端口NAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。使用网络地址转换NAT，使得外部网络对内部网络的不可视，从而降低了外部网络对内部网络攻击的风险性。23宿舍网络通信安全介绍宿舍网络安全简介随着网络的快速发展和上网用户的急剧增多，网络中的不安全因素日益暴露无遗，主要表现在）由于和地址的可变性而导致的冒用合法用户入网问题。非法用户只要连接网线，对电脑进行简单的网络配置就可以上网。由于和盗用会导致合法用户不能上网，甚至非法入网者会以合法用户的名义从事非法勾当，对网络的安全管理造成很大的威胁；）操作系统和应用软件存在大量漏洞，这是造成网络安全问题的严峻的一个主要原因。国际权威应急组织统计，截至年以来漏洞公布总数个，并且利用漏洞发动攻击的速度也越来越快；）校园网用户安全意识不强及计算机水平有限。大部分学校普遍都存在重技术、轻安全、轻管理的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，甚至有些学校直接连接互联网，严重缺乏防范黑客攻击的意识。学生宿舍网络作为服务于教育、科研和行政管理的计算机网络，实现了校园内连网、信息共享，并与互联。宿舍网络连接的校内学生机，存在许多安全隐患，主要表现有）宿舍网络与相连，面临着外网攻击的风险。）来自内部的安全威胁。）接入宿舍网络的节点数目日益增多，这些节点会面临病毒泛滥、信息丢失、数据损坏等安全问题。通过对宿舍网络的安全设计，在不改变原有网络结构的基础上实现多种信息安全，保障宿舍网络安全，一个整体一致的内网安全体系，应该包括身份认证、授权管理、数据保密和监控审计四个方面，并且，这四个方面应该是紧密结合、相互联动的统一平台，才能达到构建可信、可控和可管理的安全内网的效果。身份认证是内网安全管理的基础，不确认实体的身份，进一步制定各种安全管理策略也就无从谈起。内网的身份认证，必须全面考虑所有参与实体的身份确认，包括服务器、客户端、用户和主要设备等。其中，客户端和用户的身份认证尤其要重点关注，因为他们具有数量大、环境不安全和变化频繁的特点。授权管理是以身份认证为基础的，其主要对内部信息网络各种信息资源的使用进行授权，确定谁能够在那些计算机终端或者服务器使用什么样的资源和权限。授权管理的信息资源应该尽可能全面，应该包括终端使用权、外设资源、网络资源、文件资源、服务器资源和存储设备资源等。数据保密是内网信息安全的核心，其实质是要对内网信息流和数据流进行全生命周期的有效管理，构建信息和数据安全可控的使用、存储和交换环境，从而实现对内网的核心数据的保密和数字知识产权的保护。由于信息和数据的应用系统和表现方式多种多样，所以要求数据保密技术必须具有通用性和应用无关性。监控审计是宿舍网络安全不可缺少的辅助部分，可以实现对宿舍网络安全状态的实时监控，提供宿舍网络安全状态的评估报告，并在发生宿舍网络安全事件后实现有效的取证。宿舍网络安全已经成为信息安全的新热点，其技术和标准也在成熟和演进过程中，我们有理由相信，随着同学们对宿舍网络安全认识的加深，用户宿舍网络安全管理制度的完善，整体一致的宿舍网络安全解决方案和体系建设将成为宿舍网络安全的主要发展趋势。宿舍内部网络安全经常会发生盗用现象，恶意修改地址，严重危害了正常的上网秩序，下面我们先从网卡开始探讨网络的安全问题。第三章设备的配置清单31三层交换机BUILDINGCONFIGURATIONCURRENTCONFIGURATION3594BYTESVERSION122NOSERVICEPADSERVICETIMESTAMPSDEBUGDATETIMEMSECSERVICETIMESTAMPSLOGDATETIMEMSECNOSERVICEPASSWORDENCRYPTIONHOSTNAMEMSBOOTSTARTMARKERBOOTENDMARKERENABLEPASSWORDCISCONOAAANEWMODELSYSTEMMTUROUTING1500IPROUTINGSPANNINGTREEMODEPVSTSPANNINGTREEEXTENDSYSTEMIDVLANINTERNALALLOCATIONPOLICYASCENDINGINTERFACEFASTETHERNET0/1SWITCHPORTACCESSVLAN10IPACCESSGROUP101ININTERFACEFASTETHERNET0/2SWITCHPORTACCESSVLAN100INTERFACEFASTETHERNET0/3SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/4SWITCHPORTACCESSVLAN100INTERFACEFASTETHERNET0/5SWITCHPORTACCESSVLAN200INTERFACEVLAN1NOIPADDRESSINTERFACEVLAN10IPADDRESS1921683122552552550INTERFACEVLAN100IPADDRESS1921683312552552550INTERFACEVLAN200IPADDRESS1921683412552552550ROUTEROSPF1LOGADJACENCYCHANGESNETWORK192168310000255AREA0NETWORK192168330000255AREA0NETWORK192168340000255AREA0IPCLASSLESSIPROUTE00000000192168322IPROUTE00000000192168321IPHTTPSERVERIPHTTPSECURESERVERACCESSLIST101PERMITIPANYANYTIMERANGEMYTIMELINECON0LINEVTY04PASSWORDCISCOLOGINLINEVTY515LOGINTIMERANGEMYTIMEPERIODICMONDAYFRIDAY700TO2300END32路由器BUILDINGCONFIGURATIONCURRENTCONFIGURATION1161BYTESVERSION124SERVICETIMESTAMPSDEBUGDATETIMEMSECSERVICETIMESTAMPSLOGDATETIMEMSECNOSERVICEPASSWORDENCRYPTIONHOSTNAMER1BOOTSTARTMARKERBOOTENDMARKERENABLEPASSWORDCISCOINTERFACEFASTETHERNET0/0IPADDRESS1921683112552552550DUPLEXAUTOSPEEDAUTOINTERFACEFASTETHERNET0/1IPADDRESS1921683212552552550DUPLEXAUTOSPEEDAUTOINTERFACESERIAL0/3/0NOIPADDRESSSHUTDOWNNOFAIRQUEUECLOCKRATE125000INTERFACESERIAL0/3/1NOIPADDRESSSHUTDOWNCLOCKRATE125000ROUTEROSPF1LOGADJACENCYCHANGESNETWORK192168300000255AREA0NETWORK192168310000255AREA0NETWORK192168320000255AREA0ROUTERRIPNETWORK192168320IPDEFAULTGATEWAY192168301IPROUTE00000000FASTETHERNET0/1IPROUTE00000000192168301LINECON0LINEAUX0LINEVTY04PASSWORDCISCOLOGINEND33防火墙ASAVERSION825HOSTNAMEASAENABLEPASSWORD2KFQNBNIDI2KYOUENCRYPTEDPASSWD2KFQNBNIDI2KYOUENCRYPTEDNAMESINTERFACEETHERNET0/0SWITCHPORTACCESSVLAN11INTERFACEETHERNET0/1SWITCHPORTACCESSVLAN12INTERFACEVLAN1NONAMEIFNOSECURITYLEVELNOIPADDRESSINTERFACEVLAN11NAMEIFINSIDESECURITYLEVEL100IPADDRESS1921683222552552550INTERFACEVLAN12NAMEIFOUTSIDESECURITYLEVEL0IPADDRESS19216830102552552550FTPMODEPASSIVEACCESSLISTIN_TO_OUTEXTENDEDPERMITIP1921680025525500ANYACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQWWWACCESSLISTACL_OUTEXTENDEDPERMITTCPANYANYEQHTTPSACCESSLISTACL_OUTEXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITICMPANYANYACCESSLIST102EXTENDEDPERMITIPANYANYACCESSLISTACL_DMZEXTENDEDPERMITICMPANYANYPAGERLINES24LOGGINGENABLEMTUINSIDE1500MTUOUTSIDE1500ICMPUNREACHABLERATELIMIT1BURSTSIZE1NOASDMHISTORYENABLEARPTIMEOUT14400GLOBALOUTSIDE1192168303192168309NETMASK2552552550NATINSIDE11921680025525500NATINSIDE100000000ACCESSGROUPACL_OUTININTERFACEOUTSIDEROUTEROSPF1NETWORK1921683002552552550AREA0NETWORK1921683202552552550AREA0LOGADJCHANGESROUTEOUTSIDE00000000192168301134二层交换机BUILDINGCONFIGURATIONCURRENTCONFIGURATION3338BYTESVERSION122NOSERVICEPADSERVICETIMESTAMPSDEBUGDATETIMEMSECSERVICETIMESTAMPSLOGDATETIMEMSECNOSERVICEPASSWORDENCRYPTIONHOSTNAMES2BOOTSTARTMARKERBOOTENDMARKERENABLEPASSWORDCISCOSPANNINGTREEMODEPVSTSPANNINGTREEEXTENDSYSTEMIDVLANINTERNALALLOCATIONPOLICYASCENDINGINTERFACEFASTETHERNET0/1SWITCHPORTMODETRUNKINTERFACEFASTETHERNET0/2SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/3SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/4SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/5SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/6SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/7SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/8SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/9SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/10SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/11SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/12SWITCHPORTACCESSVLAN200INTERFACEFASTETHERNET0/13SWITCHPORTMODETRUNKINTERFACEVLAN1NOIPADDRESSIPHTTPSERVERIPHTTPSECURESERVERLINECON0LINEVTY04PASSWORDCISCOLOGINLINEVTY515LOGINMONITORSESSION1SOURCEINTERFACEFA0/2MONITORSESSION1DESTINATIONINTERFACEFA0/12END第四章设备主要用途及说明41所需设备CISCOASA5505防火墙，CISCO2801路由器，CISCO2960交换机，CISCO2960交换机，CISCO3560交换机。411CISCOASA5505防火墙1）保证宿舍网络安全。2）使用NAT让流量通过防火墙，正常上网。3）采用ACL技术阻止某些非法流量及非法访问。412CISCO2801路由器1）转发流量。2）用OSPF协议通告网段。413CISCO2960交换机1）划分VLAN，便于管理。2）在某些端口作端口镜像，可备份流量。414CISCO3560交换机1）路由转发，保证网络连通。2）用基于时间的ACL控制上网时间段。42信息点安置设计421信息点统一化由于我校宿舍网络只有电信、移动和联通这3个，所有计划每个寝室安置6个信息点。电信分配2个，联通分配2个，移动分配2个。让寝室同学可以自由选择使用。并且每个信息点都有备用的，所有不用担心上不到网。具体分布见下图信息点分布图第五章遇到问题与解决方法51三层交换机IOS丢失第一种方法XMODEM1、用控制线连接交换机CONSOLE口与计算机串口1，用带有XMODEM功能的终端软件连接（超级终端）。2、设置连接方式为串口1（如果连接的是其他串口就选择其他串口），速率9600，无校验，无流控，停止位1。或者点击默认设置也可以。3、连接以后计算机回车出现交换机无IOS的界面，一般的提示符是SWITCH4、拔掉交换机后的电源线重新启动交换机5、在超级终端输入SWITCHFLASH_INIT会出现如下提示INITIALIZINGFLASH6、输入拷贝指令SWITCHCOPYXMODEMFLASHC3560ADVIPSERVICESK9MZ12225SEE2BIN出现如下提示BEGINTHEXMODEMORXMODEM1KTRANSFERNOW7、系统提示不断出现C这个字母就可以开始传文件了8、点击超级终端菜单传送发送文件，在协议选项中选择XMODEM或者XMODEM1K协议，然后选择IOS的影像文件（FLASHC3560ADVIPSERVICESK9MZ12225SEE2BIN），开始传送。9、因为不能改速率，所以传送得很慢。（都以B为单位传输，如果可以改比特率，则会快一点）10、传送完毕后提示FILE“XMODEM“SUCCESSFULLYCOPIEDTOSWITCH11、在提示符下输入SWITCHBOOT启用新的IOS系统12、重新启动后就完成了。第二种方法TFTP在一台机器上安装TFTP服务器软件，将IOS文件放置在TFTP服务器的默认根目录下，打开TFTP服务器，用控制线将这台机器与ROUTER连接起来，另外用交叉网线连接机器的网卡和ROUTER的以太口。（也可以用普通的网线将ROUTER和交换机相连再连接机器）做好以上工作后，打开机器的超级终端工具，连接上ROUTER，按CTRLBREAK组合键，此时窗口中出现的命令行提示符为ROMMON1（其中“1”代表命令行的行数）。在提示符后输入命令ROMMON1IP_ADDRESSROUTER的IP地址（要和TFTP服务器在同一网段内）ROMMON2IP_SUBNET_MASKROUTER的子网掩码ROMMON3DEFAUT_GATEWAY默认网关地址（可以没有，也可以是TFTP服务器）ROMMON4TFTP_SERVERTFTP服务器IP地址ROMMON5TFTP_FILEIOS文件名（只给出文件名，不需要路径）ROMMON6TFTPDNLD回车注意前面的几条命令必须使用大写，而最后的TFTPDNLD则要用小写。在TFTPDNLD命令执行后，只要根据提示选择，就可完成文件的传输。当文件传输完后，将自动回到命令行下，输入RESET重启ROUTER，重启后就又回到了熟悉的IOS模式下甚至连以前配置的信息都不会丢失。应注意的问题1）在连接运行TFTPSERVER的PC机至路由器时，必需使用路由器的第一个以太口，即ETHERNT0对2500系列等，ETHERNET0/0（对2600系列等），其它系列略有差别，可根据使用手册进行确定。2）在使用连接电缆时，一定要用交叉线，因这种情况属DTE与DCE之间的连接。3）在运行TFTPSERVER的PC机上，一定要有相应的路由器的IOS映象文件，可以通过多种渠道和多种方式获得该文件。4）TFTPSERVER的地址可以随意定义，但必须与路由器定义的地址在同一网段上。（温馨提示第一种方法比较慢，但是操作简单；第二种方法相反。）52防火墙密码破解1通过CONSOLE口连接设备2加电并启动3显示启动信息的时候，按“ESC”键，进入ROMMON模式4选择不加载STARTUPCONFIG文件启动，在RONNON模式下输入RONNON1CONFREG设备会显示当前配置注册值，并且会提示“是否要更改注册值”CURRENTCONFIGURATIONREGISTER0X00000001CONFIGURATIONSUMMARYBOOTDEFAULTIMAGEFROMFLASH5记录当前配置的注册值，以备稍后恢复6根据提示按Y键更改注册值7除了“DISABLESYSTEMCONFIGURATION”按Y键其他设置一律按照默认值（直接ENTER）DOYOUWISHTOCHANGETHISCONFIGURATIONY/NNYESENABLEBOOTTOROMMONPROMPTY/NNENABLETFTPNETBOOTY/NNENABLEFLASHBOOTY/NNSELECTSPECIFICFLASHIMAGEINDEXY/NNDISABLESYSTEMCONFIGURATIONY/NNYESGOTOROMMONPROMPTIFNETBOOTFAILSY/NNENABLEPASSINGNVRAMFILESPECSINAUTOBOOTMODEY/NNDISABLEDISPLAYOFBREAKORESCKEYPROMPTDURINGAUTOBOOTY/NN8重新启动设备，输入BOOT命令即可ROMMON2BOOT设备会加载默认的配置并不加载STARTUPCONFIG文件9设备启动后进入特权模式HOSTNAMEENABLE10当系统提示输入密码，按RETURN密码就会清空11设置加载STARTUPCONFIG文件启动HOSTNAMECOPYSTARTUPCONFIGRUNNINGCONFIG12进入全局模式下输入以下命令HOSTNAMECONFIGURETERMINAL13配置新密码，对于安全产品来说这步是必要的HOSTNAMECONFIGPASSWORD密码HOSTNAMECONFIGENABLEPASSWORD密码HOSTNAMECONFIGUSERNAME名字PASSWORD密码14通过以下命令更改注册值，并且在下一次重启时加载STARTUPCONFIG启动HOSTNAMECONFIGCONFIGREGISTER值15保存新配置到STARTUPCONFIG文件HOSTNAMECONFIGCOPYRUNNINGCONFIGSTARTUPCONFIG（注通过以上步骤不但可以破解密码，而且不会丢失之前的配置。）53设备只能