reference中国移动通信集团网络设备安全配置规范－思科rgi.docx

密级：内内部文档编号号：项目代号号：附件五中国移动动通信集集团网络设备备安全配配置规范范思科CAATALLYSTT交换机机部分Ver：草稿二零零三三年十一一月中国移动动通信公公司福建移动动通信公公司版本控制制版本号日期参与人员员更新说明明初稿20033-111-255洪顺安、林林秀文档建立立，初始始化目录第一部分分概述和和介绍551概述551.1项项目背景景51.2项项目目标标51.3参参考资料料52适用的的软件版版本6第二部分分设备的的安全机机制7第三部分分设备安安全配置置建议881访问控控制列表表及其管管理82网管及及认证问问题82.1远远程登录录82.1.1关闭闭远程登登录82.1.2登录录空闲时时间92.1.3访问问地址限限制92.1.4设置置远程管管理VLLAN1102.2帐帐号和密密码管理理102.3帐帐号认证证和授权权112.3.1RAADIUUS认证证方式1112.3.2TAACACCS认证证方式1112.3.3Keerbooross认证方方式1222.4ssnmpp协议1332.4.1SNNMP服服务器的的关闭1132.4.2限制制发起SSNMPP连接的的源地址址132.4.3设置置snmmp密码码142.5HHTTPP服务1442.5.1关闭闭HTTTP服务务152.5.2HTTTP安安全设置置153安全审审计1664设备NNMP升升级方法法174.1前前期准备备174.1.1软件件的获取取174.1.2制定定升级计计划1774.1.3配置置同步1174.1.4数据据备份1184.1.5其他他准备工工作1884.2升升级操作作194.2.1记录录升级前前系统状状态1994.2.2升级级IOSS或装载载补丁1194.2.3检查查升级后后系统的的状态2204.3应应急保障障措施2214.3.1恢复复软件2214.3.2恢复复配置2215特定的的安全配配置2115.1关关闭不必必要的服服务2115.1.1禁止止CDPP(Ciiscoo Diiscooverry PProttocool)2225.1.2ICCMP服服务2225.1.3DNNS服务务225.2其其他特定定的安全全配置2235.2.1VTTP安全全的配置置235.2.2对CONN端口的的管理要要求2335.2.3对sl00端口的的管理要要求2445.2.4禁止止未使用用或空闲闲的端口口245.2.5baanneer的设设置要求求25第一部分分 概述述和介绍绍1 概述本文档对对中国移移动网络络思科CCataalysst交换换机安全全配置标标准进行行描述，规规范涉及及适用范范围、对对应网络络设备本本身安全全机制介介绍和设设备安全全配置标标准三个个部分，在在规范中中针对设设备的六六大安全全规范主主题进行行描述，除除了提供供详细的的安全配配置标准准外，同同时考虑虑设备型型号和适适用网络络层次的的不同，并并对实际际配置过过程中应应注意的的问题进进行详细细描述。1.1 项目背景景该项目是是为了规规范网络络设备的的安全配配置标准准，提高高中国移移动网络络设备的的安全性性而提出出的。该该项目成成果将适适用于集集团公司司以及各各省公司司网络部部、计费费、信息息化等部部门，涵涵盖业务务网络（GGPRSS、CMMNett、各数数据业务务系统）、支支撑系统统（网管管、BOOSS、OOA）等等。1.2 项目目标标该项目的的目标是是对中国国移动网网络中使使用的思思科Caatallystt交换机机安全配配置标准准进行规规范，实实现规范范和指导导各省的的各应用用系统网网络设备备安全配配置的作作用。1.3 参考资料料l 中国ITT认证实实验室网网站 htttp:/wwww.cchinnaittlabb.coom/l Cissco局局域网交交换配置置技术l Cissco Cattalyyst交交换技术术l 思科官方方网站m参与本项项目编写写的人员员有：福建移动动通信公公司：洪洪顺安、林林秀感谢：泰泰讯网络络给予大大力支持持。2 适用的软软件版本本本规范适适用的设设备版本本如下表表：设备名称称设备型号号IOS版版本备注Cataalysst交换换机cataalysst19900、330000、39900、550000系列交交换机；Cattalyyst 40000系列列的交换换模块；旧版本本的Caatallystt 60000系系列交换换机Cataalysst NNMP 5.55及以上上版本本规范仅仅讨论交交换机的的二层功功能的安安全配置置，三层层模块都都采用CCiscco IIOS操操作系统统，以及及采用CCiscco IIOS的的二层交交换机，其其配置与与Cissco路路由器一一样，不不在本规规范讨论论之内考虑到思思科设备备的小版版本号繁繁多，并并且不易易分辨。建建议最好好从集成成商那获获取最新新版本软软件。第二部分分 设备备的安全全机制在访问控控制能力力上，思思科Caatallystt交换机机可以限限制远程程登录管管理VLLAN的的划分，控控制空闲闲时长，并并提供AACL对对用户登登陆进行行严格控控制；支支持AAAA认证证和授权权；支持持snmmp管理理认证、限限制TRRAP主主机，修修改TRRAP端端口等；支持拨拨号接入入控制；实现对对密码自自动加密密。在日志信信息记录录上，思思科Caatallystt交换机机将LOOG信息息分成八八个级别别，由低低到高分分别为ddebuuggiing、infformmatiionaal、nottifiicattionns、warrninngs、errrorss、criiticcal、aleertss、emeergeenciies；可以设设置将一一定级别别的LOOG消息息通过SSYSLLOG、SSNMPP TRRAP传传递给SSERVVER长长期保存存；对SSERVVER的的地址可可以进行行严格控控制。思科Caatallystt交换机机可以通通过设置置ACLL，可以以实现端端口与MMAC地地址及协协议的绑绑定，实实现对数数据包的的过滤，达达到网络络的安全全防护。第三部分分设备安安全配置置建议设备安全全配置建建议是本本规范重重要的一一个部分分，该部部分将对对思科CCataalysst交换换机安全全配置的的细节进进行描述述，并对对配置适适用的网网络层次次、对设设备性能能的影响响和配置置实施的的注意点点进行详详细说明明。1 访问控制制列表及及其管理理Cataalysst提供供了ACCL功能能，主要要运用于于远程管管理的安安全性控控制，如如对teelneet、SSNMPP的IPP地址的的限制。其其功能类类似于CCiscco路由由器的标标准访问问列表，只只能提供供源地址址的限制制。启用用Cattalyyst访访问控制制的命令令格式如如下：FJFZZ-SWWITCCH011> (enaablee) sset ip perrmitt ennanbble具体的应应用将在在以下的的tellnennt和SSNMPP配置中中描述。2 网管及认认证问题题2.1 远程登录录网维人员员习惯使使用CLLI来进进行设备备配置和和日常管管理，常常会使用用Tellnett来远程程登录设设备。大大部分设设备都提提供标准准的Teelneet接口口，虽然然Tellnett在连接接建立初初期也需需要核查查帐号和和密码，但但是此过过程中，以以及后续续会话中中，都是是明文方方式传送送所有数数据，容容易造窃窃听而泄泄密。TTelnnet并并不是一一个安全全的协议议。2.1.1 关闭远程程登录如果不需需要远程程登陆，则要求关闭它。Catalyst交换机的远程登陆是通过SC0口实现的。【应用网网络层次次】：在在所有层层面设备备 【影响】：无法远远程管理理网元设设备，包包括teelneet和SSNMPP【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sset intterffacee scc0 ddownn2.1.2 登录空闲闲时间由于意外外掉线或或不良习习惯，部部分登录录连接长长时间悬悬挂在设设备上，造造成安全全隐患。如如果悬空空的登录录连接过过多，会会导致后后续的登登陆无法法实施，影影响对系系统管理理。要求设定定登录连连接空闲闲时间限限制，让让系统自自动检查查当前连连接是否否长时间间处于空空闲状态态，若是是则自动动将其拆拆除。TTimeeoutt具体取取值应视视实际需需要而定定。建议议设置为为3分钟钟左右。如如果出于于排障目目的，需需要长时时间登录录设备检检查系统统状态，则则需临时时延长或或取消这这项设置置。【应用网网络层次次】：在在所有层层面设备备 【影响】：超时自自动退出出设备【具体配配置】：！设置SSC地址址FJFZZ-SWWITCCH022> (enaablee)seet iinteerfaace sc00 100.0.0.11 2555.2255.2555.0！设置管管理路由由FJFZZ-SWWITCCH022> (enaablee)seet iip rroutte ddefaaultt 100.0.0.22！设置登登陆密码码FJFZZ-SWWITCCH022> (enaablee)seet ppasssworrd！设置空空闲时长长3分钟钟FJFZZ-SWWITCCH022> (enaablee)seet llogoout 32.1.3 访问地址址限制只允许合合法的网网管网段段或网管管和维护护主机地地址作为为源地址址发起对对设备的的远程连连接。【应用网网络层次次】：在在所有层层面设备备 【影响】：只有网网管网段段才能登登陆【具体配配置】：！设置访访问控制制列表，只只允许网网管网段段登陆FJFZZ-SWWITCCH022> (enaablee)seet iip ppermmit 2111.1338.1145.1922 2555.2255.2555.1992 ttelnnet！启用访访问控制制列表FJFZZ-SWWITCCH022> (enaablee) sett ipp peermiit eenabble tellnett2.1.4 设置远程程管理VVLANN管理VLLAN默默认在VVALNN1，存存在着不不安全性性，要求求修改管管理VLLAN。【应用网网络层次次】：在在所有层层面设备备 【影响】：无【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sset intterffacee scc0 112 ；2.2 帐号和密密码管理理要求应在在日常维维护过程程中周期期性地（至至少按季季度）更更改登录录密码，甚甚至登录录帐号。当当外方人人员需要要登录设设备时，应应创建临临时帐号号，并指指定合适适的权限限。临时时帐号使使用完后后应及时时删除。登登录帐号号及密码码的保管管和更新新应由专专人负责责，并注注意保密密。帐号号名字应应该与使使用者存存在对应应关系，如如能反应应使用者者的级别别、从属属关系。为为了提高高安全性性，在方方便记忆忆的前提提下，帐帐号名字字应尽量量混用字字符的大大小写、数数字和符符号，提提高猜度度的难度度。同样样的，密密码必须须至少使使用四种种可用字字符类型型中的三三种：小小写字母母、大写写字母、数数字和符符号，而而且密码码不得包包含用户户名或用用户全名名的一部部分。一一般情况况下密码码至少包包含8个个字符。我们建议用密码生成器软件（如 ）来制造随机密码。Cataalysst交换换机支持持AAAA认证，最最好的口口令处理理方法是是将这些些口令保保存在TTACAACS+或RAADIUUS认证证服务器器上。CCataalysst交换换机的密密码是采采用密文文存放的的，这和和思科路路由器不不一样。【应用网网络层次次】：在在所有层层面设备备 【影响】：无【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sett paasswwordd ；设置登登陆密码码FJFZZ-SWWITCCH022> (enaablee) sett ennabllepaass ；设置置enaablee密码2.3 帐号认证证和授权权Cataalysst交换换机支持持RADDIUSS、TAACACCS或者者Kerrborros认认证，通通过认证证可以方方便实现现对大量量设备的的登录帐帐号和密密码的管管理。建建议采用用集中认认证和授授权模式式。通过过服务器器还可以以弥补设设备本身身对执行行权限管管理的不不足。2.3.1 RADIIUS认认证方式式RADIIUS的的全称为为(Reemotte AAcceess Daiil-IIn UUserr Seerviice),它是是对远程程拨号用用户访问问进行认认证的一一种协议议。主要要进行AAuthhentticaatioon AAuthhoriizattionn Acccouuntiing (AAAA) 三方面面的工作作。【应用网网络层次次】：根根据需要要实施，在在所有层层面设备备可以实实施该建建议。【影响】：无【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sset raddiuss seerveer 110.00.0.1 aauthh-poort 16445FJFZZ-SWWITCCH022> (enaablee) sset raddiuss keey xxxxxxxx！tellnett认证FJFZZ-SWWITCCH022> (enaablee) sset autthennticcatiion loggin raddiuss ennablle ttelnnet2.3.2 TACAACS认认证方式式终端访问问控制器器访问控控制系统统（Teermiinall Acccesss CConttrolllerr Acccesss CConttroll Syysteem，TTACAACS）安安全协议议，对认认证和授授权处理理提供详详细的记记帐信息息和灵活活的管理理控制。【应用网网络层次次】：根根据需要要实施，在在所有层层面设备备可以实实施该建建议。【影响】：无【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sett taacaccs sservver 10.0.00.1FJFZZ-SWWITCCH022> (enaablee) sett taacaccs kkey xxxxxxxx！tellnett认证FJFZZ-SWWITCCH022>(eenabble) seet aauthhentticaatioon llogiin ttacaacs enaablee teelneet2.3.3 Kerbboroos认证证方式Kerbberoos是秘秘密密钥钥网络认认证协议议，使用用数据加加密标准准（DEES）加加密算法法进行加加密和认认证。KKerbberoos是为为对网络络资源的的请求进进行认证证而设计计的。与与其它秘秘密密钥钥系统一一样，KKerbberoos基于于可信任任的第三三方概念念，这个个第三方方对用户户和服务务执行安安全认证证。在KKerbberoos协议议中，这这一可信信任的第第三方被被称为密密钥分发发中心（KKDC，KKey Disstriibuttionn Ceenteer）。【应用网网络层次次】：根根据需要要实施，在在所有层层面设备备可以实实施该建建议。【影响】：无【具体配配置】：！定义KKerbberoos域FJFZZ-SWWITCCH022> (enaablee) sset kerrberros loccal-reaalm m！定义KKGC服服务器FJFZZ-SWWITCCH022> (enaablee) sset kerrberros serrverr ciiscoo.coom 110.00.0.1！从KGGC复制制SRVVTABB文件，确确保交换换机与KKDC共共享秘密密的密钥钥FJFZZ-SWWITCCH022> (enaablee) sset kerrberros srvvtabb reemotte 110.00.0.1 ffileenamme！转发用用户认证证证书FJFZZ-SWWITCCH022> (enaablee) sset kerrberros creedenntiaals forrwarrd！使用KKerbberoos认证证FJFZZ-SWWITCCH022> (enaablee) sset autthennticcatiion loggin kerrberros enaablee ttelnnet 2.4 snmpp协议Snmpp协议是是目前数数据网管管理中普普遍使用用的协议议，但ssnmpp协议本本身也存存在安全全问题。需需要合理理配置ssnmpp协议的的相关属属性，才才能让ssnmpp协议更更好的为为日常维维护管理理服务。由于snnmp协协议的MMIB存存放着大大量设备备状态信信息（称称之为OObjeect，并并以OIID作为为唯一标标识），既既有物理理层信息息（如端端口状态态），也也有协议议层信息息（如端端口IPP地址）。网网管系统统通过SSNMPP GEET或MM-GEET指令令采集这这些信息息作为原原始数据据，经分分析和处处理后实实现各种种网管功功能。部部分MIIB OObjeect还还可以让让网管系系统通过过SNMMP SSET指指令来赋赋值。怀怀有恶意意的人可可以通过过窃取SSNMPP数据来来获得网网络的基基本情况况，并以以此发起起恶意攻攻击，甚甚至通过过修改MMIB Objjectt赋值来来进行破破坏。因因此SNNMP的的防护非非常重要要。SNMPP自身也也提供了了一定的的安全手手段，即即Commmunnityy。Coommuunitty相当当于网管管系统与与设备之之间建立立SNMMP连接接合法性性的识别别字串。它它们两者者之间的的SNMMP交互互都需要要先做CCommmuniity检检查后，再再执行。有有2种CCommmuniity：Reaad-OOnlyy（简称称RO）和和Reaad-WWritte（简简称RWW）。RRO提供供给SNNMP GETT、SNNMP M-GGET、SSNMPP TRRAP指指令使用用；RWW还提供供给SNNMP SETT指令使使用，RRW相当当危险，要要求关闭闭snmmp rrw功能能。建议采取取以下方方法进行行保护：2.4.1 SNMPP服务器器的关闭闭如不需要要提供ssnmpp服务的的，要求求禁止SSNMPP协议服服务，注注意在禁禁止时删删除一些些SNMMP服务务的默认认配置。【适用网网络层次次】：所所有设备备【影响】：关闭，网网管系统统无法采采集到相相关管理理数据以以及告警警监控等等【具体配配置】：FJFZZ-SWWITCCH011> (enaablee) sset snmmp traap ddisaablee2.4.2 限制发起起SNMMP连接接的源地地址【适用网网络层次次】：所所有设备备【影响】：只有指指定的网网管网段段才能使使用SNNMP维维护设备备【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sset snmmp ttrapp ennablle ！指定TTRAPP接收服服务器FJFZZ-SWWITCCH022> (enaablee) sset snmmp ttrapp 100.0.0.11 ccommmuniity_namme！设置SSNMPP IPP过滤FJFZZ-SWWITCCH022> (enaablee) sset ip perrmitt 100.0.0.00 2555.2255.2555.0 snmmpFJFZZ-SWWITCCH022> (enaablee) sset ip perrmitt ennablle ssnmpp2.4.3 设置snnmp密密码要求设置置并定期期更改SSNMPP Coommuunitty（至至少半年年一次）。【适用网网络层次次】：所所有设备备【影响】：无【具体配配置】：！设置只只读COOMMUUNITTY NNAMEE不使用用默认的的commmunnityy naame,如puubliicFJFZZ-SWWITCCH022>(eenabble)settsnmmp ccommmuniity reaad-oonlyy xxxxxxxxx！设置读读写COOMMUUNITTY NNAMEE不使用用默认的的commmunnityy naame,如prrivaateFJFZZ-SWWITCCH022>(eenabble)settsnmmp ccommmuniity reaad-wwritte xxxxxxxxxx2.5 HTTPP服务思科交换换机操作作系统支支持Htttp协协议进行行远端配配置和监监视，由由于HTTTP服服务本身身具有诸诸多安全全漏洞，如如CGII漏洞等等，思科科路由器器的HTTTP服服务就发发现有安安全漏洞洞；而针针对Htttp的的认证就就相当于于在网络络上发送送明文且且对于HHttpp没有有有效的基基于挑战战或一次次性的口口令保护护，这使使得用HHttpp进行管管理相当当危险。要要求关闭闭HTTTP服务务。如实在要要使用HHTTPP服务，要要求更改改标准的的端口号号，将协协议运行行在其他他不用端端口上，如如“491152 至 6555355”，而不不是标准准端口上上。2.5.1 关闭HTTTP服服务【适用网网络层次次】：所所有设备备【影响】：无法通通过HTTTP维维护交换换机【具体配配置】：FJFZZ-SWWITCCH022> (enaablee) sset ip htttp sservver dissablle2.5.2 HTTPP安全设设置如果必须须选择使使用Htttp进进行管理理，要求求修改HHTTPP的标准准端口号号，进行行HTTTP认证证，可以以通过RRADIIUS、TTACAACS或或者Keerbeeross认证。【适用网网络层次次】：所所有设备备【影响】：无【具体配配置】：！修改默默认端口口FJFZZ-SWWITCCH011> (enaablee) sset ip htttp pportt 5000000 ！RADDIUSS认证FJFZZ-SWWITCCH022> (enaablee) sset raddiuss seerveer 110.00.0.1 aauthh-poort 16445FJFZZ-SWWITCCH022> (enaablee) sset raddiuss keey xxxxxxxx！htttp认证证FJFZZ-SWWITCCH022> (enaablee) sset autthennticcatiion loggin raddiuss ennablle hhttpp ！taccacss认证FJFZZ-SWWITCCH022> (enaablee) sett taacaccs sservver 10.0.00.1FJFZZ-SWWITCCH022> (enaablee) sett taacaccs kkey xxxxxxxxFJFZZ-SWWITCCH022>(eenabble) seet aauthhentticaatioon llogiin ttacaacs enaablee htttp! keerbooross认证！定义KKerbberoos域FJFZZ-SWWITCCH022> (enaablee) sset kerrberros loccal-reaalm m!定义KKGC服服务器FJFZZ-SWWITCCH022> (enaablee) sset kerrberros serrverr ciiscoo.coom 110.00.0.1!从KGGC复制制SRVVTABB文件，确确保交换换机与KKDC共共享秘密密的密钥钥FJFZZ-SWWITCCH022> (enaablee) sset kerrberros srvvtabb reemotte 110.00.0.1 ffileenamme!转发用用户认证证证书FJFZZ-SWWITCCH022> (enaablee) sset kerrberros creedenntiaals forrwarrd!使用KKerbberoos认证证FJFZZ-SWWITCCH022> (enaablee) sset autthennticcatiion loggin kerrberros enaablee3 安全审计计为了实现现对设备备安全的的管理，要要求对设设备的安安全审计计进行有有效管理理。根据据设备本本身具有有的属性性和实际际维护经经验，要要求相关关安全审审计信息息应包括括设备登登录信息息日志和和设备事事件信息息日志，同同时提供供SYSSLOGG服务器器的设置置方式。思科Caatallystt交换机机也将LLOG信信息分成成八个级级别，由由低到高高分别为为debbugggingg、infformmatiionaal、nottifiicattionns、warrninngs、errrorss、criiticcal、aleertss、emeergeenciies。考考虑到日日志信息息的种类类和详细细程度，并并且日志志开启对对设备的的负荷有有一定影影响，在在这建议议获取有有意义的的日志信信息，并并将其发发送到网网管主机机或日志志服务器器并进行行分析，建建议将nnotiificcatiionss及以上上的LOOG信息息送到日日志服务务器。【适用网网络层次次】：根根据需要要在所有有层次实实施。【影响】：无【具体配配置】：！设置llog级级别，级级别根据据实际维维护需要要设置FJFZZ-SWWITCCH011> (enaablee) sset loggginng sservver sevveriity 0-7！SYSSLOGG SEERVEER地址址FJFZZ-SWWITCCH022> (enaablee) sset loggginng sservver 10.0.00.1！logg时间戳戳FJFZZ-SWWITCCH022> (enaablee) sset loggginng ttimeestaamp enaablee4 设备NMMP升级级方法设备软件件版本升升级和补补丁安装装是实施施设备安安全加固固一个不不可缺少少的环节节。为了了确保NNMP升升级的顺顺利进行行，要求求从以下下几个细细节进行行考虑。4.1 前期准备备前期准备备工作包包括：NNMP软软件的获获取、升升级计划划的制定定、配置置同步、数数据备份份。4.1.1 软件的获获取Ciscco在官官方网站站上提供供最新的的软件版版本和对对应的升升级包，但但必须有有CCOO帐号。建建议在升升级前必必须确认认软件是是否通过过集团公公司的入入网许可可，并且且与设备备支撑单单位确认认你所要要升级设设备的硬硬件满足足升级NNMP的的要求，最最好NMMP软件件直接从从设备供供应商获获取。4.1.2 制定升级级计划与设备支支撑单位位一起制制定详细细的升级级计划，充充分考虑虑实施升升级和补补丁装载载时系统统重启对对业务的的影响，充充分考虑虑网络结结构的双双机或双双链路结结构对业业务的保保护，最最大限度度减少业业务中断断时间。4.1.3 配置同步步路由器的的配置内内容被存存放在多多个介质质中，如如运行配配置文件件存放在在RAMM，但配配置文件件存放在在NVRRAM中中，为确确保配置置的一致致性，有有必要进进行配置置同步，以以确保下下一步数数据备份份的配置置数据是是最新的的。Caatallystt交换机机在用户户配置的的时候，已已经自动动实现了了配置的的同步，而而不用用用户操作作。4.1.4 数据备份份为确保升升级过程程的可恢恢复性，对对原NMMP和配配置数据据有必要要进行完完全备份份。要求求在备份份前确认认备份介介质的可可用性和和可靠性性，并在在备份完完升级前前进行验验证。提提供数据据备份的的命令，包包括NMMP备份份和配置置数据备备份。【实施命命令】：! 首先先显示IIOS文文件的文文件名，确确定是否否需要升升级IOOSFJFZZ-SWWITCCH022> (enaablee) sshoww fllashh cat440000.5-5- 1.bbin! 备份份NMPP软件FJFZZ-SWWITCCH022> (enaablee) ccopyy fllashh tfftpFlassh ddeviice boootfflassh?Namee off fiile to coppy ffromm ?caat40000.5-55- 11.biin IP aaddrresss orr naame of remmotee hoost 2111.1138.1511.1226?Namee off fiile to coppy tto ? Copyy' caat40000.5-55- 11.biin '' frrom flaash to serrverr ass 'ccisccobff' yees/nno y！备份配配置文件件FJFZZ-SWWITCCH022> (enaablee) ccopyy coonfiig ttftppThiss coommaand uplloadds nnon-deffaullt cconffiguurattionns oonlyy.Use 'coopy connfigg tfftp alll' tto uuplooad botth ddefaaultt annd nnon-deffaullt cconffiguurattionns.IP adddresss oor nnamee off reemotte hhostt 2211.1388.1551.1126?Namee off fiile to coppy tto FJFFZ-SSWITTCH002.ccfg?Uplooad connfigguraatioon tto ttftpp:FJJFZ-SWIITCHH02.cfgg, (y/nn) n? y4.1.5 其他准备备工作其他升级级前的准准备工作作如下：1、检测测升级设设备各部部件的工工作状态态，对存存在的问问题立即即进行解解决，无无法解决决的暂时时停止升升级工作作。2、TFFTP服服务器的的设置，并并将获取取的NMMP软件件放在服服务器上上3、现场场工作人人员准备备一台笔笔记本电电脑、相相关线缆缆和其他他相关备备件。4.2 升级操作作4.2.1 记录升级级前系统统状态为了确保保对升级级过程中中问题的的解决提提供相依依据，要要求在升升级前记记录系统统的状态态。包括括：设备备各模块块硬件、工工作状态态、模块块端口及及工作状状态。并并将信息息存储在在外部介介质上，确确保升级级完毕后后进行核核对。【实施命命令】：！查看硬硬件环境境FJFZZ-SWWITCCH011> (enaablee) sshoww syysteem！查看端端口状态态FJFZZ-SWWITCCH011> (enaablee) sshoww poort staatuss4.2.2 升级IOOS或装装载补丁丁1、考虑虑到FLLASHH空间的的限制，在在无法装装下两个个IOSS软件时时，应将将原有的的IOSS软件删删除。【实施命命令】：FJFZZ-SWWITCCH022> (enaablee)deelette ccat440000.5-5- 1.bbin2、拷贝贝系统文文件到FFlassh mmemoory【实施命命令】：FJFZZ-SWWITCCH022> (enaablee) ccopyy tfftp flaashIP aaddrresss orr naame of remmotee hoost 2555.2255.2555.2555?10.10.10.1(TTFTPP服务器器地址)Namee off fiile to coppy? catt40000.55-5- 1.binn（该文文件要存存放在TTFTPP服务器器TFTTP软件件目录下下）Copyy caat40000.5-55- 11.biin ffromm 100.100.100.1 intto fflassh mmemoory? cconffirmmFlassh iis ffillled to cappaciity.Erassuree iss neeedeed bbefoore flaash mayy bee wrrittten.Erasse fflassh bbefoore wriitinng? coonfiirmeeeeeeeeeeeeeeeeeeeee.Loaddingg frrom 10.10.10.1:!. OK - 8814110444/833886608 byttesVeriifyiing viaa chheckksumm. vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv