思科知名度高，待遇也好，很多网工心生向往，也有很多人考过思科认证的相关证书，对思科的印象还是不错吧？

而且，作为美国著名的网络设备厂商，思科是全球路由器巨头，很多企业使用的关键路由器都离不开思科系列产品。

毕竟好用，还有知名度，用起来，工作高效便捷不说，客户也更有信任感，何乐而不为？

但是在上个月，思科官方发现旗下路由器产品出现严重技术漏洞，引发了不小的关注。

具体发生了啥，今儿和你说道说道。

 

一、思科又出漏洞？ 这可不是第一次了

 

1月11日，思科发现其SMB（中小型企业）路由器中存在两个严重的漏洞（CVE-2023-20025和CVE-2023-20026），可导致未认证攻击者完全控制目标设备，以root权限运行命令。

但由于这些路由器生命周期已结束，思科表示不会发布新软件解决这些路由器上的漏洞。

思科RV系列中小企业路由器的所有软件版本，皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响。

CVE-2023-20025是RV系列路由器（RV016、RV042、RV042G和RV082）上网页管理界面的漏洞，可让未经身份验证的远程攻击者，绕过装置上的身份验证。

造成该漏洞的原因是系统未适当地对用户输入进行验证，攻击者可以通过网页管理界面，发送经过设计的HTTP请求利用该漏洞，以成功绕过身份验证获得底层操作系统的根访问权限。

另外CVE-2023-20026则是一个路由器远程命令执行漏洞，该漏洞同样发生在网页管理界面，可允许经过身份验证的远程攻击者，在受影响的装置上执行任意命令。

由于系统对传输http封包中的用户输入验证不当，因此可能允许攻击者获得根权限，并且访问未经授权的数据，但攻击者要利用该漏洞，需要先获得设备上有效的管理凭证。

思科在公告中指出：“因为已过产品生命周期，思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。”

目前，管理员只能停用远程管理，并且封锁对接口口443和60443的访问来缓解漏洞，实行这些缓解措施后，管理员仍然可以透过LAN接口访问路由器。

相关研究人员指出，尽管这些路由器已经停产，但这些设备现有的安装基数仍然很大。

过时的设备仍在商业环境中长期使用的情况并不少见，而更换设备才是充分保护企业业务的最佳方案。

要知道，这不是第一次发生这种事情。

去年9月，思科RV系列路由器被发现存在零日安全漏洞，但思科明确拒绝修复漏洞，建议用户买最新的产品。

据报道，当时涉及安全问题的是思科面向中小企业推出的VPN路由器，涉及RV110W、RV130、RV130W 和 RV215W系列，出现的漏洞编号为CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O)，与密码验证算法错误有关，使得攻击者可以应用专门准备的凭据连接到VPN路由器。

根据思科所说，这个漏洞可以让攻击者绕过身份验证，并获得IPSec VPN访问权限，甚至可以达到网络管理员同样的权限，具体要取决于应用的凭据。

对思科来说，发现安全漏洞但明确不予修复的例子也不是一次两次了，这次涉及的RV系列路由器前年8月就被发现过漏洞，思科当时也是不打算修复，去年6月份又发现了另外的漏洞，思科的态度依然是不管，只建议用户升级到最新产品。

换新设备，才是解决漏洞的究极出路。当然，也有一些同行出了不同的声音：

“如果思科提前放弃软件支持，到 2025 年的硬件支持有什么意义？”

“举个例子，门锁很容易受到攻击，有人撬锁的话，门锁厂商都应该被罚款吗？”

“对于安全产品，我希望至少 15 年内得到全面支持。由于思科对安全问题的漠视，我认为是时候放弃他们的产品了，应该去支持那些不会让换新设备以解决问题的企业。”

“有些2016年就停售，2022年初就彻底停止支持了。你买哪个产品能管你一辈子啊？”

“我从事网络工作大约 20 年，还没有听说过任何供应商/产品在销售结束后能提供 15 年的支持，最多也就5年左右。”

 

二、思科路由器故障可咋整？

当然，虽然思科路由器的漏洞一直陆续出现，但并不是你路由器故障的主要原因。

这里分享三个思科路由器的故障的场景，以及对应场景下的处理思路，欢迎收藏转发给更多同行朋友们。

01 不堪重负，路由器外网口关闭

1. 网络环境

某单位使用的是Cisco路由器，租用电信30MB做本地接入和l0MB教育网双线路上网，两年来网络运行稳定，路由器也没有发生故障。

随着网络用户数量增加，原来电信30MB已不能满足需要，于是决定租用电信100MB来解决带宽问题。电信采用光纤接入到单位机房后，使用百兆光电转换器经转换后通过双绞线接到路由器外网口上面，该路由器使用是千兆电口作为外网口，由于光电转换器只有100MB，该端口连接后速度显示100MB。

 

2. 外网端口流量为零

经过几天的运行，管理员发现每天当路由器外网口流量超过50Mbps/s后，该端口就会出现“Receive Errors” ，流量超大，错误信息很多。

然后外网不能上了，Telnet到路由器上面，发现电信对应的外网口没有流量，显示状态为UP，路由器上其他端口工作正常。第一反映是电信的那边出现问题了，是电话通知电信那边查检一下，对方很快回应说没有什么问题，并询问是否光电转换器死机了。

于是管理员将光电转换器重启后，故障依然。没有办法，只好将路由器重启一下，故障排除。但是过了不到一个小时，故障又重现。

Telnet到路由器后将该外网口执行shutdown和undo shutdown后，故障排除。谁知，将所有有关病毒的安全策略应用到该端口，将tcp mss修改为2o48(厂商默认1460)，故障依然出现。

 

3. 故障分析

管理员发现在故障发生时，CPU显示23%，Memory为33%，不算太高，关键是其他接口都正常工作，看样子问题还是出现在这个端口上面。可这个端口已用了两年了，升级扩容以前没有出现端口不能正常通讯的情况，端口硬件应该是有什么问题。

通过网管软件对端口关闭前的流量检测，发现该端口关闭前有很大的流量通过(超过80Mbps/s) ，显示端口的错误信息也比较多。通过分析得知应该是网络流量太大，利用率过高所致。

流量超过80%后，造成端口不能正常。如果该端口能工作千兆模式下，100MB带宽仅利用该端口10%，这样端口可以轻松处理。

 

4. 解决方案

在找到症结后，推荐的解决方案是购买千兆光电转换器代替原来的百兆设备，而且价格也比较便宜。但为了保证网络运行的稳定性，该单位决定直接购买一个千兆光口路由模块，直接利用光纤进行通讯，减少网络延时。

电信则通过端口限速来控制保证提供百兆带宽。通过一段时间运行，发现该端口除了有少量错误信息外，再没有出现过端口无故关闭情况。

 

02 路由器为何发包失败

在路由器的配置过程中，经常会碰到这样的问题：网络通信正常，路由器可以成功路由数据包到目标网络，但是从路由器发的数据包却传送失败，故障表现为路由器ping目标网络失败，下面就是一个典型的案例。

1. 现象描述

某单位的网络配置完成后，管理员在测试网络连通性时发现：从PC机(6.159.245.195) 向目标网络(6.159.245.65/26)发送Ping时，路由器R1可以成功转发数据包，然而从R1向目标网络(6.159.245.65/26) 发送ping时，出现ping失败。

2. 排错过程

首先，跟踪ping所经过的路径。检查R1的路由表，目标地址6.159.245.65可以与路由表中0.0.0.0/0相匹配。检查R2、R3、R4的路由表，均可以发现与目标地址匹配的路由表项。

然后，跟踪ICMP回应应答数据包所经过的路径。为完成这一步骤，要明确回应数据包的源地址，PC发送ping时，回应应答数据包的目标地址就是6.159.245.195。而路由器R1发送ping时，回应应答数据包的目标地址就是71.170.0.146。

对照R4的路由表，发现与 6.159.245.195匹配的路由表项，而未发现与目标地址71.170.0.146相匹配的路由表项。

看来，ICMP的回应应答数据包在R4处理时被丢弃了，所以从R1向目标网络R4(6.159.245.65/26) 发送ping时，出现pmg失败。

3. 解决办法

在路由器R4上增加一条指向71.170.0.144/30的静态路由，下一跳的地址为71.170.0.214。完成后，在R1向R4发送ping时，发现一切正常了。

此类网络故障尽管不会影响网络的正常通信，排除的过程也很简单，但网络故障的分析与排除时，我们要考虑完整的通信过程。

 

03 艰难的Cisco路由器IOS升级之旅

某学校从2003年开始建设校园网，近年来上网人数不断增加，使原来的Cisco 2621已经远远不能满足网络的需求。而且最近要上0A办公系统，需要增加一台VPN设备，用于校外用户对校内0A系统的访问。

出于经济上的考虑，他们想通过升级闲置的Cisco 2621路由器来做VPN。不过，在升级IOS的过程中遇到一些问题。

1. 超级终端登录出现乱码

从机房的仓库里拿出路由器，通电。通过Console口连上去，发现超级屏幕出现了一些乱码。会不会是Consol口坏了？

分析认为Cisco设备如果出现Console口坏了，一般会在超级终端屏幕上不断输出很多的乱码。但是这回出现的却是输入回车键后，才在屏幕上出现乱码，可能是每秒传输速率不对。

管理员将默认值9600更换为l15200。路由器启动成功。路由器启动完后，用show run确实发现Console的速率为l15200。

2. 内存不够升级失败

要升级的这台Cisco2621路由器带有VPN的功能。原来的IOS版本为C2600-i-mz.122-8.T4.bin。从网上得知 Cisco 2621只有K8、K9系列的IOS才能支持VPN。

于是管理员从网上下载新的IOS c2600-ik9o3s3-mz.123-22.bin，大小为15MB。

升级过程如下：

(1)配置路由器Interfast 0/0的IP地址，先用“copy flash:tftp”把原来的IOS备份出来，并通过“copy tftpd flash” 命令上传。

(2)重新启动路由器，发现如下的提示错误，大意是没有足够的内存运行IOS:

Error:memory requirements exceed available memory Memory required:0x0284A0BC

在Cisco官方网上查询，发现c2600-ik9o3s3-mz.123-22.bin这个10s镜像要求路由器的内存为 64MB，Flash为16MB。从上面的启动信息可以看出，这台路由器的内存为32MB，当然启动不起来了。

后来在网上购买了一条l28MB的内存换上去，加大内存后，启动路由器成功。

3. 在ROM模式下通过TFTP上传IOS效验失败

由于路由器IOS升级失败，所以想恢复原来的IOS。Cisco IOS升级失败后，恢复IOS的方式有两种：FTP和Xmodem。TFTP的传输速度快一些，Xmodem的传输速度比较慢。

在R0M模式下，用TFTP上传IOS，过程如下：

(1)在interfast 0/0配置IP地址，配置完后用set命令查看。默认情况下，在R0M模式下配置的IP地址是在interfast 0/0下的，所配置的IP地址应该要与TFTP服务器在同一个网段内。

(2)用tftpdnld方式下载，TFTP ServerMg开始时用Cisco的TFTP，但传输一半就超时。

用3Cdaemon传输完后，发现如下的警告：

TFTP flash C0PY:Warning，ChecksSum comparison failed.
重启路由器，路由器无法启动，提示IOS效验错误。

原想可能是IOS下载时出现错误，但是重新下载了c2600-ipbase-mz.123-6c.bin还是不行，看来不是IOS的问题。后来更换了网线TFTP软件还是不行。

4. 解决办法

用Xmodem来传。为了使传输速度快点，我们应该修改Xmodem的传输速度为ll5200。IOS通过Xmodem传输完后，重启路由器，路由器已经可启动。

(1)在用TFTP上传IOS时，如果提示效验错误，就应该考虑采用Xmodem方式上传。

(2)TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。

(3)在用Xmodem上传IOS时，最好采用Windows自带的超级终端。

(4)TFTP (Trivial File Transfer Protoco1)文件传输协议最大就支持传输32MB的文件。如果IOS大于32MB时，可以考虑采用第三方的TFTP软件，如3Cdaemon。

 

参考资料 
[1]《思科路由器发现严重安全漏洞，但表示不会修复》，SDNLABhttps://mp.weixin.qq.com/s/IHGeOYw5eSHClX5uM0wzgw

[2]《路由器出现安全漏洞，思科拒绝修复：你们买新的吧》https://mp.weixin.qq.com/s/lR9saKvBrp1h6VJ620eTgQ

[3]《Cisco路由器故障怎么办？》https://mp.weixin.qq.com/s/0J-WOuHq1a-YlF4TGLo2ww

 

小编送福利时间，CCNA、CCNP、CCIE课程免费试听名额~~立即抢占：

相关课程内容推荐 

 

思科认证备考须知：CCNA 备考指南

思博全新思科课程399活动价限额限时优惠：新版CCNA 课程

思博CCNA课程安排表： CCNA课表

CCNA入门要点：CCNA 考试时间与报名费

如何高效参加CCNA培训学习：东莞CCNA培训机构有哪些？