Cisco路由器IOS:
Cisco的IOS是一个可以提供路由、交换、网络互连以及远程通信功能的专有内核。
Cisco路由器IOS软件负责的工作包括:
1.加载网络协议和功能。
2.在设备间连接高速流量。
3.在控制访问中添加安全性,防止未授权的网络使用。
4.为简化网络的增长和冗余备份提供可缩放性。
5.为连接到网络中的资源提供网络的可靠性。
连接到Cisco路由器:
可以通过连接到Cisco路由器来进行路由器的设置、配置验证及统计数据审核。要做到这一点可以有不同的方式:
1.通过控制台端口进行连接。(注:控制台端口一般是一个RJ-45的连接器(8针的模块),它位与路由器的背面,在默认时,连接到这个端口可能有也可能没有口令要求.而新型的ISR路由器在默认时使用cisco作为用户名和口令)
2.通过辅助端口进行连接。(注:在使用辅助端口前,必须配置好相关的MODEM命令,这样,MODEM才可以与同此路由器相互通信,这个功能允许通过连接到它的辅助端口,远程拨号到这个out-of-band(即:脱离网络)的路由器上)
3.in-band,即通过应用程序Telnet(“in-band”是指可以通过网络来配置路由器,它是与out-of-band相对应的).
启动路由器:
初次启动一台Cisco路由器时,它将运行开机自检(POST)过程.如果通过了,它将从闪存中查找Cisco IOS,如果有IOS文件存在,则执行装载操作(闪存是一个可电子擦写、可编程的只读存储器---EEPROM).然后,IOS将继续加载并查找一个合法的配置文件(启动文件),它默认时存储在非易失RAM(或NVRAM)中的.
CLI提示符:
Interface:用于修改接口配置,在全局配置模式下。
Line:用于配置用户模式口令。(line console 0命令被认为是一个重要的命令(也称为全局命令),而所有在(config-line)提示符下键入的命令都称为子命令。)
用户模式:被限定于基本的监视操作命令。
特权模式:提供对所有路由器命令的访问。
全局配置模式:提供可以影响整个系统运行的命令。
特定配置模式。只提供可以影响接口/进程运行的命令。
设置模式:提供可交互的配置对话方式。
用户进入特权模式→enable
特权返回用户模式→disable
特权进入全局配置模式→config t
特权进入设置模式→setup
退回上一级→exit
用户模式退回控制台→logout
路由器命令历史
Ctrl+P或↑上次输入过的命令
Ctrl+N或↓显示前面输入过的命令
Show history 默认时显示最近输入过的10条命令
Show terminal 显示终端配置和命令历史缓存空间的大小
Terminal history size 修改缓存空间的大小(最大为256)
Terminal history size命令用于在特权模式下改变历史缓存空间的大小。
Show terminal命令用来验证这一修改。
Show version命令将提供系统硬件的基本配置显示,它还包括软件的版本号以及引导映象。
增强的编辑命令
Ctrl+A 移动光标到本行的开始处
Ctrl+B 移动光标到本行的结尾处
Crrl+R 重新显示一行
Ctrl+U 删除一行
Ctrl+Z 结束配置模式并返回执行(EXEC)模式
Tab 帮你输入一条命令
路由器和交换机的管理配置:
主机名设置:
config t (进入全局配置模式)
hostname ? (?为主机名,这里随意输入)
标志区设置
config t (进入全局配置模式)
banner ? (exec banner(执行标志区)当某个EXEC过程(如线路激活或输入,连接到VTY线路)被建立时,可以配置显示一个线路激活(可执行)标志区。通过从控制台端口简单启动一个用户可执行会话,你将可以激活这个可执行标志区。
incoming banner(输入标志区)可以配置一个显示在连接到逆向Telnet线路终端上的标志区。这个标志区用于给使用这个逆向telnet的用户提供一些指导。
Login banner(登陆标志区)可以配置一个显示在所有终端上的登陆标志区。这个标志区是显示在MODO标志区之后却在登陆提示符之前的。这个登陆标志区不能被单独显示,因此,通常会禁用这个登陆标志区,必须使用no banner login命令来删除它。
日期信息标志区(MOTD)是最被广泛应用的标志区。它对每个拨号进入或者通过Telnet、辅助端口,甚至通过控制台端口连接到路由器的操作者也会给出一个信息。)
banner motd ?
banner motd #
???????????????????(注:这些问号就是你要输入的文本内容,输入完后按回车键以#结束,然后再次按回车键。)
#
口令设置:
有5个口令分别是:控制台口令、辅助口令、远程登录口令(VTY)、启用口令和启用加密口令.启用加密口令和启用口令用于设置保护特权模式的口令.在使用enable命令时,它会提示用户输入一个口令.其他3个是用于配置通过控制台端口、辅助端口或通过Telnet访问用户模式的口令.
启用口令和加密口令设置
config t (进入全局配置模式)
enable ? (last-resort:如果设置了要通过TACACS服务器的认证,而当此服务器没有工作时,你仍然可以进入到路由器中.但是,当这个TACACS服务器工作时,你将不可以进入到路由器中.
pssword:在老的路由器(10.3以前的系统)上设置启用口令,如果启用加密口令被设置了,它就不能再被使用了.
Secret:这是一个较新的设置,这个加密的口令如果被设置,它将越过启用口令的设置.
use-tacacs:这个设置要告诉路由器,通过使用TACACS服务器来进行身份认证.如果你有十几或更多的路由器.这将会十分方便,因为我想你不会喜欢在所有路由器上逐个去修改口令设置.明智的做法是通过TACACS服务器进行管理,这样,你将只需要修改一次口令配置就完成全部工作.)
enable password ?(?为密码)
enable secret ?(?为密码,这是加密口令设置)
(注:在全局配置模式下输入no enable secret ?,问号就是你所输入的密码,输入前面这个命令可以删除密码,也就是说不需要在用户模式下输入密码进入特权模式。)
使用line命令可以指定用户模式口令
Aux为辅助端口设置用户模式口令。它通常用于在路由器上配置一个MODEN,但它也可以被当作控制台来使用。
config t (进入全局配置模式)
line aux 0 (由于只有一个接口,只能选线路0)
login (这个命令及辅助接口不提示认证)
password ? (?随意输入,为密码)
login
Console设置控制台的用户模式口令。
Config t
Line console 0
login
Password ?(?为密码,当密码被设定后,要想删除的话,在此输入no password ?,就行了)
对于控制台端口,这里有一些其他的重要命令需要了解。
Exec-timeout 0 0命令,它设置了控制台EXEC会话超时值为零,即决不允许超时。默认的超时值为10分钟
Line con 0
Exec-timeout 0 0
Logging synchronous是一个很有用的命令,它应该是一个默认的命令配置,但是它不是。它可以阻止由于不稳定而产生的烦人的控制台信息,中断你所尝试进行的输入,并使你的输入信息显得更为简单易读。
Vty设置路由器上的telnet口令。
如果这个口令没有被设置,那么默认时telnet是不可用
Telnrt口令设置
Config t
Line ?
Line vty ?
line vty 0 ?
line vty 0 4
password ?
login
设置完全外壳(SSH)
要替代Telnet,可以使用完全外壳,与使用不加密数据流的telnet应用相比,SSH可以创建一个更加完全的会话.安全外壳(SSH)使用加密密钥发送数据,这样你的用户名和口令就不再会以明文的形式被发送出去。
下面是设置SSH的例子步骤:
1.设置你的用户名:
Router(config)#hostname Todd
2.设置域名(在生成加密密码时需要用到用户名和域名):
Todd(config)#ip domain-name Lammle.com
3.为加密会话产生加密密钥:
Todd(config)#crypto key generate rsa general-keys modulus ?
Todd(config)#crypto key generate rsa general-keys modulus 1024
4.为SSH会话设置最大空闲定时器:
Todd(config)#ip ssh time-out ?
Todd(config)#ip ssh time-out 60
5.为SSH连接设计最大失败尝试值:
Todd(config)#ip ssh authentication-retries ?
Todd(config)#ip ssh authentication-retries 2
6.连接到路由器的VTY线路上:
Todd(config)#line vty 0 1180
7.最后,配置SSH并将Telnet作为访问协议:
Todd(config)#transport input ssh telnet
在特权模式下使用show running-config命令时,将可以看到除启用加密口令之外的所有口令。
要手工加密你的口令,可以在全局配置模式下使用service password-encryption命令。
激活接口
使用接口命令shutdown可以关闭一个接口,使用no shutdown命令可以打开一个接口。
在接口上配置IP地址
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
(注:在接口配置模式下使用ip address命令,可以配置接口上的IP地址)
如果想为接口增加第二个子网地址,需要使用secondary命令,如果输入了另一个IP地址并按了回车键,将会替代已存在的IP地址和掩码。显然这是Cisco IOS最为出色的功能。
例子:
config t
Int f0/0
ip address 192.168.1.1 255.255.255.0
ip address 192.168.1.1 255.255.255.0 ?
ip address 192.168.1.1 255.255.255.0 secondary
串行接口命令
配置一个DCE串行接口可使用clock rate命令:
clock命令的单位是位每秒。除了查看电缆端头,检查是否有DCE或DTE的标签之外,使用show controllers int命令,你可以了解到路由器的串行接口是否连接有DCE电缆。
下一个需要了解的命令是bandwidth命令。
与clock rate命令不同,配置bandwidth命令时使用的单位是千位。
查看、保存并擦除配置
如果配置是通过setup模式完成的,你将会被问及是否想要应用刚刚创建的配置,如果回答yes,那么路由器将复制DRAM中运行的配置(即所谓当前运行配置running-config)到NVRAM中,并命名为启动配置(startup-config)文件。
可以通过使用copy running-config startup-config命令将配置从DRAM中手工保存到NVRAM中(当然也可以使用其快捷命令copy run start)
删除配置及重新加载路由器
可以使用命令erase startup-config,将启动配置文件删除:
enable
erase startup-config
在特权模式使用show startup-config可以验证启动配置文件是否删除。
(注:如果使用了erase startup-config命令之后重新加载路由器,将会进入到设置模式,因为在NVRAM中没有配置文件被保存。可以在任一时刻通过按Ctrl+C组合键来退出设置模式(reload命令只可以从特权模式中调用,这个命令能将startup-config文件整个替换running-config文件))
特权模式下使用clear counters命令可以来清除接口上的计数器:
特权模式下使用show ip interface命令进行验证
特权模式下使用show ip interface brief命令,这个命令提供了包含有逻辑地址和状态的路由器接口的快速汇总。
特权模式下使用show protocols命令,可以查看每个接口上第一层和第二层的状态以及使用IP地址。
特权模式下使用show controllers命令,可显示关于物理接口的自身信息。
Cisco的完全设备管理器(SDM)
在cisco的PIX产品上,使用的是pix设备管理器(PDM),而不是SDM。
(注:由于这部份内容需要到Cisco网站注册,才能下载SDM,由于我在注册过程中出现了一点问题,这部分暂时保留,日后一定补上。) |
|
