Cisco路由器IOS: Cisco的IOS是一个可以提供路由、交换、网络互连以及远程通信功能的专有内核。
Cisco路由器IOS软件负责的工作包括: 1.加载网络协议和功能。 2.在设备间连接高速流量。 3.在控制访问中添加安全性,防止未授权的网络使用。 4.为简化网络的增长和冗余备份提供可缩放性。 5.为连接到网络中的资源提供网络的可靠性。
连接到Cisco路由器: 可以通过连接到Cisco路由器来进行路由器的设置、配置验证及统计数据审核。要做到这一点可以有不同的方式: 1.通过控制台端口进行连接。(注:控制台端口一般是一个RJ-45的连接器(8针的模块),它位与路由器的背面,在默认时,连接到这个端口可能有也可能没有口令要求.而新型的ISR路由器在默认时使用cisco作为用户名和口令) 2.通过辅助端口进行连接。(注:在使用辅助端口前,必须配置好相关的MODEM命令,这样,MODEM才可以与同此路由器相互通信,这个功能允许通过连接到它的辅助端口,远程拨号到这个out-of-band(即:脱离网络)的路由器上) 3.in-band,即通过应用程序Telnet(“in-band”是指可以通过网络来配置路由器,它是与out-of-band相对应的).
启动路由器: 初次启动一台Cisco路由器时,它将运行开机自检(POST)过程.如果通过了,它将从闪存中查找Cisco IOS,如果有IOS文件存在,则执行装载操作(闪存是一个可电子擦写、可编程的只读存储器---EEPROM).然后,IOS将继续加载并查找一个合法的配置文件(启动文件),它默认时存储在非易失RAM(或NVRAM)中的.
CLI提示符:
Interface:用于修改接口配置,在全局配置模式下。
Line:用于配置用户模式口令。(line console 0命令被认为是一个重要的命令(也称为全局命令),而所有在(config-line)提示符下键入的命令都称为子命令。)
用户模式:被限定于基本的监视操作命令。 特权模式:提供对所有路由器命令的访问。 全局配置模式:提供可以影响整个系统运行的命令。 特定配置模式。只提供可以影响接口/进程运行的命令。 设置模式:提供可交互的配置对话方式。
用户进入特权模式→enable 特权返回用户模式→disable 特权进入全局配置模式→config t 特权进入设置模式→setup 退回上一级→exit 用户模式退回控制台→logout
路由器命令历史 Ctrl+P或↑上次输入过的命令 Ctrl+N或↓显示前面输入过的命令 Show history 默认时显示最近输入过的10条命令 Show terminal 显示终端配置和命令历史缓存空间的大小 Terminal history size 修改缓存空间的大小(最大为256)
Terminal history size命令用于在特权模式下改变历史缓存空间的大小。 Show terminal命令用来验证这一修改。
Show version命令将提供系统硬件的基本配置显示,它还包括软件的版本号以及引导映象。
增强的编辑命令 Ctrl+A 移动光标到本行的开始处 Ctrl+B 移动光标到本行的结尾处 Crrl+R 重新显示一行 Ctrl+U 删除一行 Ctrl+Z 结束配置模式并返回执行(EXEC)模式 Tab 帮你输入一条命令
路由器和交换机的管理配置:
主机名设置: config t (进入全局配置模式) hostname ? (?为主机名,这里随意输入)
标志区设置 config t (进入全局配置模式) banner ? (exec banner(执行标志区)当某个EXEC过程(如线路激活或输入,连接到VTY线路)被建立时,可以配置显示一个线路激活(可执行)标志区。通过从控制台端口简单启动一个用户可执行会话,你将可以激活这个可执行标志区。 incoming banner(输入标志区)可以配置一个显示在连接到逆向Telnet线路终端上的标志区。这个标志区用于给使用这个逆向telnet的用户提供一些指导。 Login banner(登陆标志区)可以配置一个显示在所有终端上的登陆标志区。这个标志区是显示在MODO标志区之后却在登陆提示符之前的。这个登陆标志区不能被单独显示,因此,通常会禁用这个登陆标志区,必须使用no banner login命令来删除它。 日期信息标志区(MOTD)是最被广泛应用的标志区。它对每个拨号进入或者通过Telnet、辅助端口,甚至通过控制台端口连接到路由器的操作者也会给出一个信息。) banner motd ? banner motd # ???????????????????(注:这些问号就是你要输入的文本内容,输入完后按回车键以#结束,然后再次按回车键。) # 口令设置: 有5个口令分别是:控制台口令、辅助口令、远程登录口令(VTY)、启用口令和启用加密口令.启用加密口令和启用口令用于设置保护特权模式的口令.在使用enable命令时,它会提示用户输入一个口令.其他3个是用于配置通过控制台端口、辅助端口或通过Telnet访问用户模式的口令.
启用口令和加密口令设置 config t (进入全局配置模式) enable ? (last-resort:如果设置了要通过TACACS服务器的认证,而当此服务器没有工作时,你仍然可以进入到路由器中.但是,当这个TACACS服务器工作时,你将不可以进入到路由器中. pssword:在老的路由器(10.3以前的系统)上设置启用口令,如果启用加密口令被设置了,它就不能再被使用了. Secret:这是一个较新的设置,这个加密的口令如果被设置,它将越过启用口令的设置. use-tacacs:这个设置要告诉路由器,通过使用TACACS服务器来进行身份认证.如果你有十几或更多的路由器.这将会十分方便,因为我想你不会喜欢在所有路由器上逐个去修改口令设置.明智的做法是通过TACACS服务器进行管理,这样,你将只需要修改一次口令配置就完成全部工作.) enable password ?(?为密码)
enable secret ?(?为密码,这是加密口令设置)
(注:在全局配置模式下输入no enable secret ?,问号就是你所输入的密码,输入前面这个命令可以删除密码,也就是说不需要在用户模式下输入密码进入特权模式。)
使用line命令可以指定用户模式口令 Aux为辅助端口设置用户模式口令。它通常用于在路由器上配置一个MODEN,但它也可以被当作控制台来使用。 config t (进入全局配置模式) line aux 0 (由于只有一个接口,只能选线路0) login (这个命令及辅助接口不提示认证) password ? (?随意输入,为密码) login
Console设置控制台的用户模式口令。 Config t
Line console 0 login Password ?(?为密码,当密码被设定后,要想删除的话,在此输入no password ?,就行了) 对于控制台端口,这里有一些其他的重要命令需要了解。 Exec-timeout 0 0命令,它设置了控制台EXEC会话超时值为零,即决不允许超时。默认的超时值为10分钟 Line con 0 Exec-timeout 0 0 Logging synchronous是一个很有用的命令,它应该是一个默认的命令配置,但是它不是。它可以阻止由于不稳定而产生的烦人的控制台信息,中断你所尝试进行的输入,并使你的输入信息显得更为简单易读。
Vty设置路由器上的telnet口令。 如果这个口令没有被设置,那么默认时telnet是不可用 Telnrt口令设置 Config t Line ? Line vty ? line vty 0 ? line vty 0 4 password ? login
设置完全外壳(SSH) 要替代Telnet,可以使用完全外壳,与使用不加密数据流的telnet应用相比,SSH可以创建一个更加完全的会话.安全外壳(SSH)使用加密密钥发送数据,这样你的用户名和口令就不再会以明文的形式被发送出去。 下面是设置SSH的例子步骤: 1.设置你的用户名: Router(config)#hostname Todd 2.设置域名(在生成加密密码时需要用到用户名和域名): Todd(config)#ip domain-name Lammle.com 3.为加密会话产生加密密钥: Todd(config)#crypto key generate rsa general-keys modulus ? Todd(config)#crypto key generate rsa general-keys modulus 1024 4.为SSH会话设置最大空闲定时器: Todd(config)#ip ssh time-out ? Todd(config)#ip ssh time-out 60 5.为SSH连接设计最大失败尝试值: Todd(config)#ip ssh authentication-retries ? Todd(config)#ip ssh authentication-retries 2 6.连接到路由器的VTY线路上: Todd(config)#line vty 0 1180 7.最后,配置SSH并将Telnet作为访问协议: Todd(config)#transport input ssh telnet
在特权模式下使用show running-config命令时,将可以看到除启用加密口令之外的所有口令。 要手工加密你的口令,可以在全局配置模式下使用service password-encryption命令。
激活接口 使用接口命令shutdown可以关闭一个接口,使用no shutdown命令可以打开一个接口。
在接口上配置IP地址 config t Int f0/0 ip address 192.168.1.1 255.255.255.0 (注:在接口配置模式下使用ip address命令,可以配置接口上的IP地址)
如果想为接口增加第二个子网地址,需要使用secondary命令,如果输入了另一个IP地址并按了回车键,将会替代已存在的IP地址和掩码。显然这是Cisco IOS最为出色的功能。 例子: config t Int f0/0 ip address 192.168.1.1 255.255.255.0 ip address 192.168.1.1 255.255.255.0 ? ip address 192.168.1.1 255.255.255.0 secondary
串行接口命令 配置一个DCE串行接口可使用clock rate命令: clock命令的单位是位每秒。除了查看电缆端头,检查是否有DCE或DTE的标签之外,使用show controllers int命令,你可以了解到路由器的串行接口是否连接有DCE电缆。
下一个需要了解的命令是bandwidth命令。 与clock rate命令不同,配置bandwidth命令时使用的单位是千位。
查看、保存并擦除配置 如果配置是通过setup模式完成的,你将会被问及是否想要应用刚刚创建的配置,如果回答yes,那么路由器将复制DRAM中运行的配置(即所谓当前运行配置running-config)到NVRAM中,并命名为启动配置(startup-config)文件。 可以通过使用copy running-config startup-config命令将配置从DRAM中手工保存到NVRAM中(当然也可以使用其快捷命令copy run start)
删除配置及重新加载路由器 可以使用命令erase startup-config,将启动配置文件删除: enable erase startup-config 在特权模式使用show startup-config可以验证启动配置文件是否删除。 (注:如果使用了erase startup-config命令之后重新加载路由器,将会进入到设置模式,因为在NVRAM中没有配置文件被保存。可以在任一时刻通过按Ctrl+C组合键来退出设置模式(reload命令只可以从特权模式中调用,这个命令能将startup-config文件整个替换running-config文件))
特权模式下使用clear counters命令可以来清除接口上的计数器: 特权模式下使用show ip interface命令进行验证
特权模式下使用show ip interface brief命令,这个命令提供了包含有逻辑地址和状态的路由器接口的快速汇总。 特权模式下使用show protocols命令,可以查看每个接口上第一层和第二层的状态以及使用IP地址。 特权模式下使用show controllers命令,可显示关于物理接口的自身信息。
Cisco的完全设备管理器(SDM) 在cisco的PIX产品上,使用的是pix设备管理器(PDM),而不是SDM。
(注:由于这部份内容需要到Cisco网站注册,才能下载SDM,由于我在注册过程中出现了一点问题,这部分暂时保留,日后一定补上。) |
|