1. 路由器和交换机的管理配置
虽然对于让路由器或交换机在网络中正常运行来说,路由器和交换机的管理配置的内容并非生死攸关,但它确实很重要。它的知识内容可以帮助管理网络的配置命令。
在路由器和交换机上,可配置的管理功能如下:
- 主机名;
- 旗标;
- 密码;
- 接口描述。
别忘了,这些配置都不能让路由器和交换机表现得更好或运行得更快,但请相信小编,只要花时间在每台网络设备上设置这些配置,你的工作将会更轻松。因为如果这样做,排除网络故障和维护网络的工作将容易很多。下面小编在思科路由器上演示这些命令,但这些命令也完全适用于思科交换机哦!
2. 主机名
要设置路由器的身份,我们可使用命令hostname。这只对本地有影响,即不会影响路由器如何执行名称查找,也不会影响路由器在互联网络中的运行方式。
下面是一个例子:
虽然根据你的姓名配置主机名很有诱惑力,但根据路由器的位置来给它命名绝对是个更好的主意。这是因为根据设备实际所处的位置指定主机名时,查找它将容易得多。另外,这也有助于核实你当前是在正确的设备上进行配置。本章,小编将暂时保留主机名Todd,因为这很有趣哦,哈哈哈哈哈~~~
3. 旗标
配置旗标不仅仅是为了耍酷;配置旗标的一个充分理由是,可以给任何试图通过远程登录或拨号连接你的互联网络的人发出安全警告。您可以创建一个旗标, 向任何登录到路由器的人显示你想告诉他的信息。
有4种类型的旗标: EXEC进程创建旗标( exec process creation banner )人站终端线路旗标incomingterminal line banner )、登录旗标和每8消息旗标,请务必熟悉它们。下面的代码说明了所有这些旗标:
MOTD ( Message OfThe Day,每日消息)是最常用的旗标。它向任何拨号或通过Telnet、辅助端口甚至控制台端口连接路由器的人显示一条消息,如下所示:
上述MOTD旗标告诉连接路由器的人,如果他是不请自来的,就请离开。其中需要说明的是分隔字符,它用于告诉路由器消息到什么地方结束。我们可使用任何分隔字符,但很明显在消息中不能使用该字符。另外,输人完整的消息后按回车,然后输人分隔字符并按回车。不这样做也可以,但如果有多个旗标,它们将合并成一条消息, 并占据一行。
例如,你可在一行中设置旗标,如下所示:
这完全可行,但如果再添加一条MOTD旗标消息,它们将合并到一行中。
下面介绍前面提到的其他旗标。
- EXEC旗标 可配置线路激活( EXEC)旗标,这种旗标在创建EXEC进程(如线路激活或有到来的VTY线路连接)时显示。通过控制台端口建立用户EXEC会话时,我们将激活EXEC旗标。
- 入站旗标 可配置一个这样的旗标,即在连接到反向Telnet 线路的终端上显示。这种旗标可用于给使用反向Telnet的用户提供操作说明。
- 登录旗标 可配置在所有 连接的终端上显示的登录旗标。这种旗标在MOTD旗标之后显示,并在登录提示出现前显示。我们不能基于线路禁用登录旗标,而必须全局禁用它,为此必须使用命令no banner login 将其删除。
下面是一个登录旗标的例子:
任何曾登录过ISR路由器的人,都相当熟悉上述登录旗标,这是思科在其ISR路由器上默认配置的旗标。
注意:登录旗标在登录提示出现前显示,并在MOTD旗标后显示。
4. 设置密码
用于确保思科路由器安全的密码有5种:控制台密码、辅助端口密码、远程登录(VTY)密码、启用密码( enable )和启用加密密码( enable secret )。启用密码和启用加密密码控制用户进人特权模式,在用户执行enable命令时要求他提供密码。其他3种密码用于控制用户通过控制台端口、辅助端口和Telnet进人用户模式。
下面详细介绍每一种密码。
启用密码
在全局配置模式下设置启用密码,如下所示:
命令enable的参数如下。
- last-resort 在使用TACACS服务器进行身份验证,但该服务器不可用时,让你仍能进入路由器;如果TACACS服务器可用,则这种密码将不管用。
- password 在10.3之前的老系统上设置启用密码,如果设置了启用加密密码,该密码将不管用。
- secret 较新的加密密码,如果设置了,将优先于启用密码。
- use-tacacs 让路由 器使用TACACS服务器进行身份验证。如果有数十台甚至更多的路由器,这将很方便,毕竟谁会希望在所有这些路由器上修改密码?而使用TACACS服务器时,你只需修改一次密码。
下面是一个设置启用密码的例子:
如果你将启用加密密码和启用密码设置成相同的,路由器将提醒你修改第二个密码。如果你未使用老式路由器,根本就不需要使用启用密码。
进入用户模式的密码是使用命令line设置的:
下面是CCNA考试涉及的参数。
- aux 设置辅助端口的用户模式密码。辅助端口通常用于将调制解调器连接到路由器,但也可用作控制台端口。
- console 设置控制台 端口的用户模式密码。
- vty 设置通过 Telnet进入用户模式的密码。如果没有设置这种密码,默认将不能通过Telnet连接到路由器。
要配置用户模式密码,可配置相应的线路,并使用命令login让路由器进行身份验证。
5. 辅助端口密码
要配置辅助端口密码,请进人全局配置模式并输入line aux ?。从下面的输出可知,你只有一种选择,那就是0,这是因为只有一个辅助端口:
注意:虽然思科在较新的IOS版本( 12.2和更高)中提供了这种“确保设置密码”的功能,但并非所有IOs都有这种功能。请务必牢记这一点。
6. 控制台端口密码
要设置控制台端口密码,可使用命令line console 0。如果试图在提示符(config-line)#下输人命令line console ?,结果将如何呢?将出现一条错误消息。在该提示符下,我们可输人命令line console 0,且该命令也会被系统接受,但在该提示符下帮助屏幕不管用。输入exit后退一级,我们将发现帮助屏幕管用了。这也是一种特色。
下面是一个示例:
由于只有一个控制台端口,因此我们只能选择编号0。我们可将所有线路的密码都设置成相同的,但出于安全方面的考虑,建议你将它们设置成不同的。还有其他几个与控制台端口相关的命令,你必须知道。
例如,命令exec-timeout 0 0将控制台EXEC会话的超时时间设置为0,这意味着永远不超时。默认的超时时间为10分钟。(如果你喜欢恶作剧,可尝试将其设置为0 1,这将把控制台端口的超时时间设置为1秒。要修复这种问题,你必须不断按向下箭头,并用另一只手修改超时时间! )
logging synchronous是个很不错的命令,应默认启用,但并未如此。它可避免因不断出现控制台消息影响你的输人。配置该命令后,这些消息仍会出现,但会等到返回到路由器提示符后再出现,不会中断你的输人。这样,输人信息将更容易阅读。
下面的示例演示了如何配置这两个命令:
注意:我们可将控制台超时时间设置为00(永远不超时)到35791分钟2 147 483秒的任何值。默认为10分钟。
7. Telnet密码
要设置使用Telnet访问路由器时进入用户模式的密码,我们可使用命令line vty。如果路由器运行的不是思科IOS企业版,它将默认有5条VTY线路: 0~4。但如果运行的是企业版,线路将多得多。要获悉有多少条线路,最佳的方法是使用问号:
别忘了,在提示符(config-line)#下你无法获取帮助。要使用问号(?),你必须返回全局配置模式。
如果你试图远程登录没有设置VTY密码的路由器,结果将如何呢?你将看到一条错误消息, 它指出连接请求遭到拒绝,因为没有设置密码。因此,如果在试图远程登录路由器时出现如下消息:
则说明远程路由器(这里为SFRouter)没有设置VTY ( Telnet)密码。要绕开这种障碍,让路由器在没有设置Telnet密码时也允许建立Telnet连接,我们可使用no login命令:
警告:除非在测试或课堂环境中,否则不建议使用no login 命令让没有设置密码的路由器接受Telnet连接。在生产环境中,请一定设置VTY密码。
给路由器配置IP地址后,我们便可使用Telnet程序配置和检查路由器,而不必使用控制台电缆。在任何命令提示符(DOS或Cisco)下,我们都可输人telnet来运行Telnet 程序。
8. 设置安全外壳(SSH)
我们可以使用安全外壳替代Telnet。与使用非加密数据流的Telnet 相比, SSH创建的会话更安全。SSH使用加密密钥发送数据,以免以明文方式发送用户名和密码。
设置SSH的步骤如下。
(1)设置主机名:
(2)设置城名(为生成加密密钥,必须有用户名和城名):
(3)将用户名设置成支持SSH客户端接入:
(4)生成用于保护会话的加密密钥:
(5)在路由器上启用SSH第2版。并非必须这样做,但强烈推荐这样做:
(6)进入路由器VTY线路配置模式:
(7)最后,指定依次将SSH和Telnet作为接人协议:
如果没有在最后一个命令的末尾指定关键字telnet,路由器将只支持SSH。这里并不是要建议你使用哪种方式,而只是想说明SSH比Telnet更安全。
9. 对密码进行加密
默认情况下,只有启用加密密码是加密的,要对用户模式密码和启用密码进行加密,必须手工进行配置。
在路由器上执行命令show running-config 时,你将看到除启用加密密码外的其他所有密码:
要手工配置密码加密,我们可使用命令service password- encryption,如下例所示:
这样,密码就将被加密。在前面的示例中,我们对密码进行了加密,然后执行命令show run,最后取消了密码加密。正如你看到的,启用密码和线路密码都被加密了。
在全面介绍如何在路由器上设置描述前,我们先来详细探讨密码加密。前面说过,如果你设置密码并启用命令service password-encryption,必须在禁用加密服务前执行命令showrunning-config,否则密码将不会被加密。并非一定要禁用加密服务,仅当路由器的CPU使用率很高时,你才需禁用加密服务。如果在设置密码前就启用了加密服务,则即使不查看密码,它们也会被加密。
10. 描述
设置接口描述对管理员很有帮助,与主机名一样,描述也只在本地有意义。命令description很有用,因为可用来标识电路号。
下面是一个示例:
要查看接口的描述,我们可使用命令show running-config 或show interface:
11. 真实案例
description——一个很有用的命令
Bob是Acme Corporation的一名责深网络管理员,该公司位于旧金山,有50多条WAN链路连接到遍布美国和加拿大的分支机构。每当有接口出现故障时,为确定它连接的电路,并找到该WAN链路提供商的电话号码,Bob都需要花费大量时间。
对Bob来说,接口命令description很有帮助,因为他可使用这个命令确定每个路由器接
口连接的链路。通过给每个WAN接口添加电路号以及提供商的电话号码,Bob受益匪浅。因此,若花几小时给每个路由器接口添加这些信息,当WAN链路出现故障时(这样的情况肯定会发生), Bob 将节省大量宝贵的时间。
12. 使用do命令
从IOS 12.3版起,思科终于在IOS中添加了一个这样的命令,即让你能够在配置模式下查看配置和统计信息。
事实上,在任何IOS中,若我们试图在全局配置模式下查看配置,都将看到如下错误消息:
下面是在运行IOS 12.4 版的路由器上使用do语法执行该命令得到的输出,请将上面的输出与该输出进行比较。
基本上,现在我们可在任何配置提示符下运行任何命令,这是不是很酷?对于前面的密码加密示例,使用do命令绝对可以加快任务的完成速度,这确实是个非常好的命令!