線路配置
-----------
進入用戶EXEC的安全控制檯訪問:對那些需要通過設備控制檯端口訪問的用戶EXEC的人員進行限制,要求他們在訪問時輸入有效的口令,下面給出了能夠實現這樣設置的三個基本命令:
CCNA2811(config)# line console 0
CCNA2811(config-line)# login
CCNA2811(config-line)# password myconsolepassword
在配置時,login命令和password命令的輸入順序並不重要。重要的是這兩個命令都必須被配置。
爲了能增加額外的安全保護,建議將IOS配置爲在控制檯會話暫停(即沒有輸入)一段指定的時間後能自動關閉。當EXEC會話被關閉後,管理人員必須重新輸入控制檯口令(假定上面介紹的控制檯口令已經配置完成)才能再次訪問用戶EXEC。例如,你希望控制檯能夠在會話暫停1分30秒後關閉,所要使用的命令的是:
CCNA2811(config-line)# exec-timeout 1 30
默認時,IOS會將所有的警告和通告信息都發送到控制檯端口。遺憾的是,這樣的功能有時會中斷你正在進行的命令輸入。要讓Cisco設備能夠更有禮貌而不會中軋製你的工作,可以使用logging synchronous命令。當這個命令被配置以後,IOS仍會向控制檯會話發送通告,但它會在通告後將用戶已經輸入的信息重新顯示在新的一行中。
進入用戶EXEC的安全輔助端口訪問:
CCNA2811(config)# line auxiliary 0
CCNA2811(config-line)# login
CCNA2811(config-line)# password myauxpassword
CCNA2811(config-line)# exec-timeout 1 30
進入用戶EXEC的安全Telnet和SSH訪問
記住:在默認時要獲得對SSH和Telnet使用權,必須在vty線路上配置一個認證口令。如果要通過Telnet或SSH會話來進入特權EXEC,就必須設置一個啓用口令。
大多數路由器都可以提供5個Telnet或SSH的會話。要完成對所有vty線路的配置,就需要以第一條線(記住這個編號是從0開始的)的編號開始,後面跟着最後一條線的編號來表示,如下所示:
CCNA2811(config)# line vty 0 4
CCNA2811(config-line)# login
CCNA2811(config-line)# password mytelnetpassword
CCNA2811(config-line)# exec-timeout 1 30
如果你只配置了線路vty 0,或者你在每個vty線路上設置了不同的口令,那麼會出現什麼情況?對於這個問題的第一問,即如果你只配置線路vty 0,答案應該是,路由器只會提示第一個用戶出示口令。如果在第一個Telnet會話還沒結束時另一個用戶也試圖建立Telnet連接,那麼他將不能登錄到這個路由器上(因爲這些線的默認登錄必須要有口令)。對於這個問題的另一問,即如果你在每個vty線路上設置了不同的口令,答案應該是,你仍可以連接到所有的線路上,但是,你沒有辦法去選擇或瞭解正要連接的vty線路哪一個。你將不得不利用僅有的三次機會(IOS只允許進行三次嘗試)去猜測出正確的口令。
路由器接口配置
------------------
爲了能夠說明並註釋接口的作用,可以通過在接口上使用description命令爲它指定一個描述:
Router(config-if)# description This is my first interface description.
接口命令description可以用於爲選定的接口指定一個描述。
保存配置
------------
一些copy命令中經常使用的選項是running-config、startup-config、flash和tftp。在交換機或路由器的IOS中,用於保存配置的全局配置命令是:
Router# copy running-config startup-config
如果要返回到路由器或交換機的默認配置,可以使用特權EXEC命令erase startup-config,然後使用reload命令來重新引導設備。在路由器或交換機重新引導後,由於保存在NVRAM中的配置文件已經被刪除,這時將進入到設置模式。
使用show命令來獲取信息
--------------------------
show running-config :在RAM中的當前配置;
show startup-config :在下次引導時將被加載的保存在NVRAM中的配置;
show interfaces :輸出接口狀態、IP地址、封裝、帶寬、可靠性、負載、MTU、雙工、網絡統計;
show ip interface brief :輸出接口的IP地址和狀態;
show controller serial :接口的微碼,包含連接的是DTC或DEC電纜的信息;
show flash :IOS文件名和Flash存儲器中已使用的和可使用的數量;
show version :IOS的版本、IOS文件名、開啓時間、存儲器數量、配置寄存器;
排錯命令
------------
1、使用ping、traceroute、telnet、SSH或其他工具來驗證設備的配置和網絡的連通性
2、使用SHOW或DEBUG命令來驗證路由器硬件和軟件的操作
在特權EXEC中的clear命令,它可以清除那些被記錄保存下來用於show命令輸出的統計信息。例如,當查看show interfaces serial 0/0命令的輸出時,如果發現存在有大量的最近衝突的記錄,那麼,如何才能知道這些信息是對當前工作狀態的統計,還是對發生在上週衝突的記錄?使用clear counters命令可以清除這些統計記錄,這時show interfaces命令給出的數據就是最新的狀態。
在特權模式中的debug命令可以實時地顯示大量的信息,其中包括路由更新、數據包轉發、接口存活,以及其他的許多內容。由於debug命令會增加設備處理器的工作強度,並且在終端上產生大量的信息,因此,在使用這個命令時會有許多的限制條件。也正是出於這個原因,強烈建議只在緊急情況下或者是在實驗室環境中使用這些命令。如果必須要在一個投入運營的路由器上使用debug命令,那麼一定要先使用show processes命令瞭解一下設備處理器的負載情況。當你完成了排錯工作,可以通過在這個命令前放置一個no來關閉對設備工作的跟蹤,或者也可以通過輸入no debug all或undebug all命令來關閉所有的跟蹤。
提示:爲了能在debug信息中查看到準確的時間記錄,強烈建議使用特權EXEC模式下clock set命令,爲設備配置能表示正確日期和時間的時鐘。此外,要在debug的輸出中添加時間記錄信息,需要在全局配置模式中使用service timestamp命令。
用CDP進行鄰居發現
----------------------
CDP是一個Cisco專有的協議,它工作在數據鏈路層。運行在第2層上一個獨特的特點是,CDP功能的實現與物理層上使用的介質(UTP、光纖等)以及與網絡層所運行的被動路由協議(如IP、IPX、AppleTalk等)都無關。默認時,CDP在所有的Cisco設備上都是開啓的,它每隔60s就會從所有運行中的接口發送出組播的CDP數據,這樣就保證了相鄰的Cisco設備能收集彼此之間的信息。雖然在CDP中使用了組播數據,但Cisco的交換機並不像對待常規的組播或廣播數據那樣,將這一數據泛發到所有與交換機相連接設備上。
識記:CDP的本質特徵是,它是一個第2層專有的協議,它的運行與第1層和第3層的配置無關。在默認時它是開啓的,並且只向與其直接相鄰的Cisco設備上發送組播。
show cdp neighbours
使用show cdp neighbors detail或show cdp entry *可以得到更多的有關相鄰Cisco設備的信息。
出於安全的考慮也應該關閉CDP,因爲許多有價值信息一旦落入你對手的手中其後果將會是致命的。有兩種方法可以用來關閉CDP:在Cisco設備上進行整體性的關閉,或者基於接口到接口的方式進行關閉。要關閉整個設備的CDP,可以在全局配置模式下使用no cdp run命令。除此之外,也可以通過進入指定接口並在其接口配置模式下使用no cdp enable命令,在特定接口上關閉CDP通告的功能。