线路配置
-----------
进入用户EXEC的安全控制台访问:对那些需要通过设备控制台端口访问的用户EXEC的人员进行限制,要求他们在访问时输入有效的口令,下面给出了能够实现这样设置的三个基本命令:
CCNA2811(config)# line console 0
CCNA2811(config-line)# login
CCNA2811(config-line)# password myconsolepassword
在配置时,login命令和password命令的输入顺序并不重要。重要的是这两个命令都必须被配置。
为了能增加额外的安全保护,建议将IOS配置为在控制台会话暂停(即没有输入)一段指定的时间后能自动关闭。当EXEC会话被关闭后,管理人员必须重新输入控制台口令(假定上面介绍的控制台口令已经配置完成)才能再次访问用户EXEC。例如,你希望控制台能够在会话暂停1分30秒后关闭,所要使用的命令的是:
CCNA2811(config-line)# exec-timeout 1 30
默认时,IOS会将所有的警告和通告信息都发送到控制台端口。遗憾的是,这样的功能有时会中断你正在进行的命令输入。要让Cisco设备能够更有礼貌而不会中轧制你的工作,可以使用logging synchronous命令。当这个命令被配置以后,IOS仍会向控制台会话发送通告,但它会在通告后将用户已经输入的信息重新显示在新的一行中。
进入用户EXEC的安全辅助端口访问:
CCNA2811(config)# line auxiliary 0
CCNA2811(config-line)# login
CCNA2811(config-line)# password myauxpassword
CCNA2811(config-line)# exec-timeout 1 30
进入用户EXEC的安全Telnet和SSH访问
记住:在默认时要获得对SSH和Telnet使用权,必须在vty线路上配置一个认证口令。如果要通过Telnet或SSH会话来进入特权EXEC,就必须设置一个启用口令。
大多数路由器都可以提供5个Telnet或SSH的会话。要完成对所有vty线路的配置,就需要以第一条线(记住这个编号是从0开始的)的编号开始,后面跟着最后一条线的编号来表示,如下所示:
CCNA2811(config)# line vty 0 4
CCNA2811(config-line)# login
CCNA2811(config-line)# password mytelnetpassword
CCNA2811(config-line)# exec-timeout 1 30
如果你只配置了线路vty 0,或者你在每个vty线路上设置了不同的口令,那么会出现什么情况?对于这个问题的第一问,即如果你只配置线路vty 0,答案应该是,路由器只会提示第一个用户出示口令。如果在第一个Telnet会话还没结束时另一个用户也试图建立Telnet连接,那么他将不能登录到这个路由器上(因为这些线的默认登录必须要有口令)。对于这个问题的另一问,即如果你在每个vty线路上设置了不同的口令,答案应该是,你仍可以连接到所有的线路上,但是,你没有办法去选择或了解正要连接的vty线路哪一个。你将不得不利用仅有的三次机会(IOS只允许进行三次尝试)去猜测出正确的口令。
路由器接口配置
------------------
为了能够说明并注释接口的作用,可以通过在接口上使用description命令为它指定一个描述:
Router(config-if)# description This is my first interface description.
接口命令description可以用于为选定的接口指定一个描述。
保存配置
------------
一些copy命令中经常使用的选项是running-config、startup-config、flash和tftp。在交换机或路由器的IOS中,用于保存配置的全局配置命令是:
Router# copy running-config startup-config
如果要返回到路由器或交换机的默认配置,可以使用特权EXEC命令erase startup-config,然后使用reload命令来重新引导设备。在路由器或交换机重新引导后,由于保存在NVRAM中的配置文件已经被删除,这时将进入到设置模式。
使用show命令来获取信息
--------------------------
show running-config :在RAM中的当前配置;
show startup-config :在下次引导时将被加载的保存在NVRAM中的配置;
show interfaces :输出接口状态、IP地址、封装、带宽、可靠性、负载、MTU、双工、网络统计;
show ip interface brief :输出接口的IP地址和状态;
show controller serial :接口的微码,包含连接的是DTC或DEC电缆的信息;
show flash :IOS文件名和Flash存储器中已使用的和可使用的数量;
show version :IOS的版本、IOS文件名、开启时间、存储器数量、配置寄存器;
排错命令
------------
1、使用ping、traceroute、telnet、SSH或其他工具来验证设备的配置和网络的连通性
2、使用SHOW或DEBUG命令来验证路由器硬件和软件的操作
在特权EXEC中的clear命令,它可以清除那些被记录保存下来用于show命令输出的统计信息。例如,当查看show interfaces serial 0/0命令的输出时,如果发现存在有大量的最近冲突的记录,那么,如何才能知道这些信息是对当前工作状态的统计,还是对发生在上周冲突的记录?使用clear counters命令可以清除这些统计记录,这时show interfaces命令给出的数据就是最新的状态。
在特权模式中的debug命令可以实时地显示大量的信息,其中包括路由更新、数据包转发、接口存活,以及其他的许多内容。由于debug命令会增加设备处理器的工作强度,并且在终端上产生大量的信息,因此,在使用这个命令时会有许多的限制条件。也正是出于这个原因,强烈建议只在紧急情况下或者是在实验室环境中使用这些命令。如果必须要在一个投入运营的路由器上使用debug命令,那么一定要先使用show processes命令了解一下设备处理器的负载情况。当你完成了排错工作,可以通过在这个命令前放置一个no来关闭对设备工作的跟踪,或者也可以通过输入no debug all或undebug all命令来关闭所有的跟踪。
提示:为了能在debug信息中查看到准确的时间记录,强烈建议使用特权EXEC模式下clock set命令,为设备配置能表示正确日期和时间的时钟。此外,要在debug的输出中添加时间记录信息,需要在全局配置模式中使用service timestamp命令。
用CDP进行邻居发现
----------------------
CDP是一个Cisco专有的协议,它工作在数据链路层。运行在第2层上一个独特的特点是,CDP功能的实现与物理层上使用的介质(UTP、光纤等)以及与网络层所运行的被动路由协议(如IP、IPX、AppleTalk等)都无关。默认时,CDP在所有的Cisco设备上都是开启的,它每隔60s就会从所有运行中的接口发送出组播的CDP数据,这样就保证了相邻的Cisco设备能收集彼此之间的信息。虽然在CDP中使用了组播数据,但Cisco的交换机并不像对待常规的组播或广播数据那样,将这一数据泛发到所有与交换机相连接设备上。
识记:CDP的本质特征是,它是一个第2层专有的协议,它的运行与第1层和第3层的配置无关。在默认时它是开启的,并且只向与其直接相邻的Cisco设备上发送组播。
show cdp neighbours
使用show cdp neighbors detail或show cdp entry *可以得到更多的有关相邻Cisco设备的信息。
出于安全的考虑也应该关闭CDP,因为许多有价值信息一旦落入你对手的手中其后果将会是致命的。有两种方法可以用来关闭CDP:在Cisco设备上进行整体性的关闭,或者基于接口到接口的方式进行关闭。要关闭整个设备的CDP,可以在全局配置模式下使用no cdp run命令。除此之外,也可以通过进入指定接口并在其接口配置模式下使用no cdp enable命令,在特定接口上关闭CDP通告的功能。