一、設備管理
管理設備: 也就是管理文件,定期備份,冗餘備份, 災難恢復
需要備份的文件:
FLASH : IOS 鏡像文件
NVRAM : startup-config 啓動配置文件
RAM: running-config 運行配置文件
備份方式:
tftp 、網絡方式或者U盤進行備份或恢復
TFTP 服務器軟件
3CDaemon 建議應用場景:從TFTP服務器導入網絡設備
cisco TFTP server 建議應用場景:從網絡設備導入TFTP服務器
通過TFTP方式,我們是利用RJ45還是console線進行連接呢? 都可以。
RJ45 速度較快,通常稱爲在線備份。(即使這樣,速度也基本不會超過100Kb/s)
console線是通過xmodem協議進行傳輸,這種古老的傳輸協議速度較慢(簡直慢的令人髮指)
注意: 如果和TFTP服務器連接不成功,請查看是否需要關閉windows 防火牆。
實驗準備
通常, 在學習CCNA的過程中, 大部分少年都無法經常使用真機進行實驗,都會使用GNS3模擬器完成相關配置。那麼如何通過GNS3完成 TFTP 備份和恢復文件呢? 下面簡單的介紹一下:
原理: 必須要把路由器的接口與本地網卡做橋接,使本地IP地址與路由器的接口地址在同一個網段,並能ping通。
具體就是設備端口連接雲,雲橋接PC的網卡,然後設備端口的IP和主機網卡的IP配在同一個網段,之後就是應用上的問題了
1、首先,請大家下載好GNS3以及Cisco tftp 服務器軟件, 並安裝完成。 我們先運行 Cisco tftp
注意窗口標題欄的IP地址爲: 192.168.1.104 , 說明 tftp 服務器監聽在該IP地址的 69 號端口上。(無線網卡)
2、保持tftp開啓狀態, 並打開GNS3(win7 : 請以管理員身份運行), 添加一個路由器和一個網雲。
配置路由器: 【右鍵】-【configure】, 在Slots 添加兩個插槽。
對網雲進行配置: 【右鍵】-【configure】, 橋接到本地網卡上
由於我使用的是無線網絡, 所以這裏我橋接到我的無線網卡上。 選中無線網卡, 然後必須點擊【Add】, 然後【Apply】。
3、把路由器和網橋進行連接。
4、打開SecureCRT 對路由器進行本地網管,配置 接口IP地址。 接口IP地址必須和TFTP服務器處於同一個網段,並且能夠ping 通。比如: tftp 的IP地址爲 192.168.1.104 , 那麼我們可以把接口 ip 配置爲 192.168.1.105 。
5、測試,我們把路由器的配置文件copy 到 tftp 服務器上。
TFTP 服務器端顯示信息如下圖所示:
一、備份和恢復IOS 導出到TFTP Server
在將IOS被罰到TFTP服務器之前,首先需要先做3件事兒
確保 TFTP Server 正常運行, 可訪問。 (TFTP 正常運行,監聽的IP地址, 並配置默認工作目錄)
確保網絡服務器有足夠的 flash 空間存儲。 (show flash)
覈實需要操作的文件的名字及路徑。
1、首先需要有一個TFTP Server運行在當前的網絡中;
2、一旦啓用了一個TFTP Server,那麼在路由器上有必要用PING命令來確保該TFTP Server可以到達,當然還有記錄下你的TFTP Server的地址是多少。
比如在此我們使用192.168.1.25作爲我們的TFTP Server的地址,如果該地址的PING沒有問題的話,就可以直接使用copy flash: tftp: 了,但如果存在問題的話,就必須先解決該問題然後再使用copy flash: tftp: 命令;
3、我們還應該在本地路由器上查看一下我們的flash的容量大小及其中IOS操作系統的文件名,可以使用命令show flash來查看;
如果沒有足夠的空間同時容納原有的和新複製進來的鏡像文件, 繼續進行復制操作會將原有的鏡像刪除。
4、Router#copy flash: tftp:
IP address or name of remote host[255.255.255.255]? 此處詢問你要求存放你的flash的服務器的地址是什麼這裏我們輸入192.168.1.25,然後press ENTER;
filename to write on tftp host? 此處詢問在目的地保存該flash的文件名是什麼?我們在此輸入lab_b.ios就可以了;
隨後你會看到: writing lab_b.ios !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5926652 bytes copied in 82.712 secs(71654 bytes/sec) 以上的信息說明你的保存已經成功完成了,copy flash tftp已經成功完成了,一旦這個複製命令完成了,路由器會告訴我們,複製過去的文件佔用了TFTP Server多少空間,一共耗時多少;
二、恢復或升級:TFTP Server導入到設備
目的:災難恢復、 IOS升級(主要應用)
在升級或恢復IOS文件之前,我們應該將路由器上現存的IOS文件複製到TFTP主機上,作爲備份,以防新拷入的文件因損壞或無法運行使路由器不能正常工作。
首先下載IOS之前,看IOS對設備的最低要求(RAM, flash)。跟需要升級的設備是否匹配。
查看 flash 空間是否能夠存放新的IOS(儘量保存原有的IOS, 或者對其先做備份,容災)
需要提供TFTP主機的IP地址以及需要上傳的文件名
我們還需要確認需要上傳的文件已經存放在TFTP服務器的默認工作目錄下
RAM: show version
FLASH : show flash
1、我們來學習如何載入保存在TFTP Server中的IOS備份文件:
2、首先一樣我們先要確認該TFTP Server服務器可以到達,其次我們要用show flash命令來確認我們的路由器中有足夠的空間來載入新的IOS軟件,最後還要到遠程服務器上檢查我們新的IOS的文件是什麼,由於我們是在實驗環境下,所以我們只要在簡單查看一下就可以,我們的文件名爲lab_b.ios;
3、如果沒有問題了,就可以輸入: Router#copy tftp: flash:
在IP address or name of remote host[255.255.255.255]下輸入192.168.1.25;
在Name of tftp filename to copy into flash[]? 輸入lab_b.ios
在copy lab_b.ios from 192.168.1.25 into flash memory?[confirm]
後面按回車就可以了;如果沒有問題的話,載入flash的工作也就完成了。
Erase flash :這裏會清除flash【所有】文件,需要當心。 【按 ESC 取消】
備份、恢復運行配置文件
R1# copy running-config startup-config ## 複製當前配置到NVRAM R1# copy startup-config running-config ## 複製啓動配置到RAM ## 刪除啓動配置文件 R1# erase startup-config
備份、恢復運行配置文件
R1# copy running-config tftp: R1# copy tftp: running-config ## merged,相當於手動配置了命令
備份、恢復啓動配置文件
R1# copy startup-config tftp: R1# copy tftp: startup-config ## 覆蓋
所有Cisco設備的配置文件名稱後綴都是 .cfg 。 配置文件是一個ASCII的純文本文件,我們可以通過任意文本編輯器修改此文件。
對於copy 同名文件, 根據不同的文件類型,有不同的行爲:
動態文件: 運行時加載,對其任何修改都會影響設備行爲。 (merge 行爲, 相當於手動添加配置)
靜態文件: 存儲在非RAM中的文件。 (覆蓋行爲)
網絡設備和PC不同,通常我們個人PC出現問題,重啓基本就能夠解決問題。但是網絡設備不同,網絡設備重啓之前,我們對閃存中任意文件的操作,哪怕是錯誤的操作,都不會被反映出來,所以對flash 的操作,一定要十分謹慎。
遠程網管設備方式(console , telnet , ssh , SDM)
本地網管: 通過 console 線與設備console口連接,本地網管設備。 console 口還是相當重要的。
遠程網管: 通過 VTY 邏輯線路接口(不是物理接口),利用 telnet 或者 SSH 遠程網管設備
SDM : 圖形化界面
SDM:
http://www.cisco.com/web/CN/products/products_netsol/security/solution/products_security_sdm.html
什麼是VTY ?
每一個VTY邏輯接口,都可以承載獨立的telnet會話。也就是多個VTY接口,可以實現多個終端同時進行網管。通過VTY接口,必須配置 login 開啓認證, 以及 enable 密碼。默認情況下,無系統日誌信息提示。
Cisco的設備管理有很多種方式,如Console、HTTP、TTY、VTY或其它網管軟件,但我們遠程管理較爲常用的一種方式肯定是VTY方式。
VTY在Cisco的不同系列產品中,都有一定數量的VTY線路可用,但具體數目則不盡相同。有些路由器交換機產品只有 五條線路可用(line vty 0 4),有些交換機路由器設備則提供了十多條,甚至達一千多條,但默認情況下不一定全部啓用。如果您想看一下自己的設備具體支持多少條線路,只需在全局模式下使用命令line vty 0 ?即可查看該設備支持多少條線路。
使用telnet
## 配置telnet R2(config)#line vty 0 4 R2(config-line)#password cisco R2(config-line)#login R2(config-line)#exit ## 我們必須配置特權模式的enable password 或enable secret ,從而實現遠程網管。 R2(config)#enable secret cisco ## 爲了允許將控制檯信息發送到telnet會話,我們可以使用 terminal monitor 命令 ## R1 telnet 到R2 ,然後進入特權模式, 使用 terminal monitor 終端監控 R1#192.168.1.2 Trying 192.168.1.2 ... Open User Access Verification Password: R2>enable Password: R2#terminal monitor R2#config t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int lo R2(config)#int loopback 0 R2(config-if)# *Mar 1 00:54:32.187: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)# ## 檢查 telnet 用戶 R2#show users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 130 vty 0 idle 00:05:47 192.168.1.1 Interface User Mode Idle Peer Address ## 踢走某些VTY連接 1、首先通過 show users 查看是否有非法連接,並記錄其連接編號 2、通過 clear line <vty | console> <線路編號> 可以斷開相應連接 0 con 0 134 vty 0 135 vty 1 比如你要清除console的就是 clear line 0 或者你要清除vty 0, 那麼就是 clear line 134 或者 clear line vty 0 ## 連接編號 和 線路編號 第二種方式: 1、使用show tcp brif 命令後,可以查看到當前和設備本身連接的遠端、本地IP 2、然後就可以使用clear tcp tcb xxx 命令直接清除這條會話。(xxx爲TCB號)
http://bbs.51cto.com/thread-921937-1.html
Ok,配置telnet 是非常簡單的。但是還不夠安全, 現在存在兩個問題?
我們只通過密碼認證,可能存在密碼暴力破解的情況。
telnet 是明文傳輸。傳輸數據可能被截獲。
解決第一個問題:
Cisco路由器支持集中的AAA(驗證/授權/記帳)功能,但是需要部署一臺Cisco ACS(訪問控制服務器),如果網絡設備數量不多,就可以利用Cisco路由器的本地驗證和授權的功能來實現驗證和授權,而且不需要部署Cisco ACS.
以下是一個實現對路由器r1的telnet訪問的【本地驗證和授權】的例子:
## 創建本地用戶 R1(config)# username admin password cisco R1(config)# username admin privelege 15 password cisco # 賦予權限等級 ## 啓用本地認證 R1(config)# line vty 0 4 R1(config-line)# login local
(1)爲telnet用戶設置一個帳號和口令(admin 用戶的級別爲1最低級別): # hostname r1 # username aaa password cisco (2)設置一個級別爲2的特權口令 CISCO(缺省爲15,具有所有權限) # enable secret level 2 CISCO (3)爲級別是2的特權用戶授權(只允許執行router和network命令) # privilege exec level 2 configure terminal 允許執行特權命令config t # privilege configure level 2 router 允許執行全局命令: router # privilege router level 2 network 允許執行路由進程命令: network (4)指定對Cisco路由器r1進行telnet訪問的驗證方法(使用本地用戶數據庫驗證) # line vty 0 4 # login local (5)當對r1進行telnet訪問時,首先會提示輸入username和password,這時用戶aaa是用戶模式(1級用戶),只能執行很少的命令集(用戶模式命令集)。使用enbale 2 命令並且輸入正確的口令後,可以有權限執行config t,router和network命令,但是其他命令不能執行,本地驗證和授權成功。
解決第二個問題:
採用SSH 登錄, 通過加密流量進行傳輸。 但是啓用ssh之後,可能會影響性能。
http://www.cnblogs.com/JemBai/archive/2012/10/16/2726120.html
在Cisco IOS上啓用SSH,禁止Telnet 命令 描述 username admin privilege 15 password Admin-Password 建立一個叫做admin的系統管理員 ip domain name MyDomain.com 建立一個用於認證的名字 crypto key generate rsa 建立數字證書。使用至少768位的Diffie-Hellman關鍵字line vty 0 4 進入vty配置 transport input ssh 僅僅允許SSH登錄
################################################################# 1. 配置hostname和ip domain-name Router#configure terminal Router(config)#hostname R2 //配置ssh的時候路由器的名字不能爲router R2(config)#ip domain-name cisco.com //配置一個域名,SSH必需 2. 配置本地認證數據庫 R2(config)#username admin password 123 或 R2(config)#username admin privilege 15 password 123 注:添加一個用戶:admin,口令:123
3. 配置SSH服務: R2(config)#crypto key generate rsa The name for the keys will be: R2.cisco.com 注:SSH的關鍵字名就是hostname + . +ip domain-name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minuts How many bits in the modulus [512]: 1024 注:選擇加密位數,cisco推薦使用1024 Generating RSA keys ... [OK] 或者: R2(config)#crypto key generate rsa general-keys modulus 1024 //生成一個rsa算法的密鑰,密鑰爲1024位 (提示:在Cisoc中rsa支持360-2048位,該算法的原理是:主機將自己的公用密鑰分發給相關的客戶機,客戶機在訪問主機時則使用該主機的公開密鑰來加密數據,主機則使用自己的私有的密鑰來解密數據,從而實現主機密鑰認證,確定客戶機的可靠身份。 現在SSH服務已經啓動,如果需要停止SSH服務,並刪除rsa 密鑰,用以下命令: R2(config)#crypto key zeroize rsa
4.設置SSH參數
配置好了SSH之後,通過show run命令
用命令show ip ssh也能看到:
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
我們看到SSH默認的參數:超時限定爲120秒,認證重試次數爲3次,可以通過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
#如果要把超時限定改爲120秒,則應該用:
R2(config)# ip ssh time-out 120
#如果要把重試次數改成3次,則應該用:
R2(config)# ip ssh authentication-retries 3
這樣,SSH已經在路由器上配置成功了,就能夠通過SSH進行安全登錄了。
R2(config)#ip ssh version 2 #配置SSH V2
5. 在VTY邏輯接口上啓用本地認證
R2(config)#line vty 0 4
//進入vty模式
R2(config-line)#transport input ssh
//設置vty的登錄模式爲ssh,默認情況下是all即允許所有登錄。禁止telnet
R2(config-line)#login local # 調用本地認證數據庫
#####R2(config)#aaa authentication login default local
#####啓用aaa認證,設置在本地服務器上進行認證
6. 測試遠程ssh連接
注意:最後如果從別的設備用ssh登錄這臺路由器會出現以下內容:
R1#ssh -v 2 -l admin 192.168.0.2
7. 查看ssh會話
R2# show ssh遇到的問題: 1. 爲什麼SSH配置需要一個域名呢? 在配置SSH登錄時,要生成一1024位RSA key,那麼key的名字是以路由器的名字與DNS域名相接合爲名字。 2. 在配置時候,使用的7200ISO無法使用aaa authentication login default local這條命令,跳過後果然無法登陸,使用了aaa new-model--- 啓用新的訪問控制命令和功能。(禁用舊 命令)。 這條命令便可以的了,開啓這個模式後,便有很多aaa的命令可以使用,包括實驗中的命令,實驗我跳過的了,依然可以SSH登錄,看來是默認爲本地驗證的了。 另外,啓用AAA後,除了console口外,所有線程都是用AAA來認證。 3. 如何改變ssh 默認端口 配置如下: access-list 100 permit tcp any any eq 9022 ip domain name cisco.com #配置域名 crypto key generate rsa modulus 1024 #生成密鑰 username ciscort privilege 15 password 0 cisco@2012 #配置用戶名密碼 ip ssh port 9022 rotary 1 #修改SSH端口爲9022 ip ssh version 2 #配置SSH V2 line vty 0 4 #配置本地認證 login local rotary 1 access-class 100 in transport input telnet ssh
收到大量關於SSH默認端口被***的日誌告警和故障案例;主要***方法爲通過“肉機”對SSH發起認證請求,使用不同的用戶名和密碼進行枚舉試圖通過認證並獲得權限。對於此類問題首先建議用戶更改SSH端口,加強用戶密碼的強制,同時開啓防火牆,對於三次認證失敗IP加入黑名單;有條件的用戶建議對訪問源地址進行過濾。對於更改SSH端口的方法舉例如下:
Cisco設備安全的管理訪問
http://blog.sina.com.cn/s/blog_74e94c840101cgzs.html
設定用戶模式密碼
設定特權模式密碼
封裝密碼在配置文件中
設定一個公告提示的安全限制【MOTD banner】
設定訪問特權級別
Telnet訪問設備限制
Web訪問設備限制
SNMP訪問設備限制
一、用戶模式密碼
控制檯(con)端口 控制檯端口在路由器上。
輔助(AUX)港口 可以連接到外部調制解調器撥號連接。
虛擬終端(vty)端口 訪問Telnet會話。
如何設定一個好的密碼,以防止任何人用一個筆記本和一個控制檯電纜訪問設備。
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
!
line con 0 <-Console connection
login
line aux 0 <-AUX connection
login
line vty 0 4 <-Virtual terminal connections
login
end
每個設備的基本的密碼配置都是相同的。密碼的定義與密碼命令和登錄命令。密碼都是1到25個字符,和可以包括大寫字母、小寫字母以及數字,遵守複雜的密碼要求在密碼策略。
結果可能看起來像以下清單:
!
line con 0
password cisco1
login
line aux 0
password cisco2
login
line vty 0 4
password cisco3
login
end
密碼的使用應符合密碼策略部分的網絡安全政策。您可以使用同一個密碼,,但這不是一個安全的解決方案。有人試圖訪問設備通過這三種方法之一隻會提示輸入密碼,在這段時間裏,可以採用暴力破解。
User Name/Password with Login Local
你可以既需要一個用戶名和密碼,以及有機會創建不同的組合,不同的用戶。第一步是開發一個可接受的本地數據庫的用戶名和密碼組合在全局配置模式。像所有的密碼,這些都是case-ensitive,可以包括文字和數字,應符合密碼策略。用戶名不區分大小寫。兩個例子可能包括以下:
Rtr1(config)#username remote password acC3ss
Rtr1(config)#username scott password woLfe7
完成配置,修改登錄命令登錄當地的接口你想使用這個功能。在接下來的例子中,只有虛擬終端線被改變了。
username remote password access
username scott password wolfe
!
line con 0
password cisco1
login
line aux 0
password cisco2
login
line vty 0 4
login local <-啓用本地認證數據庫
end
在進行修改之後,下一個Telnet會話登錄可能看起來如下:
User Access Verification
Username: remote <-Used the remote / acC3ss combination
Password:
Rtr1>exit <-Successful attempt
User Access Verification
Username: scott <-Used scott / WOLFE7 combination – note case
Password:
% Login invalid <-Wrong case on the password)
Username: ScOtT <-Used ScOtT / woLfe7 combination – note case)
Password:
Rtr1> <-Used the correct case on the password)
二、設定特權模式密碼
訪問安全的特權模式涉及被提示輸入密碼只有一個啓用密碼或啓用密碼之前已經定義在全球配置模式。如果沒有設置,沒有安全允許任何用戶查看和/或更改設備配置存在的特權模式。有人甚至可以設置一個密碼和其他用戶鎖定。較舊的啓用密碼命令其次是所需的密碼創建一個明文輸入運行配置,可以被任何人看到配置。更加安全的使祕密命令,後跟着所需的密碼創建一個加密條目在運行配置,不能被理解任何人只要看到配置。如果兩個啓用密碼並使祕密是配置,只有使祕密使用。啓用密碼是忽略的。以下條目演示這兩個命令,然後使用一個顯示運行命令顯示配置。所有的密碼都是大小寫敏感的,應該遵守與密碼策略。
Rtr1#conf t
Rtr1(config)#enable password test
Rtr1(config)#enable secret cisco
Rtr1(config)#^z
Rtr1(config)#show run
!
enable secret 5 $1$4F6c$D5iYCm31ri1cA9WwvAU220
enable password test
三、封裝密碼
如果你看一下前面的示例中,您將注意到所有密碼以明文方式發送,除了啓用密碼。這意味着窺探的眼睛可能會收集一個密碼。你可以安全的密碼在全局配置模式下輸入服務密碼-加密命令。這永久加密所有的密碼,所以確保你知道它們是什麼。以下縮寫輸出展示了命令和結果:
Rtr1#conf t
Rtr1(config)#service password-encryption <-command
Rtr1(config)#^Z
Rtr1#sho run
version 12.0
service timestamps debug uptime
service timestamps log uptime
service password-encryption <-command
!
hostname Rtr1
!
enable secret 5 $1$4F6c$D5iYCm31ri1cA9WwvAU220
enable password 7 15060E1F10 <-enable password
!
username remote password 7 070E224F4B1A0A <-local database
username scott password 7 02110B570D03 <-local database
!
line con 0
password 7 121A0C041104 <-line con password
login
line aux 0
password 7 121A0C041104 <-line aux password
login
line vty 0 4
login local
!
end
四、Message of the Day Banner 設定一個公告提示
配置該消息,使用橫幅公告在全球配置命令模式。語法有點不尋常,你輸入命令,緊隨其後的是一個性格你不計劃包括在消息。這個角色成爲一個分隔符,在這一切之後,你輸入的字符再次出現之前的一部分消息。一個例子是橫幅公告*沒有未經授權的訪問* *的地方顯示開始和結束的消息。不會出現在的星號消息。
Rtr1#conf t
Rtr1(config)#banner motd * Unauthorized Access Could Result In Termination
Enter TEXT message. End with the character '*'. <-Ignore this
If you have any trouble with this device, call:
Mark Smith in IT Tech Support
Phone: (+86) 029-1111-1111
Rtr1(config)#^Z
Rtr1#
The next login attempt would look like the following:
Unauthorized Access Could Result In Termination
If you have any trouble with this device, call:
Mark Smith in IT Tech Support
Phone: (+86) 029-1111-1111
User Access Verification
Password:
五、特權級別
1 User exec mode only (prompt is router>), the default level for login
15 Privileged exec mode (prompt is router#), the Enable mode
0 Seldom used, but includes five commands: disable, enable, exit, help, and logout
Rtr1#show privilege
Current privilege level is 15
Rtr1#
mode Indicates the configuration level being assigned. This includes all router configuration
modes, including exec, configure, and interface.
level Indicates the level being defined.
command Indicates the command to be included. If you specify exec mode, then the command
must be an exec mode command.
reset Resets the privilege level of the command to the default privilege level.
創建一個新的特權模式做兼職管理員。
Rtr1(config)#privilege exec level 7 ping
Rtr1(config)#privilege exec level 7 show startup-config
Rtr1(config)#privilege exec level 7 show ip route
Rtr1(config)#privilege exec level 7 show ip int brief
Rtr1(config)#enable secret level 7 tESt7
我們來驗證這個特權等級
Rtr1>enable 7
Password:
Rtr1#show privilege
Current privilege level is 7
Rtr1#
六、Using Access Control Lists to Secure the Network
Standard ACLs
This section includes examples of standard IP ACLs with various wildcard Mask options to perform the following security-related tasks.
Traffic filtering
Limiting access to Telnet sessions
Limiting access to HTTP sessions
Filtering routing updates
Limiting the debug ip packet analysis and, therefore, CPU use
使用環回接口實驗室路由器
如果你的路由器只有一個單一的以太網接口嗎?或者更糟糕的是,如果一個人你的實驗室路由器只有一個令牌環局域網接口和你沒有多站訪問單元(貓)單位來充電了,所以界面不會來了?短的去做另一個設備,唯一的解決方案是創建環回接口。環回接口是什麼?
They are logical interfaces, in that they don’t connect to any cables and,therefore, they have no hosts. Loopback interfaces are logical interface only.
They are “up” by default and remain up unless administratively shut down withthe shutdown command.
They can be configured as a host, a subnet, a network, or a supernet, like anyother interface.
They can be included in the routing updates like any other interface.
They can be used as a ping, a Telnet destination, or a source.
Some routing protocols, such as OSPF and BGP, use loopbacks as router IDs.
配置一個迴環口像是創建一個子接口。如下一個例子:
router(config)#interface loopback num
router(config-if)#ip address ip-address subnet-mask
router(config)#interface loopback 0
router(config-if)#ip address 192.168.3.1 255.255.255.255
Traffic Filtering
Traffic filtering用一個不同的標準的訪問控制列表,當計劃一個數據塊從特殊源主機或者一組主機到一個網絡。下面兩個訪問控制列表在R1上。ACL10允許僅僅主機192.168.2.2 從R2 LAN和所有的主機從R1 LAN 到internet
Rtr1(config)#access-list 10 permit host 192.168.1.20.0.0.0.255
Rtr1(config)#access-list 10 permit 192.168.1.20 0.0.0.255
Rtr1(config)#access-list 20 permit host 192.168.2.20
Rtr1(config)#access-list 20 deny 192.168.2.0 0.0.0.31
Rtr1(config)#access-list 20 permit any
Rtr1(config)#int s0
Rtr1(config-if)#ip access-group 10 out
Rtr1(config-if)#int e1
Rtr1(config-if)#ip access-group 20 out
The following output lines show the result of adding the Log option to an ACL that blocks the access of host 192.168.1.10 to a LAN.
Rtr1(config)#access-list 50 deny 192.168.1.10 log
Rtr1config)#access-list 50 permit any
Rtr1(config)#int e0
Rtr1(config-if)#ip access-group 50 out
Rtr1(config-if)#^Z
Rtr1 #
11:29:37: %SEC-6-IPACCESSLOGS: list 50 denied 192.168.1.10 1 packet
Rtr1 #
11:34:53: %SEC-6-IPACCESSLOGS: list 50 denied 192.168.1.10 27 packets
Rtr1#
Limiting Access to Telnet Sessions
如上圖所示,我們可以設定限制Telnet回話
Rtr1(config)#access-list 15 permit 192.168.2.0 0.0.0.255
Rtr1(config)#access-list 15 permit 42.17.17.45
Rtr1(config)access-list 16 deny any
Rtr1(config)#line vty 0 4
Rtr1(config-line)#access-class 15 in
Rtr1(config-line)#access-class 16 out
Rtr1(config-line)#password cisco
Rtr1(config-line)#login
下面我們來驗證這個ACL
Rtr2>telnet 192.168.3.1 <-could have used 192.168.1.1
Trying 192.168.3.1...
% Connection refused by remote host
Rtr1>telnet Rtr2
Trying Rtr2 (192.168.3.2)...
% Connections to that host not permitted from this terminal
Trying Rtr2 (192.168.2.1)...
% Connections to that host not permitted from this terminal
Rtr1>
Show Line VTY Command
用show line vty 0 4 命令查看虛擬終端
Lab-X#show line vty 0 4
實驗參考
1、 以超級終端或者telnet方式登錄到路由器上。
2、 用 enable 命令進入特權模式。
3、 用 ping xxx.xxx.xxx.xxx 命令檢查路由器到TFTP路由器連接性。
4、 檢查路由器的各個端口的ip地址和網絡掩碼,填在下面。
5、 用 copy flash tftp 命令將當前配置保存到TFTP服務器上。 copy flash: tftp:
Source filename [c2600-ds-mz.121-18.bin]?
Address or name of remote host []? 219.17.100.18
Destination filename [c2600-ds-mz.121-18.bin]? lab_b
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 8334396 bytes copied in 52.486 secs (160276 bytes/sec)
6、 用 copy running-config tftp: 命令將當前配置保存到TFTP服務器上。
7、 用 erase startup-config 命令刪除NVRAM中的配置。然後用 show startup-config 命令確認NVRAM中的配置確實已經刪除。
8、 用 reload 命令重啓路由器。當系統提示進入 the initial configuration dialog時,輸入 no 。當系統提示 terminate autoinstall 時,輸入 yes 。 用 enable 命令進入特權模式。
9、 配置將要用來傳送TFTP文件端口的IP地址和網絡掩碼。
10、 用 copy tftp running-config 命令將TFTP上的配置文件拷貝到路由器上。然後根據系統提示分別輸入服務器IP地址和將要保存的文件名。 copy tftp: running-config
Address or name of remote host []? 219.17.100.18
Source filename []? lab_b-confg
Destination filename [running-config]? Accessing tftp://219.17.100.18/lab_b-confg... Loading lab_b-confg from 219.17.100.18 (via FastEthernet0/0): ! [OK - 835/1024 bytes] 835 bytes copied in 18.783 secs (46 bytes/sec)
11、 用 show running-config 命令查看當前配置。與原來一樣嗎?請將答案填在下面。
12、 用 copy running-config startup-config 命令將當前配置拷貝到NVRAM中。
http://blog.sina.com.cn/s/blog_6b03aff20100ymz7.html
http://332162926.blog.51cto.com/8831013/1540923
http://sns.clnchina.com.cn/space.php?uid=375827&do=blog&id=3419
http://blog.sina.com.cn/s/blog_6fbf7e670100xvjz.html