目录
1 IOS访问
1.1 操作系统
所有终端设备和网络设备都需要有操作系统 (OS)。如图所示,操作系统中直接与计算机硬件交互的部分称为内核。与应用程序和用户连接的部分则称为外壳。用户可以使用命令行界面 (CLI) 或图形用户界面 (GUI) 与外壳交互。
使用 CLI 时,用户在命令提示符下用键盘输入命令,从而在基于文本的环境中与系统直接交互,如图例所示。系统则执行命令,通常提供文本输出。CLI 只需极少的开销就能运行。不过,它需要用户了解控制系统所需的底层命令结构。
1.2 GUI
GUI(比如 Windows、OS X、Apple iOS 或 Android)允许用户利用图形图标、菜单和窗口环境与系统交互。图中的 GUI 示例的用户友好性更高,而且用户只需较少的底层命令结构知识即可控制系统。出于这个原因,许多用户都依赖于 GUI 环境。
但是,GUI 并不总是能够提供 CLI 上可用的所有功能。GUI 也可能发生故障、崩溃,或者就是无法按照指示运行。因此,通常通过 CLI 访问网络设备。与 GUI 相比,CLI 消耗资源更少,而且非常稳定。
1.3 操作系统的用途
网络操作系统与 PC 操作系统类似。通过 GUI,PC 操作系统使用户能够做到:
- 使用鼠标做出选择和运行程序
- 输入文本和基于文本的命令
- 在显示器上查看输出
基于 CLI 的网络操作系统,比如交换机或路由器上的 Cisco IOS,使网络技术人员能够做到:
- 使用键盘运行基于 CLI 的网络程序
- 使用键盘输入文本和基于文本的命令
- 在显示器上查看输出
1.4 访问方法
默认情况下,交换机将转发流量,无需配置即可工作。例如,连接到同一新交换机的两个已配置了的主机能够进行通信。
无论新交换机的默认特性如何,都应配置并保护所有交换机。
| 方法 | 描述 |
|---|---|
| 控制台 (Console) | 这是一种物理管理端口,可通过该端口对思科设备进行带外访问。带外访问是指通过仅用于设备维护的专用管理通道进行访问。使用控制台端口的优势在于,即使没有配置任何网络服务,也可以访问设备,例如执行初始配置时。控制台连接需要运行终端仿真软件的计算机和用于连接设备的特殊控制台电缆。 |
| 安全外壳(SSH) | SSH 是一种带内且被推荐的方法,它使用虚拟接口通过网络远程建立安全的 CLI连接。不同于控制台连接,SSH 连接需要设备上具有有效的网络服务,包括配置了地址的有效接口。大部分思科 IOS 版本配备了 SSH 服务器和 SSH 客户端,可用于与其他设备建立 SSH 会话。 |
| Telnet | Telnet 使用虚拟接口通过网络远程建立 CLI 会话,这种带内方法并不安全。与 SSH 不同,Telnet 不提供安全的加密连接,只能在实验室环境中使用。用户身份验证、密码和命令通过网络以明文形式发送。最好的做法是使用 SSH 而不是 Telnet。思科 IOS 包括 Telnet 服务器和 Telnet 客户端。 |
注意: 某些设备,比如路由器,还可以支持传统辅助端口,这种辅助端口可使用调制解调器通过电话连接远程建立 CLI 会话。类似于控制台连接,AUX 端口也是带外连接,且不需要配置或提供网络服务。
2 IOS导航
2.1 主要命令模式
与使用GUI相比,使用CLI可以为网络管理员提供更精确的控制和灵活性。本主题讨论如何使用 CLI 来导航思科 IOS。
作为一项安全功能,思科 IOS 软件将管理访问分为以下两种命令模式:
- 用户 EXEC 模式 - 该模式功能有限,但可用于有效执行基本操作。它只允许有限数量的基本监控命令,不允许执行任何可能改变设备配置的命令。用户 EXEC 模式由采用 > 符号结尾的 CLI 提示符标识。
- 特权 EXEC 模式 - 要执行配置命令,网络管理员必须访问特权 EXEC 模式。较高级别的配置模式,比如全局配置模式,只能通过特权 EXEC 模式访问。特权 EXEC 模式由采用# 符号结尾的提示符标识。
该表总结了这两种模式,并且显示了思科交换机和路由器的默认 CLI 提示符。
| 命令模式 | 描述 | 默认设备提示符 |
|---|---|---|
| 用户 EXEC 模式(用户模式) |
| Switch> Router> |
| 特权 EXEC 模式(特权模式) |
| Switch# Router# |
2.2 配置模式和子配置模式
要配置设备,用户必须进入全局配置模式。
在全局配置模式下, CLI 配置所做的更改将影响整个设备的运行。全局配置模式由在设备名称之后加(config)#结尾的提示符标识,比如Switch(config)#。
访问全局配置模式之后才能访问其他具体的配置模式。在全局配置模式下,用户可以进入不同的子配置模式。其中的每种模式可以用于配置 IOS 设备的特定部分或特定功能。两个常见的子配置模式包括:
- 线路配置模式 - 用于配置控制台、SSH、Telnet 或 AUX 访问。
- 接口配置模式 - 用于配置交换机端口或路由器网络接口。
当使用 CLI 时,每种模式由该模式独有的命令提示符来标识。默认情况下,每个提示符都以设备名称开头。命令提示符中设备名称后的部分用于表明模式。例如,线路配置模式的默认提示符是 Switch(config-line)# 默认的接口配置模式提示符是 Switch(config-if)#。
2.3 热键和快捷方式
IOS CLI 提供热键和快捷方式,以使配置、监控和故障排除更加轻松。
命令和关键字可缩写为可唯一确定该命令或关键字的最短字符数。例如,configure命令可缩写为conf,因为configure是唯一一个以conf开头的命令。不能缩写为con,因为以con开头的命令不止一个。关键字也可缩写。
该表列出了用于增强命令行编辑的键盘输入。
| 键盘输入 | 描述 |
|---|---|
| Tab | 补全部分输入的命令项。 |
| Backspace | 删除光标左边的字符。 |
| Ctrl-D | 删除光标所在的字符。 |
| Ctrl-K | 删除从光标到命令行尾的所有字符。 |
| Esc D | 删除从光标到词尾的所有字符。 |
| Ctrl+U 或 Ctrl+X | 删除从光标到命令行首的 所有字符。 |
| Ctrl-W | 删除光标左边的单词。 |
| Ctrl-A | 将光标移至行首。 |
| 向左箭头 或 Ctrl+B | 将光标左移一个字符。 |
| Esc B | 将光标向后左移一个单词。 |
| Esc F | 将光标向前右移一个单词。 |
| 向右箭头 或 Ctrl+F | 将光标右移一个字符。 |
| Ctrl-E | 将光标移至命令行尾。 |
| 向上箭头 或 Ctrl+P | 调出历史记录缓冲区中的命令, 从最近输入的命令开始。 |
| Ctrl+R 或 Ctrl+I 或 Ctrl+L | 收到控制台消息后重新显示系统提示符和 命令行。 |
注意: 虽然 Delete 键通常用于删除提示符右侧的字符,但 IOS 命令结构无法识别 Delete 键。
当命令输出产生的文本超过终端窗口中可以显示的文本时,IOS 将显示一个 “--More--” 提示。下表描述了显示此提示时可以使用的键盘输入。
| 键盘输入 | 描述 |
|---|---|
| 回车 键 | 显示下一行。 |
| 空格键 | 显示下一屏。 |
| 任何其他按键 | 结束显示字符串,返回特权模式。 |
此表列出了用于退出操作的命令。
| 键盘输入 | 描述 |
|---|---|
| Ctrl-C | 处于任何配置模式下时,用于结束该配置模式并返回特权模式。处于设置模式下时,用于中止并返回命令 提示符。 |
| Ctrl-Z | 处于任何配置模式下时,用于结束该配置模式并返回特权模式。 |
| Ctrl-Shift-6 | 通用中断序列用于中止 DNS lookup、traceroutes、 pings等。 |
3 基本设备配置
3.1 设备名称
任何设备上的第一个配置命令应该是为其提供一个唯一的设备名称或主机名。默认情况下,所有设备都有一个出厂的默认名称。例如,思科 IOS 交换机是出厂名称是 “Switch。”
问题是如果所有网络中的交换机都采用其默认名称,则会很难识别特定设备。例如,在使用 SSH 远程访问设备时,您如何知道您已连接到了正确的设备?主机名让您确认您已经连接到了正确的设备。
默认主机名应更改为更具描述性的名称。通过审慎地选择名称,就很容易记住、记录和鉴别网络设备。以下是对主机的一些重要命名指南:
- 以字母开头
- 不包含空格
- 以字母或数字结尾
- 仅使用字母、数字和破折号
- 长度少于 64 个字符
组织必须选择一个命名约定,以便能够轻松直观地识别特定设备。IOS 设备中所用的主机名会保留字母的大小写状态。例如,在图中,三台交换机,跨越三个不同的楼层,在网络中互连起来。所使用的命名约定中,合并了每台设备的位置和用途。网络文档中应该说明这些名称是如何选出的,以便其他设备可按相应方法命名。
当确定命名约定后,接下来的步骤就是使用 CLI 将名称应用到设备。如示例所示,在特权模式下,输入configure terminal命令访问全局配置模式。注意命令提示符的变化。
Switch# configure terminal
Switch(config)# hostname Sw-Floor-1
Sw-Floor-1(config)#从全局配置模式下,输入hostname命令后跟交换机的名称,然后按Enter键。注意命令提示符的变化。
注意:要使交换机返回默认提示符,请使用no hostname全局配置命令。
每次添加或修改设备时,请始终确保更新相关文档。请在文档中通过地点、用途和地址来标识设备。
3.2 密码准则
使用弱密码或容易被猜到的密码仍然是组织最大的安全问题。网络设备,包括家用无线路由器,应始终配置密码以限制管理访问。
Cisco IOS 可配置为使用分层模式密码允许对网络设备拥有不同的访问权限。
所有网络设备都应该通过使用密码保护特权EXEC、用户EXEC和远程Telnet访问来限制管理访问。此外,所有密码都应加密,并提供法律通知。
当选择密码时,请使用不容易猜到的强密码。选择密码时请考虑下列关键因素:
- 密码长度应大于 8 个字符。
- 使用大写字母、小写字母、数字、特殊字符和/或数字序列组合。
- 避免为所有设备使用同一个密码。
- 不要使用常用词语,因为这些词语容易被猜到。
使用互联网搜索来查找密码生成器。许多生成器将允许您设置长度,字符集和其他参数。
3.3 配置密码
当您最初连接到设备时,您处于用户 EXEC 模式。使用控制台保护此模式的安全。
要保护用户 EXEC 模式访问的安全,请使用全局配置命令 line console 0 进入线路控制台配置模式,如示例所示。0 用于代表第一个(而且在大多数情况下是唯一的一个)控制台接口。接下来,使用password password 命令指定用户 EXEC 模式密码。最后,使用login命令启用用户 EXEC 访问。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#现在控制台访问需要输入密码,然后才能访问用户 EXEC 模式。
要使管理员能够访问所有 IOS 命令(包括配置设备),您必须获得特权 EXEC 模式访问权限。这是最重要的访问方法,因为它提供了对设备的完整访问权限。
要保护特权 EXEC 访问,请使用enable secret password 全局配置命令,如示例所示。
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#虚拟终端 (VTY) 线路支持通过Telnet或SSH对设备的远程访问。许多思科交换机支持第 0 到 15 的 16 条 VTY 线路。
要保护 VTY 线路的安全,请使用 line vty 0 15 全局配置命令进入线路 VTY 模式。接下来,使用password password 命令指定VTY密码。最后,使用login命令启用 VTY 访问。
下面展示了一个在交换机上保护 VTY 线路的示例。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#3.4 加密密码
启动配置文件和运行配置文件以明文显示大多数密码。这会带来安全威胁,因为任何人如果访问这些文件,就可以发现这些密码。
要加密所有明文密码,请使用全局配置命令 service password-encryption ,如示例所示。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#该命令对所有未加密的密码进行弱加密。这种加密仅适用于配置文件中的密码,而不适用于通过网络发送的密码。此命令的用途在于防止未经授权的人员查看配置文件中的密码。
使用show running-config命令验证密码现在是否已加密。
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end3.5 横幅消息
尽管要求用户输入密码是防止未经授权的人员进入网络的有效方法,但同时必须向试图访问设备的人员声明仅授权人员才可访问设备。出于此目的,可向设备输出中加入一条标语。当控告某人侵入设备时,标语可在诉讼程序中起到重要作用。某些法律体系规定,若不事先通知用户,则既不允许起诉该用户,甚至连对该用户进行监控都不允许。
要在网络设备上创建当日消息标语,请使用banner motd #当日消息#全局配置命令。命令语法中的“#”称为定界符。它会在消息前后输入。定界符可以是未出现在消息中的任意字符。因此,经常使用“#”之类的字符。命令执行完毕后,系统将向之后访问设备的所有用户显示该标语,直到该标语被删除为止。
以下示例显示了在 Sw-Floor-1 上配置标语的步骤。
Sw-Floor-1 # configure terminal
Sw-Floor-1(config)# banner motd #Authorized Access Only#4 保存配置
4.1 配置文件
有两种系统文件用于存储设备配置:
-
startup-config(启动配置文件) -存储在 NVRAM 中的配置文件。它包含在启动时或重启时用到的所有命令。当设备断电后,其中的内容不会消失。
-
running-config(运行配置文件) -存储在随机存取存储器(RAM)中。它反映了当前的配置。修改运行配置会立即影响思科设备的运行。RAM 是易失性存储器。如果设备断电或重新启动,则它会丢失所有内容。
特权 EXEC 模式命令show running-config用于查看正在运行的配置。如示例所示,命令将列出当前存储在 RAM 中的完整配置。
Sw-Floor-1# show running-config
Building configuration...
Current configuration : 1351 bytes
!
! Last configuration change at 00:01:20 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Sw-Floor-1
!
(output omitted)要查看启动配置文件,请使用特权 EXEC 命令show startup-config。
如果设备断电或重新启动,所有未保存的配置更改都会丢失。要将对运行配置所作的更改保存到启动配置文件中,请使用特权 EXEC 模式命令copy running-config startup-config。
4.2 修改运行配置
如果对运行配置所作的更改未能实现预期的效果,而且运行配置文件尚未保存,您可以将设备恢复到以前的配置。单独删除更改的命令,或使用特权 EXEC 模式命令 reload重新加载设备都能恢复启动配置。
使用 reload命令删除未保存的运行配置的缺点是,在一段很短的时间内设备将会离线,导致网络中断。
当开始重新加载时,IOS 会检测到发生更改的运行配置没有保存到启动配置中。因此,它将显示一则提示消息,询问是否保存更改。要放弃更改,请输入n或no 。
或者,如果将不理想的更改保存到了启动配置文件中,则可能需要清除所有配置。这需要删除启动配置文件并重新启动设备。使用特权 EXEC 模式命令erase startup-config可删除启动配置。在发出此命令后,交换机将提示您确认。按Enter键接受。
从 NVRAM 中删除启动配置后,请重新加载设备以从内存中清除当前的运行配置文件。重新加载时,交换机将会加载设备出厂默认的启动配置。
5 端口和地址
5.1 IP地址
在本主题中,您将了解 IP 地址、设备端口和用于连接设备的介质。
使用 IP 地址,是设备能够相互查找并在 Internet 上建立端到端通信的主要方式。网络中的每个终端设备都必须配置 IP 地址。以下是终端设备的例子:
- 计算机(工作站、笔记本电脑、文件服务器、Web 服务器)
- 网络打印机
- VoIP 电话
- 安全摄像头
- 智能手机
- 移动手持设备(如无线条码扫描仪)
IPv4 地址的结构称为点分十进制记法,用 0 到 255 之间的四个十进制数字表示。IPv4 地址会分配给连接到网络的各个设备。
注意: 本课程中的 IP 同时包括 IPv4 和 IPv6 协议。IPv6 是 IP 的最新版本,正在替换更常见的 IPv4。
对于 IPv4 地址,子网掩码也是必要设置。IPv4 子网掩码是将地址的网络部分与主机部分区分开来的 32 位值。子网掩码,与 IPv4 地址相结合,可用于确定设备属于哪个子网。
图中的示例显示了分配给一台主机的 IPv4 地址 (192.168.1.10)、子网掩码 (255.255.255.0) 和默认网关 (192.168.1.1)。默认网关地址是主机将用于访问远程网络(包括 Internet)的路由器的 IP 地址。
IPv6 地址长度为 128 位,写作十六进制值字符串。每 4 位以一个十六进制数字表示;共 32 个十六进制值。由四个十六进制数字组以冒号 (:) 分隔。IPv6 地址不区分大小写,可用大写或小写书写。
接口和端口
网络通信取决于最终用户设备接口、网络设备接口以及连接设备的线缆。每个物理接口都有对其进行定义的规范或标准。连接接口的线缆必须设计为匹配接口的物理标准。网络介质类型包括双绞线铜缆、光缆、同轴电缆和无线,如图所示。
不同类型的网络介质有不同的特性和优点。并非所有网络介质都具有相同的特征。并非所有介质都适用于同一目的。各种介质类型之间的差异包括:
- 介质可以成功传送信号的距离
- 要安装介质的环境
- 必须传输的数据量和速度
- 介质和安装的成本
互联网上的每条链路不仅需要采用特定的网络介质,而且需要采用特定的网络技术。例如,以太网是当今最常用的局域网 (LAN) 技术。在使用线缆物理连接到网络的最终用户设备、交换设备和其他网络设备上,均可找到以太网端口。
思科 IOS 第 2 层交换机有物理端口,可用于连接设备。这些端口不支持第 3 层 IP 地址。因此,交换机有一个或多个交换机虚拟接口 (SVI)。这些是虚拟接口,是因为设备上没有任何物理硬件与之关联。SVI 会在软件中创建。
虚拟接口可以让您使用 IPv4和IPv6 通过网络远程管理交换机。每台交换机的默认配置中都“现成”带有一个 SVI。默认 SVI 是接口 VLAN1。
注意: 第2 层交换机不需要 IP 地址。分配给 SVI 的 IP 地址用于远程访问交换机。2层交换机无需使用 IP 地址就可以工作。
6 配置IP地址
6.1 为终端设备进行手动 IP 地址配置
就像您需要有朋友的电话号码才能给他们发短信或打电话一样,网络中的终端设备需要有 IP 地址才能够与网络中的其他设备进行通信。在本主题中,您将通过在交换机和 PC 上配置 IP 地址来实施基本连接。
IPv4 地址信息可以手动输入到终端设备中或使用动态主机配置协议 (DHCP) 自动分配。
要在 Windows 主机上手动配置 IPv4 地址,请打开Control Panel > Network Sharing Center > Change adapter settings然后选择适配器。接下来右键单击并选择Properties以显示 Local Area Connection Properties,如图所示。
选中 Internet 协议版本 4(TCP/IPv4),然后单击 Properties 以打开 Internet Protocol Version 4 (TCP/IPv4) Properties 窗口,如图所示。配置 IPv4 地址和子网掩码信息,以及默认网关。
注意: IPv6 地址和配置选项类似于 IPv4。
注意: DNS 服务器地址是域名系统 (DNS) 服务器的 IPv4 和IPv6地址,用于将 IP 地址转换为域名,例如www.cisco.com。
6.2 自动配置终端设备的 IP 地址
终端通常默认使用 DHCP 进行 IPv4 地址自动配置。DHCP 是用于几乎每个网络的技术。要想理解 DHCP 为什么如此普遍,最好的方法是想象一下如果没有它,我们需要做的所有额外工作。
在网络中,DHCP 可以为每台启用 DHCP 的终端设备自动配置 IPv4 地址。如果每次连接到网络都必须手动输入 IPv4 地址、子网掩码、默认网关和 DNS 服务器,想象一下要花费的时间。将这个时间乘以组织中的所有用户和所有设备,您就会看到问题。手动配置还可能因复制另一设备的 IPv4 地址而增加配置错误的风险。
如图所示,要在 Windows PC 上配置 DHCP,您只需选择 Obtain an IP address automatically 和 Obtain DNS server address automatically。您的 PC 将会找到 DHCP 服务器,并为其分配在网络上通信所需的地址设置。
注意: IPv6 使用 DHCPv6 和 SLAAC(无状态地址自动配置)进行动态地址分配。
6.3 交换机虚拟接口配置
要远程访问交换机,SVI 上必须配置 IP 地址和子网掩码。要在交换机上配置 SVI,请使用全局配置命令 interface vlan 1。Vlan 1 并不是一个实际物理接口,而是一个虚拟接口。然后使用接口配置命令 ip address ip-address subnet-mask 配置 IPv4 地址。最后,使用接口配置命令 no shutdown 启用虚拟接口。
在这些命令配置后,交换机即可使用所有 IPv4 要素进行网络通信。
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# interface vlan 1
Sw-Floor-1(config-if)# ip address 192.168.1.20 255.255.255.0
Sw-Floor-1(config-if)# no shutdown
Sw-Floor-1(config-if)# exit
Sw-Floor-1(config)# ip default-gateway 192.168.1.1
1006
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
