Packet Tracer - 配置初始交换机设置

目标

第 1 部分：检验默认交换机配置

第 2 部分：配置基本交换机配置

第 3 部分：配置 MOTD 标语

第 4 部分：将配置文件保存到 NVRAM

第 5 部分：配置 S2

背景/场景

在这个练习中，您会执行基本的交换机 配置任务。您要使用加密密码和明文密码来保护对命令行界面 (CLI) 和控制台端口的访问。您还会学习 如何配置标语，让登录交换机的用户可以看到这个消息。这些消息标语 也用来警示禁止未授权用户访问设备。

注意：在 Packet Tracer 中，Catalyst 2960 交换机 默认使用 IOS 版本 12.2。如果需要的话，可以 从 Packet Tracer 拓扑中的文件服务器更新 IOS 版本。然后，如果需要使用这个版本，可以配置交换机 使用 IOS 版本 15.0。

第 1 部分：检验默认交换机配置

步骤 1：进入特权 EXEC 模式。

在特权 EXEC 模式下，您可以使用全部交换机命令。不过，由于许多特权命令会配置操作 参数，因此应使用密码对特权访问加以保护，防止 未授权的使用。

特权 EXEC 模式命令集包括用户 EXEC 模式中可以使用的 那些命令，许多额外命令，以及用于获取配置模式的访问权限的 configure 命令 。

a.     单击 R1，然后单击 CLI 选项卡。按下回车键。

b.     输入 enable 命令进入特权 EXEC 模式：

为 S1 打开配置窗口

Switch> enable

Switch#

请注意特权 EXEC 模式下提示符的变化。

步骤 2：检查当前交换机 配置。

输入 show running-config 命令。

Switch# show running-config

请回答以下问题：

这台交换机有几个快速以太网接口 ？

这台交换机有多少个千兆以太网接口 ？

这台交换机的配置中，有以下接口：

• 快速以太网接口（FastEthernet）：从 FastEthernet0/1 到 FastEthernet0/24 共计 24 个快速以太网接口。

• 千兆以太网接口（GigabitEthernet）：有两个千兆以太网接口，分别是 GigabitEthernet0/1 和 GigabitEthernet0/2。

显示的 vty 线路值 的范围是什么？

vty线路的范围是：

• line vty 0 4：这表示vty线路的编号范围从0到4。

• line vty 5 15：这表示另一个范围，vty线路的编号从5到15。

哪条命令可以显示 非易失性随机访问存储器 (NVRAM) 中的当前内容？

要显示非易失性随机访问存储器（NVRAM）中的当前内容，你可以使用以下命令：

#configure terminal
startup-config

为什么交换机返回了 “startup-config is not present”？

交换机返回 "startup-config is not present" 可能有几个原因：

1. 尚未保存配置：如果在交换机上没有保存配置，或者保存的文件不在NVRAM中，就会出现这个消息。你可以使用 write memory 或 copy running-config startup-config 命令将当前运行配置保存到NVRAM。

2. 损坏的NVRAM：如果NVRAM出现故障或损坏，也会导致显示这个消息。在这种情况下，可能需要更换或修复NVRAM。

3. 配置丢失：如果NVRAM中的配置文件丢失或被删除，也会导致该消息。在这种情况下，你需要重新配置交换机，并确保将配置保存到NVRAM中。

第 2 部分：创建基本交换机 配置

步骤 1：给交换机分配名称。

要在交换机上配置参数，您可能需要 在各种配置模式之间进行切换。注意 导航交换机时提示符的变化。

Switch configure terminal

Switch(config)# hostname S1

S1(config)# exit

S1#

步骤 2：保护对 控制台线路的访问。

要保护对控制台线路的访问，需要进入 config-line 模式，并将控制台密码设置为 letmein。

S1# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

S1(config)# line console 0

S1(config-line)# password letmein

S1(config-line)# login

S1(config-line)# exit

S1(config)# exit

%SYS-5-CONFIG_I: Configured from console by console

S1#

补充1：线路配置模式

线路配置模式是用于配置终端连接线路（例如控制台线路或虚拟终端线路）的Cisco交换机和路由器的特定配置模式。在这个模式下，您可以设置各种参数来管理终端连接的行为，包括密码、登录验证、日志记录等。在线路配置模式下，您可以对特定的终端线路进行配置，以增强安全性和控制。

以下是一些线路配置模式下常见的命令和配置选项：

• password：用于设置连接到该线路的用户需要提供的密码。

• login：启用登录验证，要求用户在连接时提供有效的用户名和密码。

• logging：用于配置日志记录选项，以记录与该线路相关的活动。

• exec-timeout：设置终端会话的自动断开时间。

• transport input：指定可以用于连接到线路的传输协议，如SSH、Telnet等。

线路配置模式允许管理员对终端连接进行个性化配置，以确保网络安全和合规性。这对于保护对交换机或路由器的物理或远程访问非常重要。

问题：为什么需要 login 命令 ？

   login 命令用于启用登录验证，它是保护对控制台线路访问的重要部分。当 login 命令被启用时，它会强制要求用户在控制台访问时提供有效的用户名和密码，以验证用户的身份。这是出于安全性考虑的原因，确保只有经过授权的用户才能访问交换机的控制台。

        如果不启用 login 命令，任何人可以物理访问交换机的控制台端口，并立即获得完整的控制权，而无需提供任何凭据。这将对网络安全构成潜在威胁，因为未经授权的用户可以访问和修改交换机的配置，甚至危害网络的稳定性。

        通过启用 login 命令，交换机将要求用户提供用户名和密码，从而确保只有已授权的用户能够访问和配置交换机。这提高了网络的安全性，有助于防止未经授权的访问和潜在的威胁。

步骤 3：检验控制台访问 是否受到保护。

退出特权模式，检验控制台端口 密码是否生效。

S1# exit

Switch con0 is now available

Press RETURN to get started.

User Access Verification

Password:

S1>

注意：如果交换机没有提示您输入 密码，说明您没有配置步骤 2 中的 login 参数。

步骤 4：保护特权模式 访问。

将 enable 密码设置为 c1$c0。这个 密码用于保护对特权模式的访问。

注意： c1$c0 中的 0 为 零，而非大写字母 O。您在步骤 8 中对这个密码 加密之前，不会将其当作正确的密码。

S1> enable

S1# configure terminal

S1(config)# enable password c1$c0

S1(config)# exit

%SYS-5-CONFIG_I: Configured from console by console

S1#

步骤 5：检验特权模式 访问是否安全。

a.     再次输入 exit 命令登出交换机。

b.     按下回车键，这次会提示您输入密码：

User Access Verification

Password:

c.     第一个密码是您为 line con 0 配置的控制台密码。输入这个密码可以返回用户 EXEC 模式。

d.     输入命令访问特权模式。

e.     输入您为保护特权 EXEC 模式配置的第二个密码。

f.      通过检查 运行配置文件的内容检验您的配置：

S1# show running-config

注意，控制台和 enable 密码都是 明文形式的。如果有人偷看您的 操作或获得对存储在备份位置中的配置文件的访问权限，则可能带来安全风险。

步骤 6：配置加密 密码可以保护对特权模式的访问。

应该使用 enable secret 代替 enable password 命令， 配置新的加密密码。把 enable 加密密码设置为 itsasecret。

S1# config t

S1(config)# enable secret itsasecret

S1(config)# exit

S1#

注意：enable secret 密码会覆盖 enable 密码。如果交换机上同时配置了这两个密码，则必须 输入 enable secret 密码才能进入特权 EXEC 模式。

步骤 7：检验 enable 加密密码是否已添加到配置文件中。

再次输入 show running-config 命令，检验 新的 enable 加密密码是否已配置。

注意：您可以将 show running-config 缩写 为

S1# show run

问题：enable 加密密码 会显示为什么？

显示为：$1$mERr$ILwq/b7kc.7X/ejA4Aosn0

原因：enable secret 是用于设置特权模式密码的命令。密码通常以加密形式存储，以提高安全性。提供的密码看起来已经被加密，它以 $1$ 开头，后面是一串字符，代表经过加密的密码。在 enable secret 命令中，数字 "5" 指定了使用MD5算法进行密码加密。这个数字是Cisco设备的配置标志，告诉设备使用哪种算法来加密密码。在实际配置中，你可以使用其他数字或关键字来选择不同的加密算法，但通常 "5" 表示MD5。

为什么显示出的 enable 加密 密码与我们配置的不同？

步骤 8：加密 enable 密码和 控制台密码。

正如您在步骤 7 所看到的，enable 加密密码 已加密，但 enable 密码和控制台密码仍然以 明文形式显示。现在我们使用 service password-encryption 命令将这些明文密码加密。

S1# config t

S1(config)# service password-encryption

S1(config)# exit

问题：如果您在交换机上配置了其他密码 ，它们会在配置文件中显示为明文 形式还是加密形式？请说明原因。

加密形式，从实践上看到我们见enable 密码重新设置为123后，交换机中的配置文件仍然显示加密形式。

service password-encryption 将会把所有password用思科私有方式加密，

标记是 7，show run 查看密码时，5为md5加密结果即secret,

经过service password-encryption 无法通过该命令逆向获得明文，只能重置。

第 3 部分：配置 MOTD 标语

步骤 1：配置 当日消息 (MOTD) 标语。

思科 IOS 命令集中包含一项功能， 可以在任何人登录交换机时，向其显示一些消息。这些 消息称为当日消息 (MOTD) 标语。您应该把标语 文本括在引号中，也可以使用其他定界符，但定界符不能与 MOTD 字符串中出现的任何字符相同。

S1# config t

S1(config)# banner motd "This is a secure system. Authorized Access Only!"

S1(config)# exit

%SYS-5-CONFIG_I: Configured from console by console

S1#

问题：

什么时候显示出这个标语？

为什么每台 交换机都应该有 MOTD 标语？

用户登录到交换机时会显示在终端或会话窗口的最前面。

MOTD标语的存在有几个重要原因：

1. 提供警示信息：MOTD标语可以用于提供警示信息，如网络安全政策、许可协议或重要通知。这有助于用户了解他们与交换机互动的环境和规则。

2. 强化安全性：MOTD标语可以用于强调系统的安全性，提醒用户只有经授权的访问才是允许的。这有助于防止未经授权的访问和操作。

3. 合规性要求：在某些行业和法规中，要求在网络设备上显示特定的警示信息或许可条款。通过MOTD标语，可以满足这些合规性要求。

4. 传达重要信息：MOTD标语可以用于传达重要信息，如联系支持团队的方式或网络紧急情况的通知。这有助于用户获得必要的帮助或指导。

因此，每台交换机都应该具有适当配置的MOTD标语，以提高网络安全性、遵守法规和传达必要信息。

第 4 部分：保存和验证配置 文件到 NVRAM

步骤 1：使用 show run 命令检验配置 是否准确。

保存配置文件。您已经完成交换机的基本 配置。现在将运行配置文件备份到 NVRAM，确保所做的变更不会因系统重启或 断电而丢失。

S1# copy running-config startup-config

Destination filename [startup-config]?[Enter]

Building configuration...

[OK]

为 S1 关闭配置窗口

问题：

copy running-config startup-config 命令最短可以缩写 成什么？

在Cisco交换机上，copy running-config startup-config 命令可以缩写为 copy run start。

检查启动配置文件。哪条命令可以显示出 NVRAM 的内容？

要检查NVRAM的内容，可以使用 show startup-config 命令。这将显示NVRAM中保存的启动配置文件的内容。

文件中记录了之前输入的所有变更吗？

NVRAM中保存的是已保存的配置文件，而不是所有之前输入的变更。只有通过 write memory、copy running-config startup-config 或相似的命令显式保存的配置更改才会被保存到NVRAM中。其他未保存的临时配置更改将在设备重新启动后丢失。因此，只有已保存的配置更改才会包括在NVRAM中的启动配置文件中。

第 5 部分：配置 S2

您已完成 S1 的配置。您现在要 配置 S2。如果您不记得命令，请参阅第 1 至 4 部分获取 帮助。

使用以下参数配置 S2：

为 S2 打开配置窗口

a.     设备名称：S2

b.     使用 letmein 密码保护控制台访问。

c.     配置 enable 密码 c1$c0 和 enable 加密 密码 itsasecret。

d.     为登录到交换机的用户配置适当的消息。

e.     加密所有明文密码。

f.      确保配置正确。

g.     保存配置文件，以免因交换机断电而丢失。

enable
configure t
hostname S2
line console 0
password letmein
login
enable password c1$c0
enable secret itsasecret
service password-encryption
copy running-config startup-config
exit
exit