1.带内管理
带内管理:正常数据流量和管理流量都在同一个网络里面。
PC 在北京-----机房IDC 在河北。
远程控制:使用Telnet
默认情况下,网络设备的远程功能是关闭的。
如何开启:
--路由器本机。
R1>en
R1#confi t
R1(config)# line vty 0 4 --同一时间允许有0-4 5个用户登陆。开启远程用户的拦截。
R1(config-line)#password cisco123 --给远程用户设置密码。
R1(config-line)#login --声明使用更定的密码登陆。
--这里进来是用户模式。
R1(config-line)#exit
R1(config)#enable password cisco --设置特权模式下密码。
--PC机器上设置。
PC C:\>telnet 192.168.1.254 --登陆到路由器。
Password:cisco123
R1> show ip int bri --查看IP接口的概要信息。
--我们登陆进来是用户模式。
R1>enable
Password:cisco --登陆进入特权模式。
R1#configure terminal
R1(config)#exit
R1#
--如何通过PC远程连接到交换机。
--进入交换机。
CLI:
Switch>
Switch>en --进入特权模式。
Switch#config t
Switch(config)# --这里暂时没有 IP add 命令。
交换机分为二层交换机和三层交换机,二层交换机没有办法在接口下
配置IP地址。只能给系统配置一个地址:一般情况来说这个系统的接口
是vlan1 口。
Switch(config)# interface vlan 1 --全局模式进入vlan 1配置IP ;
Switch(config-if)# --交换机上F0/1 配置的IP地址和路由器F0/1接口的IP
必须在同一网段。
Switch(config-if)#ip address xxxx --配置IP;
做项目时,一次性接触上千台设备。
第二种登陆设备的 telnet ;免密。
--进入路由器:Router
R1(config)#line vty 0 4 --设置可以登陆的终端用户数。
R1(config-line)#no password --免密
R1(config-line)#no login
R1(config-line)#exit
R1(config)#
--PC机器登陆路由器:
--测试TELENET 免密进入路由器。
R1#exit
C:\>telnet 192.168.1.254
R1> --直接进入了。
R1>enable
Password:cisco
R1#
2.路由器的内部构造
存储器:存储数据的设备。
加电自检(POST)程序,存储在ROM 的微小代码,用于检测硬件的基本功能,
确定可用的接口。
引导程序:存储在ROM中的微小代码。
ROM 监控程序:存储在ROM 的微小代码,用于制造,测试和故障诊断。
微型IOS:被思科称为RXBOOT或引导加载程序,是一个存贮在ROM中的小型IOS,
用于启动一个接口并将思科加载到闪存中。
RAM随机访问存储器:存储正在运行的缓存信息,如分组缓存,ARP缓存等。
ROM随机只读存储器:用于启动和维护路由器的正常运行。其主要功能是
保存POST,引导程序,微型IOS;
Flash闪存:默认保存路由器的IOS文件。闪存中存储的东西不随设备的重启,
断点而丢失。
NVRAM非易失性随机只读存储器:用于存储路由器和交换机的配置内容。
加载IOS的默认顺序是: 闪存,TFTP服务器,然后是 ROM ;
总共有四个存储器。
(1)ROM :Random only read momory
随机只读存储器。只能读,不能写。
POST 程序。
引导程序。
mini IOS; 通过这个mini IOS找到闪存中的IOS;
(2)RAM:random access memory;
存储设备正在运行的缓存信息。
随着设呗i断点或重启,数据会随之丢失。
(3)NVRAM
NVRAM非易失性随机只读存储器
永久性保存。
(4)Flash闪存
路由器的IOS.
随着断电而丢失的只有RAM;
3.路由器启动过程。
(1)加电自检POST :用于检测硬件的基本功能,确定可用的接口。
(2)加载引导程序:用来为寻找IOS做准备。
(3)寻找IOS并加载IOS;
(4)寻找启动配置文件并加载启动配置文件。
(1)(2)ROM 中进行 。
(3)NVRAM 中进行。 starting-configure
(4)RAM 中进行。 running-configure
--进入路由器:
Router>
Router>en
Router# show flash: --查看路由器的闪存信息
.bin 文件就是路由器的启动文件。类似操作系统。
4.设备安全管理
(1)当配置一个设备时,如果确认没有问题了,一定要记得保存配置。
--进入路由器:设置但是不保存。
Router>
Router>en
Router# config t
Router(config)# hostname R2 --修改路由器的名称为R2;
R2(config)#int f0/0 --进入路由器的一个接口。
R2(config-if)#ip address 10.1.1.1 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#sh ip interface bri --查看IP接口状态信息
--这里不做保存,重启之后就没有了。
--进入路由器设备并保存。
Router>en
Router# config t
Router(config)# hostname R1 --修改路由器的名称为R2;
R1(config)#int f0/0 --进入路由器的一个接口。
R1(config-if)#ip address 10.1.1.1 255.255.255.252
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#sh ip interface bri --查看IP接口状态信息
R1(config)#end
R1# copy running-config startup-config --由RAM拷贝到NVRAM;实现保存。
--重启之后:就是加载NVRAM 里面的STARTUP-CONFIG;
--或者通过这个保存信息。
R1#write memory
--这两个命令等价,都是保存配置信息到NVRAM;
write memory == copy running-config startup-config
write memory
wr m --这种写法也可以。
wr --这种写法也可以。
(2)路由器console口 下面设置密码
R1>
R1>en
R1# --未设密码直接进入了。不安全,我们在console口设置一个密码。
R1# confi t
R1(config)#line console 0 --同一时间只有一个人进入这个口。
R1(config-line)#password cisco123
R1(config-line)#login --声明
--重新登陆就需要密码了。
Password:cisco123
R1>
R1>en
R1#config t
R1(config)#int f0/0
R1(config-if)#end --退出到特权模式下。
R1#
exit:一步一步往外退出。
end:直接退出到特权模式下:#
(3)加密密码
R1# sh running-config --查看当前配置信息
R1# sh run --也是可以的。可以看到设置的密码,不安全。
R1# confi t
R1(config)#service password-encryption --将特权模式下明文密码加密为密文。
R1(config)#end
R1#sh run --再次查看,明文密码已经没有了
--(1)设置用户模式下密码:
R1(config-line)#password cisco123 --给远程用户设置密码。
R1(config-line)#login --声明使用更定的密码登陆。
--(2)设置特权模式下密码。
R1(config)#enable password cisco --设置特权模式下密码。
--(3)将设备上所有密码变成密文。
R1(config)#service password-encryption --将特权模式下明文密码加密为密文。
5.远程登录设备的方式
通过路由器的方式登陆另外一台路由器。
R1:F0/0 :10.1.1.1/24
R2:F0/0 :10.1.1.2/24
R1#
R1# config t
R1(config)#interface f0/0
R1(config-if)#ip address 10.1.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#
R2#
R2# config t
R2(config)#interface f0/0
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shutdown --激活
R2(config-if)#exit
--设置远程登录密码。
R2(config)#line vty 0 4
R2(config-line)#password cisco123
R2(config-line)#login
R2(config-line)#exit
--TELnet 是封装在TCP层。
--R1路由器上去ping R2路由器。。
R1#
R1# config t
R1(config)#do ping 10.1.1.2
--重新telnet
R1#telnet 10.1.1.2
Password:cisco123
R2>en
% No password set --没有设置密码。
telnet 缺点:
明文传递的密码,抓包可以看到密码。
telnet 是不安全的。
通过wireshark 抓包。
cisco123 这个明文密码,通过抓包软件可以获取到这个密码。
以每个字符一个包的方式获取。
(2)SSH :密文传递密码。
R2 路由器上配置SSH;
R2(config)#
R2(config)#username cisco password cisco123 --设置访问的用户。
R2(config)#ip domain name xrbz --设置域名。
R2(config)#crypto key generate rsa --对密码加密。
How many bits in the modules[512]:enter --使用默认的512位
R2(config)#line vty 0 4
R2(config-line)#login local --使用本地的用户名密码登陆。
R2(config-line)#exit
R2(config)# do sh run |sec user --查看本地的用户名和密码。
username cisco password 0 cisco123
R1# ssh -l cisco 10.1.1.2
Password:cisco123 --输入密码。
R2>
(3)SSH配置步骤
1)本地的用户名密码:username cisco password 0 cisco123
2)设置域名:ip domain name xrbz
3)加密:crypto key generate rsa #默认512,最好使用1024
4)设置远程登录:line vty 0 4
login local
实际使用SSH 比TELNET安全的多,建议使用SSH;
--设置登陆超时时间。
R2(config)#line vty 0 4
R2(config-line)#exec-timeout 0 5
第一位分:第二位秒。用来设置超时时间。
远程登录时需要设置超时时间,否则密码错误,一直不退出。
--上面这里设置的5s超时。
--如下设置代表永不超时。
R2(config-line)#exec-timeout 0 0
--给不用的用户,分配不同的权限。
--权限级别是0-15个级别
--级别15是最大的
R2(config)# do sh run |sec user --查看本地的用户名和密码。
username cisco password 0 cisco123
--让ADMIN用户具有特权模式。15级是最高权限,是最不安全的权限。
--默认权限是1;
R2(config)#username admin privilege 15 password admin123
R2(config)#exit
从R1 上使用 cisco 用户无法直接进入 R2的特权模式。
R1#ssh -l admin 10.1.1.2
Password:admin123
R2# --直接进入特权模式了。