這裏交換機 路由器 暫時統稱爲 網絡設備
我們一般管理網絡設備採用的幾種方法
一般來說,可以用5種方式來設置路由器:
1. Console口接終端或運行終端仿真軟件的微機(第一次配置要使用此方式)
2. AUX口接MODEM,通過電話線與遠方的終端或運行終端仿真軟件的微機相連;
3. 通過Ethernet上的 telnet 程序或 ssh程序;
4. 通過Ethernet上的TFTP服務器;
5.通過Ethernet上的SNMP協議網管工作站;
6.通過 https 網頁 配置網絡設備
7.通過 ASMD 等可視化程序 配置網絡設備
路由器 特權密碼的設置:
使能密碼配置::enable secret 123就行了。
普通密碼配置是:enable password 123,但是這種方法會在show的時候看到,而enable secret就不會被看到。 如果兩種都配置,會使用secret這個,優先級高。
一.終端設備通過(console線) 連接 網絡設備的 console端口
配置console 訪問密碼
cisco>enable
cisco# config terminal
cisco(config)# line console 0 切換爲控制檯0號 線路配置模式
cisco(config)# password 密碼 設置密碼
cisco(config)# login 將控制檯線路設置爲登陸需要輸入口令 才能訪問(否則即使設置密碼也不需要輸入)
cisco(config)# logging synchronous 使命令輸入時,不會被系統彈出的打印信息中斷
cisco(config)# exec-timeout 0 0 超時自動註銷時間 意思是0分0秒
cisco(config)#end
取消控制檯密碼登陸設置:
cisco>enable
cisco#config terminal
cisco(config)#line console 0
cisco(config)# no password 移除密碼
cisco(config)# no login 取消登陸密碼設置 如果未設置密碼,仍然要求登陸login,則用戶將無法訪問
二.輔助線路訪問(aux)
在默認情況下,網絡設備的輔助端口對於遠程設備訪問不需要密碼,一般情況下使用撥號modem連接aux端口。
當需要通過遠程訪問的方式實現對路由器的配置時,就需要採用AUX端口進行了。AUX其實與上面所講的接口結構與RJ-45一樣,只是裏面所對應的電路不 同,實現的功能也不同而已,根據Modem所使用的端口情況不同,來確定通過AUX端口與Modem進行連接所也必須藉助於RJ-45 to DB9或RJ-45 to DB25的收發器的選擇。
配置vty訪問密碼
cisco>enable
cisco#config terminal
cisco(config)#line aux 0 對aux0號 線路進行配置
cisco(config)#password 密碼 設置密碼
cisco(config)#login 將控制檯線路設置爲登陸需要輸入口令 才能訪問(否則即使設置密碼也不需要輸入)
cisco(config)#end
取消同上
三.虛擬終端訪問(SSH、Telnet)
這是最主要、最常見的方法。
vty端口用於遠程訪問設備,使用vty端口可執行所有配置選項。
telnet是網絡設備上支持vty的默認協議,默認傳輸方式。
配置vty的連接方式
Router> enable
Router# configure terminal
Router(config)# line vty 0 15 配置 0—15 號虛擬線路
Router(config-line)# transport input ? 連接服務器的數據協議
all All protocols 全部包含
none No protocols
ssh TCP/IP SSH protocol ssh加密傳輸
telnet TCP/IP Telnet protocol telnet 無加密傳輸
對 Telnet 進行配置:
(使用telnet進行配置時,設備必須設置 enable密碼,否則無法進入特權模式
提示:No password set)
此時在RouterA 通過telnet連接 RouterB 查看狀態
RouterA# show session 查看本機連接的遠程主機
RouterB# show user 查看連接到本機的 機器(用戶)
對ssh進行配置:
Router (config)# hostname cisco 1. 設置設備名稱和用戶
Router (config)# username admin secret mypassword
Router (config)# ip domain-name yunming 2.必須設置一個域名
Router(config)# crypto key generate rsa (modulus 加密位數)
3.在路由器上產生一對RSA密鑰就會自動啓用SSH.
如果你刪除這對RSA密鑰,就會自動禁用該SSH服務
使用line vty 線路模式
Router(config-line)# transport input ssh 4.選擇入向ssh模式
Router(config-line)# login local 啓用本地用戶數據庫
authentication-retries Specify number of authentication retries 允許用戶認證嘗試的最大次數
time-out Specify SSH time-out interval 配置SSH登入超時時間
version Specify protocol version to be supported ssh的版本
查看ssh祕鑰
show crypto key mypubkey rsa
查看SSH信息
Router# show ssh 查看ssh連接狀態
Router# show ip ssh 查看ssh配置
配置vty訪問密碼
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 對vty0到15號 線路進行配置(最大允許16個人同時登陸,VTY線路的編號)
cisco(config)#password 密碼 設置密碼
cisco(config)#login(local)將控制檯線路設置爲登陸需要輸入口令 才能訪問(否則即使設置密碼也不需要輸入)
如果設置 local 則指明使用本地數據庫進行身份驗證,將要輸入 用戶名 和 密碼
取消控制檯密碼登陸設置:
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 對vty0到15號 線路進行配置(機器型號 ios版本不同 支持虛擬線路數量也不同)
cisco(config)# no password 移除密碼
cisco(config)# no login 取消登陸密碼設置 如果未設置密碼,仍然要求登陸login,則用戶將無法訪問
配置vty允許訪問ip
使用 access-list 編號 控制列表定義源ip地址。
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15
cisco(config)#access-class 編號 in/out
四.通過Ethernet上的TFTP(ftp)服務器
1.首先要創建一臺TFTP服務器,可以在局域網絡內
2.TFTP中可以保存 路由器的 配置文件(備份)
3.TFTP中可以保存 路由器的 IOS鏡像 (備份)
4.開機引導時直接從 TFTP 加載 IOS
2.TFTP中可以保存 路由器的 配置文件
(備份)
copy running-config tftp://192.168.0.1 /mybackfile.txt
(恢復配置文件)
IOS# copy tftp startup-config (這是一個替換的過程)
IOS# copy tftp running-config (這是一個合併的過程)
3.TFTP中保存 路由器的 IOS
(備份)
IOS# copy flash tftp
(恢復配置文件)
IOS# copy tftp flash
4.(設置開機引導時 從TFTP 加載 IOS)
Router(config)# boot system tftp://.....
五.通過SNMP協議網管工作站
出於遠程管理路由器的基本需要,每一個網絡管理員都必須配置路由器使之可以使用簡單網絡管理協議(SNMP)。簡單網絡管理協議(SNMP)提供了遠程監控功能,在Cisco路由器中包含了一個SNMP代理和管理信息庫(MIB)。它使用網管服務器作爲入口點實行網絡管理控制,可以配置路由器向網管服務器發送管理信息。因爲需要通過網絡遠程訪問管理路由器,因此帶來了許多的安全風險。對此,在進行配置時必須確保僅有授權用戶能夠使用它。
1.配置路由器能夠使用SNMP的基本命令
snmp-server community public RO
允許任何提交共用字符串(community string)爲public的服務器端軟件進行讀訪問。
snmp-server community private RW
允許任何提交共用字符串爲private的服務器端軟件進行讀和寫訪問。
爲共用字符串選擇強壯的口令是非常重要的。上述例子中的public和private這樣的共用字符串是十分普遍的口令,用戶在配置自己的設備時應放棄使用它們。此外,如果可能的話,應該避免對所有的路由器使用相同的共用字符串,儘量爲每一個設備使用不同的共用字符串。不要讓只讀共用字符串與讀/寫的共用字符串相同,同時還要定期更改口令。
2.配置能訪問路由器的管理服務器
3.配置路由器向網管服務器發送報警信息
使用SNMP的trap性能,當有人試圖用不正確的共用字符串發送SNMP指令時,路由器可以向網管服務器發送報警信息,但需要網管服務器上安裝有CiscoWorks或類似的軟件。
snmp-server enable traps
配置路由器使用trap,如果不被激活,沒有trap向前轉發。
snmp-server trap-authentication
配置路由器如果共用字符串的驗證失敗,發送一個trap。
snmp-server host 159.226.244.20
配置路由器向指定主機發送trap。
六.通過 https 網頁 配置網絡設備
Cisco IOS的這種特徵使得通過瀏覽器實現對路由器的訪問管理,這對那些更習慣於使用瀏覽器界面的用戶是很有益的。
http是一個使用T C P作爲傳輸協議的客戶/服務器應用,客戶機運行瀏覽器應用程序,例如Netscape Navigator或Microsoft Internet Explorer,網絡客戶機向運行h t t p後臺程序的h t t p服務器發出請求,這些從瀏覽器向h t t p服務器發出的請求通常發生在T C P端口8 0。
注意:所有配置都是在全局配置模式下進行的
首先,啓用web server 響應服務
ip http server
那用WEB訪問的用戶名是什麼?
默認的是cisco,不過可以設置的
需要設置一個15級的用戶
username xxx pri 15 pass xxx
附:過程命令彙總
IP http server:這個全局命令使得路由器可以響應瀏覽器通過網絡發出的請求。
IP http port:這個全局命令是用來改變路由器用於接收http請求的TCP端口號,默認http使用TCP8 0端口
username xxx pri 15 privilege xx(0-15):這個命令是設置一個15級的web訪問用戶及其密碼
IP http access class:這個命令可以用來控制哪臺瀏覽器主機可以通過HTTP請求獲得對路由器的訪問權。
七.通過 ASMD 等可視化程序 配置網絡設備
!!!主要配置asa設備,其命令與路由器命令不同!!!
其過程其實也是通過 http配置網絡設備,只是通過JAVA虛擬機軟件在本地運行一個程序(如asdm)來配置。
(這是asa設備上的命令)
ciscoasa>
ciscoasa> en
Password:
ciscoasa# conf t 進入全局模式
ciscoasa(config)# webvpn 進入WEBVPN模式
ciscoasa(config-webvpn)# username cisco password cisco 新建一個用戶和密碼
ciscoasa(config)# int m 0/0 進入管理口
ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0 添加IP地址
ciscoasa(config-if)# nameif guanli 給管理口設個名字
ciscoasa(config-if)# no shutdown 激活接口
ciscoasa(config)#q 退出管理接口
ciscoasa(config)# http server enable 開啓HTTP服務
ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli 在管理口設置可管理的IP地址
ciscoasa(config)# show run 查看一下配置
ciscoasa(config)# wr m 保存
經過以上配置就可以用ASDM配置防火牆了。
對asa設備進行配置 telnet ssh 方式
ASA的配置方式:
1.console
2.Telnet
3.SSH
4.HTTPS(ASDM)
認證方式:
1.LOCAL
2.Radius
3.TACACS+
4.LDAP
Telnet
telnet 192.168.1.100 255.255.255.255 inside
telnet 172.16.1.100 255.255.255.255 mgmt
telnet 0 0 DMZ
1.外部接口上不支持Telnet,除非該會話通過了IPsec隧道的加密
2.默認密碼cisco(使用passwd(注意不是password而是passwd)命令修改默認密碼)
3.默認enable密碼:空(使用enable password命令修改默認enable密碼)
4.用本地用戶認證
username admin password cisco privilege 15
aaa authentication telnet console LOCAL(全部大寫)
5.ASA可以作爲Telnet的服務器,但是不能作爲telnet客戶端(ASA不能使用telnet命令)
SSH
hostname ASA
domain ccie.com
crypto key generate rsa ( modulus 加密位數)
ssh 10.1.1.1 255.255.255.255 inside
ssh 0 0 DMZ
ssh timeout 30 //設置超時時間,單位爲分鐘
ssh version 1 //指定SSH版本,可以選擇版本
1.ASA支持用戶在外部接口上接收SSH會話,所以在通過外部網絡遠程網管ASA設備必須使用SSH,不能使用telnet
2.默認用戶名是pix
3.默認密碼是cisco(使用passwd修改默認密碼)
4.用本地用戶認證
username admin password cisco privilege 15
aaa authentication ssh console LOCAL