路由器和交換機(jī)的管理配置，絕對(duì)讓你“提神醒腦”！！！

作者：博妞 2020-08-13 07:07:40

雖然對(duì)于讓路由器或交換機(jī)在網(wǎng)絡(luò)中正常運(yùn)行來(lái)說(shuō)，路由器和交換機(jī)的管理配置的內(nèi)容并非生死攸關(guān),但它確實(shí)很重要。它的知識(shí)內(nèi)容可以幫助管理網(wǎng)絡(luò)的配置命令。

1. 路由器和交換機(jī)的管理配置

在路由器和交換機(jī)上，可配置的管理功能如下:

主機(jī)名;
旗標(biāo);
密碼;
接口描述。

別忘了,這些配置都不能讓路由器和交換機(jī)表現(xiàn)得更好或運(yùn)行得更快，但請(qǐng)相信小編，只要花時(shí)間在每臺(tái)網(wǎng)絡(luò)設(shè)備上設(shè)置這些配置，你的工作將會(huì)更輕松。因?yàn)槿绻@樣做，排除網(wǎng)絡(luò)故障和維護(hù)網(wǎng)絡(luò)的工作將容易很多。下面小編在思科路由器上演示這些命令，但這些命令也完全適用于思科交換機(jī)哦!

2. 主機(jī)名

要設(shè)置路由器的身份，我們可使用命令hostname。這只對(duì)本地有影響，即不會(huì)影響路由器如何執(zhí)行名稱(chēng)查找，也不會(huì)影響路由器在互聯(lián)網(wǎng)絡(luò)中的運(yùn)行方式。

下面是一個(gè)例子：

雖然根據(jù)你的姓名配置主機(jī)名很有誘惑力,但根據(jù)路由器的位置來(lái)給它命名絕對(duì)是個(gè)更好的主意。這是因?yàn)楦鶕?jù)設(shè)備實(shí)際所處的位置指定主機(jī)名時(shí),查找它將容易得多。另外，這也有助于核實(shí)你當(dāng)前是在正確的設(shè)備上進(jìn)行配置。本章，小編將暫時(shí)保留主機(jī)名Todd,因?yàn)檫@很有趣哦，哈哈哈哈哈~~~

3. 旗標(biāo)

配置旗標(biāo)不僅僅是為了耍酷;配置旗標(biāo)的一個(gè)充分理由是，可以給任何試圖通過(guò)遠(yuǎn)程登錄或撥號(hào)連接你的互聯(lián)網(wǎng)絡(luò)的人發(fā)出安全警告。您可以創(chuàng)建一個(gè)旗標(biāo)，向任何登錄到路由器的人顯示你想告訴他的信息。

有4種類(lèi)型的旗標(biāo): EXEC進(jìn)程創(chuàng)建旗標(biāo)( exec process creation banner )人站終端線(xiàn)路旗標(biāo)incomingterminal line banner )、登錄旗標(biāo)和每8消息旗標(biāo)，請(qǐng)務(wù)必熟悉它們。下面的代碼說(shuō)明了所有這些旗標(biāo)：

MOTD ( Message OfThe Day,每日消息)是最常用的旗標(biāo)。它向任何撥號(hào)或通過(guò)Telnet、輔助端口甚至控制臺(tái)端口連接路由器的人顯示一條消息，如下所示：

上述MOTD旗標(biāo)告訴連接路由器的人，如果他是不請(qǐng)自來(lái)的，就請(qǐng)離開(kāi)。其中需要說(shuō)明的是分隔字符，它用于告訴路由器消息到什么地方結(jié)束。我們可使用任何分隔字符，但很明顯在消息中不能使用該字符。另外，輸人完整的消息后按回車(chē),然后輸人分隔字符并按回車(chē)。不這樣做也可以，但如果有多個(gè)旗標(biāo)，它們將合并成一條消息，并占據(jù)一行。

例如，你可在一行中設(shè)置旗標(biāo)，如下所示：

這完全可行，但如果再添加一條MOTD旗標(biāo)消息，它們將合并到一行中。

下面介紹前面提到的其他旗標(biāo)。

EXEC旗標(biāo) 可配置線(xiàn)路激活( EXEC)旗標(biāo)，這種旗標(biāo)在創(chuàng)建EXEC進(jìn)程(如線(xiàn)路激活或有到來(lái)的VTY線(xiàn)路連接)時(shí)顯示。通過(guò)控制臺(tái)端口建立用戶(hù)EXEC會(huì)話(huà)時(shí)，我們將激活EXEC旗標(biāo)。
入站旗標(biāo) 可配置一個(gè)這樣的旗標(biāo)，即在連接到反向Telnet 線(xiàn)路的終端上顯示。這種旗標(biāo)可用于給使用反向Telnet的用戶(hù)提供操作說(shuō)明。
登錄旗標(biāo) 可配置在所有連接的終端上顯示的登錄旗標(biāo)。這種旗標(biāo)在MOTD旗標(biāo)之后顯示，并在登錄提示出現(xiàn)前顯示。我們不能基于線(xiàn)路禁用登錄旗標(biāo)，而必須全局禁用它，為此必須使用命令no banner login 將其刪除。

下面是一個(gè)登錄旗標(biāo)的例子：

任何曾登錄過(guò)ISR路由器的人，都相當(dāng)熟悉上述登錄旗標(biāo)，這是思科在其ISR路由器上默認(rèn)配置的旗標(biāo)。

注意：登錄旗標(biāo)在登錄提示出現(xiàn)前顯示，并在MOTD旗標(biāo)后顯示。

4. 設(shè)置密碼

用于確保思科路由器安全的密碼有5種:控制臺(tái)密碼、輔助端口密碼、遠(yuǎn)程登錄(VTY)密碼、啟用密碼( enable )和啟用加密密碼( enable secret )。啟用密碼和啟用加密密碼控制用戶(hù)進(jìn)人特權(quán)模式,在用戶(hù)執(zhí)行enable命令時(shí)要求他提供密碼。其他3種密碼用于控制用戶(hù)通過(guò)控制臺(tái)端口、輔助端口和Telnet進(jìn)人用戶(hù)模式。

下面詳細(xì)介紹每一種密碼。

啟用密碼

在全局配置模式下設(shè)置啟用密碼，如下所示：

命令enable的參數(shù)如下。

last-resort 在使用TACACS服務(wù)器進(jìn)行身份驗(yàn)證，但該服務(wù)器不可用時(shí),讓你仍能進(jìn)入路由器;如果TACACS服務(wù)器可用，則這種密碼將不管用。
password 在10.3之前的老系統(tǒng)上設(shè)置啟用密碼，如果設(shè)置了啟用加密密碼，該密碼將不管用。
secret 較新的加密密碼，如果設(shè)置了，將優(yōu)先于啟用密碼。
use-tacacs 讓路由器使用TACACS服務(wù)器進(jìn)行身份驗(yàn)證。如果有數(shù)十臺(tái)甚至更多的路由器，這將很方便，畢竟誰(shuí)會(huì)希望在所有這些路由器上修改密碼?而使用TACACS服務(wù)器時(shí)，你只需修改一次密碼。

下面是一個(gè)設(shè)置啟用密碼的例子：

如果你將啟用加密密碼和啟用密碼設(shè)置成相同的，路由器將提醒你修改第二個(gè)密碼。如果你未使用老式路由器，根本就不需要使用啟用密碼。

進(jìn)入用戶(hù)模式的密碼是使用命令line設(shè)置的：

下面是CCNA考試涉及的參數(shù)。

aux 設(shè)置輔助端口的用戶(hù)模式密碼。輔助端口通常用于將調(diào)制解調(diào)器連接到路由器，但也可用作控制臺(tái)端口。
console 設(shè)置控制臺(tái) 端口的用戶(hù)模式密碼。
vty 設(shè)置通過(guò) Telnet進(jìn)入用戶(hù)模式的密碼。如果沒(méi)有設(shè)置這種密碼，默認(rèn)將不能通過(guò)Telnet連接到路由器。

要配置用戶(hù)模式密碼，可配置相應(yīng)的線(xiàn)路，并使用命令login讓路由器進(jìn)行身份驗(yàn)證。

5. 輔助端口密碼

要配置輔助端口密碼，請(qǐng)進(jìn)人全局配置模式并輸入line aux ?。從下面的輸出可知，你只有一種選擇，那就是0,這是因?yàn)橹挥幸粋€(gè)輔助端口：

注意：雖然思科在較新的IOS版本( 12.2和更高)中提供了這種“確保設(shè)置密碼”的功能，但并非所有IOs都有這種功能。請(qǐng)務(wù)必牢記這一點(diǎn)。

6. 控制臺(tái)端口密碼

要設(shè)置控制臺(tái)端口密碼，可使用命令line console 0。如果試圖在提示符(config-line)#下輸人命令line console ?,結(jié)果將如何呢?將出現(xiàn)一條錯(cuò)誤消息。在該提示符下，我們可輸人命令line console 0，且該命令也會(huì)被系統(tǒng)接受,但在該提示符下幫助屏幕不管用。輸入exit后退一級(jí)，我們將發(fā)現(xiàn)幫助屏幕管用了。這也是一種特色。

下面是一個(gè)示例：

由于只有一個(gè)控制臺(tái)端口,因此我們只能選擇編號(hào)0。我們可將所有線(xiàn)路的密碼都設(shè)置成相同的，但出于安全方面的考慮，建議你將它們?cè)O(shè)置成不同的。還有其他幾個(gè)與控制臺(tái)端口相關(guān)的命令，你必須知道。

例如，命令exec-timeout 0 0將控制臺(tái)EXEC會(huì)話(huà)的超時(shí)時(shí)間設(shè)置為0,這意味著永遠(yuǎn)不超時(shí)。默認(rèn)的超時(shí)時(shí)間為10分鐘。(如果你喜歡惡作劇，可嘗試將其設(shè)置為0 1,這將把控制臺(tái)端口的超時(shí)時(shí)間設(shè)置為1秒。要修復(fù)這種問(wèn)題，你必須不斷按向下箭頭，并用另一只手修改超時(shí)時(shí)間! )

logging synchronous是個(gè)很不錯(cuò)的命令，應(yīng)默認(rèn)啟用，但并未如此。它可避免因不斷出現(xiàn)控制臺(tái)消息影響你的輸人。配置該命令后，這些消息仍會(huì)出現(xiàn)，但會(huì)等到返回到路由器提示符后再出現(xiàn)，不會(huì)中斷你的輸人。這樣，輸人信息將更容易閱讀。

下面的示例演示了如何配置這兩個(gè)命令：

注意：我們可將控制臺(tái)超時(shí)時(shí)間設(shè)置為00(永遠(yuǎn)不超時(shí))到35791分鐘2 147 483秒的任何值。默認(rèn)為10分鐘。

7. Telnet密碼

要設(shè)置使用Telnet訪(fǎng)問(wèn)路由器時(shí)進(jìn)入用戶(hù)模式的密碼，我們可使用命令line vty。如果路由器運(yùn)行的不是思科IOS企業(yè)版，它將默認(rèn)有5條VTY線(xiàn)路: 0~4。但如果運(yùn)行的是企業(yè)版，線(xiàn)路將多得多。要獲悉有多少條線(xiàn)路，最佳的方法是使用問(wèn)號(hào)：

別忘了，在提示符(config-line)#下你無(wú)法獲取幫助。要使用問(wèn)號(hào)(?),你必須返回全局配置模式。

如果你試圖遠(yuǎn)程登錄沒(méi)有設(shè)置VTY密碼的路由器，結(jié)果將如何呢?你將看到一條錯(cuò)誤消息，它指出連接請(qǐng)求遭到拒絕，因?yàn)闆](méi)有設(shè)置密碼。因此，如果在試圖遠(yuǎn)程登錄路由器時(shí)出現(xiàn)如下消息：

則說(shuō)明遠(yuǎn)程路由器(這里為SFRouter)沒(méi)有設(shè)置VTY ( Telnet)密碼。要繞開(kāi)這種障礙，讓路由器在沒(méi)有設(shè)置Telnet密碼時(shí)也允許建立Telnet連接，我們可使用no login命令：

警告：除非在測(cè)試或課堂環(huán)境中,否則不建議使用no login 命令讓沒(méi)有設(shè)置密碼的路由器接受Telnet連接。在生產(chǎn)環(huán)境中，請(qǐng)一定設(shè)置VTY密碼。

給路由器配置IP地址后，我們便可使用Telnet程序配置和檢查路由器，而不必使用控制臺(tái)電纜。在任何命令提示符(DOS或Cisco)下，我們都可輸人telnet來(lái)運(yùn)行Telnet 程序。

[[337572]]

8. 設(shè)置安全外殼(SSH)

我們可以使用安全外殼替代Telnet。與使用非加密數(shù)據(jù)流的Telnet 相比, SSH創(chuàng)建的會(huì)話(huà)更安全。SSH使用加密密鑰發(fā)送數(shù)據(jù)，以免以明文方式發(fā)送用戶(hù)名和密碼。

設(shè)置SSH的步驟如下。

(1)設(shè)置主機(jī)名：

(2)設(shè)置城名(為生成加密密鑰，必須有用戶(hù)名和城名)：

(3)將用戶(hù)名設(shè)置成支持SSH客戶(hù)端接入：

(4)生成用于保護(hù)會(huì)話(huà)的加密密鑰：

(5)在路由器上啟用SSH第2版。并非必須這樣做，但強(qiáng)烈推薦這樣做：

(6)進(jìn)入路由器VTY線(xiàn)路配置模式：

(7)最后，指定依次將SSH和Telnet作為接人協(xié)議：

如果沒(méi)有在最后一個(gè)命令的末尾指定關(guān)鍵字telnet,路由器將只支持SSH。這里并不是要建議你使用哪種方式，而只是想說(shuō)明SSH比Telnet更安全。

9. 對(duì)密碼進(jìn)行加密

默認(rèn)情況下，只有啟用加密密碼是加密的，要對(duì)用戶(hù)模式密碼和啟用密碼進(jìn)行加密,必須手工進(jìn)行配置。

在路由器上執(zhí)行命令show running-config 時(shí)，你將看到除啟用加密密碼外的其他所有密碼：

要手工配置密碼加密，我們可使用命令service password- encryption,如下例所示：

這樣，密碼就將被加密。在前面的示例中，我們對(duì)密碼進(jìn)行了加密，然后執(zhí)行命令show run,最后取消了密碼加密。正如你看到的，啟用密碼和線(xiàn)路密碼都被加密了。

在全面介紹如何在路由器上設(shè)置描述前，我們先來(lái)詳細(xì)探討密碼加密。前面說(shuō)過(guò)，如果你設(shè)置密碼并啟用命令service password-encryption，必須在禁用加密服務(wù)前執(zhí)行命令showrunning-config,否則密碼將不會(huì)被加密。并非一定要禁用加密服務(wù),僅當(dāng)路由器的CPU使用率很高時(shí)，你才需禁用加密服務(wù)。如果在設(shè)置密碼前就啟用了加密服務(wù),則即使不查看密碼,它們也會(huì)被加密。

10. 描述

設(shè)置接口描述對(duì)管理員很有幫助，與主機(jī)名一樣,描述也只在本地有意義。命令description很有用，因?yàn)榭捎脕?lái)標(biāo)識(shí)電路號(hào)。

下面是一個(gè)示例：

要查看接口的描述，我們可使用命令show running-config 或show interface：

11. 真實(shí)案例

description——一個(gè)很有用的命令

Bob是Acme Corporation的一名責(zé)深網(wǎng)絡(luò)管理員，該公司位于舊金山,有50多條WAN鏈路連接到遍布美國(guó)和加拿大的分支機(jī)構(gòu)。每當(dāng)有接口出現(xiàn)故障時(shí)，為確定它連接的電路,并找到該WAN鏈路提供商的電話(huà)號(hào)碼，Bob都需要花費(fèi)大量時(shí)間。

對(duì)Bob來(lái)說(shuō)，接口命令description很有幫助，因?yàn)樗墒褂眠@個(gè)命令確定每個(gè)路由器接

口連接的鏈路。通過(guò)給每個(gè)WAN接口添加電路號(hào)以及提供商的電話(huà)號(hào)碼，Bob受益匪淺。因此，若花幾小時(shí)給每個(gè)路由器接口添加這些信息，當(dāng)WAN鏈路出現(xiàn)故障時(shí)(這樣的情況肯定會(huì)發(fā)生), Bob 將節(jié)省大量寶貴的時(shí)間。

12. 使用do命令

從IOS 12.3版起，思科終于在IOS中添加了一個(gè)這樣的命令，即讓你能夠在配置模式下查看配置和統(tǒng)計(jì)信息。

事實(shí)上，在任何IOS中，若我們?cè)噲D在全局配置模式下查看配置，都將看到如下錯(cuò)誤消息: