网络设备(路由器、交换机和防火墙等)与计算机一样需要操作系统。网络设备采用专用的操作系统,统称为IOS(Internetwork Operating System,网络操作系统)。
(1)网络设备的常见连接方式:
网络设备的常见连接方式有四种:
1.CON:Console口连接终端或运行终端仿真软件(如Windows的超级终端)的PC。 2.Telnet:通过Telnet远程登录配置交换机。 3.TFTP:可以通过TFTP服务器下载配置信息,TFTP服务器可以运行在UNIX工作站或者PC工作站。 4.SNMP:通过运行网管软件(如CISCOWorks)的工作站来管理交换机的配置。
1)交换机的常见连接方式:
配置实例: 搭建一个虚拟场景:
PC_A充当虚拟终端通过Console线连接并配置交换机,配置成功后在PC_B上通过Telnet远程登录交换机。
PC_A的配置代码:
enable conf t host SW int vlan 1 ip add 192.168.0.1 255.255.255.0 no shut exit enable secret cisco line vty 0 4 password 123456 loginend
给PC_B配置IP地址: 192.168.0.2
PC_B的telnet登录测试:
2)路由器的常见连接方式:
一些网络设备(如路由器),还可通过AUX(Auxiliary,辅助)端口连接Modem,让管理员通过电话网与网络设备通信,进行远程配置。
3)防火墙:
在网络设备中,防火墙的连接配置对安全性有特别要求。防火墙除了可以使用CON、Telnet和TFTP方式连接外,还可以通过VPN和SSH方式连接。
4)SDM(Security Device Manager 安全设备管理)
现在越来越多的网络设备支持通过Web方式连接,管理员可以通过浏览器直观地对网络设备进行配置。SDM是一款基于Cisco SoftWare 的路由器的Web设备管理工具。
SDM是Cisco公司提供的全新图形化路由器管理工具。 该工具利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口 (CLI) 即可轻松地完成IOS路由器的状态监控、安全审计和功能配置。连QoS、 Easy VPN Server、IPS、DHCP Server、动态路由协议等配置任务也可以利用SDM轻松而快捷地完成,配置逻辑严密、结构规范。 使用SDM进行 管理时,用户到路由器之间使用加密的HTTP连接及SSH v2协议,安全可靠。目前Cisco 的大部分中低端路由器包括8xx, 17xx, 18xx, 26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM。
(2)Cisco ISO命令模式
CISCO的交换机和路由器都运行IOS网络操作系统,其命令模式基本相同:
这里以交换机为例介绍Cisco命令模式,假设主机名为MyHost: 1.用户模式MyHost> 一旦连接到网络设备后,即进入用户模式B,这时只能看到交换机的连接状态,访问其他网络和主机,但不能看到和更改交换机的配置内容。 2.特权模式MyHost# 在用户模式下输入enable或en指令进入特权模式,不但可以执行所有的用户命令,还可以看到和更改交换机的配置内容。 3.全局配置模式MyHost(config)# 在特权模式下输入configure terminal或conf t进入全局配置模式,这时可以设置全局参数。 4.局部配置模式 (config-if)(config-vlan)(config-line)......在全局配置模式下输入局部配置参数可以进入不同的局部配置模式。 5.>或rommon> 在开机后60s内按Ctrl+Break快捷键即可进入此模式,这时交换机不能完成正常的功能,只能进行软件升级和手工引导。 6.设置对话模式 新的路由器开机时自动进入的模式,在特权命令模式(在用户模式下输入enable)下使用setup命令也可以进入此模式。这时可以通过对话方式对交换机进行设置。 7.MyHost(vlan)# 在特权模式下输入vlan database,进入vlan配置模式,这时可以配置交换机的vlan参数。 注意:不论处在哪一级模式,都可用exit命令退回到前一级模式,使用end命令或Ctrl+z可以直接回到特权模式。
(3)网络设备内存与ISO文件管理:
3.1网络设备的存储设备介绍:
路由器和交换机等网络设备采用了以下几种不同类型的内存,每种内存以不同方式协助网络设备工作:
1.只读内存(ROM)。 在设备中的功能与计算机中的ROM相似,主要用于系统初始化等功能。ROM是只读存储器,不能修改其中存放的代码。如要进行升级,则要替换ROM芯片。 ROM中主要包含: ?系统加电自检代码(POST)(用于检测设备中各硬件部分是否完好。) ?系统引导区代码(BootStrap)(用于启动设备并载入IOS操作系统。) ?备份的IOS操作系统,以便在原有IOS操作系统被删除或破坏时使用。通常,这个IOS比现运行IOS的版本低一些,但却足以使设备启动和工作。 2.闪存(FLASH) 可读可写的存储器,在系统重新启动或关机之后仍能保存数据。Flash中存放着当前使用中的IOS。 3.非易失性RAM(NVRAM)。 可读可写的存储器,在系统重新启动或关机之后仍能保存数据,是配置文件(startup-config)存储地。NVRAM的速度较快,成本也比较高。 4.随机存取内存(RAM)。 RAM也是可读可写的存储器,但它存储的内容在系统重启或关机后将被清除,和计算机中的RAM一样的。RAM的存取速度优于前面所提到的3种内存的存取速度。运行期间,RAM中包含路由表项目、ARP缓冲项目、日志项目和队列中排队等待发送的分组。除此之外,还包括运行配置文件(Running-config)、正在执行的代码、IOS操作系统程序和一些临时数据信息。
RAM包含静态RAM(StaticRAM/SRAM)和动态RAM(Dynamic RAM/DRAM)两类,SRAM速度非常快,但昂贵,所以只在CPU的一级缓冲,二级缓冲这种苛刻的地方 使用;DRAM保留数据的时间很短,速度也比SRAM慢,价格低,计算机内存和网络设备内存都是DRAM的。
3.2ISO文件管理:
网络设备文件系统ISO也有自己的文件管理命令,在全局配置模式下,通过这些命令,IOS可以方便地对操作系统和配置文件进行管理。
NVRAM是非易失性RAM(Nonvolatile RAM),用于存储网络设备的启动配置文件 (startup-config)。当startup-config被调入内存RAM中后,在RAM中运行的配置文件就是running-config。对配置文件作更改,其实只是对running-config作更改,所以在处理完毕后,一般要把更改好的配置保存到startup-config。
示例1:搭建一个虚拟场景,在服务器上启用TFTP服务(默认开启)
配置各设备IP地址之后,在终端设备上操作路由器:
类似的copy tftp flash命令将服务器上的文件拷贝回来。
示例2:(重复上述试验)
试验环境:Dynamips、真实PC、Cisco TFTP Server(Dynamips的使用方法后续介绍)
步骤1:由于真实计算机充当TFTP Server 服务器,因此修改计算机IP地址为192.168.1.200,网关为192.168.1.100。
步骤2:开启Dynamips虚拟服务,开启R1给R1的f/0端口配置ip地址:
测试连通性:
步骤3:在计算机上打开Cisco TFTP Server软件,开启TFTP服务:
开启TFTP服务并修改文件默认路径:
步骤4:在路由器上执行操作:
实验结果:
可能遇到的问题:
1.配置IP地址时网卡选择错误:
有的计算机有多块网卡,而Cisco TFTP Server默认使用第一块网卡的ip地址作为其服务器ip地址,因此要保证选择正确的ip地址。
首先打开Cisco TFTP Server,查看其目前使用的ip地址:
然后在控制台查看哪个网卡使用此ip地址:
然后修改此网卡的ip地址为静态ip:
再重新打开Cisco TFTP Server:
2.TFTP服务器不可用:
原因:防火墙默认不开放TFTP服务功能,关闭了指定udp 69号端口,关闭防火墙即可做实验。
示例3:删除路由器自带ISO文件并恢复ISO和配置信息:(在示例1的基础上)
在路由器上执行如下操作,将其ISO文件删除:
然后依次输入下面命令:
一行一行赋值,不允许出错 IP_ADDRESS=192.168.1.100 IP_SUBNET_MASK=255.255.255.0 DEFAULT_GATEWAY=192.168.1.1 TFTP_SERVER=192.168.1.200 TFTP_FILE=c2800nm-advipservicesk9-mz.124-15.T1.bin tftpdnld
输入y后路由器重新装在ISO文件,后出现下述提示:
(4)SDM的简单运用:(仅仅介绍配置登录方法)
实验环境:(Dynamips,Cisco SDM软件)
在路由器上进行如下配置:
en conf t host R1 int f0/0 ip add 192.168.1.100 255.255.255.0 no shut exit ip http authentication local username menangel privilege 15 secret cisco line vty 0 4 login local transport input ssh telnet end
类似之前配置主机ip地址为192.168.1.200,设置192.168.1.100为默认网关;
安装cisco SDM软件(确认有java环境),输入ip地址192.168.1.100:
点击启动,在浏览器中输入下述窗口,输入用户名和密码:
点击确定后即可进入配置页面:
如果启动Cisco SDM后有如下提醒而且IE浏览器会陷入等待状态的现象,说明计算机上JRE版本过高,出现兼容性问题,可以下一个低版本的JDK。
(5)密码恢复技术:
当网络管理人员变动导致原密码丢失或忘记密码时就需要使用密码恢复技术在不更改基本配置的前提下修改设备的密码。
1)路由器:
在终端上给路由器配置的登录密码和特权模式的密码:
enable conf t enable secret 123456 line vty 0 4 password 123456 login endwrite
在路由器上输入show version命令:
关闭路由器的电源并加电重启,按ctrl+break键进入rommon模式,修改配置寄存器值为0x2142,重置路由器:
此时默认不加载密码设置,使用show running-config查看配置信息:
注意:如果路由器的密码被加密了,此时可以设置新的密码(配置模式下输入 enable secret *****)。
然后将启动配置文件拷贝到运行配置文件并保存,修改配置寄存器的值为0x2102:
copy startup-config running-config write config-register 0x2102endreload
2)交换机:
由于Packet Tracer模拟器上Cisco交换机没有mode按键,所以不支持实验,这里仅仅介绍实验步骤:(此实验可以在真实交换机上做)
总体来说,交换机或路由器的密码恢复技术是通过设置设备启动时是否加载配置文件来先进入特权模式,然后拷贝启动配置文件到运行配置文件实现的。如果想要修改新的密码,进入全局配置模式即可。再修改密码后要保存,将运行配置文件拷贝到启动配置文件。
实验文档下载:http://files.cnblogs.com/files/MenAngel/NetBlog4.rar