项目二
网络设备基本操作
案例描述
某公司要招聘一位网络管理维护人员, 需要考察路由器交换机基础知识及网络管理维护中常见 的路由器交换机基本操作技能。公司要求应聘者现场演示路由器的以下基本操作: (1)路由器的名称配置 (2)路由器的控制台密码配置 (3)路由器的特权模式保护 (4)路由器的远程登录控制相关知识
2.1 设备结构
从本质上讲,路由器与交换机是经过特殊优化处理的计算机。所以,路由器的硬件构造与我们 常见的 PC 有着类似的结构。 2.1.1 CPU CPU,也称中央处理器,执行操作系统指令,如系统初始化、路由功能和交换功能,大部分计 算都在这里进行。 2.1.2 RAM RAM,即内存,与 PC 内存用于存放临时数据的作用一样,路由器中的内存用于存储 CPU 所项目二
需执行的指令和临时数据。主要的临时数据包括操作系统、运行配置文件、路由表、ARP 缓存及 用户数据包缓存。RAM 是易失性存储器,如果路由器断电或重新启动,RAM 中的内容就会丢失。
2.1.3 ROM
ROM 称为只读存储器,是一种永久性存储器。用于存放开机自检程序(POST) ,Bootstrap 引 导程序和 MINI 版 IOS。类似于 PC 上的 BIOS,ROM 使用的是固件,通常是不需要修改或升级的 软件,如果路由器断电或重新启动,ROM 中的内容不会丢失。
2.1.4 Flash
Flash 即闪存是非易失性存储器,用于存放 Cisco IOS。在大多数 Cisco 路由器型号中,IOS 是 永久性存储在闪存中的,只有在启动过程中才复制到 RAM,然后再由 CPU 执行。如果路由器断 电或重新启动,闪存中的内容不会丢失。
2.1.5 NVRAM
NVRAM 也叫作非易失性内存,与 FLASH 类似,能在断电的情况下保存数据。NVRAM 用于 存放启动配置文件(startupconfig) 。当我们在执行路由器配置操作时,所修改的是存储于 RAM 的 运行配置文件(runningconfig) ,并由 IOS 立即执行。要保存这些更改以防路由器重新启动或断电, 必须将运行配置文件复制到 NVRAM,并在其中存储为 startupconfig 文件。即使路由器重新启动 或断电,我们的配置修改仍然存在。 2.1.6 接口 1.console port console port 是控制台端口,用于通过超级终端配置路由器或者交换机。 2.AUX port AUX port 是辅助端口,主要用来连接 Modem 对路由器实现远程管理。 3.以太口
以太口 Ethernet 有 10M/100M/1000M 之分,100M 也称 FastEthernet,1000M 也称 Gigabyte Ethernet,是设备上的常见端口。
4.串口
串口 serial,用于 WAN 连接,采用同步或者异步传输,实验中常中 64K 速率来做连接测试。 以上几种接口见图 21。
2.2 设备访问方法
路由器交换机没有显示屏,出厂时也没有任何配置,为了满足不同场合的应用需求,我们使用 路由器交换机之前需要对其进行配置,配置设备的方法有多种,下面介绍 2 种常见的配置方式。 2.2.1 超级终端 控制台使用低速串行连接 RS232 将计算机直接连接到路由器或交换机的控制台端口,经常用 于在网络服务未启动或发生故障时访问设备。 控制台的用途有以下 3 种情况: l 初次配置网络设备 l 在远程访问不可行时进行灾难恢复和故障排除 l 密码恢复 控制台电缆的一端连接 PC 的 RS232 串口,另一端连接路由器或交换机的控制台接口,如图 22 所示。 图 22 电缆连接好后,单击“开始→程序→附件→通讯→超级终端”的流程打开 PC 上的超级终端, 如图 23 所示。 图 23 然后按图 24 选择 PC 用于连接路由器的端口,接着按图 25 进行端口设置,具体的数据是 9600bps、数据位 8、没有奇偶校验、停止位 1、没有数据流控制(流控) 。图 24 图 25
经过上述设置后,我们就可以通过超级终端连接到设备的 CLI 了,如图 26 所示。
图 26
2.2.2 Telnet
通过 Telnet 连接到路由器是远程访问 CLI 会话的方法之一。Telnet 会话需要使用设备上的活 动网络服务,该网络设备至少必须具有一个活动接口,且该接口必须配置有第 3 层地址,同时设
备必须启动了 Telnet 服务器进程。 首先按图 27 配置设备开启远程登录服务,同时配置登录密码,接着将 PC 的 IP 地址设置好, 以便能连通路由器的接口, 然后就打开 PC 上的运行程序, 输入 CMD, 在弹出的对话框中输入 telnet + 设备接口地址, 当提示输入密码时, 输入设备开启此服务所配密码即可登录成功, 如图 28 所示。 图 27 图 28
2.3 IOS 基础配置
2.3.1 IOS 模式及转换 1.IOS 模式 Cisco IOS 使用了 CLI 的层次化设计。主要的模式有:一般用户模式、特权模式、全局配置模 式和其他特定配置模式。 每种模式用于完成特定任务,并具有可在该模式下使用的特定命令集。某些命令可供所有用户 使用,还有些命令仅在用户进入提供该命令的模式后才可执行。每种模式都具有独特的提示符,且 只有适用于相应模式的命令才能执行。 (1)一般用户模式 一般用户模式采用“>”符号结尾的 CLI 提示符标识。例如:router > 在一般用户模式下,用户只能执行有限的查看操作。在此模式下常见的命令是 show ip route, 用于查看路由器的路由表。如图 29 所示。 图 29 (2)特权模式 特权模式采用“#”符号结尾的 CLI 提示符标识。 例如:router # 在特权模式下,用户拥有完整的查看权限,同时也具有对设备的完整控制权。初学者此模式下 常用的命令是 router# show runningconfig,如图 210 所示。 图 210
(3)全局配置模式
全局配置模式采用“(config)#”符号结尾的 CLI 提示符标识。例如:Router(config)#
在全局配置模式下, 可以配置影响路由器全局的参数。在此模式下常配置的参数是路由器的名 字和密码,如图 211 所示。 图 211 (4)其他特定配置模式 如果需要配置对路由器某一部分起作用的参数, 我们就需要进入到相应的特定配置模式。 例如 我们需要配置路由器的接口参数,就需要进入接口配置模式;如果需要配置路由器的路由功能,就 需要进入路由配置模式,等等。图 212 和图 213 分别显示了接口配置模式和路由配置模式。 图 212 图 213 2.IOS 模式转换 (1)一般用户模式与特权模式转换,如图 214 所示。 图 214 图中显示此路由器配置了特权模式进入口令。 (2)特权模式与全局配置模式转换,如图 215 所示。 图 215 (3)特权模式、全局配置模式与特定配置模式转换,图 216 显示了特权模式、全局配置模式 和接口模式之间的转换。 图 216
需要注意的是,如果我们想从特定配置模式直接回到特权模式,可以使用 Ctrl+Z 这个快捷键, 图 216 中最后从接口模式回到特权模式就采用了这个方法,没有经过中间的全局配置模式。 2.3.2 设备名称配置 如图 217 所示,首先进入全局配置模式。 Router#config t 然后为路由器设置唯一的主机名。 Router(config)#hostname cisco cisco(config)# 图 217 2.3.3 设备密码配置 1.控制台口令 控制台口令用于控制用户访问设备的控制台接口,如果用户没有控制台口令,即使将配置线插 入设备控制台,用户也无法登录到一般用户模式。配置控制台口令如图 218 所示,配置后的效果 如图 219 所示。 首先进入线路模式 Router(config)#line console 0 接着配置口令和口令启用 Router(configline)#password 123 Router(configline)#login 图 218 图 219 2.使能口令和使能加密口令 使能口令和使能加密口令都用于控制用户进入特权模式, 区别在于使能口令在配置文件中以明 文保存,而使能加密口令则是以密文方式保存,相对来说更安全。如果在同一个设备上同时配置了 这 2 个口令,则起作用的是使能加密口令。配置方法如图 220 所示。 在全局配置模式下配置这 2 个口令 Router(config)#enable password 123 使能口令,明文显示
Router(config)#enable secret 321 使能加密口令,密文显示 图 220 3.VTY 口令 VTY 口令用于打开设备远程登录服务,控制用户远程登录。配置方法如图 221。 首先进入线路模式 Router(config)#line vty 0 4 然后配置口令及启用 Router(configline)#password 123 Router(configline)#login 图 221 2.3.4 接口配置 接口是设备的业务出入口,常见的路由器工作在第三层,所以每个接口都需要配置 IP 地址, 而交换机通常工作在第二层,一般不需要配置也可以工作。路由器接口的常见配置命令是: Router(config)#interface type slot/port 进入某个接口 Router(configif)#ip address ip address 配置接口 IP 地址 Router(configif)#no shutdown 打开接口 图 222 显示了路由器上一个以太口的配置。 图 222 2.3.5 登录横幅配置 在设备上配置登录横幅的目的是声明只有授权用户才能访问设备。配置登录横幅的命令格式为: Router(config)#banner motd # message # 图 223 显示了一个登录横幅配置的例子及效果。 图 223
2.3.6 配置保存 我们对设备所做的所有配置操作都是在内存里完成,如果不保存这些更改, 当设备重新启动或 者掉电后,前面的所有配置都将丢失,为了设备下次启动还有这些配置,我们需要将已做的配置做 一个保存,保存的操作命令是: Router# copy runningconfig startupconfig 图 224 显示了保存配置的命令效果。 图 224
项目实施
根据要求,我们对路由器分别做以下操作: 1.路由器的名称配置 Router > enable Router # configure terminal Router(config)#hostname cisco cisco(config)# 2.路由器的控制台密码配置 Router > enable Router # configure terminal Router(config)#line console 0 Router(configline)#login Router(configline)#password cisco Router(configline)# 3.路由器的特权模式保护 Router > enable Router # configure terminal Router(config)#enable secret cisco Router(config)# 4.路由器的远程登录控制 Router > enable Router # configure terminal Router(config)#line vty 0 4 Router(configline)#login Router(configline)#password cisco项目三
密码恢复与文件管理
案例描述
某公司招聘你作为网络管理维护人员接替你的前任,当你开始新工作时,发现前任网络管理员 没有为公司的路由器进行 IOS 和配置文件的备份,为了应付各种可能的突发情况,需要做好各种 情况下的预案,你在准备备份 IOS 和配置文件的时候,却发现前任网络管理员在设备上设置了密 码,但你在工作交接时并没有得到此密码,为了解决问题,你决定在最小损失下恢复设备的密码并 做好备份。相关知识
3.1 路由器启动
路由器的启动过程分为四个主要阶段: l 执行 POST l 加载 Bootstrap 程序 l 查找并加载 Cisco IOS 系统 l 查找并加载启动配置文件,或进入初始化配置模式(配置对话) 3.1.1 路由器启动顺序 1.执行 POST 加电自检 Power On SelfTest(POST)是每台计算机启动过程中必经的一个过程,同样也适用 于网络设备。POST 过程用于检测设备硬件。当按下路由器电源开关时,ROM 芯片上的软件便会项目三
执行 POST。在这种自检过程中,路由器会通过 ROM 执行诊断,主要针对包括 CPU、RAM 和 NVRAM 在内的几种硬件组件。POST 完成后,路由器将执行 Bootstrap 程序。
2.加载 Bootstrap 程序
POST 完成后,Bootstrap 程序将从 ROM 复制到 RAM。进入 RAM 后,CPU 会执行 Bootstrap 程序中的指令。Bootstrap 程序的主要任务是查找 Cisco IOS 并将其加载到 RAM。
3.查找并加载 Cisco IOS
查找 Cisco IOS 软件。IOS 通常存储在闪存中,但也可能存储在其他位置,如 TFTP 服务器上。 如果不能找到完整的 IOS 映像,则会从 ROM 将 MINI 版的 IOS 复制到 RAM 中。这种版本的 IOS 一般用于路由器故障恢复,也可用于将完整版的 IOS 加载到 RAM。
一旦 IOS 开始加载,我们将在映像解压缩过程中看到一串(#)号,如图 31 所示。
图 31
4.查找并加载配置文件
查找启动配置文件。IOS 加载后,Bootstrap 程序会搜索 NVRAM 中的启动配置文件(也称 为 startupconfig)。此文件含有上一次保存的配置命令以及参数,其中可能包括:接口地址信息、 路由信息、相关口令等信息。如果 NVRAM 中保存有启动配置文件,则会将其复制到 RAM 作为运 行配置文件(runningconfig) ,如果没有,路由器将询问是否要进入配置对话。 3.1.2 检查路由器启动 Cisco 路由器的启动受到配置寄存器的影响,为了了解路由器的启动,需要知道设备当前的配 置寄存器设置。我们可以通过 show version 命令来查看当前设备的配置寄存器值。除此以外,show version 这个命令还能查看包括 IOS 信息等其他相关参数。图 32 显示了 show version 的完整输出。
从图 32 中可以看出,show version 的输出信息很丰富,包括:
(1)IOS 版本,如图 33 所示,可以看出此路由器的 IOS 版本是 12.2(28) 。
图 33
(2)ROM Bootstrap 程序,如图 34 所示,可以看出 Bootstrap 程序的版本是 12.1(3r)T2。
图 34
(3) IOS 位置, 如图 35 所示, IOS 存放在 FLASH 的根目录下, 名字叫做 c2600imz.12228.bin。
图 35 (4)CPU 和 RAM 大小,如图 36 所示。 图 36 此行的前半部分显示的是该路由器的 CPU 类型,后半部分显示的是 DRAM 的大小。 图 36 显示该路由器有 60,416 KB 的可用 DRAM 用于临时存储 Cisco IOS 和其他系统进程。 其余 5,120 KB 专用作数据包存储器。二者相加之和为 65,536 KB,即总共 64 MB 的 DRAM。 (5)接口,如图 37 所示。 图 37 图 37 中显示此路由器有 2 个 100M 的快速以太网接口。 (6)NVRAM 大小,如图 38 所示。 图 38 图 38 显示此路由器有 32KB 的 NVRAM 空间用于存储 startupconfig。 (7)闪存大小,如图 39 所示。 图 39 图 39 显示该路由器的 Flash 是 CF 卡,用于存放 IOS。 (8)配置寄存器,如图 310 所示。 图 310 图 310 显示该路由器的配置寄存器值为 0x2102。
3.2 配置寄存器
配置寄存器是 1 个 16 位二进制值, 此值由用户配置, 决定了路由器在启动过程中的工作流程。 配置寄存器的最后 4 位指定的是路由器在启动的时候必须使用的启动文件所在的位置: 0x0000 指定路由器进入 ROM 监控模式 0x0001 指定从 ROM 中启动 0x0002~0x000F 的值则参照在 NVRAM 配置文件中命令 boot system 指定的顺序, 如果配置文 件中没有 boot system 命令,路由器会试图用系统 Flash 存储器中的第一个文件来启动,如果失败, 路由器就会试图用 TFTP 从服务器上加载一个缺省文件名的文件。表 31 显示了配置寄存器重要位 的含义。 表 31 配置寄存器重要位 寄存器位数 十六进制 功能描述 0~3 0x0000~0x000F 启动字段: 0000-停留在引导提示符下(>或 rommon >下) 0001-从 ROM 中引导 0002~000F-参照在 NVRAM 配置文件中命令 boot system 指定的顺序 6 0x0040 配置启动时忽略 NVRAM 中的配置信息 8 0x0100 设置之后,暂停键在系统运行时无法使用;如果没有设置,系统会进 入引导监控模式下(rommon>) 11~12 0x0800~0x1800 控制台线路速度,默认的就是 00 即 9600bps 13 0x2000 如果启动失败,系统以缺省 ROM 软件启动 配置寄存器的典型值有以下 2 个: (1)0x2102:运行过程中 Break 键被屏蔽,路由器会查看 NVRAM 中配置的内容以确定启动 次序,如果启动失败会采用默认的 ROM 软件进行启动。 (2)0x2142:启动后只加载 IOS,忽略 NVRAM 中启动配置文件。3.3 密码恢复
恢复路由器口令分为 4 个阶段: l 第一阶段使路由器进入监控模式 l 第二阶段配置路由器启动过程中忽略启动配置文件 l 第三阶段在特权模式下读取启动配置文件 l 第四阶段重置路由器口令。 具体步骤为: (1)连接到控制台端口。 (2)在一般用户模式下输入 show version,记录下配置寄存器设置。 Router>#show version Configuration register is 0x2102 配置寄存器一般设置为 0x2102 或 0x102。(3)关闭路由器的电源开关,然后重新打开。 (4)在路由器启动过程的 60 秒内按终端键盘上的 Ctrl+Break 键,使路由器进入监控模式。 (5)在 rommon 1>提示符后键入 confreg 0x2142。修改配置寄存器值为 0x2142,让路由器下 次启动时忽略启动配置文件。 (6)在 rommon 2>提示符后键入 reset。路由器随后将重新启动。 (7)输入 no 跳过初始化配置模式,进入一般用户模式。 (8)在 Router>提示符后键入 enable 进入特权模式。 (9)输入 copy startupconfig runningconfig 将启动配置文件复制到 RAM 里作为运行配置文件。 (10)输入 configure terminal 进入全局配置模式。 (11)输入 enable secret password 更改使能加密口令。 (12)输入 configregister 0x2102 将配置寄存器值改回正常值。 (13)按 Ctrl+Z 键退回到特权模式。 (14)输入 copy runningconfig startupconfig 保存更改。
3.4 文件管理
在实际工作中, 管理员的一个重要工作是在发现入侵或漏洞时升级 IOS 映像, 这时日常的 IOS 和配置文件管理就显得尤为重要。 3.4.1 IOS 文件管理 1.备份 IOS 文件 步骤: (1)按图 311 连接路由器与 TFTP 服务器。 图 311 (2)按图 312 设置好路由器与 TFTP 服务器,并测试路由器到 TFTP 服务器的连通性,如图 313 所示。 图 312图 313 (3)检查 Flash 中需要备份的 IOS 文件名,如图 314 所示。 图 314 从图 314 中,我们可以看到需要备份的 IOS 文件名为 c2600backimz.12228.bin。 (4)按图 315 备份 IOS 到 TFTP 服务器。 图 315 (5)检查 TFTP 服务器是否收到文件,从图 316 中可以看出,TFTP 服务器已经收到名为 c2600backimz.12228.bin 的 IOS 文件。 图 316 2.恢复 IOS 文件
(1)按图 311 连接路由器与 TFTP 服务器。 (2)进入监控模式后,按图 317 操作。 图 317 (3)使用 reset 命令重新启动路由器成功则说明 IOS 恢复成功。 3.4.2 配置文件管理 正如前文所述,当我们对设备进行配置后,实际是对运行配置文件进行修改,同时修改也会立 即生效。但是如果不保存为启动配置文件,当设备重新启动或者掉电后,我们所做的修改都将不复 存在。 于是,我们在全局配置模式下使用 copy runningconfig startupconfig 命令在 NVRAM 中保存 我们所做的配置。 NVRAM 中保存了启动配置文件后是不是就能确保万无一失呢?答案是否定的, 一旦 NVRAM 出现损坏,启动配置文件也会随之丢失。为了应对可能出现的丢失启动配置文件情况,我们需要将 配置文件备份到 TFTP 服务器。 1.备份配置文件 (1)按图 311 连接设备到 TFTP 服务器。 (2)按图 312 设置好路由器与 TFTP 服务器,并测试路由器到 TFTP 服务器的连通性。 (3)按图 318 备份配置文件到 TFTP 服务器。 图 318 (4)检查 TFTP 服务器是否收到文件,从图 319 中可以看出 TFTP 服务器已经收到名为 ciscoconfg 的配置文件。
图 319 2.恢复配置文件 当配置文件因某种原因丢失后 (图 320 显示了如何删除启动配置文件), 我们就需要借助 TFTP 服务器来恢复配置文件。 图 320 (1)按图 311 连接设备到 TFTP 服务器。 (2)按图 312 设置好路由器与 TFTP 服务器,并测试路由器到 TFTP 服务器的连通性。 (3)按图 321 恢复配置文件。 图 321 (4)使用 reload 命令重新启动路由器后看到路由器已经成功恢复了启动配置文件,如图 322 所示。 图 322
项目实施
为了应对当前路由器密码丢失的情况,你计划选择在下班后对路由器的密码进行恢复。 (1)关闭路由器的电源开关,然后重新打开。 (2)在路由器启动过程的 60 秒内按终端键盘上的 Ctrl+Break 键,使路由器进入监控模式。 (3)在 rommon 1> 提示符后键入 confreg 0x2142。修改配置寄存器值为 0x2142,让路由器 下次启动时忽略启动配置文件。 (4)在 rommon 2> 提示符后键入 reset。路由器随后将重新启动。 (5)输入 no 跳过初始化配置模式,进入一般用户模式。(6)在 Router> 提示符后键入 enable 进入特权模式。 (7) 输入 copy startupconfig runningconfig 将启动配置文件复制到 RAM 里作为运行配置文件。 (8)输入 configure terminal 进入全局配置模式。 (9)输入 enable secret password 更改使能加密口令。 (10)输入 configregister 0x2102 将配置寄存器值改回正常值。 (11)按 Ctrl+Z 键退回到特权模式。 (12)输入 copy runningconfig startupconfig 保存更改。
