- 交换机/路由器及其配置
- 石硕 邹月主编
- 2803字
- 2020-08-27 09:41:25
第1章 PCisco IOS的基本应用
本章提要
从绪论的描述中,我们已经知道企业网的重要设备是交换机和路由器。作为网络管理员或工程师的一项重要工作就是要会配置它们使其按照要求工作。这里的配置是指使用交换机和路由器的系统软件(操作系统)提供的命令行界面(或图形界面、Web界面)输入相关的命令或参数的操作。不同厂家的设备其系统软件不同,而作为主流的Cisco交换机和路由器的系统软件则名为Cisco IOS(Cisco Internetwork Operating System,思科网络操作系统)。Cisco绝大部分系列的交换机和路由器都使用Cisco IOS,个别系列使用SET命令集。
交换机和路由器的系统软件固化在其ROM和Flash ROM中,也包括RAM和CPU等组成部分,故也可把它们视为专用的计算机。但是它们本身不带输入/输出设备,如显示器和键盘等,这就需要通过通用计算机与它们建立连接,登录访问其操作系统。利用计算机的键盘输入系统命令,利用计算机的显示器显示其命令和信息,可以看成是把计算机的显示器和键盘“借”给交换机或路由器。交换机或路由器与通用计算机硬件建立连接的操作称为搭建配置环境。
【学习目标】
(1)学会交换机和路由器Console配置环境的搭建;
(2)学会通过Telnet登录、访问路由器IOS;
(3)学会用Cisco IOS CLI命令保存、查看启动和运行的配置文件。
1.1 交换机和路由器配置环境的搭建
下面介绍交换机配置环境的搭建,路由器的配置与搭建与之完全类似。
第一次配置交换机时,需要用交换机产品配备的Console线(专门用来配置交换机或路由器的连接用配置电缆)把计算机的串口和交换机的Console口(控制台端口,又称配置口,是专门用于配置管理交换机的接口)连接起来,如图1-1所示,然后在计算机上运行“超级终端”程序,进行简单的设置后即可登录交换机进行配置。
图1-1 搭建配置环境
此外,通过网络在计算机上使用Telnet/SSH、浏览器、专用网管软件、MODEM拨号方式也可连接登录交换机,后面会进行部分介绍。
任务1-1 通过Console口登录配置交换机,浏览启动信息
【主要设备】
Cisco 3550交换机1台、带超级终端程序的Windows计算机1台、Console线1条。
【网络拓扑】
如图1-1所示,用Console电缆把计算机的某个串口与交换机的Console口连接起来。
【操作步骤】
1.在Windows中运行并设置超级终端
(1)执行“开始”→“程序”→“附件”→“通讯”→“超级终端”命令,弹出如图1-2所示的对话框。
图1-2 “连接说明”对话框
(2)为连接任意选取图标并输入名称后单击“确定”按钮,弹出如图1-3所示的对话框,根据Console线实际所连的计算机串口号选择连接时使用的端口,单击“确定”按钮。
图1-3 “连接到”对话框
(3)在弹出的对话框中设置端口参数为每秒位数9600、8位数据位、1位停止位、无校验和无流控,如图1-4所示。单击“还原为默认值”按钮,出现的即是应该设置的正确数值,然后单击“确定”按钮。
图1-4 设置端口参数
2.为交换机上电
上电开启交换机,此时交换机开始载入操作系统,Cisco交换机可以从载入界面上看到诸如IOS版本号、交换机型号、内存大小及其他软/硬件信息。下面以Cisco 2960-24TT交换机的启动过程为例,介绍其界面信息,具体信息如下:
C2960 Boot Loader (C2960-HBOOT-M) Version 12.2(25)SEE2, RELEASE SOFTWARE(fc1)cisco WS-C2960-24TT-L(PowerPC405) processor(revision B0) with 61440K/4088K bytes of memeory.2960-24TT-L starting... Base ethernet MAC Address: 00:1a:6d:c3:d7:80 //交换机以太网MAC地址 Xmodem file system is available. The password-recovery mechanism is enabled. Initializing Flash... //闪存初始化 flashfs[0]: 600 files, 19 directories flashfs[0]: 0 orphaned files, 0 orphaned direct flashfs[0]: Total bytes: 32514048 flashfs[0]: Bytes used: 7712256 flashfs[0]: Bytes available: 24801792 flashfs[0]: flashfs fsck took 10 seconds. ...done Initializing Flash. //闪存初始化完成 Boot Sector Filesystem (bs) installed, fsid: 3 done. Parameter Block Filesystem (pb:) installed, fsid: 4 Loading "flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz. 122-25.SEE2.bin"... //载入IOS ################################################################# ################################################################################################################################## ################################################################# ##################################[OK] File"flash:c2960-lanbase-mz.122-25.SEE2/c2960-lanbase-mz.122-25. SEE2.bin" uncompressed and installed, entry point: 0x3000 executing... //解压、安装完成,执行IOS Restricted Rights Legend //版权信息 Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2 (25)SEE2, RELE ASE SOFTWARE (fc1) Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Fri 28-Jul-06 04:33 by yenanh Image text-base: 0x00003000, data-base: 0x00AA2F34 Initializing flashfs... flashfs[1]: 600 files, 19 directories flashfs[1]: 0 orphaned files, 0 orphaned directories flashfs[1]: Total bytes: 32514048 flashfs[1]: Bytes used: 7712256 flashfs[1]: Bytes available: 24801792 flashfs[1]: flashfs fsck took 1 seconds. flashfs[1]: Initialization complete....done Initializing flashfs. POST: CPU MIC register Tests : Begin //CPU的有关测试,以下是关于接口芯片内存、环回测试等信息,均需测试通过 POST: CPU MIC register Tests : End, Status Passed POST: PortASIC Memory Tests : Begin POST: PortASIC Memory Tests : End, Status Passed POST: CPU MIC PortASIC interface Loopback Tests : Begin POST: CPU MIC PortASIC interface Loopback Tests : End, Status Passed POST: PortASIC RingLoopback Tests : Begin POST: PortASIC RingLoopback Tests : End, Status Passed POST: PortASIC CAM Subsystem Tests : Begin POST: PortASIC CAM Subsystem Tests : End, Status Passed POST: PortASIC Port Loopback Tests : Begin POST: PortASIC Port Loopback Tests : End, Status Passed Waiting for Port download...Complete //以下为端口信息 cisco WS-C2960-24TT-L(PowerPC405) processor(revision B0) with 61440K/4088K bytes of memory. Processor board ID FOC1049ZCJ6 Last reset from power-on 1 Virtual Ethernet interface 24 FastEthernet interfaces 2 Gigabit Ethernet interfaces The password-recovery mechanism is enabled. 64K bytes of flash-simulated non-volatile c //以下为基本MAC地址、各部件编号、注册号、版本号等 Base ethernet MAC Address : 00E0.F948.34E3 Motherboard assembly number : 73-9832-06 Power supply part number : 341-0097-02 Motherboard serial number : FOC103248MJ Power supply serial number : DCA102133JA Model revision number : B0 Motherboard revision number : C0 Model number : WS-C2960-24TT System serial number : FOC1033Z1EY Top Assembly Part Number : 800-26671-02 Top Assembly Revision Number : B0 Version ID : V02 CLEI Code Number : COM3K00BRA Hardware Board Revision Number : 0x01 Switch Ports Model SW Version SW Image ------ ----- ----- ---------- ---------- * 1 26 WS-C2960-24TT-L 12.2(25)SEE2 C2960-LANBASE-M --- System Configuration Dialog --- //若是首次启动或者没有保存过配置文件,会出现此提示 Continue with configuration dialog? [yes/no]: //输入n并按“Enter”键,系统最后出现提示符Switch> Press RETURN to get started 00:00:39: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state t o down 00:00:39: %SPANTREE-5-EXTENDED_SYSID: Extended SysId enabled for type vlan 00:00:41: %SYS-5-CONFIG_I: Configured from memory by console 00:00:41: %SYS-5-RESTART: System restarted -- Cisco IOS Software, C2960 Software (C2960-LANBASE-M), Version 12.2(25)SEE2, RELE ASE SOFTWARE (fc1) Copyright(c) 1986-2006 by Cisco Systems, Inc. Compiled Fri 28-Jul-06 04:33 by yenanh Switch>
1.2 CLI命令行接口
使用IOS提供的命令来配置管理交换机的界面称为Cisco IOS的CLI(Command Line Interface,命令行接口),CLI是配置Cisco交换机和路由器的主要方式。
Cisco IOS还内置了Web,用户使用Web浏览器也能登录交换机,实现部分配置管理功能,Web界面友好直观。但要实现全部配置管理功能,则必须使用CLI来实现。
1.2.1 CLI命令模式
不同的命令需要在不同的命令模式下才能执行,Cisco IOS常用的6种命令模式如下:
普通用户(User EXEC)模式
特权执行(Privileged EXEC)模式
全局配置(Global Configuration)模式
接口配置(Interface Configuration)模式
虚拟局域网参数配置(VLAN Database)模式
终端线路配置(Line Configuration)模式
在不同的模式下,CLI界面的提示符不同。如表1.1所示的内容列出了该6种命令模式的用途、提示符、访问方法和退出方法。
表1.1 命令模式摘要
1.2.2 命令模式的使用
CLI之所以采用多种命令模式是为了保护系统的安全。命令行采用分级保护方式,防止未经授权非法侵入。所有命令会被分组,每组分属不同的命令模式,某个命令模式下只能执行所辖的命令。当然,有的命令也可能分属在多个模式下。
各命令模式之间可以切换,如在普通用户模式提示符下键入enable,就可进入特权执行模式。特权执行模式是进入其他用户模式的“关口”,欲进入其他用户模式,必须先进入特权执行模式。CLI提供进入特权执行模式的口令保护。
1.普通用户模式
路由器启动后直接进入该模式,该模式只包含少数几条命令,用于查看交换机或路由器的简单运行状态和统计信息。
2.特权执行模式
该模式有口令保护,用户进入该模式后可查看交换机或路由器的全部运行状态和统计信息,并可进行文件管理和系统管理。
3.全局配置模式
在该模式下可配置交换机或路由器的全局参数,如主机名、密码、路由协议等。在特权执行模式下键入命令configure terminal,即可进入该模式。
4.接口配置模式
该模式可对交换机或路由器的各种端口进行配置,如配置IP地址、封装网络协议等。在全局配置模式下键入命令interface interface-type,即可进入该模式,其中interface-type为具体的端口名称,如ethernet 1、vlan 1等。
5.虚拟局域网配置模式
在该模式下可对交换式网络进行虚拟局域网的划分、配置。在特权执行模式下键入命令vlan database,即可进入该模式。
6.终端线路配置模式
在该模式下可为使用终端仿真程序和超级终端访问的交换机或路由器设置参数,如设置超级终端登录密码或配置允许通过Telnet登录交换机或路由器等。在全局配置模式下键入命令line vty first-line-number last-line-number,即可进入该模式配置Telnet登录参数。其中,first-line-number最小可取0;last-line-number可取1~15|1~4,交换机最大可取15,路由器最大可取4。数字代表计算机与交换机或路由器可以同时存在的Telnet连接进程编号。
1.2.3 命令模式的约定
为便于表述和阅读对命令模式进行如下约定。
1.对命令行书写格式的约定
ip nat pool name start-ip end-ip { netmask netmask | prefix-length prefix-length } [ type { rotary } ] //此为一定义路由器地址池的命令行
以此为例对书写格式约定如下:
✧ 正体书写的字符串为命令关键字;
✧ 斜体书写的字符串为参数名,需要用具体的参数值替换;
✧ 方括号“[ ]”中的命令或参数为可选;
✧ 竖线“|”两边的命令或参数选择其一;
✧ 花括号“{ }”中的命令或参数为必选;
✧ 命令行之后的双斜杠“//”及其后面的文字,是对该行命令的注释,而“!”是Cisco IOS命令行界面显示的注释标记。
与命令书写格式对应写出一行实际的命令如下:
ip nat pool sss 192.1.1.1192.1.1.254 netmask 255.255.255.0 type rotary
其中,ip nat pool为命令关键字;netmask为必选其一的命令关键字;sss、192.1.1.1、192.1.1.254和255.255.255.0是参数值,对应name、start-ip、end-ip、netmask;type是
可选的关键字,但一旦选取,rotary就必须一同使用。
有时为了简明,命令行格式中也用斜体中文字表示参数名,例如:
ip nat pool地址池名称 开始地址 结束地址netmask子网掩码
2.其他约定
按照英文原意,交换机/路由器的全部端口或接口统称Ports,具体的某个接口称为Interface。为了不易混淆,本书把“端口”与“接口”这两个术语都称为交换机或路由器的物理或逻辑接口(Interface);而把“端口”这个术语称为TCP或UDP协议的端口号(Port)。
本书所有配置任务可在实际的交换机/路由器上完成,其中绝大部分能在模拟软件Boson 6.0上实现(Boson 6.0版模拟的是CCNP考试涉及的命令,有部分Cisco IOS命令没有模拟)。Boson模拟软件的使用参见第13章。
1.2.4 命令帮助系统
初学Cisco IOS时会觉得命令复杂,不好记忆,但可以通过其内置的命令帮助系统来提高学习效率。
1.“?”查询
在任意模式下,Cisco IOS都可使用“?”来查询命令字符组成、命令格式及其用法。
“Switch>?”可查看某交换机普通用户模式下所有可用的命令,屏幕显示全部命令的列表,如下所示:
Switch>? access-enable Create a temporary Access-List entry connect Open a termlinal connection enadle Turn On privileged commands exit Exit from the EXEC help Description of the interactive help system lock Lock the terminal logout Exit from the EXEC ping send echo messages rcommand Run command on remote switch show Show running system information systat Display information about terminal lines telnet Open a telnet connection traceroute Trace route to destination tunnel Open a tunnel connection
“Switch> s?”可显示交换机普通模式下所有以s开头的命令(注意“?”与“s”间无空格),如下所示:
Switch>s? show systat
“Switch> show ?”可显示普通用户模式下show命令后可跟的参数(注意“?”与前面的字符间有空格),如下所示:
Switch>show ? history Display the session command history ip Display IP configuration version System hardware and software status interfaces Interface status and configuration mac-address-table MAC forwarding table terminal Display console/RS-232 port configuration vlan VTP VLAN status vtp VTP information flash display information about flash:file system
“Switch# show ?”可显示特权执行模式下show命令后可跟的参数,如下所示:
Switcn#show ? cdp cdp information history Display the session command history ip Display IP configuration version System hardware and software status interfaces Interface status and configuration mac-address-table MAC forwarding table running-config Show current operating configuration sparning-tree Sparnning tree subsystem terminal Display console/RS-232 port configuration stantup-config Contents of startup configuration vlan VTP VLAN Status vtp VTP information flash display information about flash:file systerm Switcho show ? cdp cdp information history Display the session command history ip Display IP configur ation version System hardware and software status interfaces Interface status and configuration mac-address-table MAC forwarding table running-config Show current operating configuration spamning-tree Spanning tree subsystem terminal Display console/RS-232 port configuration startup-config Contents of startup configuration vlan VTP VLAN status vtp VTP information flash display information about flash: file system
还可继续使用“?”来查看命令用法的细节,如下所示:
Switch#show interfaces ? fastethernet FastEthernet IEEE 802.3 description Show interface description status Show interface line status switchport Show interface switchport information trunk show interface trunk information vlan Catalyst Vlans <cr>
继续使用“? ”查看show interfaces fastethernet的格式,如下所示:
Switch#show interfaces fastethernet ? <0>/<1-12> Interface Number <cr>
从上可知,格式应为show interfaces fastethernet 0/1(或0/2、0/3…0/12),是查看本交换机的12个快速以太网接口fastethernet 0/1~fastethernet 0/12状态的命令。
键入“show interfaces fastethernet 0/2”命令,CLI界面显示该接口的状态信息如下所示:
Switch#show interfaces fastethernet 0/2 FastEthernet0/2 is down,line protocol is down Hardware is Fast Ethernet, address is 000C.7266.6924 (bia 000C. 7266.6924) MTU 1500 bytes,BW 10000 Kbit,DLY 1000 usec, reliability 255/255, txload 1/255, rwload 1/255 Auto-duplex,Auto-speed Encapsulation ARPA,loopback not set ARP type:ARPA,ARP Timeout 04:00:00 Last input 02:29:44, output never, output hang never Last clearing of "show interface" counters never Input queue:0l/75/0/0(size/max/drops/flushes);Total output drops:0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 269 packets input, 71059 bytes, 0 no buffer Received 6 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 7290 packets output, 429075 bytes, 0 underruns 0 output errors, 3 interface resets 0 output buffer failures, 0 output buffers swapped out
2.命令的简化与快速输入
Cisco IOS还提供命令的简化与快速输入支持,进一步方便用户,提高配置效率。
例如,进入特权执行模式的命令为enable,可简化输入ena、en,但不能只输入e。
Switch>e % Ambiguous command: "e"
系统提示e命令引起歧义,可输入“e?”进行查询:
Switch>e ? enable exit
可见e开头的命令有两个,只输入e系统则不能识别。故在简化输入命令时,简化的程度以能够区分开不同的命令为度。
命令及其后面带的参数都可以简化输入,例如,查看交换机以太网接口状态的命令show interfaces fastethernet 0/2,可以简化为sh int f 0/2。
命令简化后,能够加快输入的速度,但字面意思不及原来明白,可读性会变差。为了既能减少命令字符数键入,又能使命令完整显示,IOS提供了Tab键来自动补齐省略的命令字符。例如,只键入sh int f 0/2而要屏幕完整显示show interfaces fastethernet 0/2,可按如下步骤来实现:
键入sh→按Tab键→按Space键→输入int→按Tab键→按Space键→输入f→按Tab键→按Space键→输入0/2
另外,按上、下方向键能翻出使用过的命令行。
1.3 配置交换机与路由器的名称和密码
初步了解Cisco IOS和CLI后,下面简单完成两个任务,任务1-2是配置交换机主机名称和特权执行密码;任务1-3是配置路由器的Telnet登录,包括配置登录的密码。在讲述交换机配置环境的搭建时,提到了可以通过Telnet从网络登录进行配置,由于交换机的管理IP地址要用到VLAN的概念,所以其Telnet登录配置在第3章中进行介绍。
交换机、路由器的密码包括登录交换机或路由器后进入特权执行模式的密码(使能密码和使能加密密码),以及从Console口登录时的登录密码,用Telnet登录的Telnet登录密码等。
除了使能加密密码是以密文形式保存在配置文件Running-config和Startup-config以外,其余密码均是以明文(可阅读的文本)保存的,进入特权执行模式时都能看到。
任务1-2 配置Cisco 3550交换机配置名称和特权执行密码
【主要设备】
Cisco 3550交换机1台、带超级终端程序的Windows计算机1台、Console线1条。
【网络拓扑】
如图1-1所示,用Console电缆把计算机的某个串口与交换机的Console口连接起来。
【操作步骤】
1.配置交换机名称
在全局模式下使用命令hostname来配置主机名称(交换机名称),如下所示:
Switch>enable //进入特权执行模式 Switch# Switch# config terminal //进入全局配置模式 Switch(config)# //全局配置模式的提示符 Switch(config)# hostname catalyst //设置主机名catalyst,即把Switch //改名为catalyst catalyst(config)#
2.配置特权执行密码
特权执行密码有两种,分别使用命令password或secret来设置,前者设置的是非加密密码,后者设置的则是加密密码。查看配置信息时,前者设置的密码会显示原文(按原设置的字符显示),也称使能密码,而后者显示的是加密后的密文,又称使能加密密码。
catalyst(config)# enable password asDf#123 //设置非加密密码asDf#123, //用在版本Cisco IOS //10.2及以下 catalyst(config)# enable secret shi123A //设置加密密码shi123A, //用在版本Cisco IOS //10.3及以上
注意这两种密码都对大小写敏感,即要区分大小写。
此外,还可以分级设置密码。在普通用户和特权执行模式之间,Cisco IOS还支持把权限等级分为Level 1~Level 15,级别不同权限也不同(能够使用的命令不同),Level 15是最高的权限(特权执行)。对不同的等级设置密码,密码拥有者就会获得相应的权限。
2900系列及其以上交换机,对password密码和secret密码既可分级设置,也可直接设置为特权执行密码。
例如,命令catalyst(config)#enable secret level 10 shi2shuo,即设置Level 10级别的密码shi2shuo,从普通用户进入该级别的执行模式时应该键入“catalyst>enable 10”,键入密码shi2shuo后,进入Level 10执行模式,提示符与特权执行模式相同,即catalyst #。
而对于1900系列交换机,密码设置不支持直接设为特权执行密码,必须按等级1~15进行如下设置:
>en //1900系列默认的提示符是“>” # config terminal (config)# enable password level 1-15 shiuoh
命令行中1-15要选定一个1~15之间的具体数字,shiuoh为设定的密码。若选定15,则命令为(config)#enable password level 15 shiuoh,即设置的是使能密码shiuoh。
同样,命令行(config)#enable secret level 15 shiH01所设置的密码shiH01为最高级别的加密密码,即使能加密密码。
如果既设置了secret密码,又设置了password密码,则优先生效的是secret密码。
任务1-3 配置通过Telnet从网络访问Cisco路由器
【主要设备】
Cisco 3550交换机、2621路由器各1台,Windows计算机2台,RJ-45网线2条,Console线1条。
【网络拓扑】
如图1-5所示,用Console电缆把已安装超级终端程序的PC1的某个串口用Console电缆与路由器Router的Console口进行连接;用网线把路由器的某以太网接口(如f0/0)与交换机Switch的以太网接口(如f0/1)进行连接,另一条网线则把PC2的网卡和交换机的以太网接口(如f0/2)连接起来。
图1-5 配置Telnet登录路由器的网络拓扑
【操作步骤】
1.配置路由器接口IP地址
从PC1使用超级终端登录路由器,设置参数的方式与任务1-1中介绍的方式相同。
配置IP地址要在全局模式下使用interfaces命令进入路由器的接口配置模式后,再使用命令ip address进行,如下所示:
Router> enable Router# config t Router(config)# interfaces f 0/0 //进入接口配置模式 Router(config-if)# //接口配置模式的提示符 Router(config-if)# ip address 192.168.0.8255.255.255.0 //为该Fast Ethernet接口配置IP地址 Router(config-if)# no shutdown //启用该接口配置 Router(config-if)# exit //返回全局配置模式 Router(config)#
2.配置虚拟终端线路的登录权限,允许Telnet登录
Telnet是远程登录协议,又称终端仿真或虚拟终端程序,配置Cisco设备允许Telnet登录,需要设置Telnet登录密码;为安全考虑需要开启密码登录保护(默认开启),登录者输入Telnet密码后才能登录,配置如下所示:
Router(config)#line vty 0 4 //进入虚拟终端线路配置模式,允许同时 //存在的Telnet登录连接数为5个 Router (config-line)# //终端线路配置模式的提示符 Router (config-line)# password shi123 //设置Telnet登录密码shi123 Router (config-line)# login //开启登录密码保护,此处若输入 //no login则登录时无需输入密码 Router(config-line)#end //返回特权执行模式 Router#
路由器上的Telnet服务默认是开启的,故完成以上配置后即可从计算机Telnet登录路由器。
3.配置验证
把PC2的IP地址设为与路由器f0/0口在同一网段,然后在命令提示符下输入命令telnet 192.168.0.8,屏幕提示输入password,输入shi123后即可进入路由器的CLI界面。记下路由器f0/0的IP地址,以后配置路由器时,网管就可以不再到现场使用Console线连接超级终端的方式,而可以采用Telnet远程管理。
注意,该路由器上的其他任何接口,只要是开启的并配有IP地址,PC2都可验证该地址并进行登录。
4.配置对所有密码的加密
在Cisco IOS CLI中配置口令时,默认情况下,除了使能加密密码外,所有其他密码都以明文格式存储在startup-config和running-config中,如Telnet登录密码或控制台登录密码。为了安全,密码应该加密,且不能以明文格式存储。Cisco IOS命令service password-encryption即是用于对密码进行加密的命令。
当从全局配置模式下输入service password-encryption命令后,所有系统密码都将以加密形式存储。只要输入该命令,当前设置的所有密码都将转换为加密密码。
如果要取消以加密格式存储所有系统密码的要求,可在全局配置模式下输入命令no service password-encryption,取消密码加密不会将当前已加密的密码恢复为可阅读文本,但是此后所有新设置的密码将以明文格式存储。
1.4 配置文件的常规操作
交换机和路由器配置完后,由配置命令组成的命令文件存储在主内存(RAM)中,称为正运行的(活动的)配置文件。
1.4.1 配置文件的保存
IOS命令是解释执行的,所以配置后立即生效,不必重启系统。但如果掉电(断电或重启),主内存中的配置文件就会丢失,故需要保存在不会因掉电而丢失的地方。
Cisco产品是把配置文件保存在NVRAM(非易失性RAM)中,NVRAM中的内容不会因为掉电而丢失。将配置文件保存到NVRAM(把配置文件从主内存复制到NVROM中)的命令如下:
Switch# copy running-config startup-config
running-config是主内存中正在运行的配置文件,存储的是当前的配置命令,输入命令时,该文件动态地发生改变。startup-config是写入NVROM的配置文件,交换机或路由器重启时,配置文件startup-config从NVROM调入主内存,作为running-config,故startup-config称为启动配置文件。
1.4.2 配置文件的查看与清除
在特权执行模式下使用show命令来查看配置文件和其他配置信息。
1.查看NVRAM中的配置文件
Router# show config Router# show startup-config
这两个命令得到的结果是相同的,显示启动配置文件的内容。
2.查看RAM中的配置文件
Router# show running-config
显示当前运行的配置文件的内容。
3.查看Flash ROM中的文件信息
Cisco交换机和路由器的IOS存储在其快闪存储器中,可以使用如下命令:
Router# show flash
显示Cisco IOS文件名、Flash ROM所使用的空间和空闲的空间。
4.查看配置信息
在特权执行模式下可用show命令来查看路由器的配置信息。
show version:显示路由器的硬件配置,端口信息,软件版本,配置文件的名称、来源及引导程序来源。
show interface interface-id:显示端口及线路的协议状态、工作状态等。
show stacks:显示进程堆栈的使用情况,中断使用及系统本次重新启动的原因。
show buffers:提供缓冲区的统计信息。
show protocols:显示所有端口及协议状态(是Up还是Down,是否Enable)。
除了特别说明外,查看命令对交换机和路由器都适用,而Catalyst 1900除外。在Catalyst 1900中,对主内存配置文件running-config所进行的修改自动被复制到NVRAM中,故它没有提供copy running-config startup-config命令,也没有提供show startup-config命令,如要查看配置文件,可使用show running-config。
5.清除启动配置文件
特权执行模式下使用命令erase startup-config来清除启动配置文件
,而Catalyst 1900系列交换机使用命令delete nvram。
1.5 系统文件和配置文件的存储与运行
前面简单提到了Cisco交换机和路由器的配置文件和操作系统文件的存储情况,下面进一步讨论这些文件和其他系统文件的存储和运行情况。
1.5.1 文件的存储
Cisco交换机和路由器的系统文件有加电自检(Power-On Self-Test,POST)、启动程序(Bootstrap Program)和IOS;配置文件有启动配置文件和运行配置文件,这些文件存储在多个存储器中。
Cisco交换机和路由器使用的存储器有ROM、RAM、Flash ROM和NVRAM。
(1)ROM(只读存储器)。ROM存储加电自检、启动程序和IOS的一份副本(映像文件)。Cisco 4000系列以上的一些高端路由器可以升级ROM中的IOS。
(2)RAM(随机访问存储器)。IOS将RAM分成共享和主存两个区域,主要用来存储运行中的配置和与协议有关的IOS数据结构。
(3)Flash ROM(闪存)。Flash ROM用来存储IOS映像文件,以及备份启动配置文件。Flash ROM是可擦除内存,便于IOS升级。升级主要是对Flash ROM中的IOS映像文件进行更换。
(4)NVRAM(非易失性随机访问存储器)。NVRAM用来存储系统的启动配置文件。
路由器内存文件信息一览表1.2所示,该表反映了Cisco常用系列路由器的内存中IOS和配置文件的存储和运行情况,从表中可以看出不同系列路由器的一些差异。2500、2600、3600系列直接在闪存中运行IOS,所以在路由器运行期间,可能没有足够的内存空间升级IOS;在4000、7000系列中,IOS从闪存载入主RAM中运行,因此在路由器运行期间,闪存中能够升级IOS。
升级主要是通过TFTP服务器来进行的,关于TFTP服务器和升级环境将在后面的章节中介绍。
表1.2 路由器内存文件信息一览表
1.5.2 交换机和路由器的启动过程
(1)加电自检。ROM运行加电自检程序,检查路由器的处理器、接口、内存等硬件设备。
(2)执行引导程序查找并载入IOS。引导程序(Bootstrap)搜索IOS并载入主内存,路由器中的IOS可从Flash ROM中载入,或从ROM中载入,也可从TFTP服务器中载入,默认是从Flash ROM中载入。
(3)载入启动配置文件。IOS载入后接管系统控制权,开始查找并载入启动配置文件startup-config,该文件存储在NVRAM中。
(4)执行配置文件。把启动配置文件startup-config载入主内存成为运行的配置文件running-config,配置命令被系统执行,完成IOS初始化。
当在NVRAM找不到配置文件或配置文件非法时,提示用户选择进入初始设置模式或CLI。交换机和路由器的启动过程如图1-6所示。
图1-6 交换机和路由器的启动过程
1.5.3 绕过使能加密密码登录交换机
在设置密码控制对Cisco IOS CLI的访问之后,需要记住密码。如果遗忘了密码,Cisco提供了密码恢复机制以便于管理员仍能访问其设备。恢复密码需要实际接触设备不能远程进行。在已启用密码加密的情况下,不能实际恢复原来的密码,但是可以将密码重设为新值且不丢失已有的配置文件。
下面以Cisco 2900XL交换机为例,介绍如何绕过使能加密密码登录交换机获取配置文件并重设使能加密密码。路由器的密码恢复将在5.4节中进行介绍。
注意不同交换机系列的密码恢复方法可能不相同,应参阅相应产品手册,2960系列交换机的操作步骤如下:
(1)把安装了超级终端的PC连接到交换机Console接口。
(2)在超级终端中将线路速率设置为9600bit/s。
(3)关闭交换机电源并重新开启,在15s内,当System LED仍闪烁绿光时按下Mode按钮,一直按住Mode按钮,直到System LED短暂变成琥珀色,然后变成绿色常亮,此时松开Mode按钮。
(4)使用命令flash_init初始化闪存文件系统。
(5)使用命令load_helper加载所有helper文件。
(6)使用命令dir flash显示闪存内容。显示的交换机文件系统包括配置文件config. text(该配置文件与NVRAM中的启动配置文件startup-config一致),如下所示:
Directory of flash:/ 2 -rwx 1645810 Mar 011993 00:04:53 c2900XL-c3h2s-mz-120. 5.2-XU.bin 3 -rwx 105961 Apr 042000 00:29:33 c2900XL-diag-mz-120.5-XU 4 drwx 6720 Mar 011993 00:05:47 html 111-rwx 286 Jan 011970 00:00:24 env_vars 112-rwx 1080 Mar 011993 00:56:17 vlan.dat 5 -rwx 108 Mar 011993 00:03:31 info 113-rwx 108 Mar 011993 00:05:47 info.ver 114-rwx 1994 Mar 011993 06:11:47 config.text 3612672 bytes total (832000 bytes free)
(7)使用命令rename flash:config.text flash:config.text.original将配置文件重命名为config.text.original,该文件中包含密码定义。
(8)使用命令boot启动系统。因为启动配置文件config.text已经被改名,所以交换机加载不了此文件,系统提示是否要启动设置程序,在提示符下输入N,当系统提示是否继续配置对话时,输入N。
(9)在交换机提示符下,使用命令enable进入特权执行模式,已经不需口令。
(10)使用命令rename flash:config.text.original flash:config.text将配置文件改回原名称。
(11)使用命令copy flash:config.text system:running-config将配置文件复制到内存中。执行此命令后,控制台上的显示如下所示:
Destination filename [running-config]?
按“Enter”键响应确认提示,此时交换机将重新加载配置文件,除了恢复密码外,更重要的就是不要弄丢配置文件config.text,对于大型企业网络而言,核心交换机上的该配置文件命令可能有上千行,甚至更多,一旦丢失将会造成很大损失。
(12)使用全局模式命令enable secret password更改使能加密密码。
(13)使用特权执行命令show running-config查看其他密码,若是非加密密码,能看到密码字符,可继续使用;若是加密密码,则只有重新设置。
(14)使用命令copy running-config startup-config将运行配置写入启动配置文件。
(15)使用reload命令重启交换机。
思考与动手
1.如何查看、保存交换机和路由器的配置文件?
2.如何查看启动配置文件?
3.查看交换机和路由器的系统文件名称。
4.配置交换机和路由器的分级密码。
5.在任务1-3中,如果计算机的IP地址与路由器f0/0口的地址不在同一网段,还能否成功通过Telnet登录路由器?怎样做才能成功登录?