理論2-3 管理配置Cisco IOS設備課件

管理配置CiscoIOS設備路由器的組成及功能路由器的組成及功能：CPU–執(zhí)行操作系統(tǒng)的指令隨機訪問存儲器(RAM)–RAM中內容斷電丟失運行操作系統(tǒng):運行配置文件:IP路由表:ARP緩存:數(shù)據(jù)包緩存區(qū):只讀存儲器(ROM)–保存開機自檢軟件.，存儲路由器的啟動引導程序bootstrap指令基本的自檢軟件迷你版IOS.非易失RAM(NVRAM)–存儲啟動配置.這包括IP地址，路由協(xié)議，主機名閃存–運行操作系統(tǒng)(CiscoIOS)Interfaces–擁有多種物理接口用于連接網(wǎng)絡接口類型舉例:路由器組件路由器組件路由器軟件InternetworkOperatingSystem（IOS）Cisco路由器的啟動步驟路由器啟動的主要步驟：檢測路由器硬件Power-OnSelfTest(POST)執(zhí)行引導裝入程序定位加載CiscoIOS軟件定位IOS加載IOS定位加載啟動配置文件或進入配置模式啟動程序搜尋配置文件

CiscoIOS簡介CiscoInternetworkOperatingSystem(IOS)就是為Cisco設備配備的系統(tǒng)軟件。它是Cisco的一項核心技術，應用于路由器、局域網(wǎng)交換機、小型無線接入點、具有幾十個接口的大型路由器以及許多其它設備。CiscoIOS可為設備提供下列網(wǎng)絡服務：基本的路由和交換功能安全可靠地訪問網(wǎng)絡資源網(wǎng)絡可伸縮性Cisco設備管理人們可以通過多種方法訪問CLI環(huán)境。最常用的方法有：控制臺Telnet或SSH輔助端口CiscoIOS模式主要的模式有（按照從上到下的順序排列）：用戶執(zhí)行模式特權執(zhí)行模式全局配置模式其它特定配置模式CiscoIOS模式用戶執(zhí)行模式由采用

>符號結尾的CLI提示符標識。下例所示的提示符即包含>符號：特權執(zhí)行模式由采用#符號結尾的提示符標識。CiscoIOS模式enable和disable命令用于使CLI在用戶執(zhí)行模式和特權執(zhí)行模式間轉換?；綢OS命令結構每個IOS命令都具有特定的格式或語法，并在相應的提示符下執(zhí)行。常規(guī)命令語法為命令后接相應的關鍵字和參數(shù)。某些命令包含一個關鍵字和參數(shù)子集，此子集可提供額外功能。使用CLI幫助IOS提供多種形式的幫助：-對上下文敏感的幫助-命令語法檢查-熱鍵和快捷方式使用CLI幫助錯誤消息分為三類：-命令不明確-命令不完整-命令不正確使用CLI幫助使用CLI幫助IOSCLI提供熱鍵和快捷方式，以便配置、監(jiān)控和排除故障。使用CLI幫助下列快捷方式值得特別說明：-Tab—填寫命令或關鍵字的剩下部分。

-Ctrl-R—重新顯示一行

-Ctrl-Z—退出配置模式并返回到執(zhí)行模式

-向下箭頭—用于在前面用過的命令的列表中向前滾動

-向上箭頭—用于在前面用過的命令的列表中向后滾動

-Ctrl-Shift-6—用于中斷諸如ping或traceroute之類的IOS進程

-Ctrl-C—放棄當前命令并退出配置模式IOS“檢查”命令若要驗證網(wǎng)絡是否正常工作并排除故障，必須檢查設備的工作情況。show是基本的檢查命令?？墒褂胹how?命令來獲得可在當前上下文或模式下使用的命令的列表。IOS配置模式全局配置模式從全局配置模式可進入多種不同的配置模式。其中的每種模式可以用于配置IOS設備的特定部分或特定功能。下表列出了這些模式中的一小部分：-接口模式—用于配置一個網(wǎng)絡接口（Fa0/0、S0/0/0等）線路模式—用于配置一條線路（實際線路或虛擬線路）（例如控制臺、AUX或

VTY等等）-路由器模式—用于配置一個路由協(xié)議的參數(shù)配置設備名字CLI提示符中會使用主機名。如果未明確配置主機名，將會在網(wǎng)絡配置和維護時造成多大的混亂。有關命名約定的一些方針對名稱提出下列要求：-以字母開頭-不包含空格-以字母或數(shù)字結尾-僅由字母、數(shù)字和短劃線組成-長度不超過63個字符Router#configure

terminalRouter(config)#hostnameAtlantaHQAtlantaHQ(config)#nohostname

(nohostname命令使該路由器恢復到其默認主機名"Router"。)限制設備訪問——配置口令和使用標語使用機柜和上鎖的機架限制人員實際接觸網(wǎng)絡設備是不錯的做法

必須從本地為每臺設備配置口令以限制訪問。

在此介紹的口令有：-控制臺口令—用于限制人員通過控制臺連接訪問設備

-使能口令—用于限制人員訪問特權執(zhí)行模式

-使能加密口令—經(jīng)加密，用于限制人員訪問特權執(zhí)行模式

-VTY口令—用于限制人員通過Telnet訪問設備限制設備訪問——配置口令和使用標語Switch(config)#lineconsole0Switch(config-line)#passwordpasswordSwitch(config-line)#login限制設備訪問——配置口令和使用標語請盡可能使用enablesecret命令，而不要使用較老版本的enablepassword命令。enablesecret命令可提供更強的安全性，因為使用此命令設置的口令會被加密。enablepassword命令僅在尚未使用enablesecret命令設置口令時才能使用。Router(config)#enablepasswordpasswordRouter(config)#enablesecretpasswordRouter(config)#linevty04Router(config-line)#passwordpasswordRouter(config-line)#login限制設備訪問——配置口令和使用標語限制設備訪問——配置口令和使用標語加密顯示口令它可在用戶配置口令后使口令加密顯示。servicepassword-encryption命令對所有未加密的口令進行弱加密。當通過介質發(fā)送口令時，此加密手段不適用，它僅適用于配置文件中的口令。此命令的用途在于防止未經(jīng)授權的人員查看配置文件中的口令。Router(config)#servicepassword-encryption

限制設備訪問——配置口令和使用標語IOS提供多種類型的標語。當日消息(MOTD)就是其中常用的一種。它常用于發(fā)布法律通知，因為它會向連接的所有終端顯示。一旦命令執(zhí)行完畢，系統(tǒng)將向之后訪問設備的所有用戶顯示該標語，直到該標語被刪除為止。Switch(config)#bannermotd#message#更改該配置后，可考慮選擇下列后續(xù)步驟：-使更改后的配置成為新的啟動配置。-使設備恢復為其原始配置。-刪除設備中的所有配置。通過將運行配置保存到NVRAM內的啟動配置文件中，－－－

Switch#copyrunning-configstartup-config使設備還原到配置前的狀態(tài)

Router#reloadSystemconfigurationhasbeenmodified.Save?[yes/no]:nProceedwithreload?[confirm]（見到此顯示敲回車鍵即可）刪除所有配置Router#erasestartup-config或者eraseNVRAM:startup-configErasingthenvramwillremoveallconfigurationfiles!Continue?[confirm]（見到此顯示敲回車鍵即可）管理配置文件可以為路由器接口配置許多參數(shù)。我們將討論最基本的接口命令，這些命令在圖中總結列出。配置接口配置路由器以太網(wǎng)接口Router(config)#interfaceFastEthernet0/0

Router(config-if)#ipaddressip_addressnetmaskRouter(config-if)#noshutdown

（接口默認被禁用。要啟用接口，請在接口配置模式下輸入noshutdown命令。）配置接口配置路由器串行接口Router(config)#interfaceSerial0/0/0

Router(config-if)#ipaddressip_addressnetmaskRouter(config-if)#clockrate56000

（在直接互連的串行鏈路上，例如在我們的實驗環(huán)境中，其中一端必須作為DCE提供時鐘信號。）Router(config-if)#noshutdown配置接口一旦將描述應用到接口后，請使用showinterfaces命令來確認描述正確。要創(chuàng)建描述，請使用description命令。本例所示為創(chuàng)建快速以太網(wǎng)接口描述的命令：HQ-switch1#configureterminalHQ-switch1(config)#interfacefa0/0HQ-switch1(config-if)#descriptionConnectstomainswitchinBuildingA配置接口查看接口的狀態(tài)通過在特權模式下showinterfacefa0/0，查看接口的狀態(tài)。CDP思科發(fā)現(xiàn)協(xié)議CDP(CiscoDiscoveryProtocol)

CDP是一種Cisco是有的協(xié)議，提供了直接連接的Cisco交換機、路由器、以及其他Cisco設備的信息摘要。物理介質必須支持SNAP的封裝。CDP(CiscoDiscoveryProtocol)

CDP運行在CiscoIOS設備上

CDP信息包含：

-Deviceidentifiers-Addresslist-Portidentifier-Capabilitieslist-Platform配置CDPRouterA#showcdp?entryInformationforspecificneighborentryinterfaceCDPinterfacestatusandconfigurationneighborsCDPneighborentriestrafficCDPstatistics…RouterA(config)#cdprun!全局下開啟cdpRouterA(config)#interfaceserial0/0/0RouterA(config-if)#cdpenable!接口下開啟cdpCiscoSDM(Cisco安全設備管理)CiscoSDM(SecurityDeviceManger)

Cisco基于Web-based的設備管理工具。MenuBarToolbarRouterInformationConfigurationOverview配置路由器通過SDM管理的步驟在路由器連接PC的接口上配置IP地址，測試PC到路由器的連通性在路由器上開啟HTTP或者HTTPS的服務

Router(config)#iphttpserverRouter(config)#iphttpauthenticationlocal創(chuàng)建一個15等級的用戶

Router(config)#usernamejeffprivilege15passwordjeff配置TELNET/SSH啟用認證本地數(shù)據(jù)庫Router(config)#linevty04Router(config-line)#loginlocalIOS備份、升級IOS備份、升級方法及模式方法：TFTPFTPXmodem模式：rommon>>(boot)>switch:#IOS備份-TFTP的方式把IOS備份到TFTP服務器前的準備工作:確認可以訪問TFTP服務器。確認TFTP服務器是否有足夠空間來保存IOS文件。確定文件的名稱和路徑。F0/0T（1）驗證閃存信息,使用showflash命令,如下:Router#showflashSystemflashdirectory:Name/status18121000c2500-js-l.112-18.bin把IOS備份到TFTP服務器上,特權模式下使用copyflashtftp命令,記住備份之前最好對服務器ping下看是否是通的!!!!!IOS備份-FTP的方式F0/0把IOS備份到FTP服務器前的準備工作:確認可以訪問FTP服務器。確認FTP服務器是否有足夠空間來保存IOS文件。確定文件的名稱和路徑。（2）驗證閃存信息,使用showflash命令,如下:Router#showflashSystemflashdirectory:Name/status18121000c2500-js-l.112-18.bin路由器上的配置：

Router(config)#ip<用戶名>Router(config)#ip<密碼>把IOS備份到TFTP服務器上,特權模式下使用copyflashftp命令,記住備份之前最好對服務器ping下看是否是通的!!!!!IOS升級步驟步驟1、選擇合適的IOS映像：查看路由器的可用Flash空間和Memory空間根據(jù)Flash和Memory的大小選擇合適的IOS步驟2、選擇升級的模式及方法步驟3、升級IOSF0/0T（1）F0/0（2）Router#copytftp:flash:Router#copyftp:flash:T需要升級IOS的路由器F0/0F0/0在T上的配置：Router(config)#tftp-server<IOS文件名>//將路由器配置成TFTP服務器.*在需要升級IOS的路由器上只要將IOS拷貝過來即完成：Copytftp:flash:，再指定TFTPServer的IP地址與文件名。（3）路由器、交換機密碼恢復Cisco路由器啟動寄存器值路由器密碼恢復步驟如果你把密碼忘記了怎么辦?之前提到過,位6可以忽略掉NVRAM里的儲存的啟動配置文件的內容,默認是0x2102,所以我們把值修改成0x2142,就可以達到忽略NVRAM這個效果.下面是密碼恢復的主要幾個步驟:在啟動路由器的時候使用“Ctrl＋Break”中斷啟動。把Configurationregister的值設置成0x2142。重新啟動。進入特權模式。把startup-config文件復制到running-config文件中。修改密碼。把configurationregister的值還原為0x2102。保存配置。重新啟動。交換機密碼恢復步驟建立PC到路由器的物理連接，用RS232CONSOLE線（隨交換機帶）連接路