第 5 章 管理 Cisco 互連網路
Cisco 路由器元件
Cisco 路由器元件(續)
路由器的開機序列 路由器執行POST﹐測試硬體 開機區程式尋找並載入Cisco IOS軟體﹐預設是從快閃記憶體載入 IOS軟體尋找 NVRAM 中的startup-config (新型ISR路由器有一個預載的小型啟動組態檔) 如果啟動組態檔在 NVRAM 中, 就將該檔拷貝到 RAM 中, 成為running-config﹐然後執行該檔並開始運作。如果啟動組態檔不在 NVRAM 中, 就從所有的界面廣播媒介偵測訊號來偵測 TFTP 主機, 以尋找組態檔。如果失敗, 則路由器會啟動setup mode設定程序
組態暫存器 組態暫存器的解讀方式是從第15到第0位元 可用來復原密碼 預設是0x2102﹐以就是從Flash載入IOS﹐從NVRAM載入startup-config
組態暫存器開機欄位的意義
檢視目前的組態暫存器值 利用 show version 命令可檢視目前的組態暫存器內容 這是組態暫存器的值 - 預設值 是要告訴路由器到NVRAM中找尋開機序列 IOS 的版本資訊
修改組態暫存器的理由 強迫系統進入 ROM 監視模式 選擇開機來源與預設的開機檔案名稱 打開或關閉中斷功能 控制廣播位址 設定控制台終端機的傳輸速率 從 ROM 載入作業軟體 開啟從 TFTP 伺服器開機的功能
修改組態暫存器 利用config-register命令 reload後的輸出: 此值表示要從 ROM 的小型 IOS 開機。 對組態暫存器所作的任何修改會一直 到路由器重開機才會發生作用 利用config-register命令 reload後的輸出: 目前的值 下次開機的值 從ROM開機﹐所以主機名稱中含有boot
復原密碼的主要步驟 開機並執行中斷功能來插斷開機序列, 這會將路由器帶入 ROM 監視模式 在開機過程中壓下 Enter + Break, 就可進入監視模式 如果 IOS 已經損毀或遺失, 然後也沒有網路可用來找尋 TFTP 主機, 最後也無法從 ROM 載入迷你 IOS, 則路由器的預設就會進入 ROM 監視模式 改變組態暫存器的值, 將第 6 個位元打開 (所以值為 0 x 2142) 重載路由器 進入特權模式 拷貝啟動組態檔給運行組態檔 改變密碼 將組態暫存器重置為預設值 儲存路由器組態 重載路由器 (選擇性的)
插斷路由器的開機序列 使用 Ctrl + Break 來重開機並執行中斷功能:
修改組態暫存器 在Cisco ISR / 2600 系列的設定方式 在Cisco 2501的設定方式
重載路由器並進入特權模式 此時您需要重置 (reset) 路由器, 做法如下: 對於 ISR / 2600 系列路由器, 輸入 I (代表初始化, Initialize) 或 reset。 對於 2500 系列路由器, 輸入 I。 路由器會重載, 並詢問您是否要使用裝配模式 (因為沒有使用啟動組態檔)。 請回答不要進入裝配模式, 按下 Enter 鍵進入使用者模式, 然後輸入 enable 進入特權模式。
檢視與變更組態 現在您已經通過了需要輸入使用者模式與特權模式密碼的地方了。接下來請將啟動組態檔拷貝給運行組態檔: 這是目前在 RAM 中執行的組態, 而您正處於特權模式中, 這表示現在您可以檢視與變更組態。但您無法檢視 enable secret 的密碼設定, 因為它是經過加密的。 若要改變這個密碼, 請輸入: 您所要的密碼字串
重設組態暫存器並重載路由器 更改密碼完成之後, 請利用 config-register 命令將組態暫存器設回原來的預設值: 最後, 以 copy running-config startup-config 命令來儲存這個新的組態設定, 並重載路由器。
boot system 命令
boot system 命令(續)
備份與復原 Cisco IOS 在升級或復原 Cisco IOS 之前, 應該要拷貝既有的檔案到 TFTP 主機當作備份 確認您可以存取該網路伺服器 確定網路伺服器有足夠的空間可容納該映像 確認檔案名稱與路徑的要求
備份與復原 Cisco IOS(續) 如圖 5.1 所示﹐從電腦拷貝映像到路由器, 或從路由器備份映像到電腦之前, 要先確認幾件事: 必須在管理員的工作站上執行 TFTP 伺服軟體 路由器與工作站之間的乙太網路連線必須是交叉式纜線 工作站與路由器之乙太網路界面必須屬於同一個子網路 如果要備份路由器快閃記憶體中的映像, 則必須提供 IP 位址給 copy flash tftp 命令 如果要拷貝映像到快閃記憶體中, 則必須先確認快閃記憶體有足夠的空間可容納所要拷貝的檔案
確認快閃記憶體 show flash 命令可確認快閃記憶體的容量, 以及快閃記憶體中儲存的檔案 show version顯示快閃記憶體的容量, 以及正用來執行該路由器的檔案名稱 共64MB﹐目前只用到一半
備份 Cisco IOS 先確認與 TFTP 伺服器有良好的連通性:在路由器控制台的提示列 ping TFTP 裝置 使用 copy flash tftp 命令來拷貝 IOS 到 TFTP 伺服器
復原或升級 Cisco 路由器 IOS 利用 copy tftp flash 命令從 TFTP 伺服器下載檔案到快閃記憶體中
復原或升級 Cisco 路由器 IOS(續) 要先確定所要放入快閃記憶體的檔案確實在主機的預設 TFTP 目錄中﹐否則此命令會失敗 請小心使用這個命令, 如果檔案損毀了, 則需要從 ROM 監視模式來復原 IOS 如果正當您在載入新檔案時, 快閃記憶體沒有足夠的空間可同時容納新的與既存的檔案, 則路由器會要求在寫入新檔案至快閃記憶體之前, 先消除快閃記憶體的內容
Cisco IOS 檔案系統 Cisco IFS 讓您能以 Windows DOS 提示列的方式來使用檔案和目錄﹐包括 dir、copy、more、delete、erase、format、cd、pwd、mkdir、和 rmdir IFS 可讓您對所有檔案進行檢視和分類 - 包括位於遠端伺服器上的檔案 IFS 還讓您能在任何目錄下檢視各種目錄和檔案。此外, 您還可以在快閃記憶體或界面卡上建立子目錄 - 但這僅限於較新的平台 新的檔案系統介面是使用 URL 來決定檔案的位置。所以, 就像 URL 可以指定網站的位置一樣, 它現在也可以用來指示檔案是位於 Cisco 路由器、或甚至於遠端檔案伺服器的何處!只要在命令中輸入 URL 來指定檔案或目錄的位置即可
Cisco IOS 檔案系統命令 dir -檢視目錄中的檔案。輸入 dir, 按下 Enter, 根據預設, 您就會取得 flash:/ 目錄的內容輸出 copy -通常用來升級、復原、或備份 IOS more-檢視文字檔。您可以使用它來檢查組態檔或是備份的組態檔 show file -提供指定檔案或檔案系統的內容 delete -刪除一些東西﹐但是在某些類型的路由器上, 可能跟您想像的不一樣。因為即使它會破壞檔案, 不表示它會將所佔用的空間釋放出來。要真正釋放空間, 還必須使用 squeeze 命令 erase / format -當您在拷貝檔案的時候, 對於詢問是否要清除檔案系統的對話框, 請確定說「不」!您所使用的記憶體種類會決定是否能拒絕快閃磁碟 cd / pwd- cd 是用來改變目錄的命令。使用 pwd 命令則會列出工作中的目錄 mkdir / rmdir-mkdir 命令是建立目錄, rmdir 是用來刪除目錄
利用 Cisco IFS 來升級 IOS 確認預設的目錄 確認預設目錄 (flash:/) 的內容
利用 Cisco IFS 來升級 IOS(續) 檢視快閃記憶體中某個檔案的大小 (也可以使用 show flash) 在加入新的 IOS 檔案 (c1841-advipservicesk9-mz.124-12.bin) 之前, 因為 IOS 檔案很大 - 檔案長度超過 21 MB, 所以必須先將現有的 IOS 清除 我們可以使用 delete 命令更動快閃記憶體中的任何檔案, 但是除非重開機, 否則不會發生什麼嚴重的事情 (也就是說, 如果犯錯的話, 這時我們可能也不會發現)
利用 Cisco IFS 來升級 IOS (續)
利用 Cisco IFS 來升級 IOS (續)
利用 SDM 來管理快閃記憶體(一) 從畫面中可以看到 IP 是唯一可用的功能, 而 Firewall、VPN、IPS 和 NAC 都被打叉 讓我們來升級!
利用 SDM 來管理快閃記憶體(二) 下個畫面顯示如何開啟快閃的檔案管理。選擇 『File / File Management』
利用 SDM 來管理快閃記憶體(三) 此時, 畫面中出現了快閃中的所有檔案, 我們可以看到目前有的是「ipbase」的 IOS
利用 SDM 來管理快閃記憶體(四) 點選螢幕上方的 Load file from PC, 以加入新檔案。當我們嘗試載入新 IOS 時, 會收到下面的訊息:
利用 SDM 來管理快閃記憶體(五) 點選 OK, 嘗試刪除現有檔案, 然後會收到下面的訊息:
利用 SDM 來管理快閃記憶體(六) 選擇 yes, 然後再次檢視 File Management 視窗以確認檔案已經刪除
利用 SDM 來管理快閃記憶體(七) 接著再次選擇 Load file from PC, 檔案開始上傳到快閃記憶體
利用 SDM 來管理快閃記憶體(八) 終於成功!
利用 SDM 來管理快閃記憶體(九) 在重新開機後, 就可以看到這個新的 IOS 中, IP、Firewall、VPN、IPS 和 NAC 都可以使用了
確認目前的組態 確認 DRAM 中的組態: show running-config 檢查 NVRAM 中的組態: show startup-config
拷貝目前的組態給 NVRAM 對路由器的組態設定所進行的任何修改都會儲存在運行組態檔中, 如果修改運行組態後沒有輸入 copy run start 命令, 則路由器關機或重開機後這些異動就會失效 記住!對於CCNA認證的操作題﹐最後一定要輸入copy run start!!!
copy 命令的選項
拷貝組態給 TFTP 伺服器 可利用 copy running-config tftp 製作第 2 個備份到 TFTP 伺服器上 如果您已經設了主機名稱, 則這個命令會自動使用主機名稱加上副檔名-confg 來當作檔案的名稱
復原 Cisco 路由器組態 如果在您變更組態設定之前已先拷貝運行組態檔到 NVRAM 中 copy startup-config running-config 或config mem(舊版的 Cisco 命令) 如果您之前已拷貝路由器的組態到 TFTP 伺服器當作第 2 個備份 copy tftp running-config 或config net (舊版的 Cisco 命令) 組態檔是個 ASCII 文字檔, 這表示在您拷貝 TFTP 伺服器上的組態檔到路由器之前, 可以用任何的文字編輯器來修改它
copy tftp running-config 命令 最後這個命令變成了一個 URL - tftp://1.1.1.2/todd-config﹐ 這就是前面討論過的 Cisco IOS 檔案系統
清除組態 erase startup-config 命令會刪除路由器上 NVRAM 的內容, 之後如果在特權模式下輸入 reload, 並且回答說您不要儲存變動, 則路由器就會重開機並進入裝配模式
使用 Cisco IFS 來觀察 NVRAM
使用 Cisco IFS 來觀察 RAM
使用 Cisco IFS從TFTP拷貝檔案到RAM 舊命令 config net: Cisco IFS命令:
使用 SDM 來備份、復原和編輯路由器的組態(一) 在主功能表下選擇『File / Write to Startup Config』, 以便將組態備份到 NVRAM
使用 SDM 來備份、復原和編輯路由器的組態(二) 然後選擇『File / Save Running Config to PC』
使用 SDM 來備份、復原和編輯路由器的組態(三) 最後一個管理檔案的選項是使用在 Additional Tasks 下面的 Configuration Management 畫面
使用 SDM 來備份、復原和編輯路由器的組態(四) Config Editor 可以讓您改變運行組態, 但在此之前, 您必須先同意您可能會把路由器的組態搞亂, 而且您覺得沒有關係!
使用 SDM 來備份、復原和編輯路由器的組態(五) 最好是點選 Save Running Configuration 按鈕。然後您可以選擇從 RAM 或您的 PC 匯入檔案
使用 SDM 來備份、復原和編輯路由器的組態(六) 最後, 您可以從 Configuration Management 選擇 Reset to Factory Default
Cisco Discovery Protocol, CDP CDP是 Cisco 設計的專屬協定, 用來幫助管理員收集本地與遠端裝置的硬體與協定資訊 整體設定模式下的 cdp run 命令會開啟所有界面的 CDP CDP timer是從所有運作界面送出 CDP 封包的頻率 CDP holdtime是裝置對它從鄰居裝置接收之封包的保留時間 整體設定模式下的 no cdp run 命令會關閉所有界面的 CDP 若要關閉或開啟某個界面的 CDP, 則要在界面模式下使用 no cdp enable 與 cdp enable 命令
顯示 CDP 計時器與保留期限
收集鄰居資訊 show cdp neighbor 命令提供直接相連之裝置的相關資訊。CDP 封包無法穿過 Cisco 交換器, 所以您只能看到直接相連的裝置 此路由器直接連結了 4 部裝置, 其中有 2 條連結到 R1 路由器
show cdp neighbor 命令的輸出
show cdp neighbor detail IP位址 IOS版本
show cdp entry * 命令
show cdp entry *命令選項 show cdp entry * 會顯示與 show cdp neighbors detail 相同的資訊﹐不過有 2 個選項是 show cdp neighbors detail 所沒有的: show cdp entry * protocols 命令顯示每個直接相連之鄰居的 IP 位址 show cdp entry * version 命令顯示每個直接相連之鄰居的 IOS 版本
show cdp entry * protocols 命令
show cdp entry * version 命令
收集界面交通資訊 show cdp traffic 命令顯示界面交通的資訊, 包括收送 CDP 封包的數目與 CDP 的錯誤。
收集埠與界面資訊 show cdp interface 命令提供路由器界面或交換器埠上的 CDP 狀態 所有埠與界面的預設都是 cdp enable 在路由器上﹐show cdp interface 命令會顯示每個使用 CDP 的界面資訊, 包括線路上的封裝、每個界面的計時器與保留期限
利用 CDP 記錄網路拓樸(一) 以圖5.2為例﹐只使用 CDP 命令和 show running-config 命令, 來判斷路由器的類型、界面種類、和各個界面的 IP 位址 只能透過 Lab_A 路由器來記錄網路 所有遠端路由器會分配到各個網路位址範圍的下一個 IP 位址
利用 CDP 記錄網路拓樸(二)
利用 CDP 記錄網路拓樸(三) 首先﹐利用show running-config找出每個界面的IP位址
利用 CDP 記錄網路拓樸(四) 決定連接每個界面之另一端裝置的種類
利用 CDP 記錄網路拓樸(五) 根據題目的假設﹐或使用 show cdp neighbors details 命令就可得到鄰居的 IP 位址﹐結果如下:
Telnet telnet是一種虛擬終端機協定, 讓您能與終端裝置連線, 收集資訊, 並執行程式 設定好路由器、交換器之後, 就可以利用 telnet 程式來重新設定, 或檢查他們的狀況, 而不需要使用控制台埠﹐不過需要在這些路由器上設定 VTY 密碼才行 您無法使用 CDP 來收集那些沒有直接相連的路由器與交換器資訊, 但可以利用 telnet 程式先連到鄰居裝置, 然後再於那些鄰居裝置上執行 CDP, 以收集更遠端裝置的資訊
Telnet命令 這部路由器的 VTY 埠設定為 login, 這表示我們要不就得設定 VTY 密碼, 要不就得使用 no login 命令 設定VTY密碼:
Telnet命令(續) VTY 密碼是使用者模式的密碼, 不是 enable 模式的密碼。若要利用 telnet 來設定遠端裝置, 您得先在該裝置上設定 enable 密碼或 enable secret 密碼才行! Telnet成功﹐進入使用者模式 嘗試進入特權模式 "門都沒有"!
同時 telnet 至多個裝置 telnet 到 R1 路由器, 然後輸入密碼進入使用者模式。接下來按 Ctrl + Shift + 6 的組合鍵, 然後按 X 鍵 (但您看不到, 因為它不會顯示在螢幕輸出上) 請注意現在命令提示列又回到 Corp 路由器
檢查 telnet 連線 show sessions 命令可檢視您路由器與遠端裝置正在進行的連線 第 2 條連線旁邊的星號代表第 2 個會談是您上次的會談, 只要按 2 次 Enter 就可以回到上次的會談 您也可以輸入連線的號碼, 按下 Enter, 就可回到所要的會談
檢查 telnet 使用者 show users 命令會列出路由器上所有作用中的控制台與 VTY 埠 這個命令的輸出中, con 代表本地的控制台。這個範例中, 控制台連結了 2 個遠端 IP 位址
檢查 telnet 使用者(續) 從 Corp 路由器 telnet 登入 (經由 1 號線路) 的 ap 裝置上輸入 sh users 命令 這份輸出顯示1 號 VTY 埠正在使用中。星號表示目前的終端會談, show user 命令就是從這個會談輸入的
關閉 telnet 會談 結束與遠端裝置的會談 從本地裝置來結束會談
關閉 telnet 會談(續) 如果想要結束一個透過 telnet 來連結本地裝置的會談, 應該先檢查是否有任何使用者 telnet 到您的路由器 這份輸出顯示該 VTY 有 10.2.2.1 的 IP 位址與之連結, 其實它就是 Corp 路由器。而且 Corp 路由器是連結到 194 號線路 - 您無法選擇要連結哪一條線路!這也就是為什麼我們要為所有的線路設定相同密碼的原因 清除連線
利用 SDM 來 telnet 到您的路由器 點選 Tools 功能選單, 然後選擇 Telnet 一旦選擇 Telnet 之後, 就會彈出 DOS 視窗, 而您會處於使用者模式 (當然要在輸入 telnet 密碼之後)
在路由器上解析主機名稱 連接遠端裝置時若要以主機名稱取代 IP 位址, 則進行連線的裝置必須有能力將主機名稱轉換為 IP 位址 在每部路由器上建構主機表 建置網域名稱系統DNS伺服器 這裡的功能與網路上的名稱解析無關, 也與網路上的主機所要完成的事無關, 這只是當您試著在路由器控制台上解析名稱時使用的
建構主機表 建構主機表的命令﹐ 主機表中的名稱是不分大小寫的 最多可指定 8 個 IP 位址給一個主機名稱 DNS解析出來的暫時性記錄 手動設定的永久性記錄
建構主機表(續) 同時顯示了IP位址與主機名稱 移除表中的主機名稱
使用 DNS 來解析名稱 預設上, 任何時候 Cisco 裝置收到它不瞭解的命令時, 就會試著利用 DNS 來解析﹐直到名稱的查詢逾時為止。您可以利用整體設定模式的 no ip domain-lookup 命令來克服這個問題, 避免耗時的 DNS 查詢
DNS 解析名稱的相關命令 預設上這已是打開的 設定 DNS 伺服器的 IP 位址, 最多可輸入 6 部伺服器的 IP 位址 附加網域名稱到您所輸入的主機名稱 否則就得輸入 ping r1.lammle.com 才行
檢查網路連通性與問題檢修 使用 ping 或 traceroute 命令來測試與遠端裝置的連通性 用show ip route 命令來檢驗路徑表 用show interfaces 命令顯示每片界面的狀態 用debug 命令與 show process 命令來檢修路由器
使用 ping 命令 此命令可在使用者模式或特權模式下使用﹐但設定模式不行! 到特定系統並返回所花的最短、平均、與最長時間
利用 SDM 進行 ping 選擇『Tools / Ping』 可選擇要從哪個來源界面 ping 出去
traceroute 命令 利用 TTL 截止與 ICMP 錯誤訊息, 勾勒出封包穿越互連網路抵達遠端主機的過程所採用的路線。 此命令可在使用者模式或特權模式下使用 這個例子顯示封包只經過 1 個中繼站就找到了目的地
Windows的tracert 命令
除錯 debug 是在 Cisco IOS 特權 exec 模式下可以使用的檢測命令﹐用來顯示路由器的各項運作資訊, 以及路由器產生或收到的相關交通, 和任何的錯誤訊息 debug 是優先權非常高的任務, 它可能會消耗大量的資源, 而且路由器被迫要處理並交換除錯中的封包。所以不能將 debug 當做監測工具 - 它只能在很短的時間內使用, 而且僅僅用來做為故障檢測的工具 通常使用特定命令會比使用 debug all 命令要好 - 而且只能使用一小段時間 開始使用任何除錯命令之前, 應該先確實檢查過路由器的使用率-可用show processes命令
debug all命令
debug ip rip 顯示路由器上傳送與接收的RIP更新 可用no debug all 或undebug all / un all命令來關閉除錯
運用 show processes 命令 最近 5 秒、1 分鐘、和 5 分鐘的 CPU 使用率輸出 如果您路由器的 CPU 使用率一直維持在 50%或更多時, 可能就不太適合輸入 debug all 命令 - 除非您真的想讓路由器看起來像掛掉一樣 基本上, 這份 show processes 命令的輸出顯示路由器應該能夠快樂地處理除錯命令, 而不會過載 前面的數字等於整體使用率, 後面的數字則限定是中斷常式的使用率