Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) 第 4 章 Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)
Cisco IOS Cisco IOS Cisco IOS 軟體負責的重要工作有 第一版是由 William Yeager 在 1986 年產生的 在大部分的 Cisco 路由器與一些 Cisco Catalyst 交換器上執行, 例如 Catalyst 2950 / 2960 與 3550 / 3560 系列交換器 Cisco IOS 軟體負責的重要工作有 支援網路協定與功能 在裝置之間連結高速的交通 增加安全性以控制存取, 並阻止非授權使用網路 提供可擴充性, 以利網路成長與冗餘性 提供與網路資源連線的網路可靠性
如何存取 Cisco IOS 命令列介面CLI SDM 存取途徑 對 IOS 命令列的存取稱為 EXEC session 透過設備的console port 從數據機進入Aux port telnet -- in-band通訊 對 IOS 命令列的存取稱為 EXEC session SDM
幾款Cisco 路由器 2500與2600系列已經停產 取而代之的是2800系列。這種路由器被稱為整合服務型路由器 ISR, 因為它內建了許多服務, 例如它預先安裝了SDM -- 網站式的管理工具。2800系列也是一種模組裝置, 但速度更快, 配備更豪華- 可支援各式各樣的界面功能 1800和800系列同樣執行 12.4 IOS 和最新的 SDM,但是較2800小也較便宜,而且可以執行更多先進的界面, 例如無線控制器和交換模組等
啟動 ISR Cisco 路由器 第一次啟動 Cisco 路由器時, 它會執行power-on self-test, POST 如果測試通過, 接著就從 flash memory 中找尋並載入 Cisco IOS - 如果 IOS 檔案存在。 然後載入並找尋有效的組態 - startup-config - 儲存在 NVRAM中 首次開機或reload路由器時出現的訊息: 將IOS解壓縮到RAM中
啟動 ISR Cisco 路由器(續) IOS名稱 載入並啟動IOS後,從 NVRAM 複製startup-config到 RAM中, 成為running-config
啟動非 ISR 路由器 (2600) 非 ISR 路由器的開機過程跟 ISR 路由器大致相同,直到IOS 載入和執行後從 NVRAM 中載入啟動組態時,非 ISR 路由器會與 ISR 路由器的預設開機不同 - 如果 NVRAM 中沒有組態檔, 路由器會廣播尋找是否有 TFTP 主機可提供有效的組態。如果廣播失敗, 它就會進入 setup mode。因此, 如果您將路由器的任何界面接上網路, 然後開機時, 可能會先等幾分鐘讓路由器搜尋組態。 裝配模式 只涵蓋一些整體命令, 而且通常沒有什麼用 在特權模式下輸入 setup 命令即可進入裝配模式 強烈建議您進入裝配模式一次, 然後就再也不用了。您應該要使用 CLI 或 SDM
Setup mode範例
從 ISR 路由器進入 CLI 在路由器完成開機動作後輸入 Enter 鍵, 路由器就會回應訊息告訴您每個路由器界面的相關狀態, 然後顯示標題訊息, 並要求您登入。 例如 出廠預設 進入特權模式
從非 ISR 路由器進入 CLI 出現界面狀態訊息之後, 按下 Enter 鍵, 就會出現 Router> 的提示列, 稱為使用者 exec 模式 (使用者模式) ,這幾乎只是用來檢視統計資訊, 但也是登入特權模式的踏板 在特權 exec 模式 (特權模式) 中能檢視與更改 Cisco 路由器的組態, 以 enable 命令即可進入這種模式: 提示列 Router# 表示您正處於特權模式 您可以使用 disable 命令從特權模式退回使用者模式 此時可以輸入 logout 離開 控制台
路由器模式
Global mode下的configure 命令 將啟動組態檔合併至 DRAM 中的運行組態檔 將TFTP 主機中的路由器組態合併至 RAM 中的運行組態檔 改變目前DRAM中運行的組態
CLI提示列 界面設定模式 整體設定模式 子界面設定模式 設定使用者模式的密碼要用line命令﹐ 之後提示列會變成“路由器名稱(config-line)#” 遶送協定的設定模式
編輯與輔助功能(一) 按下空白鍵, 以得到另一頁的資訊, 或者按下 Enter, 每次前進一個命令。 您也可以按下 Q 加以中止, 並跳回命令列
編輯與輔助功能(二) 要找尋以特定字母開頭的命令, 請輸入該字母, 然後跟隨著問號, 中間不要有空白 重新顯現﹐所以使用問號後不須重新輸入整個命令
編輯與輔助功能(三) 只要一直輸入一個命令, 一個空格, 然後一個問號, 直到最後只剩 cr 的選項為止﹐就可以完成這個設定
編輯與輔助功能(四) 這個命令列尚未完成。只要按下↑箭頭鍵, 就可重新顯示剛才輸入的命令, 然後繼續利用問號來完成這個命令 此命令錯誤之處﹐完整的命令應該是 show interface serial 0/0 這表示有許多命令是從您所輸入的字串開始, 它無法決定唯一的命令。 這時可使用問號找出您所需要的命令: 以ru開頭的命令有2個 $符號表示這一列已經有一部份捲到左邊-這是自動捲動長列的編輯功能
進階的編輯命令(一)
進階的編輯命令(二)
收集基本的路由器資訊 路由器上所執行的 Cisco IOS 所用的 ROM (用來開機並儲存 POST 用的) 路由器已經運作多久 如何重新啟動的 IOS名稱 Cisco IOS 是從哪裡載入的
收集基本的路由器資訊(續) DRAM 處理器 POST所發現的界面 NVRAM Flash 組態暫存器的值
設定主機名稱 主機名稱只在本機具有意義﹐例如路由器如何執行名稱的解析, 或者路由器如何在互連網路上運作, 都與這個主機名稱無關
標題訊息 增加安全告示給撥接或 telnet 至您互連網路的人 每日告示 (message of the day, MOTD) Exec 標題訊息 產生 EXEC 程序時的標題訊息 進入的 (incoming) 標題訊息 進入終端線路時的標題 登入 (login) 標題訊息 登入時的標題訊息, 顯示在所有連結的終端機。這種標題訊息顯示在 MOTD 標題之後, 但在登入提示列之前 這種登入標題不可以個別關閉某一線路, 如果您要整體關閉, 必須利用 no banner login 命令來刪除
MOTD 分隔字元 - 用來告訴路由器這訊息何時結束
密碼 控制台密碼、輔助埠密碼、telnet (VTY) 密碼 enable 密碼與 enable secret 密碼
enable 密碼 last-resort 如果您透過 TACACS 伺服器來設置認證, 而當 TACACS 伺服器無法使用時, 這讓您仍然可以進入路由器﹐但假若當時 TACACS 伺服器有在運作, 則不能使用這個密碼 password 在 10.3 版以前的老舊系統中設定 enable 密碼, 但如果有設定 enable secret 密碼, 則不會用到這個 secret 這是較新的、加過密的密碼, 如果有設定, 則會蓋掉 enable 密碼 Use-tacacs 告訴路由器要透過 TACACS 伺服器來進行認證
使用者模式的密碼 要設定使用者模式的密碼, 必須設定想要的線路, 並且使用 login 或 no login 命令來告訴路由器, 要求它提示認證的訊息 aux 為輔助埠設定使用者模式密碼, 我們通常用輔助埠來連結數據機到路由器, 也可以用它來當做控制台 console 設定使用控制台的使用者模式密碼 vty 設定路由器上的 telnet 密碼, 如果沒有設定這個密碼, 預設上就不能使用 telnet
輔助密碼 如果為某個線路設定了 login 命令, 然後卻不設定密碼, 那麼該線路根本不能使用, 它會出現提示訊息, 要求一個不存在的密碼 因為只有一個輔助埠 如果為某個線路設定了 login 命令, 然後卻不設定密碼, 那麼該線路根本不能使用, 它會出現提示訊息, 要求一個不存在的密碼 記得輸入 login 命令是很重要的, 否則輔助埠不會提示認證的要求
控制台密碼 防止控制台螢幕上不斷跳出擾人的控制台訊息, 干擾您正在輸入的命令。這些訊息還是會跳出來, 但卻仍然讓您回到您的路由器提示列, 而不插斷您的輸入 將控制台 EXEC 會談的逾時計時器 (timeout) 設成 0, 也就是絕不會逾時
telnet 密碼 沒有執行企業版 Cisco IOS 的路由器, 預設會有 5 條 VTY 線路 - 0 到 4。但如果您有企業版, 就會有更多 表示遠端路由器 SFRouter沒有設定 VTY (telent) 密碼 利用 no login 命令, 告訴路由器允許沒有密碼的 telnet 連線﹐不建議如此!!!
建立 SSH 1. 設定主機名稱 2. 設定網域名稱 (要產生加密金鑰必須要有主機名稱和網域名稱) 3. 產生安全會談所需要的加密金鑰 6. 連到路由器的 vty 線路 7. 設定 SSH 組態並且使用 Telnet 做為存取協定
對密碼加密 預設上只有 enable secret 密碼會被加密, 對於使用者模式密碼與 enable 密碼的加密, 必須手動地設定
對密碼加密(續)
界面說明 只在本機有意義的界面說明對網管的維護工作非常有用﹐例如增加電路編號與供應商的電話號碼到每個廣域網路界面﹐就對故障檢測非常有幫助 可用 show running-config 或 show interface 命令來檢視界面的說明
do 命令 從 IOS 12.3 版開始, Cisco 終於在 IOS 中加入一個命令, 能夠在設定模式內檢視組態和統計值。 在 12.3 版之前的路由器上, 如果您嘗試在整體設定模式檢視組態, 就會得到下列的錯誤: 執行 12.4 IOS 的路由器中可輸入
路由器界面編號(一) 在Cisco 2522 路由器上標示路由器的方式: Interface 類型 編號
路由器界面編號(二) 在2600系列 路由器上標示路由器的方式: interface 類型 插槽 / 埠號 在ISR 路由器上標示路由器的方式:乙太界面可以同2600系列的界面 interface 類型 插槽 / 埠號 其他界面則是: interface 類型 路由器 / 插槽 / 埠號
啟動界面 所有界面的預設都是關閉的。 檢查界面狀態 啟動界面
設定界面的 IP 位址 幫界面設定第二個IP位址﹐但這是不好的設計﹐請盡量避免
運用引流 (︱)
序列界面的連接
序列界面的設定 給遶送協定 (如 EIGRP 與 OSPF) 計算抵達遠端網路的最佳成本用的
儲存組態設定 儲存 DRAM 中的檔案至 NVRAM 中
檢視組態設定 顯示目前的組態 顯示路由器下次重新載入時所用的組態。 同時也告訴我們啟動組態檔到底需要多少 NVRAM
刪除組態並重載路由器 接下來畫面會提供裝配模式, 因為 NVRAM 中已經沒有儲存任何組態了。 您可以按 Ctrl + C 來結束裝配模式﹐然後利用CLI來設定它﹐ 而不要使用裝配模式
show interface 乙太界面 硬體位址 邏輯位址 封裝方法 碰撞上的統計
show interface乙太界面 -線路與資料鏈結協定狀態的輸出 實體層OK﹐收到傳輸媒介的偵測訊號 資料鏈結層OK﹐找到keepalive訊號 (裝置之間用來確認線路是否斷掉的訊號) 線路是啟動的﹐協定沒有。這可能是時脈(keepalive)或訊框封裝的問題。亦即可能是兩端的封裝方法不匹配﹐或者兩端的keepalive設定不匹配 線路與協定都沒有作用﹐應該是纜線或界面的實體層問題 這表示界面沒有啟動﹐若要啟動它﹐請在界面模式下利用no shutdown命令
show interface序列界面 如果連線兩端設得不一樣﹐就無法運作
清除界面上的計數器
show ip interface 命令 界面狀態 IP位址與遮罩
show ip interface brief 命令 界面沒有啟動 沒有收到遠端來的keepalive信號。若在在非營運網路中﹐這表示時脈的速率沒有設好
show protocols 命令 檢視每片界面之第 1 層與第 2 層的狀態, 以及所用的 IP 位址:
show controllers 命令 顯示實體界面本身的資訊, 它也提供插入序列埠的序列纜線種類:
使用 show controllers 命令偵測(一) R1 和 R2 無法溝通 可能是R1的纜線標示錯誤﹐如果將clock加到R1路由器的序列界面上﹐則網路應該就能正常運作
使用 show controllers 命令偵測(二) 纜線不良或沒有時脈是最可能的嫌疑犯 R1 路由器並沒有收到線路的時脈 這表示界面沒有收到任何遠端的 keepalives 信號
Cisco 的安全裝置管理員 (SDM) SDM可協助您從HTTP或HTTPS介面來設定路由器的組態 SDM適合用在進階的組態設定﹐例如在路由器上設定進階的存取清單、使用 IPSec 的 VPN、以及入侵防護 SDM 的詳細資料請參考www.cisco.com/go/sdm 下載最新版本的 SDM, 以及在電腦和路由器上安裝它的指令:www.cisco.com/pcgi-bin/tablebuild.pl/sdm 若沒有ISR路由器可以練習﹐您也可以先在電腦上安裝SDM﹐然後在www.cisco.com/pcgi-bin/tablebuild.pl/sdmtool-demo下載demo來練習
連接SDM 選擇路由器的一個 LAN 界面, 然後使用交叉式纜線直接將主機與路由器相連。並且確定路由器組態已經設定好﹐例如: 只要打開瀏覽器, 開放彈出式視窗功能, 輸入 http://1.1.1.1, 連上後遵循其簡單的提示列即可
以HTTPS來連接SDM 開啟HTTP/HTTPS伺服器 使用特權等級 15 (最高等級) 來建立一個使用者帳號
以HTTPS來連接SDM(續) 設定控制台、SSH、和 Telnet, 以提供特權層級存取的本地登入驗證:
以HTTPS來連接SDM(續) 當我們透過 https://1.1.1.1 連線時, 就會收到安全性警告訊息
以HTTPS來連接SDM(續) 接著使用剛才建立的帳號 / 密碼來登入 SDM 開始載入並且告訴我們要等一下, 代表它需要一點時間來載入另一個視窗。不要關閉這個視窗
以HTTPS來連接SDM(續) 選擇點選永遠信任這個出版者的內容, 然後按下 Yes
以HTTPS來連接SDM(續) 這個憑證無法符合任何網點的名稱, 所以必須跟它確認我們要執行
以HTTPS來連接SDM(續) 接著必須再次登入並且等待 SDM 載入, 此時, 路由器要求我們修改預設的使用者名稱和密碼
以HTTPS來連接SDM(續) 最後連上 SDM 了!
利用SDM來設定路由器 點選上方的 Configure 按鈕, 選擇逐步完成界面組態設定 首先選擇想要設定的界面類型, 然後按下方的 Create New Connection 按鈕。根據所選擇要設定的界面, 它會開啟 LAN 或 WAN 的精靈
利用SDM來設定路由器(續) 點選 Edit Interface / Connection 頁籤, 觀察界面狀態
利用SDM來設定路由器(續) 雙擊某個界面以進行編輯 (只有在做完 LAN 或 WAN 精靈, 並且設定好界面後才能這樣做)
利用SDM來設定路由器(續) 在精靈頁面的左下方, 點選 Additional Tasks 按鈕。之後, 點選 Router Properties 圖示
利用SDM來設定路由器(續) 您可在此設定主機名稱、MOTD 標題訊息、enable secret 密碼。最後, 點選 DHCP 資料匣, 然後點選 DHCP pool 圖示 選擇 Add 並且在路由器上建立一個 DHCP pool