第11章 網路的設定與測試
學習目標 在學習本章之後,讀者將可以回答下列的問題: IOS所扮演的角色為何? 組態檔的目的為何? 何種類型的設備具有內建的IOS? 如何使用基本的show命令?
設定Cisco設備:IOS基本概念 Cisco IOS 存取方法 組態檔案 Cisco IOS模式的簡介 基本IOS命令結構 使用CLI協助
Cisco IOS 基本的路由及交換功能 可靠和安全地存取網路資源 網路延展性
Cisco IOS(續) IOS檔案所佔的空間大小是數個MB,儲存於半永久(semipermanent)記憶體中,此記憶體亦稱之為快閃記憶體(flash) 靜態儲存體或非揮發儲存體(nonvolatile storage) 使用快閃記憶體(flash memory),可以讓IOS升級至較新的版本或是增加新的功能 當設備的電源開啟後,會將IOS複製到RAM中
存取方法 主控台 Telnet或SSH AUX連接埠
存取方法(續) 圖11-1 存取設備上的Cisco IOS
存取方法(續) 主控台 一部電腦或終端機可以透過一條低速的序列連線,直接連接到路由器或交換器上的主控台連接埠。此種連線稱之為主控台會談或CTY連線(CTY line),可以使用設備的CLI介面 「頻帶外部」(Out-of-Band)的存取方式 使用的時機 網路設備的初始設定 在無法進行遠端存取的狀況下,執行嚴重損壞的修復程序和疑難的排解 密碼的復原程序
存取方法(續) Telnet與SSH 利用Telnet進入到路由器,是從遠端進行CLI會談的一種方法 具有Telnet用戶端程式的主機,可以存取Cisco設備上的vty(virtual teletype interface)會談 Telnet會談必須要使用一個密碼 SSH(Secure Shell) SSH提供了比Telnet更為強大的密碼驗證
存取方法(續) AUX連接埠 透過電話撥號連線,使用數據機連接到路由器的輔助(AUX)連接埠
組態檔案 執行組態檔(running configuration file):用於目前的設備運作 啟動組態檔(startup configuration file):用於備份,在設備啟動時會將此組態檔載入
組態檔案(續) 圖11-2 組態檔
組態檔案(續) 啟動組態檔 系統啟動時是利用啟動組態檔(startup-config),來設定設備的相關組態。啟動組態檔是儲存在NVRAM 當組態檔是載入到RAM之後,它就會成為「執行組態」(running configuration或running-config)
組態檔案(續) 執行組態 當「執行組態」(running-config)儲存到RAM之後,網路設備便可以開始運作起來 如果在設備關機之前對於running-config檔所做的變更並未儲存到startup-config檔,這些變更的內容都會遺失掉
Cisco IOS模式的簡介 使用者執行模式(User executive mode ) 特權執行模式(Privileged executive mode ) 全域組態模式(Global configuration mode) 其他特定的組態模式
Cisco IOS模式的簡介(續) 表11-1 IOS主要模式
Cisco IOS模式的簡介(續) 命令提示 系統提示使用者鍵入命令的訊息 以下表示目前是處於一個路由器上的全域組態模式(config) 以下所示為在使用者EXEC層級執行ping命令 將running-config檔的內容顯示在終端機的CLI命令
Cisco IOS模式的簡介(續) 命令提示 執行於特權EXEC層級的CLI命令,可讓使用者輸入命令,改變running-config檔內容 下列命令,可將使用者帶進特定的介面組態模式 下列命令,可將IP位址與子網路遮罩,套用至特定的介面
Cisco IOS模式的簡介(續) 使用者執行模式 具備相當有限的功能 「僅供檢視模式」 CLI「命令提示」的最後會有 > 符號
Cisco IOS模式的簡介(續) 特權EXEC模式 最後會有 # 符號
Cisco IOS模式的簡介(續) 在使用者EXEC和特權EXEC模式之間切換 如要進入特權EXEC模式,可使用enable命令 當按下Enter時,路由器的提示字元將改變 當特權EXEC模式設定密碼驗證時,IOS將要求輸入密碼:
Cisco IOS模式的簡介(續) 使用disable命令,可以從特權EXEC模式回歸到使用者EXEC模式
基本IOS命令結構 一個命令之後加上任何適當的關鍵字和引數 顯示執行組態的內容
基本IOS命令結構(續) 圖11-3 基本IOS命令結構
IOS慣例 表11-2 IOS慣例
IOS慣例(續) Ping命令的使用格式 加上正確的引數 traceroute命令語法
IOS慣例(續) description命令 加上正確的引數
使用CLI協助 情境相關協助 命令語法檢查 熱鍵和快速鍵
使用CLI協助(續) 情境相關協助 在目前的狀況下,提供一系列的命令和引數 請在任何的提示字元之後輸入問號(?)
使用CLI協助(續)
使用CLI協助(續) 命令語法檢查 當按下Enter鍵送出命令時,「命令列解譯器」會依由左至右的順序來剖析這個命令 三種不同類型的錯誤訊息 Ambiguous command(模稜兩可的命令) Incomplete command(不完整的命令) Incorrect command(不正確的命令,無效的輸入)
使用CLI協助(續) IOS傳回一個模稜兩可的錯誤訊息,表示該命令未輸入足夠的字元,以致解譯器無法辨識
使用CLI協助(續) IOS傳回一個 ( ) 符號,表示在該命令中「命令解譯器」無法解譯的位置
表11-3 命令語法檢查協助
使用CLI協助(續) 熱鍵和快速鍵 IOS CLI提供熱鍵和快速鍵,使得設定、監視及疑難排解會更加的容易
表11-4 熱鍵和快速鍵
表11-4 熱鍵和快速鍵(續)
使用CLI協助(續) Tab :Tab鍵可以自動填補一些縮寫命令及參數的其餘部分
使用CLI協助(續) Ctrl-R:重新顯示上一個命令列
使用CLI協助(續) Ctrl-Z:如要離開一個組態模式(configuration mode),並且回到特權EXEC模式
使用CLI協助(續) 向上與向下鍵 使用向上鍵(Ctrl-P)可以顯示先前所輸入的命令 向下鍵(Ctrl-N)可以向前捲動,以顯示緩衝區中較新的命令
使用CLI協助(續) Ctrl-Shift-6 x:如要中斷輸出的動作,而與CLI進行互動時,可以先按下Ctrl-Shift-6鍵,然後按x鍵 Ctrl-C:按下Ctrl-C鍵可以中斷一項命令,並且離開組態模式
使用CLI協助(續) 縮寫的命令或關鍵字 命令和關鍵字可以最小數目的字元,並且可唯一識別的縮寫方式來表示 configure命令可以縮寫成conf 命令及關鍵字可以同時用縮寫方式表示
IOS檢視命令 圖11-4 show命令提供的資訊
IOS檢視命令(續) show arp show mac-address-table show startup-config show running-config show ip interfaces
IOS檢視命令(續) show interfaces show version
IOS檢視命令(續) show interfaces命令:顯示設備上所有介面的統計資料 show version命令:顯示目前所載入之軟體的版本,以及硬體及設備的相關資訊
IOS組態模式 主要的組態模式,稱之為全域組態 所變更的組態將會影響到整體設備的運作 以下命令可以將設備從特權EXEC模式帶進全域組態模式,並允許從一部終端機鍵入組態命令 在執行命令後,提示字元將顯示路由器是位在全域模式下
IOS組態模式(續) 介面模式(Interface mode) 線路模式(Line mode) 路由器模式(Router mode) 在全域模式中執行了任何一項變更之後,最好將組態儲存到NVRAM的「啟動組態檔」(startup configuration file)中
使用Cisco IOS基本組態 設備的命名 限制設備存取:設定密碼和橫幅 管理組態檔 設定介面的組態
設備的命名 以字母為起始 不可以包含空格 以字母或數字為結尾 可以用的字元只有字母、數字和減號 小於或等於63個字元
設備的命名(續) 圖11-5 設定設備的名稱
設備的命名(續) 在特權EXEC模式中,可下達configure terminal命令,進入全域組態模式 執行命令後,命令提示將變更,如下 在全域模式中,輸入主機名稱 執行命令後,提示字元將變更
設備的命名(續) 移除一個設備的名稱
限制設備存取:設定密碼和橫幅 密碼是對抗未授權存取網路設備的主要防禦措施 此處所介紹密碼,包括 主控台密碼(console password):限制主控台連線的設備存取 啟用密碼(enable password):限制特權EXEC模式的存取 啟用機密密碼(enable secret password):加密;限制特權EXEC模式的 存取 VTY密碼(VTY password):限制Telnet的設備存取
限制設備存取:設定密碼和橫幅(續) 選擇密碼 密碼的長度應該超過八個字元。 密碼應同時使用大寫和小寫字母,以及數字的混合。 避免在所有的設備上,使用相同的密碼。 避免使用常見的單字
限制設備存取:設定密碼和橫幅(續) 圖11-6 限制設備存取:設定主控台密碼
限制設備存取:設定密碼和橫幅(續) 主控台密碼
限制設備存取:設定密碼和橫幅(續) 啟用密碼與啟用機密密碼:在進入特權EXEC(啟用)模式之前,建立一套驗證的機制 設定命碼 未設定enable password時,telnet會談將顯示下列結果:
限制設備存取:設定密碼和橫幅(續) VTY密碼 Telnet可以透過vty線路來存取一個路由器 所有可用的vty線路都必須設定密碼
限制設備存取:設定密碼和橫幅(續) 密碼顯示的加密:防止密碼以純文字顯示的有效命令,就是service password-encryption命令
限制設備存取:設定密碼和橫幅(續) 橫幅訊息:宣告只有獲授權的人員才可以進入該設備,是一件很重要的事情 下列範例顯示橫幅所示的資訊: 「本設備僅供獲得授權的人員使用」 「所有活動將被監視」 「任何未經授權的使用都將遭到法律上的追訴」
管理組態檔 依照已經變更的組態,來建立新的啟動組態(startup configuration) 回歸到設備的原始組態 備份組態資料至其它地方 移除設備中的所有組態 以文字擷取方式來備份組態資料([超級終端機] 或TeraTerm) 還原文字的組態資料
管理組態檔(續) 依照變更的組態以建立新的啟動組態 執行中的組態資料是儲存在RAM中
管理組態檔(續) 回歸到設備的原始組態
管理組態檔(續) 備份組態資料至其它地方 步驟1. 輸入copy running-config tftp命令 步驟2. 輸入要儲存組態檔之TFTP伺服器的IP位址 步驟3. 輸入組態檔的名稱 步驟4. 回答yes,以確認每個選項
管理組態檔(續) 移除所有組態 清除「啟動組態檔」 發出命令後,路由器會要求確認
管理組態檔(續) 以文字擷取方式來備份組態資料 當使用 [超級終端機] 步驟1. 選擇 [傳送] > [擷取文字] 步驟2. 選擇位置 步驟1. 選擇 [傳送] > [擷取文字] 步驟2. 選擇位置 步驟3. 按一下 [啟動] 來開始擷取文字 步驟4. 當擷取已經啟動時,在特權EXEC的提示字元後,執行show running-config或show startup-config命令。此時,顯示於終端機視窗上的文字,將被存到所選擇的檔案 步驟5. 檢視輸出的結果,來驗證內容的正確性
管理組態檔(續) 圖11-7 使用 [超級終端機] 將組態儲存至一個文字檔案
管理組態檔(續) 使用TeraTerm 步驟1. 選擇 [檔案] > [記錄檔] 步驟2. 選擇位置。TeraTerm將會開始擷取文字 步驟1. 選擇 [檔案] > [記錄檔] 步驟2. 選擇位置。TeraTerm將會開始擷取文字 步驟3. 當開始進行擷取時,在特權EXEC的命令提示後,執行show running-config或show startup-config命令。此時,顯示於終端機視窗上的文字,將被存到所選擇的檔案 步驟4. 當完成擷取之後,請在TeraTerm: Log視窗中,點選Close 步驟5. 檢視輸出的結果,以驗證內容的正確性
管理組態檔(續) 圖11-8 使用TeraTerm將組態儲存至一個文字檔案
管理組態檔(續) 還原文字組態 [超級終端機] TeraTerm時 步驟1. 尋找欲複製到設備的檔案,並且開啟文字檔 步驟1. 尋找欲複製到設備的檔案,並且開啟文字檔 步驟2. 複製所有的文字 步驟3. 選擇 [編輯] > [貼到主機] TeraTerm時 步驟1. 選擇 [檔案] > [傳送檔案] 步驟2. 尋找欲複製到設備的檔案,並且點選 [開啟] 步驟3. TeraTerm會將檔案貼到該設備
設定介面的組態 啟用介面 啟用一個介面,可以從介面組態模式上輸入no shutdown命令
設定介面的組態(續) 設定路由器的乙太網路介面 步驟1. 進入全域組態模式 步驟2. 進入介面組態模式 步驟3. 指定介面位址和子網路遮罩 步驟4. 啟用介面
設定介面的組態(續) 設定路由器的序列介面 步驟1. 進入全域組態模式 步驟2. 進入介面組態模式 步驟3. 指定介面位址和子網路遮罩 步驟4. 如果連接DCE纜線,則設定時脈速率。如果連接DTE纜線,請跳過這個步驟 步驟5. 啟用介面
設定介面的組態(續) 每個連接的序列介面必須要有一個IP位址和子網路遮罩,以便轉傳IP封包,設定IP位址命令如下 設定時脈速率並啟用一個序列介面的命令
設定介面的組態(續) 描述介面
設定介面的組態(續) 設定交換器介面
設定介面的組態(續)
驗證連線 ping公用程式、檢視介面、預設閘道器、以及trace公用程式等主題
驗證連線 測試堆疊 測試介面 測試區域網路 測試閘道器和遠端連線能力 追蹤並且解譯追蹤的結果
測試堆疊 在測試程序中使用ping:ping命令是測試連線能力的有效方法 最常見的指示訊息 !(驚嘆號):表示收到一份「ICMP echo reply」 .(點號):表示在等待一項回覆時,已經發生「逾時」 U:收到一筆「ICMP Unreachable」的訊息
測試堆疊(續) 測試迴路
測試介面 驗證路由器介面:show ip interface brief命令提供所有介面之關鍵資訊的摘要 圖11-9 介面測試
測試介面(續)
測試介面(續) 測試路由器連線
測試介面(續)
測試介面(續) 驗證交換器介面
測試介面(續) 測試交換器連線
測試介面(續)
測試介面(續)
測試區域網路 測試區域網路 圖11-10 測試區域網路
測試區域網路(續) ping命令的「延伸」模式
測試閘道器和遠端連線能力 圖11-11 測試閘道器和遠端連線能力
測試閘道器和遠端連線能力(續) 測試路由上的下一個躍點 檢視show ip route命令的輸出路由表
測試閘道器和遠端連線能力(續) 測試遠端主機 ping命令是測試192.168.0.253的介面 192.168.0.254 圖11-12 測試遠端連線能力
測試閘道器和遠端連線能力(續) 檢查路由器的遠端連線能力 先檢查其路由表,以了解是否有適當的路由可以到達遠端網路 首先要排除ping命令被系統管理所阻止的狀況
追蹤並且解譯追蹤的結果 當在路由器的CLI上執行追蹤時,則是使用traceroute命令
追蹤並且解譯追蹤的結果(續) ping和追蹤 圖11-13 測試前往遠端主機的路徑
追蹤並且解譯追蹤的結果(續)
追蹤並且解譯追蹤的結果(續) 追蹤遠端主機
追蹤並且解譯追蹤的結果(續) 測試程序:整合所有的步驟 圖11-14 測試前往遠端主機的路徑
追蹤並且解譯追蹤的結果(續)
追蹤並且解譯追蹤的結果(續)
追蹤並且解譯追蹤的結果(續)
追蹤並且解譯追蹤的結果(續)
追蹤並且解譯追蹤的結果(續)
監視和記錄網路 基本的網路基準 擷取與解譯追蹤資訊 識別網路上的節點
基本的網路基準 在網路效能的監視和除錯上,最有效率的工具之一是建立網路基準 在某個時間點上能夠詳細說明網路的健全狀況 開始收集基準資料的方法是,將ping、trace或其他相關命令的執行結果,複製並且貼到文字檔中
基本的網路基準(續) 主機擷取 步驟1.在命令提示視窗上,按一下滑鼠右鍵,然後選擇 [全選] 步驟2.請按Ctrl-C來複製輸出結果 步驟3.開啟文字編輯器 步驟4.請按Ctrl-V來貼上文字 步驟5.以日期和時間為部分檔名,將文字檔儲存起來
基本的網路基準(續) IOS擷取 步驟1.選擇 [傳送] > [擷取文字] 步驟2.按一下 [瀏覽],來尋找或鍵入儲存檔案的名稱 步驟3.按一下 [啟動]來開始擷取文字 步驟4.在使用者EXEC模式中或在特權EXEC提示字元中,執行ping命令。路由器會將文字顯示在所選位置的終端機上 步驟5.檢視輸出結果,以驗證其正確性 步驟6.選擇 [傳送] > [擷取文字],然後再按一下 [停止擷取]
擷取與解譯追蹤資訊
擷取與解譯追蹤資訊(續) [超級終端機] 步驟1.選擇 [傳送] > [擷取文字] 步驟2.按一下 [瀏覽],以尋找或鍵入儲存檔案的名稱 步驟3.按一下 [啟動]以開始擷取文字 步驟4.在使用者EXEC模式或在特權EXEC提示字元上,執行traceroute命令。路由器會將文字顯示在所選位置的終端機上 步驟5.檢視輸出的結果,以驗證其正確性 步驟6.選擇 [傳送] > [擷取文字],然後再按一下 [停止擷取]
識別網路上的節點
識別網路上的節點(續) 圖11-15 識別網路上的節點
識別網路上的節點(續) ping sweep 首先,許多的ping sweep工具會將一群相關主機建入表格之中
識別網路上的節點(續) 交換器連線
識別網路上的節點(續)
摘要 探討一些連接和設定電腦、交換器及路由器的議題 Cisco IOS軟體和組態檔 使用IOS CLI模式和組態程序 使用者EXEC模式 終端機組態模式 線路組態模式 介面組態模式