Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

1. 第 4 章 Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

2. Cisco IOS • Cisco IOS • Cisco專屬的核心, 提供遶送、交換、網路互連、電信等功能 • 第一版是由 William Yeager 在 1986 年產生的 • 在大部分的 Cisco 路由器與一些 Cisco Catalyst 交換器上執行, 例如 Catalyst 2950 / 2960 與 3550 / 3560 系列交換器 • Cisco IOS 軟體負責的重要工作有 • 支援網路協定與功能 • 在裝置之間連結高速的交通 • 增加安全性以控制存取, 並阻止非授權使用網路 • 提供可擴充性, 以利網路成長與冗餘性 • 提供與網路資源連線的網路可靠性

3. 如何存取 Cisco IOS • 命令列介面CLI • 存取途徑 • 透過設備的console port • 從數據機進入Aux port • telnet -- in-band通訊 • 對 IOS 命令列的存取稱為 EXEC session • SDM

4. 幾款Cisco 路由器 • 2500與2600系列已經停產 • 取而代之的是2800系列。這種路由器被稱為整合服務型路由器ISR, 因為它內建了許多服務, 例如它預先安裝了SDM -- 網站式的管理工具。2800系列也是一種模組裝置, 但速度更快, 配備更豪華－ 可支援各式各樣的界面功能 • 1800和800系列同樣執行 12.4 IOS 和最新的 SDM，但是較2800小也較便宜，而且可以執行更多先進的界面, 例如無線控制器和交換模組等

5. 啟動 ISR Cisco 路由器 • 第一次啟動 Cisco 路由器時, 它會執行power-on self-test, POST • 如果測試通過, 接著就從 flash memory 中找尋並載入 Cisco IOS － 如果 IOS 檔案存在。 • 然後載入並找尋有效的組態 － startup-config － 儲存在 NVRAM中 • 首次開機或reload路由器時出現的訊息： 將IOS解壓縮到RAM中

6. 啟動 ISR Cisco 路由器(續) IOS名稱 載入並啟動IOS後，從 NVRAM 複製startup-config到 RAM中, 成為running-config

7. 啟動非 ISR 路由器 (2600) • 非 ISR 路由器的開機過程跟 ISR 路由器大致相同，直到IOS 載入和執行後從 NVRAM 中載入啟動組態時，非 ISR 路由器會與 ISR 路由器的預設開機不同 － 如果 NVRAM 中沒有組態檔, 路由器會廣播尋找是否有 TFTP 主機可提供有效的組態。如果廣播失敗, 它就會進入 setup mode。因此, 如果您將路由器的任何界面接上網路, 然後開機時, 可能會先等幾分鐘讓路由器搜尋組態。 • 裝配模式 • 只涵蓋一些整體命令, 而且通常沒有什麼用 • 在特權模式下輸入 setup命令即可進入裝配模式 • 強烈建議您進入裝配模式一次, 然後就再也不用了。您應該要使用 CLI 或 SDM

8. Setup mode範例

9. 從 ISR 路由器進入 CLI • 在路由器完成開機動作後輸入 Enter鍵, 路由器就會回應訊息告訴您每個路由器界面的相關狀態, 然後顯示標題訊息, 並要求您登入。 • 例如 出廠預設 進入特權模式

10. 從非 ISR 路由器進入 CLI • 出現界面狀態訊息之後, 按下 Enter鍵, 就會出現 Router>的提示列, 稱為使用者 exec 模式 (使用者模式) ，這幾乎只是用來檢視統計資訊, 但也是登入特權模式的踏板 • 在特權 exec 模式 (特權模式) 中能檢視與更改 Cisco 路由器的組態, 以 enable命令即可進入這種模式： • 提示列 Router#表示您正處於特權模式 • 您可以使用 disable 命令從特權模式退回使用者模式 • 此時可以輸入 logout 離開 控制台

11. 路由器模式

12. Global mode下的configure 命令 將啟動組態檔合併至 DRAM 中的運行組態檔 將TFTP 主機中的路由器組態合併至 RAM 中的運行組態檔 改變目前DRAM中運行的組態

13. CLI提示列 界面設定模式 整體設定模式 子界面設定模式 設定使用者模式的密碼要用line命令﹐ 之後提示列會變成“路由器名稱(config-line)#” 遶送協定的設定模式

14. 編輯與輔助功能（一） 按下空白鍵, 以得到另一頁的資訊, 或者按下 Enter, 每次前進一個命令。 您也可以按下 Q加以中止, 並跳回命令列

15. 編輯與輔助功能（二） 要找尋以特定字母開頭的命令, 請輸入該字母, 然後跟隨著問號, 中間不要有空白 重新顯現﹐所以使用問號後不須重新輸入整個命令

16. 編輯與輔助功能（三） 只要一直輸入一個命令, 一個空格, 然後一個問號, 直到最後只剩 cr 的選項為止﹐就可以完成這個設定

17. 編輯與輔助功能（四） 這個命令列尚未完成。只要按下↑箭頭鍵, 就可重新顯示剛才輸入的命令, 然後繼續利用問號來完成這個命令 此命令錯誤之處﹐完整的命令應該是 show interface serial 0/0 這表示有許多命令是從您所輸入的字串開始, 它無法決定唯一的命令。 這時可使用問號找出您所需要的命令： 以ru開頭的命令有2個 $符號表示這一列已經有一部份捲到左邊－這是自動捲動長列的編輯功能

18. 進階的編輯命令（一）

19. 進階的編輯命令（二）

20. 收集基本的路由器資訊 路由器上所執行的 Cisco IOS 所用的 ROM (用來開機並儲存 POST 用的) 路由器已經運作多久 如何重新啟動的 IOS名稱 Cisco IOS 是從哪裡載入的

21. 收集基本的路由器資訊（續） DRAM 處理器 POST所發現的界面 NVRAM Flash 組態暫存器的值

22. 設定主機名稱 • 主機名稱只在本機具有意義﹐例如路由器如何執行名稱的解析, 或者路由器如何在互連網路上運作, 都與這個主機名稱無關

23. 標題訊息 • 增加安全告示給撥接或 telnet 至您互連網路的人 • 每日告示 (message of the day, MOTD) • 使用最廣的標題訊息, 它提供訊息給每個撥接進入、或透過 telnet、輔助埠或控制台埠連至路由器的人 • Exec 標題訊息 • 產生 EXEC 程序時的標題訊息 • 進入的 (incoming) 標題訊息 • 進入終端線路時的標題 • 登入 (login) 標題訊息 • 登入時的標題訊息, 顯示在所有連結的終端機。這種標題訊息顯示在 MOTD 標題之後, 但在登入提示列之前 • 這種登入標題不可以個別關閉某一線路, 如果您要整體關閉, 必須利用 no banner login命令來刪除

24. MOTD 分隔字元 － 用來告訴路由器這訊息何時結束

25. 密碼 • 控制台密碼、輔助埠密碼、telnet (VTY) 密碼 • 使用者透過控制台埠、輔助埠、或 telnet 來存取使用者模式時所需的密碼 • enable 密碼與 enable secret 密碼 • 保護特權模式用的﹐使用enable 命令時, 提示列會要求使用者輸入密碼

26. enable 密碼 • last-resort如果您透過 TACACS 伺服器來設置認證, 而當 TACACS 伺服器無法使用時, 這讓您仍然可以進入路由器﹐但假若當時 TACACS 伺服器有在運作, 則不能使用這個密碼 • password在 10.3 版以前的老舊系統中設定 enable 密碼, 但如果有設定 enable secret 密碼, 則不會用到這個 • secret這是較新的、加過密的密碼, 如果有設定, 則會蓋掉 enable 密碼 • Use-tacacs 告訴路由器要透過 TACACS 伺服器來進行認證

27. 使用者模式的密碼 • 要設定使用者模式的密碼, 必須設定想要的線路, 並且使用 login或 no login命令來告訴路由器, 要求它提示認證的訊息 • aux為輔助埠設定使用者模式密碼, 我們通常用輔助埠來連結數據機到路由器, 也可以用它來當做控制台 • console 設定使用控制台的使用者模式密碼 • vty設定路由器上的 telnet 密碼, 如果沒有設定這個密碼, 預設上就不能使用 telnet

28. 輔助密碼 因為只有一個輔助埠 如果為某個線路設定了login命令, 然後卻不設定密碼, 那麼該線路根本不能使用, 它會出現提示訊息, 要求一個不存在的密碼 記得輸入login 命令是很重要的, 否則輔助埠不會提示認證的要求

29. 控制台密碼 防止控制台螢幕上不斷跳出擾人的控制台訊息, 干擾您正在輸入的命令。這些訊息還是會跳出來, 但卻仍然讓您回到您的路由器提示列, 而不插斷您的輸入 將控制台 EXEC 會談的逾時計時器 (timeout) 設成 0, 也就是絕不會逾時

30. telnet 密碼 沒有執行企業版 Cisco IOS 的路由器, 預設會有 5 條 VTY 線路 － 0 到 4。但如果您有企業版, 就會有更多 表示遠端路由器 SFRouter沒有設定 VTY (telent) 密碼 利用 no login命令, 告訴路由器允許沒有密碼的 telnet 連線﹐不建議如此！！！

31. 建立 SSH 1. 設定主機名稱 2. 設定網域名稱 (要產生加密金鑰必須要有主機名稱和網域名稱) 3. 產生安全會談所需要的加密金鑰 4.設定 SSH 會談的最大閒置計時器 5. 設定 SSH 連線的最大失敗嘗試次數 若省略則只能使用SSH 6. 連到路由器的 vty 線路 7. 設定 SSH 組態並且使用 Telnet 做為存取協定

32. 對密碼加密 • 預設上只有 enable secret 密碼會被加密, 對於使用者模式密碼與 enable 密碼的加密, 必須手動地設定

33. 對密碼加密（續）

34. 界面說明 • 只在本機有意義的界面說明對網管的維護工作非常有用﹐例如增加電路編號與供應商的電話號碼到每個廣域網路界面﹐就對故障檢測非常有幫助 • 可用 show running-config或 show interface命令來檢視界面的說明

35. do 命令 • 從 IOS 12.3 版開始, Cisco 終於在 IOS 中加入一個命令, 能夠在設定模式內檢視組態和統計值。 • 在 12.3 版之前的路由器上, 如果您嘗試在整體設定模式檢視組態, 就會得到下列的錯誤： • 執行 12.4 IOS 的路由器中可輸入

36. 路由器界面編號（一） 在Cisco 2522 路由器上標示路由器的方式： Interface 類型 編號

37. 路由器界面編號（二） 在2600系列 路由器上標示路由器的方式： interface 類型 插槽 / 埠號 在ISR 路由器上標示路由器的方式：乙太界面可以同2600系列的界面 interface 類型 插槽 / 埠號 其他界面則是： interface 類型 路由器 / 插槽 / 埠號

38. 啟動界面 • 所有界面的預設都是關閉的。 檢查界面狀態 啟動界面

39. 設定界面的 IP 位址 幫界面設定第二個IP位址﹐但這是不好的設計﹐請盡量避免

40. 運用引流 (︱)

41. 序列界面的連接

42. 序列界面的設定 給遶送協定 (如 EIGRP 與 OSPF) 計算抵達遠端網路的最佳成本用的

43. 儲存組態設定 儲存 DRAM 中的檔案至 NVRAM 中

44. 檢視組態設定 顯示目前的組態 顯示路由器下次重新載入時所用的組態。 同時也告訴我們啟動組態檔到底需要多少 NVRAM

45. 刪除組態並重載路由器 接下來畫面會提供裝配模式, 因為 NVRAM 中已經沒有儲存任何組態了。 您可以按 Ctrl + C來結束裝配模式﹐然後利用CLI來設定它﹐ 而不要使用裝配模式

46. show interface 乙太界面 硬體位址 邏輯位址 封裝方法 碰撞上的統計

47. show interface乙太界面－線路與資料鏈結協定狀態的輸出 資料鏈結層OK﹐找到keepalive訊號 （裝置之間用來確認線路是否斷掉的訊號） 實體層OK﹐收到傳輸媒介的偵測訊號 線路是啟動的﹐協定沒有。這可能是時脈（keepalive)或訊框封裝的問題。亦即可能是兩端的封裝方法不匹配﹐或者兩端的keepalive設定不匹配 線路與協定都沒有作用﹐應該是纜線或界面的實體層問題 這表示界面沒有啟動﹐若要啟動它﹐請在界面模式下利用no shutdown命令

48. show interface序列界面 如果連線兩端設得不一樣﹐就無法運作

49. 清除界面上的計數器

50. show ip interface 命令 界面狀態 IP位址與遮罩