思科路由器和交換機管理配置

在路由器和交換機上，可配置的管理功能如下：

• [ ] 主機名
• [ ] 旗標
• [ ] 密碼
• [ ] 接口描述

1.主機名

1. 主機名。要設置路由器的身份，我們可使用命令 hostname

Router#config t
Enter configuration commands , one per 1ine. End with
CNTL/Z.
Router(config)#hostname Todd
Todd(config)#hostname At1anta
At1anta(config)#hostname Todd
Todd(config)#

2.旗標

配置旗標的一個充分理由是，可以給任何試圖通過遠程登錄或撥號連接你的互聯網絡的人發出安全警告。您可以創建一個旗標，向任何登錄到路由器的人顯示你想告訴他的信息。

有 4種類型的旗標 :

• EXEC進程創建旗椒(exec process creation banner )

  可配置線路激活(EXEC)旗標，這種旗標在創建EXEC進程時顯示。

• 入站終端線路旗標 (incoming terminalline banner )

  可配置一個這樣的旗標，即在連接到反向 Telnet 線路的終端上顯示。這種旗標可用於給使用反向 Telnet 的用戶提供操作說明。

  ---

• 登錄旗標

  可配置在所有連接的終端上顯示的登錄旗標。這種旗標在MOTD旗標后顯示，在登錄提示出現前顯示。

• 每日消息旗標

  MOTD (Message OfThe Day ，每日消息)是最常用的旗標。它向任何撥號或通過 Telnet、輔助端
  口甚至控制台端口連接路由器的人顯示一條消息。

Todd(config)#banner ?
LINE                c banner-text c , where 'c' is a de1imiting character
exec                Set EXEC process creation banner
incoming            Set incoming termina1 1ine banner
login               Set login banner
motd                Set Message of the Day banner
prompt-timeout      Set Message for 10gin authentication timeout
slip-ppp            Set Message for SLIP/PPP

3.設置密碼

用於確保思科路由器安全的密碼有5種:

• 控制台端口密碼

  ToddCconfig-line)#line console ?
  % Unrecognized command
  ToddCconfig-line)#exit
  ToddCconfig)#line console ?
  <0-0> First Line number
  ToddCconfig-line)#password console
  ToddCconfig-line)#login
  

  exec-timeout 0 0 將控制台 EXEC 會話的超時時間設置為 0 ，這意味着永遠不超時。

• 輔助端口密碼

  要配置輔助端口密碼，請進入全局配置模式並輸入 1ine aux ?。從下面的輸出可知，你只有一

  種選擇，那就是 0，這是因為只有一個輔助端口:

  Todd#config t
  Enter configuration commands , one per line. End with CNTL/Z.
  
  Todd(config)#line aux ?
  
  <0-0>       First Line number
  
  Todd(config)#line aux 0
  
  Todd(config-line)#login
  
  % Login disabled on line 1 , until 'password' is set
  
  Todd(config-line)#password aux
  
  Todd(config-line)#login
  

  請別忘了執行命令 login ，否則輔助端口將不進行身份驗證。

  給線路設置密碼前，思科不允許執行命令 login ，因為如果執行命令 login 后沒有設置密碼，該

  線路將不可用一一它將提示用戶輸入根本不存在的密碼。

• 遠程登錄 (VTY) 密碼

  Todd(config-line)#line vty 0 ?
  % Unrecognized command
  Todd(config-line)#exit
  Todd(config)#line vty 0 ?
  <1-1180> Last Line number
  <cr>
  Todd(config)#line vty 0 1180
  Todd(config-1ine)#password te1net
  Todd(config-line)#login
  

  在提示符(config-line)#下你無法獲得幫助。要使用?，你必須退回全局配置模式。

• 啟用密碼 (enable)

  在全局配置模式下設置啟用密碼，如下所示:

  Todd(config)#enable ?
  last-resort           Define enable action if no TACAC5 servers respond
                        #TACACS服務器不可用時讓你仍能進入路由器
  password              Assign the privileged level password
                        #如果設置了啟用加密密碼，該密碼將不管用 
  secret                Assign the privileged level secret
                        #優先於啟用密碼
  use-tacacs            Use TACAC5 to check enable passwords
                        #讓路由器使用 TACACS 服務器進行身份驗證
  

• 啟用加密密碼( enable secret )。

設置安全外殼(SSH)

我們可以使用安全外殼替代 Telnet。與使用非加密數據流的 Telnet 相比， SSH 創建的會話更安全。

SSH 使用加密密鑰發送數據，以免以明文方式發送用戶名和密碼。

設置 SSH 的步驟如下。

(1) 設置主機名:

Router(config)#hostname Todd

(2) 設置域名(為生成加密密鑰，必須有用戶名和域名):

Todd(config)#ip domain-name Lammle.com

(3) 將用戶名設置成支持 SSH 客戶端接人:

Todd(config)#username Todd password Lammlle

(4) 生成用於保護會話的加密密鑰:

Todd(config)#crypto key generate rsa general-keys modulus ?
<360-2048> size of the key modulus [360-2048J

Todd(config)#crypto key generate rsa general-keys modulus 1024

The name for the keys will be: Todd.Lammle.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys , keys will be non-exportable...[OK]

*June 24 19:25:30.035: %SSH-5-ENABLEO: SSH 1.99 has been enabled

(5) 在路由器上啟用 SSH 第 2 版。並非必須這樣做，但強烈推薦這樣做:

Todd(config)#ssh version 2

(6) 進入路由器 VTY 線路配置模式:

Todd(config)#line vty 0 1180

(7) 最后，指定依次將 SSH 和 Telnet 作為接入協議:

Todd(config-line)#transport input ssh telnet

如果沒有在最后一個命令的末尾指定關鍵字 telnet ，路由器將只支持 SSH。

要手工配置密碼加密，我們可使用命令 service password-encryption

四、接口描述

設置接口描述對管理員很有幫助，與主機名一樣，描述也只在本地有意義。命令 description

很有用，因為可用來標識電路號。

下面是一個示例:

Todd#config t
Todd(config)#int sO/O/O
Todd(config-if)#description Wan to SF circuit number 6fdda12345678
Todd(config-if)#int faO/O
Todd(config-if)#description Sales VLAN
Todd(config-if)#^Z
Todd#

Todd#sh run
[output cut]
interface FastEthernetOjO
descr;pt;on Sales VLAN
ip address 10.10.10.1 255.255.255.248
duplex auto
speed auto
interface Ser;alOjOjO
description Wan to SF circuit number 6fdda 12345678
no ip address
shutdown
[output cut]

Todd#sh int fO/O
FastEthernetOjO is up , line protocol is down
Hardware is MV96340 Ethernet , address is 00la.2f55.cge8 (bia 001a.2f5S.c9e8)
Description: Sales VLAN
[output cut]
Todd#sh int sO/O/O
SerialOjOjO is administratively down , line protocol is down
Hardware is GT96K Serial
Description: Wan to SF circuit number 6fdda12345678

do命令

從 IOS 12.3 版起，思科終於在 IOS 中添加了一個這樣的命令，即讓你能夠在配置模式下查看配置

和統計信息。(在前一節的示例中，所有 show 命令都是在特權模式下運行的。)

事實上，在任何 IOS 中，若我們試圖在全局配置模式下查看配置，都將看到如下錯誤消息:

Router(config)#sh run
% Invalid input detected at '^' marker.

下面是在運行 IOS 12.4 版的路由器上使用 do 語法執行該命令得到的輸出，請將上面的輸出與該

輸出進行比較。

Enter configurati on commands, one per line. End with CNTL/Z.
Todd(config)#do show run

Building configuration...

Current configurat;on : 3276 bytes

[output cut]

Todd(config)#do sh int fO/O

FastEthernetO/O is up , line protocol is down

Hardware is MV96340 Ethernet , address is 001a.2f55.cge8 (bia

001a.2f55.cge8)

Description: Sales VLAN

[output cut]

基本上，現在我們可在任何配置提示符下運行任何命令。對於前面的密碼加密示例，使用 do 命令絕對可以加快任務的完成速度，這確實是個非常好的命令!