Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

著作權所有 © 旗標出版股份有限公司

本著作僅授權老師於課堂使用 , 切勿置放在網路上播放或供人下載 , 除此之外 , 未經授權不得將全部或局部內容以任何形式重製、轉載、變更、散佈或以其他任何形式、基於任何目的加以利用。

Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

第 4 章

2

本章重點 4 - 1 IOS 使用者界面 4 - 2 命令列界面 4 - 3 設定路由器與交換器的管理性組態 4 - 4 路由器界面 4 - 5 檢視、儲存、與清除組態設定 4 - 6 Cisco 的安全裝置管理員 (SDM)

4 - 7 摘要

3

Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) 現在是跟您介紹 Cisco 互連網路作業系統 (I

nternetwork Operating System, IOS) 的時候了。

IOS 是 Cisco 路由器與某些 Cisco 交換器上所執行的軟體 , 也是讓您得以設定這些裝置的軟體。

本章介紹如何利用 Cisco IOS 命令列界面 (command-line interface, CLI) 來設定 Cisco IOS 路由器。

4

Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) 當您熟練這個界面之後 , 就可用它來設定主機名稱、標題訊息 (banner) 、密碼、以及更多 , 而且還可用它來檢修問題。

然後我們會介紹 Cisco 的安全裝置管理員 (Security Device Manager, SDM), 教您如何建立與路由器的 HTTPS 會談 , 以提供類似的組態設定。

SDM 在往後的章節會變成非常有用的工具 , 因為它使得存取清單、 VPN 、與 IPSec 的設定變得非常輕鬆。

5

Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) 但首先 , 您得先學好 Cisco IOS 的基礎。此外 , 您也會學習到如何確認路由器的組態設定。

本章會討論以下的主題：瞭解與設定 Cisco IOS 連接路由器啟動路由器登入路由器

6


瞭解路由器的提示訊息 (prompt) 瞭解 CLI 提示訊息執行編輯與輔助 (help) 功能收集基本的遶送資訊設定路由器密碼設定路由器標題訊息設定界面的組態設定路由器的主機名稱

7


設定界面說明檢視與儲存路由器的組態設定確認遶送的組態設定

就跟前幾章一樣 , 本章係為本書後面的章節奠定基礎 , 您應該要先學。

8

4 - 1 IOS 使用者界面 Cisco IOS 是 Cisco 路由器與大部分 Cisco 交換器的核心 (kernel), 核心是作業系統中最基本的、不可或缺的部份 , 負責配置資源與管理諸如低階硬體界面與安全性等。

接下來的章節將展示 Cisco IOS, 教您如何利用命令列界面 (command-line interface, CLI) 來設定 Cisco 路由器。

本章結尾則將介紹 Cisco 的 SDM 。

9

Cisco 路由器 IOS Cisco IOS 是專屬的核心 , 提供遶送、交換、網路互連、電信等功能。

第一版的 Cisco IOS 是由 William Yeager 在 1986 年產生的 , 它促進了網路的應用。

Cisco IOS 在大部分的 Cisco 路由器與一些 Cisco Catalyst 交換器上執行 , 例如 Catalyst 2950 / 2960 與 3550 / 3560 系列交換器。

Cisco 路由器 IOS 軟體負責的重要工作有：支援網路協定與功能。

10

Cisco 路由器 IOS Cisco 路由器 IOS 軟體負責的重要工作有：

支援網路協定與功能。在裝置之間連結高速的交通。增加安全性以控制存取 , 並阻止非授權使用網路。

提供可擴充性 , 以利網路成長與冗餘性。提供與網路資源連線的網路可靠性。

存取 Cisco IOS 的途徑包括：透過路由器的控制台埠 (console port) 、從數據機進入輔助埠 (Aux port) 、或甚至透過 telnet 。對 IOS 命令列的存取稱為 EXEC 會談 (session) 。

11

連接 Cisco 路由器您可以連上 Cisco 路由器以設定組態、確認組態設定、以及檢視統計資訊。

有好幾種不同的方式可進行這些動作 , 但最常見的 , 也是第一個您會連接的地方就是控制台埠。

控制台埠通常是位於路由器背後的一條 RJ - 45 (8 腳的模組 ) 接線－根據預設 , 可能有、或沒有設定任何密碼。

新型 ISR 路由器會使用 cisco 當作預設的使用者名稱 , 並且使用 cisco 當作預設的密碼。

12

連接 Cisco 路由器您也可以透過輔助埠來連結 Cisco 路由器－這其實與控制台埠是相同的。但輔助埠也可讓您設定數據機命令 , 以便經由數據機連上路由器。

這是個不錯的功能－如果路由器當掉 , 您需要透過其他管道 ( 也就是其他網路 ) 來設定它 , 這個功能讓您能撥接至遠端的路由器 , 並連結輔助埠。

第 3 個連接路由器的方法是透過 telnet 程式的頻內 (in-band) 通訊。

13

連接 Cisco 路由器 (in-band 表示您得透過該網路來設定路由器 , 它的相反就是 out-band), telnet 是一種終端模擬程式 , 動作就像一部終端機一般。

您可以利用 telnet 連結路由器上的任何作用中 (active) 界面 , 如乙太網路或序列埠 (serial port) 。

圖 4.1 展示一部 Cisco 2600 系列的模組路由器 , 2600 系列縮減了 2500 系的生產 , 因為 2600 系列有更快的處理器 , 能夠處理更多的界面。

14

連接 Cisco 路由器現在 2500 與 2600 系列的路由器都已經停產了 , 您只能買到二手貨。不過 , 很多營運環境仍然存在著很多的 2600 系列路由器 , 所以瞭解它們是很重要的。

請特別注意各種不同的界面與連接口。

15

連接 Cisco 路由器 2600 系列路由器有多片序列界面 , 可透過序列的 V.35 WAN 接線來連接 T1 或 Frame Relay 。根

據路由器的型號別 , 路由器上也會有多個乙太網路或高速乙太網路埠可用。

這部路由器也有 1 個控制台埠與 1 個 RJ-45 接頭的輔助埠。

這裡還想要討論的另一種路由器是 2800 系列 ( 如圖 4.2 所示 ) 。

16

連接 Cisco 路由器這種路由器取代了 2600 系列 , 並且被稱為整合服務型路由器 (Integrated Services Router, ISR), 因為它內建了許多服務 , 例如安全性。

就像 2600 一樣 , 2800 系列也是一種模組裝置 , 但速度更快 , 配備更豪華－它的設計可支援各式各樣的界面功能。

17

連接 Cisco 路由器前面提到內建的安全性－ 2800 預先安裝了安全性裝置管理員 (Security Device Manager, SDM) 。

SDM 是網站式的 Cisco 路由器裝置管理工具 , 可以協助您透過網站控制台設定路由器的組態 , 這在本章後面會再討論。

有另外幾個系列的路由器沒有像 2800 系列那麼貴： 1800 和 800 系列。

18

連接 Cisco 路由器如果您希望有同樣執行 12.4 IOS 和最新的 S

DM, 但是又比 2800 便宜的路由器 , 那就可以考慮這幾個系列。

圖 4.3 是 1841 路由器 , 它具有跟 2800 幾乎相同的界面 , 但是較小也較便宜。

選擇 2800 而非 1800 系列的真正原因 , 在於它可以執行更多先進的界面 , 例如無線控制器和交換模組等。

19

連接 Cisco 路由器

本書後面將使用全新的 2800 、 1800 和 800 系列路由器做為路由器組態設定的範例 , 不過 , 您也可以使用 2600, 甚至 2500 路由器來練習遶送原則。

20

啟動 Cisco 路由器第一次啟動 Cisco 路由器時 , 它會執行開機自我測試 (power-on self-test, POST) 。

如果測試通過 , 接著就從快閃記憶體 (flash memory) 中找尋並載入 Cisco IOS －如果 IOS 檔案存在。

快閃記憶體是一種電子式可移除可程式化的唯讀記憶體 (electronically erasable programmable read-only memory, EEPROM) 。

21

啟動 Cisco 路由器然後 IOS 繼續載入並找尋有效的組態－啟動組態 (startup-config) －儲存在非揮發性隨機記憶體 (NVARAM) 中。

當您首次開機或重載 (reload) 路由器時 , 會出現以下的訊息 ( 這裡使用 2811 路由器 ) ：

22

啟動 Cisco 路由器這是路由器開機程序的第一部份輸出 , 這些資訊是有關首次執行 POST 的開機區 (bootstrap) 程式。

然後說明路由器如何載入 IOS, 預設上是要在快閃記憶體中找尋 IOS 。這份輸出也會列出路由器的 RAM 數量。

接下來的部份顯示 IOS 正被解壓縮到 RAM 中：

23

啟動 Cisco 路由器井字號 (#) 表示正在將 IOS 載入 RAM 中。在解壓縮到 RAM 之後 , IOS 就載入完成並開始操作路由器；輸出畫面如下。

請注意這裡啟動的 IOS 版本就是前面所說有先進安全功能的 12.4 (12) 版本：

24

啟動 Cisco 路由器新 ISR 路由器的一項新功能是它的 IOS 名稱已經沒有加密了。

它的檔名明確地指出這個 IOS 可以做些甚麼 , 例如先進的安全性 (Advanced Security) 。

一但 IOS 載入後 , 接著會顯示從 POST 取得的資訊：

25

啟動 Cisco 路由器

從上面可以看到有 2 個 FastEthernet 界面 , 4 個序列界面 , 加上 1 個 VPN 模組。

它還會顯示 RAM 、 NVRAM 和快閃記憶體的數量。

在上面的輸出中顯示有 256 MB 的 RAM 、239 K 的 NVRAM 和 64 MB 的快閃記憶體。

26

啟動 Cisco 路由器當 IOS 載入並啟動之後 , 預先設定的組態

( 稱為啟動組態 , startup-config) 會從 NVRAM 複製到 RAM 。

這個檔案會放在 RAM 中 , 並且稱為運行組態 (running-config) 。

27

啟動非 ISR 路由器 (2600) 非 ISR 路由器的開機過程跟 ISR 路由器大致相同。

當您首次啟動或重載 2600 路由器時 , 會出現下列訊息：

下個部分顯示 IOS 正解壓縮到 RAM 中。

28

啟動非 ISR 路由器 (2600)

到目前為止 , 每樣東西看起來都很像。請注意下面的 IOS 版本是 12.3 (20) 。

29


就像 2800 系列 , 一旦 IOS 載入後 , 就會顯示來自 POST 的資訊：

30


最後顯示這裡有 1 個乙太網路界面和 3 個序列界面。

它還會顯示 RAM 和快閃記憶體的數量 , 在上面的路由器輸出中 , 一共有 64 MB 的 RAM 和 16 MB 的快閃記憶體。

31

啟動非 ISR 路由器 (2600) 如前所述 , 當 IOS 載入和執行的時候 , 會從

NVRAM 中載入有效的組態 , 稱為啟動組態。但是非 ISR 路由器在此處會與 ISR 路由器的預設開機不同－如果 NVRAM 中沒有組態檔 , 路由器會廣播尋找是否有 TFTP 主機可提供有效的組態。

( 這只發生在路由器於某個界面有感應到媒介偵測信號 , 亦即 CD 的時候 ) 。

32

啟動非 ISR 路由器 (2600) 如果廣播失敗 , 它就會進入所謂的裝配模式 (s

etup mode) －協助您逐步設定路由器組態的過程。

因此 , 如果您將路由器的任何界面接上網路 , 然後開機時 , 可能會先等幾分鐘讓路由器搜尋組態。

您也可以在任意時間 , 在特權模式下輸入 setup 命令來進入裝配模式。

裝配模式只涵蓋一些整體命令 , 而且通常沒有什麼用。下面是個例子。

33

啟動非 ISR 路由器 (2600) 下面是個例子：

強烈建議您進入裝配模式一次 , 然後就再也不用了。您應該要使用 CLI 或 SDM 。

34

4 - 2 命令列界面筆者有時候會戲稱 CLI 是現金專線界面 (Ca

sh Line Interface), 因為如果您能在 Cisco 路由器或交換器上透過 CLI 建立進階的組態 , 您就會贏得現金！

要使用 CLI, 只要在路由器完成開機動作後輸入 Enter 鍵 , 然後路由器就會回應訊息告訴您每個路由器界面的相關狀態 , 然後顯示標題訊息 , 並要求您登入。

例如。

35

命令列界面

36

命令列界面

37

命令列界面只要從這裡輸入「 cisco / cisco」當作使用者名稱與密碼來登入 , 就可以進入特權模式 (privilege mode) －稍後會加以說明。

現在路由器上已經有安裝好的組態設定 , 也就是您不用設定路由器就可以透過 HTTPS 連上 SDM 的理由。

同樣地 , 本章稍後會說明預先設定好的啟動組態 (startup-config) 。

38

從非 ISR 路由器進入 CLI 出現界面狀態訊息之後 , 按下 Enter 鍵 , 就會出現 Router> 的提示列 , 這稱為使用者 exec 模式 ( 使用者模式 ) 。

它幾乎只是用來檢視統計資訊 , 但也是登入特權模式的踏板。

在特權 exec 模式 (特權的模式 ) 中能檢視與更改 Cisco 路由器的組態 , 以 enable 命令即可進入這種模式：

39

從非 ISR 路由器進入 CLI 提示列 Router# 表示您正處於特權模式中 , 在這種模式下可以檢視與更改 Cisco 路由器的組態。

您可以使用 disable 命令從特權模式退回使用者模式 , 操作畫面如下：

此時可以輸入 logout 離開控制台：

40

路由器模式概觀要從 CLI 設定 , 可以輸入 configure termin

al ( 或 config t), 對路由器進行整體的變更 , 這讓您進入整體設定模式 , 並且變更所謂的運行組態 (runningconfig) 。

整體命令 (從整體設定模式中執行的命令 ) 是設定一次就可影響整個路由器的命令。

您可以在特權模式提示列輸入 config, 然後只要按下 Enter 採納預設的終端機 , 如以下所示：

41

路由器模式概觀因為是整體設定模式 , 此時所作的變更會影響整個路由器。

要改變運行組態－在動態的 RAM (DRAMM) 中運行的目前組態－必須使用 configure terminal 命令。

若要變更自啟動組態－儲存在 NVRAM 中的組態－必須使用 configure memory 命令 ( 或縮寫成 config mem), 這會將啟動組態檔合併至 RAM 中的運行組態檔。

42

路由器模式概觀若想要變更自儲存在 TFTP 主機中的路由器組態 , 必須使用 configure network 命令 ( 或縮寫成 config net) 。

同樣地也會將它合併至 RAM 中的運行組態。 configure terminal 、 configure memory 、 c

onfigure network 都是用來設定資訊到路由器之 RAM 中的命令 , 但我們通常都只使用 configure terminal 命令。

有時候如果我們弄糟了運行組態檔 , 而又不想重開機 , 這時 config mem 與 config net 命令可能就很有用了。

43

路由器模式概觀 configure 命令還有一些其他的選項：

Cisco 在 12.4 IOS 中加入了一些新的命令 , 我們會在第 5 章介紹它們。

44

CLI 提示列瞭解路由器設定時所能看到的提示列其實是非常重要的 , 熟悉這些訊息將能幫助您操作 , 並認得當時您到底是處於設定模式中的何處。

本節展示 Cisco 路由器所用的提示列 (對路由器進行任何變更之前 , 一定要先檢查當時所在的提示列！ ), 並且討論所用到的各種術語。

我們並不會瀏覽路由器所提供的每一種命令提示列 , 因為這樣會超出本書的範圍。

此處只描述本章與本書會用到的提示列 , 這些命令提示列都是您在真實世界中最常使用的－也是檢定考需要知道的。

45

界面要變更界面 , 必須從整體設定模式使用 interf

ace 命令：

46

界面

您注意到提示列改變成 Router(config-if)# 了嗎？這告訴您當時正處於界面設定模式。

47

界面如果提示列也告訴您正在設定那個界不是很好嗎？

是的 , 不過至少現在沒有。不過有件事是確定的：設定路由器時真的要非常小心！

48

子界面子界面 (subinterface) 讓您能在路由器中產生邏輯界面 , 之後提示列會改變成 yourname (config-subif) # ：

49

line 命令設定使用者模式的密碼要使用 line 命令 , 然後提示列會變成 yourname (config-line) # ：

50

line 命令 line console 0 命令是一個所謂的主要命令

(又稱為整體命令 ), 而且任何從 (config-line) # 提示列所輸入的命令都是所謂的子命令。

51

遶送協定設定要設定諸如 RIP 與 IGRP 等遶送協定 , 必須使用 yourname (config-router) # 提示列 , 例如：

52

定義路由器術語表 4.1 定義一些我們到目前為止所用的術語。

53

編輯與輔助功能您可以使用 Cisco 進階的編輯功能來幫助您設定路由器。

如果在任何提示列輸入問號 (?), 畫面就會出現該提示列下可用的所有命令 , 例如：

54

編輯與輔助功能

55

編輯與輔助功能此外 , 此時您可以按下空白鍵 , 以得到另一頁的資訊 , 或者按下 Enter, 每次前進一個命令。

您也可以按下 Q 加以中止 , 並跳回命令列。這裡有一種捷徑法：要找尋以特定字母開頭的命令 , 請輸入該字母 , 然後跟隨著問號 , 中間不要有空白。

例如：

56


輸入 c? 之後 , 就會收到一個回應清單 , 列出以 c 為開頭的所有命令。而且顯示完這份命令清單之後 , yourname#c 提示列會重新顯現。

當您有很長的命令 , 而且需要下個可能的命令時 , 這種設計非常管用。

如果每次您使用問號後都得重新輸入整個命令 , 那這種設計就太憋腳了！

57

編輯與輔助功能若要找尋字串中的下個命令 , 則輸入第一個命令後再輸入問號 , 例如：

58


輸入 clock ? 命令後 , 就可得到下個可能的參數清單 , 以及它們的意義。

請注意您應該只要一直輸入一個命令 , 一個空格 , 然後一個問號 , 直到最後只剩 cr 的選項為止。

如果您輸入如下的命令 , 並收到如下的訊息：

59

編輯與輔助功能就知道這個命令列尚未完成。只要按下↑箭頭鍵 , 就可重新顯示剛才輸入的命令 , 然後繼續利用問號來完成這個命令。

如果您收到如下的錯誤訊息：

這表示所輸入的命令不正確 , 而 ^ 正標示出所輸入命令的錯誤之處。

60

編輯與輔助功能以下是另一個您可能會看到 ^ 的例子：

這個命令看起來好像沒錯 , 不過小心點！完整的命令應該是 show interface serial 0 / 0 。

現在假設您收到如下的錯誤訊息：

61

編輯與輔助功能這表示有許多命令是從您所輸入的字串開始 , 它無法決定唯一的命令。這時可使用問號找出您所需要的命令：

從畫面可看到 , 以 sh ru 開頭的命令有 2 個。表 4.2 顯示 Cisco 路由器上可用的進階編輯命令。

62


63


另一個想要給您看的是自動捲動長列的編輯功能。

在以下的範例中 , 所輸入的命令已經到達右邊的邊界 , 並自動往左移動 11 個空格 ($ 符號表示這一列已經有一部份捲至左邊 ) 。

64


您可以用表 4.3 中的命令來回顧路由器命令的歷史軌跡：

65

編輯與輔助功能以下的命令展示 show history 命令 , 如何改變緩衝區大小 , 以及如何以 show terminal 命令加以確認。

首先 , 利用 show history 命令來檢視我們在路由器上輸入的前 10 個命令：

66

編輯與輔助功能現在 , 利用 show terminal 命令來確認終端機歷史緩衝區的長度：

67


我們可利用特權模式下的 terminal history size 命令 , 改變歷史緩衝區的大小：

68

編輯與輔助功能再以 show terminal 命令加以確認：

69

何時要利用 Cisco 的編輯功能？有一些編輯功能很常用 , 有一些則否。其實這些並非 Cisco 編造的 , 而只是舊的 Unix 命令。不過 Ctrl + A 對於取消一個命令真的很好用。

例如 , 如果您輸入了一個很長的命令 , 然後又覺得不想要在您的設定中使用這個命令 , 或它不可行。

那麼可以按下 ↑ 箭頭鍵 , 顯示最後一個輸入的命令 , 按下 Ctrl + A, 輸入 no, 然後一個空格 , 再壓下 Enter, 轟！這樣命令就取消了。

並非每個命令都可以這樣 , 但大部分都可以。

70

收集基本的路由器資訊 show version 命令可提供系統之硬體與軟體版本的基本組態 , 以及開機映像 (boot image) 。

例如：

前面的輸出描述路由器上所執行的 Cisco IOS, 接下來的部份則描述所用的 ROM ( 用來開機並儲存 POST 用的 ) 。

71

收集基本的路由器資訊

再接下來的部份顯示路由器已經運作多久 , 它是如何重新啟動的 ( 如果您看到了 "system restarted by bus-error", 那是很糟的事 ) 。

Cisco IOS 是從哪裡載入的 (預設是快閃記憶體 ) 、以及 IOS 名稱：

72

收集基本的路由器資訊下個部份顯示處理器、 DRAM 及快閃記憶體的容量、以及 POST 所發現的界面：

73

收集基本的路由器資訊最後列出組態暫存器 (configuration register) 的值。

此外 , show interfaces 與 show ip interface brief 命令對於確認與檢修路由器和網路問題是非常有用的 , 本章稍後也會介紹 , 別錯過喔！

74

4 - 3 設定路由器與交換器的管理性組態對於要能讓路由器或交換器在網路上運作 , 本節的內容雖非關鍵 , 但仍然很重要。我們將透過組態設定的命令 , 幫助您管理網路。

路由器或交換器上能設定的管理功能包括：主機名稱標題訊息密碼界面說明

75

設定路由器與交換器的管理性組態請記住 , 這些功能並不會讓您的路由器或交換器更好或更快；但如果您能撥點時間在每個網路裝置上設定這些組態 , 您的生活一定會獲得大幅地改善。

因為這樣做會使得網路的檢修與維護變得非常容易！

接下來我們要展示 Cisco 路由器上的命令 , 不過這些命令在 Cisco 交換器上也是一模一樣。

76

主機名稱您可以使用 hostname 命令來設定路由器的身分 , 但這只在本機具有意義。

也就是說 , 路由器如何執行名稱的解析 , 或者路由器如何在互連網路上運作 , 都與這個主機名稱無關。

不過我們在第 14 章討論 PPP 時 , 會利用主機名稱做為認證的目的。

77

主機名稱例如：

雖然以自己的名字來設定主機名稱是很誘人的想法 , 但最好以位置相關的事物來命名主機。

78

主機名稱因為如果主機名稱與它實際所在的位置有所關連 , 則尋找時會容易得多 , 而且也可以幫助您確定您正在設定的裝置是正確的。

本章中 , 我們還是保留 Todd 的名稱。

79

標題訊息標題訊息不只是耍酷－需要標題訊息 (bann

er) 的一個好理由是增加安全告示給撥接或 telnet 至您互連網路的人。

您可以在 Cisco 路由器上設定標題訊息 , 當使用者登入路由器或管理員 telnet 至路由器時 , 標題訊息就能提供他們您想要讓他們知道的訊息。

不過您要熟悉 4 種可用的標題訊息：產生 EXEC 程序時的標題訊息、進入終端線路時的標題訊息、登入時的標題訊息、以及每日告示 ( 全部顯示在以下的編碼中 ) 。

80

標題訊息

每日告示 (message of the day, MOTD) 是使用最廣的標題訊息 , 它提供訊息給每個撥接進入、或透過 telnet 、輔助埠或控制台埠連至路由器的人。

81

標題訊息例如：

82

標題訊息

前面的 MOTD 標題訊息其實是要告訴任何連上路由器的人 , 如果他們不在邀請的名單中 , 就會被斷線！

這裡特別要解說的部份是分隔字元－用來告訴路由器這訊息何時結束。

您可以使用任何您想要的字元 , 但不可以在訊息中使用分隔字元本身。

83

標題訊息此外 , 一旦完成這份訊息 , 請輸入 Enter, 然後是分隔字元 , 最後再輸入一次 Enter 。

如果您不這麼做 , 仍然行得通 , 但如果您有一個以上的標題 , 將會結合成一道訊息 , 而且會放在一列。

例如 , 您可以設定標題在一列上 , 如：

這個範例可以運作的很好 , 但如果新增其他的 MOTD 標題訊息 , 結果將會在單一列上。

84

標題訊息以下是其他標題訊息的詳細說明：

Exec 標題訊息您可以設定線路啟動 (exec) 的標題訊息 , 顯示在產生 EXEC 程序 ( 例如線路啟動或進入 VTY 線路的連線 ) 時。

只要透過控制台埠啟動使用者 exec 會談 , 就可啟動 exec 標題訊息。

進入的 (incoming) 標題訊息您可以設定這種標題 , 顯示在連結至反向 telnet 線路的終端機上。

這種標題訊息有助於提供指示給使用反向 telnet 的使用者。

85

標題訊息登入 (login) 標題訊息您可以設定登入標題訊息 , 顯示在所有連結的終端機。這種標題訊息顯示在 MOTD 標題之後 , 但在登入提示列之前。

這種登入標題不可以個別關閉某一線路 , 如果您要整體關閉 , 必須利用 no banner login 命令來刪除。

以下是登入標題訊息的一個例子：

86

標題訊息

您應該非常熟悉以上的登入標題訊息－這就是 Cisco ISR 路由器之預設組態中的標題訊息 , 它會顯示在 MOTD 標題訊息之後、登入提示列之前。

87

設定密碼有 5 個密碼可用來保護您的 Cisco 路由器：控制台密碼、輔助埠密碼、 telnet (VTY) 密碼、enable 密碼、以及 enable secret 密碼。

enable 密碼和 enable secret 密碼是要用來設定密碼 , 以保護特權模式的。使用 enable 命令時 , 提示列會要求使用者輸入密碼。

另外 3 個密碼是當使用者透過控制台埠、輔助埠、或 telnet 來存取使用者模式時所需的。

以下說明每一種密碼。

88

enable 密碼 enable 密碼要在整體設定模式下設定 , 例如：

以下說明 enable 密碼的參數： last-resort 如果您透過 TACACS 伺服器來設置認證 , 而當 TACACS 伺服器無法使用時 , 這讓您仍然可以進入路由器。

89

enable 密碼但假若當時 TACACS 伺服器有在運作 , 則不能使用這個密碼。

password 在 10.3 版以前的老舊系統中設定 enable 密碼 , 但如果有設定 enable secret 密碼 , 則不會用到這個密碼。

secret 這是較新的、加過密的密碼 , 如果有設定 , 則會蓋掉 enable 密碼。

Use-tacacs 告訴路由器要透過 TACACS 伺服器來進行認證。

90

enable 密碼如果您有成打、或甚至上百部路由器 , 這會非常方便 , 畢竟誰會想要享受更改 200 部路由器密碼的樂趣呢？

如果透過 TACACS 伺服器 , 則只要改變一次即可！

以下是設定 enable 密碼的例子：

91

enable 密碼如果您試著設定相同的 enable secret 與 ena

ble password, 則路由器會給您一個客氣的警告 , 請您更改第 2 個密碼。

如果您的路由器不是老舊的專屬路由器 , 則甚至不會使用 enable password 。

使用者模式的密碼要靠 line 命令來指定：

92

enable 密碼

以下是我們關心的參數： aux 為輔助埠設定使用者模式密碼 , 我們通常用輔助埠來連結數據機到路由器 , 也可以用它來當做控制台。

console 設定使用控制台的使用者模式密碼。 vty 設定路由器上的 telnet 密碼 , 如果沒有設定這個密碼 , 預設上就不能使用 telnet 。

93

enable 密碼要設定使用者模式的密碼 , 必須設定想要的線路 , 並且使用 login 或 no login 命令來告訴路由器 , 要求它提示認證的訊息。

下一節就為每一種線路組態的設定提供逐列的範例。

94

輔助密碼要設定輔助密碼 , 需進入整體設定模式 , 並且輸入 line aux ?, 您將發現只能選擇 0 - 0 ( 這是因為只有一個埠 ) ：

95

輔助密碼記得輸入 login 命令是很重要的 , 否則輔助埠不會提示認證的要求。

除非您設定了密碼 , 否則不讓您設定 login 命令。

因為如果您為某個線路設定了 login 命令 , 然後卻不設定密碼 , 那麼該線路根本不能使用 , 它會出現提示訊息 , 要求一個不存在的密碼。

所以這是好東西－一種功能 , 而非麻煩！

96

控制台密碼要設定控制台密碼 , 請使用 line console 0 命令。但當我們試著從 (configline) # 提示列輸入 line console 0 ?, 會發生什麼事呢－會收到錯誤訊息。

您仍然能輸入 line console 0, 而且會被接受 , 但輔助畫面就是不能在這個提示列運作。

請輸入 exit 以退回一個層級 , 然後輔助畫面就可正常運作。

這其實是個 " 功能 ", 真的。

97

控制台密碼例如：

因為只有 1 個控制台埠 , 所以只能選擇 line console 0 。您可以為所有的線路設一樣的密碼 , 但為了安全起見 , 建議您最好設不一樣。

98

控制台密碼對於控制台埠 , 還有幾個其他重要的命令必須知道。 exec-timeout 0 0 命令會將控制台 EXEC 會談的逾時計時器 (timeout) 設成 0, 也就是絕不會逾時。

這個計時器的預設值是 10 分鐘 ( 如果您很淘氣 , 試著將它設為 0 1, 就會使控制台的逾時計時器定為 1 秒！

而且若要加以修正 , 您得在更改計時器的同時 , 另一隻手必須持續不斷地壓向下的箭頭鍵！ ) 。

99

控制台密碼 logging synchronous 這是個非常好的命令 , 應該定為預設命令 , 可惜不是。

它能防止控制台螢幕上不斷跳出擾人的控制台訊息 , 干擾您正在輸入的命令。

這些訊息還是會跳出來 , 但卻仍然讓您回到您的路由器提示列 , 而不插斷您的輸入。這使得輸入的訊息比較容易解讀。

100

控制台密碼以下是如何設定這 2 個命令的例子：

101

telnet 密碼要為 telnet 至路由器的存取權設定使用者模式的密碼 , 必須使用 line vty 命令。

對於沒有執行企業版 Cisco IOS 的路由器 , 預設會有 5 條 VTY 線路－ 0 到 4 。但如果您有企業版 , 就會有更多。

找出路由器共有幾條 VTY 線路的最佳方式就是利用問號：

102

telnet 密碼

記住 , 從 (config-line) # 提示列無法得到輔助說明 , 您得退回特權模式才能用 (?) 的功能。

所以如果您試著 telnet 至一部沒有設定 VTY 密碼的路由器會如何呢？

您會收到錯誤訊息 , 告訴您連線被拒絕 , 因為密碼沒有設。因此 , 如果您 telnet 至一部路由器 , 並且收到這樣的訊息。

103

telnet 密碼

這表示遠端路由器 ( 這個例子是 SFRouter) 沒有設定 VTY (telent) 密碼。

但您可以利用 no login 命令 , 告訴路由器允許沒有密碼的 telnet 連線 , 以避開這個問題。例如：

104

telnet 密碼為路由器設好 IP 位址之後 , 就可利用 telnet 程式來設定與檢查您的路由器 , 而不需要使用控制台纜線。

您可以在任何命令提示列 (DOS 或 Cisco) 輸入 telnet 來使用 telnet 程式。

第 5 章會更徹底地討論這個主題。

105

建立 SSH 除了 Telnet, 您還可以使用 Secure Shell (SS

H)；相對於 Telnet 應用會使用未加密的資料流 , SSH 可以建立更安全的會談。

SSH 使用加密金鑰來傳送資料 , 所以使用者名稱和密碼就不會以明文傳送。

下面是設定 SSH 的步驟： 1. 設定主機名稱：

106

建立 SSH 2. 設定網域名稱 ( 要產生加密金鑰必須要有主機名稱和網域名稱 ) ：

3. 產生安全會談所需要的加密金鑰：

107

建立 SSH 4. 設定 SSH 會談的最大閒置計時器：

5. 設定 SSH 連線的最大失敗嘗試次數：

6. 連到路由器的 vty 線路：

108

建立 SSH 7. 最後 , 設定 SSH 組態並且使用 Telnet 做為存取協定：

如果在命令字串的結尾沒有使用關鍵字 telnet, 則只有 SSH 會在路由器上運作。

筆者並非要建議您兩者擇一使用 , 只是您一定要知道 SSH 比 Telnet 安全。

109

對密碼加密因為預設上只有 enable secret 密碼會被加密 ,

對於使用者模式密碼與 enable 密碼的加密 , 必須手動地設定。

在執行 show running-config 命令時 , 除了 enable secret 密碼之外 , 您可以看到所有其他的密碼 , 例如：

110

對密碼加密

111

對密碼加密

要手動地為您的密碼加密 , 請使用 service password-encryption 命令 , 例如。

112

對密碼加密

113

對密碼加密

114

對密碼加密

這樣密碼就被加密了。您只要為密碼加密 , 執行 show run, 然後關閉加密的命令 , enable 密碼與線路密碼就都被加密了。

115

對密碼加密好的 , 在我們往下學習如何設定路由器的說明之前 , 先讓我們多討論一下如何對密碼加密。

如之前所說的 , 如果您設定密碼 , 然後打開 service password-encryption 命令 , 那麼在關閉加密服務之前必須先執行 show runningconfig 命令 , 否則您的密碼將不會被加密。

您完全不必關閉加密服務；您只有在路由器處理速度很慢時才需要這樣做。而且如果您在設定密碼之前先打開服務 , 您甚至不用檢視它們就可以進行加密了。

116

說明設定界面的說明有益於管理 , 而且跟主機名稱一樣 , 這種說明只在本機有意義。

description 命令是個有用的命令 , 例如您可以用它來記錄電路編號：

117

說明您可以用 show running-config 或 show in

terface 命令來檢視界面的說明 , 例如：

118

說明

119

description ：有幫助的命令鮑伯是舊金山 Acme 公司的資深網管員 , 公司有 50 條廣域網路的鏈路連至遍佈美國與加拿大的各個分公司。

每當有界面運作不正常時 , 鮑伯就得花許多時間去找出該電路號碼 , 以及該廣域鏈路的供應商電話。

界面的 description 命令對鮑伯非常有用 , 因為它不只可以在區域網路的鏈路上使用這個命令 , 以便能知道每個路由器界面連結到哪裡。

120

description ：有幫助的命令而且最有用的是 , 他還可以增加電路編號與供應商的電話號碼到每個廣域網路界面。

雖然增加這些資訊到每個路由器界面可能得花鮑伯幾小時的時間 , 但每當廣域網路故障時 ( 它們就是會故障！ ), 就可節省不少寶貴的時間 , 時間就是金錢。

121

執行 do 命令從 IOS 12.3 版開始 , Cisco 終於在 IOS 中加入一個命令 , 能夠在設定模式內檢視組態和統計值

( 在前一節的例子中 , 所有的 show 命令都是在特權模式下執行的 ) 。

事實上 , 在 12.3 版之前的路由器上 , 如果您嘗試在整體設定模式檢視組態 , 就會得到下列的錯誤：

122

執行 do 命令在執行 12.4 IOS 的路由器中輸入相同的命令 ,

則會得到下面的輸出：

123

執行 do 命令所以 , 基本上您現在可以從任何的設定提示列中執行任意的命令－很酷吧！

回到對密碼加密的例子中 , do 命令可以讓整個活動開始得更快－所以這真的是個非常非常好的東西！

124

4 - 4 路由器界面界面組態是最重要的路由器組態之一 , 因為如果沒有界面 , 路由器就會變成廢物。而且界面組態必須精確到能夠與其他裝置通訊。

界面組態包括網路層位址、傳輸媒介類型、頻寬、以及其它的管理員命令。

不同的路由器使用不同的方法來選擇它們上面所用的界面。

例如 , 以下的命令顯示 Cisco 2522 路由器有 10 個序列界面 , 標號從 0 到 9 。

125

路由器界面

現在讓我們來選擇所要設定的界面 , 之後就會處於特定界面的界面設定模式之中。

例如 , 選擇序列埠 5 的命令如下：

2522 路由器有一個乙太網路 10BaseT 埠 , 而輸入 interface ethernet 0 可以設定該界面。

126

路由器界面例如：

如同之前所展示的 , 2500 路由器是一種固定組態的路由器 , 這表示當您購買這種機型時 , 就會擁有一組固定的實體組態。

這正是為什麼筆者不會大量使用它們的原因 , 筆者再也不會在營運環境中使用它們。

127

路由器界面界面的設定一定是用 interface 類型編號 , 但

2600 與 2800 系列的路由器 ( 其實任何 ISR 路由器都是 ) 則使用路由器中的實際插槽 (slot), 加上插入插槽之模組上的埠號。

所以模組路由器上的設定就變成 interface 類型插槽 / 埠號 , 例如：

128

路由器界面

而且您不可以只輸入 int fastethernet 0, 必須輸入完整的命令：類型插槽 / 埠號或 int fastethernet 0 / 0 或 int fa 0 / 0 。

ISR 系列基本上也是一樣 , 只是您可以有更多的選擇。

例如 , 內建的乙太網路界面可以用和 2600 系列相同的組態設定來運作。

129

路由器界面

但其餘的模組就不同了－它們會使用 3 個數字、而非 2 個。第一個 0 是路由器本身 , 然後再選擇插槽 , 然後是埠號。

下面是 2811 的序列界面範例：

130

路由器界面

這看起來好像有點不確定 , 但其實並沒有那麼困難。它能協助提醒您永遠應該先查看運行組態的輸出 , 以便知道您必須處理哪些界面。

下面是 2801 的輸出：

131

路由器界面

132

路由器界面

133

路由器界面為了簡潔起見 , 上面並沒有包含完整的運行組態 , 但是您需要的都已顯示。

您可以看到有 2 個內建的乙太網路界面、位於 0 號插槽的 2 個序列界面 (0 / 0 / 0 和 0 / 0 / 1) 、位於 1 號插槽的序列界面 (0 / 1 / 0) 、以及位於 2 號插槽的序列界面 (0 / 2 / 0) 。

一旦看過像這樣的界面之後 , 就比較容易瞭解這些模組是如何新增到路由器中。

134

路由器界面如果在 2500 上輸入 interface e0 、在 260

0 上輸入 interface fastethernet 0 / 0 、或是在 2800 上輸入 interface serial 0 / 1 / 0, 則您的動作就是在選擇一個界面來設定。

而且基本上 , 它們之後的設定方式都完全相同。接下來幾節 , 我們將繼續路由器界面的討論 , 包括如何啟動界面 , 並且設定路由器界面的 IP 位址。

135

啟動界面關閉界面的命令是 shutdown, 而打開它的命令是 no shutdown 命令。

如果界面是關閉的 , 則利用 show interfaces ( 或縮寫成 sh int) 命令時會顯示這種界面為管理性的關閉 (administratively down), 例如：

另一種檢查界面狀態的方式是 show running-config 命令 , 所有界面的預設都是關閉的。

136

啟動界面您可以利用 no shutdown ( 或縮寫成 no sh

ut) 命令來啟動界面 , 例如：

137

設定界面的 IP 位址雖然沒有一定要在路由器上使用 IP, 但這是人們最常使用的協定。

要設定界面的 IP 位址 , 必須在界面設定模式中利用 ip address 命令 , 例如：

不要忘了使用 no shutdown 命令來啟動界面 , 記得檢視 show interface 命令的結果 , 看它的狀態是否為管理性的關閉。

138

設定界面的 IP 位址 show running-config 也會告訴您這類資訊。如果您想要增加第 2 個子網路位址給界面 , 必須使用 secondary 參數。

但如果您輸入另一個 IP 位址 , 並且按下 Enter, 則會取代既有的 IP 位址與遮罩。這肯定是 Cisco IOS 最出色的功能。

因此 , 讓我們試試看 , 就利用 secondary 參數來增加第 2 個 IP 位址 , 例如：

139

設定界面的 IP 位址

筆者真的建議您不要在一個界面上使用多個 IP 位址 , 因為這樣很沒效率。

140

設定界面的 IP 位址不過我們仍然展示給您看 , 以免萬一您遇到的

MIS 主管熱愛糟糕的網路設計 , 並且要您管理它！

也許有一天會有人問您這類事情 , 但您會表現得很聰明 , 因為您知道！

141

運用引流 (︱ ) 這裡指的是輸出的修飾子。這個引流符號讓我們可以跋涉過所有的組態或其他的冗長輸出 , 而快速直接地達到我們的目的。

下面是個例子：

142

運用引流 (︱ )

143

運用引流 (︱ ) 因此 , 基本上引流符號 (輸出修飾子 ) 就是用來協助您以光速通過整個路由器組態的一片混亂 , 以抵達彼端。

當筆者在檢視很大的路徑表以尋找是否存在特定路徑時 , 就會經常用到它。下面是個例子：

要知道在這個路徑表中有超過 100 條項目 , 所以如果沒有引流符號 , 現在可能還在檢查那些輸出呢！

144

運用引流 (︱ ) 它是個很強的高效率工具 , 可以在組態中快速找到某一列 , 而省下大量的時間和功夫－或是像前面的例子 , 在很大的路徑表中找到單一筆路徑。

多花點時間玩一玩引流命令；能夠掌握它 , 您就會發現快速分析路由器輸出的新能力。

145

序列界面命令在進行序列界面的設定主題之前 , 您需要一些重要的資訊－例如這種界面通常會連結 CSU / DSU 類型的裝置 , 這種裝置提供時脈 (clock) 給連結路由器的線路 , 如圖 4.4 所示。

146

序列界面命令從圖中可看到序列界面透過 CSU / DSU 連結資料通訊設備 (Data Communication equipment, DCE) 網路 , 而且由 CSU / DSU 提供時脈給路由器界面。

但如果您有背對背 (back-to-back) 連接的組態 ( 例如圖 4.5 所示 , 在實驗環境中所用的環境 ), 其中一端－纜線的 DCE 端－必須提供時脈。

147

序列界面命令

根據預設 , Cisco 路由器是資料終端設備 (Data Terminal Equipment, DTE) 的裝置 , 所以如果您需要界面扮演 DCE 裝置 , 必須設定界面來提供時脈。

148

序列界面命令但在營運環境的 T1 連線則不用提供時脈 , 因為會有 CSU / DSU 連接您的序列界面 , 如圖 4.4 所示。

以下利用 clock rate 命令來設定 DCE 序列界面：

149

序列界面命令

150

序列界面命令

151

序列界面命令 clock rate 命令的單位是每秒位元數。除了檢查纜線的端點 , 看是否有 DCE 或 DT

E 的標籤外 , 還可利用 show controllers 命令來查看路由器的序列界面是否有連結 DCE 纜線。

以下是顯示 DCE 連線的輸出範例：

152

序列界面命令下個需要熟悉的命令是 bandwidth 命令。每部 Cisco 路由器出貨時 , 預設的序列鏈路頻寬是 T-1 (1.544 Mbps) 。

但這與資料如何在鏈路上傳輸是無關的 , 序列鏈路的頻寬是給遶送協定 ( 如 EIGRP 與 OSPF) 計算抵達遠端網路的最佳成本用的。

因此 , 如果您使用 RIP 遶送 , 則序列鏈路的頻寬設定是不重要的 , 因為 RIP 只使用中繼站的數目 (hop count) 來決定最佳路徑。

153

序列界面命令以下是個使用 bandwidth 命令的例子：

您是否注意到 , 不像 clock rate 命令 , bandwith 命令是以仟位元的單位來設定的。

154

4 - 5 檢視、儲存、與清除組態設定執行裝配模式時 , 它會問您是否想要使用剛剛產生的組態設定。

如果您回答 " 是的 ", 它就會把 DRAM 中執行的組態 ( 所謂的運行組態 , runningconfig) 拷貝至 NVRAM 中 , 並且稱這個檔案為啟動組態 (startup-config) 。

希望您總是用到 CLI 或 SDM, 而不是裝配模式。

155

檢視、儲存、與清除組態設定您可以利用 copy running-config startup-co

nfig 命令 ( 可以縮寫成 copy run start), 手動地儲存 DRAM 中的檔案至 NVRAM 中。

例如：

當您看到某問題有個答案在 [] 中 , 這表示只按下 Enter 鍵就是要選擇中括號裡的預設答案。

156

檢視、儲存、與清除組態設定此外 , 當這個命令要求目的檔名稱時 , 預設的答案是 "startup-config" 。

這個命令會這樣問的理由是 , 因為您可以拷貝到任何您想要的地方。請看以下的輸出：

157

檢視、儲存、與清除組態設定

我們會在第 5 章更進一步地討論拷貝的方法與位置。

您可以在特權模式下利用 show running-config 或 show startup-config 命令來檢視這些檔案。

158

檢視、儲存、與清除組態設定 sh run 命令 (show running-config 命令的縮寫 ) 告訴我們的是目前的組態 , 例如：

159

檢視、儲存、與清除組態設定 sh start (show startup-config 的一種縮寫 ) 命令告訴我們路由器下次重新載入時所用的組態。

它也告訴我們啟動組態檔到底需要多少 NVRAM 。

例如：

160

刪除組態並重載路由器您可以利用 erase startup-config 命令來刪除啟動組態檔 , 例如：

161

刪除組態並重載路由器如果在使用 erase startup-config 命令之後 , 重新載入或關機後再啟動路由器 , 則畫面會提供裝配模式 , 因為 NVRAM 中已經沒有儲存任何組態了。

您可以按 Ctrl + C 來結束裝配模式 (reload 命令只能在特權模式下使用 ) 。

此時您不應該使用裝配模式來設定路由器 , 裝配模式是為不會使用 CLI 的人設計的 , 現在這已不適合您！

162

確認組態設定很明顯地 , show running-config 命令是確認目前組態的最佳方式 , 而 show startup-config 是確認路由器下次重新載入所用之組態的最佳方式－對吧？

一旦檢視過運行組態 , 而且一切看起來正常 , 那麼就可以利用 ping 與 telnet 等公用程式來確認您的設定。

ping 是一種利用 ICMP 回聲請求與回應的程式。

163

確認組態設定 ping 傳送封包給遠端的主機 , 如果該主機有回應 , 您就知道該主機還活著 , 但不知道它是否運作得很好－能 ping 到微軟伺服器不表示您就能登入！

雖然如此 , ping 仍然是檢修互連網路的第一步。您知道 ping 可以用不同的協定嗎？是的 , 您可以在路由器的使用者模式或特權模式的提示列輸入 ping ? 來測試這點。

164

確認組態設定

如果您想要找尋鄰居 (neighbor) 的網路層位址 , 要不就要到該路由器或交換器本身。

165

確認組態設定或者也可以輸入 show cdp entry * protocol 命令來取得您需要 ping 的網路層位址。

traceroute 使用 ICMP 與 IP 的存留時限 (Time To Live, TTL) 來追蹤封包在互連網路中所經過的路線 , 而不像 ping 只是發現主機與回應。

traceroute 也可以使用多種協定。

166

確認組態設定

telnet 、 FTP 、 HTTP 是最適合的工具 , 因為它們使用網路層的 IP 與傳輸層的 TCP 來與遠端主機建立會談。

如果能 telnet 、 ftp 、或 http 至一部裝置 , 表示您的 IP 連通性沒有問題。

167

確認組態設定從路由器的提示列只要輸入主機名稱或 IP 位址 , 路由器就會假定您想要進行 telnet －不需要輸入真正的 telnet 命令。

以下各節教您如何確認界面的統計資訊。

168

show interface 命令另一種確認組態設定的方法是輸入 show inte

rface 命令。首先讓我們輸入 show interface ?, 以顯示所有可設定的界面。

這個命令在確認與檢修路由器和網路問題時非常有用 , 以下的輸出是從一部剛剛清除並且重開機的 2811 路由器產生的：

169

show interface 命令

170


171

show interface 命令真實的實體界面是 FastEthernet 、 Serial 、與 Async 等 , 其餘的都只是邏輯界面或確認的命令。

下個命令是 show interface fastethernet 0 / 0, 這告訴我們硬體位址、邏輯位址、封裝方法、以及碰撞上的統計。例如：

172


173


接下來我們要討論這個輸出中的重要統計值 , 但首先 , 為了娛樂 ( 這些都很有趣 , 不是嗎？ ), 筆者要先問問您 , FastEthernet 0 / 0 是哪個子網路的成員 , 以及它的廣播位址和有效主機範圍為何？

您真的應該要能火速地找出這些東西。不過我們還是提一下它的位址是 192.168.1.33 / 27 。

174

show interface 命令而且老實說－如果您到現在還不知道 / 27 是什麼 , 那您要通過考試可能得需要奇蹟 (/ 27 就是 255.255.255.224) 。

第 4 個位元組的區塊大小為 32 。子網路是 0 、 32 、 64 、…； FastEthernet 界面是在 32 子網路；廣播位址是 63；而且有效主機為 33 - 62 。

前面的界面看來運作得不錯。

175

show interface 命令 show interfaces 命令會顯示該界面是否有收到錯誤 , 以及最大傳輸單位 (MTU) 、頻寬 (BW) 、可靠度 (255 / 255 代表一切都美好 ) 、和負載 (1 / 255 代表沒有負載 ) 。

繼續前面的輸出 , 則界面的頻寬是多少？嗯 ~ 假設忽略界面名稱「 FastEthernet」的提示 , 我們還是可以看到頻寬是 100000 Kbit, 相當於 100, 000, 000, 也就是每秒 100 Mbit 的快速乙太網路。

Gigabit 則是每秒 1000000 Kbit 。

176

show interface 命令 show interface 命令的最重要統計值是線路與資料鏈結協定狀態的輸出。

如果輸出顯示 FastEthernet 0 / 0 是啟動的 , 而且線路協定也是啟動的 , 則界面就是啟動且正在運作中 , 例如：

第 1 個參數參考到實體層 , 當它收到傳輸媒介的偵測信號時是啟動的。

177

show interface 命令第 2 個參數參考到資料鏈結層 , 並且從連結端尋找 keepalive 訊號 (keepalive 是裝置之間用來確認線路有沒有斷掉的訊號 ) 。

以下的例子是經常會在序列界面上發現到的問題：

如果您發現線路是啟動的 , 但協定沒有 , 如以上所示 , 則可能面臨的是時脈 (keepalive) 或訊框封裝的問題－可能是封裝的方法不匹配。

178

show interface 命令請檢查兩端有關 keepalive 的設定 , 以確定他們是否匹配 , 如果需要的話是否有設定時脈 , 以及兩端的封裝方法是否一樣。

這樣的輸出可視為資料鏈結層出問題。如果您發現線路界面與協定都沒有作用 , 則是纜線或界面的問題。以下的輸出可視為實體層出問題。

179

show interface 命令如果有一端被管理性地關閉 ( 如下所示 ), 則另一端呈現的將會是線路界面與協定同時都沒有作用 , 例如：

要啟動界面 , 請在界面設定模式下使用 no shutdown 命令。

接下來的 show interface serial 0 / 0 / 0 命令展示序列線路與最大傳輸單元 (Maximum Transmission Unit, MTU) －預設是 1500 位元組。

180

show interface 命令它也顯示所有 Cisco 序列鏈路上的預設頻寬：

1.544 Kbps 。這是供遶送協定 ( 如 EIGRP 與 OSPF) 決定線路頻寬用的。另一個值得注意的重要組態是 keepalive, 預設值是 10 秒。

每部路由器每隔 10 秒會傳送 keepalive 訊息給它的鄰居 , 如果兩部路由器沒有設定相同的 keepalive 間隔 , 就無法運作。

181


182


您可以藉由 clear counters 命令來清除界面上的計數器 , 例如：

183


184


185

show ip interface 命令 show ip interface 命令提供有關路由器界面之第 3 層設定的資訊 , 例如：

186

show ip interface 命令

這些輸出包括界面狀態、 IP 位址與遮罩、界面上是否有設置存取清單等資訊、以及基本的 IP 資訊。

187

使用 show ip interface brief 命令 show ip interface brief 命令可能是 Cisco 路由器上最有用的命令之一 , 這個命令提供路由器界面的精簡概要 , 包括邏輯位址與狀態。

例如：

188

使用 show ip interface brief 命令記住 , 管理性的關閉 (administratively down) 表示您需要在該界面之下輸入 no shutdown 。

Serial0 / 0 / 0 的輸出是 up / down, 表示它的實體層沒有問題 , 而且也感測到媒介的偵測信號 , 但卻沒能收到遠端來的 keepalive 信號。

在非營運的網路中 , 這表示時脈的速率沒有設好。

189

show protocols 命令 show protocols 命令是非常有用的命令 , 可用來檢視每片界面之第 1 層與第 2 層的狀態 , 以及所用的 IP 位址。

例如：

190

使用 show controllers 命令 show controllers 命令顯示實體界面本身的資訊 , 它也提供插入序列埠的序列纜線種類。

通常這只會是 DTE 纜線 , 它會插入某種資料服務單元 (Data Service Unit, DSU) 。

191

使用 show controllers 命令請注意 serial 0 / 0 有一條 DTE 纜線 , 而 s

erial 0 / 1 有一條 DCE 纜線。 serial 0 / 1 必須提供時脈 ( 用 clock rate 命令 ), 而 serial 0 / 0 則會從 DSU 得到它的時脈。

現在再度檢視這個命令。在圖 4.6 中 , 看到在兩台路由器間的 DTE /

DCE 纜線嗎？別忘了在營運網路上是不會看到它們的。

192

使用 show controllers 命令

R1 路由器有一條 DTE 連線－所有 Cisco 路由器的預設。 R1 和 R2 無法溝通路由器。

請使用 show controllers s0 / 0 命令來檢查輸出。

193


show controllers s0 / 0 命令顯示界面是 V.35 的 DCE 纜線。這表示 R1 必須提供連到 R2 路由器之線路的時脈。

基本上 , 如圖 4.6 所示 , R1 路由器序列界面上的纜線標示錯誤。但如果將時脈加到 R1 路由器的序列界面上 , 則網路應該能正常地啟動。

194

使用 show controllers 命令接著檢視圖 4.7 的問題－這可以使用 sho

w controllers 命令來解決。同樣地 , R1 和 R2 路由器之間無法溝通。

下面是 R1 的 show controllers s0 / 0 命令和 show ip interface s0 / 0 命令的輸出。

195


如果使用 show controllers s0 / 0 命令和 show ip interface s0 / 0 命令 , 就可以看到 R1 路由器並沒有收到線路的時脈。

196

使用 show controllers 命令這個網路是個非營運網路 , 所以沒有真正連接

CSU / DSU 來提供這條線路的時脈。這表示纜線的 DCE 端會提供線路的時脈速率－在此情況下是指 R2 路由器。

show ip interface 指出這個界面已經啟動 , 但是協定是關閉的 , 這表示界面沒有收到任何遠端的 keepalives 信號。

在這個範例中 , 纜線不良或沒有時脈是最可能的嫌疑犯。

197

4 - 6 Cisco 的安全裝置管理員 (SDM)

最後 , 終於輪到 Cisco 的 SDM 。這個美妙的工具是用來協助您從 HTTP 或 HTTPS 介面來設定路由器的組態。

事實上 , Cisco 過去的確也有做過類似的東西 , 但老實說 , 它就是沒辦法運作得很好。

不過這次真的很棒喔！而且 , 從 Cisco 830 系列到 7301 的路由器機型都有 SDM 。

此外 , 所有新的 850 、 870 、 1800 、 2800 、和 3800 系列路由器上都已經預先安裝好了。

198

Cisco 的安全裝置管理員 (SDM) 但是這裡有個陷阱。雖然 SDM 確實是非常棒的工具 , 但是它最好是用在進階的組態設定－而不是像本章中使用的那些非常小而簡單的組態。

假設您想要在路由器上設定進階的存取清單、使用 IPSec 的 VPN 、以及入侵防護 , 則 SDM 就非常適合。

您甚至不用知道 IPSec 是甚麼 , 就可以完成設定並且讓它運作。

199

Cisco 的安全裝置管理員 (SDM) 但是同樣地 , 這有好也有壞。當然 , 我們現在可以更容易地處理進階的組態設定 , 但同時 , 幾乎任何人也都可以做這件事！

接下來要說明如何登入使用 SDM；設定主機名稱、標題訊息、 enable secret 密碼；以及在路由器上指定 DHCP 和指定界面的 IP 位址。

如果一切順利 , 在本節之後 , 您將會發現 SDM 真的很好用。

200

Cisco 的安全裝置管理員 (SDM) 因為當您在閱讀關於 IOS 、 NAT 、無線技術、和安全等章節時 , 可以看到跟過去必須與基本的 IOS 路由器設定奮鬥的情況相比 , SDM 確實很有用。

每一章都會稍微使用 SDM, 以說明它所提供的簡易操作 , 以及它的複雜度。

同時 , 我們也會真實地呈現 SDM 的限制。老實說 , 筆者可以寫一本關於 SDM 的專書 , 不過不必如此 , 因為 Cisco 已經這樣做了。

201

Cisco 的安全裝置管理員 (SDM) 要知道 SDM 的詳細資料 , 請參考

www.cisco.com/go/sdm。此外 , 新的路由器通常會附帶一片 CD, 逐步地帶著您實際接上路由器 , 並且完成組態設定 ( 個人覺得有點過份詳細 ), 但是要連接路由器並使用 SDM, 其實真的並不需要這片 CD 。

您所需要的只是有提供支援的 ISR 路由器 (1800 / 2800 等 ), 並且能夠從 www.cisco.com/pcgi-bin/tablebuild.pl/sdm 下載最新版本的 SDM, 以及在電腦和路由器上安裝它的指令。

202

Cisco 的安全裝置管理員 (SDM) 利用這個網站 , 不僅可以在電腦上安裝 SDM 以加速連到路由器時的 SDM 頁面載入 , 還可以使用 Cisco 的 SDM demo 。

要設定主機以登入並使用 SDM, 首先必須確定路由器組態已經設定完成。在前一節中 , 我們刪除了組態設定並重載路由器 , 所以必須從零開始。

但這其實並不困難 , 您只要選擇路由器的一個 LAN 界面 , 然後使用交叉式纜線直接將主機與路由器相連就好了。

203

Cisco 的安全裝置管理員 (SDM)

204

Cisco 的安全裝置管理員 (SDM) 這些是什麼呢？在這些組態設定中 , 我們設定了 FastEthernet 界面的 IP 位址 , 並且使用 no shutdown 命令開啟它。

接著 , 在路由器提示列下 ping 直接相連的主機 , 以測試其連通性 (若要透過 SDM 連結 , 這是最起碼的組態設定 ) 。

從這裡開始 , 只要打開瀏覽器 , 開放彈出式視窗功能 , 輸入 http://1.1.1.1, 連上後遵循其簡單的提示列即可。

205

Cisco 的安全裝置管理員 (SDM) 如果您希望使用 HTTPS 來設定路由器 , 以便在連線時能夠存取特權模式 (代表我們要將路由器設回原本的預設組態 ), 則有不同的做法。

您必須多加一些命令。首先 , 開啟 HTTP / HTTPS 伺服器 ( 如果路由器沒有進階服務的 IOS, 就不能支援 HTTPS) ：

206

Cisco 的安全裝置管理員 (SDM) 接著 , 使用特權等級 15 ( 最高等級 ) 來建立一個使用者帳號：

最後 , 設定控制台、 SSH 、和 Telnet, 以提供特權層級存取的本地登入驗證。

207


好啦！現在使用 HTTPS 連到我們的 2811 路由器！

208

Cisco 的安全裝置管理員 (SDM) 當我們透過 https://1.1.1.1 連線時 , 就會收到安全性警告訊息。

209

Cisco 的安全裝置管理員 (SDM) 接著使用剛才建立的帳號 / 密碼來登入。 SDM 開始載入並且告訴我們要等一下 , 代表它需要一點時間來載入另一個視窗。不要關閉這個視窗。

210

Cisco 的安全裝置管理員 (SDM) 使用 ip htp-secure-server 命令建立的憑證會載入路由器。選擇點選永遠信任這個出版者的內容 , 然後按下 Yes 。

211

Cisco 的安全裝置管理員 (SDM) 當然 , 這個憑證無法符合任何網點的名稱 , 所以必須跟它確認我們要執行。

212

Cisco 的安全裝置管理員 (SDM) 接著必須再次登入並且等待 SDM 載入 , 此時 ,

路由器要求我們修改預設的使用者名稱和密碼。

213

Cisco 的安全裝置管理員 (SDM) 最後－是的！連上 SDM 了！

214

Cisco 的安全裝置管理員 (SDM) 點選上方的 Configure 按鈕 , 選擇逐步完成界面組態設定。

首先選擇想要設定的界面類型 , 然後按下方的 Create New Connection 按鈕。根據所選擇要設定的界面 , 它會開啟 LAN 或 WAN 的精靈 ( 第六章會使用界面精靈來設定路由器界面 ) 。

215

Cisco 的安全裝置管理員 (SDM) 點選 Edit Interface / Connection 頁籤 , 觀察界面狀態。

216

Cisco 的安全裝置管理員 (SDM) 還沒完呢－雙擊某個界面以進行編輯 (只有在做完 LAN 或 WAN 精靈 , 並且設定好界面後才能這樣做 ) 。

217

Cisco 的安全裝置管理員 (SDM) 在精靈頁面的左下方 , 點選 Additional Task

s 按鈕。之後 , 點選 Router Properties 圖示。

218

Cisco 的安全裝置管理員 (SDM) 您可在此設定主機名稱、 MOTD 標題訊息、 e

nable secret 密碼。最後 , 點選 DHCP 資料匣 , 然後點選 DHCP pool 圖示。

選擇 Add 並且在路由器上建立一個 DHCP pool 。

219

Cisco 的安全裝置管理員 (SDM) 現在來看看路由器上的組態：

220


221


從此處可以看到路由器建立了主機名稱、 DHCP pool 、和憑證。

222

Cisco 的安全裝置管理員 (SDM) 我們進行了許多準備工作 , 因為我們使用的是

HTTPS －使用 HTTP 會容易得多 , 而且也不需要這麼多的設定。

但是別忘了 , 我們是使用 ISR 預設組態來連線使用 SDM 。

本書後面也會繼續使用 SDM, 筆者強烈建議您自己取得 SDM, 並且開始熟悉它。

223

4 - 7 摘要這真是有趣的一章！我們討論了許多 Cisco IO

S 的相關資訊 , 希望您能對 Cisco 的路由器世界有更深刻的瞭解。

本章一開始講解 Cisco 互連網路作業系統 (IOS), 以及如何使用 IOS 來執行與設定 Cisco 路由器。您學到了如何啟動路由器 , 以及裝配模式所做的事。

順便一提的是 , 現在您已經知道如何進行基本的 Cisco 路由器設定 , 所以應該不會再使用裝配模式 , 對吧？

224

摘要除了討論如何連結路由器與控制台 , 連結路由器到區域網路 , 我們也討論了 Cisco 的輔助功能 , 以及如何使用 CLI 來找尋命令與命令參數。

此外 , 也討論一些基本的 show 命令 , 幫助您確認您的組態設定。

路由器上的管理性功能可以幫助您管理網路 , 讓您更清楚當時正在設定的裝置為何。

路由器密碼是最重要的設定之一 , 我們展示了 5 種密碼設定。此外 , 我們也利用主機名稱、界面說明、標題訊息來幫助您管理路由器。

225

摘要最後 , 我們展示了設定路由器的方法 , 讓您得以利用安全裝置管理員 (SDM) 連上您的路由器 , 並且加以設定。

利用 CLI 來設定基本的路由器功能非常簡單 , 但很快您就會學到如何利用 SDM 來設定更進階的組態。

Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

Documents

Transcript of Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)