1. 路由器和交換機的管理配置

雖然對于讓路由器或交換機在網(wǎng)絡中正常運行來說，路由器和交換機的管理配置的內(nèi)容并非生死攸關(guān),但它確實很重要。它的知識內(nèi)容可以幫助管理網(wǎng)絡的配置命令。

在路由器和交換機上，可配置的管理功能如下:

• 主機名;
• 旗標;
• 密碼;
• 接口描述。

別忘了,這些配置都不能讓路由器和交換機表現(xiàn)得更好或運行得更快，但請相信小編，只要花時間在每臺網(wǎng)絡設備上設置這些配置，你的工作將會更輕松。因為如果這樣做，排除網(wǎng)絡故障和維護網(wǎng)絡的工作將容易很多。下面小編在思科路由器上演示這些命令，但這些命令也完全適用于思科交換機哦!

2. 主機名

要設置路由器的身份，我們可使用命令hostname。這只對本地有影響，即不會影響路由器如何執(zhí)行名稱查找，也不會影響路由器在互聯(lián)網(wǎng)絡中的運行方式。

下面是一個例子：

雖然根據(jù)你的姓名配置主機名很有誘惑力,但根據(jù)路由器的位置來給它命名絕對是個更好的主意。這是因為根據(jù)設備實際所處的位置指定主機名時,查找它將容易得多。另外，這也有助于核實你當前是在正確的設備上進行配置。本章，小編將暫時保留主機名Todd,因為這很有趣哦，哈哈哈哈哈~~~

3. 旗標

配置旗標不僅僅是為了?？?配置旗標的一個充分理由是，可以給任何試圖通過遠程登錄或撥號連接你的互聯(lián)網(wǎng)絡的人發(fā)出安全警告。您可以創(chuàng)建一個旗標， 向任何登錄到路由器的人顯示你想告訴他的信息。

有4種類型的旗標: EXEC進程創(chuàng)建旗標( exec process creation banner )人站終端線路旗標incomingterminal line banner )、登錄旗標和每8消息旗標，請務必熟悉它們。下面的代碼說明了所有這些旗標：

MOTD ( Message OfThe Day,每日消息)是最常用的旗標。它向任何撥號或通過Telnet、輔助端口甚至控制臺端口連接路由器的人顯示一條消息，如下所示：

 

上述MOTD旗標告訴連接路由器的人，如果他是不請自來的，就請離開。其中需要說明的是分隔字符，它用于告訴路由器消息到什么地方結(jié)束。我們可使用任何分隔字符，但很明顯在消息中不能使用該字符。另外，輸人完整的消息后按回車,然后輸人分隔字符并按回車。不這樣做也可以，但如果有多個旗標，它們將合并成一條消息， 并占據(jù)一行。

例如，你可在一行中設置旗標，如下所示：

這完全可行，但如果再添加一條MOTD旗標消息，它們將合并到一行中。

下面介紹前面提到的其他旗標。

• EXEC旗標 可配置線路激活( EXEC)旗標，這種旗標在創(chuàng)建EXEC進程(如線路激活或有到來的VTY線路連接)時顯示。通過控制臺端口建立用戶EXEC會話時，我們將激活EXEC旗標。
• 入站旗標 可配置一個這樣的旗標，即在連接到反向Telnet 線路的終端上顯示。這種旗標可用于給使用反向Telnet的用戶提供操作說明。
• 登錄旗標 可配置在所有 連接的終端上顯示的登錄旗標。這種旗標在MOTD旗標之后顯示，并在登錄提示出現(xiàn)前顯示。我們不能基于線路禁用登錄旗標，而必須全局禁用它，為此必須使用命令no banner login 將其刪除。

下面是一個登錄旗標的例子：

任何曾登錄過ISR路由器的人，都相當熟悉上述登錄旗標，這是思科在其ISR路由器上默認配置的旗標。

注意：登錄旗標在登錄提示出現(xiàn)前顯示，并在MOTD旗標后顯示。

4. 設置密碼

用于確保思科路由器安全的密碼有5種:控制臺密碼、輔助端口密碼、遠程登錄(VTY)密碼、啟用密碼( enable )和啟用加密密碼( enable secret )。啟用密碼和啟用加密密碼控制用戶進人特權(quán)模式,在用戶執(zhí)行enable命令時要求他提供密碼。其他3種密碼用于控制用戶通過控制臺端口、輔助端口和Telnet進人用戶模式。

下面詳細介紹每一種密碼。

啟用密碼

在全局配置模式下設置啟用密碼，如下所示：

命令enable的參數(shù)如下。

• last-resort 在使用TACACS服務器進行身份驗證，但該服務器不可用時,讓你仍能進入路由器;如果TACACS服務器可用，則這種密碼將不管用。
• password 在10.3之前的老系統(tǒng)上設置啟用密碼，如果設置了啟用加密密碼，該密碼將不管用。
• secret 較新的加密密碼，如果設置了，將優(yōu)先于啟用密碼。
• use-tacacs 讓路由 器使用TACACS服務器進行身份驗證。如果有數(shù)十臺甚至更多的路由器，這將很方便，畢竟誰會希望在所有這些路由器上修改密碼?而使用TACACS服務器時，你只需修改一次密碼。

下面是一個設置啟用密碼的例子：

如果你將啟用加密密碼和啟用密碼設置成相同的，路由器將提醒你修改第二個密碼。如果你未使用老式路由器，根本就不需要使用啟用密碼。

進入用戶模式的密碼是使用命令line設置的：

下面是CCNA考試涉及的參數(shù)。

• aux 設置輔助端口的用戶模式密碼。輔助端口通常用于將調(diào)制解調(diào)器連接到路由器，但也可用作控制臺端口。
• console 設置控制臺 端口的用戶模式密碼。
• vty 設置通過 Telnet進入用戶模式的密碼。如果沒有設置這種密碼，默認將不能通過Telnet連接到路由器。

要配置用戶模式密碼，可配置相應的線路，并使用命令login讓路由器進行身份驗證。

5. 輔助端口密碼

要配置輔助端口密碼，請進人全局配置模式并輸入line aux ?。從下面的輸出可知，你只有一種選擇，那就是0,這是因為只有一個輔助端口：

注意：雖然思科在較新的IOS版本( 12.2和更高)中提供了這種“確保設置密碼”的功能，但并非所有IOs都有這種功能。請務必牢記這一點。

6. 控制臺端口密碼

要設置控制臺端口密碼，可使用命令line console 0。如果試圖在提示符(config-line)#下輸人命令line console ?,結(jié)果將如何呢?將出現(xiàn)一條錯誤消息。在該提示符下，我們可輸人命令line console 0，且該命令也會被系統(tǒng)接受,但在該提示符下幫助屏幕不管用。輸入exit后退一級，我們將發(fā)現(xiàn)幫助屏幕管用了。這也是一種特色。

下面是一個示例：

由于只有一個控制臺端口,因此我們只能選擇編號0。我們可將所有線路的密碼都設置成相同的，但出于安全方面的考慮，建議你將它們設置成不同的。還有其他幾個與控制臺端口相關(guān)的命令，你必須知道。

例如，命令exec-timeout 0 0將控制臺EXEC會話的超時時間設置為0,這意味著永遠不超時。默認的超時時間為10分鐘。(如果你喜歡惡作劇，可嘗試將其設置為0 1,這將把控制臺端口的超時時間設置為1秒。要修復這種問題，你必須不斷按向下箭頭，并用另一只手修改超時時間! )

logging synchronous是個很不錯的命令，應默認啟用，但并未如此。它可避免因不斷出現(xiàn)控制臺消息影響你的輸人。配置該命令后，這些消息仍會出現(xiàn)，但會等到返回到路由器提示符后再出現(xiàn)，不會中斷你的輸人。這樣，輸人信息將更容易閱讀。

下面的示例演示了如何配置這兩個命令：

注意：我們可將控制臺超時時間設置為00(永遠不超時)到35791分鐘2 147 483秒的任何值。默認為10分鐘。

7. Telnet密碼

要設置使用Telnet訪問路由器時進入用戶模式的密碼，我們可使用命令line vty。如果路由器運行的不是思科IOS企業(yè)版，它將默認有5條VTY線路: 0~4。但如果運行的是企業(yè)版，線路將多得多。要獲悉有多少條線路，最佳的方法是使用問號：

別忘了，在提示符(config-line)#下你無法獲取幫助。要使用問號(?),你必須返回全局配置模式。

如果你試圖遠程登錄沒有設置VTY密碼的路由器，結(jié)果將如何呢?你將看到一條錯誤消息， 它指出連接請求遭到拒絕，因為沒有設置密碼。因此，如果在試圖遠程登錄路由器時出現(xiàn)如下消息：

則說明遠程路由器(這里為SFRouter)沒有設置VTY ( Telnet)密碼。要繞開這種障礙，讓路由器在沒有設置Telnet密碼時也允許建立Telnet連接，我們可使用no login命令：

警告：除非在測試或課堂環(huán)境中,否則不建議使用no login 命令讓沒有設置密碼的路由器接受Telnet連接。在生產(chǎn)環(huán)境中，請一定設置VTY密碼。

給路由器配置IP地址后，我們便可使用Telnet程序配置和檢查路由器，而不必使用控制臺電纜。在任何命令提示符(DOS或Cisco)下，我們都可輸人telnet來運行Telnet 程序。

[[337572]]

8. 設置安全外殼(SSH)

我們可以使用安全外殼替代Telnet。與使用非加密數(shù)據(jù)流的Telnet 相比, SSH創(chuàng)建的會話更安全。SSH使用加密密鑰發(fā)送數(shù)據(jù)，以免以明文方式發(fā)送用戶名和密碼。

設置SSH的步驟如下。

(1)設置主機名：

(2)設置城名(為生成加密密鑰，必須有用戶名和城名)：

(3)將用戶名設置成支持SSH客戶端接入：

(4)生成用于保護會話的加密密鑰：

(5)在路由器上啟用SSH第2版。并非必須這樣做，但強烈推薦這樣做：

(6)進入路由器VTY線路配置模式：

(7)最后，指定依次將SSH和Telnet作為接人協(xié)議：

如果沒有在最后一個命令的末尾指定關(guān)鍵字telnet,路由器將只支持SSH。這里并不是要建議你使用哪種方式，而只是想說明SSH比Telnet更安全。

9. 對密碼進行加密

默認情況下，只有啟用加密密碼是加密的，要對用戶模式密碼和啟用密碼進行加密,必須手工進行配置。

在路由器上執(zhí)行命令show running-config 時，你將看到除啟用加密密碼外的其他所有密碼：

要手工配置密碼加密，我們可使用命令service password- encryption,如下例所示：

這樣，密碼就將被加密。在前面的示例中，我們對密碼進行了加密，然后執(zhí)行命令show run,最后取消了密碼加密。正如你看到的，啟用密碼和線路密碼都被加密了。

在全面介紹如何在路由器上設置描述前，我們先來詳細探討密碼加密。前面說過，如果你設置密碼并啟用命令service password-encryption，必須在禁用加密服務前執(zhí)行命令showrunning-config,否則密碼將不會被加密。并非一定要禁用加密服務,僅當路由器的CPU使用率很高時，你才需禁用加密服務。如果在設置密碼前就啟用了加密服務,則即使不查看密碼,它們也會被加密。

10. 描述

設置接口描述對管理員很有幫助，與主機名一樣,描述也只在本地有意義。命令description很有用，因為可用來標識電路號。

下面是一個示例：

要查看接口的描述，我們可使用命令show running-config 或show interface：

11. 真實案例

description——一個很有用的命令

Bob是Acme Corporation的一名責深網(wǎng)絡管理員，該公司位于舊金山,有50多條WAN鏈路連接到遍布美國和加拿大的分支機構(gòu)。每當有接口出現(xiàn)故障時，為確定它連接的電路,并找到該WAN鏈路提供商的電話號碼，Bob都需要花費大量時間。

對Bob來說，接口命令description很有幫助，因為他可使用這個命令確定每個路由器接

口連接的鏈路。通過給每個WAN接口添加電路號以及提供商的電話號碼，Bob受益匪淺。因此，若花幾小時給每個路由器接口添加這些信息，當WAN鏈路出現(xiàn)故障時(這樣的情況肯定會發(fā)生), Bob 將節(jié)省大量寶貴的時間。

12. 使用do命令

從IOS 12.3版起，思科終于在IOS中添加了一個這樣的命令，即讓你能夠在配置模式下查看配置和統(tǒng)計信息。

事實上，在任何IOS中，若我們試圖在全局配置模式下查看配置，都將看到如下錯誤消息:

下面是在運行IOS 12.4 版的路由器上使用do語法執(zhí)行該命令得到的輸出，請將上面的輸出與該輸出進行比較。

基本上，現(xiàn)在我們可在任何配置提示符下運行任何命令,這是不是很酷?對于前面的密碼加密示例，使用do命令絕對可以加快任務的完成速度,這確實是個非常好的命令!