一、结构篇
1.1、外部结构
console 口:本地连接进行配置
AUX : 进行路由器配置,一般先连接猫,猫再接我们的电脑,在我们的电脑上进行路由配置。当console挂了后,再连接AUX进行配置。
AUI口:以太口,只能连模块,模块连接RJ-45
Serial :广域网连接,串行线。
1.2、内部结构
RAM :断电后,信息立即消失。内有running-config文件。
ROM :内有iOS残像(完整iOS的阉割版),若网络设备崩溃了(无法从网络加载iOS系统镜像),真正iOS文件坏掉了,为了做故障恢复,会使用到ROM内部的iOS残像。
Flash :存放着当前路由器使用的iOS镜。
NVRAM :实现高速的数据存储,断电后也不会被删除(与RAM不同),内部存在startup-config配置文件,开机时要使用的文件,恢复关机前的配置。内部还有一个配置寄存器(Configuration Register ),作用是决定去哪里索引iOS系统。
Interfaces :转发流量 。
背板:背板的带宽越高,则路由越好
1.2.1、路由启动的顺序
1、执行加电自检
2、加载运行启动代码(NVRAM中的配置寄存器)
3、默认从flash找思科iOS系统
4、解压缩以及加载操作系统(将flash中的iOS导入RAM)
5、在NVRAM找启动配置文件(startup-config)
6、加载启动文件
7、运行操作系统配置
其中查找iOS的步骤:
1、检查配置寄存器(修改里面的值,可以指定去哪里加载iOS镜像)
2、看Nvram启动配置文件(startup-config)中是否有启动系统命令,若有,则根据此命令直接使用flash中特定的iOS,就不按顺序来启动系统镜像。若没有的话,则执行3
3、默认使用flash中第一个iOS文件,没有就顺次执行第二个镜像,若flash中都没有系统镜像,则执行4
4、尝试从网络服务器中引导(TFTP),若没有则执行5
5、使用RAM中的iOS残像
PS :
- 路由器开机时所有的配置均在RAM中的running-config文件中,在关机前必须手工将此文件导入NVRAM中,形成下次开机恢复关机前状态的startup-config.
2.配置寄存器的值由4位16进制数组成,其中第一位16进制数决定找iOS系统镜像的地址:
二、命令篇
2.1、路由命令模式
2.1.1、用户模式
2.1.2、特权模式
a).show命令是静态的,可以使用debug 结合日志文件进行动态监控,但是注意不要debug all ,否则会刷屏,CPU沾满。
b). 所有命令是可逆的,使用no进行命令的取消
c). 在reload之前一定要保存文件,因为没有自动保存功能。
d).保存文件的方法
1.copy x y ==>将x导入y :
Router#copy running-config startup-config
ram中的运行配置文件复制到nvram中的启动配置文件
2.write(wr) memoy ==> (将路由器的配置保存到非易失RAM(NVRAM)中)
e). erase 文件==>擦除文件(擦除干净)
f).更改时间
clock set 时间日期 =>设置时间日期
clock timezone GMT +8 ==>定义时区是东八区
sh clock ==>显示日期
h).show ip interface fastEthernet 0/0 ==>查看接口ip
2.1.3、全局配置模式
a).必须要从特权模式进入
b).主机名
hostname 名称(不许加空格) ==>更改主机名称
c).添加域
ip domain-name cisco.com ==>加入了思科域
no ip domain lookup ==>禁止错误命令解析(预配命令)
ip name-server 8.8.8.8 ==>指定域名服务器
d).越级操作时,在命令前面加上”do”
例如:在全局模式中默认不能使用show version ,若非要使用,就要” do show version”
2.1.4、特殊配置模式
a).此模式默认只能影响到一个部分
b).通过console口对路由器进行配置
Router(config)#line console 0 ==>此为进入console口
Router(config-line)#password “love” ==>设置密码
Router(config-line)#login ==>开启登录功能,并调用线下密码,即上面的"love"
设置后登录需要对应密码.以上影响的全是console端口。
c).防止日志破坏已经输入的命令,则在console口输入:
mysisco(config-line)#logging synchronous(预备命令)
此命令防止日志打断命令的输入。
d).长时间不操作,配置空闲会话超时时间
进入console
exec-timeout 0 0 :超时被关闭(企业别用)(预配命令)
exec-timeout 20 30 :时间是20分钟30秒
e).description 用于描述的文字 ===>进行相应的描述
f).shutdown 相关服务关闭 no shutdown 相关服务进行开启
在配置前要进行下面的三条命令,以方便操作:
(全局)no ip domain lookup ==>禁止错误命令解析
(console)mysisco(config-line)#logging synchronous
(console)mysisco(config-line)#exec-timeout 0 0
在关机前要运行:
mysisco(config-line)#copy running-config startup-config
保存信息,避免关机后信息丢失。
2.1.5、各个模式切换图
补充:
1、命名规则:
思科交换设备命名:从上到下,从左到右
2、命令解释:
命令"Router#sh int fa 0/0 "结果如下图:
3、命令和设备对应示意图:
2.2、管理路由器方式
2.2.1、console口登录
通过console线,连接路由器的console口,进行路由器的配置。
2.2.2、Telnet登录
vty接口:用于远程连接路由器,每个vty接口可以承载一个会话。即一个路由可以由多个设备同时管理。
Telnet登录条件:
a).双方联网并通信
b).在被网管设备上定义line vty接口的线下密码(进入line vty 后,使用”enable password “密码””,在由用户模式进入特权模式时会有密码。)
c).在被网管设备上定义enable秘钥
PS:
1、使用该方式网管设备,必须要求认证和设置”enable password 密码 “,且默认无系统日志提示。
2、认证设置:
Router(config)#username Admin password hello(必须要有)创造了一个本地认证数据库
3、vty中密码设置:
Router(config-line)#line vty 0 15
Router(config-line)# enable password hello #设置由用户模式进入特权模式的密码(默认必须要有)。
Router(config-line)#login local #调用本地数据库需要密码。使用vty线路的所有协议都需要使用local数据库认证。若删除则,no login local。
4、经过3、4的配置,远程用Telnet登录时,会默认登录用户模式,若想直接登录特权模式,则在创建本地认证数据库时使用:
r2(config)#username Admin privilege 15 password hello
此种方式就不需要使用”enable password 密码”来设置了,因为直接到特权模式,不经过用户模式的密码输入。
2.2.3、ssh登录
条件:
不能使用默认主机名,必须加入域名
配置步骤:
被管理设备中设置ssh版本和秘钥:
Router(config)#hostname r3 #更改主机名(必须)
r3(config)#ip domain-name cisco #加入域(必须)
r3(config)#crypto key generate rsa
The name for the keys will be: r2.cisco
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.
How many bits in the modulus [512]: 1024#设置秘钥长度
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
r3(config)#ip ssh version 2 #设置ssh的版本
验证证书创建:
r2(config)#username Admin privilege 15 password hello
r2(config)#lin vty 0 15
r2(config-line)#login local #使用本地数据库验证
管理设备:
r1#ssh -v 2 -l Admin 10.0.0.2
注:
1.ssh –v 版本号 –l 用户名,此例子直接登录特权模式。
2.在vty接口中,使用”transport input ?”来设置用什么方式进行远程连接,默认是all。
3.Telnet和ssh都要身份认证,至于”enable password 密码 ”要看进行身份认证时,有没有设置登录时的级别。
