思科路由器和交换机管理配置

在路由器和交换机上，可配置的管理功能如下：

• [ ] 主机名
• [ ] 旗标
• [ ] 密码
• [ ] 接口描述

1.主机名

1. 主机名。要设置路由器的身份，我们可使用命令 hostname

Router#config t
Enter configuration commands , one per 1ine. End with
CNTL/Z.
Router(config)#hostname Todd
Todd(config)#hostname At1anta
At1anta(config)#hostname Todd
Todd(config)#

2.旗标

配置旗标的一个充分理由是，可以给任何试图通过远程登录或拨号连接你的互联网络的人发出安全警告。您可以创建一个旗标，向任何登录到路由器的人显示你想告诉他的信息。

有 4种类型的旗标 :

• EXEC进程创建旗椒(exec process creation banner )

  可配置线路激活(EXEC)旗标，这种旗标在创建EXEC进程时显示。

• 入站终端线路旗标 (incoming terminalline banner )

  可配置一个这样的旗标，即在连接到反向 Telnet 线路的终端上显示。这种旗标可用于给使用反向 Telnet 的用户提供操作说明。

  ---

• 登录旗标

  可配置在所有连接的终端上显示的登录旗标。这种旗标在MOTD旗标后显示，在登录提示出现前显示。

• 每日消息旗标

  MOTD (Message OfThe Day ，每日消息)是最常用的旗标。它向任何拨号或通过 Telnet、辅助端
  口甚至控制台端口连接路由器的人显示一条消息。

Todd(config)#banner ?
LINE                c banner-text c , where 'c' is a de1imiting character
exec                Set EXEC process creation banner
incoming            Set incoming termina1 1ine banner
login               Set login banner
motd                Set Message of the Day banner
prompt-timeout      Set Message for 10gin authentication timeout
slip-ppp            Set Message for SLIP/PPP

3.设置密码

用于确保思科路由器安全的密码有5种:

• 控制台端口密码

  ToddCconfig-line)#line console ?
  % Unrecognized command
  ToddCconfig-line)#exit
  ToddCconfig)#line console ?
  <0-0> First Line number
  ToddCconfig-line)#password console
  ToddCconfig-line)#login
  

  exec-timeout 0 0 将控制台 EXEC 会话的超时时间设置为 0 ，这意味着永远不超时。

• 辅助端口密码

  要配置辅助端口密码，请进入全局配置模式并输入 1ine aux ?。从下面的输出可知，你只有一

  种选择，那就是 0，这是因为只有一个辅助端口:

  Todd#config t
  Enter configuration commands , one per line. End with CNTL/Z.
  
  Todd(config)#line aux ?
  
  <0-0>       First Line number
  
  Todd(config)#line aux 0
  
  Todd(config-line)#login
  
  % Login disabled on line 1 , until 'password' is set
  
  Todd(config-line)#password aux
  
  Todd(config-line)#login
  

  请别忘了执行命令 login ，否则辅助端口将不进行身份验证。

  给线路设置密码前，思科不允许执行命令 login ，因为如果执行命令 login 后没有设置密码，该

  线路将不可用一一它将提示用户输入根本不存在的密码。

• 远程登录 (VTY) 密码

  Todd(config-line)#line vty 0 ?
  % Unrecognized command
  Todd(config-line)#exit
  Todd(config)#line vty 0 ?
  <1-1180> Last Line number
  <cr>
  Todd(config)#line vty 0 1180
  Todd(config-1ine)#password te1net
  Todd(config-line)#login
  

  在提示符(config-line)#下你无法获得帮助。要使用?，你必须退回全局配置模式。

• 启用密码 (enable)

  在全局配置模式下设置启用密码，如下所示:

  Todd(config)#enable ?
  last-resort           Define enable action if no TACAC5 servers respond
                        #TACACS服务器不可用时让你仍能进入路由器
  password              Assign the privileged level password
                        #如果设置了启用加密密码，该密码将不管用 
  secret                Assign the privileged level secret
                        #优先于启用密码
  use-tacacs            Use TACAC5 to check enable passwords
                        #让路由器使用 TACACS 服务器进行身份验证
  

• 启用加密密码( enable secret )。

设置安全外壳(SSH)

我们可以使用安全外壳替代 Telnet。与使用非加密数据流的 Telnet 相比， SSH 创建的会话更安全。

SSH 使用加密密钥发送数据，以免以明文方式发送用户名和密码。

设置 SSH 的步骤如下。

(1) 设置主机名:

Router(config)#hostname Todd

(2) 设置域名(为生成加密密钥，必须有用户名和域名):

Todd(config)#ip domain-name Lammle.com

(3) 将用户名设置成支持 SSH 客户端接人:

Todd(config)#username Todd password Lammlle

(4) 生成用于保护会话的加密密钥:

Todd(config)#crypto key generate rsa general-keys modulus ?
<360-2048> size of the key modulus [360-2048J

Todd(config)#crypto key generate rsa general-keys modulus 1024

The name for the keys will be: Todd.Lammle.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys , keys will be non-exportable...[OK]

*June 24 19:25:30.035: %SSH-5-ENABLEO: SSH 1.99 has been enabled

(5) 在路由器上启用 SSH 第 2 版。并非必须这样做，但强烈推荐这样做:

Todd(config)#ssh version 2

(6) 进入路由器 VTY 线路配置模式:

Todd(config)#line vty 0 1180

(7) 最后，指定依次将 SSH 和 Telnet 作为接入协议:

Todd(config-line)#transport input ssh telnet

如果没有在最后一个命令的末尾指定关键字 telnet ，路由器将只支持 SSH。

要手工配置密码加密，我们可使用命令 service password-encryption

四、接口描述

设置接口描述对管理员很有帮助，与主机名一样，描述也只在本地有意义。命令 description

很有用，因为可用来标识电路号。

下面是一个示例:

Todd#config t
Todd(config)#int sO/O/O
Todd(config-if)#description Wan to SF circuit number 6fdda12345678
Todd(config-if)#int faO/O
Todd(config-if)#description Sales VLAN
Todd(config-if)#^Z
Todd#

Todd#sh run
[output cut]
interface FastEthernetOjO
descr;pt;on Sales VLAN
ip address 10.10.10.1 255.255.255.248
duplex auto
speed auto
interface Ser;alOjOjO
description Wan to SF circuit number 6fdda 12345678
no ip address
shutdown
[output cut]

Todd#sh int fO/O
FastEthernetOjO is up , line protocol is down
Hardware is MV96340 Ethernet , address is 00la.2f55.cge8 (bia 001a.2f5S.c9e8)
Description: Sales VLAN
[output cut]
Todd#sh int sO/O/O
SerialOjOjO is administratively down , line protocol is down
Hardware is GT96K Serial
Description: Wan to SF circuit number 6fdda12345678

do命令

从 IOS 12.3 版起，思科终于在 IOS 中添加了一个这样的命令，即让你能够在配置模式下查看配置

和统计信息。(在前一节的示例中，所有 show 命令都是在特权模式下运行的。)

事实上，在任何 IOS 中，若我们试图在全局配置模式下查看配置，都将看到如下错误消息:

Router(config)#sh run
% Invalid input detected at '^' marker.

下面是在运行 IOS 12.4 版的路由器上使用 do 语法执行该命令得到的输出，请将上面的输出与该

输出进行比较。

Enter configurati on commands, one per line. End with CNTL/Z.
Todd(config)#do show run

Building configuration...

Current configurat;on : 3276 bytes

[output cut]

Todd(config)#do sh int fO/O

FastEthernetO/O is up , line protocol is down

Hardware is MV96340 Ethernet , address is 001a.2f55.cge8 (bia

001a.2f55.cge8)

Description: Sales VLAN

[output cut]

基本上，现在我们可在任何配置提示符下运行任何命令。对于前面的密码加密示例，使用 do 命令绝对可以加快任务的完成速度，这确实是个非常好的命令!

标签：旗标,思科,密码,交换机,Todd,line,config,路由器
来源： https://www.cnblogs.com/nobunaga/p/15106221.html