毕业十年了,我就是靠路由器养活的,所以对路由器有很深的感情。先是在一家公司玩家庭终端,就是DSL路由器、路由器,这家公司虽然也有其他产品,但是基本不赚钱,所以也就不值一提。现在换了家公司,也还是玩路由器,只是体积变大了,原来公司的路由器一本书那么大,现在公司的路由器有立式空调那么大,功能也多了很多,但是道理类似,毕竟都叫路由器嘛。
基础配置
首先第一步肯定是要登录到路由器里面,主要包括:
· Console口登录,主要搞对波特率就行。
· Telnet Server/Client
· SSH登录,支持Password、RSA(Revest-Shamir-AdlemanAlgorithm)验证、DSA(DigitalSignature Algorithm)验证
传东西包括主要包括:
· FTP Server/Client
· TFTP Client
· 基于SSH协议的文件传输SFTP Client/Server
FTP协议,主要是从路由器上下东西,比如配置文件,传东西到路由器上,比如要升级的软件。很多书搞一大堆,实际上常用的命令就get,mput,dir三个。
· FTP Server:运行于路由器上的FTP服务。提供远程客户端访问和操作的功能,用户可以通过FTP客户端程序登录到路由器上,访问路由器上的文件。
· FTP Client:FTP的客户端。提供本地路由器对远程服务器的文件进行操作的命令。用户在PC上通过终端程序或Telnet程序与路由器建立连接后,可以输入FTP命令建立与远程FTPServer的连接并访问远程主机上的文件,对远程主机上的文件进行操作。
FTP中的连接
FTP采用2个TCP连接来传输文件。
· 控制连接
以客户端/服务器方式建立。服务器以被动方式打开用于FTP的公共端口21,等待客户端来连接;客户端则以主动方式打开公共端口21,发起连接的建立请求。
· 数据连接
服务器的数据连接端使用端口20。服务器执行主动打开数据连接,通常也执行主动关闭数据连接,但是,当客户端向服务器发送流形式的文件时,则需要客户端关闭数据连接。
FTP中传输方式是流方式,并且文件结尾以关闭数据连接为标志,所以对每一个文件传输或目录列表来说,都要建立一个全新的数据连接。因此,当一个文件在客户端与服务器之间传输时,一个数据连接就建立起来了。
TFTP协议,这玩意比FTP更简单
TFTP(TrivialFile Transfer Protocol)即简单文件传送协议。
TFTP客户端模块提供了使用TFTP协议进行文件上传和下载功能,为了保持实现上的简单特性,TFTP协议使用UDP协议进行文件的传输。
Telnet协议,我的乖乖,这个就用的很多了,配置路由器就靠它了,虽然有SSH,但是还是习惯用它。
Telnet协议的基本概念
· Telnet连接
一个Telnet连接就是一个用来传输带有Telnet控制信息数据的TCP连接。
Telnet工作原理
路由器提供的Telnet服务包括:
· Telnet Server,可以改端口,但是自己要记得。
用户在PC上运行Telnet客户端程序登录到路由器,对路由器进行配置管理。
Telnet协议的标准侦听端口号为23,如果***者不断访问标准端口,导致带宽和服务器性能的下降,其他正常用户无法访问。
· Telnet Client,路由器还可以登录到其它路由器里,这个很方便,免得每个都需要接线到管理端口。
SSH协议,给要求严格的客户示范。
SSH是SecureShell(安全外壳)的简称,标准协议端口号22。
SSH支持Password认证、DSA(Digital Signature Algorithm)认证和RSA(Revest-Shamir-Adleman Algorithm)认证,对数据进行DES(DataEncryption Standard)、3DES、AES(AdvancedEncryption Standard)、RC4加密,有效防止了对密码的窃听,保护了数据的完整性和可靠性,保证了数据的安全传输。特别是对于RSA和DSA认证的支持,对称加密和非对称加密的混合应用,密钥的安全交换,最终实现了安全的会话过程。
SSH2.0在安全、功能和性能上均比SSH1.5有优势。
SSH的基本概念
· SFTP,东东还是那些,就是加S,变安全了
SFTP(SSHFile Transfer Protocol)。在一个传统不安全的网络环境中,服务器通过对客户端的认证及双向的数据加密,为网络文件传输提供了安全的服务。
· STelnet
一种安全的Telnet服务。在一个传统不安全的网络环境中,服务器通过对客户端的认证及双向的数据加密,为网络终端访问提供了安全的服务。
· RSA认证
RSA(Revest-Shamir-AdlemanAlgorithm)身份认证是基于客户端私钥的一种认证方式。它是一种公开密钥加密体系,是一种非对称加密算法,其原理是基于大整数因子分解这一著名的数学难题,主要用来传递对称加密算法所使用的密钥,通过这种方法可以有效地提高加密的效率并能简化对密钥的管理。
服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。
· DSA认证
DSA(DigitalSignature Algorithm,数字签名算法)是由一种用于用户认证的非对称加密算法,由公钥和私钥两部分组成。
和RSA认证相同,服务器必须检查用户是否是合法的SSH用户,检查公钥对于该用户是否合法,用户数字签名是否合法。若三者同时满足,则身份认证通过;若其中任何一项不能验证通过均告验证失败,拒绝该用户的登录请求。
· Password认证
SSH协议的基本原理
数据加密:通过Client/Server协商交换生成的Encryption Key,实现对数据报文的对称加密,确保数据在传输过程中的机密性。
数据完整性:通过Client/Server协商交换生成的Integrity Key唯一标识一条会话链路,所有会话交互报文被IntegrityKey标识。一旦数据被第三方修改,接收方就能够检查出来,并丢弃报文,确保数据在传输过程中的完整性。
权限认证:通过提供多种认证方式,确保惟有认证通过的合法用户才能和Server进行会话,提高系统安全,同时保障合法用户的权益。
SSH处理流程
SSH连接在整个通讯过程中,经过如图3所示六个阶段,协商实现SSH认证安全连接,下面介绍一下SSH协商阶段的整个过程。
1. 版本协商阶段 SSH版本
2. 算法协商
当进入算法协商过程后,发送方向接收方发送算法协商消息包,发送方同时将随机Cookie、密钥交换的算法、主机密钥算法、支持的MAC(Message Authentication Code)认证方法以及支持的语言等作为消息的参数发送给接受方,对方发现相同才搞起来。
3. 密钥交换阶段
版本协商成功后,服务器向客户端发送一个包,内容为自己的主机公钥(host public key),服务器公钥(server public key),支持的加密算法,认证算法,协议扩展的标志,还有一个8字节(64bits)的随机数(cookie)。这个包没有加密,也是明文发送。然后双方开始计算会话ID(sessionid)。双方使用相同的参数计算出相同的长为16字节的会话ID。客户端还要随机生成一个32字节的会话密钥(sessionkey),用来加密传输的数据,但不直接把该密钥传给服务器端,而是用该密钥的前16字节与或(XOR)会话ID的16字节,后16字节不变,所得结果按MSB(MostSignificant Bit,最高位)优先排列成一个MP型整数,用模数较小的公钥进行加密,再把结果按MSB优先顺序排列成一个MP型整数,用模数较大的公钥进行加密。《技术非得弄到人晕头转向才好?》
4. 认证阶段
SSHServer提供以下验证方法:RSA、Password、RSA-Password、DSA、DSA-Password和ALL。
· 在RSA、DSA认证方式下,用户客户端程序生成一个RSA、DSA密钥对,
· 公钥用来解密私钥的东东,可以的话就认证成功。
5. 会话请求阶段
6. 交互会话阶段
用户管理
用户界面
· 目前系统支持的用户界面
§ Console(CON)口:控制口(ConsolePort)是一种线设备端口,由设备的主控板提供。
一块主控板提供一个Console口,端口类型为EIA/TIA-232DCE。用户终端的串行端口可以与设备Console口直接连接,实现对设备的本地配置。
§ Auxiliary(AUX)口
通常用于终端通过Modem拨号对设备进行远程访问。
§ 虚拟线路(VTY)
虚拟终端连接(Virtual Terminal)属于逻辑终端线设备。
用户通过终端与设备建立Telnet或SSH连接后,即建立了一条VTY。
用户登录
用户分类
根据用户所获得的服务种类,可以将用户划分为以下几类:
· 超级终端用户:可通过Console口或AUX口登录到设备。
· Telnet用户:可使用Telnet命令登录到设备。
· FTP用户:与设备建立FTP连接进行文件传输。
· PPP用户:与设备建立PPP连接(例如拨号、PPPoA(PPP over AAL5)等)访问网络。
· SSH用户:与设备建立SSH连接(包括Stelnet和SFTP两种方式),远程访问网络。
· 网管用户:机机模式,通过SNMP或Telnet与设备建立连接,完成对设备的管理。
一个用户可以同时获得几种服务,从而能够执行多种功能。对于VTY(Telnet/SSH)用户,在用户界面视图下需要配置绑定准入协议,才能成功登录。
用户的优先级
· 如果对用户采用password验证,登录到设备的用户所能访问的命令级别由登录时的用户界面级别决定。
· 如果对用户采用AAA验证,登录到设备的用户所能访问的命令级别由AAA配置信息中本地用户的优先级级别决定。
用户所能访问的命令包括用户级别的命令以及低于用户级别的命令。例如:级别为2的用户可以访问级别为0、1、2的命令。级别为3的用户可以访问所有3级以下的命令。
对用户的验证
配置用户后,用户登录设备时,系统对用户的身份进行验证。
对用户的验证有2种方式:password验证和AAA验证。
虚拟文件系统,就是路由器存储
管道符,就是过滤规则,查看display结果
管道符过滤规则有如下几种:
· 管道符过滤规则include类型 + 正则表达式
· 管道符过滤规则begin类型 + 正则表达式
· 管道符过滤规则exclude类型 + 正则表达式
· 管道符过滤规则count类型