配置和测试网络
概观
在本章中,我们将学习如何配置各种互联网络设备,如路由器和交换机。我们还将根据要求正确连接网络,并了解我们将在整个课程中使用的各种CISCO IOS - CISCO互联网操作系统基础知识。正如我们在课程开始时提到的,这将是一个面向实验室的课程,因此,您需要有实验室设备。如果您没有物理设备,请不要担心,因为我们将在本课程中讨论可用于学习目的的替代方案。
完成本章后,您将能够:
- 了解CISCO IOS的作用
- 了解路由器和交换机上的配置文件
- 了解IOS命令结构
- 配置路由器或交换机的基本配置
- 使用show命令验证路由器上的配置。
网络操作系统
我相信你已经知道计算机有操作系统。操作系统允许计算机运行,并允许我们输入和接收输出。操作系统是我们与计算机内部组件之间的中介。同样,路由器也有一个操作系统。
CISCO使用IOS(互联网络操作系统)允许我们使用路由器中的各种功能。
CISCO IOS允许我们执行以下功能:
- 路由
- 网络的安全性
- 根据需求扩展网络。
但是,与您可能习惯使用的其他操作系统不同,可以使用CLI(命令行界面)访问CISCO IOS。如果您使用过DOS™等程序,那么您熟悉CLI提示符。
访问方法
可以使用以下方法之一访问路由器上的CLI:
- 控制台端口
- 辅助端口
- 虚拟终端线。
我们可以使用几个程序来访问路由器上的CLI。
- 控制台端口是用于配置路由器的主端口。当路由器是新的并且开箱即用时,这是用于配置路由器的接口。初始配置后,我们可以使用其他配置方法。控制台端口还用于灾难恢复,以防路由器无法使用或作为在其他连接方式不可用时对路由器进行故障排除的方法。
- 我们可以配置路由器的第二种方法是使用辅助端口。辅助端口用于通过使用调制解调器配置路由器。这个端口很少使用,因此我们不会进一步讨论它的使用。
- 我们可以配置路由器的第三种方法是使用虚拟终端线。顾名思义,虚拟终端线路被配置为远程访问路由器的方式。
管理员可以使用这些线路配置要从远程位置访问的路由器。
在本课程中,我们将学习如何通过telnet或更安全的SSL配置两种类型的VTY线路。
注意:路由器的操作取决于我们在配置期间发出的命令以及IOS功能。
路由器上的配置文件
如前所述,路由器是一台计算机,我们所做的配置决定了它的运行。路由器有两种类型的内存; 易失性和非易失性存储器。我们所做的配置存储在这两种类型的内存中的一种中,具体取决于我们发出的命令。
路由器上有两种配置文件。
启动配置文件(startup-config) - 这是在路由器启动期间使用的文件。它存储在称为NVRAM的非易失性存储器中。启动配置包括我们发布并保存在路由器中的所有命令。路由器启动后,此文件将从NVRAM加载到RAM,并将其用作运行配置文件。
运行配置路由器的运行由运行配置决定。我们在路由器上发出的任何命令都会立即执行并存储在运行配置中。该文件存储在RAM或易失性存储器中。这意味着如果路由器断电,此文件中任何未保存的更改都将丢失。保存运行配置后,它将存储在NVRAM中并成为startup-config。
CISCO IOS模式
CISCO CLI是分层结构的。模式从上到下执行。每种模式都可以访问可以发出的某些命令。下面的列表从上到下显示了CISCO IOS模式。
- 用户执行模式
- 特权执行模式
- 全局配置模式
- 其他特定配置模式
在获得对路由器的访问权限时,会出现各种提示,表示管理员所处的特定级别。但是,提示的开头将是路由器的名称。下面讨论各种提示。
- 用户执行模式
这是可以在路由器上访问的主要或第一种模式。它仅限于很少的验证和故障排除命令。默认情况下,不需要身份验证,但作为最佳实践,我们将配置安全性以确保对路由器的保护。
在访问路由器时,您会注意到路由器名称后面带有此符号“ > ” 的提示。默认情况下,路由器的名称通常是“ 路由器 ”。此提示如下所示。
路由器>
在此模式下,我们可以使用“ show ”命令查看基本信息。
- 特权执行模式
这是IOS CLI中的第二种模式。在此模式下,我们可以查看各种故障排除和验证命令,例如“ show and debug ”。默认情况下,此模式也不受保护,因此最佳做法是使用密码保护此模式。
此模式由HASH(#)符号表示,前面是路由器名称。要进入此模式,我们从用户exec模式发出命令“ enable”。
路由器#
注意:要从用户执行模式切换到特权模式,应从用户执行模式输入命令 - “enable”。
“disable”命令用于退出特权执行模式并返回用户exec模式。
- 全局配置模式
路由器的主要配置在此模式下执行。可以配置路由器名称,IP域查找,横幅等参数。在此模式下,我们还可以访问其他特定配置参数,例如接口配置。
全局配置模式由提示符显示:(config)#,如下所示:
路由器(配置)#
注意:要从特权执行模式进入此模式,我们输入命令:“配置终端”**
要退出我们的特权模式,我们输入命令:“exit”**
- 具体配置模式。
路由器上还有其他特定的配置模式。它们以全局配置模式进入,用于配置路由器上的各种功能和选项,如接口,路由选项,控制台线等。在整个课程中将逐步讨论特定的配置模式命令。
命令格式
配置路由器时,我们需要了解配置中使用的格式。下图显示了IOS命令结构。
我们还可以在输入我们在CISCO IOS中不确定的命令时获得帮助。这是通过使用问号“?”后跟
当我们不确定要使用的正确命令或我们发生了错误时,我们可以使用此命令。
我们还可以使用
还有其他快捷键,如下所示。
- Ctrl-R - 重新显示一行
- Ctrl-Z - 退出配置模式并将用户返回到用户exec模式。
- 向下和向上箭头 - 这些用于滚动以前输入的命令。
- Ctrl-Shift-6 - 此命令用于中断已发出的命令。
- Ctrl-C - 此命令可用于中止配置行并返回特权模式。
CISCO IOS中还有其他基础知识,但是,我们将继续学习本课程。
注意:您需要知道并记住本课程中用于考试的所有命令。在ICND 1,ICND 2和CCNA复合考试中,这些命令的使用频繁,您无需参考。
考试指令
配置路由器时,可能需要对不同的配置进行故障排除。在这方面,使用检查命令至关重要。检查命令在特权执行模式下查看,并以提示中的“show”开头。其中一些命令及其功能如下所示。
- 显示版本 - 显示有关在路由器或交换机上运行的CISCO IOS的信息。如版本,发布日期。
- show startup-config - 此命令显示存储在NVRAM中的配置文件。
- 显示running-config - 可以使用此命令查看路由器当前用于其操作的命令。此信息通常存储在路由器的RAM中。
使用包跟踪器进行网络仿真
如前所述,访问物理网络设备有时可能很困难,而且由于本课程主要基于我们需要访问和配置这些设备的实验室环境,因此我们需要一种替代方案。
您的教师应该能够让您访问数据包跟踪器。可用于在实验室环境中模拟网络的程序。该软件可让您访问CCNA中所需的大多数(如果不是全部)命令和设备。在本课程中,我们将在配置中使用数据包跟踪器和真实设备。
安装后,包跟踪器的主窗口如下图所示。
熟悉软件。在左下角,我们提供了可在网络中使用的各种类型的设备。这些包括路由器,交换机和连接等。单击其中任何一个图标将显示每个类别中的更多设备列表。
要使用设备,只需单击其图标并将其拖动到白色显示的主工作区。
在右侧,靠近底部,有两个信封形状的图标。这些图标用于捕获数据包,您将在以后使用它们。当您继续使用此软件时,您将变得越来越有经验,逐渐了解所有功能和功能。
场景
在本章中,我们将在数据包跟踪器中配置2个路由器和1个主机PC。这将是基本配置,旨在向您展示IOS的主要功能,并使用数据包跟踪器将您融入CISCO配置环境。
下面显示的拓扑显示了2个路由器和一台PC。从PC到路由器R1的连接使用交叉电缆完成,而两个路由器之间的互连使用串行电缆完成。
R1上的串行接口是DCE端,而路由器R2上的连接是DTE端。如果您使用的是物理设备,则应注意此布线。
在此拓扑中,我们有2个标记为R1和R2的路由器。我们之间有一个连接,R1上的S0 / 0/0 DCE和R2上的S0 / 0/0。
路由器R1通过2个接口连接到PC A. 一个是用于配置路由器的控制台端口,另一个是通过R1上的Fa0 / 0连接PCA网卡的网络端口。
在数据包跟踪器中,下面显示的图表是制作此拓扑的指南。
步骤1:
将拓扑中显示的将在配置中使用的设备拖放到主工作区中。在这种情况下,我们使用2 1841 CISCO ISR路由器。默认情况下,它们标记为Router0和Router1。同样在最终设备部分拖放一个PC图标,如图所示。
第2步:
单击router0图标。打开一个新面板并详细说明路由器的后面板。在顶部,有三个选项卡 - 物理,配置,CLI。在这种情况下,我们对物理感兴趣。此路由器没有WAN连接接口,如红色箭头突出显示的部分所示。我们需要在两台路由器上安装WAN接口模块,以便我们可以使用串行链路互连它们。
为此,我们必须关闭路由器并在左侧查找可用于串行WAN连接的相应模块。要关闭路由器,您需要单击上图中蓝色箭头所示的开关按钮。
第3步:
我们需要添加正确的WAN模块。从左侧到右侧的面板,由上图中的红色箭头突出显示。在这种情况下和大多数其他场景中,我们将使用以红色突出显示的WIC-2T模块。如上所示,将其拖放到空白处。
注意:切换电源按钮时路由器会熄灭。安装模块后,您需要重新打开它。
第4步:
接下来,我们需要使用正确的电缆连接设备。从PC到Router0的连接使用交叉电缆,而两个路由器之间的连接使用串行DCE电缆。在底部的连接选项卡中,确保使用正确的电缆。
要连接设备:
- 单击选择电缆。
- 单击要连接的设备
- 选择正确的接口号
- 通过将电缆拖到相对设备并单击正确的接口,在电缆的另一端重复此过程。
这些步骤如下图所示
显示的连接用于router0和router1。
使用serial0 / 0/0连接上面显示的Router0
Router1上使用serial0 / 0/0的连接有两个从PC0到Router0的连接。黑色虚线所示的一个连接是PC0的fastethernet接口上的LAN接口,而蓝色的是用于配置Router0的控制台电缆,如下所示。
从上图中可以看出,界面标签是可见的。要启用此功能,请转到选项,然后单击首选项,然后在首选项选项卡中选择“始终显示设备标签”选项,如下所示,标有红色箭头。
控制台电缆连接到PC上的RS 232端口和路由器上的控制台端口。
现在我们已经连接了设备,我们需要从PC0访问路由器上的CLI接口。
为此,我们需要点击PC0的图标。从而我们将收到此输出。
如前所述,数据包跟踪器模拟不同网络设备的操作,在我们点击桌面选项卡时,我们将看到与物理计算机相同的选项。
在此选项卡中,我们有几个选项,例如IP地址配置,终端和命令提示符等。在这种情况下,我们将使用将我们连接到路由器CLI的提示。
单击终端选项卡后,将配置选项保留为默认值,然后单击确定。这将在几个“#”输出所示的启动过程中将您连接到路由器。
启动过程完成后,您应该收到如下所示的命令提示符。输入“ no ”并按Enter键。
在此提示之后,我们将进入用户exec模式。如前所述,这是CISCO IOS CLI中的第一个接入点。
它由输出表示:
路由器>
要进入特权配置模式,我们应输入“ enable ”并输入。这将把我们带到由下面显示的输出表示的特权执行模式。
路由器#
在这种模式下,我们可以执行各种故障排除命令,例如show和debug命令。
接下来,我们需要访问全局配置模式,以便我们可以开始配置。为此,我们需要输入:
“configure terminal”后跟ENTER。这将使我们进入全局配置模式,在提示输出中显示为:
路由器(配置)#
注意:如果您使用的是真实设备,则所遵循的步骤应该相同,并且接收的输出不应该不同。但是,如果您需要更多信息,请联系您的培训师。
组态
在本节中,我们应该配置以下内容。
- router0上的主机名
- 限制访问路由器
- 配置横幅
- 禁用ip域查找
- 配置接口
- 验证配置
- 测试本地网络连接
- 记录网络
使用的命令主要来自router0上的全局配置模式。我们不会配置Router1,但会使用相同的概念。记住这一点。
Router0上的主机名
在拓扑图中,第一个路由器是R1而不是Router0,在命名路由器时,请记住仅使用字母数字符号和下划线。名称之间应该没有空格,因为这将返回错误。
要更改路由器或交换机的主机名,全局配置模式中所需的命令为:
Router(config)#hostname < NAME_OF_ROUTER >
角括号中显示的参数将是路由器或交换机上使用的名称。
在这种情况下,在Router0的全局配置模式下,将此路由器的名称从Router0更改为R1所需的命令将为:
Router(config)#hostname < R1 >
输入此命令后,您应该能够立即看到所反映的更改:
“Router(config)#”改为“ R1(config)# ”
现在使用该命令,我们已成功更改路由器的名称。
限制访问路由器
我们接下来要做的是限制对路由器的访问。我们需要这样做以加强安全性。每个设备都应具有本地配置的密码以限制访问。
我们已经看到CISCO IOS是按层次结构组织的。这背后的原因之一是增强安全性。在这方面,我们需要在路由器上配置安全性。我们将配置的密码是要求在我们的路由器上的各个点进行身份验证。我们将配置的密码是:
- 控制台线路密码 - 使用控制台端口限制与路由器的连接
- 启用密码 - 限制对特权执行模式的访问
- 启用密码 - 配置加密密码以保护特权EXEC模式
- VTY线路密码 - 保护通过telnet访问路由器
- 控制台线
我们首先需要保护控制台线路。如前所述,控制台线路允许通过路由器的控制台端口访问路由器的配置。为此,我们需要在全局配置模式下访问控制台行。
访问控制台行的命令是:
Router(config)#< line console 0 >
如上所示,第一行通常为0。输入此命令后,我们将进入控制台行的特定配置模式,如下所示:
路由器(配置行)#
在此模式下,我们需要输入密码以及在访问控制台行之前要求身份验证的命令。执行此操作所需的命令是:
路由器(config-line)#password
路由器(config-line)#login
第一行指定此路由器上控制台的密码为“ cisco”,第二行 - “ login”指出任何人访问此路由器时,您都需要输入密码才能使用控制台端口访问CLI。
要验证此命令,下次有人在重新启动后尝试访问此路由器时,将需要输入此密码。
在这种情况下,我们将使用密码“ cisco123 ”,R1上所需的命令将是
- 特权执行模式 - 启用密码
特权执行模式允许我们访问全局配置命令,因此,保护此模式以限制访问非常重要。
为此,我们需要在路由器的全局配置模式下配置“ 启用密码 ”。这将需要使用密码才能进入特权执行模式。
在全局配置模式下,输入以下内容:
Router(config)#enable password cisco
以上命令指定为了能够访问特权访问模式,用户必须在用户exec模式下输入密码cisco。
在R1上,我们使用以下命令为特权执行模式配置密码“ cisco1 ”。
R1(config)#enable密码cisco1
要验证此命令,请输入命令“end”以返回特权执行模式,然后输入命令“disable”以返回到用户exec模式。
要在R1上登录特权执行模式,您需要输入密码“cisco1”。
- 启用秘密命令
使用启用密码是不安全的,因为密码以纯文本形式存储在闪存中,并且可以很容易地破解。要为特权执行模式启用更安全的密码,我们使用enable secret命令。
enable secret命令将创建加密密码。
要在路由器上输入此命令,请使用以下命令:
R1(config)#enable secret
这指定我们应该使用加密的密码“ cisco12 ”
如果我们在R1上使用此命令,它将覆盖启用密码并将其替换为安全密码。要在R1上执行此操作,请输入以下命令。
R1(config)#enable secret cisco12
- Vty线
我们还需要限制对路由器的远程访问,vty线路允许通过Telnet访问路由器。默认情况下,许多Cisco设备支持5条编号为0到4的VTY线路。需要为所有可用的vty线路设置密码。
要为telnet行启用密码,我们需要为这些行输入特定的配置模式。为此,我们输入如下所示的命令:
R1(config)#line vty 0 4
以上命令指定我们要在此路由器上配置5个telnet行。输入此命令后,我们将进入下面提示所示的vty线路配置模式。
R1(配置线)#
在此模式下,我们可以配置密码,并在用户想要远程访问路由器时要求身份验证。完成此任务所需的命令是:
R1(配置行)#password
R1(config-line)#login
上面的命令指定应该使用密码配置此路由器,并且应该要求使用所述密码进行身份验证以进行访问。
在R1上,为了使用密码cisco1234保护vty线路,完成此操作所需的命令将是:
- 加密密码显示
我们用于配置密码的命令是不安全的,因为密码以纯文本格式存储。为了增强我们配置的密码的安全性,我们使用命令“ service password-encryption ”。执行此命令时,将加密纯文本密码。这意味着他们无法从running-config中以纯文本形式看到密码。
要在路由器R1上进行配置,请在全局配置模式下输入以下命令:
R1(config)#service 密码加密
这将确保无法从正在运行的配置中查看密码。
配置横幅
配置密码是保护路由器免受未授权访问的好方法。但是,我们还需要警告将是攻击者。
横幅是我们通知未经授权的人员访问路由器的一种方式。在某些情况下,未能应用横幅广告可能会导致攻击者逃脱法律后果,因为他们可以辩称没有任何信息可以防止未经授权的访问。
配置横幅的一种方法是使用MOTD(当天的消息)。为此,我们需要在全局配置模式下输入以下命令:
R1(config)#banner motd < #在此处插入消息#>
banner motd命令中的#表示要显示的消息的开头和结尾。
在R1上,配置一个标题为“ !!!! 警告,仅授权访问!!!!“将使用下面显示的命令。
R1(config)banner motd #!!!! 警告,授权访问!!!! #
执行该命令后,横幅将在所有后续尝试访问设备时显示,直到删除横幅。
配置接口
在这种情况下,R1上有2个接口,PC0上有1个我们需要配置的接口。使用的寻址方案如下所示。
设备接口IP地址子网掩码默认网关PC0快速以太网192.168.1.2255.255.255.0192.168.1.1R1的FastEthernet0 / 0192.168.1.1255.255.255.0的Serial0 / 0/0192.168.12.1255.255.255.252
我们不会配置Router1。配置PC时,应采取以下步骤:
- 单击PC0图标
- 单击桌面选项卡
- 单击ip配置选项卡
- 输入上面显示的值
- 关闭ip配置选项卡
在路由器上,我们需要配置接口并激活它们。缺省情况下,路由器上的接口通常处于停用状态。
要在路由器上配置接口,将使用以下命令。
Router(config)#interface
Router(config-if)#ip address
路由器(config-if)#no shutdown
路由器(configu-IF)的出口
- 在上述配置中,第一行用于进入特定接口配置模式。这将允许我们输入各种接口配置选项。
- 第二行将根据规范分配IP地址和子网掩码
- 第三行将激活界面并使其可用。
在这种情况下,我们在R1上有2个接口。要配置R1的FastEthernet0 / 0接口,将使用以下命令:
要配置串行接口,将使用以下命令。
您可以记住,我们使用串行DCE电缆连接路由器R1,这意味着此接口必须像使用CSU / DSU一样模拟时钟信号。命令:
时钟速率64000以上,指定此接口是DCE侧,其时钟速率为64000。
在数据包跟踪器中,配置接口并执行“ no shutdown ”命令后,从PC0到R1的快速以太网链路上的端点应从红色变为绿色,如下图所示:
验证配置
完成所有这些配置后,我们需要验证它们是否已被执行,以及将配置从RAM保存到NVRAM。
要保存配置,我们需要退出特权执行模式并输入以下命令:
Router#copy
执行上面的命令会将运行配置保存到路由器的NVRAM中,这将使运行配置在下次启动路由器时成为启动配置。
在R1上,将运行配置保存到闪存所需的命令如下所示。
R1#copy running-config startup-config
保存配置后,我们还需要验证路由器的操作,以及检查与主机PC的连接。
我们将使用的验证命令也将在故障排除时使用。有关故障排除的更多信息将在后续章节中讨论。
在本章中,我们将使用ping命令检查接口配置,运行配置以及与PC的连接。
运行配置
配置路由器后,我们需要检查所有使用的配置,为此我们需要检查运行配置。我们前面提到的运行配置存储在RAM中,因此,我们制作的任何其他命令都需要保存到启动配置中。
运行配置将向我们显示配置设备时使用的所有命令。
用于检查运行配置的命令在特权执行模式下执行,如下所示。
router #show running config
执行时,此命令将向我们显示路由器或交换机上使用的所有配置命令。
R1上show run-config的输出如下图所示:
验证接口操作
在验证路由器上的接口时,我们需要检查它们是否可操作以及是否已为其分配了正确的IP地址。为此,我们将在特权执行模式下使用下面显示的命令:
- 显示ip界面简介
- 显示接口<接口名称> <接口编号>
显示ip界面简介
此命令的输出将显示第1层和第2层接口的运行状态。输出显示接口,分配的IP地址,状态以及第2层连接协议的状态。如果接口是可操作的,状态和协议应该是up / up。
显示接口<接口名称> <接口编号>
此命令的输出显示特定接口的状态,如下面的输出FastEthernet 0/0接口所示。
从上面的输出可以看出,界面显示为on并且可以运行。这是我们可以验证接口状态的另一种方法。
摘要
在本章中,我们已经了解了CISCO IOS中的基本配置。我们根据实验室的要求在数据包跟踪器中配置了路由器。我们还研究了IOS的命令结构。在下一章中,我们将通过查看路由的工作原理和静态路由的配置来开始路由。