思科交换机的登录、密码恢复与应用

转自 [url]http://hi.baidu.com/kuvw/blog/item/6ffe158d2f93b510b21bba81.html[/url]
 
一、登录交换机
首先找一根CONSOLE线将计算机的串口与交换机的CONSOLE口相连。(注:CONSOLE[控制台]线的一端为RJ45的水晶头,一端用DB9的串口,如果想要自己制作这根线,可以使用一根UTP网线将两端对调连接,即两端的线序正好相反,再配一个RJ45转DB9的接头即可)
在计算机里点击“开始”――“所有程序”――“附件”――“通讯”――“超级终端”,将出现一个对话框,输入一些数字(可随意),回车后还要创建一个连接名称,随便输入一些字符,一路回车即可。
给交换机加电,超级终端对话框里将会显示交换机启动的整个过程,以后对交换机的所有操作也是在这个界面里进行的。
注:交换机加电启动过程
给交换机通电后,它会第一个读取ROM中的BOOT STREAM文件,将系统引导起来,然后它会去寻找FLASH(闪存,相当于计算机的硬盘)中的以.BIN结尾的压缩文件,因为这个文件就是交换机的操作系统IOS(INTERNET OPERATION SYSTEM 网络操作系统),同时还要检查FLASH中有没有CONFIG.TEXT的配置文件,如果有也一同加载,然后把它们都加载到RAM中(相当于计算机的内存,启动后所作的工作全在这里面进行。)。注意这个配置文件,它里面记录了我们对交换机所作的所有更改(第一次启动交换机是没有配置文件的,交换机会加载一个默认的配置文件),包括主机名、密码、端口描述等。如果交换机在加载的过程中没有发现这个文件,将又会启用默认的配置,此时以前作的更改全部恢复到原始状态,交换机的密码恢复正是利用这一特性才可以使密码恢复成为可能。
二、对交换机的基本的操作
启动完成后,我们就可以对交换机进行操作了。每次进入交换机时,首先会进入到用户模式下,在此模式下不能对交换机进行修改、甚至有些信息都无法查看,这也是为安全着想。用户模式下的提示符为 >
为了更进一步的对交换机进行操作,我们必须进入到特权模式或全局模式,而从用户模式下只能进入特权模式,再从特权模式进入全局模式,也就是说之中不能跨级。从用户模式下进入特权模式,键入ENABLE或者简写为EN都是可以的,但是要注意,如果交换机有密码,键入后回车下一步会让你输入密码的。如果你不知道密码,那操作就到此为止吧,等一会儿教你如何破解哦!
进入特权模式后,提示符变成了 # ,在特权模式下,只能做查看和一些非RAM中操作的命令,比如复制、保存等。如果想对交换机进行修改,必须进入全局模式,这才是交换机中的精华所在。从特权模式进入全局模式,键入CONFIG TERMINAL,也可以简写为CONF T ,此时就无需什么密码了,因为你既然能进入特权模式,证明你是一个管理员,所以从特权到全局也就不再需要画蛇添足了。
全局模式下的提式符为 (config)# ,此时你可以设置密码,设置主机名,以及进入接口模式对接口进行操作。
比如设置主机名为ABC,则输入以下命令:hostname ABC,回车后发现提示符前半部分变成了ABC,即:
ABC(config)#
密码的设置分为四种:下面来介绍最常用的两种――明文和密文密码的设置。
密码的设置方法其实非常简单,首先要搞清楚明文密码和密文密码到底有什么区别。
顾名思义,明文密码就是设置后通过特权模式下的 SHOW RUN 命令可以看到原型的密码,即你设置了一个ABC的密码,那么在 SHOW RUN 时可以在信息列表中看到你设置的ABC。这样有不安全的因素,因为如果你在操作交换机时因故要离开一小段时间,在场的其中一人恰巧也会交换机的命令,那么很简单的就可以把你的密码给盗了,而你却浑然不知,为此我们要给交换机设置一个密文的密码。设置完密文密码后,一定要记住,因为 SHOW RUN 显示的是一堆经过 MD5 加密的字符串,谁也看不懂,如果忘了,没有办法,你只有搞一遍密码恢复了。
说完了明文和密文的区别,回头再来看怎么设置它们,命令是极其相似的且十分简单。首先进入全局模式,然后在提示符后键入 enable password **** (****是你设置的密码),即设置了一个明文密码。回车后键入 end 直接返回到特权模式下,用 show run 命令查看,可以在上面几行查看到你刚才设置的密码,此时密码已经生效。在特权模式下键入 exit 退回到用户模式,再想进入到特权模式时,就要输入刚才你设置的密码了。
密文密码的设置方法为 enable secret **** ,需要注意的是,如果此前设置过明文密码,无所谓不用管它,因为密文密码的优先级高于明文密码。换句话说如果明文和密文密码同时存在,有效的只是密文密码。同样密文密码也是在用户模式进入特权模式时使用的,至于有没有必要同时设置两种密码呢?回答是必要的,因为在网络坏境中,无数非法用户无时无刻不在想尽各种办法来破解你的密码,以达到非法登录的目的,增加一个明文密码会干扰他的视线,因为他并不知道哪个是明文哪个是密文的,如果他把明文当成密文的来破解,费尽无数心血后其实破解的是一个不能登录的密码,他也许就会放弃了。
说明:命令不分大小写,但是密码要分的。
三、交换机的密码恢复过程(破解方法)
前面说过 config.text 这个配置文件,它里面存放的是一切我们对交换机所作的设置,交换机在启动时,会去找这个文件,如果有则将它加载在 RAM 中,一旦加载成功,我们原来对交换所做的一切设置就会全都应用,包括主机名、密码、端口描述、端口开关状态等等。那么我们只要想办法让交换机在启动时不去读这个配置文件不就可以让它加载默认配置了?而默认配置文件是没有密码的。那么究竟怎样才能让交换机启动时不去读配置文件呢?
最简单的方法就是把 config.text 这个配置文件改名。具体步骤如下:(以思科2950为例)
1、拔掉交换机的电源插头使其断电,然后按住交换机上的MODE键不放,接通电源。
2、几秒钟后即可松开MODE 键,此时交换机并没有启动,而是来到了 ROM 中。此时有三个选项:
      flash_init
      load_helper
      boot
因为我们即将要在 FLASH 中进行操作,因此选择 flash_init 命令将闪存初始化一下,让它作好准备工作。
3、执行 dir flash: 命令,注意 flash 后面的冒号一定要带上,此命令将会把 flash 中的文件全都列出来,我们可以看到 config.text 这个文件。
4、将这个文件改个名字,原则上任意名字都可以,但是为了不至于改得太离谱而忘了是哪个文件,我建议你只修改少量部分,如将后缀改成abc。
执行 rename flash:config.text flash:config.abc 命令,此命令的意思是将 flash 中的config.text 文件改名为 config.abc ,当然也可以改为其它名,只要一会儿你还记得就行。注意此命令的格式,冒号一定要的,且前后两个flash都不能少,它表示源地址和目的地址,冒号与 config 之间没有空格。
5、可选步骤,为了确认一下名字是否改了过来,可以再次 dir flash: 来查看一下,如果操作没有失误,这时应该看到刚才的 config.text 这个文件被改成了 config.abc 。
6、执行 boot 命令,引导交换机启动。到这一步,基本就和正常启动没有什么区别了,只是由于刚才我们把配置文件名给改了,系统找不到配置文件,就会加载默认的配置文件了。
7、由于是默认的配置文件,第一次启动时它会问你是否进入配置文件来进行设置;由于我们的目的不在于此,所以键入 n 键,即拒绝进入配置文件。
8、进入正常的操作界面后,默认是在用户模式下的;键入 en 命令来到特权模式,首先可以查看一下 flash 中的配置文件,键入 show flash: 。当然也可以不查看,前提是你有十分的把握。
9、以下都是关键的几步,做错一步,全盘皆输。首先将 flash 中的配置文件名再改回去,执行 rename flash:config.abc flash:config.text 命令。(config.abc :如果你刚才更改的名字与我此例中不同,请按你改后的实际名字来键入。)
10、将 config.text 复制到 RAM 中,执行 copy flash:config.text system:running-config 命令。为什么要复制过来而不是直接设置一个密码然后保存完事呢?这里牵扯到一个问题:配置文件里不光是保存着密码这一条信息,还有刚才我说过的其它的一系列信息;如果不把它复制过来光是在当前的空配置文件上设置一条密码的话,那么保存的时候新的配置文件将会覆盖旧的配置文件,即这个仅仅只设了一个密码的配置文件将以前设置了很多项的配置文件给覆盖了,如果以前设置的项不多还好说,重新再一条条的设呗!但是如果设置了很多岂不太可惜了?
11、更改密码。就象设置一条新密码一样,直接输入就行,在交换机中是不需要键入旧密码再更改新密码的,后做的修改直接就覆盖了先做设置。(注意此步骤是在全局模式下进行的。)
12、把配置文件再拷贝回去,两条命令 wr 或 copy run start 都可以。此时原配置文件中的密码就被更改了过来,密码恢复过程完毕。
说到这里,也许有人会问,密码确解如此简单的几个步骤即可,那还有什么安全可言。是的,密码恢复(或叫密码破解)是很简单的,所以无论你的交换机设置了如何强的密码,只要懂行的人能够接触到你的交换机,密码便不再是密码了,因此机房的安全才是最重要的。
四、如何远程登录交换机
我们知道,可以用CONSOLE线来进行电脑和交换机之间的直接连接来进行访问,但是现实工作中绝大部分时间不是这样的。比方说我身处一家大公司,公司的分公司比较多,遍布祖国各地,这都需要我来管理。这时我就离各分公司的交换机很遥远,如果分公司的交换机需要管理,怎么办?弄一根超长的CONSOLE线?还是说经常跑来跑去到各分公司进行管理?恐怕老总不会给你报销车费的。这都不现实,因此我们就要学习另一种管理交换机的方法――远程管理。
使用远程登录服务恐怕各位都十分熟悉了,就是TELNET服务。为了实现远程登录,必须为交换机设置一个IP地址才行,注意:这里设置的IP地址只是为了远程管理,在本地局域网中并没有什么特别的含义。在交换机中,这个IP地址的接口是一个虚拟的接口,称为VLAN ,因为本身交换机并不存在这个接口,使用TELNET登录还是使用原来的网线接口。而交换机在工作时,本身就连接着许多的网线,就给远程管理提供了条件。换句话说,只要交换机连接到因特网,那么你在世界上任何一台联网的电脑上都可以登录管理。
下面就来看看怎么设置这个虚拟接口的IP地址。
交换机中默认的VLAN接口称为VLAN 1 ,注意:这里的 1 并不是说使用真实的第 1 接口,与硬件接口没有任何关系,无论用交换机的哪个接口都是可以登录VLAN 1 的。首先要来到此虚拟接口下,才能设置此接口的参数,大家还记不记得如何进入全局模式呢?在全局模式下键入 interface vlan 1 回车,此时来到接口模式,注意接口模式下的提示符又变了:(config-if)# ,其中的 if 就是 interface 的缩写。在接口模式下设置 IP 地址,键入:ip address ***.***.***.*** ###.###.###.### ,前面的*是IP地址,后面的#是子网掩码,注意这里的 IP 地址的网段要设置成我们管理地的网段,比如管理方局域网的网段为192.168.1.0/24 这个网段,那么这里设置交换机的 IP 地址时,也要设置成 192.168.1.0/24 这个网段。(这其中好象牵扯到 NAT 地址转换的问题,请版主或高手们作更详细的解答。)设置完 IP 地址后,别忘了键入 no shut 命令把此接口开启,默认情况下它是 shutdown 即关闭的。
设置好这个以后,我们可以电脑来 PING 一下,看是否能 PING 通,如果能 PING 通,证明与电脑的连接良好且为同一网段,接着我们试着 TELNET 一下,即在电脑的命令提示符合键入 telnet ***.***.***.*** ,回车后你发现了什么?会出现一段英文,意思是交换机的密码未设置,不能访问。原来为了增加安全性,未设置密码的交换机不会让你登录。
回到交换机中,为 VLAN 1 设置密码,来到全局模式下(密码的设置全是在全局模式下),键入 line vty 0 ? (?为1~14之间的数字,意思是你要为交换机设置多少个同时连接数,一般不建议全部对外敞开,通常此数字选4,即打开0、1、2、3、4 共5个连接。),注意 0 和 ? 之间有空格。回车再键入 login 表示登录到此链路来设置密码,再回车,然后键入 password *** ,到这一步才是真正的设置密码了,最后设置一个强一点的密码。
再一次用计算的 TELNET 命令登录交换机,这次发现不会提示英文了,而是出现需要输入密码的对话,键入密码回车后,是不是发现与CONSOLE线登录一样呢?好了,远程登录到这里就讲解完毕。
五、交换机的实用技巧
1、为了加强交换机的安全因素,我们还可以给它加一个密码,即控制口密码(CONSOLE PASSWORD)。这个密码需要在进入交换机操作系统时输入,即如果没有此密码,连用户模式都无法进去。而我们设的明文、密文密码是在用户模式进入特权模式时才被要求输入的。
      怎样设这个控制口密码呢?如同设定 VLAN 端口的密码一样,我们需要在全局模式下键入 line console 0 后回车(注意是零不是欧,console 口的默认端口号为零),接下来键入 login ,登录到这个端口上,回车;然后键入 password **** 即可设定。设定完成后退回到特权模式下,用 show run 命令查看当前配置信息,可以看到 console 口的密码已经被设定。
2、现在我们已经介绍了四种密码――明文、密文密码;console 口密码;vlan 密码。但是这其中除了密文密码是加密显示外,其它的都是以未加密的原始状态呈现,这也十分不安全,我们有没有办法给这些未加密的密码加密一下呢?回答是肯定的。可以使用一个密码的加密服务――service password-encryption 。
      在全局模式下键入 service password-encryption 命令后回车,再回到特权模式下用 show run 查看一下,是不是所有的密码都以加密的形式呈现呢?如果不喜欢这种方式,我们可以取消密码加密(密文密码除外)。方法是在全局模式下键入 no service password-encryption ,即在刚才那条命令前加个 no 即可。同理,其它很多命令也是如此,如果想取消某个命令,在前面加 no 即可。如 shutdown--no shutdown (注:某些版本的交换机受到操作系统版本的限制,一旦设定密码为加密形式就不能再改回到不加密的状态了。)
3、交换机其它的一些命令
      我们知道了从用户模式进入特权模式用 enable 或 en 命令,从特权模式进入到全局模式用 config terminal 或 conf t 命令,从全局模式进入某个接口用 interface ***(***为某个接口,在交换机中一般是 F0/?,?是具体的端口号,如2端口就是0/2,这里的0代表的是交换机的第一个模块,计算机中常0来代表第一个,而0/2的含义就是第一个模块上的第二个接口,这个可以在特权模式下用 show ip interface brief 命令来查看交换机共有几个接口各叫什么名字;而这里的F代表的就是Fastethernet [快速以太网,即百兆网络],是它的简写。)。既然进入这么多层了,那怎么退出呢?可以用 exit 或 end 命令,注意这两个命令退出的方式是不一样的,exit 是逐级退出,即从接口模式退回到全局,再从全局退回到特权,从特权退回到用户,甚至可以从用户模式退出到未登录的状态;而 end 命令则是跨级退出,无论你在全局模式还是在接口模式,一下就退回到特权模式,但是它不能退回到别的状态,即终点只能是特权模式。
4、给交换机设置网关、DNS服务器。
      为什么要给交换机设置网关呢?首先要了解一下网关是什么。
      如果在同一网段内,计算机之间互访中需要有一个 MAC 地址即可,如果要想访问别的网段,就要通过路由器走出这个网段去访问别的网段,这个关口就是网关。如同一个教室的一个同学想要去另一个教室访问另一个同学,他必须走出这个教室的门一样,那么这个门就对应于网关。
      给交换机设置网关其实与接在它端口上的计算机是没有任何关系的,设置的目的只在于将来查错时把交换机当成一台计算机来与其它网段的网络设备相 PING ,缩小网络中故障的范围。
      同理,给它设置DNS(域名服务)也是没有什么实际意义的,与连接在它身上的计算机没有任何关系。目的只是为了查错时缩小故障范围,因为此时也可以把它当成一台计算机来 PING 某一个公网地址或域名,如果能 PING 通,则表示至少从交换机到外网是通畅的,如果连接在它身上的计算机此时不能 PING 通,那么故障范围只限定于交换机到计算机之间了。
      设置方法:首先进入全局模式,设置网关键入 ip default-gateway ***.***.***.*** 即可,当然一定要设置成真实的网关地址,不然是不起作用的。设置DNS 服务键入 ip name-server ***.***.***.*** ,也是一定要键入当地的域名服务器地址,如北京为 200.106.0.20 。
5、实用命令:
特权模式下的命令:
    show running-config (show run) 查看当前运行配置信息,括号内为简写。
    show run interface *** 查看某个接口的详细信息,包括接口的描述。
    show interface *** 查看某个接口的具体配置和统计信息,包括此接口的链路状态。
    show startup-config (show start) 查看 FLASH 中的 config.text 配置文件(文本文件),括号内为简写。
    show ip interface brief 查看所有接口状态信息,接口是否开启从这里能看出。
    show version 查看系统版本信息。
    show cdp 显示了设备的 CDP 全局信息,CDP 是 CISCO (思科) 发现协议,它主要用于管理员获得与交换机所连网络设备的信息。
    show cdp interface *** 显示了交换机 *** 接口的 CDP 配置信息,可以查看到此接口的开启状态。
    show cdp traffic 显示了有关 CDP 包的统计信息,可以查看其发送和接收数据 CDP 包的公告数。
    show cdp neighbors 以简洁形式列出与本交换机连接的相邻设备,包括相邻设备的名称、本地接口、保持时间、相邻设备代号 (S 为交换机、R 为路由器)、设备硬件平台、对方接口等信息。
    show cdp entry * 显示所有接口相邻设备的详细信息。
    show cdp neighbors detail 功能同上。
    write memory (wr) 保存当前 RAM 中的配置到 FLASH 中。括号中为简写。
    copy running-config startup-config (copy run start) 功能同上,括号内为简写。
    erase startup-config 删除 FLASH 中的 config.text 文件,即恢复出厂默认状态。
    reload 重新启动。
    show mac-address-table 查看交换机的 MAC 地址表。
全局模式下的命令:
    hostname *** 配置提示符前的主机名为 *** 。
    password *** 配置明文密码为 *** 。
    secret *** 配置密文密码为 *** 。
    ip address ***.***.***.*** 设置交换机的 IP 地址,注意此地址是为 VLAN 所设,用于远程管理。
    ip default-gateway ***.***.***.*** 设置交换机的缺省网关,主要用于排错,与其它连接设备无关。
    ip name-server ***.***.***.*** 设置交换机的 DNS 服务器地址,用途同上。
接口模式下的命令:
    description ***** 将此接口作一个标识。如:description BOSS ,我们就知道这个接口是老板专用的,切记不要乱动啊!!!呵呵!(注:接口描述可用 show run 命令查看,注意每一个接口下方的文字描述即可。)
    shutdown 关闭此接口,即此接口连接的设备不能与其它接口的设备通信,默认状态下交换机的每个物理接口均是开启状态。如果关闭的是与路由器连接的接口,那么不好意思了,所有内网的主机均不能访问外网了。取消为 no shutdown 。
    duplex *** 设置接口的双工模式为全双工还是半双工。默认状态下交换机的双工模式为自动,即自动与对方相匹配。可以设置的项为 auto (自动)、full (强制为全双工)、half (强制为半双工)。

你可能感兴趣的:(登录,恢复,密码,交换机,思科)