一、设备管理
管理设备: 也就是管理文件,定期备份,冗余备份, 灾难恢复
需要备份的文件:
FLASH : IOS 镜像文件
NVRAM : startup-config 启动配置文件
RAM: running-config 运行配置文件
备份方式:
tftp 、网络方式或者U盘进行备份或恢复
TFTP 服务器软件
3CDaemon 建议应用场景:从TFTP服务器导入网络设备
cisco TFTP server 建议应用场景:从网络设备导入TFTP服务器
通过TFTP方式,我们是利用RJ45还是console线进行连接呢? 都可以。
RJ45 速度较快,通常称为在线备份。(即使这样,速度也基本不会超过100Kb/s)
console线是通过xmodem协议进行传输,这种古老的传输协议速度较慢(简直慢的令人发指)
注意: 如果和TFTP服务器连接不成功,请查看是否需要关闭windows 防火墙。
实验准备
通常, 在学习CCNA的过程中, 大部分少年都无法经常使用真机进行实验,都会使用GNS3模拟器完成相关配置。那么如何通过GNS3完成 TFTP 备份和恢复文件呢? 下面简单的介绍一下:
原理: 必须要把路由器的接口与本地网卡做桥接,使本地IP地址与路由器的接口地址在同一个网段,并能ping通。
具体就是设备端口连接云,云桥接PC的网卡,然后设备端口的IP和主机网卡的IP配在同一个网段,之后就是应用上的问题了
1、首先,请大家下载好GNS3以及Cisco tftp 服务器软件, 并安装完成。 我们先运行 Cisco tftp
注意窗口标题栏的IP地址为: 192.168.1.104 , 说明 tftp 服务器监听在该IP地址的 69 号端口上。(无线网卡)
2、保持tftp开启状态, 并打开GNS3(win7 : 请以管理员身份运行), 添加一个路由器和一个网云。
配置路由器: 【右键】-【configure】, 在Slots 添加两个插槽。
对网云进行配置: 【右键】-【configure】, 桥接到本地网卡上
由于我使用的是无线网络, 所以这里我桥接到我的无线网卡上。 选中无线网卡, 然后必须点击【Add】, 然后【Apply】。
3、把路由器和网桥进行连接。
4、打开SecureCRT 对路由器进行本地网管,配置 接口IP地址。 接口IP地址必须和TFTP服务器处于同一个网段,并且能够ping 通。比如: tftp 的IP地址为 192.168.1.104 , 那么我们可以把接口 ip 配置为 192.168.1.105 。
5、测试,我们把路由器的配置文件copy 到 tftp 服务器上。
TFTP 服务器端显示信息如下图所示:
一、备份和恢复IOS 导出到TFTP Server
在将IOS被罚到TFTP服务器之前,首先需要先做3件事儿
确保 TFTP Server 正常运行, 可访问。 (TFTP 正常运行,监听的IP地址, 并配置默认工作目录)
确保网络服务器有足够的 flash 空间存储。 (show flash)
核实需要操作的文件的名字及路径。
1、首先需要有一个TFTP Server运行在当前的网络中;
2、一旦启用了一个TFTP Server,那么在路由器上有必要用PING命令来确保该TFTP Server可以到达,当然还有记录下你的TFTP Server的地址是多少。
比如在此我们使用192.168.1.25作为我们的TFTP Server的地址,如果该地址的PING没有问题的话,就可以直接使用copy flash: tftp: 了,但如果存在问题的话,就必须先解决该问题然后再使用copy flash: tftp: 命令;
3、我们还应该在本地路由器上查看一下我们的flash的容量大小及其中IOS操作系统的文件名,可以使用命令show flash来查看;
如果没有足够的空间同时容纳原有的和新复制进来的镜像文件, 继续进行复制操作会将原有的镜像删除。
4、Router#copy flash: tftp:
IP address or name of remote host[255.255.255.255]? 此处询问你要求存放你的flash的服务器的地址是什么这里我们输入192.168.1.25,然后press ENTER;
filename to write on tftp host? 此处询问在目的地保存该flash的文件名是什么?我们在此输入lab_b.ios就可以了;
随后你会看到: writing lab_b.ios !!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 5926652 bytes copied in 82.712 secs(71654 bytes/sec) 以上的信息说明你的保存已经成功完成了,copy flash tftp已经成功完成了,一旦这个复制命令完成了,路由器会告诉我们,复制过去的文件占用了TFTP Server多少空间,一共耗时多少;
二、恢复或升级:TFTP Server导入到设备
目的:灾难恢复、 IOS升级(主要应用)
在升级或恢复IOS文件之前,我们应该将路由器上现存的IOS文件复制到TFTP主机上,作为备份,以防新拷入的文件因损坏或无法运行使路由器不能正常工作。
首先下载IOS之前,看IOS对设备的最低要求(RAM, flash)。跟需要升级的设备是否匹配。
查看 flash 空间是否能够存放新的IOS(尽量保存原有的IOS, 或者对其先做备份,容灾)
需要提供TFTP主机的IP地址以及需要上传的文件名
我们还需要确认需要上传的文件已经存放在TFTP服务器的默认工作目录下
RAM: show version
FLASH : show flash
1、我们来学习如何载入保存在TFTP Server中的IOS备份文件:
2、首先一样我们先要确认该TFTP Server服务器可以到达,其次我们要用show flash命令来确认我们的路由器中有足够的空间来载入新的IOS软件,最后还要到远程服务器上检查我们新的IOS的文件是什么,由于我们是在实验环境下,所以我们只要在简单查看一下就可以,我们的文件名为lab_b.ios;
3、如果没有问题了,就可以输入: Router#copy tftp: flash:
在IP address or name of remote host[255.255.255.255]下输入192.168.1.25;
在Name of tftp filename to copy into flash[]? 输入lab_b.ios
在copy lab_b.ios from 192.168.1.25 into flash memory?[confirm]
后面按回车就可以了;如果没有问题的话,载入flash的工作也就完成了。
Erase flash :这里会清除flash【所有】文件,需要当心。 【按 ESC 取消】
备份、恢复运行配置文件
R1# copy running-config startup-config ## 复制当前配置到NVRAM R1# copy startup-config running-config ## 复制启动配置到RAM ## 删除启动配置文件 R1# erase startup-config
备份、恢复运行配置文件
R1# copy running-config tftp: R1# copy tftp: running-config ## merged,相当于手动配置了命令
备份、恢复启动配置文件
R1# copy startup-config tftp: R1# copy tftp: startup-config ## 覆盖
所有Cisco设备的配置文件名称后缀都是 .cfg 。 配置文件是一个ASCII的纯文本文件,我们可以通过任意文本编辑器修改此文件。
对于copy 同名文件, 根据不同的文件类型,有不同的行为:
动态文件: 运行时加载,对其任何修改都会影响设备行为。 (merge 行为, 相当于手动添加配置)
静态文件: 存储在非RAM中的文件。 (覆盖行为)
网络设备和PC不同,通常我们个人PC出现问题,重启基本就能够解决问题。但是网络设备不同,网络设备重启之前,我们对闪存中任意文件的操作,哪怕是错误的操作,都不会被反映出来,所以对flash 的操作,一定要十分谨慎。
远程网管设备方式(console , telnet , ssh , SDM)
本地网管: 通过 console 线与设备console口连接,本地网管设备。 console 口还是相当重要的。
远程网管: 通过 VTY 逻辑线路接口(不是物理接口),利用 telnet 或者 SSH 远程网管设备
SDM : 图形化界面
SDM:
http://www.cisco.com/web/CN/products/products_netsol/security/solution/products_security_sdm.html
什么是VTY ?
每一个VTY逻辑接口,都可以承载独立的telnet会话。也就是多个VTY接口,可以实现多个终端同时进行网管。通过VTY接口,必须配置 login 开启认证, 以及 enable 密码。默认情况下,无系统日志信息提示。
Cisco的设备管理有很多种方式,如Console、HTTP、TTY、VTY或其它网管软件,但我们远程管理较为常用的一种方式肯定是VTY方式。
VTY在Cisco的不同系列产品中,都有一定数量的VTY线路可用,但具体数目则不尽相同。有些路由器交换机产品只有 五条线路可用(line vty 0 4),有些交换机路由器设备则提供了十多条,甚至达一千多条,但默认情况下不一定全部启用。如果您想看一下自己的设备具体支持多少条线路,只需在全局模式下使用命令line vty 0 ?即可查看该设备支持多少条线路。
使用telnet
## 配置telnet R2(config)#line vty 0 4 R2(config-line)#password cisco R2(config-line)#login R2(config-line)#exit ## 我们必须配置特权模式的enable password 或enable secret ,从而实现远程网管。 R2(config)#enable secret cisco ## 为了允许将控制台信息发送到telnet会话,我们可以使用 terminal monitor 命令 ## R1 telnet 到R2 ,然后进入特权模式, 使用 terminal monitor 终端监控 R1#192.168.1.2 Trying 192.168.1.2 ... Open User Access Verification Password: R2>enable Password: R2#terminal monitor R2#config t Enter configuration commands, one per line. End with CNTL/Z. R2(config)#int lo R2(config)#int loopback 0 R2(config-if)# *Mar 1 00:54:32.187: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)# ## 检查 telnet 用户 R2#show users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 130 vty 0 idle 00:05:47 192.168.1.1 Interface User Mode Idle Peer Address ## 踢走某些VTY连接 1、首先通过 show users 查看是否有非法连接,并记录其连接编号 2、通过 clear line <vty | console> <线路编号> 可以断开相应连接 0 con 0 134 vty 0 135 vty 1 比如你要清除console的就是 clear line 0 或者你要清除vty 0, 那么就是 clear line 134 或者 clear line vty 0 ## 连接编号 和 线路编号 第二种方式: 1、使用show tcp brif 命令后,可以查看到当前和设备本身连接的远端、本地IP 2、然后就可以使用clear tcp tcb xxx 命令直接清除这条会话。(xxx为TCB号)
http://bbs.51cto.com/thread-921937-1.html
Ok,配置telnet 是非常简单的。但是还不够安全, 现在存在两个问题?
我们只通过密码认证,可能存在密码暴力破解的情况。
telnet 是明文传输。传输数据可能被截获。
解决第一个问题:
Cisco路由器支持集中的AAA(验证/授权/记帐)功能,但是需要部署一台Cisco ACS(访问控制服务器),如果网络设备数量不多,就可以利用Cisco路由器的本地验证和授权的功能来实现验证和授权,而且不需要部署Cisco ACS.
以下是一个实现对路由器r1的telnet访问的【本地验证和授权】的例子:
## 创建本地用户 R1(config)# username admin password cisco R1(config)# username admin privelege 15 password cisco # 赋予权限等级 ## 启用本地认证 R1(config)# line vty 0 4 R1(config-line)# login local
(1)为telnet用户设置一个帐号和口令(admin 用户的级别为1最低级别): # hostname r1 # username aaa password cisco (2)设置一个级别为2的特权口令 CISCO(缺省为15,具有所有权限) # enable secret level 2 CISCO (3)为级别是2的特权用户授权(只允许执行router和network命令) # privilege exec level 2 configure terminal 允许执行特权命令config t # privilege configure level 2 router 允许执行全局命令: router # privilege router level 2 network 允许执行路由进程命令: network (4)指定对Cisco路由器r1进行telnet访问的验证方法(使用本地用户数据库验证) # line vty 0 4 # login local (5)当对r1进行telnet访问时,首先会提示输入username和password,这时用户aaa是用户模式(1级用户),只能执行很少的命令集(用户模式命令集)。使用enbale 2 命令并且输入正确的口令后,可以有权限执行config t,router和network命令,但是其他命令不能执行,本地验证和授权成功。
解决第二个问题:
采用SSH 登录, 通过加密流量进行传输。 但是启用ssh之后,可能会影响性能。
http://www.cnblogs.com/JemBai/archive/2012/10/16/2726120.html
在Cisco IOS上启用SSH,禁止Telnet 命令 描述 username admin privilege 15 password Admin-Password 建立一个叫做admin的系统管理员 ip domain name MyDomain.com 建立一个用于认证的名字 crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字line vty 0 4 进入vty配置 transport input ssh 仅仅允许SSH登录
################################################################# 1. 配置hostname和ip domain-name Router#configure terminal Router(config)#hostname R2 //配置ssh的时候路由器的名字不能为router R2(config)#ip domain-name cisco.com //配置一个域名,SSH必需 2. 配置本地认证数据库 R2(config)#username admin password 123 或 R2(config)#username admin privilege 15 password 123 注:添加一个用户:admin,口令:123
3. 配置SSH服务: R2(config)#crypto key generate rsa The name for the keys will be: R2.cisco.com 注:SSH的关键字名就是hostname + . +ip domain-name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minuts How many bits in the modulus [512]: 1024 注:选择加密位数,cisco推荐使用1024 Generating RSA keys ... [OK] 或者: R2(config)#crypto key generate rsa general-keys modulus 1024 //生成一个rsa算法的密钥,密钥为1024位 (提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。 现在SSH服务已经启动,如果需要停止SSH服务,并删除rsa 密钥,用以下命令: R2(config)#crypto key zeroize rsa
4.设置SSH参数 配置好了SSH之后,通过show run命令 用命令show ip ssh也能看到: SSH Enabled - version 1.99 Authentication timeout: 120 secs; Authentication retries: 3 我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改: R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]} #如果要把超时限定改为120秒,则应该用: R2(config)# ip ssh time-out 120 #如果要把重试次数改成3次,则应该用: R2(config)# ip ssh authentication-retries 3 这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。 R2(config)#ip ssh version 2 #配置SSH V2 5. 在VTY逻辑接口上启用本地认证 R2(config)#line vty 0 4 //进入vty模式 R2(config-line)#transport input ssh //设置vty的登录模式为ssh,默认情况下是all即允许所有登录。禁止telnet R2(config-line)#login local # 调用本地认证数据库 #####R2(config)#aaa authentication login default local #####启用aaa认证,设置在本地服务器上进行认证 6. 测试远程ssh连接 注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容: R1#ssh -v 2 -l admin 192.168.0.2 7. 查看ssh会话 R2# show ssh
遇到的问题: 1. 为什么SSH配置需要一个域名呢? 在配置SSH登录时,要生成一1024位RSA key,那么key的名字是以路由器的名字与DNS域名相接合为名字。 2. 在配置时候,使用的7200ISO无法使用aaa authentication login default local这条命令,跳过后果然无法登陆,使用了aaa new-model--- 启用新的访问控制命令和功能。(禁用旧 命令)。 这条命令便可以的了,开启这个模式后,便有很多aaa的命令可以使用,包括实验中的命令,实验我跳过的了,依然可以SSH登录,看来是默认为本地验证的了。 另外,启用AAA后,除了console口外,所有线程都是用AAA来认证。 3. 如何改变ssh 默认端口 配置如下: access-list 100 permit tcp any any eq 9022 ip domain name cisco.com #配置域名 crypto key generate rsa modulus 1024 #生成密钥 username ciscort privilege 15 password 0 cisco@2012 #配置用户名密码 ip ssh port 9022 rotary 1 #修改SSH端口为9022 ip ssh version 2 #配置SSH V2 line vty 0 4 #配置本地认证 login local rotary 1 access-class 100 in transport input telnet ssh
收到大量关于SSH默认端口被攻击的日志告警和故障案例;主要攻击方法为通过“肉机”对SSH发起认证请求,使用不同的用户名和密码进行枚举试图通过认证并获得权限。对于此类问题首先建议用户更改SSH端口,加强用户密码的强制,同时开启防火墙,对于三次认证失败IP加入黑名单;有条件的用户建议对访问源地址进行过滤。对于更改SSH端口的方法举例如下:
Cisco设备安全的管理访问
http://blog.sina.com.cn/s/blog_74e94c840101cgzs.html
设定用户模式密码
设定特权模式密码
封装密码在配置文件中
设定一个公告提示的安全限制【MOTD banner】
设定访问特权级别
Telnet访问设备限制
Web访问设备限制
SNMP访问设备限制
一、用户模式密码
控制台(con)端口 控制台端口在路由器上。
辅助(AUX)港口 可以连接到外部调制解调器拨号连接。
虚拟终端(vty)端口 访问Telnet会话。
如何设定一个好的密码,以防止任何人用一个笔记本和一个控制台电缆访问设备。
interface FastEthernet0/0
ip address 192.168.0.1 255.255.255.0
!
line con 0 <-Console connection
login
line aux 0 <-AUX connection
login
line vty 0 4 <-Virtual terminal connections
login
end
每个设备的基本的密码配置都是相同的。密码的定义与密码命令和登录命令。密码都是1到25个字符,和可以包括大写字母、小写字母以及数字,遵守复杂的密码要求在密码策略。
结果可能看起来像以下清单:
!
line con 0
password cisco1
login
line aux 0
password cisco2
login
line vty 0 4
password cisco3
login
end
密码的使用应符合密码策略部分的网络安全政策。您可以使用同一个密码,,但这不是一个安全的解决方案。有人试图访问设备通过这三种方法之一只会提示输入密码,在这段时间里,可以采用暴力破解。
User Name/Password with Login Local
你可以既需要一个用户名和密码,以及有机会创建不同的组合,不同的用户。第一步是开发一个可接受的本地数据库的用户名和密码组合在全局配置模式。像所有的密码,这些都是case-ensitive,可以包括文字和数字,应符合密码策略。用户名不区分大小写。两个例子可能包括以下:
Rtr1(config)#username remote password acC3ss
Rtr1(config)#username scott password woLfe7
完成配置,修改登录命令登录当地的接口你想使用这个功能。在接下来的例子中,只有虚拟终端线被改变了。
username remote password access
username scott password wolfe
!
line con 0
password cisco1
login
line aux 0
password cisco2
login
line vty 0 4
login local <-启用本地认证数据库
end
在进行修改之后,下一个Telnet会话登录可能看起来如下:
User Access Verification
Username: remote <-Used the remote / acC3ss combination
Password:
Rtr1>exit <-Successful attempt
User Access Verification
Username: scott <-Used scott / WOLFE7 combination �C note case
Password:
% Login invalid <-Wrong case on the password)
Username: ScOtT <-Used ScOtT / woLfe7 combination �C note case)
Password:
Rtr1> <-Used the correct case on the password)
二、设定特权模式密码
访问安全的特权模式涉及被提示输入密码只有一个启用密码或启用密码之前已经定义在全球配置模式。如果没有设置,没有安全允许任何用户查看和/或更改设备配置存在的特权模式。有人甚至可以设置一个密码和其他用户锁定。较旧的启用密码命令其次是所需的密码创建一个明文输入运行配置,可以被任何人看到配置。更加安全的使秘密命令,后跟着所需的密码创建一个加密条目在运行配置,不能被理解任何人只要看到配置。如果两个启用密码并使秘密是配置,只有使秘密使用。启用密码是忽略的。以下条目演示这两个命令,然后使用一个显示运行命令显示配置。所有的密码都是大小写敏感的,应该遵守与密码策略。
Rtr1#conf t
Rtr1(config)#enable password test
Rtr1(config)#enable secret cisco
Rtr1(config)#^z
Rtr1(config)#show run
!
enable secret 5 $1$4F6c$D5iYCm31ri1cA9WwvAU220
enable password test
三、封装密码
如果你看一下前面的示例中,您将注意到所有密码以明文方式发送,除了启用密码。这意味着窥探的眼睛可能会收集一个密码。你可以安全的密码在全局配置模式下输入服务密码-加密命令。这永久加密所有的密码,所以确保你知道它们是什么。以下缩写输出展示了命令和结果:
Rtr1#conf t
Rtr1(config)#service password-encryption <-command
Rtr1(config)#^Z
Rtr1#sho run
version 12.0
service timestamps debug uptime
service timestamps log uptime
service password-encryption <-command
!
hostname Rtr1
!
enable secret 5 $1$4F6c$D5iYCm31ri1cA9WwvAU220
enable password 7 15060E1F10 <-enable password
!
username remote password 7 070E224F4B1A0A <-local database
username scott password 7 02110B570D03 <-local database
!
line con 0
password 7 121A0C041104 <-line con password
login
line aux 0
password 7 121A0C041104 <-line aux password
login
line vty 0 4
login local
!
end
四、Message of the Day Banner 设定一个公告提示
配置该消息,使用横幅公告在全球配置命令模式。语法有点不寻常,你输入命令,紧随其后的是一个性格你不计划包括在消息。这个角色成为一个分隔符,在这一切之后,你输入的字符再次出现之前的一部分消息。一个例子是横幅公告*没有未经授权的访问* *的地方显示开始和结束的消息。不会出现在的星号消息。
Rtr1#conf t
Rtr1(config)#banner motd * Unauthorized Access Could Result In Termination
Enter TEXT message. End with the character '*'. <-Ignore this
If you have any trouble with this device, call:
Mark Smith in IT Tech Support
Phone: (+86) 029-1111-1111
Rtr1(config)#^Z
Rtr1#
The next login attempt would look like the following:
Unauthorized Access Could Result In Termination
If you have any trouble with this device, call:
Mark Smith in IT Tech Support
Phone: (+86) 029-1111-1111
User Access Verification
Password:
五、特权级别
1 User exec mode only (prompt is router>), the default level for login
15 Privileged exec mode (prompt is router#), the Enable mode
0 Seldom used, but includes five commands: disable, enable, exit, help, and logout
Rtr1#show privilege
Current privilege level is 15
Rtr1#
mode Indicates the configuration level being assigned. This includes all router configuration
modes, including exec, configure, and interface.
level Indicates the level being defined.
command Indicates the command to be included. If you specify exec mode, then the command
must be an exec mode command.
reset Resets the privilege level of the command to the default privilege level.
创建一个新的特权模式做兼职管理员。
Rtr1(config)#privilege exec level 7 ping
Rtr1(config)#privilege exec level 7 show startup-config
Rtr1(config)#privilege exec level 7 show ip route
Rtr1(config)#privilege exec level 7 show ip int brief
Rtr1(config)#enable secret level 7 tESt7
我们来验证这个特权等级
Rtr1>enable 7
Password:
Rtr1#show privilege
Current privilege level is 7
Rtr1#
六、Using Access Control Lists to Secure the Network
Standard ACLs
This section includes examples of standard IP ACLs with various wildcard Mask options to perform the following security-related tasks.
Traffic filtering
Limiting access to Telnet sessions
Limiting access to HTTP sessions
Filtering routing updates
Limiting the debug ip packet analysis and, therefore, CPU use
使用环回接口实验室路由器
如果你的路由器只有一个单一的以太网接口吗?或者更糟糕的是,如果一个人你的实验室路由器只有一个令牌环局域网接口和你没有多站访问单元(猫)单位来充电了,所以界面不会来了?短的去做另一个设备,唯一的解决方案是创建环回接口。环回接口是什么?
They are logical interfaces, in that they don’t connect to any cables and,therefore, they have no hosts. Loopback interfaces are logical interface only.
They are “up” by default and remain up unless administratively shut down withthe shutdown command.
They can be configured as a host, a subnet, a network, or a supernet, like anyother interface.
They can be included in the routing updates like any other interface.
They can be used as a ping, a Telnet destination, or a source.
Some routing protocols, such as OSPF and BGP, use loopbacks as router IDs.
配置一个回环口像是创建一个子接口。如下一个例子:
router(config)#interface loopback num
router(config-if)#ip address ip-address subnet-mask
router(config)#interface loopback 0
router(config-if)#ip address 192.168.3.1 255.255.255.255
Traffic Filtering
Traffic filtering用一个不同的标准的访问控制列表,当计划一个数据块从特殊源主机或者一组主机到一个网络。下面两个访问控制列表在R1上。ACL10允许仅仅主机192.168.2.2 从R2 LAN和所有的主机从R1 LAN 到internet
Rtr1(config)#access-list 10 permit host 192.168.1.20.0.0.0.255
Rtr1(config)#access-list 10 permit 192.168.1.20 0.0.0.255
Rtr1(config)#access-list 20 permit host 192.168.2.20
Rtr1(config)#access-list 20 deny 192.168.2.0 0.0.0.31
Rtr1(config)#access-list 20 permit any
Rtr1(config)#int s0
Rtr1(config-if)#ip access-group 10 out
Rtr1(config-if)#int e1
Rtr1(config-if)#ip access-group 20 out
The following output lines show the result of adding the Log option to an ACL that blocks the access of host 192.168.1.10 to a LAN.
Rtr1(config)#access-list 50 deny 192.168.1.10 log
Rtr1config)#access-list 50 permit any
Rtr1(config)#int e0
Rtr1(config-if)#ip access-group 50 out
Rtr1(config-if)#^Z
Rtr1 #
11:29:37: %SEC-6-IPACCESSLOGS: list 50 denied 192.168.1.10 1 packet
Rtr1 #
11:34:53: %SEC-6-IPACCESSLOGS: list 50 denied 192.168.1.10 27 packets
Rtr1#
Limiting Access to Telnet Sessions
如上图所示,我们可以设定限制Telnet回话
Rtr1(config)#access-list 15 permit 192.168.2.0 0.0.0.255
Rtr1(config)#access-list 15 permit 42.17.17.45
Rtr1(config)access-list 16 deny any
Rtr1(config)#line vty 0 4
Rtr1(config-line)#access-class 15 in
Rtr1(config-line)#access-class 16 out
Rtr1(config-line)#password cisco
Rtr1(config-line)#login
下面我们来验证这个ACL
Rtr2>telnet 192.168.3.1 <-could have used 192.168.1.1
Trying 192.168.3.1...
% Connection refused by remote host
Rtr1>telnet Rtr2
Trying Rtr2 (192.168.3.2)...
% Connections to that host not permitted from this terminal
Trying Rtr2 (192.168.2.1)...
% Connections to that host not permitted from this terminal
Rtr1>
Show Line VTY Command
用show line vty 0 4 命令查看虚拟终端
Lab-X#show line vty 0 4
实验参考
1、 以超级终端或者telnet方式登录到路由器上。
2、 用 enable 命令进入特权模式。
3、 用 ping xxx.xxx.xxx.xxx 命令检查路由器到TFTP路由器连接性。
4、 检查路由器的各个端口的ip地址和网络掩码,填在下面。
5、 用 copy flash tftp 命令将当前配置保存到TFTP服务器上。 copy flash: tftp:
Source filename [c2600-ds-mz.121-18.bin]?
Address or name of remote host []? 219.17.100.18
Destination filename [c2600-ds-mz.121-18.bin]? lab_b
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 8334396 bytes copied in 52.486 secs (160276 bytes/sec)
6、 用 copy running-config tftp: 命令将当前配置保存到TFTP服务器上。
7、 用 erase startup-config 命令删除NVRAM中的配置。然后用 show startup-config 命令确认NVRAM中的配置确实已经删除。
8、 用 reload 命令重启路由器。当系统提示进入 the initial configuration dialog时,输入 no 。当系统提示 terminate autoinstall 时,输入 yes 。 用 enable 命令进入特权模式。
9、 配置将要用来传送TFTP文件端口的IP地址和网络掩码。
10、 用 copy tftp running-config 命令将TFTP上的配置文件拷贝到路由器上。然后根据系统提示分别输入服务器IP地址和将要保存的文件名。 copy tftp: running-config
Address or name of remote host []? 219.17.100.18
Source filename []? lab_b-confg
Destination filename [running-config]? Accessing tftp://219.17.100.18/lab_b-confg... Loading lab_b-confg from 219.17.100.18 (via FastEthernet0/0): ! [OK - 835/1024 bytes] 835 bytes copied in 18.783 secs (46 bytes/sec)
11、 用 show running-config 命令查看当前配置。与原来一样吗?请将答案填在下面。
12、 用 copy running-config startup-config 命令将当前配置拷贝到NVRAM中。
http://blog.sina.com.cn/s/blog_6b03aff20100ymz7.html
http://332162926.blog.51cto.com/8831013/1540923
http://sns.clnchina.com.cn/space.php?uid=375827&do=blog&id=3419
http://blog.sina.com.cn/s/blog_6fbf7e670100xvjz.html