今天的課程是介紹Cisco路由器。在開始學習材料之前,我想祝賀所有觀看我的課程的人,因為視頻課程“第一天”今天已經有近一百萬人觀看。我感謝所有為 CCNA 視訊課程做出貢獻的用戶。
今天我們將學習三個主題:作為實體設備的路由器、思科路由器的簡短介紹以及初始路由器設定。這張投影片展示了典型的 Cisco 1921 路由器的外觀。
與具有許多連接埠的交換器不同,典型的路由器只有 2 個連接端口,在本例中是千兆位元乙太網路連接埠 GE0/0 和 GE/1 以及 USB 連接器。該路由器還具有用於擴展模組的插槽和 2 個控制台端口,其中包括 1 個 USB 端口。 Cisco 路由器的一個顯著特徵是存在交換器 - Cisco 交換器沒有交換器。通常,路由器的正面看起來如幻燈片左下角所示。路由器的後面板上有一個用於連接電纜的插座。此時,GE0/0或GE/1槽位的線纜連接至交換器。
右下圖顯示了 NME-X 23-ES-1GP 擴充模組,可以透過拆下空白面板將其插入路由器中。使用此類模組,您可以根據需要擴展常規思科路由器的功能。如您所知,思科產品由於其複雜性和廣泛的功能而相當昂貴,因此用戶有機會不必為功能超出其所需的設備支付過高的費用。透過購買具有 2 個連接埠的簡單路由器,您可以隨著網路的發展購買必要的擴充模組。一般來說,思科設備能夠執行許多功能。思科並未發明路由器,但正是路由器讓思科成為我們今天所知的公司。思科開始大規模生產最高品質的路由器,確保了這些產品在網路設備市場的領先地位。
思科稱自己為軟體公司,即生產軟體的公司。與思科硬體類似的硬體可以由任何製造商(例如中國)透過購買適當的硬體來製造。但正是 Cisco IOS 軟體造就了該公司的設備。該公司對這個作業系統感到非常自豪,它運行在所有思科設備上——包括交換器和路由器。
思科最重要的發明也是 CEF 增強技術,也就是思科快速轉發。它提供非常快速的資料包傳輸,幾乎以網路技術能力允許的最大速度。這要歸功於專用積體電路思科 ASIC(專用積體電路),它迫使交換器幾乎以網路速度傳輸封包。
正如我所說,路由器很大程度上是一個軟體設備,因此路由決策是由 Cisco IOS 作業系統做出的。
您知道電腦遊戲有昂貴的顯示卡。所以,如果你沒有這樣的卡,所有繁瑣的運算、3D動畫和複雜的圖形處理都由你的作業系統來執行,載入電腦的處理器。如果您擁有強大的顯示卡,帶有自己的 GPU 處理器和內存,遊戲效能會提高很多倍,因為圖形部分是由單獨的硬體處理的。
交換器以類似的方式運作,因為有關封包交換的所有決策都是由單獨的硬體做出的,無需載入路由器,而路由器中這些決策必須由軟體做出。 Cisco 使用半軟體、半硬體 CEF 技術,迫使路由器做出更快的路由決策。此功能僅在 Cisco 路由器上可用。
我們已經了解瞭如何執行交換器參數的初始配置,並且由於設定路由器是以類似的方式完成的,因此我將很快告訴您。我將開啟 Cisco Packet Tracer 並選擇 1921 路由器,然後開啟 IOS 控制台窗口,在其中可以看到路由器作業系統正在啟動。
你看我們下載的是15.1版本,這是最新版本的IOS,記憶體容量是512MB,CISCO 2911平台,那麼剩下的作業系統參數都位於,IOS鏡像測試,當然還有是授權協議和其他類似的東西。
我會特別製作一個單獨的影片專門介紹Cisco IOS,或是簡單講一下這個作業系統的各種服務。我只想說,透過版本號,您可以確定給定作業系統具有哪些功能。從15.1開始,所有版本的IOS都是通用的,也就是說,根據使用者購買的許可證,他可以利用各種系統功能。例如,如果需要確保增加網路安全性,則購買安全服務許可證,如果需要語音服務功能,則購買語音服務許可證等。
在15.1版本之前,路由器有不同版本的作業系統-Basic、Security、Enterprise、Voice Enable等。假設我朋友的路由器有 Enterprise IOS 版本,而我有 Basic IOS 版本,沒有什麼可以阻止我採用我朋友的版本並將其安裝在我的路由器上,因為 Cisco 沒有使用作業系統授權的概念。
從15.1版本開始,該公司開始實施許可證選項的概念,在您購買適當的金鑰之前,您無法使用任何額外的作業系統服務。稍後,當我們查看 Cisco 授權政策時,我將向您介紹 IOS 的不同版本。現在,您可以忽略它並直接進入下載日誌。
在日誌的末尾,您可以看到系統運行硬體的描述:處理器品牌、3 個千兆位元介面、64 位元 DRAM、256 KB 非揮發性記憶體。這個內存量看起來太小了,但是對於路由器做路由決策來說,已經足夠了。此記憶體不應與電腦的記憶體進行比較,因為它們是完全不同的東西。
Cisco IOS 啟動日誌以下列問題結束:「繼續設定對話方塊嗎?並不真地」。如果您回答“是”,系統將引導您回答一系列問題以完成初始設備配置。
您不應在 CCNA 課程期間執行此操作,因此請務必對此問題回答「否」。當然,您可以選擇“是”並滾動瀏覽配置設置,但由於您不知道如何操作,所以最好選擇“否”。
透過選擇「否」並按下回車鍵,我們將進入命令列提示符,可以在其中鍵入各種命令。與交換器的情況一樣,首先我們將鍵入命令 Router>enable 以切換到特權設定模式。然後我輸入 config t(配置終端)並進入全域設定模式。
讓我們快速瀏覽一下命令。我想更改主機名,因此我使用 hostname R1 命令,然後使用否定命令,因此我首先要求使用 do show ip interfacebrief 命令顯示路由器介面。我們看到千兆位元乙太網路連接埠 0/0 已管理性關閉,因此我使用 int gigabitEthernet 0/0 和 no shutdown 命令。此後,連接埠狀態變為 up。如果再次查看路由器介面的狀態,您可以看到該連接埠現在處於「啟用」狀態。協定狀態保持關閉狀態,因為沒有任何東西連接到我們的路由器,如果沒有流量,它就會保持停用狀態。但一旦流量到達路由器端口,協定就會將其狀態變更為啟動。
接下來您需要為控制台設定密碼。為此,我鍵入命令列 con 0、密碼 console,然後執行 show run 以確保已設定控制台密碼。只有在輸入登入指令後才會檢查密碼。現在路由器的控制台連接埠受密碼保護。
我已經告訴您有關密碼加密的資訊。想像一下有人可以存取該設備的當前配置。由於設定的密碼清晰可見,因此該人可以輕鬆竊取該密碼,以便隨時進入路由器設定併入侵系統。
啟用密碼加密的一種方法是使用 service password-encryption 指令。由於指令與 no 指令一起使用,預設為 no service password-encryption,因此不進行密碼加密。讓我們進入全域設定模式,鍵入 service password-encryption 指令並按 Enter。該命令的意思是系統採用我設定的明文密碼並對其進行加密。
現在,如果您使用 do show run 命令查看當前配置並轉到密碼行,您可以看到第七種密碼採用隨機數字序列的形式。現在,如果您的一位同事可以從您的肩膀後面看到這個密碼,他們將很難記住這個序列。這樣,我們就創造了存取安全系統的第一道防線。
但即使他設法複製此密碼,進入設定並嘗試將其貼上到密碼行中,系統也不會授予存取設定的權限,因為這組數字不是密碼本身,而是其加密值。正確的密碼是console這個詞,當我輸入它時,我將可以訪問控制台連接埠。因此,即使有人複製這些號碼,他們仍然無法存取該設備。
然而,事實上,我們錯了,因為攻擊者所需要的只是存取一個可以輕鬆解密思科七類密碼的網站。進入網站頁面,輸入複製的數字就足夠了,您將收到一個解密的密碼,在我們的例子中,它是單字「console」。現在駭客只需複製這個詞,返回IOS設定並將其貼到密碼提示中即可。
在這種情況下,簡單的啟用密碼功能無法提供所需的安全性。確保保護的最佳方法是使用啟用秘密 cisco 命令。如果您查看當前配置,您可以看到密碼值現在是一組非常不同的字元。在這種情況下,使用第五種類型的 Cisco 密碼。
線上解密此類密碼是不可能的,因此現在您裝置的控制台是完全安全的。
接下來您需要設定 Telnet 的密碼。為此,我在命令列中鍵入 vty 0 4,這將允許 5 個人使用此路由器,然後輸入密碼 telnet 命令。現在,如果有人想使用 Telnet 協定連接到路由器,他將需要輸入這個密碼 - 單字 telnet。
接下來,我們設定交換器的管理 IP 位址,因為交換器屬於第 2 OSI 層。然而,路由器是三層設備,這意味著路由器上的每個連接埠都有自己的IP位址。
在交換器中,我們進入 VLAN1 設定或需要註冊 IP 位址的任何其他網路的設定。我們建立了虛擬介面並為其分配了 IP 位址。但對於路由器來說,這些位址需要分配給實體端口,所以我輸入命令 config t 和 int g0/0。接下來,我使用指令指派 IP 位址,方式與指派 VLAN 的方式相同,即輸入指令 ip address 10.1.1.1 255.255.255.0,然後鍵入 no shutdown。
如果您現在使用 do show int Brief 指令查看連接埠的狀態,您可以看到位址 10.1.1.1 已指派給 Gigabit Ethernet 0/0 介面。這就是我們配置IP位址的方式。
接下來我們繼續設定登入橫幅。就像交換器一樣,我使用命令橫幅 motd &,然後我可以輸入我想要的任何文本,例如,歡迎使用 NetworKing Router,用星號在文本下劃線並用 & 符號將其關閉。
接下來,如果要停用端口,請使用 Shutdown 命令。若要儲存設置,請使用 copy running-configstartup-config 命令。執行設定可以使用show runningconf指令查看,啟動設定可以使用showstartupconf指令查看。由於我們使用了開箱即用的新設備並使用預設參數啟動,因此當要求顯示啟動配置時,系統回應它尚不存在。
輸入copy running-configstartup-config指令後,系統會要求您確認被覆寫的檔案是startup-config系統啟動參數檔。重寫啟動設定檔後,我使用showstartupconf指令查看它,發現它現在與裝置目前的狀態參數檔完全相同。現在,如果我關閉路由器並再次打開它,它將使用已儲存的設定啟動。
最好使用 show int Brief 指令來驗證路由器的狀態;您也可以使用 show int 指令,該指令將顯示所有連接埠的狀態。如果要查看特定連接埠的狀態,可以使用show interface g0/0指令,系統將顯示該介面的完整統計資料。
正如我所說,路由器最重要的部分是路由表。您可以使用 show ip router 指令來查看它。
目前,該表是空的,因為沒有設備連接到我們的路由器。在下一個影片課程中,我們將了解如何使用各種協定建立路由表,以及如何使用靜態路由或動態協定連接新裝置時填寫路由表。在路由器領域,show ip route 指令是最常用的,因為通常所有路由問題都始於路由表。
我們的視訊課程到此結束,我談到了今天計劃的所有內容。當我錄製並發布這些影片教學時,許多用戶問我的興趣是什麼。我在空閒時間免費做這件事。當然,如果你願意的話也可以寄錢給我。許多網站使用我的視訊課程並要求金錢,但我不想對我的聽眾這樣做,我保證我的課程永遠不會支付。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com