Transcript CH 4
第4章
Cisco 的互連網路
作業系統 (IOS) 與
安全裝置管理員
(SDM)
本著作僅授權老師於課堂使用, 切勿置放在網路上
播放或供人下載, 除此之外, 未經授權不得將全部
或局部內容以任何形式重製、轉載、變更、散佈或
以其他任何形式、基於任何目的加以利用。
著作權所有 © 旗標出版股份有限公司
本章重點
4 - 1 IOS 使用者界面
4 - 2 命令列界面
4 - 3 設定路由器與交換器的管理性組態
4 - 4 路由器界面
4 - 5 檢視、儲存、與清除組態設定
4 - 6 Cisco 的安全裝置管理員 (SDM)
4 - 7 摘要
2
Cisco 的互連網路作業系統 (IOS) 與安
全裝置管理員 (SDM)
現在是跟您介紹 Cisco 互連網路作業系統
(Internetwork Operating System, IOS) 的時候
了。
IOS 是 Cisco 路由器與某些 Cisco 交換器上所
執行的軟體, 也是讓您得以設定這些裝置的軟體。
本章介紹如何利用 Cisco IOS 命令列界面
(command-line interface, CLI) 來設定 Cisco
IOS 路由器。
3
Cisco 的互連網路作業系統 (IOS) 與安
全裝置管理員 (SDM)
當您熟練這個界面之後, 就可用它來設定主機名
稱、標題訊息 (banner)、密碼、以及更多, 而且
還可用它來檢修問題。
然後我們會介紹 Cisco 的安全裝置管理員
(Security Device Manager, SDM), 教您如何建
立與路由器的 HTTPS 會談, 以提供類似的組態
設定。
SDM 在往後的章節會變成非常有用的工具, 因
為它使得存取清單、VPN、與 IPSec 的設定變
得非常輕鬆。
4
Cisco 的互連網路作業系統 (IOS) 與安
全裝置管理員 (SDM)
但首先, 您得先學好 Cisco IOS 的基礎。
此外, 您也會學習到如何確認路由器的組態設定。
本章會討論以下的主題:
瞭解與設定 Cisco IOS
連接路由器
啟動路由器
登入路由器
5
Cisco 的互連網路作業系統 (IOS) 與安
全裝置管理員 (SDM)
瞭解路由器的提示訊息 (prompt)
瞭解 CLI 提示訊息
執行編輯與輔助 (help) 功能
收集基本的遶送資訊
設定路由器密碼
設定路由器標題訊息
設定界面的組態
設定路由器的主機名稱
6
Cisco 的互連網路作業系統 (IOS) 與安
全裝置管理員 (SDM)
設定界面說明
檢視與儲存路由器的組態設定
確認遶送的組態設定
就跟前幾章一樣, 本章係為本書後面的章節奠定
基礎, 您應該要先學。
7
4 - 1 IOS 使用者界面
Cisco IOS 是 Cisco 路由器與大部分 Cisco 交
換器的核心 (kernel), 核心是作業系統中最基本
的、不可或缺的部份, 負責配置資源與管理諸如
低階硬體界面與安全性等。
接下來的章節將展示 Cisco IOS, 教您如何利用
命令列界面 (command-line interface, CLI) 來
設定 Cisco 路由器。
本章結尾則將介紹 Cisco 的 SDM。
8
Cisco 路由器 IOS
Cisco IOS 是專屬的核心, 提供遶送、交換、網
路互連、電信等功能。
第一版的 Cisco IOS 是由 William Yeager 在
1986 年產生的, 它促進了網路的應用。
Cisco IOS 在大部分的 Cisco 路由器與一些
Cisco Catalyst 交換器上執行, 例如 Catalyst
2950 / 2960 與 3550 / 3560 系列交換器。
Cisco 路由器 IOS 軟體負責的重要工作有:
支援網路協定與功能。
9
Cisco 路由器 IOS
Cisco 路由器 IOS 軟體負責的重要工作有:
支援網路協定與功能。
在裝置之間連結高速的交通。
增加安全性以控制存取, 並阻止非授權使用網路。
提供可擴充性, 以利網路成長與冗餘性。
提供與網路資源連線的網路可靠性。
存取 Cisco IOS 的途徑包括:透過路由器的控
制台埠 (console port)、從數據機進入輔助埠
(Aux port)、或甚至透過 telnet。對 IOS 命令列
的存取稱為 EXEC 會談 (session)。
10
連接 Cisco 路由器
您可以連上 Cisco 路由器以設定組態、確認組
態設定、以及檢視統計資訊。
有好幾種不同的方式可進行這些動作, 但最常見
的, 也是第一個您會連接的地方就是控制台埠。
控制台埠通常是位於路由器背後的一條 RJ - 45
(8 腳的模組) 接線 - 根據預設, 可能有、或沒
有設定任何密碼。
新型 ISR 路由器會使用 cisco 當作預設的使用
者名稱, 並且使用 cisco 當作預設的密碼。
11
連接 Cisco 路由器
您也可以透過輔助埠來連結 Cisco 路由器 - 這
其實與控制台埠是相同的。但輔助埠也可讓您
設定數據機命令, 以便經由數據機連上路由器。
這是個不錯的功能 - 如果路由器當掉, 您需要
透過其他管道 (也就是其他網路) 來設定它, 這
個功能讓您能撥接至遠端的路由器, 並連結輔助
埠。
第 3 個連接路由器的方法是透過 telnet 程式的
頻內 (in-band) 通訊。
12
連接 Cisco 路由器
(in-band 表示您得透過該網路來設定路由器, 它
的相反就是 out-band), telnet 是一種終端模擬
程式, 動作就像一部終端機一般。
您可以利用 telnet 連結路由器上的任何作用中
(active) 界面, 如乙太網路或序列埠 (serial port)。
圖 4.1 展示一部 Cisco 2600 系列的模組路由器,
2600 系列縮減了 2500 系的生產, 因為 2600 系
列有更快的處理器, 能夠處理更多的界面。
13
連接 Cisco 路由器
現在 2500 與 2600 系列的路由器都已經停產了,
您只能買到二手貨。不過, 很多營運環境仍然存
在著很多的 2600 系列路由器, 所以瞭解它們是
很重要的。
請特別注意各種不同的界面與連接口。
14
連接 Cisco 路由器
2600 系列路由器有多片序列界面, 可透過序列
的 V.35 WAN 接線來連接 T1 或 Frame Relay。
根
據路由器的型號別, 路由器上也會有多個乙太網
路或高速乙太網路埠可用。
這部路由器也有 1 個控制台埠與 1 個 RJ-45 接
頭的輔助埠。
這裡還想要討論的另一種路由器是 2800 系列
(如圖 4.2 所示)。
15
連接 Cisco 路由器
這種路由器取代了 2600 系列, 並且被稱為整合
服務型路由器 (Integrated Services Router,
ISR), 因為它內建了許多服務, 例如安全性。
就像 2600 一樣, 2800 系列也是一種模組裝置,
但速度更快, 配備更豪華- 它的設計可支援各
式各樣的界面功能。
16
連接 Cisco 路由器
前面提到內建的安全性 - 2800 預先安裝了安
全性裝置管理員 (Security Device Manager,
SDM)。
SDM 是網站式的 Cisco 路由器裝置管理工具,
可以協助您透過網站控制台設定路由器的組態,
這在本章後面會再討論。
有另外幾個系列的路由器沒有像 2800 系列那
麼貴:1800 和 800 系列。
17
連接 Cisco 路由器
如果您希望有同樣執行 12.4 IOS 和最新的
SDM, 但是又比 2800 便宜的路由器, 那就可以
考慮這幾個系列。
圖 4.3 是 1841 路由器, 它具有跟 2800 幾乎相
同的界面, 但是較小也較便宜。
選擇 2800 而非 1800 系列的真正原因, 在於它
可以執行更多先進的界面, 例如無線控制器和交
換模組等。
18
連接 Cisco 路由器
本書後面將使用全新的 2800、1800 和 800 系
列路由器做為路由器組態設定的範例, 不過, 您
也可以使用 2600, 甚至 2500 路由器來練習遶
送原則。
19
啟動 Cisco 路由器
第一次啟動 Cisco 路由器時, 它會執行開機自我
測試 (power-on self-test, POST)。
如果測試通過, 接著就從快閃記憶體 (flash
memory) 中找尋並載入 Cisco IOS - 如果 IOS
檔案存在。
快閃記憶體是一種電子式可移除可程式化的唯
讀記憶體 (electronically erasable
programmable read-only memory, EEPROM)。
20
啟動 Cisco 路由器
然後 IOS 繼續載入並找尋有效的組態 - 啟動
組態 (startup-config) - 儲存在非揮發性隨機記
憶體 (NVARAM) 中。
當您首次開機或重載 (reload) 路由器時, 會出現
以下的訊息 (這裡使用 2811 路由器):
21
啟動 Cisco 路由器
這是路由器開機程序的第一部份輸出, 這些資訊
是有關首次執行 POST 的開機區 (bootstrap) 程
式。
然後說明路由器如何載入 IOS, 預設上是要在快
閃記憶體中找尋 IOS。這份輸出也會列出路由
器的 RAM 數量。
接下來的部份顯示 IOS 正被解壓縮到 RAM 中:
22
啟動 Cisco 路由器
井字號 (#) 表示正在將 IOS 載入 RAM 中。
在解壓縮到 RAM 之後, IOS 就載入完成並開始
操作路由器;輸出畫面如下。
請注意這裡啟動的 IOS 版本就是前面所說有先
進安全功能的 12.4 (12) 版本:
23
啟動 Cisco 路由器
新 ISR 路由器的一項新功能是它的 IOS 名稱已
經沒有加密了。
它的檔名明確地指出這個 IOS 可以做些甚麼,
例如先進的安全性 (Advanced Security)。
一但 IOS 載入後, 接著會顯示從 POST 取得的
資訊:
24
啟動 Cisco 路由器
從上面可以看到有 2 個 FastEthernet 界面, 4
個序列界面, 加上 1 個 VPN 模組。
它還會顯示 RAM、NVRAM 和快閃記憶體的數
量。
在上面的輸出中顯示有 256 MB 的 RAM、239
K 的 NVRAM 和 64 MB 的快閃記憶體。
25
啟動 Cisco 路由器
當 IOS 載入並啟動之後, 預先設定的組態 (稱為
啟動組態, startup-config) 會從 NVRAM 複製到
RAM。
這個檔案會放在 RAM 中, 並且稱為運行組態
(running-config)。
26
啟動非 ISR 路由器 (2600)
非 ISR 路由器的開機過程跟 ISR 路由器大致相
同。
當您首次啟動或重載 2600 路由器時, 會出現下
列訊息:
下個部分顯示 IOS 正解壓縮到 RAM 中。
27
啟動非 ISR 路由器 (2600)
到目前為止, 每樣東西看起來都很像。請注意下
面的 IOS 版本是 12.3 (20)。
28
啟動非 ISR 路由器 (2600)
就像 2800 系列, 一旦 IOS 載入後, 就會顯示來
自 POST 的資訊:
29
啟動非 ISR 路由器 (2600)
最後顯示這裡有 1 個乙太網路界面和 3 個序列
界面。
它還會顯示 RAM 和快閃記憶體的數量, 在上面
的路由器輸出中, 一共有 64 MB 的 RAM 和 16
MB 的快閃記憶體。
30
啟動非 ISR 路由器 (2600)
如前所述, 當 IOS 載入和執行的時候, 會從
NVRAM 中載入有效的組態, 稱為啟動組態。
但是非 ISR 路由器在此處會與 ISR 路由器的預
設開機不同 - 如果 NVRAM 中沒有組態檔, 路
由器會廣播尋找是否有 TFTP 主機可提供有效
的組態。
(這只發生在路由器於某個界面有感應到媒介偵
測信號, 亦即 CD 的時候)。
31
啟動非 ISR 路由器 (2600)
如果廣播失敗, 它就會進入所謂的裝配模式
(setup mode) -協助您逐步設定路由器組態的
過程。
因此, 如果您將路由器的任何界面接上網路, 然
後開機時, 可能會先等幾分鐘讓路由器搜尋組態。
您也可以在任意時間, 在特權模式下輸入 setup
命令來進入裝配模式。
裝配模式只涵蓋一些整體命令, 而且通常沒有什
麼用。下面是個例子。
32
啟動非 ISR 路由器 (2600)
下面是個例子:
強烈建議您進入裝配模式一次, 然後就再也不用
了。您應該要使用 CLI 或 SDM。
33
4 - 2 命令列界面
筆者有時候會戲稱 CLI 是現金專線界面 (Cash
Line Interface), 因為如果您能在 Cisco 路由器
或交換器上透過 CLI 建立進階的組態, 您就會贏
得現金!
要使用 CLI, 只要在路由器完成開機動作後輸入
Enter 鍵, 然後路由器就會回應訊息告訴您每個
路由器界面的相關狀態, 然後顯示標題訊息, 並
要求您登入。
例如。
34
命令列界面
35
命令列界面
36
命令列界面
只要從這裡輸入「cisco / cisco」當作使用者名
稱與密碼來登入, 就可以進入特權模式
(privilege mode) - 稍後會加以說明。
現在路由器上已經有安裝好的組態設定, 也就是
您不用設定路由器就可以透過 HTTPS 連上
SDM 的理由。
同樣地, 本章稍後會說明預先設定好的啟動組態
(startup-config)。
37
從非 ISR 路由器進入 CLI
出現界面狀態訊息之後, 按下 Enter 鍵, 就會出
現 Router> 的提示列, 這稱為使用者 exec 模式
(使用者模式)。
它幾乎只是用來檢視統計資訊, 但也是登入特權
模式的踏板。
在特權 exec 模式 (特權的模式) 中能檢視與更
改 Cisco 路由器的組態, 以 enable 命令即可進
入這種模式:
38
從非 ISR 路由器進入 CLI
提示列 Router# 表示您正處於特權模式中, 在
這種模式下可以檢視與更改 Cisco 路由器的組
態。
您可以使用 disable 命令從特權模式退回使用
者模式, 操作畫面如下:
此時可以輸入 logout 離開控制台:
39
路由器模式概觀
要從 CLI 設定, 可以輸入 configure terminal
(或 config t), 對路由器進行整體的變更, 這讓您
進入整體設定模式, 並且變更所謂的運行組態
(runningconfig)。
整體命令 (從整體設定模式中執行的命令) 是設
定一次就可影響整個路由器的命令。
您可以在特權模式提示列輸入 config, 然後只
要按下 Enter 採納預設的終端機, 如以下所示:
40
路由器模式概觀
因為是整體設定模式, 此時所作的變更會影響整
個路由器。
要改變運行組態 - 在動態的 RAM (DRAMM)
中運行的目前組態 - 必須使用 configure
terminal 命令。
若要變更自啟動組態 - 儲存在 NVRAM 中的
組態 - 必須使用 configure memory 命令 (或
縮寫成 config mem), 這會將啟動組態檔合併
至 RAM 中的運行組態檔。
41
路由器模式概觀
若想要變更自儲存在 TFTP 主機中的路由器組
態, 必須使用 configure network 命令 (或縮寫
成 config net)。
同樣地也會將它合併至 RAM 中的運行組態。
configure terminal、configure memory、
configure network 都是用來設定資訊到路由器
之 RAM 中的命令, 但我們通常都只使用
configure terminal 命令。
有時候如果我們弄糟了運行組態檔, 而又不想重
開機, 這時 config mem 與 config net 命令可
能就很有用了。
42
路由器模式概觀
configure 命令還有一些其他的選項:
Cisco 在 12.4 IOS 中加入了一些新的命令, 我
們會在第 5 章介紹它們。
43
CLI 提示列
瞭解路由器設定時所能看到的提示列其實是非
常重要的, 熟悉這些訊息將能幫助您操作, 並認
得當時您到底是處於設定模式中的何處。
本節展示 Cisco 路由器所用的提示列 (對路由器
進行任何變更之前, 一定要先檢查當時所在的提
示列!), 並且討論所用到的各種術語。
我們並不會瀏覽路由器所提供的每一種命令提
示列, 因為這樣會超出本書的範圍。
此處只描述本章與本書會用到的提示列, 這些命
令提示列都是您在真實世界中最常使用的 - 也
是檢定考需要知道的。
44
界面
要變更界面, 必須從整體設定模式使用
interface 命令:
45
界面
您注意到提示列改變成 Router(config-if)# 了
嗎?這告訴您當時正處於界面設定模式。
46
界面
如果提示列也告訴您正在設定那個界不是很好
嗎?
是的, 不過至少現在沒有。
不過有件事是確定的:設定路由器時真的要非
常小心!
47
子界面
子界面 (subinterface) 讓您能在路由器中產生邏
輯界面, 之後提示列會改變成 yourname
(config-subif) #:
48
line 命令
設定使用者模式的密碼要使用 line 命令, 然後
提示列會變成 yourname (config-line) #:
49
line 命令
line console 0 命令是一個所謂的主要命令 (又
稱為整體命令), 而且任何從 (config-line) # 提
示列所輸入的命令都是所謂的子命令。
50
遶送協定設定
要設定諸如 RIP 與 IGRP 等遶送協定, 必須使
用 yourname (config-router) # 提示列, 例如:
51
定義路由器術語
表 4.1 定義一些我們到目前為止所用的術語。
52
編輯與輔助功能
您可以使用 Cisco 進階的編輯功能來幫助您設
定路由器。
如果在任何提示列輸入問號 (?), 畫面就會出現
該提示列下可用的所有命令, 例如:
53
編輯與輔助功能
54
編輯與輔助功能
此外, 此時您可以按下空白鍵, 以得到另一頁的
資訊, 或者按下 Enter, 每次前進一個命令。
您也可以按下 Q 加以中止, 並跳回命令列。
這裡有一種捷徑法:要找尋以特定字母開頭的
命令, 請輸入該字母, 然後跟隨著問號, 中間不要
有空白。
例如:
55
編輯與輔助功能
輸入 c? 之後, 就會收到一個回應清單, 列出以 c
為開頭的所有命令。而且顯示完這份命令清單
之後, yourname#c 提示列會重新顯現。
當您有很長的命令, 而且需要下個可能的命令時,
這種設計非常管用。
如果每次您使用問號後都得重新輸入整個命令,
那這種設計就太憋腳了!
56
編輯與輔助功能
若要找尋字串中的下個命令, 則輸入第一個命令
後再輸入問號, 例如:
57
編輯與輔助功能
輸入 clock ? 命令後, 就可得到下個可能的參數
清單, 以及它們的意義。
請注意您應該只要一直輸入一個命令, 一個空格,
然後一個問號, 直到最後只剩 cr 的選項為止。
如果您輸入如下的命令, 並收到如下的訊息:
58
編輯與輔助功能
就知道這個命令列尚未完成。只要按下↑箭頭鍵,
就可重新顯示剛才輸入的命令, 然後繼續利用問
號來完成這個命令。
如果您收到如下的錯誤訊息:
這表示所輸入的命令不正確, 而 ^ 正標示出所輸
入命令的錯誤之處。
59
編輯與輔助功能
以下是另一個您可能會看到 ^ 的例子:
這個命令看起來好像沒錯, 不過小心點!完整的
命令應該是 show interface serial 0 / 0。
現在假設您收到如下的錯誤訊息:
60
編輯與輔助功能
這表示有許多命令是從您所輸入的字串開始, 它
無法決定唯一的命令。這時可使用問號找出您
所需要的命令:
從畫面可看到, 以 sh ru 開頭的命令有 2 個。
表 4.2 顯示 Cisco 路由器上可用的進階編輯命
令。
61
編輯與輔助功能
62
編輯與輔助功能
另一個想要給您看的是自動捲動長列的編輯功
能。
在以下的範例中, 所輸入的命令已經到達右邊的
邊界, 並自動往左移動 11 個空格 ($ 符號表示這
一列已經有一部份捲至左邊)。
63
編輯與輔助功能
您可以用表 4.3 中的命令來回顧路由器命令的
歷史軌跡:
64
編輯與輔助功能
以下的命令展示 show history 命令, 如何改變
緩衝區大小, 以及如何以 show terminal 命令
加以確認。
首先, 利用 show history 命令來檢視我們在路
由器上輸入的前 10 個命令:
65
編輯與輔助功能
現在, 利用 show terminal 命令來確認終端機
歷史緩衝區的長度:
66
編輯與輔助功能
我們可利用特權模式下的 terminal history
size 命令, 改變歷史緩衝區的大小:
67
編輯與輔助功能
再以 show terminal 命令加以確認:
68
何時要利用 Cisco 的編輯功能?
有一些編輯功能很常用, 有一些則否。其實這些
並非 Cisco 編造的, 而只是舊的 Unix 命令。不
過 Ctrl + A 對於取消一個命令真的很好用。
例如, 如果您輸入了一個很長的命令, 然後又覺
得不想要在您的設定中使用這個命令, 或它不可
行。
那麼可以按下 ↑ 箭頭鍵, 顯示最後一個輸入的命
令, 按下 Ctrl + A, 輸入 no, 然後一個空格, 再壓
下 Enter, 轟!這樣命令就取消了。
並非每個命令都可以這樣, 但大部分都可以。
69
收集基本的路由器資訊
show version 命令可提供系統之硬體與軟體版
本的基本組態, 以及開機映像 (boot image)。
例如:
前面的輸出描述路由器上所執行的 Cisco IOS,
接下來的部份則描述所用的 ROM (用來開機並
儲存 POST 用的)。
70
收集基本的路由器資訊
再接下來的部份顯示路由器已經運作多久, 它是
如何重新啟動的 (如果您看到了 "system
restarted by bus-error", 那是很糟的事)。
Cisco IOS 是從哪裡載入的 (預設是快閃記憶
體)、以及 IOS 名稱:
71
收集基本的路由器資訊
下個部份顯示處理器、DRAM 及快閃記憶體的
容量、以及 POST 所發現的界面:
72
收集基本的路由器資訊
最後列出組態暫存器 (configuration register) 的
值。
此外, show interfaces 與 show ip interface
brief 命令對於確認與檢修路由器和網路問題是
非常有用的, 本章稍後也會介紹, 別錯過喔!
73
4 - 3 設定路由器與交換器的管理性組
態
對於要能讓路由器或交換器在網路上運作, 本節
的內容雖非關鍵, 但仍然很重要。我們將透過組
態設定的命令, 幫助您管理網路。
路由器或交換器上能設定的管理功能包括:
主機名稱
標題訊息
密碼
界面說明
74
設定路由器與交換器的管理性組態
請記住, 這些功能並不會讓您的路由器或交換器
更好或更快;但如果您能撥點時間在每個網路
裝置上設定這些組態, 您的生活一定會獲得大幅
地改善。
因為這樣做會使得網路的檢修與維護變得非常
容易!
接下來我們要展示 Cisco 路由器上的命令, 不過
這些命令在 Cisco 交換器上也是一模一樣。
75
主機名稱
您可以使用 hostname 命令來設定路由器的身
分, 但這只在本機具有意義。
也就是說, 路由器如何執行名稱的解析, 或者路
由器如何在互連網路上運作, 都與這個主機名稱
無關。
不過我們在第 14 章討論 PPP 時, 會利用主機
名稱做為認證的目的。
76
主機名稱
例如:
雖然以自己的名字來設定主機名稱是很誘人的
想法, 但最好以位置相關的事物來命名主機。
77
主機名稱
因為如果主機名稱與它實際所在的位置有所關
連, 則尋找時會容易得多, 而且也可以幫助您確
定您正在設定的裝置是正確的。
本章中, 我們還是保留 Todd 的名稱。
78
標題訊息
標題訊息不只是耍酷 - 需要標題訊息 (banner)
的一個好理由是增加安全告示給撥接或 telnet
至您互連網路的人。
您可以在 Cisco 路由器上設定標題訊息, 當使用
者登入路由器或管理員 telnet 至路由器時, 標題
訊息就能提供他們您想要讓他們知道的訊息。
不過您要熟悉 4 種可用的標題訊息:產生
EXEC 程序時的標題訊息、進入終端線路時的
標題訊息、登入時的標題訊息、以及每日告示
(全部顯示在以下的編碼中)。
79
標題訊息
每日告示 (message of the day, MOTD) 是使用
最廣的標題訊息, 它提供訊息給每個撥接進入、
或透過 telnet、輔助埠或控制台埠連至路由器
的人。
80
標題訊息
例如:
81
標題訊息
前面的 MOTD 標題訊息其實是要告訴任何連上
路由器的人, 如果他們不在邀請的名單中, 就會
被斷線!
這裡特別要解說的部份是分隔字元 - 用來告訴
路由器這訊息何時結束。
您可以使用任何您想要的字元, 但不可以在訊息
中使用分隔字元本身。
82
標題訊息
此外, 一旦完成這份訊息, 請輸入 Enter, 然後是
分隔字元, 最後再輸入一次 Enter。
如果您不這麼做, 仍然行得通, 但如果您有一個
以上的標題, 將會結合成一道訊息, 而且會放在
一列。
例如, 您可以設定標題在一列上, 如:
這個範例可以運作的很好, 但如果新增其他的
MOTD 標題訊息, 結果將會在單一列上。
83
標題訊息
以下是其他標題訊息的詳細說明:
Exec 標題訊息您可以設定線路啟動 (exec) 的標
題訊息, 顯示在產生 EXEC 程序 (例如線路啟動
或進入 VTY 線路的連線) 時。
只要透過控制台埠啟動使用者 exec 會談, 就可
啟動 exec 標題訊息。
進入的 (incoming) 標題訊息您可以設定這種標
題, 顯示在連結至反向 telnet 線路的終端機上。
這種標題訊息有助於提供指示給使用反向 telnet
的使用者。
84
標題訊息
登入 (login) 標題訊息您可以設定登入標題訊息,
顯示在所有連結的終端機。這種標題訊息顯示在
MOTD 標題之後, 但在登入提示列之前。
這種登入標題不可以個別關閉某一線路, 如果您
要整體關閉, 必須利用 no banner login 命令來
刪除。
以下是登入標題訊息的一個例子:
85
標題訊息
您應該非常熟悉以上的登入標題訊息 - 這就是
Cisco ISR 路由器之預設組態中的標題訊息, 它
會顯示在 MOTD 標題訊息之後、登入提示列之
前。
86
設定密碼
有 5 個密碼可用來保護您的 Cisco 路由器:控
制台密碼、輔助埠密碼、telnet (VTY) 密碼、
enable 密碼、以及 enable secret 密碼。
enable 密碼和 enable secret 密碼是要用來設
定密碼, 以保護特權模式的。使用 enable 命令
時, 提示列會要求使用者輸入密碼。
另外 3 個密碼是當使用者透過控制台埠、輔助
埠、或 telnet 來存取使用者模式時所需的。
以下說明每一種密碼。
87
enable 密碼
enable 密碼要在整體設定模式下設定, 例如:
以下說明 enable 密碼的參數:
last-resort 如果您透過 TACACS 伺服器來設置
認證, 而當 TACACS 伺服器無法使用時, 這讓您
仍然可以進入路由器。
88
enable 密碼
但假若當時 TACACS 伺服器有在運作, 則不能
使用這個密碼。
password 在 10.3 版以前的老舊系統中設定
enable 密碼, 但如果有設定 enable secret 密碼,
則不會用到這個密碼。
secret 這是較新的、加過密的密碼, 如果有設定,
則會蓋掉 enable 密碼。
Use-tacacs 告訴路由器要透過 TACACS 伺服
器來進行認證。
89
enable 密碼
如果您有成打、或甚至上百部路由器, 這會非常
方便, 畢竟誰會想要享受更改 200 部路由器密碼
的樂趣呢?
如果透過 TACACS 伺服器, 則只要改變一次即
可!
以下是設定 enable 密碼的例子:
90
enable 密碼
如果您試著設定相同的 enable secret 與
enable password, 則路由器會給您一個客氣的
警告, 請您更改第 2 個密碼。
如果您的路由器不是老舊的專屬路由器, 則甚至
不會使用 enable password。
使用者模式的密碼要靠 line 命令來指定:
91
enable 密碼
以下是我們關心的參數:
aux 為輔助埠設定使用者模式密碼, 我們通常用
輔助埠來連結數據機到路由器, 也可以用它來當
做控制台。
console 設定使用控制台的使用者模式密碼。
vty 設定路由器上的 telnet 密碼, 如果沒有設定
這個密碼, 預設上就不能使用 telnet。
92
enable 密碼
要設定使用者模式的密碼, 必須設定想要的線路,
並且使用 login 或 no login 命令來告訴路由器,
要求它提示認證的訊息。
下一節就為每一種線路組態的設定提供逐列的
範例。
93
輔助密碼
要設定輔助密碼, 需進入整體設定模式, 並且輸
入 line aux ?, 您將發現只能選擇 0 - 0 (這是因
為只有一個埠):
94
輔助密碼
記得輸入 login 命令是很重要的, 否則輔助埠不
會提示認證的要求。
除非您設定了密碼, 否則不讓您設定 login 命令。
因為如果您為某個線路設定了 login 命令, 然後
卻不設定密碼, 那麼該線路根本不能使用, 它會
出現提示訊息, 要求一個不存在的密碼。
所以這是好東西 - 一種功能, 而非麻煩!
95
控制台密碼
要設定控制台密碼, 請使用 line console 0 命
令。但當我們試著從 (configline) # 提示列輸
入 line console 0 ?, 會發生什麼事呢 - 會收
到錯誤訊息。
您仍然能輸入 line console 0, 而且會被接受,
但輔助畫面就是不能在這個提示列運作。
請輸入 exit 以退回一個層級, 然後輔助畫面就
可正常運作。
這其實是個 "功能", 真的。
96
控制台密碼
例如:
因為只有 1 個控制台埠, 所以只能選擇 line
console 0。您可以為所有的線路設一樣的密碼,
但為了安全起見, 建議您最好設不一樣。
97
控制台密碼
對於控制台埠, 還有幾個其他重要的命令必須知
道。
exec-timeout 0 0 命令會將控制台 EXEC 會談
的逾時計時器 (timeout) 設成 0, 也就是絕不會逾
時。
這個計時器的預設值是 10 分鐘 (如果您很淘氣,
試著將它設為 0 1, 就會使控制台的逾時計時器
定為 1 秒!
而且若要加以修正, 您得在更改計時器的同時,
另一隻手必須持續不斷地壓向下的箭頭鍵!)。
98
控制台密碼
logging synchronous 這是個非常好的命令,
應該定為預設命令, 可惜不是。
它能防止控制台螢幕上不斷跳出擾人的控制台訊
息, 干擾您正在輸入的命令。
這些訊息還是會跳出來, 但卻仍然讓您回到您的
路由器提示列, 而不插斷您的輸入。這使得輸入
的訊息比較容易解讀。
99
控制台密碼
以下是如何設定這 2 個命令的例子:
100
telnet 密碼
要為 telnet 至路由器的存取權設定使用者模式
的密碼, 必須使用 line vty 命令。
對於沒有執行企業版 Cisco IOS 的路由器, 預設
會有 5 條 VTY 線路 - 0 到 4。但如果您有企
業版, 就會有更多。
找出路由器共有幾條 VTY 線路的最佳方式就是
利用問號:
101
telnet 密碼
記住, 從 (config-line) # 提示列無法得到輔助說
明, 您得退回特權模式才能用 (?) 的功能。
所以如果您試著 telnet 至一部沒有設定 VTY 密
碼的路由器會如何呢?
您會收到錯誤訊息, 告訴您連線被拒絕, 因為密
碼沒有設。因此, 如果您 telnet 至一部路由器,
並且收到這樣的訊息。
102
telnet 密碼
這表示遠端路由器 (這個例子是 SFRouter) 沒
有設定 VTY (telent) 密碼。
但您可以利用 no login 命令, 告訴路由器允許
沒有密碼的 telnet 連線, 以避開這個問題。例如:
103
telnet 密碼
為路由器設好 IP 位址之後, 就可利用 telnet 程
式來設定與檢查您的路由器, 而不需要使用控制
台纜線。
您可以在任何命令提示列 (DOS 或 Cisco) 輸入
telnet 來使用 telnet 程式。
第 5 章會更徹底地討論這個主題。
104
建立 SSH
除了 Telnet, 您還可以使用 Secure Shell (SSH);
相對於 Telnet 應用會使用未加密的資料流,
SSH 可以建立更安全的會談。
SSH 使用加密金鑰來傳送資料, 所以使用者名
稱和密碼就不會以明文傳送。
下面是設定 SSH 的步驟:
1. 設定主機名稱:
105
建立 SSH
2. 設定網域名稱 (要產生加密金鑰必須要有主機
名稱和網域名稱):
3. 產生安全會談所需要的加密金鑰:
106
建立 SSH
4. 設定 SSH 會談的最大閒置計時器:
5. 設定 SSH 連線的最大失敗嘗試次數:
6. 連到路由器的 vty 線路:
107
建立 SSH
7. 最後, 設定 SSH 組態並且使用 Telnet 做為存
取協定:
如果在命令字串的結尾沒有使用關鍵字 telnet,
則只有 SSH 會在路由器上運作。
筆者並非要建議您兩者擇一使用, 只是您一定要
知道 SSH 比 Telnet 安全。
108
對密碼加密
因為預設上只有 enable secret 密碼會被加密,
對於使用者模式密碼與 enable 密碼的加密, 必
須手動地設定。
在執行 show running-config 命令時, 除了
enable secret 密碼之外, 您可以看到所有其他
的密碼, 例如:
109
對密碼加密
110
對密碼加密
要手動地為您的密碼加密, 請使用 service
password-encryption 命令, 例如。
111
對密碼加密
112
對密碼加密
113
對密碼加密
這樣密碼就被加密了。
您只要為密碼加密, 執行 show run, 然後關閉
加密的命令, enable 密碼與線路密碼就都被加
密了。
114
對密碼加密
好的, 在我們往下學習如何設定路由器的說明之
前, 先讓我們多討論一下如何對密碼加密。
如之前所說的, 如果您設定密碼, 然後打開
service password-encryption 命令, 那麼在關
閉加密服務之前必須先執行 show
runningconfig 命令, 否則您的密碼將不會被加
密。
您完全不必關閉加密服務;您只有在路由器處
理速度很慢時才需要這樣做。而且如果您在設
定密碼之前先打開服務, 您甚至不用檢視它們就
可以進行加密了。
115
說明
設定界面的說明有益於管理, 而且跟主機名稱一
樣, 這種說明只在本機有意義。
description 命令是個有用的命令, 例如您可以
用它來記錄電路編號:
116
說明
您可以用 show running-config 或 show
interface 命令來檢視界面的說明, 例如:
117
說明
118
description:有幫助的命令
鮑伯是舊金山 Acme 公司的資深網管員, 公司有
50 條廣域網路的鏈路連至遍佈美國與加拿大的
各個分公司。
每當有界面運作不正常時, 鮑伯就得花許多時間
去找出該電路號碼, 以及該廣域鏈路的供應商電
話。
界面的 description 命令對鮑伯非常有用, 因為
它不只可以在區域網路的鏈路上使用這個命令,
以便能知道每個路由器界面連結到哪裡。
119
description:有幫助的命令
而且最有用的是, 他還可以增加電路編號與供應
商的電話號碼到每個廣域網路界面。
雖然增加這些資訊到每個路由器界面可能得花
鮑伯幾小時的時間, 但每當廣域網路故障時 (它
們就是會故障!), 就可節省不少寶貴的時間, 時
間就是金錢。
120
執行 do 命令
從 IOS 12.3 版開始, Cisco 終於在 IOS 中加入
一個命令, 能夠在設定模式內檢視組態和統計值
(在前一節的例子中, 所有的 show 命令都是在
特權模式下執行的)。
事實上, 在 12.3 版之前的路由器上, 如果您嘗試
在整體設定模式檢視組態, 就會得到下列的錯誤:
121
執行 do 命令
在執行 12.4 IOS 的路由器中輸入相同的命令,
則會得到下面的輸出:
122
執行 do 命令
所以, 基本上您現在可以從任何的設定提示列中
執行任意的命令 - 很酷吧!
回到對密碼加密的例子中, do 命令可以讓整個
活動開始得更快 - 所以這真的是個非常非常好
的東西!
123
4 - 4 路由器界面
界面組態是最重要的路由器組態之一, 因為如果
沒有界面, 路由器就會變成廢物。而且界面組態
必須精確到能夠與其他裝置通訊。
界面組態包括網路層位址、傳輸媒介類型、頻
寬、以及其它的管理員命令。
不同的路由器使用不同的方法來選擇它們上面
所用的界面。
例如, 以下的命令顯示 Cisco 2522 路由器有 10
個序列界面, 標號從 0 到 9。
124
路由器界面
現在讓我們來選擇所要設定的界面, 之後就會處
於特定界面的界面設定模式之中。
例如, 選擇序列埠 5 的命令如下:
2522 路由器有一個乙太網路 10BaseT 埠, 而輸
入 interface ethernet 0 可以設定該界面。
125
路由器界面
例如:
如同之前所展示的, 2500 路由器是一種固定組
態的路由器, 這表示當您購買這種機型時, 就會
擁有一組固定的實體組態。
這正是為什麼筆者不會大量使用它們的原因, 筆
者再也不會在營運環境中使用它們。
126
路由器界面
界面的設定一定是用 interface 類型編號, 但
2600 與 2800 系列的路由器 (其實任何 ISR 路
由器都是) 則使用路由器中的實際插槽 (slot), 加
上插入插槽之模組上的埠號。
所以模組路由器上的設定就變成 interface 類
型 插槽 / 埠號, 例如:
127
路由器界面
而且您不可以只輸入 int fastethernet 0, 必須
輸入完整的命令:類型 插槽 / 埠號或 int
fastethernet 0 / 0 或 int fa 0 / 0。
ISR 系列基本上也是一樣, 只是您可以有更多的
選擇。
例如, 內建的乙太網路界面可以用和 2600 系列
相同的組態設定來運作。
128
路由器界面
但其餘的模組就不同了 - 它們會使用 3 個數字、
而非 2 個。第一個 0 是路由器本身, 然後再選
擇插槽, 然後是埠號。
下面是 2811 的序列界面範例:
129
路由器界面
這看起來好像有點不確定, 但其實並沒有那麼困
難。它能協助提醒您永遠應該先查看運行組態
的輸出, 以便知道您必須處理哪些界面。
下面是 2801 的輸出:
130
路由器界面
131
路由器界面
132
路由器界面
為了簡潔起見, 上面並沒有包含完整的運行組態,
但是您需要的都已顯示。
您可以看到有 2 個內建的乙太網路界面、位於
0 號插槽的 2 個序列界面 (0 / 0 / 0 和 0 / 0 / 1)、
位於 1 號插槽的序列界面 (0 / 1 / 0)、以及位於
2 號插槽的序列界面 (0 / 2 / 0)。
一旦看過像這樣的界面之後, 就比較容易瞭解這
些模組是如何新增到路由器中。
133
路由器界面
如果在 2500 上輸入 interface e0、在 2600 上
輸入 interface fastethernet 0 / 0、或是在
2800 上輸入 interface serial 0 / 1 / 0, 則您的
動作就是在選擇一個界面來設定。
而且基本上, 它們之後的設定方式都完全相同。
接下來幾節, 我們將繼續路由器界面的討論, 包
括如何啟動界面, 並且設定路由器界面的 IP 位
址。
134
啟動界面
關閉界面的命令是 shutdown, 而打開它的命令
是 no shutdown 命令。
如果界面是關閉的, 則利用 show interfaces
(或縮寫成 sh int) 命令時會顯示這種界面為管
理性的關閉 (administratively down), 例如:
另一種檢查界面狀態的方式是 show runningconfig 命令, 所有界面的預設都是關閉的。
135
啟動界面
您可以利用 no shutdown (或縮寫成 no shut)
命令來啟動界面, 例如:
136
設定界面的 IP 位址
雖然沒有一定要在路由器上使用 IP, 但這是人們
最常使用的協定。
要設定界面的 IP 位址, 必須在界面設定模式中
利用 ip address 命令, 例如:
不要忘了使用 no shutdown 命令來啟動界面,
記得檢視 show interface 命令的結果, 看它的
狀態是否為管理性的關閉。
137
設定界面的 IP 位址
show running-config 也會告訴您這類資訊。
如果您想要增加第 2 個子網路位址給界面, 必須
使用 secondary 參數。
但如果您輸入另一個 IP 位址, 並且按下 Enter,
則會取代既有的 IP 位址與遮罩。這肯定是
Cisco IOS 最出色的功能。
因此, 讓我們試試看, 就利用 secondary 參數來
增加第 2 個 IP 位址, 例如:
138
設定界面的 IP 位址
筆者真的建議您不要在一個界面上使用多個 IP
位址, 因為這樣很沒效率。
139
設定界面的 IP 位址
不過我們仍然展示給您看, 以免萬一您遇到的
MIS 主管熱愛糟糕的網路設計, 並且要您管理它!
也許有一天會有人問您這類事情, 但您會表現得
很聰明, 因為您知道!
140
運用引流 (︱)
這裡指的是輸出的修飾子。這個引流符號讓我
們可以跋涉過所有的組態或其他的冗長輸出, 而
快速直接地達到我們的目的。
下面是個例子:
141
運用引流 (︱)
142
運用引流 (︱)
因此, 基本上引流符號 (輸出修飾子) 就是用來
協助您以光速通過整個路由器組態的一片混亂,
以抵達彼端。
當筆者在檢視很大的路徑表以尋找是否存在特
定路徑時, 就會經常用到它。下面是個例子:
要知道在這個路徑表中有超過 100 條項目, 所
以如果沒有引流符號, 現在可能還在檢查那些輸
出呢!
143
運用引流 (︱)
它是個很強的高效率工具, 可以在組態中快速找
到某一列, 而省下大量的時間和功夫 - 或是像
前面的例子, 在很大的路徑表中找到單一筆路徑。
多花點時間玩一玩引流命令;能夠掌握它, 您就
會發現快速分析路由器輸出的新能力。
144
序列界面命令
在進行序列界面的設定主題之前, 您需要一些重
要的資訊 - 例如這種界面通常會連結 CSU /
DSU 類型的裝置, 這種裝置提供時脈 (clock) 給
連結路由器的線路, 如圖 4.4 所示。
145
序列界面命令
從圖中可看到序列界面透過 CSU / DSU 連結資
料通訊設備 (Data Communication equipment,
DCE) 網路, 而且由 CSU / DSU 提供時脈給路
由器界面。
但如果您有背對背 (back-to-back) 連接的組態
(例如圖 4.5 所示, 在實驗環境中所用的環境),
其中一端 - 纜線的 DCE 端 - 必須提供時脈。
146
序列界面命令
根據預設, Cisco 路由器是資料終端設備 (Data
Terminal Equipment, DTE) 的裝置, 所以如果您
需要界面扮演 DCE 裝置, 必須設定界面來提供
時脈。
147
序列界面命令
但在營運環境的 T1 連線則不用提供時脈, 因為
會有 CSU / DSU 連接您的序列界面, 如圖 4.4
所示。
以下利用 clock rate 命令來設定 DCE 序列界
面:
148
序列界面命令
149
序列界面命令
150
序列界面命令
clock rate 命令的單位是每秒位元數。
除了檢查纜線的端點, 看是否有 DCE 或 DTE
的標籤外, 還可利用 show controllers 命令來
查看路由器的序列界面是否有連結 DCE 纜線。
以下是顯示 DCE 連線的輸出範例:
151
序列界面命令
下個需要熟悉的命令是 bandwidth 命令。每部
Cisco 路由器出貨時, 預設的序列鏈路頻寬是 T1 (1.544 Mbps)。
但這與資料如何在鏈路上傳輸是無關的, 序列鏈
路的頻寬是給遶送協定 (如 EIGRP 與 OSPF)
計算抵達遠端網路的最佳成本用的。
因此, 如果您使用 RIP 遶送, 則序列鏈路的頻寬
設定是不重要的, 因為 RIP 只使用中繼站的數
目 (hop count) 來決定最佳路徑。
152
序列界面命令
以下是個使用 bandwidth 命令的例子:
您是否注意到, 不像 clock rate 命令,
bandwith 命令是以仟位元的單位來設定的。
153
4 - 5 檢視、儲存、與清除組態設定
執行裝配模式時, 它會問您是否想要使用剛剛產
生的組態設定。
如果您回答 "是的", 它就會把 DRAM 中執行的
組態 (所謂的運行組態, runningconfig) 拷貝至
NVRAM 中, 並且稱這個檔案為啟動組態
(startup-config)。
希望您總是用到 CLI 或 SDM, 而不是裝配模式。
154
檢視、儲存、與清除組態設定
您可以利用 copy running-config startupconfig 命令 (可以縮寫成 copy run start), 手
動地儲存 DRAM 中的檔案至 NVRAM 中。
例如:
當您看到某問題有個答案在 [] 中, 這表示只按下
Enter 鍵就是要選擇中括號裡的預設答案。
155
檢視、儲存、與清除組態設定
此外, 當這個命令要求目的檔名稱時, 預設的答
案是 "startup-config"。
這個命令會這樣問的理由是, 因為您可以拷貝到
任何您想要的地方。請看以下的輸出:
156
檢視、儲存、與清除組態設定
我們會在第 5 章更進一步地討論拷貝的方法與
位置。
您可以在特權模式下利用 show runningconfig 或 show startup-config 命令來檢視這
些檔案。
157
檢視、儲存、與清除組態設定
sh run 命令 (show running-config 命令的縮
寫) 告訴我們的是目前的組態, 例如:
158
檢視、儲存、與清除組態設定
sh start (show startup-config 的一種縮寫) 命
令告訴我們路由器下次重新載入時所用的組態。
它也告訴我們啟動組態檔到底需要多少
NVRAM。
例如:
159
刪除組態並重載路由器
您可以利用 erase startup-config 命令來刪除
啟動組態檔, 例如:
160
刪除組態並重載路由器
如果在使用 erase startup-config 命令之後,
重新載入或關機後再啟動路由器, 則畫面會提供
裝配模式, 因為 NVRAM 中已經沒有儲存任何
組態了。
您可以按 Ctrl + C 來結束裝配模式 (reload 命
令只能在特權模式下使用)。
此時您不應該使用裝配模式來設定路由器, 裝配
模式是為不會使用 CLI 的人設計的, 現在這已不
適合您!
161
確認組態設定
很明顯地, show running-config 命令是確認
目前組態的最佳方式, 而 show startup-config
是確認路由器下次重新載入所用之組態的最佳
方式 - 對吧?
一旦檢視過運行組態, 而且一切看起來正常, 那
麼就可以利用 ping 與 telnet 等公用程式來確認
您的設定。
ping 是一種利用 ICMP 回聲請求與回應的程式。
162
確認組態設定
ping 傳送封包給遠端的主機, 如果該主機有回
應, 您就知道該主機還活著, 但不知道它是否運
作得很好 - 能 ping 到微軟伺服器不表示您就
能登入!
雖然如此, ping 仍然是檢修互連網路的第一步。
您知道 ping 可以用不同的協定嗎?是的, 您可
以在路由器的使用者模式或特權模式的提示列
輸入 ping ? 來測試這點。
163
確認組態設定
如果您想要找尋鄰居 (neighbor) 的網路層位址,
要不就要到該路由器或交換器本身。
164
確認組態設定
或者也可以輸入 show cdp entry * protocol
命令來取得您需要 ping 的網路層位址。
traceroute 使用 ICMP 與 IP 的存留時限 (Time
To Live, TTL) 來追蹤封包在互連網路中所經過
的路線, 而不像 ping 只是發現主機與回應。
traceroute 也可以使用多種協定。
165
確認組態設定
telnet、FTP、HTTP 是最適合的工具, 因為它
們使用網路層的 IP 與傳輸層的 TCP 來與遠端
主機建立會談。
如果能 telnet、ftp、或 http 至一部裝置, 表示您
的 IP 連通性沒有問題。
166
確認組態設定
從路由器的提示列只要輸入主機名稱或 IP 位址,
路由器就會假定您想要進行 telnet - 不需要輸
入真正的 telnet 命令。
以下各節教您如何確認界面的統計資訊。
167
show interface 命令
另一種確認組態設定的方法是輸入 show
interface 命令。
首先讓我們輸入 show interface ?, 以顯示所
有可設定的界面。
這個命令在確認與檢修路由器和網路問題時非
常有用, 以下的輸出是從一部剛剛清除並且重開
機的 2811 路由器產生的:
168
show interface 命令
169
show interface 命令
170
show interface 命令
真實的實體界面是 FastEthernet、Serial、與
Async 等, 其餘的都只是邏輯界面或確認的命令。
下個命令是 show interface fastethernet 0 / 0,
這告訴我們硬體位址、邏輯位址、封裝方法、
以及碰撞上的統計。例如:
171
show interface 命令
172
show interface 命令
接下來我們要討論這個輸出中的重要統計值, 但
首先, 為了娛樂 (這些都很有趣, 不是嗎?), 筆者
要先問問您, FastEthernet 0 / 0 是哪個子網路
的成員, 以及它的廣播位址和有效主機範圍為何?
您真的應該要能火速地找出這些東西。不過我
們還是提一下它的位址是 192.168.1.33 / 27。
173
show interface 命令
而且老實說 - 如果您到現在還不知道 / 27 是
什麼, 那您要通過考試可能得需要奇蹟 (/ 27 就
是 255.255.255.224)。
第 4 個位元組的區塊大小為 32。子網路是 0、
32、64、…;FastEthernet 界面是在 32 子網
路;廣播位址是 63;而且有效主機為 33 - 62。
前面的界面看來運作得不錯。
174
show interface 命令
show interfaces 命令會顯示該界面是否有收
到錯誤, 以及最大傳輸單位 (MTU)、頻寬 (BW)、
可靠度 (255 / 255 代表一切都美好)、和負載 (1
/ 255 代表沒有負載)。
繼續前面的輸出, 則界面的頻寬是多少?
嗯~ 假設忽略界面名稱「FastEthernet」的提示,
我們還是可以看到頻寬是 100000 Kbit, 相當於
100, 000, 000, 也就是每秒 100 Mbit 的快速乙
太網路。
Gigabit 則是每秒 1000000 Kbit。
175
show interface 命令
show interface 命令的最重要統計值是線路與
資料鏈結協定狀態的輸出。
如果輸出顯示 FastEthernet 0 / 0 是啟動的, 而
且線路協定也是啟動的, 則界面就是啟動且正在
運作中, 例如:
第 1 個參數參考到實體層, 當它收到傳輸媒介的
偵測信號時是啟動的。
176
show interface 命令
第 2 個參數參考到資料鏈結層, 並且從連結端尋
找 keepalive 訊號 (keepalive 是裝置之間用來
確認線路有沒有斷掉的訊號)。
以下的例子是經常會在序列界面上發現到的問
題:
如果您發現線路是啟動的, 但協定沒有, 如以上
所示, 則可能面臨的是時脈 (keepalive) 或訊框
封裝的問題 - 可能是封裝的方法不匹配。
177
show interface 命令
請檢查兩端有關 keepalive 的設定, 以確定他們
是否匹配, 如果需要的話是否有設定時脈, 以及
兩端的封裝方法是否一樣。
這樣的輸出可視為資料鏈結層出問題。
如果您發現線路界面與協定都沒有作用, 則是纜
線或界面的問題。以下的輸出可視為實體層出
問題。
178
show interface 命令
如果有一端被管理性地關閉 (如下所示), 則另一
端呈現的將會是線路界面與協定同時都沒有作
用, 例如:
要啟動界面, 請在界面設定模式下使用 no
shutdown 命令。
接下來的 show interface serial 0 / 0 / 0 命令
展示序列線路與最大傳輸單元 (Maximum
Transmission Unit, MTU) - 預設是 1500 位元
組。
179
show interface 命令
它也顯示所有 Cisco 序列鏈路上的預設頻寬:
1.544 Kbps。
這是供遶送協定 (如 EIGRP 與 OSPF) 決定線
路頻寬用的。另一個值得注意的重要組態是
keepalive, 預設值是 10 秒。
每部路由器每隔 10 秒會傳送 keepalive 訊息給
它的鄰居, 如果兩部路由器沒有設定相同的
keepalive 間隔, 就無法運作。
180
show interface 命令
181
show interface 命令
您可以藉由 clear counters 命令來清除界面上
的計數器, 例如:
182
show interface 命令
183
show interface 命令
184
show ip interface 命令
show ip interface 命令提供有關路由器界面之
第 3 層設定的資訊, 例如:
185
show ip interface 命令
這些輸出包括界面狀態、IP 位址與遮罩、界面
上是否有設置存取清單等資訊、以及基本的 IP
資訊。
186
使用 show ip interface brief 命令
show ip interface brief 命令可能是 Cisco 路
由器上最有用的命令之一, 這個命令提供路由器
界面的精簡概要, 包括邏輯位址與狀態。
例如:
187
使用 show ip interface brief 命令
記住, 管理性的關閉 (administratively down) 表
示您需要在該界面之下輸入 no shutdown。
Serial0 / 0 / 0 的輸出是 up / down, 表示它的實
體層沒有問題, 而且也感測到媒介的偵測信號,
但卻沒能收到遠端來的 keepalive 信號。
在非營運的網路中, 這表示時脈的速率沒有設好。
188
show protocols 命令
show protocols 命令是非常有用的命令, 可用
來檢視每片界面之第 1 層與第 2 層的狀態, 以
及所用的 IP 位址。
例如:
189
使用 show controllers 命令
show controllers 命令顯示實體界面本身的資
訊, 它也提供插入序列埠的序列纜線種類。
通常這只會是 DTE 纜線, 它會插入某種資料服
務單元 (Data Service Unit, DSU)。
190
使用 show controllers 命令
請注意 serial 0 / 0 有一條 DTE 纜線, 而 serial
0 / 1 有一條 DCE 纜線。
serial 0 / 1 必須提供時脈 (用 clock rate 命令),
而 serial 0 / 0 則會從 DSU 得到它的時脈。
現在再度檢視這個命令。
在圖 4.6 中, 看到在兩台路由器間的 DTE /
DCE 纜線嗎?別忘了在營運網路上是不會看到
它們的。
191
使用 show controllers 命令
R1 路由器有一條 DTE 連線 - 所有 Cisco 路
由器的預設。R1 和 R2 無法溝通路由器。
請使用 show controllers s0 / 0 命令來檢查輸
出。
192
使用 show controllers 命令
show controllers s0 / 0 命令顯示界面是 V.35
的 DCE 纜線。這表示 R1 必須提供連到 R2 路
由器之線路的時脈。
基本上, 如圖 4.6 所示, R1 路由器序列界面上的
纜線標示錯誤。但如果將時脈加到 R1 路由器
的序列界面上, 則網路應該能正常地啟動。
193
使用 show controllers 命令
接著檢視圖 4.7 的問題 - 這可以使用 show
controllers 命令來解決。同樣地, R1 和 R2 路
由器之間無法溝通。
下面是 R1 的 show controllers s0 / 0 命令和
show ip interface s0 / 0 命令的輸出。
194
使用 show controllers 命令
如果使用 show controllers s0 / 0 命令和
show ip interface s0 / 0 命令, 就可以看到 R1
路由器並沒有收到線路的時脈。
195
使用 show controllers 命令
這個網路是個非營運網路, 所以沒有真正連接
CSU / DSU 來提供這條線路的時脈。
這表示纜線的 DCE 端會提供線路的時脈速率
- 在此情況下是指 R2 路由器。
show ip interface 指出這個界面已經啟動, 但
是協定是關閉的, 這表示界面沒有收到任何遠端
的 keepalives 信號。
在這個範例中, 纜線不良或沒有時脈是最可能的
嫌疑犯。
196
4 - 6 Cisco 的安全裝置管理員 (SDM)
最後, 終於輪到 Cisco 的 SDM。這個美妙的工
具是用來協助您從 HTTP 或 HTTPS 介面來設
定路由器的組態。
事實上, Cisco 過去的確也有做過類似的東西,
但老實說, 它就是沒辦法運作得很好。
不過這次真的很棒喔!而且, 從 Cisco 830 系列
到 7301 的路由器機型都有 SDM。
此外, 所有新的 850、870、1800、2800、和
3800 系列路由器上都已經預先安裝好了。
197
Cisco 的安全裝置管理員 (SDM)
但是這裡有個陷阱。
雖然 SDM 確實是非常棒的工具, 但是它最好是
用在進階的組態設定 - 而不是像本章中使用的
那些非常小而簡單的組態。
假設您想要在路由器上設定進階的存取清單、
使用 IPSec 的 VPN、以及入侵防護, 則 SDM
就非常適合。
您甚至不用知道 IPSec 是甚麼, 就可以完成設
定並且讓它運作。
198
Cisco 的安全裝置管理員 (SDM)
但是同樣地, 這有好也有壞。
當然, 我們現在可以更容易地處理進階的組態設
定, 但同時, 幾乎任何人也都可以做這件事!
接下來要說明如何登入使用 SDM;設定主機名
稱、標題訊息、enable secret 密碼;以及在路
由器上指定 DHCP 和指定界面的 IP 位址。
如果一切順利, 在本節之後, 您將會發現 SDM
真的很好用。
199
Cisco 的安全裝置管理員 (SDM)
因為當您在閱讀關於 IOS、NAT、無線技術、
和安全等章節時, 可以看到跟過去必須與基本的
IOS 路由器設定奮鬥的情況相比, SDM 確實很
有用。
每一章都會稍微使用 SDM, 以說明它所提供的
簡易操作, 以及它的複雜度。
同時, 我們也會真實地呈現 SDM 的限制。
老實說, 筆者可以寫一本關於 SDM 的專書, 不
過不必如此, 因為 Cisco 已經這樣做了。
200
Cisco 的安全裝置管理員 (SDM)
要知道 SDM 的詳細資料, 請參考
www.cisco.com/go/sdm。
此外, 新的路由器通常會附帶一片 CD, 逐步地
帶著您實際接上路由器, 並且完成組態設定 (個
人覺得有點過份詳細), 但是要連接路由器並使
用 SDM, 其實真的並不需要這片 CD。
您所需要的只是有提供支援的 ISR 路由器
(1800 / 2800 等), 並且能夠從
www.cisco.com/pcgi-bin/tablebuild.pl/sdm 下載
最新版本的 SDM, 以及在電腦和路由器上安裝
它的指令。
201
Cisco 的安全裝置管理員 (SDM)
利用這個網站, 不僅可以在電腦上安裝 SDM 以
加速連到路由器時的 SDM 頁面載入, 還可以使
用 Cisco 的 SDM demo。
要設定主機以登入並使用 SDM, 首先必須確定
路由器組態已經設定完成。在前一節中, 我們刪
除了組態設定並重載路由器, 所以必須從零開始。
但這其實並不困難, 您只要選擇路由器的一個
LAN 界面, 然後使用交叉式纜線直接將主機與
路由器相連就好了。
202
Cisco 的安全裝置管理員 (SDM)
203
Cisco 的安全裝置管理員 (SDM)
這些是什麼呢?在這些組態設定中, 我們設定了
FastEthernet 界面的 IP 位址, 並且使用 no
shutdown 命令開啟它。
接著, 在路由器提示列下 ping 直接相連的主機,
以測試其連通性 (若要透過 SDM 連結, 這是最
起碼的組態設定)。
從這裡開始, 只要打開瀏覽器, 開放彈出式視窗
功能, 輸入 http://1.1.1.1, 連上後遵循其簡單的
提示列即可。
204
Cisco 的安全裝置管理員 (SDM)
如果您希望使用 HTTPS 來設定路由器, 以便在
連線時能夠存取特權模式 (代表我們要將路由器
設回原本的預設組態), 則有不同的做法。
您必須多加一些命令。
首先, 開啟 HTTP / HTTPS 伺服器 (如果路由器
沒有進階服務的 IOS, 就不能支援 HTTPS):
205
Cisco 的安全裝置管理員 (SDM)
接著, 使用特權等級 15 (最高等級) 來建立一個
使用者帳號:
最後, 設定控制台、SSH、和 Telnet, 以提供特
權層級存取的本地登入驗證。
206
Cisco 的安全裝置管理員 (SDM)
好啦!現在使用 HTTPS 連到我們的 2811 路由
器!
207
Cisco 的安全裝置管理員 (SDM)
當我們透過 https://1.1.1.1 連線時, 就會收到安
全性警告訊息。
208
Cisco 的安全裝置管理員 (SDM)
接著使用剛才建立的帳號 / 密碼來登入。
SDM 開始載入並且告訴我們要等一下, 代表它
需要一點時間來載入另一個視窗。不要關閉這
個視窗。
209
Cisco 的安全裝置管理員 (SDM)
使用 ip htp-secure-server 命令建立的憑證會
載入路由器。選擇點選永遠信任這個出版者的
內容, 然後按下 Yes。
210
Cisco 的安全裝置管理員 (SDM)
當然, 這個憑證無法符合任何網點的名稱, 所以
必須跟它確認我們要執行。
211
Cisco 的安全裝置管理員 (SDM)
接著必須再次登入並且等待 SDM 載入, 此時,
路由器要求我們修改預設的使用者名稱和密碼。
212
Cisco 的安全裝置管理員 (SDM)
最後 - 是的!連上 SDM 了!
213
Cisco 的安全裝置管理員 (SDM)
點選上方的 Configure 按鈕, 選擇逐步完成界
面組態設定。
首先選擇想要設定的界面類型, 然後按下方的
Create New Connection 按鈕。根據所選擇要
設定的界面, 它會開啟 LAN 或 WAN 的精靈 (第
六章會使用界面精靈來設定路由器界面)。
214
Cisco 的安全裝置管理員 (SDM)
點選 Edit Interface / Connection 頁籤, 觀察
界面狀態。
215
Cisco 的安全裝置管理員 (SDM)
還沒完呢 - 雙擊某個界面以進行編輯 (只有在
做完 LAN 或 WAN 精靈, 並且設定好界面後才
能這樣做)。
216
Cisco 的安全裝置管理員 (SDM)
在精靈頁面的左下方, 點選 Additional Tasks
按鈕。之後, 點選 Router Properties 圖示。
217
Cisco 的安全裝置管理員 (SDM)
您可在此設定主機名稱、MOTD 標題訊息、
enable secret 密碼。最後, 點選 DHCP 資料匣,
然後點選 DHCP pool 圖示。
選擇 Add 並且在路由器上建立一個 DHCP
pool。
218
Cisco 的安全裝置管理員 (SDM)
現在來看看路由器上的組態:
219
Cisco 的安全裝置管理員 (SDM)
220
Cisco 的安全裝置管理員 (SDM)
從此處可以看到路由器建立了主機名稱、
DHCP pool、和憑證。
221
Cisco 的安全裝置管理員 (SDM)
我們進行了許多準備工作, 因為我們使用的是
HTTPS - 使用 HTTP 會容易得多, 而且也不需
要這麼多的設定。
但是別忘了, 我們是使用 ISR 預設組態來連線
使用 SDM。
本書後面也會繼續使用 SDM, 筆者強烈建議您
自己取得 SDM, 並且開始熟悉它。
222
4 - 7 摘要
這真是有趣的一章!我們討論了許多 Cisco
IOS 的相關資訊, 希望您能對 Cisco 的路由器世
界有更深刻的瞭解。
本章一開始講解 Cisco 互連網路作業系統
(IOS), 以及如何使用 IOS 來執行與設定 Cisco
路由器。您學到了如何啟動路由器, 以及裝配模
式所做的事。
順便一提的是, 現在您已經知道如何進行基本的
Cisco 路由器設定, 所以應該不會再使用裝配模
式, 對吧?
223
摘要
除了討論如何連結路由器與控制台, 連結路由器
到區域網路, 我們也討論了 Cisco 的輔助功能,
以及如何使用 CLI 來找尋命令與命令參數。
此外, 也討論一些基本的 show 命令, 幫助您確
認您的組態設定。
路由器上的管理性功能可以幫助您管理網路, 讓
您更清楚當時正在設定的裝置為何。
路由器密碼是最重要的設定之一, 我們展示了 5
種密碼設定。此外, 我們也利用主機名稱、界面
說明、標題訊息來幫助您管理路由器。
224
摘要
最後, 我們展示了設定路由器的方法, 讓您得以
利用安全裝置管理員 (SDM) 連上您的路由器,
並且加以設定。
利用 CLI 來設定基本的路由器功能非常簡單, 但
很快您就會學到如何利用 SDM 來設定更進階
的組態。
225