《router配置》word版.docVIP

- System Configuration Dialog -Continue with configuration dialog? yes/no: noPress RETURN to get started!RouterenableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname RARA(config)#service password-encryptionRA(config)#enable password 5115RA(config)#line con 0RA(config-line)#password 448RA(config-line)#loginRA(config-line)#exitRA(config)#line vty 0 4RA(config-line)#password 4485115RA(config-line)#loginRA(config-line)#endRA#%SYS-5-CONFIG_I: Configured from console by consoleRA#show ip interface briefInterface IP-Address OK? Method Status Protocol FastEthernet0/0 unassigned YES unset administratively down down FastEthernet0/1 unassigned YES unset administratively down down Vlan1 unassigned YES unset administratively down downRA#RA#conf terminalEnter configuration commands, one per line. End with CNTL/Z.RA(config)#banner login #hello,welcome wtl#RA(config)#exitRA#%SYS-5-CONFIG_I: Configured from console by consoleRA#writeBuilding configuration.OKRA#copy running-config startup-configDestination filename startup-config? Building configuration.OKRA#show ? aaa Show AAA values access-lists List access lists arp Arp table cdp CDP information class-map Show QoS Class Map clock Display the system clock controllers Interface controllers statusPress RETURN to get started.hello,welcome wtlUser Access VerificationPassword: 输入448RAenablePassword: 输入5115RA#conf tEnter configuration commands, one per line. End with CNTL/Z.RA(config)#interface fa0/0RA(config-if)#ip address 2 RA(config-if)#no shut%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to upRA(config-if)#endRA#%SYS-5-CONFIG_I: Configured from console by consoleRA#通过在路由器上配置主机表，管理者可以在使用Telnet或ping命令的时候直接键入预先建立好的主机名，而不需要再去记忆每个路由器的IP地址。 下面我们就为大家介绍如何配置主机表： 1、进入路由器的全局模式。 router#configure terminal 2、将主机名为cisco的路由器映射到2的地址上。 router(config)#ip host cisco 2 3、保存配置到RVRAM中。 router(config)#copy running-config startup-config 这样，我们在输入Telnet cisco命令时，路由器会自动将这个主机名映射到IP2的IP地址。Telnet 到Cisco路由器进行远程管理是很多网管的选择，但是通过Telnet传输的数据都是明文，因此这种登录方式存在很大的安全隐患。一个恶意用户完全可能通过类似Sniffer这样的嗅探工具，在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码。1、安全测试：笔者在本地安装了sniffer，然后利用Telnet登录Cisco路由器。停止嗅探然后解码查看，如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了。虽然密码被拆分成了两部分，但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码。其实，不仅仅是这些，利用嗅探工具管理员所有在路由器上输入的命令都会被嗅探到。这样，就算是管理员更改了路由器的密码，并且进行了加密但都可以嗅探得到从上面最后一行Data:后面的那个C就表示我们输入的第一个密码。再接着查看后面的几个Telnet Data数据包我们就可以看出它的密码。这样对于我们的网络来说是特别不安全的。2、ssh的安全性ssh 的英文全称是Secure Shell，是由芬兰的一家公司开发的。ssh由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。ssh的功能强大，既可以代替 Telnet，又可以为FTP、POP3和PPP提供一个安全的“通道”。使用ssh，可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时，数据经过压缩，大大地加快传输的速度。它默认的连接端口是22。通过使用ssh，可以把所有传输的数据进行加密，这样类似上面的“中间人” 攻击方式就不可能实现了，而且它也能够防止DNS和IP欺骗。另外，它还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。3、ssh部署基于上面的测试和ssh的安全特性，要实现Cisco路由器的安全管理用ssh代替Telnet是必要的。当然，要实现ssh对CISOC的安全管理，还需要在路由器上进行相关设置。下面笔者就在虚拟环境中演示ssh的部署、连接的技术细节。(1).Cisco配置下面是在Cisco上配置ssh的相关命令和说明：R2(config)#ip domain-name C 配置一个域名R2(config)#crypto key generate rsa general-keys modulus 1024 /生成一个rsa算法的密钥，密钥为1024位(提示：在Cisoc中rsa支持360-2048位，该算法的原理是：主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有的密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。）The name for the keys will be: R2.C% The key modulus size is 1024 bits% Generating 1024 bit RSA keys, keys will be non-exportable.OKR2(config)#*Mar 1 00:09:46.607: %ssh-5-ENABLED: ssh 1.99 has been enabledR2(config)#ip ssh time 120 设置ssh时间为120秒R2(config)#ip ssh authentication 4 设置ssh认证重复次数为4，可以在0-5之间选择R2(config)#line vty 0 4R2(config-line)#transport input ssh 设置vty的登录模式为ssh，默认情况下是all即允许所有登录R2(config-line)#loginR2(config-line)#这样设置完成后，就不能telnet到Cisoc路由器了。设置登录方式，然后点击“Open”。而这里就是颁发给我们的证书。R2(config)#aaa new-model 启用AAAR2(config)#aaa authentication login default local 启用aaa认证，设置在本地服务器上进行认证R2(config)#username Cisco pass Cisco 创建一个用户Cisco并设置其密码为Cisco用于ssh客户端登录R2(config)#line vty 0 4R2(config-line)#login authentication default 设置使用AAA的default来进行认证R2(config-line)#exitR2(config)#好了现在就可以使用ssh登录了。(2).ssh登录上面设置完成后就不能Telnet到Cisco了，必须用专门的ssh客户端进行远程登录。为了验证ssh登录的安全性，我们在登录的过程中启用网络抓包软件进行嗅探。我采用的ssh客户端为PuTTY，启动该软件输入路由器的IP地址，然后进行扥两个会弹出一个对话框，让我们选择是否使用刚才设置的 ssh密钥，点击“是”进入登录命令行，依次输入刚才在路由器上设置的ssh的登录用户及其密码Cisco，可以看到成功登录到路由器。然后我们查看嗅探工具抓包的结果，所有的数据都进行了加密，我们看不到注入用户、密码等敏感信息。由此可见，利用ssh可以确保我们远程登录Cisco路由器的安全。总结：其实，ssh不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于ssh远程管理。另外，当下的 ssh工具不仅有命令行下的，也有一些GUI图形界面下的工具。网络管理，安全第一，ssh能够极大程度地预防来自“中间人”的攻击，希望本文对大家提升网络管理的安全性有所帮助帮助。cisco 路由器 telnet配置方法en conf t username lighten password 123456/设置用户名和密码为lighten，密码为123456 enable password cisco/设置enable密码为cisco line vty 0 4/用路由器中的用户名和密码登录 login local/启用从本地登录路由器使用用户名和密码 login tacacs/启用从远程登录路由器使用用户名和密码 exit exit 另外一种方式，不需要填写用户名的方式：en conf t enable password cisco line vty 0 4 password cisco login end enable password cisco 挂起Telnet会话是telnet的一个重要的特性，如果我们希望暂时挂起telnet会话，而不关闭会话执行其他工作的时候，可以使用挂起telnet会话命令。 挂起telnet会话命令实例： 挂起一个会话:从图中可以看到，我们是通过主机名为family的路由器登录到远程路由器it168的，当键入回车后，命令提示符会变回到family it168 返回到一个会话:如果想要返回到挂起的会话，我们可以使用以下命令： family 关闭telnet会话:当远程登录所需要做的工作完成后，我们可以通过使用disconnect命令来终止会话。做为安全的考虑，用户管理员应该在不用telnet会话的时候，及时的关闭会话。 familydisconnect it168 显示已经连接的会话：前面我们提到过，一个路由器可以支持5个telnet会话，我们可以通过show sessions命令来显示已经连接到路由器的会话： famiyshow sessions在cisco IOS命令行（EXEC）中，我们可以使用connect或者telnet命令来进行telnet会话的连接。所连接的目标可以是远