交换机路由器基本操作.ppt

,交换机路由器基本操作,,课程内容,常见登录方式,CLI管理（命令行）,GUI管理（Web）,AAA配置,,常见登录方式,常见登录方式种类 CON登录 AUX登录 SSH登录 Telnet登录,,常见登录方式,CON登录 这种登录方式的用户权限通常是最高的 CON登录是一种“带外”管理方式 Con口是异步模式，参数：9600-8-N-1 CON线缆线序与其他厂商不同，不能通用,,AUX登录 AUX是一种远程登录方式 AUX登录同样是“带外”管理方式 Con口被设定为异步交互模式，二层上没有协议，参数：9600-8-N-1,常见登录方式,,Telnet登录 Telnet即Internet远程登录协议，通过Telnet应用程序，你可以直接操纵远程设备 Telnet登录是一种“带内”管理方式 只要管理者与被管理设备之间有可用的IP网络，Telnet就能进行，它不依赖于专门的接口和线缆,常见登录方式,,Telnet登录（续） Telnet辅助命令 interface ip address A.B.C.D a.b.c.d aaa authentication login default none aaa authentication enable default none 上述两组authentication认证的命令在协议上与Telnet并无直接的必然关联；主要是为了保证网络设备的管理安全性，而强制要求增加的。,常见登录方式,,常见登录方式,SSH登录 SSH即Secure Shell简称，可以理解为Telnet的安全版本。通过SSH，可以加密传输的数据 SSH登录也是“带内”管理方式 只要有可用的IP网络，SSH就能进行，同样不依赖于专门的接口和线缆,,SSH登录（续） SSH辅助命令 ip sshd enable interface vlan ip address A.B.C.D a.b.c.d aaa authentication login default none aaa authentication enable default none 同样，authentication是为了提高安全性而强制要求增加的,常见登录方式,,常见登录方式,HTTP登录 http登录就是常说的Web登录，图形化管理，它可以让用户在没有较多网络技术基础的情况下，对设备进行常规的配置和应用调整 Http使用TCP:80端口来进行连接，本身并不提供任何的安全特性；它也是“带内”的管理方式 只要管理者与被管理设备之间有可用的IP网络，HTTP就能进行，它不依赖于专门的接口和线缆,,HTTP登录（续） HTTP辅助命令 ip http enable interface vlan ip address A.B.C.D a.b.c.d 注：HTTP web管理实际上是承载在CLI命令行管理上的一套友好用户界面，最终还是需要翻译成命令行来控制路由器执行 Http管理时，由于其内部已经集成了认证功能，所以CLI中无须再重复配置,常见登录方式,,课程内容,常见登录方式,CLI管理（命令行）,GUI管理（Web）,AAA配置,,CLI管理（命令行）,CLI模式 各模式的标识 常见的模式名字由“设备主机名标识符”组成 其中设备名称只是一个名字，用于相互之间有所区别，没有实际含义，用户可以自定义； 路由器默认为Rouer，交换机默认为Switch 标识符有三种： #和config#，分别表示用户模式、管理模式、配置模式 还有一种监控模式，较为特殊，提示符为Monitor#,,CLI管理（命令行）,CLI模式（续） Router 用户模式 该模式中，用户只能执行诸如help、chinese、telnet、enable等一些低权限的指令 Router# 管理模式 可以执行show、debug、clear等操作，分别用于显示静态统计信息、跟踪动态过程、复位某协议状态等；此外，还可以对flash文件进行管理,,CLI管理（命令行）,CLI模式（续） Router_config# 全局配置模式 用户可对各种功能/命令进行增加、删除、修改等各种操作；根据功能模块的不同，还可以分为各种子模式 Monitor# 监控模式 监控模式下，设备不加载操作系统，通常用于系统故障等应用场合；用户可以进行遗忘密码的恢复、操作系统版本升级等 正常运行时，无法切换到该模式，只能系统启动时通过快捷键进入,,CLI管理（命令行）,各种管理模式的切换（续） 要进入监控模式，必须使用专用的控制线以CON方式进入 在路由器上电启动，硬件自检中，可以连续点击按超级终端键盘的“A” 键，约5-10秒后自动进入Monitor监控模式 如果是OPZOON交换机的话，快捷键变为“CTRL+P” 如果路由器交换机启动时找不到匹配的ROS文件，也会自动进入Monitor#,,CLI管理（命令行）,CLI管理操作基础 常用快捷键简介 CTRL+SHIFT+6、Q 强行终止一些连接，比如长时间ping，或者正在尝试建立中的telnet等 A、CTRL+P 系统上电启动时，连续点击之后可进入监控模式 方向键 左右，可让当前光标向前、后移动一位 上下，切换到上一个/下一个执行过的命令,,CLI管理（命令行）,CLI管理操作基础（续） 常用命令介绍 关于具体功能的命令集，请参阅相关的专门章节，这里介绍一些常用的基础命令 Hostname 更改路由器主机名，出现在各模式标识符前面 write 将正在运行的配置信息保存到flash中，以便掉电之后能够恢复,,CLI管理（命令行）,CLI管理操作基础（续） 常用命令介绍 rename 对flash中的文件进行rename操作，可用于文件的备份 copy 有copy tftp flash和copy flash tftp两种，分别对应升级新版本以及备份老版本两种功能 delete 删除flash中的文件,,CLI管理（命令行）,CLI管理操作基础（续） 常用命令介绍 show running-config 显示当前运行的配置信息 show configuration 显示flash中的配置信息 show version all 查看路由器的软硬件版本号、连续运行时间等 show cpu 查看系统CPU占用率（采样）,,CLI管理（命令行）,CLI管理操作基础（续） 常用命令介绍 show interface * 显示某端口的详细状态信息 show ip interface brief 显示路由器所有端口的简要状态列表 show ip route 显示当前路由器的路由表,,CLI管理（命令行）,CLI管理操作基础（续） 端口设置IP地址 ip address A.B.C.D a.b.c.d 给端口设置指定的静态IP地址（含掩码） ip address DHCP 将端口设置成DHCP客户端，地址由对方指定,,CLI管理（命令行）,CLI管理操作基础（续） Config等文件介绍 路由器交换机的文件都是存放在Flash中的，系统掉电之后重启后可以读取，关键有两个文件： 路由器：Router.bin 交换机：Switch.bin 该文件是路由器的操作系统文件，其类型必须是bin格式，名字可以根据需要自己定义，但总长度不能超过20个字符；,,CLI管理（命令行）,CLI管理操作基础（续） Config等文件介绍 Startup-config 就是路由器的配置文件保存，每次write操作，就会把running-config中的信息写入startup-config中。通过Show configuration可以查看 删除该文件即可恢复到系统出厂默认值 其他 其他的还会有function.map、isp_db、等文件或者文件夹，都是可选的,,CLI管理（命令行）,CLI管理操作基础（续） 通过TFTP协议升级/备份 一般情况下，我们建议在Router#管理模式下进行升级与备份操作 在Monitor#模式下只能进行升级，不能备份 Monitor#模式下不加载ROS，所以所有ETH端口为10M，且所有配置无法保存,,CLI管理（命令行）,TFTP协议方式 连接及准备工作 使用网线将超级终端/PC与路由器连接起来 将PC网卡与路由器的接口设置成同一网段的IP地址，路由器ip address A.B.C.D a.b.c.d PC上安装TFTPd软件，并设置好其根目录位置 PC能够与路由器之间相互ping通,,CLI管理（命令行）,TFTP协议方式（续） 升级系统文件 将需要升级bin文件放到TFTPd的根目录中 进入路由器的Router#模式，执行copy tftp flash 根据提示，依次设定TFTPd的ip地址，bin文件名字等信息,,CLI管理（命令行）,TFTP协议方式（续） 备份系统文件 进入路由器Router#模式，执行Copy flash tftp 根据提示，依次设定TFTPd的ip地址，目标文件名等 备份的文件将自动存放在TFTPd设置的根目录中,,CLI管理（命令行）,TFTP协议方式（续） 注意： 升级时，如果文件名与原来的一致，将自动覆盖 当flash剩余空间不足时，将导致升级失败 如果系统无法启动，只能在Monitor#模式下升级时，ip address *命令只能在监控模式下执行，而且对应的接口永远是第一个接口,,课程内容,常见登录方式,CLI管理（命令行）,GUI管理（Web）,AAA配置,,GUI管理（web）,GUI图形化管理 模块化设备Web管理 适用于OPZOON模块化路由器和交换机，需要在管理PC上安装java-runtime运行环境，通过web页面只能查看各中软硬件模块的状态，但不能配置和修改；,,课程内容,常见登录方式,CLI管理（命令行）,GUI管理（Web）,AAA配置,,认证的应用,认证的命令和关键要素 开启认证功能 AAA authentication enable | login | ppp | dot1x default | list-name method1 method2 其中描述了可被认证的动作、认证的方式以及方法列表等三个关键内容,,认证的应用,可被认证的动作 Login 从“未登录”到登录后的“用户状态”的转变 Enable 从“用户状态”到“管理状态”的转变 PPP PPP协商建立过程中，按照选项需要进行认证（PAP、CHAP等协议） Dot1x 常用于交换机上，配合DHCP功能，用户通过dot1x认证之后方可访问相应的网络,,认证的应用,认证的方式 常见的认证方式有 Local/Local-case Enable Line Group None,,认证的应用,认证的方式（续） Local/Local-case 这是一种本地方式的认证，当AAA设定为Local方式认证时，需要增加下述的描述定义 username * password 0|7 * service password-encryption（可选） 0表示明文，为默认值；7表示MD5加密 Service命令用于完成“0”到“7”的转变 Service为全局命令，对其他认证方式同样有效,,认证的应用,认证的方式 Enable Enable也是一种“本地”方式的认证，当设定为enable方式认证时，需要增加下述的描述定义 enable password 0|7 * Enable只指定一个密码，安全性比Local方式稍弱 此处的enable与“可被认证的动作”中的enable是两个概念,,认证的应用,认证的方式 Line Line方式中，认证信息也还是存放在路由器本地配置中的。当AAA设定为line方式认证时，不同line的用户可以设置不同的认证信息。需要增加下述的描述定义， line con 0 password 0|7 * line aux 0 line vty | tty 0 4,,认证的应用,认证的方式 Group/Radius 当AAA设定为Group方式认证时，需要增加下述的描述定义 radius-server host a.b.c.d auth-port * acct-port * radius-server key * 这是外置服务器的方式，命令描述的只是如何与服务器进行通信，而具体的认证信息是在服务器上另外描述的。,,认证的应用,认证的方式 None，顾名思义，就是不认证。 None方式认证和不写认证命令是完全不同的，其差别在于： 前者就是任何情况下不需要认证；而后者仅仅在CON登录时不需要认证，其他的VTY、TTY等都需要认证,,授权的应用,授权的命令结构 开启授权功能 AAA authorization commands | exec | network default | list-name method1 method2 其中描述了可被授权的动作、授权的方式、以及授权的方法列表等内容,,授权的应用,可被授权的动作 Commands/Config-commands EXEC 指登录网络设备后，能够执行什么样的命令、功能 Network 指通过网络设备，是否可以访问相应的网络,,授权的应用,授权的方式 常见的授权方式有多种： Local If-Authenticated Group None,,授权的应用,授权的方式 Local 当AAA设定为Local方式授权时，需要增加下述的描述定义 enable password * level * priviledge exec level * 在使用Local方式进行EXEC授权时，首先需要进行认证，并同时指定其level 通过priviledge来指定相关命令集的相对权限 用户级别高于priviledge时，有权限执行,,授权的应用,授权的方式 Group/Radius 当AAA设定为group方式授权时，需要增加