路由交换实验拓扑.doc

【实验拓扑】【实验步骤】步骤1：配置VLAN1的IP地址S3750#conf tS3750(config)#int vlan 1S3750(config-if)#ip address S3750(config-if)#no shut步骤2：配置Telnet密码（telnet必须设置 enable 密码和 telnet 密码才可以登陆）S3750(config)#line vty 0 4 进入Telnet密码配置模式S3750(config-line)#password 123 将telnet密码设置为123（注意没有enable）S3750(config-line)#login 应用密码S3750(config-line)#exitS3750 (config)#service password-encryption 对密码加密S3750(config)#enable secret 456 配置进入特权模式的加密密码为456（此密码必须配置，不然你就只能停留在用户模式，可不加密）步骤3：配置console密码S3750(config)#line console 0S3750(config-line)#password 123S3750(config-line)#login /启用 console口登录交换机的密码，默认交换机不启用login功能步骤4：配置辅助设备密码（部分设备才支持）R(config-line)#line aux 0 R(config)#password 123 R(config)#login【注意事项】 AUX端口为异步端口，主要用于远程配置，也可用于拔号连接，还可通过收发器与MODEM进行连接。AUX口一般在路由器上。 可通过show users来显示telnet到设备的用户。 PT中不能使用自定义设备中的电脑图标。 以上配置只能设置密码，如果要设置用户名如下：telnet：username abc password 123 /全局模式line vty 0 4login localenable password 456 /全局模式配特权密码，telnet必须要有enable密码console:username abc password 123line con 0login local【知识拓展】-Alogin和login local和no login的区别大家经常会在line con 0子接口命令下面，习惯性的输一下login local ，属习惯性动作，结果发现每次在登陆console的时候，要输一个用户名和密码，密码设过，但用户名是什么，就不知道了，这就是local和login local的区别以telnet线路，也就是vty线路为例子来说明（cisco设备）如果你做了以下配置R#conf tR(config)#line vty 0 4R(config-line)#login也就是说你用了login命令以后，这个时候当你要去telnet这个设备的时候，会让你输入密码才能进入到用户模式，如下：User Access VerificationPassword:如果你做了以下配置R#conf tR(config)#line vty 0 4R(config-line)# no login用了no login命令以后，当telnet这个设备的时候，将不需要输入密码直接进入到用户模式。如果你做了以下配置的话R(config)#line vty 0 4R(config-line)#login local用了login local命令后，当telnet这个设备的时候，不但要要输入密码，而且要提供相应的用户名才能登陆：User Access VerificationUsername:Password:要想使用用户名和密码登陆设备，来让设备更加安全的话，要用username abc password abc命令来创建你的用户并且给你的用户设置密码！还有一种情况，设置了用户名和密码，但是用的是login而不是login local，telnet时会显示密码没设置。R(config)#line vty 0 4 R(config-line)#login R(config-line)#exitR(config)#username abc password abcR(config)#enable password 456 R2#telnet Trying . OpenPassword required, but none set结论：如果带有用户名的登录就必须要有local（PT模拟器不支持这个区别）【知识拓展】-B Cisco IOS的登录密码以及权限分配设置关于Cisco IOS 的登录密码以及权限分配设置：enable password xxxx 初级密码，用于验证从用户模式到特权模式的验证enable secret xxxxx MD5加密密码 用法同上enabl password level xx 指定密码作用于哪个级别enable secret level xx 作用同上R2(config)#enable password ?0 Specifies an UNENCRYPTED password will follow7 Specifies a HIDDEN password will followlevel Set exec level passwordR2(config)#enable secret ?0 Specifies an UNENCRYPTED password will follow5 Specifies an ENCRYPTED secret will followlevel Set exec level password注意这里：0 5 7 的 含义不同。0为不加密，5为MD5，7为Cisco自有加密算法（容易被破解）service password-encryption 是使用7的加密方法加密存储在本地的所有密码。Cisco官方不推荐使用这方法。假设我要设置的密码为cisco而这里的0 是指：我现在即将输入的密码是原始密码，是：cisco而如果是5 的话：就是输入cisco 的MD5值：$1$XNRo$8FSa/XSF9DbmF6VbK6L6K.分级的权限设置：只想让Level 7 的用户在特权模式下：clear counters 和reload配置如下：privilege exec level 7 clear countersprivilege exec level 7 reloadenable secret level 7 xxxx或者privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxx这种模式下：要登录必须这样：R1loginusername:xxxpassword:xxx个人比较喜欢的一套分级权限的完整配置：privilege exec level 7 clear countersprivilege exec level 7 reloadusername xxx privilege 7 secret xxxxusername xxx privilege 15 secret xxx (管理员登录)line console 0login localline vty 0 4login local授权Level 7 的用户Global Configuration 权利，这样可以show run查看接口privilege Configure leve 7 interface总结如下：enable password密码采用明文；enable secret是采用了MD5加密的。service password-encryption这个加密的方式是采用了cisco的私有加密方式来加密的。所以我在设置了vty、console、和AUX口密码的时候，开启service password-encryption，然后你在show run一看，这些接口的password后面都跟有一个数字7，这个数字7就表示是采用了cisco的私有加密算法，是可以逆转的，当然，我们在路由器上面再敲入：no service password-encryption这条命令后，是不可能直接解密的。至于enable secret ，你在这个后面跟上0，也使用MD5加密，并不是明文，在使用enable secret 5 这个后面必须跟上你要使用的密码的MD5算法得出来的数值，并不能对MD5算出来的数值再进行加密。【知识拓展】-B Line vty 0 4和line vty 5 15 区别Cisco的设备管理有很多种方式,如Console、HTTP、TTY、VTY或其它网管软件，但我们远程管理较为常用的一种方式肯定是VTY方式。VTY在Cisco的不同系列产品中，都有一定数量的VTY线路可用，但具体数目则不尽相同。有些路由器交换机产品只有五条线路可用（line vty 0 4），有些交换机路由器设备则提供了十多条，甚至达一千多条，但默认情况下不一定全部启用。如果您想看一下自己的设备具体支持多少条线路，只需在全局模式下使用命令line vty 0 ?即可查看该设备支持多少条线路。VTY线路的启用/关闭：VTY线路的启用只能按顺序进行，你不可能启用line vty 10，而不启用line vty 9。如果想启用line vty 9，那么你可以在全局模式（或line模式）下输入命令line vty 9 ，如：(config)#line vty 9这样系统会自动启用前面的0-8线路。当然也可以直接输入line vty 0 9直接启用10条线路。如果不想开启这么多条线路供用户使用，那么只须在全局模式下使用no line vty m n命令就可以关闭第m后的线路，此时n这个数值可有可无，因为系统只允许开启连续的线路号，取消第m号线路会自动取消其后的所有线路。VTY线路的协议选用：在某一个接口上使用什么协议可以使用命令：transport input|ouput来进行定义：(config)#line vty 0(config-line)#transport ? /查看支持哪种方式的协议定义input Define which protocols to use when connecting to the terminal serveroutput Define which protocols to use for outgoing connectionspreferred Specify the preferred protocol to use(config-line)#transport input ? /查看在输入方向上支持的协议ssh TCP/IP SSH protocoltelnet TCP/IP Telnet protocol(config-line)#transport preferred /定义协议的优先次序查看某一线路当前支持的协议可以使用命令show line vty x使用案例： 不同的线路上，可以配置不同的协议，如在line vty 0上配置telnet，在line vty 1上配置ssh，这样当SSH用户登录时，系统会让line vt