兰州威思特CCIE实验室·www.westccie.com
CCNA实验手册
第一章 路由器的基本配置
1.1登录到Cisco路由器
1. 将PC的串行接口(COM通讯端口)和路由器的CONSOLE端口通过反转电缆
(Roll-over Cable)连接,使用超级终端(开始->运行->Hypertrm)登陆到路由器,端口设置参数还原为默认值即可,如图所示。
2. 打开路由器电源开关,观察路由器启动过程。若路由器此时已经启动,可以
在键入命令reload使路由器重新启动。填写路由器以下参数:
路由器内存: IOS版本号:
接口类型和数目: FLASH容量:
1.2 CLI的工作模式
1. 进入Setup模式,了解Setup模式的作用和可设置的参数,Setup模式是一个友好的一
问一答式的配置模式,当路由器在NVRAM中找不到startup-configuration时会提示是否要进入Setup模式。
问:在特权模式下如何进入Setup模式?想放弃Setup模式的配置,该如何退出?
兰州威思特CCIE实验室·www.westccie.com
2. 进入Command Line Interface(CLI)后,可看到系统提示符Router>,键入“?”查看命令
列表。键入enable进入特权模式,打“?”查看命令列表。Privileged-Mode下可执行详
细检验命令,并且是配置路由器的必经模式。键入configure terminal进入全局配置模式,查看命令列表。
3. 把路由器的主机名(hostname)改为wolf_gw_1,为以太接口配置描述:to r2,为
路由器设置登陆欢迎画面:Hello, world.
1.3路由器的登录接口设置
我们前面提到三种主要的登录接口分别是Console、Aux和vty。这三个接口的安全配置为路由器提供了基本的安全。 Console 接口的安全配置 配置步骤:
Router(Config)# line console 0 Router(Config-line)# login
Router(Config-line)# password Cisco Virtual Terminal 接口的安全配置 配置步骤:
Router(Config)# line vty 0 4 Router(Config-line)# login
Router(Config-line)# password Cisco AUX接口的安全配置 配置步骤: Router(Config)# line aux 0 Router(Config-line)# login
Router(Config-line)# password Cisco
思考下列三种配置的区别?
line vty 0 4 login no password line vty 0 4 no login password Cisco line vty 0 4 no login no password 1.3.1特权模式的安全配置
兰州威思特CCIE实验室·www.westccie.com
我们可以给路由器的特权模式配置一个安全的密文,当操作员要从用户模式进入到特权模式时则必须输入我们设定的密文。
Cisco为我们提供了两种加密的模型:普通加密与MD5.
普通加密 配置步骤:
Router>enable Router#config t
Router(config)# enable password Cisco
使用普通加密配置的特权模式的密码是以明文方式保存在路由器上,可以通过show run命令查看到:
Router#sh run
Building configuration...
Current configuration : 575 bytes !
version 12.2
no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime no service password-encryption !
hostname Router !
logging rate-limit console 10 except errors enable password Cisco //在这里我们可以看到!
ip subnet-zero no ip finger !
no ip dhcp-client network-discovery
路由器的明文密码
这样会带来很大的安全隐患,但IOS为我们提供了一种隐藏的方法:(使用Services password-encryption命令)
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#service password-encryption Router(config)#
兰州威思特CCIE实验室·www.westccie.com
使用这条命令之后明文密码会以一定的算法变为非明文的!但是,这种所谓的加密的密文仍能非常简单的使用数学算法破解。
Router#sh run
Building configuration...
Current configuration : 581 bytes !
version 12.2
no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime service password-encryption !
hostname Router !
logging rate-limit console 10 except errors enable password 7 121A0C041104 //现在密码是编码过的 !
ip subnet-zero no ip finger !
no ip dhcp-client network-discovery !
MD5算法加密
使用MD5算法所进行的特权模式的加密会提供更多的密码安全特性。
配置步聚:
Router>enable Router# config t
Router(config)# enable secret password
使用这样的方法所配置的明文即无法使用命令查看到,也无法使用软件反破解回原文密码。故提供了较高的安全性。
Router#sh run
Building configuration...
Current configuration : 751 bytes !
version 12.2
no service single-slot-reload-enable service timestamps debug uptime service timestamps log uptime service password-encryption !
hostname Router !
兰州威思特CCIE实验室·www.westccie.com
logging rate-limit console 10 except errors
enable secret 5 $1$.ejI$929cFq2DO5OfqrpNHD4ys/ //这里是md5级加密的密码 enable password 7 121A0C041104 !
ip subnet-zero no ip finger
no ip domain-lookup !
no ip dhcp-client network-discovery
如果我们同时在一台路由器上配置了普通密码加密和MD5模式加密,且分别使用不同的密码,那么最终登入路由器所签权使用的密码是哪一个配置的?
1.3.2配置命令别名(Command Aliases)
我们可以以较简洁的命令来代替一个真实的命令 例:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#alias exec rt show ip route
Router1(config)#alias exec on show ip ospf neighbor Router1(config)#end Router1#
按上例我们可以实现输入 rt 代替 show ip route的目的。 我们可以通过使用show aliases查看当前路由器所创建的别名
1.3.3清除启动文件
默认时,路由器在重启时会自动加载上一次所保存的配置,如果我想重新初始化一台
路由器做其它配置时,需要删除配置文件:
CCNA实验手册
