×
畅享IT
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918
当前位置:畅享论坛 >  科技  >  思科Cisco > 正文
发帖
回复
(共 1 条) 上一页 1 下一页
查看: 2587|回复: 1

[分享]路由器配置实验

[复制链接]

等级:助理
行业:
职能部门:
城市:石河子市
金币:148

Cisco packet tracer下路由器基本配置实验

      

  --- System Configuration Dialog ---

 

Continue with configuration dialog? [yes/no]: no

 

Press RETURN to get started!

 

Router>enable

Router#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#hostname RA

RA(config)#service password-encryption

RA(config)#enable password 5115

RA(config)#line con 0

RA(config-line)#password 448

RA(config-line)#login

RA(config-line)#exit

RA(config)#line vty 0 4

RA(config-line)#password 4485115

RA(config-line)#login

RA(config-line)#end

RA#

%SYS-5-CONFIG_I: Configured from console by console

RA#show ip interface brief

Interface              IP-Address      OK? Method Status                Protocol

 FastEthernet0/0        unassigned      YES unset  administratively down down

 FastEthernet0/1        unassigned      YES unset  administratively down down

 Vlan1                  unassigned      YES unset  administratively down down

RA#

RA#conf terminal

Enter configuration commands, one per line.  End with CNTL/Z.

RA(config)#banner login #hello,welcome wtl#

RA(config)#exit

RA#

%SYS-5-CONFIG_I: Configured from console by console

RA#write

Building configuration...

[OK]

RA#copy running-config startup-config

Destination filename [startup-config]?

Building configuration...

[OK]

RA#show ?

  aaa                Show AAA values

  access-lists       List access lists

  arp                Arp table

  cdp                CDP information

  class-map          Show QoS Class Map

  clock              Display the system clock

  controllers        Interface controllers status

Press RETURN to get started.

 

hello,welcome wtl

 

User Access Verification

 

Password: 输入448

 

RA>enable

Password: 输入5115

RA#conf t

Enter configuration commands, one per line.  End with CNTL/Z.

RA(config)#interface fa0/0

RA(config-if)#ip address 192.168.100.22 255.255.255.0

RA(config-if)#no shut

 

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

RA(config-if)#end

RA#

%SYS-5-CONFIG_I: Configured from console by console

 

RA#

 

通过在路由器上配置主机表,管理者可以在使用Telnetping命令的时候直接键入预先建立好的主机名,而不需要再去记忆每个路由器的IP地址。

    下面我们就为大家介绍如何配置主机表:

    1、进入路由器的全局模式。

    router#configure terminal

    2、将主机名为cisco的路由器映射到192.168.0.12的地址上。

    router(config)#ip host cisco 192.168.0.12

    3、保存配置到RVRAM中。

    router(config)#copy running-config startup-config

    这样,我们在输入Telnet cisco命令时,路由器会自动将这个主机名映射到IP192.168.0.12IP地址。

Telnet Cisco路由器进行远程管理是很多网管的选择,但是通过Telnet传输的数据都是明文,因此这种登录方式存在很大的安全隐患。一个恶意用户完全可能通过类似Sniffer这样的嗅探工具,在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码。

  1、安全测试:

  笔者在本地安装了sniffer,然后利用Telnet登录Cisco路由器。停止嗅探然后解码查看,如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了。虽然密码被拆分成了两部分,但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码。其实,不仅仅是这些,利用嗅探工具管理员所有在路由器上输入的命令都会被嗅探到。这样,就算是管理员更改了路由器的密码,并且进行了加密但都可以嗅探得到

  从上面最后一行Data:后面的那个C就表示我们输入的第一个密码。再接着查看后面的几个Telnet Data数据包我们就可以看出它的密码。这样对于我们的网络来说是特别不安全的。

  2ssh的安全性

  ssh 的英文全称是Secure Shell,是由芬兰的一家公司开发的。ssh由客户端和服务端的软件组成,有1.x2.x两个不兼容的版本。ssh的功能强大,既可以代替 Telnet,又可以为FTPPOP3PPP提供一个安全的通道。使用ssh,可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时,数据经过压缩,大大地加快传输的速度。它默认的连接端口是22。通过使用ssh,可以把所有传输的数据进行加密,这样类似上面的中间人攻击方式就不可能实现了,而且它也能够防止DNSIP欺骗。另外,它还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。

  3ssh部署

  基于上面的测试和ssh的安全特性,要实现Cisco路由器的安全管理用ssh代替Telnet是必要的。当然,要实现sshCISOC的安全管理,还需要在路由器上进行相关设置。下面笔者就在虚拟环境中演示ssh的部署、连接的技术细节。

  (1).Cisco配置

  下面是在Cisco上配置ssh的相关命令和说明:

  R2(config)#ip domain-name Cisco.com     配置一个域名

  R2(config)#crypto key generate rsa general-keys modulus 1024    //生成一个rsa算法的密钥,密钥为1024

  (提示:在Cisocrsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。)

  The name for the keys will be: R2.Cisco.com

  % The key modulus size is 1024 bits

  % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

  R2(config)#

  *Mar  1 00:09:46.607: %ssh-5-ENABLED: ssh 1.99 has been enabled

  R2(config)#ip ssh time 120     设置ssh时间为120

  R2(config)#ip ssh authentication 4   设置ssh认证重复次数为4,可以在0-5之间选择

  R2(config)#line vty 0 4

  R2(config-line)#transport input ssh  设置vty的登录模式为ssh,默认情况下是all即允许所有登录

  R2(config-line)#login

  R2(config-line)#

  这样设置完成后,就不能telnetCisoc路由器了。

  设置登录方式,然后点击“Open”

  而这里就是颁发给我们的证书。

  R2(config)#aaa new-model 启用AAA

  R2(config)#aaa authentication login default local   启用aaa认证,设置在本地服务器上进行认证

  R2(config)#username Cisco pass Cisco 创建一个用户Cisco并设置其密码为Cisco用于ssh客户端登录

  R2(config)#line vty 0 4

  R2(config-line)#login authentication default  设置使用AAAdefault来进行认证

  R2(config-line)#exit

  R2(config)#

  好了现在就可以使用ssh登录了。

  (2).ssh登录

  上面设置完成后就不能TelnetCisco了,必须用专门的ssh客户端进行远程登录。为了验证ssh登录的安全性,我们在登录的过程中启用网络抓包软件进行嗅探。

  我采用的ssh客户端为PuTTY,启动该软件输入路由器的IP地址172.16.1.1,然后进行扥两个会弹出一个对话框,让我们选择是否使用刚才设置的 ssh密钥,点击进入登录命令行,依次输入刚才在路由器上设置的ssh的登录用户及其密码Cisco,可以看到成功登录到路由器。

  然后我们查看嗅探工具抓包的结果,所有的数据都进行了加密,我们看不到注入用户、密码等敏感信息。由此可见,利用ssh可以确保我们远程登录Cisco路由器的安全。

  总结:其实,ssh不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于ssh远程管理。另外,当下的 ssh工具不仅有命令行下的,也有一些GUI图形界面下的工具。网络管理,安全第一,ssh能够极大程度地预防来自中间人的攻击,希望本文对大家提升网络管理的安全性有所帮助帮助。

cisco 路由器 telnet配置方法

en conf t username lighten password 123456  //设置用户名和密码为lighten,密码为123456 enable password cisco  //设置enable密码为cisco line vty 0 4  //用路由器中的用户名和密码登录   login local  //启用从本地登录路由器使用用户名和密码 login tacacs  //启用从远程登录路由器使用用户名和密码 exit exit
另外一种方式,不需要填写用户名的方式:

en conf t enable password cisco line vty 0 4 password cisco login end
enable password cisco

挂起Telnet会话是telnet的一个重要的特性,如果我们希望暂时挂起telnet会话,而不关闭会话执行其他工作的时候,可以使用挂起telnet会话命令。

    挂起telnet会话命令实例:

 

    挂起一个会话:从图中可以看到,我们是通过主机名为family路由器登录到远程路由器it168的,当键入回车后,命令提示符会变回到family>

    it168><ctrl><shift><6><x>

    返回到一个会话:如果想要返回到挂起的会话,我们可以使用以下命令:

    family><return>

    关闭telnet会话:当远程登录所需要做的工作完成后,我们可以通过使用disconnect命令来终止会话。做为安全的考虑,用户管理员应该在不用telnet会话的时候,及时的关闭会话。

    family>disconnect it168

    显示已经连接的会话:前面我们提到过,一个路由器可以支持5telnet会话,我们可以通过show sessions命令来显示已经连接到路由器的会话:

    famiy>show sessions

cisco IOS命令行(_exec)中,我们可以使用connect或者telnet命令来进行telnet会话的连接。所连接的目标可以是远程路由器的某个接口IP地址或主机名。

    telnet命令实例:

 


    在用户模式或者特权模式下键入以下命令可以建立telnet会话。

    IT168>telnet family

    IT168#telnet family

    IT168>connect family

    IT168#connect family

    IT168>telnet 202.100.96.68

    IT168#telnet 202.100.96.68

    当连接成功时,远端路由器会提示输入用户名和密码。当输入正确的用户名和密码后,命令提示符会变成所连接的路由器主机名。通过使用telnet会话,我们可以测试网络的连通性。

router配置.doc ( 176 KB )


畅享论坛提示:看帖后顺手回帖,是对辛苦发帖者的鼓励,是美德。


等级:助理
行业:培训
职能部门:人力资源
城市:北京
金币:761
top第1楼
辛苦了~~~
ERP顾问培训 www.iblue.org 我们相信分享智慧是快乐的,学习和教育也理应如此。
(共 1 条) 上一页 1 下一页
您还未登录,不能对文章发表评论!请先登录
2021-04-23 07:29:35 197/2021-04-23 07:29:35 212/2021-04-23 07:29:35 228