Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

1. 第 4 章 Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM)

2. 本章重點 • 4 - 1 IOS 使用者界面 • 4 - 2 命令列界面 • 4 - 3 設定路由器與交換器的管理性組態 • 4 - 4 路由器界面 • 4 - 5 檢視、儲存、與清除組態設定 • 4 - 6 Cisco 的安全裝置管理員 (SDM) • 4 - 7 摘要

3. Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) • 現在是跟您介紹 Cisco 互連網路作業系統 (Internetwork Operating System, IOS) 的時候了。 • IOS 是 Cisco 路由器與某些 Cisco 交換器上所執行的軟體, 也是讓您得以設定這些裝置的軟體。 • 本章介紹如何利用 Cisco IOS 命令列界面 (command-line interface, CLI) 來設定 Cisco IOS 路由器。

4. Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) • 當您熟練這個界面之後, 就可用它來設定主機名稱、標題訊息 (banner)、密碼、以及更多, 而且還可用它來檢修問題。 • 然後我們會介紹 Cisco 的安全裝置管理員 (Security Device Manager, SDM), 教您如何建立與路由器的 HTTPS 會談, 以提供類似的組態設定。 • SDM 在往後的章節會變成非常有用的工具, 因為它使得存取清單、VPN、與 IPSec 的設定變得非常輕鬆。

5. Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) • 但首先, 您得先學好 Cisco IOS 的基礎。 • 此外, 您也會學習到如何確認路由器的組態設定。 • 本章會討論以下的主題： • 瞭解與設定 Cisco IOS • 連接路由器 • 啟動路由器 • 登入路由器

6. Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) • 瞭解路由器的提示訊息 (prompt) • 瞭解 CLI 提示訊息 • 執行編輯與輔助 (help) 功能 • 收集基本的遶送資訊 • 設定路由器密碼 • 設定路由器標題訊息 • 設定界面的組態 • 設定路由器的主機名稱

7. Cisco 的互連網路作業系統 (IOS) 與安全裝置管理員 (SDM) • 設定界面說明 • 檢視與儲存路由器的組態設定 • 確認遶送的組態設定 • 就跟前幾章一樣, 本章係為本書後面的章節奠定基礎, 您應該要先學。

8. 4 - 1 IOS 使用者界面 • Cisco IOS 是 Cisco 路由器與大部分 Cisco 交換器的核心 (kernel), 核心是作業系統中最基本的、不可或缺的部份, 負責配置資源與管理諸如低階硬體界面與安全性等。 • 接下來的章節將展示 Cisco IOS, 教您如何利用命令列界面 (command-line interface, CLI) 來設定 Cisco 路由器。 • 本章結尾則將介紹 Cisco 的 SDM。

9. Cisco 路由器 IOS • Cisco IOS 是專屬的核心, 提供遶送、交換、網路互連、電信等功能。 • 第一版的 Cisco IOS 是由 William Yeager 在 1986 年產生的, 它促進了網路的應用。 • Cisco IOS 在大部分的 Cisco 路由器與一些 Cisco Catalyst 交換器上執行, 例如 Catalyst 2950 / 2960 與 3550 / 3560 系列交換器。 • Cisco 路由器 IOS 軟體負責的重要工作有： • 支援網路協定與功能。

10. Cisco 路由器 IOS • Cisco 路由器 IOS 軟體負責的重要工作有： • 支援網路協定與功能。 • 在裝置之間連結高速的交通。 • 增加安全性以控制存取, 並阻止非授權使用網路。 • 提供可擴充性, 以利網路成長與冗餘性。 • 提供與網路資源連線的網路可靠性。 • 存取 Cisco IOS 的途徑包括：透過路由器的控制台埠 (console port)、從數據機進入輔助埠 (Aux port)、或甚至透過 telnet。對 IOS 命令列的存取稱為 EXEC 會談 (session)。

11. 連接 Cisco 路由器 • 您可以連上 Cisco 路由器以設定組態、確認組態設定、以及檢視統計資訊。 • 有好幾種不同的方式可進行這些動作, 但最常見的, 也是第一個您會連接的地方就是控制台埠。 • 控制台埠通常是位於路由器背後的一條 RJ - 45 (8 腳的模組) 接線 － 根據預設, 可能有、或沒有設定任何密碼。 • 新型 ISR 路由器會使用 cisco 當作預設的使用者名稱, 並且使用 cisco 當作預設的密碼。

12. 連接 Cisco 路由器 • 您也可以透過輔助埠來連結 Cisco 路由器 － 這其實與控制台埠是相同的。但輔助埠也可讓您設定數據機命令, 以便經由數據機連上路由器。 • 這是個不錯的功能 － 如果路由器當掉, 您需要透過其他管道 (也就是其他網路) 來設定它, 這個功能讓您能撥接至遠端的路由器, 並連結輔助埠。 • 第 3 個連接路由器的方法是透過 telnet 程式的頻內 (in-band) 通訊。

13. 連接 Cisco 路由器 • (in-band 表示您得透過該網路來設定路由器, 它的相反就是 out-band), telnet 是一種終端模擬程式, 動作就像一部終端機一般。 • 您可以利用 telnet 連結路由器上的任何作用中 (active) 界面, 如乙太網路或序列埠 (serial port)。 • 圖 4.1 展示一部 Cisco 2600 系列的模組路由器, 2600 系列縮減了 2500 系的生產, 因為 2600 系列有更快的處理器, 能夠處理更多的界面。

14. 連接 Cisco 路由器 • 現在 2500 與 2600 系列的路由器都已經停產了, 您只能買到二手貨。不過, 很多營運環境仍然存在著很多的 2600 系列路由器, 所以瞭解它們是很重要的。 • 請特別注意各種不同的界面與連接口。

15. 連接 Cisco 路由器 • 2600 系列路由器有多片序列界面, 可透過序列的 V.35 WAN 接線來連接 T1 或 Frame Relay。根 • 據路由器的型號別, 路由器上也會有多個乙太網路或高速乙太網路埠可用。 • 這部路由器也有 1 個控制台埠與 1 個 RJ-45 接頭的輔助埠。 • 這裡還想要討論的另一種路由器是 2800 系列 (如圖 4.2 所示)。

16. 連接 Cisco 路由器 • 這種路由器取代了 2600 系列, 並且被稱為整合服務型路由器 (Integrated Services Router, ISR), 因為它內建了許多服務, 例如安全性。 • 就像 2600 一樣, 2800 系列也是一種模組裝置, 但速度更快, 配備更豪華－ 它的設計可支援各式各樣的界面功能。

17. 連接 Cisco 路由器 • 前面提到內建的安全性 － 2800 預先安裝了安全性裝置管理員 (Security Device Manager, SDM)。 • SDM 是網站式的 Cisco 路由器裝置管理工具, 可以協助您透過網站控制台設定路由器的組態, 這在本章後面會再討論。 • 有另外幾個系列的路由器沒有像 2800 系列那麼貴：1800 和 800 系列。

18. 連接 Cisco 路由器 • 如果您希望有同樣執行 12.4 IOS 和最新的 SDM, 但是又比 2800 便宜的路由器, 那就可以考慮這幾個系列。 • 圖 4.3 是 1841 路由器, 它具有跟 2800 幾乎相同的界面, 但是較小也較便宜。 • 選擇 2800 而非 1800 系列的真正原因, 在於它可以執行更多先進的界面, 例如無線控制器和交換模組等。

19. 連接 Cisco 路由器 • 本書後面將使用全新的 2800、1800 和 800 系列路由器做為路由器組態設定的範例, 不過, 您也可以使用 2600, 甚至 2500 路由器來練習遶送原則。

20. 啟動 Cisco 路由器 • 第一次啟動 Cisco 路由器時, 它會執行開機自我測試 (power-on self-test, POST)。 • 如果測試通過, 接著就從快閃記憶體 (flash memory) 中找尋並載入 Cisco IOS － 如果 IOS 檔案存在。 • 快閃記憶體是一種電子式可移除可程式化的唯讀記憶體 (electronically erasable programmable read-only memory, EEPROM)。

21. 啟動 Cisco 路由器 • 然後 IOS 繼續載入並找尋有效的組態 － 啟動組態 (startup-config) － 儲存在非揮發性隨機記憶體 (NVARAM) 中。 • 當您首次開機或重載 (reload) 路由器時, 會出現以下的訊息 (這裡使用 2811 路由器)：

22. 啟動 Cisco 路由器 • 這是路由器開機程序的第一部份輸出, 這些資訊是有關首次執行 POST 的開機區 (bootstrap) 程式。 • 然後說明路由器如何載入 IOS, 預設上是要在快閃記憶體中找尋 IOS。這份輸出也會列出路由器的 RAM 數量。 • 接下來的部份顯示 IOS 正被解壓縮到 RAM 中：

23. 啟動 Cisco 路由器 • 井字號 (#) 表示正在將 IOS 載入 RAM 中。 • 在解壓縮到 RAM 之後, IOS 就載入完成並開始操作路由器；輸出畫面如下。 • 請注意這裡啟動的 IOS 版本就是前面所說有先進安全功能的 12.4 (12) 版本：

24. 啟動 Cisco 路由器 • 新 ISR 路由器的一項新功能是它的 IOS 名稱已經沒有加密了。 • 它的檔名明確地指出這個 IOS 可以做些甚麼, 例如先進的安全性 (Advanced Security)。 • 一但 IOS 載入後, 接著會顯示從 POST 取得的資訊：

25. 啟動 Cisco 路由器 • 從上面可以看到有 2 個 FastEthernet 界面, 4 個序列界面, 加上 1 個 VPN 模組。 • 它還會顯示 RAM、NVRAM 和快閃記憶體的數量。 • 在上面的輸出中顯示有 256 MB 的 RAM、239 K 的 NVRAM 和 64 MB 的快閃記憶體。

26. 啟動 Cisco 路由器 • 當 IOS 載入並啟動之後, 預先設定的組態 (稱為啟動組態, startup-config) 會從 NVRAM 複製到 RAM。 • 這個檔案會放在 RAM 中, 並且稱為運行組態 (running-config)。

27. 啟動非 ISR 路由器 (2600) • 非 ISR 路由器的開機過程跟 ISR 路由器大致相同。 • 當您首次啟動或重載 2600 路由器時, 會出現下列訊息： • 下個部分顯示 IOS 正解壓縮到 RAM 中。

28. 啟動非 ISR 路由器 (2600) • 到目前為止, 每樣東西看起來都很像。請注意下面的 IOS 版本是 12.3 (20)。

29. 啟動非 ISR 路由器 (2600) • 就像 2800 系列, 一旦 IOS 載入後, 就會顯示來自 POST 的資訊：

30. 啟動非 ISR 路由器 (2600) • 最後顯示這裡有 1 個乙太網路界面和 3 個序列界面。 • 它還會顯示 RAM 和快閃記憶體的數量, 在上面的路由器輸出中, 一共有 64 MB 的 RAM 和 16 MB 的快閃記憶體。

31. 啟動非 ISR 路由器 (2600) • 如前所述, 當 IOS 載入和執行的時候, 會從 NVRAM 中載入有效的組態, 稱為啟動組態。 • 但是非 ISR 路由器在此處會與 ISR 路由器的預設開機不同 － 如果 NVRAM 中沒有組態檔, 路由器會廣播尋找是否有 TFTP 主機可提供有效的組態。 • (這只發生在路由器於某個界面有感應到媒介偵測信號, 亦即 CD 的時候)。

32. 啟動非 ISR 路由器 (2600) • 如果廣播失敗, 它就會進入所謂的裝配模式 (setup mode) －協助您逐步設定路由器組態的過程。 • 因此, 如果您將路由器的任何界面接上網路, 然後開機時, 可能會先等幾分鐘讓路由器搜尋組態。 • 您也可以在任意時間, 在特權模式下輸入 setup命令來進入裝配模式。 • 裝配模式只涵蓋一些整體命令, 而且通常沒有什麼用。下面是個例子。

33. 啟動非 ISR 路由器 (2600) • 下面是個例子： • 強烈建議您進入裝配模式一次, 然後就再也不用了。您應該要使用 CLI 或 SDM。

34. 4 - 2 命令列界面 • 筆者有時候會戲稱 CLI 是現金專線界面 (Cash Line Interface), 因為如果您能在 Cisco 路由器或交換器上透過 CLI 建立進階的組態, 您就會贏得現金！ • 要使用 CLI, 只要在路由器完成開機動作後輸入 Enter鍵, 然後路由器就會回應訊息告訴您每個路由器界面的相關狀態, 然後顯示標題訊息, 並要求您登入。 • 例如。

35. 命令列界面

36. 命令列界面

37. 命令列界面 • 只要從這裡輸入「cisco / cisco」當作使用者名稱與密碼來登入, 就可以進入特權模式 (privilege mode) － 稍後會加以說明。 • 現在路由器上已經有安裝好的組態設定, 也就是您不用設定路由器就可以透過 HTTPS 連上 SDM 的理由。 • 同樣地, 本章稍後會說明預先設定好的啟動組態 (startup-config)。

38. 從非 ISR 路由器進入 CLI • 出現界面狀態訊息之後, 按下 Enter鍵, 就會出現 Router>的提示列, 這稱為使用者 exec 模式 (使用者模式)。 • 它幾乎只是用來檢視統計資訊, 但也是登入特權模式的踏板。 • 在特權 exec 模式 (特權的模式) 中能檢視與更改 Cisco 路由器的組態, 以 enable命令即可進入這種模式：

39. 從非 ISR 路由器進入 CLI • 提示列 Router#表示您正處於特權模式中, 在這種模式下可以檢視與更改 Cisco 路由器的組態。 • 您可以使用 disable 命令從特權模式退回使用者模式, 操作畫面如下： • 此時可以輸入 logout 離開控制台：

40. 路由器模式概觀 • 要從 CLI 設定, 可以輸入 configure terminal (或 config t), 對路由器進行整體的變更, 這讓您進入整體設定模式, 並且變更所謂的運行組態 (runningconfig)。 • 整體命令 (從整體設定模式中執行的命令) 是設定一次就可影響整個路由器的命令。 • 您可以在特權模式提示列輸入 config, 然後只要按下 Enter採納預設的終端機, 如以下所示：

41. 路由器模式概觀 • 因為是整體設定模式, 此時所作的變更會影響整個路由器。 • 要改變運行組態 － 在動態的 RAM (DRAMM) 中運行的目前組態 － 必須使用 configure terminal命令。 • 若要變更自啟動組態 － 儲存在 NVRAM 中的組態 － 必須使用 configure memory命令 (或縮寫成 config mem), 這會將啟動組態檔合併至 RAM 中的運行組態檔。

42. 路由器模式概觀 • 若想要變更自儲存在 TFTP 主機中的路由器組態, 必須使用 configure network命令 (或縮寫成 config net)。 • 同樣地也會將它合併至 RAM 中的運行組態。 • configure terminal、configure memory、configure network都是用來設定資訊到路由器之 RAM 中的命令, 但我們通常都只使用 configure terminal命令。 • 有時候如果我們弄糟了運行組態檔, 而又不想重開機, 這時 config mem與 config net命令可能就很有用了。

43. 路由器模式概觀 • configure 命令還有一些其他的選項： • Cisco 在 12.4 IOS 中加入了一些新的命令, 我們會在第 5 章介紹它們。

44. CLI 提示列 • 瞭解路由器設定時所能看到的提示列其實是非常重要的, 熟悉這些訊息將能幫助您操作, 並認得當時您到底是處於設定模式中的何處。 • 本節展示 Cisco 路由器所用的提示列 (對路由器進行任何變更之前, 一定要先檢查當時所在的提示列！), 並且討論所用到的各種術語。 • 我們並不會瀏覽路由器所提供的每一種命令提示列, 因為這樣會超出本書的範圍。 • 此處只描述本章與本書會用到的提示列, 這些命令提示列都是您在真實世界中最常使用的 － 也是檢定考需要知道的。

45. 界面 • 要變更界面, 必須從整體設定模式使用interface命令：

46. 界面 • 您注意到提示列改變成 Router(config-if)#了嗎？這告訴您當時正處於界面設定模式。

47. 界面 • 如果提示列也告訴您正在設定那個界不是很好嗎？ • 是的, 不過至少現在沒有。 • 不過有件事是確定的：設定路由器時真的要非常小心！

48. 子界面 • 子界面 (subinterface) 讓您能在路由器中產生邏輯界面, 之後提示列會改變成 yourname (config-subif) #：

49. line 命令 • 設定使用者模式的密碼要使用 line命令, 然後提示列會變成 yourname (config-line) #：

50. line 命令 • line console 0命令是一個所謂的主要命令 (又稱為整體命令), 而且任何從 (config-line) #提示列所輸入的命令都是所謂的子命令。