Cisco设备管理汇总

yaomint

　　设备管理这个部分可分为下面几个部分来学习：
　　1.设备的硬件组成及启动过程
　　2.配置文件的备份及恢复
　　3.IOS镜像文件的安装，备份及升级
　　4.保存和删除配置文件
　　5.设备密码的破解
　　6.基本IOS安全配置
　　一：路由器的硬件组成：
　　RAM---随机存取储存器，如同PC上的内存，用于存储临时信息，关闭路由器后内容全部被擦除。挂载在system:文件夹 上，所以通过dir system:可看到run-copnfig,通过show run-config便可从看当前RAM的临时信息。
　　R0M---只读存储器,里面的内容不会因为路由器的关闭而消失，主要用于储存下面四个组件：
　　POST-加电自测试
　　bootsrap引导程序--负责启动路由器以及寻找IOS镜像和配置文件
　　ROM monitor(ROMMON)模式---用于允许执行低级测试和故障排除（如密码的恢复过程）的迷你操作系统--可看成是一个小程序即可。可通过路由器在启动过程中用ctrl+break来记入ROMMON模式.
　　迷你IOS---用在引导程序没有在FLASH中找到IOS镜像时代替运行(RXBOOT模式），然后利用此系统来加载其他高级系统--现在的新路由器一般没有（功能类似ROMMON)，在1800和2600-1系列路由器上便有。
　　FLASH(闪存）---同ROM一样也是非易失性存储器，主要用于存储IOS镜像文件，有时也可以把一些辅助或备份的配置文件放于此。一般引导程序从此处加载IOS镜像文件 ，通过dir/show flash:可查看在此文件夹中的东西
　　NVRAM--非易失性RAM，用于放置配置文件，一般引导程序从此处加载配置文件。挂载于NVRAM:文件夹上，通过  dir nvram:  可看到startup-config文件   show start-config可直观看到配置文件里面的内容
　　配置寄存器--用于决定路由器的启动过程；比如IOS镜像文件从哪里加载，是从默认的FLASH还是通过网络TFTP方式；配置文件是默认从NVRAM加载还是从TFTP加载；也就是说，主要用于影响引导程序。
　　端口（线路）和接口：任何路由器和交换机都至少有一个端口---有时称为线路line；主要用于控制和管理设备用的。平时我们在调试设备用到的console控制台便是端口，当然还有像aux端口也有这；这两种是无须ip地址的并且属于带外方式连接。而线路用于管理设备时便要求控制端和设备端都有ip地址，这种方式主要在于远程访问，线路vty--telnet便是一个例子。而接口是用于设备间任务流量的传输，当通过像telnet 和 ssh的方式访问管理设备时便是一种带内方式的连接，此时会占用任务流量的带宽。
　　引擎：相当于PC上的CPU.
　　当然，硬件组成还有其他如风扇，电源及模块化插槽等等，不同的设备用一些差异。在这里注意一下，交换机和路由器的硬件组成差别，交换机的配置文件不是放在NVRAM里面的，它没有
　　NVRAM，而是直接把NVRAM集成在FLASH里面，通过show flash: 可以看到config.txt 其实便是交换机的配置文件（即NVRAM)。其他都基本一样。
　　二：路由器的启动过程
　　1.首先在ROM中加载post到内存RAM中，运行以测试硬件包括寄存器和接口等待
　　2.执行引导程序--查找IOS镜像文件（闪存，tftp服务器或者是ROM中的迷你IOS）和配置文件（NVRAM中，若找不到则通过运行系统配置会话）--由配置寄存器决定在哪里查询（默认情况下寄存值是0x2102)，或者通过手动命令boot systemflash/rom来决定------引导程序的执行顺序：
　　a.查看配置寄存值：最后一个位在路由器中是决定Flash从哪里加载，最后第二位则决定配置文件的加载位置。
　　通过在全局模式下config-register 或者在ROMMON模式下confreg可以修改配置寄存值
　　若最后一位为：ox0--将路由器引导进ROMMON模式，也就是说，从ROM里面调用出bootstvap进程出来；ox1--使用闪存中的第一个IOS镜像或者ROM中的迷你IOS引导路由器；ox2-oxf--使用默认顺序引导路由器,那么进入下一步：
　　b.在NVRAM的配置文件中查看boot system命令，如果有则依据此命令的地址去加载IOS文件，如果没有此命令的话则加载闪存中的第一个有效的IOS镜像；
　　boot system flash name-of-ios 用于向引导程序表明在FLASH中加载哪一个ios镜像文件（当有多个时，如升级IOS文件时而且没有删掉旧的IOS文件时）
　　boot system flash name-of-ios ip-address-tftp-server用于从网络启动
　　boot system flash rom 用于从ROM启动
　　c.如果闪存没有的话，则通过TFTP本地广播从网络启动，一般大的IOS镜像不建议此方法原因是tftp是通过UDP传输的，不是很可靠，如果没有的tftp服务器；则在ROM中加载迷你IOS并进入RXBOOT模式；如果没有的话则加载ROMMON并且进入ROM monitor模式。
　　3.运行IOS文件，并加载配置文件---
　　4.此时就进入了CLI界面（用户模式）
　　注意：对于交换机而言，它没有配置寄存器也就没有寄存值的概念了，对于配置文件的加载，交换机是从FLASH闪存中加载config.text这个配置文件。另外一点，交换机也没有像路由器的ROMMON模式---这决定了交换机的IOS升级和密码破解与路由器的很多不同。
　　二、配置文件的备份和恢复
　　备份： 通过命令copy--源--目的
　　例如 copy run start/tftp  copy start tftp  都是备份的指令
　　恢复：copy tftp:  start/run   copy start run
　　注意：当配置文件名字一样时，不管哪个源copy到RAM中，都是一个合并的过程，而其他的都是覆盖的过程
　　三、系统的安装，备份即升级（恢复）
　　系统的安装：（路由器）若设备中没有IOS镜像或者遭到损坏的时候则首先通过ROMMON模式运行IOS monitor，然后通过tftp服务来进行IOS镜像的传输（到FLASH)。在ROMMON模式下的配置相对来说比较麻烦，毕竟它不是一个真正意义上的IOS，而只是一个monitor而已，或者便是一个小程序--bootstvap
　　下面是一个实例：Cisco 2600 删除IOS后恢复、重灌ios
　　Flash 被清空，只能进入rommon 模式，唯一办法重灌IOS镜像文件，所需IOS文件可以到cisco官方网站和www.net130.com下载：
　　软件准备：
　　* 先找到与机型相配的IOS文件（注意机子的内存大小选择大小相配的文件）；
　　* 去下个Cisco TFTP Server；
　　硬件准备：
　　* 除了要一根控制线外，还要一根交叉线来连接Router和你的控制电脑（注意Cisco Router一般规定了灌IOS必须用interface ethernet0/0，即第一个以太网端口）；
　　注意事项：
　　* 你要灌的IOS文件要放到Cisco TFTP Server的根目录下，Cisco TFTP Server才会自动找到你所需要加载的IOS镜像文件；
　　通过concle口登录路由器，在启动过程中通过CTRL+BREAK进入rommon模式，设置tftp的环境：
　　rommon 1 >IP_ADDRESS=192.168.1.2                 //默认为路由器第一个以太网接口的ip
　　rommon 2 >IP_SUBNET_MASK=255.255.255.0    //设置路由器以太网接口的子网掩码
　　rommon 3 >DEFAULT_GATEWAY=192.168.1.1    //设置网关，否则tftp无法成功
　　rommon 4 >TFTP_SERVER=192.168.1.104           //设置笔记本ip，即为tftp server的ip
　　rommon 5 >TFTP_FILE=c2600-c-mz.121-9.bin     //设置路由器要下载的ios文件名
　　rommon 6 > set                               //设置tftp完环境后，可以用set命令再检查一下，也可以略过
　　PS1=rommon ! >
　　RET_2_RTS=
　　IP_ADDRESS=192.168.1.2
　　IP_SUBNET_MASK=255.255.255.0
　　DEFAULT_GATEWAY=192.168.1.1
　　TFTP_SERVER=192.168.1.104
　　TFTP_FILE=c2600-c-mz.121-9.bin
　　rommon 7 > tftpdnld                      //核对无误后，开始tftp
　　IP_ADDRESS: 192.168.1.2
　　IP_SUBNET_MASK: 255.255.255.0
　　DEFAULT_GATEWAY: 192.168.1.1
　　TFTP_SERVER: 192.168.1.104
　　TFTP_FILE: c2600-c-mz.121-9.bin
　　Invoke this command for disaster recovery only.
　　WARNING: all existing # in all partitions on flash will be lost!
　　Do you wish to continue? y/n: [n]: y
　　Receiving c2600-c-mz.121-9.bin from 192.168.1.104
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
　　File reception completed.
　　Copying file c2600-c-mz.121-9.bin to flash.
　　Erasing flash at 0x607c0000
　　program flash location 0x60120000
　　rommon 8 > confreg                   //下载ios完毕后，还需设置寄存器的值
　　Configuration Summary
　　enabled are:
　　load rom after netboot fails
　　console baud: 9600
　　boot: image specified by the boot system commands
　　or default to: cisco2-C2600
　　do you wish to change the configuration? y/n [n]: y      //要选择“y”
　　enable "diagnostic mode"? y/n [n]: n
　　enable "use net in IP bcast address"? y/n [n]: n
　　disable "load rom after netboot fails"? y/n [n]: n
　　enable "use all zero broadcast"? y/n [n]: n
　　enable "break/abort has effect"? y/n [n]: n
　　enable "ignore system config info"? y/n [n]: n
　　change console baud rate? y/n [n]: n
　　change the boot characteristics? y/n [n]: y      //要选择“y”
　　enter to boot:
　　0 = ROM Monitor
　　1 = the boot helper image
　　2-15 = boot system
　　[2]:2                           //要选择“2”
　　Configuration Summary
　　enabled are:
　　load rom after netboot fails
　　console baud: 9600
　　boot: image specified by the boot system commands
　　or default to: cisco2-C2600
　　do you wish to change the configuration? y/n [n]:n
　　rommon 8 > reset                       //重启路由器
　　重启后，恢复正常
　　（此实例原文链接：http://www.zhaoxinhua.com.cn/read.php/45.htm）
　　上面的系统安装是针对路由器的，对于交换机则不大一样了---这是由于交换机没有像路由器那样有一个minitor ios系统，也就是说，它在进行安装系统时需要对FLASH进行格式化--flash_init;并且由于此模式下无法为VLAN配置三层地址，所以无法通过双绞线进行传输IOS文件，而对于路由器来说，迷你ios或者是ROMMON模式都可以做到这一点。所以当交换机的IOS损坏或者没有IOS文件时，要通过console口翻转线进行传输，利用虚拟终端的xmodern协议来传输，速度非常的慢，大约1k/s.
　　下面是一个实例：
　　利用带xmodem协议虚拟终端重载Cisco交换机3550_24 IOS实验
　　(此实例原文链接http://siman190.blog.163.com/blog/static/9614976200695112514249/）
　　实验目的：熟悉Cisco交换机IOS重载步骤
　　实验硬件环境：Cisco3550_24 交换机一台，PC一台，Cisco控制线一条，超五类屏蔽双绞线一条
　　实验软件环境：Windows 2003 ,带xmodem协议虚拟终端（PC操作系统自带“超级终端”），TFTP服务端“SolarWinds Engineers Edition 组件之TFTP Server”
　　实验步骤：
　　a.备份交换机IOS镜像文件
　　copy flash:image_name tftp:
　　......
　　备份完成
　　b.删除交换机IOS
　　erase flash:
　　删除确认
　　......
　　删除成功。至此，交换仍然工作正常，因为交换机在启动时是将IOS文件解压至ram中运行的，保持交换机持续供电，交换机仍然工作正常。这时我们仍然可以利用tftp模式上传交换机
　　IOS文件至交换机中，不过这次的实验目的是利用带xmodem协议虚拟终端重载IOS文件，所以利用tftp模式方案不使用。
　　c.  断电重新启动交换机
　　提示载入交换机IOS文件出错，交换机启动至如下模式：
　　switch:
　　d.利用带xmodem协议虚拟终端重载交换机IOS文件
　　switch:flash_init 挂载FLASH或者初始化flash文件系统
　　switch:copy xmodem:image_name flash:/image_name
　　#在Cisco2950中flash:后面的/image_name可以不加，如switch:copy xmodem:image_name flash:
　　回车确认，出现C提示符，超时为10秒，在这10秒内点击“超级终端”中的“传送”菜单，选择“发送文件”命令，弹出发送文件对话框，在“浏览”按扭中选中IOS文件，“协议”中
　　“Xmodem”，单击“发送”，文件传送开始。
　　#由于Xmodem协议传送文件速率为1k/s,对于4000来K(示具体情况而定)的IOS来说，得传上一个半小时才能传送完毕。
　　......
　　传送完毕
　　f.启动交换机
　　switch:boot
　　#出现正常启动画面。至此，交换机IOS重载完毕。
　　系统的备份：
　　copy flash tftp 按提示输入名称和地址就行
　　系统的升级或者恢复：
　　通过copy tftp flash可进行升级或者恢复；在下面的提示中回询问是否要覆盖，如果FLASH空间够大的话可以装下两个也行，此时重启reload(软重启）或者硬重启--关闭并随后开启路由器后，引导程序由于默认加载FLASH第一个有效IOS文件，所以要通过boot system flash: name-of-ios 来指定，之后重启；当然，如果覆盖上去的话，则不必指定ios文件，因为本来就只有一个了。
　　注意：
　　对于交换机来说，它的ip地址是基于VLAN的；对于配置文件的备份和恢复或者是系统的备份和恢复；路由器和交换机的操作管理都几乎一个样，区别就在于当我们在安装IOS文件时或者是密码破解时，两种设备就有很大的不同了，原因上面也有提到，在于交换机和路由器在架构上的差异，以及在网络上的定位。
　　四、保存和删除配置文件：
　　保存配置文件：write (memory)或者copy run start
　　删除配置文件/清除启动文件：erase nvram/startup-config或者用早期版本的write erase(PIX上)，在交换机上还可以通过delete flash:config.text达到同样的效果。
　　删除Flash：erase flash: 此时相当于把Flash格式化了，即系统IOS文件没了
　　五、密码的破解
　　对于路由器和交换机密码的破解只要对设备的启动过程比较了解的话，整个破解过程是非常简单的！
　　路由器密码破解：
　　1.重启，并按住ctrl+break进入ROMMON模式
　　2.修改寄存值为0x2142--confreg 0x2142
　　3.reset--rommon模式下的重启方式（正常情况下是reload
　　4.由于寄存值改为0x2142后，引导程序没有加载NVRAM里面的配置文件，所以此时就没有密码了。
　　5.将配置文件加载至内存RAM运行-copy start run 后，修改密码或者删除密码（no enable password cisco)
　　然后再次修改寄存值为0x2102---使路由器正常的从NVRAM中加载配置文件；再将配置文件保存至NVRAM中。
　　6.重启reload
　　交换机密码破解：
　　由于交换机没有寄存值的概念，我们的切入点不像在路由器通过修改寄存值影响引导程序加载配置文件的方式；在交换机上，我们修改密码的切入点直接针对与配置文件。通过修改配置文
　　件的名称，从而使交换机无法加载到默认情况下在flash中的config.text配置文件。
　　1.断电，按住switch mode 键，进入switch:模式---相当于路由器的rommon模式，用于检测和修复设备，同样理解为一  个小程序即可
　　2.switch:flash_init--初始化flash文件系统或者叫挂载
　　3.rename flash:config.text flash:config2.text修改配置文件的名称，使得引导程序找不到它便无法加载
　　4.boot--switch:模式下的重启(正常时reload)
　　4.此时便可绕过了密码，之后的思路跟在路由器上的思路一样的：把配置文件的名称改过来为config.text
　　rename flash:config2.text flash:config.text；之后再把配置文件加载进RAM运行--copy start run
　　然后删除密码或者修改密码。保存配置文件copy run start
　　5.重启reload
　　六、基本IOS安全配置：
　　对于Cisco有很多种访问形式：通过console口，aux口，telent方式，ssh方式，HTTP方式等等
　　在基本的IOS安全配置中，我们主要针对用户exec密码的保护，特权exec密码保护.其中用户exec密码保护就包括了各种虚拟端口的访问方式。
　　用户exec密码保护（或者称作设备登录接口配置）：
　　1.对console口的密码保护
　　line con 0
　　password cisco
　　exit
　　2.辅助端口aux口的密码保护
　　line aux 0
　　password cisco
　　exit
　　3.对虚拟端口VTY的密码保护，也就是telnet访问方式密码的设置
　　line vty 0 15
　　password cisco
　　login
　　注意：如果login之后，却没有设置密码，则无法访问；如果有设置密码,然后no login的话，也可以访问此设备
　　对于对远程telnet 方式来设置密码，我们一般会加上用户名数据库，可以是本地数据库和可以是外部验证数据库
　　例如：
　　username cisco password/secret cisco
　　line vty 0 15
　　login local 此时当访问此设备时则会调用本地数据库来进行验证。
　　特权exec密码保护：
　　enable password/secret cisco
　　此时则可以对设备的特权模式进行加密。
　　注意：这里出现了password和secret两种加密模式，对于password来说，加密的密码以明文储存，通过show run可看到，而通过secret则通过md5加密，无法显示出来。当通过两种模式同时
　　设置密码时，设备会优先选择secret模式的密码，所以一般情况下如果同时在两种加密模式下加密的话，密码要避免重复。当然，还可以通过一种简单的加密形式来缓解password的明文形
　　式，通过在全局模式下service password-encryption之后，所有以password形式的加密也被加密存储了，但它的加密还是弱于secret；所以一般情况下我们还是才有secret的形式去加密--
　　毕竟现在MD5也顶不住破解了。