网管的见解.docx

网管的见解.docx

《网管的见解.docx》由会员分享，可在线阅读，更多相关《网管的见解.docx（13页珍藏版）》请在冰豆网上搜索。

网管的见解

每当一个网络项目完成后，日后的日常网络维护就交给了网络管理员来维护。

一般对网络设备的维护，小T我大概总结为，备份和还原网络设备的操作系统，备份和还原设备的配置文件，网络设备密码遗忘了如何恢复，对telnet、SSH、Web等管理设置密码及身份认证，根据新增的需求配置网络设备等。

作为一名网络维护人员，在新接手一台已经调试好网络设备的时候，首先要做的事情，就是将网络的设备的配置文件保存。

这样的做的好处，是为以后设备出问题了，还有一招最后的解救方法。

所以，备份网络设备的配置文件，对每位网络维护人员来说是很重要的。

若网络设备的操作系统（cisco的是IOS，H3C是VRP）可以导出来的话，我们就将网络设备操作系统备份。

备份网络操作系统，这是为了防止哪天网络操作不小心操作失误，把网络设备操作系统给弄“坏”了，好有地方找到网络操作系统给它还原。

谁都会有忘记一些东西的时候，作为网络维护人员，忘记网络设备的密码的情况也是避免不了的，但必须学会密码恢复。

所以，小T我个人对每位网络维护人员的建议就是，要了解你们所掌管的网络设备如何做密码恢复的。

如果我上面说的这几点，你没做到话！

网络设备出问题了，那就打卖设备给的你公司，叫他们给你维护，每次多花点钱而已。

在开始今天的实验之前，小T先讲讲实验思路。

在这次试验中，我还是采用通过TFTP的备份方法，当然你也可以用TFP等。

首先，讲讲cisco设备的配置文件，常看到的是：

startup-config和running-config。

Runing-config是cisco设备的当前运行文件，断电是不保存的，我们配置完了cisco设备，都是在的文件中。

startup-config是cisco的启动配置文件，也就是说，cisco的设备在启动经历了加电自检，加载IOS，再加载startup-config文件。

所以，我们在配置完cisco的设备的时候，记住敲上copyrunning-configstartup-config或write在保存配置文件，不然，你重启后，你的网络设备啥东西也没有了！

当我们遗忘了密码，通过了解网络设备启动过程，我们只要想办法让设备不加载startup-config文件，就有办法恢复密码。

（cisco的路由器是通过路由器修改寄存值；而交换机则是采取将这个文件名修改一下，由于模拟器不支持，故小T我只给大家描述下）。

先让大家看看我的实验拓扑：

通过模拟一个小小的局域网，便于让大家来理解。

PC0、PC1、TFTP服务器不在同一个网段，解决相互通信采用了单臂路由。

IP的规划如下：

PC0：

192.168.2.1/24

PC1:

192.168.3.1/24

TFTP:

192.168.1.2/24

交换机管理IP：

192.168.1.1/24

实验的基本连通性配置：

路由器的配置：

enable

configt

lineconsole0

loggsy

exec-time00

exit

hostnameR1

interfaceFastEthernet0/0

ipaddress192.168.1.254255.255.255.0

noshut

interfaceFastEthernet0/0.1

encapsulationdot1Q2

ipaddress192.168.2.254255.255.255.0

noshut

interfaceFastEthernet0/0.3

encapsulationdot1Q3

ipaddress192.168.3.254255.255.255.0

noshut

交换机的配置：

enable

conft

lineconsole0

loggsy

exec-time00

exit

vlan2namevlan2

vlan3namevlan3

interfacerangefastEthernet0/1-5

switchportmodeaccess

switchportaccessvlan2

spanning-treeportfast

exit

interfacerangefastEthernet0/6-10

switchportmodeaccess

switchportaccessvlan3

spanning-treeportfast

exit

interfacefastEthernet0/24

switchportmodeturnk

exit

interfaceVlan1

ipaddress192.168.1.1255.255.255.0

noshut

exit

ipdefault-gateway192.168.1.254（不同网段要想能ping和访问必须为交换机配置网关）

所有网络设备和PC、服务器的联通性解决了，那么我们先从登入的密码身份认证开始试验。

登入cisco网络设备，常用的是通过console口直接连接，远程telnet，安全的远程SSH，以及web访问。

由于模拟器不支持Web，故本实验演示前面三种。

一、密码访问登入

Console：

lineconsole0

passwordxiaot

login

当你配置上这些命令的时候，你console口登入就会如下提示输入密码。

Password:

R1>

telnet：

linevty04（这表示从0-4，有五个用户可以同时登入）

passwordxiaot

login

enablepassword123（此密码必须配置，不然你就只能停留在用户模式）

测试在PC的CMD中telnet，效果如下图：

一、基于用户名密码认证：

Console：

usernamexiaotpasswordtang（这是本地用户名密码，你也可以采用AAA服务器，关于AAA服务器的见我的博客《PacketTracer　5.2基于AAA认证的EasyVPN实验》

linecon0

loginlocal

这是你从console登入，将会看到如下的提示：

Username:

xiaot

Password:

R1>

Telnet：

usernamexiaotpasswordtang

linevty04

loginlocal

enablepassword123

测试的效果图如下：

SSH登入：

hostnameR1

ipdomain-name

（这两条语句很关键，因为路由要以设备名称和这个域名为材料进行RSA算法，产生一对公私密钥对，客户机SSH登入时，路由器会将公钥发给客户机，客户机用公钥加密，路由器用私钥解密）

cryptokeygeneratersa

Thenameforthekeyswillbe:

R

Choosethesizeofthekeymodulusintherangeof360to2048foryour

GeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytake

afewminutes.

Howmanybitsinthemodulus[512]:

（产生密钥对的长度）

%Generating512bitRSAkeys,keyswillbenon-exportable...[OK]

*?

?

11:

35:

20.548:

%SSH-5-ENABLED:

SSH1.99hasbeenenabled（当出现这个提示的SSH服务也随之开启了！

）

linevty04

loginlocal

transportinputssh

enablepassword123

SSH的测试结果如下：

接下来，我们开始对网络的设备的IOS，及配置文件备份。

IOS的备份还原在我的博客一文中《PacketTracer　5.2之路由器IOS升级实验指南》有说明，还原的命令跟升级的是一样的。

那么备份的命令如下：

R1#showflash:

（先查看我们需要备份的IOS）

Systemflashdirectory:

FileLengthName/status

350938004c2800nm-advipservicesk9-mz.124-15.T1.bin

228282sigdef-category.xml

1227537sigdef-default.xml

[51193823bytesused,12822561available,64016384total]

63488KbytesofprocessorboardSystemflash（Read/Write）

R1#copyflash:

tftp:

（从路由器的FLASH中，将文件备份到tftp中）

Sourcefilename[]?

c2800nm-advipservicesk9-mz.124-15.T1.bin（原文件）

Addressornameofremotehost[]?

192.168.1.2（TFTP服务器地址）

Destinationfilename[c2800nm-advipservicesk9-mz.124-15.T1.bin]?

（存放名称，可以自己命名）

.!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

[OK-50938004bytes]

50938004bytescopiedin59.468secs（856000bytes/sec）

在TFTP服务器中，就可以看到你所备份好的IOS。

配置文件的备份，更IOS的备份的思路是一样的。

从路由器将startup-config或running-config备份到TFTP服务器上，还原的时候，要千万注意啊，startup-config还原了，是不需要在保存到路由器，而running-config还原了，必须要保存到启动配置文件中。

备份和还原命令如下：

R1#copyrunning-configtftp:

Addressornameofremotehost[]?

192.168.1.2

Destinationfilename[R1-confg]?

running-config（我命名为running-config，如果不命名这是R1-confg）

!

!

[OK-686bytes]

686bytescopiedin0.125secs（5000bytes/sec）

R1#copystartup-configtftp:

Addressornameofremotehost[]?

192.168.1.2

Destinationfilename[R1-confg]?

startup-config（我命名为startup-config，如果不命名这是R1-confg）

!

!

[OK-684bytes]

684bytescopiedin0.11secs（6000bytes/sec）

这时在TFTP服务器上的备份效果如如图：

还原的配置命令如下：

（以startup-config为例）

R1#copytftp:

flash:

Addressornameofremotehost[]?

192.168.1.2

Sourcefilename[]?

startup-config（服务器上的文件名）

Destinationfilename[startup-config]?

（还原到flash中名称，可以命名，建议默认）

Accessingtftp:

//192.168.1.2/startup-config...

Loadingstartup-configfrom192.168.1.2:

!

[OK-684bytes]

684bytescopiedin0.062secs（11032bytes/sec）

（注意：

还原running-config后，在使用copyrunning-configstartup-config或write保存。

）

最后，给大家演示的是路由器的密码恢复实验（由于模拟器不支持做交换机的密码恢复，故小T我在这给大家描述一下思路）。

在前面我说了，只要在cisco网络设备启动后，不让它加载startup-config文件就可以了。

路由器只要修改寄存值，如：

0x2102是默认的加载startup-config文件；0x2142是不加载startup-config文件的。

演示实验如下：

把电源关了再开一下，模拟器支持电源的开关（《【交流】浅谈PacketTracer　5.2模拟器》一文中有说明）。

在路由器重启的时候，出现“####”的时候按下Ctrl+Break键盘，加入路由器的ROM模式，修改寄存值，效果如下：

Selfdecompressingtheimage:

############

monitor:

command"boot"abortedduetouserinterrupt

rommon1>confreg0x2142

rommon2>boot

启动后就如见到如下信息，这个信息室询问式配置，我们选择“no”。

就进入到了路由器的命令行配置。

密码恢复思路是在这里修改密码，再讲当前的running-config保存到startup-config中，修改寄存值为默认加载的startup-config的。

Continuewithconfigurationdialog?

[yes/no]:

no

Router#copystartup-configrunning-config

R1（config）#enablepassword456

R1（config）#config-register0x2102

R1r#copyrunning-configstartup-config

R1#reload

这样就完成了密码恢复，telnet，ssh的密码，也在这里配置，后保存到startup-config，修改寄存值，最后重启。

交互机的密码恢复，小T我给大家描述下。

以cisco2950为例，在重启交换机的时候，按住交换机上的Modem键，然后操作命令先后顺序如下：

flash_init（初始化交换机）

loadhelper（加载帮助文件）

dirflash:

（查看flash中文件，你会看到config.text文件，这就是交换机的启动文件）

renameflash:

config.textflash:

config.old（重新命个名，这样交换机就不会加载启动文件了）

boot（启动交换机）

Continuewithconfigurationdialog?

[yes/no]:

no

Switch#renameflash:

config.oldflash:

config.text（将名字改回到启动文件）

Switch#copyflash:

config.textsystem:

running-config（讲启动文件加载到当前运行环境）

Switch（config）#enablepasswordxiaot

Switch#copyrunning-configstartup-config（修改后的密码保存到启动文件中）