本帖最后由 wuxiaohan 于 2010-12-25 01:24 编辑
今天Trouble Shooting的实验是 IOS-Services的排错,之前老师上课命令讲得不多,我就上网查了些资料,再根据老师上课时讲的一些东西,做了一点笔记,传上来分享一下,有不对的地方欢迎指正哈~~
SNMP配置:
在全局模式下
R2(config)#snmp-server community {name} ro // 配置本路由器的只读名字为{name}
R2(config)#snmp-server community {name} rw // 配置本路由器的读写名字为{name}
R2(config)#snmp-server enable traps //允许路由器将所有类型SNMP Trap发送出去
R2(config)#snmp-serverenable traps ? // 可以选择SNMP Trap 发送的类型
如当接口up/down时,要产生trap发到5.5.5.5:
R2(config)#snmp-serverenable traps snmp linkup linkdown
R2(config)#snmp-server host {IP-address-server} traps {name} //指定路由器SNMP Trap的接收者为{IP-address-server},发送Trap时采用{name}作为名字
R2(config)#snmp-server trap-source loopback0 // 将loopback接口的IP地址作为SNMP Trap的发送源地址
------------------------------华丽丽的分割线-----------------------------------------------
syslog配置:
1. 配置syslog时必配,将日志信息发送到指定服务器
R4(config)#logging on //启动log机制
R4(config)#logging {IP-address-server} //将log记录发送到{IP-address-server}
2. 配置syslog时选配,设置日志发送的属性
R4(config)#logging facility local7 //将记录事件类型定义为local7(或者其他类型local1, local2, local3等)
R4(config)#logging trap ? //指定需要发送到到syslog server 的信息级别
R4(config)#loggingsource-interface loopback0 //指定记录事件的发送源地址为loopback0的IP地址
R4(config)#service timestamps log datetime //发送记录事件的时候包含时间标记
-------------------------------------------------------------------------------------------------
3.关于logging facility命令
用于更改本地设备的标识,RFC3164 规定的本地设备标识为 local0 - local7
这个是对设备的重要性进行标识而已,跟日志本身没有关系.
syslog要考虑的主要是哪些日志需要发送到日志服务器上,即日志等级,使用如下命令:
device(config)#logging trap ? //日志记录级别,可用"?"查看详细内容
0 emergency—Logs only emergency events.
1 alert—Logs alert and more severeevents.
2 critical—Logs critical and more severeevents.
3 error—Logs error and more severeevents.
4 warning—Logs warning and more severeevents.
5 notice—Logs notice and more severeevents.
6 informational—Logs informational andmore severe events.
7 debug—Logs all events, including debugevents.
为了防止日志量太大,一般设置成warning就行了。
----------------------------------丑陋的分割线------------------------------------------------
cisco SSH使用AAA认证:
1.配置AAA认证,启用本地数据库认证
R1(config)#aaa new-model
R1(config)#aaa authentication login ? //可以启用默认的认证,也可以自己命名 WORD Named authentication list. default The default authentication list.
R1(config)#aaa authentication login SSH local //使用本地数据库认证
如果以自己命名的方式,则需要在vty里面添加配置:
aaa authentication login SSH line vty 0 4 login authentication SSH
2. 配置hostname和ip domain-name
Router#configure terminal
Router(config)#hostname R1 //配置ssh的时候路由器的名字不能为router
R1(config)#ip domain-name cisco.com //配置SSH必需
R1(config)#username cisco password 0 cisco //添加一个用户:cisco,口令:cisco
R1(config)#line vty 0 4
R1(config-line)#transport input ssh //只允许用SSH登录
3. 配置SSH服务:
R1(config)#crypto key generate rsa //生成密钥
The name for the keys will be: R1.cisco.com
注:SSH的关键字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minuts
How many bits in the modulus [512]: 注:选择加密位数,cisco推荐使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries:3
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
R1(config)#crypto key zeroize rsa
4.设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
R1(config)#ip ssh time-out ? <1-120> SSH time-out interval(secs)
R1(config)#ip ssh authentication-retries ? <0-5> Number of authentication retries
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。
5.从其他路由器用ssh登录:
R2#ssh -l cisco 12.1.1.1
Password:
R1>
注意:这里的cisco是R1上的username,登录的密码也是username所对应的密码cisco,这就是本地数据库的认证。
最后,如果从别的设备用ssh登录这台路由器会出现以下内容:
R2#ssh -l cisco 12.1.1.1
Password:
R1>en
% Error in authentication.
为什会出现以上内容?
因为在R1上没有配置enable password/secret xxxx
R1配置上enable 密码后:
那么在R1上:
R2#ssh -l cisco 12.1.1.1
Password:
R1>en Password: R1#
Ok实验完成!
最后,说一下今天下午的圣诞节活动~~  
不过有机会会调用录像看的。。哦哈哈哈哈~~
祝大家圣诞节快乐!~
| 
[复制链接]
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2010-12-25 01:16:28
提升卡
置顶卡
变色卡
显身卡
楼主
。。。
真棒老乡帅哥,继续加油~~~对了 歌唱的不错哦··嘿嘿