只需要一臺(tái)CISCO路由器加上異步模塊或是一臺(tái)具有內(nèi)建異步串口的路由器，你就可以在一個(gè)工作間或數(shù)據(jù)中心里面全面享受對(duì)一系列網(wǎng)絡(luò)設(shè)備的控制連接了?，F(xiàn)在讓我們來看看這些工作是如何進(jìn)行的，同時(shí)學(xué)習(xí)如何管理多個(gè)連接，并且看看一些你應(yīng)當(dāng)考慮的安全問題。 
 

這樣的情形是否讓你感到很熟悉呢？你在家里利用防火墻、路由器和交換機(jī)進(jìn)行工作，但是無法去碰那些設(shè)備。最后你卻不得不開車到辦公室更新配置或者重新啟動(dòng)設(shè)備。

這樣如何？網(wǎng)絡(luò)崩潰了，你需要快速方便的訪問所有網(wǎng)絡(luò)設(shè)備的控制端口。你會(huì)發(fā)現(xiàn)你拿著筆記本電腦在機(jī)架設(shè)備之間跑來跑去，每次都連接到其中一臺(tái)設(shè)備的控制端口進(jìn)行配置。

然而，這里還有一種簡(jiǎn)單的方法可以避免這樣的麻煩。使用一臺(tái)CISCO路由器加上異步模塊，或是一臺(tái)具有內(nèi)建異步串口的路由器，你就可以在一個(gè)工作間或數(shù)據(jù)中心里面全面享受對(duì)一系列網(wǎng)絡(luò)設(shè)備的控制連接了。

我將從數(shù)據(jù)中心的網(wǎng)絡(luò)間里的一臺(tái)Cisco 2511路由器開始設(shè)置，毫無疑問，它在麻煩到來的日子里使我的生活變得更加簡(jiǎn)單。當(dāng)我需要連接到這些網(wǎng)絡(luò)設(shè)備的控制端口時(shí)，我可以Telnet到控制臺(tái)服務(wù)器，然后再Telnet到我希望進(jìn)行連接的設(shè)備，或者直接Telnet到設(shè)備控制端口也行。

我更傾向于第一種選擇，因?yàn)槲液苌倌軌蛴涀∥倚枰苯覶elnet的設(shè)備端口號(hào)。在極少的網(wǎng)絡(luò)癱瘓的情形中，我可以直接連接到控制臺(tái)服務(wù)器的控制端口，然后從這里再訪問所有網(wǎng)絡(luò)設(shè)備的控制端口。

你并不一定需要使用2511路由器來完成這項(xiàng)工作。然而，一臺(tái)舊的2511路由器（Cisco已經(jīng)停止生產(chǎn)這種型號(hào)的設(shè)備）是你可以實(shí)現(xiàn)此目的的最為廉價(jià)設(shè)備。

如果你在工作中并沒有面對(duì)很大數(shù)量的設(shè)備，你還可以選擇2509路由器，該路由器擁有8個(gè)串行端口（二手Cisco 2509在eBay的平均成交價(jià)格在200$左右）。

你可以可以采用更加先進(jìn)的設(shè)備來完成相同的工作，包括2610、3620、3640或是3800系列路由器。有了這些設(shè)備，你還可以使用NM-16A 或NM-32A模式。NM-XXA模式提供了16或32口的異步端口模塊。

開始配置
我從一臺(tái)Cisco 2511路由器開始我的配置，使用其中一個(gè)異步串行端口連接到我的核心網(wǎng)絡(luò)交換機(jī)、路由器和防火墻的每一個(gè)端口（這些設(shè)備各自同樣需要具備串行控制口）。下一步，我按照以下的ip host命令對(duì)新的Cisco終端服務(wù)器進(jìn)行配置，以使對(duì)每個(gè)設(shè)備的連接變得簡(jiǎn)單一點(diǎn)：

ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19

每一行命令的第三個(gè)部分包括了設(shè)備端口號(hào)，最后兩個(gè)數(shù)字即指定端口號(hào)。例如，在第一臺(tái)路由器（"internet"）后面的2016就表示該路由器是在16號(hào)端口上。命令行的最后一部分則包括了控制臺(tái)服務(wù)器的以太網(wǎng)端口IP地址。

最精彩的地方在這里：通過創(chuàng)建這些名字，你不需要知道設(shè)備在哪個(gè)端口。你所要做的全部工作就是從控制臺(tái)服務(wù)器Telnet到主機(jī)。

你還可以從PC直接連到這一設(shè)備。例如，你可以從PC上Telnet到10.253.100.19 2016。該命令指定Telnet客戶端連接到2016端口而非默認(rèn)Telnet端口23。

列表A可以查看我的配置實(shí)例。

 ciscotermserver#sh run
Building configuration...

Current configuration : 2656 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ciscots
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
!
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX
no aaa new-model
ip subnet-zero
no ip domain lookup
ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19
ip host pix 2012 10.253.100.19
ip host gig_switch2 2006 10.253.100.19
ip host dbunbii 2003 10.253.100.19
ip host up_switch1 2004 10.253.100.19
ip host gig_switch1 2005 10.253.100.19
ip host core 2002 10.253.100.19
ip host ras 2011 10.253.100.19
ip host router8 2009 10.253.100.19
ip host up_stack1 2007 10.253.100.19
!
!
!
!
interface Ethernet0
ip address 10.253.100.19 255.255.0.0
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
no ip http server
no ip classless
!
!
!
!
line con 0
line 1
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 2
session-timeout 30
location CORE
exec-timeout 0 0
no exec
transport input telnet
line 3
session-timeout 30
location DBUNBII
exec-timeout 0 0
no exec
transport input telnet
line 4
session-timeout 30
location UP_SWITCH1
exec-timeout 0 0
no exec
transport input telnet
line 5
session-timeout 30
location GIG_Switch4
exec-timeout 0 0
no exec
transport input telnet
line 6
session-timeout 30
location GIG_SWITCH2
exec-timeout 0 0
no exec
transport input telnet
line 7
session-timeout 30
location UP_STACK1
exec-timeout 0 0
no exec
transport input telnet
line 8
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 9
session-timeout 30
location ROUTER8
exec-timeout 0 0
no exec
transport input telnet
line 10
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 11
session-timeout 30
location RAS
exec-timeout 0 0
no exec
transport input telnet
speed 38400
line 12
session-timeout 30
location PIX
exec-timeout 0 0
no exec
transport input telnet
line 13
session-timeout 30
location DMZ_SWITCH
exec-timeout 0 0
no exec
transport input telnet
line 14
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 15
session-timeout 30
location GIG_SWITCH3
exec-timeout 0 0
no exec
transport input telnet
line 16
session-timeout 30
location INTERNET
exec-timeout 0 0
no exec
transport input telnet
line aux 0
line vty 0 4
exec-timeout 60 0
login local
!
end

ciscotermserver#

管理多個(gè)連接
在Telnet到控制臺(tái)服務(wù)器并連接到這些設(shè)備后，你需要知道如何才能在同一時(shí)間對(duì)多個(gè)連接進(jìn)行管理。這有助于你更為方便的對(duì)設(shè)備配置進(jìn)行比較以及排障。

按照如下步驟進(jìn)行操作：

1、在命令行中輸入主機(jī)名稱，即使用一個(gè)IP主機(jī)Telnet到你已經(jīng)配置過的設(shè)備上。這是1號(hào)連接。

2、在沒有斷開連接的情況下回到命令行，按下[Ctrl]＋[Shift]＋6，然后按下x。這將顯示控制臺(tái)服務(wù)器提示符。

3、在這里，你就可以通過從ip主機(jī)列表中鍵入其主機(jī)名稱來Telnet到另一設(shè)備。這是2號(hào)連接。

4、一旦連接到了該路由器，再次按下[Ctrl]＋[Shift]＋6，還有x。這將返回到控制臺(tái)提示符。

5、輸入show sessions。該命令將列出你的當(dāng)前會(huì)話。例如，你有了兩個(gè)會(huì)話：一個(gè)到第一臺(tái)路由器，一個(gè)到第二臺(tái)。如果要取消其中某個(gè)會(huì)話，你可以輸入disconnect X，其中X即為連接號(hào)碼（例如1或2）。

6、要轉(zhuǎn)到某個(gè)會(huì)話，輸入session number（同樣，1或2）即可。如果在空命令行中直接回車也可以把你帶回到上一個(gè)session。

注意：當(dāng)你嘗試在ip host命令中輸入所賦予名稱來回到已有的一個(gè)會(huì)話中，系統(tǒng)將返回"Connection refused by remote host."， 這表明要么你已經(jīng)有了一個(gè)連接，要么有其他人已經(jīng)連接到控制端口上了。

平衡易用性和安全性
需要牢記，安全性和易用性始終是一對(duì)矛盾。就像對(duì)機(jī)場(chǎng)而言，越安全，則會(huì)讓你感到越不方便。因此在二者之間進(jìn)行平衡以滿足企業(yè)需要非常重要。

有時(shí)你會(huì)把所有的雞蛋放在一個(gè)籃子里面——在這樣的情況下，所有到核心網(wǎng)絡(luò)設(shè)備的訪問都是連接到相同的控制臺(tái)服務(wù)器上的——這時(shí)安全是頭等大事。你應(yīng)當(dāng)始終為所有網(wǎng)絡(luò)設(shè)備設(shè)置控制臺(tái)密碼。如果入侵者獲取了控制臺(tái)服務(wù)器的訪問權(quán)限，他將僅僅能夠訪問沒有設(shè)置控制臺(tái)認(rèn)證的設(shè)備。

此外，你還應(yīng)當(dāng)對(duì)這些服務(wù)器的控制端口設(shè)置超時(shí)。這樣一來如果連接斷開，那么控制臺(tái)將會(huì)在幾秒中內(nèi)注銷登錄信息。

或許你在考慮如果網(wǎng)絡(luò)崩潰了你如何才能Telnet到控制臺(tái)服務(wù)器，這的確是應(yīng)該想到的。你可以在控制臺(tái)服務(wù)器安裝一個(gè)撥號(hào)調(diào)制解調(diào)器，在最壞的情況下通過這一設(shè)備遠(yuǎn)程撥號(hào)到控制臺(tái)服務(wù)器上。另一方面，全世界的安全管理專家都會(huì)譴責(zé)這一解決方案。因?yàn)楸M管它或許很方便，但它使得你的核心網(wǎng)絡(luò)設(shè)備對(duì)全世界所有的撥號(hào)黑客們大開城門。

最后，需要記住在網(wǎng)絡(luò)上的任何Telnet通信都是沒有加密的。因此，在本例中我們?cè)诰W(wǎng)絡(luò)上所傳輸?shù)暮诵木W(wǎng)絡(luò)設(shè)備用戶名和密碼都是明文。但你可以使用SSH而非Telnet來完成相同的工作。同時(shí)還要強(qiáng)調(diào)一次，你需要根據(jù)企業(yè)的具體需要來在易用性和安全性之間找出一個(gè)平衡點(diǎn)。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論