配置路由器實(shí)現(xiàn)多設(shè)備控制端口訪問
只需要一臺(tái)CISCO路由器加上異步模塊或是一臺(tái)具有內(nèi)建異步串口的路由器,你就可以在一個(gè)工作間或數(shù)據(jù)中心里面全面享受對(duì)一系列網(wǎng)絡(luò)設(shè)備的控制連接了?,F(xiàn)在讓我們來看看這些工作是如何進(jìn)行的,同時(shí)學(xué)習(xí)如何管理多個(gè)連接,并且看看一些你應(yīng)當(dāng)考慮的安全問題。
這樣的情形是否讓你感到很熟悉呢?你在家里利用防火墻、路由器和交換機(jī)進(jìn)行工作,但是無法去碰那些設(shè)備。最后你卻不得不開車到辦公室更新配置或者重新啟動(dòng)設(shè)備。
這樣如何?網(wǎng)絡(luò)崩潰了,你需要快速方便的訪問所有網(wǎng)絡(luò)設(shè)備的控制端口。你會(huì)發(fā)現(xiàn)你拿著筆記本電腦在機(jī)架設(shè)備之間跑來跑去,每次都連接到其中一臺(tái)設(shè)備的控制端口進(jìn)行配置。
然而,這里還有一種簡(jiǎn)單的方法可以避免這樣的麻煩。使用一臺(tái)CISCO路由器加上異步模塊,或是一臺(tái)具有內(nèi)建異步串口的路由器,你就可以在一個(gè)工作間或數(shù)據(jù)中心里面全面享受對(duì)一系列網(wǎng)絡(luò)設(shè)備的控制連接了。
我將從數(shù)據(jù)中心的網(wǎng)絡(luò)間里的一臺(tái)Cisco 2511路由器開始設(shè)置,毫無疑問,它在麻煩到來的日子里使我的生活變得更加簡(jiǎn)單。當(dāng)我需要連接到這些網(wǎng)絡(luò)設(shè)備的控制端口時(shí),我可以Telnet到控制臺(tái)服務(wù)器,然后再Telnet到我希望進(jìn)行連接的設(shè)備,或者直接Telnet到設(shè)備控制端口也行。
我更傾向于第一種選擇,因?yàn)槲液苌倌軌蛴涀∥倚枰苯覶elnet的設(shè)備端口號(hào)。在極少的網(wǎng)絡(luò)癱瘓的情形中,我可以直接連接到控制臺(tái)服務(wù)器的控制端口,然后從這里再訪問所有網(wǎng)絡(luò)設(shè)備的控制端口。
你并不一定需要使用2511路由器來完成這項(xiàng)工作。然而,一臺(tái)舊的2511路由器(Cisco已經(jīng)停止生產(chǎn)這種型號(hào)的設(shè)備)是你可以實(shí)現(xiàn)此目的的最為廉價(jià)設(shè)備。
如果你在工作中并沒有面對(duì)很大數(shù)量的設(shè)備,你還可以選擇2509路由器,該路由器擁有8個(gè)串行端口(二手Cisco 2509在eBay的平均成交價(jià)格在200$左右)。
你可以可以采用更加先進(jìn)的設(shè)備來完成相同的工作,包括2610、3620、3640或是3800系列路由器。有了這些設(shè)備,你還可以使用NM-16A 或NM-32A模式。NM-XXA模式提供了16或32口的異步端口模塊。
開始配置
我從一臺(tái)Cisco 2511路由器開始我的配置,使用其中一個(gè)異步串行端口連接到我的核心網(wǎng)絡(luò)交換機(jī)、路由器和防火墻的每一個(gè)端口(這些設(shè)備各自同樣需要具備串行控制口)。下一步,我按照以下的ip host命令對(duì)新的Cisco終端服務(wù)器進(jìn)行配置,以使對(duì)每個(gè)設(shè)備的連接變得簡(jiǎn)單一點(diǎn):
ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19
每一行命令的第三個(gè)部分包括了設(shè)備端口號(hào),最后兩個(gè)數(shù)字即指定端口號(hào)。例如,在第一臺(tái)路由器("internet")后面的2016就表示該路由器是在16號(hào)端口上。命令行的最后一部分則包括了控制臺(tái)服務(wù)器的以太網(wǎng)端口IP地址。
最精彩的地方在這里:通過創(chuàng)建這些名字,你不需要知道設(shè)備在哪個(gè)端口。你所要做的全部工作就是從控制臺(tái)服務(wù)器Telnet到主機(jī)。
你還可以從PC直接連到這一設(shè)備。例如,你可以從PC上Telnet到10.253.100.19 2016。該命令指定Telnet客戶端連接到2016端口而非默認(rèn)Telnet端口23。
列表A可以查看我的配置實(shí)例。
ciscotermserver#sh run
Building configuration...
Current configuration : 2656 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ciscots
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
!
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX
no aaa new-model
ip subnet-zero
no ip domain lookup
ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19
ip host pix 2012 10.253.100.19
ip host gig_switch2 2006 10.253.100.19
ip host dbunbii 2003 10.253.100.19
ip host up_switch1 2004 10.253.100.19
ip host gig_switch1 2005 10.253.100.19
ip host core 2002 10.253.100.19
ip host ras 2011 10.253.100.19
ip host router8 2009 10.253.100.19
ip host up_stack1 2007 10.253.100.19
!
!
!
!
interface Ethernet0
ip address 10.253.100.19 255.255.0.0
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
no ip http server
no ip classless
!
!
!
!
line con 0
line 1
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 2
session-timeout 30
location CORE
exec-timeout 0 0
no exec
transport input telnet
line 3
session-timeout 30
location DBUNBII
exec-timeout 0 0
no exec
transport input telnet
line 4
session-timeout 30
location UP_SWITCH1
exec-timeout 0 0
no exec
transport input telnet
line 5
session-timeout 30
location GIG_Switch4
exec-timeout 0 0
no exec
transport input telnet
line 6
session-timeout 30
location GIG_SWITCH2
exec-timeout 0 0
no exec
transport input telnet
line 7
session-timeout 30
location UP_STACK1
exec-timeout 0 0
no exec
transport input telnet
line 8
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 9
session-timeout 30
location ROUTER8
exec-timeout 0 0
no exec
transport input telnet
line 10
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 11
session-timeout 30
location RAS
exec-timeout 0 0
no exec
transport input telnet
speed 38400
line 12
session-timeout 30
location PIX
exec-timeout 0 0
no exec
transport input telnet
line 13
session-timeout 30
location DMZ_SWITCH
exec-timeout 0 0
no exec
transport input telnet
line 14
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 15
session-timeout 30
location GIG_SWITCH3
exec-timeout 0 0
no exec
transport input telnet
line 16
session-timeout 30
location INTERNET
exec-timeout 0 0
no exec
transport input telnet
line aux 0
line vty 0 4
exec-timeout 60 0
login local
!
end
ciscotermserver#
管理多個(gè)連接
在Telnet到控制臺(tái)服務(wù)器并連接到這些設(shè)備后,你需要知道如何才能在同一時(shí)間對(duì)多個(gè)連接進(jìn)行管理。這有助于你更為方便的對(duì)設(shè)備配置進(jìn)行比較以及排障。
按照如下步驟進(jìn)行操作:
1、在命令行中輸入主機(jī)名稱,即使用一個(gè)IP主機(jī)Telnet到你已經(jīng)配置過的設(shè)備上。這是1號(hào)連接。
2、在沒有斷開連接的情況下回到命令行,按下[Ctrl]+[Shift]+6,然后按下x。這將顯示控制臺(tái)服務(wù)器提示符。
3、在這里,你就可以通過從ip主機(jī)列表中鍵入其主機(jī)名稱來Telnet到另一設(shè)備。這是2號(hào)連接。
4、一旦連接到了該路由器,再次按下[Ctrl]+[Shift]+6,還有x。這將返回到控制臺(tái)提示符。
5、輸入show sessions。該命令將列出你的當(dāng)前會(huì)話。例如,你有了兩個(gè)會(huì)話:一個(gè)到第一臺(tái)路由器,一個(gè)到第二臺(tái)。如果要取消其中某個(gè)會(huì)話,你可以輸入disconnect X,其中X即為連接號(hào)碼(例如1或2)。
6、要轉(zhuǎn)到某個(gè)會(huì)話,輸入session number(同樣,1或2)即可。如果在空命令行中直接回車也可以把你帶回到上一個(gè)session。
注意:當(dāng)你嘗試在ip host命令中輸入所賦予名稱來回到已有的一個(gè)會(huì)話中,系統(tǒng)將返回"Connection refused by remote host.", 這表明要么你已經(jīng)有了一個(gè)連接,要么有其他人已經(jīng)連接到控制端口上了。
平衡易用性和安全性
需要牢記,安全性和易用性始終是一對(duì)矛盾。就像對(duì)機(jī)場(chǎng)而言,越安全,則會(huì)讓你感到越不方便。因此在二者之間進(jìn)行平衡以滿足企業(yè)需要非常重要。
有時(shí)你會(huì)把所有的雞蛋放在一個(gè)籃子里面——在這樣的情況下,所有到核心網(wǎng)絡(luò)設(shè)備的訪問都是連接到相同的控制臺(tái)服務(wù)器上的——這時(shí)安全是頭等大事。你應(yīng)當(dāng)始終為所有網(wǎng)絡(luò)設(shè)備設(shè)置控制臺(tái)密碼。如果入侵者獲取了控制臺(tái)服務(wù)器的訪問權(quán)限,他將僅僅能夠訪問沒有設(shè)置控制臺(tái)認(rèn)證的設(shè)備。
此外,你還應(yīng)當(dāng)對(duì)這些服務(wù)器的控制端口設(shè)置超時(shí)。這樣一來如果連接斷開,那么控制臺(tái)將會(huì)在幾秒中內(nèi)注銷登錄信息。
或許你在考慮如果網(wǎng)絡(luò)崩潰了你如何才能Telnet到控制臺(tái)服務(wù)器,這的確是應(yīng)該想到的。你可以在控制臺(tái)服務(wù)器安裝一個(gè)撥號(hào)調(diào)制解調(diào)器,在最壞的情況下通過這一設(shè)備遠(yuǎn)程撥號(hào)到控制臺(tái)服務(wù)器上。另一方面,全世界的安全管理專家都會(huì)譴責(zé)這一解決方案。因?yàn)楸M管它或許很方便,但它使得你的核心網(wǎng)絡(luò)設(shè)備對(duì)全世界所有的撥號(hào)黑客們大開城門。
最后,需要記住在網(wǎng)絡(luò)上的任何Telnet通信都是沒有加密的。因此,在本例中我們?cè)诰W(wǎng)絡(luò)上所傳輸?shù)暮诵木W(wǎng)絡(luò)設(shè)備用戶名和密碼都是明文。但你可以使用SSH而非Telnet來完成相同的工作。同時(shí)還要強(qiáng)調(diào)一次,你需要根據(jù)企業(yè)的具體需要來在易用性和安全性之間找出一個(gè)平衡點(diǎn)。
文章錄入:csh 責(zé)任編輯:csh相關(guān)文章
思科MDS與McDATA存儲(chǔ)局域網(wǎng)交換機(jī)并肩戰(zhàn)斗
思科MDS與McDATA存儲(chǔ)局域網(wǎng)交換機(jī)并肩戰(zhàn)斗...2007-09-09世界杯用Windows Media編碼器建網(wǎng)絡(luò)電視直播站
世界杯用Windows Media編碼器建網(wǎng)絡(luò)電視直播站...2007-09-09WinXP故障恢復(fù)控制臺(tái)完全指引正文分析錯(cuò)誤
WinXP故障恢復(fù)控制臺(tái)完全指引正文分析錯(cuò)誤...2007-09-09Windows 2003中輕松實(shí)現(xiàn)紅外線通信支持正文分析錯(cuò)誤
Windows 2003中輕松實(shí)現(xiàn)紅外線通信支持正文分析錯(cuò)誤...2007-09-09