任务1.3 管理网络设备
【任务描述】
在对七彩数码集团网络的实施过程中,需要对组网的各种网络设备进行管理,包括:了解IOS的命名规则及查看IOS、远程登录功能的配置、CDP的管理、配置主机名解析、使用ping命令和traceroute命令进行网络连通性测试等。
【任务分析】
作为网建公司的网络设计和部署项目组成员,要完成本任务的工作,需要具备关于路由器管理的以下相关能力。
➢ 了解IOS文件的命名规则。
➢ 理解远程登录的作用及配置方法。
➢ 理解CDP的作用。
➢ 了解配置主机名解析的作用与配置方法。
➢ 掌握连通性测试的方法。
【知识储备】
12 IOS管理
1.3.1 了解IOS
管理IOS主要包括:IOS文件的命名规则、备份与恢复IOS、备份与恢复配置、远程登录、CDP、配置主机名解析和Debug的使用等。
1.IOS文件的命名规则
Cisco的IOS文件有其专门的命名规则,通过IOS文件名就可以知道此IOS的运行平台、特性、运行位置、压缩方式及软件版本等。例如,路由器的IOS名为c7200-js-mz.123-5.bin,其中:
1)硬件平台为c7200,表示此IOS文件是运行在7200系列路由器上的。
2)特性集为js,其中j表示运用于企业,s是增强版的意思,因此js就表示此IOS是企业增强版。部分特性集代码见表1-11。
表1-11 IOS的部分特性集代码
3)运行位置为m,表示此IOS是在RAM中运行的。运行位置代码见表1-12。
表1-12 IOS运行位置代码
4)压缩方式为z,表示此IOS文件是以ZIP方式压缩的,在运行之前,必须先解压缩。压缩方式代码见表1-13。
表1-13 IOS压缩方式代码
5)版本号为123-5,表示其主版本号为12.3,已维护了5次。
当Cisco发布了某个主版本的IOS以后,会对它进行维护,修正其中的bug,每修正一次,其维护版本号加1。例如c2600-is-l.121-16.bin代表主版本号为12.1,维护了16次。当一个主版本的IOS发布一段时候后,Cisco会推出基于该主版本的下一版本IOS的测试版,IOS名字后面会加上“T”字,例如c2600-is-l.122-16.T16.bin,当正式发布的时候,它将成为12.3版本。
6)“.bin”表示这是一个二进制的IOS文件。
2.查看IOS
使用下面两个命令都可以查看路由器的IOS文件。
(1)show flash命令
在前面提到过,路由器的IOS文件是保存在闪存中的,通过执行show flash命令,就可以查看到保存在闪存中的所有IOS文件。为什么说是所有的?因为有的路由器闪存容量可能较大,可以存储多个IOS,但这种情况一般比较少见。使用show flash命令的输出情况如下所示。
可见,有一个IOS在闪存中,IOS文件名为c2600-i-mz.122-28.bin,还剩余58MB左右的空间,Flash的总容量为64MB。
这个命令也可以在用户模式下运行。
(2)show version命令
此命令可用于查看路由器正在使用的IOS文件。使用show flash命令可以看到保存在Flash内的所有IOS文件,如果有多个IOS文件而不能确定当前正在运行的IOS文件是哪一个,使用show version命令可查看正在运行的IOS文件,输出情况如下所示。
其中,❶处是系统的IOS映像文件及存储的位置:IOS文件存储在闪存中,文件名是c2600-i-mz.122-28.bin;❷处是当前路由器的端口,有两个快速以太网端口;❸处是寄存器的配置值0x2102,这属于正常使用时的值。
1.3.2 远程登录
所谓远程登录,就是指网管人员不必亲临现场,只要能够ping通这个网络设备,就能够对这个设备进行远程配置。
前面讲过,当路由器(或交换机)没有配置IP地址时,只能通过CONSOLE端口接入计算机,通过终端软件来进行初始配置。但是,在实际的网络工程中,在对网络进行后期的维护时,可能需要对网络设备的配置进行修改,试想一下:在北京的网络管理员想要对上海分公司的路由器进行远程配置,亲自到上海去明显不方便;另外,在一个网络中心机房中,各种网络设备的放置情况很可能不方便维护人员直接将CONSOLE线缆接到相应的设备上进行配置。在这些情况下,都需要采用远程配置的方式来解决。
要使远程主机能通过网络远程登录到网络中的网络设备,需要对此网络设备进行登录前的配置,包括使能口令、在线路模式下的登录口令。
下面以图1-24所示的拓扑为例,讲解远程登录的配置方法。
在路由器上的配置过程如下。
图1-24 远程登录
其中,❶处enable password abc命令的功能是配置使能口令为abc。要使PC能远程登录R1,必须配置此口令,因为在登录时从用户模式进入特权模式要求输入一个使能口令,如果此处没有配置,那只能登录到R1的用户模式,用户模式下基本不能对R1进行需要的远程配置。❷处是进入虚拟终端的线路模式的命令。其中,line表示进入某种线路模式,如line console 0表示进入控制台端口线路模式;vty表示虚拟终端,vty是Cisco在其网络设备上设置的逻辑线路,用于远程登录时管理连接;“04”表示从0~4一共5条虚拟线路可同时登录到此设备。❸处“password xyz”命令是配置远程登录时的口令为xyz。
再来看在PC上进行远程登录的操作过程,如图1-25所示。
图1-25 在PC上进行远程登录
配置远程登录时需注意以下两个方面。
1)如果没有配置vty线路口令,那么会出现如下提示。
在输入“telnet 192.168.1.1”后,会产生错误提示“[Connection to 192.168.1.1 closed by foreign host]”。可见,如果没有配置vty线路口令,是不能远程登录的。
2)如果在R1的配置过程中没有配置特权口令(enable password ccna),则会出现如下提示。
其中,❶处表示在输入“telnet 192.168.1.1”之后,提示输入vty线路口令,如果配置了vty线路口令,在正确输入之后,就可以进入用户模式了;❷处表示在用户模式执行enable命令进入特权模式,提示没有设置口令,不能进入。因此,一定要在R1的配置过程中为R1配置一个可以进入特权模式的使能口令。
如果要关闭远程登录,可执行exit命令进行关闭。
1.3.3 CDP
13 管理IOS的操作
思科发现协议(Cisco Discover Protocol,CDP)是一个思科专有的数据链路层协议,思科的路由器与交换机都支持此协议。CDP可以用来发现直接相连设备的信息。需要注意的是,这里的“直接相连”是指两台设备用线缆直接相连,思科设备不转发CDP邻居信息。
在图1-26中,交换机Switch不向R2转发来自R3的CDP邻居信息,R1不能收到来自Switch和R3的邻居CDP信息。CDP是一个二层协议,相邻设备间发送CDP信息是不需要使用IP地址的。
图1-26 CDP拓扑
1.禁止与启用CDP
Cisco设备上的CDP在默认状态下是开启的,每60s以组播的方式自动生成一次更新通告。但在实际工程中,用户可能需要禁止它们对外发布CDP信息,因为CDP更新信息会对用户正在进行的配置造成一定的干扰。禁止CDP显示的命令如下所示。
其中,❶处是在全局配置模式下使用no cdp run命令禁用CDP,这将会使此设备的所有端口都不向外发送CDP更新信息;❷处是在某个端口下使用no cdp enable命令禁用CDP,这样只能禁止f0/1端口不向外发送CDP信息。
注意:在全局模式下用“run”,在端口模式下用“enable”。在一个企业网的边界路由器上需要禁用CDP,因为此路由器是连接到Internet的,所以应该将与Internet相连接的端口的CDP禁用了。
如果在进行故障排除时需要知道与此设备相连接的对端设备的情况,就要启用CDP,将❶和❷两个命令前的“no”去掉即可。
2.查看CDP邻居信息
由于CDP属于数据链路层协议,因此可以不在设备上配置IP地址也能收到CDP邻居信息。查看与路由器R2相连的CDP邻居信息的命令如下。
其中,❶处是查看CDP邻居信息的命令。❷处提示没有运行CDP,这是因为前面对路由器R2禁用了CDP。❸和❹处是分别在全局模式和端口模式下开启CDP。❺处是重新查看CDP邻居信息。❻处显示所看到的邻居信息内容。其中,Device ID表示设备的名称(主机名),这里一个是R1,一个是Switch;Local Intrfce显示本设备上的哪一个接口与邻居相连接,这里是R2上的两个接口,f0/0与Switch相连,f0/1与R1相连;Holdtme表示抑制计时器,最长时间是180s,这里的数字表示最多多长时间内没收到CDP消息更新,将不再保存此邻居的CDP信息;Capability表示从什么类别的设备上接收到此CDP信息,这里的S表示交换机,R表示路由器;Platform表示平台,指与R2相连接的硬件平台;Port ID指与R2相连接的对端设备的端口类别,一个是交换机的f0/2端口,另一个是路由器R1的f0/1端口。
3.显示详细的CDP信息
在进行网络故障排除时,可能需要更详细的邻居信息,例如需要显示邻居的三层IP地址。这时,可以使用show cdp neighbors detail命令。
1.3.4 配置主机名解析
在互联网上,对一个站点的访问通常是输入一串字符,这串字符被称为域名,通过网络中的DNS服务器将之转换成IP地址。类似的,Cisco网络设备也支持以名称的方式进行访问。
例如在前面使用telnet命令时,就可以使用主机名来代替IP地址。解析主机名与IP地址的方式有两种:静态解析和动态解析。
静态解析的配置语法如下所示。
其中,“ip host”为命令关键字,“对端主机名”和后面的“IP地址n”是一种对应关系,通过静态地指定某个主机名和IP地址的对应关系之后,要访问某个IP地址就可以直接输入主机名,而不用输IP地址了。后面的IP地址个数最多为8个。
以图1-27为例说明如下。
图1-27 配置主机名解析
以telnet为例,在R1上的配置过程如下。
在R2的配置过程如下。
其中,❶处是在路由器R2上创建一个静态解析表,利用此表,如果需要远程登录到路由器R1,就可以输入“telnet R1”。
其中,在❶处输入的名字“R1”与对端路由器名R1没有必然联系,在这里配置为“R1”只是为了帮助记忆,也可以换成其他字符,如“ABC”等,只是在进行远程登录时,需要输入“telnet ABC”;❷处输入口令“bbbb”即可远程登录到路由器R1;❸处输入口令“aaaa”可进入路由器R1的特权模式。
1.3.5 连通性测试
CDP可以用于检验数据链路层是否正常运行,但是,它只能发现邻居的信息,并且只能在Cisco设备间使用,不能用于测试网络层上的问题。
在网络组建的测试中,判断一个网络是否具有传递数据的能力,应该看这个网络在网络层上能否连通。在Cisco设备中,主要使用两个命令来测试网络层的连通性:一个是ping命令,另一个是traceroute命令。这两个命令是用ICMP(Internet Control Message Protocol,因特网控制消息协议)来完成消息传递工作的。
1.ping命令的使用
14 ping命令的使用
ping命令使用ICMP的两个消息来测试目的主机是否可达:一个消息是回送请求——Echo Request,这是源主机向目的主机发送的ICMP消息;另一个消息是回送应答——Echo Reply,这是目的主机对源主机的应答消息。下面举例说明ping命令的使用方法。
以图1-28所示为例,来说明ping命令的使用过程。
图1-28 ping命令的使用过程
假设现在从PC1到PC2的网络不通了,需要测试从计算机PC1到PC2的连通性,具体步骤如下所示。
第1步:TCP/IP安装情况检查。进入Windows的命令提示符(CDM)下,输入命令“C:\ping 127.0.0.1”,如果出现“Reply from 127.0.0.1:bytes=32 time<1ms TTL=128”,则表明本机协议安装正常,可进入下一步操作,否则,须重新检查或安装TCP/IP。
第2步:ping本机的IP地址。该操作用于测试本机的IP地址是否正确配置。在CMD下输入“C:\ping 192.168.2.2”,如果显示“Reply from 192.168.2.2:bytes=32 time<1ms TTL=128”,则表明IP地址配置正确。
第3步:ping网关。PC1的网关地址就是路由器R1的F0/1端口的IP地址。
其中,❶处是ping PC1的网关地址192.168.2.1的命令。❷处的提示是从目的主机返回的ICMP消息,表示已经ping通。IP地址192.168.2.1是网关地址,应答消息从此端口返回。bytes=32是发送的字节数,time指返回消息所花时间,其数值越小,表示速度越快,TTL是生存时间,下面会给出对它的详细分析。❸处,“Packets:Sent=4”表明发送了4个测试数据包,“Received=4”表示对端(指作为网关的F0/1端口)接收到4个数据包,“Lost=0 (0%loss)”表示丢包数为0,丢包率为0。
如果PC1在ping网关IP地址192.168.2.1时,产生如下所示的结果。
其中,❶处的提示“Request timed out.”表示请求超时;❷处提示“Packets:Sent=4”表示发送了4个测试数据包,“Received=0”表示对端没有接收到数据包,“Lost=4”表示丢了4个数据包,丢包率为100%。
此时就需要检查PC1网卡上的IP地址的设置是否与路由器f0/1端口在同一个网段内,以及路由器F0/1端口是否开启。
在PC1上,在CMD模式下,用ipconfig/all命令查看IP地址;在路由器上,用show run或show int f0/1命令查看其端口上配置的IP地址,也就是看是否按预先设计的拓扑图进行了IP地址的配置。
第4步:从PC1 ping外部IP地址。在本例中,先ping路由器R2的F0/0端口,再ping R2的F0/1端口,最后再ping PC2的IP地址。
如果PC1 ping路由器R2的f0/0端口不通,此时问题应该出现在R1与R2的连通性上,可能是通信线路问题、端口未启用、IP地址配置问题或路由协议配置问题等,这就需要查看或修改R1和R2两台路由器的配置了。
第5步:路由器之间的ping。使用ping命令的主要目的就是测试网络的连通性,查找网络故障。在工作中,也经常需要从一台路由器ping另一台路由器进行测试,如从R1去ping R2:
❶处的是5个“!”表示已ping通。如果从R1去ping R2:
❶处的5个“.”表示ping失败。
另外,ping的显示结果还有如下这种情况。
❶处所显示的是在ping包回复过程中,网络链路中有拥塞使得ping消息产生了超时。
前面讲的是ping命令的基本使用方法,Cisco的网络设备IOS还支持扩展的ping命令,扩展ping命令具有更多的可选项。例如,可以设置ping使用协议;设置回送请求数量,默认为5(也就是常看到的5个“!”),可以输入其他数字;设置ping分组有多少个字节,默认100Byte,可以输入其他数字;设置输入超时时长,即发生超时时需要等待的时间长度,默认为2s,可以输入其他数字;设置输入源IP地址,即使用哪个端口去ping对端的端口等等。
使用扩展ping命令,通过设置ping包的个数和每个ping包的大小来观察是否有数据包丢失以及应答时间等,扩展ping命令可以用于检测一条线路的性能。
最后来分析生存时间(TTL),从PC1 ping路由器R2的F0/0端口IP地址192.168.1.1。
TTL指定数据报被路由器丢弃之前允许通过的网段数量,“TTL=254”表示允许通过254个网段。注意,前面ping地址192.168.1.1时,TTL=255。用户可根据TTL值来判断对端是的系统类型,如是路由器或UNIX系统,则255是最大值,如果对端是与PC1直接相连的路由器,则TTL的值就是255。这里❶处ping路由器R2上的端口,则从❷处可见TTL从最大值255减1,表示经过了一个网段,还允许经过254个网段。❸处显示25%的丢包率,这是因为在❷处的第一个数据包超时。为什么会产生超时呢?因为在发送第1个ping包时,PC的网卡需要学习目的IP所地址对应的MAC地址以封装数据包,这样会超过ping包的时间限制,导致第1个ping包无回复,显示为丢包,在MAC地址学习完成以后,后面的数据包就可以正常发送了。
从PC1 ping PC2的IP地址192.168.3.2的过程如下。
当ping的对端是Windows系统时,TTL的最大值为128。❶处表示ping的对端是PC2的IP地址;❷处显示TTL的值为126,表示对端系统为Windows系统(这里为什么不是125呢?因为Windows系统间ping的跳数计算默认至少是两跳)。
2.traceroute命令的使用
15 traceroute命令的使用
ping命令是用于测试从源端到目的端的连通性问题,但如果有连通性问题,ping命令却不能说明什么地方出了问题。traceroute命令是用于检测网络路径上某个路由器故障的,它是一个正确理解IP网络、路由原理、网络工程技术及系统管理的重要命令。traceroute命令通过列出网络路径中的每台路由器来反映网络层的连通性问题。
以图1-29所示为例来说明traceroute命令的使用过程。
在路由器或UNIX操作系统中,其命令格式为“traceroute目的IP地址”;而在Windows操作系统中,其命令格式为“tracert目的IP地址”。
根据图1-29所示,先来看在R1中使用traceroute命令的过程。
图1-29 traceroute命令的使用过程
其中,❶处是从路由器R1发出到PC1的测试命令,在这里输入的是PC1的IP地址,如果想要跟踪到达互联网上某个网站的路由信息,则应该在traceroute后面输入该网站的域名地址。例如要跟踪到达www.163.com网站的路由信息,应输入“traceroute www.163.com”(此命令也可以在用户模式下使用)。如果是从PC1上发出到R1的测试命令,则命令应为“tracert 192.168.1.1”。❷处表示从路由器R1到PC1经历的路径:共3跳,每一行列出了1跳。从其中的IP地址可看出,第一跳是与R1相连的R2,第二跳为R3,第三跳是目的地PC1。在❷处,IP地址的后面有3个时间长度,traceroute通过发送40Byte的测试数据包到路径中的每一台主机,路径中的每一台主机都返回其响应,由于路径上的每台设备都要测试3次,因此每一跳都有3个返回时间。如果测试过程中没有看到❷处所示的往返时间,而是出现了“*”,表明在这个路径上某台设备不能在给定时间内返回测试的应答消息。
上面这种情况表示在从路由器R1通往PC1的路径上,数据在192.168.2.2之后,就没有消息返回了,这可能是线路问题、端口问题、IP地址或路由协议未正确配置等原因。traceroute命令的作用是确定故障出在什么地方,以便对症下药。
traceroute命令与ping命令类似,也有扩展的traceroute命令,向用户提供一些可选项目。
【任务实施】
网建公司的网络设计和部署项目组在项目经理李明的带领下,完成七彩数码集团总部网络设备的基本配置工作之后,为了让网络管理员能够对总部网络进行管理,需要对总部的路由器和交换机做进一步的配置。
主要实施步骤如下。
第1步:测试总部网络的连通性。
第2步:配置Beijing1和Beijing2两台路由器的远程登录功能。
第3步:配置交换机SW0的远程登录功能。
第4步:远程登录测试。
第5步:保存配置信息。
北京总部网络拓扑如图1-30所示。
图1-30 北京总部网络拓扑
1.测试总部网络的连通性
为了让网络管理员能够对总部网络进行管理,应该保证总部网络的畅通。之前,网建公司已经对总部网络做了基本配置,现在来测试一下网络的连通性。
从路由器Beijing1去ping交换机SW0。
结果发现,ping不通。
由于路由器Beijing1与交换机SW0是直连的,在线路没有问题的情况下,ping不通的问题就出在配置上。
查看交换机配置(省略了其他部分信息)的过程如下。
查看路由器Beijing1的配置(省略了其他部分信息)过程如下。
可以发现,路由器F3/0端口与交换机的管理IP地址并没有在同一个网段内,这是基本配置错误造成的。这就导致了路由器Beijing1与交换机SW0不能ping通。下面修改路由器Beijing1的F3/0端口的IP地址。
再从路由器Beijing1去ping交换机SW0。
现在可以ping通了。再来测试路由器Beijing2到交换机SW0的连通性。
可见,路由器Beijing2到交换机SW0 ping不通,这是由于对路由器R2进行基本配置时,没有配置到达10.1.3.0网络的静态路由,也没有配置动态路由协议(这个内容将在项目2中学习),在此需要给路由器Beijing2配置一条到达交换机SW0所在网络的静态路由。
再来测试路由器Beijing2到交换机SW0的连通性。
可见,路由器Beijing2到交换机SW0能ping通了(同样,交换机SW0到路由器Beijing2也能ping通)。
2.配置Beijing1和Beijing2两台路由器的远程登录功能
路由器Beijing1的远程登录功能配置如下。
这里没有在路由器Beijing1上配置特权使能口令,因为在前面做基本配置时已经配置过了,这里只配置了虚拟线路口令为“abcd”。
路由器Beijing2的远程登录功能配置如下。
这里没有在路由器Beijing2上配置特权使能口令,同样是因为在前面做基本配置时已经配置过了,这里配置虚拟线路口令为“wxyz”。
3.配置交换机SW0的远程登录功能
4.远程登录测试
从路由器Beijing2远程登录交换机SW0。
可见,从路由器Beijing2远程登录交换机SW0成功。其中,前一个口令是“abc”,后一个口令是“123”。
从路由器Beijing2远程登录路由器Beijing1。
可见,从路由器Beijing2远程登录路由器Beijing1成功。其中,前一个口令是“abcd”,后一个口令是“234”(在前一个任务中配置的特权口令)。
从路由器Beijing1远程登录路由器Beijing2。
可见,从路由器Beijing1远程登录路由器Beijing2成功。其中,前一个口令是“wxyz”,后一个口令是“123”(在前一个任务中配置的特权口令)。
5.保存配置信息
路由器Beijing2与交换机SW0保存配置信息的方法与Beijing1的是相同的。
【考赛点拨】
本任务内容涉及认证考试和全国职业院校技能竞赛的相关要求如下。
1.认证考试
关于网络设备的认证考试主要有华为、锐捷、思科等公司认证,以及1+X证书考试。这里列出了这些认证考试中关于网络设备管理的要求。
● 执行交换机、路由器IOS的安装。
● 检查网络连通性,如ping、telnet及traceroute命令的使用。
● 掌握查看网络设备IOS信息的命令。
● 配置并检查网络设备远程访问管理。
2.技能竞赛
在网络设备竞赛操作模块中,关于网络设备管理需要掌握的内容包括配置远程登录、使用ping命令和traceroute命令进行连通性测试。其中,远程登录配置是竞赛题目要求,而ping命令和traceroute命令则是竞赛操作中故障排查的必备知识。另外,在竞赛中可能会用到的操作包括CDP的开关、配置主机名解析等。