基础配置命令:主机名设置、banner信息、密码设置、保存配置

说实话,很多新手拿到路由器第一件事就是插电、连网线,然后就开始配路由协议了。我见过不少这样的同事,结果设备一重启,配置全丢,或者登录时连密码都忘了设。嗯,这其实挺危险的。

今天咱们就把基础配置这块彻底捋清楚。你想想看,一台设备连名字都没有,登录也不需要密码,这跟没锁门的房子有什么区别?

主机名设置——给设备起个名字

我个人习惯,拿到设备第一件事就是改主机名。为什么?因为当你管理几十台设备时,光靠IP地址根本记不住谁是谁。

Router> enable
Router# configure terminal
Router(config)# hostname R1-Shanghai-Core
R1-Shanghai-Core(config)#

看到没?提示符立刻变了。我在项目中遇到过,有一次同事把两台设备的主机名设成了同一个,结果排查故障时对着两台设备发命令,那叫一个混乱。所以主机名最好带上地点和角色,比如 R1-Shanghai-Core 或者 SW-Beijing-Access-03

小技巧:主机名不要超过63个字符,别用空格,用连字符或下划线分隔。我一般用「设备类型-城市-角色-编号」这个格式。

Banner信息——给登录者一个提醒

Banner说白了就是登录时显示的那段话。很多人觉得这玩意儿可有可无,但我要告诉你,从法律角度看,它很重要。

我曾经帮一家公司做网络审计,发现他们的设备没有任何登录警告。后来法务部门要求必须加上,否则如果有人非法登录,你连起诉的依据都没有。

R1-Shanghai-Core(config)# banner motd #
Enter TEXT message.  End with the character '#'.
***********************************************
* WARNING: Authorized Access Only             *
* All activities are monitored and logged.    *
* Unauthorized access is prohibited.          *
***********************************************
#

注意那个 # 号,它是分隔符。你可以用任何字符,只要不在消息内容里出现就行。我个人喜欢用 # 或者 %

Banner有几种类型:

  • motd(Message of the Day):登录前显示,最常用
  • exec:进入用户模式后显示
  • login:登录验证前显示

实际工作中,我一般只用 banner motd,简单直接。

密码设置——三道防线

密码设置这块,我把它分成三道防线:Console口、Enable密码、VTY线路。少一道都不行。

Console密码——物理访问的保护

Console口是直接连到设备的管理口。我记得有一次去客户现场,发现他们的交换机Console口居然没设密码,谁拿根Console线就能进去。这跟把服务器机房的门敞开着有什么区别?

R1-Shanghai-Core(config)# line console 0
R1-Shanghai-Core(config-line)# password Cisco123
R1-Shanghai-Core(config-line)# login

这里有个坑:login 这条命令必须写。如果不写,设备会跳过密码验证直接让你进去。我曾经就吃过这个亏,配置了半天发现密码根本没生效。

Enable密码——进入特权模式的钥匙

Enable密码是进入特权模式的凭证。说白了,普通用户只能看看配置,但有了enable密码就能改配置了。

R1-Shanghai-Core(config)# enable secret MySecretPass
R1-Shanghai-Core(config)# enable password OldStylePass

注意:enable secretenable password 有什么区别?

  • enable secret:使用MD5加密存储,更安全
  • enable password:明文存储(除非你手动加密)
警告:如果同时配置了这两个,enable secret 会优先生效。我建议只用 enable secret,别给自己留安全隐患。

VTY密码——远程登录的门禁

VTY线路就是Telnet或SSH登录时用的虚拟终端。默认情况下,设备有5条VTY线路(0到4)。

R1-Shanghai-Core(config)# line vty 0 4
R1-Shanghai-Core(config-line)# password RemoteAccess123
R1-Shanghai-Core(config-line)# login
R1-Shanghai-Core(config-line)# transport input ssh telnet

这里我多说一句:transport input ssh telnet 这条命令指定了允许哪些协议登录。我个人强烈建议只开SSH,Telnet是明文传输的,密码在网络上一抓一个准。

核心要点:密码设置的三道防线缺一不可。Console口防物理接触,Enable密码防配置篡改,VTY密码防远程入侵。少一个,你的设备就多一个漏洞。

保存配置——别让努力白费

配置了半天,结果一断电全没了。这种事我见过太多次了。路由器的配置默认存在RAM里,重启就丢失。你必须手动保存到NVRAM或Flash里。

R1-Shanghai-Core# write memory
Building configuration...
[OK]

R1-Shanghai-Core# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

这两条命令效果完全一样。我个人习惯用 write memory,因为打字少。但有些老设备只认 copy running-config startup-config,所以两条都记住没坏处。

为什么会这样?因为 running-config 是当前正在运行的配置,存在RAM里。而 startup-config 是启动时加载的配置,存在NVRAM里。你不保存,重启后设备就按出厂配置启动了。

我的习惯:每做完一个关键配置就保存一次。比如配完接口IP保存一次,配完路由协议再保存一次。别等到最后一次性保存,万一中间断电了呢?

知识体系梳理

下面这张图把今天的内容串起来了。你一看就明白,基础配置其实就四个模块:

基础配置命令知识体系 基础配置 主机名设置 hostname 命令 Banner信息 banner motd 命令 密码设置 Console/Enable/VTY 保存配置 write memory / copy 四步走:命名 → 提示 → 上锁 → 存档

你看,基础配置其实就这四个步骤。命名让设备有身份,Banner让登录者有提醒,密码让设备有防护,保存让配置有保障。一步都不能少。

好了,今天就聊到这儿。这些命令虽然基础,但它们是网络设备的「门锁」和「身份证」。下次你拿到新设备,按这个顺序走一遍,准没错。


专注资料整理