配置路由器实现多设备控制端口访问

只需要一台CISCO路由器加上异步模块或是一台具有内建异步串口的路由器，你就可以在一个工作间或数据中心里面全面享受对一系列网络设备的控制连接了。现在让我们来看看这些工作是如何进行的，同时学习如何管理多个连接，并且看看一些你应当考虑的安全问题。

这样的情形是否让你感到很熟悉呢？你在家里利用防火墙、路由器和交换机进行工作，但是无法去碰那些设备。最后你却不得不开车到办公室更新配置或者重新启动设备。

这样如何？网络崩溃了，你需要快速方便的访问所有网络设备的控制端口。你会发现你拿着笔记本电脑在机架设备之间跑来跑去，每次都连接到其中一台设备的控制端口进行配置。

然而，这里还有一种简单的方法可以避免这样的麻烦。使用一台CISCO路由器加上异步模块，或是一台具有内建异步串口的路由器，你就可以在一个工作间或数据中心里面全面享受对一系列网络设备的控制连接了。

我将从数据中心的网络间里的一台Cisco 2511路由器开始设置，毫无疑问，它在麻烦到来的日子里使我的生活变得更加简单。当我需要连接到这些网络设备的控制端口时，我可以Telnet到控制台服务器，然后再Telnet到我希望进行连接的设备，或者直接Telnet到设备控制端口也行。

我更倾向于第一种选择，因为我很少能够记住我需要直接Telnet的设备端口号。在极少的网络瘫痪的情形中，我可以直接连接到控制台服务器的控制端口，然后从这里再访问所有网络设备的控制端口。

你并不一定需要使用2511路由器来完成这项工作。然而，一台旧的2511路由器（Cisco已经停止生产这种型号的设备）是你可以实现此目的的最为廉价设备。

如果你在工作中并没有面对很大数量的设备，你还可以选择2509路由器，该路由器拥有8个串行端口（二手Cisco 2509在eBay的平均成交价格在200$左右）。

你可以可以采用更加先进的设备来完成相同的工作，包括2610、3620、3640或是3800系列路由器。有了这些设备，你还可以使用NM-16A 或NM-32A模式。NM-XXA模式提供了16或32口的异步端口模块。

开始配置
我从一台Cisco 2511路由器开始我的配置，使用其中一个异步串行端口连接到我的核心网络交换机、路由器和防火墙的每一个端口（这些设备各自同样需要具备串行控制口）。下一步，我按照以下的ip host命令对新的Cisco终端服务器进行配置，以使对每个设备的连接变得简单一点：

ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19

每一行命令的第三个部分包括了设备端口号，最后两个数字即指定端口号。例如，在第一台路由器（"internet"）后面的2016就表示该路由器是在16号端口上。命令行的最后一部分则包括了控制台服务器的以太网端口IP地址。

最精彩的地方在这里：通过创建这些名字，你不需要知道设备在哪个端口。你所要做的全部工作就是从控制台服务器Telnet到主机。

你还可以从PC直接连到这一设备。例如，你可以从PC上Telnet到10.253.100.19 2016。该命令指定Telnet客户端连接到2016端口而非默认Telnet端口23。

列表A可以查看我的配置实例。

ciscotermserver#sh run
Building configuration...

Current configuration : 2656 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ciscots
!
boot-start-marker
boot-end-marker
!
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX
!
username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXX
no aaa new-model
ip subnet-zero
no ip domain lookup
ip host internet 2016 10.253.100.19
ip host gig_switch3 2015 10.253.100.19
ip host dmz_switch 2013 10.253.100.19
ip host pix 2012 10.253.100.19
ip host gig_switch2 2006 10.253.100.19
ip host dbunbii 2003 10.253.100.19
ip host up_switch1 2004 10.253.100.19
ip host gig_switch1 2005 10.253.100.19
ip host core 2002 10.253.100.19
ip host ras 2011 10.253.100.19
ip host router8 2009 10.253.100.19
ip host up_stack1 2007 10.253.100.19
!
!
!
!
interface Ethernet0
ip address 10.253.100.19 255.255.0.0
!
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
no ip http server
no ip classless
!
!
!
!
line con 0
line 1
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 2
session-timeout 30
location CORE
exec-timeout 0 0
no exec
transport input telnet
line 3
session-timeout 30
location DBUNBII
exec-timeout 0 0
no exec
transport input telnet
line 4
session-timeout 30
location UP_SWITCH1
exec-timeout 0 0
no exec
transport input telnet
line 5
session-timeout 30
location GIG_Switch4
exec-timeout 0 0
no exec
transport input telnet
line 6
session-timeout 30
location GIG_SWITCH2
exec-timeout 0 0
no exec
transport input telnet
line 7
session-timeout 30
location UP_STACK1
exec-timeout 0 0
no exec
transport input telnet
line 8
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 9
session-timeout 30
location ROUTER8
exec-timeout 0 0
no exec
transport input telnet
line 10
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 11
session-timeout 30
location RAS
exec-timeout 0 0
no exec
transport input telnet
speed 38400
line 12
session-timeout 30
location PIX
exec-timeout 0 0
no exec
transport input telnet
line 13
session-timeout 30
location DMZ_SWITCH
exec-timeout 0 0
no exec
transport input telnet
line 14
session-timeout 30
exec-timeout 0 0
no exec
transport input telnet
line 15
session-timeout 30
location GIG_SWITCH3
exec-timeout 0 0
no exec
transport input telnet
line 16
session-timeout 30
location INTERNET
exec-timeout 0 0
no exec
transport input telnet
line aux 0
line vty 0 4
exec-timeout 60 0
login local
!
end

ciscotermserver#

管理多个连接
在Telnet到控制台服务器并连接到这些设备后，你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。

按照如下步骤进行操作：

1、在命令行中输入主机名称，即使用一个IP主机Telnet到你已经配置过的设备上。这是1号连接。

2、在没有断开连接的情况下回到命令行，按下[Ctrl]＋[Shift]＋6，然后按下x。这将显示控制台服务器提示符。

3、在这里，你就可以通过从ip主机列表中键入其主机名称来Telnet到另一设备。这是2号连接。

4、一旦连接到了该路由器，再次按下[Ctrl]＋[Shift]＋6，还有x。这将返回到控制台提示符。

5、输入show sessions。该命令将列出你的当前会话。例如，你有了两个会话：一个到第一台路由器，一个到第二台。如果要取消其中某个会话，你可以输入disconnect X，其中X即为连接号码（例如1或2）。

6、要转到某个会话，输入session number（同样，1或2）即可。如果在空命令行中直接回车也可以把你带回到上一个session。

注意：当你尝试在ip host命令中输入所赋予名称来回到已有的一个会话中，系统将返回"Connection refused by remote host."， 这表明要么你已经有了一个连接，要么有其他人已经连接到控制端口上了。

平衡易用性和安全性
需要牢记，安全性和易用性始终是一对矛盾。就像对机场而言，越安全，则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。

有时你会把所有的鸡蛋放在一个篮子里面——在这样的情况下，所有到核心网络设备的访问都是连接到相同的控制台服务器上的——这时安全是头等大事。你应当始终为所有网络设备设置控制台密码。如果入侵者获取了控制台服务器的访问权限，他将仅仅能够访问没有设置控制台认证的设备。

此外，你还应当对这些服务器的控制端口设置超时。这样一来如果连接断开，那么控制台将会在几秒中内注销登录信息。

或许你在考虑如果网络崩溃了你如何才能Telnet到控制台服务器，这的确是应该想到的。你可以在控制台服务器安装一个拨号调制解调器，在最坏的情况下通过这一设备远程拨号到控制台服务器上。另一方面，全世界的安全管理专家都会谴责这一解决方案。因为尽管它或许很方便，但它使得你的核心网络设备对全世界所有的拨号黑客们大开城门。

最后，需要记住在网络上的任何Telnet通信都是没有加密的。因此，在本例中我们在网络上所传输的核心网络设备用户名和密码都是明文。但你可以使用SSH而非Telnet来完成相同的工作。同时还要强调一次，你需要根据企业的具体需要来在易用性和安全性之间找出一个平衡点。

文章录入：csh    责任编辑：csh