配置路由器实现多设备控制端口访问

只需要一台CISCO路由器加上异步模块或是一台具有内建异步串口的路由器，你就可以在一个工作间或数据中心里面全面享受对一系列网络设备的控制连接了。现在让我们来看看这些工作是如何进行的，同时学习如何管理多个连接，并且看看一些你应当考虑的安全问题。

这样的情形是否让你感到很熟悉呢？你在家里利用防火墙、路由器和交换机进行工作，但是无法去碰那些设备。最后你却不得不开车到办公室更新配置或者重新启动设备。

这样如何？网络崩溃了，你需要快速方便的访问所有网络设备的控制端口。你会发现你拿着笔记本电脑在机架设备之间跑来跑去，每次都连接到其中一台设备的控制端口进行配置。

然而，这里还有一种简单的方法可以避免这样的麻烦。使用一台CISCO路由器加上异步模块，或是一台具有内建异步串口的路由器，你就可以在一个工作间或数据中心里面全面享受对一系列网络设备的控制连接了。

我将从数据中心的网络间里的一台Cisco 2511路由器开始设置，毫无疑问，它在麻烦到来的日子里使我的生活变得更加简单。当我需要连接到这些网络设备的控制端口时，我可以Telnet到控制台服务器，然后再Telnet到我希望进行连接的设备，或者直接Telnet到设备控制端口也行。

我更倾向于第一种选择，因为我很少能够记住我需要直接Telnet的设备端口号。在极少的网络瘫痪的情形中，我可以直接连接到控制台服务器的控制端口，然后从这里再访问所有网络设备的控制端口。

你并不一定需要使用2511路由器来完成这项工作。然而，一台旧的2511路由器（Cisco已经停止生产这种型号的设备）是你可以实现此目的的最为廉价设备。

如果你在工作中并没有面对很大数量的设备，你还可以选择2509路由器，该路由器拥有8个串行端口（二手Cisco 2509在eBay的平均成交价格在200$左右）。

你可以可以采用更加先进的设备来完成相同的工作，包括2610、3620、3640或是3800系列路由器。有了这些设备，你还可以使用NM-16A 或NM-32A模式。NM-XXA模式提供了16或32口的异步端口模块。

开始配置

我从一台Cisco 2511路由器开始我的配置，使用其中一个异步串行端口连接到我的核心网络交换机、路由器和防火墙的每一个端口（这些设备各自同样需要具备串行控制口）。下一步，我按照以下的ip host命令对新的Cisco终端服务器进行配置，以使对每个设备的连接变得简单一点：

ip host internet 2016 10.253.100.19

ip host gig_switch3 2015 10.253.100.19

ip host dmz_switch 2013 10.253.100.19

每一行命令的第三个部分包括了设备端口号，最后两个数字即指定端口号。例如，在第一台路由器（"internet"）后面的2016就表示该路由器是在16号端口上。命令行的最后一部分则包括了控制台服务器的以太网端口IP地址。

最精彩的地方在这里：通过创建这些名字，你不需要知道设备在哪个端口。你所要做的全部工作就是从控制台服务器Telnet到主机。

你还可以从PC直接连到这一设备。例如，你可以从PC上Telnet到10.253.100.19 2016。该命令指定Telnet客户端连接到2016端口而非默认Telnet端口23。

我的配置实例如下：

ciscotermserver#sh runBuilding configuration...Current configuration : 2656 bytes!version 12.3service timestamps debug uptimeservice timestamps log uptimeservice password-encryption!hostname ciscots!boot-start-markerboot-end-marker!enable secret 5 XXXXXXXXXXXXXXXXXXXXXXX!username root privilege 15 password 7 XXXXXXXXXXXXXXXXXXXXXXno aaa new-modelip subnet-zerono ip domain lookupip host internet 2016 10.253.100.19ip host gig_switch3 2015 10.253.100.19ip host dmz_switch 2013 10.253.100.19ip host pix 2012 10.253.100.19ip host gig_switch2 2006 10.253.100.19ip host dbunbii 2003 10.253.100.19ip host up_switch1 2004 10.253.100.19ip host gig_switch1 2005 10.253.100.19ip host core 2002 10.253.100.19ip host ras 2011 10.253.100.19ip host router8 2009 10.253.100.19ip host up_stack1 2007 10.253.100.19!!!!interface Ethernet0ip address 10.253.100.19 255.255.0.0!interface Serial0no ip addressshutdown!interface Serial1no ip addressshutdown!no ip http serverno ip classless!!!!line con 0line 1session-timeout 30exec-timeout 0 0no exectransport input telnetline 2session-timeout 30location COREexec-timeout 0 0no exectransport input telnetline 3session-timeout 30location DBUNBIIexec-timeout 0 0no exectransport input telnetline 4session-timeout 30location UP_SWITCH1exec-timeout 0 0no exectransport input telnetline 5session-timeout 30location GIG_Switch4exec-timeout 0 0no exectransport input telnetline 6session-timeout 30location GIG_SWITCH2exec-timeout 0 0no exectransport input telnetline 7session-timeout 30location UP_STACK1exec-timeout 0 0no exectransport input telnetline 8session-timeout 30exec-timeout 0 0no exectransport input telnetline 9session-timeout 30location ROUTER8exec-timeout 0 0no exectransport input telnetline 10session-timeout 30exec-timeout 0 0no exectransport input telnetline 11session-timeout 30location RASexec-timeout 0 0no exectransport input telnetspeed 38400line 12session-timeout 30location PIXexec-timeout 0 0no exectransport input telnetline 13session-timeout 30location DMZ_SWITCHexec-timeout 0 0no exectransport input telnetline 14session-timeout 30exec-timeout 0 0no exectransport input telnetline 15session-timeout 30location GIG_SWITCH3exec-timeout 0 0no exectransport input telnetline 16session-timeout 30location INTERNETexec-timeout 0 0no exectransport input telnetline aux 0line vty 0 4exec-timeout 60 0login local!endciscotermserver# 

管理多个连接

在Telnet到控制台服务器并连接到这些设备后，你需要知道如何才能在同一时间对多个连接进行管理。这有助于你更为方便的对设备配置进行比较以及排障。

按照如下步骤进行操作：

1、在命令行中输入主机名称，即使用一个IP主机Telnet到你已经配置过的设备上。这是1号连接。

2、在没有断开连接的情况下回到命令行，按下[Ctrl]＋[Shift]＋6，然后按下x。这将显示控制台服务器提示符。

3、在这里，你就可以通过从ip主机列表中键入其主机名称来Telnet到另一设备。这是2号连接。

4、一旦连接到了该路由器，再次按下[Ctrl]＋[Shift]＋6，还有x。这将返回到控制台提示符。

5、输入show sessions。该命令将列出你的当前会话。例如，你有了两个会话：一个到第一台路由器，一个到第二台。如果要取消其中某个会话，你可以输入disconnect X，其中X即为连接号码（例如1或2）。

6、要转到某个会话，输入session number（同样，1或2）即可。如果在空命令行中直接回车也可以把你带回到上一个session。

注意：当你尝试在ip host命令中输入所赋予名称来回到已有的一个会话中，系统将返回"Connection refused by remote host."， 这表明要么你已经有了一个连接，要么有其他人已经连接到控制端口上了。

平衡易用性和安全性

需要牢记，安全性和易用性始终是一对矛盾。就像对机场而言，越安全，则会让你感到越不方便。因此在二者之间进行平衡以满足企业需要非常重要。

有时你会把所有的鸡蛋放在一个篮子里面——在这样的情况下，所有到核心网络设备的访问都是连接到相同的控制台服务器上的——这时安全是头等大事。你应当始终为所有网络设备设置控制台密码。如果入侵者获取了控制台服务器的访问权限，他将仅仅能够访问没有设置控制台认证的设备。

此外，你还应当对这些服务器的控制端口设置超时。这样一来如果连接断开，那么控制台将会在几秒中内注销登录信息。

或许你在考虑如果网络崩溃了你如何才能Telnet到控制台服务器，这的确是应该想到的。你可以在控制台服务器安装一个拨号调制解调器，在最坏的情况下通过这一设备远程拨号到控制台服务器上。另一方面，全世界的安全管理专家都会谴责这一解决方案。因为尽管它或许很方便，但它使得你的核心网络设备对全世界所有的拨号黑客们大开城门。

最后，需要记住在网络上的任何Telnet通信都是没有加密的。因此，在本例中我们在网络上所传输的核心网络设备用户名和密码都是明文。但你可以使用 SSH而非Telnet来完成相同的工作。同时还要强调一次，你需要根据企业的具体需要来在易用性和安全性之间找出一个平衡点。

David Davis在IT行业已经有了12年的工作经验，通过了多项认证，包括CCIE、MCSE+I、CISSP、CCNA、CCDA以及CCNP。他目前正在为一家零售企业管理着一个系统/网络管理员团队，并且在工作时间外提供一些网络/系统的咨询服务。(完)