一、环境准备
**(下载并安装好以下工具软件,注:以下版本的工具在win10-64位专业版下正常测试通过)
1、安装ENSP
(1)安装winpcap4.13
(2)安装wireshark_64位3.2.2
(3)安装virtualbox5.2.16
(4)安装ENSP1.3.100
2、打开ENSP,拖出拓扑图如下:
(1)从ENSP中拖出2台AR路由器,型号分别为AR3260作为主设备(需要备份配置的网络设备),1台AR201作为客户端(通常工业环境是PC机上用secureCRT工具作为客户端)
(2)习惯性的把需要部署的IP地址与子网掩码标识在拓扑之中(绿色框中的为主要命令)
(3)连线并将各接口显示出来(方便后面配置)
(4)启动各设备
二、开始配置
1、双击AR201进入配置模式
上图中主要输入的3条指令如下:
undo terminal monitor #本人一般习惯性禁止类的输出,一般多设备启动时会显示很多类的输出,看着有点烦
system-view #进入系统视图,注意指令输入时,像linux一样,可只输入每个命令的前几个字母用TAB键补全
sysname client #给本AR201设备命名为client
interface Ethernet0/0/0 #进入接口视图
undo portswitch #将二层接口改为三层模式,二层接口不能直接给它配置IP地址,大家都知道IP是网络层的
ip address 10.1.1.1 255.255.255.0 #给三层接口配置IP地址和子网掩码
2、配置AR3260服务端的SFTP与用户名、密码
system-view
interface GigabitEthernet0/0/0 #进入接口视图,配置G0/0/0
ip address 10.1.1.254 255.255.255.0 #配置接口的IP地址,用于局域网内访问本路由器
quit #返回到上一级
user-interface vty 0 4 #进入用户视图
authentication-mode aaa #指定登录本路由器的认证模式为AAA,即需要用户名和密码都认证正确方可登录
protocol inbound ssh #配置登录本路由器时使用SSH协议,该协议为加密传输,不像上一个实验的明文传输被抓包后能分析出用户名和密码,所以本实验我们提高了传输过程中的安全性
quit #返回上一级
aaa #配置AAA认证
local-user huawei password cipher huawei #创建用户huawei并配置一个密码为huawei
local-user huawei privilege level 15 #指定用户的权限等级为15,可为3-15之间的管理员级,数值越大,用户权限越高
local-user huawei ftp-directory flash:/ #配置用户huawei的访问根目录为设备的根目录
local-user huawei service-type ssh #配置用户huawei的认证类型为ssh
quit #返回上一级
sftp server enable #开始SFTP服务,该服务较FTP服务更为安全,即加密传输
stelnet server enable #开启加密远程登录服务stelnet
ssh user huawei authentication-type password-rsa/password/rsa #为用户配置认证加密时为rsa非对称加密,大家都知道对称加密安全性比非对称加密低
配置完成后,使用命令检查配置是否正确,如下:
三、回到客户端AR201上验证
1、配置与服务端的RSA非对称加密生成密钥对,
使用指令如下:
ssh client 10.1.1.254 assign rsa-key 10.1.1.254 #通过客户端连接服务器的IP,生成RSA密钥对
ssh client first-time enable #客户端第一次登录到服务端时,使用该命令
2、在系统视图下配置命令如下:
上面的提示应该不用我多解释吧,提示username与password时输入用户名和密码,是否进行认证访问,是否更新密钥
3、查看根目录下的文件,找出刚登录到AR3260上的配置文件,再备份到本路由器AR201上
四、工业环境中的实战
1、打开运行框,输入CMD
2、通过以下指令备份网络设备保存的配置文件到PC上
3、在PC机上找到刚才保存的网络设备的配置文件
