我正在阅读这篇文章:
https://www.ciscozine.com/access-to-the-console-via-aux-port/
我不明白他们为什么使用IP地址?
如果路由器没有IP地址怎么办?如果路由器是新路由器怎么办?
我需要从 AUX 端口访问控制台。我在这里想念什么?;)
通过 AUX 控制台
网络工程
思科
2022-02-27 03:25:06
3个回答
这个想法只有在第二个路由器配置在网络中并且正在运行时才有效。然后,您可以使用它连接到未配置路由器的控制台。实际上,您将第二个路由器用作终端服务器。
下面的拓扑是文章中描述的通过 AUX 端口访问控制台的拓扑。这意味着您远程登录(或 ssh)到现有路由器上的公开端口,该端口已配置为使其 AUX 端口可通过 telnet/ssh 使用。
为此,您需要能够登录到现有路由器。在熄灯 POP 情况下执行此操作的常用方法是通过 telnet/ssh 连接到终止于现有路由器的点对点电路上的 IP 地址,例如192.0.2.2,如下所示:
/--------\
| ISP |
\________/
|
192.0.2.2/30
|
+----------+ +--------+
| existing |AUX---RS232 cable---CON| new |
| router | | router |
+----------+ +--------+
如果您有两台路由器,都带有 CON 和 AUX 端口,您可以将它们用作彼此的远程控制台访问。这在两个路由器都具有适当 AUX 端口的熄灯 POP 中也很常见。
(基本上,我只是改写链接文章和其他答案所说的内容):
要将(远程)路由器的 AUX 用作 1 端口控制台服务器(又名终端服务器),您需要:
A)从充当控制台服务器的路由器的 AUX 到您要访问的设备的 CONSOLE 的翻转电缆。
B)充当控制台服务器的路由器上的这些线路:
! without 'no exec', the router acting as the console server
! would present a console prompt when talked to by console/debugging output
! of the connected device
!
! It would then attempt to parse that console output as username/pw
! and start to log quite strange login attempts and also lead to
! questionable log entries on the AAA servers.
line aux0
no exec
transport input telnet
这将在充当控制台服务器的路由器上打开端口 2001 [1]。然后您可以远程登录到该端口,这会将您连接到所连接设备的控制台。
我们曾经配置以下内容,以添加一些安全性和访问限制:
! have some decent aaa setup on the router acting as console server
! ... which is probably in place already.
!
aaa authentication ...
aaa authorization ...
! many routers are configured with a Loopback interface for management, anyway.
! If not, create one, but keep an eye on what this might do to the possibly given
! dynamic routing setup (i.e. make sure it does not become your EIGRP or OSPF
! RouterID inadvertently)
!
int LoopbackNNN
ip address nnn.nnn.nnn.nnn 255.255.255.255
!
! ...
!
! allow access only from the router's own looback address:
!
ip access-list standard ACLv4-CONSOLE-SERVER-ACCESS
permit host nnn.nnn.nnn.nnn
!
! ...
!
line aux0
no exec
transport input telnet
access-class ACLv4-CONSOLE-SERVER-ACCESS in
!
!
然后我们将 SSH 连接到路由器,并发出以下命令,从 Loopback IP 运行 telnet 到 Loopback IP,端口 2001。
telnet nnn.nnn.nnn.nnn 2001 /source LoopbackNNN
充当控制台服务器的路由器将再次对用户进行 AAA 身份验证/授权,如果成功,它将在 SSH 会话中显示连接设备的控制台。
以这种方式连接还具有不必担心防火墙的优点,也不必与客户的安全管理员讨价还价,因为他们不想再向网络基础设施开放另一个端口。
[轶事:]
曾经有一系列 Cisco 2821 和 2851 ISR G1 路由器存在严重的内存错误,在恢复供电后经常将它们留在 ROMMON 中,而在全国拥有 80 多个站点的客户每次都有一对地点。
相互的 CON/AUX 设置为我们每两周节省了数百公里和数十个小时的旅行时间,以便将路由器从 ROMMON 中取出。
有一次,在同一个客户的最远程站点的一次失败的 IOS 升级导致 Catalyst 3750 堆栈完全混乱。即使是完全非技术人员也可能会被引导到“是的,先生,请找到设备 XYZ-R001 和 -R002,是的...,您看到连接到他们的“AUX”端口的扁平电缆吗?...完全正确!请拔下这些电缆的另一端,并将它们连接到附近两个设备的名为“CONSOLE”的端口,其中有许多名为 XZX-S001 和 -S002 的端口。...是的,Sirthankyouverymuch 我们可以从这里工作,您的网络将在你明天早上回去上班。”
[/轶事:]
[1] 在大多数情况下,它是端口 2001,但根据平台的不同,可能会有所不同。