畢業十年了，我就是靠路由器養活的，所以對路由器有很深的感情。先是在一家公司玩家庭終端，就是DSL路由器、路由器，這家公司雖然也有其他產品，但是基本不賺錢，所以也就不值一提。現在換了家公司，也還是玩路由器，只是體積變大了，原來公司的路由器一本書那麽大，現在公司的路由器有立式空調那麽大，功能也多了很多，但是道理類似，畢竟都叫路由器嘛。

基礎配置

首先第一步肯定是要登錄到路由器裏面，主要包括：

·        Console口登錄，主要搞對波特率就行。

·        Telnet Server/Client

·        SSH登錄，支持Password、RSA（Revest-Shamir-AdlemanAlgorithm）驗證、DSA（DigitalSignature Algorithm）驗證

傳東西包括主要包括：

·        FTP Server/Client

·        TFTP Client

·        基於SSH協議的文件傳輸SFTP Client/Server

FTP協議，主要是從路由器上下東西，比如配置文件，傳東西到路由器上，比如要升級的軟件。很多書搞一大堆，實際上常用的命令就get，mput，dir三個。

·        FTP Server：運行於路由器上的FTP服務。提供遠程客戶端訪問和操作的功能，用戶可以通過FTP客戶端程序登錄到路由器上，訪問路由器上的文件。

·        FTP Client：FTP的客戶端。提供本地路由器對遠程服務器的文件進行操作的命令。用戶在PC上通過終端程序或Telnet程序與路由器建立連接後，可以輸入FTP命令建立與遠程FTPServer的連接並訪問遠程主機上的文件，對遠程主機上的文件進行操作。

FTP中的連接

FTP采用2個TCP連接來傳輸文件。

·        控制連接

以客戶端/服務器方式建立。服務器以被動方式打開用於FTP的公共端口21，等待客戶端來連接；客戶端則以主動方式打開公共端口21，發起連接的建立請求。

·        數據連接

服務器的數據連接端使用端口20。服務器執行主動打開數據連接，通常也執行主動關閉數據連接，但是，當客戶端向服務器發送流形式的文件時，則需要客戶端關閉數據連接。

FTP中傳輸方式是流方式，並且文件結尾以關閉數據連接為標誌，所以對每一個文件傳輸或目錄列表來說，都要建立一個全新的數據連接。因此，當一個文件在客戶端與服務器之間傳輸時，一個數據連接就建立起來了。

TFTP協議，這玩意比FTP更簡單

TFTP（TrivialFile Transfer Protocol）即簡單文件傳送協議。

TFTP客戶端模塊提供了使用TFTP協議進行文件上傳和下載功能，為了保持實現上的簡單特性，TFTP協議使用UDP協議進行文件的傳輸。

Telnet協議，我的乖乖，這個就用的很多了，配置路由器就靠它了，雖然有SSH，但是還是習慣用它。

Telnet協議的基本概念

·        Telnet連接

一個Telnet連接就是一個用來傳輸帶有Telnet控制信息數據的TCP連接。

Telnet工作原理

路由器提供的Telnet服務包括：

·        Telnet Server，可以改端口，但是自己要記得。

用戶在PC上運行Telnet客戶端程序登錄到路由器，對路由器進行配置管理。

Telnet協議的標準偵聽端口號為23，如果攻擊者不斷訪問標準端口，導致帶寬和服務器性能的下降，其他正常用戶無法訪問。

·        Telnet Client，路由器還可以登錄到其它路由器裏，這個很方便，免得每個都需要接線到管理端口。

SSH協議，給要求嚴格的客戶示範。

SSH是SecureShell（安全外殼）的簡稱，標準協議端口號22。

SSH支持Password認證、DSA（Digital Signature Algorithm）認證和RSA（Revest-Shamir-Adleman Algorithm）認證，對數據進行DES（DataEncryption Standard）、3DES、AES（AdvancedEncryption Standard）、RC4加密，有效防止了對密碼的竊聽，保護了數據的完整性和可靠性，保證了數據的安全傳輸。特別是對於RSA和DSA認證的支持，對稱加密和非對稱加密的混合應用，密鑰的安全交換，最終實現了安全的會話過程。

SSH2.0在安全、功能和性能上均比SSH1.5有優勢。

SSH的基本概念

·        SFTP，東東還是那些，就是加S，變安全了

SFTP（SSHFile Transfer Protocol）。在一個傳統不安全的網絡環境中，服務器通過對客戶端的認證及雙向的數據加密，為網絡文件傳輸提供了安全的服務。

·        STelnet

一種安全的Telnet服務。在一個傳統不安全的網絡環境中，服務器通過對客戶端的認證及雙向的數據加密，為網絡終端訪問提供了安全的服務。

·        RSA認證

RSA（Revest-Shamir-AdlemanAlgorithm）身份認證是基於客戶端私鑰的一種認證方式。它是一種公開密鑰加密體系，是一種非對稱加密算法，其原理是基於大整數因子分解這一著名的數學難題，主要用來傳遞對稱加密算法所使用的密鑰，通過這種方法可以有效地提高加密的效率並能簡化對密鑰的管理。

服務器必須檢查用戶是否是合法的SSH用戶，檢查公鑰對於該用戶是否合法，用戶數字簽名是否合法。若三者同時滿足，則身份認證通過；若其中任何一項不能驗證通過均告驗證失敗，拒絕該用戶的登錄請求。

·        DSA認證

DSA（DigitalSignature Algorithm，數字簽名算法）是由一種用於用戶認證的非對稱加密算法，由公鑰和私鑰兩部分組成。

和RSA認證相同，服務器必須檢查用戶是否是合法的SSH用戶，檢查公鑰對於該用戶是否合法，用戶數字簽名是否合法。若三者同時滿足，則身份認證通過；若其中任何一項不能驗證通過均告驗證失敗，拒絕該用戶的登錄請求。

·        Password認證

SSH協議的基本原理

數據加密：通過Client/Server協商交換生成的Encryption Key，實現對數據報文的對稱加密，確保數據在傳輸過程中的機密性。

數據完整性：通過Client/Server協商交換生成的Integrity Key唯一標識一條會話鏈路，所有會話交互報文被IntegrityKey標識。一旦數據被第三方修改，接收方就能夠檢查出來，並丟棄報文，確保數據在傳輸過程中的完整性。

權限認證：通過提供多種認證方式，確保惟有認證通過的合法用戶才能和Server進行會話，提高系統安全，同時保障合法用戶的權益。

SSH處理流程

SSH連接在整個通訊過程中，經過如圖3所示六個階段，協商實現SSH認證安全連接，下面介紹一下SSH協商階段的整個過程。

1.    版本協商階段 SSH版本

2.     算法協商

當進入算法協商過程後，發送方向接收方發送算法協商消息包，發送方同時將隨機cookie、密鑰交換的算法、主機密鑰算法、支持的MAC（message Authentication Code）認證方法以及支持的語言等作為消息的參數發送給接受方，對方發現相同才搞起來。

3.     密鑰交換階段

版本協商成功後，服務器向客戶端發送一個包，內容為自己的主機公鑰（host public key），服務器公鑰（server public key），支持的加密算法，認證算法，協議擴展的標誌，還有一個8字節（64bits）的隨機數（cookie）。這個包沒有加密，也是明文發送。然後雙方開始計算會話ID（sessionid）。雙方使用相同的參數計算出相同的長為16字節的會話ID。客戶端還要隨機生成一個32字節的會話密鑰（sessionkey），用來加密傳輸的數據，但不直接把該密鑰傳給服務器端，而是用該密鑰的前16字節與或（XOR）會話ID的16字節，後16字節不變，所得結果按MSB（MostSignificant Bit，最高位）優先排列成一個MP型整數，用模數較小的公鑰進行加密，再把結果按MSB優先順序排列成一個MP型整數，用模數較大的公鑰進行加密。《技術非得弄到人暈頭轉向才好？》

4.    認證階段

SSHServer提供以下驗證方法：RSA、Password、RSA-Password、DSA、DSA-Password和ALL。

·        在RSA、DSA認證方式下，用戶客戶端程序生成一個RSA、DSA密鑰對，

·        公鑰用來解密私鑰的東東，可以的話就認證成功。

5.     會話請求階段

6.     交互會話階段

用戶管理

用戶界面

·        目前系統支持的用戶界面

§  Console（CON）口：控制口（ConsolePort）是一種線設備端口，由設備的主控板提供。

一塊主控板提供一個Console口，端口類型為EIA/TIA-232DCE。用戶終端的串行端口可以與設備Console口直接連接，實現對設備的本地配置。

§  Auxiliary（AUX）口

通常用於終端通過Modem撥號對設備進行遠程訪問。

§  虛擬線路（VTY）

虛擬終端連接（Virtual Terminal）屬於邏輯終端線設備。

用戶通過終端與設備建立Telnet或SSH連接後，即建立了一條VTY。

用戶登錄

用戶分類

根據用戶所獲得的服務種類，可以將用戶劃分為以下幾類：

·        超級終端用戶：可通過Console口或AUX口登錄到設備。

·        Telnet用戶：可使用Telnet命令登錄到設備。

·        FTP用戶：與設備建立FTP連接進行文件傳輸。

·        PPP用戶：與設備建立PPP連接（例如撥號、PPPoA（PPP over AAL5）等）訪問網絡。

·        SSH用戶：與設備建立SSH連接（包括Stelnet和SFTP兩種方式），遠程訪問網絡。

·        網管用戶：機機模式，通過SNMP或Telnet與設備建立連接，完成對設備的管理。

一個用戶可以同時獲得幾種服務，從而能夠執行多種功能。對於VTY（Telnet/SSH）用戶，在用戶界面視圖下需要配置綁定準入協議，才能成功登錄。

用戶的優先級

·        如果對用戶采用password驗證，登錄到設備的用戶所能訪問的命令級別由登錄時的用戶界面級別決定。

·        如果對用戶采用AAA驗證，登錄到設備的用戶所能訪問的命令級別由AAA配置信息中本地用戶的優先級級別決定。

用戶所能訪問的命令包括用戶級別的命令以及低於用戶級別的命令。例如：級別為2的用戶可以訪問級別為0、1、2的命令。級別為3的用戶可以訪問所有3級以下的命令。

對用戶的驗證

配置用戶後，用戶登錄設備時，系統對用戶的身份進行驗證。

對用戶的驗證有2種方式：password驗證和AAA驗證。

虛擬文件系統，就是路由器存儲

管道符，就是過濾規則，查看display結果

管道符過濾規則有如下幾種:

·        管道符過濾規則include類型 + 正則表達式

·        管道符過濾規則begin類型 + 正則表達式

·        管道符過濾規則exclude類型 + 正則表達式

·        管道符過濾規則count類型

夏令時，為了節約電，人為調時間，以和天亮天黑相對應，免得天上還有太陽，路燈就亮了。

本文出自 “數通小子” 博客，請務必保留此出處http://dcboy.blog.51cto.com/8059630/1829398

文章來源：