Cisco 安全设备管理工具(SDM)配置详解

14.2.4 Cisco SDM安装配置（1）14.2.4 Cisco SDM安装配置（1）用户可以使用Cisco SDM快速容易地部署Cisco路由器，实现WAN接入和网络安全特性。

Cisco客户可以通过Cisco SDM降低Cisco路由器的所有成本，因为可以使用由Cisco工程师进行过端到端测试并已经过Cisco TAC批准的由Cisco SDM生成的配置。

内置于Cisco SDM中的配置检查有助于减少配置出错机会。

1．安装接口卡和连接路由器电缆在使用SDM配置路由器前必须先安装路由器适用的所有必需的硬件附件，如用来连接网络的WAN接口卡（WIC）、“网络模块”（NM）或高级接口模块（AIM）卡。

2．配置计算机并将其连接到路由器在使用SDM配置路由器前必须设置计算机使其与SDM实现通信。

SDM出厂时随附有默认配置文件，它会为路由器上的LAN接口分配一个IP地址，此时必须将计算机配置为与路由器的LAN接口位于同一子网中。

首先，确定是否将路由器配置为DHCP服务器。

如表14-1所示为已经配置为DHCP 服务器的路由器，此时，只需配置计算机以自动获取IP地址和DNS服务器IP地址，并将计算机上的以太网端口与路由器的LAN端口相连接即可。

14.2.4 Cisco SDM安装配置（2）14.2.4 Cisco SDM安装配置（2）表14-2所示为未配置DHCP服务器的路由器，此时，必须为计算机分配静态IP地址，可选的IP地址范围为10.10.10.2 ~ 10.10.10.6，子网掩码255.255.255.248，将“默认网关”和“DNS服务器”字段为空，然后将计算机连接至路由器相应端口。

表14-2 未配置为DHCP服务器的路由器14.2.4 Cisco SDM安装配置（3）14.2.4 Cisco SDM安装配置（3）3．登录路由器SDM在Windows XP、Windows 2000、Windows 2003、Windows Me、Windows NT 4.0（安装Service Pack4）或Windows 98的计算机上的Internet Explorer 5.5（或更高版本）和Netscape7.1下运行，同时支持1.4.2_05或更高版本的Java插件。

CISCO设备的基本操作网络设备交换机、路由器、防火墙、VPN……..共同特性有智能，能识别数据报文中的控制信息，对数据进行定向转发。

交换机能识别数据帧中的MAC地址信息，在同一网段转发数据。

效率比集线器高。

默认工作在第二层。

主要用于组建局域网。

路由器能识别数据报文中的第三层信息（IP地址），在不同网段转发数据。

主要用于连接局域网和广域网。

路由器的内部组件：主板 CPU 存贮系统接口存贮系统ROM 只读存贮器基本的引导文件 1 →FLASH 闪存操作系统IOS 2 → RAM 随机存贮器 NV RAM 非易失内存配置文件 3→启动顺序寄存器的值( 注册表)正常 1 2 3 0X2102特殊 1 2 0X2142 跳过配置文件（用于密码的恢复）路由器的接口类型：Router>sh ip int briefInterface IP-Address OK? Method Status ProtocolFastEthernet0/0 unassigned YES unset administratively down downFastEthernet0/1 unassigned YES unset administratively down downSerial0/0 unassigned YES unset administratively down downSerial0/1 unassigned YES unset administratively down downSerial0/2 unassigned YES unset administratively down downSerial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down downSerial1/3 unassigned YES unset administratively down down一、局域网接口RJ－45 （以太网接口）100M F0/0 F0/1 fast ethernet 模块化设备2600以上1000M G0/0 G0/110G Ten3/1二、广域网接口异步串行口（用于异步拨号网络，淘汰）同步串行口( 用于DDN和帧中继网络)（铜缆）2Mserial S0 S1 S0/0 S0/1V.24 最大支持64K 淘汰V.35 可支持64k-2MPOS接口（packet over SDH）POS 1/0/0 POS 1/0/1 SDH专线（光纤）155M插槽/模块/接口2M、4M、8M、10M…. 155M…622M …2.5G…10G…40G设备的登录在网络管理中，希望这些网络设备按我们的要求去工作→指令（相关参数）控制台console 命令行网络 1. telnet 命令行2. SDM WEB页面一．控制台方式登录。

问题与解答CISCO IOS 软件版本 12.3T问题：什么类型的客户会对部署 Cisco IOS®软件版本 12.3T 感兴趣？解答：思科建议需要实现以下目标的“企业”、“接入”和“服务提供商集团”客户使用版本 12.3T：• 通过增强安全性、提高分支机构的语音质量和功能性以及增强“服务质量”(QoS) 提高企业的生产率• 部署或升级 IPv6、NetFlow 以及相关管理功能• 部署需要安全互联网接入和企业网络连接的小型远程办公室和远程工作者• 实现新的内容分发功能、网络语音增强功能、改进的安全性以及有效的管理与部署工具问题：客户可以从哪里下载版本 12.3T？解答：访问 上的软件中心以下载任何版本的产品。

要下载版本 12.3T，请登录至 并访问：/kobayashi/library/12.3/index.shtml该网站还提供了 Cisco IOS 软件的软硬件兼容性与订购过程方面的有用信息。

请确保您已具备有效的 SMARTnet 合同或购买功能许可授权，以便访问和下载版本。

问题：部署版本 12.3T 有任何相关的特殊内存需求吗？解答：在安装 12.3T 之前，请咨询“Cisco IOS 升级规划人员”，了解内存需求。

因为内存需求取决于硬件产品和选择的映像特性集。

/go/iosplannerCisco IOS 软件版本的类型问题：版本 12.3T 是哪类版本？解答：版本 12.3T 是一个新技术版本 (T)，综合了主版本 12.3的功能、新功能、硬件支持以及特定应用版本。

问题：主版本与新技术版本之间有什么关系？解答：主版本合并了自前一版本系列后推出的所有新技术版本。

例如，主版本 12.3 合并了版本 12.2T 系列的所有功能和硬件支持。

主版本定期进行软件缺陷修复，但不加入新功能或硬件支持。

新技术版本派生于主版本，并使用相同的编号。

例如，版本 12.3T 派生于主版本 12.3。

Cisco 安全设备管理工具：SDMSDM(Security Device Manager)是Cisco公司提供的全新图形化路由器管理工具。

SDM在新版CCNP第三门课程ISCW1.0中重点讲解，该工具利用WEB界面、Java技术和交互配置向导使得用户无需了解命令行接口(CLI)即可轻松地完成IOS路由器的状态监控、安全审计和功能配置包括：QoS、Easy VPN Server、IPS、DHCP Server、动态路由协议等配置任务也可以利用SDM轻松而快捷地完成。

使用SDM可以简化网络管理员的工作量和出错的概率。

使用SDM 进行管理时，用户到路由器之间使用加密的HTTP连接及SSH v2协议，安全可靠。

目前Cisco 的大部分中低端路由器包括8xx, 17xx, 18xx, 26xx(XM), 28xx, 36xx, 37xx, 38xx, 72xx, 73xx等型号都已经可以支持SDM。

SDM在设备上默认Http(s)管理IP是10.0.10.1；所以如果采用默认配置登陆的话一定要保证PC的地址在10.0.10.0网段。

SDM的默认用户名是cisco，密码也是cisco.SDM程序既可以安装在PC上，也可以安装在路由器上。

安装在PC上能节约路由器的内存并且可以它来管理其他支持SDM管理的路由器，但是这种模式下不能执行恢复默认的操作，另外由于IE默认禁止网页访问本机资源，需要修改IE的安全设置（打开IE浏览器（以IE7.0为例）的工具菜单，选择“Internet选项”，选择“高级”选项卡，在“设置”里找到“允许活动内容在我的计算机上运行*，启用该功能；另外在“隐私”选项卡中将“打开窗口阻止程序”关闭）。

安装到路由器时基本安装需要大约4－5M Flash空间，组件Cisco SDM Express(需要1.5M Flash)只用于路由器的初始化配置无须安装。

SDM下载地址为：/pcgi-bin/tablebuild.pl/sdm(需要CCO账号)，下载并解压SDM-V21.zip，运行Setup程序即可进行SDM的安装。

快速入门指南Cisco 3800 系列集成多业务路由器快速入门指南包括许可证和担保信息1思科系统公司 90 天硬件保证条款第 2 页2概述第 3 页3文档、设备和工具第 4 页4安装机箱第 5 页5连接电缆第 16 页6启动路由器第 23 页7端口编号第 26 页8执行初始配置第 27 页9下一步是什么第 31 页10获取文档第 32 页11文档反馈第 32 页12获取技术支持第 32 页13获取其它出版物和信息第 34 页1 思科系统公司 90 天硬件保证条款专门针对用户可在保用期内享受的硬件保证及各种服务制定的适用条款。

在 网站上提供有正式的 Warranty Statement （保证声明），其中包括适用于 Cisco 软件的保证信息和许可证协议。

遵循以下步骤可访问 并下载Cisco Information Packet以及保证和许可证协议。

1.启动浏览器，然后转到此 URL：/univercd/cc/td/doc/es_inpck/cetrans.htm页面显示 Warranties and License Agreements。

2.要阅读Cisco Information Packet，请遵循以下步骤：a.单击Information Packet Number字段，并确认部件号 78-5235-03A0 突出显示。

b.选择您阅读文档所要使用的语言。

c.单击Go。

在 Information Packet 中显示 Cisco Limited Warranty and Software License 页。

d.阅读在线文档，或单击PDF图标采用“Adobe 可移植文档格式”(PDF) 下载并打印文档。

注意您必须具备 Adobe Acrobat Reader 才能查看和打印 PDF 文件。

您可从 Adobe 网站下载该程序，网址为：: 3.要阅读产品保证信息的译文和本地化版本，请遵循以下步骤：a.在 Warranty Document Number 字段中输入此部件号：78-5236-01C0b.选择您阅读文档所要使用的语言。

大家在学习其他技术的时候，尤其是一些初学者，总会找到一些图形化管理工具辅助管理，比如管理MySQL的PHPMyAdmin，管理Linux的Webmin，那么管理Cisco这种网络设备是不是也有图形化管理程序呢？答案是肯定，思科公司针对一些初级人员推出的图形化管理工具Cisco Router and Security Device Manager，也就是我们常说的SDM即可轻松的解决此问题，当然，不要有了图形化管理工具就不去学习思科技术了，图形化管理工具只是替代命令的工具，有了它大家可以不用去记那么多复杂的命令了，但是原理依然要掌握，不然如果你连什么是VPN都不知道，该如何去配置呢？看到这里相信你一定非常想一睹SDM的芳容，呵呵，不要着急，先做一下准备工作。

用到的工具有1、DynamipsGUI一款非常优秀的模拟软件，可以模拟真实的IOS环境，而非一般的模拟软件那样模拟命令，所以，在这款模拟器下你会有种错觉是在真实的环境。

不要以为他有多么难学，初学者可能感觉配置比较麻烦，但是用了一段时间你会发现这才是真正的模拟器，会对你日后接触真是机器有很大的帮助。

软件的官方网站是，大家可以到网站上下载最新版本，软件为免费软件，自愿注册，未注册版本只是在标题上显示未注册版本，不限制任何功能，与注册版功能完全相同。

2、SecureCRT一款非常优秀的远程连接管理软件，支持多种协议，使用方便。

推荐大家使用，包括以后到企业去工作，笔记本电脑中也是必须安装这个软件的。

我们用它来链接我们的网络设备。

3、unzip-c7200-advsecurityk9-mz.124-11.T.bin思科的大部分IOS都是支持SDM，如果你发现你的设备不支持，请下载最新版本的IOS。

4、jre-6u3-windows-i586-p-sJava的运行环境，SDM是基于Java开发的Web应用程序，所以，要Java虚拟机的支持。

5、SDM-V241-zh我们的主角，SDM，大家下载中文版，当然如果你的英文比较好也可以用英文的。

Cisco设备配置基本命令详解交换机支持的命令：switch: ；交换机的ROM状态1.rommon> ; 路由器的ROM状态hostname> ；用户模式hostname# ；特权模式hostname(config)# ；全局配置模式hostname(config-if)# ；接口状态交换机口令设置：switch>enable ；进入特权模式switch#config terminal ；进入全局配置模式switch(config)#hostname <hostname> ；设置交换机的主机名switch(config)#enable secret xxx ；设置特权加密口令switch(config)#enable password xxa ；设置特权非密口令switch(config)#line console 0 ；进入控制台口switch(config-line)#line vty 0 4 ；进入虚拟终端switch(config-line)#login ；允许登录switch(config-line)#password xx ；设置登录口令xxswitch#exit ；返回命令交换机VLAN设置：switch#vlan database ；进入VLAN设置switch(vlan)#vlan 2 ；建VLAN 2switch(vlan)#no vlan 2 ；删vlan 2switch(config)#int f0/1 ；进入端口1switch(config-if)#switchport access vlan 2 ；当前端口加入vlan 2 switch(config-if)#switchport mode trunk ；设置为干线switch(config-if)#switchport trunk allowed vlan 1，2 ；设置允许的vlan switch(config-if)#switchport trunk encap dot1q ；设置vlan 中继switch(config)#vtp domain <name> ；设置发vtp域名2.switch(config)#vtp password <word> ；设置发vtp密码switch(config)#vtp mode server ；设置发vtp模式switch(config)#vtp mode client ；设置发vtp模式交换机设置IP地址：switch(config)#interface vlan 1 ；进入vlan 1switch(config-if)#ip address <IP> <mask> ；设置IP地址switch(config)#ip default-gateway <IP> ；设置默认网关switch#dir flash: ；查看闪存交换机显示命令：switch#write ；保存配置信息switch#show vtp ；查看vtp配置信息switch#show run ；查看当前配置信息switch#show vlan ；查看vlan配置信息switch#show interface ；查看端口信息switch#show int f0/0 ；查看指定端口信息2. 路由器支持的命令：路由器显示命令：router#show run ；显示配置信息router#show interface ；显示接口信息router#show ip route ；显示路由信息router#show cdp nei ；显示邻居信息router#reload ；重新起动路由器口令设置：router>enable ；进入特权模式router#config terminal ；进入全局配置模式router(config)#hostname <hostname> ；设置交换机的主机名router(config)#enable secret xxx ；设置特权加密口令router(config)#enable password xxb ；设置特权非密口令router(config)#line console 0 ；进入控制台口router(config-line)#line vty 0 4 ；进入虚拟终端router(config-line)#login ；要求口令验证router(config-line)#password xx ；设置登录口令xxrouter(config)#(Ctrl+z) ；返回特权模式router#exit ；返回命令路由器配置：router(config)#int s0/0 ；进入Serail接口router(config-if)#no shutdown ；激活当前接口router(config-if)#clock rate 64000 ；设置同步时钟router(config-if)#ip address <ip> <netmask> ；设置IP地址router(config-if)#ip address <ip><netmask> second ；设置第二个IP router(config-if)#int f0/0.1 ；进入子接口router(config-subif.1)#ip address <ip><netmask> ；设置子接口IP router(config-subif.1)#encapsulation dot1q <n> ；绑定vlan中继协议router(config)#config-register 0x2142 ；跳过配置文件router(config)#config-register 0x2102 ；正常使用配置文件router#reload ；重新引导路由器文件操作：router#copy running-config startup-config ；保存配置router#copy running-config tftp ；保存配置到tftprouter#copy startup-config tftp ；开机配置存到tftprouter#copy tftp flash: ；下传文件到flashrouter#copy tftp startup-config；下载配置文件ROM状态：Ctrl+Break ；进入ROM监控状态rommon>confreg 0x2142 ；跳过配置文件rommon>confreg 0x2102 ；恢复配置文件rommon>reset；重新引导rommon>copy xmodem:<sname> flash:<dname> ；从console传输文件rommon>IP_ADDRESS=10.65.1.2 ；设置路由器IPrommon>IP_SUBNET_MASK=255.255.0.0 ；设置路由器掩码rommon>TFTP_SERVER=10.65.1.1 ；指定TFTP服务器IPrommon>TFTP_FILE=c2600.bin ；指定下载的文件3.rommon>tftpdnld ；从tftp下载rommon>dir flash: ；查看闪存内容rommon>boot ；引导IOS静态路由：ip route <ip-address> <subnet-mask> <gateway> ；命令格式router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ；静态路由举例router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ；默认路由举例动态路由：router(config)#ip routing ；启动路由转发router(config)#router rip ；启动RIP路由协议。