掌握 CLI 操作:如何使用 Console 電纜和 SSH
Zyxel Employee
介紹
本文介紹如何使用 USG FLEX、VPN 防火牆、交換器、AP 透過 Console 電纜使用 CLI/命令列介面。如何使用 Console 電纜透過 Putty 或 TeraTerm 登入並獲得控制台存取權限、存取Web GUI CLI,以及如何使用 debug kernel console-level 8 來排除重新啟動/崩潰問題/問題。
命令列介面是一個管理介面,可以透過多種方式存取,包括 SSH 和實體 Console 電纜連接。本篇文章將讓您深入了解如何存取 Zyxel 設備的 CLI(命令列介面)。
內容大綱
1 - 如何使用 Console 電纜
1 - 1 - 命令列介面軟體
1 - 2 - 透過 Console 電纜進行 CLI 存取(使用 TeraTerm)
1 - 3 - 透過 SSH 進行 CLI 存取(使用 PuTTY)
1 - 4 - 透過 Web GUI(Web 介面)進行 CLI 訪問
1 - 5 - 哪些設備可以存取 CLI?
1 - 6 - 我可以用 CLI 做什麼?
2 - 如何在防火牆崩潰/異常重啟後診斷問題
1 - 如何使用 Console 電纜
1 - 1 - 命令列介面軟體
您可以使用終端控制軟體,例如 PuTTY 或 TeraTerm。本篇文章,我們將使用 PuTTY 進行 SSH 連接與 TeraTerm 進行 Console 連接示範。
免責聲明:我們與 puTTY 和 TeraTerm 沒有任何隸屬關係,並出於演示和學習目的展示這些程式的使用 - 使用這些應用程式的風險由您自行承擔。
PuTTY -
TeraTerm -
1 - 2 - 透過 Console 電纜進行 CLI 存取(使用 TeraTerm)
使用 USB 轉 RS232 Console 電纜(也稱為“serial connection”或“SUB-D 9-pol”)並連接到您的 PC 以及路由器 - Console 電纜應如下圖所示
我們的一些小型防火牆使用 RJ-45 Console 連接而不是 RS232 連接,並且包裝內容中包含 RJ45 Console 電纜:
下面您可以看到 RS232 Console 連接埠(在防火牆和交換器硬體上突出)以及我們的小型企業路由器(例如 USG20W)上的 RJ-45 Console 的圖片:
For USG FLEX H Series
預設 Console 參數
Speed: 115200 bps
Data Bits : 8
Parity : None
Stop Bit : 1
Flow Control : Off
使用 RJ45 Console 埠 -> 將 Console 電纜針腳變更為常規
USG FLEX H Console 電纜與 ATP/USG FLEX 系列 Console 電纜不相容
現在我們已經初步了解硬體相關的部分,接下來讓我們回到軟體方面。
最終,您通常需要安裝 USB 轉 RS232 電纜附帶的其他驅動程序,或安裝應用程式的通用驅動程式。完成此操作後,在大多數情況下,您可以在裝置管理員中看到列出的“COM”介面:
完成此操作後,使用上面列出的鏈接下載 TeraTerm 並安裝該應用程式。
在 TeraTerm 上,Serial 選擇裝置管理員先前列出的 COM 介面:
點選 OK 進入 Console 介面
前往【Setup > Serial port】調整 Console Speed
在此選單中,我們只需要調整 Speed,其餘部分請保持預設:
我們的許多交換器的預設 Speed 為 9600,而我們產品組合中的所有防火牆和 AP 的 Speed 為 115200。當前範例為防火牆,因此選擇 115200 並點擊「New setting」儲存設置,然後返回控制台選單(黑屏),按任何按鈕以新的速率嘗試連接 Console 介面。
然後,您可以輸入防火牆使用者名稱和密碼(輸入時密碼不會顯示任何字符,因此只需繼續輸入並在完成後按“Enter”鍵即可)。只要輸入正確的帳號密碼,即可登入設備,這將透過以下方式顯示
您可以開始輸入不同的 CLI 指令,設備指令可以在 CLI 參考指南中查詢,您可透過 https://download.zyxel.com 取得。
1 - 3 - 透過 SSH 進行 CLI 存取(使用 PuTTY)
透過上面的鏈接下載 PuTTY 並啟動應用程式。在 「Host Name」,輸入防火牆的 IP 位址(通常是 LAN1 介面,預設為 192.168.1.1)。Port 維持預設值 22 ,Connection type 選擇 SSH ,然後按下「Open」進行連接:
SSH 連線會檢查憑證,但防火牆出廠皆為自簽憑證,因此會出現此告警通知,請點選 Accept 即可 :
輸入設備帳號密碼,即可完成登入。(輸入密碼沒有顯示字符為正常狀況)
出現 【Router>】即表示登入成功,您可以繼續輸入指令執行動作。
若您希望將連線過程產生的資訊記錄下來,請參考下圖,點選電腦連接圖示 > Change Settings
前往 Session > Logging ,Session logging 選擇 All session output
1 - 4 - 透過 Web GUI(Web 介面)進行 CLI 訪問
防火牆您透過網頁瀏覽器存取命令列介面。請登入設備,然後點擊頂部圖示欄最左側的圖示:
這使您無需任何其他軟體即可存取設備的 CLI.
1 - 5 - 哪些設備可以存取 CLI?
這些存取 CLI 的方法幾乎適用於我們所有的專業商用設備,這意味著 AP 的 NWA/WAC/WAX 系列,交換器的 (X)GS1350/1900/1920/1930/2210/2220/3800/4600 以及我們目前的整個ZyWall/USG/USG FLEX/ATP/VPN 產品組合都支援。
請注意:由於部分 AP 上缺少 Console 埠連接,AP CLI 的可訪問性僅限於 SSH。
1 - 6 - 我可以用 CLI 做什麼?
CLI 將允許透過相關命令進行更詳細的分析和調試。但它還提供了一些不錯的快速檢查功能,例如資料包追蹤、不同分區的韌體版本、顯示設備當前的配置等,以及許多其他命令。您可以在此處查看有用命令的清單:Overview of Helpful CLI Commands for USG Series (Best Practice)
2 - 如何在防火牆崩潰/異常重啟後診斷問題
對於進階偵錯案件,您可以透過非常簡單的步驟,如下圖指導下,將控制台輸出記錄在文字檔案中。本章節還協助您在 Zyxel 防火牆上建立長期的除錯方式。
輸入以下命令以獲得更底層的除錯日誌:
debug kernel console-level 8
讓連線保持開啟狀態,直到 CLI 記錄了相關紀錄(在此範例中,防火牆沒有發生任何問題,因此沒有產生任何日誌)
前往【文件 > 日誌】,可以將產生的訊息自動儲存成文字檔。
您可以存取您建立的文字文件,它將顯示所有輸入的命令和結果:
