Зачем необходимо настраивать каналы vty для коммутатора
Обновлено: 30.06.2024
Сетевые устройства могут работать в режимах, которые подразделяются на три большие категории.
Первая и основная категория- это передача данных (плоскость данных, data plane). Это режим работы коммутатора по передаче кадров, генерируемых устройствами, подключенными к коммутатору. Другими словами, передача данных является основным режимом работы коммутатора.
Во-вторых, управление передачей данных относится к настройкам и процессам, которые управляют и изменяют выбор, сделанный передающим уровнем коммутатора. Системный администратор может контролировать, какие интерфейсы включены и отключены, какие порты работают с какой скоростью, как связующее дерево блокирует некоторые порты, чтобы предотвратить циклы, и так далее. Так же важной частью этой статьи является управление устройством, осуществляемое через плоскость наблюдения (management plane). Плоскость наблюдения - это управление самим устройством, а не управление тем, что делает устройство. В частности, в этой статье рассматриваются самые основные функции управления, которые могут быть настроены в коммутаторе Cisco. В первом разделе статьи рассматривается настройки различных видов безопасности входа в систему. Во втором разделе показано, как настроить параметры IPv4 на коммутаторе, чтобы им можно было управлять удаленно. В последнем разделе рассматриваются практические вопросов, которые могут немного облегчить жизнь системного администратора.
ЗАЩИТА КОММУТАТОРА ЧЕРЕЗ CLI
По умолчанию коммутатор Cisco Catalyst позволяет любому пользователю подключиться к консольному порту, получить доступ к пользовательскому режиму, а затем перейти в привилегированный режим без какой-либо защиты. Эти настройки заданы в сетевых устройствах Cisco по умолчанию и, если у вас есть физический доступ к устройству, то вы спокойно можете подключиться к устройству через консольный порт или USB, используя соответствующий кабель и соответственно производить различные настройки.
Однако не всегда имеется физический доступ к коммутатору и тогда необходимо иметь доступ к устройствам для удаленного управления, и первым шагом в этом процессе является обеспечение безопасности коммутатора так, чтобы только соответствующие пользователи могли получить доступ к интерфейсу командной строки коммутатора (CLI).
НАСТРОЙКА ПАРОЛЬНОГО ДОСТУПА К КОММУТАТОРУ CISCO
В данной части рассматривается настройка безопасности входа для коммутатора Cisco Catalyst.
Защита CLI включает защиту доступа в привилегированный режим, поскольку из этого режима злоумышленник может перезагрузить коммутатор или изменить конфигурацию.
Защита пользовательского режима также важна, поскольку злоумышленники могут видеть настройки коммутатора, получить настройки сети и находить новые способы атаки на сеть.
Особенно важно, что бы все протоколы удаленного доступа и управления, чтобы IP-настройки коммутатора были настроены и работали.
Для того чтобы получить удаленный доступ по протоколам Telnet и Secure Shell (SSH) к коммутатору, необходимо на коммутаторе настроить IP-адресацию.
Чуть позже будет показано, как настроить IPv4-адресацию на коммутаторе.
В первой части статьи будут рассмотрены следующие вопросы защиты входа:
- Защита пользовательского режима и привилегированного режима с помощью простых паролей;
- Защита доступа в пользовательский режим с использованием локальной базы данных;
- Защита доступа в пользовательский режим с помощью внешних серверов аутентификации;
- Защита удаленного доступа с помощью Secure Shell (SSH);
ЗАЩИТА ПОЛЬЗОВАТЕЛЬСКОГО И ПРИВИЛЕГИРОВАННОГО РЕЖИМА С ПОМОЩЬЮ ПРОСТЫХ ПАРОЛЕЙ.
Получить полный доступ к коммутатору Cisco можно только через консольный порт.
В этом случае, настройки по умолчанию, позволяют получить доступ сначала к режиму пользователя, а затем можно перейти в привилегированный режим без использования паролей.
А вот по протоколам удаленного доступа Telnet или SSH получить доступ даже к режиму пользователя невозможно.
Настройки по умолчанию идут у совершенно нового коммутатора, но в производственной среде необходимо обеспечить безопасный доступ через консоль, а также включить удаленный вход через Telnet и/или SSH, чтобы была возможность подключаться ко всем коммутаторам в локальной сети.
Можно организовать доступ к сетевому оборудованию с использованием одного общего пароля.
Этот метод позволяет подключиться к оборудованию, используя только пароль - без ввода имени пользователя - с одним паролем для входа через консольный порт и другим паролем для входа по протоколу Telnet. Пользователи, подключающиеся через консольный порт, должны ввести пароль консоли, который был предварительно настроен в режиме конфигурации. Пользователи, подключающиеся через протокол Telnet, должны ввести пароль от Telnet, также называемый паролем vty, так называемый, потому что это режим конфигурации терминальных линий (vty). На рисунке 1 представлены варианты использования паролей с точки зрения пользователя, подключающегося к коммутатору.
Пример защиты доступа одним паролем, без ввода имени пользователя Пример защиты доступа одним паролем, без ввода имени пользователяКак видно из рисунка 1, на коммутаторах Cisco стоит защита привилегированного режима (enable) с помощью еще одного общего пароля, задаваемый командой enable password. Системный администратор, подключающийся к CLI коммутатора попадает в режим пользователя и далее, вводит команду enable.
Эта команда запрашивает у пользователя пароль входа в привилегированный режим; если пользователь вводит правильный пароль, IOS перемещает пользователя в привилегированный режим.
Пример 1. Пример входа в коммутатор из консоли, когда пароль консоли и пароль привилегированного режима были заранее установлены. Предварительно пользователь запустил эмулятор терминала, физически подключил ноутбук к консольному кабелю, а затем нажал клавишу Enter, чтобы войти в коммутатор.
В примере показаны пароли в открытом виде, как если бы они были набраны в обычном текстовом редакторе (cisco), а также команда enable, которая перемещает пользователя из пользовательского режима в привилегированный режим (enable). В реальности же IOS скрывает пароли при вводе, чтобы никто не смог увидеть их.
Чтобы настроить общие пароли для консоли, Telnet и привилегированного режима (enable), необходимо ввести несколько команд. На рис. 2 показан порядок задания всех трех паролей.
Команды настройки парольного доступа к коммутатору Команды настройки парольного доступа к коммутаторуНа рисунке 2 показаны два ПК, пытающиеся получить доступ к режиму управления устройством. Один из ПК подключен посредством консольного кабеля, соединяющейся через линию console 0, а другой посредством Telnet, соединяющейся через терминальную линию vty 0 15. Оба компьютера не имеют Логинов, пароль для консоли и Telnet -cisco. Пользовательский режим получает доступ к привилегированному режиму (enable) с помощью ввода команды "enable secret cisco". Для настройки этих паролей не надо прилагать много усилий. Все делается легко. Во-первых, конфигурация консоли и пароля vty устанавливает пароль на основе контекста: для консоли (строка con 0) и для линий vty для пароля Telnet (строка vty 0 15). Затем в режиме консоли и режиме vty, соответственно вводим команды:
Настроенный пароль привилегированного режима, показанный в правой части рисунка, применяется ко всем пользователям, независимо от того, подключаются ли они к пользовательскому режиму через консоль, Telnet или иным образом. Команда для настройки enable password является командой глобальной конфигурации: enable secret <пароль пользователя>.
В старых версиях, для задания пароля на привилегированный режим, использовалась команда password . В современных IOS применяется два режима задания пароля: password и secret .
Рекомендуется использовать команду secret , так как она наиболее безопасна по сравнению с password .
Для правильной настройки защиты коммутатора Cisco паролями необходимо следовать по шагам, указанным ниже:
Шаг 1. Задайте пароль на привилегированный режим командой enable secret password-value
Шаг 2. Задайте пароль на доступ по консоли
- Используйте команду line con 0 для входа режим конфигурирования консоли;
- Используйте команду liassword liassword-value для задания пароля на консольный режим;
- Используйте команду login для запроса пароля при входе по консоли;
Шаг 3. Задайте пароль на терминальные подключения vty (Telnet)
- Используйте команду line vty 0 15 для входа режим конфигурирования терминальных линий. В данном примере настройки будут применены ко всем 16 терминальным линиям;
- Используйте команду liassword liassword-value для задания пароля на режим vty;
- Используйте команду login для запроса пароля при входе по Telnet
В Примере 2 показан процесс настройки, согласно вышеописанным шагам, а также установка пароля enable secret . Строки, которые начинаются с ! - это строки комментариев. Они предназначены для комментирования назначения команд.
Пример 3 показывает результирующую конфигурацию в коммутаторе, выводимой командой show running-config . Выделенный текст показывает новую конфигурацию. Часть листинга было удалено, что бы сконцентрировать ваше внимание на настройке пароля.
В следующей статье рассмотрим тему защиты доступа в пользовательском режиме с помощью локальных имен пользователей и паролей.
понедельник, декабря 03, 2012
Управление оборудованием Cisco Systems
Хотя данный вариант был уже рассмотрен нами ранее. Вернемся к нему еще раз и поговорим о нем чуть подробнее. Данный тип подключения используется в следующих случаях:- При первоначальной настройке оборудования
- Если что то сломалось и вы не можете получить удаленный доступ к оборудованию
- Если вы находитесь рядом с оборудованием
 |
| Компьютер подключен к коммутатору консольным кабелем |
 |
| Вы подключились к коммутатору через консольный порт |
 |
| Использование telnet для получения доступа к консоли оборудования |
35 коммент.:
Другие источники советуют вместо password использовать secret, т.к. пароль, в таком случае будет хранится зашифрованным в конфигурационном файле. Думаю стоит об этом сказать если прозвучало слово безопасность =) Спасибо.
Сорри за комент, прочитал следующую статью.
Нет, в данном случае все правильно. Команду secret используют только в том случае если хотят указать пароль, хранящийся в зашифрованном виде, для перехода в привеллигированный режим (используют enable secret вместо enable pas). В данной статье команда enable pas не рассматривалась. Просто взять и заменить слово password на secret во всех командах данной статьи НЕЛЬЗЯ.
Сделал все как написано, через телнет не могу зайти. в чем проблема?
PC>telnet 192.168.1.1
Trying 192.168.1.1 . Open
[Connection to 192.168.1.1 closed by foreign host]
вот что выдает
Сбросьте конфигурацию вашего устройства, посмотрим.
P.S. не забудьте удалить (или заменить *) из конфигурации все пароли и критически важные моменты.
Я разобрался, спасибо большое! Когда вводил line vty 0 4, 0 и 4 не разделял пробелом. Исправил, все заработало. Только вот вопрос, ПК подключен к коммутатору, к этому SW подключено еще два SW, их я удаленно вижу и захожу, подключаю 3-й и на него зайти не могу. Пробовал, на порт, для 3 SW, подключать один из двух имующихся, все работает. Сколько вообще можно подключить sw?
Такой вопрос а вы можете пропинговать с ПК IP адрес SW3? Если нет, то у вас скорее всего неверно настроен транк со стороны коммутатора SW3.
Опять же, если хотите, сбросьте конфиги всех устройств. Посмотрим.
Спасибо! Я хочу сам попробовать под разобраться. Если не получится, то тогда Вам скину конфиги.
У меня еще один вопрос, я удаленно захожу на SW1, и с него не могу ни зайти ни на один SW ни пингануть, а с ПК все получается. В чем может быть проблема? или так нельзя? Все SW находятся в одном вилане
При подключении выдает Connection timed out; remote host not responding. У меня все SW в одной сети, а маски у всех разные. когда сделал у 2-х SW маски одинаковые все заработало. Так и должно быть? Или в пределах одной сети должен быть допуск независимо от маски?
Как же тогда управляют большими сетями?
В больших сетях как раз таки происходит разделение на сети и подсети, которые связаны между собой маршрутизаторами. В пределах одной сети устройствам задается одинаковый адрес сети и одинаковая маска подсети (на основание которой как раз таки и определяется адрес сети). Устройства имеющие одинаковый адрес сети будут видеть друг друга на прямую, а вот устройства имеющие разные адреса сети общаются через маршрутизаторы.
Следовательно для решения вашей проблемы задайте вашему ПК, и всем коммутаторам адреса из одно подсети, например из диапазона 192.168.1.1-254 с маской 255.255.255.0.
Спасибо большое за своевременную помощь и и развёрнутые понятные ответы. Если что буду к Вам обращаться, с Вашего позволения!
незачто, обращайтесь буду рад попробовать помочь.
могу и я полюбопытствовать (почти первый раз циску вижу): есть 2 здания, поднят сторонней компанией канал объединяющий их в локальную сеть, на основе или впн или влан по оптике, fg-fom4e мультиплексор, за ним безголовый длинк. Но его решили заменить на циску, 2960. проблема в том что циска не воспринимает этот самый мультиплексор. я грешу на настройки (влан на циске и ip, что уж в мультиплексоре незнаю. ) в локалке она пашет (через нее вам пишу) и пингуется. а когда переношу в пределы плекса ее не видно (пинга нет). Могли бы вы подсказать куда копать?:)
p.s. после плекса продолжается таже локальная сеть:0
Давайте попробуем разобраться вместе, но говорю сразу что fg-fom4e в глаза не видел не разу.
1. Если не затруднит нарисуйте схему вашей сети.
2. Видят ли fg-fom4e-мы на разных концах оптической линии друг друга.
3. Сбросьте пожалуйста конфиг 2960
4. Каким интерфейсом подключается 2960 к fg-fom4e
соответственно подключается по витой паре обычной. подсети одни и теже.
hostname @@@@@@
enable secret @@@@@@@@@@@@@@@@@@@@@@@@
enable password @@@@@@
no aaa new-model
vtp mode transparent
ip subnet-zero
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
vlan internal allocation policy ascending
vlan 15 name inet
vlan 111 name mange
vlan 2778
interface FastEthernet0/1 switchport access vlan 2778 switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/2 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0/3 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0/4 switchport access vlan 2778 switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0/5 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0/6
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/7
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/8
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/9
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/10
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/11
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/12
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/13
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/14
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/15
switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0/16
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/17
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/18
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/19
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/20
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/21
switchport access vlan 15
switchport mode access
interface FastEthernet0/22
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/23
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/24
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/25
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/26
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/27
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/28
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/29
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/30
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/31
switchport access vlan 15
switchport mode access
interface FastEthernet0/32
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/33
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/34
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/35
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/36
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/37
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/38
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/39
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/40
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/41
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/42
switchport trunk encapsulation dot1q
switchport trunk native vlan 2778
switchport mode trunk
interface FastEthernet0/43
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/44
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/45
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/46
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0/47
switchport access vlan 15
switchport mode access
interface FastEthernet0/48
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо.
Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации.
Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.
Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.
Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.
Среда
Начнём с того, в какой среде будем работать.
В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:
б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.
Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer'a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.
Способы подключения
- Telnet/ssh
- Терминальное подключение с рабочей станции через консольный кабель
- Web-интерфейс (Cisco SDM).
Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.
Управление по консоли
Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель.
Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так:
Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco:
Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:
Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet
После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.
Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название
Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:
Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров
Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.
Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:
Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение
Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:
Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал.
Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:
Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:
— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).
— Используйте горячие клавиши в консоли:
Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)
— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например.
Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):
begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.
В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:
Настройка доступа по Telnet
Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:
По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:
shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.
Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)
Настраиваем IP-адрес компьютера через Desktop.
И пробуем подключиться, выбрав Command Prompt в панели Desktop:
Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”
Пароли
Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:
0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий.
Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:
Настроим пароль для enable-режима:
Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:
Один мой знакомый рассказал мне историю:
Стоял он как-то курил возле одного из своих узлов, находящемся в жилом доме. С сумкой для инструментов, ноутбук в руках. Вдруг подходит двое алкашей с пакетом и предлагают купить, раскрывая пакет и показывая какой-то свич. Просят 500 рублей. Ну он купил. По меткам и модели свича парень сделал вывод какому провайдеру он принадлежит. Пришёл домой, начал ковырять — телнет закрыт, консоль запаролена. Слил конфиг по snmp. Пароли в открытом виде хранятся, имя с головой выдаёт провайдера. С их админом он знаком лично, позвонил ему вместо “Здрасьти” выдал логин и пароль в трубку. Слышно было, как скрипел мозг первые секунд 20: везде аксес-листы, авторизация, привязка к мак-адресу. Как?! В общем, всё хорошо, что хорошо кончается.
Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.
Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.
Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.
Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.
При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
При работе с access-list'ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.
Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды
Privilege Level
Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level.
Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.
privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах
privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1.
privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix'ах
Пример1
Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config
Пример2
Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username
В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.
После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.
Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.
Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль.
Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером.
Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:
Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.
Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.
Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее:
Ну и на сладенькое: сброс пароля
Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
OSI.
VLAN
Просто поразительно насколько халатно относятся к удаленному доступу большинство системных администраторов. Защита удаленного доступа к оборудованию - один из самых важных пунктов в любой политике безопасности. Данный параграф будет посвящен основным аспектам настройки удаленного доступа
Чаще всего в интернете можно встретить следующие инструкции по настройке VTY:
Как видим, в этом случае пароль задается непосредственно для VTY. Если попытаться подключиться с помощью telnet, то увидим следующее:
Здесь уже есть такой параметр как local, что означает использование локальной базы пользователей (т.е. у вас уже должен быть хотя бы один созданный username). При попытке удаленного доступа получим следующее:
Если ваше устройство не поддерживает функцию aaa new-model, то этот способ более предпочтителен, чем первый, т.к. требуется ввести не только пароль, но и имя пользователя.
Однако оба метода это устаревший вариант настройки. Как было сказано ранее, сейчас рекомендуется использовать aaa new-model. В параграфе по настройке консольного доступа (1.1.4) мы использовали следующие команды:
В этом случае, благодаря параметру default мы настроили не только доступ по консоли, но и для vty. При этом мы указали, что нужно использовать локальную базу пользователей (local).
Для настройки удаленного доступа используйте aaa new-model.
Думаю у большинства читателей возникал вопрос, что это за цифры 0 4? К тому же иногда встречаются 0 15. Что это значит? Эти цифры означают всего лишь возможное количество удаленных подключений. Если мы используем vty 0 4, то создается 5 (0,1,2,3,4) виртуальных линий (консолей), к которым могут подключаться пользователи. Если к устройству одновременно попытаются подключиться 6 человек, то последний (шестой) не сможет этого сделать, т.к. все линии будут уже заняты. Используя команду who можно посмотреть кто подключен к устройству и к какой линии.
Изначально оборудование cisco поддерживало именно 5 подключений. Но впоследствии эта цифра была увеличена до 16 (т.е. вариант vty 0 15). Если мы используем метод aaa new-model, то автоматически настраивается максимальное количество виртуальных линий. Если же вы используете login local, указав при этом параметр line vty 0 15, то после настройки в конфигурации можно увидеть следующее:
Т.е. 16 линий разделились на две группы: 0 4 и 5 15. Зачем это делается, однозначного ответа нет. Скорее всего это сделано для некого разграничения прав при удаленном подключении, однако на практике это редко используется. Как правило 5 виртуальных линий достаточно для любой организации. Дополнительные 11 линий (5 15), могут быть использованы для сторонних сервисов.
Читайте также: