Управление устройствами Cisco
Сейчас мы говорим о сетевом оборудовании Cisco, но всё это в общем и целом применимо к другим вендорам. Какие основные способы удаленного управления можно использовать?
CONSOLE
Не слишком удаленное управление, но всё же. Для дальнейшей работы с консолью нужно создать учетную запись. В примере ниже запилим юзера с минимальным уровнем привилегий:
Switch(config)#username test privilege 1 password 123
Switch(config)#line console 0
Switch(config-line)#login localПри этом пользователю ничего не мешает войти в привилегированный режим командой enable, если он знает от него пароль. С level 15 он окажется в этом режиме сразу по-умолчанию. Командой line console 0 мы тем временем попали в режим конфигурирования консоли, а login local сделает так, что при попытке захода на Cisco через консоль у пользователя спросят данные учетной записи, при этом информация будет браться из локальной базы пользователей. А если сделать таким образом, то будет запрашиваться исключительно пароль:
Switch(config)#line console 0
Switch(config-line)#password 123
Switch(config-line)#loginТо есть имя пользователя вводить не нужно, система сразу спросит у вас пасс.
WEB
Способ это крайне неправославный, олдфаги и просто здравомыслящие люди не приемлют отсутствия интерфейса командной строки. Но так уж и быть...
Допустим наш ПК подключен к интерфейсу коммутатора из системного влана (VLAN 1, управляющий по-умолчанию) и имеет IP 192.168.1.2/24 со шлюзом 192.168.1.1. Для настройки связи между ними настроим коммутатор так:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdownТеперь в браузере на компьютере попробуем зайти на http://192.168.1.1. Отлично, мы счастливы. Но вообще через веб оборудование редко настраивают и мониторят. Это небезопасно и не так гибко в плане конфигурирования, поэтому давайте сразу отрубим web-доступ.
Router(config)#no ip http server
Router(config)#no ip http secure-serverTELNET
Телнет позволит вам удобно усевшись в кресле ковырять свою умную железку. Настроим это в первом приближении. У нас всё тот же ПК с IP 192.168.1.2/24 и шлюзом 192.168.1.1, а циску мы в таком случае настроим так:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.1.1 255.255.255.0
Switch(config-if)#no shutdown
Switch(config-if)#exit
Switch(config)#line vty 0 4
Switch(config-line)#password 123С настройкой адреса интерфейса всё ясно, а дальше командой line vty 0 4 мы начинаем конфигурировать линии виртуальных терминалов и с помощью password 123 задаем соответствующий пароль.
Внимание! Если не настроить пароль для терминала, то при попытке удаленного доступа вы получите сообщение Connection to 192.168.1.1 closed by foreign host и у вас будет дикий баттхёрт!
Проверяем: telnet 192.168.1.1
Циска спросит у нас пароль и мы попадем в её CLI. Если хотите, чтобы с вас спрашивали и логин, то скажите циске:
Switch(config)#line vty 0 4
Switch(config-line)# login localКонечно, предварительно создав на оборудовании учетку юзера.
SSH
Думали, что мы успокоимся на телнете? Как бы не так! Штука в том, что передаваемые через телнет данные не шифруются, а значит легко поддаются перехвату, чего нам естественно не нужно. Во избежание такой ситуации используется SSH. Выполним следующее для настройки:
Router(config)#hostname test
test(config)#ip domain name test.test
test(config)#username test password 123
test(config)#ip ssh version 2
test(config)#crypto key generate rsa
test(config)# line vty 0 4
test(config-line)#transport input ssh
test(config-line)#login localСначала задаются имя хоста и домен, которые понадобятся в процессе генерации ключа. Далее командой ip ssh version 2 мы говорим, что будем использовать SSH версии 2. И, наконец, командой transport input ssh вешается запрет на доступ к виртуальному терминалу как-либо кроме протокола SSH.
