Первичная настройка маршрутизатора Cisco. Доступ.
Сподвигло на краткую систематизацию знаний о маршрутизации/коммутации в общем и применительно всего этого к Cisco в частности... Собственно что? Хочется понять, какие знания я усвоил сам, а какие вещи мне до конца пока непонятны. Субъективно, одно относится к другому примерно в пропорции 10/90...
И да, если есть желание более подробно ознакомиться с измышлениями на эту тему, подтянуть теорию, увидеть практику, то советую курс сетей для самых маленьких вот здесь. Всё предельно понятно и доступно. Прямо вот хоть бери и с нуля знакомься. Мы же представим, что у нас есть базовые знания о сетях, железках и конфигурировании. Ну ладно, не совсем есть, местами дыры.
Многое будет конспектом с уже названного выше курса, но это реверанс в сторону создавших его.
Настроим интерфейс для управления нашей новенькой (или не очень...) циской.
Для начала нужно войти в превилегированный режим командой enable, а все настройки будут производиться в режиме конфигурирования командой configure terminal. Также стоит сразу отметить, что настройка в режиме CLI (интерфейса командной строки) позволяет вводить команды не полностью, железяка сама понимает, что вы от неё хотите, если синтаксис команды является однозначным и не подразумевает разночтений.
Например, зададим IP-адрес (и, конечно, маску подсети) интерфейсу fa0/0 нашего маршрутизатора.
После стоит проверить, статус настроенного интерфейса, т.к. по-умолчанию у цисок они погашены во избежание сбора колец нерадивыми админами.
Включим его.
Это по сути универсальный способ отмены практически любой команды - поставить перед ней no.
Теперь остается настроить на интерфейсе подключаемого к циске устройства IP из той же подсети.
Если вы не знаете для чего это нужно, тут всё просто - управление неким сетевым устройством через консольный кабель с разъемом RS232 (или RJ45) это конечно очень хорошо, но чаще мы сталкиваемся с нуждой удаленного мониторинга и настройки. Об этом и поговорим.
Параметр password не подразумевает кодирования пароля в конфиге циски. Если мы хотим захэшировать пароль, то воспользуемся параметром secret, который превратить пасс в MD5-хэш.
Но после этих действий мы сможем работать удаленно только в самом обычном урезанном read-only режиме, т.к. при попытке входа в enable циска скажет нам % no password set.
Зададим его для превилегированного режима.
Всё, теперь enable-режим доступен для удаленного доступа.
0...15 - уровни привилегий от бомжа до рута.
2-14 - настраиваются вручную, опционально.
Для примера настроим всё так, чтобы телнетящийся на циску юзер получал сразу 15-ый левел прав.
Всё, теперь без ввода специального enable-пароля вы будете получать на циске рут-права.
Теперь сконфигурим свой левел привилегий, например, под номером 2, в котором нам будет доступна команда show running-config.
Теперь при заходе на циску, вводе пары логин-пароль и попытке входа в режим enable нас спросят о каком уровне привилегий мы говорим. Указываем 2-ой и вводим пароль для него.
Защита - это очень важно, поэтому жизненно необходимо настраивать безопасный доступ к нашей драгоценной циске. В этом нам поможет протокол SSH вместо абсолютно "голого" telnet.
Для начала поменяем хостнэйм и имя домена роутера, эти параметры впоследствии будут влиять на генерацию ключа шифрования и при их смене старые ключи, конечно, перестанут подходить.
Теперь введем длину ключа шифрования в битах. В изначальном виде доступ по SSH мы организовали.
Попробуем зайти на циску.
Отлично. Осталось запретить telnet-доступ посредством уже упомянутого виртуального терминала.
Будем разбивать статью на блоки для лучшего понимания и усвоения.
И да, если есть желание более подробно ознакомиться с измышлениями на эту тему, подтянуть теорию, увидеть практику, то советую курс сетей для самых маленьких вот здесь. Всё предельно понятно и доступно. Прямо вот хоть бери и с нуля знакомься. Мы же представим, что у нас есть базовые знания о сетях, железках и конфигурировании. Ну ладно, не совсем есть, местами дыры.
Многое будет конспектом с уже названного выше курса, но это реверанс в сторону создавших его.
Настроим интерфейс для управления нашей новенькой (или не очень...) циской.
Для начала нужно войти в превилегированный режим командой enable, а все настройки будут производиться в режиме конфигурирования командой configure terminal. Также стоит сразу отметить, что настройка в режиме CLI (интерфейса командной строки) позволяет вводить команды не полностью, железяка сама понимает, что вы от неё хотите, если синтаксис команды является однозначным и не подразумевает разночтений.
Настройка интерфейса
Например, зададим IP-адрес (и, конечно, маску подсети) интерфейсу fa0/0 нашего маршрутизатора.
Router# conf t
Router(config)# interface fastEthernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
После стоит проверить, статус настроенного интерфейса, т.к. по-умолчанию у цисок они погашены во избежание сбора колец нерадивыми админами.
Router# show ip interface brief
Interface IP-Address OK? Method Status Protocol
...
fastEthernet 0/0 192.168.1.1 YES manual administratively down down
...
Включим его.
Router# conf t
Router(config)# interface fastEthernet 0/0
Router(config-if)# no shutdown
Это по сути универсальный способ отмены практически любой команды - поставить перед ней no.
Теперь остается настроить на интерфейсе подключаемого к циске устройства IP из той же подсети.
Настройка удаленного доступа.
Telnet/SSH
Telnet/SSH
Если вы не знаете для чего это нужно, тут всё просто - управление неким сетевым устройством через консольный кабель с разъемом RS232 (или RJ45) это конечно очень хорошо, но чаще мы сталкиваемся с нуждой удаленного мониторинга и настройки. Об этом и поговорим.
Router(config)# aaa new-model
Router(config)# username admin password admin
Параметр password не подразумевает кодирования пароля в конфиге циски. Если мы хотим захэшировать пароль, то воспользуемся параметром secret, который превратить пасс в MD5-хэш.
Но после этих действий мы сможем работать удаленно только в самом обычном урезанном read-only режиме, т.к. при попытке входа в enable циска скажет нам % no password set.
Зададим его для превилегированного режима.
Router(config)# enable secret 1234
Всё, теперь enable-режим доступен для удаленного доступа.
Privilege level
0...15 - уровни привилегий от бомжа до рута.
2-14 - настраиваются вручную, опционально.
Для примера настроим всё так, чтобы телнетящийся на циску юзер получал сразу 15-ый левел прав.
Router(config)# line vty 0 4
Router(config-line)# privilege level 15
Всё, теперь без ввода специального enable-пароля вы будете получать на циске рут-права.
Теперь сконфигурим свой левел привилегий, например, под номером 2, в котором нам будет доступна команда show running-config.
Router(config)# user pooruser privilege 2 secret poorpass
Router(config)# privilege exec level 2 show running-config
Router(config)# enable secret level 2 12poorpass
Теперь при заходе на циску, вводе пары логин-пароль и попытке входа в режим enable нас спросят о каком уровне привилегий мы говорим. Указываем 2-ой и вводим пароль для него.
SSH
Защита - это очень важно, поэтому жизненно необходимо настраивать безопасный доступ к нашей драгоценной циске. В этом нам поможет протокол SSH вместо абсолютно "голого" telnet.
Для начала поменяем хостнэйм и имя домена роутера, эти параметры впоследствии будут влиять на генерацию ключа шифрования и при их смене старые ключи, конечно, перестанут подходить.
Router(config)# hostname R0
R0(config)# ip domain-name test
R0(config)# crypto key generate rsa
Теперь введем длину ключа шифрования в битах. В изначальном виде доступ по SSH мы организовали.
Попробуем зайти на циску.
PC> ssh -l admin 192.168.1.1
Open
Password:
Отлично. Осталось запретить telnet-доступ посредством уже упомянутого виртуального терминала.
R0(config)# line vty 0 4
R0(config-line)# transport input ssh
Будем разбивать статью на блоки для лучшего понимания и усвоения.