Cisco для новичков. Часть 1.Первоначальная настройка маршрутизатора Cisco
начну с того, что на 18XX 28XX и почих маршрутизаторах 8 серии подключение и первоначальная настройка оборудования осуществляется через консольный порт с разъемом RJ-45, обычно, кабель для настройки идет в комплекте, представляет из себя RJ-45 на RS-232 голубого цвета. Оборудование 19XX 29XX серий помимо консольного порта RJ 45 имеет консольный порт MiniUSB (Что значительно удобнее при настройке оборудования имея под рукой ноутбук с отсутствующим COM портом). Для настройки оборудования через MiniUSB нам понадобится драйвер эмуляции
Далее в Device Manager появится Cisco Serial где можно настроить номер порта.
Установка соединения осуществляется со стандартными значениями – 9600 бод/8 бит данных/1 стоп бит/без проверки четности и контроля прохождения. В Windows – системах вы можете использовать putty, в Linux cu или minicom. В дальнейшем, когда маршрутизатору будет присвоен IP-адрес для настроек будем использовать ssh, но первый раз без консольного подключения не обойтись.
Открываем Putty, выбираем тип подключения Serial порт COM7 ( У меня он COM7) нажимаем 2 раза [Enter] и видим меред собой командную строку с приглашением роутера
Router>
Переходим в превелегированный режим командой enable
Router>enable
Router#
удаляем имеющуюся конфигурацию, находящуюся во флэш-памяти, и перезагружаем маршрутизатор:
Router#erase startup-config
Router#reload
Ждем пока роутер перезагрузится, наблюдая за процессом загрузки в окне консоли, после чего снова переходим в превилигированный режим
Router>enable
Переходим в конфигурационный режим и даем команду hostname:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0
Gw0(config)#
Включим режим хранения паролей в файле конфигурации устройства в зашифрованном виде:
Gw0(config)#service password-encryption
Отключим управление маршрутизатором через http и https и CDP
Gw0(config)#no ip http server
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Зададим пароли на подключения через консольный порт
Gw0(config)#line con 0
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
И Telnet
Gw0(config)#line vty ? О, сколько он там сказал доступно? 0-1441 значит line vty 0 1441 ))
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Зададим пароль на Enable режим
Gw0(config) enable secret пароль_enable_режима
Перейдем к настройке интерфейса внутренней сети. Если маршрутизатор имеет гигабитные порты то названия портов можно сократить как Gi 0/0 (Gigabit ethernet) , если 100 Мбитные то скорее всего это будут Fa (fast ethernet)
В принципе, если вы сомневаетесь в команде, нажмите TAB — в командной строке команда дописалась? значит норма, не помните что вводить? введите знак вопроса… IOS выдаст вам все доступные команды в данном контексте.
Gw0(config) #interface Gi 0/0
Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Задаем dns-сервера
Gw0(config)# ip name-server 192.168.0.2
Все, маршрутизатор доступен телнетом по 192.168.0.1
Записываем конфигурацию в память командой
Gw0# copy running-config startup config или командой wr
В следующей статье,собственно, мы отключим доступ на маршрутизатор через telnet (Ибо не секюрно ) и настроим доступ к нему используя SSH.
Support
This chapter provides procedures for configuring the basic parameters of your Cisco router, including global parameter settings, routing protocols, interfaces, and command-line access. It also describes the default configuration on startup.
Note Individual router models may not support every feature described throughout this guide. Features not supported by a particular router are indicated whenever possible.
This chapter contains the following sections:
•Interface Port Labels
•Viewing the Default Configuration
•Information Needed for Configuration
•Configuring Basic Parameters
•Configuring Static Routes
•Configuring Dynamic Routes
•Configuring Enhanced IGRP
Each section includes a configuration example and verification steps, as available.
For complete information on how to access global configuration mode, see the «Entering Global Configuration Mode» section in Appendix A, "Cisco IOS Basic Skills." For more information on the commands used in the following tables, see the Cisco IOS Release 12.3 documentation set.
Interface Port Labels
Table 1-1 lists the interfaces supported for each router and their associated port labels on the equipment.
Viewing the Default Configuration
When you first boot up your Cisco router, some basic configuration has already been performed. All of the LAN and WAN interfaces have been created, console and VTY ports are configured, and the inside interface for Network Address Translation has been assigned. Use the show running-config command to view the initial configuration, as shown in Example 1-1.
Example 1-1 Cisco 851 Default Configuration on Startup
Information Needed for Configuration
You need to gather some or all of the following information, depending on your planned network scenario, prior to configuring your network
•If you are setting up an Internet connection, gather the following information:
– Point-to-Point Protocol (PPP) client name that is assigned as your login name
–PPP authentication type: Challenge Handshake Authentication Protocol (CHAP) or Password Authentication Protocol (PAP)
–PPP password to access your Internet service provider (ISP) account
–DNS server IP address and default gateways
•If you are setting up a connection to a corporate network, you and the network administrator must generate and share the following information for the WAN interfaces of the routers:
–PPP authentication type: CHAP or PAP
–PPP client name to access the router
–PPP password to access the router
•If you are setting up IP routing:
–Generate the addressing scheme for your IP network.
–Determine the IP routing parameter information, including IP address, and ATM permanent virtual circuits (PVCs). These PVC parameters are typically virtual path identifier (VPI), virtual circuit identifier (VCI), and traffic shaping parameters.
–Determine the number of PVCs that your service provider has given you, along with their VPIs and VCIs.
–For each PVC determine the type of AAL5 encapsulation supported. It can be one of the following:
AAL5SNAP—This can be either routed RFC 1483 or bridged RFC 1483. For routed RFC 1483, the service provider must provide you with a static IP address. For bridged RFC 1483, you may use DHCP to obtain your IP address, or you may obtain a static IP address from your service provider.
AAL5MUX PPP—With this type of encapsulation, you need to determine the PPP-related configuration items.
•If you plan to connect over an ADSL or G.SHDSL line:
–Order the appropriate line from your public telephone service provider.
For ADSL lines—Ensure that the ADSL signaling type is DMT (also called ANSI T1.413) or DMT Issue 2.
For G.SHDSL lines—Verify that the G.SHDSL line conforms to the ITU G.991.2 standard and supports Annex A (North America) or Annex B (Europe).
Once you have collected the appropriate information, you can perform a full configuration on your router, beginning with the tasks in the «Configuring Basic Parameters» section.
Configuring Basic Parameters
Configure Global Parameters
Perform these steps to configure selected global parameters for your router:
For complete information on the global parameter commands, see the Cisco IOS Release 12.3 documentation set.
Configure Fast Ethernet LAN Interfaces
The Fast Ethernet LAN interfaces on your router are automatically configured as part of the default VLAN and as such, they are not configured with individual addresses. Access is afforded through the VLAN. You may assign the interfaces to other VLANs if desired. For more information about creating VLANs, see Chapter 5 «Configuring a LAN with DHCP and VLANs.»
Configure WAN Interfaces
The Cisco 851 and Cisco 871 routers each have one Fast Ethernet interface for WAN connection. The Cisco 857, Cisco 877, and Cisco 878 routers each have one ATM interface for WAN connection.
Based on the router model you have, configure the WAN interface(s) using one of the following procedures:
•Configure the Fast Ethernet WAN Interface
•Configure the ATM WAN Interface
Configure the Fast Ethernet WAN Interface
This procedure applies only to the Cisco 851 and Cisco 871 router models. Perform these steps to configure the Fast Ethernet interface, beginning in global configuration mode:
Тренинг Cisco 200-125 CCNA v3.0. День 19. Начало работы с роутерами
Сегодняшний урок представляет собой вводную информацию о роутерах Cisco. Прежде чем приступить к изучению материала, хочу поздравить всех, кто смотрит мой курс, потому что видеоурок «День 1» на сегодня просмотрели почти миллион человек. Я благодарю всех пользователей, которые внесли свой вклад в изучение видеокурса CCNA.
Сегодня мы изучим три темы: роутер как физическое устройство, небольшое введение в маршрутизаторы Cisco и начальная настройка роутера. На этом слайде показано, как выглядит типичный роутер модели 1921 производства Cisco.
В отличие от свитча, имеющего множество портов, типичный роутер имеет всего 2 порта для подключения, в данном случае это порты Gigabit Ethernet GE0/0 и GE/1 и разъем USB. Роутер также имеет слоты под модули расширения и 2 консольных порта, в том числе 1 USB-порт. Отличительной чертой роутеров Cisco является наличие выключателя – свитчи Cisco выключателей не имеют. Обычно передняя часть роутера выглядит так, как показано в левой нижней части слайда. На задней панели роутера расположены гнезда для подключения кабелей. В данном случае кабель из слота GE0/0 или GE/1 подключается к свитчу.
Справа внизу показан модуль расширения NME-X 23-ES-1GP, который можно вставить в роутер, сняв панели-заглушки. Используя такие модули, можно расширить возможности обычного роутера Cisco в соответствии с вашими потребностями. Как известно, продукция Cisco в силу своей сложности и широкой функциональности достаточно дорога, поэтому пользователь имеет возможность не переплачивать за устройство с более широкими возможностями, чем ему требуется. Купив простой роутер на 2 порта, вы можете по мере развития сети докупать необходимые модули расширения. В целом устройства Cisco способны выполнять множество функций. Роутеры изобрела не Cisco, но именно роутеры сделали Cisco той компанией, которую мы сегодня знаем. Cisco начала массовое производство роутеров, обладающих высочайшим качеством, что обеспечило этой продукции лидирующее положение на рынке сетевых устройств.
Cisco называет себя софтверной компанией, то есть компанией, производящей программное обеспечение. Аппаратное обеспечение, аналогичное «железу» Cisco, может изготовить любой производитель, например, Китай, закупив соответствующую начинку. Но именно программное обеспечение Cisco IOS делает устройства этой компании тем, чем они являются на самом деле. Компания по-настоящему гордится этой операционной системой, которая запускается на всех устройствах Cisco – как свитчах, так и роутерах.
Важнейшим изобретением Cisco является также технология CEF Enhanced, или Cisco Express Forwarding. Она обеспечивает очень быструю передачу пакетов, практически на максимальной скорости, которую позволяют технические возможности сети. Это стало возможно благодаря интегральным схемам специального назначения Cisco ASIC — Application Specific Iintegrated Сircuitry, которые заставляют свитч передавать пакеты практически на скорости сети.
Как я говорил, роутер в большей степени софтверное устройство, поэтому решения маршрутизации принимаются операционной системой Cisco IOS.
Вы знаете, что существуют дорогие графические карты для компьютерных игр. Так вот, если у вас нет такой карты, все громоздкие вычисления, 3D-анимацию и сложную обработку графики выполняет ваша операционная система, нагружая процессор компьютера. Если у вас установлена мощная видеокарта с собственным процессором GPU и своей памятью, производительность в играх возрастает во много раз, поскольку графической частью занимается отдельное «железо».
Аналогичным образом работает свитч, потому что все решения по коммутации пакетов принимаются отдельным «железом», не нагружая роутер, в котором эти решения должно было бы принимать программное обеспечение. Cisco использует полу-софтверную, полу-хардверную технологию CEF, которая принуждает роутер принимать ускоренные решения по маршрутизации. Эта функция присуща только роутерам компании Cisco.
Мы уже рассматривали, как выполнять начальную настройку параметров свитча, и поскольку настройка роутера производится аналогичным образом, я расскажу вам о ней очень быстро. Я открою программу Cisco Packet Tracer и выберу роутер модели 1921, затем открою окно консоли IOS, в котором можно увидеть, как выполняется загрузка операционной системы этого роутера.
Вы видите, что у нас загрузилась версия 15.1, это последняя версия IOS, объём памяти равен 512 Мб, платформа CISCO 2911, далее расположены остальные параметры операционной системы, тест образа IOS, и конечно, здесь имеется лицензионное соглашение и прочие подобные вещи.
Я сделаю отдельное видео, посвященное исключительно Cisco IOS, или же просто расскажу о различных службах этой операционной системы. Скажу лишь, что по номеру версии вы можете определить, какими возможностями и функциями обладает данная ОС. Начиная с 15.1, все версии IOS являются универсальными, то есть в зависимости от лицензии, которую приобретает пользователь, он может воспользоваться различными функциями системы. Например, если вам нужно обеспечить повышенную безопасность сети, вы покупаете лицензию сервиса безопасности, если вам нужны функции голосовой службы – лицензию голосового сервиса и т.д.
До версии 15.1 роутеры имели ОС с разными версиями – Basic, Security, Enterprise, Voice Enable и так далее. Допустим, роутер моего друга имел версию Enterprise IOS, а у меня стояла версия Basic IOS, при этом ничто не мешало мне взять версию друга и установить её на свой роутер, потому что Cisco не использовала концепцию лицензий ОС.
Начиная с версии 15.1, компания стала применять концепцию вариантов лицензий, и до тех пор, пока вы не приобрели соответствующий ключ, вы не можете использовать какой-либо дополнительный сервис операционной системы. Немного позже, когда мы будем рассматривать лицензионную политику Cisco, я расскажу вам о разных версиях IOS. Пока же можете не обращать на это никакого внимания и переходить прямо к логу загрузки.
В конце лога вы видите описание «железа», на котором запустилась система: марку процессора, 3 гигабитных интерфейса, 64-битную DRAM, 256 Кб энергонезависимой памяти. Такой объем памяти кажется слишком маленьким, но для роутера, принимающего решения маршрутизации, этого вполне достаточно. Эту память не стоит сравнивать с памятью вашего компьютера, так это совершенно разные вещи.
Лог загрузки Cisco IOS заканчивается вопросом: «Продолжить диалогом настройки? Да/Нет». Если вы ответите «Да», система проведет вас через серию вопросов, отвечая на которые, вы выполните начальную конфигурацию устройства.
В процессе изучения курса CCNA вы не должны этого делать, поэтому всегда отвечайте «Нет» на данный вопрос. Конечно, вы можете выбрать ответ «Да» и пролистать настройку конфигурации, но поскольку вы не знаете, как её выполнять, лучше выбирайте ответ «Нет».
Выбрав «Нет» и нажав RETURN, мы перейдём к подсказкам командной строки, в которой можно набирать различные команды. Как и в случае со свитчем, в начале наберем команду Router > enable, чтобы перейти в привилегированный режим настроек. Затем я набираю config t (configure terminal) и попадаю в режим глобальной конфигурации.
Давайте быстро пробежимся по командам. Я хочу изменить имя хоста, поэтому использую команду hostname R1, далее идут команды отрицания, поэтому я сначала прошу показать мне интерфейсы роутера с помощью команды do show ip interface brief. Мы видим, что порт Gigabit Ethernet 0/0 находится в режиме administratively down, поэтому я использую команды int gigabitEthernet 0/0 и no shutdown. После этого состояние порта меняется на up. Если снова взглянуть на состояние интерфейсов роутера, видно, что теперь данный порт имеет статус «включен». Состояние протокола остаётся в положении down, потому что к нашему роутеру ничего не подсоединено, а при отсутствии трафика он пребывает в отключенном состоянии. Но как только на порт роутера поступит трафик, протокол поменяет статус на up.
Далее нужно установить пароль на консоль. Для этого я печатаю команды line con 0, password console и do show run, чтобы убедиться, что пароль на консоль был установлен. Проверка пароля будет производиться только после того, как я введу команду login. Теперь консольный порт роутера защищен паролем.
Я уже рассказывал вам о шифровании паролей. Представьте, что кто-то получил доступ к текущей конфигурации этого устройства. Поскольку в ней прекрасно видно установленный пароль, этот человек может легко его украсть, чтобы в любое время зайти в настройки роутера и взломать систему.
Одним из способов включить шифрование пароля является использование команды service password-encryption. Поскольку по умолчанию эта команда использована с командой отрицания no и имеет вид no service password-encryption, шифрование пароля не выполняется. Давайте перейдём в режим глобальной конфигурации, напечатаем команду service password-encryption и нажмем «Ввод». Эта команда означает, что система берет текстовый пароль, который я установил, и зашифровывает его.
Теперь, если посмотреть на текущую конфигурацию с помощью команды do show run и перейти к строке пароля, можно увидеть, что пароль седьмого типа принял вид случайной последовательности цифр. Теперь, если кто-то из ваших коллег сможет заглянуть через ваше плечо и увидеть этот пароль, ему будет очень трудно запомнить эту последовательность. Таким образом, мы создали первую линию обороны системы безопасности доступа.
Но даже если ему удастся скопировать этот пароль, зайти в настройки и попытаться вставить его в строку password, система не даст доступ к настройкам, потому что этот набор цифр не сам пароль, а его зашифрованное значение. Правильный пароль – это слово console, и когда я его введу, то получу доступ к консольному порту. Таким образом, даже если кто-то скопирует эти цифры, то все равно не сможет получить доступ к устройству.
Однако на самом деле мы ошибаемся, потому что все, что нужно злоумышленнику – это зайти на сайт, который позволяют легко расшифровать пароли Cisco седьмого типа. Достаточно войти на страницу сайта, ввести скопированные цифры, и вы получите расшифрованный пароль, в нашем случае это слово console. Теперь хакеру достаточно скопировать это слово, вернуться в настройки IOS и вставить его в строку запроса пароля.
В данном случае простая функция Enable Password не обеспечивает нужную безопасность. Лучший способ обеспечить защиту – это использовать команду enable secret cisco. Если после этого посмотреть на текущую конфигурацию, видно, что значение пароля теперь представляет собой набор самых разных символов. В данном случае использован пятый тип паролей Cisco.
Расшифровать пароль такого типа в режиме онлайн невозможно, так что теперь консоль вашего устройства находится в полной безопасности.
Далее нужно установить пароль на Telnet. Для этого я набираю команду line vty 0 4, что позволит пользоваться данным роутером 5-ти человекам, и ввожу команду password telnet. Теперь, если кто-то захочет соединиться с роутером по протоколу Telnet, ему нужно будет ввести данный пароль – слово telnet.
Далее для свитча мы выполняли настройку IP-адреса Management IP, потому что свитч относится ко 2-му уровню OSI. Однако роутер является устройством 3-го уровня, и это означает, что каждый порт роутера имеет свой собственный IP-адрес.
В свитче мы переходили к настройкам VLAN1 или к настройкам любой другой сети, в которой нужно было прописать IP-адрес. Мы создавали виртуальные интерфейсы и присваивали им IP-адреса. Но в случае с роутером эти адреса нужно присвоить физическим портам, поэтому я ввожу команды config t и int g0/0. Далее я использую команду для назначения IP-адреса точно так же, как поступал в случае с VLAN, то есть ввожу команду ip address 10.1.1.1 255.255.255.0 и затем набираю no shutdown.
Если теперь взглянуть на состояние портов, использовав команду do show int brief, видно, что адрес 10.1.1.1 присвоен интерфейсу Gigabit Ethernet 0/0. Таким образом мы настроили IP-адрес.
Далее мы переходим к настройке баннера Logon Banner. Точно так же, как и для свитча, я использую команду banner motd & и затем могу ввести любой текст, какой захочу, например, Welcome to NetworKing Router, подчеркну текст «звездочками» и закрою его амперсандом &.
Далее, если вы захотите отключить порт, то используете команду Shutdown. Для сохранения настроек используется команда copy running-config startup-config. Текущую конфигурацию можно просмотреть с помощью команды show running conf, а для просмотра конфигурации загрузки используется команда show startup conf. Так как мы использовали новое устройство «из коробки» и загрузку с параметрами по умолчанию, в ответ на просьбу показать загрузочную конфигурацию система отвечает, что её еще не существует.
После ввода команды copy running-config startup-config система просит подтвердить, что перезаписываемый файл – это файл параметров загрузки системы startup-config. После перезаписи файла загрузочной конфигурации я просматриваю его с помощью команды show startup conf и вижу, что теперь он полностью повторяет файл параметров текущего состояния устройства. Сейчас, если я выключу роутер и включу его снова, он загрузится с использованием сохраненных параметров.
Верификацию состояния роутера лучше всего произвести с помощью команды show int brief, можно также использовать команду show int, которая покажет состояние всех портов. Если вы хотите взглянуть на состояние конкретного порта, можете использовать команду show interface g0/0, после чего система покажет полную статистику по этому интерфейсу.
Как я сказал, наиболее важной частью роутера является таблица маршрутизации. Просмотреть её можно с помощью команды show ip route.
На данный момент таблица пуста, потому что к нашему роутеру не подсоединены никакие устройства. На следующем видеоуроке мы рассмотрим, как создается таблица маршрутизации с использованием различных протоколов, как происходит её заполнение при подсоединении новых устройств с использованием статической маршрутизации или динамических протоколов. В мире роутеров команда show ip route является самой популярной, потому что обычно все неполадки роутинга начинаются с таблицы маршрутизации.
На этом я заканчиваю наш видеоурок, так как рассказал обо всем, что было запланировано на сегодня. Многие пользователи спрашивают, в чем заключается мой интерес, когда я записываю и выкладываю эти видеоуроки. Я занимаюсь этим в свободное время совершенно бесплатно. Конечно, вы можете присылать мне деньги, если захотите. Многие сайты используют мои видеоуроки и просят за это деньги, но я не хочу так поступать со своими слушателями и обещаю, что мои уроки никогда не будут платными.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Cisco Router
На этой странице описываются различные настройки маршрутизаторов Cisco.
Содержание
[править] Базовые настройки маршрутизатора
[править] Полезные команды
Сбросить настройки на интерфейсе fa 0/1:
Прервать traceroute CTRL-SHIFT-6
[править] Buffer Tuning
- Buffer Tuning for all Cisco Routers
- Buffer Tuning
- Router Buffer Tuning
[править] Доступ к маршрутизатору
[править] Telnet
Настройка доступа telnet без пароля:
При подключении сразу попасть в привилегированный режим:
[править] ACL
Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.
Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:
Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:
Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:
[править] Дополнительные параметры при подключении telnet
Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.
Указание интерфейса для текущей сессии telnet:
Указание интерфейса для всех сессий telnet:
[править] Разрыв соединения
Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):
Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:
[править] Предотвращение залипания соединений
Для очистки зависших Telnet сессий используется механизм TCP-keepalives
Зачем это нужно? Порой возникают залипшие соединения сессий telnet. И при последующих попытках соединений — оно не устанавливается, при этом выдается сообщение «Connection refused by remote host» Для предотвращения данной ситуации в конфигурацию роутера необходимо внести изменения:
[править] Настройка нестандартных портов для telnet и привязка к конкретной vty
Указание нестандартного порта для telnet:
После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.
Пример конфигурации маршрутизатора:
Подключение с соседнего маршрутизатора (к порту 3000+rotary):
Пользователь подключился к vty 3:
[править] SSH
Имя домена (необходимо для генерации ключей):
Создание пары ключей:
Включение SSH версии 2:
Создание пользователя в локальной базе:
[править] Настройка нестандартных портов для SSH и привязка к конкретной vty
Изменение порта SSH для определенной линии vty:
Настройка соответствия vty и rotary:
Пример конфигурации маршрутизатора:
Подключение с соседнего маршрутизатора (к порту 2009):
Пользователь подключился к vty 4:
Ограничение числа сессий ssh ip ssh maxstartups Пример: ограничим 2 сессиями
Ограничение времени timeoutá (по-умолчанию 300 секунд)ip ssh time-out
SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
Пример:
Указание интерфейса для всех сессий ssh
Включение журналирования событий SSH ip ssh logging events
Указание версии использования протокола ip ssh version версия Пример:
Указание, какой ключ должен использоваться при соединении:
[править] Работа с сессиями
[править] Исходящие сессии Telnet и SSH
Инициировать сессию telnet:
Исходящие сессии SSH:
[править] Приостановка и мониторинг исходящих сессий
Приостановить сессию: Ctrl+Shift+6 и потом x.
Показать исходящие сессии:
Вернуться в приостановленную сессию:
Завершить исходящую сессию:
Если с маршрутизатора были открыты сессии, а затем приостановлены, то нажатие ‘Enter’ приводит к тому, что открывается последняя сессия. Для того чтобы сделать перевод строки, без команды и без восстановления последней сессии, необходимо использовать комбинацию ctrl+l.
Или нажать номер несуществующей сессии. После этого ‘Enter’ отрабатывает как обычно:
[править] Входящие сессии
Показать подключения к локальному маршрутизатору (консоль, telnet, ssh):
Показать сессии ssh:
[править] Автоматическое выполнение команды
Команда autocommand используется для автоматического выполнения определенной команды после того как пользователь подключился к определенной line:
[править] HTTP
[править] Ограничение количества соединений
Настройка максимального количества соединений (по умолчанию 5, диапазон от 1 до 16):
[править] Изменение стандартного порта
Изменение стандартного порта HTTP:
[править] Время жизни соединения
[править] Ограничение доступа
С помощью ACL можно указать каким хостам разрешен доступ по HTTP на маршрутизатор:
[править] Аутентификация
Настройка аутентификации по локальной базе пользователей:
Пример создания пользователей:
[править] Локальная аутентификация (локальная база пользователей)
Управление правами доступа на основании атрибутов, присвоенных отдельному пользователю.
Когда VPN-пользователи проходят аутентификацию на локальном сервере IOS, то может понадобиться запретить им доступ к CLI.
Настройка AAA (если настроен VPN, то тут могут быть дополнительные настройки):
Создание списка атрибутов для запрещения доступа к CLI:
Назначение списка пользователю:
Если пользователь пытается зайти в CLI маршрутизатора, то выдается ошибка:
- Attributes for local user database
- Local AAA server 12.4t
- Understanding IOS Local AAA
- PPTP Cisco
[править] Разграничение доступа пользователям
[править] Уровни привилегий по умолчанию
Команды уровня 0:
Некоторые команды уровня 1:
[править] Уровни привилегий
Создание пользователя и задание пароля:
Назначение пользователю уровня привилегий:
Задание соответствия между командами и уровнем привилегий:
Для просмотра уровня своих привилегий используется команда show privilege
Пример:
[править] CLI view
Включить root view:
Настроить пароль для view:
Добавить команды доступные в view:
[править] Всякое
[править] Пароли
Задание минимальной длины пароля:
Хранение паролей в виде хеша:
Если необходимо ввести пароль в котором есть знак ?, то перед знаком необходимо нажать Esc + Q (при подключении пароль надо вводить просто со знаком ?). Например, пароль Cisco??pass надо вводить так: CiscoEsc + Q?Esc + Q?pass
Задание количества разрешенных неудачных попыток логина в минуту. При превышении будет сгенерировано лог-сообщение:
Для задания пароля входа в privileg EXEC level (привилегированный режим) используется команда enable password|secret
Пример:
Следует заметить, что при использовании enable secret будет использоваться кодирования пароля с помощью алгоритма MD5, что повышает безопасность системы в целом
[править] Гарантия выполнения низкоприоритетных задач
При возникновении ситуации высокой загрузки процессора, низкоприоритетные задачи могут не дождаться своей очереди выполнения. По-умолчанию Cisco выделяет 5% процессорного времени для выполнения такого рода задач. Для изменения используется команда scheduler allocate .
Пример:
Что бы маршрутизатор более живо реагировал на команды в консоли при большой нагрузке. 4000 микросекунд — это время переключения между процессами. 200 микросекунд, это максимальное время, которое выделяет маршрутизатор на выполнение низкоприоритетных задач
[править] Приглашение командной строки
Отключить приглашение командной строки в глобальном конфигурационном режиме:
После выполнения команды, приглашение dyn1(config)# не отображается. При возвращении в режим enable приглашение появляется.
Настройка приглашения режима enable:
[править] Баннеры
Баннер — это своеобразная вывеска, которая предназначена для сообщения определенной информации, любому, кто пытается получить доступ к маршрутизатору. За рубежом, обычно, сообщается информация о том, кому принадлежит данное коммуникационное оборудование и что может последовать, если в дальнейшем последует несанкционированный доступ либо попытка доступа. Может быть и любая другая информация. К примеру фирма Cisco на новых не сконфигурированных маршрутизаторах сообщает об этом факте. Существует 3 вида баннеров motd, exec, incoming
Создание баннера message-of-the-day (MOTD):
Для создания баннера необходимо указать ключевое слово banner тип РазделительТекст баннера Разделитель. Разделитель НЕ может содержаться в тексте баннера
Существует возможность динамически добавлять в тело баннера имя хоста или домена, используя регулярные выражения $(hostname) и $(domain).
Пример:
[править] Создание меню
Текст приглашения по выбору пункта меню:
Настройка очистки экрана перед выводом меню:
Ключами для выбора определенного пункта меню могут быть буквы, цифры или строки. Если используются строки, то должен быть настроен режим line-mode:
Создание пунктов меню:
Настройка команд, которые будут выполняться при вызове пункта меню:
Для того чтобы пользователь мог выйти из меню, при создании меню необходимо настроить один пункт меню с командой menu-exit:
Для пунктов меню, в которых предполагается вывод результата выполнения команды, необходимо задать параметр pause:
Можно указать какой пункт будет выполняться по умолчанию в случае, если пользователь не выбрал пункт меню и нажал Enter:
Отображение строки с информацией о статусе подключения:
Настройка автоматического вызова меню при подключении пользователя:
[править] Пример меню и соответствующая конфигурация
[править] Создание соответствий IP-адрес — имя хоста
Просмотреть список существующих соответствий:
[править] Сообщение о недоступности хоста
Настройка сообщения о недоступности хоста при подключении к нему по Telnet:
[править] Спрятать IP-адрес хоста к которому выполняется подключение
Обычно, при подключении к хосту, который в момент подключения доступен, в консоли отображается IP-адрес хоста:
Спрятать IP-адрес хоста к которому выполняется подключение:
После этого, при выполнении подключения адрес не отображается:
[править] Login enhancement
[править] Настройка блокировки
Настройка периода блокировки хоста, с указанием количества попыток подключения к маршрутизатору в течение указанного периода времени:
Пример. Хост будет заблокирован на 60 секунд, если в течение 10 секунд будут 3 неудачные попытки логина:
После нескольких неудачных попыток подключения:
[править] Настройка исключений из правила блокировки
Пример. Исключение хоста 192.0.1.2:
[править] Настройка логирования попыток подключения и задержки между подключениями
Задержка между попытками подключения (по умолчанию 1 секунда):
Пример. Настройка задержки 5 секунд:
Логирование попыток подключения:
[править] Пример настройки
[править] Трансляция адресов (NAT)
[править] Настройка NTP
[править] Маршрутизатор в роли NTP-сервера
Настройка маршрутизатора в роли NTP-сервера:
Обновление встроенных часов:
Настройка интерфейса для отправки широковещательных пакетов NTP:
[править] Статический клиент
[править] Широковещательный клиент
[править] Symmetric active mode
[править] Аутентификация
[править] Задание часового пояса
Переход на летнее время задается так:
- clock summer-time имя(MSD) recurring
- first/last/номер-недели-начала
- день-недели месяц hh:mm
- first/last/номер-недели-окончания
- день-недели месяц hh:mm
- [смещение-в-минутах]
[править] ACL для предотвращения получения информации об устройстве и IOS
[править] Запрет сервиса на определенном интерфейсе
[править] Просмотр настроек
Ассоциации NTP на маршрутизаторе в роли сервера:
Статус NTP на маршрутизаторе в роли сервера:
Ассоциации NTP на маршрутизаторе в роли клиента:
Статус NTP на маршрутизаторе в роли клиента:
[править] Frame Relay
[править] ARP encapsulations
[править] Управление конфигурацией маршрутизатора
[править] Базовые команды
[править] Просмотр текущей конфигурации
[править] Просмотр сохраненной конфигурации
[править] Сохранение текущей конфигурации
Примечание. Эта команда считается устаревшей, но пока используется (коротко можно вызывать «wr mem» или даже просто «wr»). «Правильная» команда по документации Cisco — «копирование текущей конфигурации в стартовую»:
[править] Копирование конфигурации
Если конфигурация копируется в стартовую, то выполняется полная замена файла. Если конфигурация копируется в текущую, то выполняется слияние файлов.
Поэтому в текущую конфигурацию можно копировать, например, файл в котором содержится частичная конфигурация или какие-то определенные настройки (например, протокола динамической маршрутизации).
Ранее, для того чтобы обновить конфигурацию маршрутизатора, необходимо было скопировать новый конфигурационный файл в стартовую конфигурацию, а потом перезагрузить устройство. В новых версиях IOS можно выполнять замену (а не слияние) текущей конфигурации.
Например, заменить текущую конфигурацию файлом с TFTP-сервера:
Команда configure replace не всегда корректно отрабатывает, особенно со сложными объектами, такими как route-map. Поэтому более надежный способ использовать копирование в cтартовую конфигурацию.
[править] На FTP-сервер
Пример выполнения копирования:
[править] Команда archive
Зайти в режим настройки архивирования конфигурационных файлов:
Команды в режиме archive:
- log — настройка логирования,
- maximum — максимальное количество резервных копий конфигурации,
- path — путь, который указывает где хранятся резервные копии,
- time-period — период времени через который будет автоматически выполняться архивирование текущей конфигурации (в минутах),
- write-memory — включает автоматическую генерацию резервной копии конфигурации, после выполнения сохранения конфигурации.
[править] Настройка логирования
Зайти в режим настройки логирования:
Настройка размера буфера (по умолчанию 100):
Отправлять изменения на syslog-сервер:
Просмотр информации о выполненных командах:
[править] Сравнение конфигураций
[править] Сравнение текущей и стартовой конфигурации
Если на маршрутизаторе не настроено хранение конфигурации на внешнем источнике, то сравнение его конфигураций может выполняться двумя способами.
Сравнение стартовой с текущей:
Сравнение текущей со стартовой конфигурацией:
Так как выполнение сравнения текущей конфигурации со стартовой может выполняться часто, а команда достаточно громоздкая, то лучше создать для неё alias:
Теперь можно посмотреть это же сравнение по команде change:
[править] Просмотр доступных архивов
Просмотр списка доступных архивов
show archive
sh archive config differences Если используется сохранение конфигурационных файлов на внешние хранилища, он сравнивает с ними, т.е не нужно указывать nvram и system.
Замена текущей конфигурации указанным файлом (происходит именно замена, а не совмещение файлов):
[править] Автоматический backup конфигурации
В режиме настройки архивирования конфигурационных файлов есть возможность сохранять текущую конфигурацию на удаленный сервер. Поддерживаются протоколы ftp, http, https, scp, tftp, так же можно записывать конфигурационный файл на flash
Синтаксис:
- archive — вход в режим конфигурации
- path file-system-path — Задает путь сохранения архива файла конфигурации
- write-memory — включает запись backupá при выполнении команд write memory или copy running-config startup-config
В этом примере, при выполнении команд write memory или copy running-config startup-config, текущая конфигурация будет передаться на ftp, при этом будут использоваться имя и пароль, заданные в конструкции ip ftp В конструкции path так же можно использовать параметр $H — имя хоста маршрутизатора и $T — текущее время
Пример:
При этом имя файла конфигурации, сохраняемое на ftp будет иметь вид: sm-ndg-c2801-Sep—8-092742-2
[править] Автоматическое сохранение конфигурации по расписанию
- Создание kron policy-list — т.е создаем задание, которое будет выполняться в назначенное время
Router(config)#kron policy-list SaveConfig
Пример:
- Создание kron occurrence— инструкции для роутера, когда необходимо выполнять задание
- просмотр сконфигурированных заданий
sm-ppl-c2811# show kron schedule
[править] Отправка копии crash файла
Существует возможность конфигурирования модели поведения записи crash файла. Для этого используется команда exception
Пример:
[править] Resilient configuration
[править] DNS-сервер
Отключение преобразования имен:
[править] Перезагрузка маршрутизатора
После перезагрузки маршрутизатор будет использовать распакованный IOS в DRAM, а не сжатую версию IOS во flash:
[править] Поиск неисправностей, logging
[править] Debug
[править] Logging
[править] Отправка сообщений во внутренний буфер
Настройка отправки сообщений во внутренний буфер (по умолчанию размер буфера 4096 байт) logging buffered размер в байтах:
Просмотреть содержимое буфера:
Очистить содержимое буфера:
[править] Отправка сообщений на сервер
Настройка отправки сообщений на сервер:
Настройка facility (по умолчанию local7):
Настройка интерфейса с которого будут отправляться сообщения:
[править] Вывод сообщений на терминал
[править] Ограничение числа выводимых сообщений
Может возникнуть ситуация, когда количество выводимых сообщений настолько большое, что прочитать их физически невозможно. Более того, данная ситуация вызывает перегрузку системы. Существует возможность ограничить количество выдаваемых сообщений на терминал в секунду.
в этом примере ограничиваются предупреждения (warnings) или
в этом ограничиваются все сообщения
Существует возможность ограничить вывод сообщений на консоль, только критическими сообщениями
[править] Нумерация выводимых сообщений
Для включения вывода номера системного сообщения используется команда service sequence-numbers Пример:
Данная возможность предназначена для возможного распознавания подделок злоумышленников log файла. Т.е он гарантирует целостность логов
[править] Время системных сообщений
Даем указание выводить локальное время:
[править] Создание core dump
[править] Использование FTP для core dump
Создание пользователя и пароля для FTP соединений:
Настройка использования пассивного режима FTP:
IP-адрес интерфейса lo0 будет использоваться как адрес отправителя:
Указание протокола, который будет использоваться для отправки core dump:
Задание имени файла (и опционально сжатие файла):
Адрес сервера на который будет отправляться core dump:
[править] Запрет прерывания во время ввода команд
Для того, что бы всплывающие сообщения не прерывали ввод команд в консольном режиме используется команда logging synchronous
Пример:
[править] Packet Capture
[править] Настройка DRP
[править] Аутентификация
[править] Просмотр информации
[править] Настройка WCCP
WCCP-Web Cache Communication Protocol предназначен для перенаправления трафика в реальном времени. [7]
Ограничения (2 версии протокола):
- WCCP работает только в сетях IPv4
- Позволяет использовать до 32 роутеров (серверов WCCP).
- Time To Live (TTL) должен быть 15 или меньше
- Мультикаст должен быть в диапазоне 224.0.0.0 to 239.255.255.255
Определяем версию протокола
[править] RMON
[править] Группы RMON
- ethernet statistics
- history
- alarm
- host
- hostTopN
- matrix
- filter
- packet capture
- event
[править] Сертификаты
Для просмотра существующего ключа RSA используется команда show crypto key mypubkey rsa
удаление всех существующих ключей RSA
Генерация нового RSA ключа crypto key generate rsa.
Внимание. Ключ может быть сгенерирован, только, если имя маршрутизатора задано и отличное от умолчания. Кроме того возможно необходимо задать имя домена
Размер ключа следует выбирать выше или равное 1024 Пример:
Для проверки ключа можно использовать команду show crypto mypubkey rsa
[править] Настройка PPTP на маршрутизаторе
[править] Настройка PPTP-клиента
Данная возможность является не документированной, однако она доступна для большинства маршрутизаторов с версией ios > 12.2
Для включения используется команда service internal
После включения, в vpdn будет доступен протокол PPTP:
- vpdn enable — включение vpdn
- vpdn-group 1 — описывается первая группа, в которой указывают, что будет использован протокол PPTP
- rotary-group 0 — указывается номер dialera
- initiate-to ip — указывается адрес сервера
После этого нужно описать интерфейс дозвона:
- ip address negotiated — указываем, что IP-адрес использовать с физического интерфейса,
- ip pim dense-mode — для автоустановки соединения, без использования дополнительных маршрутов
- dialer string 123 — эта строка должна быть, но вместо 123 можно написать что-угодно, она просто инициализирует дозвон.
[править] Пример конфигурации
Для полноты покажу всю конфигурацию. На маршрутизаторе есть один физический интерфейс FastEthernet 0/0 и два под интерфейса, реализованных на нем.
[править] Отладка
debug vpdn event
Информация по теме:
- [10]
- [11]
[править] Разное
[править] Маршрутизатор как TFTP-сервер
Можно скопировать IOS с одного маршрутизатора на другой.
Например, если на R1 во flash есть образ, который надо скопировать на R2, то можно превратить R1 в TFTP-сервер.