Если вы в первый раз столкнулись с оборудование cisco, то совершенно очевидно, что необходимо понять как с ним обращаться, создать своего первого пользователя, задать имя вашего устройства, задать время, настроить возможность удаленного подключения и т.д.
Данную статью я решил посвятить ряду подобных вопросов и как результат решил назвать ее «Первоначальная настройка маршрутизаторов Cisco». Сразу хочу заметить, что мы не будем вдаваться в настройки детально, а просто пройдемся по ряду опций, что бы иметь необходимое представление по теме.
Итак, хватит лирики, давайте перейдем непосредственно к делу.
Допустим к нам в руки попал маршрутизатор cisco.
Задачи, которые мы будем выполнять:
1) Ознакомимся с интерфейсом.
2) Определим какие бывают уровни доступа.
3) Посмотрим, что такое режим конфигурации.
4) Настроим такие параметры как имя устройства, имя домена, время.
5) Зайдем в режим настройки портов устройства и зададим на них ip адреса.
6) Зададим пароль на привилегированный режим и создадим пользователя в локальной базе данных.
7) Настроим возможность удаленного подключения по telnet
8) Настроим возможность удаленного подключения по ssh 1.
Подключаемся к устройству посредством консольного кабеля и видим приблизительно следующее
Press RETURN to get started.
Жмем Enter попадаем в нашу консоль:
Что-ж, давайте попробуем посмотреть как оно работает. Нажимаем «?» и видим приблизительно следующее:
|
|
Exec commands:
disable Turn off privileged commands
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
logout Exit from the EXEC
|
Я думаю вы уже поняли что мы воспользовались подсказкой и увидили все доступные нам на данном этапе команды. Более того, давайте попробуем сделать так:
|
|
Router>enable ?
<0-15> Enable level
view Set into the existing view
<cr>
|
Cisco подсказывает нам какие варианты дальнейшего написание команды у нас есть. Опция действительно очень полезная, а главное, что доступна на любом этапе написания команды.
Давайте попробуем сделать еще вот так:
То есть мы можем поставить знак «?» абсолютно в любом месте и cisco предложит нам все возможные пути продолжения.
В данном случае мы видим, что за счет символа «е» cisco говорит, что есть две команды соответствующие данному критерию и показывает что это за команды.
Должен отметить, что не обязательно набирать команды целиком, т.е. что бы разлогиниться с cisco не надо набирать команду exit полностью. Достаточно будет набрать «ex». При наборе команд «не полностью» нужно понимать что у системы не должно быть выбора и можно было идентифицировать одну команду подходящую заданному критерию.
2. Всего в системе существует 16 возможных уровней доступа от 0 до 15. Нам для понимания нужно будет только 3- privilege level 0 — режим в котором мы оказались, когда подключились к маршрутизатору- privilege level 1 — пользовательский режим, который включает в себя пользовательские команды- privilege level 15 — привелигированный режим, который включает в себя все команды.
Что бы попасть в него нужно набрать команду enable, после чего вместо «Router>» мы увидим «Router#». Знак «#» собственно и означает, что мы находимся в привилигированном режиме.
Итак получаем
|
|
Router>enable - набираем команду перехода в привилегированный режим
|
|
|
Router# - привилигированный режим
|
3. В пункте 2 мы попали в привилигированный режим.
Теперь, если мы хоти производить на роутере какие-либо настройки нам нужно будет перейти в режим конфигурации. Для этого воспользуемся командой configure terminal, или же можно набрать сокращенно conf t
|
|
Router#conf t
Router(config)# - режим конфигурации, где можно производить необходимые настройки
|
4. Теперь можно попробовать произвести ряд настроек.
Должен сказать, что прямой необходимости в настройке имени устройства, домена и времени нет. Но если это не последняя статья, которую вы читаете, вероятность того что настройка этих параметров еще пригодится очень высока. Что бы настроить имя устройства воспользуемся командой hostname
|
|
Router(config)#hostname TEST
TEST(config)# - новое имя устройства TEST,
|
что мы можем прекрасно видеть Для настройки имени домена воспользуемся командой ip domain-name
|
|
TEST(config)#ip domain-name test.ru
|
Теперь наше доменное имя test.ru
Настройка времени чуть сложнее, т.к. состоит из настройки часового пояса и непосредственно времени. Для задания часового пояса воспользуемся командой clock timezone.
|
|
TEST(config)# clock timezone MSK +5
|
Для настройки времени необходимо выйти из режима конфигурации и воспользовать командой clock set, то есть «время установить» если перевести дословно.
|
|
TEST(config)#exit - выходим из режима конфигурации
|
|
|
TEST#clock set 16:00:00 21 Feb 2013
|
Проверить наши настройки можно посредством команды show.
|
|
TEST#show clock
16:03:28.183 MSK Thu Feb 21 2013 - результат проведенных нами настроек
|
Так же, для вывода всей конфигурации можно воспользоваться командой show run
Вывод результата данной команды довольно объемный и я не буду постить его. Скажу только, что результат содержит информацию обо всех параметрах, которые есть на маршрутизаторе.
5. Давайте разберем настройки портов на маршрутизаторе и зададим ip адреса.
Порт в сетевом оборудовании cisco называется interface. Что бы вывести список доступных интерфейсов можно воспользоваться командой show interfaces. Однако вывод будет довольно объемным. Для более компактного вывода можно воспользоваться командой show ip int brief
|
|
TEST#show ip int bri
Interface IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 unassigned YES NVRAM down down
GigabitEthernet0/1 unassigned YES NVRAM down down
|
Теперь мы можем видеть список доступных физических портов.
Предположен что порт GigabitEthernet0/0 подключен к подсети 192.168.0.0 с маской подсети 255.255.255.0, а порт GigabitEthernet0/1 подключен к подсети 192.168.1.0 с маской подсети 255.255.255.0. Соответственно мы решили задать на GigabitEthernet0/0 ip адрес 192.168.0.1, а на GigabitEthernet0/1 ip адрес 192.168.1.1.
Все это нужно для того что бы компьютеры первой сети могли обращаться к компьютерам второй сети и наоборот. Можем приступить к конфигурации.
TEST#conf t — идем в режим конфигурации
TEST(config)#interface gigabitethernet0/0 — команда interface позволяет нам перейти в режим настройки нужного нам порта на маршрутизаторе
TEST(config-if)#ip address 192.168.0.1 255.255.255.0 — задаем ip адрес для подсети 192.168.0.0
TEST(config-if)#no shutdown — команда включения порта на маршрутизаторе
TEST(config-if)#exit — выходим из настройки порта
TEST(config)#int gi0/1 — заходим в настройки второго порта.
Название портов можно сокращать как показано в данном случае
TEST(config-if)#ip address 192.168.1.1 255.255.255.0 — задаем ip адрес для подсети 192.168.1.0
TEST(config-if)#exit
Все ip адреса настроены и связь между сетями 192.168.0.0 и 192.168.1.0 налажена.
Допустим если мы ошиблись и задали неверный ip адрес (пусть будет 192.168.0.2) или неправильно указали маску, тогда отменить изменения можно будет посредством команды «no».
К примеру:
TEST(config-if)#no ip address 192.168.0.2 255.255.255.0 — данная команда снимет ip адрес 192.168.0.2 на интерфейсе.
Команда «no» применима не только к параметру ip адрес. Ей можно пользоваться для отмены и других параметров маршрутизатора.
6. Мы уже знаем как попасть в привилигированный режим, причем мы это делали без какой-либо авторизации. Предлагаю, для повышения безопасности, задать пароль на привилегированный режим. Сделать это можно посредством команды enable secret [password
]TEST#conf t — заходим в режим конфигурации
TEST(config)#enable secret 0 cisco — теперь наш пароль на привилегированный режим будет cisco.
Должен отметить, что 0 означает, что мы вводим пароль просто текстом. Если у нас есть пароль в зашифрованном виде мы можем выбрать другую опцию. Посмотреть возможные опции можно посредством enable secret ?
TEST(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
4 Specifies an SHA256 ENCRYPTED secret will follow
5 Specifies an MD5 ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) ‘enable’ secret
level Set exec level password
Чтож, пароль на привилегированный режим мы задали. Предлагаю создать своего собственного пользователя в системе, которого мы в дальнейшем будем использовать для подключения к устройству удаленно через telnet или ssh. Для этого дадим вот такую команду:
TEST(config)#username user1 privilege 15 secret password1
В результате ее выполнения система создаст пользователя с именем user1, паролем password1 и уровнем доступа 15 (привилегированный режим) 7. У нас есть подсети, есть пользователь в локальное базе данных. Теперь можно настроить подключение к устройству через telnet. Для этого нам нужно будет зайти в настройки line vty (виртуальная терминальная линия). Перейдем к конфигурирования и все станет ясно.
TEST#conf t — заходим в режим конфигурации
TEST(config)#line vty 0 4 — заходим в настройку терминальных линий.
На разных устройствах может быть разное количество терминальных линий. В нашем случае их 5, т.е. от 0 до 4, что отражено в команде. Количество терминальных линий говорит о количестве возможных одновременных подклюений к маршрутизатору. Когда кто-то подключается, то ему присваивается первая свободная линия vty.
TEST(config-line)#transport input telnet — мы говорим, что к нашему устройству можно подключаться удаленно посредством telnet
TEST(config-line)#login local — данная команда говорит, залогиниться по vty можно использую локальную базу данных пользователей.
Соответственно мы сможем зайти под пользователем, которого создали в пункте 6. Теперь можно подключиться к устройству удаленно посредством telnet, с какого-нибудь компьютера из ранее созданных подсетей 192.168.0.0 или 192.168.1.0 8. Использовать telnet достаточно удобно, но не безопасно, т.к. он передает логин и пароль по сети в открытом виде. Т.е. если кто-нибудь отловит нужные пакеты, то сможет увидеть пароль. Поэтому я рекомендую настраивать подключение через протокол ssh. Для этого необходимо выполнение ряда требований. Должны быть заданы параметры hostname (см. пункт 4), domain-name (см. пункт 4), так как исходя из этих параметров происходит шифрование, а так же необходимо сгенерировать пару ключей шифрования, посредством команды:
TEST(config)#crypto key generate rsa modulus 1024 — где 1024 разрядность шифрования наших ключей.
Теперь нужно разрешить подключение через ssh на наших vty линиях.
TEST(config)#line vty 0 4 — заходим в настройку терминальных линий
TEST(config-line)#transport input telnet ssh — мы говорим нашему устройству, что можно подключиться как через telnet так и через ssh. На самом деле можно указать только ssh, но тогда подключиться по telnet уже не получится.
TEST(config-line)login local — говорим маршрутизатору использовать локальную базу данных пользователей. Если вы уже давали эту команду из пункта 7, то она не обязательна. Все. Теперь можно подключиться к нашему устройству удаленно и главное безопасно посредством ssh.
В конце предлагаю сохранить все сделанные нами настройки командой write. Таким образом после перезагрузки устройства все параметры сохранятся. Если не произвести сохранение, тогда после перезагрузки устройство будет «девственно» чистым как будто на нем ничего не меняли.
TEST#write
Building configuration…
[OK]TEST#
