Основные команды по настройке и эксплуатации...

Поиск (ключи): ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ

WIKIНОВОСТИ

(+)MAN' ы ДОКУМЕНТАЦИЯ

Каталог документации / Раздел " Cisco маршрутизаторы и коммутаторы" (Архив | Для печати)

Основные команды по настройке и эксплуатациимаршрутизаторов CiscoАвтор: Михаил Кадер , системный инженер, Cisco SystemsТекст взят с сайта: http://www.banknet.kz/~info/

Содержание:

1. Описание маршрутизаторов Cisco2511 и Cisco16002. Начало работы с маршрутизатором Cisco 2.1 Подключение к маршрутизатору и начало работы 2.2 Восстановление забытого enable secret password3. Работа с флэш-памятью и NVRAM4. Настройка синхронных интерфейсов Serial для X255. AAA (authentication, authorization, accounting), tacacs+, RADIUS6. Настройка асинхронного интерфейса и линий7. Управление и мониторинг

1. Описание маршрутизаторов Cisco2511 и Cisco1600

Маршрутизатор Cisco 1601

Маршрутизаторы серии Cisco 1601 служат для подключения небольших офисов, в которыхразвернута локальная сеть Ethernet, к Internet и к внутренней сети компании, или к корпоративнойлокальной сети через несколько подключений глобальных сетей, таких как ISDN, асинхронныепоследовательные и синхронные последовательные.

Cisco 1601 имеет один Ethernet-порт, один встроенный WAN-порт и один слот для необязательноговторого WAN-порта.Слот для интерфейсного модуля позволяет потребителю изменить тип или добавить ещё один портна машрутизаторе, в случае изменения потребностей или цен на услуги компаний-провайдеровлиний связи. Поэтому серия маршрутизаторов Cisco 1600 предлагает более широкую гибкость посравнению с другими продуктами этого же класса. Последовательный порт на модели 1601 иинтерфейсной карте может работать в следующих режимах:

Асинхронный со скоростями до 115.2 Кб/с по коммутируемой телефонной линии (протоколыPPP, SLIP)Синхронный со скоростями до 2.048 Мб/с по выделенной линии (протоколы Frame Relay,SMDS, X.25, HDLC, LAPB, PPP)

Основные команды по настройке и эксплуатации маршрутизаторо... file:///C:/Documents and Settings/Lanos/Рабочий стол/Основные ком...

Стр. 1 из 12 26.02.2013 0:09

Cisco 1601: вид сзади

Маршрутизаторы Cisco 2500

Маршрутизаторы серии Cisco 2509 предназначенны как для использования в небольшом офисе, таки в сетях с удаленными узлами.Модель оснащена двумя из следующих интерфейсов:

1 Ethernet2 Синхронный последовательный8 Асинхронный последовательный

Маршрутизаторы серии Cisco 2500 оснащены Flash-памятью технологии EPROM, котораяприменяется для хранения программных образов и обеспечивает их легкую модернизацию.Эти системы могут работать с разнообразными программными комплектами (feature set)операционной системы Cisco IOS, поэтому заказчик может выбрать комплект программ,соответствующий конкретным протоколам, применяемым в его сети. Программные комплектыимеют очень широкий спектр - от простых IP и мостовых соединений до полного наборафункциональных возможностей ПО фирмы Cisco, включая APPN и RMON.Все модели, за исключением комбинированных с концентратором, имеют AUI разъём Ethernet-портов. Синхронные порты имеют универсальный DB-60 разъем, а тип порта определяетсяподключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты на серверах доступа собраны по 8портов в 68 контактные разъёмы. На корпусе также имеется терминальный порт с разъёмом RJ-45, атакже порт AUX, который можно использовать либо для удалённого управления маршрутизатором,либо как асинхронный порт для резервной линии связи.

Cisco 2511: вид сзади

2. Начало работы с маршрутизатором Cisco

Вынимаем железку, подключаем терминал (или PC с TELEMATE) к консольному порту (иливспомогательный порт ранее сконфигурированной Cisco, и заходим обратным телнетом), всенужные нам кабели (синхронный, Ethernet, модемы), включаем питание и начинаемконфигурирование.При первом включении IOS пытается скачать конфигурацию из глобальной сети - можно подождатьнесколько минут, чтобы дать ей понять, что на том конце ничего нет, или временно отсоединитьсинхронный кабель. Потерпев неудачу, IOS предлагает выполнить команду setup - соглашайтесь. Вэтом случае IOS задает вам несколько вопросов и самостоятельно конфигурируется. После этогоможно зайти и исправить конфигурацию, как вы пожелаете. Команду setup можно запустить влюбой момент с командной строки в привилегированном режиме:Router# setup

Конфигурирование осуществляется следующими способами:

1. Командный интерфейс:


Стр. 2 из 12 26.02.2013 0:09

telnet Router - имя Ciscoимя-Cisco>

с терминала: conf termNVRAM: conf memoryиз сети: conf network

2. Через WWW (начиная с версии 11.0(6), 11.1(5), не все возможности, в версии 12.0 - всевозможности): ip http server

3. ClickStart (конфигурирование Cisco 1003, 1004 и 1005).

Общие сведения о командном языке:

1. help - в любой момент можно ввести "?" - киска в ответ выдаст список команд или операндов.2. Любое ключевое слово или имя можно сокращать до минимально возможного.3. Если терминал нормально настроен, то можно редактировать командную строку как в emacs илиbash ( как в UNIX ).4. Почти каждую команду можно предварять словом no, если Вы собираетесь отказаться откоманды.

Уровни привилегий: предусмотрено 16 уровней привилегий - от 0 до 15. Если не производитьдополнительной настройки, то уровень 0 - это уровень пользователя: доступны только "безопасные"команды. Уровень 15 - это уровень супервизора: доступны все команды. Переходим с уровня науровень по команде:enable [ номер уровня]

Любую команду можно перевести на уровень, отличный от стандартного; любому пользователюможно назначить определенный уровень, устанавливаемый при входе на киску этого пользователя;таким образом права пользователей можно тонко настраивать (только help-ом при этом тяжелопользоваться).

Режимы командного языка:

1. Режим пользователя

2. Привилегированный режим:

1. верхний уровень2. режим глобальной конфигурации:

1. собственно верхний уровень конфигурирования2. конфигурирование интерфейса

1. конфигурирование интерфейса2. конфигурирование подинтерфейсa (serial в режиме Frame Relay)

3. конфигурирование контроллера (T1)4. конфигурирование хаба (cisco 2500 - ethernet)5. конфигурирование списка карт (ATM и FrameRelay)6. конфигурирование класса карт (Quality of Service over Switched Virtual Circuit - ATM,FrameRelay или dialer)7. конфигурирование линий8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp, mobile, OSPF, RIP,static)9. конфигурирование IPX-маршрутизатора10. конфигурирование карт маршрутизатора11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)12. конфигурирование генератора отчетов о времени ответа13. конфигурирование БД LANE (ATM)14. режим команд APPN с его подрежимами (advance peer-to-peer Networking - второепоколение SNA)15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с CIP)16. режим команд сервера TN327017. конфигурирование списков доступа (для именованых IP ACL) 18.режимшестнадцатеричного ввода (задание публичного ключа для шифровки)19. конфигурирование карт шифровки


Стр. 3 из 12 26.02.2013 0:09

3. ROM монитор (нажать break в первые 60 секунд загрузки, тоже есть help).

Редактирование командной строки

Задать размер истории команд: terminal history size размер.Предыдущая/следующая команда: Ctrl-P/Ctrl-N или стрелка вверх/вниз.Включить/выключить редактирование: [no] terminal editing.Символ вперед/назад: Ctrl-F/Ctrl-B или стрелка вперед/назад.В начало/конец строки: Ctrl-A/Ctrl-E

На слово вперед/назад: Esc F/Esc B

Развертывание команды: Tab или Ctrl-I

Вспомнить из буфера/вспомнить следующий: Ctrl-Y/Esc Y

Удалить символ слева от курсора/под курсором: Delete/Ctrl-D

Удалить все символы до начала строки/конца строки: Ctrl-U/Ctrl-K

Удалить слово слева от курсора/справа от курсора: Ctrl-W/Esc D

Перерисовать строку: Ctrl-L/Ctrl-R

Поменять символы местами: Ctrl-T

Экранирование символа: Ctrl-V или Esc Q

Комментарии начинаются с восклицательного знака, но в NVRAM не сохраняются.

2.1 Подключение к маршрутизатору и начало работы

1. Подключаем консольным кабелем от соответствующего маршрутизатора к порту COMкомпьютера.2. Запускаем и настраиваем Term95 или Telix под соотвествующий порт и скорость (обычно 9600kb/s). Установите терминал в режим 8N1. Включите маршрутизатор.3. Включаем свой маршрутизатор4. Если в нем уже была какая-то настройка, то стираем ее:Router> enableRouter# erase startup configurationRouter# reload5. Отказываемся от автоматической настройки:Would you like to enter the initial dialog? [yes]: no6. Через некоторое время появится сообщение:Router>

Войти в режим администратора:Router> enableПодсказка > должна смениться на #7. Начать конфигурирование с терминала:Router# configure terminal8. Задать имя хоста:Router(config)# hostname Router (любое имя какое вам нравится)9. Задать защищенный пароль администратора:Router (config)# enable secret cisco (любое пароль какой вам нравится)10. Введите команды:Router(config)# ip subnet-zeroRouter(config)# ip classless11. Отключаем DNS, если его нет:Router(config)# no ip domain-lookup12. Выйдите из режима конфигурации:Router(config)# exitRouter#

13.Сохраните конфигурацию:Router(config)# exitRouter# write14. Выйдите из режима расширенных команд:Router# exitRouter>

15. Настройка терминальных линий (vty) для доступа к Cisco через локальную сеть:Router# configure terminal (или conf t)Router(config)# line vty 0 4


Стр. 4 из 12 26.02.2013 0:09

Router(config-line)# loginRouter(config-line)# password СiscoRouter(config-line)# session-timeout 10 outputRouter(config-line)# exit или Сtrl^Z

Router# write terminal (wr - сокращенно)16. Настройка порта Ethernet на Cisco и установка IP адреса:Router# configure terminalRouter(config)# interface Ethernet0 или сокрашенно int E0Router(config-if)# ip address 172.16.150.1 255.255.255.0Router(config-if)# no shutdown - на всякий случай, хотя интерфейс должен подняться сразу послеподключения кабеля.

2.2 Восстановление забытого enable secret password

В случае утери пароля следует выключить маршрутизатор и снова включить.1. послать Break в первые 60 секунд после включения питания. Сигнал Break посылается взависимости от используемого терминала или Ctrl Break или Ctrl ^ C (можно найти в настройкахтерминала)2. изменить регистры загрузки. Вы попадаете в другой режим, так называемый ROM Monitor режимс приглашением > После этого следует ввести команду (в зависимости от Cisco):

>confreg 0x141 (для 1000/1600/3600/4500)>o/r 0x141 (для 2500/4000)

3. Enter

>reset (для 1000/1600/3600/4500)>i (для 2500/4000)

4. initial conf dialog? n5. Router(boot)> enable6. Router(boot)# copy start run (если была включена authorisation, то конфигурировать придется снуля)7. Router# config term8. Router(config)# enable secret новый_пароль9. Не забыть поменять регистр конфигурации на нормальный режимRouter (config)# config-reg 0x210210. Router(config)# end11. Router(boot)# copy run start12. Router(boot)# reload

3. Работа с флэш-памятью (в ней лежит и из неевыполняется IOS) и NVRAM (конфигурация)

На Cisco работает ТРИ программы: ROM монитор (это загрузчик и отладчик -тупой до безобразия -попадаем в него если соответствующим образом установлен регистр конфигурации или нажалBREAK во время загрузки и это не запрещено); boot ROM - система в ROM (урезанная и очень стараясистема IOS - 9.1 - если не удалось найти более подходящую во флэш или по сети или ручнаязагрузка из ROM монитора) и система во флэш - версия, которуя сам поставил. Конфигурацияхранится в NVRAM. Еще есть оперативная память, используемая для хранения данных (IOSвыполняется прямо из ROM). Внимание: пароль администратора в IOS 9.1 задается командой"enable password", а не "enable secret"!В руководстве делается предупреждение, что на Sun'е сервер TFTP должен быть настроен так, чтобыгенерировать и проверять контрольные суммы UDP (я ничего не делал). Везде вместо TFTP можноиспользовать rcp (rsh), но мне лениво следить за безопасностью в этом случае. Посмотреть, что тамлежит: show flash all

System flash directory:File Length Name/status addr fcksum ccksum1 3243752 igs-i-l.110-10x40 0xB5C4 0xB5C4[3243816 bytes used, 950488 available, 4194304 tota l]4096K bytes of processor board System flash (Read O NLY)


Стр. 5 из 12 26.02.2013 0:09

Chip Bank Code Size Name1 1 89A2 1024KB INTEL 28F008SA2 1 89A2 1024KB INTEL 28F008SA3 1 89A2 1024KB INTEL 28F008SA4 1 89A2 1024KB INTEL 28F008SAExecuting current image from System flash

Иметь два файла во флэш можно только, если имеется два банка памяти (у меня нет) и выполнитьспециальную процедуру (IOS надо настроить адреса - выполняется-то она из флэша!). Буква l вимени файла как раз и означает, что адреса можно настроить. Посмотреть, сколько раз туда чегозаписывали: show flash errКопировать из флэш на tftp: copy flash tftp, после чего спросят имя сервера, исходное имя файла ирезультатирующее имя файла (файл должен существовать с правами 666).В основном используется сервер TFTP под Windows95/NT. Инсталлируется он очень просто. Послеэтого в настройках нужно указать директорию для копирования файлов и имиджей. Сервер TFTPпод Windows95/NT во время копирования должен быть запужен (обязательно), можно в свернутомсостоянии.Копировать конфигурацию на tftp: copy startup-config/running-config tftpRouter#copy tftpRouter#copy tftp flash**** NOTICE ****Flash load helper v1.0This process will accept the copy options and then terminatethe current system image to use the ROM based image for the copy.Routing functionality will not be available during that time.If you are logged in via telnet, this connection wi ll terminate.Users with console access can see the results of th e copy operation.---- ******** ----[There are active users logged into the system]

Proceed? [confirm] y

System flash directory:File Length Name/status1 5010180 c2500-ras-113.6[5010244 bytes used, 3378364 available, 8388608 tot al]

Address or name of remote host 172.16.150.2Source file name? c2500-ras-113.6 name of file in f lash

Destination file name [c2500-ras-113.6] yAccessing file 'c2500-ras-113.6' on 172.16.150.2...

Проверяет наличие файла на TFTP сервера.Загрузить конфигурацию с tftp: copy tftp startup-config/running-config (по-моему, если грузитьтекущую конфигурацию, то происходит не копирование, а слияние).Копировать из tftp во флэш (если достаточно памяти!!!): copy tftp flashПонятное дело, что если IOS выполняется из флэш, то грузить новое (заходить только с консоли -иначе ничего не увидишь, и об ошибках не узнаешь ;). После этого надо сохранить конфигурацию(copy run start). А все-таки интересно, как выбираться из ситуации, если что-то получилось не так.Кстати, рекомендуется сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s.все-таки можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS),если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.Посмотреть состояние: show versionПроверить контрольную сумму: verify flashПовторно выполнить конфигурационный файл: configure memoryОчистить конфигурацию: erase startupПосмотреть текущую/загрузочную конфигурацию: show run/startВ NVRAM записываются только параметры, отличные от параметров по умолчанию. Параметры поумолчанию различны для различных версий, так что при смене версии бывает очень интересно ;)На TFTP cервер можно скидывать и загружать с него файлы конфигурации, образ операционнойсистемы (IOS), что является очень удобным прикаких либо неполадках.

4. Настройка синхронных интерфейсов Serial для X25

Действия по шагам:1. Начать конфигурирование с терминала:Router# configure terminal2. Задать, что данный маршрутизатор будет выполнять маршрутизацию X25:


Стр. 6 из 12 26.02.2013 0:09

Router(config)# x25 routing3. Конфигурируем последовательный интерфейс 0:Router(config)# interface serial 04. Задаем протокол X25 на данном интерфейсеRouter(config-if)# encapsulation x25 dte (dce)Параметр dte или dce определяет, кто будет выполнять синхронизацию, т.е задавать скорость междудвумя устройствами. По умолчанию dte.5. Устанавливаем X25 параметры на интерфейсе. Должны совпадать с параметрами DCE устройства,то есть устройства, к которому подключена Cisco (обычно коммутатор X25):Router(config-if)# x25 address 232420023 адрес X25 на интерфейсеRouter(config-if)# x25 ips 128 размер входного пакетаRouter(config-if)# x25 ops 128 размер выходного пакетаRouter(config-if)# x25 win 2 размер вх. пакетаRouter(config-if)# x25 wout 2 размер вых. пакетаRouter(config-if)# x25 htc 28 кол-во виртуальных каналов6. Активация интерфейса:Router(config-if)# no shutdownRouter(config-if)# exit7. Аналогично для интерфейса serial 1, если нужно (для Cisco2509).8. Прописывание X25 маршрутизации, то есть куда какие пакеты направлять. Если есть только одининтерфейс для X25, то можно использовать defaultRouter(config)# x25 route .* interface Serial0* - указывает на все пакеты можно задать конкретный шаблон, напримерRouter(config)# x25 route 2324200 .* interface Serial09. Настройка поверх X25 TCP/IP. Включаем IP на данном интерфейсе:Router(config-if)# ip address 10.1.1.1 255.255.255.0Router(config-if)# x25 map ip 10.1.1.2 232420024 сompressПричем здесь IP address и X25 address другого маршрутизатора, с которым вы собираетесь связаться( на нем соответственно должны стоять ваши параметры) compress - включаем компрессию.10. Проверка X25:Roter# show x25 routeRoter# show x25 map11. Сохранение конфигурации:Roter# copy running-config startup-config12. Прописываем статическую маршрутизацию (роутинг):Router(config)# ip route 172.16.160.0 255.255.255.0 10.1.1.2 permanentгде 172.16.160.0 255.255.255.0 - это локальная сеть, к которой подключен др.маршрутизатор, 10.1.1.2 -виртуальный адрес, нужен только для связывания двух cisco по X25Router(config)# exitRouter# show configRouter# copy run start

5. AAA (authentication, authorization, accounting), tacacs+,RADIUS

Сервер доступа (tacacs+, RADIUS) - это программа, которая крутится на UNIX-компьютере и отвечаетна запросы киски типа: есть ли такой пользователь, какие у него права и ведет журнал посещений.Собственно AAA есть authentication (установление личности пользователя), authentication (проверкаполномочий) и accounting (учет использования ресурсов). Для каждой из трех функцийиспользуется поименованный список методов, примененный к интерфейсу. При необходимостииспользования любой функции AAA IOS "пробегает" по этому списку пытаясь соединиться ссоответствующим сервером. Если соединиться не удается (локальная БД отвечает всегда), то IOSпереходит к следующему методу из списка. Если методов в списке не осталось, то регистрируетсяотказ. По умолчанию, к каждому интерфейсу применяется список методов по имени default. Если нетребуется что-то необычное, то рекомендуется определить ровно один свой список методов с именемdefault и пусть он применяется ко всем.aaa new-model # будем использовать tacacs+, а не старые вариантыaaa processes число # количество параллельных процессов, обслуживающих AAA (количествоодновременно заходящих пользователей). У меня загрузка второго процесса составляет 10% отзагрузки 1-го, так что, думаю, что двух достаточно


Стр. 7 из 12 26.02.2013 0:09

show ppp queues # показывает, сколько AAA процессов запущено и их статистику (странноеназвание и странные числа он показывает)tacacs-server host IP-адрес-tacacs+-сервера [single-connection] [port порт(49)] [timeout секунд] [keyключ-шифровки] # tac_plus 4.0.2 не поддерживает single-connection; можно указывать несколькосерверов, они будут пробоваться по очередиtacacs-server key key <пароль> # ключ, с помощью которого шифруются сообщения междукиской и tacacs+ серверомtacacs-server retransmit retries # число попыток достучаться до сервера (по умолчанию - 2)tacacs-server timeout seconds # сколько ждать, чтобы убедиться, что сервер не работает (поумолчанию - 5 секунд)ip tacacs source-interface subinterface-name # задать исходный IP-адрес TACACS пакетовtacacs-server directed-request # включен по умолчанию; управляет использованием именпользователей в виде: имя@сервер; если включен, то на указанный сервер (проверяется, что онуказан в конфигурации, иначе вся строка посылается на сервер по умолчанию) посылается короткоеимя пользователя, если выключен - вся строка на сервер по умолчанию. В документации не описанодействие ключа restricted.

authentication

Для установления личности определяется список методов идентификации и применяется копределенному интерфейсу.Проверка при входе на линию:aaa authentication login {имя-списка | default } метод1 [ метод2 ] ...Методы при проверке на входе бывают следующие:tacacs+ - использовать сервер TACACS+none - удостоверять личность без проверкиenable - использовать пароль администратора (enable password) для проверки личностиkrb5 - использовать сервер Kerberos 5krb5-telnet - использовать сервер Kerberos 5 соединяясь с ним через telnetline - использовать пароль, привязанный к линииlocal - использовать локальную БД именradius - использовать сервер RADIUSДля использования сервера kerberos необходимо иметь версию IOS с поддержкой шифровки.Применить список методов к линии(ям):line тип-линии номер-линии [конечный-номер-линии-из-интервала]login authentification { default | имя-списка-методов }Пример:aaa authentication login default tacacs+ enable # по-умолчанию проверяем каждый вход налинию с помощью tacacs+ сервера, а если он не отзывается, то спрашиваем парольсуперпользователя. Т.к. используется имя default, то он будет действовать на всех линиях.Если пользователи подсоединяются с RAS по PPP, минуя интерфейс командной строки, то дляпроверки их личности необходимо определить список методов установления личности присоединении PPP, по умолчанию никакой проверки не производится (список default не используется):aaa authentication ppp {имя-списка | default } метод1 [ метод2 ] ...Применить список методов к интерфейсам (if-needed только для TACACS и XTACACS, callinвызывает аутентификацию только для входных соединений, one-time позволяет вводить имя ипароль в одной строке):interface тип-интерфейса номер-интерфейсаppp authentication {chap | pap | chap pap | pap chap} [if-needed] {default | list-name}[callin] [one-time]Методы при проверке личности во время установления PPP-соединения бывают следующие:tacacs+ - использовать сервер TACACS+radius - использовать сервер RADIUSnone - удостоверять личность без проверкиlocal - использовать локальную БД именkrb5 - использовать сервер Kerberos 5if-needed - не делать проверку, если она уже была произведена при входе на линиюПример:aaa authentication ppp default if-needed none # при включении PPP, производим фиктивнуюпроверку пользователя, если не проверяли его раньше (может это уже можно выключить?), т.к.используется имя default, то сами интерфейсы конфигурировать не надо.Проверка личности при переходе в привилегированный режим:


Стр. 8 из 12 26.02.2013 0:09

aaa authentication enable default метод1 [ метод2 ] ...Методы при проверке личности при входе в привилегированный режим:enable - использовать пароль администратора (enable password) для проверки личностиline - использовать пароль, привязанный к линииnone - удостоверять личность без проверкиtacacs+ - использовать сервер TACACS+radius - использовать сервер RADIUSБывает еще двойная проверка (access-profile, ip trigger-authentication, show ip trigger-authentication,clear ip trigger-authentication) и автоматическая двойная проверка, но это какакя-то муть.Аутентификация без AAA (как только AAA сконфигурирован, то он имеет больший приоритет)установление пароля на линию (в режиме конфигурации линии), до 80 букв и цифр (долженначинаться с буквы):password парольloginпроверка имени пользователя (в глобальном режиме конфигурации, password и autocommand д.б.последними в строке, можно использовать несколько строк на одно имя - информация будетнакапливаться), используется также для CHAP (чтобы отвечать на CHAP-запросы имя должносоответствовать имени хоста, на удаленном хосте это имя тоже д.б. определено с тем же секретом):username имя [nopassword | password тип-шифровки пароль | password пароль][callback-dialstringномер-телефона] [callback-rotary номер-группы-rotary] [callback-line[tty] line-number [ending-line-number]] [access-class номер-ACL] [privilege уровень ][autocommand команда ] [noescape ][nohangup ]Что касается длин имени и пароля: безопасным является использование имен и паролей длиной до8 символов включительно. Более длинные имена и пароли (якобы до 25 символов, буквы и цифры ипробелы, первый символ - буква) обрабатываются по-разному в разных версиях IOS. CHAP секрет -до 11 символов. tac_plus пароль, шифрованный с помощью crypt - до 8 символов.Установка пароля на привилегированные команды:enable [secret] [level уровень-привилегий ] {password | encryption-type encrypted-password}рекомендуется использовать опцию secret (пароль будет храниться в шифрованном виде). Первыйуровень привилегий дается каждому пользователю при входе по умолчанию, 15 уровень - режимсуперпользователя, команды изменения уровня (enable, disable, exit, help) находится на нулевомуровне. encryption-type:7 (для enable без secret, собственный алгоритм шифрования, есть программа декодирования)5 (для enable secret, необратимое шифрование)0 (незашифрованный текст) шифровать пароли (а также прочие ключи)service password-encryption переместить определенную команду на другой уровень (очень удобнодля clear line ;)privilege mode level level command (где mode - командный режим: exec, configure, interface, line идр.) дать всем пользователям, входящим с определенной линии указанный уровень привилегий (врежиме конфигурации линии)privilege level levelпосмотреть текущий уровень привилегийshow privilegeперейти на другой уровень (в режиме EXEC)enable уровень

Тонкая настройка:

aaa authentication local-override # позволяет использовать локальную базу пользователей передобращением к другим методам, но такие пользователи получаются абсолютно бесправными (дажеEXEC не могут запустить, т.к. не проходят авторизацию)timeout login response seconds # сколько секунд IOS будет ждать ввода имени или парол (30секунд, есть еще количество попыток)aaa authentication password-prompt text-string (если он не заменен внешним сервером) aaaauthentication username-prompt text-string (если он не заменен внешним сервером)aaa authentication banner delimiter string delimiteraaa authentication fail-message delimiter string delimiterchap или pap аутентификация в PPP (д.б. установлена encapsulation ppp на интерфейсе)(в режимеконфигурации интерфейса):ppp authentication {chap | chap pap | pap chap | pap | ms-chap } [if-needed] [list-name |default] [callin] [one-time] list-name и one-time можно использовать только, еслисконфигурирован AAA if-needed можно использовать только для TACACS или XTACACS (не AAA)


Стр. 9 из 12 26.02.2013 0:09

аутентификация при выходных звонках или когда дозвонившийся тоже хочет убедиться, что попалкуда хотел (PAP)ppp pap sent-username username password passwordотказаться отвечать на запросы CHAP (но выдавать такие запросы самому):ppp chap refuse [callin]отвечать на запросы CHAP только после того, как собеседник представится (действует поумолчанию):ppp chap wait secretвыдавать себя за указанный хост (по умолчанию посылается собственное имя NAS) для соседей, имякоторых не найдено в списке пользователей:ppp chap hostname hostnameопределить секретное слово (до 11 символов) для CHAP для соседей, имя которых не найдено всписке пользователей:ppp chap password secretколичество попыток (по умолчанию 3):tacacs-server attempts count

authorization

Проверка прав доступа (полномочий) производится в случаях:

exec (атрибуты терминальной сессии)command (проверка прав на исполнение команд, в т.ч. конфигурации) network (соединениеPPP, SLIP, ARAP)reverse access (для обратного telnet, установление личности потребуется в любом случае),только tacacs+ или radius

Для определения полномочий определяется список методов определения полномочий иприменяется к определенному интерфейсу. Так же как и в случае с аутентификацией, список поимени default применяется к интерфейсу по умолчанию. Прежде , чем конфигурироватьавторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию, TACACS+,локальную БД пользователей и/или RADIUS сервера.Методы проверки полномочий:tacacs+ - использовать сервер TACACS+ для получения AV пар с полномочиямиif-authenticated - все аутентифицированные пользователи получают полномочияnone - полномочия не проверяютсяlocal - используется локальная BD, определяемая командами username (только небольшая частьвозможностей доступна)Конфигурация именованного списка методов авторизации:aaa authorization [network | exec | command level | reverse-access ] [имя | default ]{ tacacs+| if-authenticated | none | local | radius | krb5-instance}Для аутентифицированных пользователей, зашедших с консольной линии, авторизация непроизводится. Привязка поименованного списка методов к линии или интерфейсу (всоответствующем режиме конфигурации):authorization {arap | commands level | exec | reverse-access} {default | list-name} или(одновременно определяется список методов авторизации для SLIP) ppp authorization{default | list-name}Запретить авторизацию команд конфигурации:no aaa authorization config-commandПримеры:aaa authorization exec default tacacs+ if-authenticated # проверяем права на запуск EXEC (shellтак у киски называется) с помощью сервера tacacs+, а если его нет, то даем разрешение, еслиличность пользователя удостоверена - только благодаря этой строчке tacacs+ сервер возвращаетавтокоманду (в нашем случае telnet или ppp)aaa authorization commands 1 default tacacs+ if-authenticated # проверяем права наисполнение команд уровня 1 (непривилегированных) с помощью сервера tacacs+, а если его нет, тодаем разрешение, если личность пользователя удостоверенаaaa authorization commands 15 default tacacs+ if-authenticated # проверяем права наисполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+, а если его нет, тодаем разрешение, если личность пользователя удостоверенаaaa authorization network default tacacs+ if-authenticated # проверка прав, если кто-то лезет кнам по сети, с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность


Стр. 10 из 12 26.02.2013 0:09

пользователя удостоверена

accounting

Так же как и для аутентификации и авторизации определяется список методов учета и применяетсяк определенному интерфейсу или линии. По умолчанию применяется список по имени default. Еслипримененный список не определен, то учет не производится.Методы учета:tacacs+ - AV пары учета посылаются на tacacs+ серверradius - AV пары учета посылаются на RADIUS серверТипы учитываемых событий:network - PPP, SLIP и ARAP сессии, включают счетчики байт и пакетовexec - учет терминальных EXEC-сессийcommand - учет отдельных команд?connection - учет информации о исходящих соединениях (telnet, rlogin, LAT, TN3270, PAD)system - события системного уровня (только default список и только tacacs+)Объем информации:stop-only - посылается информация только о завершении событияwait-start - посылается информация о начале события и о его завершении,ожидаетсяподтверждение от TACACS+ или RADIUS сервера о получении этойинформации(необходим, если нужен учет максимального числа одновременных сессий в tac_plus)start-stop - посылается информация о начале события и о его завершенииnone - ничего не посылатьКонфигурация именованного списка методов учета:aaa accounting {system | network | exec | connection | commands level} {default | list-name}{start-stop | wait-start | stop-only | none} [method1 [method2...] ]Затем применяем определенный ранее метод учета к линииaccounting {arap | exec | connection | commands level} {default | list-name} или интерфейсу(одновременно определяется список методов авторизации для SLIP)ppp accounting {default | list-name}Мелкие настройки:aaa accounting suppress null-username # не посылать учетные записи, если имя пользователя -пустая строка (aaa authentication login method-list none)aaa accounting update {newinfo | periodic number} # регулярно посылать учетнуюинформацию при изменениях/периодически (ранее по умолчанию посылались update newinfo)Посмотреть учетную информацию о текущих сессиях:show accounting

6. Настройка асинхронного интерфейса и линий

Нужен для того, чтобы удаленные пользователи могли попасть в вашу сеть через маршрутизатор.Действия по шагам:1. Начать конфигурирование с терминала:Router# configure terminalRouter(config)# x25 routing2. Конфигурируем асинхронный интерфейс:Router(config)# interface async 13. Задаем протокол PPP (point-to-point) на данном интерфейсе:Router(config-if)# encapsulation ppp4. Устанавливаем PPP параметры на интерфейсе:Router(config-if)# async mode interactive задаем тип линииRouter(config-if)# ppp authentication chap задаем тип аутофентикации5. Настройка IP address:Router(config-if)# ip address 192.168.20.1 255.255.255.06. Активация интерфейса:Router(config-if)# no shutdownRouter(config-if)# exitRouter# write запись7. Аналогично для других интерфейсов async, если нужно (для Cisco2509).

7. Управление и мониторинг


Стр. 11 из 12 26.02.2013 0:09

Можно всегда посмотреть по команде show ?Эта команда показывает, какие события можно просмотреть.show async statusshow interface async номерshow compressshow controller имя-контроллераshow interface accountingshow interface тип номерclear counters тип номерshow protocolsshow versionclear interface тип номерclear line номерshutdownno shutdownshow ip routeshow x25 route

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012!

Журнал "Linux Format" (Линукс Формат)- Единственный вРоссии и странах СНГ журнал на русском языке,посвящённый Linux и свободному ПО. Журнал дляIT-директоров, IT-менеджеров, программистов, системныхадминистраторов, учителей школ и преподавателей ВУЗов ивсех пользователей ПК. В каждом выпуске: Новостииндустрии OpenSource, обзоры новинок свободного ПО,обучающие и методические статьи.

Каждый, кто оформит подписку, получает бонусы и подарки-объёмные наклейки на системный блок, диск с архивомномеров за 2005-2011 г.г. и ежемесячно электронную версиюжурнала в pdf-формате.

Оформить подписку на год

Закладки на сайте Проследить за страницей

Created 1996-2013 by Maxim Chirkov Добавить, Реклама, Вебмастеру, ГИД


Стр. 12 из 12 26.02.2013 0:09

Основные команды по настройке и эксплуатации...

Documents

Transcript of Основные команды по настройке и эксплуатации...