Перейти к содержимому

  •  

Фотография

Первичная настройка Cisco коммутатора и маршрутизатора

первичная настройка cisco коммутатор маршрутизатор

  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 OFFLINE   КОТ

КОТ

    Гл. Модератор

  • Гл. Модератор
  • 4 254 сообщений
  • 133 благодарностей
  • Город: Краснодар

  • Мат. плата: GigaByte GA-F2A85X-UP4
  • CPU: A8-6600K
  • RAM: HYNIX DDR-III DIMM 2*4 Гбайта (PC 1600)
  • Видео: GeForce GTX 780 3072 Мбайт
  • HDD: SATA 6 Гбит/с, 1 Тбайт Western Digital Caviar Green 64 Мбайта
  • OS: Windows 10 Professional x64 Build 10586

Награды

              

Отправлено 12 Январь 2015 - 13:18

В данном уроке вы познакомитесь с несколькими полезными командами, которые используются очень часто в процессе конфигурации маршрутизаторов и коммутаторов Cisco.

Используйте дынный урок чтобы набить руку, сейчас вами должна руководить одна мысль: «знание и тысяча повторений». Это практическое упражнение поможет вам закрепить ваш навык, полученный в предыдущем уроке.

Для начала взгляните на нашу простую топологию:

1.png

Теперь давайте посмотрим на наш план первичной конфигурации:

  1. Сконфигурируем имя хоста на коммутаторе и маршрутизаторе (SW1 и R1 соответственно).
  2. Отключим функцию определения имени. Если вы неправильно набираете команду в привилегированном режиме, IOS попытается определить ip адрес того, что вы набрали, а это нежелательно.
  3. Защитим привилегированный режим простым паролем, используя «cisco_enable» в качестве пароля.
  4. Зашифруем пароль с помощью алгоритма «over-shoulder».
  5. Защитим доступ к консольному порту 0, используя«cisco_console» в качестве пароля.
  6. Настроим консольный порт 0 на разъединение в случае если в течение 5 минут 30 секунд не производилось никаких действий.
  7. Настроим консольный порт 0 так, что бы системные сообщения выводились на экран, не перемешиваясь с тем, что вы печатает.
  8. После внимательного рассмотрения вы наверняка поймете, что лучше использовать более безопасный доступ к привилегированному режиму. Деактивируем предыдущий метод и настроем тот же самый пароль с использование алгоритма шифрования паролей MD5.
  9. Настроем на коммутаторе IP адрес (192.168.1.253/24) на интерфейсе управления VLAN 1.
  10. Настроем на коммутаторе использование основного шлюза (адрес основного шлюза: 192.168.1.254/24) на случай необходимости удаленного администрирования из другой подсети.
  11. Активируем интерфейс устройства FastEthernet1/0. Назначим ему адрес 192.168.1.254/24.
  12. Активируем интерфейс смотрящий в интернет Serial0/1 (представим, что это публичный интерфейс). Для примера используем IP адрес 172.31.1.1/30.
  13. Активируем удаленный доступ на ваше устройство через telnet, используя пароль «cisco_remote» для примера.
  14. После внимательного рассмотрения вы поймете, что лучше использовать ssh для удаленного администрирования. Проведем настройку удалённого доступа используя Secure Shell.
  15. Сохраним конфигурацию на маршрутизаторе (или коммутаторе), для того, что бы настройки сохранились после перезагрузки устройства.

Решение:

1.Необходимо сконфигурировать имя хоста на коммутаторе или маршрутизаторе (SW1 и R1 соответственно).

Большинство настроек на коммутаторах и маршрутизаторах идентичны. Поэтому, в данной статье я привожу конфигурацию только маршрутизаторов. Отличные от основных, настройки, используемые при конфигурировании коммутаторов, представлены в разделах 9 и 10.

Если вы видите в терминале символ «>», то необходимо перейти в привилегированный режим набрав «enable»:

Router>enable

Router#

Для того, что бы задать имя хоста на маршрутизаторе вы должны зайти в режим конфигурации:

Router#configure terminal

Router(config)#

Далее нужно набрать:

Router(config)#hostname R1

R1(config)#

2.Когда вы неправильно набираете команду в привилегированном режиме IOS пытается определить ip адрес того, что вы набрали. Отключим функцию определения имени.

R1(config)#no ip domain-lookup

3.Защитить привилегированный режим простым паролем. Используем «cisco_enable» в качестве пароля.

R1(config)#enable password cisco_enable

4.Зашифровать пароль с помощью алгоритма «over-shoulder».

R1(config)#service password-encryption

5.Защитить доступ к консольному порту 0. Используя «cisco_console» в качестве пароля.

Для начала необходимо перейти в режим конфигурации консоли «line console 0». Команда «login» говорит о необходимости ввода пароля при входе через консольный порт.

R1(config)#line console 0

R1(config-line)#password cisco_console

R1(config-line)#login

6.Настроим консольный порт 0 на разъединение, в случае если в течение 5 минут 30 секунд не производилось никаких действий.

Мы все еще в настройках консольного порта 0, следовательно, можно продолжить его конфигурирование.

R1(config-line)#exec-timeout 5 30

R1(config-line)#

Если вы хотите, что бы разъединения не происходило, то можно воспользоваться командой:

exec-timeout 0 0

7.Настроить консольный порт 0 так, что бы системные сообщения выводились на экран не перемешиваясь с тем, что вы печатаете.

По умолчанию все системные сообщения выводятся в консоль и они могут пересекаться с тем, что вы в данный момент печатаете. Если вы подключены к устройству через telnet/ssh вы не увидите каких-либо сообщений. Если вы хотите увидеть их через vty (удаленное соединение через telnet/ssh) вы должны ввести команду «terminal monitor» в привилегированном режиме.

Что бы выполнить задание в 7-м пункте нужно дать команду:

R1(config-line)logging synchronous

8.После детального изучения вы скорее всего поймете, что лучше использовать более безопасный доступ к привилегированному режиму. Деактивируем предыдущий метод и настроим тот же самый пароль с использование алгоритма шифрования паролей MD5.

Мы все еще в настройках консольного порта, поэтому для начала необходимо перейти в глобальный режим конфигурации, а затем удалим ранее заданный пароль. Далее мы зададим пароль используя метод шифрования MD5. Если же вы не удалите ранее созданный пароль, то система все равно будет использовать более безопасный.

R1(config-line)#exit

R1(config)#no enable password

R1(config)#enable secret cisco_enable

9. Настроем на коммутаторе ip адрес (192.168.1.253/24) на интерфейсе управления VLAN 1.

Я упоминал, что вы можете выполнить шаги 1-8 как на маршрутизаторах так и на коммутаторах и команды будут идентичны. Сейчас мы будет задавать ip адрес на интерфейсе Vlan 1 для коммутатора:

SW1>enable

SW1#conf t

SW1(config)#interface vlan 1

SW1(config-if)ip address 192.168.1.253 255.255.255.0

SW1(config-if)#no shutdown

10.Настроить на коммутаторе использование основного шлюза (адрес основного шлюза: 192.168.1.254/24) на случай необходимости удаленного администрирования из другой подсети.

Что бы выполнить задачу необходимо вернуться в глобальный режим конфигурации из режима конфигурации интерфейса Vlan1

SW1(config-if)#exit

SW1(config)#ip default-gateway 192.168.1.254

11.Активируем интерфейс маршрутизатора FastEthernet1/0. Для примера будем использовать адрес 192.168.1.254/24.

R1(config)interface f1/0

R1(config-if)ip address 192.168.1.254 255.255.255.0

R1(config-if)#no shutdown

12. Активируем интерфейс смотрящий в интернет Serial0/1 (представим, что это публичный интерфейс), используя IP адрес 172.31.1.1/30 для примера.

Несмотря на то, что в данный момент мы находимся в режиме конфигурации интерфейса F1/0 мы можем перейти в режим настройки s0/1 сразу, не набирая предварительно команду «exit». Если вы используете реальный маршрутизатор (не виртуальный через dynamips), с одной стороны соединение должно использовать DCE кабель, а с другой DTE кабель. Они подключены встречно-параллельно и DCE интерфейс должен быть с заданным параметром clock rate.

R1(config-if)#interface s0/1

R1(config-if)#ip address 172.31.1.1 255.255.255.252

R1(config-if)#no shutdown

13. Активируем удаленный доступ на наше устройство через telnet, используя пароль «cisco_remote».

Удаленный доступ обслуживается специальными виртуальными линиями под названием vty. В данном случае мы будем использовать vty линии от 0 до 4, позволяющих нам подключиться телнетом одновременно до пяти раз.

R1(config-if)#line vty 0 4

R1(config-if)#password cisco_remote

R1(config-if)#login

14. После долгих раздумий и анализа вы поймете, что лучше использовать ssh для удаленного администрирования. Проведем такую настройку.

Пожалуй, это самая сложная часть в нашей лабораторной работе. Ниже представлены 4 этапа выполнения задачи.

a)Настроить системное доменное имя. Без доменного имени IOS не может сгенерировать rsa ключи, использующиеся для шифрования и дешифрования. Доменное имя может быть любым, каким вы заходите (в нашем случае доменным именем будет networkdoc.local). Хорошей идеей будет использовать реальное имя вашей организации.

R1(config-line)#exit

R1(config)ip domain-name networcdoc.local

R1(config)#

b) Когда вы наберете команду, представленную ниже система спросит вас какую длину ключа использовать. Выберите значение 1024. IOS будет генерировать ключи несколько секунд, после чего автоматически запустит SSH сервер, подождите пока процесс будет выполнен.

R1(config)crypto key generate rsa

R1(config)#

с) Создайте аккаунт, который будет использоваться для ssh доступа (в нашем случае: user=admin, password=cisco_remote)

R1(config)username admin password cisco_remote

R1(config)#

d) Активируйте ssh протокол и дизактивируйте telnet на vty линиях 0-4. Убедитесь, что ssh будет использовать созданный локально аккаунт (admin) для ssh соединений. Это можно выполнить командой «login local».

R1(config)#line vty 0 4

R1(config-line)#transport input ssh

R1(config-line)#login local

R1(config-line)#end

R1#

15.Сохраним конфигурацию на коммутаторе или маршрутизаторе, для того, что бы настройки сохранились после перезагрузки устройств.

R1#copy running-config startup-config


  • Uplauple, SuzanneVef, Fatimaton и 22 другим это нравится






Темы с аналогичным тегами первичная настройка, cisco, коммутатор, маршрутизатор

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных