что такое line vty
Краткие заметки по Cisco CCNA (часть ICND1)
В этом посте я структурировал заметки, созданные вместе со слушателями на курсах в процессе повторения пройденного материала. Изначально все это делалось в блокноте. В посте нет детальных описаний и т.д. Добавил немного графиков и оформил по порядку. В общем, рассматривайте информацию, как краткие шпаргалки, которые можно почитать вечером перед сдачей экзамена, чтобы быстро все освежить в памяти. Если будет интересно, то можно выложить ICND2, да и много чего еще есть в таком же духе.
Сетевой уровень: IP
1. Private / Public адреса
a. A 10.x.x.x
b. B 172.16.x.x — 172.31.x.x
c. C 192.168.x.x
2. Subnet Mask / VLSM / CIDR
3. NAT
4. IPv6
Транспортный уровень: UDP/TCP
| Протокол | Характеристики | |
|---|---|---|
| TCP | Надежный (Reliable) | Формирует предварительно соединение (Connection-oriented) |
| UDP | Ненадежный (Best-Effort) | Соединение не формируется (Connectionless) |
Процесс формирования соединения TCP (3-Way Handshake):
Работа с Cisco IOS
Базовая настройка коммутатора
Базовый Security
Сохранение файла конфигурации:
Маршрутизация
Metric – выбор маршрута внутри протокола.
Маскирование
11000000.10101000.00000010. 00000000 192.168.2.0 /24 network
11111111.11111111.11111111. 00000000 255.255.255.0 mask
11000000.10101000.00000010. 00000001 192.168.2.1 1 host
11000000.10101000.00000010. 11111110 192.168.2.254 Last host
11000000.10101000.00000010. 11111111 192.168.2.255 Broadcast
Использование роутера в качестве DHCP-сервера
Удаленный доступ (telnet / ssh)
Настройка Serial интерфейсов:
Протокол RIP
Управление
Просмотр и изменение:
Если свободного места для копирования нового IOS нет:
Если свободное место есть:
IOS Recovery:
Password Recovery:
Что такое line vty
Сети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию cisco
Сегодня мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.
Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.
Среда
Начнём с того, в какой среде будем работать.
В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:
а) Цисковский же продукт Packet Tracer, который по идее свободно не распространяется. Это эмулятор и имеет лишь некоторые функции Cisco IOS. Вообще говоря, он сильно ограничен и многие вещи в нём реализованы лишь отчасти. Никаких тонких настроек. С другой стороны к настоящему моменту версия 5.3.2 поддерживает создание GRE-туннелей, протоколов динамической маршрутизации (и в их числе даже BGP!). Притом он очень прост в освоении и имеет в своём арсенале сервера (FTP, TFTP, DHCP, DNS, HTTP, NTP, RADIUS, SMTP, POP3), рабочие станции и свичи. Сейчас уже есть под Linux, хотя в былые времени он прекрасно запускался и из-под Wine.
б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.
Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer’a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.
Способы подключения
В Packet Tracer’e управлять оборудованием можно следующими способами:
Интерфейс последних трёх идентичный – отличается лишь способ подключения. Разумеется, GUI – не наш метод.
В реальной же жизни доступны:
Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).
Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.
Управление по консоли
Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель. Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так: 
Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco: 
Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят часто используемые конвертеры USB-to-COM: 
Либо редко используемые для этих целей конвертеры RS232-Ethernet 
После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.
Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название 
Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут: 
Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров 
Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.
Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt: 
Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение
Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд: 
Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал. Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:
Здесь список операций гораздо обширнее, например, можно выполнить одну из наиболее часто используемых команд, демонстрирующую текущие настройки устройства ака “конфиг” #show running-config. В привилегированном режиме вы можете просмотреть всю информацию об устройстве.
Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:
— Все команды в консоли можно сокращать. Главное, чтобы сокращение однозначно указывало на команду. Например, show running-config сокращается до sh run. Почему не до s r? Потому, что s (в пользовательском режиме) может означать как команду show, так и команду ssh, и мы получим сообщение об ошибке % Ambiguous command: «s r» (неоднозначная команда).
— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).
— Используйте горячие клавиши в консоли:
Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)
— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например. Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):
begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.
Но вернемся к режимам. Третий главный режим, наряду с пользовательским и привилегированным: режим глобальной конфигурации. Как понятно из названия, он позволяет нам вносить изменения в настройки устройства. Активируется командой #configure terminal из привилегированного режима и демонстрирует такое приглашение:
В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:
Настройка доступа по Telnet
Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:
По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:
Router(config-if)#ip address 192.168.1.1 255.255.255.0
shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.
Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны) 
Настраиваем IP-адрес компьютера через Desktop. 
И пробуем подключиться, выбрав Command Prompt в панели Desktop: 
Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”
Пароли
Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:
Router(config)#line vty 0 4 Router(config-line)#password cisco
Router(config-line)#login
0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий.
Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного: 
Настроим пароль для enable-режима:
Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:
line vty 0 4 password 7 08255F4A0F0A0111
Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.
Хотим обратить ваше внимание:
сейчас принятно настраивать доступы не через виртуальные терминалы, а командами #username и #aaa new-model. В версии PT 5.3.2 они уже есть и вполне работают.
Для этого нужно выполнить:
Router(config)#aaa new-model
Router(config)#username admin password 1234
Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.
Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.
Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.
При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
При работе с access-list’ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.
Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password cisco
Privilege Level
Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level.
Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.
privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах
privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1.
privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix’ах
Пример1
Router(config)#line vty 0 4
Router(config-line)privilege level 15
После входа на маршрутизатор при такой настройке вы сразу увидите Router# со всеми вытекающими правами.
Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config
Пример2
Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username
Router(config)#username pooruser privilege 2 secret poorpass
Router(config)#privilege exec level 2 show running-config
Router(config)#enable secret level 2 l2poorpass
В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.
После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2. 
Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.
Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль. Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером.
Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:
Router(config)#hostname R0
R0(config)#ip domain-name cisco-dmn
R0(config)#crypto key generate rsa
R0(config)#line vty 0 4
R0(config-line)#transport input ssh
Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.
Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.
Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее: 
Ну и на сладенькое: сброс пароля
Так, а что же делать, если на стол легла вам бушная циска с неизвестным паролем или вы очень невовремя забыли его? Вообще-то это многократно описано и легко гуглится, но повторить это необходимо. Практически на любом сетевом устройстве есть возможность сбросить пароль, имея физический доступ. Если сделать это невозможно или это отдельная платная услуга, то скорее всего в ваших руках находится какая-то русская поделка (не в обиду, конечно, нашим производителям, но дважды я такие строки читал в документации:))
Итак, cisco:
1) Подключаетесь к устройству консольным кабелем,
2) Отправляете его в ребут (хоть по питанию, хоть командой #reload)
3) Когда на экране побежит такая строчка ########…###, означающая загрузку образа (40-60 секунд после включения), необходимо отправить сигнал Break. Как это сделать в разных программах читать тут. Вы попадаете в режим ROMMON. 4) В этом режиме введите команду: confreg 0x2142, она заставит устройство игнорировать startup-config при загрузке.
5) Введите reset для перезагрузки
6) После загрузки running-config будет девственно чистым, а startup-config содержит по-прежнему последнюю сохранённую конфигурацию. Сейчас самое время поменять пароль или слить конфиг. 7) Самое важное: верните обратно регистры:
Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
OSI.
VLAN
Незарегистрированные читатели Хабрахабра могут задать свои вопросы в ЖЖ.
Хочу поблагодарить Максима aka gluck за помощь в написании этой статьи.
Тренинг Cisco 200-125 CCNA v3.0. День 9. Физический мир свитчей. Часть 1
В прошлом видеоуроке мы говорили о настройке свитчей, а сейчас рассмотрим, как они взаимодействуют с другими устройствами и как на практике соединяются друг с другом. Не будем тратить время и сразу же перейдем к теме сегодняшнего урока. В первую очередь я хочу рассказать о топологии: у нас имеются две различных топологии – физическая и логическая.
Разница между ними очень проста, и существует одна важная вещь, о которой вы должны узнать, прежде чем погрузиться в реальный мир нетворкинга. Разрешите мне взять ручку и нарисовать на этой карте маршрут из Дубая в Нью-Йорк. То, что я нарисовал – это не наземное путешествие, а авиаперелет. Логически вы просто совершаете путешествие из Дубая в Нью-Йорк, но физически все не так просто – сначала вы должны отправиться в аэропорт и взять билет. Вы можете забронировать его онлайн или купить в кассе, можете использовать для покупки кредитную карту или наличку, вы можете отправиться в аэропорт на такси или на собственной машине и оставить её в аэропорту. Затем ваш билет должны проверить, вы должны пройти таможенный контроль, то есть вам придется проделать множество разных вещей, прежде чем попасть на борт самолета. После этого вы перелетите в Нью-Йорк, и там повторится похожая процедура – прохождение контроля, получение багажа, вы можете нанять такси или попросить друзей, чтобы они забрали вас из аэропорта, чтобы наконец добраться до пункта назначения. Вот так можно представить разницу между логической и физической топологией сети.
Если посмотреть на следующий рисунок, то можно увидеть, как люди представляют себе сеть.
Компьютер соединен с хабом, хаб со свитчем, свитч с другим компьютером. Справа к свитчу подсоединено 2 компьютера, а слева два компьютера соединены с хабом, а хаб и свитч соединены друг с другом. Это логическая топология сети.
Если вы используете показанную на картинке программу Cisco Packet Tracer, то слева вверху у вас будет расположена кнопка Logical, нажав на которую можно увидеть логическую топологию вашей сети. Если я щелку на расположенную рядом с ней кнопку Physical, то увижу физическую топологию сети. Для этого из меню «Физическое расположение устройств» я выбираю параметр Rack – «Стойка», и передо мной появится стойка Cisco, на которой расположены мои свитч и хаб.
Хочу показать вам изображение реальной стойки, которое я просто взял из интернета, так что не имею на него никаких прав. Сверху вы видите ссылку на сайт, откуда я взял эту картинку.
В такую стойку монтируется и закрепляется несколько устройств Cisco, которые затем связывают друг с другом, чтобы создать сеть требуемой конфигурации. Вот так выглядит физическая топология сети, и вы можете добавлять нужные вам устройства в любой свободный отсек стойки, группируя их по типам – свитч над свитчем, хаб рядом с хабом и т.д. Затем вы можете построить свою сеть, просто соединяя устройства в стойке с помощью кабелей. На нашем рисунке зеленые кабеля соединяет хаб с компьютерами PC0 и PC1, а оранжевый кабель соединяет хаб с одним из портов свитча. Еще один зеленый кабель соединяет свитч с третьим компьютером PC2. Таким образом, к свитчу присоединено множество устройств.
Вот что собой представляет физическая топология сети. Как только вы добавляете новые устройства в логическую топологию сети, они тут же отобразятся на вкладке программы Physical (физические устройства), уже установленными на стойку Cisco.
Я хочу, чтобы вы усвоили разницу между физической и логической топологией сети, потому что чаще всего при возникновении неполадок сети у вас имеется именно такое соединение, как показано на схеме логической топологии. Но если вы приходите на новое место работы, то у вас нет логической топологии, к которой можно обратиться. Вы работаете с физической топологией сети, вы заходите в серверную и смотрите на все эти устройства, установленные в стойке. Для того, чтобы сделать из них сеть, вы должны использовать различные протоколы, например, VTP, о котором мы будем говорить в одном из следующих видеоуроков. Вы используете эти протоколы для того, чтобы определить, какие устройства подсоединены к каким портам. Вы можете определить это физически и попробовать создать логическую топологию. Вот в основном то, что я хотел рассказать, перед тем как перейти непосредственно к теме урока.
Давайте сделаем то, что мы узнали на предыдущем уроке, поэтому я бегло пройдусь по этим 10 командам, или 10 основным настройкам конфигурации свитча, которые мы должны выполнить для любого нового устройства.
В случае приведенного примера логической топологии сети вы должны настроить хаб и свитч для того, чтобы они могли взаимодействовать с 4-мя нашими компьютерами. Начнем со свитча, для этого кликнем по нему и войдем в терминал командной строки.
Сначала сконфигурируем имя хоста и назовем его SW1. Далее мы должны создать приветственный баннер, на котором напишем такую фразу: «Не входить! Это опасный свитч! За это вас привлекут к ответственности»!
После предыдущего урока меня многие спрашивают, зачем нужно использовать амперсанд в параметрах строки баннера. Вы можете не использовать &, используйте любой другой символ, заключив его в кавычки. Основное правило при создании баннера – не использовать этот символ, расположенный в кавычках, в качестве начального символа для текста баннера. Если я напечатаю амперсанд перед нижним полем из звездочек, сохранится лишь текст, расположенный выше этого амперсанда, а всё, что будет ниже него, система не запомнит. Таким образом, если я хочу использовать в своем тексте амперсанд &, то должен задать в качестве метки окончания текста баннера другой символ, например, закрывающую скобку “)”, расположив её в кавычках вместо &.
Я покажу это на следующем примере – задам символ “)”, а затем напечатаю новый текст баннера и закончу нижний ряд звездочек этой закрывающей скобкой. Если теперь я нажму «Ввод», то весь текст баннера перед этой скобкой автоматически сохранится. Таким образом, если вы хотите закончить свое сообщение каким-либо символом, просто не начинайте сообщение с этого символа.
Итак, мы создали приветственный баннер и теперь можем перейти к установке пароля на консоль. Для этого мы набираем в командной строке line con 0, потому что консоль – это линия связи, а у нас всего один консольный порт, поэтому обозначим консоль нулем. Мне нужно установить пароль на консоль, поэтому сначала я набираю в командной строке password console и назначаю пароль cisco, а в следующей строке мне нужно еще ввести слово login. Что означает этот логин?
Если я наберу сейчас команду no login, многие люди подумают, что это будет означать отсутствие пароля на консоль и будут совершенно не правы! Login означает всего лишь проверку пароля, который вводит пользователь. Если я наберу no login, такая проверка не будет осуществляться, но это не значит, что у нас не будет пароля. Логин – это как охранник двери, который спрашивает у любого пароль, и если пароль неправильный, его не пустят внутрь. Отсутствие логина означает, что «входная дверь» консольного порта все время будет открыта для любого трафика, который будет проходить через порт без запроса пароля.
У любого устройства Cisco по умолчанию консольный порт открыт, и любой, кто к нему подсоединится, может зайти в настройки устройства. Поэтому вам нужно настроить консольный порт свитча так, чтобы предотвратить к нему несанкционированный доступ, то есть ввести команду login.
Далее нам нужно установить пароль на Telnet. Это виртуальная линия связи, поэтому я печатаю line vty и поскольку нумерация этих линий может быть от 0 до 15, можно назначить от 0 до 4 или от 0 до 15 таких линий. Я выбираю значение от 0 до 4. Далее мы поступаем аналогично назначению пароля на консоль: я назначаю пароль командой password telnet и в следующей строке печатаю login, чтобы обеспечить его проверку. Это значит, что любой, кто попытается соединится со свитчем через Telnet, должен будет ввести правильный пароль.
Далее я ввожу команду do sh run, чтобы посмотреть на текущую конфигурацию устройства. У нас имеется 16 линий Telnet, и для линий первой части диапазона от 0 до 4 у нас имеется пароль telnet и логин, а для второй части от 5 до 15 виртуальной линии есть только логин. Возникает вопрос, почему у нас имеет место разделение параметров для линий 0-4 и 5-15. Если вы думаете, что это произошло из-за того, что я выбрал только четыре рабочих линии, то это не совсем неправильно.
Сейчас я вам объясню. Всего у нас имеется 16 виртуальных линий от 0 до 15, и для свитча Cisco это означает, что к нему одновременно могут подсоединиться 16 пользователей. Если я ввожу команду line vty 0 15, это означает, что я назначаю пароль для всех 16-ти пользователей.
Теперь я установлю пароль и логин для всех 16 линий, и если посмотреть на конфигурацию, то вы увидите, что теперь пароль и логин у нас имеется как для линий 0-4, так и для линий 5-15.
Что это значит? Как я уже сказал, 16 человек смогут подключиться к свитчу с помощью пароля telnet, но разница между 0-4 и 5-15 существует потому, что большинство старых моделей свитчей Cisco имеют всего 5 виртуальных линий от 0 до 4, и только у новых моделей имеется все 16 виртуальных линий 0-15. Поэтому Cisco считает, что если вы назначаете один пароль для всех 16 линий, это может вызвать проблему. Может случиться так, что вы скопируете конфигурацию настроек одного устройства и захотите перенести её на другие устройства. Но если вы попытаетесь использовать настройки свитча с 16 линиями для свитча с 5 линиями, команда не будет принята. Поэтому Cisco советует – даже если вы используете свитч с 16-ю виртуальными линиями, используйте раздельные настройки пароля и логина telnet для линий 0-4 и линий 5-16, чтобы у вас не возникло проблем с более старыми моделями свитчей, потому что команда для параметра line vty 0 4 совместима со всеми моделями. Вторая же часть, line vty 0 15, применима только к новым устройствам.
Таким образом, если вы копируете настройки нового свитча и хотите применить их для свитча старой модели, вы копируете только строки:
line vty 0 4
password telnet
login
Потому что новые свитчи не поймут команду для виртуальных линий 5-15, так как у них всего 5 линий. Вот в чем заключается причина разделения конфигурации Telnet на 2 части.
Если я хочу, чтобы все линии Telnet были доступны любому пользователю, я использую команды:
line vty 0 15
no login
Но это не то, что нам нужно – мы наоборот, хотим защитить свитч от несанкционированного доступа. Я покажу вам, как это сделать через минуту, пока что мы должны настроить IP для нашего свитча. Для этого я использую команду int vlan 1 и добавляю IP-адрес и маску подсети: add 10.1.1.1 255.255.255.0, закрепив изменения командой no sh (no shutdown).
Теперь вернемся назад к схеме логической топологии и произведем настройку Ip-адреса с помощью первого компьютера PC0.
Для этого вношу нужные параметры в окне сетевых настроек компьютера. Нам не нужно вводить параметры шлюза по умолчанию, поскольку у нас всего 1 сеть.
Далее я проверяю, пингуется ли свитч, и убеждаюсь, что всё работает как надо. То, что первый запрос выдал ошибку таймаута, объясняется тем, что наш компьютер обратился к устройству, не зная его MAC-адреса, а последующие запросы прошли удачно. Итак, я набираю в командной строке ping 10.1.1.10 и вижу приветственный баннер свитча – это означает, что я к нему подсоединился.
При этом свитч не спросил у меня пароль, потому что мы оставили линию Telnet открытой – если посмотреть на конфигурацию свитча, можно увидеть, что для всех линий от 0 до 15 используется параметр no login, то есть любой может подсоединиться к этому свитчу по протоколу Telnet, просто использовав его IP-адрес. Если теперь ввести команду en (enable), чтобы перейти к установке параметров, у нас появится сообщение % No password set – «Пароль не установлен». Это один из защитных механизмов Cisco, который требует, чтобы пользователь знал пароль, позволяющий производить настройку конфигурации свитча.
Поэтому мы перейдем в окно конфигурации параметров свитча и используем команду enable password enable, где слово enable будет нашим паролем. Если теперь в терминале командной строки компьютера ввести это слово, то мы получим доступ к настройкам свитча, о чем свидетельствует появление строки SW1 #.
Таким образом, защитный механизм Cisco делает так, что даже если мы не активируем функцию запроса пароля enable password, получить доступ к настройкам свитча все равно не удастся.
Напомню, что если вы перейдете на вкладку CLI программы Cisco Packet Tracer, то сможете настроить доступ через консольный порт. Таким образом, если вы входите в устройство через консольный порт и не предусмотрели доступ по паролю, это не будет проблемой, потому что активировать запрос пароля можно позже, когда вы будете настраивать всю конфигурацию. Но если вы входите в свитч через виртуальную линию Telnet, вы не получите доступ к настройкам, если предварительно не используете в настройках свитча команду enable password.
Поскольку мы не хотим, чтобы любой пользователь Telnet имел доступ к настройкам, мы должны создать пароль. Предположим, что мы собираемся использовать только 1 виртуальную линию, поэтому введем команду line vty 0. Это будет означать, что параметр enable password будет действовать только для этой единственной линии. Далее я ввожу проверку пароля – слово login, в следующей строке набираю password telnet и далее exit.
Для всех остальных 15-и линий от 1 до 15 я введу параметр no password и login.
Что же это значит? Если я ещё раз попрошу систему показать мне конфигурацию свитча командой sh run, то увижу следующее: для линии vty 0 у нас имеется и пароль, и логин, а для линий 1-4 логин активирован, это наш «охранник», но пароль не установлен. Это означает, что для входа в настройки свитча можно ввести любой пароль. При этом на экране отображаются сообщения, в которых написано: «Вход в систему по линии такой-то невозможен, пока не будет установлен пароль».
Теперь, если я перейду к окну командной строки компьютера и введу telnet 10.1.1.10, то увижу приветственный баннер с предложением ввести пароль. Давайте снова вернемся к логической топологии и выполним настройку сети для второго компьютера – PC1, введя IP-адрес 10.1.1.2 и маску подсети 255.255.255.0. Мы не будем трогать шлюз по умолчанию, потому что у нас всего одна сеть, а затем пропингуем свитч, чтобы убедиться, что связь установлена.
Если теперь попробовать войти в настройки свитча со второго компьютера с помощью команды telnet 10.1.1.10, у нас ничего не получится – система выдаст сообщение о том, что соединение уже используется другим хостом, поскольку у нас имеется всего одна линия Telnet под номером 0.
Если посмотреть на терминал командной строки, мы увидим, что линия 0 уже занята другим устройством, и пока я его не отсоединю, новое устройство не сможет подключится к свитчу.
Сейчас я наберу команду exit, чтобы отсоединиться, снова введу команду telnet 10.1.1.10 в окне командной строки второго компьютера, и как видите, теперь он смог подключиться к свитчу. Теперь я введу в качестве пароля слово telnet и смогу войти в настройки устройства.
Если я хочу, чтобы к свитчу могли подключаться одновременно несколько устройств, я должен настроить его соответствующим образом.
Итак, мы установили параметры Telnet password и Enable password, а теперь перейдём к управлению IP-адресами — IP management. Если мы захотим связаться с устройством, принадлежащим к другой сети, наш свитч должен знать, как это можно будет сделать. Поэтому мы возвращаемся к сетевым настройкам компьютера и назначаем шлюз по умолчанию, присвоив нашему сетевому маршрутизатору IP-адрес 10.1.1.100. С помощью этого адреса наше устройство сможет связаться с устройствами, находящимися за пределами сети 10.1.1.2/24.
В случае, если наш компьютер захочет соединиться с устройством, у которого первые три октета IP-адреса будут иными, чем 10.1.1, свитч организует это соединение через шлюз по умолчанию с IP-адресом 10.1.1.100. Если вспомнить наш пример с отелями, вы сразу поймете, о чем речь – если вы захотите пойти в другой отель, вам понадобится выйти из своего отеля через входную дверь.