Страница 1 из 1

Первоначальная настройка cisco

Добавлено: 10 окт 2014, 08:17
RomA
Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти - именно об этом пойдёт речь ниже.

1) Первое подключение делается через консольный провод - там всё стандартно - скорость 9600, да-нет-да-нет

2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco - то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #

3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии

Код: Выделить всё

cisco(config)#username cisco privilege 15 secret cisco
тут cisco - это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так

Код: Выделить всё

username cisco privilege 15 secret 5 $1$s75k$fbK9JaJ8BGsRWh0UHAsRc0
Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию

Код: Выделить всё

cisco(config)#aaa new-model


4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было

Код: Выделить всё

cisco(config)#access-list 23 permit 10.10.10.252
где 10.10.10.252 - IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду

Код: Выделить всё

line vty 0 4
 access-class 23 in
 privilege level 15
 logging synchronous
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 logging synchronous
 transport input telnet ssh
Что мы тут видим
access-class 23 in - это список с нашими ИП адресами, кому можно подключаться
privilege level 15 - разрешаем подключение сразу с максимальными привилегиями
logging synchronous - удобство работы - командная строка будет пустая
transport input telnet ssh - разрешаем и telnet и ssh

5) Насначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес

Код: Выделить всё

cisco(config)#interface GigabitEthernet0/0
cisco(config-if)#ip address 10.10.10.251 255.255.255.0
Но можно назначить и динамический

Код: Выделить всё

cisco(config-if)#ip address dhcp
ну и, конечно же, посмотрим что у нас получилось

Код: Выделить всё

cisco#sh ip int br
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0            10.100.122.195  YES DHCP   up                    up      
GigabitEthernet0/1            10.10.10.251    YES NVRAM  up                    up      
6) Лирическое отступление
Наверное следова ло сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так - в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en - результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит - значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации

Код: Выделить всё

cisco#sh?  
shell         show 
или

Код: Выделить всё

cisco#show ?
  aaa                       Show AAA values
  access-expression         List access expression
  access-lists              List access lists
  acircuit                  Access circuit info
6) Но иногда бывает что надо написать знак вороса, а система показывает справку - тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст
[/color]

7) Настраиваем время
Устанока часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос - это ещё важней, потому делаем - укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).

Код: Выделить всё

cisco#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
cisco(config)#clock timezone MSK 4
cisco(config)#^Z
cisco# clock set 10:55:00 10 Oct 2014
Проверим

Код: Выделить всё

cisco#sh clock 
*10:55:42.752 MSK Fri Oct 10 2014
Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.

Код: Выделить всё

ntp master 2
ntp server ntp2.stratum1.ru source GigabitEthernet0/0
ntp server timeserver.ru source GigabitEthernet0/0
ntp server ntp1.stratum1.ru source GigabitEthernet0/0
тут GigabitEthernet0/0 - интерфейс, смотрящий в интернет.

Посмотреть какие сервера выбраны в итоге можно командой

Код: Выделить всё

sh ntp associations


8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен

Код: Выделить всё

hostname cisco
ip domain name cz6.ru
Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена

Код: Выделить всё

ip name-server 8.8.8.8
ip name-server 4.4.4.4
Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) - мы используем 1024

Код: Выделить всё

cisco(config)#crypto key generate rsa label FORSSH mod 2048

[OK] (elapsed time was 2 seconds)

cisco(config)#
если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат

После чего включем ssh сервер, указав версию протокола v2

Код: Выделить всё

cisco(config)#ip ssh version 2
Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь

Код: Выделить всё

ip ssh dh min size 4096