Первоначальная настройка cisco
Добавлено: 10 окт 2014, 08:17
Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти - именно об этом пойдёт речь ниже.
1) Первое подключение делается через консольный провод - там всё стандартно - скорость 9600, да-нет-да-нет
2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco - то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #
3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии
тут cisco - это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так
Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию
4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было
где 10.10.10.252 - IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду
Что мы тут видим
access-class 23 in - это список с нашими ИП адресами, кому можно подключаться
privilege level 15 - разрешаем подключение сразу с максимальными привилегиями
logging synchronous - удобство работы - командная строка будет пустая
transport input telnet ssh - разрешаем и telnet и ssh
5) Насначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес
Но можно назначить и динамический
ну и, конечно же, посмотрим что у нас получилось
6) Лирическое отступление
Наверное следова ло сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так - в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en - результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит - значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации
или
6) Но иногда бывает что надо написать знак вороса, а система показывает справку - тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст
[/color]
7) Настраиваем время
Устанока часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос - это ещё важней, потому делаем - укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).
Проверим
Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.
тут GigabitEthernet0/0 - интерфейс, смотрящий в интернет.
Посмотреть какие сервера выбраны в итоге можно командой
8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен
Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена
Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) - мы используем 1024
если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат
После чего включем ssh сервер, указав версию протокола v2
Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь
1) Первое подключение делается через консольный провод - там всё стандартно - скорость 9600, да-нет-да-нет
2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco - то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #
3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии
Код: Выделить всё
cisco(config)#username cisco privilege 15 secret cisco
После этого в конфиге оно должно выглядеть так
Код: Выделить всё
username cisco privilege 15 secret 5 $1$s75k$fbK9JaJ8BGsRWh0UHAsRc0
После того, как завели пользователю можно включить идентификацию
Код: Выделить всё
cisco(config)#aaa new-model
4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было
Код: Выделить всё
cisco(config)#access-list 23 permit 10.10.10.252
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду
Код: Выделить всё
line vty 0 4
access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh
access-class 23 in - это список с нашими ИП адресами, кому можно подключаться
privilege level 15 - разрешаем подключение сразу с максимальными привилегиями
logging synchronous - удобство работы - командная строка будет пустая
transport input telnet ssh - разрешаем и telnet и ssh
5) Насначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес
Код: Выделить всё
cisco(config)#interface GigabitEthernet0/0
cisco(config-if)#ip address 10.10.10.251 255.255.255.0
Код: Выделить всё
cisco(config-if)#ip address dhcp
Код: Выделить всё
cisco#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 10.100.122.195 YES DHCP up up
GigabitEthernet0/1 10.10.10.251 YES NVRAM up up
Наверное следова ло сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так - в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en - результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит - значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации
Код: Выделить всё
cisco#sh?
shell show
Код: Выделить всё
cisco#show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info
[/color]
7) Настраиваем время
Устанока часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос - это ещё важней, потому делаем - укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).
Код: Выделить всё
cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#clock timezone MSK 4
cisco(config)#^Z
cisco# clock set 10:55:00 10 Oct 2014
Код: Выделить всё
cisco#sh clock
*10:55:42.752 MSK Fri Oct 10 2014
Код: Выделить всё
ntp master 2
ntp server ntp2.stratum1.ru source GigabitEthernet0/0
ntp server timeserver.ru source GigabitEthernet0/0
ntp server ntp1.stratum1.ru source GigabitEthernet0/0
Посмотреть какие сервера выбраны в итоге можно командой
Код: Выделить всё
sh ntp associations
8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен
Код: Выделить всё
hostname cisco
ip domain name cz6.ru
Код: Выделить всё
ip name-server 8.8.8.8
ip name-server 4.4.4.4
Код: Выделить всё
cisco(config)#crypto key generate rsa label FORSSH mod 2048
[OK] (elapsed time was 2 seconds)
cisco(config)#
После чего включем ssh сервер, указав версию протокола v2
Код: Выделить всё
cisco(config)#ip ssh version 2
Код: Выделить всё
ip ssh dh min size 4096