Вопрос 41____ Cisco: Конфигурация и команды управления ios
Часть 2
Сбор основной информации о маршрутизации
Команда show version предоставляет сведения о базовой аппаратной конфигурации системы, а также номер версии программного обеспечения, имена и источники конфигурационных файлов вместе с образом загрузки.
Router#sh version
Cisco Internetwork Operating System Software
IOS (tm) 2500 Software (C2500-JS-L), Version 12.0(8), RELEASE SOFTWARE (fcl)
Copyright (c) 1986-1999 by cisco Systems, Inc.
Compiled Mon 29-Nov-99 14:52 by kpma
. Image text-base: Ox0305lC3C, data-base: 0x00001000
ROM: System Bootstrap, Version ll.O(lOc), SOFTWARE
BOOTFLASH: 3000 Bootstrap Software (IGS-BOOT-R), Version ll.O(lOc),
RELEASE SOFTWARE (fcl)
RouterA uptime is 5 minutes (маршрутизатор А работает 5 минут)
System restarted by power-on (система перезапущена по включению питания)
System image file is "flash:c2500-js-Ll20-8.bin" (файл образа системы)
cisco 2522 (68030) processor (revision N) with 14336K/2048K bytes of memory, (процессор cisco 2522 (68030) обновление N с 14336К/2048К байтами памяти)
Processor board ID 15662842, with hardware revision 00000003 (идентификатор процессорной платы 15662842 при аппаратном обновлении 00000003)
Bridging software. (программное обеспечение для функций моста)
Х .25 software. Version 3.O.O.
SuperLAT software (copyright 1990 by Meridian Technology Corp).
TN3270 Emulation software. (программное обеспечение эмуляции TN3270)
Basic Rate ISDN software, Version 1.1. (программное обеспечение базового уровня ISDN версии 1.1)
1 Ethernet/IEEE 802.3 interface(s)
2 Serial network interface(s)
8 Low-speed serial(sync/async) network interface(s)
1 ISDN Basic Rate interface(s)
32K bytes of non-volatile configuration memory. (32 Кбайта в энергонезависимой памяти конфигурации)
16384 К bytes of processor board System flash (Read ONLY) (16384 Кбайта в системной памяти флэш процессорной платы для режима "только чтение")
Configuration register is 0x2102 (конфигурационный регистр 0x2102)
С помощью команды show version можно узнать, как долго работает маршрутизатор, как он был перезапущен, имя исполняемого файла IOS, версии процессора и аппаратного обеспечения, а также размер памяти DRAM. Кроме того, указано значение в конфигурационном регистре.
Установка паролей
Для защиты маршрутизатора Cisco используются пять паролей. Первые два пароля служат для установки разрешенного пароля, который защищает привилегированный режим. Пароль запрашивается у пользователя после ввода команды enable. Остальные три пароля служат для настройки паролей для доступа пользователя через консольный порт, вспомогательный порт и по протоколу Telnet.
Разрешенные пароли
Для установки разрешенного пароля необходимо находиться в режиме глобального конфигурирования.
Router(config)#enable ?
|
last-resort |
Define enable action if no TACACS servers respond |
|
password |
Assign the privileged level password |
|
secret |
Assign the privileged level secret |
|
use-tacacs |
Use TACACS to check enable passwords |
Last-resort (крайний случай) Используется после установки аутентификации через сервер tacacs, который недоступен. Этот режим позволяет администратору даже в этом случае войти в систему маршрутизатора. Однако подобный режим недоступен при работающем сервере tacacs.
Password (пароль) Служит для установки разрешенного пароля (enable password) в устаревших системах с версиями до 10.3. Не используется, если установлен разрешенный секрет (enable secret).
Secret (секрет) Новый шифрованный пароль. После установки перекрывает действие разрешенного пароля.
Use-tacacs (использовать tacacs) Указывает маршрутизатору на аутентификацию через сервер tacacs. Это удобно, когда приходится обслуживать десятки и сотни маршрутизаторов. Как иначе изменить пароль на 200 маршрутизаторах? Сервер tacacs позволяет однократно изменить пароль, который будет действовать на все устройства.
Router(config)#enable secret todd
Router(config)#enable password todd
The enable password you have chosen is the same as your enable secret. This is not recommended. Re-enter the enable password, (выбранный разрешенный пароль совпадает с разрешенным секретом. Это не рекомендуется. Введите другой разрешенный пароль)
При попытке ввода одинакового разрешенного пароля и разрешенного секрета выводится вежливое предупреждение о недопустимости такого выбора. Однако при повторном вводе того же самого пароля, он будет установлен в маршрутизаторе даже при совпадении с разрешенным секретом. Между тем, пароли не работают одновременно. В новых маршрутизаторах (а не в старых унаследованных) можно не беспокоиться об использовании разрешенного пароля.
Пароли пользовательского режима присваиваются командой line.
Aux (вспомогательный) Служит для установки пароля пользовательского режима для вспомогательного порта. Обычно применяется для настройки в маршрутизаторе параметров модема, но может служить и для доступа к консоли.
Console (консоль) Служит для установки пароля консоли пользовательского режима. Vty (виртуальный терминал) Служит для установки в маршрутизаторе пароля Telnet. Если такой пароль не установлен, то по умолчанию использование Telnet запрещено.
Для настройки паролей пользовательского режима сначала конфигурируется нужная линия (line), а затем вводится команда login или no login для вывода из маршрутизатора приглашения аутентификации.
Вспомогательный пароль
Для настройки вспомогательного пароля следует перейти в режим глобального конфигурирования и ввести line аuх ?. Список выбора содержит только строку 0-0, поскольку существует один вспомогательный порт.
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#line aux ?
<0-0> First Line number
Router(config)#line aux 0
Router(config-line)#login
Router(config-line)#password todd
Важно помнить о команде login, иначе вспомогательный порт не выведет приглашения для аутентификации.
Пароль консоли
Для установки пароля консоли служит команда line console 0. Однако если подобно настройке вспомогательного порта ввести line console 0 ?, то вы получите ошибку. Необходимо ввести команду line console 0, причем после этого недоступен экран справки. Для возвращения на один уровень вверх следует задать " exit ".
Router(config-line)#line console ?
% Unrecognized command, ( нераспознанная команда )
Router(config-line)#exit
Router(config)#line console ?
<0-0> First Line number
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password todd1
Поскольку существует только один консольный порт, доступен вариант line console 0.
Другие команды консольного порта
Существует еще несколько важных команд для консольного порта, которые следует запомнить.
Команда exec-timeout О О устанавливает в ноль время тайм-аута консольного сеанса EXEC (т.е. тайм-аут запрещен). Можно разыграть своих коллег по работе, установив тайм-аут в значение О 1, что приведет к прерыванию терминального сеанса через каждую секунду! Избежать прерывания сеанса в этом случае позволит постоянное нажатие клавиши "стрелка вниз" при вводе изменения времени тайм-аута другой рукой.
Команда logging synchronous должна была бы быть установлена по умолчанию, но этого не сделано. Команда запрещает вывод консольных сообщений, которые прерывают ввод команд в консольном режиме. Это упростит чтение и ввод сообщений в маршрутизатор.
Примеры упомянутых команд:
Router(config)#line con 0
Router(config-line)#exec-timeout?
<0-35791> Timeout in minutes ( тайм - аут в минутах )
Router(config-line)#exec-timeout 0 ?
<0-2147483> Timeout in seconds ( тайм - аут в секундах )
< сг >
Router(config-line)#exec-timeout 0 0
Router(config-line)#logging synchronous
Пароль Telnet
Для установки пароля пользовательского режима при доступе по Telnet к маршрутизатору служит команда line vty. Маршрутизаторы, которые не исполняют версию Enterprise операционной системы Cisco IOS, по умолчанию имеют пять линий VTY (от 0 до 4). Однако в версии Enterprise таких линий намного больше — 198 (0 — 197). Проще всего узнать количество линий с помощью вопросительного знака.
Router(config-line)#line vty 0 ?
<1-197> Last Line Number *
<cr>
Router(config-line)#line vty 0 197
Router(config-line)#login
Router ( config - line )# password todd 2
Если попытаться установить сеанс Telnet с маршрутизатором, не имеющим заданных паролей для линий VTY, то будет получено сообщение об ошибке "подключение прервано, поскольку не установлен пароль". Можно указать маршрутизатору на разрешение подключений по Telnet без пароля, использовав команду no login.
Router(config-line)#line vty 0 197
Router(config-line)#no login
(После настройки IP-адреса маршрутизатора можно использовать программу Telnet для конфигурирования и проверки устройства вместо выполнения этих операций через консольный порт. Для запуска программы Telnet следует ввести в командной строке telnet (в DOS или Cisco).
Шифрование паролей
По умолчанию шифруется только пароль разрешенного секрета. Можно вручную установить режим- шифрования для пользовательского режима и разрешенного пароля. Заметим, что выполнение в маршрутизаторе команды show running-config позволяет увидеть все пароли за исключением разрешенного секрета.
Router # sh run
[листинг сокращен]
enable secret 5 $l$rFbM$8.aXocHg6yHrM/zzeNkAT.
enable password toddl
[ листинг сокращен ]
line con 0
password toddl
login
line aux 0
password todd
login