Настроювання Ethernet-інтерфейсів

Для маршрутизатора таке настроювання виконується аналогічно настроюванню його послідовних інтерфейсів, за виключенням того, що четвертий і п’ятий кроки виконувати непотрібно.

Для комутатора настроювання Ethernet-інтерфейсів дещо інше. Порти FastEthernet комутатора за замовчанням встановлені в режим автоматичного визначення швидкості передачі і дуплексний режим. Це дозволяє інтерфейсам пристроїв, що беруть участь у сеансі зв’язку, змінювати ці установки. Якщо адміністратору треба бути впевненим в тому, що даний інтерфейс має конкретну швидкість передачі та дуплексний або напівдуплексний режим, то ці значення слід встановити вручну, як показано на прикладі 3.3.

І

Switch(config)# interface FastEthernet0/2

Switch(config-if)# duplex full

Switch(config-if)# speed 100

Приклад 3.3  Встановлення швидкості

та режиму передачі портів комутатора

ншою корисною функцією, яка може бути встановлена на порту, є опція portfast. Якщо порт комутатора приєднаний тільки до станцій кінцевого користувача (тобто не приєднаний до іншого комутатора), то на ньому слід встановити функцію portfast за допомогою команди

Switch# set spantree portfast 4/1 enable.

В такому випадку при першому використанні порту він автоматично переходить із заблокованого стану в стан пересилання.

Настроювання Loopback-інтерфейсів

Іноді трапляються випадки, коли виникає необхідність проемулуювати з’єднання котрого в даний момент фізично не існує (наприклад, в майбутньому планується під’єднатись до провайдера, до іншої організації тощо). Для цього на маршрутизаторі можна настроїти Loopback-інтерфейс, задавши йому потрібну ІР-адресу та маску:

Router(config)# interface loopback number Router(config-if)# ip address <ip address> <netmask>

Router(config-if)# description My virtul interface

Router(config-if)# no shutdown

Настроювання банерів

Б

Router(config)# banner motd #

Enter TEXT message. End with the character '#'.

******************************************

WARNING!! Unauthorized Access Prohibited!!

******************************************

#

Приклад 3.4  Настроювання повідомлення дня

анером називається повідомлення, що відображається під час входу до системи. Таке повідомлення (його ще називають повідомленням дня  Message Of The Day  MOTD) можна використовувати для передавання деякої інформації до всіх користувачів мережі. Наприклад, часто таке повідомлення попереджає користувачів про те, що вхід в систему заборонено для неавторизованих користувачів. Для задання повідомлення дня використовують команду banner motd, після якої наводять потрібний текст, виділений символами „#”, як показано на прикладі 3.4.

Настроювання Telnet- та SSH-доступу

Насамперед зазначимо, що вказати потрібний метод доступу: або telnet, або SSH, або telnet і SSH можна так:

Router(config)# line vty 0 4

Router(config-line)# transport input <mode>,

а для вибору однієї з вищевказаних трьох альтернатив значення аргументу mode буде telnet, ssh та all відповідно.

Telnet-доступ

Для маршрутизатора, як вказувалось вище, для отримання Telnet-доступу достатньо встановити пароль на VTY-доступ і задати ІР-адресу і маску підмережі відповідному інтерфейсу [4].

Для комутатора організація Telnet-доступу передбачає призначення йому IP-адреси і задання шлюзу за замовчанням. На прикладі 3.5 показано як це зробити для комутаторів моделей Catalyst 2950. За замовчанням мережа VLAN 1 є віртуальною мережею керування. У мережі, побудованій на комутаторах, усі пристрої об’єднаної мережі повинні знаходитись в мережі керування VLAN. Це дозволяє з однієї робочої станції отримувати доступ до всіх пристроїв об’єднаної мережі, конфігурувати та керувати ними.

Switch(config)# interface VLAN1

Switch(config-if)# ip address 192.168.1.2 255.255.255.0

Switch(config)# ip default gateway 192.168.1.1

Приклад 3.5  Призначення комутатору IP-адреси і шлюзу за замовчанням

SSH-доступ

SSH-доступ також передбачає наявність SSH-клієнта та SSH-сервера. Для реалізації такого доступу слід згенерувати ключі RSA (Rivest, Shamir, Adleman encryption). RSA передбачає використання загальнодоступного ключа (public key), який зберігається на загальнодоступному RSA-сервері та приватного ключа (private key), який знають лише відправник та отримувач. Загальний ключ може бути відомий кожному і використовується для шифрування повідомлень. Такі зашифровані повідомлення можуть бути дешифровані, тільки при використанні приватного ключа.

Вам потрібно згенерувати RSA-ключі, використовуючи команду

crypto key generate rsa

Ця процедура потрібна, якщо Ви конфігуруєте пристрій (наприклад, маршрутизатор) як SSH-сервер. Слід увійти в привілейований режим, призначити пристрою ім’я, вибрати доменне ім’я та згенерувати пару ключів RSA:

Router# configure terminal

Router(config)# hostname Rt

Rt(config)# ip domain-name my_domain

Rt(config)# crypto key generate rsa

У четвертій команді (crypto key generate rsa) Ви дозволяєте SSH-серверу виконувати локальну та віддалену аутентифікацію і генеруєте пару RSA-ключів. Під час генерації цих ключів Ви повинні вибрати їх довжину (Cisco, наприклад, рекомендує вибирати довжину у 1024 біти). Більша довжина хоч і була б безпечніша, але й потребує більше часу на генерування та використання.

Подивитись стан SSH-сервера можна за командою show ip ssh або show ssh. Для вилучення пари ключів RSA, слід ввести команду

Rt(config)# crypto key zeroize rsa,

після якої сервер SSH автоматично вимикається.

Під час конфігурування SSH-доступу можна також вказати:

• Використовувану версію SSH (першу або другу) за допомогою команди Rt(config)# ip ssh version <v_num>, де v_num  номер версії.

Якщо цю команду не ввести  то SSH-сервер вибере найстаршу версію, підтримувану клієнтом (наприклад, якщо клієнт підтримує SSHv1 та SSHv2, сервер вибере SSHv2).

• Керувальні параметри SSH: час тайм-ауту (time-out) в секундах з діапазону від 0 до 120 (стандартно 120 секунд) можна вказати за допомогою команди Rt(config)# ip ssh timeout <seconds>. Цей час відводиться для встановлення з’єднання; максимальну кількість спроб аутентифікації клієнта з діапазону від 0 до 5 (стандартно 3) можна вказати за допомогою команди Rt(config)#ip ssh authentication-retries <number>.