- •Глава 2. Базовая конфигурация коммутатора и оконечного устройства
- •2.0 Введение.
- •2.0.1 Почему я должен выполнить этот модуль?
- •2.0.2 Что я буду изучать в этом модуле?
- •2.1 Доступ к Cisco ios
- •2.1.1 Операционные системы
- •2.1.2 Графический интерфейс пользователя
- •2.1.3 Назначение ос
- •2.1.4 Способы доступа
- •2.1.5 Программы эмуляции терминала
- •2.1.6 Проверьте свое понимание темы - Доступ к Cisco ios
- •2.2 Навигация по ios
- •2.2.1 Основные командные режимы
- •2.2.2 Режим конфигурации и режимы подконфигурации
- •2.2.3 Видео. Основные командные режимы интерфейса командной строки ios
- •2.2.4 Переключение между режимами ios
- •2.2.5 Видео. Переключение между режимами ios
- •2.2.6 Примечание о действиях проверки синтаксиса
- •2.2.7 Проверка синтаксиса - переход между режимами ios
- •2.2.8 Проверьте сове понимание темы - Навигация по ios
- •2.3 Структура команд
- •2.3.1 Базовая структура команд ios
- •2.3.2 Проверка синтаксиса команд ios.
- •2.3.3 Компоненты справки ios
- •2.3.4 Видео. Контекстная справка и проверка синтаксиса команд
- •2.3.5 Горячие клавиши и клавиши быстрого вызова
- •Часть 1: Получение доступа к коммутатору Cisco через консольный порт последовательного подключения
- •Часть 2: Отображение и настройка основных параметров устройства
- •Часть 3: Получение доступа к маршрутизатору Cisco с помощью консольного кабеля mini-usb (дополнительно)
- •2.4.2 Правила выбора паролей
- •2.4.3 Настройка паролей
- •2.4.4 Шифрование паролей
- •2.4.5 Баннерные сообщения
- •2.4.6 Видео - Безопасный административного доступа к коммутатору
- •2.4.7 Проверка синтаксиса - базовая конфигурация устройства
- •2.4.8 Проверьте свое понимание темы - Базовая настройка устройства
- •2.5 Сохранение конфигураций
- •2.5.1 Файлы конфигурации
- •2.5.2 Изменение текущей конфигурации
- •2.5.3 Видео - Изменение текущей конфигурации
- •2.5.4 Запись конфигурации в текстовый файл
- •2.5.5 Packet Tracer - Настройка начальных параметров коммутатора
- •2.6 Порты и адреса
- •2.6.2 Интерфейсы и порты
- •2.6.3 Проверить ваше понимание темы - порты и адреса
- •2.7 Настройка ip-адресации
- •2.7.1 Настройка ip-адресов оконечных устройств вручную
- •2.7.2 Автоматическая настройка ip-адресов оконечных устройств
- •2.7.3 Проверка синтаксиса - Проверка конфигурации ip пк с Windows
- •2.7.4 Настройка виртуального интерфейса коммутатора (svi)
- •2.7.5 Инструмент проверки синтаксиса. Настройка виртуального интерфейса коммутатора
- •2.7.6 Packet Tracer. Создание основных подключений
- •2.8 Проверка подключения
- •2.8.1 Видео задание - Проверка назначения интерфейса
- •2.8.2 Видео задание - Проверка сквозного подключения
- •2.9 Проверка и контрольная работа модуля
- •2.9.1 Packet Tracer - Базовая конфигурация коммутатора и оконечного устройства
- •2.9.2 Лабораторная работа - Базовая конфигурация коммутатора и оконечного устройства
- •Часть 1: Настройка топологии сети
- •Часть 2: Настройка узлов пк
- •Часть 3: Настройка и проверка основных параметров коммутатора
- •2.9.3 Что я изучил в этом модуле?
- •2.9.4 Контрольная по модулю - Базовая конфигурация коммутатора и оконечного устройства
2.4.3 Настройка паролей
При первоначальном подключении к устройству вы находитесь в пользовательском режиме EXEC. Этот режим защищен с помощью консоли.
Для обеспечения доступа пользователя в режиме EXEC введите режим конфигурации консоли линии с помощью команды глобальной конфигурации line console 0, как показано в примере. Ноль используется для обозначения первого (а в большинстве случаев — единственного) интерфейса консоли. Затем задайте пароль пользовательского режима EXEC с помощью команды password password. Наконец, включите доступ к пользовательскому режиму EXEC с помощью команды login.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# login
Sw-Floor-1#
Теперь для доступа к пользовательскому режиму EXEC с консоли будет необходим пароль.
Чтобы иметь доступ администратора ко всем командам IOS, включая настройку устройства, необходимо получить привилегированный доступ режима EXEC. Это самый важный метод доступа, поскольку он обеспечивает полный доступ к устройству.
Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной конфигурации enable secret password.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#
Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству через Telnet или SSH. Большинство коммутаторов Cisco поддерживают до 16 линий VTY, пронумерованных от 0 до 15.
Чтобы защитить VTY, войдите в режим line VTY, используя команду глобальной конфигурации line vty 0 15. Затем задайте пароль VTY с помощью команды password password . Наконец, включите доступ к VTY с помощью команды login.
Пример защиты линий VTY на коммутаторе приведен ниже.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#
2.4.4 Шифрование паролей
Файлы конфигурации startup-config и running-config отображают большинство паролей в виде простого текста. Это создает угрозу безопасности, поскольку при наличии доступа к этим файлам любой пользователь может увидеть пароли.
Чтобы зашифровать все пароли открытого текста, используйте команду глобальной конфигурации service password-encryption, как показано в примере.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#
Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации.
С помощью команды show running-config убедитесь, что пароли зашифрованы.
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end
2.4.5 Баннерные сообщения
Хотя пароли защищают сеть от несанкционированного доступа, необходимо использовать уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Для этого нужно добавить баннер в выходные данные устройства. Баннеры могут стать важной частью судебного процесса, если пользователь был обвинен в несанкционированном доступе. Отдельные законодательства не разрешают возбуждать судебные дела против пользователей или даже просто следить за их действиями без предупреждения.
Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной конфигурации #**banner motd #** # the message of the day # . Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». После выполнения команды баннер будет отображаться при всех последующих попытках доступа к устройству, пока не будет удален.
В следующем примере показаны шаги по настройке баннера на Sw-Floor-1.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# banner motd #Authorized Access Only#