Закладки

Здесь ничего нет. Чтобы добавить пост в закладки, нажмите на .

  • CCNA Routing & Switching для сомневающихся — #5

  • 🟣 Про базовую настройку устройств под управлением Cisco IOS

    Как правило, настройка любого из устройств под управлением Cisco IOS начинается непосредственно с задания уникального идентификатора (имени) самому устройству.

    Это необходимо для того, чтобы сетевому администратору было легче ориентироваться в топологии сети и не допустить путаницы при её проектировании.

    💡 До тех пор, пока имя устройство не будет задано вручную, Cisco IOS будет использовать имя по умолчанию — «Switch» для коммутаторов и «Router» для маршрутизаторов.

    При конфигурации устройств старайтесь выбирать имена со смыслом, чтобы при использовании в топологических схемах их было проще идентифицировать.

    🟠 Имя устройства должно начинаться с буквы, не содержать пробелов, оканчиваться на букву или цифру, а также содержать в себе только буквы, цифры и тире. Максимальная допустимая длина имени устройства (хоста) — 64 символа. Написание имени устройства допускается только латинскими буквами.

    🟣 Про присваивание имён нашим устройствам

    Для того, чтобы изменить имя устройства, нам необходимо использовать режим включения (для этого используем команду enable), после чего перейти в режим глобальной конфигурации посредством использования команды configure terminal:

    Switch> enable
    Switch# configure terminal
    Switch(config)# hostname Hello-CCNA
    Hello-CCNA(config)#

    💡 Для возвращения стандартного имени устройства используйте команду no hostname.

    🟣 Про защиту наших устройств от несанкционированного доступа

    Одна из самых распространённых проблем в сфере обеспечения безопасности сетевого оборудования — пароли с низким уровнем энтропии (которые можно быстро подобрать или легко угадать).

    Cisco IOS позволяет настроить разные пароли для разных режимов, чтобы минимизировать риски утечки информации после взлома — например, поставить разные пароли для доступа к нашему устройству по Telnet и для доступа к режиму включения.

    💡 Установить пароли для разных режимов недостаточно — их ещё необходимо зашифровать. Но об этом нескольким позже.

    🔴 При первичной конфигурации устройства необходимо в обязательном порядке задать пароль для режима включения.

    Для обеспечения защиты доступа к режиму включения необходимо использовать команду enable secret ваш_надёжный_пароль.

    Теперь дело за малым — осталось обезопасить консольный порт и доступ к устройству посредством использования Telnet.

    Начнём с защиты консольного порта — для этого используем команду line console 0 для перехода в режим настройки линии, затем — команду password ваш_надёжный_пароль для настройки пароля для неё.

    🟠 Самое главное — не забыть включить доступ к пользовательскому режиму через консоль! Для этого используйте команду login.

    Благодаря линиям виртуального терминала VTY обеспечивается удалённый доступ к нашему устройству через сеть. Эти линии используются для доступа по протоколам Telnet и SSH, поэтому их защита также является обязательной.

    💡 Как правило, коммутаторы Cisco поддерживают до 16 линий виртуального терминала VTY.

    Для защиты линий VTY используем команду line vty 0 15, где третий и четвёртый аргументы — диапазон линий VTY. Нумерация начинается с нуля, а всего линий — 16, поэтому последний аргумент установлен в 15.

    🟠 Не забываем использовать команду login после настройки линий виртуального терминала VTY.

    🟣 Про шифрование паролей

    Пароли от настроенных нами режимов хранятся в файлах конфигурации в незашифрованном виде.

    Для того, чтобы обеспечить надлежащий уровень защиты наших паролей (чтобы их никто не смог подсмотреть при наличии доступа к файлам устройства), нам необходимо их зашифровать.

    Шифрование паролей обеспечивается командной режима глобальной конфигурации service password-encryption.

    🟢 Эта команда применяет слабый алгоритм шифрования ко всем паролям. Важно помнить, что этот режим не обеспечивает шифрование паролей при их передаче по сети, поэтому при использовании режима Telnet их всё ещё можно подслушать.

    🟣 Про типы файлов, в которых хранится конфигурация и её сохранение

    Конфигурация нашего устройства хранится в двух файлах — startup-config и running-config.

    Как можно понять из названия, startup-config хранится непосредственно в памяти самого устройства (NVRAM). Он представляет из себя скрипт с перечнем команд, которые будут воспроизведены устройством после его запуска.

    Файл running-config хранится в оперативной памяти (RAM) и содержит в себе текущую конфигурацию. Содержимое файлов startup-config и running-config может отличаться, если содержимое файла running-config не было скопировано из энергозависимого ОЗУ в NVRAM.

    🟠 Для того, чтобы отобразить содержимое любого из файлов конфигурации, необходимо использовать команду типа show название_файла_конфигурации. Например, show running-config.

    Чтобы сохранить файл текущей конфигурации, необходимо использовать команду copy running-config startup-config.

    💡 Кстати, в случае чего конфигурацию из NVRAM можно восстановить без перезагрузки самого устройства при помощи команды configure replace nvram:startup-config.