Глава 8. Настройка базовых средств управления коммутатором

Защита CLI коммутатора совместно используемыми паролями:

  • (config)#line console 0/(config)#vty 0 15
  • (config-line)#password пароль
  • (config-line)#login

Установка пароля привилегированного режима:

(config)#enable password пароль/(config)#enable secret пароль

Использование локальных имен:

  • (config)#username имя_локального_пользователя password/secret пароль
  • (config)#line console 0/vty 0 15
  • (config-line)#login local для подтверждения входа по локальному паролю
не обязательно, но можно внутри console 0/vty 0 15 указать еще 2 команды: (config-line)#password пароль и (config-line)#login

Защита с помощью Secure Shell (SSH)

  • (config)#hostname имя устройства
  • (config)#ip domain-name доменное имя
  • (config)#crypto key generate rsa { /moduls} создание ключа ssh
  • (config)#ip ssh version 2 установка версии ssh
  • (config-line)#transport input {all/none/ssh/telnet}
(config)#show ip ssh и (config)#show ssh - диагностические команды SSH

Предоставление IPv4 адреса для дистанционного доступа

Настройка ip и маски на одном интерфейсе VLAN 1 позволяют коммутатоhу обмениваться пакетами ip с другими хостами подсети в этой сети VLAN.
  • (config)#interface vlan 1
  • (config-if)#ip address ip submask
  • no shutdown
  • (config)#ip default-gateway ip
Для предоставления коммутатору DHCP соединения необходимо ввести команду (config-if)#ip address dhcp
Можно задать сразу DNS сервера командой (config-if)#ip nameserver ip ip

Проверить правильность заполнения IPv4 можно следующими командами:

  • (config)#show running-config
  • (config)#show unterface vlan x
  • (config)#show dhcp lease

Буфер истории команд

  • show history - отображает историю команд
  • history size x - задает количество команд, которое будет сохраняться в буфере vty/ssh
  • terminal history size x задает количество команд, которое будет сохраняться в буфере терминала

Полезные команды для лабораторных работ

  • (config)#no logging console - не выводить системные сообщения
  • (config)#logging synchorous - не выводить системные сообщения при работе с show
  • (config)#exec-timeout min sec - время бездействия перед отключением от CLI. Для лаб можно поставить 0 минут 0 секунд
  • (config)#no ip domain lookup - не искать DNS в случае неправильного ввода команд

Резюме главы

  • Первый этап зашиты коммутатора - это защита доступа к интерфейсу CLI .
    Она подразумевает зашиту доступа к привилегированному режиму, посколь­
    ку именно из него злоумышленник может перезагрузить коммутатор или из­
    менить его конфигураuию.
  • Коммутаторы Cisco зашишают привилегированный режим при помощи при­
    вилегированного пароля. Пользователь в пользовательском режиме вводит
    команду еnаЫе, запрашивающую привилегированный пароль; если пользо­
    ватель вводит правильный пароль, операuионная система IOS переводит
    пользователя в привилегированный режим.
  • Настройка паролей консоли и vty использует те же две подкоманды для кон­
    соли и vty соответственно, в режиме конфигурации линии. Команда login
    указывает операuионной системе IOS использовать простой пароль, а коман­
    да pas sword парользна чение задает пароль. Операuионная система IOS
    защищает привилегированный режим, используя привилегированный па­
    роль, заданный глобальной командой еnаЫе s ecret пароль
    зна чение.
  • Переход от доступа только по паролю к локально заданным именам пользо­
    вателя и паролям требует лишь немногих изменений в конфигураuии. Для
    этого достаточно одной или нескольких глобальных команд конфигураuии
    use rname имя pa s sword пароль.
  • Коммутаторы и маршрутизаторы Cisco поддерживают еще один способ про­
    верки правильности имен пользователя и паролей - внешний сервер ААА.
    При этом подходе аутентификаuии коммутатор (или маршрутизатор) просто
    посылает на сервер ААА сообшение с запросом, допустимо ли данное имя
    пользователя и пароль, а сервер ААА отвечает.
  • Для поддержки коммутаторами Cisco протокола SSH требуется не только ба­
    зовая конфигураuия с применением имен пользователей и паролей Telnet, но
    и дополнительная. Изначально на коммутаторе уже выполняется сервер SSH,
    он принимает входяшие соединения от клиентов SSH. Кроме того, коммута­
    тор нуждается в криптографическом ключе (cryptography key), используемом
    для шифрования данных.
  • Чтобы предотвратить уязвимость пароля в отображаемой версии файла кон­
    фигураuии или в его резервной копии, хранящейся на сервере, некоторые
    пароли можно зашифровать, используя глобальную команду конфигурации
    service password-encryption.
  • Команда banner режима глобальной конфигураuии применяется для на­
    стройки трех следующих типов сообщений.
  • Сообщение дня (MOTD) отображается до того, как появится приглашение
    аутентификаuии. Используется для некоторых временных сообщений,
    например, "Маршрутизатор будет выключен в полночь для технического
    осмотра" .
  • Сообщение перед аутентификацией отображается до выполнения аутентификации, но после сообщения дня. Обычно используется для какого-либо
    постоянного сообщения, например: " Неавторизованный доступ к устрой­ству запрещен".
  • Сообщение после аутентификации отображается после успешной аутентификации пользователя. Обычно используется для вывода информации,
    которая должна быть скрыта от неавторизованных пользователей.
  • Коммутатор настраивает свой IРv4-адрес и маску на специальном, подобном
    сетевой плате интерфейсе VLAN . Ниже приведена последовательность дейст­вий по настройке IРv4-адреса на интерфейсе VLAN 1 коммутатора.
    • Этап 1 Перейти в режим конфигурации сети VLAN 1 с помощью команды
      interface vlan 1 из глобального режима конфигурации устройства
    • Этап 2 Присвоить IР-адрес и маску с помощью команды ip address iр-адрес
      маска в подрежиме конфигурации интерфейса
    • Этап 3 Включить виртуальный интерфейс сети VLAN 1 с помощью команды no shutdown в подрежиме конфигурации интерфейса
    • Этап 4 Указать стандартный шлюз устройства в глобальном режиме конфигурации с помощью команды ip defaul t-gateway iр-адрес
    • Этап 5 Добавить глобальную команду ip name-server ip-aдpecl iр-адрес2,
      чтобы настроить коммутатор на использование DNS при поиске имен по их IР-адресам (необязательно)
  • Чтобы административно включить интерфейс на коммутаторе, используйте
    подкоманду интерфейса nо shutdown, а чтобы отключить его - подкоманду
    интерфейса shutdown.
  • Если сетевой инженер точно знает, какие конкретно устройства будут под­ключены кабелями к каким интерфейсам коммутатора, он может использо­вать защиту порта, чтобы его могли использовать только указанные устройст­ва. Это затрудняет злоумышленнику возможность подключить портативный компьютер к неиспользуемому порту коммутатора. Когда недозволенное уст­ройство пытается посылать фреймы на интерфейс коммутатора, он может предпринять в ответ различные действия, от вывода информационных сооб­щений до отключения интерфейса