Сегодня: 19 Июн, 2021
Заметки сисадмина

Первоначальная настройка cisco

Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти — именно об этом пойдёт речь ниже.

1) Первое подключение делается через консольный провод — там всё стандартно — скорость 9600, да-нет-да-нет

2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco — то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #

3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии

cisco(config)#username cisco privilege 15 secret cisco

тут cisco — это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так
username cisco privilege 15 secret 5 $1$s75k$fbK9JaJ8BGsRWh0UHAsRc0

Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию
cisco(config)#aaa new-model

4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было
cisco(config)#access-list 23 permit 10.10.10.252
где 10.10.10.252 — IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду
line vty 0 4
access-class 23 in

privilege level 15
logging synchronous
transport input telnet ssh line vty 5 15 access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh
Что мы тут видим
access-class 23 in — это список с нашими ИП адресами, кому можно подключаться
privilege level 15 — разрешаем подключение сразу с максимальными привилегиями
logging synchronous — удобство работы — командная строка будет пустая
transport input telnet ssh — разрешаем и telnet и ssh

5) Назначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес

cisco(config)#interface GigabitEthernet0/0
cisco(config-if)#ip address 10.10.10.251 255.255.255.0

Но можно назначить и динамический
cisco(config-if)#ip address dhcp

ну и, конечно же, посмотрим что у нас получилось
cisco#sh ip int br

Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 10.100.122.195 YES DHCP up up GigabitEthernet0/1 10.10.10.251 YES NVRAM up up
6) Лирическое отступление
Наверное следовало сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так — в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en — результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит — значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации
cisco#sh?

shell show

или
cisco#show ?

aaa Show AAA values
access-expression List access expression access-lists List access lists acircuit Access circuit info

Но иногда бывает что надо написать знак вопроса, а система показывает справку — тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст

7) Настраиваем время
Установка часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос — это ещё важней, потому делаем — укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).

cisco#conf t

Enter configuration commands, one per line. End with CNTL/Z. cisco(config)#clock timezone MSK 4
cisco(config)#^Z
cisco# clock set 10:55:00 10 Oct 2014

Проверим
cisco#sh clock

*10:55:42.752 MSK Fri Oct 10 2016

Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.
ntp master 2

ntp server ntp2.stratum1.ru source GigabitEthernet0/0 ntp server timeserver.ru source GigabitEthernet0/0 ntp server ntp1.stratum1.ru source GigabitEthernet0/0
тут GigabitEthernet0/0 — интерфейс, смотрящий в интернет.

Посмотреть какие сервера выбраны в итоге можно командой

sh ntp associations

8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен
hostname cisco

ip domain name local.network

Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена
ip name-server 8.8.8.8

ip name-server 4.4.4.4

Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) — мы используем 1024
cisco(config)#crypto key generate rsa label FORSSH mod 2048

[OK] (elapsed time was 2 seconds)
cisco(config)#

если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат

После чего включем ssh сервер, указав версию протокола v2

cisco(config)#ip ssh version 2

Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь
ip ssh dh min size 4096

Первоначальная настройка cisco
Поделиться
Комментарии
Максим Орлов

Ваш покорный слуга - компьютерщик широкого профиля: системный администратор, вебмастер, интернет-маркетолог и много чего кто. Вместе с Вами, если Вы конечно не против, разовьем из обычного блога крутой технический комплекс.

Оставить комментарий

Ваш Email адрес не будет опубликован. Все обязательные поля обозначены *