Первоначальная настройка cisco

Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти — именно об этом пойдёт речь ниже.

1) Первое подключение делается через консольный провод — там всё стандартно — скорость 9600, да-нет-да-нет

2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco — то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #

3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии

cisco(config)#username cisco privilege 15 secret cisco

тут cisco — это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так

username cisco privilege 15 secret 5 $1$s75k$fbK9JaJ8BGsRWh0UHAsRc0

Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию

cisco(config)#aaa new-model

4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было

cisco(config)#access-list 23 permit 10.10.10.252

где 10.10.10.252 — IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду

line vty 0 4
access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh

Что мы тут видим
access-class 23 in — это список с нашими ИП адресами, кому можно подключаться
privilege level 15 — разрешаем подключение сразу с максимальными привилегиями
logging synchronous — удобство работы — командная строка будет пустая
transport input telnet ssh — разрешаем и telnet и ssh

5) Назначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес

cisco(config)#interface GigabitEthernet0/0
cisco(config-if)#ip address 10.10.10.251 255.255.255.0

Но можно назначить и динамический

cisco(config-if)#ip address dhcp

ну и, конечно же, посмотрим что у нас получилось

cisco#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 10.100.122.195 YES DHCP up up
GigabitEthernet0/1 10.10.10.251 YES NVRAM up up

6) Лирическое отступление
Наверное следовало сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так — в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en — результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит — значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации

cisco#sh?
shell show

или

cisco#show ?
aaa Show AAA values
access-expression List access expression
access-lists List access lists
acircuit Access circuit info

Но иногда бывает что надо написать знак вопроса, а система показывает справку — тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст

7) Настраиваем время
Установка часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос — это ещё важней, потому делаем — укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).

cisco#conf t
Enter configuration commands, one per line. End with CNTL/Z.
cisco(config)#clock timezone MSK 4
cisco(config)#^Z
cisco# clock set 10:55:00 10 Oct 2014

Проверим

cisco#sh clock
*10:55:42.752 MSK Fri Oct 10 2016

Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.

ntp master 2
ntp server ntp2.stratum1.ru source GigabitEthernet0/0
ntp server timeserver.ru source GigabitEthernet0/0
ntp server ntp1.stratum1.ru source GigabitEthernet0/0

тут GigabitEthernet0/0 — интерфейс, смотрящий в интернет.

Посмотреть какие сервера выбраны в итоге можно командой

sh ntp associations

8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен

hostname cisco
ip domain name local.network

Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена

ip name-server 8.8.8.8
ip name-server 4.4.4.4

Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) — мы используем 1024

cisco(config)#crypto key generate rsa label FORSSH mod 2048
[OK] (elapsed time was 2 seconds)
cisco(config)#

если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат

После чего включем ssh сервер, указав версию протокола v2

cisco(config)#ip ssh version 2

Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *