Настройка коммутатора Cisco. настройка коммутатора. Пользовательский режим exec

Название	Пользовательский режим exec
Анкор	Настройка коммутатора Cisco
Дата	27.09.2022
Размер	23.82 Kb.
Формат файла
Имя файла	настройка коммутатора.docx
Тип	Документы #700330

Основные командные режимы

По соображениям безопасности Cisco IOS использует два отдельных командных режима для доступа к административным функциям.

Пользовательский режим EXEC — это режим с ограниченными возможностями, но он удобен для базовых операций. В пользовательском режиме доступно только ограниченное число основных команд мониторинга, но невозможно выполнять какие-либо команды, которые могут изменить конфигурацию устройства. Пользовательский режим EXEC можно определить по командной строке CLI, оканчивающейся символом «>».

Привилегированный режим EXEC — этот режим должен использовать сетевой администратор для выполнения команд настройки. Режимы конфигурации более высокого уровня, например, режим глобальной конфигурации, доступны только из привилегированного режима EXEC. Привилегированный режим EXEC можно определить по командной строке, оканчивающейся символом «#».

Командные режимы конфигурации

Для настройки устройства пользователь должен перейти в режим глобальной конфигурации.

В режиме глобальной конфигурации выполняются изменения конфигурации CLI, влияющие на работу устройства в целом. Режим глобальной конфигурации можно определить по командной строке с именем устройства, после которого следует (config)#, например Switch(config)#.

Перед тем как перейти в другие специализированные режимы конфигурации, нужно войти в режим глобальной конфигурации. Из режима глобальной конфигурации пользователь может перейти в различные режимы подконфигурации. Каждый из этих режимов позволяет настроить конфигурацию отдельной части или функции устройства IOS. Два распространенных режима подконфигурации.

Режим конфигурации линии — используется для настройки доступа через консоль, SSH, Telnet или вспомогательный порт.

Режим конфигурации интерфейса — используется для настройки порта коммутатора или сетевого интерфейса маршрутизатора.

При использовании CLI режим определяется по диалогу командной строки, который уникален для каждого режима. По умолчанию каждый диалог начинается с имени устройства. После имени следует остальная часть диалога, которая определяет режим. Например, стандартный диалог для режима конфигурации линии — Switch(config-line)#, а для режима конфигурации интерфейса — Switch(config-if)#.

Переключение между режимами IOS

Для переключения диалогов командной строки используются различные команды. Чтобы перейти из пользовательского режима EXEC в привилегированный, введите команду enable. Чтобы вернуться в пользовательский режим EXEC, используйте команду привилегированного режима disable.

Примечание. Привилегированный режим EXEC иногда называют режимом включения (enable).

Для входа в режим глобальной конфигурации и выхода из него используйте команду привилегированного режима EXEC configure terminal. Чтобы вернуться в привилегированный режим EXEC, введите команду режима глобальной конфигурации exit.

Есть множество разных режимов подконфигурации. Например, для перехода в режим подконфигурации линии введите команду line, а затем тип и номер нужной линии управления. Для выхода из режима подконфигурации и возврата в режим глобальной конфигурации используйте команду exit. Обратите внимание на изменения диалога командной строки.

Switch(config)# line console 0

Switch(config-line)# exit

Switch(config)#

Чтобы перейти из любого режима подконфигурации в рамках режима глобальной конфигурации на один уровень выше в иерархии режимов, введите команду exit.

Чтобы перейти из любого режима подконфигурации в привилегированный режим EXEC, введите команду end или используйте сочетание клавиш Ctrl+Z.

Switch(config-line)# end

Switch#

Также можно напрямую переходить из одного режима подконфигурации в другой. Обратите внимание, что после выбора интерфейса командная строка изменяется с (config-line)# на (config-if)#.

Switch(config-line)# interface FastEthernet 0/1

Switch(config-if)#

Компоненты справки IOS

В IOS доступно два вида справки.

Контекстная справка

Проверка синтаксиса команды

Контекстная справка позволяет быстро узнать, какие команды доступны в каждом командном режиме, какие команды начинаются с определенных символов или группы символов, и какие аргументы и ключевые слова можно использовать для конкретных команд. Для доступа к контекстной справке просто введите вопросительный знак (?) в командной строке CLI.

Проверка синтаксиса команды подтверждает, что пользователь ввел допустимую команду. Командный процессор анализирует введенную команду слева направо. Если процессор распознает команду, то выполняется требуемое действие и интерфейс CLI возвращается к соответствующей командной строке. Если процессор не распознает введенную команду, он отображает возможные ошибки.

Настройка имен узлов

После определения соглашения об именовании нужно присвоить устройствам имена с помощью CLI.

Как показано на рис. 1, из привилегированного режима EXEC перейдите в режим глобальной конфигурации с помощью команды configure terminal. Обратите внимание на изменение в диалоге командной строки.

В режиме глобальной конфигурации введите команду hostname, а затем имя коммутатора и нажмите клавишу ввода. Обратите внимание на изменение имени в диалоге командной строки.

Примечание. Чтобы удалить настроенное имя узла и вернуть стандартный диалог командной строки для коммутатора, используйте команду глобальной конфигурации no hostname.

Настройка паролей

Самый важный пароль, который нужно настроить, — пароль для доступа к привилегированному режиму EXEC, как показано на рис. 1. Для защиты доступа к привилегированному режиму EXEC используйте команду глобальной настройки enable secret password .

Для защиты доступа к пользовательскому режиму EXEC необходимо настроить консольный порт, как показано на рис. 2. Перейдите в режим конфигурации консоли линии с помощью команды глобальной конфигурации line console 0. Ноль используется для обозначения первого (а в большинстве случаев — единственного) интерфейса консоли. Затем задайте пароль пользовательского режима EXEC с помощью команды password password . Наконец, включите доступ к пользовательскому режиму EXEC с помощью команды login. Теперь для доступа к пользовательскому режиму EXEC с консоли будет необходим пароль.

Линии виртуального терминала (VTY) обеспечивают удаленный доступ к устройству. Для защиты линий VTY, используемых для связи по протоколам SSH и Telnet, перейдите в режим VTY линии с помощью команды глобальной конфигурации line vty 0 15, как показано на рис. 3. Большинство коммутаторов Cisco поддерживают до 16 линий VTY, пронумерованных от 0 до 15. Затем задайте пароль VTY с помощью команды password password . Наконец, включите доступ к VTY с помощью команды login.

Шифрование паролей

Файлы конфигурации startup-config и running-config отображают большинство паролей в виде простого текста. Это создает угрозу для безопасности, поскольку при наличии доступа к файлам любой пользователь может увидеть пароли.

Чтобы зашифровать пароли, используйте команду глобальной конфигурации service password-encryption. Команда применяет слабый алгоритм шифрования ко всем незашифрованным паролям. Шифрование применяется только к паролям в файле конфигурации, но не к паролям, которые отправлены по сети. Эта команда не позволяет неавторизованным пользователям прочитать пароли в файле конфигурации.

С помощью команды show running-config убедитесь, что пароли зашифрованы.

Введите команду для шифрования открытых паролей.

Switch(config)# service password-encryption

Выйдите из режима глобальной конфигурации и откройте текущую конфигурацию.

Switch(config)# exit

Switch# show running-config

!
<Данные опущены>
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 03095A0F034F38435B49150A1819
login
!
!
end

Switch#

Вы успешно зашифровали открытые пароли.

Баннерные сообщения

Хотя пароли защищают сеть от несанкционированного доступа, необходимо использовать уведомления о том, что лишь авторизованным пользователям можно получить доступ к устройству. Для этого нужно добавить баннер в выходные данные устройства. Баннеры могут стать важной частью судебного процесса, если пользователь был обвинен в несанкционированном доступе. Отдельные законодательства не разрешают возбуждать судебные дела против пользователей или даже просто следить за их действиями без предупреждения.

Чтобы создать баннерное сообщение дня на сетевом устройстве, используйте команду глобальной настройки banner motd # сообщение дня #. Символ «#» в синтаксисе команды называется разделителем. Он вводится до и после сообщения. Разделителем может быть любой символ, которого нет в самом сообщении. Поэтому часто используются такие символы, как «#». После выполнения команды баннер будет отображаться при всех последующих попытках доступа к устройству, пока не будет удален.

Поскольку баннеры видит каждый, кто пытается войти в систему на устройстве, сообщение необходимо тщательно сформулировать. Точное содержание или формулировка баннера зависят от местного законодательства и корпоративной политики. В нем необходимо указать, что только авторизованные пользователи могут получить доступ к устройству. Не следует использовать в формулировке выражения типа «Добро пожаловать» или нечто подобное. Кроме того, баннер может содержать расписание отключений системы и другие сведения, касающиеся всех пользователей сети.

Ограничьте доступ к коммутатору.

Зашифруйте все пароли.
Защитите доступ в привилегированный режим EXEC.
Защитите доступ к консоли.
Защитите доступ к VTY.

Зашифруйте все пароли.

Sw-Floor-1(config)#service password-encryption

Sw-Floor-1(config)#

Установите пароль для доступа в привилегированный режим EXEC. Cla55.

Sw-Floor-1(config)#enable secret Cla55

Sw-Floor-1(config)#

Защитите канал консоли.

Задайте пароль Cisc0.
Разрешите использование логина.

Sw-Floor-1(config)# line console 0

Sw-Floor-1(config-line)# password Cisc0

Sw-Floor-1(config-line)# login

SW-Floor-1(config-line)#

Защитите первые 16 линий VTY.

Задайте пароль Cisc0.
Разрешите использование логина.

Sw-Floor-1(config)# line vty 0 15

Sw-Floor-1(config-line)# password Cisc0

Sw-Floor-1(config-line)# вход в систему

Sw-Floor-1(config-line)#

Вы успешно ограничили доступ к коммутатору.

Сохранение файла текущей конфигурации

Конфигурация устройства хранится в двух системных файлах.

startup-config — файл в энергонезависимом ОЗУ (NVRAM), содержащий все команды, которые будут использоваться устройством после запуска или перезагрузки. Содержимое NVRAM не теряется при выключении питания устройства.

running-config — файл в ОЗУ, отражающий текущую конфигурацию. Изменения текущей конфигурации незамедлительно влияют на работу устройства Cisco. ОЗУ — энергозависимая память. После отключения питания или перезагрузки устройства ОЗУ теряет все свое содержимое.

Как показано на рисунке, можно использовать команду привилегированного режима EXEC show running-config для просмотра файла текущей конфигурации. Для просмотра файла загрузочной конфигурации используйте команду привилегированного режима EXEC show startup-config.

Однако при отключении питания или перезапуске устройства все несохраненные изменения конфигурации будут потеряны. Чтобы сохранить изменения текущей конфигурации в файле загрузочной конфигурации, используйте команду привилегированного режима EXEC copy running-config startup-config.

Изменение текущей конфигурации

Если изменения, внесенные в текущей конфигурации, не приносят желаемого результата, а файл текущей конфигурации еще не был сохранен, можно восстановить устройства в их предыдущей конфигурации путем индивидуального удаления измененных команд или путем перезагрузки устройства, используя команду привилегированного режима EXEC reload для восстановления стартовой конфигурации.

Недостатком использования команды reload для удаления несохраненной текущей конфигурации является кратковременный переход устройства в автономный режим и, как следствие, простой сети.

Выполняя перезагрузку, IOS определит, что изменения текущей конфигурации не были сохранены в файл загрузочной конфигурации. Появится сообщение с вопросом, нужно ли сохранить изменения. Для отмены изменений введите n или no.

Если нежелательные изменения были сохранены в файл загрузочной конфигурации, возможно, придется удалить все конфигурации. Для этого нужно удалить загрузочную конфигурацию и перезапустить устройство. Загрузочную конфигурацию можно удалить с помощью команды привилегированного режима EXEC erase startup-config. После ввода команды появится запрос о подтверждении. Нажмите клавишу ввода для подтверждения.

После удаления загрузочной конфигурации из NVRAM перезапустите устройство, чтобы удалить файл текущей конфигурации из ОЗУ. При перезагрузке на коммутаторе применяется загрузочная конфигурация по умолчанию, с которой изначально поставлялось устройство.

Настройка виртуального интерфейса коммутатора (SVI)

Для удаленного доступа к коммутатору на интерфейсе (SVI) нужно настроить IP-адрес и маску подсети. Чтобы настроить SVI на коммутаторе, используйте команду глобальной конфигурации interface vlan 1. Vlan 1 — это не физический интерфейс, а виртуальный. Затем назначьте IPv4-адрес с помощью команды интерфейсной настройки ip address ip-address subnet-mask . Наконец, включите виртуальный интерфейс с помощью команды конфигурации интерфейса no shutdown.