Практическая настройка маршрутизатора Cisco

 

Настройка пароля enable:
R1(config)#enable password cisco

Если пароль не зашифрован его можно посмотреть командой:
#sh run | sec enable

Изменеие имени хоста:
(config)#hostname <name>

Задание домена:
(config)#ip domain-name <name>

Конфигурирование консоли выполняется в режиме глобальной конфигурации:
line con 0
no exec-timeout
logging synchronous

Конфигурирование терминальных линий:
line vty 0 4
no exec-timeout
logging synchronous

Конфигурирование времени.

При конфигурирование времени важно соблюдать последовательность:
сначала конфигурируется временная зона, потом время.
Посмотреть текущее время:
sh clock

Установка временной зоны:
(config)#clock timezone KST +7

Установка времени даты месяца и года, осуществляется в режиме enable:
# clock set 18:00:00 16 Nov 2023

Простые способы аутентификации, удалённый доступ по telnet.

Простой пароль на telnet (line password):
(config)# line vty 0 4
(config-line)# password cisco
(config-line)# login

Аутентификация через локальную базу пользователей (local authetication):
(config)# username cisco privilege 15 password cisco
(config)# line vty 0 4
(config-local)# login local

Или:
(config)# aaa new-model
(config)# aaa authentication login default local

Кто подключился к устройству:
who

Удалённый доступ по ssh, защита удалённого доступа.

Сгенерировать RSA ключи (если длина ключа меньше 768 bit то будет влючён SSH версии 1.5, если
768 bit и выше то, SSH v1.99 и выше)
Перед генерацией ключей необходимо чтобы у маршрутизатора было задано имя хоста и домена.

(config)# crypto key generate rsa modulus 1024

Посмотреть ключи:
# show crypto key mypubkey rsa

Удалённый доступ по ssh, защита удалённого доступа.

Разрешить только требуемые протоколы Telnet/SSH:
(config)# line vny 0 4
(config-line)# transport input telnet ssh

При необходимости, запретить Telnet/SSH и др. протоколы для выхода с нашего устройства:
(config)# line vty 0 4
(config-line)# transport output none

Ограничить терминальный доступ к устройству определёнными сетями
и конкретными хостами с помощью ACL, например:
(config)# access-list 10 permit 192.168.1.0 0.0.0.255
(config)# access-list 10 permit host 172.16.1.1
(config)# line vty 0 4
(config-if)# access-class 10 in

Дополнительные настройки и возможности
Прописать дополнительные IP адреса на интерфейсах:
(config)# interface fastEthernet 0/0
(config-if)# ip address 172.16.1.1 255.255.255.0 secondary
(config-if)# no shutdown

Посмотреть ip адреса на интерфейсах и их состояние:
#show ip interface brief

Задать маршруты, а также маршрут по-умолчанию (default gateway),
данная команда используется если отключен ip routing:
(config)# ip route <network_ip> <network_mask> <gateway>
(config)# ip route 0.0.0.0 0.0.0.0 <gateway>

Посмотреть таблицу маршрутов:
# show ip route

Посмотреть секцию конфигурации статических маршрутов:
# show run | sec ip route

Скрыть пароли в тексте конфигурации:
(config)# service password-encryption

Включить возможность архивации файлов конфигурации:
(config)# archive
(config-archive)# path flash:/my-configs
(config-archive)# maximum 10

Архивация текущей конфигурации (running-config):
# archive config

Замена текущей конфигурации (runnung-config) из архивной копии:
# configure replace flash:/my-configs-1

Внимание!
Команда copy flash:/my-configs-1 running-config объединяет оба конфигурационных файла,
в отличие от configure replace flash:/my-configs-1 которая заменят файл

Просмотр директорий flash-памяти:
# dir

Просмотр созданного конфигурационного файла:
# more <name_config>

Создать теневые копии образа IOS и кофигурации на случай внезапного удаления:
(config)# secure boot-image
(config)# secure boot-config

Посмотреть теневые копии:
# show secure bootset

Восстановление из теневой копии конфигурации:
(config)# secure boot-config restore

Создать банер, например:
# banner #
Enter text message. End with the character '#'.
Authorized Access Only
#

Типы паролей в IOS
- текстовый (clear text, тип 0);
- шифрованный алгоритм Cisco (тип 7);
- хэш md5 (тип 5).

Пароли типа 7 (например, line password, user password) можно легко взломать,
даже без специальных утилит, а лишь с помощью самого устройства, например:
(config)# key chain PASS
(config-keychain)# key 1
(config-keychain-key)# key-string 7 045802150C2E
# show key chain PASS
Key-chain PASS:
key 1 -- txt"cisco"

Для надёжной защиты пароля надо включить сервис
шифрации паролей и использовать тип 5(ключевое слово secret)
там где это возможно, например:
(config)# service password-encryption
(config)# enable secret cisco
(config)# username ciso privilage 15 secret cisco

Для отключения возможности восстановления пароля и просмотра
конфигурации, имея консольный доступ, можно отключитьсервис:
(config)# no service password-recovery

Посмотреть другие скрытые пароли и ключи (например ключи isakmp)
в тексте конфигурации
# more system:running-config

Для лабораторных работ и тестирования можно вообще отключить
проверку пароля и сразу входить в привелигированный режим
(privilege level 15) при Telnet-e на устройство:
(config)# line vty 0 4
(config-line)# no login
(config-line)# privilege level 15  

 

Ошибки при работе с tftp.

Error opening tftp (Timed out).

Причиной этого является то что для tftp назначен другой интерфейс:

(config)#ip tftp source-interface <interface> 

 

Cбросить настройки на конкретном интерфейсе:
(config)# default interface <interface>

Сбросить конкретный arp на Cisco ASR:

# clear arp-cache bvi<number_vlan> <ip-address> location all

 

Сбросить конкретный arp на Cisco ME 3600:

# clear arp-cache vrf <name_vrf> <ip-address> 

 

Очистка счётчиков ошибок:

# clear counters <interface_name>

 

Как посмотреть уровень сигнала SFP модуля на маршрутизаторах Cisco ASR: 

# show controllers <interface> phy