Управління обладнанням cisco systems ~ мережеві заморочки

Ми вже розглянули кілька питань, присвячених конфігурації пристроїв компанії Cisco Systems. але кожен раз при налаштуванні обладнання, ми умовно приймали, що ми підключені до нього через консольний порт (також як ми це робили в самій першій статті «Якщо ти вперше побачив циского»). Погодьтеся, це далеко не завжди зручно. Набагато приємніше сидіти в своєму теплому кріселці і віддалено налаштовувати свій комутатор, маршрутизатор або будь-яку іншу залізяку. Тому сьогодні ми обговоримо різні варіанти підключення до пристроїв фірми Cisco. для їх подальшого конфігурації.

Варіант перший - консольний порт

Хоча даний варіант був вже розглянутий нами раніше. Повернемося до нього ще раз і поговоримо про нього трохи докладніше. Даний тип підключення використовується в наступних випадках:

  • При початковому налаштуванні обладнання
  • Якщо що щось зламалося і ви не можете отримати віддалений доступ до обладнання
  • Якщо ви знаходитесь поруч з обладнанням

Для того щоб відпрацювати його в Packet Tracer розмістимо в робочій області комутатор Catalyst 2960, і один комп'ютер. Далі за допомогою консольного кабелю з'єднаємо інтерфейс RS -232 комп'ютера з консольним портом нашого комутатора. Отримана схема буде мати такий вигляд.

Комп'ютер підключений до комутатора консольним кабелем

Тепер для того, щоб підключитися з комп'ютера до нашого комутатора через консоль, клацніть два рази лівою кнопкою миші по зображенню комп'ютера, перейдіть на вкладку Desktop і виберіть програму Terminal.

Управління обладнанням cisco systems ~ мережеві заморочки

Не змінюйте настройки відкрилося в новому віконці, а просто натисніть на кнопку «ОК» і ви будете підключені до комутатора через консольний порт.

Управління обладнанням cisco systems ~ мережеві заморочки

Ви підключилися до комутатора через консольний порт

Все те, що ми тільки що зробили рівнозначно тому, як якщо б з'єднали звичайний комп'ютер з комутатором через консольний порт, відкрили б на комп'ютері гіпертерміналу або putty і підключилися б до комутатора.

Якщо ви могли помітити, то коли ми підключаємося до комутатора через консольний порт, то при настройках за умовчанням він не запитує у нас ні логіна, ні пароля. Що само по собі є кілька палевно. Уявіть, що до вашої залізницею може підійти будь-який дядько, застромитися в неї кабелем і підправити ваш конфіг. Звичайно, це малоймовірно, адже ваш комутатор надійно закритий за «чавунної» дверима серверної (хочеться на це сподіватися), але все ж краще розібратися в цьому питанні, адже безпека зайвою не буває.

У найпростішому випадку для, того щоб ваш комутатор запитував дані користувача для доступу через консольний порт, на комутаторі в режимі конфігурації потрібно виконати наступні команди:

Switch (config) #username test privilege 1 password 123

Switch (config) #line console 0

За допомогою команди «username test privilege 1 password 123» ми створюємо на комутаторі локальну обліковий запис користувача з ім'ям test. Вираз «privilege 1» означає, що даному користувачеві призначаємо мінімальний рівень привілеїв (На практиці це означає що при підключенні до комутатора під даною обліковим записом користувач виявиться в непривілейованому режимі, але ніщо не заважає йому перейти в привілейований режим виконавши команду «enable». якщо ж виставити «privilege 15», то користувач відразу ж після входу буде потрапляти в привілейований режим). Вираз «password 123» встановлює, що створюється облікового запису пароль 123. Команда «line console 0» дозволяє перейти до конфігурації лінії консолі. Команда «login local» вказує, що при підключенні через консоль потрібно запросити у користувача його логін і пароль, і при цьому необхідно використовувати локальну базу облікових записів.

Якщо ж ви хочете зробити щоб при підключенні через консольний порт запитували тільки пароль, то можна конфігурувати лінію консолі наступним чином:

Switch (config) #line console 0

При такій конфігурації користувачеві при вході не доведеться вводити ім'я користувача, а для отримання доступу досить буде ввести пароль, який задавався командою «password».

Так само для лінії консолі ви зможете налаштувати ще кілька параметрів, які зможуть трохи підвищити безпеку вашої системи. Дізнатися що це за параметри ви зможете перейшовши до конфігурації лінії консолі за допомогою «line console 0» і виконавши команду «?».

Варіант другий - підключення до порту AUX

Порт AUX можна використовувати для доступу до обладнання, так само як і консольний порт. Зазвичай необхідність у використанні даного порту виникає, в тому випадку якщо ви що то перемудрили в конфігурації консольного порту. Так само даний порт дозволяє підключити до пристрою модем, і за допомогою нього виконувати віддалений моніторинг і управління обладнанням. Така можливість використовується не дуже часто (але все ж про неї варто пам'ятати). тому ми не будемо розглядати її в даній статті.

Варіант третій - віддалене управління за допомогою web-інтерфейс

Чесно сказати даний варіант в життя жодного разу не використовував, так що буду розповідати вам, так би мовити, свої теоретичні припущення (в даний момент немає непотрібної залізяки на якій можна було б перевірити, в Packet Tracer даний варіант конфігурації не передбачений) з приводу конфігурації даного варіанти.

Switch (config) #interface vlan 1

Switch (config-if) #ip address 192.168.1.1 255.255.255.0

Після чого на комп'ютері необхідно відкрити браузер і спробувати отримати доступ до http: //192.168.1.1.

Зазвичай обладнання фірми Cisco. НЕ конфигурируется за допомогою web-інтерфейс. Всі зміни конфігурації виконуються за допомогою консолі, так як вона дозволяє виконувати більш гнучке (і часом недоступне в web-інтерфейс) і безпечне конфігурація. Тому можу порадити вам відключити доступ до вашого обладнання за допомогою web-інтерфейс, для цього буде потрібно відключити діючий на обладнанні web-сервер, це можна виконати за допомогою наступних команд:

Router (config) #no ip http server

Router (config) #no ip http secure-server

Варіант четвертий - telnet

Використовуючи telnet ви зможете віддалено конфігурувати своє обладнання (так так саме, то про що ми говорили на початку статті, ви будите сивіти в своєму зручному кріселці і налаштовувати ваше залізяку).

Для того щоб відпрацювати даний варіант, зберемо в Packet Tracer наступну схему:

Switch (config) #line vty 0 4

Switch (config - line) # password 123

Управління обладнанням cisco systems ~ мережеві заморочки

Використання telnet для отримання доступу до консолі обладнання

Якщо ж ви хочете щоб при доступі через telnet у вас запитували не тільки пароль, але і ще і логін користувача, то налаштуйте лінії віртуальних терміналів наступним чином:

Switch (config) #line vty 0 4

Switch (config - line) # login local

Тока не забудьте перед цим створити на обладнанні обліковий запис користувача.

Варіант п'ятий - ssh

Напевно, багатьом могло здатися, що налаштувавши з'єднання через telnet ми заспокоїмося. Але не тут то було. Насправді дані, які ви передаєте через telnet. передаються в незашифрованому вигляді, а це означає що якийсь дуже розумний хлопець може їх перехопити. Щоб цього не допустити використовують ssh. який шифрує дані, що передаються. Для того щоб налаштувати ssh на нашому обладнанні виконаємо наступні команди:

Router (config) # hostname test

test (config) # ip domain name test.test

test (config) # username test password 123

test (config) # ip ssh version 2

test (config) # crypto key generate rsa

test (config) # line vty 0 4

test (config-line) # transport input ssh

test (config - line) # login local

Перші дві команди задають домен та ім'я хоста. Може здатися, що вони зайві, але вони необхідні для генерації ключа, яка буде проводитися п'ятою командою. Команда «ip ssh version 2» вказує обладнанню використовувати ssh версії 2. Командою «transport input ssh» ми вказуємо, що підключенні до ліній віртуальних терміналів можливо тільки з використанням ssh.

Все розглянуте в цій статті способи підключення до обладнання зможуть стати в нагоді вам в реальному житті, але в Packet Tracer вони досить марні, так як отримати доступ до консолі обладнання можна всього лише двічі клацнувши по ньому.

При підключенні видає Connection timed out; remote host not responding. У мене все SW в одній мережі, а маски у всіх різні. коли зробив у 2-х SW маски однакові все запрацювало. Так і має бути? Або в межах однієї мережі повинен бути допуск незалежно від маски?
Як же тоді керують великими мережами?

hostname @@@@@@
enable secret @@@@@@@@@@@@@@@@@@@@@@@@
enable password @@@@@@
no aaa new-model
vtp mode transparent
ip subnet-zero
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
vlan internal allocation policy ascending

vlan 15 name inet


vlan 111 name mange
vlan 2778
interface FastEthernet0 / 1 switchport access vlan 2778 switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 2 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0 / 3 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access

interface FastEthernet0 / 4 switchport access vlan 2778 switchport trunk encapsulation dot1q switchport mode access
interface FastEthernet0 / 5 switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access

interface FastEthernet0 / 6
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 7
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 8
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 9
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 10
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 11
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 12
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 13
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 14
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 15
switchport access vlan 2778
switchport trunk encapsulation dot1q switchport mode access

interface FastEthernet0 / 16
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 17
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 18
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 19
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 20
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 21
switchport access vlan 15
switchport mode access

interface FastEthernet0 / 22
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 23
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 24
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 25
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 26
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 27
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 28
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 29
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 30
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 31
switchport access vlan 15
switchport mode access
interface FastEthernet0 / 32
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 33
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 34
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 35
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 36
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 37
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access

interface FastEthernet0 / 38
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 39
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 40
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 41
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 42
switchport trunk encapsulation dot1q
switchport trunk native vlan 2778
switchport mode trunk

interface FastEthernet0 / 43
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 44
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 45
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 46
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access
interface FastEthernet0 / 47
switchport access vlan 15
switchport mode access
interface FastEthernet0 / 48
switchport access vlan 2778
switchport trunk encapsulation dot1q
switchport mode access