Получить полный доступ к коммутатору Cisco можно только через консольный порт.
В этом случае, настройки по умолчанию, позволяют получить доступ сначала к режиму пользователя, а затем можно перейти в привилегированный режим без использования паролей.
А вот по протоколам удаленного доступа Telnet или SSH получить доступ даже к режиму пользователя невозможно.
Настройки по умолчанию идут у совершенно нового коммутатора, но в производственной среде необходимо обеспечить безопасный доступ через консоль, а также включить удаленный вход через Telnet и/или SSH, чтобы была возможность подключаться ко всем коммутаторам в локальной сети.
Можно организовать доступ к сетевому оборудованию с использованием одного общего пароля.
Этот метод позволяет подключиться к оборудованию, используя только пароль - без ввода имени пользователя - с одним паролем для входа через консольный порт и другим паролем для входа по протоколу Telnet. Пользователи, подключающиеся через консольный порт, должны ввести пароль консоли, который был предварительно настроен в режиме конфигурации. Пользователи, подключающиеся через протокол Telnet, должны ввести пароль от Telnet, также называемый паролем vty, так называемый, потому что это режим конфигурации терминальных линий (vty). На рисунке 1 представлены варианты использования паролей с точки зрения пользователя, подключающегося к коммутатору.
Как видно из рисунка 1, на коммутаторах Cisco стоит защита привилегированного режима (enable) с помощью еще одного общего пароля, задаваемый командой enablepassword. Системный администратор, подключающийся к CLI коммутатора попадает в режим пользователя и далее, вводит команду enable.
Эта команда запрашивает у пользователя пароль входа в привилегированный режим; если пользователь вводит правильный пароль, IOS перемещает пользователя в привилегированный режим.
Пример 1. Пример входа в коммутатор из консоли, когда пароль консоли и пароль привилегированного режима были заранее установлены. Предварительно пользователь запустил эмулятор терминала, физически подключил ноутбук к консольному кабелю, а затем нажал клавишу Enter, чтобы войти в коммутатор.
(User now presses enter now to start the process. This line of text does not appear.)
User Access Verification
Password: cisco
Switch> enable
Password: cisco
Switch#
В примере показаны пароли в открытом виде, как если бы они были набраны в обычном текстовом редакторе (cisco), а также команда enable, которая перемещает пользователя из пользовательского режима в привилегированный режим (enable). В реальности же IOS скрывает пароли при вводе, чтобы никто не смог увидеть их.
Чтобы настроить общие пароли для консоли, Telnet и привилегированного режима (enable), необходимо ввести несколько команд. На рис. 2 показан порядок задания всех трех паролей.
На рисунке 2 показаны два ПК, пытающиеся получить доступ к режиму управления устройством. Один из ПК подключен посредством консольного кабеля, соединяющейся через линию console 0, а другой посредством Telnet, соединяющейся через терминальную линию vty 0 15. Оба компьютера не имеют Логинов, пароль для консоли и Telnet -cisco. Пользовательский режим получает доступ к привилегированному режиму (enable) с помощью ввода команды "enablesecretcisco". Для настройки этих паролей не надо прилагать много усилий. Все делается легко. Во-первых, конфигурация консоли и пароля vty устанавливает пароль на основе контекста: для консоли (строка con 0) и для линий vty для пароля Telnet (строка vty 0 15). Затем в режиме консоли и режиме vty, соответственно вводим команды:
login
password<пароль задаваемый пользователем>
Настроенный пароль привилегированного режима, показанный в правой части рисунка, применяется ко всем пользователям, независимо от того, подключаются ли они к пользовательскому режиму через консоль, Telnet или иным образом. Команда для настройки enablepassword является командой глобальной конфигурации: enablesecret<пароль пользователя>.
В старых версиях, для задания пароля на привилегированный режим, использовалась команда password. В современных IOS применяется два режима задания пароля: password и secret.
Рекомендуется использовать команду secret, так как она наиболее безопасна по сравнению с password.
Для правильной настройки защиты коммутатора Cisco паролями необходимо следовать по шагам, указанным ниже:
Шаг 1. Задайте пароль на привилегированный режим командой enablesecretpassword-value
Шаг 2. Задайте пароль на доступ по консоли
1. Используйте команду linecon 0 для входа режим конфигурирования консоли;
2. Используйте команду liasswordliassword-value для задания пароля на консольный режим;
3. Используйте команду login для запроса пароля при входе по консоли;
Шаг 3. Задайте пароль на терминальные подключения vty (Telnet)
1. Используйте команду linevty 0 15 для входа режим конфигурирования терминальных линий. В данном примере настройки будут применены ко всем 16 терминальным линиям;
2. Используйте команду liasswordliassword-value для задания пароля на режим vty;
3. Используйте команду login для запроса пароля при входе по Telnet
В Примере 2 показан процесс настройки, согласно вышеописанным шагам, а также установка пароля enablesecret. Строки, которые начинаются с! - это строки комментариев. Они предназначены для комментирования назначения команд.
! Enter global configuration mode, set the enable password, and also set the hostname (just because it makes sense to do so)
Switch# configure terminal
Switch(config)# enable secret cisco
Switch#(config)# line console 0
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# exit
Switch#(config)# line vty 0 15
Switch#(config-line)# password cisco
Switch#(config-line)# login
Switch#(config-line)# end
Switch#
Пример 3 показывает результирующую конфигурацию в коммутаторе, выводимой командой showrunning-config. Выделенный текст показывает новую конфигурацию. Часть листинга было удалено, что бы сконцентрировать ваше внимание на настройке пароля.
Switch# show running-config
!
Building configuration...
Current configuration: 1333 bytes
!
version 12.2
!
enable secret 5 $1$OwtI$A58c2XgqWyDNeDnv51mNR.
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
! Several lines have been omitted here - in particular, lines for
! FastEthernet interfaces 0/3 through 0/23.
!
interface FastEthernet0/24
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
line con 0
password cisco
login
!
linevty 0 4
password cisco
login
!
linevty 5 15
passwordcisco
login
Задание 1.
Сетевые настройки РС-0
IP- 192.168.1.10/24
шлюз 192.168.1.1
1. Устанавливаем рабочее поле компьютер и коммутатор 2950 / 2960 (в среде PacketTracer)
2. Соединяем устройства консольным кабелем.
3. Подключаетесь через терминал с компьютера на устройства.
4. Ознакомитесь с командами управления устройствами. Посмотрите список команд с помощью?
5. Ознакомьтесь с режимами ввода команд.
6. Команд не много, так как это пользовательский режим. Для доступа к большему числу команд переходим в привилегированный режим с помощью команды enable, знак # будет говорить, что вы находитесь в привилегированном режиме.
7. Наберём знак? получим увеличившийся список команд (для пролистывания используется пробел).
8. Для просмотра конфигурации используется команда showrunning-config, нажимайте Tab для просмотра конфигурации (для просмотра
конфигурации можно использоваться командой showrun).
9. Для настройки перейдем в режим глобального конфигурирования c
помощью команды configureterminal (conf t – сокращенная команда).
10. Зададим пароль cisco(ciscoв примере, ваш пароль номер по журналу,спросить у преподавателя)на устройстве.
11. Проверьте установку пароля, выйдя в пользовательский режим и зайдя заново в привилегированный.
12. Команды enablepassword хранит пароль в открытом виде, и если мы наберём showrun, то можем его увидеть. Убедитесь в этом.
13. Задайте пароль с помощью команды enablesecret (номер по журналу два раза подряд)
14. Просмотрите, как в конфигурации отображается пароль, при этом если пароли разные, то пароль enablepassword обладает большим приоритетом и вводить надо его.
15. Создадим пользователя с помощью команды
usernameимя_пользователя(ваше имя) privilegeномер_привилегииpassword пароль, где привилегии могут иметь значение 0-15, 15 – это самые большие привилегии, где доступны все команды.
16. Установить авторизацию на подключение к консоли. Заходим в режим конфигурирования терминальных линий.
17. Включить проверку пароля через локальную базу
18. Для выхода из всех режимов конфигурации набираем end, теперь при попытке входа в консоль осуществляется запрос имени.
19. Сохраните текущую конфигурацию.