Организация парольной защиты в Cisco устройстве на примере коммутатора c2960 и маршрутизатора 1841. Прежде чем начать рассказ об организации парольной защиты и разграничении доступа в устройствах Cisco, позвольте представить вам топологию:
Итак, привожу список задач, которые мы будем решать в топологии:
- Устанавливаем пароль enable-режима на устройствах Маршрутизатор и Коммутатор равными соответственно router и switch;
- Создаём пользователя admin с паролем cisco, который может логиниться по telnet-у;
- Шифруем пароли, чтобы они не показывались в
show running-config
; - Назначаем IP адреса на устройства (10.0.0.1 и 10.0.0.2 соответственно), чтобы можно было подключаться удалённо;
Пока хватит, остальное выходит за рамки статьи. Итак, первым делом подключаемся через терминал с ноутов на устройства:
Continue with configuration dialog? [yes/no]: no
Press RETURN to get started!
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Таким образом мы перешли в режим глобального конфигурирования. Отсюда задаём пароль на enable.
Router(config)#enable secret router
Аналогичные действия на коммутаторе:
Switch(config)#enable secret switch
Проверяем:
Для этого выходим в приглашение пользователя (exit, exit, exit):
Router>en
Password: router
Router#
Отлично, с этим покончили! Следующий пункт, создать пользователя:
Router(config)#username admin privilege 0 secret cisco
0 – уровень привилегий. Может меняться от 0 до 15, 0 – самый низкий, далее – в порядке возрастания. Давать рекомендую всегда минимальный набор прав.
Router(config)#line vty 0 15
Router(config-line)#login local
Таким образом мы взяли все виртуальные терминалы (подключаемые, так как есть ещё con – консольный) и применили к ним local-авторизацию, то есть ту, в которой используются внутренние пользователи. В ином случае нужно было бы опустить слово local, но потребовалось бы указать пароль.
Прежде, чем проверить – нужно подключиться. Но подключиться мы не можем, пока не дадим IP адрес на устройство.
Дать IP адрес на роутер:
Router(config)#interface fastEthernet0/0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#exit
Дать IP адрес на коммутатор:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.0.0.2 255.255.255.0
Switch(config-if)#no shutdown
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Switch(config-if)#exit
Проверяем коннект:
Входим на ноутбук, подключенный к роутеру и ищем рядом с терминалом в программах командную строку. Посылаем Echo-запрос на нужный IP-адрес:
PC>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Reply from 10.0.0.1: bytes=32 time=65ms TTL=255
Reply from 10.0.0.1: bytes=32 time=4ms TTL=255
Reply from 10.0.0.1: bytes=32 time=4ms TTL=255
Reply from 10.0.0.1: bytes=32 time=2ms TTL=255
Как видим, роутер отвечает. Пробуем подключиться:
PC>telnet 10.0.0.1
Trying 10.0.0.1 ...Open
User Access Verification
Username: admin
Password: cisco
Router>en
Password: router
Router#
Вот и все дела. Аналогично и с switch:
Шифруем пароли.
Вы можете убедиться, что по команде:
Router# show running-config
выводится весь конфиг и пароли там в открытом виде. Для того, чтобы это избежать – используем операцию:
Router(config)#service password-encryption
Теперь, при прочтении конфига они выглядят так:
Building configuration...
Current configuration : 601 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Router
!
enable secret 5 $1$mERr$uP0U5aamVaETEvWzvDbvp.
!
username admin privilege 0 secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0
Вот и все дела! Оставайтесь на связи!
Comments: