Материал просмотрен 2,393 раз(а)

Организация парольной защиты в Cisco устройстве на примере коммутатора c2960 и маршрутизатора 1841. Прежде чем начать рассказ об организации парольной защиты и разграничении доступа в устройствах Cisco, позвольте представить вам топологию:

Итак, привожу список задач, которые мы будем решать в топологии:

  1. Устанавливаем пароль enable-режима на устройствах Маршрутизатор и Коммутатор равными соответственно router и switch;
  2. Создаём пользователя admin с паролем cisco, который может логиниться по telnet-у;
  3. Шифруем пароли, чтобы они не показывались в show running-config;
  4. Назначаем IP адреса на устройства (10.0.0.1 и 10.0.0.2 соответственно), чтобы можно было подключаться удалённо;

Пока хватит, остальное выходит за рамки статьи. Итак, первым делом подключаемся через терминал с ноутов на устройства:

 

Continue with configuration dialog? [yes/no]: no
Press RETURN to get started!
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

Таким образом мы перешли в режим глобального конфигурирования. Отсюда задаём пароль на enable.

Router(config)#enable secret router

Аналогичные действия на коммутаторе:

Switch(config)#enable secret switch

Проверяем:

Для этого выходим в приглашение пользователя (exit, exit, exit):

Router>en

Password: router

Router#

Отлично, с этим покончили! Следующий пункт, создать пользователя:

Router(config)#username admin privilege 0 secret cisco

0 – уровень привилегий. Может меняться от 0 до 15, 0 – самый низкий, далее – в порядке возрастания. Давать рекомендую всегда минимальный набор прав.

Router(config)#line vty 0 15

Router(config-line)#login local

Таким образом мы взяли все виртуальные терминалы (подключаемые, так как есть ещё con – консольный) и применили к ним local-авторизацию, то есть ту, в которой используются внутренние пользователи. В ином случае нужно было бы опустить слово local, но потребовалось бы указать пароль.

Прежде, чем проверить – нужно подключиться. Но подключиться мы не можем, пока не дадим IP адрес на устройство.

Дать IP адрес на роутер:

Router(config)#interface fastEthernet0/0
Router(config-if)#ip address 10.0.0.1 255.255.255.0
Router(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
Router(config-if)#exit

Дать IP адрес на коммутатор:

Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.0.0.2 255.255.255.0
Switch(config-if)#no shutdown

%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
Switch(config-if)#exit

Проверяем коннект:

Входим на ноутбук, подключенный к роутеру и ищем рядом с терминалом в программах командную строку. Посылаем Echo-запрос на нужный IP-адрес:

PC>ping 10.0.0.1
Pinging 10.0.0.1 with 32 bytes of data:
Reply from 10.0.0.1: bytes=32 time=65ms TTL=255
Reply from 10.0.0.1: bytes=32 time=4ms TTL=255
Reply from 10.0.0.1: bytes=32 time=4ms TTL=255
Reply from 10.0.0.1: bytes=32 time=2ms TTL=255

Как видим, роутер отвечает. Пробуем подключиться:

PC>telnet 10.0.0.1
Trying 10.0.0.1 ...Open
User Access Verification

Username: admin
Password: cisco
Router>en
Password: router
Router#

Вот и все дела. Аналогично и с switch:

Шифруем пароли.

Вы можете убедиться, что по команде:

Router# show running-config

выводится весь конфиг и пароли там в открытом виде. Для того, чтобы это избежать – используем операцию:

Router(config)#service password-encryption

Теперь, при прочтении конфига они выглядят так:

Building configuration...
Current configuration : 601 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Router
!
enable secret 5 $1$mERr$uP0U5aamVaETEvWzvDbvp.
!
username admin privilege 0 secret 5 $1$mERr$hx5rVt7rPNoS4wqbXKX7m0

Вот и все дела! Оставайтесь на связи!