Cisco IOS 5 - komunikace se switchem -> SAMURAJ-cz.com

Středa, 16.05.2007 16:15 | Samuraj - Petr Bouška | Cisco admin

Další část popisu Cisco IOSu se věnuje shrnutí jednotlivých možností, jak se připojit ke switchi, aby bylo možno provádět jeho konfiguraci. Jedná se nejen o popis možností, ale také informace o konfiguraci těchto vlastností a zabezpečení přístupu.

Fyzické připojení

Pro komunikaci se switchem se s ním musíme nejprve nějakým způsobem spojit. Máme dvě možnosti, spojení pomocí

konzolového portu - jedná se o speciální port na switchi s konektorem RJ45, který spojíme s COM portem na PC, používá se rollover cable.
ethernetového portu - na správně nakonfigurovaný switch (nastavena IP adresa pro VLANu, žádná omezení komunikace a přístupu) se můžeme připojit přes libovolný síťový port switche. Pro úvodní konfiguraci můžeme využít Express Setup (switche si nastaví určitou IP). Pro spojení se použije klasický přímý kabel (straight-through cable).

Způsoby komunikace

Se switchem můžeme komunikovat několika metodami, pomocí

webové rozhranní - některá konfigurace a monitorování lze provádět přes zabudované rozhranní, je potřeba mít instalovaný IOS s tímto rozhranním (standardně ano) a mít jej zapnuté (standardně ano), podle verze IOSu můžeme využívat HTTP nebo i HTTPS.
telnet, SSH, konzola - tyto metody nám přináší možnost využít Command Line Interface - CLI, tedy širokou škálu řádkových příkazů. Konzolový přístup je defaultně aktivní, telnet a SSH musíme nakonfigurovat. Pro SSH musíme mít verzi IOSu s podporou šifrování. Pro tento druh spojení je třeba nějaký program, já používám Putty.
Cisco Network Assistant (CNA) - případně další speciální aplikace. Pro správu switche lze použít speciální aplikace, které využívají různých protokolů pro řízení switche. CNA je slušná grafická aplikace (lze zdarma stáhnout u Cisca), která nám usnadní řadu nastavení a může pracovat s celou skupinou zařízení najednou.
SNMP - pomocí protokolu SNMP můžeme automatizovat řadu funkcí, číst i nastavovat hodnoty. Případně existuje řada aplikací, které tento protokol využívají.

Zabezpečení - ověřování

Přístup na switch je samozřejmě třeba zabezpečit. Základní dvě možnosti zabezpečení jsou

používat autentizaci - pro všechny metody komunikace můžeme nastavit heslo (a většinou uživatele). Nejjednodušší je nastavit pouze heslo, které se uloží do konfigurace switche, může být uloženo nešifrované (password) nebo pomocí MD5 hashe (secret). V lepším případě můžeme využít AAA (Authentication Authorization Accounting).
omezit přístup - zaleží na metodě připojení
1. konzolový port - pro použití této metody je třeba fyzický přístup ke switche, ten by měl být v zabezpečené prostoře s omezeným přístupem.
2. ethernetový port - v tomto případě je možný přístup z celé sítě (z té části, kde je switch dosažitelný), proto je dobré povolit určité protokoly pouze do speciální VLANy (managovací) nebo pouze z určité adresy, toho dosáhneme konfigurací nebo pomocí Access Control List (ACL).

Konfigurace jednotlivých vlastností

Přístup přes konzoli

Přístup přes konzoli je defaultně povolený a to bez ověřování. Často jej využijeme pro úvodní konfiguraci. Pokud chceme více zabezpečit přístup ke switchi tímto způsobem, můžeme nastavit heslo. Pokud však má někdo fyzický přístup k zařízení (aby mohl využít konzolový přístup), tak jej většinou toto heslo nezastaví. Může provést password recovery (u novějších IOSů můžeme vypnout) nebo může resetovat konfiguraci a má plný přístup na switch.

SWITCH(config)#line console 0          // přepneme se do konfigurace konzole
SWITCH(config-console)#password  c     // nastavíme heslo

Pozn.: U routerů ještě musíme zapnout, aby se prováděla kontrola hesla příkazem login. To se týká všech přístupů přes line.

Přístup pomocí protokolu telnet

Pro vzdálený přístup se používá Virtual terminal line (VTY). Přístup pomocí telnetu je aktivní ve chvíli, kdy nastavíme IP adresu pro switch. Ale do chvíle, než nastavíme heslo pro telnet session, se nelze připojit. V nastavení určujeme kolik současných spojení je povoleno, maximálně 16 (záleží na modelu).

SWITCH(config)#line vty 0 1        // konfiguruji telnetová  spojení s ID 0 až 1
SWITCH(config-line)#password c     // heslo (zde c) pro přístup přes telnet

Linky, které nechceme používat, je lepší vypnout

SWITCH(config)#line vty 2 15              // spoje 2 až 15 
SWITCH(config-line)#transport input none  // žádný vstup

Hesla pro linky se dají zadat pouze nešifrovaná. Abychom více zabezpečili jejich uložení v konfiguraci, můžeme nastavit službu, která všechna hesla ukládá pomocí MD5 hashe.

SWITCH(config)#service password-encryption

Přístup pomocí protokolu ssh

Telnet má nevýhodu, že se veškerá data (včetně hesel) zasílají nešifrovaná, takže je možno je odposlechnout. Vhodnější je použít šifrované řešení a tedy ssh. Abychom však mohli ssh použít, potřebujeme verzi IOSu, která obsahuje šifrování. Potom musíme vytvořit uživatele, nastavit parametry ssh a vlastní nastavení přístupu. Vzdálený přístup pomocí ssh se nastavuje obdobně jako telnet, pouze zvolíme jiný vstup.

SWITCH(config)#aaa new-model                    // zapnutí AAA 
SWITCH(config)#username cisco secret Heslo      // vytvoření uživatele s heslem uloženým pomocí MD5 hashe 
SWITCH(config)#ip ssh time-out 60               // parametry SSH - vypršení session 
SWITCH(config)#ip ssh authentication-retries 2  // parametry SSH - počet pokusů o přihlášení 
SWITCH(config)#ip ssh version 2                 // parametry SSH - verze 
SWITCH(config)#ip domain name firma.local       // jméno domény pro vytvářený certifikát 
SWITCH(config)#crypto key generate rsa          // pokud ještě nemáme, vygenerujeme  klíč 
SWITCH(config)#line vty 0 1                     // konfigurace linky s ID 0 až 1
SWITCH(config-line)# transport input ssh        // vstup je SSH

Přístup do privilegovaného režimu

Ve výchozí konfiguraci se po připojení ke CLI můžeme přepnout do privilegovaného módu zadáním příkazu enabled. Protože v tomto módu můžeme měnit konfiguraci switche, tak se doporučuje zabezpečit tento přístup pomocí hesla. Heslo můžeme zadat tak, že se v konfiguraci uloží jako prostý text nebo pouze MD5 hash.

SWITCH(config)#enable password c           // heslo (zde c) uložené jako čistý text
SWITCH(config)#enable secret c             // heslo (zde c) uložené pomocí MD5 hashe
SWITCH(config)#no enable secret            // zrušení hesla

Webové rozhranní

Potom co nastavíme IP adresu, a máme verzi IOSu spolu s webovým rozhraním, tak je automaticky zapnuté.

SWITCH(config)#ip http server               // zapne web server
SWITCH(config)#no ip http server            // vypne web server

Pokud máme verzi IOSu s šifrováním (crypto), tak se automaticky použije přístup přes HTTPS.

SWITCH#show ip http server status           // zobrazí nastavení
SWITCH(config)#ip http secure-server        // zapne HTTPS server

SNMP

Ve výchozím stavu je SNMP vypnuto. SNMP se zapne nastavením community stringů (něco jako heslo pro SNMP, používá se v SNMPv1 a SNMPv2c, SNMPv3 používá účty).

SWITCH(config)#snmp-server community heslo ro   // nastaví community string pro čtení
SWITCH(config)#snmp-server contact Firma        // nastaví kontakt
SWITCH(config)#snmp-server location serverovna  // nastaví umístnění
SWITCH(config)#no snmp-server                   // vypne SNMP

To jsou pouze základní nastavení SNMP. Můžeme samozřejmě vytvářet trapy a nastavovat mnoho dalších parametrů. Pro vytváření uživatelů v SNMPv3 nebo pro nastavení použité verze SNMP slouží příkazy snmp-server group a snmp-server user.

zobrazeno: 80356krát | Komentáře [10]

Autor: Petr Bouška

Související články:

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Cisco IOS 1 - úvod, příkaz show [08.03.2007 13:00]
Cisco IOS 2 - verze, upgrade a záloha IOSu [16.03.2007 14:28]
Cisco IOS 3 - nastavení interface/portu - access, trunk, port security [09.04.2007 11:09]
Cisco IOS 4 - reset, password recovery [25.04.2007 17:34]
Cisco IOS 5 - komunikace se switchem [16.05.2007 16:15] ...... právě čtete
Cisco IOS 6 - úvodní konfigurace switche [08.06.2007 17:31]
Cisco IOS 7 - konfigurace VLAN, VTP [18.06.2007 14:12]
Cisco IOS 8 - ACL - Access Control List [10.08.2007 15:40]
Cisco IOS 9 - Spanning Tree Protocol [20.08.2007 17:55]
Cisco IOS 10 - Rapid Spanning Tree Protocol [01.09.2007 14:11]
Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS [10.10.2007 14:38]
Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce [24.10.2007 16:42]
Cisco IOS 13 - DHCP služby na switchi [06.01.2008 11:24]
Cisco IOS 14 - tipy pro běžnou práci [29.02.2008 08:15]
Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů [13.03.2008 09:43]
Cisco IOS 16 - HSRP - Hot Standby Routing Protocol [27.05.2008 16:05]
Cisco IOS 17 - více switchů jako Stack - technologie StackWise [29.07.2008 20:27]
Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy [24.12.2008 11:50]
Cisco QoS 1 - úvod do Quality of Service a DiffServ [18.01.2009 13:31]
Cisco QoS 2 - Classification and Marking, Modular QoS CLI [26.01.2009 17:21]
Cisco QoS 3 - omezování rychlosti - Policing, Shaping [01.02.2009 12:20]
Cisco QoS 4 - garance rychlosti - řazení do front - Queuing [08.02.2009 13:13]
Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS [14.02.2009 14:55]
Cisco QoS 6 - praktické příklady použití QoSu [28.02.2009 16:33]
TCP/IP - Internet Protocol Version 6 - IPv6 [05.03.2009 15:41]
TCP/IP - skupinové vysílání IP Multicast a Cisco [10.03.2009 20:05]
Cisco Routing 1 - obecné vlastnosti směrovacích protokolů [20.03.2009 14:43]
Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol [29.03.2009 19:04]
Cisco Routing 3 - OSPF - Open Shortest Path First [03.04.2009 10:54]
Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System [09.04.2009 08:48]
Cisco Routing 5 - BGP - Border Gateway Protocol [18.04.2009 13:50]
Cisco Routing 6 - srovnání routovacích protokolů [28.04.2009 16:27]
Cisco IOS 19 - Private VLAN a Protected Port [20.05.2009 18:41]
Cisco IOS 20 - VLAN access-map - VLAN map - VACL [29.05.2009 15:05]
Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming [08.06.2009 09:41]
Běžné útoky na switche, Cisco Dynamic ARP Inspection [18.06.2009 10:15]
Cisco - Router Switching metody a související termíny - CAM, FIB, CEF [28.06.2009 17:15]
Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN [15.07.2009 11:52]
Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory [15.09.2009 17:09]
Cisco QoS 7 - doplňující informace [05.11.2009 09:31]
Novinky ve switchích řady Catalyst 3750X a 2960S [10.02.2011 17:30]
Cisco NX-OS 1 - Virtual Port Channel [25.08.2016 17:14]
Cisco IOS 24 - zabezpečení komunikace na portech [19.10.2016 11:01]
Cisco NX-OS 2 - zabezpečení komunikace na portech [03.11.2016 14:18]
Cisco IOS 25 - StackWise Virtual [11.11.2020 14:13]
Cisco IOS 26 - upgrade IOS XE - samostatný přepínač, stack i ISSU [12.11.2020 08:29]

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže.

Komentáře

[1] _knight

ked chcem sa napajat iba cez ssh nahodou nestaci, mi len crypto vygenerovat kluc a velkost spravit username<konto>
a domenu, a tak telnet transportovat na ssh: sonia(config-line)transport input telnet ?
- na komentář odpověděl [2]_knight
Neděle, 10.08.2008 21:39 | odpovědět
[2] _knight

odpověď na [1]_knight: ssh* kurnik :D>

Neděle, 10.08.2008 21:47 | odpovědět
[3] Michal

mam otazku mam 3650
fa0/1 je LAN subnet z ktereho potrebuji pristoupit telnetem pres port fa0/7 na kterem je aplikovan ACL in
fa0/7 za nim jsou dva Aironety
ale vubec nechapu nastaveni ACL jakmile ho nastavim na portu fa0/7
a to permit tcp any any eq telnet
tak to proste nepomuze
zkusil jsem i :
permit tcp any any eq telnet
permit tcp any any eq telnet established
a nic
to samy se SNMP
muze mi nekdo poradit jak na to?
jak proste, kdyz mam na in aplikovan ACL tak se z druhy strany dostanu na ty prvky?
nevim jestli jsem to popsal srozumitelne.
Napsal bych to do fora, ale zaboha se nemuzu registrovat, neprijde mi overovaci email :(
Dekuju
- na komentář odpověděl [5]Samuraj
Neděle, 23.05.2010 11:33 | odpovědět
[4] Michal

pardon spatnej clanek :(

Neděle, 23.05.2010 11:33 | odpovědět
[5] Samuraj

odpověď na [3]Michal: A zkoušel jsi
permit tcp any eq telnet any

Neděle, 23.05.2010 12:47 | odpovědět
[6] Karel

Ahoj
jsem uplna lama co se týč cisca... tvé články jsou perfektní! bez toho bych se nikam nedostal. no konfiguruji si svuj prvni catalyst 2950 a potřebuji se přihlašovat přes telnet nebo ssh. ale nějak se mě to nedaří. ssh jse mě nepodařilo nakonf, vůbec, tady to začalo protestovat )#ip ssh time-out 60 do te doby dobre. a přes telnet se to nastavilo bez zadrhele ale když to spustim přes putty, spustím a požádá mě to o heslo nastavil jsem si tam na zkoušku heslo jedno písmeno a to pismeno c. Proběhne přihlášení a svítí namě nově nastavený hostname.když zadam enable tak mě to napíše No password set! co mám špatně? dík moc

Pondělí, 07.03.2011 21:27 | odpovědět
[7] Petr

enable secret heslo
- na komentář odpověděl [8]karel
Středa, 09.03.2011 10:31 | odpovědět
[8] karel

odpověď na [7]Petr: jj dík zabralo to

Čtvrtek, 10.03.2011 10:50 | odpovědět
[9] Tomas

nechybí ti u ssh ještě "login local" ? bez toho, se tam přihlásí kdokoli, i bez hesla....teda aspoň u mě jinak super článek

Neděle, 04.01.2015 16:52 | odpovědět
[10] Miroslav Riška

Mám v síti několik switchů (C3750X, C2960) a myslím, že mi vše jede podle mých představ (asi 10x VLAN, Radius ..). Přístup mám přes SSH. Pro přehled soužívám Cisco Network Assistant a najednou se mi přestaly zobrazovat některé switche a nepřipojím se ten switch ze svého PC, kde běží CNA a ani pomocí SSH. Switche jsou funkční, jenom je nemůžu spravovat. Z jiného PC se připojím i CNA je na jiném PC funkční, není tam přístupný pro změnu jiný switch. Stává se to tak co 4 - 6 měséců. Pomůže restart nepřístupného switche, ale to není dobré řešení. Nic mě nenapadá, čím to je. Poraďte mi, někdo, prosím.

Středa, 12.10.2016 10:36 | odpovědět

www.SAMURAJ-cz.com

Kategorie článků

Nástroje

Hledání

Články