www.SAMURAJ-cz.com 

15.12.2017 Radana a Radan Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Cisco IOS 5 - komunikace se switchem

Středa, 16.05.2007 16:15 | Samuraj - Petr Bouška |
Další část popisu Cisco IOSu se věnuje shrnutí jednotlivých možností, jak se připojit ke switchi, aby bylo možno provádět jeho konfiguraci. Jedná se nejen o popis možností, ale také informace o konfiguraci těchto vlastností a zabezpečení přístupu.

Fyzické připojení

Pro komunikaci se switchem se s ním musíme nejprve nějakým způsobem spojit. Máme dvě možnosti, spojení pomocí

  1. konzolového portu - jedná se o speciální port na switchi s konektorem RJ45, který spojíme s COM portem na PC, používá se rollover cable.
  2. ethernetového portu - na správně nakonfigurovaný switch (nastavena IP adresa pro VLANu, žádná omezení komunikace a přístupu) se můžeme připojit přes libovolný síťový port switche. Pro úvodní konfiguraci můžeme využít Express Setup (switche si nastaví určitou IP). Pro spojení se použije klasický přímý kabel (straight-through cable).

Způsoby komunikace

Se switchem můžeme komunikovat několika metodami, pomocí

  1. webové rozhranní - některá konfigurace a monitorování lze provádět přes zabudované rozhranní, je potřeba mít instalovaný IOS s tímto rozhranním (standardně ano) a mít jej zapnuté (standardně ano), podle verze IOSu můžeme využívat HTTP nebo i HTTPS.
  2. telnet, SSH, konzola - tyto metody nám přináší možnost využít Command Line Interface - CLI, tedy širokou škálu řádkových příkazů. Konzolový přístup je defaultně aktivní, telnet a SSH musíme nakonfigurovat. Pro SSH musíme mít verzi IOSu s podporou šifrování. Pro tento druh spojení je třeba nějaký program, já používám Putty.
  3. Cisco Network Assistant (CNA) - případně další speciální aplikace. Pro správu switche lze použít speciální aplikace, které využívají různých protokolů pro řízení switche. CNA je slušná grafická aplikace (lze zdarma stáhnout u Cisca), která nám usnadní řadu nastavení a může pracovat s celou skupinou zařízení najednou.
  4. SNMP - pomocí protokolu SNMP můžeme automatizovat řadu funkcí, číst i nastavovat hodnoty. Případně existuje řada aplikací, které tento protokol využívají.

Zabezpečení - ověřování

Přístup na switch je samozřejmě třeba zabezpečit. Základní dvě možnosti zabezpečení jsou

  1. používat autentizaci - pro všechny metody komunikace můžeme nastavit heslo (a většinou uživatele). Nejjednodušší je nastavit pouze heslo, které se uloží do konfigurace switche, může být uloženo nešifrované (password) nebo pomocí MD5 hashe (secret). V lepším případě můžeme využít AAA (Authentication Authorization Accounting).
  2. omezit přístup - zaleží na metodě připojení
    1. konzolový port - pro použití této metody je třeba fyzický přístup ke switche, ten by měl být v zabezpečené prostoře s omezeným přístupem.
    2. ethernetový port - v tomto případě je možný přístup z celé sítě (z té části, kde je switch dosažitelný), proto je dobré povolit určité protokoly pouze do speciální VLANy (managovací) nebo pouze z určité adresy, toho dosáhneme konfigurací nebo pomocí Access Control List (ACL).

Konfigurace jednotlivých vlastností

Přístup přes konzoli

Přístup přes konzoli je defaultně povolený a to bez ověřování. Často jej využijeme pro úvodní konfiguraci. Pokud chceme více zabezpečit přístup ke switchi tímto způsobem, můžeme nastavit heslo. Pokud však má někdo fyzický přístup k zařízení (aby mohl využít konzolový přístup), tak jej většinou toto heslo nezastaví. Může provést password recovery (u novějších IOSů můžeme vypnout) nebo může resetovat konfiguraci a má plný přístup na switch.

SWITCH(config)#line console 0          // přepneme se do konfigurace konzole
SWITCH(config-console)#password  c     // nastavíme heslo

Pozn.: U routerů ještě musíme zapnout, aby se prováděla kontrola hesla příkazem login. To se týká všech přístupů přes line.

Přístup pomocí protokolu telnet

Pro vzdálený přístup se používá Virtual terminal line (VTY). Přístup pomocí telnetu je aktivní ve chvíli, kdy nastavíme IP adresu pro switch. Ale do chvíle, než nastavíme heslo pro telnet session, se nelze připojit. V nastavení určujeme kolik současných spojení je povoleno, maximálně 16 (záleží na modelu).

SWITCH(config)#line vty 0 1        // konfiguruji telnetová  spojení s ID 0 až 1
SWITCH(config-line)#password c     // heslo (zde c) pro přístup přes telnet

Linky, které nechceme používat, je lepší vypnout

SWITCH(config)#line vty 2 15              // spoje 2 až 15 
SWITCH(config-line)#transport input none  // žádný vstup

Hesla pro linky se dají zadat pouze nešifrovaná. Abychom více zabezpečili jejich uložení v konfiguraci, můžeme nastavit službu, která všechna hesla ukládá pomocí MD5 hashe.

SWITCH(config)#service password-encryption 

Přístup pomocí protokolu ssh

Telnet má nevýhodu, že se veškerá data (včetně hesel) zasílají nešifrovaná, takže je možno je odposlechnout. Vhodnější je použít šifrované řešení a tedy ssh. Abychom však mohli ssh použít, potřebujeme verzi IOSu, která obsahuje šifrování. Potom musíme vytvořit uživatele, nastavit parametry ssh a vlastní nastavení přístupu. Vzdálený přístup pomocí ssh se nastavuje obdobně jako telnet, pouze zvolíme jiný vstup.

SWITCH(config)#aaa new-model                    // zapnutí AAA 
SWITCH(config)#username cisco secret Heslo      // vytvoření uživatele s heslem uloženým pomocí MD5 hashe 
SWITCH(config)#ip ssh time-out 60               // parametry SSH - vypršení session 
SWITCH(config)#ip ssh authentication-retries 2  // parametry SSH - počet pokusů o přihlášení 
SWITCH(config)#ip ssh version 2                 // parametry SSH - verze 
SWITCH(config)#ip domain name firma.local       // jméno domény pro vytvářený certifikát 
SWITCH(config)#crypto key generate rsa          // pokud ještě nemáme, vygenerujeme  klíč 
SWITCH(config)#line vty 0 1                     // konfigurace linky s ID 0 až 1
SWITCH(config-line)# transport input ssh        // vstup je SSH

Přístup do privilegovaného režimu

Ve výchozí konfiguraci se po připojení ke CLI můžeme přepnout do privilegovaného módu zadáním příkazu enabled. Protože v tomto módu můžeme měnit konfiguraci switche, tak se doporučuje zabezpečit tento přístup pomocí hesla. Heslo můžeme zadat tak, že se v konfiguraci uloží jako prostý text nebo pouze MD5 hash.

SWITCH(config)#enable password c           // heslo (zde c) uložené jako čistý text
SWITCH(config)#enable secret c             // heslo (zde c) uložené pomocí MD5 hashe
SWITCH(config)#no enable secret            // zrušení hesla

Webové rozhranní

Potom co nastavíme IP adresu, a máme verzi IOSu spolu s webovým rozhraním, tak je automaticky zapnuté.

SWITCH(config)#ip http server               // zapne web server
SWITCH(config)#no ip http server            // vypne web server

Pokud máme verzi IOSu s šifrováním (crypto), tak se automaticky použije přístup přes HTTPS.

SWITCH#show ip http server status           // zobrazí nastavení
SWITCH(config)#ip http secure-server        // zapne HTTPS server

SNMP

Ve výchozím stavu je SNMP vypnuto. SNMP se zapne nastavením community stringů (něco jako heslo pro SNMP, používá se v SNMPv1 a SNMPv2c, SNMPv3 používá účty).

SWITCH(config)#snmp-server community heslo ro   // nastaví community string pro čtení
SWITCH(config)#snmp-server contact Firma        // nastaví kontakt
SWITCH(config)#snmp-server location serverovna  // nastaví umístnění
SWITCH(config)#no snmp-server                   // vypne SNMP

To jsou pouze základní nastavení SNMP. Můžeme samozřejmě vytvářet trapy a nastavovat mnoho dalších parametrů. Pro vytváření uživatelů v SNMPv3 nebo pro nastavení použité verze SNMP slouží příkazy snmp-server group a snmp-server user.

zobrazeno: 55118krát | Komentáře [10]

Autor:

Související články:

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] _knight

    ked chcem sa napajat iba cez ssh nahodou nestaci, mi len crypto vygenerovat kluc a velkost spravit username<konto>

    a domenu, a tak telnet transportovat na ssh: sonia(config-line)transport input telnet ?

    Neděle, 10.08.2008 21:39 | odpovědět
  2. [2] _knight

    odpověď na [1]_knight: ssh* kurnik :D>

    Neděle, 10.08.2008 21:47 | odpovědět
  3. [3] Michal

    mam otazku mam 3650

    fa0/1 je LAN subnet z ktereho potrebuji pristoupit telnetem pres port fa0/7 na kterem je aplikovan ACL in

    fa0/7 za nim jsou dva Aironety

    ale vubec nechapu nastaveni ACL jakmile ho nastavim na portu fa0/7

    a to permit tcp any any eq telnet

    tak to proste nepomuze

    zkusil jsem i :

    permit tcp any any eq telnet

    permit tcp any any eq telnet established

    a nic

    to samy se SNMP

    muze mi nekdo poradit jak na to?

    jak proste, kdyz mam na in aplikovan ACL tak se z druhy strany dostanu na ty prvky?

    nevim jestli jsem to popsal srozumitelne.

    Napsal bych to do fora, ale zaboha se nemuzu registrovat, neprijde mi overovaci email :(

    Dekuju

    Neděle, 23.05.2010 11:33 | odpovědět
  4. [4] Michal

    pardon spatnej clanek :(

    Neděle, 23.05.2010 11:33 | odpovědět
  5. [5] Samuraj

    odpověď na [3]Michal: A zkoušel jsi

    permit tcp any eq telnet any

    ;-)

    Neděle, 23.05.2010 12:47 | odpovědět
  6. [6] Karel

    Ahoj

    jsem uplna lama co se týč cisca... tvé články jsou perfektní! bez toho bych se nikam nedostal. no konfiguruji si svuj prvni catalyst 2950 a potřebuji se přihlašovat přes telnet nebo ssh. ale nějak se mě to nedaří. ssh jse mě nepodařilo nakonf, vůbec, tady to začalo protestovat )#ip ssh time-out 60 do te doby dobre. a přes telnet se to nastavilo bez zadrhele ale když to spustim přes putty, spustím a požádá mě to o heslo nastavil jsem si tam na zkoušku heslo jedno písmeno a to pismeno c. Proběhne přihlášení a svítí namě nově nastavený hostname.když zadam enable tak mě to napíše No password set! co mám špatně? dík moc

    Pondělí, 07.03.2011 21:27 | odpovědět
  7. [7] Petr

    enable secret heslo

    Středa, 09.03.2011 10:31 | odpovědět
  8. [8] karel

    odpověď na [7]Petr: jj dík zabralo to

    Čtvrtek, 10.03.2011 10:50 | odpovědět
  9. [9] Tomas

    nechybí ti u ssh ještě "login local" ? bez toho, se tam přihlásí kdokoli, i bez hesla....teda aspoň u mě ;-) jinak super článek :-)

    Neděle, 04.01.2015 16:52 | odpovědět
  10. [10] Miroslav Riška

    Mám v síti několik switchů (C3750X, C2960) a myslím, že mi vše jede podle mých představ (asi 10x VLAN, Radius ..). Přístup mám přes SSH. Pro přehled soužívám Cisco Network Assistant a najednou se mi přestaly zobrazovat některé switche a nepřipojím se ten switch ze svého PC, kde běží CNA a ani pomocí SSH. Switche jsou funkční, jenom je nemůžu spravovat. Z jiného PC se připojím i CNA je na jiném PC funkční, není tam přístupný pro změnu jiný switch. Stává se to tak co 4 - 6 měséců. Pomůže restart nepřístupného switche, ale to není dobré řešení. Nic mě nenapadá, čím to je. Poraďte mi, někdo, prosím.

    Středa, 12.10.2016 10:36 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách