Поиск...

среда, 18 мая 2011 г.

Начальные настройки на router cisco

Доброго времени суток!!!


Этим постом я начинаю цикл статей (ну или раздел :)), в которых я буду публиковать различные примеры, варианты, сценарии, схемы построения сетей и конфигурацию оборудования cisco. Базироваться я буду на английскую документацию от той же компании cisco, на свой опыт, ну и использовать свои придуманные схемки.
Надеюсь, с помощью этих постов кому то будет легче научиться, разобраться или почерпнуть что-то новое в конфигурировании сетевого оборудования на базе cisco.
Итак, первый пост посвящается начальным настройкам на router-ре cisco. Приглашаю всех под кат…

Так как самого роутера в наличии у меня нет, то я буду использовать наш любимый GNS3. В этой программе используются реальные IOS устройств и все команды конфигурации доступны и идентичны командам на реальных устройствах. Отличия могут быть незначительными лишь из-за версий IOS-ов.
Запускаем GNS3. Добавляем любой роутер на нашу рабочую область (я выбрал 3745) и запускаем его. Назначаем ему IDLE-PC и заходим на него через консоль. (Как это все делать, я рассказывал в постах, посвященных установке, настройке и добавлению устройств в GNS3).
После всех манипуляций, перед вами должно открыться вот такое окно:



В оборудовании cisco есть несколько режимов конфигурирования. Вот они:
  • Router> - Ограниченный просмотр конфигурации. Вы не можете вносить изменения в этом режиме;
  • Router# - привилегированный режим, где можно просмотреть всю конфигурацию устройства и внести в нее некоторые изменения (так же он известен как EXEC-level mode);
  • Router(config)# - это глобальный режим конфигурации устройства (здесь вносятся основные команды для конфигурации);
  • Router(config-if)# - это режим конфигурирования интерфейса;
  • Router(config-subif)# - это режим конфигурирования под-интерфейса;
  • Router(config-line)# - это режим конфигурирования линий (здесь задаются параметры интерфейсов vty (telnet, ssh) и console;
  • Router(config-router)# - это режим конфигурации роутера (здесь задаются параметры динамической маршрутизации).
Итак, для реализации начальных настроек зайдем в режим глобальной конфигурации:
  • R1>enable
  • R1#configure terminal
  • R1(config)#
Теперь зададим имя нашему устройству. Делается это командой:
  • R1(config)#hostname <ваше имя>
Дальше настроим имя и пароль администратора и зададим пароль на вход в режим глобальной конфигурации:
  • Router_1(config)#username administrator password cisco
  • Router_1(config)#enable secret ciscocisco
По умолчанию, шифруется только пароль для входа в режим глобальной конфигурации, остальные пароли хранятся в открытом виде. Для их шифрования используется следующая команда:
  • Router_1(config)#service password-encryption
Теперь настроим наши линии vty и console. Для этого зайдем в режим конфигурирования линий vty и настроим аутентифицировать нас, используя локальную базу (username и password, которые мы задавали чуть выше), использовать для подключения telnet и ssh, время простоя сессии 10 минут и параметр «возвращения каретки» при вводе команд и выдаче системных сообщений:
  • Router_1(config)#line vty 0 14
  • Router_1(config-line)#login local
  • Router_1(config-line)#transport input telnet ssh
  • Router_1(config-line)#exec-timeout 10
  • Router_1(config-line)#logging synchronous
  • Router_1(config-line)#exit
Теперь заходим в режим конфигурирования линий console и делаем те же настройки (кроме параметров telnet и ssh):
  • Router_1(config)#line console 0
  • Router_1(config-line)#login local
  • Router_1(config-line)#logging synchronous
  • Router_1(config-line)#exec-timeout 10 0
  • Router_1(config-line)#exit
  • Router_1(config)#
Зададим баннер, который будет отображаться при входе на роутер:
  • Router_1(config)#banner login с <сообщение (пишите на английском)> с – это баннер при входе на роутер («с» - это разделитель, его наличие обязательно).
Для того чтобы роутер не пытался «разрешить» неопознанные команды с локальным именем и не тормозил нам работу, введем следующее:
  • Router_1(config)#no ip domain-lookup
Сохраним конфигурацию. Для этого можно выйти в привилегированный режим, набрав exit, а можно использовать сочетание «do» перед командой:
  • Router_1(config)#do wr
  • Building configuration...
  • [OK]
  • Router_1(config)#
Сочетание «do» иногда бывает очень полезным, когда нужно выполнить команды «show», сохранения конфигурации и так далее, не выходя из режима, в котором вы находитесь.
Теперь выйдем в привилегированный режим и посмотрим на нашу конфигурацию:
  • Router_1(config)#exit
  • Router_1#show running-config







Теперь, давайте проверим нашу работу. Выходим командой exit. И снова пытаемся зайти на наш роутер :). Должно поучиться это:


  • 1 – наш баннер;
  • 2 – наш user;
  • 3 – наш пароль для user;
  • 4 – наш пароль enable secret.
Теперь, давайте сделаем доступ по telnet и ssh. Для начала, настроим ip – адрес, на который мы будем подключаться.
Заходим в настройки любого интерфейса и, собственно говоря, настраиваем IP-адрес :).
  • Router_1#conf t
  • Router_1(config)#int fa 0/0
  • Router_1(config-if)#ip address 192.168.0.1 255.255.255.0
  • Router_1(config-if)#no shutdown
  • Router_1(config-if)#exit
  • Router_1(config)#
Теперь, доработаем конфигурацию ssh. Надо сгенерировать пару ключей. Для их генерации используется имя домена. Необходимо выполнить следующие действия:
  • Router_1(config)#ip domain-name test.com
  • Router_1(config)#crypto key generate rsa
  • Router_1(config)#
  • *Mar 1 02:18:20.731: %SSH-5-ENABLED: SSH 1.5 has been enabled
  • Router_1(config)#
Когда будет вопрос о длине ключа, то в данном случае хватит и 512, но если вы хотите включить ssh version 2, то длина должна быть не меньше 768 бит.
Всё, ssh запущен, telnet работает по умолчанию. Сохраните конфигурацию (wr).
Для проверки, я соединю наш виртуальный роутер с физической сетью (как это делается, я описывал в этом посте).
Вот рабочая схема для проверки:



Запускаем на локальном компьютере Putty и проверяем доступ на IP – адрес нашего роутера.





Как видно, telnet работает.



Здесь нам предлагают сохранить ключ от роутера у нас на компьютере. Нажимайте «Да».







Как видно, ssh работает тоже :).
Поздравляю, мы произвели начальные настройки роутера!!!
В следующих постах я уже буду описывать более глубокие настройки, реализовывать разные схемы и так далее. Жду вас, будет интересно :).

На этом я хочу закончить этот пост. Надеюсь, он был интересен и полезен.



Пишите коменты, задавайте вопросы, высказывайте пожелания. С радостью отвечу всем.

Жду вас в следующих постах!!!
С уважением, Ant0ni0n.

15 комментариев:

  1. Добрый день!
    что может быть причиной следующей ошибки, при подключении по SSH:"network error: Connection refused"

    ОтветитьУдалить
    Ответы
    1. Пришлите мне результат команды show run.
      Мне кажется, что вы что-то не так сделали, так как в посте представлена проверенная и рабочая конфигурация.

      Удалить
    2. Этот комментарий был удален автором.

      Удалить
    3. почему-то не сохраняет результат команды show run в посте, может слишком много знаков... Может что-то конкретное показать?
      дело в том что по telnet соединение есть.

      Удалить
    4. Ну по конфигурации выглядит все правильно.
      А вы сгенерировали ключи RSA для сеанса ssh? У меня в посте это описано (команда crypto key generate rsa).
      И какой программой вы пытаетесь подключиться? Командная строка windows не поддерживает ssh, надо использовать либо Putty, либо SecureCRT.

      Удалить
    5. да, конечно сгенерировал. Подключаюсь через Putty, по telnet соединяет, а по SSH нет, выдает ту ошибку

      Удалить
    6. Хм... А попробуйте убрать параметр exec-timeout 20 0 с линий vty. Что то меня смущает второй "0" здесь...

      Удалить
    7. делал по вашему примеру, "Router_1(config-line)#exec-timeout 10 0" только вместо 10 минут поставил 20. После замены вообще ни чего не выдает ))) только системный звук. Поигрался и с 10 и с 20, с нулем и без..)) теперь даже то сообщение не выпадает, но telnet все так же работает.

      Удалить
  2. Интересно.... А попробуйте добавить еще один роутер и зайти по ssh с него. Может дело в винде...

    ОтветитьУдалить
    Ответы
    1. А вы покажите как именно зайти с другого маршрутизатора по SSH :)

      Удалить
  3. Добавляете новый роутер, соединяете их между собой, настраиваете сетевую доступность на них (чтобы пинговали друг друга).
    Затем заходите на один из роутеров и делаете команду ssh и все :)

    ОтветитьУдалить
    Ответы
    1. Переделал заново лабу полностью.
      R2#
      R2#
      R2#ssh 192.168.10.1
      % No user specified nor available for SSH client
      R2#telnet 192.168.10.1
      Trying 192.168.10.1 ... Open
      *********************
      User Access Verification

      Username: sil
      Password:
      R1>
      R1>
      R1>

      где 192.168.10.1 настроенный маршрутизатор под SSH и сгенерированный ключ на нем. все равно как-то SSH не работает

      Удалить
    2. А попробуйте еще вот такую команду с R2:
      ssh -l username 192.168.10.1

      и Напишите какой у вас IOS используется в роутерах.

      Удалить
  4. Connected to Dynamips VM "R3" (ID 1, type c3745) - Console port
    Press ENTER to get the prompt.

    R2>en
    R2>enable
    R2#ssh -l sil 192.168.10.1
    % Connection refused by remote host

    R2#
    R2#
    R2#

    ОбразIOS c3745-adventerprisek9-mz.123-24a.image
    R2#sh running-config
    Building configuration...

    Current configuration : 645 bytes
    !
    version 12.3

    ОтветитьУдалить
  5. Ant0ni0n извините за беспокойство, думаю грабли в винле, потому как на другой машине, все заработало нормально... Хотя странно, что SSH не заработал внутри оболочки GNS3, тобиш меж роуторами.
    В любом случае спасибо что помогали. )) Ваши посты мега полезные, спасибо и за них!!!

    ОтветитьУдалить