Как обеспечить парольный доступ к привилегированному режиму на коммутаторах

Обновлено: 02.07.2024

В этой статье мы рассмотрим основные аспекты первоначальной настройки коммутаторов SNR. Будет продемонстрировано выполнение одинаковых действий через CLI (Command Line Interface) и через WEB-интерфейс.

Доступ к коммутатору с заводскими настройками

В консольном режиме

Для связи с коммутатором через консольный порт на ПК необходимо выполнить следующие действия:

  • Соединить Serial-порт ПК с портом Console коммутатора консольным кабелем, идущим в комплекте с коммутатором;
  • Запустить программу эмуляции терминала (Putty, Minicom, HyperTerminal) и произвести следующие настройки:
    • Выбрать соответствующий Serial-порт компьютера ;
    • Установить скорость передачи данных 9600;
    • Задать формат данных: 8 бит данных, 1 стоповый бит, без контроля четности;
    • Отключить аппаратное и программное управление потоком данных.

    Для серий S2995G и S3850G используется скорость передачи данных 115200 бод.

    В режиме WEB-интерфейса

    По умолчанию коммутатор имеет IP-адрес 192.168.1.1. Чтобы подключиться к его WEB-интерфейсу, назначьте сетевой карте ПК IP-адрес из этого же диапазона (например 192.168.1.2), подключите сетевой провод в один из Ethernet-портов коммутатора и введите в адресной строке браузера 192.168.1.1. В качестве имени пользователя и пароля используйте admin/admin.

    Правила работы с CLI

    Чтобы эффективно работать с консолью коммутатора, необходимо запомнить несколько вещей:

    Полное описания работы с консолью, всех возможных горячих клавиш и команд вы найдете в главе 1.2 русскоязычного руководства по настройке коммутаторов SNR

    Изменить IP-адрес по умолчанию

    Первоначально коммутатор имеет только интерфейс во VLAN 1, куда попадает весь нетегированный трафик. Изменить IP-адрес можно следующим образом:

    В консольном режиме
    В режиме WEB-интерфейса

    • Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration


    После окончания конфигурирования коммутатора через WEB не забывайте нажать 'Save and Exit', иначе все изменения потеряются после перезагрузки.

    Создать VLAN, назначить его на порт и добавить L3-интерфейс в этом VLAN

    В консольном режиме
    В режиме WEB-интерфейса

    • Создать VLAN: VLAN configuration -> VLAN configuration -> Create/Remove VLAN -> VLAN ID configuration;
    • Назначить на порт: VLAN configuration -> VLAN configuration -> Assign ports for VLAN -> Assign ports for VLAN;
    • Создать L3-интерфейс: Port configuration -> VLAN interface configuration -> Add interface VLAN;
    • Назначить IP-адрес: Port configuration -> VLAN interface configuration -> L3 interface IP address mode configuration.





    Ограничить скорость порта

    Ограничим входящую и исходящую скорость порта 2 до 100 Мбит/сек:

    В консольном режиме
    В режиме WEB-интерфейса

    • Port configuration -> Ethernet port configuration -> Bandwidth control configuration


    Настроить транковый Uplink-порт

    Для того чтобы тегированный абонентский трафик мог проходить сквозь коммутатор, настроим оптический порт 9, как транковый порт и разрешим на нем трафик только VLAN 2:

    В консольном режиме
    В режиме WEB-интерфейса

    • Задать режим порта: VLAN configuration -> VLAN configuration -> Port type configuration -> Set port mode(access/hybrid/trunk)
    • Задать разрешенный VLAN: VLAN configuration -> VLAN configuration -> Trunk port configuration -> VLAN setting for trunk port



    Добавить нового пользователя, удалить старого, изменить пароль

    В целях безопасности рекомендуется или изменить пароль по умолчанию для учетной записи 'admin', либо удалить ее и создать новую. Создадим пользователя 'nag', удалим пользователя 'admin' и поменяем пароль для новой учетной записи:

    В консольном режиме
    В режиме WEB-интерфейса
    • Switch basic configuration -> Switch basic configuration -> Login user configuration



    Управление доступом к коммутатору

    В консольном режиме
    В режиме WEB-интерфейса




    Вы можете обновить NOS через веб-интерфейс коммутатора не прибегая к использованию TFTP/FTP-сервера. Boot-загрузчик таким образом обновить нельзя. После успешного завершения загрузки образа ПО не забудьте перезагрузить коммутатор.


    Все возможные способы обновления ПО на коммутаторах SNR описаны в профильной статье.

    Вам знакомы эти термины: безопасность, межсетевой экран, система защиты, безопасность в Internet ? Наверняка Вы часто встречаете их на страницах популярных сайтов, в почтовых рассылках, на страницах журналов и т.д. Большая часть тем посвящена настройкам межсетевых экранов, защите серверов локальной сети на уровне операционной системы и приложений, защите хостов (компьютеров) при работе в Internet. Но очень мало внимания уделяется настройке маршрутизаторов.

    Маршрутизатор - это "первая линия обороны" нашей корпоративной сети непосредственно соприкасающаяся с Internet. Они часто применяются в качестве ключевых элементов в системах защиты сетей (например, firewall для фильтрации пакетов и ограничения прохождения определенного IP -трафика). Наиболее широко распространенным сейчас является оборудование фирмы Cisco Systems, которое благодаря различной реализации своей "фирменной" операционной системы Cisco IOS может приобретать свойства, необходимые администраторам. Например, существует версия IOS, называемая Firewall Feature Set, включающая в себя функции межсетевого экранирования и встроенные средства обнаружения вторжений (IDS - Intrusion-Detection Systems). В данном материале я не буду рассматривать подобные версии IOS. Большая часть маршрутизаторов использует другие операционные системы Cisco IOS, отличающихся друг от друга некоторыми особенностями, но имеющих стандартные настройки. Их неправильная конфигурация может стать причиной нарушения безопасности действующей системы со всеми вытекающими последствиями.

    Рассмотрим основные пункты конфигурации маршрутизатора, определяющие его защищенность:

    Установки "по умолчанию"

    Особенностью (не очень удобной) операционной сисмемы Cisco IOS является вывод параметров настройки конфигурации на консоль пользователя. Те настройки, которые заданы "по умолчанию", не отображаются при выводе текущей конфигурации маршрутизатора. Их отображение происходит только при отмене данных настроек. К тому же настройки "по умолчанию" меняются в зависимости от версии IOS.
    Например, в IOS 11.2 сервисы "udp-small-servers" и "tcp-small-servers" включены по умолчанию. Но строк, подтверждающих это, в конфигурации мы не увидим. При отключении этих сервисов в конфигурации появятся следующие строки:

    При переходе к версии IOS 11.3 сервисы "udp-small-servers" и "tcp-small-servers" уже выключены по умолчанию и в конфигурации не отображаются. И при их включении мы увидим следующее:

    Поэтому при изменении операционной системы в маршрутизаторе следует уделить большое внимание отличиям нового IOS от предыдущего, а также проанализировать конфигурацию на наличие "появившихся" и "исчезнувших" строк, чтобы заблаговременно предотвратить возможность появления бреши в безопасности сети и маршрутизатора. При глобальной смене IOS (например, с версии 11 на версию 12) лучше перепроверить реализацию всех функций и сервисов, используемых маршрутизатором. Даже при смене версии IOS 12.1 на 12.2 в мае 2001 года у меня в конфигурации в разных местах появились следующие строки:

    no service single-slot-reload-enable
    dial-peer cor custom
    call rsvp-sync
    no eigrp log-neighbor-changes

    О назначении этих операторов можно только догадываться, но потребуется какое-то время. А где гарантия, что за ними не скрывается нарушение безопасности и вообще стабильной работы маршрутизатора.

    Пользовательский и привилегированный уровни доступа

    Cisco IOS для конфигурации маршрутизатора поддерживает интерфейс командной строки, работать с которым можно с терминала, подключенного к маршрутизатору через консольный порт (Console port) или с помощью удаленного доступа по модему и telnet - соединения по сети. Сеанс командной строки называется EXEC-сессией.

    В целях безопасности Cisco IOS обеспечивает два уровня доступа к интерфейсу командной строки: пользовательский и привилегированный. Пользовательский уровень называется user EXEC режим, а привилегированный privileged EXEC режим.
    Предусмотрено 16 уровней привилегий: от 0 до 15. На нулевом уровне доступно всего пять команд: disable, enable, exit, help, logout. На уровне 15 доступны все возможные команды.

    Вид командной строки имеет вид Router>
    Этот режим позволяет временно изменить настройки терминала, выполнить основные тесты, просмотреть системную информацию и подключиться к удаленному устройству. Пользовательский режим по умолчанию имеет первый уровень привилегии. Набор команд существенно ограничен. Для перехода на другой уровень привилегий необходимо ввести команду enable [номер уровня], например

    Команды enable и enable 15 являются аналогичными и приводят пользователя на привилегированный уровень.

    Возможности пользовательского режима с первым уровнем привилегий достаточно широкие. Из этого режима возможно выполнение "опасных" команд, таких как telnet, connect, tunnel, login и совсем не нужных для некоторых пользователей команд traceroute, enable, mstat, mrinfo, а также команд группы show: show hosts, show versions, show users, show flash: и многие другие.

    Права пользователей можно тонко настраивать: любому пользователю можно назначить определенный уровень при входе в маршрутизатор, любую команду можно перевести на уровень, отличный от стандартного. В свое время у нас возникла задача создания пользователя с минимальными возможностями: запрет команды enable, всех команд группы show и единственной разрешенной командой telnet. Это возможно реализовать следующим образом:

    1. Создадим пользователя cook с нулевым уровнем привилегий

    2. Работать это будет только тогда, когда прописать следующее

    После регистрации пользователь с именем cook по команде ? (список доступных команд) увидит перечень:

    3. Команду enable переведем на уровень выше (на уровень 1), а выполнение команды telnet разрешим для нулевого уровня

    К данным командам действует некоторое исключение - их действие нельзя отменить при помощи стандартной команды no. Этот вариант здесь не проходит.

    Для отмены действия этих команд необходимо ввести следующие команды:

    Сейчас после регистрации пользователь cook по команде ? увидит следующее:

    Проделав все операции, получили пользователя с заранее заданными возможностями.

    Существует такой тип пользователей, для которых необходимо зарегистрироваться на маршрутизаторе и выполнить одну единственную команду (например, show users). Для этого можно завести на маршрутизаторе пользователя с входом без пароля и с выполнением автокоманды.

    После ввода имени пользователя dream на экран выдается информация о присутствующих в данный момент на маршрутизаторе пользователях.

    Парольная защита

    В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы.

    Пароль типа username password устанавливается с соответствующим ему именем пользователя. Задается это в режиме конфигурации следующей командой (пользователь cook с паролем queen):

    При выводе конфигурации (при помощи команды show running-config) на экране мы увидим следующую информацию:

    Из этой строки видим, что пароль находится в "открытом виде", тип "0" означает "незашифрованный пароль". Если внимательно посмотреть самое начало конфигурации, то можно заметить следующую строку:

    Это сервис шифрования видимой части пароля. По умолчанию он отключен. Правильным считается (для обеспечения безопасности - от простейшего подглядывания) включать этот сервис.

    Тогда строка конфигурации об имени и пароле пользователя будет иметь несколько другой вид, где мы уже не видим текст пароля в явном виде (тип "7" - зашифрованный пароль):

    Для входа в privileg EXEC level (привилегированный уровень) пользователь должен ввести пароль. При выключенном сервисе шифрования пароля соответствующая строка в конфигурации будет иметь вид:

    При включенном же сервисе шифрования:

    Следует отметить, что данный метод шифрования пароля достаточно тривиален, существуют скрипты, которые за секунду декодируют его обратно в нормально читаемое состояние. Поэтому одним из важных элементов безопасности является вещь, с одной стороны очень далекая от телекоммуникаций и маршрутизаторов - порядок на собственном рабочем месте. Чтобы не были легко доступными бумажки с записями пароля в открытом виде, а также распечаток конфигураций роутеров, пусть даже пароль и будет зашифрован.

    Лучшая возможность имеется для шифрования пароля к привилегированному уровню - использование не enable password , а enable secret , в котором для кодирования пароля применяется алгоритм MD5 (тип "5"):

    Преимущество такого шифрования пароля в том, что его кодирование производится даже при отключенном сервисе шифрования (забыли включить или не знали про такой сервис). Скриптов по расшифровке таких паролей я не встречал, но их существование вполне вероятно.

    Ограничение доступа к маршрутизатору

    Управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору: локальное и удаленное.

    Локальное ограничение доступа к маршрутизатору

    Во-первых, необходимо специальное помещение с ограничением доступа для персонала, в котором бы находилось оборудование. Это рекомендуется для того, чтобы посторонний человек не имел физический доступ к маршрутизатору, т.к. при работе с маршрутизатором через консольный порт или порт AUX мы работаем в EXEC сессии без пароля на уровне обычного пользователя. И для получения доступа к привилегированному режиму посторонний человек может воспользоваться самым простым методом восстановление паролей - перезагрузка маршрутизатора, вход в режим ROM-монитора, изменение значения регистра конфигурации, снова перезагрузка маршрутизатора и элементарный вход в привилегированный режим без всякого пароля (вообще-то, это стандартный метод восстановления забытого пароля для доступа в privileg EXEC mode, но вот может использоваться и для совершенно противоположной цели).

    Если физический доступ к маршрутизатору не может быть достаточно ограничен, то необходимо установить пароль на работу в EXEC режиме по консольному порту и порту AUX. Вообще это лучше делать всегда, даже когда маршрутизатор находится в закрытом помещении под десятью замками (а вы уверены в своих коллегах?). Делается это достаточно просто и существует миниму два оптимальных варианта: совсем запретить вход в привилегированный режим или разрешить вход с нормальной авторизацией через пароль.

    Пример конфигурации, в которой для консольного порта разрешен вход через пароль с временем работы на порту в течении 1,5 минут, а для порта AUX запрещен вход EXEC режим:

    aaa new-model
    aaa authentication login default local

    line con 0
    exec-timeout 1 30
    line aux
    no exec

    В этой конфигурации при подсоединении к консольному порту мы не сразу попадем в user EXEC режим как это происходит обычно, а только после ввода пользовательского имени и пароля. Хочу заметить, что в параметрах команды exec-timeout время задается в минутах и секундах (через пробел), но если мы захотим указать 0 минут и 0 секунд (exec-timeout 0 0), то это не означает, что совсем нельзя будет попасть на данный порт. А как раз наоборот - пользователь будет находиться в EXEC режиме бесконечно долго. Это нужно обязательно учитывать администраторам при конфигурации маршрутизатора. Самое минимальное время - 1 секунда (exec-timeout 0 1).

    Удаленное ограничение доступа к маршрутизатору

    Обычно рекомендуется совсем запрещать удаленный доступ к маршрутизатору по telnet или же жестко ограничивать его. Достичь этого можно благодаря применению списков доступа.

    1. Полное запрещение доступа по telnet к маршрутизатору

    access-list 1 deny any

    line vty 0 4
    access-class 1 in

    2. Доступ к маршрутизатору по telnet разрешен только с определенного хоста (создадим расширенный список доступа и применим его к интерфейсу Ethernet 0/0)

    access-list 101 permit tcp host 140.11.12.73 host 140.11.12.236 eq telnet

    interface Ethernet0/0
    ip address 140.11.12.236 255.255.255.0
    ip access-group 101 in

    Необходимо заметить, что в списке доступа в структуре "от кого - кому" в качестве "кому" прописан IP адрес интерфейса Ethernet 0/0. А так же то, что при данной конфигурации через Ethernet 0/0 больше никто никуда не попадет, отсекаемый неявным оператором deny any. Поэтому нужно будет дополнить список доступа необходимыми "разрешениями".


    Топология

    Таблица адресации

    УстройствоИнтерфейсIP-адресМаска подсетиШлюз по умолчанию
    R1G0/1172.16.99.1255.255.255.0N/A
    S1VLAN 99172.16.99.11255.255.255.0172.16.99.1
    PC-ANIC172.16.99.3255.255.255.0172.16.99.1

    Задачи

    Часть 1. Настройка топологии и установка исходного состояния устройства
    Часть 2. Настройка базовых параметров устройств и проверка подключения
    Часть 3. Настройка и проверка доступа с помощью протокола SSH к коммутатору S1

    • Настройте доступ по протоколу SSH.
    • Измените параметры SSH.
    • Проверьте конфигурацию SSH.

    Часть 4. Настройка и проверка параметров безопасности для S1

    • Настройте и проверьте общие функции безопасности.
    • Настройте и проверьте функцию безопасности порта.

    Исходные данные/Сценарий

    На компьютерах и серверах следует ограничивать доступ, устанавливая качественную систему безопасности. На ваших устройствах сетевой инфраструктуры, например коммутаторах и маршрутизаторах, тоже важно настраивать функции безопасности.

    Необходимые ресурсы:

    • 1 маршрутизатор (Cisco 1941 с универсальным образом M3 под управлением ОС Cisco IOS 15.2(4) или аналогичная модель);
    • 1 коммутатор (Cisco 2960 под управлением ОС Cisco IOS 15.0(2), образ lanbasek9 или аналогичная модель);
    • 1 ПК;
    • консольные кабели для настройки устройств Cisco IOS через консольные порты;
    • кабели Ethernet, расположенные в соответствии с топологией.

    Часть 1. Настройка топологии и инициализация устройств

    В первой части вам предстоит создать топологию сети и при необходимости удалить все конфигурации.

    Шаг 1: Подключите кабели в сети в соответствии с топологией.

    Шаг 2: Выполните инициализацию и перезагрузку маршрутизатора и коммутатора.

    Если ранее на маршрутизаторе или коммутаторе были сохранены конфигурационные файлы, выполните инициализацию и перезагрузку устройств, чтобы восстановить базовые настройки.

    Часть 2. Настройка базовых параметров устройств и проверка подключения

    Во второй части лабораторной работы вам предстоит настроить базовые параметры маршрутизатора, коммутатора и ПК. Имена и адреса устройств можно найти в топологии и таблице адресации в начале этой лабораторной работы.

    Шаг 1: Настройте IP-адрес на PC-A.

    Шаг 2: Настройте базовые параметры на маршрутизаторе R1.

    1. Задайте имя устройства.
    2. Отключите поиск DNS.
    3. Настройте IP-адрес интерфейса в соответствии с таблицей адресации.
    4. Назначьте class в качестве пароля привилегированного режима EXEC.
    5. Назначьте cisco в качестве пароля консоли и виртуального терминала VTY и активируйте вход.
    6. Зашифруйте все незашифрованные пароли.
    7. Сохраните текущую конфигурацию в загрузочную конфигурацию.

    Шаг 3: Выполните базовую настройку коммутатора S1.

    Не рекомендуется назначать административный IP-адрес коммутатора для сети VLAN 1 (или любой другой VLAN с конечными пользователями). На данном этапе вам предстоит создать VLAN 99 на коммутаторе и назначить этой сети IP-адрес.

    a. Задайте имя устройства.
    b. Отключите поиск DNS.
    c. Назначьте class в качестве пароля привилегированного режима EXEC.
    d. Назначьте cisco в качестве пароля консоли и виртуального терминала VTY и активируйте вход.
    e. Настройте шлюз по умолчанию для коммутатора S1 с помощью IP-адреса маршрутизатора R1.
    f. Зашифруйте все незашифрованные пароли.
    g. Сохраните текущую конфигурацию в загрузочную конфигурацию.
    h. Создайте на коммутаторе сеть VLAN 99 и назовите её Management.

    i. Настройте IP-адрес интерфейса административной сети VLAN 99 в соответствии с таблицей адресации и включите интерфейс.

    j. Выполните команду show vlan на коммутаторе S1.
    k. Выполните команду show ip interface brief на коммутаторе S1.
    l. Назначьте порты F0/5 и F0/6 для сети VLAN 99 на коммутаторе.

    m. Выполните команду show ip interface brief на коммутаторе S1.

    Примечание. При сходимости состояний портов может произойти небольшая задержка.

    Шаг 4: Проверьте наличие подключения между всеми устройствами.

    Часть 3. Настройка и проверка доступа с помощью протокола SSH к коммутатору S1

    Шаг 1: Настройте доступ к протоколу SSH на коммутаторе S1.

    b. Создайте запись локальной базы данных пользователей, которую вы будете использовать для подключения к коммутатору через SSH. Пользователь должен обладать правами доступа администратора.

    Примечание. Используемый пароль не является надёжным. Он используется исключительно в рамках лабораторной работы.

    c. Настройте вход транспортировки таким образом, чтобы в каналах VTY были разрешены только подключения по протоколу SSH. Для аутентификации используйте локальную базу данных.

    d. Создайте ключ шифрования RSA с использованием модуля 1024 бит.

    e. Проверьте конфигурацию протокола SSH и ответьте на следующие вопросы.

    Шаг 2: Измените конфигурацию SSH на коммутаторе S1.

    Измените конфигурацию SSH по умолчанию.

    Шаг 3: Проверьте конфигурацию SSH на коммутаторе S1.

    Часть 4. Настройка и проверка параметров безопасности для S1

    В четвёртой части лабораторной работы вам предстоит закрыть неиспользуемые порты, выключить определённые сервисы, работающие на коммутаторе, и настроить функцию безопасности порта на основе МАС-адресов. Коммутаторы могут быть подвержены переполнению таблицы МАС-адресов, спуфинг-атакам и попыткам неавторизованных подключений к портам коммутатора. Вам нужно будет настроить функцию порта безопасности, чтобы ограничить количество МАС-адресов, которые могут быть получены портом коммутатора, а также отключить порт при превышении этого количества.

    Шаг 1: Настройка общих функций безопасности на коммутаторе S1.

    Шаг 2: Настройка и проверка работы функции безопасности порта на коммутаторе S1.

    b. В интерфейсе командной строки S1 выполните команду show mac address-table в привилегированном режиме. Найдите динамические записи для портов F0/5 и F0/6.
    c. Настройка базовой безопасности порта.

    Примечание. Как правило, эту процедуру выполняют на всех портах доступа коммутатора. Интерфейс F0/5 представлен в качестве примера.

    Примечание. Выполнение команды switchport port-security позволит установить максимальное количество МАС-адресов на значение 1. При попытке нарушения безопасности порт будет выключен. Команды switchport port-security maximum и switchport port-security violation можно использовать для того, чтобы изменить настройки по умолчанию.

    4) Настройте статическую запись для МАС-адреса интерфейса G0/1 маршрутизатора R1, записанного на шаге 2а.

    (Настоящий МАС-адрес интерфейса G0/1 маршрутизатора имеет формат xxxx.xxxx.xxxx).

    Примечание. При желании вы можете использовать команду switchport port-security mac-address, чтобы добавить в текущую конфигурацию коммутатора защищённые МАС-адреса, которые были динамически получены на порте (до заданного максимального значения).


    i. Из привилегированного режима коммутатора R1 отправьте эхо-запрос на компьютер PC-A. Успешно ли выполнен эхо-запрос?

    j. На коммутаторе проверьте функцию безопасности порта с помощью команд, указанных ниже.


    k. На маршрутизаторе выключите интерфейс G0/1, удалите жёстко запрограммированный MAC-адрес из маршрутизатора и повторно включите интерфейс G0/1.

    Примечание. При сходимости состояний портов может произойти небольшая задержка.

    p. Из командной строки маршрутизатора R1 повторите эхо-запрос на компьютер PC-A. Эхо-запрос должен пройти успешно.

    Первоначальная настройка коммутатора Cisco.

    December 18, 2009

    В этой статье будет рассказано, про то как “запустить” свежекупленный коммутатор Cisco Catalyst 2960/3560/3750. В принципе, данные настройки применимы для всех коммутаторов cisco, данные серии коммутаторов указаны, более, для определенности.

    Итак, у нас есть коммутатор Cisco Catalyst 2960 или 3560 или 3750. Внешне он будет выглядеть примерно так как на рис. 1.


    На рис. 1 Перед нами “48″ портовый коммутатор который, если быть точным, обозначается как Catalyst 2960-48TC-S.

    У него 48 портов 10/100 Ethernet мегабит в сек. (то есть портов которые могут работать как и на 10 мегабит в сек, так и на 100 мегабит сек в зависимости от того сколько мегабит в сек устройство к нему подключено на данный конкретный порт.) Кроме этих 48 портов, в нем дополнительно есть еще два порта 10/100/1000 ( т.е. могущие работать и на 10 и на 100 и на 1000 ) и есть еще два места (слота) куда могут быть установлены так называемые модули SFP. SFP модули бывают и оптические, таким образом покупка за отдельную плату SFP модулей

    и их установка в эти слоты позволит нам сделать так, чтоб наш коммутатор можно будет подключить по оптике к другим устройствам. Итого в данном коммутаторе есть 50 портов. То есть можно подключить к нему 50 устройств, 50 – не смотря на то, что есть 52 “дырочки”, так как одновременно работать SFP и медный “гигабитный” порт ПОД НИМ не могут. SFP слева и медный гигабитный справа – могут, но вот SFP “сверху” и “медный” порт под ним не могут.

    Если посмотреть сзади (1) на этот коммутатор, то можно обнаружить еще две дырочки. Одна для подключения кабеля питания 220 вольт (2), вторая, похожая на порт к которому можно подключить ETHERNET , но которая таковым не является с надписью CONSOLE (3). Этот порт будет использоваться нами для первоначальной настройки коммутатора.

    Внизу на рис. 2 представлен вид этого коммутатора сзади.


    Берем голубой кабель который идет в комплекте с коммутатором. И подключаем его к COM порт компьютера. Запускаем программу HyperTerminal на компьютере. Выбираем COM порт к которому подключен коммутатор (обычно COM1), устанавливаем скорость передачи данных 9600 и включаем коммутатор.

    При первом запуске коммутатора Cisco Catalyst, так как в нем нет никакой записанной конфигурации он запускает программу setup, которая посредством задания вам множества вопросов на английском языке, вроде бы сама пытается все настроить. Но имхо, этот setup только запутывает все, так что если вы увидите на экране такое:


    То лучше сказать “n”, прервать тем самым setup, а потом самому настроить коммутатор с нуля. Тем более это очень просто.

    Не бойтесь тут нажимать на что-то – вы ничего не сипортите. Жмите смело “n” и Enter потом.

    После чего вы должны увидеть такое :

    Это есть командный режим управления Коммутаторм Cisco. Дальше будем настраивать.

    Первым делом нам нужно перейти в так называемый “привилегированный режим”, по сути это режим в котором можно конфигурировать, в отличии от того в котором мы находимся по умолчанию и имеем ограниченные воз0можности по управлению коммутатором. ” Привилегированный режим” это что-то вроде root режима в юникс и входа на windows пол админом. Переход в этот привелигированный режим производится просто – пишем enable и вводим пароль. Пароль по умолчанию на оборудовании cisco это либо “cisco”, либо “Cisco”, либо просто жмем enter не вводя ничего

    Конфигурируем дальше. Нам, по идее, для первоначальной настройки необходимо просто настроить чтоб до коммутатора можно было попасть через телнет. Для этого на Cisco нужно сделать следующее

    Задать ip адрес

    Настроить параметры входа (в терминах cisco это настроить VTY, задать логин и пароль)

    IP адрес для коммутатора cisco обычно задается заданием его на, так называемый, интерфейс VLAN 1. (Так как коммутатор, по идее, сам не обязательно должен иметь ip адрес для того чтоб выполнять свои функции, то ip адрес для его работы и не нужен. Он нужен только для управления им. А так как нет “физических” интерфейсов (портов) с IP адресами на коммутаторе, то такой адрес и задается виртуальному интерфейсу – который и является интерфейс VLAN 1 ).

    Для того чтоб настраивать коммутатор Cisco нужно перейти в режим конфигурирования. Делает это заданием команды “configuration terminal”, что обозначает – ” настраиваем с терминала”. Задавать такую длинную команду лень. Мы и не будем. Дело в том, что cisco может сам по начальным буквам слова определять нужную команду (если введенные буквы неоднозначно определяют команду, то cisco его не выполнит, а предупредит об этом). Так что нам достаточно задать “conf t”

    задаем ip адрес:

    switch(config-if)exit (выходим из режима конфигурирования интерфейса)

    Далее нам нужно задать пароль на вход в привилегированный режим

    Настраиваем параметры входа

    Все. Первый сеанс настройки коммутатора Cisco почти завершен. Осталось только сохранить сделанную конфигурацию. Делается это командой “write mem”

    Сохранились. Можно выдергивать консольный кабель, подключать к коммутатору компы и заходить, при необходимости, на данный коммутатор далее по телнет. При этом, для управления этим коммутатором нам нужно будет знать два пароля – “пароль_на_вход” и “пароль_на_вход_в привилегированный режим”. Запомните их.

    Для быстрого конфигурирования коммутора можно сделать следующее:

    interface vlan 1

    ip address 10.1.1.1 255.255.255.0

    enable secret пароль_на_вход_в привилегированный режим

    Знаете ли вы, что:

    Крутить настройки Cisco - это занятие коллективов профессионалов, которые называются системными интеграторами. Системный интегратор CTI настроит вам и Cisco и другое сетевое оборудование за кратчайшие сроки по сходной цене.

    Читайте также: