Какое конфигурирование коммутатора позволяет обеспечить большую безопасность

Обновлено: 28.04.2024

Примечание. В Packet Tracer, коммутатор Catalyst 2960 использует IOS версии 12.2 по умолчанию. При необходимости версию IOS можно обновить с файлового сервера в топологии Packet Tracer. После этого коммутатор может быть настроен на загрузку до версии IOS 15.0, если требуется эта версия.

Часть 1. Проверьте конфигурацию коммутатора по умолчанию

Шаг 1: Войдите в привилегированный режим EXEC.

Привилегированный режим EXEC дает доступ ко всем командам коммутатора. Но поскольку многие привилегированные команды задают рабочие параметры, привилегированный доступ должен быть защищен паролем во избежание несанкционированного использования.

Набор привилегированных команд EXEC включает в себя команды, доступные в пользовательском режиме EXEC, множество дополнительных команд и команду configure, с помощью которой обеспечивается доступ к режимам конфигурации.

a. Щелкните S1 и откройте вкладку CLI. Нажмите клавишу ввода.

б. Перейдите в привилегированный режим EXEC, выполнив команду enable:

Откройте окно конфигурации на S1

Switch> enable

Обратите внимание, что командная строка изменилась, указывая на привилегированный режим EXEC.

Изучите текущую конфигурацию коммутатора.

Введите команду show running-config.

Ответьте на следующие вопросы:

Сколько у коммутатора интерфейсов Fast Ethernet? 24

Сколько у коммутатора интерфейсов Gigabit Ethernet? 2

Каков диапазон значений, отображаемых в vty-линиях? 0-15

Какая команда отображает текущее содержимое энергонезависимого ОЗУ (NVRAM)? startup-config is not present

Часть 2. Настройка основных параметров коммутатора

Шаг 1: Назначьте имя коммутатору.

Для настройки параметров коммутатора, возможно, потребуется переключаться между режимами настройки. Обратите внимание, как изменяется командная строка при переходе по разделам меню коммутатора.

Шаг 2. Обеспечьте безопасный доступ к консоли.

Для безопасного доступа к консоли перейдите в режим config-line и установите для консоли пароль letmein.

Введите построчно команды настройки. В конце нажмите CNTL/Z.

%SYS-5-CONFIG_I: Configured from console by console

Для чего нужна команда login?

Шаг 3. Убедитесь, что доступ к консоли защищен.

Выйдите из привилегированного режима, чтобы убедиться, что для консольного порта установлен пароль.

Switch con0 is now available

Press RETURN to get started.

User Access Verification

Примечание. Если коммутатор не выводит запрос на ввод пароля, значит, вы не настроили параметр login в шаге 2.

Шаг 4. Защитите доступ к привилегированному режиму.

Установите для enable пароль c1$c0. Этот пароль ограничивает доступ к привилегированному режиму.

%SYS-5-CONFIG_I: Configured from console by console

Шаг 5. Убедитесь, что доступ к привилегированному режиму защищен.

a. Выполните команду exit еще раз, чтобы выйти из коммутатора.

б. Нажмите и после чего вам будет предложено ввести пароль.

User Access Verification

в. Первый пароль — это пароль для консоли, который был задан для line con 0. Введите этот пароль, чтобы вернуться в пользовательский режим EXEC.

г. Введите команду для доступа к привилегированному режиму.

д. Введите второй пароль, который был задан для ограничения доступа к привилегированному режиму EXEC.

е. Проверьте конфигурацию, изучив содержимое файла running-configuration file:

Обратите внимание, что пароли для консоли и привилегированного режима отображаются в виде обычного текста. Это может представлять угрозу безопасности, если кто-то смотрит через ваше плечо или получает доступ к конфигурационным файлам, хранящимся в резервной копии.

Шаг 6. Настройте зашифрованный пароль для защиты доступа к привилегированному режиму.

Пароль для enable нужно заменить на новый зашифрованный пароль с помощью команды enable secret. Установите для enable secret пароль itsasecret.

Примечание. Пароль enable secret перезаписывает пароль enable. Если для коммутатора заданы оба пароля, для перехода в привилегированный режим EXEC нужно ввести пароль enable secret.

Шаг 7. Убедитесь, что в файл конфигурации добавлен пароль enable secret.

Введите команду show running-config еще раз, чтобы проверить новый пароль enable secret.

Примечание. Команду show running-config можно сократить до

Почему пароль enable secret отображается не так, как было задано?

Он был зашифрован

Шаг 8. Зашифруйте пароли enable и console.

Как было видно в шаге 7, пароль enable secret зашифрован, а пароли enable и console хранятся в виде обычного текста. Сейчас мы зашифруем эти открытые пароли с помощью команды service password-encryption.

Если установить на коммутаторе другие пароли, они будут храниться в файле конфигурации в виде обычного текста или в зашифрованном виде? Дайте пояснение.

Мы ставим зашифрованный пароль для того, чтобы злоумышленники не смогли взломать и нанести ущерб

Часть 3: Настройте баннер MOTD

%SYS-5-CONFIG_I: Configured from console by console

Когда будет отображаться этот баннер?

Когда пользователь подключается к коммутатору

Зачем на всех коммутаторах должен быть баннер MOTD?

Это средство предупреждения или напоминания

Часть 4. Сохранение и проверка файлов конфигурации в NVRAM.

Шаг 1. Проверьте правильность конфигурации с помощью команды show run.

Сохраните файл конфигурации. Вы завершили основную настройку коммутатора. Теперь выполните резервное копирование файла конфигурации в NVRAM и убедитесь, что внесенные изменения не были потеряны при перезагрузке системы или отключении питания.

Destination filename [startup-config]?[Enter]

Закройтеокнонастройки S1

Какова самая короткая версия команды copy running-config startup-config?

Изучите файл загрузочной конфигурации.

Какая команда отображает содержимое NVRAM?

startup-config is not present

Все ли внесенные изменения были записаны в файл?

Часть 5. Настройка коммутатора S2

Вы завершили настройку коммутатора S1. Теперь вы настроили S2. Если вы не можете вспомнить команды, вернитесь к частям 1 - 4 .

Настройте для коммутатора S2 следующие параметры.

Откройте окно конфигурации на S2

a. Имя устройства: S2

б. Защитите доступ к консоли паролем letmein.

в. Установите в качестве пароля enable c1$c0 а в качестве пароля enable secret — itsasecret.

Коммутаторы Cisco поддерживают два других метода безопасного входа, которые используют пары имя пользователя / пароль вместо общего пароля без ввода имени пользователя. Первый метод, использует ввод локального имени пользователя и пароля. Происходит настройка пары имя пользователя / пароль локально-то есть в конфигурации коммутатора. Коммутаторы поддерживают режим локального имени пользователя / пароля для входа по консоли, по Telnet и даже по SSH, но не изменяют пароль от привилегированного режима (enable), используемый для входа в режим enable.

Настройки для перехода от использования простых общих паролей к использованию локальных имен пользователей/паролей требует лишь небольших изменений конфигурации, как показано на рис.3.

На рисунке показаны два ПК, пытающиеся получить доступ к пользовательскому режиму. Один из ПК подключен по консольному кабелю в пользовательский режим через линию console 0, а другой ПК по Telnet, соединяющийся через терминальные линии vty 0 15. Оба ПК не имеют паролей для входа, и задано имя пользователя для обоих ПК - " local."

На рисунке в Пользовательском режиме используется две команды:

1- username ulanbaby secret box
2- username landy secret box

Глядя на настройки на рисунке, видно, во-первых, коммутатору, необходимо задать пару имя пользователя/пароль . Для их создания, в режиме глобальной конфигурации, введите команду создания имени пользователя и зашифрованного пароля -username secret . Затем, чтобы включить тип безопасности входа с проверкой логина (имени пользователя ) по консоли или Telnet, просто добавьте команду login local . По сути, эта команда означает " использовать локальный список имен пользователей для входа в систему."

Вы также можете использовать команду no password, чтобы очистить все оставшиеся команды паролей из консоли или режима vty, потому что эти команды не нужны при использовании локальных имен пользователей и паролей.

Ниже подробно описаны шаги для настройки доступа к к коммутатору с использованием логина и пароля:

Шаг 1. В режиме глобальной конфигурации используйте команду username secret , чтобы создать одну или несколько пар имя пользователя/пароль в локальной базе коммутатора.

Шаг 2. Настройте консоль на использование пар имя пользователя / пароль из локальной базы коммутатора:

используйте команду line con 0 для входа в режим конфигурации консоли.
используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль, совпадающие со списком локальных имен пользователей/паролей.
(необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.

Шаг 3. Настройте Telnet (vty) для использования пар имя пользователя / пароль из локальной базы коммутатора:

1. используйте команду line vty 0 15 для входа в режим конфигурации vty для всех 16 терминальных линий vty (пронумерованных от 0 до 15).
2. используйте подкоманду login local, чтобы разрешить коммутатору запрашивать имя пользователя и пароль для всех входящих пользователей Telnet, со списком локальных имен пользователей/паролей.
3. (необязательно) используйте подкоманду no password для удаления всех существующих простых общих паролей, просто для оптимизации конфигурации.

При попытке подключиться по Telnet к коммутатору, настроенному как показано на рисунке, пользователю будет предложено сначала ввести имя пользователя, а затем пароль, как показано в Примере 4. Пара имя пользователя / пароль должна быть в локальной базе коммутатора.В противном случае вход в систему будет отклонен.

В примере 4 коммутаторы Cisco не отображает символы при вводе пароля по соображениям безопасности.

ЗАЩИТА ДОСТУПА В ПОЛЬЗОВАТЕЛЬСКОМ РЕЖИМЕ С ПОМОЩЬЮ ВНЕШНИХ СЕРВЕРОВ АУТЕНТИФИКАЦИИ

Однако использование имени пользователя / пароля, настроенного непосредственно на коммутаторе, не всегда удобно при администрировании. Например, каждому коммутатору и маршрутизатору требуется настройка для всех пользователей, которым может потребоваться войти на устройства. Затем, когда возникнет необходимость внесения изменений в настройки, например, изменение паролей для усиления безопасности, настройки всех устройств должны быть изменены.

Лучшим вариантом было бы использовать инструменты, подобные тем, которые используются для многих других функций входа в ИТ. Эти инструменты обеспечивают центральное место для безопасного хранения всех пар имя пользователя / пароль, с инструментами, чтобы заставить пользователей регулярно менять свои пароли, инструменты, чтобы отключать пользователей, когда они завершают сеанс работы, и так далее.

Коммутаторы Cisco позволяют именно этот вариант, используя внешний сервер, называемый сервером аутентификации, авторизации и учета (authentication, authorization, and accounting)(AAA). Эти серверы содержат имена пользователей / пароли. Сегодня многие существующие сети используют AAA-серверы для входа на коммутаторы и маршрутизаторы.

Да для настройки данного входа по паре имя пользователя / пароль необходимо произвести дополнительные настройки коммутатора.

На рисунке показано, что пользователь сначала вводит имя пользователя / пароль, коммутатор запрашивает AAA-сервер, а сервер отвечает коммутатору, заявляя, что имя пользователя/пароль действительны.

На рисунке процесс начинается с того, что ПК " А " отправляет регистрационную информацию через Telnet или SSH на коммутатор SW1. Коммутатор передает полученную информацию на сервер "AAA" через RADIUS или TACACS+. Сервер отправляет подтверждение коммутатору, который, в свою очередь, отправляет приглашение (разрешение) на ввод команды в пользовательскую систему.

Хотя на рисунке показана общая идея, обратите внимание, что информация поступает с помощью нескольких различных протоколов. Слева, соединение между Пользователем и коммутатором или маршрутизатором использует Telnet или SSH. Справа коммутатор и AAA-сервер обычно используют протокол RADIUS или TACACS+, оба из которых шифруют пароли, при передаче данных по сети.

НАСТРОЙКА ЗАЩИЩЕННОГО УДАЛЕННОГО ДОСТУПА ПО SSHL

SSH может использовать тот же метод аутентификации локального входа, что и Telnet, с настроенными именем пользователя и паролем в локальной базе коммутатора. (SSH не работает с методами аутентификации, которые не используют имя пользователя, например только общие пароли.)

Итак, в настройке доступа для локальных пользователей по Telnet, как показано ранее на рисунке, также включена локальная аутентификация по имени пользователя для входящих соединений SSH.

На рисунке показан один пример настройки того, что требуется для поддержки SSH. Рисунок повторяет конфигурацию создания локального пользователя, (см. рисунок) для подключения по Telnet. На скриншоте показаны три дополнительные команды, необходимые для завершения настройки SSH на коммутаторе.

В статье рассматриваются вопросы обеспечения безопасности на канальном уровне сети, распространенные атаки канального уровня и средства защиты от этих атак. Объяснены принципы работы популярных функций безопасности коммутаторов и роль коммутаторов в безопасности канального уровня. Рассмотрены также сетевые утилиты для тестирования безопасности сетевых протоколов — Yersinia и некоторые другие, доступные в современных дистрибутивах операционных систем семейства Linux.

введение

Безопасность канального уровня можно считать синонимом безопасности локальной сети. Как правило, атаки на канальном уровне предполагают, что атакующий находится в локальной сети, либо есть некий посредник, который умышленно или неумышленно помогает выполнению атак. Задача атакующего – получить доступ к определенным ресурсам, информации или, как минимум, нарушить нормальную работу сети.

Опасность проблем в безопасности на канальном уровне заключается в том, что взломав сеть на канальном уровне, атакующий может перешагнуть через средства защиты на более высоких уровнях. Например, в сети настроены ACL на сетевых устройствах или файрвол для разграничения доступа пользователей к ресурсам в сети. Но, выполняя подмену IP-адреса в пакете, атакующий свободно проходит через настроенные правила, поскольку выглядит как легитимный пользователь.

Как правило, атаки выполняются в комплексе, а не по одной. Удачное выполнение атаки может быть не целью, а средством получить что-то большее. Например, атака ARP -spoofing позволяет атакующему перехватывать весь трафик между интересующим ресурсом и каким-то пользователем (или подменять его). Однако выполнить эту атаку можно только в пределах широковещательного сегмента сети. Если в сети присутствует коммутатор Cisco с настройками по умолчанию, то можно поднять тегированный канал между компьютером атакующего и коммутатором и получить таким образом доступ к другим широковещательным сегментам сети. В таком случае выполнить ARP -spoofing можно в каждом из доступных сегментов.

атаки на канальном уровне сети

В зависимости от результата, который будет получен, атаки можно разделить на следующие типы (выделенные типы атак не охватывают все возможные атаки):

Человек посередине (Man in the middle, MitM) — атакующий находится между двумя жертвами и либо прослушивает трафик, который передается между ними, либо перехватывает его и подменяет. При этом для жертв никаких видимых признаков атаки нет;
Отказ в обслуживании (DoS) — атака на какой-то ресурс системы с целью довести его до отказа. На канальном уровне есть ряд атак, которые позволяют получить односторонний доступ к какому-то участку сети. Этого как раз достаточно для такого вида атаки;
Несанкционированный доступ к сети или участкам сети — использование каких-то недостатков в протоколах позволяет получить доступ к тем участкам сети, которые теоретически должны быть недоступны. Возможно также выполнение других типов атак в этих участках сети;
Нарушение работы сети или её участков — некоторые недостатки протоколов канального уровня не могут использоваться предсказуемым образом. То есть, нет возможности как-то преднамерено повлиять на их поведение, но есть возможность нарушить их нормальную работу и таким образом нарушить работу участка сети или всей сети.

Не все протоколы, которые будут рассматриваться далее, относятся к канальному уровню. Однако именно особенности работы этих протоколов на канальном уровне создают возможности для манипуляций. Поэтому часто соответствующие атаки и средства защиты относят к канальному уровню сети.

Распространенные атаки канального уровня:

тестирование безопасности сетевых протоколов с помощью различных сетевых утилит

Существует множество различных утилит, которые позволяют выполнять атаки на сеть. Некоторые позволяют моделировать только определенные атаки, другие — генерировать любой пакет.

Рассмотрим такие аспекты использования сетевых утилит, как тестирование функций и средств безопасности и тестирование уязвимостей настроек сетевых устройств и хостов.

Как правило, когда функция безопасности применяется одна, то редко возникают какие-то проблемы. Достаточно просто настроить её и проверить корректность работы. Гораздо сложнее настроить согласованную работу нескольких средств защиты, оставив при этом сеть работоспособной.

После настройки функций безопасности обязательно необходимо проверить корректность её работы. Во-первых, потому что бывают случаи, когда функция работает не совсем так, как было заявлено производителем или не совсем так как хотелось бы. Во-вторых, потому что функции влияют друг на друга, и добавление новой функции может привести к изменениям в поведении другой функции.

Помимо тестирования функций безопасности утилиты могут использоваться для проверки уязвимости некоторых настроек сетевых устройств и хостов. Например, на многих коммутаторах Cisco используются такие настройки по умолчанию, которые позволяют выполнить ряд атак и получить несанкционированный доступ к сети или вывести из строя сетевые устройства. Использование утилит в данном случае демонстрирует простоту взлома сети и уязвимость таких настроек коммутаторов.

Некоторые атаки, которые можно выполнять с помощью утилит, могут вызвать отказ в обслуживании. Поэтому их следует применять очень осторожно в рабочей сети.

Yersinia — сетевая утилита, позволяющая эксплуатировать недостатки ряда протоколов, использующихся активным сетевым оборудованием, и стандартных сетевых протоколов, использующихся в сети.

В настоящий момент возможны атаки на:
- стандартные сетевые протоколы:
- Dynamic Host Configuration Protocol ( DHCP ),
- Spanning Tree Protocol ( STP ),
- 802.1Q,
- 802.1X,
- проприетарные протоколы Cisco:
- Inter-Switch Link Protocol ( ISL ),
- VLAN Trunking Protocol ( VTP ),
- Cisco Discovery Protocol ( CDP ),
- Dynamic Trunking Protocol ( DTP ),
- Hot Standby Router Protocol ( HSRP ).

Scapy — сетевая утилита, написанная на языке Python, которая позволяет посылать, просматривать и анализировать сетевые пакеты. В отличие от многих других утилит, Scapy не ограничена перечнем каких-то протоколов, пакеты которых она может генерировать. Фактически, она позволяет создавать любые пакеты и комбинировать атаки различных типов.

роль коммутаторов в безопасности канального уровня

В современных локальных сетях обмен информацией, как правило, предполагает передачу данных через коммутатор. Поэтому и сам коммутатор, и протоколы, которые используют коммутаторы, могут быть целью атак. Более того, некоторые настройки коммутаторов (как правило, это настройки по умолчанию) позволяют выполнить ряд атак и получить несанкционированный доступ к сети или вывести из строя сетевые устройства.

Однако, коммутатор может быть и достаточно мощным средством защиты. Так как через него происходит всё взаимодействие в сети, то логично контролировать это на нем. Конечно использование коммутатора как средства защиты предполагает, что используется не простейший коммутатор 2-го уровня, а коммутатор с соответствующими функциями для обеспечения безопасности.

функции коммутаторов для обеспечения безопасности работы сети на канальном уровне

Port security — функция коммутатора, позволяющая указать MAC -адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC -адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC -адреса, разрешенные на порту коммутатора, а ограничить количество MAC -адресов, которым разрешено передавать трафик через порт.

Используется для предотвращения:
- несанкционированной смены MAC -адреса сетевого устройства или подключения к сети,
- атак, направленных на переполнение таблицы коммутации.

DHCP snooping — функция коммутатора, предназначенная для защиты от атак с использованием протокола DHCP . Например, атаки с подменой DHCP -сервера в сети или атаки DHCP starvation, которая заставляет DHCP -сервер выдать все существующие на сервере адреса злоумышленнику.

- Dynamic ARP Protection (Inspection) — проверка ARP -пакетов, направленная на борьбу с ARP -spoofing,
- IP Source Guard — выполняет проверку IP-адреса отправителя в IP-пакетах, предназначенная для борьбы с IP-spoofingом.

Dynamic ARP Inspection (Protection)

Dynamic ARP Inspection (Protection) — функция коммутатора, предназначенная для защиты от атак с использованием протокола ARP . Например, атаки ARP -spoofing, позволяющей перехватывать трафик между узлами, которые расположены в пределах одного широковещательного домена.

IP Source Guard

IP Source Guard (Dynamic IP Lockdown) — функция коммутатора, которая ограничивает IP-трафик на интерфейсах 2го уровня, фильтруя трафик на основании таблицы привязок DHCP snooping и статических соответствий. Функция используется для борьбы с IP-spoofingом.

Базовые настройки коммутатора включают в себя команды для входа/выхода из admin режима, конфигурации и просмотра времени, вывода базовой информации о коммутаторе.

Команда

Описание

Режимы User и Admin

Команда enable предназначена для перехода из User в Admin режим, либо для смены уровня привилегий у текущего пользователя.

Команда disable служит для выхода из режима Admin.

Admin режим

Переход в режим глобального конфигурирования (Global) из режима Admin.

Все режимы

Выход из текущего режима конфигурирования в нижестоящий режим. Например из Global режима в Admin.

Вывод текущего уровня привилегий пользователя.

Все режимы за исключением User и Admin

Выход из текущего режима конфигурирования и возврат в Admin режим.

Admin режим

clock set [YYYY.MM.DD]

Установка системной даты и времени.

Вывод информации о коммутаторе.

Сброс текущей конфигурации к конфигурации по умолчанию.

Сохранение текущей конфигурации коммутатора на Flash память.

Вывод информации о свободных ресурсах CPU.

show cpu utilization

Вывод информации о текущей загрузке CPU.

show memory usage

Вывод информации о текущей утилизации ОЗУ коммутатора.

Global режим

Настройка информации, отображающейся при входе пользователя на коммутатор.

no web-auth privilege

Настройка уровня привилегий для WEB-интерфейса коммутатора.

2.2. Telnet

2.2.1. Обзор протокола Telnet

Telnet - это простой протокол для доступа к удаленному терминалу. Используя Telnet пользователь может удаленно зайти на оборудование зная его IP-адрес или доменное имя. Telnet может отправлять введенную пользователем информацию на удаленный хост и выводить ответы хоста на терминал пользователя аналогично тому что пользователь подключен напрямую к оборудованию.
Telnet работает Клиент-Серверной технологии, на локальной системе работает Telnet клиент, а на удаленном хосте Telnet server. Коммутатор может работать как в роли Telnet сервера, так и в роли Telnet клиента. При работе коммутатора в роли Telnet сервера, пользователи могут удаленно заходить на него используя Telnet клиент, как было описано ранее в разделе In-band управления.

2.2.2. Настройка Telnet

1. Настройте Telnet сервер на коммутаторе
2. Зайдите на коммутатор с удаленного терминала

Использование Telnet-клиента на коммутаторе

Команда

Описание

! В Admin режиме

Подключение к удаленному терминалу по протоколу Telnet

vrf - имя VRF (не поддерживается на коммутаторах SNR-S2965/2985)

ip-addr - ipv4-адрес удаленного терминала

ipv6-addr - ipv6-адрес удаленного терминала

hostname - доменное имя удаленного терминала

port - TCP порт для подключения (по умолчанию 23)

2.3. SSH

2.3.1. Настройка SSH сервера на коммутаторе

Команда

Описание

no ssh-server enable

! В режиме глобальной конфигурации

Включение SSH сервера на коммутаторе

Отключение SSH сервера на коммутаторе

no ssh-server timeout

! В режиме глобальной конфигурации

Настройка таймаута аутентификации при подключении по SSH

Настройка значения таймаута аутентификации по умолчанию

no ssh-server authentication-retries

! В режиме глобальной конфигурации

Настройка ограничения количества попыток аутентификации при подключении к SSH

Сброс ограничения количества попыток аутентификации к значению по умолчанию.

ssh-server host-key create rsa [modulus ]

! В режиме глобальной конфигурации

Генерация ключа RSA

- длина модуля ключа

2.4. Настройка IP-адреса коммутатора

Хотя коммутаторы серий SNR-S2965 и SNR-S2985G являются оборудованием уровня 2, на них есть возможность создать VLAN интерфейс (SVI) третьего уровня (L3) с IP-адресом, который также является IP-адресом для управления коммутатором.
Поддерживается три варианта назначения IP-адреса коммутатору:

Статический

BOOTP

DHCP

В режиме BOOTP/DHCP, коммутатор работает в роли BOOTP или DHCP клиента и получает IP-адрес динамически от BOOTP/DHCP сервера. Также коммутатор может сам выступать в роли DHCP сервера, динамически раздавая адреса подключенному оборудованию.

2.4.1. Настройка IP-адреса на коммутаторе

1. Создание VLAN интерфейса на коммутаторе
2. Статическая настройка IP-адреса
3. Динамическое получение IP-адреса по протоколу BOOTP
4. Динамическое получение IP-адреса по протоколу DHCP

1. Создание VLAN интерфейса на коммутаторе

Команда

Описание

interface vlan
no interface vlan

! В режиме глобальной конфигурации

Создание L3 интерфейса в Vlan
Удаление L3 интерфейса в Vlan

2. Статическая настройка IP-адреса

Команда

Описание

ip address [secondary]

no ip address [secondary]

! В режиме конфигурации Interface VLAN

Настройка статического IPv4-адреса с маской на Vlan интерфейсе.

secondary - ip-адрес будет добавлен на интерфейс как дополнительный (secondary)

Удаление статического ip-адреса с интерфейса

Сценарий 2: NMS используется для получения SNMP Trap с коммутатора c community usertrap

Сценарий 3:NMS использует SNMPv3 для получения данных с коммутатора с пользователем tester, паролем hellotst и доступом на чтение, запись и уведомления на всю ветку OID с .1.

2.5.6. SNMP Troubleshooting

При возникновении проблем с получением или отправкой данных с SNMP сервера на коммутатор проверьте следующие пункты:

Соединение между SNMP сервером и коммутатором утилитой ping

На коммутаторе включен SNMP агент (команда sh snmp status)

IP-адрес NMS правильно сконфигурирован в команде snmp-server securityip

SNMP Community для SNMPv1/v2 или аутентификация для SNMPv3 правильно сконфигурирована и совпадает с конфигурацией на NMS.

Используя команду sh snmp проверьте что коммутатор получает и отправляет пакеты. Также можно использовать команду debug snmp packet для вывода отладочной информации о работе SNMP агента.

Команда

Описание

Режимы User и Admin

Команда disable служит для выхода из режима Admin.

Admin режим

Переход в режим глобального конфигурирования (Global) из режима Admin.

Все режимы

Выход из текущего режима конфигурирования в нижестоящий режим. Например из Global режима в Admin.

Вывод текущего уровня привилегий пользователя.

Все режимы за исключением User и Admin

Выход из текущего режима конфигурирования и возврат в Admin режим.

Admin режим

clock set [YYYY.MM.DD]

Установка системной даты и времени.

Вывод информации о коммутаторе.

Сброс текущей конфигурации к конфигурации по умолчанию.

Сохранение текущей конфигурации коммутатора на Flash память.

Вывод информации о свободных ресурсах CPU.

show cpu utilization

Вывод информации о текущей загрузке CPU.

show memory usage

Вывод информации о текущей утилизации ОЗУ коммутатора.

Global режим

Настройка информации, отображающейся при входе пользователя на коммутатор.

no web-auth privilege

Настройка уровня привилегий для WEB-интерфейса коммутатора.

2.2. Telnet

2.2.1. Обзор протокола Telnet

2.2.2. Настройка Telnet

1. Настройте Telnet сервер на коммутаторе
2. Зайдите на коммутатор с удаленного терминала

Использование Telnet-клиента на коммутаторе

Команда

Описание

! В Admin режиме

Подключение к удаленному терминалу по протоколу Telnet

vrf - имя VRF (не поддерживается на коммутаторах SNR-S2965/2985)

ip-addr - ipv4-адрес удаленного терминала

ipv6-addr - ipv6-адрес удаленного терминала

hostname - доменное имя удаленного терминала

port - TCP порт для подключения (по умолчанию 23)

2.3. SSH

2.3.1. Настройка SSH сервера на коммутаторе

Команда

Описание

no ssh-server enable

! В режиме глобальной конфигурации

Включение SSH сервера на коммутаторе

Отключение SSH сервера на коммутаторе

no ssh-server timeout

! В режиме глобальной конфигурации

Настройка таймаута аутентификации при подключении по SSH

Настройка значения таймаута аутентификации по умолчанию

no ssh-server authentication-retries

! В режиме глобальной конфигурации

Настройка ограничения количества попыток аутентификации при подключении к SSH

Сброс ограничения количества попыток аутентификации к значению по умолчанию.

ssh-server host-key create rsa [modulus ]

! В режиме глобальной конфигурации

Генерация ключа RSA

- длина модуля ключа

2.4. Настройка IP-адреса коммутатора

Статический

BOOTP

DHCP

2.4.1. Настройка IP-адреса на коммутаторе

1. Создание VLAN интерфейса на коммутаторе

Команда

Описание

interface vlan
no interface vlan

! В режиме глобальной конфигурации

Создание L3 интерфейса в Vlan
Удаление L3 интерфейса в Vlan

2. Статическая настройка IP-адреса

Команда

Описание

ip address [secondary]

no ip address [secondary]

! В режиме конфигурации Interface VLAN

Настройка статического IPv4-адреса с маской на Vlan интерфейсе.

secondary - ip-адрес будет добавлен на интерфейс как дополнительный (secondary)

Удаление статического ip-адреса с интерфейса

Сценарий 2: NMS используется для получения SNMP Trap с коммутатора c community usertrap

2.5.6. SNMP Troubleshooting

Соединение между SNMP сервером и коммутатором утилитой ping

На коммутаторе включен SNMP агент (команда sh snmp status)

IP-адрес NMS правильно сконфигурирован в команде snmp-server securityip

SNMP Community для SNMPv1/v2 или аутентификация для SNMPv3 правильно сконфигурирована и совпадает с конфигурацией на NMS.

Читайте также: