Подключение cisco через usb
При первоначальной настройки маршрутизатор cisco необходимо подключить к COM порту компьютера, посредством специального консольного кабеля.
Кабель представляет собой с одной стороны разъём DB9 (female/мама) для подключения к COM порту компьютера, а с другой RJ-45 для подключения к консольному порту маршрутизатора (порт обведён в голубой цвет и имеет надпись Console, либо просто надпись Console на голубом фоне).
Консольный кабель Cisco
Консольные порты Cisco
Новые модели маршрутизаторов, например Cisco 2900 Series Integrated Services Routers (ISR), имеют как RJ-45 консольный порт, так и консольный порт mini-USB Type B.
Mini-USB порт позволяет подключаться к консоли через USB кабель, если вдруг в компьютере отсутствует COM порт. Если настройка роутера производится через USB кабель на компьютере с Microsoft Windows, на компьютер необходимо установить драйвер Cisco Microsoft Windows USB Device Driver.
Кабель Mini USB
Консольный порт USB имеет приоритет над RJ-45. При настройке одновременное использование консольных портов не допускается.
Для настройки устройства через консольный кабель на компьютере с Microsoft Windows можно использовать встроенную программу Hyper Terminal, для меня она не очень удобна, поэтому я использую Putty (возможно это просто дело привычки). В программе, будь то Putty, Hyper terminal или ещё какая-либо, необходимо настроить параметры порта (COM) следующим образом:
Скорость (бит/с): 9600
Стоповые биты: 1
Управление потоком: нет
Пример настройки в Putty:
Настройка COM порта в Putty
После чего, если маршрутизатор включен и соединен с компьютером консольным кабелем, в окне терминала (по нажатию на Enter) появится интерфейс командной строки. Так же здесь можно наблюдать и процесс загрузки устройства.
Можно приступать к настройке устройства.
Логин/пароль по умолчанию обычно либо cisco/cisco либо пустой пароль на вход в привилегированный режим.
Очищаем существующую конфигурацию командой «erase startup-config»:
Перезагружаем роутер командой «reload» и подтверждаем её:
*Mar 1 00:14:52.907: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command.
Так как мы стерли конфигурационный файл startup-config, то после перезагрузки предлагается пройти мастер начальной настройки системы, в котором предлагается вести имя маршрутизатора, пароли для различных режимов, IP адрес на интерфейсе управления и прочее. Я обычно на запрос запуска мастера отвечаю: no , а все необходимые параметры ввожу вручную.
Пишем no и жмём Enter.
Переходим в режим глобального конфигурирования системы командой «configure terminal» (сперва не забываем перейти в привилегированный )
Задаём пароль на вход в привилегированный режим командой «enable secret»
0 — означает ввод пароля в не зашифрованном виде, но храниться будет он в шифрованном.
pass123 — сам пароль
Устанавливаем имя маршрутизатора командой «hostname»
Задаём имя домена командой «ip domain-name»
Прописываем время, дату и часовой пояс. Задать время и дату можно просто в привилегированном режиме, не переходя в режим глобального конфигурирования системы, а вот часовой пояс только в режиме конфигурации.
Время и дата командой «clock set» (например 26 марта 2013 года, 19 часов 32 минуты 30 секунд):
Часовой пояс командой «clock timezone» (например смещение по UTC в +10 часов):
Включаем аутентификацию и заводим пользователя.
Команда «aaa new-model» — активирует возможность использования функций и команд для аутентификации, авторизации, аккаунтинга (AAA)
Команда «aaa authentication login default local» — включает аутентификацию при попытке сделать logon, и проверяет пользователя и пароль по локальной базе.
После ввода этих команд, нужно создать пользователя, иначе нельзя будет зайти на маршрутизатор ни по ssh/telnet, ни через консоль.
Создаём пользователя petya с паролем password123:
Настраиваем сетевой интерфейс. Что бы настроить сетевой интерфейс, нужно перейти из режима глобального конфигурирования в режим конфигурирования интерфейса.
Команда «interface fastEthernet 0/0» — переводит в режим конфигурирования интерфейса. В данном случае у нас интерфейс называется «fastEthernet «, в зависимости от модели роутера, могут быть другие названия например ethernet или gigabitEthernet. Информацию о состоянии интерфейсов можно посмотреть командой «show interfaces»
Команда «ip address 192.168.56.254 255.255.255.0» — задаёт IP адрес и сетевую маску на интерфейсе
Команда «no shutdown» — включает интерфейс
Команда «exit» — производит выход из режима конфигурации интерфейса в глобальный режим конфигурации.
Разрешаем удаленный доступ к устройству по telnet или ssh. Не все версии IOS поддерживают ssh (необходима поддержка шифрования). Поэтому в некоторых случаях приходится настраивать удаленный доступ и для telnet. Для настройки ssh необходимо сперва сгенерировать ключи.
Генерируем ключи командой «crypto key generate rsa»:
How many bits in the modulus [512]:
% Generating 512 bit RSA keys . [OK]
Разрешаем ssh и telnet на линиях виртуальных терминалов:
Команда «line vty 0 4» — переводит в режим конфигурирования линий VTY с 0 по 4
Команда «transport input telnet ssh» — разрешает вход через telnet и ssh на терминалы vty
Команда «exec-timeout 60» — отключает от линии пользователя после 60 минут бездействия
команда «exit» — выход из режима конфигурировании линий в глобальный режим.
В данном случае разрешён удаленный доступ с любых IP адресов, что бы ограничить, необходимо создавать ACL и вешать их на линии.
Сохраняем конфигурацию. Всё, что мы сейчас настроили будет работать до первой перезагрузки. Что бы конфиг сохранился его нужно сохранить командой «copy running-config startup-config»:
Как и обещал продолжаю серию статьей по конфигурированию сетевого оборудования Cisco.
Компания Cisco наконец-то добавила в свои новые модели поддержку консольного USB -порта. Напомню до этого использовался весьма странный кабель COM -> RJ-45, который легко изготавливается самостоятельно, но является уже морально устаревшим (мало современного материнских плат может похвастаться его наличием).
К примеру, на модели Cisco Catalyst 3750-X Series есть аж 2 консольных порта: новый USB и уже старый RJ-45. Чтобы воспользоваться USB -портом нужно где-нибудь найти драйвера. Но где?
Поговаривают, что можно зарегистрироваться на официальном сайте Cisco и в его дебрях отыскать нужный дистрибутив. На просторах интернета найти этот драйвер не реально. Если же на 32-битную операционную систему найти драйвер для Cisco USB Console еще как-то можно, то для 64-битной это невыполнимая задача.
Комментарии
Спасибо за драйвер! Сразу установился в отличие от других драйверов с других ресурсов, удобно, что в архиве драйвера Cisco USB Console для Windows 32 и 64 разрядной версий.
Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо.
Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации.
Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.
Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.
Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.
Ну и на сладенькое: сброс пароля
Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
OSI.
VLAN
Сегодня мы рассмотрим подключение устройств Cisco и различные режимы IOS. Те, кто только начинают знакомиться с Cisco, наверняка впервые видят это устройство. Это маршрутизатор Cisco 1921. По каким же признакам можно узнать, что это именно роутер?
Первое, что дает вам подсказку – это выключатель питания. Запомните, что свитчи Сisco не имеют выключателя. Кроме того, свитч обязательно будет иметь несколько портов, потому что он представляет собой коммутатор с 12, 24 или большим количеством портов.
Как правило, роутер имеет 2 гигабитных порта, и, возможно, быстрый Ethernet-порт. Слева вы видите свободное пространство, прикрытое заглушками. Оно предназначено для дополнительных модулей, и в принципе, сюда можно вставить модуль свитча, но обычно роутер просто имеет пару портов для подключения свитчей и кабеля интернет.
Конечно, как специалисту CCNA вам нужно будет знать, что представляет собой маршрутизатор, какие бывают серии роутеров и свитчей, но это уже другой разговор. Итак, все устройства производства Сisco имеют эти два порта: консольный порт, помеченный меткой светло-голубого цвета, и расположенный над ни порт AUX. Оба эти порта предназначены для внешней конфигурации устройства, то есть вы можете получить доступ к устройству, даже если операционная система не работает. Проще говоря, через эти порты можно осуществить загрузку роутера.
Попробуем сравнить роутер с вашим домашним компьютером. Большинство из нас могли бы помочь родственнику или другу с компьютерной проблемой, если кто из них позвонит вам и скажет, что их компьютер не работает. Вы можете удаленно подключиться к чужому компьютеру с помощью Тeam viewer или любой другой программы для удаленного доступа, найти решение проблемы и затем установить нужное программное обеспечение, после чего компьютер необходимо перезагрузить.
Вы можете его перезагрузить, но в момент перезагрузки компьютер вашего друга «мертв», вы не видите, что происходит на его экране во время загрузки до появления операционной системы, поэтому просите своего родственника или друга рассказывать вам по телефону, что изображается на мониторе в это время. Если проблема не решена, то вы не сможете понять, в чем заключается её причина, так как не видите процесса загрузки. Но как специалист IT индустрии, вы обязаны видеть, что происходит, для того, чтобы принять решение, что нужно делать дальше для устранения проблемы.
Поэтому вы должны иметь возможность удалённо наблюдать процесс загрузки, вы должны видеть BIOS, его настройки, должны иметь возможность проверить все эти вещи. Консольный порт роутера позволяет всё это проделать. Подсоединившись к нему, вы можете наблюдать все, что происходит с роутером в момент загрузки до того, как будет загружена операционная система Cisco IOS.
В чем заключается разница между портами Console и AUX? Для консольного порта используется специальный консольный кабель Cisco такого же светло-голубого цвета, каким помечен порт роутера. Его также называют rollover-кабель. На одном конце этого кабеля имеется разъём 8Р8С, похожий на стандартный разъем RJ45, а с другой стороны – разъем для подключения к компьютеру.
Порт AUX выполняет аналогичную функцию, но обычно используется для подключения модема. Пользователь также может подключиться к нему, чтобы удаленно настроить роутер.
Проблема консольного кабеля, изображенного на слайде, заключается в том, что он может быть подключен только к серийному порту компьютера, однако у большинства современных компьютеров нет такого порта. В данном случае можно использовать кабель-конвертер, который изображен слева. Он позволяет подключить устройство с серийным разъемом к USB-порту компьютера.
Если вы используете этот конвертер, вам потребуется установить USB-драйвер, при установке которого ваш компьютер автоматически получит COM-порт. Таким образом вы сможете подсоединиться к роутеру с помощью специального ПО.
Современные модели роутеров Cisco имеют USB-порт, и если вы видите, что он находится в зоне расположения синей полоски консольного порта, значит, это консольный порт USB. Это означает, что если вы будете использовать обычный USB-кабель с разъемом miniUSB с одного конца, то сможете подсоединить роутер к USB-порту компьютера другим концом кабеля. Cisco предоставляет специальный Cisco Windows USB драйвер, который создает COM-порт на компьютере. После этого вы можете использовать терминальную программу, которую видите на следующем слайде, и соединиться с устройством через компьютер.
Каждый роутер имеет порт Gigabit Ethernet, обозначенный светло-желтой меткой, который позволяет подсоединиться к другому сетевому устройству. Рядом с ним вы видите еще один USB-порт. Как я уже говорил, маршрутизаторы последних серий оборудованы такими портами для передачи и сохранения образа IOS на внешнем носителе. Разница между этими двумя портами, miniUSB и USB, состоит в том, что первый — это консольный порт, а второй предназначен для подключения внешнего устройства для хранения информации, например, флеш-памяти. В следующих сериях видеоуроков мы более подробно рассмотрим свитчи и роутеры, а из этого видеоурока вам нужно в первую очередь запомнить, где находится консольный порт и как выглядит консольный кабель.
Но вы можете использовать ту программу, которая вам больше понравиться. Любое терминальное ПО имеет базовые настройки конфигурации, в которых вы должны выбрать параметр Serial в качестве типа соединения с устройством, скорость обмена данными с устройствами, которая для всех устройств Cisco равна 9600, и номер серийного порта, через который осуществляется соединение, в данном случае это COM1.
Большинство компьютеров имеют хотя бы один серийный порт, но если его нет, нужно использовать кабель-конвертер Serial to USB. В этом случае нужно установить драйвер для серийного порта USB, который станет портом COM1. Для этого вам понадобиться зайти в Диспетчер устройств компьютера, существует несколько способов, как это сделать. После того, как вы откроете Диспетчер устройств, вам следует раскрыть список «Порты COM & LPT» и выбрать порт, к которому подсоединён роутер. Если это порт COM1, то вы указываете его в строке Serial line и щелкаете кнопку Open, которая открывает ваш терминальный сеанс связи с устройством.
После этого вы попадаете в процесс загрузки роутера. В правом окне я выделил синим цветом сжатый образ операционной системы IOS.
После его распаковки на экране появится вся информация о технических характеристиках роутера, лицензия на право использования ПО и прочее. Здесь также показывается версия прошивки роутера, в нашем случае это 15.1, а в конце загрузки появится диалог конфигурации системы. В любом устройстве Cisco, будь то свитч или роутер, имеется такая командная строка. Я рекомендую вам всегда выбирать ответ No на предложение «Продолжить с диалогом конфигурации»?
Дело в том, что при продолжении диалога вы войдете в настройки, большинство из которых на сегодня не поддерживается, поэтому лучшим выбором будет отказаться от предложения его использовать и вернуться к командной строке.
Первый режим, который поддерживают все эти устройства, это пользовательский режим EXEC. Это начальный, низший режим доступа к настройкам устройства. Каким образом вы можете узнать, что перед вам пользовательский режим EXEC? На это указывает знак закрытой скобки > после слова Router. Если вы видите этот знак, значит, вы находитесь в пользовательском режиме EXEC.
Особенностью Cisco IOS является то, что если вы напечатаете в командной строке знак вопроса, перед вами раскроется список команд, которые можно использовать в данном режиме.
Это базовые команды для начального уровня доступа, но вы можете также ввести такую команду, как быстрый просмотр IP-интерфейса Router>show ip int br и увидеть состояние подключения к данному роутеру для портов Gigabit Ethernet.
Если ввести команду «Показать привилегии», роутер сообщит, что уровень привилегий равен 1, то есть вы работаете в пользовательском режиме EXEC.
Следующим, более старшим режимом управления конфигурации, является привилегированный режим EXEC. Сейчас я покажу, как использовать этот режим. Но сначала расскажу ещё об одной хорошей черте Cisco IOS – она настолько «умна», что понимает ввод сокращенных команд.
Когда я набираю «show privi», программа понимает, что имеется в виду слово «privileges», то есть я прошу показать мне привилегии. Если я просто введу в качестве команды букву е, то программа сообщит, что на эту букву начинаются 2 команды – enable и exit, поэтому мне необходимо набрать ещё несколько букв, чтобы она поняла, какая именно команда имеется в виду.
Например, если я напечатаю en, система поймёт, что имеется ввиду команда enable, поэтому как при полном наборе команды, так и при частичном наборе из двух букв после нажатия Enter программа выполнит правильную команду. Это одна из причин, почему оборудование Cisco настолько популярно в сетевой индустрии.
Если я напечатаю команду «показать привилегии», система сообщит, что уровень привилегий равен 15, это наивысший уровень привилегий. На этом уровне вам доступно намного больше команд конфигурации оборудования, чем в пользовательском режиме EXEC. С помощью этих команд вы можете зайти в режим глобальной конфигурации, вы можете сохранять, читать и удалять конфигурации и выполнять множество вещей, недоступных в пользовательском режиме.
Следующий режим Cisco IOS носит название «режим глобальной конфигурации». В него можно попасть, если набрать в командной строке configure terminal.
В этом режиме вы можете вносить в систему любые изменения, какие захотите. Отсюда вы можете попасть на различные уровни. На следующем слайде показано, что именно вы можете делать, находясь в различных режимах. Например, в пользовательском режиме EXEC вы можете пинговать устройства, просматривать конфигурацию и включать некоторые параметры. В привилегированном режиме можно выполнять все команды пользовательского режима, команды отладки, перезагрузки, конфигурации и т.д. В режиме глобальной конфигурации можно управлять именем хоста, активировать скрытые параметры конфигурации и параметры IP конфигурации. Кроме того, здесь имеются три уровня конфигурации, каждый из которых имеет свой набор команд.
Если вы напечатаете вопросительный знак, то перед вами появится список команд, которые можно ввести в этом режиме для соответствующих параметров конфигурации: ip, ipv6, mac-адреса и так далее, причем все эти команды относятся только к конкретному, выбранному вами интерфейсу.
Итак, мы рассмотрели, каким образом можно войти в различные режимы конфигурации маршрутизатора. В этом видеоуроке рассмотрены не все команды, но когда на следующих уроках мы перейдём к подробному изучению свитчей и роутеров, мы рассмотрим команды более подробно.
Мы не будем касаться абсолютно всех команд, потому что специалисту CCNA не нужно знать все команды, но мы рассмотрим большинство команд, имеющих отношение к вашему экзамену CCNA. Думаю, я охватил всё, о чем планировал рассказать в этом видеоуроке, так что благодарю вас за просмотр. Если у вас имеются вопросы, пишите мне на почту или оставляйте свои комментарии прямо под этим видео.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps до весны бесплатно при оплате на срок от полугода, заказать можно тут.
Бывает ряд ситуаций когда надо удаленно настроить новое сетевое оборудование(cisco, Juniper и т.д. где консоль имеет распайку cisco console RJ-45) через консоль, не имея возможности подключиться к удаленному компьютеру. Есть только доступ telnet/ssh к маршрутизатору cisco(R1) на удаленной площадке где AUX RJ-45(варианты: 2811, 3845, 3660 и т.д.). И этого более чем достаточно.
К примеру, вы сетевой администратор, находитесь постоянно в головном офисе, пришло новое оборудование на замену старого, в branch офис, который находиться за 3-9 земель от вас. Безусловно в каждом офисе есть квалифицированные сотрудники ИТ-отдела, но у них нет сертификата CCIE. Но несмотря на это они знают что такое кримпер и умеют им пользоваться.
Необходимые действия:
- Настроить AUX cisco(R1)
- Соединить AUX cisco(R1) с консолью нового оборудования(Rn).
- Посмотреть на R1, какая линия AUX
- Терминал подключение.
Настройка R1
Нам надо настроить AUX, заходим на R1 в режим конфигурации, в настойку AUX и выставляем параметры скорости (по умолчанию 9600), число бит на сигнал (по умолчанию 8), четность (по умолчанию NONE, стопбит (по умолчанию 1), отключаем активизацию по символам, устанавливаем none на символ разорвать соединения и отключаем редактирование. Не забываем про любимый telnet.
Кроссирование
Как мы знаем из курса CCNA. Распайка AUX, почти такая же как consоle. По этому нужен кабель RJ-45 – RJ-45 перевернутый(Cisco Console Rollover Cable):
№ провода в паре | Console port | № провода в паре | Auxillary port |
1 | - | 8 | RTS Output |
2 | DTR Output | 7 | DTR Output |
3 | TXD Outputt | 6 | TXD Output |
4 | GND | 5 | GND |
5 | GND | 4 | GND |
6 | RXD Input | 3 | RXD Input |
7 | DSR Input | 2 | DSR Input |
8 | - | 1 | CTS Input |
Обжимаем кабель — одним концом в R1 AUX, вторым в Rn CONSOLE
Осмотр
Работает
У нас всё отлажено, всё настроено, осталось подключиться.
Прибавляем 2000 к значению номера линии 1, получаем 2001, это номер порта.
telnet r1 2001
Trying 10.2.2.2…
Connected to R1.
Escape character is '^]'.
Настройка доступа по Telnet
Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:
По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:
shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.
Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)
Настраиваем IP-адрес компьютера через Desktop.
И пробуем подключиться, выбрав Command Prompt в панели Desktop:
Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”
Среда
Начнём с того, в какой среде будем работать.
В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:
б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.
Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer'a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.
Подключаемся к консоли Cisco через USB -кабель
- Для начала загружаем драйвер отсюда (в архиве драйвера для всех операционных систем Windows и описание с настройкой под Linux\MacOS).
- Идем в диспетчер устройств и смотрим какой COM порт присвоен нашему Cisco USB Console. В моем случае было так:
- Заходим в putty (если ее нет, то можно загрузить отсюда) и настраиваем порт подключения. Для удобства вот картинка как должно быть:
- После нажатия кнопки Open мы успешно подключаемся к Cisco.
Несомненно радует тот факт, что Cisco решилась ставить USB -порты для первоначальной настройки своих устройств и мудрить с разъемом не стала, а использует всем уже привычный miniUSB.
Управление по консоли
Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель.
Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так:
Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco:
Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:
Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet
После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.
Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название
Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:
Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров
Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.
Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:
Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение
Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:
Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал.
Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:
Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:
— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).
— Используйте горячие клавиши в консоли:
Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)
— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например.
Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):
begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.
В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:
Privilege Level
Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level.
Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.
privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах
privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1.
privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix'ах
Пример1
Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config
Пример2
Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username
В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.
После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.
Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.
Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль.
Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером.
Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:
Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.
Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.
Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее:
Пароли
Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:
0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий.
Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:
Настроим пароль для enable-режима:
Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:
Один мой знакомый рассказал мне историю:
Стоял он как-то курил возле одного из своих узлов, находящемся в жилом доме. С сумкой для инструментов, ноутбук в руках. Вдруг подходит двое алкашей с пакетом и предлагают купить, раскрывая пакет и показывая какой-то свич. Просят 500 рублей. Ну он купил. По меткам и модели свича парень сделал вывод какому провайдеру он принадлежит. Пришёл домой, начал ковырять — телнет закрыт, консоль запаролена. Слил конфиг по snmp. Пароли в открытом виде хранятся, имя с головой выдаёт провайдера. С их админом он знаком лично, позвонил ему вместо “Здрасьти” выдал логин и пароль в трубку. Слышно было, как скрипел мозг первые секунд 20: везде аксес-листы, авторизация, привязка к мак-адресу. Как?! В общем, всё хорошо, что хорошо кончается.
Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.
Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.
Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.
Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.
При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
При работе с access-list'ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.
Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды
Способы подключения
- Telnet/ssh
- Терминальное подключение с рабочей станции через консольный кабель
- Web-интерфейс (Cisco SDM).
Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.
Читайте также: