- Доступ к маршрутизатору Cisco
- Материал из Xgu.ru
- Содержание
- [править] Telnet
- [править] ACL
- [править] Дополнительные параметры при подключении telnet
- [править] Разрыв соединения
- [править] Предотвращение залипания соединений
- [править] Настройка нестандартных портов для telnet и привязка к конкретной vty
- [править] SSH
- [править] Настройка нестандартных портов для SSH и привязка к конкретной vty
- [править] Работа с сессиями
- [править] Исходящие сессии Telnet и SSH
- [править] Приостановка и мониторинг исходящих сессий
- [править] Входящие сессии
- [править] Автоматическое выполнение команды
- [править] HTTP
- [править] Ограничение количества соединений
- [править] Изменение стандартного порта
- [править] Время жизни соединения
- [править] Ограничение доступа
- [править] Аутентификация
- [править] Локальная аутентификация (локальная база пользователей)
- [править] Разграничение доступа пользователям
- [править] Уровни привилегий по умолчанию
- [править] Уровни привилегий
- [править] CLI view
- [править] Всякое
- [править] Пароли
- [править] Гарантия выполнения низкоприоритетных задач
- [править] Приглашение командной строки
- [править] Баннеры
- [править] Создание меню
- [править] Создание соответствий IP-адрес — имя хоста
- [править] Сообщение о недоступности хоста
- [править] Спрятать IP-адрес хоста к которому выполняется подключение
- [править] Login enhancement
- Cisco ssh connection refused by remote host
- перестало пускать по SSH на циску-Connection refused
- Кто сейчас на конференции
Доступ к маршрутизатору Cisco
Материал из Xgu.ru
 |
| Данная страница находится в разработке. Эта страница ещё не закончена. Информация, представленная здесь, может оказаться неполной или неверной. |
Если вы считаете, что её стоило бы доработать как можно быстрее, пожалуйста, скажите об этом.
На этой странице описывается настройка доступа к коммутаторам и маршрутизаторам Cisco.
Содержание
[править] Telnet
Настройка доступа telnet без пароля:
При подключении сразу попасть в привилегированный режим:
[править] ACL
Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.
Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:
Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:
Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:
[править] Дополнительные параметры при подключении telnet
Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.
Указание интерфейса для текущей сессии telnet:
Указание интерфейса для всех сессий telnet:
[править] Разрыв соединения
Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):
Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:
[править] Предотвращение залипания соединений
Для очистки зависших Telnet сессий используется механизм TCP-keepalives
Зачем это нужно? Порой возникают залипшие соединения сессий telnet. И при последующих попытках соединений — оно не устанавливается, при этом выдается сообщение «Connection refused by remote host» Для предотвращения данной ситуации в конфигурацию роутера необходимо внести изменения:
[править] Настройка нестандартных портов для telnet и привязка к конкретной vty
Указание нестандартного порта для telnet:
После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.
Пример конфигурации маршрутизатора:
Подключение с соседнего маршрутизатора (к порту 3000+rotary):
Пользователь подключился к vty 3:
[править] SSH
Имя домена (необходимо для генерации ключей):
Создание пары ключей:
Включение SSH версии 2:
Создание пользователя в локальной базе:
[править] Настройка нестандартных портов для SSH и привязка к конкретной vty
Изменение порта SSH для определенной линии vty:
Настройка соответствия vty и rotary:
Пример конфигурации маршрутизатора:
Подключение с соседнего маршрутизатора (к порту 2009):
Пользователь подключился к vty 4:
Ограничение числа сессий ssh ip ssh maxstartups Пример: ограничим 2 сессиями
Ограничение времени timeoutá (по-умолчанию 300 секунд)ip ssh time-out
SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
Пример:
Указание интерфейса для всех сессий ssh
Включение журналирования событий SSH ip ssh logging events
Указание версии использования протокола ip ssh version версия Пример:
Указание, какой ключ должен использоваться при соединении:
[править] Работа с сессиями
[править] Исходящие сессии Telnet и SSH
Инициировать сессию telnet:
Исходящие сессии SSH:
[править] Приостановка и мониторинг исходящих сессий
Приостановить сессию: Ctrl+Shift+6 и потом x.
Показать исходящие сессии:
Вернуться в приостановленную сессию:
Завершить исходящую сессию:
Если с маршрутизатора были открыты сессии, а затем приостановлены, то нажатие ‘Enter’ приводит к тому, что открывается последняя сессия. Для того чтобы сделать перевод строки, без команды и без восстановления последней сессии, необходимо использовать комбинацию ctrl+l.
Или нажать номер несуществующей сессии. После этого ‘Enter’ отрабатывает как обычно:
[править] Входящие сессии
Показать подключения к локальному маршрутизатору (консоль, telnet, ssh):
Показать сессии ssh:
[править] Автоматическое выполнение команды
Команда autocommand используется для автоматического выполнения определенной команды после того как пользователь подключился к определенной line:
[править] HTTP
[править] Ограничение количества соединений
Настройка максимального количества соединений (по умолчанию 5, диапазон от 1 до 16):
[править] Изменение стандартного порта
Изменение стандартного порта HTTP:
[править] Время жизни соединения
[править] Ограничение доступа
С помощью ACL можно указать каким хостам разрешен доступ по HTTP на маршрутизатор:
[править] Аутентификация
Настройка аутентификации по локальной базе пользователей:
Пример создания пользователей:
[править] Локальная аутентификация (локальная база пользователей)
Управление правами доступа на основании атрибутов, присвоенных отдельному пользователю.
Когда VPN-пользователи проходят аутентификацию на локальном сервере IOS, то может понадобиться запретить им доступ к CLI.
Настройка AAA (если настроен VPN, то тут могут быть дополнительные настройки):
Создание списка атрибутов для запрещения доступа к CLI:
Назначение списка пользователю:
Если пользователь пытается зайти в CLI маршрутизатора, то выдается ошибка:
[править] Разграничение доступа пользователям
[править] Уровни привилегий по умолчанию
Команды уровня 0:
Некоторые команды уровня 1:
[править] Уровни привилегий
Создание пользователя и задание пароля:
Назначение пользователю уровня привилегий:
Задание соответствия между командами и уровнем привилегий:
Для просмотра уровня своих привилегий используется команда show privilege
Пример:
[править] CLI view
Включить root view:
Настроить пароль для view:
Добавить команды доступные в view:
[править] Всякое
[править] Пароли
Задание минимальной длины пароля:
Хранение паролей в виде хеша:
Если необходимо ввести пароль в котором есть знак ?, то перед знаком необходимо нажать Esc + Q (при подключении пароль надо вводить просто со знаком ?). Например, пароль Cisco??pass надо вводить так: CiscoEsc + Q?Esc + Q?pass
Задание количества разрешенных неудачных попыток логина в минуту. При превышении будет сгенерировано лог-сообщение:
Для задания пароля входа в privileg EXEC level (привилегированный режим) используется команда enable password|secret
Пример:
Следует заметить, что при использовании enable secret будет использоваться кодирования пароля с помощью алгоритма MD5, что повышает безопасность системы в целом
[править] Гарантия выполнения низкоприоритетных задач
При возникновении ситуации высокой загрузки процессора, низкоприоритетные задачи могут не дождаться своей очереди выполнения. По-умолчанию Cisco выделяет 5% процессорного времени для выполнения такого рода задач. Для изменения используется команда scheduler allocate .
Пример:
Что бы маршрутизатор более живо реагировал на команды в консоли при большой нагрузке. 4000 микросекунд — это время переключения между процессами. 200 микросекунд, это максимальное время, которое выделяет маршрутизатор на выполнение низкоприоритетных задач
[править] Приглашение командной строки
Отключить приглашение командной строки в глобальном конфигурационном режиме:
После выполнения команды, приглашение dyn1(config)# не отображается. При возвращении в режим enable приглашение появляется.
Настройка приглашения режима enable:
[править] Баннеры
Баннер — это своеобразная вывеска, которая предназначена для сообщения определенной информации, любому, кто пытается получить доступ к маршрутизатору. За рубежом, обычно, сообщается информация о том, кому принадлежит данное коммуникационное оборудование и что может последовать, если в дальнейшем последует несанкционированный доступ либо попытка доступа. Может быть и любая другая информация. К примеру фирма Cisco на новых не сконфигурированных маршрутизаторах сообщает об этом факте. Существует 3 вида баннеров motd, exec, incoming
Создание баннера message-of-the-day (MOTD):
Для создания баннера необходимо указать ключевое слово banner тип РазделительТекст баннера Разделитель. Разделитель НЕ может содержаться в тексте баннера
Существует возможность динамически добавлять в тело баннера имя хоста или домена, используя регулярные выражения $(hostname) и $(domain).
Пример:
[править] Создание меню
Текст приглашения по выбору пункта меню:
Настройка очистки экрана перед выводом меню:
Ключами для выбора определенного пункта меню могут быть буквы, цифры или строки. Если используются строки, то должен быть настроен режим line-mode:
Создание пунктов меню:
Настройка команд, которые будут выполняться при вызове пункта меню:
Для того чтобы пользователь мог выйти из меню, при создании меню необходимо настроить один пункт меню с командой menu-exit:
Для пунктов меню, в которых предполагается вывод результата выполнения команды, необходимо задать параметр pause:
Можно указать какой пункт будет выполняться по умолчанию в случае, если пользователь не выбрал пункт меню и нажал Enter:
Отображение строки с информацией о статусе подключения:
Настройка автоматического вызова меню при подключении пользователя:
[править] Пример меню и соответствующая конфигурация
[править] Создание соответствий IP-адрес — имя хоста
Просмотреть список существующих соответствий:
[править] Сообщение о недоступности хоста
Настройка сообщения о недоступности хоста при подключении к нему по Telnet:
[править] Спрятать IP-адрес хоста к которому выполняется подключение
Обычно, при подключении к хосту, который в момент подключения доступен, в консоли отображается IP-адрес хоста:
Спрятать IP-адрес хоста к которому выполняется подключение:
После этого, при выполнении подключения адрес не отображается:
[править] Login enhancement
[править] Настройка блокировки
Настройка периода блокировки хоста, с указанием количества попыток подключения к маршрутизатору в течение указанного периода времени:
Пример. Хост будет заблокирован на 60 секунд, если в течение 10 секунд будут 3 неудачные попытки логина:
После нескольких неудачных попыток подключения:
[править] Настройка исключений из правила блокировки
Пример. Исключение хоста 192.0.1.2:
[править] Настройка логирования попыток подключения и задержки между подключениями
Задержка между попытками подключения (по умолчанию 1 секунда):
Cisco ssh connection refused by remote host
| Сообщения без ответов | Активные темы | Текущее время: 03 ноя 2022, 17:56 |
| Часовой пояс: UTC + 3 часа перестало пускать по SSH на циску-Connection refused
| ||||||
| ||||||
| | ||||||
| ||||||
| | ||||||
| ||||||
| | Подозреваю crypto key generate rsa modulus 2048 labe SSH_KEY export general ip ssh version 2 | |||||
| ||||||
| | да, sh crypto key mypub rsa ничего не выводит (( gateway(config)#crypto key generate rsa ? | |||||
| ||||||
| | ||||||
| ||||||
| | ||||||
| ||||||
| | gateway(config)#crypto key generate rsa general-keys label MY_KEYS modulus 1024 gateway(config)#ip ssh rsa keypair-name MY_KEYS gateway#sh processes | i SSH gateway# show ip ssh Но при правильно указанном пароле не подключается (( — Permission denied, please try again. | |||||
| ||||||
| | Если ключ есть и пользователь тоже есть, то скорее всего не совпадает версия ssh | |||||
| ||||||
| | ||||||
| ||||||
| | Простой тест: попробуйте прямо с циски на саму себя залезть: Ro# ssh -l [user] [ip int Ro] ДОлжна спросить пароль. Если не спрашивает — ищем проблему в циске. Если спрашивает — в сетевых настройках и клиенте ssh | |||||
| ||||||
| | ||||||
| ||||||
| | ||||||
| ||||||
| | Ro# ssh -l admin 192.168.1.1 значит трабл в сетевых настройках или клиенте ssh. | |||||
| ||||||
| | $ ls -alh /dev/tty | |||||
| ||||||
| | ||||||
| ||||||
| | боюсь показаться тупым: line vty 0 4 | |||||
| ||||||
| | Ну дык сама то циска спрашивает. К тому же | |||||
| ||||||
| | получилось зайти после добавления в конфиг: | |||||
| ||||||
| | Очень странно. Ибо если он пускал сам на себя (кстати, пускал при введении правильного пароля?) значит и правило было. Короче, чтобы не гадать, надо всегда делать так: aaa new-model line vty 0 4 Так будет работать всегда. Явно описано использование локальной базы данный юзеров. login local на line vty пишется тогда, когда не включено aaa new-model, а ssh использовать надо. | |||||
| ||||||
| | ||||||
| ||||||
| | ||||||
| ||||||
| | Не, не странно. Это я прогледел при ответе вам строку no aaa new-model. А варианта всего 2 no aaa new-model aaa new-model Первый вариант старый, не очень удобные, не может использовать сервера аутентификации. Второй — новый.
Часовой пояс: UTC + 3 часа Кто сейчас на конференцииСейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4 Adblockdetector | |||||