Содержание:
1. Описание
маршрутизаторов Cisco2511 и Cisco1600
2. Начало работы с маршрутизатором Cisco
2.1 Подключение к маршрутизатору и начало работы
2.2 Восстановление забытого enable secret password
3. Работа с флэш-памятью и NVRAM
4. Настройка синхронных интерфейсов Serial для X25
5. AAA (authentication, authorization, accounting), tacacs+, RADIUS
6. Настройка асинхронного интерфейса и линий
7. Управление и мониторинг
1. Описание маршрутизаторов Cisco2511 и Cisco1600
Маршрутизатор Cisco 1601
Маршрутизаторы
серии Cisco 1601 служат для подключения небольших офисов, в которых развернута
локальная сеть Ethernet, к Internet и к внутренней сети компании, или к корпоративной
локальной сети через несколько подключений глобальных сетей, таких как ISDN,
асинхронные последовательные и синхронные последовательные.
Cisco 1601 имеет
один Ethernet-порт, один встроенный WAN-порт и один слот для необязательного
второго WAN-порта.
Слот для
интерфейсного модуля позволяет потребителю изменить тип или добавить ещё один
порт на машрутизаторе, в случае изменения потребностей или цен на услуги компаний-провайдеров
линий связи. Поэтому серия маршрутизаторов Cisco 1600 предлагает более широкую
гибкость по сравнению с другими продуктами этого же класса. Последовательный
порт на модели 1601 и интерфейсной карте может работать в следующих режимах:
Cisco 1601: вид сзади
Маршрутизаторы Cisco 2500
Маршрутизаторы
серии Cisco 2509 предназначенны как для использования в небольшом офисе, так
и в сетях с удаленными узлами.
Модель
оснащена двумя из следующих интерфейсов:
Маршрутизаторы
серии Cisco 2500 оснащены Flash-памятью технологии EPROM, которая применяется
для хранения программных образов и обеспечивает их легкую модернизацию.
Эти системы могут работать с разнообразными программными комплектами (feature
set) операционной системы Cisco IOS, поэтому заказчик может выбрать комплект
программ, соответствующий конкретным протоколам, применяемым в его сети. Программные
комплекты имеют очень широкий спектр - от простых IP и мостовых соединений до
полного набора функциональных возможностей ПО фирмы Cisco, включая APPN и RMON.
Все модели, за исключением комбинированных с концентратором, имеют AUI разъём
Ethernet-портов. Синхронные порты имеют универсальный DB-60 разъем, а тип порта
определяется подключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты
на серверах доступа собраны по 8 портов в 68 контактные разъёмы. На корпусе
также имеется терминальный порт с разъёмом RJ-45, а также порт AUX, который
можно использовать либо для удалённого управления маршрутизатором, либо как
асинхронный порт для резервной линии связи.
Cisco 2511: вид сзади
2. Начало работы с маршрутизатором Cisco
Вынимаем железку,
подключаем терминал (или PC с TELEMATE) к консольному порту (или вспомогательный
порт ранее сконфигурированной Cisco, и заходим обратным телнетом), все нужные
нам кабели (синхронный, Ethernet, модемы), включаем питание и начинаем конфигурирование.
При первом включении IOS пытается скачать конфигурацию из глобальной сети -
можно подождать несколько минут, чтобы дать ей понять, что на том конце ничего
нет, или временно отсоединить синхронный кабель. Потерпев неудачу, IOS предлагает
выполнить команду setup - соглашайтесь. В этом случае IOS задает вам несколько
вопросов и самостоятельно конфигурируется. После этого можно зайти и исправить
конфигурацию, как вы пожелаете. Команду setup можно запустить в любой момент
с командной строки в привилегированном режиме:
Router#setup
Конфигурирование осуществляется следующими способами:
1. Командный
интерфейс:
telnet Router - имя Cisco
имя-Cisco>
с
терминала: conf term
NVRAM: conf memory
из сети: conf network
2. Через WWW (начиная с версии 11.0(6), 11.1(5), не все возможности, в версии 12.0 - все возможности): ip http server
3. ClickStart (конфигурирование Cisco 1003, 1004 и 1005).
Общие сведения о командном языке:
1. help - в любой
момент можно ввести "?" - киска в ответ выдаст список команд или операндов.
2. Любое ключевое слово или имя можно сокращать до минимально возможного.
3. Если терминал нормально настроен, то можно редактировать командную строку
как в emacs или bash ( как в UNIX ).
4. Почти каждую команду можно предварять словом no, если Вы собираетесь
отказаться от команды.
Уровни привилегий:
предусмотрено 16 уровней привилегий - от 0 до 15. Если не производить дополнительной
настройки, то уровень 0 - это уровень пользователя: доступны только "безопасные"
команды. Уровень 15 - это уровень супервизора: доступны все команды. Переходим
с уровня на уровень по команде:
enable [номер уровня]
Любую команду
можно перевести на уровень, отличный от стандартного; любому пользователю можно
назначить определенный уровень, устанавливаемый при входе на киску этого пользователя;
таким образом права пользователей можно тонко настраивать (только help-ом при
этом тяжело пользоваться).
Режимы командного языка:
1. Режим пользователя
2. Привилегированный режим:
1. верхний уровень
2. режим глобальной конфигурации:1. собственно верхний уровень конфигурирования
2. конфигурирование интерфейса1. конфигурирование интерфейса3. конфигурирование контроллера (T1)
2. конфигурирование подинтерфейсa (serial в режиме Frame Relay)
4. конфигурирование хаба (cisco 2500 - ethernet)
5. конфигурирование списка карт (ATM и FrameRelay)
6. конфигурирование класса карт (Quality of Service over Switched Virtual Circuit - ATM, FrameRelay или dialer)
7. конфигурирование линий
8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp, mobile, OSPF, RIP, static)
9. конфигурирование IPX-маршрутизатора
10. конфигурирование карт маршрутизатора
11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)
12. конфигурирование генератора отчетов о времени ответа
13. конфигурирование БД LANE (ATM)
14. режим команд APPN с его подрежимами (advance peer-to-peer Networking - второе поколение SNA)
15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с CIP)
16. режим команд сервера TN3270
17. конфигурирование списков доступа (для именованых IP ACL) 18.режим шестнадцатеричного ввода (задание публичного ключа для шифровки)
19. конфигурирование карт шифровки
3. ROM монитор (нажать break в первые 60 секунд загрузки, тоже есть help).
Редактирование командной строки
2.1 Подключение к маршрутизатору и начало работы
1. Подключаем
консольным кабелем от соответствующего маршрутизатора к порту COM компьютера.
2. Запускаем и настраиваем Term95 или Telix под соотвествующий порт и скорость
(обычно 9600 kb/s). Установите терминал в режим 8N1. Включите маршрутизатор.
3. Включаем свой маршрутизатор
4. Если в нем уже была какая-то настройка, то стираем ее:
Router>enable
Router#erase startup configuration
Router#reload
5. Отказываемся от автоматической настройки:
Would you like to enter the initial dialog? [yes]:no
6. Через некоторое время появится сообщение:
Router>
Войти в режим администратора:
Router>enable
Подсказка > должна смениться на #
7. Начать конфигурирование с терминала:
Router#configure terminal
8. Задать имя хоста:
Router(config)#hostname Router (любое имя какое вам нравится)
9. Задать защищенный пароль администратора:
Router (config)#enable secret cisco (любое пароль какой вам
нравится)
10. Введите команды:
Router(config)#ip subnet-zero
Router(config)#ip classless
11. Отключаем DNS, если его нет:
Router(config)#no ip domain-lookup
12. Выйдите из режима конфигурации:
Router(config)#exit
Router#
13.Сохраните конфигурацию:
Router(config)#exit
Router#write
14. Выйдите из режима расширенных команд:
Router#exit
Router>
15. Настройка терминальных линий (vty) для доступа к Cisco через локальную сеть:
Router#configure terminal (или conf t)
Router(config)#line vty 0 4
Router(config-line)#login
Router(config-line)#password Сisco
Router(config-line)#session-timeout 10 output
Router(config-line)#exit или Сtrl^Z
Router#write terminal (wr - сокращенно)
16. Настройка порта Ethernet на Cisco и установка IP адреса:
Router#configure terminal
Router(config)#interface Ethernet0 или сокрашенно int E0
Router(config-if)#ip address 172.16.150.1 255.255.255.0
Router(config-if)#no shutdown - на всякий случай, хотя интерфейс
должен подняться сразу после подключения кабеля.
2.2 Восстановление забытого enable secret password
В случае утери
пароля следует выключить маршрутизатор и снова включить.
1. послать Break в первые 60 секунд после включения питания. Сигнал Break посылается
в зависимости от используемого терминала или Ctrl Break или Ctrl
^ C (можно найти в настройках терминала)
2. изменить регистры загрузки. Вы попадаете в другой режим, так называемый ROM
Monitor режим с приглашением > После этого следует ввести команду
(в зависимости от Cisco):
>confreg 0x141 (для 1000/1600/3600/4500)
3. Enter
>o/r 0x141 (для 2500/4000) >reset (для 1000/1600/3600/4500)
4. initial conf dialog? n
>i (для 2500/4000)
5. Router(boot)>enable
6. Router(boot)#copy start run (если была включена authorisation,
то конфигурировать придется с нуля)
7. Router#config term
8. Router(config)#enable secret новый_пароль
9. Не забыть поменять регистр конфигурации на нормальный режим
Router (config)#config-reg 0x2102
10. Router(config)#end
11. Router(boot)#copy run start
12. Router(boot)#reload
3. Работа с флэш-памятью (в ней лежит и из нее выполняется IOS) и NVRAM (конфигурация)
На Cisco работает
ТРИ программы: ROM монитор (это загрузчик и отладчик -тупой до безобразия -
попадаем в него если соответствующим образом установлен регистр конфигурации
или нажал BREAK во время загрузки и это не запрещено); boot ROM - система в
ROM (урезанная и очень старая система IOS - 9.1 - если не удалось найти более
подходящую во флэш или по сети или ручная загрузка из ROM монитора) и система
во флэш - версия, которуя сам поставил. Конфигурация хранится в NVRAM. Еще есть
оперативная память, используемая для хранения данных (IOS выполняется прямо
из ROM). Внимание: пароль администратора в IOS 9.1 задается командой "enable
password", а не "enable secret"!
В руководстве делается предупреждение, что на Sun'е сервер TFTP должен быть
настроен так, чтобы генерировать и проверять контрольные суммы UDP (я ничего
не делал). Везде вместо TFTP можно использовать rcp (rsh), но мне лениво следить
за безопасностью в этом случае. Посмотреть, что там лежит: show flash all
System flash
directory:
File Length Name/status
addr fcksum ccksum
1 3243752 igs-i-l.110-1
0x40 0xB5C4 0xB5C4
[3243816 bytes used, 950488 available, 4194304 total]
4096K bytes of processor board System flash (Read ONLY)
Chip Bank
Code Size Name
1 1 89A2 1024KB INTEL 28F008SA
2 1 89A2 1024KB INTEL 28F008SA
3 1 89A2 1024KB INTEL 28F008SA
4 1 89A2 1024KB INTEL 28F008SA
Executing current image from System flash
Иметь два файла
во флэш можно только, если имеется два банка памяти (у меня нет) и выполнить
специальную процедуру (IOS надо настроить адреса - выполняется-то она из флэша!).
Буква l в имени файла как раз и означает, что адреса можно настроить. Посмотреть,
сколько раз туда чего записывали: show flash err
Копировать из флэш на tftp: copy flash tftp, после чего спросят имя сервера,
исходное имя файла и результатирующее имя файла (файл должен существовать с
правами 666).
В основном используется сервер TFTP под Windows95/NT. Инсталлируется он очень
просто. После этого в настройках нужно указать директорию для копирования файлов
и имиджей. Сервер TFTP под Windows95/NT во время копирования должен быть запужен
(обязательно), можно в свернутом состоянии.
Копировать конфигурацию на tftp: copy startup-config/running-config tftp
Router#copy tftp
Router#copy tftp flash
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
---- ******** ----
[There are active users logged into the system]
Proceed? [confirm]y
System flash
directory:
File Length Name/status
1 5010180 c2500-ras-113.6
[5010244 bytes used, 3378364 available, 8388608 total]
Address or name of remote host 172.16.150.2
Source file name? c2500-ras-113.6 name of file in flash
Destination file name [c2500-ras-113.6]y
Accessing file 'c2500-ras-113.6' on 172.16.150.2...
Проверяет наличие файла на TFTP сервера.
Загрузить конфигурацию с tftp: copy tftp startup-config/running-config
(по-моему, если грузить текущую конфигурацию, то происходит не копирование,
а слияние).
Копировать из tftp во флэш (если достаточно памяти!!!): copy tftp flash
Понятное дело, что если IOS выполняется из флэш, то грузить новое (заходить
только с консоли - иначе ничего не увидишь, и об ошибках не узнаешь ;). После
этого надо сохранить конфигурацию (copy run start). А все-таки интересно, как
выбираться из ситуации, если что-то получилось не так. Кстати, рекомендуется
сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s. все-таки
можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS),
если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.
Посмотреть состояние: show version
Проверить контрольную сумму: verify flash
Повторно выполнить конфигурационный файл: configure memory
Очистить конфигурацию: erase startup
Посмотреть текущую/загрузочную конфигурацию: show run/start
В NVRAM записываются только параметры, отличные от параметров по умолчанию.
Параметры по умолчанию различны для различных версий, так что при смене версии
бывает очень интересно ;)
На TFTP cервер можно скидывать и загружать с него файлы конфигурации, образ
операционной системы (IOS), что является очень удобным прикаких либо неполадках.
4. Настройка синхронных интерфейсов Serial для X25
Действия по шагам:
1. Начать конфигурирование с терминала:
Router#configure terminal
2. Задать, что данный маршрутизатор будет выполнять маршрутизацию X25:
Router(config)#x25 routing
3. Конфигурируем последовательный интерфейс 0:
Router(config)#interface serial 0
4. Задаем протокол X25 на данном интерфейсе
Router(config-if)#encapsulation x25 dte (dce)
Параметр dte или dce определяет, кто будет выполнять синхронизацию, т.е задавать
скорость между двумя устройствами. По умолчанию dte.
5. Устанавливаем X25 параметры на интерфейсе. Должны совпадать с параметрами
DCE устройства, то есть устройства, к которому подключена Cisco (обычно коммутатор
X25):
Router(config-if)#x25 address 232420023 адрес X25 на интерфейсе
Router(config-if)#x25 ips 128 размер входного пакета
Router(config-if)#x25 ops 128 размер выходного пакета
Router(config-if)#x25 win 2 размер вх. пакета
Router(config-if)#x25 wout 2 размер вых. пакета
Router(config-if)#x25 htc 28 кол-во виртуальных каналов
6. Активация интерфейса:
Router(config-if)#no shutdown
Router(config-if)#exit
7. Аналогично для интерфейса serial 1, если нужно (для Cisco2509).
8. Прописывание X25 маршрутизации, то есть куда какие пакеты направлять. Если
есть только один интерфейс для X25, то можно использовать default
Router(config)#x25 route .* interface Serial0
* - указывает на все пакеты можно задать конкретный шаблон, например
Router(config)#x25 route 2324200 .* interface Serial0
9. Настройка поверх X25 TCP/IP. Включаем IP на данном интерфейсе:
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#x25 map ip 10.1.1.2 232420024 сompress
Причем здесь IP address и X25 address другого маршрутизатора, с которым вы собираетесь
связаться ( на нем соответственно должны стоять ваши параметры) compress - включаем
компрессию.
10. Проверка X25:
Roter#show x25 route
Roter#show x25 map
11. Сохранение конфигурации:
Roter#copy
running-config startup-config
12. Прописываем статическую маршрутизацию (роутинг):
Router(config)#ip route 172.16.160.0 255.255.255.0 10.1.1.2 permanent
где 172.16.160.0 255.255.255.0 - это локальная сеть, к которой подключен др.маршрутизатор,
10.1.1.2 - виртуальный адрес, нужен только для связывания двух cisco по X25
Router(config)#exit
Router#show config
Router#copy run start
5. AAA (authentication, authorization, accounting), tacacs+, RADIUS
Сервер доступа
(tacacs+, RADIUS) - это программа, которая крутится на UNIX-компьютере и отвечает
на запросы киски типа: есть ли такой пользователь, какие у него права и ведет
журнал посещений. Собственно AAA есть authentication (установление личности
пользователя), authentication (проверка полномочий) и accounting (учет использования
ресурсов). Для каждой из трех функций используется поименованный список методов,
примененный к интерфейсу. При необходимости использования любой функции AAA
IOS "пробегает" по этому списку пытаясь соединиться с соответствующим сервером.
Если соединиться не удается (локальная БД отвечает всегда), то IOS переходит
к следующему методу из списка. Если методов в списке не осталось, то регистрируется
отказ. По умолчанию, к каждому интерфейсу применяется список методов по имени
default. Если не требуется что-то необычное, то рекомендуется определить ровно
один свой список методов с именем default и пусть он применяется ко всем.
aaa new-model # будем использовать tacacs+, а не старые варианты
aaa processes число # количество параллельных процессов, обслуживающих
AAA (количество одновременно заходящих пользователей). У меня загрузка второго
процесса составляет 10% от загрузки 1-го, так что, думаю, что двух достаточно
show ppp queues # показывает, сколько AAA процессов запущено и их статистику
(странное название и странные числа он показывает)
tacacs-server host IP-адрес-tacacs+-сервера [single-connection] [port
порт(49)] [timeout секунд] [key ключ-шифровки] # tac_plus 4.0.2 не поддерживает
single-connection; можно указывать несколько серверов, они будут пробоваться
по очереди
tacacs-server key key <пароль> # ключ, с помощью которого шифруются сообщения
между киской и tacacs+ сервером
tacacs-server retransmit retries # число попыток достучаться до сервера
(по умолчанию - 2)
tacacs-server timeout seconds # сколько ждать, чтобы убедиться, что сервер
не работает (по умолчанию - 5 секунд)
ip tacacs source-interface subinterface-name # задать исходный IP-адрес
TACACS пакетов
tacacs-server directed-request # включен по умолчанию; управляет использованием
имен пользователей в виде: имя@сервер; если включен, то на указанный сервер
(проверяется, что он указан в конфигурации, иначе вся строка посылается на сервер
по умолчанию) посылается короткое имя пользователя, если выключен - вся строка
на сервер по умолчанию. В документации не описано действие ключа restricted.
authentication
Для установления
личности определяется список методов идентификации и применяется к определенному
интерфейсу.
Проверка при входе на линию:
aaa authentication login {имя-списка | default } метод1 [ метод2 ] ...
Методы при проверке на входе бывают следующие:
tacacs+ - использовать сервер TACACS+
none - удостоверять личность без проверки
enable - использовать пароль администратора (enable password) для проверки
личности
krb5 - использовать сервер Kerberos 5
krb5-telnet - использовать сервер Kerberos 5 соединяясь с ним через telnet
line - использовать пароль, привязанный к линии
local - использовать локальную БД имен
radius - использовать сервер RADIUS
Для использования сервера kerberos необходимо иметь версию IOS с поддержкой
шифровки.
Применить список методов к линии(ям):
line тип-линии номер-линии [конечный-номер-линии-из-интервала]
login authentification { default | имя-списка-методов }
Пример:
aaa authentication login default tacacs+ enable # по-умолчанию проверяем
каждый вход на линию с помощью tacacs+ сервера, а если он не отзывается, то
спрашиваем пароль суперпользователя. Т.к. используется имя default, то он будет
действовать на всех линиях.
Если пользователи подсоединяются с RAS по PPP, минуя интерфейс командной строки,
то для проверки их личности необходимо определить список методов установления
личности при соединении PPP, по умолчанию никакой проверки не производится (список
default не используется):
aaa authentication ppp {имя-списка | default } метод1 [ метод2 ] ...
Применить список методов к интерфейсам (if-needed только для TACACS и XTACACS,
callin вызывает аутентификацию только для входных соединений, one-time позволяет
вводить имя и пароль в одной строке):
interface тип-интерфейса номер-интерфейса
ppp authentication {chap | pap | chap pap | pap chap} [if-needed] {default |
list-name} [callin] [one-time]
Методы при проверке личности во время установления PPP-соединения бывают следующие:
tacacs+ - использовать сервер TACACS+
radius - использовать сервер RADIUS
none - удостоверять личность без проверки
local - использовать локальную БД имен
krb5 - использовать сервер Kerberos 5
if-needed - не делать проверку, если она уже была произведена при входе
на линию
Пример:
aaa authentication ppp default if-needed none # при включении PPP, производим
фиктивную проверку пользователя, если не проверяли его раньше (может это уже
можно выключить?), т.к. используется имя default, то сами интерфейсы конфигурировать
не надо.
Проверка личности при переходе в привилегированный режим:
aaa authentication enable default метод1 [ метод2 ] ...
Методы при проверке личности при входе в привилегированный режим:
enable - использовать пароль администратора (enable password) для проверки
личности
line - использовать пароль, привязанный к линии
none - удостоверять личность без проверки
tacacs+ - использовать сервер TACACS+
radius - использовать сервер RADIUS
Бывает еще двойная проверка (access-profile, ip trigger-authentication, show
ip trigger-authentication, clear ip trigger-authentication) и автоматическая
двойная проверка, но это какакя-то муть.
Аутентификация без AAA (как только AAA сконфигурирован, то он имеет больший
приоритет) установление пароля на линию (в режиме конфигурации линии), до 80
букв и цифр (должен начинаться с буквы):
password пароль
login
проверка имени пользователя (в глобальном режиме конфигурации, password и autocommand
д.б. последними в строке, можно использовать несколько строк на одно имя - информация
будет накапливаться), используется также для CHAP (чтобы отвечать на CHAP-запросы
имя должно соответствовать имени хоста, на удаленном хосте это имя тоже д.б.
определено с тем же секретом):
username имя [nopassword | password тип-шифровки пароль | password пароль][callback-dialstring
номер-телефона] [callback-rotary номер-группы-rotary] [callback-line[tty] line-number
[ending-line-number]] [access-class номер-ACL] [privilege уровень ][autocommand
команда ] [noescape ] [nohangup ]
Что касается длин имени и пароля: безопасным является использование имен и паролей
длиной до 8 символов включительно. Более длинные имена и пароли (якобы до 25
символов, буквы и цифры и пробелы, первый символ - буква) обрабатываются по-разному
в разных версиях IOS. CHAP секрет - до 11 символов. tac_plus пароль, шифрованный
с помощью crypt - до 8 символов.
Установка пароля на привилегированные команды:
enable [secret] [level уровень-привилегий ] {password | encryption-type
encrypted-password}
рекомендуется использовать опцию secret (пароль будет храниться в шифрованном
виде). Первый уровень привилегий дается каждому пользователю при входе по умолчанию,
15 уровень - режим суперпользователя, команды изменения уровня (enable, disable,
exit, help) находится на нулевом уровне. encryption-type:
7 (для enable без secret, собственный алгоритм шифрования, есть программа
декодирования)
5 (для enable secret, необратимое шифрование)
0 (незашифрованный текст) шифровать пароли (а также прочие ключи)
service password-encryption переместить определенную команду на другой
уровень (очень удобно для clear line ;)
privilege mode level level command (где mode - командный режим: exec,
configure, interface, line и др.) дать всем пользователям, входящим с определенной
линии указанный уровень привилегий (в режиме конфигурации линии)
privilege level level
посмотреть текущий уровень привилегий
show privilege
перейти на другой уровень (в режиме EXEC)
enable уровень
Тонкая настройка:
aaa authentication
local-override # позволяет использовать локальную базу пользователей перед
обращением к другим методам, но такие пользователи получаются абсолютно бесправными
(даже EXEC не могут запустить, т.к. не проходят авторизацию)
timeout login response seconds # сколько секунд IOS будет ждать ввода
имени или парол (30 секунд, есть еще количество попыток)
aaa authentication password-prompt text-string (если он не заменен внешним
сервером) aaa authentication username-prompt text-string (если он не
заменен внешним сервером)
aaa authentication banner delimiter string delimiter
aaa authentication fail-message delimiter string delimiter
chap или pap аутентификация в PPP (д.б. установлена encapsulation ppp на интерфейсе)(в
режиме конфигурации интерфейса):
ppp authentication {chap | chap pap | pap chap | pap | ms-chap } [if-needed]
[list-name | default] [callin] [one-time] list-name и one-time можно использовать
только, если сконфигурирован AAA if-needed можно использовать только
для TACACS или XTACACS (не AAA) аутентификация при выходных звонках или когда
дозвонившийся тоже хочет убедиться, что попал куда хотел (PAP)
ppp pap sent-username username password password
отказаться отвечать на запросы CHAP (но выдавать такие запросы самому):
ppp chap refuse [callin]
отвечать на запросы CHAP только после того, как собеседник представится (действует
по умолчанию):
ppp chap wait secret
выдавать себя за указанный хост (по умолчанию посылается собственное имя NAS)
для соседей, имя которых не найдено в списке пользователей:
ppp chap hostname hostname
определить секретное слово (до 11 символов) для CHAP для соседей, имя которых
не найдено в списке пользователей:
ppp chap password secret
количество попыток (по умолчанию 3):
tacacs-server attempts count
authorization
Проверка прав доступа (полномочий) производится в случаях:
Для определения
полномочий определяется список методов определения полномочий и применяется
к определенному интерфейсу. Так же как и в случае с аутентификацией, список
по имени default применяется к интерфейсу по умолчанию. Прежде , чем конфигурировать
авторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию,
TACACS+, локальную БД пользователей и/или RADIUS сервера.
Методы проверки полномочий:
tacacs+ - использовать сервер TACACS+ для получения AV пар с полномочиями
if-authenticated - все аутентифицированные пользователи получают полномочия
none - полномочия не проверяются
local - используется локальная BD, определяемая командами username (только
небольшая часть возможностей доступна)
Конфигурация именованного списка методов авторизации:
aaa authorization [network | exec | command level | reverse-access ] [имя
| default ]{ tacacs+ | if-authenticated | none | local | radius | krb5-instance}
Для аутентифицированных пользователей, зашедших с консольной линии, авторизация
не производится. Привязка поименованного списка методов к линии или интерфейсу
(в соответствующем режиме конфигурации):
authorization {arap | commands level | exec | reverse-access} {default |
list-name} или (одновременно определяется список методов авторизации для SLIP)
ppp authorization {default | list-name}
Запретить авторизацию команд конфигурации:
no aaa authorization config-command
Примеры:
aaa authorization exec default tacacs+ if-authenticated # проверяем права
на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если
его нет, то даем разрешение, если личность пользователя удостоверена - только
благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае
telnet или ppp)
aaa authorization commands 1 default tacacs+ if-authenticated # проверяем
права на исполнение команд уровня 1 (непривилегированных) с помощью сервера
tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
aaa authorization commands 15 default tacacs+ if-authenticated # проверяем
права на исполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+,
а если его нет, то даем разрешение, если личность пользователя удостоверена
aaa authorization network default tacacs+ if-authenticated # проверка
прав, если кто-то лезет к нам по сети, с помощью сервера tacacs+, а если его
нет, то даем разрешение, если личность пользователя удостоверена
accounting
Так же как и
для аутентификации и авторизации определяется список методов учета и применяется
к определенному интерфейсу или линии. По умолчанию применяется список по имени
default. Если примененный список не определен, то учет не производится.
Методы учета:
tacacs+ - AV пары учета посылаются на tacacs+ сервер
radius - AV пары учета посылаются на RADIUS сервер
Типы учитываемых событий:
network - PPP, SLIP и ARAP сессии, включают счетчики байт и пакетов
exec - учет терминальных EXEC-сессий
command - учет отдельных команд?
connection - учет информации о исходящих соединениях (telnet, rlogin,
LAT, TN3270, PAD)
system - события системного уровня (только default список и только tacacs+)
Объем информации:
stop-only - посылается информация только о завершении события
wait-start - посылается информация о начале события и о его завершении,
ожидаетсяподтверждение от TACACS+ или RADIUS сервера о получении этой информации(необходим,
если нужен учет максимального числа одновременных сессий в tac_plus)
start-stop - посылается информация о начале события и о его завершении
none - ничего не посылать
Конфигурация именованного списка методов учета:
aaa accounting {system | network | exec | connection | commands level} {default
| list-name}{start-stop | wait-start | stop-only | none} [method1 [method2...]
]
Затем применяем определенный ранее метод учета к линии
accounting {arap | exec | connection | commands level} {default | list-name}
или интерфейсу (одновременно определяется список методов авторизации для SLIP)
ppp accounting {default | list-name}
Мелкие настройки:
aaa accounting suppress null-username # не посылать учетные записи, если
имя пользователя - пустая строка (aaa authentication login method-list none)
aaa accounting update {newinfo | periodic number} # регулярно посылать
учетную информацию при изменениях/периодически (ранее по умолчанию посылались
update newinfo)
Посмотреть учетную информацию о текущих сессиях:
show accounting
6. Настройка асинхронного интерфейса и линий
Нужен для того,
чтобы удаленные пользователи могли попасть в вашу сеть через маршрутизатор.
Действия по шагам:
1. Начать конфигурирование с терминала:
Router#configure terminal
Router(config)#x25 routing
2. Конфигурируем асинхронный интерфейс:
Router(config)#interface async 1
3. Задаем протокол PPP (point-to-point) на данном интерфейсе:
Router(config-if)#encapsulation ppp
4. Устанавливаем PPP параметры на интерфейсе:
Router(config-if)#async mode interactive задаем тип линии
Router(config-if)#ppp authentication chap задаем тип аутофентикации
5. Настройка IP address:
Router(config-if)#ip address 192.168.20.1 255.255.255.0
6. Активация интерфейса:
Router(config-if)#no
shutdown
Router(config-if)#exit
Router#write запись
7. Аналогично для других интерфейсов async, если нужно (для Cisco2509).
Можно всегда
посмотреть по команде show ?
Эта команда показывает, какие события можно просмотреть.
show async status
show interface async номер
show compress
show controller имя-контроллера
show interface accounting
show interface тип номер
clear counters тип номер
show protocols
show version
clear interface тип номер
clear line номер
shutdown
no shutdown
show ip route
show x25 route