Заметки о Cisco Catalyst: настройка VLAN, сброс пароля, перепрошивка операционной системы IOS

Пароль enable и Секретный Пароль enable

Рубрика: Конфигурация и тестирование сети

Чтобы обеспечить дополнительную безопасность, используйте команду enable password или enable secret. Любая из этих команд может использоваться, чтобы установить аутентификацию прежде, чем получить доступ к привилегированному режиму EXEC (режиму enable).

Всегда используйте команду enable secret, а не более старую команду enable password по возможности. Команда enable secret обеспечивает большую безопасность, потому что пароль шифруется. Команда enable password может использоваться только если enable secret еще не была установлена.

Команду enable password можно использовать, если устройство использует более старую копию программного обеспечения Cisco IOS, которое не распознает команду enable secret.

Следующие команды используются, чтобы устанавливать пароли:

Router(config)#enable password пароль Router(config)#enable secret пароль

Отметьте: Если не установлен пароль enable password или enable secret, IOS предотвращает привилегированный доступ EXEC из сеанса Telnet.

Без установки пароля посредством enable password, сеанс Telnet произвел бы следующий вывод:

Switch>enable % No password set Switch>

Пароль VTY

Линии vty предоставляют доступ к маршрутизатору через Telnet. По умолчанию многие устройства Cisco поддерживают пять линий VTY, которые нумеруются от 0 до 4. Пароль должен быть установлен для всех доступных линий vty. Один и тот же пароль может быть установлен для всех соединений. Однако, часто требуется, чтобы для одной из линий устанавливается уникальный пароль, чтобы обеспечить альтернативную запись при подключении администратора, если другие соединения используются.

Следующие команды применяются, чтобы установить пароль на линии vty:

Router(config)#line vty 0 4 Router(config-line)#password пароль Router(config-line)#login

По умолчанию IOS включает команду login для линий VTY. Это предотвращает доступ Telnet к устройству без предварительной аутентификации. Если, по ошибке, устанавливается команда no login, которая удаляет требование аутентификации, неправомочные люди могут соединиться с линией, используя Telnet. Это является большой угрозой безопасности.

Шифрование Отображения Пароля

Другая полезная команда препятствует тому, чтобы пароль отображался простым текстом при просмотре конфигурационных файлов. Это команда service password-encryption.

Эта команда заставляет шифровать пароли при их конфигурации. Команда service password-encryption применяет слабое шифрование ко всем незашифрованным паролям. Это шифрование не применяется к паролям, когда они отправляются через носитель, а используется только в конфигурации. Цель этой команды состоит в том, чтобы воспрепятствовать неправомочным людям подсмотреть пароли в конфигурационном файле.

Если Вы выполняете команду show running-config или show startup-config до выполнения команды service password-encryption, незашифрованные пароли будут видимы при выводе конфигурации. Если затем выполняется service password-encryption, то шифрование будет применено к паролям. Как только шифрование было применено, удаление службы шифрования не инвертирует шифрование.

Далее: Протоколы Канального уровня — Пример протокола уровня 2

Написать

VLAN-ы, практика

Предполагается, что у вас уже есть доступ к веб интерфейсу или консоли телнета коммутатора. Настройка через графическую консоль осуществляется по разному, в зависимости от версии операционной системы. Но принцип всегда один и тот же. Здесь будет показан частный случай настройки VLAN через веб-интерфейс операционной системы IOS 12.1.

Настройка VLAN через веб-интерфейс

Внимание! При установке порта, через который вы управляете коммутатором, в не интерфейсный vlan (по умолчанию это vlan 1), соединение с коммутатором будет прервано. После входа на веб-интерфейс, нажмите на Smartports в меню интерфейса. Затем выберите порты, которые будут использоваться в работе и нажмите кнопку Customize, как показано на рисунке: Затем напишите номер VLAN-а, которому должен принадлежать порт, и нажмите кнопку «done». Если такого VLAN-а не существует, он автоматически создастся, не задавая каких либо вопросов. К примеру, вы можете поставить порты 1, 2 и 3 в VLAN номер 1, а порты 18 и 20 в VLAN номер 37. Установите нужным портам нужный вам VLAN как показано на рисунке: Затем нажмите кнопку «submit» (внизу страницы) для вступления изменений в силу.

Настройка VLAN через консоль

• Войдите в привилегированный режим командой enable.
• Войдите в базу данных vlan-ов: vlan database.
• Командой ? вы можете посмотреть, какие команды можно делать в базе данных vlan-ов.
• Командой vlan 200 вы создадите и активизируете новый vlan. 200 — это номер vlan-а. Здесь может быть любая цифра от 1 до 1005.
• show покажет вам имеющиеся vlan-ы и информацию о них.
• Команда no делает обратное действие команды, идущей после неё. Например, no vlan 200 удалит vlan с идентификационным номером 200.
• Теперь пишем команду exit и выходим и базы данных vlan-ов. Теперь нам надо добавить нужный нам порт в нужный нам vlan.
• Для этого войдите в режим конфигурации, командой configure. На вопрос, что конфигурировать, ответьте terminal.
• Затем выберите нужный вам порт командой interface FastEthernet 0/17, где 17 — это номер порта.
• Вы попадаете в режим конфигурации порта. Так же, что бы посмотреть свои возможности, наберите команду ?.
• Для пролистывания вывода на строку нажимайте любую кнопку, на экран — пробел, прервать вывод списка информации на монитор — Ctrl + z или Ctrl + c.
• Затем командой switchport access vlan 200 устанавливаем порт в нужный нам vlan. 200 — номер vlan-а.
• После выхода из режима конфигурации, командой show vlan просмотрите результат проделанных действий.

Теперь можете подключить в соответствующие порты персональные компьютеры, и командой ping убедится, что они находятся поштучно в разных сетях, так, как вы настроили vlan.

Восстановление забытого пароля

Если вы не знаете пароль к коммутатору, то его нужно сбросить. Для этого выполните следующие действия: Подключитесь к коммутатору через консоль. Как это сделать — подробно описано в пункте Подключение к коммутатору. Но на этот раз подключаться надо немного по-другому. Нам надо зайти в bootloader. Для этого, перед включением питания коммутатора, нажмите и удерживайте кнопку «mode» (кнопка на передней панели, слева, обычно подписана). Включайте питание удерживая это кнопку, и держите её до тех пор, пока вы не увидите на консоли приглашение bootloader-а. Это должно произойти через несколько секунд после включения питания. От сюда вы можете управлять файлами во флеш памяти коммутатора. Но перед этим её надо инициализировать. Для этого наберите команду flash_init. После этого вы можете просматривать, копировать, удалять файлы и каталоги из памяти. Команды для этого почти такие же, как в операционной системе MS-DOC. Для того, что бы просмотреть содержимое флэш памяти, наберите команду dir flash: Замечу, что если в MS_DOC вы бы набирали «C:» или «D:», то тут надо набирать «flash:», т.е. знак «» не нужен. После набора этой команды, вы должны увидеть примерно следующее:

Directory of flash:/   3  drwx       10176   Mar 01 2001 00:04:34  html   6  -rwx        2343   Mar 01 2001 03:18:16  config.text 171  -rwx     1667997   Mar 01 2001 00:02:39  c2950-i6q412-mz.121-9.EA1.bin   7  -rwx        3060   Mar 01 2001 00:14:20  vlan.dat 172  -rwx         100   Mar 01 2001 00:02:54  env_vars   7741440 bytes total (3884509 bytes free)

Здесь, html — это каталог, в котором находится web интерфейс. config.text — фийл, в котором хранятся все настройки коммутатора, в том числе и пароль. c2950-i6q412-mz.121-9.EA1.bin — операционная система коммутатора. Зависит от серии коммутатора. vlan.dat — здесь хранятся настройки vlan-ов. env_vars — файл с переменными окружения. Однажды, вам может понадобиться этот файл при установке операционной системы на отформатированную флэш-память коммутатора. Об этом читайте подробнее в пункте Установка ОС IOS. Далее, переименуйте конфигурационный файл, если он вам понадобится в будущем, или, если настройки коммутатора не нужны, просто удалите его. Для переименования, команда, соответственно, такая: rename flash:config.text flash:config.text.old. Для удаления delete flash:config.text. Далее загружаем операционную систему либо выключением и повторным включением питания, либо командой reset либо командой boot. Последнее предпочтительнее. После загрузки, операционная система задаст вам вопрос: «Continue with the configuration dialog? [yes/no]:». Если файл конфигурации вам не нужен, и на предыдущем шаге вы его удалили, то ответьте Y. И на этом можно закончить чтение этого пункта, поскольку в процессе предварительной настройки, коммутатор спросит вас, какой пароль установить. Если файл конфигурации содержит множество настроек, которые стабильно работали на производстве, и на предыдущем шаге вы его переименовали, ответьте N. Далее, войдите в привилегированный режим командой enable. Пароль коммутатор спрашивать не будет. Затем переименуйте файл конфигурации обратно, командой rename flash:config.text.old flash:config.text. Теперь примените настройки из этого файла к текущей настройке коммутатора и установите новый пароль:

switch# copy flash:config.text system:running-config Source filename [config.text]? Destination filename [running-config]?  switch# config terminal switch(config)# enable secret  switch(config)# enable password  switch(config)# exit switch#  switch# copy running-config startup-config

Это всё. Теперь, при входе на коммутатор и вводе команды enable, правильным паролем будет являться тот, который вы ввели в место «» на предыдущем шаге.Используемые источники:

• http://datanets.ru/parol-enable-i-sekretnyj-parol-enable.html
• https://m.habr.com/ru/post/326584/