Маршрутизатор Cisco — начальная настройка
При первоначальной настройки маршрутизатор cisco необходимо подключить к COM порту компьютера, посредством специального консольного кабеля.
Кабель представляет собой с одной стороны разъём DB9 (female/мама) для подключения к COM порту компьютера, а с другой RJ-45 для подключения к консольному порту маршрутизатора (порт обведён в голубой цвет и имеет надпись Console, либо просто надпись Console на голубом фоне).
Консольный кабель Cisco
Консольные порты Cisco
Новые модели маршрутизаторов, например Cisco 2900 Series Integrated Services Routers (ISR), имеют как RJ-45 консольный порт, так и консольный порт mini-USB Type B.
Mini-USB порт позволяет подключаться к консоли через USB кабель, если вдруг в компьютере отсутствует COM порт. Если настройка роутера производится через USB кабель на компьютере с Microsoft Windows, на компьютер необходимо установить драйвер Cisco Microsoft Windows USB Device Driver.
Кабель Mini USB
Консольный порт USB имеет приоритет над RJ-45. При настройке одновременное использование консольных портов не допускается.
Для настройки устройства через консольный кабель на компьютере с Microsoft Windows можно использовать встроенную программу Hyper Terminal, для меня она не очень удобна, поэтому я использую Putty (возможно это просто дело привычки). В программе, будь то Putty, Hyper terminal или ещё какая-либо, необходимо настроить параметры порта (COM) следующим образом:
Скорость (бит/с): 9600
Стоповые биты: 1
Управление потоком: нет
Пример настройки в Putty:
Настройка COM порта в Putty
После чего, если маршрутизатор включен и соединен с компьютером консольным кабелем, в окне терминала (по нажатию на Enter) появится интерфейс командной строки. Так же здесь можно наблюдать и процесс загрузки устройства.
Можно приступать к настройке устройства.
Логин/пароль по умолчанию обычно либо cisco/cisco либо пустой пароль на вход в привилегированный режим.
Входим в привилегированный режим командой «enable»:
Очищаем существующую конфигурацию командой «erase startup-config»:
Router#Router#erase startup-configErasing the nvram filesystem will remove all configuration files! Continue? [confirm][OK]Erase of nvram: completeRouter#*Mar 1 00:10:46.519: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvramRouter#
Перезагружаем роутер командой «reload» и подтверждаем её:
Router#reloadProceed with reload? [confirm]
*Mar 1 00:14:52.907: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command.
Так как мы стерли конфигурационный файл startup-config, то после перезагрузки предлагается пройти мастер начальной настройки системы, в котором предлагается вести имя маршрутизатора, пароли для различных режимов, IP адрес на интерфейсе управления и прочее. Я обычно на запрос запуска мастера отвечаю: no , а все необходимые параметры ввожу вручную.
Пишем no и жмём Enter.
Переходим в режим глобального конфигурирования системы командой «configure terminal» (сперва не забываем перейти в привилегированный )
Router>Router>enableRouter#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#
Видно как изменилась строка приглашения на «Router(config)# » — означает, что мы находимся в глобальном режиме конфигурации системы
Задаём пароль на вход в привилегированный режим командой «enable secret»
Router(config)#enable secret 0 pass123Router(config)#
0 — означает ввод пароля в не зашифрованном виде, но храниться будет он в шифрованном.
pass123 — сам пароль
Устанавливаем имя маршрутизатора командой «hostname»
Задаём имя домена командой «ip domain-name»
RTR1(config)#RTR1(config)#ip domain-name test.ruRTR1(config)#
Прописываем время, дату и часовой пояс. Задать время и дату можно просто в привилегированном режиме, не переходя в режим глобального конфигурирования системы, а вот часовой пояс только в режиме конфигурации.
Время и дата командой «clock set» (например 26 марта 2013 года, 19 часов 32 минуты 30 секунд):
RTR1#RTR1#clock set 19:32:30 26 Mar 2013RTR1#
Часовой пояс командой «clock timezone» (например смещение по UTC в +10 часов):
RTR1#RTR1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.RTR1(config)#RTR1(config)#clock timezone YST 10RTR1(config)#
Включаем аутентификацию и заводим пользователя.
RTR1(config)#RTR1(config)#aaa new-modelRTR1(config)#aaa authentication login default localRTR1(config)#
Команда «aaa new-model» — активирует возможность использования функций и команд для аутентификации, авторизации, аккаунтинга (AAA)
Команда «aaa authentication login default local» — включает аутентификацию при попытке сделать logon, и проверяет пользователя и пароль по локальной базе.
После ввода этих команд, нужно создать пользователя, иначе нельзя будет зайти на маршрутизатор ни по ssh/telnet, ни через консоль.
Создаём пользователя petya с паролем password123:
RTR1(config)#RTR1(config)#username petya secret 0 password123RTR1(config)#
Настраиваем сетевой интерфейс. Что бы настроить сетевой интерфейс, нужно перейти из режима глобального конфигурирования в режим конфигурирования интерфейса.
RTR1(config)#RTR1(config)#interface fastEthernet 0/0RTR1(config-if)#ip address 192.168.56.254 255.255.255.0RTR1(config-if)#no shutdownRTR1(config-if)#RTR1(config-if)#Mar 26 19:51:11.851: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to upMar 26 19:51:12.851: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upRTR1(config-if)#RTR1(config-if)#exitRTR1(config)#
Команда «interface fastEthernet 0/0» — переводит в режим конфигурирования интерфейса. В данном случае у нас интерфейс называется «fastEthernet «, в зависимости от модели роутера, могут быть другие названия например ethernet или gigabitEthernet. Информацию о состоянии интерфейсов можно посмотреть командой «show interfaces»
Команда «ip address 192.168.56.254 255.255.255.0» — задаёт IP адрес и сетевую маску на интерфейсе
Команда «no shutdown» — включает интерфейс
Команда «exit» — производит выход из режима конфигурации интерфейса в глобальный режим конфигурации.
Разрешаем удаленный доступ к устройству по telnet или ssh. Не все версии IOS поддерживают ssh (необходима поддержка шифрования). Поэтому в некоторых случаях приходится настраивать удаленный доступ и для telnet. Для настройки ssh необходимо сперва сгенерировать ключи.
Генерируем ключи командой «crypto key generate rsa»:
RTR1(config)#RTR1(config)#crypto key generate rsaThe name for the keys will be: RTR1.test.ruChoose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]:% Generating 512 bit RSA keys . [OK]
RTR1(config)#Mar 26 20:16:47.879: %SSH-5-ENABLED: SSH 1.5 has been enabledRTR1(config)#
Как только сгенерировались ключи, в консоли вышло сообщение, что ssh включен. Кстати, для генерации ключей необходимо сперва задать имя домена и желательно выставить правильное время, что я уже сделал выше.
Разрешаем ssh и telnet на линиях виртуальных терминалов:
RTR1(config)#RTR1(config)#line vty 0 4RTR1(config-line)#transport input telnet sshRTR1(config-line)#exec-timeout 60RTR1(config-line)#RTR1(config-line)#exitRTR1(config)#
Команда «line vty 0 4» — переводит в режим конфигурирования линий VTY с 0 по 4
Команда «transport input telnet ssh» — разрешает вход через telnet и ssh на терминалы vty
Команда «exec-timeout 60» — отключает от линии пользователя после 60 минут бездействия
команда «exit» — выход из режима конфигурировании линий в глобальный режим.
В данном случае разрешён удаленный доступ с любых IP адресов, что бы ограничить, необходимо создавать ACL и вешать их на линии.
Сохраняем конфигурацию. Всё, что мы сейчас настроили будет работать до первой перезагрузки. Что бы конфиг сохранился его нужно сохранить командой «copy running-config startup-config»:
RTR1(config)#exit RTR1#copy running-config startup-config Building configuration. [OK]RTR1#