Початкова настройка маршрутизатора CISCO. Початкове налаштування маршрутизаторів Cisco

Всім привіт сьогодні хочу розповісти вам, як налаштувати маршрутизатор ciscoілі організувати мережу для невеликого офісу. Поговоримо про відмінності комутатора 3 рівня і маршрутизатора, і розберемо схему організації малого офісу і середнього, з використанням роутера Cisco. Думаю це цікава тема і дуже часто зустрічається.

Відмінності роутера Cisco від комутатора 3 рівня

Нагадаю в попередній статті ми налаштували комутатор cisco в якості ядра, що працює на 3 рівні моделі OSI, і розібрали, що він продуктивніше і дешевше, ніж router cisco. Так, що ж тоді змушує купувати маршрутизатори Cisco, вся справа в мізках, які дають функціонал, такий як:

• ip маршрутизація
• Міжмережевий екран

Без якого складно уявити як пов'язувати віддалені офіси з центральним. Така ось хитра політика партії у Cisco.

Схема для малого офісу

Схема філії така: 1 роутер Router0 моделі Cisco 1841 для прикладу, один комутатор Cisco 2960 і три комп'ютери. Як бачите у нас є 3 сегмента, для яких ми налаштуємо vlan. Передбачається, що у вас вже проведена.

Створюємо VLAN2, VLAN3, VLAN4. Логіном на ваш cisco 2960 і переходимо в режим конфігурації /

enable
  conf t
  valn 2
  name VLAN2
  exit
  vlan 3
  name VLAN3
  exit
  vlan 4
  name VLAN4
  exit

тепер визначимо кожен комп'ютер в потрібний vlan. PC0 в vlan 2, PC1 в vlan 3, PC2 в vlan 4. У мене це порти fa0 / 1, fa0 / 2 і fa0 / 3.

int fa 0/1
  switchport mode access
  switchport access vlan 2
  exit
  int fa 0/2
  switchport mode access
  switchport access vlan 3
  exit
  int fa 0/3
  switchport mode access
  switchport access vlan 4
  exit
  do wr mem

Наступним кроком буде налаштувати trunk порт до нашого роутера Cisco 1841. Вводимо наступні команди

Вибираємо потрібний інтерфейс

Виставляємо режим trunk

switchport mode trunk

дозволяємо певні vlan

switchport trunk allowed vlan 2,3,4
  end
  wr mem

Всі роботи на комутаторі Cisco 2960 закінчені, переходимо до нашого роутера.

Налаштування маршрутизатор cisco 1841

Почнемо налаштовувати маршрутизатор cisco 1841 для того щоб він Маршрутізірованний трафік між vlan і був в якості інтернет шлюзу. За замовчуванням всі порти на маршрутизаторі знаходяться в вимкненому стані, включимо порт куди застромлять патчкорд від комутатора cisco  2960, у мене це fa 0/0.

enable
  conf t
  int fa 0/0
  no shutdown

У вас з'явиться щось подібне, повідомляючи вам що порт став бути активним.

% LINK-5-CHANGED: Interface FastEthernet0 / 0, changed state to up

% LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0 / 0, changed state to up

Порт став зеленим

Наступним кроком потрібно створити саб'інтерфейси за кількістю vlan. У роутерів просто немає vlan і їх роль виконують саб'інтерфейси, де певного vlan відповідає subinerface.

Створюємо subinterface для vlan 2

вказуємо що він відноситься і случає пакети vlan 2

encapsulation dot1Q 2

налаштовуємо ip адреса

ip address 192.168.1.251 255.255.255.0

включаємо порт

no shutdown
  exit

і зберігаємо налаштування командою

Налаштуємо подібний чином subinterface для vlan 3,4

int fa 0 / 0.3
  encapsulation dot1Q 3

  no shutdown
  exit
  int fa 0 / 0.4
  encapsulation dot1Q 4

  no shutdown
  exit

ip routing
  do wr mem

Пробуємо пропінгувати з комп'ютера PC0 комп'ютер PC3 і PC2. Як бачимо на скріншоті все ок.

ping 192.168.1.251

ping 192.168.2.1

ping 192.168.3.1

Ось так ось просто організувати локальну мережу в дуже невеликому філії і де швидко відбувається налаштування маршрутизатора cisco. настройку NAT ми зробимо в іншій статті.

Схема для середнього офісу

Ось як виглядає схема локальної мережі середнього офісу. Є маршрутизатор cisco 2911, який виступає в ролі інтернет шлюзу. Є ядро ​​мережі комутатор 3 рівня Cisco 3560. Він буде маршрутизировать локальний трафік між vlan мережі. В Cisco 3560 встромлені 3 комутатора другого рівня Cisco 2960, які вже підключають в себе кінцеві пристрої. У мережі є 3 vlan 2,3,4.

Налаштування Switch1

Почнемо з настройки Switch1, сегмента серверів. Логіном в режим глобальної конфігурації.

enable
  conf t

Створюємо vlan 4

vlan 4
  name VLAN4
  exit

Закинемо порти fa 0 / 1-2 в VLAN4

int range fa 0 / 1-2
  switchport mode access
  switchport access vlan 4
  exit
  do wr mem

Налаштуємо trunk порт fa 0/3, вирішувати будемо тільки трафік vlan4

int fa 0/3
  switchport mode trunk
  switchport trunk allowed vlan 4
  exit
  do wr mem

Налаштування Switch2

Все з сегментом серверів ми закінчили. Переходимо до такої ж налаштування на Switch2 і 3. І так Switch2 Cisco 2960.

Насамперед створюємо vlan 2 і vlan3.

enable
  conf t
  vlan 2
  name VLAN2
  exit
  vlan 3
  name VLAN3
  exit

Тепер визначимо наші порти в які підключені комп'ютери в потрібні vlan

int fa 0/1
  switchport mode access
  switchport access vlan 2
  exit
  int fa 0/2
  switchport access vlan 3
  exit

Налаштуємо trunk порт на інтерфейсі fa 0/3 no shutdown
  exit
  int vlan 3
  ip address 192.168.2.251 255.255.255.0
  no shutdown
  exit
  int vlan 4
  ip address 192.168.3.251 255.255.255.0
  no shutdown
  exit

Налаштовуємо trunk порти

int fa 0/1

  switchport mode trunk

  exit
  int fa 0/2
  switchport trunk encapsulation dot1q
  switchport mode trunk
  switchport trunk allowed vlan 2,3
  exit
  int fa 0/3
  switchport trunk encapsulation dot1q
  switchport mode trunk
  switchport trunk allowed vlan 2,3
  exit

Включаємо маршрутизацію і зберігаємо конфігурацію
  ip routing
  do wr mem

Ping буде проводитися з комп'ютера PC3. Як бачимо, сервера і звичайні комп'ютери розділені.

Отже розпаковуємо роутер і підключаємося до нього ТЕЛНЕТ через com-портовий шнур.

Щоб позбавиться від Переднастроєні сміття набираємо:
  erase startup-config
! і перевантажуємося

reload

Налаштування авторизації та доступу по SSH

Включаємо шифрування паролів
  service password-encryption
! використовуємо нову модель ААА і локальну базу користувачів
  aaa new-model
  aaa authentication login default local
! заводимо користувача з максимальними правами
  username admin privilege 15 secret PASSWORD

! даємо ім'я роутера
  hostname<...>
  ip domain-name router.domain
! генеруємо ключик для SSH
  crypto key generate rsa modulus 1 024
! тюнінгуем SSH
  ip ssh time-out 60
  ip ssh authentication-retries 2
  ip ssh version 2
! і дозволяємо його на віддаленій консолі
  line vty 0 4
  transport input telnet ssh
  privilege level 15

Налаштування роутінга

Включаємо прискорену комутацію пакетів
  ip cef

Налаштування часу

Часовий пояс GMT + 3
  clock timezone MSK 3 0
! оновлення системних годин по NTP
  ntp update-calendar
! ntp сервера краще ставити по айпі, бо якщо при перевантаженні DNS-сервера не доступні то настройки по іменах злітають ...
  ntp server NTP.SERVER.1.IP
  ntp server NTP.SERVER.2.IP

архівування конфігов

Включаємо архівування всіх змін конфіга, приховуючи паролі в логах
  archive
  log config
  logging enable
  hidekeys

! історію зміни конфіга можна подивитися командою
  show archive log config all

Налаштування DNS

Включити дозвіл імен
  ip domain-lookup
! включаємо внутрішній DNS сервер
  ip dns server
! прописуємо DNS провайдера
  ip name-server XXX.XXX.XXX.XXX
! на всякий випадок додаємо кілька публічних DNS серверів
  ip name-server 4.2.2.2
ip name-server 8.8.8.8

Налаштування локальної мережі

Зазвичай порти внутрішнього світча на роутері об'єднані в Vlan1
  interface Vlan1
  description === LAN ===
  ip address 192.168.???.1

! включаємо на інтерфейсі підрахунок пакетів переданих клієнтам - зручно переглядати хто з'їдає трафік
  ip accounting output-packets

! подивитися статистику можна командою
  show ip accounting
! очистити
  clear ip accounting

Налаштування DHCP сервера

Виключаємо деякі адреси з пулу
  ip dhcp excluded-address 192.168.???.1 192.168.???.99
! і налаштовуємо пул адрес
  ip dhcp pool LAN
  network 192.168.???.0 255.255.255.0
  default-router 192.168.???.1
  dns-server 192.168.???.1

Налаштування Internet і Firewall

Налаштовуємо фільтр вхідного трафіку (за замовчуванням всі заборонено)
  ip access-list extended FIREWALL
  permit tcp any any eq 22

! включаємо інспектування трафіку між локальною мережею  і Інтернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! налаштовуємо порт в Інтернет і вішаємо на нього деякий захист
  interface FastEthernet0 / 0
  description === Internet ===
  ip address ???. ???. ???. ??? 255.255.255. ???
  ip virtual-reassembly
  ip verify unicast reverse-path
  no ip redirects // відключає відправку повідомлень перенаправлення, коли кошти Cisco IOS пересилають пакет в рамках інтерфейсу, за яким цей пакет отриманий. Обмежує інформацію, посилається маршрутизатором в разі сканування порту

no ip directed-broadcast // відключає керовану групову розсилку IP, що забезпечує неможливість застосування маршрутизатора як широкомовного підсилювача в розподілених атаках блокування сервісу (DoS, Denial of Service атаках)

no ip proxy-arp // відключає проксі-сервіс ARP

no ip unreachables // відключає генерування повідомлень ICMP Unreachable

no ip mask-reply // відключає генерування повідомлень ICMP Mask Reply

no cdp enable // відключає CDP протокол на інтерфейсі

ip inspect INSPECT_OUT out
  ip access-group FIREWALL in

! ну і наостанок шлюз
  ip route 0.0.0.0 0.0.0.0 ???. ???. ???. ???

Налаштування NAT

На Інтернет інтерфейсі
  interface FastEthernet0 / 0
  ip nat outside

! на локальному інтерфейсі
  interface Vlan1
  ip nat inside

! створюємо список IP мають доступ до NAT
  ip access-list extended NAT
  permit ip host 192.168. ???. ??? any

! включаємо NAT на зовнішньому інтерфейсі
  ip nat inside source list NAT interface FastEthernet0 / 0 overload

! додаємо інспекцію популярних протоколів
  ip inspect name INSPECT_OUT http
  ip inspect name INSPECT_OUT https
  ip inspect name INSPECT_OUT ftp

Відключення непотрібних сервісів

no service tcp-small-servers // забороняє доступ до ряду сервісів TCP

no service udp-small-servers // забороняє доступ до ряду сервісів UDP

no service finger // забороняє запити по протоколу finger

no service config // забороняє завантаження конфіга по TFTP

no service pad // забороняє PAD

no ip finger
  no ip source-route // відкидає пакети з явно вказаним маршрутом

no ip http server // відключає вбудований HTTP сервер

no ip http secure-server // відключає вбудований HTTPS сервер

no ip bootp server // відключає сервер BOOTP

no cdp run // глобально відключає CDP протокол

Після того як ми навчилися ділити мережу трьома способами (,), логічне продовження, це настройка роутера. Давайте виконаємо базову настройку роутера (яку Вам доведеться виконувати дуууже часто) і призначимо IP-адреси інтерфейсів маршрутизатора.

Припустимо, що після поділу мережі 192.168.0.0/24 на 3 підмережі A, B і C (по 100, 50, 2 хоста відповідно) ми отримали такі підмережі: A - 192.168.0.0/25, B - 192.168.0.128/26, C - 192.168.0.192/30.

Перша адреса підмережі A треба призначити на інтерфейс маршрутизатора fastethernet 0/0.

Перша адреса підмережі B треба призначити на інтерфейс маршрутизатора fastethernet 0/1.

Перша адреса підмережі C треба призначити на інтерфейс маршрутизатора serial 0/0/0. Причому на один кінець кабелю (DCE) для інтерфейсу serial необхідно призначити clock rate (задати час для синхронізації сигналу), а для іншого (DTE) цього робити не треба.

// Так я буду позначати коментарі.

Завантажити виконане завдання налаштування роутера

Пропоную скачати файл з виконаним завданням для програми емулятора PacketTracer, відкрити його і подивитися на реалізацію (пароль на консольний вхід - cisco, на привілейований режим - class).

Зауважте, що комп'ютер PC1 може нормально пінгувати комп'ютер PC2, але не може пінгувати PC3. Це відбувається через не налаштованої маршрутизації. А налаштуємо ми її в наступній шпаргалці;)

Налаштування роутера копіюванням конфігурації

  Для автоматичної базової установки (все, що вище) маршрутизатора виконайте наступні дії:
• 1. Скопіюйте текст нижче в буфер обміну: Веделя все, клікніть правою кнопкою  по виділеному і виберіть "Копіювати".
• 2. При необхідності очистіть роутер від всіх налаштувань і перезавантажте його.
• 3. Увійдіть в режим глобальної конфігурації і викличте меню Гіпер Терміналу "Правка", а в ньому "Передати головного комп'ютера".
• 4. Обов'язково перевірте настройки за допомогою команди show running-config
• 5. При необхідності включіть інтерфейси командою no shutdown з режиму кожного інтерфейсу

Якщо ви в перший раз сталкнулся з обладнання cisco, то абсолютно очевидно, що необхідно зрозуміти як з ним звертатися, створити свого першого користувача, задати ім'я вашого пристрою, задати час, налаштувати можливість віддаленого підключення  і т.д.

Дану статтю я вирішив присвятити ряду подібних питань і як результат вирішив назвати її " Початкове налаштування маршрутизаторів Cisco". Відразу хочу зауважити, що ми не будемо вдаватися в настройки детально, а просто пройдемося по ряду опцій, що б мати необхідне подання по темі.

Отже, вистачить лірики, давайте перейдемо безпосередньо до справи.

Припустимо до нас в руки потрапив маршрутизатор cisco.

Завдання, які ми будемо виконувати:

1) Ознайомимося з інтерфейсом.

2) Визначимо які бувають рівні доступу.

3) Подивимося, що таке режим конфігурації.

4) Настроїмо такі параметри як назва виробу, ім'я домену, час.

5) Зайдемо в режим настройки портів пристрою і поставимо на них ip адреси.

6) Задамо пароль на привілейований режим і створимо користувача в локальній базі даних.

7) Настроїмо можливість віддаленого підключення по telnet

8) Настроїмо можливість віддаленого підключення по ssh

1. Підключаємося до пристрою за допомогою консольного кабелю і бачимо приблизно наступне

Press RETURN to get started.

Тиснемо Enter потрапляємо в нашу консоль:

Router\u003e

Щож, давайте спробуємо подивитися як воно працює. Натискаємо "?" і бачимо приблизно наступне:

Router\u003e?
   Exec commands:
   disable Turn off privileged commands
   enable Turn on privileged commands
   exit Exit from the EXEC
   help Description of the interactive help system
   logout Exit from the EXEC

   Я думаю ви вже зрозуміли що ми скористалися підказкою і побачимо всі доступні нам на даному етапі команди. Більш того, давайте спробуємо зробити так:

Router\u003e enable?
<0-15>  Enable level
   view Set into the existing view

Cisco підказує нам якісь варіанти подальшого написання команди у нас є. Опція дійсно дуже корисна, а головне, що доступна на будь-якому етапі написання команди.

Давайте спробуємо зробити ще ось так:

Router\u003e e?
   enable exit

Тобто ми можемо поставити знак "?" абсолютно в будь-якому місці і cisco запропонує нам всі можливі шляхи продовження. В даному випадку ми бачимо, що за рахунок символу "е" cisco каже, що є дві команди відповідні даним критерієм і показує що це за команди.

Мушу зазначити, що не обов'язково набирати команди цілком, тобто що б разлогініться з cisco не треба набирати команду exit повністю. Досить буде набрати "ex". При наборі команд "в повному обсязі" потрібно розуміти що у системи не повинно бути вибору і можна було ідентифікувати одну команду відповідну заданому критерію.

2. Всього в системі існує 16 можливих рівнів доступу від 0 до 15. Нам для розуміння потрібно буде тільки 3

Privilege level 0 - режим в якому ми опинилися, коли підключилися до маршрутизатора

Privilege level 1 - призначений для користувача режим, який включає в себе користувальницькі команди

Privilege level 15 - привілейований режим, який включає в себе всі команди. Що б потрапити в нього потрібно набрати команду enable, після чого замість "Router\u003e" ми побачимо "Router #". Знак "#" власне і означає, що ми знаходимося в прівілігірованним режимі.

Отже отримуємо

Router\u003e  - звичайний режим

Router\u003e enable  - набираємо команду переходу в привілейований режим

Router #  - прівілігірованним режим

   3. У пункті 2 ми потрапили в прівілігірованним режим. Тепер, якщо ми хоті виробляти на роутері будь-які налаштування нам потрібно буде перейти в режим конфігурації. Для цього скористаємося командою configure terminal, або ж можна набрати скорочено conf t

Router # conf t

Router (config) #  - режим конфігурації, де можна проводити необхідні настройки

   4. Тепер можна спробувати зробити ряд налаштувань. Повинен сказати, що прямої необхідності в налаштуванні імені пристрою, домену та часу немає. Але якщо це не остання стаття, яку ви читаєте, ймовірність того що настройка цих параметрів ще стане в нагоді дуже висока.

Що б налаштувати ім'я пристрою скористаємося командою hostname

Router (config) #hostname TEST

TEST (config) #  - нове ім'я пристрою TEST, що ми можемо прекрасно бачити

Для настройки імені домена скористаємося командою ip domain-name

TEST (config) #ip domain-name test.ru  - тепер наше доменне ім'я test.ru

Налаштування часу трохи складніше, тому що складається з налаштування часового поясу і безпосередньо часу. Для завдання часового поясу скористаємося командою clock timezone.

TEST (config) # clock timezone MSK +4  - я перебуваю в Москві, так що часовий пояс +4

Щоб змінити тривалість періоду необхідно вийти з режиму конфігурації і скористатися командою clock set, тобто "час встановити" якщо перекласти дослівно.

TEST (config) #exit  - виходимо з режиму конфігурації

Перевірити наші настройки можна за допомогою команди show.

TEST # show clock
16: 03: 28.183 MSK Thu Feb 21 2013  - результат проведених нами налаштувань

Так само, для виведення всієї конфігурації можна скористатися командою show run

TEST # show run

Висновок результату даної команди досить об'ємний і я не буду постити його. Скажу тільки, що результат містить інформацію про всі параметри, які є на маршрутизаторі.

   5. Давайте розберемо настройки портів на маршрутизаторі і поставимо ip адреси.

порт в мережевому обладнанні cisco називається interface. Що б вивести список доступних інтерфейсів можна скористатися командою show interfaces. Однак висновок буде досить об'ємним. Для більш компактного виведення можна скористатися командою show ip int brief

TEST # show ip int bri
   Interface IP-Address OK? Method Status Protocol
   Embedded-Service-Engine0 / 0 unassigned YES NVRAM administratively down down
   GigabitEthernet0 / 0 unassigned YES NVRAM down down
   GigabitEthernet0 / 1 unassigned YES NVRAM down down

   Тепер ми можемо бачити список доступних фізичних портів. Припущений що порт GigabitEthernet0 / 0 підключений до підмережі 192.168.0.0 з маскою підмережі 255.255.255.0, а порт GigabitEthernet0 / 1 підключений до підмережі 192.168.1.0 з маскою підмережі 255.255.255.0. Відповідно ми вирішили задати на GigabitEthernet0 / 0 ip адресу 192.168.0.1, а на GigabitEthernet0 / 1 ip адресу 192.168.1.1. Все це потрібно для того що б комп'ютери першої мережі могли звертатися до комп'ютерів другий мережі і навпаки. Чи можемо приступити до конфігурації.

TEST # conf t  - йдемо в режим конфігурації

TEST (config) #interface gigabitethernet0 / 0  - команда interface дозволяє нам перейти в режим налаштування потрібного нам порту на маршрутизаторі

TEST (config-if) #ip address 192.168.0.1 255.255.255.0  - задаємо ip адреса для підмережі 192.168.0.0

TEST (config-if) #no shutdown  - команда включення порту на маршрутизаторі

TEST (config-if) #exit  - виходимо з настройки порту

TEST (config) #int gi0 / 1  - заходимо в налаштування другого порту. Назва портів можна скорочувати як показано в даному випадку

TEST (config-if) #ip address 192.168.1.1 255.255.255.0  - задаємо ip адреса для підмережі 192.168.1.0

TEST (config-if) #exit

Все ip адреси налаштовані і зв'язок між мережами 192.168.0.0 і 192.168.1.0 налагоджена.

Припустимо якщо ми помилилися і задали невірний ip адреса (нехай буде 192.168.0.2) або неправильно вказали маску, тоді скасувати зміни можна буде за допомогою команди "no". Наприклад:

TEST (config-if) #no ip address 192.168.0.2 255.255.255.0 - дана команда зніме ip адресу 192.168.0.2 на інтерфейсі.

Команда "no" застосовна не тільки до параметру ip адресу. Їй можна користуватися для скасування та інших параметрів маршрутизатора.

6. Ми вже знаємо як потрапити в прівілігірованним режим, причому ми це робили без будь-якої авторизації. Пропоную, для підвищення безпеки, задати пароль на привілейований режим. Зробити це можна за допомогою команди enable secret

TEST # conf t

TEST (config) #enable secret 0 cisco - тепер наш пароль на привілейований режим буде cisco. Мушу зазначити, що 0 означає, що ми вводимо пароль просто текстом. Якщо у нас є пароль в зашифрованому вигляді ми можемо вибрати іншу опцію. Подивитися можливі опції можна за допомогою enable secret?

TEST (config) #enable secret?
   0 Specifies an UNENCRYPTED password will follow
   4 Specifies an SHA256 ENCRYPTED secret will follow
   5 Specifies an MD5 ENCRYPTED secret will follow
   LINE The UNENCRYPTED (cleartext) "enable" secret
   level Set exec level password

Щож, пароль на привілейований режим ми задали. Пропоную створити свого власного користувача в системі, якого ми в подальшому будемо використовувати для підключення до пристрою віддалено через telnet або ssh.

Для цього дамо ось таку команду:

TEST (config) #username user1 privilege 15 secret password1

В результаті її виконання система створить користувача з ім'ям user1, паролем password1 і рівнем доступу 15 (привілейований режим)

7. У нас є підмережі, є користувач в локальне базі даних. Тепер можна налаштувати підключення до пристрою через telnet. Для цього нам потрібно буде зайти в налаштування line vty (віртуальна термінальна лінія). Перейдемо до конфігурації і все стане ясно.

TEST # conf t  - заходимо в режим конфігурації

TEST (config) #line vty 0 4  - заходимо в налаштування термінальних ліній. на різних пристроях  може бути різна кількість термінальних ліній. У нашому випадку їх 5, тобто від 0 до 4, що відображено в команді. Кількість термінальних ліній говорить про кількість можливих одночасних подклюеній до маршрутизатора. Коли хтось підключається, то йому присвоюється перша вільна лінія vty.

TEST (config-line) #transport input telnet  - ми говоримо, що до нашого пристрою можна підключатися віддалено за допомогою telnet

TEST (config-line) #login local  - дана команда говорить, залогінитися по vty можна використовую локальну базу даних користувачів. Відповідно ми зможемо зайти під користувачем, якого створили в пункті 6.

Тепер можна підключитися до пристрою віддалено за допомогою telnet, з якого-небудь комп'ютера з раніше створених підмереж 192.168.0.0 або 192.168.1.0

8. Використовувати telnet досить зручно, але небезпечно, тому що він передає логін і пароль по мережі у відкритому вигляді. Тобто якщо хто-небудь відловити потрібний пакет, то зможе побачити пароль. Тому я рекомендую налаштовувати підключення через протокол ssh. Для цього необхідно виконання ряду вимог. Повинні бути задані параметри hostname (див. Пункт 4), domain-name (див. Пункт 4), так як виходячи з цих параметрів відбувається шифрування, а так само необхідно згенерувати пару ключів шифрування, за допомогою команди:

TEST (config) #crypto key generate rsa modulus тисячу двадцять чотири  - де 1024 розрядність шифрування наших ключів.

Тепер потрібно дозволити підключення через ssh на наших vty лініях.

TEST (config) #line vty 0 4  - заходимо в налаштування термінальних ліній

TEST (config-line) #transport input telnet ssh  - ми говоримо нашому пристрою, що можна підключитися як через telnet так і через ssh. Насправді можна вказати тільки ssh, але тоді підключитися по telnet вже не вийде.

TEST (config-line) login local  - говоримо маршрутизатора використовувати локальну базу даних користувачів. Якщо ви вже давали цю команду з пункту 7, то вона не обов'язкова.

Усе. Тепер можна підключитися до нашого пристрою віддалено і головне безпечно за допомогою ssh.

   В кінці пропоную зберегти всі зроблені нами настройки командою write. Таким чином після перезавантаження пристрою всі параметри збережуться. Якщо не зробити збереження, тоді після перезавантаження пристрій буде "невинно" чистим наче на ньому нічого не міняли.

TEST # write
   Building configuration ...

підсумок: базове налаштування  нашого маршрутизатора закінчена. Тепер ми трохи знаємо про маршрутизатори cisco і як з ними працювати. Сподіваюся дана стаття була вам корисна.

До швидких зустрічей і нових постів;)