Cisco («Циско» или «Циска») — это широко известный бренд ИТ-корпорации Cisco Systems из США (в 1984-м году название образовано от сокращения Сан-Франциско), под которым во всём мире выпускаются сетевые маршрутизаторы, коммутаторы, беспроводные устройства, системы видеонаблюдения.
Много ли значит Cisco для мира информационных технологий? Да, это общепризнанный король сетевого оборудования.
Деятельность компании постоянно расширяется и охватывает всё больше новых областей ИТ-отрасли. Cisco предлагает системы безопасности, телефонию на базе Интернета, облачные системы и многие другие решения для совместной работы и корпоративных сетей. Участвует в развитии Интернета вещей (IoT), проводит образовательные программы и предлагает одну из самых востребованных многоуровневых и тщательных систем сертификации инженеров коммуникационных технологий.
Что такое «программа Cisco»?
Под «программой Cisco» обычно понимают образовательную программу, либо протоколы аутентификации.
Первое — это образовательная программа Сетевой Академии Cisco (Network Professional Program, CNPP) для подготовки к профессиональной сертификации в Ассоциации (Certified Network Associate, CCNA), которая помогает построить карьеру в коммутационном звене ИТ-отрасли.
Второе, о чём многие компьютерные пользователи часто спрашивают, это программа Cisco Module — она обнаруживается в операционной системе под протоколами EAP-FAST module, LEAP module или PEAP module. Остановимся на таких «модулях» подробнее ниже.
Cisco Module — что это?
У Cisco есть три программы, которые устанавливаются в ОС при использовании фирменного оборудования. Для их правильного использования требуется образование инженера сетевых технологий или хотя бы общее понимание их работы. Если говорить простыми словами, то программы Cisco Module созданы для защищённой аутентификации пользователя при использовании устройств компании «Циско».
Cisco EAP-Fast module
Модуль Extensible Authentication Protocol Flexible Authentication via Secure Tunneling — защищённый протокол с возможностями расширения для аутентификации при помощи безопасного туннелирования.
Модули отличаются способом авторизации пользователя, но имеют общую цель — защитить систему от сетевых атак при подключении к глобальной сети.
Обычная авторизация требует ввести логин и пароль. Аутентификация — ещё и контрольную сумму файла, либо цифровую подпись, либо ввод биометрических данных (со сканера отпечатков пальцев или сенсора сетчатки глаз). Похожая схема используется в сервисах электронных кошельков, например.
В Cisco высокие требования к аутентификации инженеров, которые обслуживают оборудование компании.
Что такое Cisco Packet Tracer?
Это программное обеспечение для симуляции построения сетей на оборудовании Cisco. Является частью образовательной программы Сетевой Академии Cisco и доступно студентам бесплатно. Позволяет создавать копии сложных коммутационных систем, но всех возможностей оборудования не передаёт.
Если вам необходимо узнать, как настроить Cisco Packet Tracer, то воспользуйтесь свежими выпусками профессиональной литературы от компании или запишитесь на курсы «Циско».
Как запустить Cisco и начать пользоваться?
Обычно под запуском Cisco понимают подключение маршрутизатора и его настройку, либо установку симулятора Packet Tracer. Во всех остальных случаях запустить Cisco — это значит начать пользоваться сетевым оборудованием компании. Вам потребуются базовые знания инженера коммутационных сетей и основы работы с устройствами «Циско». Для этого воспользуйтесь учебными методичками или профессиональной литературой.
Как удалить Cisco?
Под удалением Cisco пользователи понимают деинсталляцию модулей аутентификации EAP-FAST, LEAP и PEAP в Windows. Внимание! Делать это можно только на тех системах, в которых полностью отсутствует оборудование Cisco, иначе его работа будет нарушена, а восстановить модули будет сложно.
Если вы не хотите разбираться в тонкостях работы оборудования Cisco, то обратитесь в компанию ИТ-аутсорсинга для дальнейшей экспертной поддержки и консультации по этой теме и любым другим техническим вопросам.
Cisco называет себя «мировым лидером в области сетевых технологий, предназначенных для сети Интернет». [1]
В 2003 году Cisco приобрела фирму Linksys как сетевое оборудование для домашнего использования и малого бизнеса.
Используя приобретение компаний, внутренние разработки и партнёрство с другими компаниями Cisco вышла на рынок IP-телефонии со своими ATM-оборудования с приобретением в 1996 году фирмы StrataCom Inc.
Штаб-квартира компании находится в Сан-Хосе, штат Калифорния.
Содержание
История возникновения названия Cisco
Название Cisco — сокращение от названия города Сан-Франциско, штат Калифорния (San Francisco). Раньше, когда основатели выбирали для компании название, они часто попадали на имена, которые уже заняты или используются. В конце концов, кто-то предложил название «cisco» с первой маленькой буквой «c» (уже существовала компания с названием «CISCO»). Существует версия, согласно которой первоначальное название компании звучало и писалось именно как San-Francisco Systems, но в процессе регистрации неловкое движение адвоката (или нотариуса) привело к надрыву титульного листа с названием компании. Будущие владельцы сочли это знаком и так и зафиксировали название cisco Systems с маленькой буквы.
Имя ciscoSystems (с маленькой «c») продолжало использоваться в сообществе инженеров компании ещё долго после того, как компания официально сменила имя на Cisco Systems, Inc. До сих пор можно встретить название «ciscoSystems» в сообщениях IOS и отчётах об ошибках.
Логотип компании представляет собой стилизованное изображение моста «Золотые ворота».
История компании
Супружеская пара Леонард Босак (Leonard Bosack) и Сандра Лернер (Sandra Lerner) основала компанию cisco Systems в 1984 году. Они работали в качестве обслуживающего компьютерного персонала в Стэнфордском университете. Леонард Босак адаптировал множество программ маршрутизатора протоколов, написанных Вильямом Иджером (William Yeager), другим работником, который начал работу за несколько лет до прихода Босака из Пенсильванского Университета, где он получил степень бакалавра.
Хотя Cisco не была первой компанией, разрабатывавшей и продававшей маршрутизаторы — устройства, перенаправляющие компьютерный трафик из одной сети в другую — она создала первый коммерчески успешный многопротокольный маршрутизатор. Это устройство, позволявшее ранее несовместимым компьютерам сообщаться между собой, даже если они использовали разные сетевые протоколы.
В 1990 Босак и Лернер ушли из компании с 170 миллионами долларов после того, как венчурные инвесторы ввели в состав правления профессиональных менеджеров. [2] Позже Босак и Лернер развелись.
Деятельность компании
Выручка компании 2007—2008 финансовом году — 39,5 млрд долл. (34,9 млрд в 2007 году, рост на 13,2 %).
Чистая прибыль — 8,1 млрд долл. (7,3 млрд в 2007 году, рост на 9,8 %). [3]
Cisco в России и СНГ
Компания работает на рынке СНГ с 1995 года.
Имеет представительства в городах Москва и Санкт-Петербург, в странах СНГ (Азербайджане, Казахстане, Узбекистане, Украине).
Решения Cisco используются в основных отраслях экономики России и ряда стран СНГ: в машиностроении, металлургической и нефтегазовой промышленности, в строительстве и недвижимости, розничной торговле, банках, инвестиционных и страховых компаниях.
Среди заказчиков много операторов связи — «Билайн», Golden Telecom, «Киевстар», «Комстар», «МегаФон», МТС, «Ренова Медиа», «Система-Телеком», «Таттелеком», «ТрансТелеКом», участвующие в проекте создания и развития маршрутизирующих систем наивысшей в отрасли производительности — CRS-1.
В 2007 году объем продаж Cisco в СНГ (главным образом в России, Украине и Казахстане) по направлению «информационная безопасность» составил 78 млн долл. Годовой темп роста составил 33,4 % в рублях или 41,8 % в долларах. Доля рынка, которую удерживает Cisco, перевалила за 20 %. [4]
Достижения
Cisco получила рейтинг 100 % в индексе Корпоративного равенства, выпускаемом компанией Права человека (Human Rights Campaign) в 2004 году. Также компания названа в числе 100 лучших компаний для работающих матерей в 2004.
Сетевая академия Cisco
Программа Сетевой Академии Cisco – это комплексная программа электронного обучения, предоставляющая студентам знания в области технологий Интернета, необходимые в условиях глобальной экономики. Программа Сетевой Академии включает материалы, доступные через Интернет, инструменты оценки знаний, средства отслеживания академических успехов студентов, практические лабораторные занятия, а также курсы подготовки для получения признанных в отрасли профессиональных сертификатов.
Сетевая Академия была основана в октябре 1997 г. на базе 64 учебных заведений в семи штатах и к настоящему времени распространилась на более чем 150 стран. С момента основания программы более 1.6 млн. студентов поступили в более 10 000 Академий, расположенных в школах, техникумах, колледжах, университетах и общественных организациях.
Заинтересованным учебным заведениям присваивается статус Сетевой Академии уровня, соответствующего уровню обучения, которое они будут предоставлять в рамках программы. В настоящее время существует три возможных уровня обучения. Эксперты Cisco Systems обучают Тренеров преподавателей в Центрах подготовки Академии Cisco (CATC). Тренеры, получившие подготовку в CATC, обучают преподавателей Региональных Академий (Regional Academies), а они, в свою очередь, обучают преподавателей Местных Академий (Local Academies), которые и преподают студентам. Использование этой трехуровневой модели обучения позволяет обеспечить необходимый уровень подготовки преподавателей в непосредственной близости от мест их проживания. Учебные заведения могут принимать участие в обучении на одном или нескольких уровнях.
Партнеры Cisco из числа коммерческих, правительственных и общественных организаций формируют экосистему, предоставляющую ряд услуг и поддержку, необходимую для подготовки будущих сотрудников в условиях глобальной экономики. Учебная программа, изначально созданная для подготовки для получения сертификатов «Сертифицированный Cisco Сетевой Специалист» (CCNA) и «Сертифицированный Cisco Сетевой Профессионал» (CCNP), значительно расширилась за счет учебных курсов, поддерживаемых организациями-партнерами. Дополнительные курсы включают: «Основы ИТ: Оборудование и программное обеспечение ПК» (IT Essentials: PC Hardware and Software) и «Основы ИТ: Сетевые операционные системы» (IT Essentials: Network Operating Systems); а также курс «Основы сетевой инфраструктуры Panduit» (Panduit Network Infrastructure Essentials) при поддержке Panduit Corporation.
Использование Интернета позволяет предоставлять равный уровень обучения для всех студентов независимо от их местоположения, социально-экономического статуса, пола или расы. При поддержке Программы развития Организации объединенных наций, Агентства США по международному развитию и международного союза по телекоммуникациям Cisco обеспечила доступ к программе студентов из наименее развитых стран, чтобы помочь им строить экономики своих стран.
Cisco обеспечивает сертификацию для профессионалов в области сетей:
Мда.. что можно сказать. Текст не вычитан, местами бредовый. А главное для кого.
Например для меня! А вы,видимо,все знаете.
Спасибо тем, кому понравилось. Лично мне бы такая статья сильно пригодилась в мой первый день работы.
Спасибо Вам за то что читаете. Рад что Вам пригодилась статья.
Спасибо, мужик! Надо впервые для меня настраивать cisco, уже есть какая-то инфа Очень благодарен!
Спасибо! Так же могу посоветовать почитать следующие книги:
Если времени совсем мало: Лукас Майкл В. Маршрутизаторы CISCO для отчаявшихся администраторов
Если времени вагон, то пожалуй лучший вариант: 1. Уэнделл Одом Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 640-822 2. Уэнделл Одом Официальное руководство Cisco по подготовке к сертификационным экзаменам CCNA ICND2 640-816
Спасибо за вводную статью, столкнулся с проблемой: на новом месте работы в серверной стойке лежит не зацепленная ОНА, а провода вроди бы нет, нашел какой то, напрягают 2 момента, обычно цыско провода синие и красивые, а тут на самопал похож, тоесть один конец то обжат по нормальному (серийный), а вот с комом напряг-сам шнур тож вроди фирма (черный, скрученный как от телефонной трубки) из другого конца провода просто торчат все 8 жил, 5 из которых идут на ком ж, кор, кр, с, з, а остальные после перетяжки тросиком просто отсечены под корень. Напрягает как то, что провод неизвестного происхождения, так и количество обжатых проводков, и схема обжимки не вяжется с приведенной в статье.
Добрый день. Возможно тот кабель, который вы описываете, предназначен для подключения к UPS. Лучше не стоит его использовать для подключения к устройствам Cisco Systems.
В мире, ориентированном на облачные технологии, подключайте, защищайте и автоматизируйте свой цифровой бизнес: от пользователей до приложений.
Связаться с Cisco
Преимущества решений Cisco
Просто. Безопасно. Надежно.
Cisco LAN
Подключай и защищай. Бескомпромиссная безопасность для всех устройств, подключаемых к сети, с помощью модели нулевого доверия.
Cisco SD-WAN
Технологии SASE для безопасного доступа к любым WAN ресурсам.
ЦОД и облако
Сетевая автоматизация для построения высоконагруженных сетей, какими бы они ни были.
Простые решения актуальных проблем
Безопасный доступ к любым облачным сервисам с помощью технологий SASE (Secure Access Service Edge).
Гибридная рабочая среда
Сетевая автоматизация для эффективной работы гибридных высоконагруженных сетей.
Гибридное рабочее место
Где бы вы ни работали: в офисе или дома – технологии Cisco обеспечат вам надежную защиту и высокую эффективность.
Модель нулевого доверия
В множестве приложений и подключаемых устройств ваша сеть остается под надежной защитой.
Платформы управления для решения любых сетевых задач.
Простая автоматизация рутинных операций и помощь в принятии решений. Интеграция IT, информационной безопасности и облачных технологий.
Cisco DNA Center
Платформа управления и аналитики для проводного и беспроводного доступа.
Cisco vManage
Централизованное управление SD-WAN для эффективного использования каналов связи, управления трафиком приложений и подключением к облачным сервисам.
Cisco Meraki
Простая и интуитивно понятная облачная платформа централизованного управление LAN, SD-WAN и IOT сетями.
Cisco Nexus Dashboard
Платформа управления для повышения эффективности работы сети в частных и публичных облаках.
Панель мониторинга операций Интернета вещей Cisco
Расширение цифровых возможностей в промышленном секторе: облачное развертывание, мониторинг и аналитика.
Продукты для лучшей аналитики и автоматизации
Коммутация
Постройте корпоративную сеть на основе коммутаторов, готовых гибко адаптироваться к изменениям в вашей сети и надежно ее защищать.
Беспроводной доступ
Обеспечьте надежный, быстрый и безопасный беспроводной доступ c помощью новейшей технологии Wi-Fi 6.
Маршрутизация
Оптимизируйте WAN инфраструктуру, благодаря простому и удобному централизованному управлению и мониторингу.
Индустриальные решения
Организуйте надежную, гибкую и хорошо масштабируемую индустриальную сеть, готовую к любым условиям.
Как приобрести
Гибкая система лицензирования программного обеспечения с постоянным доступом ко всем инновационным обновлениям поможет оптимизировать ваши расходы. Выберите отдельно DNA лицензии для всех устройств в сети или скомбинируйте их в единое мульти-архитектурное соглашение c едиными условиями использования и датой окончания.
Лицензии Cisco DNA
Применяются в решениях Cisco SD-WAN и Cisco DNA Center, а также коммутаторах, маршрутизаторах и точках доступа Cisco Catalyst.
ПО Cisco Meraki
Гибкое лицензирование по количеству устройств или по единой дате окончания лицензионного периода для всех сетевых продуктов Meraki.
Лицензирование продуктов для ЦОД
Лицензии для коммутаторов Nexus и гибридных облачных решений.
Соглашение Cisco Enterprise Agreement
Кросс-архитектурная программа гибкого приобретения лицензий с единой датой окончания, едиными условиями и дополнительными бонусами.
Сети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию cisco
Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо. Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации. Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.
Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования. Как и обещали, в этот раз всё по-взрослому: с видео.
Среда
Начнём с того, в какой среде будем работать.
В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:
а) Цисковский же продукт Packet Tracer, который по идее свободно не распространяется. Это эмулятор и имеет лишь некоторые функции Cisco IOS. Вообще говоря, он сильно ограничен и многие вещи в нём реализованы лишь отчасти. Никаких тонких настроек. С другой стороны к настоящему моменту версия 5.3.2 поддерживает создание GRE-туннелей, протоколов динамической маршрутизации (и в их числе даже BGP!). Притом он очень прост в освоении и имеет в своём арсенале сервера (FTP, TFTP, DHCP, DNS, HTTP, NTP, RADIUS, SMTP, POP3), рабочие станции и свичи. Сейчас уже есть под Linux, хотя в былые времени он прекрасно запускался и из-под Wine.
б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.
Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer’a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.
Способы подключения
Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую. На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.
Управление по консоли
Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать? Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель. Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25. У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК. Консольный порт выглядит так:
Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB. А это консольный кабель cisco:
Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP. Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:
Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet
После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.
Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать? Обратимся к PT. Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название
Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:
Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров
Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.
Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:
Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение
Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:
Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал. Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:
Здесь список операций гораздо обширнее, например, можно выполнить одну из наиболее часто используемых команд, демонстрирующую текущие настройки устройства ака “конфиг” #show running-config. В привилегированном режиме вы можете просмотреть всю информацию об устройстве.
Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:
— Все команды в консоли можно сокращать. Главное, чтобы сокращение однозначно указывало на команду. Например, show running-config сокращается до sh run. Почему не до s r? Потому, что s (в пользовательском режиме) может означать как команду show, так и команду ssh, и мы получим сообщение об ошибке % Ambiguous command: «s r» (неоднозначная команда).
— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).
— Используйте горячие клавиши в консоли:
Ctrl+A — Передвинуть курсор на начало строки Ctrl+E — Передвинуть курсор на конец строки Курсорные Up, Down — Перемещение по истории команд Ctrl+W — Стереть предыдущее слово Ctrl+U — Стереть всю линию Ctrl+C — Выход из режима конфигурирования Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)
— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например. Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):
begin — вывод всех строк, начиная с той, где нашлось слово, section — вывод секций конфигурационного файла, в которых встречается слово, include — вывод строк, где встречается слово, exclude — вывод строк, где НЕ встречается слово.
Но вернемся к режимам. Третий главный режим, наряду с пользовательским и привилегированным: режим глобальной конфигурации. Как понятно из названия, он позволяет нам вносить изменения в настройки устройства. Активируется командой #configure terminal из привилегированного режима и демонстрирует такое приглашение:
В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:
Настройка доступа по Telnet
Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet: Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:
По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:
shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.
Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)
Настраиваем IP-адрес компьютера через Desktop.
И пробуем подключиться, выбрав Command Prompt в панели Desktop:
Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”
Пароли
Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:
0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий. Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:
Настроим пароль для enable-режима:
Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret. Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:
Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.
Хотим обратить ваше внимание: сейчас принятно настраивать доступы не через виртуальные терминалы, а командами #username и #aaa new-model. В версии PT 5.3.2 они уже есть и вполне работают. Для этого нужно выполнить:
Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.
Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.
Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.
При более глубокой настройке line vty существует одна опасность. Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки. При работе с access-list’ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.
Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды
Privilege Level
Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level. Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15. privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1. privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix’ах
Пример1
После входа на маршрутизатор при такой настройке вы сразу увидите Router# со всеми вытекающими правами.
Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config
Пример2
Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username
В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.
После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.
Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.
Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль. Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером. Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:
Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.
Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.
Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее:
Ну и на сладенькое: сброс пароля
Так, а что же делать, если на стол легла вам бушная циска с неизвестным паролем или вы очень невовремя забыли его? Вообще-то это многократно описано и легко гуглится, но повторить это необходимо. Практически на любом сетевом устройстве есть возможность сбросить пароль, имея физический доступ. Если сделать это невозможно или это отдельная платная услуга, то скорее всего в ваших руках находится какая-то русская поделка (не в обиду, конечно, нашим производителям, но дважды я такие строки читал в документации:)) Итак, cisco: 1) Подключаетесь к устройству консольным кабелем, 2) Отправляете его в ребут (хоть по питанию, хоть командой #reload) 3) Когда на экране побежит такая строчка ########. ###, означающая загрузку образа (40-60 секунд после включения), необходимо отправить сигнал Break. Как это сделать в разных программах читать тут. Вы попадаете в режим ROMMON. 4) В этом режиме введите команду: confreg 0x2142, она заставит устройство игнорировать startup-config при загрузке. 5) Введите reset для перезагрузки 6) После загрузки running-config будет девственно чистым, а startup-config содержит по-прежнему последнюю сохранённую конфигурацию. Сейчас самое время поменять пароль или слить конфиг. 7) Самое важное: верните обратно регистры:
Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению: OSI. VLAN
Незарегистрированные читатели Хабрахабра могут задать свои вопросы в ЖЖ. Хочу поблагодарить пользователя thegluck за помощь в написании этой статьи.
