最小のネットワーク。 パート1（ゼロの後）。 Cisco機器に接続する

ハブの件名ciscoはポピュラーとは言えません。多くの場合、興味深い記事はほとんど見過ごされています。 しかし、私たちは前の出版物の誇大広告に喜んで驚いた。 1000人以上がお気に入りに追加しましたが、これは継続が必要であることを明確に示しています。

さらに、実際のネットワーク計画および構築の経験を持つ多くの人々が、冗長性について非常に正しい点を指摘しました。 事実、前回提案したネットワークスキームはモデルであり、実験室であり、その上で技術を試し、理解するため、そのようなことに戸惑うことはありませんでした。 実際には、特に通信事業者/プロバイダーである場合、 VRRP 、 STP 、 リンクアグリゲーション 、動的ルーティングプロトコルなど、さまざまな冗長性スキームが必要です。

すべてのコメントを考慮に入れて、サイクルの終わりに、おそらくネットワークの構築方法を検討して、発売後6か月でエンジニアが耐え難いほど苦痛にならないようにします。



今日は少し退屈ですが、初心者にとって重要な部分、つまり、パスワードの接続、設定またはリセット、telnet経由でのログインの方法について説明します。 また、既存のプログラム-シスコエミュレーターと機器インターフェイスも考慮します。

約束されたように、今回はすべて大人になった：ビデオと共に。



カットの下で、同じテキストともう少し詳細なフォーム。

だから、彼らはここに来ます-碑文のシスコが乗った大切な箱。

水曜日

私たちが働く環境から始めましょう。



現時点では、シスコの機器で構築されたネットワークをシミュレートできる2つの有名なソフトウェアパッケージがあります。



a）パケットトレーサーは、理論上は自由に配布されないTsiskovsky製品です。 これはエミュレータであり、いくつかのCisco IOS機能のみを備えています。 一般的に言えば、それは非常に限られており、多くのものが部分的にしか実装されていません。 微妙な設定はありません。 一方、バージョン5.3.2は現在、GREトンネル、動的ルーティングプロトコル（BGPを含む！）の作成をサポートしています。 さらに、習得は非常に簡単で、サーバー（FTP、TFTP、DHCP、DNS、HTTP、NTP、RADIUS、SMTP、POP3）、ワークステーション、およびスイッチが装備されています。 今ではすでにLinuxの下にありますが、昔はWineの下でもうまく動きました。



b）GNU GPLの下でライセンスされたGNS3シミュレーター。 このパッケージでは、真のCisco IOSイメージをダウンロードする必要があります。 一方で、これはプラスです-実際のciscoインターフェイスで作業し、想像力、既存の標準、およびワークステーションのパフォーマンスによってのみ制限されますそして第三に、ルーターと「タイプ」スイッチのみがあります。



原則を理解するには、Packet Tracerから始めて、必要に応じて重砲兵に切り替える方が良いと思います。 私たちは小さな子供ではなく、必要なものをどこで手に入れるかを教えません。

接続方法

Packet Tracerでは、次の方法で機器を管理できます。

• GUI
• コントロールウィンドウのCLI
• コンソールケーブルを介したワークステーションからの端末接続
• telnet

最後の3つのインターフェースは同一です-接続方法のみが異なります。 もちろん、GUIは私たちの方法ではありません。

実際には、次のものが利用可能です。

• Telnet / SSH
• コンソールケーブルを介したワークステーションからの端末接続
• Webインターフェイス（ Cisco SDM ）。

最後の選択肢は、まともな社会でも言及されていません。 あなたがマウスとブラウザに固執していても、私は本当にそれをお勧めしません。

私の例では、他の機器で作業しているときに、Webを介して設定しても機能しないという事実に出会いました。 あなたが割れますが、動作しませんが。 また、通常、同じ長さのスイッチのファームウェアの1つのバージョンにバグがありました。LinuxからWebインターフェイスのVLAN設定を変更すると、スイッチが管理用にアクセスできなくなります。 これは公式に認識されている問題です）。 Telnetはsshのような標準の有名なユーティリティです。 これらのプロトコルを使用してciscoにアクセスするには、アクセスパスワードを設定する必要があります。詳細は後で説明します。 sshを使用できるかどうかは、IOSライセンスによって異なります。

コンソール管理

さて、あなたはルーターを持ってきて、それを印刷して、電源を入れました。 彼は物憂げにクーラーをガサガサ鳴らし、彼のポートのLEDでウインクしました。 そして、次に何をすべきか？

ほぼすべてのスマートデバイスを制御するために、最も古く、時代を超えた方法の1つであるコンソールを使用します。 これを行うには、コンピューター、デバイス自体、および適切なケーブルが必要です。

ここでは、すべてのベンダーが大きく異なります。 使用しないコネクタの種類：RJ-45、DB-9オス、DB-9マザー、非標準ピン配列のDB-9、DB-25。

tsiskaは、デバイス側でRJ-45コネクターを使用し、PC側でDB-9マザー（COMポートへの接続用）を使用します。

コンソールポートは次のようになります。







常に青で強調表示されます。 最近、USB制御が可能になりました。

そしてこれはCiscoコンソールケーブルです：







以前は、各ボックスに納品されていましたが、今では多くの場合別々の費用がかかります。 原則として、HPの同様のケーブルが適しています。

問題は、最近のPCにはしばしばCOMポートがないことです。 よく使用されるUSB-COMコンバーターが役に立ちます。







または、これらの目的でめったに使用されないRS232イーサネットコンバーター







ケーブルを固定し、COMポート番号を決定したら、WindowsのHyperterminalまたはPuttyとLinuxのMinicomを使用して接続できます。



コンソールからの管理はすぐに利用できますが、Telnetの場合はパスワードを設定する必要があります。 どうやってやるの？

PTをご覧ください。

ルーターを作成することから始めましょう。下のパネルで選択し、ワークスペースに転送します。 名前をつけて







それが最も本物の鉄製ルーターだったらどうしますか？ 彼らはコンソールケーブルを取り、それらをコンピューターと接続します。 ここでも同じことを行います。







コンピューターをクリックすることで、[設定]ウィンドウを呼び出します。このウィンドウでは、[デスクトップ]タブに関心があります。 次に、ターミナルを選択します。ここで、パラメータの選択肢が表示されます







ただし、デフォルトのパラメーターはすべて私たちに合っており、変更する意味はありません。



デバイスの不揮発性メモリに構成ファイル（startup-config）がなく、新しいハードウェアを初めてオンにしたときに同じになる場合、初期構成ダイアログプロンプトが表示されます。







要するに、これは基本的なデバイスパラメーター（ホスト名、パスワード、インターフェイス）を段階的に構成できるウィザードです。 しかし、これは面白くないので、 いいえと答えて招待状を見る

Router>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これは、すべてのcisco回線に対する標準的な招待状であり、 ユーザーモードを特徴づけます。このモードでは、統計情報を表示し、pingなどの最も簡単な操作を実行できます。 疑問符を入力すると、使用可能なコマンドのリストが表示されます。







大まかに言うと、これは最初のテクニカルサポートラインのエンジニアであるネットワークオペレーター向けのモードです。そのため、彼はそこに何かを傷つけたり、台無しにしたり、学びすぎたりしません。

はるかに大きな機会は、 特権的な名前を話すモードを提供します。 > enableと入力することでアクセスできます。 招待状は次のようになります。

 Router#
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここでは、操作のリストがより広範囲になります。たとえば、現在のデバイス設定を「config」 #show running-configとして示す最も頻繁に使用されるコマンドの1つを実行できます。 特権モードでは、デバイスに関するすべての情報を表示できます。



設定する前に、Cisco CLIを使用して作業を大幅に簡素化できる便利な点をいくつか紹介します。



-コンソールのすべてのコマンドを短縮できます。 主なものは、削減が明らかにチームを指しているということです。 たとえば、 show running-configは sh runに短縮されます 。 なぜsrまでではないのですか？ s （ユーザーモード）はshowコマンドとsshコマンドの両方を意味するため、 ％Ambiguous command：“ sr”エラーメッセージ（曖昧なコマンド）が表示されるためです。



-Tabキーと疑問符を使用します。 Tabキーを押すと、短縮されたコマンドが完全なコマンドに追加され、コマンドに続く疑問符は、さらなるオプションのリストとそれらに関する少しのヘルプを表示します（PTで自分で試してください）。



-コンソールでキーボードショートカットを使用します。



Ctrl + A-カーソルを行の先頭に移動します

Ctrl + E-カーソルを行末に移動します

カーソルを上、下 -コマンドの履歴内を移動する

Ctrl + W-前の単語を消去

Ctrl + U-行全体を消去

Ctrl + C-構成モードを終了

Ctrl + Z-現在のコマンドを適用し、構成モードを終了します

Ctrl + Shift + 6-長いプロセスを停止します（いわゆるエスケープシーケンス）



-コマンド出力フィルタリングを使用します。 たとえば、特定の単語を見つけるために長時間掘る必要がある多くの情報をチームが表示することがあります。

フィルタリングにより作業を促進します。設定したコマンドの後に| 、フィルタリングのタイプと、実際に、目的の単語（またはその一部）を記述します。 フィルタリングのタイプ（別名出力修飾子）：



begin-単語が見つかった行から始まるすべての行の出力、

section-単語が出現する構成ファイルの出力セクション、

include-単語が現れる出力行、

exclude-単語が出現しない出力行。



しかし、モードに戻ります。 3番目のメインモードとユーザーおよび特権： グローバル構成モード 。 名前が示すように、デバイスの設定を変更できます。 これは、コマンド#configure terminalによって特権モードからアクティブ化され、次のプロンプトが表示されます。

 Router(config)#
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

グローバルコンフィギュレーションモードでは、他のモードの非常に必要なコマンドが実行されない場合があります（同じshow running-config、pingなど）。 しかし、 doのような便利なものがあります 。 そのおかげで、設定モードを終了することなく、これらの同じコマンドを実行できます。それらの前にdoを追加するだけです。 このようなもの：

 Router(config)#do show running-config
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Telnetアクセス構成

このモードから、telnet経由でコンピューターを接続するためのインターフェイスを構成します。

FastEthernet 0/0 インターフェイスコンフィギュレーションモードを開始するコマンド：

 # Router(config)# interface fa0/0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

デフォルトでは、すべてのインターフェースが無効になっています（管理上のダウン状態）。 インターフェイスをオンにします。

 Router(config-if)#no shutdown
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

IPアドレスを構成します。

 Router(config-if)#ip address 192.168.1.1 255.255.255.0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

シャットダウン -「インターフェースをオフにする」ことを意味します。 したがって、コマンドをキャンセルする場合は、コマンドの前にnoを使用してください。 このルールはCLIに共通であり、ほとんどのコマンドに適用されます。



接続されています。 これを行うには、 クロスケーブルを使用します 。 （実際にはこれはしばしば不要になります-すべてのカードは受信/送信を理解できますが、間違ったタイプのケーブルを使用してもポートが上昇しないルーターがまだあります-注意してください）





デスクトップからコンピューターのIPアドレスを構成します。







そして、デスクトップパネルでコマンドプロンプトを選択して接続してみてください：







予想どおり、tsiskaはパスワードなしでは起動しません。 実際には、「パスワードが必要ですが設定されていません」というフレーズが表示されます。

パスワード

telnetまたはssh接続は仮想端末（vt）と呼ばれ、次のように構成されます。

 Router(config)#line vty 0 4 Router(config-line)#password <i>cisco</i> Router(config-line)#login
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

0 4は5ユーザー仮想端末= telnetセッションです。

これはすでにユーザーモードに入るのに十分ですが、特権を得るには十分ではありません。







イネーブルモードのパスワードを設定します。

 Router(config)#enable secret <i>test</i>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

secretとpasswordの違いは何ですか？ telnetのsshとほぼ同じです。 シークレットを設定すると、パスワードは暗号化された形式で構成ファイルに保存され、 パスワードが開かれます。 したがって、 シークレットの使用をお勧めします。

passwordコマンドでまだパスワードを設定している場合は、 サービスパスワード暗号化も使用する必要があります。設定ファイルのパスワードは暗号化されます。

 line vty 0 4 password 7 08255F4A0F0A0111
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

私の友人が私に話をした：

彼はかつて住宅の建物にある彼の結び目の近くでたばこを吸っていました。 ツールバッグ、ラップトップを手に。 突然、パッケージを持った2人の酔っぱらいが現れ、購入を申し出て、パッケージを開けて、ある種のスイッチを見せます。 彼らは500ルーブルを要求します。 まあ、彼はそれを買った。 スイッチのラベル​​とモデルにより、この男は自分が所属するプロバイダーを決定しました。 彼は家に帰り、ピッキングを始めました。Telnetは閉じられ、コンソールはパスワードで保護されています。 snmpの設定をダンプしました。 パスワードはクリアな形式で保存され、名前はプロバイダーから提供されます。 彼は個人的に管理者に精通しており、「Hello」の代わりに彼に電話し、受信者にユーザー名とパスワードを発行しました。 最初の20秒間に脳がどのようにきしむのかが聞こえました。どこにでもアクセスリスト、認証、ケシのアドレスへのバインドがあります。 どうして？！ 一般に、すべてがうまくいき、それで終わりです。

ここで少し読むことができます 。 さて、またはロシア語でもう少しここに 。



次の点に注意を喚起したいと思います。

現在では、仮想端末ではなく、コマンド#usernameおよび#aaa new-modelを使用してアクセスを構成するのが慣例となっています。 バージョンPT 5.3.2には既に存在し、非常にうまく機能します。

これを行うには、次を実行します。

 Router(config)#aaa new-model Router(config)#username admin password 1234
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初のコマンドは、新しいモデルをアクティブにすることです AAA（認証、承認、アカウンティング）。 これは、RADIUSまたはTACACSデバイス認証にサーバーを使用できるようにするために必要です。 これが個別に構成されていない場合、 usernameコマンドで指定されたローカルユーザーベースが使用されます。



注意 ：aaa new-modelコマンドの優先度は仮想端末コマンドの優先度よりも高いため、line vtyモードでパスワードを設定していても、ローカルデータベースにユーザーがいない場合、リモートでデバイスにログインすることはできません。



接続すると、ルーターはユーザー名とそれに対応するパスワードを要求します。



line vtyのより深い構成には1つの危険があります 。

そのようなパラメーターがあります： access-class 。 その構成により、接続できるIPアドレスを制限できます。 そして、ある日、スマートマーシャとして、蚊が飛ばないように、ネットワークとこれらのアクセスリストを備えたほとんどすべての機器にセキュリティを設定することにしました。 ある瞬間、私はフィールドに入る必要があり、その日、自分の正確さを呪いました-どこにも到達できませんでした-私はわずかな抜け穴を残しませんでした。 一般的に、このチームには注意するか、抜け穴を残してください。

誤った設定によりデバイスへのアクセスが奪われる可能性のあるアクセスリストやその他の危険なものを操作する場合、 minコマンドで素晴らしいreloadを使用できます。minは分単位の時間です。 このコマンドは、 reload cancelコマンドによって中断されない場合、指定された時間後にデバイスを再起動します。 つまり 作業のスキームは次のとおりです。理論的には（マーフィーの法則は忘れられない）デバイスとの通信セッションを中断できるものをリモートで掘っています。 現在の（作業中の）設定をstartup-configに保存し（ブート時に使用）、reloadを15に入れ、疑わしいキーコマンドを入力します;-)、接続を切断します。最悪の恐れは正当化されました。 15分間待機し、動作する構成でデバイスが再起動され、接続が完了し、接続が確立されます。 または（接続が中断されていない場合）、すべてが機能することを確認し、 リロードキャンセルを実行します。



コンソールポートを介したパスワードアクセスを制限する場合は、コマンドが必要です。

 Router(config)#line console 0 Router(config-line)#login Router(config-line)#password <i>cisco</i>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

特権レベル

記事でほとんど注意が払われていないもう1つの重要なポイントは、特権レベルです。

ラテン語の音から明らかなように、これはユーザー権利のレベルです。 合計16レベルがあります：0〜15。

特権レベル0は、すべてのモードで機能するdisable、enable、exit、help、およびlogoutコマンドです

特権レベル1-これらはユーザーモードコマンドです。つまり、tsiskaに到達してRouter>プロンプトが表示されるとすぐに、レベル1になります。

特権レベル15-これらはUnixのルートなどの特権モードコマンドです

例1

 Router(config)#line vty 0 4 Router(config-line)privilege level 15
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

この構成でルーターにログインすると、関連するすべての権限を持つルーター＃がすぐに表示されます。







レベル2〜14はすべて手動で構成されます。 つまり、たとえば、特権レベル2のユーザーにゴーアヘッドを与えて、 show running-configコマンドを実行できます。

例2

前述のusernameコマンドは、特定のユーザーの権利を構成するのに役立ちます。

 Router(config)#username pooruser privilege 2 secret poorpass Router(config)#privilege exec level 2 show running-config Router(config)#enable secret level 2 l2poorpass
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

最初の行ではユーザーに権利のレベルを割り当て、2番目のコマンドではこのレベルで許可され、3番目の行ではパスワードを設定してこのレベルで特権モードに入ります。



その後、ユーザーモードからenable 2コマンドを実行し、パスワードl2poorpassを入力して特権モードに入ります。このモードでは、すべてのレベル1コマンド+レベル2コマンドを使用できます。







それは何のためでしょうか？ ロシアの現実では、ほとんどの場合、エンジニアは完全な権利を持ってすぐにデバイスにアクセスする必要があるためです。 まあ、彼らは二重認証がパスしないように、彼らは15レベルを置くことを除いて。 また、他のすべてのレベルでは、ジュニアスタッフ（技術サポートなど）が参加して、いくつかのパラメーターを監視したり、重要でない機能を構成したりできます。

Ssh

telnetが保護されていないプロトコルであり、パスワードとデータをクリアテキストで送信することは言うまでもありません。 任意のパケットアナライザーを使用して、パスワードを計算できます。

そのため、sshを使用することを強くお勧めします。ファームウェアがあまりトリミングされていないCiscoデバイスは、sshサーバーとして動作できます。

次の一連のコマンドを使用すると、sshを有効にし、telnetアクセスを無効にすることができます。

 Router(config)#hostname R0 Router(config)#ip domain-name cisco-dmn Router(config)#crypto key generate rsa Router(config)#line vty 0 4 Router(config-line)#transport input ssh
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ホスト名はルーターと異なる必要があり、ドメイン名を指定する必要があります。 3行目はキーを生成し、sshのみが許可されます。 sshバージョン2を使用したい場合、鍵の長さは768ビットより大きくなければなりません。 それだけです



初心者へのもう一つの最後の注意 ： write memoryコマンドを忘れないでください-これは現在の設定を保存します。 ただし、これを永久に免除するためには、保存を忘れて2回燃やせば十分です。夜間にエンコードした人や学期末レポートを書いた人なら誰でも理解できます。



PTを使用して、端末またはtelnetではなく、デバイスのCLIから直接機器を設定します。これは、ルーターアイコンをクリックして呼び出されます。これはより便利です。

まあ、甘いもの：パスワードのリセット

それで、もしテーブルに未知のパスワードが付いたふさふさしたtsiskaを手に入れた場合、またはそれを非常に遅く忘れた場合はどうしますか？ 実際、繰り返し記述されており、簡単にグーグルで検索できますが、繰り返す必要があります。

ほとんどすべてのネットワークデバイスで、物理的にアクセスしてパスワードをリセットすることができます。 これが不可能であるか、別の有料サービスである場合、おそらくロシアの工芸品がいくつか手元にあります（もちろん、私たちのメーカーにとっては犯罪ではありませんが、ドキュメントでこれらの行を2回読んでいます:)）

cisco：

1）コンソールケーブルでデバイスに接続し、

2）再起動するために送信します（少なくとも#reloadコマンドを使用して、栄養補給のため）

3）このような行######## ... ###が画面上で実行される場合、つまり、イメージをロードする（スイッチを入れてから40-60秒後）場合、 ブレーク信号を送信する必要があります。 さまざまなプログラムでこれを行う方法については、 こちらをご覧ください 。 ROMMONモードです。

4）このモードでは、コマンドconfreg 0x2142を入力します。これにより、デバイスはブート時にstartup-configを無視します。

5） リセットを入力して再起動します

6）ロード後、running-configは初期状態になり、startup-configには最後に保存された構成が引き続き含まれます。 今こそ、パスワードを変更するか、構成をマージするときです。

7）最も重要なもの： レジスタを返す ：

 Router(config)#config-register 0x2102
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そうしないと、最初の再起動まで設定全体が関連することになります）そして、このデバイスが近くにあれば良いので、混乱したことを覚えているでしょう。 私は運が悪いです）



次の記事では、vlanとローカルネットワークについて説明します。 必須の読書：

OSI

VLAN



Habrahabrの未登録の読者は、 LJで質問することができます。

この記事を書いてくれたthegluckユーザーに感謝します。