Konfiguracja routerów Cisco

Konfiguracja routerów Cisco 1. Opis dostępnych typów konsoli CLI (command line interface) Po załadowaniu IOS-u lub po ponownym połączeniu się do CLI pojawia się konsola (shell) typu user EXEC (identyfikowana przez następujący […]

Konfiguracja routerów Cisco

1. Opis dostępnych typów konsoli CLI (command line interface)

Po załadowaniu IOS-u lub po ponownym połączeniu się do CLI pojawia się konsola (shell) typu user EXEC (identyfikowana przez następujący prompt string >):

Router>
Przejście do podstawowego shell-a administracyjnego (privileged EXEC – identyfikowany przez następujący prompt string #) wykonuje się przez wpisanie następującej komendy:


Router>enable
Router#

Przejscie do shell-a konfiguracyjnego (global configuration – identyfikowany przez następujący prompt string (config)#) wykonuje się z poziomu privileged EXEC za pomocą komendy:


Router#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#

Z poziomu konsoli konfiguracyjnej możemy przejść do konsoli konfiguracji wybranego interfejsu (interface configuration), która jest identyfikowana przez następujący prompt string (config-if)# wydając komendę:


Router(config)#interface <interface_name> <interface_num>[/<port_num>]
Router(config-if)#

np.


Router(config)#interface eth 0

lub


Router(config)#interface serial 2/0

1.1. Zejście do konsoli z niższymi uprawnieniami

Zejście do konsoli typu privileged EXEC:


Router(config-if)#end //lub CTRL-ZRouter#

Zejście do konsoli typu global configuration:


Router(config-if)#exitRouter(config)#

Uwaga: Większość komend można wydać tylko i wyłącznie na ściśle ustalonym shell-u. Od tego momentu żądany poziom shell-a będzie wynikał z podanego prompt stringu.

1.2. Zabezpieczenie shell-a administracyjnego hasłem


Router(config)#enable secret <hasło>

Uwaga: Po wydaniu powyższej komendy każde przejście z user EXEC do privileged EXEC będzie wymagało podania ustalonego hasła.

1.3. Weryfikacja ustawień

Przykłady:

Aktualne ustawienia routera można zweryfikować przez wylistowanie pliku konfiguracyjnego:


Router#show running-config

Aktualne stan interfejsów można zweryfikować komendą:


Router#show interfaces

Aktualny stan tablicy routingu można zweryfikować komendą:


Router#show ip route

2. Zapisanie ustawień po dokonanych zmianach

UWAGA!!!
Literówka w tym poleceniu może być bardzo bolesna i będzie wymagała reinstalacji systemu jeżeli nadpiszecie nie to co trzeba także silnie polecam czytać komunikaty


Router#copy running-config startup-config
Destination filename [startup-config]?<enter>
Building configuration...
[OK]

UWAGA!!!

działa też komenda „wr” ale nie jest już ona oficjalnie wspierana w dokumentacji (jednak w mojej opinii jest wygodniejsza i bezpieczniejsza) 


Router# wr

3. Konfiguracja podstawowa

3.1 Ustawienie nazwy hosta


Router(config)#hostname <nazwa_hosta>

Uwaga: Po wydaniu powyższej komendy zmieni się również nazwa podawana w linii komend przed prompt string-iem, np.:


Router(config)#hostname gw1-bogusgw1-bogus(config)#

3.2 Ustawnienie serwerów DNS


gw1-bogus(config)#ip name-server <IP_1> <IP_2> ….

3.3. Konfiguracja interface’u


congw1-bogus(fig)#interface <interface_name>
gw1-bogus(config-if)#ip address <net_adres> <net_maska>
gw1-bogus(config-if)#no shutdown //oznacza to tyle samo co up
gw1-bogus(config-if)#end //lub CTRL-Z)

3.3.1 Konfiguracja adresu wirtualnego na interfejsie (secondary address)


gw1-bogus(config)#interface <interface_name>
gw1-bogus(config-if)#ip address <net_adres> <net_maska> secondary

3.4 Domyślna ścieżka routingu


gw1-bogus(config)#ip routing //wlączenie routing-u
gw1-bogus(config)#ip route 0.0.0.0 0.0.0.0 <next_hop> //defaultowa ścieżka routowania

4. Konfiguracja serwerów

4.1 Serwer SSH

Uwaga: Nazwy hosta i domeny muszą być ustawione dla poprawnej generacji pary kluczy RSA.


gw1-bogus(config)# hostname <nazwa_hosta>
gw1-bogus(config)# ip domain-name <domain_name>

Zdefiniowanie pary kluczy RSA:


gw1-bogus(config)# crypto key generate rsa

Uwaga: Podczas generacji kluczy RSA proszę wybrać możliwie najdłuższe klucze szyfrujące 2048 bits (taka generacja może zabrać kilka minut).

Zdefiniowanie metod autoryzacji i konta dla logowania:


gw1-bogus(config)# aaa new-model
gw1-bogus(config)# username <username> privilege <num> password 0 <password>

np.:


gw1-bogus(config)# username admin privilege 15 password 0 my_password

Ponieważ powyższa procedura odblokowuje również połączenia telnetowe – należy taki typ połączeń zablokować:


gw1-bogus(config)#line vty 0 4
gw1-bogus(config-line)#transport input ssh

Ewentualnie można jeszcze ustawić parametry serwera SSH:


gw1-bogus(config)# ip ssh time-out <seconds>
gw1-bogus(config)# ip ssh authentication-retries <retries_num>

4.2 Serwer WWW

Uwaga: Proponujemy wyłączenie serwera HTTP i zastąpienie go serwerem HTTPS (patrz niżej)
Wyłączenie serwera HTTP


gw1-bogus(config)#no ip http server

Włączenie serwera HTTPS


gw1-bogus(config)#ip http secure-server

Zdefiniowanie metod autoryzacji i konta dla logowania


gw1-bogus(config)#ip http authentication local
gw1-bogus(config)#username <username> privilege <num> password 0 <password>

np.:


gw1-bogus(config)#ip http authentication local
gw1-bogus(config)# username misio privilege 15 password 0 miodek

5. Hardening routera

5.1. Włączenie kodowania haseł w routerze


gw1-bogus(config)#service password-encryption

5.2. Wyłączenie portu AUX (połączenie przez modem)


gw1-bogus(config)#line aux 0
gw1-bogus(config-line)#no exec

5.4. Wyłączenie protokołu CDP (Cisco Discovery Protocol)

Globalnie:


gw1-bogus(config)#no cdp run

lub dla wybranego interfejsu:


gw1-bogus(config-if)#no cdp enable

5.5. Wyłączenie protokołu bootp


gw1-bogus(config)#no ip bootp server

5.5. Wyłączenie protokołu finger


gw1-bogus(config)#no ip finger

Strony: 1 2 3 4