1. Настройка параметров терминала.Для базовой настройки параметров терминала:
Назначить имя устройства
(config)# hostname <string>
Если необходимо, изменить строку приглашения
(config)# prompt %n@%h%p
где: %% - символ процента;
%n - номер tty-порта;
%h - имя хоста;
%p - символ приглашения ( # или > );
%s - пробел;
%t - табуляция;Создать баннеры:
(config)# banner motd # text #
(config)# banner login # text #
(config)# banner exec # text #
(config)# banner incoming # text #Отключить поиск в системе DNS:
(config)# no ip domain-lookup
Задать время сеанса (5 мин.):(config)# line { console | vty | tty } <n>
(config-line)# exec-timeout 5 0
Для вывода информации о местоположении устройства при входе пользователя в систему:(config)# service linenumber
(config)# line console 0
(config-line)# location <text>
Чтобы сообщения консоли не мешали вводу команд:(config)# line { console | vty | tty } <n>
(config-line)# logging synchronous
Задать скорость консольного порта:(config)# line console 0
(config-line)# speed 115200
Определить длину истории команд:(config)# line { console | vty | tty } <n>
(config-line)# history size <0-256>
Включить запись истории изменения конфигурации:(config)# archive
(config-archive)# log config
(config-archive-log-cfg)# logging on
(config-archive-log-cfg)# hidekeys
Включить поддержку IPv6, перезагрузить роутер(config)# sdm prefer dual-ipv4-and-ipv6 routing
(config)# ^Z
# wr
# reload
++ 2. Установка параметров входа в систему.++ 2.1 Локальная аутентификация
Добавить локального пользователя:
(config)# service password-encryption
(config)# username <str> privelege <0-15> secret <str>
Включить поддержку ААА и настроить аутентификацию:(config)# enable secret <str>
(config)# aaa new-model
(config)#
(config)# aaa authentication login default local
(config)# aaa authorization exec default local
(config)# aaa authorization console
(config)#
(config)# line { console | vty | tty } <n>
(config-line)# login exec default
(config-line)# authorization exec default
++ 2.1 Аутентификация на RADIUS-сервереНа RADIUS-сервере в файл []users[] прописать(!!! до первого вхождения пользователя DEFAULT):
"username" Cleartext-Password := "passwd"
Auth-Type == Local,
Service-Type = NAS-Prompt-User,
Cisco-AVPair = "Shell:priv-lvl=15"
В файл []clients.conf[]:client <short-name>{
ipv6addr = xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
secret = secret123
shortname = short-name}
На коммутаторе:(config)# radius server RADSERV1
(config-radius-server)# address ipv6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
(config-radius-server)# key 0 secret123
(config-radius-server)# exit
(config)#
(config)# aaa group server radius RADGRP1
(config-sg-radius)# server name RADSERV1
(config-sg-radius)# deadtime 3
(config-sg-radius)# exit
Включить поддержку ААА и настроить аутентификацию:(config)# enable secret <str>
(config)# username bkpusr privelege <0-15> secret bkppasswd
(config)# aaa new-model
(config)#
(config)# aaa authentication login default group RADGRP1 local
(config)# aaa authorization exec default group RADGRP1 local
(config)#
(config)# line { console | vty | tty } <n>
(config-line)# login exec default
(config-line)# authorization exec default
++ 3. Настройка параметров журналирования.
Включить ведение журнала:(config)# logging on
(config)# logging buffered
(config)# logging trap <0-7>0 - минимальное, 7- записывать все сообщения
Добавлять системное время в сообщения:(config)# service timestamps log datetime msec localtime show-timezone
Сбор данных на syslog-сервер:Для начала необходимо добавить строку в []/etc/syslogd.conf[] вида []Facility.Severity file[]
local7.info /var/log/cisco3750e-b1s3
Затем настроить роутер:
(config)# logging facility local7
(config)# logging trap info
(config)# logging <servername.com>
Включить сервис нумерации сообщений и записи истории посещений:(config)# service sequence-numbers
(config)# login on failure log
(config)# login on success log
++ 4. Установка даты, времени, часового пояса, настройка NTP-клиента.
Перевести внутренние часы:R1# clock set 12:00:00 20 jun 2012
R1# conf
Configuring from terminal, memory, or network [terminal]?
(config)# clock timezone SAM 3
(config)# clock summer-time SAM recurring
Включить NTP-клиент:(config)# ntp server ipv6 ntp6a.rollernet.us
(config)# ntp server ipv6 ntp6b.rollernet.us
++ 5. Настройка сервисов:++ 5.1 SSH
Установить имя хоста:
(config)# ip domain name <name.local>
(config)# hostname <name>
Сгенерировать секретный ключ (l > 768):(config)# crypto generate rsa
Настроить SSH-сервер:(config)# ip ssh timeout <1-120>
(config)# ip ssh authentication retries <0-5>
(config)# ip ssh logging events
(config)# ip ssh maxstartups <2-128>
(config)# ip ssh source-interface <type><mod>/<sl>
В настройках линии указать возможность приема соединений по SSH:(config)# line vty 0 15
(config-line)# transport input ssh
Включить сервис SCP:(config)# ip scp server enable
Идентификация по открытому ключу:(config)# ip ssh pubkey-chain
(conf-ssh-pubkey)# username <str>
(conf-ssh-pubkey-user)# key-string
(conf-ssh-pubkey-data)# $de12w1sqwsa8
(conf-ssh-pubkey-data)# $sdadq3eqwsaczxzXX
(conf-ssh-pubkey-data)# $asdad23adaxxa== pipi@fedi.nil.si
(conf-ssh-pubkey-data)# exit
(conf-ssh-pubkey-user)#
++ 5.2 CDP (LLDP)Сервис CDP включен на коммутаторе по-умолчанию. Для выключения:
(config)# no cdp run
На отдельном интерфейсе:(config-if)# no cdp enable
Время между посылками CDP-пакетов:(config)# cdp timer <sec>
Время, которое принятая от соседа информация считается действительной:(config)# cdp holdtime <sec>
Если в сети находятся устройства иных производителей, то имеется возможность использовать протокол LLDP:
(config)# lldp run
На отдельном интерфейсе:(config-if)# lldp transmit
(config-if)# lldp receive
++ 5.3 SNMPv3Создать SNMP-tree view для чтения и записи:
(config)# snmp-server view READVIEW1 <MIB-view-family> { included | excluded }
(config)# snmp-server view WRITEVIEW1 <MIB-view-family> { included | excluded }
где MIB-view-family может быть: [] mib2, system, internet, iso и т.д. []Создать access-list:
(config)# ipv6 access-list SNMP-ACL1
(config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
(config-ipv6-acl)# exit
Создать SNMP-группу:(config)# snmp-server group <grname> v3 auth read READVIEW1 write WRITEVIEW1 access ipv6 SNMP-ACL1
Создать пользователей SNMP-сервера:(config)# snmp-server user <uname> <grname> v3 auth md5 <authpasswd> access ipv6 SNMP-ACL1
++ 5.4 VTPv3Основные отличия от 1 и 2 версии:
*** Поддержка Privat-VLAN;
*** Поддержка полного диапазона VLAN ( 1 - 4096 );
*** Возможность настройки на уровне отдельного порта;
*** Защита пароля домена;
*** Решена проблема с подключением нового коммутатора (когда происходила перезапись базы VLAN всего домена);
*** Обмен данными более эффективен;
*** Работа в режиме передачи данных между процессами MST.Настройка VTPv3:
(config)# vtp domain <name>
(config)# vtp version 3
(config)# vtp mode { server | client }
(config)# vtp password <passwd> { hidden | secret }
Если switch работает в режиме server, необходимо его тип - BACKUP(по-умолчанию) или PRIMAR:Switch# vtp primary vlan
This system is becoming primary server for feature vlan
No conflicting VTP3 devices found.
Do you want to continue? [confirm]
Обновления принимаются только от PRIMARY-сервера. В домене только один primary, остальные backup, client либо transparent. При подключении в сеть 2-ого primary, он автоматически становится backup.Выключить VTP на интерфейсе можно командой:
(config-if)# no vtp
++ 6. Повышение уровня безопасности устройства.
Выключить ненужные сервисы:(config)# no service tcp-small-servers
(config)# no service udp-small-servers
(config)# no service dhcp
(config)# no service finger
(config)# no service config
(config)# no ip bootp server
(config)# no ip http server
(config)# no ip http secure-server
(config)# no ip source route
(config)# no ip gratitous-arps
(config)# ip options drop
Включить нужные:(config)# service tcp-keepalives-in
(config)# service tcp-keepalives-out
Настроить access-class на VTY:(config)# ipv6 access-list ADMIN-NETW
(config-ipv6-acl)# permit xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/yyy
(config-ipv6-acl)# exit
(config)#
(config)# line vty 0 15
(config-line)# ipv6 access-class ADMIN-NETW
(config-line)# exit
MANAGEMENT и COMMON VLAN:(config)# int vlan 1
(config-if)# shutdown
(config-if)# exit
(config)#
(config)# vlan 254
(config-vlan)# name MANAGEMENT
(config-vlan)# state active
(config-vlan)# exit
(config)#
(config)# int vlan 254
(config-if)# ipv6 enable
(config-if)# ipv6 address 2001:DB8:5005:FE::/64 eui-64
(config-if)# ipv6 traffic-filter ADMIN-NETW
(config-if)# no shutdown
(config-if)# exit
(config)#
(config)# vlan 255
(config-vlan)# name COMMON
(config-vlan)# state active
(config-vlan)# exit
(config)#
(config)#int range g1/0/1 - 48
(config-if-range)# switchport host
(config-if-range)# switchport access vlan 255
(config-if-range)# ^Z
Switch# wr
++ 7. Создание меню быстрого вызова команд.
Задать заголовок:(config)# menu <name> title # Текст #
(config)# menu <name> clear-screen
(config)# menu <name> line-mode
Ввести приглашение:(config)# menu <name> prompt # Текст #
Для каждого пункта меню:(config)# menu <name> text <pt-num> <Текст>
(config)# menu <name> command <pt-num> <command>
Завершить пунктом выхода из меню:(config)# menu <name> text <last-pt-num> Menu exit
Вызов меню из режима exec:Switch# menu <name>
URL:
Обсуждается: http://www.opennet.me/tips/info/2701.shtml
!)
кто-нибудь, скиньте пожалуйста ссылку хорошего эмулятора под Ciscу
http://www.gns3.net/
Спасибо!!!
Dynamips c http://www.gns3.net/. Образы IOS и серийники - в гугле.
Спасибо!!!
Пожалуйста!!!
А вот самый банальный делинк. Воткнул, включил и все! Работает!
Ну-ну. Вы хоть с одним DES или DGS уровня 2 и выше работали? Или лишь бы ляпнуть?
Циска тоже будет работать. Только управлять/снимать статистику не сможете.
> Циска тоже будет работать. Только управлять/снимать статистику не сможете.Мда? А ничего, что у неё все порты по умолчанию в shutdown?
Теоретик?По умолчанию они ни разу не shutdown. Более того если эту статью почтитать - то там нету "no shutdown" для port range gi0/0-24 (fa0/0-24).
В состоянии shutdown только интерфейс VlanX.
По эмуляторам сдавал недавно CCNP Route
на сайте cisco и увидел что эмулятор gns3 давно устарел.Для сдавших в виде бонуса есть уже новый и оптимизированный CiscoPacketTracer-5.3.3(теперь не нужны бинарники Ios)Могу предложить только со своего домашнего сайта
http://orion-15.mooo.com/download/new/
или
http://orion-15.mooo.com/buf/
(сайт попеременно на Linux и Win работает)
для Ubuntu и win,там же дополнения в виде готовых схем и конфигураций и скрин ответов на финальный экзамен.Ежели качается тяжело (таки домашний-1мб на upload) пишите на n2011all@gmail.com -выложу
Добрый день! пожалуйста, откройте доступ к ресурсам http://orion-15.mooo.com/download/new/ и http://orion-15.mooo.com/buf/ - очень нужное ПО и документация. Вы -супер!
м-да, упущение - исправил, права 755,добавил лабораторные (некоторые таки очень ДА..) и на совершенно новый AspireNetworkingAcademyEdition-Release-1.1.6.28-Setup
(увы работает только под ХР(этого недоразумения у меня нет),а юниксверсии увы нет,что странно...)добавил скрины ответов на все 8 экзаменов и финал.(учитесь на здоровье и во благо,по экзаменам-есть лимит времени 1час на промежуточные и 2 часа на финал).
судя по конектам-идут через поисковики-меня там нет,сайтик то сугубо домашний
поэтому набирайте в адресной строке http://orion-15.mooo.com/buf/cisco/
или через гугловский https://sites.google.com/site/oriongweb/(он для этого только и заведен).
по поводу Aspire_Cisco-просьба не слать запросы-ребята с Кемерово сообщили что работает по вин7-то есть той хренью которая не интересует меня....Да и всем советую-забудьте вин как дурной сон...Респект всем кто пишет...
А как можно посмотреть всех пользователей на cisco? команда sh users показывает только кто в данный момент подключен к ней.
show startup-config
Там вверху найдете