СТОиПИ, практические, лабараторные и итоговый проект / pz 2 / 2.2.3.3 Packet Tracer — Configuring Initial Switch Settings Instructions
В этом задании вам необходимо настроить основные параметры коммутатора. Необходимо обеспечить безопасность доступа к интерфейсу командной строки (CLI) и портам консоли с помощью зашифрованных и текстовых паролей. Вы также изучите способы конфигурации сообщений, которые будут адресованы пользователям, выполняющим вход в систему коммутатора. Эти баннерные сообщения также предупреждают пользователей о том, что несанкционированный доступ запрещён.
Часть 1: Проверка конфигурации коммутатора по умолчанию
Шаг 1: Вход в привилегированный режим.
В привилегированном режиме доступны все команды коммутатора. Но в связи с тем, что многими из привилегированных команд задаются рабочие параметры, привилегированный доступ должен быть защищён паролем во избежание несанкционированного использования.
К привилегированному набору команд относятся те, которые содержатся в пользовательском режиме, а также команда configure , при помощи которой выполняется доступ к остальным командным режимам.
a. Щёлкните S1 и откройте вкладку CLI . Нажмите клавишу ВВОД .
b. Перейдите в привилегированный режим, выполнив команду enable .
Switch> enable Switch#
Обратите внимание, что изменённая в конфигурации строка будет отражать привилегированный режим.
© Корпорация Cisco и/или её дочерние компании, 2014. Все права защищены.
В данном документе содержится общедоступная информация корпорации Cisco.
Packet Tracer: настройка исходных параметров коммутатора
Шаг 2: Просмотрите текущую конфигурацию коммутатора.
a. Выполните команду show running-config .
Switch# show running-config
b. Ответьте на следующие вопросы.
Сколько у маршрутизатора интерфейсов FastEthernet? _______
Сколько у маршрутизатора интерфейсов Gigabit Ethernet? _______
Каков диапазон значений, отображаемых в vty-линиях? 0-15 Какая команда отображает текущее содержимое NVRAM?
Почему коммутатор отвечает сообщением startup-config is not present ?
Часть 2: Создание базовой конфигурации коммутатора
Шаг 1: Назначение коммутатору имени.
Для настройки параметров коммутатора, возможно, потребуется переключаться между режимами настройки. Обратите внимание, как изменяется строка приглашения при переходе по разделам коммутатора.
Switch# configure terminal
Switch(config)# hostname S1 S1(config)# exit
Шаг 2: Безопасный доступ к консоли.
Для обеспечения безопасного доступа к консоли перейдите в режим config-line и установите для консоли пароль letmein .
S1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z. S1(config)# line console 0
S1(config-line)# password letmein S1(config-line)# login S1(config-line)# exit S1(config)# exit
%SYS-5-CONFIG_I: Configured from console by console S1#
Для чего нужна команда login ?
=0AB@08205B :><<CB0B>@ 4;O 0CB5=B8D8:0F88 ?@8 2E>45 2 A8AB5<C.
© Корпорация Cisco и/или её дочерние компании, 2014. Все права защищены.
В данном документе содержится общедоступная информация корпорации Cisco.
Packet Tracer: настройка исходных параметров коммутатора
Шаг 3: Убедитесь, что доступ к консоли защищён паролем.
Выйдите из привилегированного режима, чтобы убедиться, что для консольного порта установлен пароль.
Switch con0 is now available Press RETURN to get started.
User Access Verification Password:
Примечание. Если коммутатор не выводит запрос на ввод пароля, значит, вы не настроили параметр login в шаге 2.
Шаг 4: Безопасный доступ в привилегированном режиме.
Установите для enable пароль c1$c0 . Этот пароль ограничивает доступ к привилегированному режиму.
Примечание. Символ 0 в c1$c0 — это цифра ноль, а не буква «O». Этот пароль не будет действительным, пока вы его не зашифруете в шаге 8.
S1# configure terminal S1(config)# enable password c1$c0
%SYS-5-CONFIG_I: Configured from console by console S1#
Шаг 5: Убедитесь, что доступ к привилегированному режиму защищён паролем.
a. Выполните команду exit ещё раз, чтобы выйти из коммутатора.
b. Нажмите клавишу <ВВОД> , после чего вам будет предложено ввести пароль:
User Access Verification Password:
c. Первый пароль относится к консоли, который был задан для line con 0 . Введите этот пароль, чтобы вернуться в пользовательский режим.
d. Введите команду для доступа к привилегированному режиму.
e. Введите второй пароль, который был задан для ограничения доступа к привилегированному режиму.
f. Проверьте конфигурацию, изучив содержимое файла running-configuration:
S1# show running-configuration
Обратите внимание, что пароли для консоли и привилегированного режима отображаются в виде обычного текста. Это может представлять риск для системы безопасности, если за вашими действиями наблюдают из-за спины.
© Корпорация Cisco и/или её дочерние компании, 2014. Все права защищены.
В данном документе содержится общедоступная информация корпорации Cisco.
Packet Tracer: настройка исходных параметров коммутатора
Шаг 6: Настройка зашифрованного пароля для доступа к привилегированному режиму.
Пароль для enable нужно заменить на новый зашифрованный пароль с помощью команды enable secret . Установите для команды «enable» пароль itsasecret .
S1(config)# enable secret itsasecret
S1(config)# exit S1#
Примечание. Пароль enable secret переопределяет пароль enable . Если для коммутатора заданы оба пароля, для перехода в привилегированный режим нужно ввести пароль enable secret .
Шаг 7: Убедитесь в том, что пароль «enable secret» добавлен в файл конфигурации.
a. Введите команду show running-config ещё раз, чтобы проверить новый пароль enable secret .
Примечание. Команду show running-config можно сократить до
enable secret 5 $1$mERr$ILwq/b7kc.7X/ejA4Aosn0
b. Что отображается при выводе пароля ? ______________________________________
c. Почему пароль enable secret отображается не так, как заданный пароль?
Шаг 8: Шифрование паролей для консоли и привилегированного режима.
Как было видно в шаге 7, пароль enable secret зашифрован, а пароли enable и console хранятся в виде обычного текста. Сейчас мы зашифруем эти открытые пароли с помощью команды service password-encryption .
S1(config)# service password-encryption
Если установить на коммутаторе другие пароли, они будут храниться в файле конфигурации в виде обычного текста или в зашифрованном виде? Объясните, почему?
C4CB 70H8D@>20=K, B. 70?CI5= A5@28A H8D@>20=8O
Часть 3: Настройка баннера MOTD
Шаг 1: Настройка сообщения ежедневного баннера (MOTD).
В набор команд Cisco IOS входит команда, которая позволяет настроить сообщение, которое будет показываться всем, кто входит в систему на коммутаторе. Это сообщение называется ежедневным баннером (MOTD). Текст баннера нужно заключить в двойные кавычки или использовать разделитель, отличный от любого символа в строке MOTD.
S1(config)# banner motd «This is a secure system. Authorized Access Only!»
%SYS-5-CONFIG_I: Configured from console by console S1#
© Корпорация Cisco и/или её дочерние компании, 2014. Все права защищены.
В данном документе содержится общедоступная информация корпорации Cisco.
Packet Tracer: настройка исходных параметров коммутатора
Когда будет отображаться этот баннер?
@8 2E>45 ?>;L7>20B5;O 2 A8AB5<C
Зачем на всех коммутаторах должен быть баннер MOTD?
Часть 4: Сохранение файлов конфигурации в NVRAM
Шаг 1: Проверьте правильность конфигурации с помощью команды «show run».
Шаг 2: Сохраните файл конфигурации.
Вы завершили базовую настройку коммутатора. Теперь выполните резервное копирование файла конфигурации в NVRAM и проверьте, чтобы внесённые изменения не потерялись после перезагрузки системы и отключения питания.
S1# copy running-config startup-config
Destination filename [startup-config]? [Enter] Building configuration.
copy running-config startup-config copy run start
Какова самая короткая версия команды ? _________
Шаг 3: Изучите начальный файл конфигурации.
Какая команда отображает содержимое NVRAM? ____________________________________________
Все ли внесённые изменения были записаны в файл? _______
Часть 5: Конфигурация S2
Вы завершили настройку коммутатора S1. Теперь настройте коммутатор S2. Если вы не можете вспомнить команды, вернитесь к частям 1–4.
Настройте для коммутатора S2 следующие параметры.
a. Имя устройства: S2
b. Защитите доступ к консоли паролем letmein .
c. Установите для привилегированного режима пароль c1$c0 и задайте пароль «enable secret»
d. Введите следующее сообщение для пользователей, выполняющих вход в систему на коммутаторе:
Authorized access only. Unauthorized access is prohibited and violators will be prosecuted to the full extent of the law .
e. Зашифруйте все открытые пароли.
f. Проверьте правильность конфигурации.
g. Сохраните файл конфигурации, чтобы предотвратить его потерю в случае отключения питания коммутатора.
Почему пароль enable secret отображается не так как было задано
rename flash:config.text flash:config.old
Continue with the configuration dialog?
Switch#copy config.old running-config
username xxx password xxx
enable secret xxx
Изменение паролей на маршрутизаторе cisco
Router#copy startup-config running-config
username xxx password xxx
enable secret xxx
The password-recovery mechanism has been triggered, but is currently disabled. Access to the boot loader prompt through the password-recovery mechanism is disallowed at this point. However, if you agree to let the system be reset back to the default system configuration, access to the boot loader prompt can still be allowed. Would you like to reset the system back to the default configuration (y/n)?
Изменение паролей на коммутаторах cisco с catos
Enter password: Enter
switch> ensbleEnter
Enter password: Enter
switch> (enable) set password
Enter old password:Enter
Enter new password:pa$$wordEnter
Retype new password:pa$$wordEnter
Password changed.
switch> (enable) set enablepass
Enter old password:Enter
Enter new password:enapa$$Enter
Retype new password:enapa$$Enter
Password changed.
Вариант сброса настроек коммутаторов cisco на заводские с помощью кнопки mode.
*Mar 1 03:00:57: %PKI-6-AUTOSAVE: Running configuration saved to NVRAM[O
*Mar 1 03:07:10: %SYS-5-RELOAD: Reload requested by Hulc LED Process. Reload Reason: Reason unspecified.
Boot Sector Filesystem (bs) installed, fsid: 2
Would you like to enter the initial configuration dialog? [yes/no]: n
Switch>
Cisco: не получается поменять пароль для пользователя или enable
пароль, тем не менее, не применяется, а остается предыдущим.
Разгадка может крыться в том, что предыдущий админ пароль задавал через secret — тогда Cisco будет ориентироваться на защищенный, шифрованный пароль, а не plaintext Ваш.
Унать это можно через shrun:
видите строчку ‘enable secret’? Если она есть — значит в данный момент действует шифрованный пароль и то, что Вы задаете обычный — не влияет на процедуру входа.
Для того, чтобы это изменить — либо тоже задавайте secret пароль, либо просто выключите предыдущий:
Почему пароль enable secret отображается не так как было задано
Почему пароль enable secret отображается не так как было задано
enable secret 0
no enable password
no enable secret
Пароль enable и Секретный Пароль enable
Switch>enable
% No password set
Switch>
Router(config)#line vty 0 4
Router(config-line)#password пароль
Router(config-line)#login