Что происходит, когда вы вводите команду transport input ssh на линии vty коммутатора

Обновлено: 21.11.2024

Вы можете управлять маршрутизаторами Cisco и коммутаторами Catalyst с помощью консольного подключения, но для этого требуется прямое консольное кабельное подключение к устройству, которым вы хотите управлять. Консольные подключения не являются эффективным способом управления удаленными устройствами. Эффективным способом управления удаленными устройствами является использование доступа VTY, который представляет собой удаленный доступ на основе интерфейса командной строки с использованием Telnet или SSH.

Telnet использует TCP-порт номер 23. Telnet — это простой протокол, который не шифрует соединения. Следовательно, существует риск того, что в случае прослушивания сообщения информация об учетной записи с идентификатором пользователя/паролем может быть скомпрометирована, что позволит злоумышленнику войти в систему. С другой стороны, SSH использует TCP-порт 22. Он использует криптографию с открытым ключом, что означает, что даже если кто-то прослушивает SSH, нет риска компрометации информации учетной записи.

Чтобы принять удаленный доступ через Telnet или SSH к VTY на маршрутизаторах Cisco и коммутаторах Catalyst, необходимо заранее настроить линию VTY. Протокол, который должен быть принят на линии VTY, определяется командой ввода транспорта.

Вы можете указать различные протоколы, но обычно следует использовать telnet или ssh. Если вы хотите принимать только ssh, используйте транспортный ввод ssh. Также можно указать более одного протокола.

Когда вы получаете доступ к VTY , вы входите в линию VTY, линия VTY — это виртуальный интерфейс, который принимает доступ к VTY, а номер линии равен пяти, от 0 до 4 по умолчанию. Текущая IOS может быть дополнительно расширена для обработки большего количества линий VTY; одно устройство может принимать несколько обращений к VTY, и при назначении номера линии VTY используется номер линии VTY, доступный на момент получения доступа VTY. Когда линия, которая настраивает аутентификацию, и линия, которая не настраивает аутентификацию, смешиваются вместе, это нежелательно с точки зрения безопасности, поэтому, пожалуйста, настройте аутентификацию правильно для всех линий VTY в основном. Рисунок Множественный доступ к VTY

Настройка доступа через Telnet

Чтобы принять доступ к VTY от удаленного пользователя, вам в основном необходимо пройти аутентификацию; в случае доступа через Telnet вы можете аутентифицироваться с помощью пароля на линии VTY или с помощью имени пользователя/пароля, определенных маршрутизатором.

Команда входа в систему включает аутентификацию на линии VTY с использованием пароля, установленного на линии VTY. Рисунок Конфигурация аутентификации (пароль линии VTY)

Если вы включили аутентификацию по паролю на линии VTY с помощью команды входа в систему, но не установили пароль на линии VTY, вы не сможете пройти аутентификацию, и доступ к VTY будет запрещен следующим образом.

А для более гибкой аутентификации вы можете ввести локальную команду входа в систему на линии VTY. Это позволит вам аутентифицироваться с помощью имени пользователя и пароля, определенных на маршрутизаторе. Рисунок Настройка аутентификации (имя пользователя и пароль на маршрутизаторе)

Мы не будем вдаваться в подробности, но для аутентификации также можно использовать внешний сервер аутентификации.

Если вы введете команду no login на линии VTY, вы сможете получить доступ к VTY по Telnet без аутентификации. Однако это не рекомендуется из соображений безопасности, поскольку, если вы знаете IP-адрес вашего маршрутизатора, любой может получить доступ к Telnet.

Настройка доступа по SSH

  1. Конфигурация доменного имени и имени хоста.
  2. Создание открытого ключа
  3. Включите SSH и аутентификацию на VTY
  4. Настройка имени пользователя и пароля

1. Конфигурация доменного имени и имени хоста.

Настройте маршрутизатор с уникальным доменным именем и именем хоста, чтобы сгенерировать открытый ключ, который будет использоваться для шифрования.

: имя домена
: имя хоста

2. Генерация открытого ключа

Создает открытый ключ. Когда вы вводите команду, вас просят указать битовую длину открытого ключа, который вы хотите сгенерировать. Введите соответствующую длину бита ключа.

Ниже приведен пример вывода команды crypto key generate rsa для создания открытого ключа.

3. Включите SSH и аутентификацию на VTY

Вы можете включить SSH на VTY. SSH включен по умолчанию транспортным вводом all, поэтому вам не нужно его настраивать. SSH требует аутентификации по имени пользователя и паролю. локальная команда login, чтобы включить аутентификацию по имени пользователя и паролю.

4.Настройка имени пользователя и пароля

Настройте имя пользователя/пароль для аутентификации.

Запуск Telnet с маршрутизатора Cisco и коммутатора Catalyst

Помимо доступа через Telnet, маршрутизаторы Cisco и коммутаторы Catalyst также могут использовать Telnet для входа на другие устройства. Чтобы подключиться к другим устройствам через Telnet, введите следующие команды в пользовательском или привилегированном режиме EXEC.

Эта команда подключается через Telnet к указанному IP-адресу или имени хоста. Чтобы использовать имя хоста, вы должны иметь возможность разрешать имя, задав команду ip host или DNS.

Вы можете опустить саму команду «telnet». Другими словами, если вы введете IP-адрес или имя хоста и нажмете клавишу «Ввод», подключитесь через Telnet к указанному IP-адресу или имени хоста.

Вот что нужно иметь в виду. Если вы введете неправильную команду, она будет интерпретирована как имя хоста и попытается разрешить имя для подключения по telnet.

Если вы введете неправильную команду «aaa», устройство Cisco интерпретирует это как «Telnet к хосту с именем «aaa»» и по умолчанию попытается выполнить широковещательную рассылку, чтобы выполнить разрешение имен для «aaa». Это действие приведет к прерыванию процесса настройки. Чтобы предотвратить это, введите следующую команду в режиме глобальной конфигурации

Если вы введете неправильную команду, разрешение имен не будет выполнено и время не будет потеряно. В процессе настройки рекомендуется не включать поиск IP-домена.

Запустите SSH с маршрутизатора Cisco и коммутатора Catalyst

Маршрутизаторы Cisco и коммутаторы Catalyst также могут предоставлять доступ VTY к другим устройствам в качестве клиента SSH. используйте следующие команды в пользовательском режиме EXEC или в привилегированном режиме EXEC для удаленного входа на другие устройства в качестве клиента SSH.

Эта команда попытается войти на указанный IP-адрес или хост с указанным именем пользователя. Если вы хотите использовать имя хоста, вы должны иметь возможность разрешать имя, а также команду telnet.

Команда ssh также позволяет указать множество других параметров, таких как версия и алгоритмы шифрования.

Включить вывод журнала для удаленного входа в систему (монитор терминала)

При удаленном входе в маршрутизатор Cisco или коммутатор Catalyst через Telnet/SSH журналы по умолчанию не выводятся. Если вы хотите вывести журнал удаленного входа в систему, введите команду монитора терминала в привилегированном режиме EXEC.

Рисунок команды монитора терминала

Пример монитора терминала

Ниже приведен пример команды монитора терминала. Следующий вывод журнала получается при подключении по telnet с консоли маршрутизатора R1 к маршрутизатору R2, и если команда монитора терминала не настроена, журнал не будет выводиться даже после выхода из режима глобальной конфигурации в пункте назначения R2.

При выходе из режима глобальной конфигурации после ввода команды монитора терминала из привилегированного режима EXEC в R2 отображается журнал. Разумеется, журнал также отображается, за исключением случаев выхода из режима глобальной конфигурации.

Как приостановить и возобновить доступ к VTY

Предположим, у вас есть доступ через VTY с одного устройства Cisco на другое. когда у вас есть доступ к VTY, вы становитесь CLI устройства, к которому вы обращаетесь к VTY, и вы можете изменять конфигурацию и выполнять команды show из CLI. чтобы прервать доступ к VTY, вы можете использовать выход или выход из системы. Вы можете ввести команду, чтобы вернуться в интерфейс командной строки исходного устройства. Однако это полностью отключит доступ к VTY.

Чтобы приостановить доступ к VTY, нажмите [Ctrl+Shift+6], а затем нажмите [x].

Если вы приостанавливаете доступ к VTY, используйте команду show session, чтобы отобразить сохраненный доступ к VTY.

Значок «*» указывает на последний доступ к VTY. Число после него — номер сеанса. Чтобы возобновить сохраненный доступ к VTY, используйте команду возобновления.

При возобновлении саму команду возобновления можно пропустить. Сеанс может быть возобновлен, если указан только номер сеанса. Если вы опустите номер сеанса, будет перезапущен сеанс, отмеченный звездочкой (*). Другими словами, если вы прервете сеанс и вернетесь к исходному интерфейсу командной строки, ввод ключа без ввода чего-либо вернет вас к предыдущему сеансу.

Если вы хотите отключить доступ к VTY, который у вас есть, введите следующую команду.

Подтвердить доступ к VTY

Ниже приведены основные команды для проверки доступа к VTY.

show users показывает доступы к вам через VTY. И сеанс show показывает доступы VTY, которые вы делаете. Давайте посмотрим на пользователей шоу и сеанс шоу в следующем примере сети. Рис. Проверка доступа к VTY

Во-первых, если мы посмотрим на пользователей шоу в R2, это будет выглядеть так

Это показывает, что R2 подключен по telnet от R1 (10.1.1.1). «18» в «18 vty 0» — это общий номер линии, включая консоль и т. д. В данном примере номер линии VTY — «0».Если вы хотите принудительно отключить telnet для себя, используйте команду очистки строки. Если вы хотите отключить соединение Telnet в этом примере, используйте номер линии VTY пользователей шоу и введите следующее

Для настройки коммутатора для безопасной оболочки (SSH) необходимы следующие условия:

Для работы SSH коммутатору требуется пара открытого и закрытого ключей Rivest, Shamir и Adleman (RSA). То же самое и с протоколом безопасного копирования (SCP), который использует SSH для безопасного транспорта.

Перед включением SCP необходимо правильно настроить SSH, аутентификацию и авторизацию на коммутаторе.

Поскольку SCP использует SSH для безопасного транспорта, маршрутизатор должен иметь пару ключей Rivest, Shamir и Adelman (RSA).

SCP полагается на SSH для обеспечения безопасности.

SCP требует, чтобы аутентификация, авторизация и авторизация учета (AAA) были настроены таким образом, чтобы маршрутизатор мог определить, имеет ли пользователь правильный уровень привилегий.

Пользователь должен иметь соответствующие полномочия для использования SCP.

Пользователь, имеющий соответствующие полномочия, может использовать SCP для копирования любого файла в файловой системе Cisco IOS (IFS) на коммутатор и обратно с помощью команды копирования. Авторизованный администратор также может сделать это с рабочей станции.

Ограничения для настройки Secure Shell

Ниже приведены ограничения для настройки устройства для безопасной оболочки.

Коммутатор поддерживает аутентификацию Rivest, Shamir и Adelman (RSA).

SSH поддерживает только приложение оболочки выполнения.

При использовании SCP вы не можете ввести пароль в команду копирования. При появлении запроса необходимо ввести пароль.

Баннер входа в систему не поддерживается в Secure Shell версии 1. Он поддерживается в Secure Shell версии 2.

Ключевое слово -l и идентификатор пользователя: разделитель и аргументы являются обязательными при настройке альтернативного метода обратного SSH для доступа к консоли.

Информация о настройке Secure Shell

Secure Shell (SSH) – это протокол, обеспечивающий безопасное удаленное подключение к устройству. SSH обеспечивает большую безопасность для удаленных подключений, чем Telnet, обеспечивая надежное шифрование при проверке подлинности устройства. Этот выпуск программного обеспечения поддерживает SSH версии 2 (SSHv2).

SSH и коммутатор

Secure Shell (SSH) – это протокол, обеспечивающий безопасное удаленное подключение к устройству. SSH обеспечивает большую безопасность для удаленных подключений, чем Telnet, обеспечивая надежное шифрование при проверке подлинности устройства. Этот выпуск программного обеспечения поддерживает SSH версии 2 (SSHv2).

SSH работает в IPv6 так же, как и в IPv4. Для IPv6 SSH поддерживает адреса IPv6 и обеспечивает безопасные зашифрованные соединения с удаленными узлами IPv6 через транспорт IPv6.

Серверы SSH, интегрированные клиенты и поддерживаемые версии

Встроенный клиент Secure Shell (SSH) — это приложение, работающее по протоколу SSH для аутентификации и шифрования устройства. Клиент SSH позволяет устройству Cisco установить безопасное зашифрованное соединение с другим устройством Cisco или с любым другим устройством, на котором работает сервер SSH. Это соединение обеспечивает функциональные возможности, аналогичные исходящим соединениям Telnet, за исключением того, что соединение шифруется. Благодаря аутентификации и шифрованию клиент SSH обеспечивает безопасную связь по незащищенной сети.

SSH-сервер и интегрированный SSH-клиент — это приложения, работающие на коммутаторе. Сервер SSH работает с клиентом SSH, поддерживаемым в этом выпуске, и с клиентами SSH сторонних производителей. Клиент SSH работает с общедоступными и коммерческими серверами SSH. Клиент SSH поддерживает шифры стандарта шифрования данных (DES), 3DES и аутентификацию по паролю.

Аутентификация пользователя выполняется так же, как и в сеансе Telnet с устройством. SSH также поддерживает следующие методы аутентификации пользователей:

Локальная аутентификация и авторизация

Руководство по настройке SSH

Следуйте этим рекомендациям при настройке коммутатора в качестве SSH-сервера или SSH-клиента:

Пара ключей RSA, созданная сервером SSHv1, может использоваться сервером SSHv2 и наоборот.

Если сервер SSH работает на активном коммутаторе и активный коммутатор выходит из строя, новый активный коммутатор использует пару ключей RSA, созданную предыдущим активным коммутатором.

Если вы получаете сообщения об ошибках CLI после ввода команды глобальной конфигурации crypto key generate rsa, пара ключей RSA не была сгенерирована. Перенастройте имя хоста и домен, а затем введите команду генерирования криптографического ключа rsa.

При создании пары ключей RSA может появиться сообщение Не указано имя хоста. Если это так, вы должны настроить имя хоста с помощью команды глобальной конфигурации hostname.

При создании пары ключей RSA может появиться сообщение Не указан домен. Если это так, вы должны настроить имя домена IP с помощью команды глобальной конфигурации ip domain-name.

При настройке метода локальной проверки подлинности и авторизации убедитесь, что AAA отключен на консоли.

Обзор протокола безопасного копирования

Функция протокола безопасного копирования (SCP) обеспечивает безопасный метод с проверкой подлинности для копирования конфигураций коммутатора или файлов образа коммутатора. SCP использует Secure Shell (SSH), приложение и протокол, которые обеспечивают безопасную замену r-инструментов Berkeley.

Для работы SSH коммутатору требуется пара открытого и закрытого ключей RSA. То же самое и с SCP, который использует SSH для безопасного транспорта.

Поскольку SSH также использует аутентификацию AAA, а SCP дополнительно использует авторизацию AAA, необходима правильная настройка.

Перед включением SCP необходимо правильно настроить SSH, аутентификацию и авторизацию на коммутаторе.

Поскольку SCP использует SSH для безопасного транспорта, маршрутизатор должен иметь пару ключей Rivest, Shamir и Adelman (RSA).

При использовании SCP вы не можете ввести пароль в команду копирования. При появлении запроса необходимо ввести пароль.

Протокол безопасного копирования

Функция протокола защищенного копирования (SCP) обеспечивает безопасный метод с проверкой подлинности для копирования конфигураций устройств или переключения файлов изображений. Поведение SCP аналогично поведению удаленного копирования (rcp), которое входит в набор инструментов Berkeley r-tools, за исключением того, что SCP для обеспечения безопасности использует SSH. SCP также требует настройки аутентификации, авторизации и авторизации учета (AAA), чтобы устройство могло определить, имеет ли пользователь правильный уровень привилегий. Чтобы настроить функцию безопасного копирования, вы должны понимать концепции SCP.

Как настроить Secure Shell

Настройка устройства для запуска SSH

Выполните следующие действия, чтобы настроить устройство для запуска SSH:

Прежде чем начать

Настройте аутентификацию пользователя для локального или удаленного доступа. Этот шаг обязателен. Дополнительные сведения см. в разделе «Ресурсы» ниже.

Настройка интерфейсов управления Cisco Ethernet

Вслед за недавними записями, в которых я рассказывал об использовании платформы Cisco Catalyst 4500-X для проекта обновления сетевой инфраструктуры eduroam, я подумал, что было бы неплохо более подробно рассказать об интерфейсе управления Ethernet. Почему, я слышу, вы спрашиваете? Что ж, хотя тема сама по себе, вероятно, кажется очень тривиальной (и немного скучной, честно говоря), настроить ее и заставить ее на самом деле работать оказалось сложнее, чем я изначально ожидал!

Потратив некоторое время на изучение этой темы в Интернете после нескольких ошибок, я не смог найти ни одного ресурса, который ответил бы на все мои вопросы.

Поэтому я надеюсь, что этот пост поможет сэкономить время тем, у кого есть коммутатор или маршрутизатор Cisco с интерфейсом управления Ethernet, который они хотят использовать для систем управления и мониторинга.

Зачем вообще использовать интерфейс управления?

Это правильный вопрос. В некоторых сценариях вы можете решить, что не хотите. Конечно, с большей частью нашего коммутационного оборудования Cisco мы тоже этого не делаем. В тех случаях, когда мы *должны* иметь внеполосный (OOB) доступ к устройству в случае серьезного сбоя (к счастью, мы не видим многих из них), мы часто предпочитаем использовать подключенный консольный порт. с терминальными серверами, к которым мы можем подключиться через альтернативную IP-сеть. В других случаях мы часто используем один из стандартных базовых T-портов VLAN, отключенный от отдельной сети Lights Out Management (LOM).

Однако использование этого специального интерфейса управления может быть полезным по многим причинам в зависимости от сценария, с которым вы работаете. Вот несколько основных из них, повлиявших на наше решение в случае с платформой 4500-X:

  • Он изолирует трафик управления от глобальной таблицы маршрутизации в выделенном VRF;
  • Это позволяет избежать использования фронтальных интерфейсов.
  • Это позволяет избежать расходов на приобретение дополнительных приемопередатчиков Base T, если вы работаете с платформой, полностью состоящей из SFP/SFP+.

Я уверен, что есть и другие преимущества, хотя, учитывая, что 4500-X представляет собой полностью платформу SFP без других встроенных портов base T, это кажется очень разумным решением.

Обзор конфигурации управления — на что обратить внимание

Поэтому, когда я сначала обнаружил, что сижу за терминалом, пытаясь выполнить первоначальную настройку одного из этих коммутаторов, я быстро понял, что наш стандартный шаблон конфигурации не поможет. Я обнаружил некоторые предостережения относительно того, как вы обычно ожидаете настроить функции, даже самые основные.

Вот краткое изложение того, что я нашел. Я расскажу об этом позже в этом посте:

  • Порт управления по умолчанию назначается управляющему VRF (называемому «mgmtVrf» или другому варианту в зависимости от платформы и версии программного обеспечения, с которым вы работаете) и не может быть повторно -назначается либо на другой VRF, либо на глобальную таблицу маршрутизации (так что обмануть нельзя);
  • Мы ограничиваем линии VTY на наших устройствах с помощью ACL, чтобы ограничить доступ к определенным хостам/сетям IP управления. Я обнаружил, что без дополнительного параметра в операторе конфигурации класса доступа я получал ошибки «отказ в подключении» при попытке подключения к линии VTY;
  • Как ни странно, использование варианта «vrf» команды ip domain-name, необходимой для настройки Secure Shell (SSH), не работало при создании криптоключей;
  • Конфигурации аутентификации, авторизации и учета (AAA) с использованием группы серверов «по умолчанию» не будут работать;
  • Для серверов TACACS+/RADIUS необходимо было определить пользовательскую группу серверов AAA. В рамках этого мне пришлось использовать некоторые конкретные команды, чтобы заставить это работать, включая указание исходного интерфейса для связанных запросов;
  • Некоторые общие команды режима глобальной конфигурации можно было использовать как обычно, но другие требовали, чтобы VRF mgmtVrf был настроен как дополнительный параметр;

Видишь? Я же говорил, что это сложно!

Конфигурация SSH/VTY

Как описано ранее, разумнее всего ограничить доступ к вашим устройствам, чтобы использовать только SSH, и разрешить это только с определенных авторизованных хостов/сетей.

В свете этого, вот как выглядит наша базовая конфигурация (я изменил некоторые IP-адреса на фиктивные из соображений безопасности):

Затем, конечно, мы сгенерируем ключ RSA:

Хорошо, эта часть конфигурации, вероятно, меньше всего изменилась в связи с использованием порта управления.

Я хотел бы подчеркнуть, что использование следующей команды вместо приведенной выше не сработало:

Отлично! Это действительно нелогично, не так ли? Использование специфичного для VRF варианта команды вместо стандартной команды означает, что вы не сможете сгенерировать ключ RSA. Однако эта команда нужна вам в дополнение к разрешению поиска DNS, если вы хотите сделать это через интерфейс управления в сочетании с командами сервера имен, специфичными для VRF.

Единственными оставшимися изменениями, необходимыми для того, чтобы эта часть конфигурации работала, было добавление двух команд в строку конфигурации vty:

С учетом этих изменений вы сможете сгенерировать ключ RSA как обычно и обнаружите, что доступ по SSH через VTY работает должным образом. Это лишь очень тонкие различия, но я подозреваю, что без них вы можете некоторое время чесать затылок — я, конечно, сделал!

Конфигурация конкретной пользовательской группы серверов AAA (названной в моих примерах TAC_PLUS) подробно описана в следующем разделе. Если в вашем собственном сценарии вы просто полагаетесь на локальную базу данных для аутентификации, вам не нужна команда «аутентификация входа».

Конфигурация ААА

Возможно, вы можете игнорировать этот раздел, если вы не используете AAA, т.е. если вы не используете сервер TACACS+ или RADIUS для управления доступом к вашим сетевым устройствам. По всей вероятности, я полагаю, что в большинстве случаев вы будете использовать тот или иной вариант.

Наша конфигурация AAA по умолчанию довольно стандартна. В случае нормальной работы любые пользователи, желающие, например, войти в сетевой коммутатор, должны пройти аутентификацию через нашу внутреннюю службу TACACS+, которая, в свою очередь, решает, какой уровень доступа разрешен пользователю (полный или только для чтения). ) и какие команды им разрешено вводить. Эта служба также ведет учетные записи, т. е. то, что пользователь делал, когда он вошел в систему коммутатора.

В редких случаях, когда сервер TACACS+ может быть недоступен, пользователи могут пройти аутентификацию через локальную базу данных пользователей на коммутаторе. Это должно иметь место только в том случае, если метод TACACS+ недоступен.

Эти правила также должны применяться независимо от того, откуда пользователь входит в систему, т. е. входит ли он удаленно через линию VTY или напрямую подключен к консольному порту коммутатора.

Итак, учитывая все это, наш стандартный шаблон конфигурации AAA выглядит следующим образом:

Эта конфигурация вообще не работала при использовании интерфейса управления. Вместо этого вы должны сначала определить свою собственную группу серверов следующим образом:

Справедливости ради стоит отметить, что Cisco уже довольно давно предупреждала нас о том, что прекратит поддержку старых команд «tacacs-server» и «radius-server». Однако от старых привычек часто трудно избавиться!

Также обратите внимание на использование команды server-private и определение VRF mgmtVrf внутри группы. Оба важны!

В свете нашей новой пользовательской конфигурации группы серверов AAA команды метода AAA также необходимо изменить, чтобы они соответствовали друг другу. Теперь они должны выглядеть примерно так (конечно, точные команды могут различаться в зависимости от ваших собственных политик AAA, используемых локально):

Другие команды режима глобальной конфигурации

Конечно, следует учитывать и другие службы управления, если, конечно, вы хотите, чтобы весь трафик, связанный с управлением, использовал порт управления.

Команды для этих других служб вводятся в режиме глобальной конфигурации. При использовании выделенного порта управления некоторые из этих команд должны быть изменены для включения дополнительных параметров, а другие нет. Я бы предположил, что использование контекстной справки (наш полезный друг «?») в IOS/IOS-XE поможет здесь в дополнение к руководству по настройке для вашей платформы.

Вот как я настроил платформу 4500-X для отправки запросов на наши DNS-серверы, отправки журналов на наш сервер системного журнала, участия в SNMP и синхронизации часов с нашими NTP-серверами через порт управления. Я выделил жирным шрифтом команды, которые необходимо изменить:

Обратите внимание, что вышеизложенное не является исчерпывающим. Они предоставлены исключительно в качестве примеров, и, конечно же, у вас могут быть другие службы для настройки, которые я здесь не упомянул.

После того, как вы разберетесь со спецификой конфигурации, связанной с портом управления, вы получите удобный способ подключения нового устройства к инфраструктуре управления сетью, не тратя впустую фронтальные интерфейсы. Он также предоставляет готовый метод изоляции трафика управления от обычного трафика данных.

Если бы у меня была одна критика, это было бы то, что конфигурация для этого в мире Cisco может быть проще и более последовательной. Но мы не можем все время делать все по-своему!

Получите полный доступ к Cisco IOS в двух словах, 2-е издание и более чем 60 000 других продуктов с бесплатной 10-дневной пробной версией O'Reilly.

Есть также прямые онлайн-мероприятия, интерактивный контент, материалы для подготовки к сертификации и многое другое.

Глава 4. Линейные команды

Маршрутизаторы Cisco проводят довольно простое различие между характеристиками последовательной линии (которые можно рассматривать как «физические» характеристики) и характеристиками протоколов, работающих на линии. Физические характеристики линии настраиваются командой линии (и различными командами, которые следуют за ней) и включают такие элементы, как контроль четности и скорость порта. Характеристики протокола высокого уровня настраиваются командой интерфейса (и следующими за ней командами); эти характеристики включают IP-адреса и другие свойства.

Консольный порт маршрутизатора (CTY)

Асинхронные порты маршрутизатора (TTY), используемые для входящих и исходящих модемных подключений

Дополнительный порт маршрутизатора (AUX), используемый для резервного подключения модема

Подключения Telnet, SSH и rlogin к маршрутизатору («виртуальные терминалы» или VTY)

Команда строки

Команда line указывает, какую линию или группу линий вы хотите настроить, войдя в режим конфигурации линии. На самом деле он не выполняет настройку; за ним следуют другие команды, которые настраивают нужные вам свойства. Вот синтаксис команды строки:

Возможные типы линий: aux , console , tty и vty . Эти типы линий обсуждаются отдельно в этой главе. В следующем примере показано, как использовать команду line для настройки некоторых свойств консольного интерфейса маршрутизатора:

Если вы хотите применить линейные команды к более чем одной строке, вы можете указать начальный и конечный номера группы строк. Например, предположим, что вы хотите применить команду exec-timeout к линиям TTY с 5 по 10. Вместо того, чтобы вводить эту команду пять раз, вы можете настроить всю группу с помощью одной команды строки:

Абсолютная и относительная нумерация строк

Когда вы вводите команду line, вы присваиваете ей «относительные» номера строк: первый TTY — tty0 , [*] первый виртуальный терминал — vty0 и так далее. Эта схема нумерации интуитивно понятна и удобна. Внутри маршрутизатор использует схему абсолютной нумерации для отслеживания линий. Было бы неплохо, если бы вы могли игнорировать внутреннюю бухгалтерию маршрутизатора, но ряд команд используют абсолютные номера строк при сообщении информации о состоянии линии.

Абсолютные номера линий рассчитываются по их расположению на маршрутизаторе в порядке CTY, TTY, AUX и затем VTY. Консольный порт первый; его абсолютный номер строки равен нулю (0). Далее идут порты TTY, начиная с абсолютного номера строки 1 и продолжая количество линий TTY на маршрутизаторе. Если у вас восемь портов TTY, абсолютные номера от 1 до 8 будут номерами TTY на вашем маршрутизаторе. Далее следует порт AUX, абсолютный номер строки которого равен последнему номеру TTY плюс 1. Наконец, VTY начинаются с номера порта AUX плюс 1. В Таблице 4-1 поясняется абсолютная и относительная нумерация строк.

Чтобы просмотреть эту таблицу на маршрутизаторе, используйте команду show users all . В первом столбце вывода показан абсолютный номер строки, за которым следует тип строки, а затем относительный номер строки:

Консольный порт

У каждого маршрутизатора есть один консольный порт.Этот порт всегда имеет номер линии 0. Вы подключаетесь к порту консоли, подключая стандартный кабель RS232, как показано на рис. 4-1. Этот кабель часто поставляется с маршрутизатором.

Вы можете использовать любую программу эмуляции терминала VT100 для связи с маршрутизатором; просто выберите правильный последовательный интерфейс ПК (тот, к которому подключен консольный кабель), а затем несколько раз нажмите клавишу Enter. Маршрутизатор отвечает запуском сеанса EXEC, который представляет собой процесс внутри маршрутизатора, предоставляющий интерфейс командной строки. Настройки по умолчанию для порта: 9600 бод, 8 бит данных, без четности и 1 стоповый бит. Если вы изменили какие-либо из этих значений по умолчанию на устройстве, вам придется изменить настройки в программе терминала, чтобы они соответствовали друг другу.

С помощью линейных команд мы можем определять и контролировать доступ к консольному порту. Вот базовая конфигурация:

Немного большей безопасности можно добиться, добавив логин пользователя:

Эти команды обеспечивают лишь минимальную безопасность; более эффективные меры безопасности см. в главе 15.

Виртуальные терминалы (VTY)

VTY — это логические соединения сети с маршрутизатором; обычно это соединения telnet, SSH или rlogin. Когда пользователь подключается к маршрутизатору из сети, как показано на рис. 4-2, маршрутизатор запускает процесс EXEC для обработки этого соединения.

Хотя с виртуальным терминалом не связано никакого физического канала, VTY настраиваются так же, как и обычные линии TTY. VTY включаются после их настройки. Если вы не настроите никаких VTY, логические соединения, такие как telnet, не могут быть установлены с вашим маршрутизатором из сети. Вот пример конфигурации VTY:

В этом примере показана полузащищенная конфигурация для терминала VTY. Ставим таймаут на 30 минут и применяем только один пароль. Затем мы используем команду transport input для определения протоколов, которым разрешено использовать эту линию; в этом случае мы разрешаем доступ только по ssh. (Если вы хотите быть менее безопасным, вы можете использовать telnet вместо ssh.) Команда access-class применяет список доступа к этому интерфейсу. Мы не будем здесь объяснять списки доступа; в этом примере мы используем простой список доступа, чтобы разрешить доступ с хоста по адресу 10.10.1.2.

Вы должны настроить все свои VTY одинаковым образом, потому что невозможно предсказать, какой VTY получит пользователь, когда подключится к устройству через telnet.

Асинхронные порты (TTY)

TTY — это асинхронные соединения между асинхронными интерфейсами маршрутизатора и последовательными устройствами (модемами). Если вы подключаете модемы к маршрутизатору или серверу доступа для коммутируемого или исходящего соединения, вам потребуется настроить порты TTY .

Порты TTY напрямую соответствуют асинхронным интерфейсам. Поэтому всякий раз, когда вы настраиваете линию TTY, вы, вероятно, также настраиваете соответствующий интерфейс. Если вы подключите модем к асинхронному порту 1, вы будете использовать TTY1 для настройки всех аппаратных аспектов соединения между маршрутизатором и модемом, а интерфейс Async1 будет настраивать протокол. (Команды интерфейса определены в главе 5.) На рис. 4-3 показана возможная конфигурация модема на маршрутизаторе или сервере терминалов.

Вот пример конфигурации модема на порту 3 TTY:

Конфигурацию нетрудно прочитать. Маршрутизатор, который является своего рода терминальным сервером, поддерживает свой собственный список имен пользователей и паролей (login local); модем используется только для дозвона; последовательное соединение между модемом и маршрутизатором настроено на 115200 бод; используется аппаратное управление потоком; а модем настраивается маршрутизатором.

Дополнительный (AUX) порт

Вспомогательный (AUX) порт маршрутизатора работает как резервный асинхронный порт. Чаще всего он используется в качестве резервного консольного порта, но его также можно использовать в качестве коммутируемого порта для удаленного управления маршрутизатором и многих других функций. У него нет производительности асинхронной линии; его скорость часто ограничена (особенно на старых маршрутизаторах), и он выполняет только посимвольный ввод-вывод, что создает высокую нагрузку на ЦП при постоянном использовании.

На рис. 4-4 показано, как можно использовать порт AUX в качестве резервного для линии T1. Если соединение T1 прерывается, маршрутизатор 1 автоматически звонит маршрутизатору 2, используя модем, подключенный к порту AUX. Очевидно, что скорость резервного канала несопоставима со скоростью соединения T1, но она обеспечивает некоторый уровень поддержки резервного копирования.

В следующих примерах конфигурации показано, как использовать порт AUX в качестве резервного соединения. В этом примере используется много команд, которые выходят далеко за рамки этой главы; они включены сюда для завершения конфигурации. Комментарии описывают некоторые из более сложных команд; дополнительную информацию о PPP и маршрутизации по запросу см. в главе 12.

показать строку

Чтобы отобразить состояние линии, используйте команду show line . Это непривилегированная команда, и ее может выполнить любой пользователь. На восьмипортовом терминальном сервере команда show line выдает следующий вывод:

Таблица 4-2 описывает поля этого отчета.

I = линия свободна; * = линия активна.

Фактический номер строки.

Тип линии: CTY (консоль), AUX, TTY, VTY, LPT.

Скорость передачи и приема для этой линии.

Autobaud (автоматическое определение скорости передачи) активен.

Тип сигнала модема, настроенный для этой линии ( callin , callout , cts-req , dtr-act , inout , RIisCd ).

Поворотная группа настроена для этой линии.

Списки доступа для этой строки, как выходные, так и входные (см. класс доступа в главе 17).

Количество подключений к этой линии с момента загрузки маршрутизатора.

Количество раз, когда в этой строке был обнаружен шум. Может использоваться для оценки качества линии.

Количество переполнений буфера, произошедших в этой строке, в формате аппаратное обеспечение / программное обеспечение . Переполнение оборудования происходит, когда оборудование получает данные от программного обеспечения быстрее, чем оно может их обработать. Переполнение программного обеспечения происходит, когда программное обеспечение получает данные от оборудования быстрее, чем оно может их обработать. Плохой кабель может вызвать перерасход.

Вы можете получить более подробную информацию, выбрав одну строку:

Первая часть этого отчета имеет тот же формат, что и таблица 4-2. Тем не менее, остальная часть отчета подробно описывает характеристики линии. В Табл. 4-3 показано, что означают эти дополнительные поля.

Номер линии телетайпа.

Значение ключевого слова местоположения, установленного для этой строки. См. местоположение в главе 17.

Значение, заданное конфигурацией линии.

Длина дисплея терминала в символах.

Ширина дисплея терминала в символах.

Скорости передачи (TX) и приема (RX).

Состояние линии (готово, подключено/отключено, активно/неактивно, выходной баннер).

Как или для чего можно использовать эту строку.

Управление состоянием модема. Если не готово , подозревайте проблему с модемом.

Настройки символов, определенные для этой строки.

Время ожидания указано в настройках.

Максимальное количество сеансов для этой строки. Управляется командой session-limit.

Время после активации

Время, прошедшее с момента активации линии (т. е. как долго линия считалась активной).

Включено ли редактирование командной строки.

Длина буфера истории команд. Устанавливается пользователем с помощью команды history.

Была ли активирована команда полной справки для этой строки.

На этой линии разрешены транспортные средства. Для получения дополнительной информации см. команду транспорта в главе 17.

Символы отправки данных

Настроены ли какие-либо символы для отправки данных. Дополнительную информацию см. в разделе dispatch-character в главе 17.

Протокол и адрес, указанные для этой строки.

Количество пакетов в очереди для этой линии.

Групповые коды AT для этой строки.

Обратный Telnet

Когда пользователь подключается к маршрутизатору по протоколу telnet, он "входит в систему" непосредственно на маршрутизаторе. Cisco добавляет особую особенность: если вы подключаетесь через telnet к специальному порту на маршрутизаторе, маршрутизатор перенаправляет входящее telnet-соединение обратно на выбранную асинхронную линию, а не принимает входящее соединение внутри себя. Это называется обратный telnet . Вот две команды telnet, которые вы можете использовать на рабочей станции Unix или Windows:

Первая команда telnet подключается к стандартному порту telnet (TCP-порт 23; помните, что мы сейчас говорим о TCP-портах, а не о физических портах маршрутизатора) и инициирует сеанс виртуального терминала с маршрутизатором. Вторая команда сложная. Он подключается к TCP-порту 2001; маршрутизатор сопоставляет этот порт с одной из своих асинхронных линий. Маршрутизатор выполняет все требования для входа в систему, затем подключает сеанс telnet к сопоставленной линии.Сопоставление простое: просто вычтите 2000 из порта, используемого для соединения telnet. Таким образом, в этом примере пользователь будет подключен к асинхронной линии 1 (tty1). Строка 2 ( tty2 ) будет 2002 и так далее. Если к tty1 подключен модем, пользователь будет говорить напрямую с модемом.

Единственной загвоздкой этого сопоставления является порт AUX. Номер порта AUX — это последний порт TTY плюс 1. Таким образом, на маршрутизаторе с 18 портами TTY порт AUX будет портом 2019 (последний порт TTY, порт 2018, плюс 1). На маршрутизаторе без интерфейсов TTY порт AUX будет портом 2001.

В дополнение к порту 2000 можно использовать порты 4000 и 6000. Порт 4000 плюс tty1 дает вам необработанный TCP-порт, который обычно предназначен для отправки данных непосредственно на принтер. В порту 2000 каждый возврат каретки преобразуется в возврат каретки плюс перевод строки. Порт 6000 аналогичен порту 2000, за исключением того, что он отключает преобразование возврата каретки.

Для обратного telnet необходимо, чтобы линия TTY была настроена на разрешение исходящих соединений. Вот как это сделать:

Команда модема inout разрешает как входящие, так и исходящие соединения. Другой способ настроить линию:

Команда вызова модема разрешает только исходящие соединения.

Еще одна полезная команда для обратного telnet — ip alias. Эта команда позволяет назначить IP-адрес обратному соединению telnet. Другими словами, маршрутизатор связывает IP-адрес с обратным портом telnet. Если вы подключитесь к этому адресу, маршрутизатор соединит вас напрямую с указанным портом. Например, предположим, что маршрутизатор имеет интерфейс Ethernet с адресом 10.1.1.1. Следующие команды настраивают его для маршрутизации входящих соединений telnet для адресов 10.1.1.2, 10.1.1.3 и 10.1.1.4 на асинхронные порты с 1 по 3:

Теперь, когда вы подключитесь к 10.1.1.2 через telnet, вы будете подключены к устройству, подключенному к порту 1.

Читайте также: