1.
Описание маршрутизаторов Cisco2511 и Cisco1600

Маршрутизатор
Cisco 1601

Маршрутизаторы
серии Cisco 1601 служат для подключения небольших офисов, в которых развернута
локальная сеть Ethernet, к Internet и к внутренней сети компании, или к корпоративной
локальной сети через несколько подключений глобальных сетей, таких как ISDN,
асинхронные последовательные и синхронные последовательные.

Cisco 1601 имеет
один Ethernet-порт, один встроенный WAN-порт и один слот для необязательного
второго WAN-порта.

Слот для
интерфейсного модуля позволяет потребителю изменить тип или добавить ещё один
порт на машрутизаторе, в случае изменения потребностей или цен на услуги компаний-провайдеров
линий связи. Поэтому серия маршрутизаторов Cisco 1600 предлагает более широкую
гибкость по сравнению с другими продуктами этого же класса. Последовательный
порт на модели 1601 и интерфейсной карте может работать в следующих режимах:

• Асинхронный
  со скоростями до 115.2 Кб/с по коммутируемой телефонной линии (протоколы PPP,
  SLIP)


• Синхронный
  со скоростями до 2.048 Мб/с по выделенной линии (протоколы Frame Relay, SMDS,
  X.25, HDLC, LAPB, PPP)

Маршрутизаторы
Cisco 2500

Маршрутизаторы
серии Cisco 2509 предназначенны как для использования в небольшом офисе, так
и в сетях с удаленными узлами.

Модель
оснащена двумя из следующих интерфейсов:

• 1 Ethernet


• 2 Синхронный
  последовательный


• 8 Асинхронный
  последовательный

Маршрутизаторы
серии Cisco 2500 оснащены Flash-памятью технологии EPROM, которая применяется
для хранения программных образов и обеспечивает их легкую модернизацию.

Эти системы могут работать с разнообразными программными комплектами (feature
set) операционной системы Cisco IOS, поэтому заказчик может выбрать комплект
программ, соответствующий конкретным протоколам, применяемым в его сети. Программные
комплекты имеют очень широкий спектр - от простых IP и мостовых соединений до
полного набора функциональных возможностей ПО фирмы Cisco, включая APPN и RMON.

Все модели, за исключением комбинированных с концентратором, имеют AUI разъём
Ethernet-портов. Синхронные порты имеют универсальный DB-60 разъем, а тип порта
определяется подключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты
на серверах доступа собраны по 8 портов в 68 контактные разъёмы. На корпусе
также имеется терминальный порт с разъёмом RJ-45, а также порт AUX, который
можно использовать либо для удалённого управления маршрутизатором, либо как
асинхронный порт для резервной линии связи.

2.
Начало работы с маршрутизатором Cisco

Вынимаем железку,
подключаем терминал (или PC с TELEMATE) к консольному порту (или вспомогательный
порт ранее сконфигурированной Cisco, и заходим обратным телнетом), все нужные
нам кабели (синхронный, Ethernet, модемы), включаем питание и начинаем конфигурирование.

При первом включении IOS пытается скачать конфигурацию из глобальной сети -
можно подождать несколько минут, чтобы дать ей понять, что на том конце ничего
нет, или временно отсоединить синхронный кабель. Потерпев неудачу, IOS предлагает
выполнить команду setup - соглашайтесь. В этом случае IOS задает вам несколько
вопросов и самостоятельно конфигурируется. После этого можно зайти и исправить
конфигурацию, как вы пожелаете. Команду setup можно запустить в любой момент
с командной строки в привилегированном режиме:

Router#setup

Конфигурирование
осуществляется следующими способами:

1. Командный
интерфейс:

telnet Router - имя Cisco

имя-Cisco>

с
терминала: conf term

NVRAM: conf memory

из сети: conf network

2. Через WWW
(начиная с версии 11.0(6), 11.1(5), не все возможности, в версии 12.0 - все
возможности): ip http server

3. ClickStart
(конфигурирование Cisco 1003, 1004 и 1005).

Общие сведения
о командном языке:

1. help - в любой
момент можно ввести "?" - киска в ответ выдаст список команд или операндов.

2. Любое ключевое слово или имя можно сокращать до минимально возможного.

3. Если терминал нормально настроен, то можно редактировать командную строку
как в emacs или bash ( как в UNIX ).

4. Почти каждую команду можно предварять словом no, если Вы собираетесь
отказаться от команды.

Уровни привилегий:
предусмотрено 16 уровней привилегий - от 0 до 15. Если не производить дополнительной
настройки, то уровень 0 - это уровень пользователя: доступны только "безопасные"
команды. Уровень 15 - это уровень супервизора: доступны все команды. Переходим
с уровня на уровень по команде:

enable [номер уровня]

Любую команду
можно перевести на уровень, отличный от стандартного; любому пользователю можно
назначить определенный уровень, устанавливаемый при входе на киску этого пользователя;
таким образом права пользователей можно тонко настраивать (только help-ом при
этом тяжело пользоваться).

Режимы командного
языка:

1. Режим пользователя

2. Привилегированный
режим:

1.
верхний уровень

2. режим
глобальной конфигурации:

1.
собственно верхний уровень конфигурирования

2. конфигурирование интерфейса

1.
конфигурирование интерфейса

2. конфигурирование подинтерфейсa (serial в режиме Frame Relay)

3. конфигурирование
контроллера (T1)

4. конфигурирование хаба (cisco 2500 - ethernet)

5. конфигурирование списка карт (ATM и FrameRelay)

6. конфигурирование класса карт (Quality of Service over Switched Virtual
Circuit - ATM, FrameRelay или dialer)

7. конфигурирование линий

8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp,
mobile, OSPF, RIP, static)

9. конфигурирование IPX-маршрутизатора

10. конфигурирование карт маршрутизатора

11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)

12. конфигурирование генератора отчетов о времени ответа

13. конфигурирование БД LANE (ATM)

14. режим команд APPN с его подрежимами (advance peer-to-peer Networking -
второе поколение SNA)

15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с
CIP)

16. режим команд сервера TN3270

17. конфигурирование списков доступа (для именованых IP ACL) 18.режим шестнадцатеричного
ввода (задание публичного ключа для шифровки)

19. конфигурирование карт шифровки

3. ROM монитор
(нажать break в первые 60 секунд загрузки, тоже есть help).

Редактирование
командной строки

• Задать размер
  истории команд: terminal history size размер.


• Предыдущая/следующая
  команда: Ctrl-P/Ctrl-N или стрелка вверх/вниз.


• Включить/выключить
  редактирование: [no] terminal editing.


• Символ вперед/назад:
  Ctrl-F/Ctrl-B или стрелка вперед/назад.


• В начало/конец
  строки: Ctrl-A/Ctrl-E


• На слово вперед/назад:
  Esc F/Esc B


• Развертывание
  команды: Tab или Ctrl-I


• Вспомнить
  из буфера/вспомнить следующий: Ctrl-Y/Esc Y


• Удалить символ
  слева от курсора/под курсором: Delete/Ctrl-D


• Удалить все
  символы до начала строки/конца строки: Ctrl-U/Ctrl-K


• Удалить слово
  слева от курсора/справа от курсора: Ctrl-W/Esc D


• Перерисовать
  строку: Ctrl-L/Ctrl-R


• Поменять символы
  местами: Ctrl-T


• Экранирование
  символа: Ctrl-V или Esc Q


• Комментарии
  начинаются с восклицательного знака, но в NVRAM не сохраняются.

2.1
Подключение к маршрутизатору и начало работы

1. Подключаем
консольным кабелем от соответствующего маршрутизатора к порту COM компьютера.

2. Запускаем и настраиваем Term95 или Telix под соотвествующий порт и скорость
(обычно 9600 kb/s). Установите терминал в режим 8N1. Включите маршрутизатор.

3. Включаем свой маршрутизатор

4. Если в нем уже была какая-то настройка, то стираем ее:

Router>enable

Router#erase startup configuration

Router#reload

5. Отказываемся от автоматической настройки:

Would you like to enter the initial dialog? [yes]:no

6. Через некоторое время появится сообщение:

Router>

Войти в режим администратора:

Router>enable

Подсказка > должна смениться на #

7. Начать конфигурирование с терминала:

Router#configure terminal

8. Задать имя хоста:

Router(config)#hostname Router (любое имя какое вам нравится)

9. Задать защищенный пароль администратора:

Router (config)#enable secret cisco (любое пароль какой вам
нравится)

10. Введите команды:

Router(config)#ip subnet-zero

Router(config)#ip classless

11. Отключаем DNS, если его нет:

Router(config)#no ip domain-lookup

12. Выйдите из режима конфигурации:

Router(config)#exit

Router#

13.Сохраните конфигурацию:

Router(config)#exit

Router#write

14. Выйдите из режима расширенных команд:

Router#exit

Router>

15. Настройка терминальных линий (vty) для доступа к Cisco через локальную сеть:

Router#configure terminal (или conf t)

Router(config)#line vty 0 4

Router(config-line)#login

Router(config-line)#password Сisco

Router(config-line)#session-timeout 10 output

Router(config-line)#exit или Сtrl^Z

Router#write terminal (wr - сокращенно)

16. Настройка порта Ethernet на Cisco и установка IP адреса:

Router#configure terminal

Router(config)#interface Ethernet0 или сокрашенно int E0

Router(config-if)#ip address 172.16.150.1 255.255.255.0

Router(config-if)#no shutdown - на всякий случай, хотя интерфейс
должен подняться сразу после подключения кабеля.

2.2
Восстановление забытого enable secret password

В случае утери
пароля следует выключить маршрутизатор и снова включить.

1. послать Break в первые 60 секунд после включения питания. Сигнал Break посылается
в зависимости от используемого терминала или Ctrl Break или Ctrl
^ C (можно найти в настройках терминала)

2. изменить регистры загрузки. Вы попадаете в другой режим, так называемый ROM
Monitor режим с приглашением > После этого следует ввести команду
(в зависимости от Cisco):

>confreg 0x141 (для 1000/1600/3600/4500)

>o/r 0x141 (для 2500/4000)

3.
Работа с флэш-памятью (в ней лежит и из нее выполняется IOS) и NVRAM (конфигурация)

На Cisco работает
ТРИ программы: ROM монитор (это загрузчик и отладчик -тупой до безобразия -
попадаем в него если соответствующим образом установлен регистр конфигурации
или нажал BREAK во время загрузки и это не запрещено); boot ROM - система в
ROM (урезанная и очень старая система IOS - 9.1 - если не удалось найти более
подходящую во флэш или по сети или ручная загрузка из ROM монитора) и система
во флэш - версия, которуя сам поставил. Конфигурация хранится в NVRAM. Еще есть
оперативная память, используемая для хранения данных (IOS выполняется прямо
из ROM). Внимание: пароль администратора в IOS 9.1 задается командой "enable
password", а не "enable secret"!

В руководстве делается предупреждение, что на Sun'е сервер TFTP должен быть
настроен так, чтобы генерировать и проверять контрольные суммы UDP (я ничего
не делал). Везде вместо TFTP можно использовать rcp (rsh), но мне лениво следить
за безопасностью в этом случае. Посмотреть, что там лежит: show flash all

System flash
directory:

File Length Name/status

     addr fcksum ccksum

1    3243752 igs-i-l.110-1

0x40 0xB5C4 0xB5C4

[3243816 bytes used, 950488 available, 4194304 total]

4096K bytes of processor board System flash (Read ONLY)

Chip Bank
Code Size Name

1 1 89A2 1024KB INTEL 28F008SA

2 1 89A2 1024KB INTEL 28F008SA

3 1 89A2 1024KB INTEL 28F008SA

4 1 89A2 1024KB INTEL 28F008SA

Executing current image from System flash

Иметь два файла
во флэш можно только, если имеется два банка памяти (у меня нет) и выполнить
специальную процедуру (IOS надо настроить адреса - выполняется-то она из флэша!).
Буква l в имени файла как раз и означает, что адреса можно настроить. Посмотреть,
сколько раз туда чего записывали: show flash err

Копировать из флэш на tftp: copy flash tftp, после чего спросят имя сервера,
исходное имя файла и результатирующее имя файла (файл должен существовать с
правами 666).

В основном используется сервер TFTP под Windows95/NT. Инсталлируется он очень
просто. После этого в настройках нужно указать директорию для копирования файлов
и имиджей. Сервер TFTP под Windows95/NT во время копирования должен быть запужен
(обязательно), можно в свернутом состоянии.

Копировать конфигурацию на tftp: copy startup-config/running-config tftp

Router#copy tftp

Router#copy tftp flash

**** NOTICE ****

Flash load helper v1.0

This process will accept the copy options and then terminate

the current system image to use the ROM based image for the copy.

Routing functionality will not be available during that time.

If you are logged in via telnet, this connection will terminate.

Users with console access can see the results of the copy operation.

---- ******** ----

[There are active users logged into the system]

Proceed? [confirm]y

System flash
directory:

File Length Name/status

1 5010180 c2500-ras-113.6

[5010244 bytes used, 3378364 available, 8388608 total]

Address or name of remote host 172.16.150.2

Source file name? c2500-ras-113.6 name of file in flash

Destination file name [c2500-ras-113.6]y

Accessing file 'c2500-ras-113.6' on 172.16.150.2...

Проверяет наличие файла на TFTP сервера.

Загрузить конфигурацию с tftp: copy tftp startup-config/running-config
(по-моему, если грузить текущую конфигурацию, то происходит не копирование,
а слияние).

Копировать из tftp во флэш (если достаточно памяти!!!): copy tftp flash

Понятное дело, что если IOS выполняется из флэш, то грузить новое (заходить
только с консоли - иначе ничего не увидишь, и об ошибках не узнаешь ;). После
этого надо сохранить конфигурацию (copy run start). А все-таки интересно, как
выбираться из ситуации, если что-то получилось не так. Кстати, рекомендуется
сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s. все-таки
можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS),
если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.

Посмотреть состояние: show version

Проверить контрольную сумму: verify flash

Повторно выполнить конфигурационный файл: configure memory

Очистить конфигурацию: erase startup

Посмотреть текущую/загрузочную конфигурацию: show run/start

В NVRAM записываются только параметры, отличные от параметров по умолчанию.
Параметры по умолчанию различны для различных версий, так что при смене версии
бывает очень интересно ;)

На TFTP cервер можно скидывать и загружать с него файлы конфигурации, образ
операционной системы (IOS), что является очень удобным прикаких либо неполадках.

4.
Настройка синхронных интерфейсов Serial для X25

Действия по шагам:

1. Начать конфигурирование с терминала:

Router#configure terminal

2. Задать, что данный маршрутизатор будет выполнять маршрутизацию X25:

Router(config)#x25 routing

3. Конфигурируем последовательный интерфейс 0:

Router(config)#interface serial 0

4. Задаем протокол X25 на данном интерфейсе

Router(config-if)#encapsulation x25 dte (dce)

Параметр dte или dce определяет, кто будет выполнять синхронизацию, т.е задавать
скорость между двумя устройствами. По умолчанию dte.

5. Устанавливаем X25 параметры на интерфейсе. Должны совпадать с параметрами
DCE устройства, то есть устройства, к которому подключена Cisco (обычно коммутатор
X25):

Router(config-if)#x25 address 232420023 адрес X25 на интерфейсе

Router(config-if)#x25 ips 128 размер входного пакета

Router(config-if)#x25 ops 128 размер выходного пакета

Router(config-if)#x25 win 2 размер вх. пакета

Router(config-if)#x25 wout 2 размер вых. пакета

Router(config-if)#x25 htc 28 кол-во виртуальных каналов

6. Активация интерфейса:

Router(config-if)#no shutdown

Router(config-if)#exit

7. Аналогично для интерфейса serial 1, если нужно (для Cisco2509).

8. Прописывание X25 маршрутизации, то есть куда какие пакеты направлять. Если
есть только один интерфейс для X25, то можно использовать default

Router(config)#x25 route .* interface Serial0

* - указывает на все пакеты можно задать конкретный шаблон, например

Router(config)#x25 route 2324200 .* interface Serial0

9. Настройка поверх X25 TCP/IP. Включаем IP на данном интерфейсе:

Router(config-if)#ip address 10.1.1.1 255.255.255.0

Router(config-if)#x25 map ip 10.1.1.2 232420024 сompress

Причем здесь IP address и X25 address другого маршрутизатора, с которым вы собираетесь
связаться ( на нем соответственно должны стоять ваши параметры) compress - включаем
компрессию.

10. Проверка X25:

Roter#show x25 route

Roter#show x25 map

11. Сохранение конфигурации:

Roter#copy
running-config startup-config

12. Прописываем статическую маршрутизацию (роутинг):

Router(config)#ip route 172.16.160.0 255.255.255.0 10.1.1.2 permanent

где 172.16.160.0 255.255.255.0 - это локальная сеть, к которой подключен др.маршрутизатор,
10.1.1.2 - виртуальный адрес, нужен только для связывания двух cisco по X25

Router(config)#exit

Router#show config

Router#copy run start

5.
AAA (authentication, authorization, accounting), tacacs+, RADIUS

Сервер доступа
(tacacs+, RADIUS) - это программа, которая крутится на UNIX-компьютере и отвечает
на запросы киски типа: есть ли такой пользователь, какие у него права и ведет
журнал посещений. Собственно AAA есть authentication (установление личности
пользователя), authentication (проверка полномочий) и accounting (учет использования
ресурсов). Для каждой из трех функций используется поименованный список методов,
примененный к интерфейсу. При необходимости использования любой функции AAA
IOS "пробегает" по этому списку пытаясь соединиться с соответствующим сервером.
Если соединиться не удается (локальная БД отвечает всегда), то IOS переходит
к следующему методу из списка. Если методов в списке не осталось, то регистрируется
отказ. По умолчанию, к каждому интерфейсу применяется список методов по имени
default. Если не требуется что-то необычное, то рекомендуется определить ровно
один свой список методов с именем default и пусть он применяется ко всем.

aaa new-model # будем использовать tacacs+, а не старые варианты

aaa processes число # количество параллельных процессов, обслуживающих
AAA (количество одновременно заходящих пользователей). У меня загрузка второго
процесса составляет 10% от загрузки 1-го, так что, думаю, что двух достаточно

show ppp queues # показывает, сколько AAA процессов запущено и их статистику
(странное название и странные числа он показывает)

tacacs-server host IP-адрес-tacacs+-сервера [single-connection] [port
порт(49)] [timeout секунд] [key ключ-шифровки] # tac_plus 4.0.2 не поддерживает
single-connection; можно указывать несколько серверов, они будут пробоваться
по очереди

tacacs-server key key <пароль> # ключ, с помощью которого шифруются сообщения
между киской и tacacs+ сервером

tacacs-server retransmit retries # число попыток достучаться до сервера
(по умолчанию - 2)

tacacs-server timeout seconds # сколько ждать, чтобы убедиться, что сервер
не работает (по умолчанию - 5 секунд)

ip tacacs source-interface subinterface-name # задать исходный IP-адрес
TACACS пакетов

tacacs-server directed-request # включен по умолчанию; управляет использованием
имен пользователей в виде: имя@сервер; если включен, то на указанный сервер
(проверяется, что он указан в конфигурации, иначе вся строка посылается на сервер
по умолчанию) посылается короткое имя пользователя, если выключен - вся строка
на сервер по умолчанию. В документации не описано действие ключа restricted.

authentication

Для установления
личности определяется список методов идентификации и применяется к определенному
интерфейсу.

Проверка при входе на линию:

aaa authentication login {имя-списка | default } метод1 [ метод2 ] ...

Методы при проверке на входе бывают следующие:

tacacs+ - использовать сервер TACACS+

none - удостоверять личность без проверки

enable - использовать пароль администратора (enable password) для проверки
личности

krb5 - использовать сервер Kerberos 5

krb5-telnet - использовать сервер Kerberos 5 соединяясь с ним через telnet

line - использовать пароль, привязанный к линии

local - использовать локальную БД имен

radius - использовать сервер RADIUS

Для использования сервера kerberos необходимо иметь версию IOS с поддержкой
шифровки.

Применить список методов к линии(ям):

line тип-линии номер-линии [конечный-номер-линии-из-интервала]

login authentification { default | имя-списка-методов }

Пример:

aaa authentication login default tacacs+ enable # по-умолчанию проверяем
каждый вход на линию с помощью tacacs+ сервера, а если он не отзывается, то
спрашиваем пароль суперпользователя. Т.к. используется имя default, то он будет
действовать на всех линиях.

Если пользователи подсоединяются с RAS по PPP, минуя интерфейс командной строки,
то для проверки их личности необходимо определить список методов установления
личности при соединении PPP, по умолчанию никакой проверки не производится (список
default не используется):

aaa authentication ppp {имя-списка | default } метод1 [ метод2 ] ...

Применить список методов к интерфейсам (if-needed только для TACACS и XTACACS,
callin вызывает аутентификацию только для входных соединений, one-time позволяет
вводить имя и пароль в одной строке):

interface тип-интерфейса номер-интерфейса

ppp authentication {chap | pap | chap pap | pap chap} [if-needed] {default |
list-name} [callin] [one-time]

Методы при проверке личности во время установления PPP-соединения бывают следующие:

tacacs+ - использовать сервер TACACS+

radius - использовать сервер RADIUS

none - удостоверять личность без проверки

local - использовать локальную БД имен

krb5 - использовать сервер Kerberos 5

if-needed - не делать проверку, если она уже была произведена при входе
на линию

Пример:

aaa authentication ppp default if-needed none # при включении PPP, производим
фиктивную проверку пользователя, если не проверяли его раньше (может это уже
можно выключить?), т.к. используется имя default, то сами интерфейсы конфигурировать
не надо.

Проверка личности при переходе в привилегированный режим:

aaa authentication enable default метод1 [ метод2 ] ...

Методы при проверке личности при входе в привилегированный режим:

enable - использовать пароль администратора (enable password) для проверки
личности

line - использовать пароль, привязанный к линии

none - удостоверять личность без проверки

tacacs+ - использовать сервер TACACS+

radius - использовать сервер RADIUS

Бывает еще двойная проверка (access-profile, ip trigger-authentication, show
ip trigger-authentication, clear ip trigger-authentication) и автоматическая
двойная проверка, но это какакя-то муть.

Аутентификация без AAA (как только AAA сконфигурирован, то он имеет больший
приоритет) установление пароля на линию (в режиме конфигурации линии), до 80
букв и цифр (должен начинаться с буквы):

password пароль

login

проверка имени пользователя (в глобальном режиме конфигурации, password и autocommand
д.б. последними в строке, можно использовать несколько строк на одно имя - информация
будет накапливаться), используется также для CHAP (чтобы отвечать на CHAP-запросы
имя должно соответствовать имени хоста, на удаленном хосте это имя тоже д.б.
определено с тем же секретом):

username имя [nopassword | password тип-шифровки пароль | password пароль][callback-dialstring
номер-телефона] [callback-rotary номер-группы-rotary] [callback-line[tty] line-number
[ending-line-number]] [access-class номер-ACL] [privilege уровень ][autocommand
команда ] [noescape ] [nohangup ]

Что касается длин имени и пароля: безопасным является использование имен и паролей
длиной до 8 символов включительно. Более длинные имена и пароли (якобы до 25
символов, буквы и цифры и пробелы, первый символ - буква) обрабатываются по-разному
в разных версиях IOS. CHAP секрет - до 11 символов. tac_plus пароль, шифрованный
с помощью crypt - до 8 символов.

Установка пароля на привилегированные команды:

enable [secret] [level уровень-привилегий ] {password | encryption-type
encrypted-password}

рекомендуется использовать опцию secret (пароль будет храниться в шифрованном
виде). Первый уровень привилегий дается каждому пользователю при входе по умолчанию,
15 уровень - режим суперпользователя, команды изменения уровня (enable, disable,
exit, help) находится на нулевом уровне. encryption-type:

7 (для enable без secret, собственный алгоритм шифрования, есть программа
декодирования)

5 (для enable secret, необратимое шифрование)

0 (незашифрованный текст) шифровать пароли (а также прочие ключи)

service password-encryption переместить определенную команду на другой
уровень (очень удобно для clear line ;)

privilege mode level level command (где mode - командный режим: exec,
configure, interface, line и др.) дать всем пользователям, входящим с определенной
линии указанный уровень привилегий (в режиме конфигурации линии)

privilege level level

посмотреть текущий уровень привилегий

show privilege

перейти на другой уровень (в режиме EXEC)

enable уровень

Тонкая настройка:

aaa authentication
local-override # позволяет использовать локальную базу пользователей перед
обращением к другим методам, но такие пользователи получаются абсолютно бесправными
(даже EXEC не могут запустить, т.к. не проходят авторизацию)

timeout login response seconds # сколько секунд IOS будет ждать ввода
имени или парол (30 секунд, есть еще количество попыток)

aaa authentication password-prompt text-string (если он не заменен внешним
сервером) aaa authentication username-prompt text-string (если он не
заменен внешним сервером)

aaa authentication banner delimiter string delimiter

aaa authentication fail-message delimiter string delimiter

chap или pap аутентификация в PPP (д.б. установлена encapsulation ppp на интерфейсе)(в
режиме конфигурации интерфейса):

ppp authentication {chap | chap pap | pap chap | pap | ms-chap } [if-needed]
[list-name | default] [callin] [one-time] list-name и one-time можно использовать
только, если сконфигурирован AAA if-needed можно использовать только
для TACACS или XTACACS (не AAA) аутентификация при выходных звонках или когда
дозвонившийся тоже хочет убедиться, что попал куда хотел (PAP)

ppp pap sent-username username password password

отказаться отвечать на запросы CHAP (но выдавать такие запросы самому):

ppp chap refuse [callin]

отвечать на запросы CHAP только после того, как собеседник представится (действует
по умолчанию):

ppp chap wait secret

выдавать себя за указанный хост (по умолчанию посылается собственное имя NAS)
для соседей, имя которых не найдено в списке пользователей:

ppp chap hostname hostname

определить секретное слово (до 11 символов) для CHAP для соседей, имя которых
не найдено в списке пользователей:

ppp chap password secret

количество попыток (по умолчанию 3):

tacacs-server attempts count

authorization

Проверка прав
доступа (полномочий) производится в случаях:

• exec
  (атрибуты терминальной сессии)
• command
  (проверка прав на исполнение команд, в т.ч. конфигурации)

network (соединение
PPP, SLIP, ARAP)

• reverse
  access (для обратного telnet, установление личности

потребуется в любом
случае), только tacacs+ или radius

Для определения
полномочий определяется список методов определения полномочий и применяется
к определенному интерфейсу. Так же как и в случае с аутентификацией, список
по имени default применяется к интерфейсу по умолчанию. Прежде , чем конфигурировать
авторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию,
TACACS+, локальную БД пользователей и/или RADIUS сервера.

Методы проверки полномочий:

tacacs+ - использовать сервер TACACS+ для получения AV пар с полномочиями

if-authenticated - все аутентифицированные пользователи получают полномочия

none - полномочия не проверяются

local - используется локальная BD, определяемая командами username (только
небольшая часть возможностей доступна)

Конфигурация именованного списка методов авторизации:

aaa authorization [network | exec | command level | reverse-access ] [имя
| default ]{ tacacs+ | if-authenticated | none | local | radius | krb5-instance}

Для аутентифицированных пользователей, зашедших с консольной линии, авторизация
не производится. Привязка поименованного списка методов к линии или интерфейсу
(в соответствующем режиме конфигурации):

authorization {arap | commands level | exec | reverse-access} {default |
list-name} или (одновременно определяется список методов авторизации для SLIP)
ppp authorization {default | list-name}

Запретить авторизацию команд конфигурации:

no aaa authorization config-command

Примеры:

aaa authorization exec default tacacs+ if-authenticated # проверяем права
на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если
его нет, то даем разрешение, если личность пользователя удостоверена - только
благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае
telnet или ppp)

aaa authorization commands 1 default tacacs+ if-authenticated # проверяем
права на исполнение команд уровня 1 (непривилегированных) с помощью сервера
tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена

aaa authorization commands 15 default tacacs+ if-authenticated # проверяем
права на исполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+,
а если его нет, то даем разрешение, если личность пользователя удостоверена

aaa authorization network default tacacs+ if-authenticated # проверка
прав, если кто-то лезет к нам по сети, с помощью сервера tacacs+, а если его
нет, то даем разрешение, если личность пользователя удостоверена

accounting

Так же как и
для аутентификации и авторизации определяется список методов учета и применяется
к определенному интерфейсу или линии. По умолчанию применяется список по имени
default. Если примененный список не определен, то учет не производится.

Методы учета:

tacacs+ - AV пары учета посылаются на tacacs+ сервер

radius - AV пары учета посылаются на RADIUS сервер

Типы учитываемых событий:

network - PPP, SLIP и ARAP сессии, включают счетчики байт и пакетов

exec - учет терминальных EXEC-сессий

command - учет отдельных команд?

connection - учет информации о исходящих соединениях (telnet, rlogin,
LAT, TN3270, PAD)

system - события системного уровня (только default список и только tacacs+)

Объем информации:

stop-only - посылается информация только о завершении события

wait-start - посылается информация о начале события и о его завершении,
ожидаетсяподтверждение от TACACS+ или RADIUS сервера о получении этой информации(необходим,
если нужен учет максимального числа одновременных сессий в tac_plus)

start-stop - посылается информация о начале события и о его завершении

none - ничего не посылать

Конфигурация именованного списка методов учета:

aaa accounting {system | network | exec | connection | commands level} {default
| list-name}{start-stop | wait-start | stop-only | none} [method1 [method2...]
]

Затем применяем определенный ранее метод учета к линии

accounting {arap | exec | connection | commands level} {default | list-name}
или интерфейсу (одновременно определяется список методов авторизации для SLIP)

ppp accounting {default | list-name}

Мелкие настройки:

aaa accounting suppress null-username # не посылать учетные записи, если
имя пользователя - пустая строка (aaa authentication login method-list none)

aaa accounting update {newinfo | periodic number} # регулярно посылать
учетную информацию при изменениях/периодически (ранее по умолчанию посылались
update newinfo)

Посмотреть учетную информацию о текущих сессиях:

show accounting

6.
Настройка асинхронного интерфейса и линий

Нужен для того,
чтобы удаленные пользователи могли попасть в вашу сеть через маршрутизатор.

Действия по шагам:

1. Начать конфигурирование с терминала:

Router#configure terminal

Router(config)#x25 routing

2. Конфигурируем асинхронный интерфейс:

Router(config)#interface async 1

3. Задаем протокол PPP (point-to-point) на данном интерфейсе:

Router(config-if)#encapsulation ppp

4. Устанавливаем PPP параметры на интерфейсе:

Router(config-if)#async mode interactive задаем тип линии

Router(config-if)#ppp authentication chap задаем тип аутофентикации

5. Настройка IP address:

Router(config-if)#ip address 192.168.20.1 255.255.255.0

6. Активация интерфейса:

Router(config-if)#no
shutdown

Router(config-if)#exit

Router#write запись

7. Аналогично для других интерфейсов async, если нужно (для Cisco2509).

7.
Управление и мониторинг

Можно всегда
посмотреть по команде show ?

Эта команда показывает, какие события можно просмотреть.

show async status

show interface async номер

show compress

show controller имя-контроллера

show interface accounting

show interface тип номер

clear counters тип номер

show protocols

show version

clear interface тип номер

clear line номер

shutdown

no shutdown

show ip route

show x25 route