Безопасность cisco ios и файлов конфигурации

Обновлено: 22.03.2023

Функция AutoSecure обеспечивает безопасность маршрутизатора с помощью одной команды интерфейса командной строки для отключения общих IP-служб, которые могут быть использованы для сетевых атак, включения IP-служб и функций, которые могут помочь в защите сети в случае атаки, а также для упрощения и усиления защиты. конфигурация безопасности маршрутизатора.

AutoSecure улучшает безопасный доступ к маршрутизатору, настраивая требуемую минимальную длину пароля, чтобы исключить общие пароли, которые могут использоваться во многих сетях, такие как «лаборатория» и «название компании». Сообщения системного журнала генерируются после того, как количество неудачных попыток превышает настроенный порог.

AutoSecure также позволяет маршрутизатору возвращаться (откатывать) к состоянию конфигурации, предшествующему AutoSecure, в случае сбоя конфигурации AutoSecure.

Если функция AutoSecure включена, подробный контрольный журнал сообщений системного журнала фиксирует любые изменения или фальсификацию конфигурации AutoSecure, которые могли быть применены к работающей конфигурации.

Поиск информации о функциях

Ваша версия программного обеспечения может не поддерживать все функции, описанные в этом модуле. Последние предостережения и информацию о функциях см. в Инструменте поиска ошибок и примечаниях к выпуску для вашей платформы и версии программного обеспечения. Чтобы найти информацию о функциях, задокументированных в этом модуле, и просмотреть список выпусков, в которых поддерживается каждая функция, см. таблицу информации о функциях.

Необходимые условия для AutoSecure

Конфигурация AutoSecure была недоступна до выпуска Cisco IOS 12.3(8)T. Если маршрутизатор должен вернуться к образу, предшествующему версии Cisco IOS 12.3(8)T, перед настройкой AutoSecure убедитесь, что копия текущей конфигурации сохранена.

Ограничения для AutoSecure

Конфигурацию AutoSecure можно настроить во время выполнения или во время установки. Если какая-либо связанная конфигурация изменена после включения AutoSecure, конфигурация AutoSecure может быть не полностью эффективной.

Информация об AutoSecure

Защита плоскости управления

Плоскость управления защищена отключением определенных глобальных служб и служб интерфейса, которые потенциально могут быть использованы для атак на систему безопасности, и включением глобальных служб, помогающих уменьшить угрозу атак. Для маршрутизатора также настроены безопасный доступ и безопасное ведение журнала.

В следующих подразделах описано, как AutoSecure помогает защитить плоскость управления:

Отключение глобальных служб

После включения этой функции (с помощью команды auto secure) следующие глобальные службы отключаются на маршрутизаторе без запроса пользователя:

Finger — собирает информацию о системе (разведка) перед атакой. Если эта функция включена, информация может сделать ваше устройство уязвимым для атак.

PAD – включает все команды ассемблера и дизассемблера пакетов (PAD) и соединения между устройствами PAD и серверами доступа. Если эта функция включена, ваше устройство может стать уязвимым для атак.

Небольшие серверы. Вызывают атаки на диагностические порты TCP и протокола пользовательских дейтаграмм (UDP): отправитель отправляет на маршрутизатор большое количество поддельных запросов к диагностическим службам UDP, потребляя все ресурсы ЦП.

Сервер Bootp. Bootp — это небезопасный протокол, который может быть использован для атаки.

Служба идентификации. Небезопасный протокол, определенный в RFC 1413, который позволяет запрашивать TCP-порт для идентификации. Злоумышленник может получить доступ к частной информации о пользователе с сервера ID.

CDP. Если на маршрутизатор отправляется большое количество пакетов протокола обнаружения Cisco (CDP), доступная память маршрутизатора может быть использована, что приведет к сбою маршрутизатора.

Приложения NM, которые используют CDP для обнаружения топологии сети, не могут выполнить обнаружение.

NTP. Без проверки подлинности или контроля доступа сетевой протокол времени (NTP) небезопасен и может использоваться злоумышленником для отправки пакетов NTP, что приводит к сбою или перегрузке маршрутизатора. (Если вы хотите включить NTP, вы должны настроить аутентификацию NTP с помощью Message Digest 5 (MD5) и команды ntp access-group. Если NTP включен глобально, отключите его на всех интерфейсах, на которых он не нужен.)

Маршрутизация источника – предоставляется только в целях отладки, поэтому во всех остальных случаях маршрутизацию источника следует отключить. В противном случае пакеты могут ускользнуть от некоторых механизмов управления доступом, через которые они должны были пройти.

Отключение служб интерфейса

После включения этой функции следующие интерфейсные службы отключаются на маршрутизаторе без запроса пользователя:

Перенаправления ICMP – отключены на всех интерфейсах. Не добавляет полезных функций в правильно настроенную сеть, но может быть использован злоумышленниками для использования брешей в безопасности.

Недоступность ICMP — отключено на всех интерфейсах. Известная причина некоторых атак типа "отказ в обслуживании" (DoS) на основе протокола ICMP — недоступность протокола ICMP.

Ответные сообщения с маской ICMP — отключены на всех интерфейсах. Ответные сообщения ICMP по маске могут дать злоумышленнику маску подсети для конкретной подсети в объединенной сети.

Proxy-Arp — отключен на всех интерфейсах. Запросы Proxy-Arp являются известной причиной DoS-атак, поскольку доступная полоса пропускания и ресурсы маршрутизатора могут потребляться при попытке ответить на повторяющиеся запросы, отправляемые злоумышленником.

Направленное вещание — отключено на всех интерфейсах. Возможная причина SMURF-атак для DoS.

Служба протокола операций обслуживания (MOP) — отключена на всех интерфейсах.

Включение глобальных служб

После включения AutoSecure следующие глобальные службы включаются на маршрутизаторе без запроса пользователя:

Команда service password-encryption — предотвращает отображение паролей в конфигурации.

Команды service tcp-keepalives-in и service tcp-keepalives-out — обеспечивают удаление аварийно завершенных сеансов TCP.

Защита доступа к маршрутизатору

Если ваше устройство управляется приложением NM, защита доступа к маршрутизатору может отключить жизненно важные службы и нарушить поддержку приложения NM.

После включения этой функции пользователю становятся доступны следующие варианты безопасного доступа к маршрутизатору:

Если текстовый баннер не существует, пользователям предлагается добавить баннер. Эта функция предоставляет следующий образец баннера:

Логин и пароль (предпочтительно секретный пароль, если он поддерживается) настраиваются на линиях консоли, AUX, vty и tty. Команды ввода и вывода транспорта также настраиваются на всех этих линиях. (Telnet и безопасная оболочка (SSH) являются единственными допустимыми методами передачи.) Команда exec-timeout настроена на консоли и AUX как 10.

Если образ на устройстве является зашифрованным, AutoSecure включает SSH и безопасное копирование (SCP) для доступа и передачи файлов на маршрутизатор и с него. Тайм-аут в секундах и целочисленные параметры повторных попыток аутентификации для команды ip ssh настроены на минимальное число. (Эта операция не затрагивает Telnet и FTP и остается в рабочем состоянии.)

В интерактивном режиме пользователю предлагается отключить SNMP независимо от значений строк сообщества, которые действуют как пароли для регулирования доступа к агенту на маршрутизаторе.
В неинтерактивном режиме SNMP отключается, если строка сообщества является «общедоступной» или «частной».

После включения AutoSecure инструменты, использующие SNMP для мониторинга или настройки устройства, не могут взаимодействовать с устройством через SNMP.

Если проверка подлинности, авторизация и учет (AAA) не настроены, настройте локальный AAA. AutoSecure предлагает пользователям настроить локальное имя пользователя и пароль на маршрутизаторе.

Ведение журнала безопасности

После включения AutoSecure доступны следующие параметры ведения журнала. Эти параметры определяют инциденты безопасности и предоставляют способы реагирования на них.

Порядковые номера и метки времени для всех сообщений отладки и журналов. Этот параметр полезен при аудите сообщений журнала.

Дополнительную информацию о системных сообщениях входа см. в функциональном модуле Cisco IOS Release 12.3(4)T Улучшения входа в систему Cisco IOS.

Критическая команда logging console, которая отправляет сообщения системного журнала (syslog) на все доступные линии TTY и ограничивает количество сообщений в зависимости от серьезности.

Команда logging buffered, которая копирует сообщения журнала во внутренний буфер и ограничивает количество сообщений, записываемых в буфер, в зависимости от серьезности.

Команда отладки ловушки ведения журнала, которая позволяет отправлять все команды с серьезностью выше, чем отладка, на сервер ведения журнала.

Защита плоскости пересылки

Чтобы свести к минимуму риск атак на прямой уровень маршрутизатора, AutoSecure предоставляет следующие функции:

Cisco Express Forwarding (CEF) — AutoSecure включает CEF или распределенный CEF (dCEF) на маршрутизаторе, когда это возможно. Поскольку нет необходимости создавать записи в кэше, когда трафик начинает поступать для новых пунктов назначения, CEF ведет себя более предсказуемо, чем другие режимы, при наличии больших объемов трафика, адресованного многим пунктам назначения. Таким образом, маршрутизаторы, настроенные для CEF, лучше справляются с атаками SYN, чем маршрутизаторы, использующие традиционный кэш.

CEF потребляет больше памяти, чем традиционный кеш.

Если доступна функция перехвата TCP, ее можно настроить на маршрутизаторе для тайм-аута соединения.

Если доступна строгая одноадресная переадресация по обратному пути (uRPF), ее можно настроить на маршрутизаторе, чтобы уменьшить проблемы, вызванные введением поддельных (поддельных) IP-адресов источника. uRPF отбрасывает IP-пакеты, в которых отсутствует поддающийся проверке IP-адрес источника.

Если маршрутизатор используется в качестве брандмауэра, его можно настроить для управления доступом на основе контекста (CBAC) на общедоступных интерфейсах, обращенных к Интернету.

В начале диалога AutoSecure вам будет предложено ввести список общедоступных интерфейсов.

Как настроить AutoSecure

Настройка AutoSecure

Несмотря на то, что команда auto secure помогает защитить маршрутизатор, она не гарантирует полной безопасности маршрутизатора.

ОБЩИЕ ШАГИ

включить
автоматическая защита [управление | переадресация] [без взаимодействия | полный] [ntp | войти | сш | брандмауэр | TCP-перехват]

ПОДРОБНЫЕ ШАГИ

Пример:

Включает более высокие уровни привилегий, например привилегированный режим EXEC.

Введите пароль, если будет предложено.

Пример:

Полуинтерактивный сеанс диалога начинается с защиты уровня управления или пересылки на маршрутизаторе, когда выбрано ключевое слово управления или переадресации. Если ни одна из опций не выбрана, диалоговое окно предлагает настроить обе плоскости. Если выбрано ключевое слово управления, то защищена будет только плоскость управления. Если выбрано ключевое слово переадресации, то защищена будет только плоскость переадресации.

Если выбрано ключевое слово no-interact, пользователю не предлагается никаких интерактивных конфигураций.

Если выбрано полное ключевое слово, пользователю предлагается ввести все интерактивные вопросы, что является значением по умолчанию.

Настройка расширенного доступа к маршрутизатору

ОБЩИЕ ШАГИ

включить
настроить терминал
включить пароль < пароль | [тип-шифрования ] зашифрованный-пароль >
журнал пороговой частоты ошибок аутентификации безопасности
закрыть журнал пороговой частоты
показать автоматическую безопасную конфигурацию

ПОДРОБНЫЕ ШАГИ

Пример:

Включает более высокие уровни привилегий, например привилегированный режим EXEC.

Введите пароль, если будет предложено.

Пример:

Входит в режим глобальной конфигурации.

включить пароль < пароль | [тип-шифрования ] зашифрованный-пароль >

Пример:

Устанавливает локальный пароль для управления доступом к различным уровням привилегий.

журнал пороговой частоты ошибок аутентификации безопасности

Пример:

Настраивает количество допустимых неудачных попыток входа в систему.

threshold-rate -- количество допустимых неудачных попыток входа в систему.

log -- ошибка аутентификации системного журнала, если скорость превышает пороговое значение.

закрыть журнал пороговой скорости

Пример:

Выход из режима конфигурации и вход в привилегированный режим EXEC.

показать автоматическую безопасную конфигурацию

Пример:

(Необязательно) Отображает все команды конфигурации, которые были добавлены как часть конфигурации AutoSecure.

Пример конфигурации для AutoSecure

Следующий пример представляет собой диалоговое окно AutoSecure. После того, как вы включите команду автоматической защиты, функция автоматически предложит вам аналогичный диалог, если вы не включите ключевое слово no-interact. (Информацию о том, какие службы отключены и какие функции включены, см. в разделах «Защита плоскости управления» и «Защита плоскости пересылки» ранее в этом документе.)

Дополнительные ссылки

Связанные документы

Функции входа (например, задержки входа и периоды блокировки входа)

Функциональный модуль Cisco IOS Login Enhancements

Дополнительная информация о конфигурации маршрутизатора

Руководство по настройке основ настройки Cisco IOS, версия 12.4T

Дополнительные команды настройки маршрутизатора

Справочное руководство по командам для настройки Cisco IOS

Распределение адресов для частных интернетов

Фильтрация входящего трафика в сеть: защита от атак типа «отказ в обслуживании», в которых используется спуфинг IP-адреса источника

Техническая помощь

Информация о функциях AutoSecure

В следующей таблице представлена информация о выпуске функции или функций, описанных в этом модуле. В этой таблице перечислены только выпуски программного обеспечения, в которых реализована поддержка данной функции в данной последовательности выпусков программного обеспечения. Если не указано иное, последующие выпуски этой серии выпусков программного обеспечения также поддерживают эту функцию.

12,3(1) 12,2(18)S 12,3(8)T 12,2(27)SBC

Функция AutoSecure использует одну команду интерфейса командной строки, чтобы отключить распространенные IP-службы, которые могут быть использованы для сетевых атак, включить IP-службы и функции, которые могут помочь в защите сети от атак, а также упростить и усилить настройку безопасности на маршрутизатор.

Эта функция была представлена в Cisco IOS версии 12.3(1)S.

Эта функция была интегрирована в Cisco IOS версии 12.2(18)S.

В Cisco IOS версии 12.3(8)T добавлена поддержка функции отката и сообщений системного журнала.

Эта функция была интегрирована в Cisco IOS Release 12.(27)SBC.

Введены или изменены следующие команды: auto secure , минимальная длина паролей безопасности , show auto secure config .

Функция отказоустойчивой конфигурации Cisco IOS позволяет маршрутизатору защищать и поддерживать рабочую копию работающего образа и конфигурации, чтобы эти файлы могли противостоять попыткам злоумышленников стереть содержимое постоянного хранилища (NVRAM и флэш-память).

Поиск информации о функциях

Ограничения для отказоустойчивой конфигурации Cisco IOS

Эта функция доступна только на платформах, поддерживающих диск Advanced Technology Attachment (ATA) Международной ассоциации карт памяти персональных компьютеров (PCMCIA). На устройстве хранения должно быть достаточно места для размещения хотя бы одного образа Cisco IOS (два для обновлений) и копии работающей конфигурации. Программному обеспечению также требуется поддержка файловой системы IOS (IFS) для защищенных файловых систем.

Возможно принудительное удаление защищенных файлов с помощью более старой версии программного обеспечения Cisco IOS, которая не поддерживает файловую систему для скрытых файлов.

Эту функцию можно отключить только с помощью консольного подключения к маршрутизатору. За исключением сценария обновления, для активации функции не требуется доступ к консоли.

Вы не можете защитить загрузочный набор с помощью образа, загруженного из сети. Работающий образ должен быть загружен из постоянного хранилища, чтобы быть защищенным как основной.

Защищенные файлы не будут отображаться в выводе команды dir, запущенной из исполнительной оболочки, поскольку IFS не позволяет перечислять защищенные файлы в каталоге. Режим монитора ПЗУ (ROMMON) не имеет таких ограничений и может использоваться для вывода списка и загрузки защищенных файлов. Текущий образ и архивы текущей конфигурации не будут видны в выходных данных команды dir Cisco IOS. Вместо этого используйте команду show secure bootset для проверки существования архива.

Информация об отказоустойчивой конфигурации Cisco IOS

Проектирование функций отказоустойчивой конфигурации Cisco IOS

Серьезной проблемой для сетевых операторов является общее время простоя, возникающее после того, как маршрутизатор был скомпрометирован, а его рабочее программное обеспечение и данные конфигурации удалены из его постоянного хранилища. Оператор должен получить архивную копию (если есть) конфигурации и рабочий образ для восстановления маршрутизатора. Затем необходимо выполнить восстановление для каждого затронутого маршрутизатора, что увеличивает общее время простоя сети.

Функция отказоустойчивой конфигурации Cisco IOS предназначена для ускорения процесса восстановления. Эта функция постоянно поддерживает безопасную рабочую копию образа маршрутизатора и начальной конфигурации. Эти защищенные файлы не могут быть удалены пользователем. Этот набор рабочей конфигурации образа и маршрутизатора называется основным загрузочным набором.

При разработке отказоустойчивой конфигурации Cisco IOS учитывались следующие факторы:

Файл конфигурации в основном загрузочном наборе — это копия текущей конфигурации, которая была в маршрутизаторе при первом включении этой функции.

Эта функция защищает наименьший рабочий набор файлов, чтобы сохранить постоянное пространство для хранения. Для защиты основного файла образа Cisco IOS дополнительное пространство не требуется.

Эта функция автоматически обнаруживает несоответствие образа или версии конфигурации.

Для защиты файлов используется только локальное хранилище, что устраняет проблемы обслуживания масштабируемости из-за хранения нескольких образов и конфигураций на серверах TFTP.

Эту функцию можно отключить только через сеанс консоли.

Как использовать отказоустойчивую конфигурацию Cisco IOS

Архивирование конфигурации маршрутизатора

В этой задаче описывается, как сохранить основной загрузочный набор в безопасном архиве в постоянном хранилище.

ОБЩИЕ ШАГИ

включить
настроить терминал
защищенный загрузочный образ
безопасная конфигурация загрузки
конец
показать безопасную загрузку

ПОДРОБНЫЕ ШАГИ

Пример:

Включает привилегированный режим EXEC.

Введите пароль, если будет предложено.

Пример:

Входит в режим глобальной конфигурации.

Пример:

Включает отказоустойчивость образа Cisco IOS.

Пример:

Сохраняет защищенную копию основного загрузочного набора в постоянном хранилище.

Пример:

Выходит в привилегированный режим EXEC.

показать безопасную загрузку

Пример:

(Необязательно) Отображает состояние устойчивости конфигурации и имя файла основного набора начальной загрузки.

Пример

В следующем примере показан пример вывода команды show secure bootset:

Восстановление архивной конфигурации маршрутизатора

В этой задаче описывается, как восстановить основной загрузочный набор из защищенного архива после вмешательства в работу маршрутизатора (путем стирания NVRAM или форматирования диска).

Чтобы восстановить заархивированный основной загрузочный набор, должна быть включена устойчивость образа Cisco IOS, а основной загрузочный набор ранее был заархивирован в постоянном хранилище.

ОБЩИЕ ШАГИ

перезагрузить
каталог [ файловая система : ]
загрузить [номер раздела: ][имя файла]
нет
включить
настроить терминал
secure boot-config [восстановить имя файла
конец
скопировать имя файла running-config

ПОДРОБНЫЕ ШАГИ

Пример:

(Необязательно) При необходимости переходит в режим мониторинга ПЗУ.

Пример:

Перечисляет содержимое устройства, которое содержит безопасный файл начальной загрузки.

Имя устройства можно найти в выводе команды show secure bootset.

загрузочный [номер раздела: ][имя файла]

Пример:

Загружает маршрутизатор, используя безопасный загрузочный образ.

Пример:

(Необязательно) Отказывается входить в сеанс интерактивной настройки в режиме настройки.

Если NVRAM была стерта, маршрутизатор переходит в режим настройки и предлагает пользователю инициировать интерактивный сеанс настройки.

Пример:

Включает привилегированный режим EXEC.

Введите пароль, если будет предложено.

Пример:

Входит в режим глобальной конфигурации.

secure boot-config [восстановить имя файла

Пример:

Восстанавливает безопасную конфигурацию с указанным именем файла.

Пример:

Выходит в привилегированный режим EXEC.

копировать имя файла running-config

Пример:

Копирует восстановленную конфигурацию в текущую конфигурацию.

Дополнительные ссылки

В следующих разделах приведены ссылки, связанные с отказоустойчивой конфигурацией Cisco IOS.

Связанные документы

Дополнительные команды: полный синтаксис команд, режим команд, значения по умолчанию, рекомендации по использованию и примеры

Справочник по основам настройки Cisco IOS и командам управления сетью , выпуск 12.4T

Стандарты

Эта функция не поддерживает новые или измененные стандарты, а поддержка существующих стандартов не была изменена этой функцией.

Эта функция не поддерживает новые или измененные MIB, а поддержка существующих MIB не была изменена этой функцией.

Чтобы найти и загрузить MIB для выбранных платформ, выпусков Cisco IOS и наборов функций, используйте Cisco MIB Locator по следующему URL-адресу:

Эта функция не поддерживает новые или измененные RFC, и эта функция не изменила поддержку существующих RFC.

Техническая помощь

На веб-сайте службы поддержки Cisco представлены обширные онлайн-ресурсы, включая документацию и инструменты для устранения неполадок и решения технических проблем, связанных с продуктами и технологиями Cisco.

Чтобы получать информацию о безопасности и техническую информацию о своих продуктах, вы можете подписаться на различные службы, такие как инструмент оповещения о продуктах (доступ к которому можно получить из уведомлений на местах), информационный бюллетень технических услуг Cisco и каналы Really Simple Syndication (RSS).

Информация о функциях отказоустойчивой конфигурации Cisco IOS

Отказоустойчивая конфигурация Cisco IOS

Эта функция была представлена в версии 12.3(8)T.

Введены или изменены следующие команды: secure boot-config, secure boot-image, show secure bootset.

Ваша версия программного обеспечения может не поддерживать все функции, описанные в этом модуле. Последние предостережения и информацию о функциях см. в Инструменте поиска ошибок и примечаниях к выпуску для вашей платформы и версии программного обеспечения. Чтобы найти информацию о функциях, описанных в этом модуле, и просмотреть список выпусков, в которых поддерживается каждая функция, см. таблицу с информацией о функциях в конце этого модуля.

Ограничения для управления доступом к коммутатору с помощью паролей и привилегий

Ниже приведены ограничения для управления доступом к коммутатору с помощью паролей и привилегий:

Отключение восстановления пароля не будет работать, если вы настроили переключатель на загрузку вручную с помощью команды глобальной конфигурации boot manual.Эта команда выдает приглашение загрузчика (переключатель:) после выключения и выключения питания коммутатора.

Информация о паролях и уровнях привилегий

Пароль по умолчанию и конфигурация уровня привилегий

Простым способом обеспечения контроля доступа к терминалу в вашей сети является использование паролей и назначение уровней привилегий. Защита паролем ограничивает доступ к сети или сетевому устройству. Уровни привилегий определяют, какие команды могут вводить пользователи после входа в сетевое устройство.

В этой таблице показаны пароль по умолчанию и конфигурация уровня привилегий.

Включить пароль и уровень привилегий

Пароль не определен. По умолчанию используется уровень 15 (привилегированный уровень EXEC). Пароль не зашифрован в файле конфигурации.

Включить секретный пароль и уровень привилегий

Пароль не определен. По умолчанию используется уровень 15 (привилегированный уровень EXEC). Пароль шифруется перед записью в файл конфигурации.

Пароль не определен.

Дополнительная защита паролем

Чтобы обеспечить дополнительный уровень безопасности, особенно для паролей, передаваемых по сети или хранящихся на сервере простого протокола передачи файлов (TFTP), вы можете использовать команду enable password или enable secret глобальной конфигурации. Обе команды выполняют одно и то же; то есть вы можете установить зашифрованный пароль, который пользователи должны вводить для доступа к привилегированному режиму EXEC (по умолчанию) или к любому указанному вами уровню привилегий.

Мы рекомендуем вам использовать команду enable secret, поскольку она использует улучшенный алгоритм шифрования.

Если вы настраиваете команду enable secret, она имеет приоритет над командой enable password; две команды не могут действовать одновременно.

Если вы включите шифрование паролей, оно будет применяться ко всем паролям, включая пароли имен пользователей, пароли ключей аутентификации, пароли привилегированных команд, а также пароли строк консоли и виртуального терминала.

Восстановление пароля

По умолчанию любой конечный пользователь, имеющий физический доступ к коммутатору, может восстановить утерянный пароль, прервав процесс загрузки при включенном коммутаторе, а затем введя новый пароль.

Функция отключения восстановления пароля защищает доступ к паролю коммутатора, отключая часть этой функции. Когда эта функция включена, конечный пользователь может прервать процесс загрузки, только согласившись вернуть систему к конфигурации по умолчанию. Если восстановление пароля отключено, вы по-прежнему можете прервать процесс загрузки и изменить пароль, но файл конфигурации (config.text) и файл базы данных VLAN (vlan.dat) будут удалены.

Если вы отключите восстановление пароля, мы рекомендуем сохранить резервную копию файла конфигурации на защищенном сервере на случай, если конечный пользователь прервет процесс загрузки и вернет систему к значениям по умолчанию. Не храните резервную копию файла конфигурации на коммутаторе. Если коммутатор работает в прозрачном режиме VTP, рекомендуется также хранить резервную копию файла базы данных VLAN на защищенном сервере. Когда коммутатор возвращается к конфигурации системы по умолчанию, вы можете загрузить сохраненные файлы на коммутатор с помощью протокола Xmodem.

Чтобы снова включить восстановление пароля, используйте команду глобальной конфигурации service password-recovery.

Конфигурация Telnet линии терминала

При первом включении коммутатора запускается программа автоматической настройки, которая назначает информацию об IP-адресе и создает конфигурацию по умолчанию для дальнейшего использования. Программа установки также предлагает настроить коммутатор для доступа через Telnet с помощью пароля. Если вы не настроили этот пароль во время программы установки, вы можете настроить его при установке пароля Telnet для терминальной линии.

Пары имени пользователя и пароля

Вы можете настроить пары имени пользователя и пароля, которые локально хранятся на коммутаторе. Эти пары назначаются линиям или портам и аутентифицируют каждого пользователя, прежде чем этот пользователь сможет получить доступ к коммутатору. Если вы определили уровни привилегий, вы также можете назначить определенный уровень привилегий (с соответствующими правами и привилегиями) для каждой пары имя пользователя и пароль.

Уровни привилегий

Устройства Cisco используют уровни привилегий для обеспечения защиты паролем для различных уровней работы коммутатора. По умолчанию программное обеспечение Cisco IOS работает в двух режимах (уровнях привилегий) защиты паролем: пользовательский EXEC (уровень 1) и привилегированный EXEC (уровень 15). Вы можете настроить до 16 иерархических уровней команд для каждого режима. Настроив несколько паролей, вы можете разрешить разным группам пользователей доступ к указанным командам.

Уровни привилегий на линиях

Пользователи могут переопределить уровень привилегий, который вы установили с помощью команды конфигурации линии уровня привилегий, войдя в систему и включив другой уровень привилегий. Они могут понизить уровень привилегий с помощью команды отключения.Если пользователи знают пароль более высокого уровня привилегий, они могут использовать этот пароль для включения более высокого уровня привилегий. Вы можете указать высокий уровень или уровень привилегий для своей линии консоли, чтобы ограничить использование линии.

Например, если вы хотите, чтобы многие пользователи имели доступ к команде очистки линии, вы можете назначить ей уровень безопасности 2 и достаточно широко распространить пароль уровня 2. Но если вам нужен более ограниченный доступ к команде configure, вы можете назначить ей уровень безопасности 3 и распространить этот пароль среди более ограниченной группы пользователей.

Уровни привилегий

Когда вы устанавливаете для команды уровень привилегий, все команды, синтаксис которых является подмножеством этой команды, также устанавливаются на этот уровень. Например, если для команды show ip traffic задан уровень 15, для команд show и show ip автоматически устанавливается уровень привилегий 15, если только вы не установите для них разные уровни по отдельности.

Как управлять доступом к коммутатору с помощью паролей и уровней привилегий

Установка или изменение статического пароля

Пароль enable управляет доступом к привилегированному режиму EXEC. Выполните следующие действия, чтобы установить или изменить статический пароль включения:

Создание, загрузка и поддержка файлов конфигурации позволяют создавать набор настраиваемых пользователем команд для настройки функций вашего устройства маршрутизации Cisco. Полное описание команд управления файлом конфигурации см. в Справочнике по командам Cisco IOS Configuration Fundamentals.

Поиск информации о функциях

Необходимые условия для управления файлами конфигурации

Вы должны иметь хотя бы базовые знания о среде Cisco IOS и интерфейсе командной строки.

В вашей системе должна быть запущена хотя бы минимальная конфигурация. Вы можете создать базовый файл конфигурации с помощью команды setup (подробности см. в разделе Использование режима настройки для настройки сетевого устройства Cisco).

Ограничения на управление файлами конфигурации

Многие команды Cisco IOS, описанные в этом документе, доступны и работают только в определенных режимах конфигурации маршрутизатора.

Информация об управлении файлами конфигурации

Типы файлов конфигурации

Файлы конфигурации содержат команды программного обеспечения Cisco IOS, используемые для настройки функциональности вашего устройства маршрутизации Cisco (маршрутизатор, сервер доступа, коммутатор и т. д.). Команды анализируются (транслируются и выполняются) программным обеспечением Cisco IOS при загрузке системы (из файла конфигурации запуска) или при вводе команд в интерфейсе командной строки в режиме конфигурации.

Файлы конфигурации запуска (startup-config) используются во время запуска системы для настройки программного обеспечения. Файлы рабочей конфигурации (running-config) содержат текущую конфигурацию программного обеспечения. Два файла конфигурации могут быть разными. Например, вы можете захотеть изменить конфигурацию на короткий период времени, а не навсегда. В этом случае вы должны изменить текущую конфигурацию с помощью команды EXEC configure terminal, но не сохранять конфигурацию с помощью команды EXEC copy running-config startup-config.

Чтобы изменить текущую конфигурацию, используйте команду терминала configure, как описано в разделе «Изменение файла конфигурации в интерфейсе командной строки». При использовании режимов конфигурации Cisco IOS команды обычно выполняются немедленно и сохраняются в текущем файле конфигурации либо сразу после их ввода, либо при выходе из режима конфигурации.

Чтобы изменить файл конфигурации запуска, вы можете либо сохранить файл текущей конфигурации в конфигурацию запуска с помощью команды EXEC copy running-config startup-config, либо скопировать файл конфигурации с файлового сервера в конфигурацию запуска (см. « Копирование файла конфигурации с TFTP-сервера на маршрутизатор (см. раздел «Дополнительная информация»).

Режим конфигурации и выбор источника конфигурации

Чтобы войти в режим конфигурации на маршрутизаторе, введите команду configure в приглашении привилегированного режима EXEC. Программное обеспечение Cisco IOS выдает следующую подсказку с просьбой указать терминал, память или файл, хранящийся на сетевом сервере (сети), в качестве источника команд настройки:

Настройка из терминала позволяет вводить команды конфигурации в командной строке, как описано в следующем разделе. Настройка из памяти загружает файл начальной конфигурации. Дополнительные сведения см. в разделе «Повторное выполнение команд конфигурации в файле конфигурации запуска».Настройка из сети позволяет загружать и выполнять команды конфигурации по сети. Дополнительные сведения см. в разделе «Копирование файла конфигурации с TFTP-сервера на маршрутизатор».

Изменение файла конфигурации с помощью интерфейса командной строки

Программное обеспечение Cisco IOS принимает одну команду конфигурации на строку. Вы можете ввести столько команд конфигурации, сколько хотите. Вы можете добавить комментарии к файлу конфигурации, описывающие введенные вами команды. Перед комментарием ставится восклицательный знак (!). Поскольку комментарии не хранятся в энергонезависимой памяти или в активной копии файла конфигурации, они не отображаются, когда вы перечисляете активную конфигурацию с помощью команды EXEC show running-config или more system:running-config. Комментарии не отображаются, когда вы перечисляете конфигурацию запуска с помощью команды режима EXEC show startup-config или more nvram:startup-config. Комментарии удаляются из файла конфигурации при его загрузке на маршрутизатор. Однако вы можете перечислить комментарии в файлах конфигурации, хранящихся на сервере протокола передачи файлов (FTP), протокола удаленного копирования (rcp) или протокола упрощенной передачи файлов (TFTP). Когда вы настраиваете программное обеспечение с помощью интерфейса командной строки, оно выполняет команды по мере их ввода.

Расположение файлов конфигурации

Файлы конфигурации хранятся в следующих местах:

Текущая конфигурация хранится в оперативной памяти.

На всех платформах, кроме платформ с файловой системой флэш-памяти класса A, начальная конфигурация хранится в энергонезависимой памяти с произвольным доступом (NVRAM).

Копировать файлы конфигурации с сетевого сервера на маршрутизатор

Вы можете скопировать файлы конфигурации с TFTP-, rcp- или FTP-сервера в текущую или начальную конфигурацию маршрутизатора. Вы можете захотеть выполнить эту функцию по одной из следующих причин:

Чтобы восстановить резервную копию файла конфигурации.

Чтобы использовать файл конфигурации для другого маршрутизатора. Например, вы можете добавить в свою сеть еще один маршрутизатор и настроить его так же, как исходный маршрутизатор. Скопировав файл на новый маршрутизатор, вы можете изменить соответствующие части, а не создавать заново весь файл.

Чтобы загрузить одни и те же команды настройки на все маршрутизаторы в вашей сети, чтобы все маршрутизаторы имели одинаковые конфигурации.

Для восстановления конфигурационного файла до точной копии файла, хранящегося на сервере, необходимо скопировать конфигурационный файл непосредственно в загрузочную конфигурацию (используя копию ftp: | rcp: | tftp: > nvram:startup -config) и перезагрузите маршрутизатор.

Чтобы скопировать файлы конфигурации с сервера на маршрутизатор, выполните задачи, описанные в следующих разделах:

Используемый протокол зависит от типа используемого сервера. Транспортные механизмы FTP и rcp обеспечивают более высокую производительность и более надежную доставку данных, чем TFTP. Эти улучшения возможны, поскольку транспортные механизмы FTP и rcp основаны на стеке TCP/IP, ориентированном на соединение, и используют его.

Скопируйте файл конфигурации с маршрутизатора на TFTP-сервер

В некоторых реализациях TFTP необходимо создать фиктивный файл на сервере TFTP и предоставить ему права на чтение, запись и выполнение, прежде чем копировать файл поверх него. Дополнительную информацию см. в документации по TFTP.

Скопируйте файл конфигурации с маршрутизатора на FTP-сервер

Вы можете скопировать файл конфигурации с маршрутизатора на FTP-сервер.

Знакомство с именем пользователя и паролем FTP

Протокол FTP требует от клиента отправки удаленного имени пользователя и пароля при каждом FTP-запросе на сервер. Когда вы копируете файл конфигурации с маршрутизатора на сервер с помощью FTP, программное обеспечение Cisco IOS отправляет первое обнаруженное допустимое имя пользователя в следующей последовательности:

Имя пользователя, указанное в команде копирования EXEC, если указано имя пользователя.

Имя пользователя, заданное командой глобальной конфигурации ip ftp username, если эта команда настроена.

Маршрутизатор отправляет первый попавшийся действительный пароль в следующей последовательности:

Пароль, указанный в команде копирования, если пароль указан.

Пароль, заданный командой ip ftp password, если эта команда настроена.

Маршрутизатор формирует пароль имя пользователя @имя маршрутизатора .домен . Переменная username – это имя пользователя, связанное с текущим сеансом, routername – настроенное имя хоста, а domain – домен маршрутизатора.< /p>

Имя пользователя и пароль должны быть связаны с учетной записью на FTP-сервере. Если вы пишете на сервер, FTP-сервер должен быть правильно настроен для приема запросов FTP-записи от пользователя на маршрутизаторе.

Если сервер имеет структуру каталогов, файл конфигурации или образ записываются или копируются из каталога, связанного с именем пользователя на сервере.Например, если образ системы находится в домашнем каталоге пользователя на сервере, укажите имя этого пользователя в качестве имени удаленного пользователя.

Для получения дополнительной информации обратитесь к документации вашего FTP-сервера.

Используйте команды глобальной конфигурации ip ftp username и ip ftp password, чтобы указать имя пользователя и пароль для всех копий. Включите имя пользователя в команду копирования EXEC, если вы хотите указать имя пользователя только для этой операции копирования.

Пароль не должен содержать специальные символы «@», «:» и «/». Если используются эти специальные символы, копия не сможет проанализировать IP-адрес сервера.

Копирование файлов через VRF

Вы можете копировать файлы через интерфейс VRF, указанный в команде копирования. Указание VRF в команде копирования проще и эффективнее, поскольку вы можете напрямую изменить исходный интерфейс без необходимости изменять конфигурацию с помощью запроса на изменение.

В следующем примере показано, как копировать файлы через VRF с помощью команды копирования:

Файлы конфигурации больше NVRAM

Чтобы сохранить файл конфигурации, размер которого превышает размер NVRAM, необходимо ознакомиться с информацией в следующих разделах:

Сжатие файла конфигурации

Команда глобальной конфигурации service compress-config указывает, что файл конфигурации должен храниться в сжатом виде в энергонезависимой памяти NVRAM. После сжатия файла конфигурации маршрутизатор работает нормально. Когда система загружается, она распознает, что файл конфигурации сжат, расширяет его и работает нормально. Команда EXEC more nvram:startup-config расширяет конфигурацию перед ее отображением.

Перед сжатием файлов конфигурации ознакомьтесь с соответствующей публикацией по установке и обслуживанию оборудования. Убедитесь, что ПЗУ вашей системы поддерживают сжатие файлов. Если нет, вы можете установить новые ПЗУ, поддерживающие сжатие файлов.

Команда глобальной конфигурации service compress-config работает только при наличии загрузочных ПЗУ программного обеспечения Cisco IOS версии 10 или более поздней. Установка новых ПЗУ является одноразовой операцией и необходима только в том случае, если у вас еще нет Cisco IOS версии 10 в ПЗУ. Если загрузочные ПЗУ не распознают сжатую конфигурацию, отображается следующее сообщение:

Загрузка команд конфигурации из сети

Вы также можете хранить большие конфигурации на серверах FTP или TFTP и загружать их при запуске системы. Чтобы использовать сетевой сервер для хранения больших конфигураций, см. разделы «Копирование файла конфигурации с маршрутизатора на сервер TFTP» и «Настройка маршрутизатора для загрузки файлов конфигурации» для получения дополнительной информации об этих командах.

Управление кэшем парсера

Синтаксический анализатор командной строки Cisco IOS в ПО Cisco IOS выполняет преобразование и выполнение (анализ) командных строк. Функция Parser Cache была разработана для быстрой обработки больших файлов конфигурации, что значительно сокращает время загрузки.

Функция Parser Cache позволяет быстро распознавать и переводить строки конфигурации в файле конфигурации, которые немного отличаются от ранее использовавшихся строк конфигурации (например, pvc 0/100, pvc 0/101 и т. д.), путем динамического создания, кэширование и повторное использование упрощенных графов синтаксического анализа. Это улучшение полезно в первую очередь для файлов конфигурации, в которых аналогичные команды повторяются сотни или тысячи раз, например, в случаях, когда необходимо настроить тысячи виртуальных каналов для субинтерфейсов или сотни списков доступа. Производительность улучшится больше всего для тех файлов, в которых одни и те же команды используются повторно, но числовые аргументы меняются от команды к команде.

Кэш синтаксического анализатора включен по умолчанию на всех платформах, использующих Cisco IOS версии 12.1(5)T и более поздних версиях. Однако пользователи устройств Cisco, которым не требуются большие файлы конфигурации, могут захотеть отключить кэш анализатора, чтобы освободить ресурсы, используемые этой функцией. (Память, используемая этой функцией, зависит от размера проанализированных файлов конфигурации, но обычно составляет менее 512 КБ.)

Существует несколько способов управления кешем парсера (все они необязательны):

Очистка кэша синтаксического анализатора. Чтобы освободить ресурсы или сбросить кэш-память синтаксического анализатора, вы можете очистить записи синтаксического анализа и статистику попадания/промаха, сохраненные функцией кэша синтаксического анализатора

Отключение кэша синтаксического анализатора. Функция кэша синтаксического анализатора включена по умолчанию. Чтобы отключить функцию Parser Cache, используйте команду no parser cache в режиме глобальной конфигурации. Когда кеш синтаксического анализатора отключен, командная строка без кэша синтаксического анализатора записывается в работающий файл конфигурации. Если вы хотите отключить кеш парсера, чтобы освободить системные ресурсы, вы должны очистить кеш парсера перед выполнением команды no parser cache. Вы не сможете очистить кеш парсера после его отключения.

Повторное включение кэша синтаксического анализатора. Чтобы снова включить функцию кэша синтаксического анализатора после ее отключения, используйте команду кэширования синтаксического анализатора в режиме глобальной конфигурации

Мониторинг синтаксического анализатора. Статистика последнего проанализированного файла конфигурации хранится в системной памяти вместе со статистикой попаданий/промахов по командам, проанализированным функцией кэширования синтаксического анализатора. «Попадания» и «промахи» относятся к совпадениям, которые кэш парсера смог сделать с аналогичными командами, использовавшимися ранее в сеансе настройки. Те команды, которые совпадают («попадания»), анализируются более эффективно. Кэш синтаксического анализатора не может улучшить время синтаксического анализа для тех команд, которые ему не удалось сопоставить («промахи»).

Настройте маршрутизатор для загрузки файлов конфигурации

Вы можете настроить маршрутизатор для загрузки одного или двух файлов конфигурации при запуске системы. Файлы конфигурации загружаются в память и считываются, как если бы вы вводили команды в командной строке. Таким образом, конфигурация маршрутизатора будет представлять собой смесь исходной начальной конфигурации и одного или двух загруженных файлов конфигурации.

Файлы конфигурации сети и хоста

По историческим причинам первый файл, загружаемый маршрутизатором, называется файлом конфигурации сети. Второй файл, который загружает маршрутизатор, называется файлом конфигурации хоста. Можно использовать два файла конфигурации, когда все маршрутизаторы в сети используют одни и те же команды. Файл конфигурации сети содержит стандартные команды, используемые для настройки всех маршрутизаторов. Файлы конфигурации хоста содержат команды, специфичные для одного конкретного хоста. Если вы загружаете два файла конфигурации, файл конфигурации хоста должен иметь приоритет над другим файлом. Файлы конфигурации сети и хоста должны находиться на сетевом сервере, доступном через TFTP, rcp или FTP, и должны быть доступны для чтения.

Как управлять информацией файла конфигурации

Отображение информации о файле конфигурации

Чтобы отобразить информацию о файлах конфигурации, выполните задачи в этом разделе:

Читайте также: