Меню Рубрики

Установка telnet с маршрутизатором

Настройка ssh и telnet на CISCO.

Для тестирования и настройки подключений к оборудованию CISCO был собран стенд на GNS3.

Маршрутизатор 3640 с поднятым сабинтерфейсом FastEthernet0/0.2 с ip 10.1.2.1/24 и хост с ОС Debian 7 c ip 10.1.2.2/24 соединенные между собой свичем SW.

Проверяем на доступность маршрутизатор


Пинг проходит успешно, но маршрутизатор пока отвергает подключение по telnet и ssh.

Исправим это, настроим пароль на доступ к привилегированному режиму и к консольному порту, настроим telnet, ssh.

1.Установка пароля на доступ к привилегированному режиму.
Для установки пароля на доступ к привилегированному режиму перейдем в режим глобальной конфигурации и установим пароль.

router#config terminal router(config)#enable secret cisco router(config)#enable password ciscocisco

Команда enable secret создает зашифрованный пароль
Команда enable password хранит пароль в открытом виде
При использовании одновременно двух команд приоритет отдается enable secret, а пароль в enable password не используется, так же не рекомендуется использовать одинаковый пароль в этих командах.

2.Установка пароля на доступ устройству через консольный порт.

router#configure terminal router(config)#line console 0 router(config-line)#password cisco router(config-line)#login router(config-line)#end

3.Установка пароля на доступ устройству через telnet.

router#configure terminal router(config)#line vty 0 15 router(config-line)#password cisco router(config-line)#login

В данном случае пароль установлен на все 16 линий, если нужно то можно менять диапазон, например line vty 0 4.

Смотрим что у нас получилось. Ниже приведены интересующие нас строчки из running-config

router#show running-config ! enable secret 5 $1$tasv$QdGGQJIj.PEPk3sz66NMe/ enable password ciscocisco ! ! line con 0 exec-timeout 0 0 privilege level 15 password cisco logging synchronous login line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 password cisco login line vty 5 15 password cisco login !

4. Включаем шифрование паролей.
Как мы видим пароли в конфигурации лежат в открытом виде, зашифруем их для этого используем команду service password-encryption в режиме глобальной конфигурации.

router#configure terminal router(config)#service password-encryption

router#show running-config ! enable secret 5 $1$tasv$QdGGQJIj.PEPk3sz66NMe/ enable password 7 00071A150754080F1C2243 ! line con 0 exec-timeout 0 0 privilege level 15 password 7 1511021F0725 logging synchronous login line vty 0 4 password 7 110A1016141D login line vty 5 15 password 7 110A1016141D login !

Пароли зашифрованы, если перед хешем пароля стоит цифра 5 то пароль зашифрован алгоритмом MD5 и плохо поддается дешифровке, а цифра 7 обозначает слабый алгоритм шифрования, который легко подвержен дешифровке.

5. Настройка доступа по ssh

Пароли передаваемые протоколом telnet никак не шифруются, и могут быть перехвачены, для того чтоб этого не случилось настроим доступ к устройству через протокол ssh.

Для генерации ключа ssh необходимо задать ip domain-name.

router(config)#ip domain-name test.dom

Генерируем ключ ssh, размер ключа указываем максимально возможный 2048

router(config)#crypto key generate rsa general-keys modulus 2048

Создаем пару логин пароль

router(config)#username admin secret cisco

В конфигурации линий vty 0-15 покажем что логин берется из локальной базы и входящий протокол будет ssh

router(config)#line vty 0-15 router(config-line)#login local router(config-line)#transport input ssh

По умолчанию CISCO включает версию ssh 1.99

router#show ip ssh SSH Enabled — version 1.99 Authentication timeout: 120 secs; Authentication retries: 3

изменим её на ssh 2 командой

router#config t router(config)#ip ssh version 2

router#show ip ssh SSH Enabled — version 2.0 Authentication timeout: 120 secs; Authentication retries: 3


Подключение проходит успешно.

Для большей безопасности на вход line vty можно повесить стандартный access-list со списком разрешенных хостов.

Создаем стандартный access-list 2 разрешающий хост 10.1.2.3, остальные он запрещает по умолчанию.

router#configure terminal router(config)#access-list 2 permit 10.1.2.3

Весим его на вход line vty 0 15

router#configure terminal router(config)#line vty 0 15 router(config-line)#access-class 2 in

источник

Работа с роутерами D-Link через Telnet

Сегодня мы узнаем, как с помощью утилиты telnet можно подключиться к роутеру D-Link и что это нам дает. Итак, что мы имеем:

  • Роутер. Моим подопытным будет роутер D-Link DSL-2640U. Это классический 4-х портовый модем, подключающийся к интернету с помощью технологии ADSL ( Asymmetric Digital Subscriber Line) через телефонный провод и раздающий его на все 4 порта + WiFi.
  • Компьютер под управлением операционной системы Windows 7 Pro

Итак. Опкрываем меню Пуск и вводим команду cmd. Можно так же воспользоваться командой Windows+R для вызова окна Выполнить и ввести команду cmd туда. Жмем Enter и перед нами всплывет окно командной строки.

Далее выполним команду telnet 192.168.1.1 23 , где 192.168.1.1 — это ip-адрес нашего модема, а 23 — порт telnet.

Внимание, перед тем, как заходить на модем через telnet, убедитесь, что в настройках модема разрешено подключение через telnet (при заводских настройках оно включено по умолчанию)

Если вы все сделали правильно, то telnet запросить логин и пароль. И не паникуйте, что при вводе пароля не появляются символы на экране. Это специальная фишка linux-систем как защита от кражей паролей

Если вы все сделали правильно, то перед вами появится следующая картина:

Что такое BusyBox вы можете почитать здесь. Если кратко, то это своеобразный интерпретатор команд для unix-подобных систем.

Итак, какие команды наиболее интересны:

      • Команда ls — — выводит список файлов или каталогов (для вывода корневых каталогов можно так же использовать echo */ )
      • cat — читает файл. (например, узнать версию встроенной операционной системы можно с помощью cat /proc/version , архитектуру — cat /proc/cpuinfo , память — cat /proc/mtd , )
      • pwd — узнать текущий каталог
      • ip — команда, раскрывающая все возможности работы с сетью
      • free — оперативная память на борту

Итак, попробуем посмотреть, что из каких файлов и папок состоит наша прошивка. Вводим команду ls -al и нажимаем Enter. И получиться у нас должно что-то типа такого:

Куча всего непонятного, правда? Не пугайтесь. Не так страшен черт, как его малюют. Давайте разбираться:

Первый столбец — это права доступа к файлу/папке (если кратко r — чтение, w — запись, x — исполнение, — — права отсутствуют, t — запрет на удаление пользователем), второй — это количество папок в в ветке, третий — размер файла, четвертый — название. Не так уж и страшно.

Теперь рассмотрим, что же представляет каждая из этих папок в ос Linux:

  • /var — Системные данные и конфигурационные файлы (в ос linux обычно является отдельной файловой системой)
  • /usr — Большин­ство стандартных программ и другие полезные компоненты (также часто в linux является отдельной файловой системой)
  • /tmp — Временные файлы, которые могут удаляться при перезагрузке
  • /sbin — Команды, необходимые для обеспечения минимальной работоспособности системы
  • /root — Домашний каталог суперпользователя
  • /proc — Информация о всех выполняющихся процессах
  • /opt — Программные пакеты необязательных приложения (которые пока не находят широкого применения)
  • /mnt — Временные точки монтирования
  • /lib, lib32, /lib64 — Библиотеки и вспомогательные файлы для стандартных программ
  • /home — Стандартные домашние каталоги пользователей
  • /etc — Важные файлы запуска и конфигурации системы
  • /dev — Файлы устройств: дисков, принтеров, псевдотерминалов и т.д.
  • /bin — команды операционной системы ядра
Читайте также:  Установка переднего стеклоподъемника приора

Если хотите узнать больше, введите в командной строке cat /proc/meminfo . Вы увидите следующее окошко:

Из всего этого нас больше всего интересует MemTotal и MemFree — всего и свободной памяти соответственно. Важной так же является информация в proc/mounts

На этом краткий обзор на сегодня закончу. В следующей статье

Через telnet мы можем так же посмотреть mac-адрес нашего устройства с помощью команды ip link:

Либо еще проще, через команду mfc mac get , например, для ревизий U/RA/U2A — можно проверить командой mfc hwrev get либо через mfc dump. Через telnet мы так же можем попробовать сменить mac-адрес модема, если верить вот этим инструкциям:

Но у меня для моего U/RA/U2A из этих инструкций ничего не сработало: они выполнились и даже mfc mac get показал правильный мак, но в веб-интерфейсе нули так и остались. Помогла команда

То, что вам нужно подставить вместо звезд, я думаю, вы догадаетесь без меня. Полный синтаксис команды будет такой: mfc init

Какие есть альтернативы в случае неудачи. Не отчаивайтесь. Можно попробовать восстановить mac-адреса с помощью кабеля или даже редактирования прошивки, слитой через программатор. Но такая работа требует больше усилий и навыков. Но в принципе эти способы могут пригодиться, если telnet вам откажет. Так же некоторые прошивки позволяют редактировать мак непосредственно в веб

Для более плотной работы с настройками модема введите команду resident_cli . Надо будет подтвердить логин и пароль еще раз. В окне терминала вы увидите снова общую информацию об устройстве и станет доступна консоль для настройки модема. Чтобы вернуться в окно BusyBox, выполните команду sh

Какие еще интересные команды? Для настройки фаервола есть команда iptables . Она открывает перед администратором огромные возможности (от которых честно говоря, можно захлебнуться. Так что я рекомендую настройки фаервола делать через обычный веб-интерфейс)

Перед тем, как прошивать, хорошо бы было снять копию текущей прошивки. Но это не так просто. В консоли D-Link нет готовой команды для бэкапа. Но есть другие не менее любопытные. Например, hexdump, а так же

  • dd — копирование файла с конвертированием и форматированием (с параметрами if, of, bs, skip, seek)
  • mkdir — создание каталога

Важно знать: все прошивки D-Link распространяются под лицензией GPL! А значит имеют открытый исходный код. Я не знаю, почему компания решила открыть все свои исходники своего ПО. На мой взгляд, это шаг назад, т.к. любой злоумышленник может модифицировать прошивку, залить туда троян либо другой вирус и заразить модемы. В связи с этим интернете, к сожалению, есть много описаний уязвимостей модемов D-Link с подробными рецептами, как ими пользоваться. Очевидно, это минус. Но нам это сейчас на руку. Конечно, нашей целью не является написание вирусов, а наоборот — расширение функционала.

Второй момент — это то, что исходники прошивки ни на каком ни php или asp, а на голом C++, под gcc заточенном. Не то, чтобы это было очень плохо, но это усложняет задачу. Лично для меня C++ — самый сложный стек, с которым мне приходилось сталкиваться. Я считаю, это язык для профессионалов. Но не все так плохо. Итак, впереди нас ждет веселое и увлекательное путешествие в реверс-инжиниринг исходного кода маршрутизаторов D-Link!

Все исходники на свои программы D-Link выкладывает здесь.

источник

Роутер ZyXEL, настраиваем Telnet-ом

Протокол Telnet – это стандарт обмена данными между двумя сетевыми устройствами, разработанный для реализации удаленного управления. Не все знают, что настройка Wi-Fi роутера может быть выполнена по Telnet с любого компьютера локальной сети. Для этого необходимо, чтобы в роутере опция доступа по Telnet была включена, а включают ее через web-интерфейс.

Интересным выглядит тот факт, что иногда на роутер можно зайти с использованием «Телнет», в то время как доступ по HTTP, то есть через графический интерфейс, остается недоступен.

Условие возможности подключения к маршрутизатору

Если требуется зайти в интерфейс управления роутером, сначала необходимо выяснить, чему равен IP-адрес этого устройства. Без IP-адреса не получится открыть даже сессию «Телнет», не говоря уже о доступе через браузер. Большинство сетевых комбайнов по умолчанию наделены следующим адресом: 192.168.1.1. Для фирмы D-Link надо сделать поправку в двух последних цифрах (должно быть «0.1»). Настройте сетевую карту ПК на соответствующие значения, изменив последнюю цифру ее IP.

Дальше будет рассмотрено, как зайти в сессию Telnet роутера ZyXEL, но похожий принцип используется при управлении устройствами и других производителей.

Как открыть сеанс связи

В любой операционной системе есть командная строка. Запустив ее, достаточно выполнить одну команду: telnet 192.168.1.1. После чего роутер, подключенный к ПК по Ethernet или по Wi-Fi, сразу же отвечает нам, запрашивая логин и пароль.

Мы в ответе использовали имя «admin» и пароль «1234», то есть значения, установленные по умолчанию в устройствах ZyXEL. Как видим, эти значения были приняты, и появилась подсказка «config».

В некоторых моделях фирмы ZyXEL используется не только текстовый интерфейс, но и командный список (меню):

Чтобы вернуть режим текстовых команд, выполните переход 28 -> 4 (задействуйте пункт 28 и затем пункт 4). В результате, Вы получите надпись «config» и курсор для ввода команд. Далее мы будет рассматривать только указанный режим.

Настраиваем устройство через «Телнет»

Интерфейс текстовых команд, то есть командная строка маршрутизаторов и других устройств ZyXEL, называется словом «CLI» (Command Line Interpreter). Большинство команд для всех моделей – одинаковы, например, это «system reboot» (перезагрузка), «system config-save» (сохранение настроек), и другие. Некоторые команды для той или иной модели могут отличаться, а скачать подробное руководство можно на сайте поддержки, там же, где предоставляют для скачивания фирменную прошивку.

В устройствах других фирм, не ZyXEL, предусмотрена команда «help», которая выдает Вам список доступных команд.

Читайте также:  Установка лаунчера на мейзу

Удаленный доступ к web-интерфейсу

Порту WAN сетевого комбайна присваивается IP-адрес. Значение данного адреса обычно не меняется, даже если используются динамические адреса. Зная свой IP-адрес, пользователь может открыть интерфейс управления устройством с любого компьютера, имеющего подключение к Интернету. По умолчанию подобный метод доступа в роутерах ZyXEL запрещен. А избавиться от данного ограничения поможет командная строка.

Наберите следующую команду: ip stаtic tcp ISP 80 192.168.1.1 80// порт «80» используется web-интерфейсом.

Команда «ip stаtic» вообще-то создает привязку локальных адресов к глобальным IP-адресам. Заметим, что если используется такой тип подключения, где предусмотрена авторизация (PPTP, L2TP либо PPPoE), то вместо слова «ISP» надо подставить другое название. Узнать его просто: Interface ?// отобразятся все сетевые интерфейсы.

Для протокола PPPoE интерфейс соединения с Интернетом обычно назван так – «PPPoE0» (важно соблюдать регистр). Не забудьте сохранить настройки (system config-save). В результате, можно будет открыть web-интерфейс из Интернета.

Некоторые провайдеры 80-й порт блокируют, так что с первого раза наверняка ничего не получится. Но можно сделать хитрее, перенаправив на внутренний порт 80 внешний порт с номером 8080: ip stаtic tcp ISP 8080 192.168.1.1 80// так мы обходим ограничения провайдера.

В общем, аналогичным образом пробрасывается порт и для «Телнета» (его номер равен «23»).

Море команд для Wi-Fi

Проще всего начинать освоение командной строки с использования тех команд, которые отвечают за параметры точки доступа (сети Wi-Fi). Каждая из этих команд начинается словом «interface», а дальше идет уточняющая последовательность. Самый простой вариант: interface ssid SYSDAY// имя беспроводной сети получит значение «SYSDAY».

Отметим, что указывая вместо имени параметр «auto», можно вернуть «точке доступа» то значение SSID, которое было задано на заводе.

Есть еще несколько интересных команд, управляющих радио модулем. Чтобы не набирать каждый раз слово «interface», используйте его, как отдельную команду (подсказка трансформируется в «config-if»). Список команд, применяемых в режиме «config-if», мы приводим далее.

  • power число// вместо слова «число» задайте мощность в процентах;
  • channel номер// вместо «номер» задайте номер радиоканала (1-13);
  • country-code страна// параметр «страна» содержит 2 буквы, например, RU;
  • h >И это – далеко не полный список параметров, которые поддаются изменению прямо из командной строки.

Надо отметить, что при помощи «Телнета» можно поменять, либо включить алгоритм шифрования Wi-Fi (WPA или WPA2).

А значение ключа задается командой «interface authentication wpa-psk». Таким образом, появляется возможность дистанционно, из любой точки мира, зайти на роутер через Telnet, и поменять пароль на беспроводную сеть. Очень полезно, не так ли?

Заходим «Телнетом» на роутер-модем

источник

«Пример установки паролей на Telnet, консоль и вспомогательный порт на маршрутизаторе Cisco»

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе приведены примеры конфигураций для настройки защиты паролем при входящих соединениях EXEC с маршрутизатором.

Предварительные условия

Требования

Чтобы выполнить задачи, описанные в данном документе, необходимо иметь привилегированный доступ EXEC к интерфейсу командной строки маршрутизатора. Для получения информации об использовании командной строки и для понимания командных режимов, посмотрите Использование Интерфейса командной строки Cisco IOS.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Программное обеспечение Cisco IOS® версии 12.2(19)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Общие сведения

Использование функции защиты по паролю для контроля или ограничения доступа к интерфейсу командной строки (CLI) вашего маршрутизатора является одним из основных элементов общего плана безопасности.

Защита маршрутизатора от неавторизованного удалённого доступа, обычно Telnet – самое обычное средство защиты, нуждающееся в конфигурации, однако защиту маршрутизатора от неавторизованного локального доступа нельзя упускать из виду.

Примечание.Защита паролем – это всего лишь одна из многих мер, которые необходимо предпринять для эффективной работы системы безопасности сети. При внедрении плана безопасности также не следует забывать о межсетевых экранах, списках контроля доступа и контроле физического доступа к оборудованию.

Доступ к командной строке или строке EXEC маршрутизатора может быть получен разными способами, но во всех случаях входящее соединение с маршрутизатором осуществляется по каналу TTY. Как видно их примера выходных данных по команде show line, существует четыре основных типа каналов TTY:

Тип строки CTY — это консольный порт. В конфигурации любого маршрутизатора она появляется в виде line con 0, а в выходных данных команды show line – в виде cty. Консольный порт в основном используется для доступа к локальным системам с помощью консольного терминала.

Линии TTY – это асинхронные линии, которые используются для входящих или исходящих модемных соединений и подключений терминала. Они обозначаются в конфигурации маршрутизатора или сервера доступа как «линии х». Особые номера линий — это функция оборудования, встроенного или установленного на маршрутизатор или сервер доступа.

Линия AUX – это вспомогательный порт, отображаемый в конфигурации как line aux 0.

Линии VTY – это линии связи виртуального терминала маршрутизатора, используемые исключительно для управления входящими соединениями Telnet. Термин «виртуальный» означает, что эти линии представляют собой функцию программного обеспечения и с ними не связано какое-либо аппаратное обеспечение. Они отображены в конфигурации в виде строки vty 0 4.

Можно настроить каждый из этих типов каналов связи защитой по паролю. Линии могут быть настроены для использования одинакового пароля для всех пользователей или паролей для отдельных пользователей. Пароли пользователей могут быть настроены локально на маршрутизаторе, либо можно использовать сервер аутентификации для предоставления аутентификации.

Никаких запретов на установление разных типов защиты паролем на разных линиях не существует. Хотя широко распространена практика применения на маршрутизаторе одного пароля для консоли и отдельных для каждого пользователя паролей для других входящих соединений.

Читайте также:  Установка кнопки открывания багажника мазда 3

Ниже приведен пример выходных данных маршрутизатора для команды show running-config:

Настройте пароли на линии

Для задания пароля в строке используется команда password в режиме настройки с командной строкой. Чтобы включить проверку пароля при подключении, воспользуйтесь командой login в режиме конфигурации линии.

Процедура конфигурации

В этом примере пароль настраивается для всех пользователей, которым нужно использовать консоль.

Из привилегированного приглашения EXEC (или «enable») войдите в режим конфигурации и перейдите в режим линейной конфигурации с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

Настройте пароль и включите проверку пароля при входе.

Выйдите из режима конфигурирования.

Примечание.Не следует сохранять изменения настроек в line con 0 до тех пор, пока не будет уверенности в том, что вход в систему успешно осуществляется.

Примечание. При конфигурации линии в консоли команда настройки login обязательна, чтобы включить проверку пароля при подключении. Для аутентификации с помощью консоли должна работать как команда password, так и команда login.

Проверка конфигурации

Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:

show running-config — вывод текущей конфигурации маршрутизатора.

Для тестирования конфигурации выполните разрегистрацию с консоли и повторно зарегистрируйтесь, используя настроенный пароль для доступа к маршрутизатору:

Примечание.Перед выполнением этого теста убедитесь, что существует альтернативное подключение к маршрутизатору, такое как Telnet или удаленное, на случай возникновения проблемы повторного входа на маршрутизатор.

Устранение сбоев входа в систему

Если не удается выполнить повторный вход в маршрутизатор, а конфигурация не сохранена, то перезагрузка маршрутизатора приведет к отмене всех внесенных изменений.

Если же изменения в конфигурации были сохранены, а повторный вход на маршрутизатор выполнить не удается, пароль придется восстанавливать. Для получения инструкций по определенной платформе см. раздел «Процедуры восстановления пароля».

Настройка локальных паролей для отдельных пользователей

Для установки системы аутентификации на основе имени пользователя используйте команду username в режиме глобальной конфигурации. Чтобы включить проверку пароля при входе, используйте команду login local в режиме линейной конфигурации.

Процедура конфигурации

В этом примере пароли настроены для пользователей, которые осуществляют попытки подключиться к маршрутизатору на линиях VTY по протоколу Telnet.

Из привилегированного приглашения EXEC (или «enable») необходимо войти в режим настройки и ввести комбинации имен пользователей и паролей по одной для каждого пользователя, которому планируется разрешить доступ к маршрутизатору:

Переключитесь в режим конфигурации линии с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

Настройка проверки пароля при входе.

Выйдите из режима конфигурирования.

Примечание. Для того чтобы отключить автоматическое подключение по протоколу Telnet при вводе имени через интерфейс командной строки (CLI), настройте режим no logging preferred на используемой линии. Команда transport preferred none предоставляет те же выходные данные, но она также отключает автоматическое подключение по протоколу Telnet для заданных хостов, настроенных с помощью команды ip host. Она отличается от команды no logging preferred, которая останавливает подключение для незаданных хостов и выполняет его для заданных хостов.

Проверка конфигурации

Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:

show running-config — вывод текущей конфигурации маршрутизатора.

Для того чтобы протестировать эту конфигурацию, к маршрутизатору должны быть выполнено подключения Telnet. Это можно сделать путем подключения от другого узла сети. Либо выполните проверку от самого маршрутизатора, организовав доступ по протоколу Telnet к IP-адресу любого интерфейса на маршрутизаторе в состоянии up/up, как показывают выходные данные команды show interfaces.

Ниже приведен образец выхода, если бы адрес интерфейса ethernet 0 был 10.1.1.1:

Устранение неполадок, связанных с паролем пользователя

Имена пользователей и пароли интерпретируются с учетом регистра символов. Вход пользователей с использованием неверного имени пользователя или пароля запрещается.

Если пользователи не могут войти в систему маршрутизатора со своими паролями, измените имена пользователей и пароли на маршрутизаторе.

Настройка пароля линии AUX

Для того чтобы указать пароль на линии AUX, выполните команду password в режиме линейного конфигурирования. Для того чтобы включить проверку пароля при входе, выполните команду login в режиме конфигурации линии.

Процедура конфигурации

В данном примере пароль настроен для всех пользователей, пытающихся использовать вспомогательный порт.

Выполните команду show line, чтобы проверить линию, используемую портом AUX.

В данном примере вспомогательный порт находится на линии 65. Для того чтобы настроить линию AUX маршрутизатора, выполните следующие команды, сделайте следующее:

Проверка конфигурации

Для того чтобы проверить правильность ввода команд, просмотрите конфигурацию маршрутизатора:

По команде show running-config на экране появляется текущая конфигурация маршрутизатора:

Настройте проверку подлинности AAA для начала сеанса

Чтобы включить AAA для регистрации, используйте команду login authentication в режиме линейной конфигурации. Также необходимо настроить службы AAA.

Процедура конфигурации

Данный пример отображает настройку маршрутизатора на получение паролей пользователей от сервера TACACS+, когда пользователи пытаются подключиться к маршрутизатору.

Примечание.Настройка маршрутизатора для использования серверов AAA других типов (например, RADIUS) проводится аналогично. Дополнительные сведения см. в разделе «Настройка аутентификации».

Примечание.Данный документ не содержит сведений о настройке ААА-сервера.

В командной строке, работающей в привилегированном режиме EXEC (или «включенный»), войдите в режим настройки и введите команды для настройки маршрутизатора таким образом, чтобы он мог использовать службы AAA для аутентификации:

Переключитесь в режим конфигурации линии с помощью следующих команд. Обратите внимание, что приглашение изменяется в зависимости от текущего режима.

Настройка проверки пароля при входе.

Выйдите из режима конфигурирования.

Проверка конфигурации

Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:

show running-config — вывод текущей конфигурации маршрутизатора.

Для того, чтобы протестировать данную конфигурацию, для линии должны быть настроены входящее и исходящее подключения. Конкретные сведения по настройке асинхронных линий для модемных подключений см. в Руководстве по подключению модем-маршрутизатор.

В качестве альтернативного решения можно настроить одну или более VTY линий для осуществления ААА аутентификации и на ее основе – тестирования.

Устранение неполадок при сбое AAA

Прежде чем применять команды отладки, ознакомьтесь с разделом «Важные сведения о командах отладки».

Для отладки неудачной попытки регистрации выполните команду отладки, соответствующую вашей конфигурации:

источник

Добавить комментарий