Что такое line console 0

Что такое line console 0

Сбор основной информации о маршрутизации

Команда show version предоставляет сведения о базовой аппаратной конфигурации системы, а также номер версии программного обеспечения, имена и источники конфигурационных файлов вместе с образом загрузки.

С помощью команды show version можно узнать, как долго работает маршрутизатор, как он был перезапущен, имя исполняемого файла IOS, версии процессора и аппаратного обеспечения, а также размер памяти DRAM. Кроме того, указано значение в конфигурационном регистре.

Для защиты маршрутизатора Cisco используются пять паролей. Первые два пароля служат для установки разрешенного пароля, который защищает привилегированный режим. Пароль запрашивается у пользователя после ввода команды enable. Остальные три пароля служат для настройки паролей для доступа пользователя через консольный порт, вспомогательный порт и по протоколу Telnet.

Для установки разрешенного пароля необходимо находиться в режиме глобального конфигурирования.

Define enable action if no TACACS servers respond

Last-resort (крайний случай) Используется после установки аутентификации через сервер tacacs, который недоступен. Этот режим позволяет администратору даже в этом случае войти в систему маршрутизатора. Однако подобный режим недоступен при работающем сервере tacacs.

Password (пароль) Служит для установки разрешенного пароля (enable password) в устаревших системах с версиями до 10.3. Не используется, если установлен разрешенный секрет (enable secret).

Secret (секрет) Новый шифрованный пароль. После установки перекрывает действие разрешенного пароля.

Use-tacacs (использовать tacacs) Указывает маршрутизатору на аутентификацию через сервер tacacs. Это удобно, когда приходится обслуживать десятки и сотни маршрутизаторов. Как иначе изменить пароль на 200 маршрутизаторах? Сервер tacacs позволяет однократно изменить пароль, который будет действовать на все устройства.

Router(config)#enable secret todd

Router(config)#enable password todd

The enable password you have chosen is the same as your enable secret. This is not recommended. Re-enter the enable password, (выбранный разрешенный пароль совпадает с разрешенным секретом. Это не рекомендуется. Введите другой разрешенный пароль)

При попытке ввода одинакового разрешенного пароля и разрешенного секрета выводится вежливое предупреждение о недопустимости такого выбора. Однако при повторном вводе того же самого пароля, он будет установлен в маршрутизаторе даже при совпадении с разрешенным секретом. Между тем, пароли не работают одновременно. В новых маршрутизаторах (а не в старых унаследованных) можно не беспокоиться об использовании разрешенного пароля. Пароли пользовательского режима присваиваются командой line.

Aux (вспомогательный) Служит для установки пароля пользовательского режима для вспомогательного порта. Обычно применяется для настройки в маршрутизаторе параметров модема, но может служить и для доступа к консоли.

Console (консоль) Служит для установки пароля консоли пользовательского режима. Vty (виртуальный терминал) Служит для установки в маршрутизаторе пароля Telnet. Если такой пароль не установлен, то по умолчанию использование Telnet запрещено.

Для настройки паролей пользовательского режима сначала конфигурируется нужная линия (line), а затем вводится команда login или no login для вывода из маршрутизатора приглашения аутентификации.

Важно помнить о команде login, иначе вспомогательный порт не выведет приглашения для аутентификации.

Поскольку существует только один консольный порт, доступен вариант line console 0.

Другие команды консольного порта

Существует еще несколько важных команд для консольного порта, которые следует запомнить.

Команда exec-timeout О О устанавливает в ноль время тайм-аута консольного сеанса EXEC (т.е. тайм-аут запрещен). Можно разыграть своих коллег по работе, установив тайм-аут в значение О 1, что приведет к прерыванию терминального сеанса через каждую секунду! Избежать прерывания сеанса в этом случае позволит постоянное нажатие клавиши «стрелка вниз» при вводе изменения времени тайм-аута другой рукой.

Команда logging synchronous должна была бы быть установлена по умолчанию, но этого не сделано. Команда запрещает вывод консольных сообщений, которые прерывают ввод команд в консольном режиме. Это упростит чтение и ввод сообщений в маршрутизатор.

Примеры упомянутых команд:

Для установки пароля пользовательского режима при доступе по Telnet к маршрутизатору служит команда line vty. Маршрутизаторы, которые не исполняют версию Enterprise операционной системы Cisco IOS, по умолчанию имеют пять линий VTY (от 0 до 4). Однако в версии Enterprise таких линий намного больше — 198 (0 — 197). Проще всего узнать количество линий с помощью вопросительного знака.

Если попытаться установить сеанс Telnet с маршрутизатором, не имеющим заданных паролей для линий VTY, то будет получено сообщение об ошибке «подключение прервано, поскольку не установлен пароль». Можно указать маршрутизатору на разрешение подключений по Telnet без пароля, использовав команду no login.

Router(config-line)#line vty 0 197
Router(config-line)#no login

(После настройки IP-адреса маршрутизатора можно использовать программу Telnet для конфигурирования и проверки устройства вместо выполнения этих операций через консольный порт. Для запуска программы Telnet следует ввести в командной строке telnet (в DOS или Cisco).

По умолчанию шифруется только пароль разрешенного секрета. Можно вручную установить режим- шифрования для пользовательского режима и разрешенного пароля. Заметим, что выполнение в маршрутизаторе команды show running-config позволяет увидеть все пароли за исключением разрешенного секрета.

Для шифрования паролей вручную следует выполнить команду service password-encryption. Пример шифрования пароля вручную:

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#service password-encryption
Router(config)#enable password todd
Router(config)#line vty 0 197
Router(config-line)#login
Router(config-line)#password todd2
Router(config-line)#line con 0
Router(config-line)#login
Router(config-tine)#password toddl
Router(config-line)#line aux 0
Router(config-line)#login
Router(config-line)#password todd
Router(config-line)#exit
Router(config)#no service password-encryption
Router(config)# /v Z

В маршрутизаторе Cisco допускается установка баннера (banner — приветственное сообщение), чтобы выводить его во время регистрации (входа) пользователя в систему маршрутизатора или администрирования этого устройства во время сеанса Telnet, например, баннер может выводить дополнительную справочную информацию (обычно баннеры изменяют для того, чтобы вид баннера по умолчанию не позволил злоумышленнику определить тип и модель обнаруженного в сети устройства, — Прим, пер.). Еще одной причиной изменения баннера является добавление предупреждения о защите для пользователей, обращающихся к устройству удаленно по объединенной сети. Доступны четыре разных баннера (в переводе на русский язык):

с текст_баннера с, где ‘с’ является символом-разделителем

Установка баннера для ЕХЕС-процесса

Установка баннера Message of the Day (ежедневного сообщения)

Чаще всего используется баннер Message of the Day, который выводится всем людям, подключающимся (в том числе по коммутируемым линиям) к маршрутизатору по Telnet, вспомогательному порту или консольному порту.

Показанный баннер сообщает, что для подключения к маршрутизатору нужно пройти авторизацию. В противном случае произойдет отключение. Следует отметить использование разделителя. Можно применять любойсимвол, который укажет маршрутизатору на завершение сообщения. Следовательно, разделитель нельзя использовать в тексте баннера. Кроме того, для указания на завершение сообщения следует сначала нажать Return, затем ввести разделитель, а далее снова нажать Return. Если сделать иначе, то баннер тоже будет создан, но когда используются несколько баннеров, то они будут объединены в одно однострочное сообщение. Другие типы баннеров:

Баннер Exec Можно настроить баннер активизации линии (line-activation, exec) для вывода при создании процесса EXEC (например, для активизации линии или для входного подключения к линии VTY).

Входной баннер (incoming banner) Можно настроить баннер для вывода на терминале, подключенном по обратной линии Telnet. Этот баннер полезен для сообщения пользователю инструкций по использованию обратной процедуры Telnet.

Баннер регистрации (login banner) Можно настроить баннер регистрации для вывода на всех подключенных терминалах. Этот баннер появляется после баннера MOTD, но перед приглашением регистрации (входа в систему). Баннер регистрации нельзя отменить для отдельной линии. Для полного отказа от баннера регистрации следует удалить его командой по banner login.

Конфигурация интерфейсов является наиважнейшей процедурой маршрутизатора. Без интерфейсов маршрутизатор бесполезен. Конфигурация интерфейсов должна взаимодействовать с другими устройствами. Среди конфигурационных параметров интерфейса: адрес сетевого уровня, тип носителя, полоса пропускания и другие административные характеристики. Разные маршрутизаторы используют различные методы выбора интерфейсов. Например, ниже показана команда для маршрутизатора серии 2522 с 10-ю последовательными интерфейсами (от 0 до 9):

После этого следует выбрать конфигурируемый интерфейс, затем мы попадаем в конфигурацию этого интерфейса. Например, команда выбора последовательного порта 5:

Router(config)#int serial 5
Router(config)-if)#

Маршрутизатор 2522 имеет один порт Ethernet lOBaseT. Ввод interface ethernet 0 начнет настройку этого интерфейса.

Маршрутизатор серии 2500 имеет фиксированную конфигурацию, т.е. после покупки нельзя изменить состав этого устройства. Для настройки интерфейса нужно всегда использовать присвоенный интерфейсу порядковый номер. Однако маршрутизаторы серий 2600, 3600, 4000 и 7000 применяют физические слоты и номера портов для вставки в слоты съемных модулей. Например, в маршрутизаторе 2600 для конфигурирования нужно ввести interface type slot/port:

Для установки типа подключения служит команда media-type. Однако обычно этот тип определяется автоматически.

Router#sh inte 0
Ethernet0 is administratively down, line protocol is down
[листинг сокращен]
Включение интерфейса командой no shutdown:
Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int e0
Router(config-if)#no shutdown
Router(config-if)# ^ Z
00:57:08: %LINK-3-UPDOWN: Interface Ethernet0, changed state to up
00:57:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0, changed state to up
Router#sh int e0
Ethernet0 is up, line protocol is up

Настройка IP-адреса интерфейса

He обязательно использовать протокол IP в маршрутизаторе, однако он применяется во всех маршрутизаторах. Для настройки IP-адреса интерфейса служит команда ip address в режиме конфигурирования интерфейса.

Router(config)#int e0
Router(config-if)#ip address 172.16.10.2 255.255.255.0
Router(config-if)#no shut

He забудьте включить интерфейс командой no shut. Например, проверить включение можно с помощью команды show interface eO. Она покажет состояние данного интерфейса (выключен или включен административно). Команда show running-config тоже покажет выключенные интерфейсы.

Если требуется добавить интерфейсу второй адрес подсети, следует применить команду secondary. Если ввести другой IP-адрес и нажать Enter, то будет заменен существующий IP-адрес и маска подсети. Для добавления второго IP-адреса используйте команду secondary.

Router(config-if)#ip address 172.16.20.2 255.255.255.0 secondary
Router(config-if)# A Z

Проверить конфигурирование обоих адресов интерфейса можно с помощью команды show running-config (сокращенная форма: sh run).

Router#sh run
Building configuration.
Current configuration:
[ листинг сокращен ]
I
interface Ethernet0
ip address 172.16.20.2 255.255.255.0 secondary
ip address 172.16.10.2 255.255.255.0

7000(config)#interface ethernet 2/0/0

Команды последовательного интерфейса

Для настройки последовательного интерфейса нужно знать его особенности. Интерфейс подключается к устройству типа CSU/DSU, которое обеспечивает тактовую частоту в линии. Однако если в лабораторной среде используется конфигурации «один к одному», то только один участник соединения должен предоставлять тактовую частоту. Это может быть оконечное кабельное устройство DCE. Маршрутизатор Cisco по умолчанию является устройством DTE, поэтому необходимо явно указать интерфейсу на предоставление тактовой частоты, если этот интерфейс работает в режиме ВСЕ. Настройка последовательного интерфейса на режим ВСЕ выполняется командой clock rate (уровень тактовой частоты).

Установка тактовой частоты в интерфейсе не приведет ни к каким поломкам, но нужно знать, что команда clock rate предполагает значение в битах в секунду.

Кроме того, следует знать о команде bandwidth. Любой маршрутизатор Cisco поставляется с установленной в последовательных интерфейсах полосой пропускания для линии ТГ(т.е. скорости 1.544 Мбит/с). Однако это никак не влияет на скорость пересылки данных по линии. Значение полосы пропускания используется в протоколах маршрутизации IGRP, EIGRP и OSPF для вычисления наилучшей стоимости пути к удаленной сети. Если применяется маршрутизация RIP, то значение полосы пропускания не учитывается.

В отличие от команды clock rate, команда bandwidth устанавливает значение в килобитах.

Для установки имени хоста в маршрутизаторе служит команда hostname. Это имя действует локально, т.е. не учитывается во время просмотра маршрутизатором имен в объединенной сети.

Router#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname todd
todd(config)#hostname Atlanta
Atlanta (config)#

Хотя кажется, что лучше выбрать для имени хоста собственное имя,рекомендуется именовать маршрутизаторы по географическому признаку.

Установка описания интерфейса поможет администратору, но, как и имя хоста, описание действует только локально. В нем можно указать дополнительные характеристики интерфейса, например номер цепи.

Atlanta (config)#int e0
Atlanta (config-if)#description Sales Lan
Atlanta (config-if)#int s0
Atlanta (config-if)#desc Wan to Miami circuit:6fdda4321

Atlanta #sh run
[ листинг сокращен ]
interface Ethernet0
description Sales Lan
ip address 172.16.10.30 255.255.255.0
no ip directed-broadcast
[
interface Serial0
description Wan to Miami circuit:6fdda4321
no ip address
no ip directed-broadcast
no ip mroute-cache
Atlanta #sh int e0
Ethernet0 is up, line protocol is up
Hardware is Lance, address is 0010.7be8.25db (bia 0010.7be8.25db)
Description: Sales Lan
[ листинг сокращен ]
Atlanta #sh intsO
SerialO is up, line protocol is up
Hardware is HD64570
Description: Wan to Miami circuit:6fdda4321
[листинг сокращен]
Atlanta#

Просмотр и сохранение конфигурации

Router#copy run start

Destination filename [startup-config]?return

Warning: Attempting to overwrite an NVRAM configuration previously written by a different version of the system image. (предупреждение: попытка перезаписать в NVRAM конфигурацию, записанную из другой версии образа системы)

Overwrite the previous NVRAM configuration?[confirm]return (перезаписать предыдущую конфигурацию в NVRAM)

Building configuration. (построение конфигурации)

Обратите внимание, что сообщение говорит о попытке записи поверх старой конфигурации startup-config. Операционная система IOS была обновлена до версии 12.8, но при последнем сохранении файла использовалась версия 11.3.

Для просмотра файла используйте команду show running-config или show startup-config в привилегированном режиме. Команда sh run (краткая форма show running-config) укажет на просмотр текущей конфигурации.

Building configuration.
.
Current configuration:
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
|
hostname Router
ip subnet-zero
frame-relay switching
|
[ листинг сокращен ]

Using 4850 out of 32762 bytes
•
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
ip subnet-zero
frame-relay switching
!
[ листинг сокращен ]

Можно удалить файл startup-config командой erase startup-config. После этого выводится ошибка при попытке просмотра файла конфигурации запуска (startup-config).

Erasing the nvram filesystem will remove all files! Continue? [confirm]
[OK]
Erase of nvram: complete ;
Router#sh start
%% Non-volatile configuration memory is not present ( нет энергонезависимой памяти конфигурации )
Router #

WORD Ping destination address or hostname

Для поиска адреса сетевого уровня соседнего устройства следует переместиться к маршрутизатору или переключателю, либо ввести show cdp nei detail для получения сведений об адресе сетевого уровня, по которому будет обращаться утилита Ping. Можно использовать программу Trace для поиска пути, по которому движутся пакеты в объединенной сети. Допускается трассировка по нескольким протоколам.

WORD Trace route to destination address or hostname

Vines Trace (Banyan)

Большие возможности имеет Telnet. Эта утилита использует протокол IP на сетевом уровне и TCP на транспортном уровне для создания сеанса с удаленным хостом. Если можно обратиться к устройству по Telnet, следовательно, корректно подключение по IP. По Telnet можно обращаться только к IP-адресам, но допустимо использование хостов Windows или приглашения маршрутизаторов для применения утилиты Telnet.

WORD IP- адрес or hostname of a remote system

В приглашении маршрутизатора не обязательно вводить команду telnet. Если ввести имя хоста или IP-адрес, то по умолчанию предполагается использование Telnet.

Проверка командой Show Interface

Router#sh int?
Ethernet IEEE 802.3
Null Null interface
Serial Serial
accounting Show interface accounting
crb Show interface маршрутизация /bridging info
irb Show interface маршрутизация /bridging info
Следующая команда show interface ethernet 0 покажет аппаратный адрес, логический адрес и метод инкапсуляции, а также статистические данные о конфликтах.

Router#sh int e0
EthernetO is up, line protocol is up
Hardware is Lance, address is 0010.7b7f.c26c (bia 0010.7b7f.c26c)
Internet address is 172.16.10.1/24
MTU 1500 bytes, BW10000 Kbit, DLY1000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set keepalive set (10 sec)
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:08:23, output 00:08:20, output hang never
Last clearing of «show interface» counters never
Queueing strategy: fifo
Output queue 0/40,0 drops; input queue 0/75,0 drops
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
25 packets input, 2459 bytes, 0 no buffer
Received 25 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 input packets with dribble condition detected
33 packets output 7056 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out

Наиболее важными в листинге команды show interface являются сведения о выходных линиях и о статусе протокола канального уровня. Если включен интерфейс Ethernet 0, то включены протоколы линии. Кроме того, работает сама линия.

RouterA#sh int e0
EthernetO is up, line protocol is up

Первый параметр относится к физическому уровню. Он включен, когда приемник это обнаружил. Второй параметр связан с канальным уровнем и указывает на время поддержания жизни (keepalive) на другом конце связи.

RouterA#sh int s0
Serial0 is up, line protocol is down

Если линия включена, но выключен протокол, возникают проблемы с тактовой частотой (keepalive) или кадрами. Проверьте значение параметра keepalive на обоих концах связи. Эти значения должны совпадать, должны быть установлены тактовые импульсы (при необходимости) и совпадать тип инкапсуляции на обоих концах соединения.

RouterA#sh int s0
Serial0 is down, line protocol is down

Если же выключены линия и протокол, то проблемы связаны с кабелем или с интерфейсом. Кроме того, если один конец связи выключен административно, то следует выключить и удаленный конец. Для включения интерфейса введите команду no shutdown in interface configuration.

RouterB#sh int s0
Serial0 is administratively down, line protocol is down

Следующая команда демонстрирует последовательную линию с установленным по умолчанию значением MTU (Maximum Transmission Unit — максимальный передаваемый элемент) равным 1500 байт. Кроме того, по умолчанию на всех последовательных линиях Cisco полоса пропускания (BW, bandwidth) равна 1.544 Kbs (Кбит/с). Это значение служит для подсчета полосы пропускания в протоколах маршрутизации IGRP, EIGRP и OSPF. Еще один важный конфигурационный параметр — время поддержания жизни (keepalive) по умолчанию равен 10 с. Любой маршрутизатор посылает своему соседу сообщение keepalive через каждые 10с. Если оба маршрутизатора не настроены на одинаковый интервал keepalive, то поддержание жизни не получится.

Для очистки счетчиков в интерфейсе служит команда clear counters.

Использование команды Show Controllers

Команда show controllers показывает сведения о самом физическом интерфейсе. Она также выводит тип последовательного кабеля, подключенного к порту. Обычно таким кабелем является только кабель DTE, который подключается к интерфейсу в режиме DSU (Data Service Unit).

Заметим, что интерфейс serial 0 имеет кабель DTE, хотя к serial 1 подключен кабель ВСЕ. Интерфейс serial 1 будет обеспечивать в линии тактовую частоту, установленную командой clock rate. Но интерфейс serial 0 будет получать тактовые импульсы от кабеля DSU. Следует помнить, что это единственная команда, после которой необходим пробел.

Router#sh controllers s1
% Invalid input detected at ‘ Л ‘ marker.

Источник

Управление устройствами Cisco

Не слишком удаленное управление, но всё же. Для дальнейшей работы с консолью нужно создать учетную запись. В примере ниже запилим юзера с минимальным уровнем привилегий:

При этом пользователю ничего не мешает войти в привилегированный режим командой enable, если он знает от него пароль. С level 15 он окажется в этом режиме сразу по-умолчанию. Командой line console 0 мы тем временем попали в режим конфигурирования консоли, а login local сделает так, что при попытке захода на Cisco через консоль у пользователя спросят данные учетной записи, при этом информация будет браться из локальной базы пользователей. А если сделать таким образом, то будет запрашиваться исключительно пароль:

То есть имя пользователя вводить не нужно, система сразу спросит у вас пасс.

Способ это крайне неправославный, олдфаги и просто здравомыслящие люди не приемлют отсутствия интерфейса командной строки. Но так уж и быть.
Допустим наш ПК подключен к интерфейсу коммутатора из системного влана (VLAN 1, управляющий по-умолчанию) и имеет IP 192.168.1.2/24 со шлюзом 192.168.1.1. Для настройки связи между ними настроим коммутатор так:

Теперь в браузере на компьютере попробуем зайти на http://192.168.1.1. Отлично, мы счастливы. Но вообще через веб оборудование редко настраивают и мониторят. Это небезопасно и не так гибко в плане конфигурирования, поэтому давайте сразу отрубим web-доступ.

Телнет позволит вам удобно усевшись в кресле ковырять свою умную железку. Настроим это в первом приближении. У нас всё тот же ПК с IP 192.168.1.2/24 и шлюзом 192.168.1.1, а циску мы в таком случае настроим так:

С настройкой адреса интерфейса всё ясно, а дальше командой line vty 0 4 мы начинаем конфигурировать линии виртуальных терминалов и с помощью password 123 задаем соответствующий пароль.
Внимание! Если не настроить пароль для терминала, то при попытке удаленного доступа вы получите сообщение Connection to 192.168.1.1 closed by foreign host и у вас будет дикий баттхёрт!
Проверяем: telnet 192.168.1.1
Циска спросит у нас пароль и мы попадем в её CLI. Если хотите, чтобы с вас спрашивали и логин, то скажите циске:

Конечно, предварительно создав на оборудовании учетку юзера.

Думали, что мы успокоимся на телнете? Как бы не так! Штука в том, что передаваемые через телнет данные не шифруются, а значит легко поддаются перехвату, чего нам естественно не нужно. Во избежание такой ситуации используется SSH. Выполним следующее для настройки:

Сначала задаются имя хоста и домен, которые понадобятся в процессе генерации ключа. Далее командой ip ssh version 2 мы говорим, что будем использовать SSH версии 2. И, наконец, командой transport input ssh вешается запрет на доступ к виртуальному терминалу как-либо кроме протокола SSH.скачать dle 12.0

Источник