Имена узлов. Шифрование пароля
Выбери формат для чтения
Загружаем конспект в формате pdf
Это займет всего пару минут! А пока ты можешь прочитать работу в формате Word 👇
ПРИЛОЖЕНИЕ 1
В именах узлов, используемых в устройствах IOS, сохраняются все
прописные и строчные символы. Поэтому использовать прописные буквы
можно так же, как и всегда. Этот метод отличается от большинства способов
назначения имён в Интернете, в которых нет различий между прописными и
строчными
буквами.
Базовая
конфигурация
использования
CiscoIOS
изображена на рисунке 2.
Рисунок 2 — Базовая конфигурация использования CiscoIOS
Имена узлов
Сетевые администраторы распознают устройства по сети или через
Интернет именно с помощью имен узлов.
Пример применения имен
Для примера возьмем три коммутатора, подключённых к сети,
которая охватывает три этажа.
Чтобы создать для этих трех коммутаторов соглашение имён, нужно
учесть их местоположение и назначение.
Например, на рисунке мы назвали три коммутатора Ком-Этаж-1, КомЭтаж-2 и Ком-Этаж-3.
1
Для поддержания целостности документации мы зарегистрировали их
имена и указали причины такого наименования.
После заключения соглашения имен нужно присвоить устройствам
имена с помощью интерфейса командной строки (CLI). Конфигурация имен
устройств изображена на рисунке 3.
Рисунок 3 — Конфигурация имен устройств
2
ПРИЛОЖЕНИЕ 2
Шифрование пароля
Ещё одна важная команда, которая защищает пароль во время
просмотра файлов конфигурации. Это servicepassword-encryption.
Эта команда шифрует пароли во время их настройки. Команда
servicepassword-encryption
шифрует
все
незашифрованные
пароли.
Шифрование применяется только к паролям в файле конфигурации, но не к
паролям, которые отправлены по среде передачи данных. Эта команда не
позволяет неавторизованным сотрудникам прочитать пароль.
Если выполнить команды showrunning-config или showstartup-config
до выполнения командыservicepassword-encryption, то незашифрованные
пароли будут видны в выходных данных конфигурации. Затем можно
выполнить команду servicepassword-encryption, после чего пароли будут
зашифрованы. После этого шифрование нельзя будет отменить.
Баннерные сообщения
Несмотря на то, что пароли защищают сеть от неавторизованных
пользователей, необходимо использовать уведомления о том, что лишь
авторизованным пользователям можно получить доступ к устройству. Для
этого нужно добавить баннер в выходные данные устройства.
Баннеры могут пригодиться во время судебного процесса, если
пользователь был обвинён в неразрешенном доступе. В некоторых системах
правосудия не разрешено судебное преследование или слежение за
пользователями без предупреждения.
Точное содержание или формулировка баннера зависят от местного
законодательства и корпоративной политики. Ниже представлены примеры
формулировок, которые могут содержаться в таких информационных
баннерах.
«Доступ
к
устройству
разрешён
только
для
авторизованных
пользователей».
3
«Действия могут отслеживаться».
«Любые
попытки
неавторизованного
использования
будут
преследоваться по закону».
Поскольку баннеры видит каждый, кто пытается получить доступ к
устройству, сообщение необходимо тщательно сформулировать. Не следует
использовать в формулировке выражения типа «Добро пожаловать» или
нечто подобное. Если пользователь нарушает работу сети после незаконного
проникновения, при наличии приветственных слов сложно будет доказать
преступление.
Создать баннеры не трудно, но их текст необходимо тщательно
продумать. Баннер не должен приглашать каждого пользователя получить
доступ к устройству. В нём необходимо указать, что только авторизованные
пользователи могут получить доступ к устройству. Кроме того, баннер может
содержать расписание отключений системы и другие сведения, которые
могут быть полезны другим пользователям сети.
IOS предоставляет множество типов баннеров. Сообщение текущего
дня — достаточно распространенный баннер. Часто используется для
законного уведомления, так как его видят все присоединённые терминалы.
Настройте сообщение текущего дня с помощью команды bannermotd в
режиме глобальной конфигурации.
Для использования команды bannermotd необходимы разграничители,
чтобы можно было распознать содержимое баннерного сообщения. После
команды bannermotd следуют пробел и разделительный символ. Затем
вводится одна или более строк текста для создания баннерного сообщения.
Второй
разделительный
символ
означает
конец
сообщения.
Разграничительным символом может быть любой символ, которого нет в
данном сообщении. Поэтому часто используются такие символы, как «#».
Для настройки сообщения текущего дня в режиме глобальной
конфигурации используйте следующий синтаксис:
4
Switch(config)# banner motd #message #
После выполнения команды баннер будет показан при всех
последующих попытках доступа к устройству, пока он не будет удалён.
На рисунке показан пример баннера, настроенного с помощью
разделительного символа «#». Обратите внимание на способ отображения
баннера при получении доступа к коммутатору.
На
рисунке
6
изображен
баннер,
настроенный
с
помощью
разделительного символа «#».
Рисунок 6 — Баннер, настроенный с помощью разделительного символа «#»
5
ПРИЛОЖЕНИЕ 3
Выполняя
перезагрузку,
IOS
определит,
что
изменённая
конфигурация не была сохранена в файл начальной конфигурации. IOS
запросит, нужно ли сохранить изменения. Для отмены изменений введите n
или no.
Для подтверждения перезагрузки появится дополнительный запрос.
Для подтверждения нажмите Enter. Нажатие любой другой клавиши
приведёт к преждевременному завершению данного процесса.
Например.
Switch# reload
System configuration has been modified. Save? [yes/no]: n
Proceed with reload? [confirm]
*Apr 13 01:34:15.758: %SYS-5-RELOAD: Reload requested by console.
Reload Reason:
Reload Command.
System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2004 by cisco Systems, Inc.
PLD version 0x10
GIO ASIC version 0x127
c1841 platform with 131072 Kbytes of main memory
Main memory is configured to 64 bit mode with parity disabled
Если нежелательные изменения сохранены в файл начальной
конфигурации, возможно, понадобится очистить все конфигурации. Для
этого нужно удалить начальную конфигурацию и перезапустить устройство.
Начальную конфигурацию можно удалить с помощью команды
erasestartup-config.
6
Чтобы удалить файл загрузочной конфигурации, введите команды
erase NVRAM: startup-config или erasestartup-config в командную строку
привилегированного режима.
Switch# erasestartup-config
После ввода команды появится запрос о подтверждении:
Erasing the nvram filesystem will remove all configuration files! Continue?
[confirm]
Ответ по умолчанию — «Подтверждаю». Для подтверждения и
удаления файла загрузочной конфигурации нажмите клавишу Enter. Нажатие
любой другой клавиши приведёт к преждевременному завершению данного
процесса.
Внимание. Будьте внимательны при использовании команды erase.
Эту команду можно использовать для удаления любого файла в устройстве.
Неправильное использование этой команды может привести к удалению
самой IOS или других важных файлов.
Кроме того, на коммутаторе необходимо выполнить команду delete
vlan.dat в дополнение к команде erasestartup-config, чтобы вернуть
конфигурацию,
«встроенную»
по
умолчанию
(соответствующую
установленной на предприятии).
Switch# delete vlan.dat
Deletefilename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch# erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue?
[confirm]
[OK]
Erase of nvram: complete
Switch#
7
Послеудаленияначальнойконфигурациииз NVRAM (иудаленияфайла
изкоммутатора)
vlan.dat
перезапуститеустройство,
чтобыудалитьфайлтекущейконфигурацииизОЗУ. Затем устройство загрузит
файл начальной конфигурации, встроенной по умолчанию, в текущую
конфигурацию.
На рисунке 7 изображено сохранение и удаление конфигурации.
Рисунок 7 — Сохранение и удаление конфигурации
8
ПРИЛОЖЕНИЕ 4
Интерфейсы и порты изображены на рисунке 8.
Рисунок 8 — Интерфейсы и порты
9
ПРИЛОЖЕНИЕ 5
Конфликты IP-адресов
Если для сетевых устройств, например, для принтера, был определён
статичный (ручной) IP-адрес, а затем установлен сервер DHCP, между
сетевым устройством и ПК, который автоматически получает IP-данные с
сервера DHCP, может произойти конфликт двойного IP-адреса. Также
конфликт может возникнуть, если в случае сбоя работы сети и сервера DHCP
вручную указать статический IP-адрес для сетевого устройства. Конфликт
возникнет после исправления неполадок и восстановления сервера DHCP в
сети.
Чтобы разрешить такой конфликт IP-адресации, нужно подключить
сетевое устройство со статичным IP-адресом к клиенту DHCP. Также можно
исключить статичный IP-адрес оконечного устройства из диапазона адресов
DHCP.
Во втором случае необходимо обладать правами администратора на
сервере DHCP и уметь работать с DHCP на сервере.
Кроме того, вы можете столкнуться с IP-конфликтами при ручной
настройке IP на оконечном устройстве в сети, в которой используются только
статические IP-адреса. В этом случае необходимо определить, какие IPадреса доступны на конкретной подсети IP и настроить их соответствующим
образом.
Этот
случай
демонстрирует,
насколько
важно
сетевому
администратору вести подробную документацию, в том числе назначения IPадресов для оконечных устройств.
Примечание. Как правило, статические IP-адреса используются с
серверами и принтерами в сетях малого и среднего размера, а данные IP,
настроенные автоматически с помощью сервера DHCP, используются
выделенными устройствами сотрудников.
10