Започвам темата с някои уговорки. Има доста варианти за постигане на целта. Тук ще покажа кой аз харесвам. И още нещо има някои допълнителни параметри които е добре да изучите, защото да повтаряте като папагали без да разбирате нещата е меко казано глупаво. Между другото нещата са същите и за Cisco рутерите.
Тук ще се помъча да покажа как отдалечено да се достъпи суича по Telnet, използвайки име и парола.
Switch>en - влязохме в привилегирован режим Switch#configure terminal - влязохме в режим глобална конфигурация Switch(config)#interface vlan 1 - дефинираме служебния VLAN през който отдалечено ще управляваме суича Switch(config-if)#ip address 10.25.0.21 255.255.255.0 - даваме му IP от локалната мрежа за да може да го достъпм отдалечено по това IP Switch(config-if)#no shutdown - казваме интерфейса да е активен Switch(config)#username tachko password Iceman - дефинирахме потребител с парола Switch(config)#line vty 0 15 - дефинираме частта отговаряща за Telnet Switch(config-line)#login local - казваме, че потребителя "tachko" ще се логва в суича локално през telent
Да тестваме какво направихме до тук. Пробваме отдалечено да достъпим суича през клиентска машина.
C:\>telnet 192.168.1.1 Username: tachko Password: Iceman Switch>en % No password set. Switch>
Това е така защото потребителя "tachko" няма съответните права. Връщаме се на рутера:
Switch(config-line)#end Switch#show users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 2 vty 0 tachko idle 00:02:05 192.168.1.2 Interface User Mode Idle Peer Address Switch(config)#username tachko privilege 15 password Iceman - дефинирахме потребителя с най-високи права
И наново да тестваме през клиентска машина
C:\>telnet 192.168.1.1 Trying 192.168.1.1 ...Open User Access Verification Username: tachko Password: Iceman Switch# Всичко работи правилно, да проверим в конфигурационния файл дали всичко е правилно Switch#show run config ! username tachko privilege 15 password 0 Iceman ! line con 0 ! line vty 0 4 login local privilege level 15 line vty 5 15 login local privilege level 15 Switch#wr - записваме конфигурацията, защото всичко е вярно
За задачка, ако вместо: Switch(config)#username tachko privilege 15 password Iceman използваме: Switch(config)#username tachko privilege 15 secret Iceman каква ще е разликата? Като прочетете и втората част и направите малко аналогия ще разберете. Нарочно няма да кажа сега.
В горния пример ползвахме име и парола за отдалечения достъп. Всичко е супер има един проблем, ако по някаква причина се достигне до конфигурационния файл то паролата се вижда и това си е дупка в сигурността. За целта ще се пробваме по друг начин да достъпим суича.
Switch>en Switch#configure terminal Switch(config)#line vty 0 15 Switch(config-line)#password Iceman Switch(config-line)#do show run ! line con 0 ! line vty 0 4 password Iceman login line vty 5 15 password Iceman login ! Заблежете паролата "Iceman" съществува за "line vty 0 4" и "linet vty 0 15", а "0 4" отговарящ за SSH.
Да се пробваме отдалечено от клиента да достъпим суича:
C:\>telnet 192.168.1.1 Trying 192.168.1.1 ...Open User Access Verification Password: Iceman Switch>en % No password set. Switch>
Влязохме в привилегирован режим, но не можахме да влезем за глобално конфигуриране За целта се връщаме през конзолата на суича и:
Switch(config-line)#exit Switch(config)#enable secret 0 Iceman Използвахме "secret 0", което означава, че ще ползваме некриптирана парола "Iceman". Остана проблема с видимостта на паролата в "line vty 0 4" и "linet vty 0 15". Трябва да я криптираме. За целта: Switch(config)#end Switch#configure terminal Switch(config)#service password-encryption Сега вече в конфигурационния файл, вместо парола има числа. Да запишем конфигурацията Switch(config)#exit Swtich#wr
През клиента да тестваме:
C:\>telnet 10.25.0.21 Password: Iceman Switch>enable Password: Iceman
Всичко работи, привилегирования режим и глобалното конфигуриране.
Освен Telnet отдалечено може да се достъпи и през SSH. Тук трябва да направя една уговорка. Някои от суичовете не поддържат протокола SSH, а само Telnet. Прочетете в Интернет дали да правите тази стъпка за вашия суич. Ако все пак имате тази поддръжка да продължаваме. За да работи SSH ни е необходимо криптиращ ключ, а за да го генерираме е необходимо устройството да има име и да е член на домейн.
Switch#configure terminal даваме име на суича Swtich(config)# дефинираме и домейна TAR7700-SW-01(config)#ip domain-name mydomain.bg генерираме ключа TAR7700-SW-01(config)#crypto key generate rsa How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] вместо 512 битова криптация ще ползваме 1024 сега да дефинираме и потребителя имащ право през SSH да достъпи суича TAR7700-SW-01(config)#username tachko privilege 15 password Iceman забележете нивото на привилегия "15", то е най високото да укажем, че потребителя ще достъпва чрез протокола SSH TAR7700-SW-01(config)#line vty 0 4 да укажем, че има право да се логва в суича TAR7700-SW-01(config-line)#login local да укажем кой ще е транспортния протококл за гореуказаните неща. TAR7700-SW-01(config-line)#transport input all - тук включва SSH и Telnet В случая сме казали "all", това включва telnet и SSH да видим какво сме въвеждали до сега: TAR7700-SW-01(config)#do show hist горната команда показва какво сме въвеждали до сега да запишем промените които въведохме TAR7700-SW-01#wr
Да проверим отдалечения достъп през клиента
C:\>ssh -l tachko 10.25.0.21 Password: Iceman TAR7700-SW-01#
Всичко работи и с това приключваме темата.