...
- Изменение пароля пользователя «admin».
- Создание новых пользователей.
- Назначение имени устройства (Hostname).
- Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
- Настройка удаленного доступа к пограничному контроллеру сессий.
- Применение базовых настроек.
Изменение пароля пользователя «admin»
...
при первой авторизации
При первом входе Для защищенного входа в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin».
| Примечание |
|---|
Учетная запись techsupport необходима для удаленного обслуживания сервисным центром; Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP; Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий. |
| Предупреждение |
|---|
Если информация о пользователе «admin» не отображается в конфигурации, значит параметры данного пользователя настроены по умолчанию (пароль «password», уровень привилегий 15). |
Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.
Для изменения пароля пользователя «admin» используются следующие команды:
| Блок кода |
|---|
esbc# configure
esbc(config)# username admin
esbc(config-user)# password <new-password>
esbc(config-user)# exit |
Создание новых пользователей
Для создания нового пользователя системы или настройки любого из параметров (имени пользователя, пароля, уровня привилегий) используются команды:
| Блок кода |
|---|
esbc(config)# username <name>
esbc(config-user)# password <password>
esbc(config-user)# privilege <privilege>
esbc(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1–9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10–14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
Пример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
До смены пароля пользовательская настройка устройства недоступна.
После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:
| Блок кода |
|---|
esbc(change-expired-password)# password <new password>
esbc(change-expired-password)# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esbc(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esbc# |
Создание новых пользователей
Для управления устройством на сервисных маршрутизаторах esbc существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:
- пароль;
- уровень привилегий;
- режим работы учетной записи.
Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий и режима работы – используются команды:
| Блок кода |
|---|
esbc(config)# username <name>
esbc(config-user)# password <password>
esbc(config-user)# privilege <privilege>
esbc(config-user)# mode <mode>
esbc(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1–9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10–14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
| Примечание |
|---|
У учетных записей есть несколько режимов работы:
|
| Scroll Pagebreak |
|---|
| Предупреждение |
|---|
Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним: 1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий. |
Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:
| Блок кода |
|---|
esbc# configure
esbc(config)# username netmaster
esbc(config-user)# password P@ssW0rd
esbc(config-user)# privilege 15
esbc(config-user)# exit |
| Блок кода |
esbc# configure esbc(config)# username fedorwatcher esbc(config-user)# password 12345678password esbc(config-user)# privilege 151 esbc(config-user)# exit esbc(config)# username ivantechsup esbc(config-user)# password password PsWdTs esbc(config-user)# mode techsupport esbc(config-user)# privilege 1exit esbc(config-user)# exit |
Назначение имени устройства
...
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.
| Scroll Pagebreak |
|---|
Настройка параметров публичной сети
Для настройки сетевого интерфейса пограничного контроллера сессий в маршрутизатора в публичной сети необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.
Пример команд настройки статического IP-адреса для саб-интерфейса Gigabit Ethernet 1/0/2.150 для доступа к устройству через маршрутизатору через VLAN 150.
Параметры интерфейса:
...
| Блок кода |
|---|
esbc# configure esbc(config)# interface gigabitethernet 1/0/2.150 esbc(config-if-sub)# ip address 192.168.16.144/24 esbc(config-if-sub)# exit esbc(config)# ip route 0.0.0.0/0 192.168.16.1 |
...
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:конфигурации введите следующую команду:
| Блок кода |
|---|
esbc# show ip interfaces
IP address |
| Блок кода |
esbc# show ip interfaces IP address Interface Admin Link Type Precedence Precedence --------------------------------------------------- -------------------- ----- ----- ------- --------------- 192.168.16.144/24 192.168.16.144/24 gi1/0/2.150 Up Up static primary |
Провайдер может использовать динамически назначаемые адреса в своей сети. Для получения IP-адреса может использоваться протокол DHCP, если в сети присутствует сервер DHCP.
...
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:после применения конфигурации:
| Блок кода |
|---|
esbc# show ip interfaces
IP address |
| Блок кода |
esbc# show ip interfaces IP address Interface Admin Link Type Precedence --------------------------------------------------- -------------------- ----- ----- ------- ----------- 192.168.11.5/25 gi1/0/10 Up Up DHCP -- |
| Scroll Pagebreak |
|---|
Настройка удаленного доступа к
...
маршрутизатору
В заводской конфигурации разрешен удаленный доступ к устройству маршрутизатору по протоколам Telnet или протоколу SSH из зоны «trusted». Для того чтобы разрешить удаленный доступ к устройству маршрутизатору из других зон, например, из публичной сети, необходимо создать соответствующие правила в firewall.
При конфигурировании доступа к устройству маршрутизатору правила создаются для пары зон:
- source-zone – зона, из которой будет осуществляться удаленный доступ;
- self – зона, в которой находится интерфейс управления устройствоммаршрутизатором.
Для создания разрешающего правила используются следующие команды:
| Блок кода |
|---|
esbc# configure esbc(config)# security zone-pair <source-zone> self esbc(config-zone-pair)# rule <number> esbc(config-zone-rule)# action permit esbc(config-zone-rule)# match protocol tcp esbc(config-zone-rule)# match source-address object-group network <network object-group> esbc(config-zone-rule)# match destination-address object-group network <network object-group> esbc(config-zone-rule)# match destination-port object-group <service object-group> esbc(config-zone-rule)# enable esbc(config-zone-rule)# exit esbc(config-zone-pair)# exit |
Scroll Pagebreak
Пример команд для разрешения пользователям из зоны зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к устройству с маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:
| Блок кода |
|---|
esbc# configure esbc(config)# object-group network clients esbc(config-addr-set)# ip address-range 132.16.0.5-132.16.0.10 esbc(config-addr-set)# exit esbc(config)# object-group network gateway esbc(config-addr-set)# ip address-range 40.13.1.22 esbc(config-addr-set)# exit esbc(config)# object-group service ssh esbc(config-port-set)# port-range 22 esbc(config-port-set)# exit esbc(config)# security zone-pair untrusted self esbc(config-zone-pair)# rule 10 esbc(config-zone-rule)# action permit esbc(config-zone-rule)# match protocol tcp esbc(config-zone-rule)# match source-address object-group network clients esbc(config-zone-rule)# match destination-address object-group network gateway esbc(config-zone-rule)# match destination-port object-group ssh esbc(config-zone-rule)# enable esbc(config-zone-rule)# exit esbc(config-zone-pair)# exit |
...