Сравнение версий

Старая версия 21

changes.mady.by.user Шарипова Людмила Дамировна

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Корнеев Илья Игоревич

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

  1. Зона «Untrusted» предназначена для подключения к публичной сети (WAN). В этой зоне открыты порты DHCP-протокола для получения динамического IP-адреса от провайдера. Все входящие соединения из данной зоны на маршрутизатор запрещены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10/12V: GigabitEthernet 1/0/1;

    • для ESR-12VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/9;

    • для ESR-15(R): GigabitEthernet1/0/1; GigabitEthernet1/0/6; 
    • для ESR-15VF: GigabitEthernet 1/0/1; GigabitEthernet 1/0/10;

    • для ESR-20: GigabitEthernet 1/0/1;

    • для ESR-21: GigabitEthernet 1/0/1;

    • для ESR-30/31: GigabitEthernet 1/0/1; TengigabitEthernet 1/0/1-2;

    • для ESR-100/200: GigabitEthernet 1/0/1;

    • для ESR-1000/1500/3100: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1-2;

    • для ESR-1200/1700: GigabitEthernet 1/0/1, TengigabitEthernet 1/0/1, TengigabitEthernet 1/0/2;

    • для ESR-1511: GigabitEthernet 1/0/1, FortygigabitEthernet 1/0/1-2;
    • для ESR-3200: Twentyfivegigabitethernet 1/0/1-2;
    • для ESR-3200L: TengigabitEthernet 1/0/1-2, TwentyfivegigabitEthernet 1/0/1-2;
    • для ESR-3250/3350: GigabitEthernet 1/0/1, TwentyfivegigabitEthernet 1/0/1-2;
    • для ESR-3300: TwentyfivegigabitEthernet 1/0/1-2, HundredgigabitEthernet 1/0/1-2.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 2. Scroll Pagebreak
  2. Зона «Trusted» предназначена для подключения к локальной сети (LAN). В этой зоне открыты порты протоколов SSH для удаленного доступа, ICMP-протокола для проверки доступности маршрутизатора, DHCP-протокола для получения клиентами IP-адресов от маршрутизатора. Исходящие соединения из данной зоны в зону «Untrusted» разрешены.

    В данную зону безопасности входят интерфейсы:

    • для ESR-10: GigabitEthernet 1/0/2-6;

    • для ESR-12V(F): GigabitEthernet 1/0/2-8;

    • для ESR-15(R): GigabitEthernet 1/0/2-5;
    • для ESR-15VF: GigabitEthernet 1/0/2-9;

    • для ESR-20: GigabitEthernet 1/0/2-4;

    • для ESR-21: GigabitEthernet 1/0/2-12;

    • для ESR-30: GigabitEthernet 1/0/2-4;
    • для ESR-31: GigabitEthernet 1/0/2-14;

    • для ESR-100: GigabitEthernet 1/0/2-4;

    • для ESR-200: GigabitEthernet 1/0/2-8;

    • для ESR-1000: GigabitEthernet 1/0/2-24;

    • для ESR-1200: GigabitEthernet 1/0/2-16, TengigabitEthernet 1/0/3-8;

    • для ESR-1500: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-4;

    • для ESR-1511: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/1-4;

    • для ESR-1700: GigabitEthernet 1/0/2-4, TengigabitEthernet 1/0/3-12;

    • для ESR-3100: GigabitEthernet 1/0/2-8, TengigabitEthernet 1/0/3-8;

    • для ESR-3200: Twentyfivegigabitethernet 1/0/3-12;

    • для ESR-3200L: TengigabitEthernet 1/0/3-8, TwentyfivegigabitEthernet 1/0/3-4;
    • для ESR-3250/3350: GigabitEthernet 1/0/2-8, Twentyfivegigabitethernet 1/0/3-4;

    • для ESR-3300: TwentyfivegigabitEthernet 1/0/3-4, HundredgigabitEthernet 1/0/3-4.

      Интерфейсы зоны объединены в один L2-сегмент через сетевой мост Bridge 1.

...

Запустите терминальную программу (например, HyperTerminal или Minicom) и создайте новое подключение. Должен быть использован режим эмуляции терминала VT100.scroll-pagebreak

Выполните следующие настройки интерфейса RS-232:

панель
Скорость: 115200 бит/с
Биты данных: 8 бит
Четность: нет
Стоповые биты: 1
Управление потоком: нет

Scroll Pagebreak

Применение изменения конфигурации

...

  • Изменение пароля пользователя «admin» при первой авторизации.
  • Создание новых пользователей.
  • Назначение имени устройства (Hostname).
  • Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
  • Настройка удаленного доступа к маршрутизатору.
  • Применение базовых настроек. Scroll Pagebreak

Изменение пароля пользователя «admin» при первой авторизации

...

Блок кода
esr(change-expired-password)# password <new password>
esr(change-expired-password)# commit 
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr#

Scroll Pagebreak

Создание новых пользователей

...

Примечание

У учетных записей есть несколько режимов работы:

  • cli – режим работы по умолчанию, пользователь получает доступ к интерфейсу командной строки, предназначенному для управления, просмотра состояния и мониторинга устройства;
  • techsupport – пользователь получает доступ к командной оболочке, в которой выполняется процедура отладки устройства совместно с специалистами технической поддержки;
  • sftp – пользователь используется для организации доступа к встроенному SFTP-серверу, возможность работы в какой-либо командой оболочке при этом у пользователя отсутствует.

Scroll Pagebreak


Предупреждение

Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним:

1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий.
2) Отключить возможность авторизации пользователя «admin» можно командой no admin login enable.
3) Пользователь «admin» с настройками по умолчанию (пароль «password», уровень привилегий 15) не отображается в выводах команд show running-config и show candidate-config без модификатора «full».

Scroll Pagebreak

Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержки:

...

После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>. Scroll Pagebreak

Настройка параметров публичной сети

...

Блок кода
esr# configure
esr(config)# interface gigabitethernet 1/0/2.150
esr(config-if-sub)# ip address 192.168.16.144/24
esr(config-if-sub)# exit
esr(config)# ip route 0.0.0.0/0 192.168.16.1

Scroll Pagebreak

Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:

...

Алгоритмы настройки механизмов защиты от сетевых атак приведены в разделе Настройка логирования и защиты от сетевых атак настоящего руководства.

Подробная информация о командах для настройки политики использования паролей приведена в разделе Управление логированием и защитой от сетевых атак справочника команд CLI.

...