...
Политики зон безопасности настроены следующим образом:
Таблица 70 1 – Описание политик зон безопасности
...
При помощи кабеля RJ-45/DBF9, который входит в комплект поставки устройства, соедините порт «Console» «Console» маршрутизатора с портом RS-232 компьютера.
...
| Блок кода |
|---|
esr# confirm Configuration has been successfully confirmed |
Значение таймера "отката" «отката» по умолчанию – 600 секунд. Для изменения данного таймера используется команда:
...
- Изменение пароля пользователя «admin» при первой авторизации.
- Создание новых пользователей.
- Назначение имени устройства (Hostname).
- Установка параметров подключения к публичной сети в соответствии с требованиями провайдера.
- Настройка удаленного доступа к маршрутизатору.
- Применение базовых настроек.
Изменение пароля пользователя «admin»
...
при первой авторизации
При первом входе Для защищенного входа в систему необходимо сменить пароль по умолчанию привилегированного пользователя «admin».
| Примечание |
|---|
Учетная запись techsupport необходима для удаленного обслуживания сервисным центром; Учетная запись remote – аутентификация RADIUS, TACACS+, LDAP; Удалить пользователей admin, techsupport, remote нельзя. Можно только сменить пароль и уровень привилегий. |
| Предупреждение |
|---|
Если информация о пользователе «admin» не отображается в конфигурации, значит параметры данного пользователя настроены по умолчанию (пароль «password», уровень привилегий 15). |
Имя пользователя и пароль вводится при входе в систему во время сеансов администрирования устройства.
| Scroll Pagebreak |
|---|
Для изменения пароля пользователя «admin» используются следующие команды:
| Блок кода |
|---|
esr# configure
esr(config)# username admin
esr(config-user)# password <new-password>
esr(config-user)# exit |
Создание новых пользователей
До смены пароля пользовательская настройка устройства недоступна.
После указания нового пароля необходимо применить изменения в конфигурации командой commit и подтвердить изменения командой confirm:
| Блок кода |
|---|
esr(change-expired-password)# password <new password>
esr(change-expired-password)# commit
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.
esr(change-expired-password)# confirm
Configuration has been confirmed. Commit timer canceled.
esr# |
| Scroll Pagebreak |
|---|
Создание новых пользователей
Для управления устройством на сервисных маршрутизаторах ESR существует возможность создавать пользовательские учетные записи, у которых администратор может индивидуально задать:
- пароль;
- уровень привилегий;
- режим работы учетной записи.
Для Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий , и режима работы – используются команды:
| Блок кода |
|---|
esr(config)# username <name>
esr(config-user)# password <password>
esr(config-user)# privilege <privilege>
esr(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
# mode <mode>
esr(config-user)# exit |
| Примечание |
|---|
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства. |
| Примечание |
|---|
У учетных записей есть несколько режимов работы:
|
| Предупреждение |
|---|
Пользователь «admin» является единственным предустановленным пользователем в конфигурации устройства. Это приводит к определенным особенностям работы с ним: 1) Применение команды no username admin не удаляет пользователя «admin» из конфигурации, а приводит его к настройкам по умолчанию – паролю «password» и 15 уровню привилегий. |
| Scroll Pagebreak |
|---|
Пример команд для создания нескольких учетных записей – пользователя «netmaster» с уровнем привилегий 15 для управления оборудованием, пользователя «watcher» с уровнем привилегий 1 для ограниченного просмотра оперативной информации, а также пользователя «techsup» для отладки устройства совместно с сотрудниками технической поддержкиПример команд для создания пользователя «fedor» c паролем «12345678» и уровнем привилегий 15 и создания пользователя «ivan» с паролем «password» и уровнем привилегий 1:
| Блок кода |
|---|
esr# configure esr(config)# username fedornetmaster esr(config-user)# password 12345678P@ssW0rd esr(config-user)# privilege 15 esr(config-user)# exit esr(config)# username ivanwatcher esr(config-user)# password password esr(config-user)# privilege 1 esr(config-user)# exit esr(config)# username techsup esr(config-user)# password PsWdTs esr(config-user)# mode techsupport esr(config-user)# exit esr(config)# |
Назначение имени устройства
...
После применения конфигурации приглашение командной строки изменится на значение, заданное параметром <new-name>.scroll-pagebreak
Настройка параметров публичной сети
...
| Блок кода |
|---|
esr# configure esr(config)# interface gigabitethernet 1/0/2.150 esr(config-if-sub)# ip address 192.168.16.144/24 esr(config-if-sub)# exit esr(config)# ip route 0.0.0.0/0 192.168.16.1 |
| Scroll Pagebreak |
|---|
Для того чтобы убедиться, что адрес был назначен интерфейсу, после применения конфигурации введите следующую команду:
...
| Блок кода |
|---|
esr# configure esr(config)# interface gigabitethernet 1/0/10 esr(config-if)# ip address dhcp esr(config-if)# exit |
Scroll Pagebreak
Для того чтобы убедиться, что адрес был назначен интерфейсу, введите следующую команду после применения конфигурации:
| Блок кода |
|---|
esr# show ip interfaces IP address Interface Admin Link Type Precedence --------------------------------------------------- -------------------- ----- ----- ------- ----------- 192.168.11.5/25 gi1/0/10 Up Up DHCP -- |
| Scroll Pagebreak |
|---|
Настройка удаленного доступа к маршрутизатору
...
| Блок кода |
|---|
esr# configure esr(config)# security zone-pair <source-zone> self esr(config-zone-pair)# rule <number> esr(config-zone-rule)# action permit esr(config-zone-rule)# match protocol tcp esr(config-zone-rule)# match source-address <network object-group> esr(config-zone-rule)# match destination-address <network object-group> esr(config-zone-rule)# match destination-port object-group <service object-group> esr(config-zone-rule)# enable esr(config-zone-rule)# exit esr(config-zone-pair)# exit |
...
Пример команд для разрешения пользователям из зоны зоны «untrusted» с IP-адресами 132.16.0.5-132.16.0.10 подключаться к маршрутизатору с IP-адресом 40.13.1.22 по протоколу SSH:
...
- Рекомендуется использовать ролевую модель доступа на устройство.
- Рекомендуется использовать персональные учетные записи для аутентификации на устройстве.
- Рекомендуется включать логирование вводимых пользователем команд.
- Рекомендуется использовать несколько методов аутентификации для входа на устройства через консоль, удалённого входа на устройства и повышения привилегий. Оптимальной считается комбинация из аутентификации по одному из протоколов RADIUS/TACACS/LDAP и локальной аутентификации.
- Рекомендуется понизить уровень привилегий встроенной учётной записи admin до 1отключить встроенную учётную запись admin.
- Рекомендуется настроить логирование изменений локальных учётных записей.
- Рекомендуется настроить логирование изменений политики AAA.
...
- Встроенную учётную запись admin удалить нельзя, только отключить авторизацию для неё командой no admin login enable.
- Команда no username admin не удаляет пользователя admin, сбрасывает его конфигурацию в значения по умолчанию. После применения этой команды пользователь admin не будет отображаться в конфигурации.
- Команда no password для пользователя admin также не удаляет пароль пользователя admin, а сбрасывает его в значение по умолчанию. После применения этой команды пароль пользователя admin перестаёт отображаться в конфигурации и становится ‘password'.
- Перед установкой пользователю admin пониженных привилегий у вас должен быть настроен пользователь отключением авторизации для пользователя admin в конфигурацию устройства необходимо настроить пользователя с уровнем привилегий 15 или задан ENABLE-пароль.
Пример настройки
Задача:
Настроить политику AAA:
- Для удалённого входа по протоколу SSH использовать аутентификации через RADIUS.
- Для входа через локальную консоль использовать аутентификации через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальную аутентификацию.
- Использовать ENABLE-пароль, заданный через RADIUS, в случае отсутствия связи с RADIUS-серверами использовать локальный ENABLE-пароль.
- Установить пользователю admin пониженный уровень привилегийОтключить авторизацию пользователя admin.
- Настроить логирование изменений локальных учётных записей.
- Настроить логирование изменений политик ААА.
- Настроить логирование вводимых команд.
...
| Блок кода |
|---|
esr(config)# enable password $6e5c4r3e2t! |
Далее необходимо понизить привилегии отключить авторизацию у пользователя admin:
| Блок кода |
|---|
esr(config)# usernameno admin esr(config-user)# privilege 1 esr(config-user)# exit login enable |
| Scroll Pagebreak |
|---|
Настройте связь с двумя RADIUS-серверами, основным 192.168.1.11 и резервным 192.168.2.12:
...
| Блок кода |
|---|
esr(config)# aaa authentication login CONSOLE radius local
esr(config)# aaa authentication login SSH radius
esr(config)# aaa authentication enable default radius enable
esr(config)# aaa authentication mode break
esr(config)# line console
esr(config-line-console)# login authentication CONSOLE
esr(config-line-console)# exit
esr(config)# line ssh
esr(config-line-ssh)# login authentication SSH
esr(config-line-ssh)# exit |
...