double arrow

Защита компьютерных сетей


Цель работы: Научиться разграничивать доступ к СLI маршрутизатора и коммутатора, виртуальным терминалом. Производить фильтрацию трафика и отделять одни сегменты сети от других на основе списков контроля доступа.

Краткие теоретические сведения:

Получения доступа к CiscoIOSпосредством командной строки осуществляется посредством перехода к вкладки CLIв свойствах самого устройства.

Поддерживается два уровня доступа к CLI: режим пользовательского доступа EXEC и режим привилегированного доступа EXEC.

При включении маршрутизатора или другого устройства CiscoIOS по умолчанию устанавливается режим пользовательского доступа EXEC. В этом режиме в командной строке отображается следующее:

Router>

Команды, которые можно выполнить в режиме пользовательского доступа EXEC, сводятся к получению информации о работе устройства и к диагностике с помощью команд show, а также утилит ping и traceroute.

Для ввода команд, которые меняют работу устройства, необходимы привилегированные права доступа. Чтобы переключиться в привилегированный режим EXEC, нужно ввести в командную строку enable и нажать клавишу Enter.




Командная строка соответственно изменится. В режиме привилегированного доступа в ней отобразится:

Router#

Для выхода из режима привилегированного доступа и возврата в режим пользовательского доступа введите в командной строке disable или exit.

Вход в оба режима можно защитить паролем или комбинацией имени пользователя и пароля.

Приглашение пользовательского режима
Приглашение привилегированного режима

В большинстве случаев команды применяются к текущему файлу конфигурации, используя подключение к терминалу. Для использования этих команд пользователю нужно войти в режим глобальной конфигурации.

Чтобы войти в режим глобальной конфигурации, введите команду configureterminal или config t. В этом режиме в командной строке отображается следующее:

Router(config)#

Введенные в этом режиме команды выполняются немедленно и могут отразиться на работе устройства.

Из режима глобальной конфигурации администратор может войти в другие подрежимы.

Для настройки интерфейсов сетей LAN и WAN используется режим конфигурации интерфейса. Для перехода в режим конфигурации интерфейса, введите, находясь в режиме глобальной конфигурации, команду interface [тип] [номер]. В этом режиме в командной строке отображается следующее:

Router(config-if)#

Еще один часто используемый подрежим — это подрежим задания конфигурации маршрутизатора, на который указывает следующее содержание командной строки:

Router(config-router)#

Этот режим служит для настройки параметров маршрутизатора.

Пример:

В исходную конфигурацию устройства Cisco IOS входит задание имени устройства и паролей, которые служат для контроля доступа к различным функциям устройства.



Одной из первых задач конфигурирования является присвоение устройству уникального имени. Эта задача решается в режиме глобальной конфигурации с помощью следующей команды:

Router(config)#hostname<имя>

При нажатии клавиши Enter имя узла по умолчанию — Router — меняется на новое присвоенное узлу имя.

Следующим шагом конфигурирования является задание паролей для предотвращения несанкционированного доступа к устройству.

Для ограничения доступа к привилегированному режиму EXEC служат команды enablepassword и enablesecret. Это не дает возможности изменять параметры настройки маршрутизатора пользователям, которые не имеют соответствующих прав доступа.

Router(config)#enablepassword<пароль>

Router(config)#enablesecret<пароль>

Разница между этими двумя командами состоит в том, что команда enablepassword по умолчанию не является зашифрованной. Если после команды enablepassword вводится команда enablesecret<пароль>, то команда enablesecret имеет преимущество перед enablepassword.







Сейчас читают про: