Grundkonfigurationer

En grundkonfiguration på routrar och switchar inkluderar routers namn, lösenord, interfacets IP adresser och funktioner, lägga till beskrivningar, lämpliga banner, spara ändringar och verifieringar.

Enhetsnamn (hostname)

Standard namn till en switch är endast switch, det samma för en router. Det kan vara svårt att identifiera flera routrar i samma nätverk om alla heter router och därför ska de namnges. Att namnge switchar/routrar på ett konsekvent och bra sätt kräver ett namnsystem som gäller för hela organisationen.

Några riktlinjer för att namnge nätverkshanterare:

  • Börjar med någon bokstav och slutar med en bokstav/ett nummer
  • Inte innehåller mellanslag men bindestreck går bra
  • max 63 tecken.

IOS skiljer stora och små bokstäver när det gäller hostnamn. Då är det bra att inleda med en storbokstav till alla enhetsnamn. RFC 1178 har regler för namngivning.

Obs: Hostnamn används endast av administratörer vid konfigurering via CLI och övervakning. Switchar/Routrar använder inte dessa namn när de upptäcker varandra.

Exempel

Låt oss använda ett exempel på tre routrar sammankopplade i ett nätverk som spänner sig över tre olika städer (Atlanta, Phoenix, och Corpus). Routrarna har placerats i högkvarter för varje stad. Namnen kan vara AtlantaHQ, PhoenixHQ och CorpusHQ.

Bild 1: Namnkonfiguration

Konfigurering av routers namn

  • Prompten ändras till globalt konfigurationsläget:
    • Router#configure terminal
    • Router(config)#
  • Ändrar namnet direkt efter man trycker på Enter
    • Router (config) #hostname AtlantaHQ
    • AtlantaHQ(config) #
  • För att avsluta den globala läget, använd kommandot exit.
  • För att ta bort namnet på en enhet, använd:
    • AtlantaHQ(config)# no hostname
    • Router (config) #

Begränsat åtkomst

Förutom att nätverkshanterare placeras i säkra platser och obehöriga åtkomst begränsas bör dessa hanterare konfigureras med lösenord från början. Följande kommando för lösenordskonfigurering kommer att användas:

  • Console password
  • Enable password
  • Enable secret
  • VTY password

Som en bra säkerhetsrutin bör dessa lösenord vara olika men detta kräver samtidigt en effektiv hantering så att man inte slarvar lösenorden. Alla lösenord bör vara en kombination av bokstäver, siffror och speciella tecken samt vara minst åtta tecken. Man bör även undvika ange lättgissade lösenord såsom eget namn.

Bild 2: Åtkomst via konsolporten

Obs: När dessa lösenord anges på terminalen visas ingenting men hanteras av IOS ändå. På bilden illustreras lösenordskonfigurering för konsolporten.

Enable password och enable secret lösenord

Det finns två konfigurationsalternativ för lösenord till det privilegierade exekveringsläge, enable password och enable secret. Kommandot enable password är äldre och stödjer inte kryptering, därmed visas lösenord i text format. Däremot krypteras lösenordet med kommandot enable secret.

Så här kan konfigureras lösenord:

  • Router(config)#enable password <lösenord>
  • Router(config)#enable secret <lösenord>

Obs: Om man inte konfigurerar dessa lösenord så blockeras åtkomst till privilegierade exekveringsläge för Telnet sessions.

VTY lösenord

Virtuella terminaler tillåter åtkomst till switchar/routrar via Telnet som i sin tur kräver att något interface på router har IP-konfigurerats. De flesta Cisco enheter stödjer minst fem virtuella terminaler som default,  från 0 till 4. Nyare Cisco modeller stödjer flera än fem virtuella terminaler, oftast från 0 till 15. Lösenorden till VTY kan vara detsamma för alla eller helt olika, det beror på säkerhetsrutiner i organisationen. Unika lösenord bör konfigureras men det kräver som sagt en effektiv lösenordshantering.

Kommandot login bör alltid inkluderas i alla lösenordskonfigurering så att ett lösenord krävs vid inloggning via Telnet.

Bilden nedan illustrerar hur lösenord kan konfigureras för virtuella terminaler med kommandot enable och enable secret:

Bild 3: VTY lösenordskonfiguration

Lösenordskryptering

Lösenorden som har konfigurerats med kommandot password visas i text-format i olika konfigurationsfiler. För att undvika detta använd kommandot service password-encryption. Kommandot krypterar lösenord lokalt så länge de inte skickas ut till nätet.

Om du exekverar kommandot show running-config eller show startup-config innan du exekverar service password-encryption visas alla okrypterade lösenord som text. När kommandot service password-encryption har exekverats kan man inte kryptera av lösenordet.

Banner meddelande

Det är viktig att förstå syftet med banner meddelande. Av juridiska skäll bör alla som försöker komma åt en switch/router informeras att åtkomsten är endast för behöriga användare. Man bör undvika utmana alla att logga in på systemet, endast till behöriga. För att konfigurera banner meddelande används kommandot banner motd följ av ett text mellan tecknet #. Till exempel:

Router(config)#banner motd # This is a secure system. Autorized Access Only! #

Hantering av konfigurationsfiler

Att konfigurera någon komponent eller funktion när switch/router är igång innebär att man gör ändringar i running-config fil. För att spara ändringar i running-config filen bör först kontrolleras kommandoutförande och därefter kopiera filen running-config till startup-config filen. Så här kan det gå till:

Router# show running-configuration
Router# copy running-configuration startup-configuration

Backup för konfigurationsfiler

Det är alltid bra att ha säkerhetsmekanismer som exempelvis kopior på konfigurationsfiler. De kan lagras som textfiler på en TFTP server eller USB minne, därefter kan filerna importeras tillbaka. Det förutsätter att man har editerat alla krypterade lösenord och ändrat till text, samt att man har tagit bort kommandon som pausar processen eller kräver åtgärd till något. Dessutom sker överföringen när switch/router är i globalt konfigurationsläge. Backup av konfigurationsfiler kan göras via terminaler.

När man använder TeraTerm gör man så här:

  1. I menyraden hitta Arkiv (File), sedan klicka Sänd
  2. Lokalisera filen som ska kopieras och öppna den
  3. TeraTerm kommer att klistra in texten

Dessa klistrade filer kommer att bli nya running-config fil.

Oväntade meddelande från IOS

Operativsystemet IOS skickar oftast olika meddelanden till skärmen. Det kan ske medan man anger ett visst kommando. Meddelandet i för sig påverkar inte kommando syntaxen men det avbryter användarens kommando, se bilden nedan:

Bild 4: Oväntade meddelande

För att inte avbrytas med oväntade meddelande använder sig man av kommandot logging synchronous.

Här nedan en översikt på nödvändiga kommando vid grundkonfigurationer:

Basic Router Configuration Command Syntax
Configuring a hostname Router>enable
Router#configure terminal
Router(config)#hostname <ange namnet>
Lösenord för privilegierad exekveringsläge Router>enable
Router#configure terminal
Router(config)#enable secret <ange lösenord>
Router(config)#login
Console lösenord och meddelandehantering Router>enable
Router#configure terminal
Router(config)#line console 0
Router(config-line)#password <ange lösenord>
Router(config-line)#login<ange lösenord>
Router(config-line)#logging synchronous
VTY lösenord Router>enable
Router#configure terminal
Router(config)#line vty 0 15
Router(config-line)#password <ange lösenord>
Router(config-line)#login<ange lösenord>
Lösenords kryptering Router>enable
Router#configure terminal
Router(config)#service password-encryption
Router(config)#exit
Banner meddelande Router>enable
Router#configure terminal
Router(configure)#banner motd # This is a secure system. Autorized Access Only! #