Хороший справочник по командами первоначальная настройка Cisco. Выполнение удаленных команд на CISCO Дневник Максим Боголепов
Выполнение удаленных команд на CISCO Дневник Максим Боголепов
Выполнение удаленных команд на CISCO
Для решения поставленной задачи необходимо выполнить следующее:
1. Заходим на cisco и в режиме конфигурирования включаем возможность удаленного выполнения команд:
2. Для безопасности необходимо указать с какого интерфейса будут осуществляться команды удаленного управления. В моем случае команда для cisco выглядит так:
— где GigabitEthernet0/1.1 интерфейс одной из локальных сетей, в которой находится сервер FreeBSD.
3. Необходимо указать имя локального пользователя cisco, от имени которого удаленный пользователь будет выполнять команды, ip адрес (или hostname) удаленного сервера и само имя удаленного пользователя. Данная команда будет иметь следующий вид:
— где cisco_user – локальный пользователь, заведенный на cisco;
— 192.168.100.3 – ip адрес сервера, с которого будут выполняться команды удаленного администрирования;
— remote_user – имя пользователя на удаленном сервере, от имени которого будут выполняться команды удаленного администрирования (в моем случае – это root сервера FreeBSD);
— 15 – уровень привилегий, с которыми будет работать локальный пользователь cisco.
Некоторое отступление. В моем случае, в качестве локального пользователя cisco, мною был использован пользователь admin, уже заведенный на cisco командой:
— где: admin – собственно – имя пользователя;
— 15 – уровень привилегий (в данном слечае – максимальный);
— swordfish – пароль (замените на свой).
Если вам необходимо, создайте еще одного пользователя с привилегиями, отличными от 15, и пропишите ему команды, которые он будет иметь право с данным уровнем привилегий исполнять. Например, создадим пользователя traf с уровнем привилегий 5 и дадим ему возможность собирать и обнулять статистику какого-либо интерфейса по ip accounting. Листинг команд будет следующим:
4. Если вы в предыдущей команде указали ip адрес удаленного сервера, а не его hostname, вам необходимо дать следующую команду:
— которая отключит проверку соответствия ip в базе DNS его hostname, т.к. при неудачном сопоставлении – у вас не получится выполнить удаленные команды на cisco. В принципе, если ваш DNS настроен правильно, то данную команду можно опустить.
5. Нам осталось включить отладку проделанной работы, чтобы в случае неудачи иметь возможность отследить ошибки. Делается это так:
Просмотр отладочной информации осуществляется так:
Отключение отладочной информации будет осуществлена следующей командой:
На этом подготовку cisco к выполнению удаленных команд можно считать завершенной.
Листинг проделанной работы:
Для проверки выполнения удаленных команд с сервера FreeBSD выполним под root’ом на нем команду:
Синтаксис команды прост:
— после флага -l идет имя локального пользователя в cisco;
— 192.168.100.2 – ip адрес cisco;
— show clock – команда, которая должна выполниться на cisco.
Если после отработки данной команды вы получите примерно тоже самое, то задача решена.
Теперь настало время разобрать нюансы. Все они связаны с уже существующим настройками виртуальной консоли на вашей cisco — line vty 0 4.
При моей первой попытке выполнить удаленную команду на cisco у меня выскочила ошибка No free VTYs :
Как оказалось, в моих настройках данной виртуальной консоли при подключении к ней, был обозначен только протокол ssh (transport input ssh). Для выполнения удаленных команд требуется еще и протокол telnet. (Причем при исходящих соединениях протокол telnet не обязателен). Так что настройки line vty 0 4 в этой части должны выглядеть так:
Следующая ошибка, которая может у вас возникнуть, Permission denied. Она возникает, если вы неправильно указали локального пользователя в cisco, от имени которого должны выполняться удаленные команды:
В данном примере мною был указан пользователь root, не имеющий никакого отношения к самой cisco. Если вы не хотите путаться, то заведите пользователя на cisco с таким именем и не забудьте поправить команду ip rcmd remote-host на что-то подобное:
Опять же, из-за существующих настроек в моей cisco, я получил ошибку следующего рода – Access denied :
На этот раз дело оказалось в настройке списка доступа, указанном мною в line vty 0 4:
Список acl_login выглядел сперва так:
Для выполнения удаленных команд необходимо еще разрешить подключение к 514 порту (cmd). После правки список доступа стал выглядеть так:
Настройка line vty 0 4 выглядит полностью так:
В заключении осталось указать на возможные решения при выполнении удаленных команд на cisco, требующих подтверждения [confirm]. В интерактивном режиме с ним проблем нет, но возникает вопрос, как послать его через rsh? Сам я пока с таким не сталкивался. Но вот тут подсказывают:
Вот теперь, действительно – все! 🙂
- Currently 4.50/5
- 1
- 2
- 3
- 4
- 5
Rating: 4.5/5(6 votes cast)
Хороший справочник по командами первоначальная настройка Cisco. Выполнение удаленных команд на CISCO Дневник Максим Боголепов
Часто используемые команды для администрирования сетевого оборудования Cisco.
show version
Показывает наименование модели циски, версию IOS, название и местоположение двоичного образа загрузки IOS (обычно во flash: сжатый файл с названием cMMMM-D-EE.NNN-O.F.bin, где MNO цифры, DEF буквы), распределение и размер ОЗУ, размер NVRAM, размер flash, содержимое конфигурационного регистра.
show startup-config
Показывает содержимое конфигурации, которая применяется при загрузке. Можно скопировать эти данные в буфер обмена и сохранить в файл в качестве бэкапа конфигурации. Этот файл потом можно просто вставить (с небольшими оговорками) из буфера обмена в экран консоли, дать команду wr mem, и этим восстановить конфигурацию (многие программы, автоматически сохраняющие и обновляющие конфигурацию, применяют как раз такой метод).
copy startup-config running-config
Отменяет все сделанные (если были) изменения в конфигурации. То же самое произойдет, если выключить/включить питание (перезагрузить устройство).
copy running-config startup-config
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write или write memory.
write
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write memory или copy running-config startup-config.
show flash
Показывает размер, свободное место и содержимое (в виде списка) энергонезависимой памяти, которая работает с точно так же, как диск. На этом диске хранятся файлы, с которых записана IOS и конфигурация циски (startup-config и другие). Файлами можно манипулировать командами IOS.
terminal monitor
Переключает вывод debug-информации с консольного порта (RS232) на консоль, подключенную через сетевой интерфейс.
(no) service password-encryption
Команда, которая показывает пароли enable в конфиге в (открытом)закрытом виде
(no) logging console
Команда, которая (выключает)включает вывод сообщений системного журнала на консоль (RS232)
logging console
Команда, включает вывод сообщений системного журнала на консоль (RS232) определённого уровня (0 меньше всего сообщ. – emergencies System is unusable, 7 – больше всего сообщений – Debugging messages)
logging buffered
Указание сохранять сообщения в ОЗУ для последующего ознакомления
show logging
Вывод сообщений из ОЗУ
show flash: all
Показывает статус flash – сколько занято, свободно, контрольные суммы, сколько банков и их параметры, тип микросхем памяти.
show interfaces
Одна из наиболее часто используемых команд, показывает количество, параметры, состояние интерфейсов и ещё много разной информации. См. “ Расшифровка вывода команды show interfaces ”.
show vlan
Показать существующие vlan и привязку к ним физических интерфейсов.
erase nvram
Очистка конфигурации (startup-config и другая информация), полный сброс энергонезависимой памяти.
configure
Вход в один из разновидностей режима configure – изменение конфигурации. Наиболее часто используемый режим configure terminal (подключение как через консольный порт RS232, так и по сети через telnet или ssh).
end
Полный выход из режима configure. Тот же эффект дает Ctrl-Z.
exit
Шаг назад по дереву конфигурирования (например, выход из реж. конфигурирования одного из интерфейсов).
no vlan n
Удалить vlan n.
(no) shutdown
Административно (включить) выключить сетевой интерфейс.
show vtp status
Показать конфигурацию режима VTP.
vtp mode
Включить требуемый режим работы VTP.
show debugging
Показать накопленную (в памяти) статистику отладки.
undebug all
Полностью выключить отладку.
traceroute aaa.bbb.ccc.ddd
Аналог tracert aaa.bbb.ccc.ddd – показать маршрут до указанного IP.
show process cpu
Показать статистику загрузки процессора (в том числе и каждой задачей).
show process cpu history
Показать статистику загрузки процессора с временнЫми графиками.
who
Показать сеансы администраторов, залогинившихся в терминал циски. Выводит примерно следующее:
Line User Host(s) Idle Location
* 98 vty 0 ciadmin idle 00:00:00 10.50.9.152
Interface User Mode Idle Peer Address
ssh -v 2 -l root a.b.c.d
Подсоединиться к Knopix по SSH версии 2.
no banner login
Удаляет из конфига все строки banner login (приветствие при логине).
show interfaces port-channel n
Показывает состояние канала портов под номером n, какие порты туда входят.
show ip eigrp neighbors
Показывает EIGRP-соседей, какими интерфейсами с ними контакт, номер EIGRP-процесса.
show ip eigrp interfaces
Показывает список интерфейсов, вовлеченных в EIGRP, номер EIGRP-процесса.
show ip eigrp traffic
show ip eigrp topology
Показывает статистику работы EIGRP, номер EIGRP-процесса.
snmp-server community [номер access-листа]
Команда вводится в режиме глобального конфигурирования. Настраивает доступ к внутреннему snmp-серверу для специального ПО (например, чтобы CiscoWorks Device Fault Manager мог собирать статистику о состоянии оборудования). Параметр представляет собой community-string, который используется для аутентификации при подключении. Если указать RW, то будет разрешен полный доступ (чтение и запись) в SNMP базу данных устройства (можно не только считывать состояние, но и менять параметры устройства), если RO, то доступ будет только на чтение. Номер access-листа позволяет отфильтровать нежелательные подключения.
setup
Команда setup привилегированного режима запускает мастера первоначальной настройки.
terminal history size n
Команда, меняющая количество запоминаемых ранее введенных команд (n max 256).
telnet IP-адрес
Команда позволяет подключиться к другой циске. позволяет приостановить сеанс Telnet (не разрывая его) и вернуться к собственной командной строке устройства. Команда disconnect без параметров позволяет разорвать последнее приостановленное соединение, а resume без параметров возобновляет последнее приостановленное соединение.
show diag [номер слота]
Команда показывает подробную информацию о материнской плате устройства Cisco и/или об установленных в слоты адаптерах.
show environment
Команда на некоторых устройствах (чаще дорогих и продвинутых) показывает состояние вентиляторов и температуру устройства, иногда значение питающих напряжений.
show ip interface
Команда показывает подробную информацию об интерфейсах в контексте протокола IP.
show ip sockets
Команда показывает открытые порты и активные соединения устройства Cisco.
show ip traffic
Команда показывает подробную инфо по трафику протоколов IP (много всего, в том числе количество пакетов broadcast и multicast), ICMP, TCP, BGP, IP-EIGRP, PIMv2, IGMP, UDP, OSPF, ARP и об ошибках.
show line
Команда показывает инфо о линиях – интерфейсах специального типа, предназначенных для администрирования. Обычно это последовательная консоль (CTY, console 0 или линия 0), AUX (обычно линия 1) и консоли Telnet (например, VTY 0-181 или линии 18-199).
show line summary
Команда показывает быструю сводку о статистике использования всех линий.
show sessions
Команда показывает информацию приостановленных сессиях Telnet.
show snmp
Команда показывает статистику протокола SNMP (полезно при настройке и проверке работы протокола).
show tcp
Команда показывает подробную статистику о всех открытых соединениях с устройством Cisco
send *
Команда позволяет отсылать сообщение в консоль всех залогиненных пользователей на устройстве.
verify flash:имя_файла_IOS
Команда позволяет проверить целостность файла (проверяются контрольные суммы). Полезно выполнить после копирования IOS во флеш (например, при обновлении IOS-а).
clear ip nat translation *
Очистка таблицы NAT, обычно применяемая при смене правил NAT.
(config)# do команда
Очень полезная команда режима конфигурирования, которая позволяет вводить команды обычного режима (например, do show running-config). Правда, в команде do уже не работает автозавершение команды клавишей Tab и подсказка по вводу ?.
Мой МеморизИТ
Начинаем курс статей под кодовым названием Cisco для новичков
Собственно сабжект говорит о том что я постараюсь описать в данной статье…
Имеем Cisco 2911… поехали
начну с того, что на 18XX 28XX и почих маршрутизаторах 8 серии подключение и первоначальная настройка оборудования осуществляется через консольный порт с разъемом RJ-45, обычно, кабель для настройки идет в комплекте, представляет из себя RJ-45 на RS-232 голубого цвета. Оборудование 19XX 29XX серий помимо консольного порта RJ 45 имеет консольный порт MiniUSB (Что значительно удобнее при настройке оборудования имея под рукой ноутбук с отсутствующим COM портом). Для настройки оборудования через MiniUSB нам понадобится драйвер эмуляции
Далее в Device Manager появится Cisco Serial где можно настроить номер порта.
Установка соединения осуществляется со стандартными значениями – 9600 бод/8 бит данных/1 стоп бит/без проверки четности и контроля прохождения. В Windows – системах вы можете использовать putty, в Linux cu или minicom. В дальнейшем, когда маршрутизатору будет присвоен IP-адрес для настроек будем использовать ssh, но первый раз без консольного подключения не обойтись.
Открываем Putty, выбираем тип подключения Serial порт COM7 ( У меня он COM7) нажимаем 2 раза [Enter] и видим меред собой командную строку с приглашением роутера
Router>
Переходим в превелегированный режим командой enable
Router>enable
Router#
удаляем имеющуюся конфигурацию, находящуюся во флэш-памяти, и перезагружаем маршрутизатор:
Router#erase startup-config
Router#reload
Ждем пока роутер перезагрузится, наблюдая за процессом загрузки в окне консоли, после чего снова переходим в превилигированный режим
Router>enable
Переходим в конфигурационный режим и даем команду hostname:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0
Gw0(config)#
Включим режим хранения паролей в файле конфигурации устройства в зашифрованном виде:
Gw0(config)#service password-encryption
Отключим управление маршрутизатором через http и https и CDP
Gw0(config)#no ip http server
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Зададим пароли на подключения через консольный порт
Gw0(config)#line con 0
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
И Telnet
Gw0(config)#line vty ? О, сколько он там сказал доступно? 0-1441 значит line vty 0 1441 ))
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Зададим пароль на Enable режим
Gw0(config) enable secret пароль_enable_режима
Перейдем к настройке интерфейса внутренней сети. Если маршрутизатор имеет гигабитные порты то названия портов можно сократить как Gi 0/0 (Gigabit ethernet) , если 100 Мбитные то скорее всего это будут Fa (fast ethernet)
В принципе, если вы сомневаетесь в команде, нажмите TAB — в командной строке команда дописалась? значит норма, не помните что вводить? введите знак вопроса… IOS выдаст вам все доступные команды в данном контексте.
Gw0(config) #interface Gi 0/0
Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Задаем dns-сервера
Gw0(config)# ip name-server 192.168.0.2
Все, маршрутизатор доступен телнетом по 192.168.0.1
Записываем конфигурацию в память командой
Gw0# copy running-config startup config или командой wr
В следующей статье,собственно, мы отключим доступ на маршрутизатор через telnet (Ибо не секюрно ) и настроим доступ к нему используя SSH.
Источники:
http://maxblogs.ru/articles/vypolnenie-udalennykh-komand-na-cisco
http://microsin.net/adminstuff/cisco/commands-reference.html
http://iamroot.ru/2012/05/pervonachalnaya-nastrojka-marshrutizatora-cisco.html
