Базовая настройка маршрутизатора с помощью cisco configuration professional

Введение

Коммутаторы серии Cisco Catalyst 6500/6000 обладают интеллектуальной системой управления питанием, которая подключает к питанию или отключает различные системные компоненты в зависимости от доступности питания в системе. В этой документации обсуждается доступная суммарная мощность источников питания, поставляемых в данный момент, а также мощность, потребляемая каждой линейной платой. Выполнение предлагаемых рекомендаций позволяет предотвратить превышение энергетического потенциала, что может вызвать отключение и другие неожиданности. Данный документ позволяет разобраться в системе управления питанием коммутаторов серии Catalyst 6000.

Configure SSH on Cisco Router or Switch

To configure SSH on Cisco router, you need to do:

1. Enable SSH on Cisco router.
2. Set Password for SSH.
3. Force remote access to use SSH.
4. Enable Password Encryption.
5. Add domain name Server (DNS).
6. Add Username and Password.

Let’s enable and configure SSH on Cisco router or switch using the below packet tracer lab. The configure on a packet tracer lab and real Cisco devices are the same. Just try to learn and do it what the SSH remote authentication needs.

Download the packet tracer lab or create your own lab. SSH Configuration Packet Tracer Lab.

Configure SSH on Cisco Router or Switch – Technig

In this example, I just enable and configure SSH on SW1 and trying to access it from PC1. It’s enough to learn how to configure SSH on Cisco router.

R1>
R1>enable 
R1#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#
R1(config)#ip domain-name Technig.com
R1(config)#crypto key generate rsa 
The name for the keys will be: R1.Technig.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus : 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...

R1(config)#
*Mar 1 0:5:57.974:  %SSH-5-ENABLED: SSH 1.99 has been enabled 
R1(config)#
R1(config)#username Admin password Technig
R1(config)#line vty 0 4
R1(config-line)#login local 
R1(config-line)#transport input ssh 
R1(config-line)#exit
R1(config)#ip ssh version 2
R1(config)#ip ssh authentication-retries 3
R1(config)#
R1(config)#ip ssh time-out 120
R1(config)#exit
R1#

That’s all. Let’s check the process one by one.

1. I have set DNS domain name with “IP domain-name” command.
2. Then configure the router to use RSA key pair with modulus size of 1024 bites for remote service authentication with “crypto key generate rsa” command.
3. Add username “Admin” with Password of “Technig” for ssh authentication.
4. Enabled ssh with “line vty 0 4” command.
5. Configure ssh to use local username and password with “login local” command. Remember that you can set a username and password for ssh with “username Admin password Technig” command as well. But here we configure ssh to use local username and password.
6. Configure the router to accept only ssh connection with “transport input ssh” command.
7. Configure ssh to version 2 using “IP ssh version 2” and set the authentication times to 3 with “IP ssh authentication-retries 3” command.
8. Finally set the ssh timeout to 120 seconds with “IP ssh time-out 120” command.

Related Article: Install SSH on CentOS 8.x and Red Hat Linux

The final step is to test the connectivity of ssh from PC1 with “ssh -l Admin 192.168.1.1” command for command prompt.

C:\>ssh -l Admin 192.168.1.1
Open
Password: 


R1>en
R1>enable 
Password: 
R1#

OK, the ssh works perfectly.

Для чего он нужен в Гугл Хроме

Включить Ява Скрипт в Гугл Хром рекомендуется по следующим причинам:

Полное отображение контента.

Плавное и непрерывное отображение контента, без необходимости ручного обновления страницы – это заслуга исключительно JavaScript. Единственным здесь исключением является видеоплеер, работающий на html5.

Открытие доступа ко всем функциям сайта.

Скрипты, как правило, участвуют в авторизации, фильтрации и анимации.

Получение максимума интерактивности от порталов.

Очень часто в Google Chrome скриптовый язык выполняет подзагрузку информации. В обычном режиме сайты отображаются после полной загрузки страницы. Что касается JavaScript, то он позволяет в первую очередь погрузить основные элементы – текст и интерфейс – а потом уже докачивает и отображает видеоролики, картинки и так далее. За счет этого существенно сокращается время ожидания выстраивания сайта.

Перечисленных выше положительных факторов вполне достаточно для того, чтобы включить Java и никогда его не деактивировать. Тем более что на скорости загрузки интернет-страниц это никак не отображается. Весь контент отображается моментально.

Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15

Имеем коммутатор Cisco Catalyst с включенным Telnet и заданными паролями «Virtual terminal password» и «Enable secret».
Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер SSH и исключить возможность используемого по умолчанию Telnet

Обратите внимание на то, что включение SSH возможно не во всех версиях Cisco IOS.. Подключаемся к коммутатору через Telnet, указав пароль «Virtual terminal password»:

Подключаемся к коммутатору через Telnet, указав пароль «Virtual terminal password»:

User Access Verification

Password: 
Switch>

Повышаем привелегии до уровня администратора командой enable:

Switch> enable
Password: 

Чтобы задействовать поддержку SSH, нам потребуется выполнить генерацию ключевой пары RSA. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.

Входим в режим изменения конфигурации () и задаём коммутатору имя хоста, если оно не было задано ранее…

Switch# configure terminal
Switch(config)# hostname SW001
SW001(config)#

…затем задаём имя домена…

SW01(config)# ip domain-name my.holding.com
SW01(config)# end
SW01#

Если время в IOS не настроено, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку «».
Итак, настраиваем синхронизацию времени.

SW01# show clock

Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с NTP-серверов, расположенных в нашей локальной сети:

SW01#
SW01# configure terminal
SW01(config)# clock timezone MSK 3
SW01(config)# ntp server 10.5.0.3 prefer
SW01(config)# ntp server 10.5.1.2
SW01(config)# end
SW01#

Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией ) является приоритетным.
Через несколько секунд часы нашего коммутатора должны отображать правильное время:

SW01# show clock

Проверить статус синхронизации можно следующим образом:

SW01# show ntp status

Проверить состояние источников синхронизации времени можно так:

SW01# show ntp associations

Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.

SW01# configure terminal
SW01(config)# crypto key generate rsa

Теперь встроенный в IOS SSH сервер готов принимать подключения.
Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:

SW01# configure terminal
SW01(config)# username vasya privilege 15 secret MyPa$$w0rd
SW01(config)# service password-encryption
SW01(config)# end
SW01#

Запрещаем Telnet и оставляем только SSH для виртуальных терминалов vty с по 15

SW01# configure terminal
SW01(config)# line vty 0 15
SW01(config-line)# transport input ssh
SW01(config-line)# end
SW01#

Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов

SW01# configure terminal
SW01(config)# line vty 0 15
SW01(config-line)# login local
SW01(config-line)# end
SW01#

В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.

SW01# write

Дополнительные источники информации:

Configuring Secure Shell on Routers and Switches Running Cisco IOS

Проверено на следующих конфигурациях:

Автор текущей редакции:Алексей Максимов
Время публикации: 13.01.2018 23:01

Troubleshoot

This section deals with different troubleshooting scenarios related to SSH configuration on Cisco switches.

Cannot Connect to Switch through SSH

Problem:

Cannot connect to the switch using SSH.

The debug ip ssh command shows this output:

Solution:

This problem occurs because of either of these reasons:

• New SSH connections fail after changing the hostname.

• SSH configured with non-labeled keys (having the router FQDN).

The workarounds for this problem are:

• If the hostname was changed and SSH is no longer working, then zeroize the new key and create another new key with the proper label.

• Do not use anonymous RSA keys (named after the FQDN of the switch). Use labeled keys instead.

In order to resolve this problem forever, upgrade the IOS software to any of the versions in which this problem is fixed.

A bug has been filed about this issue. For more information, refer to Cisco bug ID CSCtc41114 (registered customers only) .

Модули Supervisor Engine/линейные платы

Некоторые первоначальные рабочие модули Supervisor Engine 1 были запрограммированы на работу с силой тока в 4,30 А. ПО версии 5.2(1) переопределяет данное значение в EEPROM модуля Supervisor Engine (SEEPROM) и по умолчанию использует значение 3,00 А. ПО версии 5.2(2) переопределяет значение в SEEPROM и использует по умолчанию значение 1,70 А.

Так как плата Supervisor Engine в ждущем режиме всегда включается сразу после установки, для избыточного слота модуля Supervisor Engine должно быть зарезервировано достаточно мощности для подключения модуля Supervisor Engine, даже если плата в данном слоте отсутствует. Существуют четыре случая, в которых избыточный модуль Supervisor Engine может присутствовать или отсутствовать.

• В гнездо на 2-1,7 А не вставлена плата для возможной установки модуля Supervisor Engine.

  Примечание: Если в основном модуле Supervisor Engine есть плата многоуровневой коммутации MSFC или плата расширения политики PFC, то резервируется гнездо на 3,30 А.

• Модуль Supervisor Engine в гнезде 2 — выделяется гнездо на 1,7 А.

  Примечание: Если в модуле Supervisor Engine есть плата MSFC или PFC, резервируется гнездо на 3,30 А.

• Линейная плата с силой тока менее 1,7 А в гнезде 2 — выделяется гнездо на 1,7 А для Supervisor Engine.

  Примечание: В данный момент нет доступной платы, потребляющей меньше 1,7 А.

  Примечание: Если в модуле Supervisor Engine есть плата MSFC или PFC, резервируется гнездо на 3,30 А.

• Линейная плата с током более 1,7 А в гнезде 2 — назначается действительное значение платы из SEEPROM.

  Примечание: Если в модуле Supervisor Engine есть плата MSFC или PFC, резервируется гнездо на 3,30 А.

Некоторые ранее выпускавшиеся блоки WS-X6408-GBIC были неправильно запрограммированы на силу тока 1,5 А.

См. в разделе документа Администрирование коммутатора дополнительную информацию о требованиях к питанию модулей.

Как отключить Джава Скрипт

Если по каким-то причинам вы не планируете использовать JavaScript, проводится его деактивация. Для этого необходимо выполнить следующие действия:

• Открыть меню Хрома, нажав на три точки в углу.
• Перейти в «Настройки».
• В разделе «Конфиденциальность и безопасность» найти пункт «Настройки сайтов».
• Найти пункт активации JavaScript и щелкнуть по нему.
• Перевести тумблер в положение блокировки.

После выполнения данных действий JavaScript автоматически  отключится. Отключение JavaScript требуется только в крайних случаях, когда не планируете заниматься поиском информации в сети, а изображения, видеоконтент и общее качество сайтов не интересует.

Команды show

• show environment (CatOS) — эта команда предоставляет результаты диагностики компонентов коммутатора, таких как источник питания, часы и вентилятор.

• show environment status (ПО Cisco IOS) — эта команда аналогична команде show environment в CatOS.

• show environment power (CatOS) — эта команда предоставляет данные о состоянии питания системы и доступной мощности.

  Примечание: В данном примере выходных данных команды show environment power
  используется модуль Supervisor Engine 1 с платами PFC и MSFC.

• show power (ПО Cisco IOS) — эта команда аналогична команде show environment power
  в CatOS.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.

Шаг 1. Пример реализации проекта

Чтобы продемонстрировать, как отлаживать приложение с помощью инструментов для разработчиков в Chrome, я использую форму «Добавить пользователя». Она позволяет вводить имя, отчество и фамилию. При нажатии кнопки «Сохранить» форма отправляет данные для обработки на сервер.

Код для этой формы включает в себя три функции:

• Обработчик кликов;
• Функция преобразования первых букв строк в заглавные;
• Функция сохранения.

varsaveButton = document.getElementById('saveButton');
varfirstNameField = document.getElementById('firstName');
varmiddleNameField = document.getElementById('middleName');
varlastNameField = document.getElementById('lastName');
functiononSaveButtonClick(){
varfirstName = firstNameField.value;
varmiddleName = middleNameField.value;
varlastName = lastNameField.value;
// преобразование первых букв имен в заглавные
firstName = capitalizeString(firstName);
middleName = capitalizeString(middleName);
lastName = capitalizeString(lastName);
doSave(firstName, middleName, lastName);
}
functioncapitalizeString(value){
returnvalue.split('').toUpperCase() + value.slice(1);
}
functiondoSave(firstName, middleName, lastName){
alert(firstName + ' ' + middleName + ' ' + lastName + ' has been saved!');
}
saveButton.addEventListener('click', onSaveButtonClick);

К сожалению, после запуска этого кода вы начнете получать отчеты об ошибках, поступающие в панель инструментов. Существует определенная ошибка, и нужно ее исправить.

Configure

Configuration

On the remote device:

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

On the end user: 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

Test Authentication

Authentication Test without SSH

First test the authentication without SSH to make sure that authentication works with the router Carter before you add SSH. Authentication can be with a local username and password or with an authentication, authorization, and accounting (AAA) server that runs TACACS+ or RADIUS. (Authentication through the line password is not possible with SSH.) This example shows local authentication, which lets you Telnet into the router with username «cisco» and password «cisco.»

Authentication Test with SSH

In order to test authentication with SSH, you have to add to the previous statements in order to enable SSH on Carter and test SSH from the PC and UNIX stations.

At this point, the show crypto key mypubkey rsa command must show the generated key. After you add the SSH configuration, test your ability to access the router from the PC and UNIX station. If this does not work, see the of this document.

Шаг 5: Пересмотр кода

Сначала установите точку остановки на строке 7? прямо внутри обработчика клика кнопки «Добавить», чтобы мы могли начать с самого начала.

Ошибка возникла в методе capizeizeString. Он вызывается три раза. Но какой его экземпляр выдает ошибку? Вы можете внимательнее рассмотреть Stacktrace и увидеть, что это был вызов из строки 13.

Она относится к значению второго имени. Поэтому нужно сосредоточиться на воспроизведении ошибки, соответственно введя данные.

Заполните поля формы «First Name» и «Last Name», но оставьте поле «Middle Name» пустым, чтобы увидеть, вызовет ли это ошибку.

Нажмите кнопку «Save». Откроется вкладка «Source», на которой видно, что точка остановки активирована. Теперь можно начать выполнять код. Для этого нужно использовать четыре кнопки, доступные в панели отладки.

Вам нужно использовать эти кнопки, чтобы полностью пройти всю функцию capitalizeString. Поэтому, начиная со строки 7, используйте кнопку «Step over Current Line» до тех пор, пока не перейдете к строке 13. Активная строка помечается линиями сверху и снизу.

Теперь можно использовать кнопку «Step into Function», чтобы перейти к вызову функции capitalizeString.

Что такое Javascript

JavaScript представляет собой особый скриптовый язык программирования. С его помощью веб-ресурсы становятся более функциональными и интерактивными:

• посты сами подгружаются в ленту по мере того, как вы ее листаете;
• появляются кнопки, с которыми можно взаимодействовать: «лайк», «переслать», «сохранять»;
• появляются различные формы для заполнения, выпадающие меню и многое другое.

Помимо чисто утилитарных функций, Джаваскрипт может наводить красоту: добавлять различные эффекты, вроде падающего снега, плавного появления и плавного исчезновения объектов в кадре.

Пример кода на Javascript

Generating SSH Server Keys

You can generate an SSH server key based on your security requirements. The default SSH server key is an RSA key generated using 1024 bits. To generate SSH server keys, perform this task:

Procedure

The following example shows how to generate an SSH server
key:

switch# configure terminal

switch(config)# ssh key rsa 2048

switch(config)# exit

switch# show ssh key

switch# copy running-config startup-config

ip route 0.0.0.0 0.0.0.0

Создание статического маршрута до сети 0.0.0.0 0.0.0.0 является еще одним способом определения шлюза последней очереди на маршрутизаторе. Команда ip default-network, использующая статический маршрут к 0.0.0.0, не зависит от протоколов маршрутизации. Однако на маршрутизаторе должна быть включена функция ip routing.

Примечание: протокол IGRP не принимает маршрут до 0.0.0.0. Поэтому он не может распространять стандартные маршруты, созданные с помощью команды ip route 0.0.0.0 0.0.0.0. Для распространения стандартного маршрута на IGRP используется команда ip default-network.

Протокол EIGRP распространяет маршрут до сети 0.0.0.0, но необходимо перераспределять статический маршрут в протокол маршрутизации.

В ранних версиях протокола RIP стандартный маршрут, созданный с помощью команды ip route 0.0.0.0 0.0.0.0, автоматически объявлялся маршрутизаторами RIP. В программном обеспечении Cisco IOS выпуска 12.0T и старше протокол RIP не объявляет стандартный маршрут, если маршрут получен не через RIP. Может возникнуть необходимость в перераспределении маршрута на RIP.

Стандартные маршруты, созданные с помощью команды ip route 0.0.0.0 0.0.0.0, не распространяются на протоколы OSPF и IS-IS. Кроме того, эти стандартные маршруты нельзя перераспределить для OSPF или IS-IS с помощью команды redistribute. Для создания стандартного маршрута в домен маршрутизации IS-IS или OSPF используйте команду . Для получения более подробной информации о взаимодействии стандартных маршрутов с протоколом OSPF см. раздел «Как протокол OSPF создает стандартные маршруты?».

Вот пример настройки шлюза последней очереди с помощью команды ip route 0.0.0.0 0.0.0.0:

Примечание: если в качестве возможных стандартных маршрутов с помощью команды ip default-network настраивается нескольких сетей, то в качестве сети для шлюза последней очереди будет выбрана сеть с наименьшим административным расстоянием. Если значения административного расстояния для всех сетей равны, то первой в списке таблицы маршрутизации (команда show ip route) появляется сеть, выбранная для шлюза последней очереди. Если для настройки возможных стандартных сетей используются обе команды ip default-network и ip route 0.0.0.0 0.0.0.0, а сеть, используемая командой ip default-network, является статической, то сеть, определенная при помощи команды ip default-network, получает приоритет и выбирается для шлюза последней очереди. В противном случае, если сеть, используемая командой ip default-network, получена по протоколу маршрутизации, то получает приоритет и выбирается для шлюза последней очереди команда ip route 0.0.0.0 0.0.0.0 с наименьшим административным расстоянием. Если для настройки стандартного маршрута используется нескольких команд ip route 0.0.0.0 0.0.0.0, то производится балансировка трафика между несколькими маршрутами.

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Чтобы просмотреть статистическую информацию о службах ретрансляции DHCP, выполните команду show dhcprelay statistics в CLI ASA:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1DHCP Other UDP Errors: 0Packets RelayedBOOTREQUEST         0DHCPDISCOVER        1DHCPREQUEST         1DHCPDECLINE         0DHCPRELEASE         0DHCPINFORM          0BOOTREPLY           0DHCPOFFER           1DHCPACK             1DHCPNAK             0

Эти выходные данные содержат информацию о нескольких типах сообщений DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

• команда show dhcprelay state в CLI ASA
• команда show ip dhcp server statistics в CLI маршрутизатора

Протоколы управления:

SCP

Чтобы использовать службу клиента SCP на ASR от поддерживающего VRF интерфейса, используйте эту конфигурацию.

Настройка

Команда ip ssh source-interface используется, чтобы указать Интерфейс управления к VRF Mgmt-intf и для SSH и для служб клиента SCP, так как SCP использует SSH. Нет никакой другой опции в команде scp копии для задавания VRF. Поэтому, необходимо использовать эту команду ip ssh source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ssh source-interface GigabitEthernet0

Примечание. На платформе ASR1k Осведомленный о VRF SCP не работает до Версии XE3.5S (15.2 (1) S).

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf  Name                             Default RD          Protocols   Interfaces  Mgmt-intf                        <not set>           ipv4,ipv6   Gi0ASR#

Чтобы скопировать файл с ASR на удаленное устройство с SCP, введите эту команду:

ASR#copy running-config scp://guest@10.76.76.160/router.cfgAddress or name of remote host ?Destination username ?Destination filename ?Writing router.cfg Password:!Sink: C0644 2574 router.cfg2574 bytes copied in 20.852 secs (123 bytes/sec)ASR#

Чтобы скопировать файл от удаленного устройства до ASR с SCP, введите эту команду:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:Destination filename ?Password:Sending file modes: C0644 2574 router.cfg!2574 bytes copied in 17.975 secs (143 bytes/sec)

Чтобы использовать службу клиента TFTP на ASR1k от поддерживающего VRF интерфейса, используйте эту конфигурацию.

Настройка

Опция ip tftp source-interface используется, чтобы указать Интерфейс управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy tftp для задавания VRF. Поэтому, необходимо использовать эту команду ip tftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip tftp source-interface GigabitEthernet0

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf  Name                             Default RD            Protocols   Interfaces  Mgmt-intf                        <not set>             ipv4,ipv6   Gi0ASR#

Чтобы скопировать файл от ASR до сервера TFTP, введите эту команду:

ASR#copy running-config tftpAddress or name of remote host ?Destination filename ?!!2658 bytes copied in 0.335 secs (7934 bytes/sec)ASR#

Чтобы скопировать файл от сервера TFTP до загрузочной флэш-памяти ASR, введите эту команду:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:Destination filename ?Accessing tftp://10.76.76.160/ASRconfig.cfg...Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !2658 bytes copied in 0.064 secs (41531 bytes/sec)ASR#

Настройка

Опция ip ftp source-interface используется, чтобы указать  Интерфейс управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy ftp для задавания VRF. Поэтому, необходимо использовать команду ip ftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ftp source-interface GigabitEthernet0

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf  Name                             Default RD            Protocols   Interfaces  Mgmt-intf                        <not set>             ipv4,ipv6   Gi0 

Чтобы скопировать файл от ASR до сервера FTP, введите эту команду:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfgAddress or name of remote host ?Destination filename ?Writing ASRconfig.cfg !2616 bytes copied in 0.576 secs (4542 bytes/sec)ASR#

Чтобы скопировать файл от сервера FTP до загрузочной флэш-памяти ASR, введите эту команду:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:Destination filename ?Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...Loading ASRconfig.cfg ![OK - 2616/4096 bytes]2616 bytes copied in 0.069 secs (37913 bytes/sec)ASR#

Verify

Use this section in order to confirm that your configuration works properly.

Before the vrf-also keyword is used in the access-class of line vty 0 15 configuration of the remote device:

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

Packet hits on the remote device increase as the ACE count that corresponds increases.

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

However, after the vrf-also keyword is added in the access-class of line vty 0 15, telnet access is permitted.

As per the defined behaviour, Cisco IOS devices accept all VTY connections by default. However, if an access-class is used, the assumption is that connections must arrive only from the global IP instance. However, if there is a requirement and desire to allow connections from VRF instances, use the vrf-also keyword along with the corresponding access-class statement on theline configuration.

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

Objective

This article provides instructions on how to configure server authentication on a
managed switch, not how to connect to the switch. For an article on connecting to a switch via SSH + Putty,
please click here to view that article.

Secure Shell (SSH) is a protocol that provides a secure remote connection to specific
network devices. This connection provides functionality that is similar to a Telnet connection, except that it
is encrypted. SSH allows the administrator to configure the switch through the command line interface (CLI) with
a third party program.The switch acts as an SSH client that provides SSH capabilities to the users within the
network. The switch uses an SSH server to provide SSH services. When SSH server authentication is disabled, the
switch takes any SSH server as trusted, which decreases security on your network. If SSH service is enabled on
the switch, security is enhanced.

Использование интерфейса командной строки для включения и выключения питания модулей

Чтобы правильно отключить работающий модуль, следует выполнить одну из следующих команд из интерфейса командной строки:

• Catalyst OS (CatOS) —set module power up module_number
  

• ПО Cisco IOS —no power enable module slot
  

Данный модуль помечен как power-down (питание выключено) в поле Status (Состояние) выходных данных команды show module . Чтобы убедиться в доступности системе мощности, необходимой для питания ранее отключенного модуля, выполните одну из следующих команд:

• CatOS—set module power up module_number
  

• ПО Cisco IOS —power enable module slot
  

Если мощности недостаточно, состояние модуля меняется с power-down (питание выключено) на power-deny (в питании отказано).

Общие сведения

Управляющий интерфейс Цель интерфейса управления состоит в том, чтобы позволить пользователям выполнять задачи управления на маршрутизаторе. Это — в основном интерфейс, который не должен, и часто не может, передать dataplane трафик. В противном случае это может использоваться для удаленного доступа к маршрутизатору, часто через Telnet и «Безопасную оболочку» (SSH), и выполнять большинство задач управления на маршрутизаторе. Интерфейс является самым полезным прежде, чем маршрутизатор начнет направлять, или в сценариях устранения неполадок, когда интерфейсы Разделенного адаптера порта (SPA) неактивны. На ASR1K интерфейс управления находится в VRF по умолчанию, названном Mgmt-intf.

Команда source-interface <protocol> ip  используется в этом документе экстенсивно (где ключевое слово <protocol> может быть SSH, FTP, TFTP). Эта команда используется, чтобы задать IP-адрес интерфейса, который будет использоваться как адрес источника, когда ASR является устройством клиента в соединении (например, соединение инициируется от ASR или трафика от коробки). Это также означает, что, если ASR не является инициатором соединения, команда source-interface <protocol> ip не применима, и ASR не использует этот IP-адрес для трафика ответа; вместо этого, это использует IP-адрес самого близкого интерфейса назначению. Эта команда позволяет вам исходному трафику (для поддерживаемых протоколов) от Осведомленного о VRF интерфейса.

SSH Example Configuration

The following example shows how to configure SSH:

Procedure

switch(config)# ssh key rsa

generating rsa key(1024 bits).....

.

generated rsa key

switch# configure terminal

switch(config)# feature ssh

switch(config)# show ssh key

rsa Keys generated:Fri May  8 22:09:47 2009

ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYzCfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZ/

cTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4ZXIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5/

Ninn0Mc=

bitcount:1024 

fingerprint:

4b:4d:f6:b9:42:e9:d9:71:3c:bd:09:94:4a:93:ac:ca

**************************************

could not retrieve dsa key information

**************************************

switch(config)# username User1 sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAri3mQy4W1AV9Y2t2hrEWgbUEYz

CfTPO5B8LRkedn56BEy2N9ZcdpqE6aqJLZwfZcTFEzaAAZp9AS86dgBAjsKGs7UxnhGySr8ZELv+DQBsDQH6rZt0KR+2Da8hJD4Z

XIeccWk0gS1DQUNZ300xstQsYZUtqnx1bvm5Ninn0McNinn0Mc=

switch(config)# copy running-config startup-config

Обработка и переключение

В IP-сетях маршрутизаторы принимают решения о перенаправлении трафика на основе таблицы маршрутизации. В таблице маршрутизации маршрутизатор ищет самое длинное соответствие для IP-адреса назначения. Это выполняется на уровне процессов. Поэтому процесс поиска помещается в очередь вместе с другими процессами ЦП, из-за чего время поиска становится непредсказуемым и может быть очень большим. В связи с этим в программном обеспечении Cisco IOS представлено много способов коммутации на основе поиска точного соответствия.

Основная выгода поиска точного соответствия в том, что время поиска является детерминированным и очень коротким. Это значительно сократило время на принятие маршрутизатором решения по перенаправлению пакетов. Поэтому подпрограммы, выполняющие поиск, могут быть реализованы на уровне прерываний. Это означает, что прибытие пакета инициирует прерывание, которое заставляет ЦП отложить другие задачи и обработать пакет. Традиционный метод перенаправления пакетов заключается в поиске лучшего соответствия в таблице маршрутизации. Его невозможно реализовать на уровне прерываний и необходимо выполнять на уровне процессов. По ряду причин некоторые из которых рассматриваются в этом документе, невозможно полностью отказаться от метода поиска самого длинного совпадения. Поэтому на маршрутизаторах Cisco одновременно существуют оба метода поиска. Эта стратегия обобщена и применяется к IPX и AppleTalk.