Configure lines and vtys on cisco routers

Cisco Line VTY (Virtual terminal line):

VTY is short for Virtual Terminal lines and are used for accessing the router remotely through telnet by using these virtual router interfaces.The number of Cisco vty lines is not consistent in all routers, but different cisco routers/switches can have different number of vty lines. The more vty lines a router or switch has the more users can access that device simultaneously through telnet.

You should also learn about encrypted enable mode password or enable secret cisco password.

Checking the number of Cisco VTY lines:

The number of vty lines determine the number of simultaneous telnet connections we can have to that specific cisco router/switch. From security perspective it is extremely important to know the number of virtual lines your router / switch has, and these vty lines must be secured by a password to prevent unauthorized telnet access.

Although it is not a requirement of setting vty line password, but generally a good practice to secure console line, enable mode and auxiliary line by setting a password for each.

When you are at global configuration mode type line vty ?  this command will display the number of vty lines or interfaces your router has.

UpaaeRouter1(congif)# line vty ?   //this command will display the number of vty lines.

Setting line VTY / TELNET Password:

For setting a password for VTY lines you should be at the global configuration mode. As we have 16 interfaces/lines ranging from 0-15 and we will specify a single password for all these, in order to secure our router. 16 interfaces/lines means that we can have 16 simultaneous telnet (remote) connections to this router.

When at global configuration mode  type line vty 0 15  for entering vty line configuration mode.

Command syntax:  line vty starting-interface  ending-interface-range

UpaaeRouter1(config)# line vty 0 15

UpaaeRouter1(line-config)#     // After executing the above command prompt will change to this.

UpaaeRouter1(line-config)# password upaaeVty  //this command will set upaaeVty as your VTY Password.

UpaaeRouter1(line-config)#login    // this commands enforce the password before accessing router through TELNET (remote connection).

How to remove cisco line vty password:

In cisco removing or undoing a settings is very easy, just type no before the command which you used for making changes. For removing vty line password go to the global configuration mode than to line configuration mode and than type no password. For adding extra security to a router you should also read How Set Line Console password, How to set auxiliary line password and how to set enable secret password  on cisco router.

UpaaeRouter1# configure terminal

UpaaeRouter1(config)# line vty 0 15

UpaaeRouter1(line-config)# no password

When you press enter the line vty cisco password will be disabled. Now that you have learned how to set line vty password and how to remove vty password(Telnet Password), you may want to learn  How to Telnet a Cisco Router.

If you liked this tutorial please do share with your friends and comment for any queries.

Настройка локальных паролей для отдельных пользователей

Для установки системы аутентификации на основе имени пользователя используйте команду username в режиме глобальной конфигурации. Чтобы включить проверку пароля при входе, используйте команду login local в режиме линейной конфигурации.

Процедура конфигурации

В этом примере пароли настроены для пользователей, которые осуществляют попытки подключиться к маршрутизатору на линиях VTY по протоколу Telnet.

Из привилегированного приглашения EXEC (или «enable») необходимо войти в режим настройки и ввести комбинации имен пользователей и паролей по одной для каждого пользователя, которому планируется разрешить доступ к маршрутизатору:

Переключитесь в режим конфигурации линии с помощью следующих команд

Обратите внимание, что приглашение изменяется в зависимости от текущего режима. Настройка проверки пароля при входе

Выйдите из режима конфигурирования.
 Примечание. Для того чтобы отключить автоматическое подключение по протоколу Telnet при вводе имени через интерфейс командной строки (CLI), настройте режим no logging preferred на используемой линии. Команда transport preferred none предоставляет те же выходные данные, но она также отключает автоматическое подключение по протоколу Telnet для заданных хостов, настроенных с помощью команды ip host. Она отличается от команды no logging preferred, которая останавливает подключение для незаданных хостов и выполняет его для заданных хостов.

Проверка конфигурации

Проверьте конфигурацию маршрутизатора, чтобы удостовериться в том, что команды вводились корректно:

show running-config — вывод текущей конфигурации маршрутизатора.

router#show running-config
Building configuration…
!

!— Lines omitted for brevity

!
username russ password 0 montecito
username cindy password 0 belgium
username mike password 0 rottweiler
!

!— Lines omitted for brevity

!
line con 0
line 1 8
line aux 0
line vty 0 4
login local
!
end

Для того чтобы протестировать эту конфигурацию, к маршрутизатору должны быть выполнено подключения Telnet. Это можно сделать путем подключения от другого узла сети. Либо выполните проверку от самого маршрутизатора, организовав доступ по протоколу Telnet к IP-адресу любого интерфейса на маршрутизаторе в состоянии up/up, как показывают выходные данные команды show interfaces. Ниже приведен образец выхода, если бы адрес интерфейса ethernet 0 был 10.1.1.1:

router#telnet 10.1.1.1
Trying 10.1.1.1 … Open

User Access Verification

Username: mike
Password:

!— Password entered here is not displayed by the router

router

Устранение неполадок, связанных с паролем пользователя

Имена пользователей и пароли интерпретируются с учетом регистра символов. Вход пользователей с использованием неверного имени пользователя или пароля запрещается.

Если пользователи не могут войти в систему маршрутизатора со своими паролями, измените имена пользователей и пароли на маршрутизаторе.

Privilege Level

Ещё один важный момент, которому в статьях уделяют мало внимания: .

Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.

• — это команды disable, enable, exit, help и logout, которые работают во всех режимах;
• — это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1;
• — это команды привилегированного режима, вроде, как root в Unix’ах.

Пример 1

После входа на маршрутизатор при такой настройке вы сразу увидите со всеми вытекающими правами.

Пример 1: privilege level 15

Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды .

Пример 2

Настроить права для конкретного пользователя поможет уже упомянутая прежде команда

В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.

После этого из пользовательского режима вы можете выполнить команду и, введя пароль l2poorpass, попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.

Пример 2: privilege level для конкретного пользователя

Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.

Авторизация на устройствах CISCO

Независимо от того, подключаетесь вы к маршрутизатору или коммутатору Cisco, процесс в целом одинаков. Во-первых, вам нужен клиентский терминал, который поддерживает как протокол Telnet, так и Secure Shell (SSH). Для поль­зователей операционной системы Windows я рекомендую программу PuTTY, которую вы можете скачать с сайта. Если вы поклонник операционной системы macOS или Linux, то можете использовать команды telnet или ssh в программе Terminal (Терминал). В примерах в этой книге я использую операционную систему Windows и про­грамму PuTTY, но скажу, что как только вы подключитесь к устройству Cisco, ни ваша операционная система, ни клиентский терминал уже не будут иметь большого значения. Команды конфигурации, которые вы будете использовать для настройки устройств, будут одинаковыми для любой системы.

Откройте клиентский терминал и выберите один из коммутаторов вашей сети. Я собираюсь подключиться к учебному коммутатору, набрав его IP-адрес в поле Host Name (or IP address) (Имя хоста (или IP-адрес)), установив тип подключения Telnet и нажав кнопку Open (Открыть), как показано на рис. 3.1. Если вы не можете подключиться через протокол Telnet, попробуйте исполь­зовать протокол SSH. Интерфейс программы PuTTY не менялся годами, но если это когда-либо произойдет в вашей версии, базовые настройки все равно должны быть теми же.

В поле Host Name (or IP address) введите IP-адрес устройства, к которому вы хотите подключиться. Установите переключатель в положение Telnet или SSH, а затем нажмите кнопку Open.

При появлении запроса введите имя пользователя (логин) и пароль приви­легированного пользователя. Вы должны увидеть имя хоста коммутатора, за которым следует либо хеш (), либо знак больше ():

Если вы не видите символ , введите слово и нажмите клавишу En­ter. Возможно, вам будет предложено ввести еще один пароль для режима . Если вход в систему выполнен успешно, вы должны увидеть приглашение с символом . Сотрудники компании Cisco называют этот привилегированный

режим как EXEC, но многие люди называют его режимом enable. Режим — это режим root-пользователя или администратора, который позволяет просматривать более подробную информацию о коммутаторе и вносить из­менения в его конфигурацию.

Имейте в виду, что в зависимости от индивидуальных настроек коммутато­ра вы можете выйти из режима администрирования автоматически, по истече­нии определенного времени бездействия. Это важный параметр безопасности, и подобное поведение не указывает на что-то неправильное в ваших настрой­ках. Если это произойдет, просто заново авторизуйтесь в системе и вернитесь к моменту, где вы остановились.

Набор полезных команд маршрутизаторов Cisco

В данной статье рассматриваются наиболее часто употребляемые команды маршрутизаторов Cisco.

Установка пароля для консоли · router>enable · router#configure terminal · router(config)#line console 0 · router(config-line)#login · router(config-line)#password submask · router(config-line)#exit · router(config)#exit

Удаление консольного пароля · router>enable · router#configure terminal · router(config)#line console 0 · router(config-line)#no login · router(config-line)#no password · router(config-line)#exit · router(config)#exit

Удаление пароля Secret · router>enable · router#configure terminal · router(config)#no enable secret · router(config)#exit

Проверка параметра Register · router>enable · router#show version

Административное выключение интерфейса маршрутизатора · router>enable · router#configure terminal · router(config)#int s0/0 · router(config-if)#shutdown

Включение интерфейса Serial · router#configure terminal · router(config)#int s0/0 · router(config-if)#no shutdown

Проверка интерфейса Serial · router>enable · router(config)#show interfaces s0/0

Установка тактовой частоты для интерфейса Serial · router>enable · router#configure terminal · router(config)#interface s0/0 · router(config-if)#clock rate 64000 Статус DTE/DCE · router>enable · router#show controllers s0/0

Сохранение конфигурации · router#copy running-config startup-config

Загрузка IOS с TFTP сервера · router#copy flash: tftp

Резервное копирование Startup конфига на TFTP · router#copy startup-config tftp

Сохранение Running конфига · router#write memory

Удаление конфигурации NVRAM · router#write erase

Проверка конфигурации NVRAM · router#show staratup-config

Просмотр рабочей конфигурации

Во время нормальной работы устройства Cisco сохраняют большинство на­строек конфигурации в оперативной памяти (ОЗУ). Это так называемая ра­бочая конфигурация. Рабочая конфигурация — это те настройки системы IOS, которые используются в режиме реального времени. Следовательно, любые изменения, внесенные вами в рабочую конфигурацию, вступают в силу почти сразу. Например, если вы измените IP-адрес коммутатора, это изменение бу­дет сохранено в рабочей конфигурации и вступит в силу немедленно.

Рабочая конфигурация представляет собой длинную строку текста — тексто­вый файл, разделенный на различные разделы, которые управляют различны­ми аспектами устройства. Когда вы познакомитесь со своей сетью и начнете вносить в нее изменения, вам будет нужно знать, как найти и просмотреть каждый из этих разделов. Чтобы просмотреть всю рабочую конфигурацию, вы­полните команду :

В вашем случае конфигурация может быть огромной или, наоборот, состоять всего из несколько экранов. Продолжайте нажимать клавишу Пробел, пока не доберетесь до раздела, в котором перечислены интерфейсы:

В конце конфигурации вашего коммутатора должен отобразиться раздел с названием

Обратите внимание, что следующая строка, содер­жащая IP-адрес, содержит отступ в один пробел, указывая, что это часть теку­щего раздела. Вы можете просмотреть только этот раздел, используя команду :

Ключевое слово section — это еще один фильтр, который вы можете исполь­зовать для просмотра определенных разделов рабочей конфигурации. Вы так­же можете использовать ключевые слова и , если это необходимо.

Настройка ssh cisco

И так давайте рассмотрим как производится настройка ssh cisco, я буду это показывать на примере симулятора Cisco packet tracer, но отличий от реального оборудования вы не обнаружите. До этого мы уже создали локального пользователя net_admin. Давайте включим ssh соединение и дадим ему возможность подключаться через него.

Заходим в режим конфигурирования и вводим.

config t line vty 0 5

vty означает виртуальный терминал

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-01

Дальше включаем ssh для входящего трафика

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-02

Говорим что авторизация будет через локальное хранилище учетных записей, выходим и сохраняем настройки.

login local end wr mem

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-03

так же может потребоваться сгенерировать ключ шифрования, бывают случаи, что вы все включили, а ssh соединение не проходит, и происходит это из за того, что нет ключа, давайте покажу как его сгенерировать в ручную.

crypto key generate rsa

На вопрос какой размер ключа, я ответил 768

Посмотреть сгенерированный ssh ключ, можно командой:

show crypto key mypubkey rsa

Посмотреть текущие ssh соединения можно командой:

show ssh

Обратите внимание, что тут видно версию ssh, у меня это ssh 2.0

Еще есть полезная команда who, она показывает и консольные соединения и еще Ip адреса откуда идет подключение.

Безопасность ssh соединения Cisco

Очень важным моментом настройки ssh cisco, является еще и безопасность, все конечно здорово, что трафик шифруется, но нам нужно желательно изменить порт подключения на нестандартный и ограничить количество попыток соединения, ниже этим и займемся.

Для начала давайте ограничим количество попыток соединения по ssh протоколу, пишем:

ip ssh authentication-retries 3

Сразу включим занесение всех событий по терминалу в журнал. Это даст информацию кто и с каких ip адресов пытался подключиться. Если вы вдруг обнаружите большое количество сообщений, в которых идет попытка залогиниться с ошибкой, то у вас подбирают пароль.

ip ssh logging events

В таких случаях, да и вообще в принципе настройка ssh cisco всегда должна быть на нестандартный порт, например 2233

ip ssh port 2233 rotary 1

Хоть rotary и дает возможность производить подключение по ssh по нестандартному порту, 22 порт он не выключает, сделать это нужно в ручную, с помощью

access-list

ip access-list extended ssh_22

deny tcp any host 192.168.2.1 eq 22

Применим access-list к внешнему интерфейсу маршрутизатора

interface FastEthernet0/1

description uplink

ip address 192.168.2.1 255.255.255.0

ip access-group ssh_22

ip nat outside

Теперь давайте назначим созданный rotary на виртуальный терминал vty

line vty 0 4 rotary 1

Если хотите, то можете вообще указать отдельному vty, но учтите, что если терминал будет занят, то подключиться у другого не получиться.

line vty 1 rotary 1

Если стоит задача ограничить ssh подключение двумя сессиями, то вот команда:

ip ssh maxstartups 2

Ограничение времени timeoutá (по дефолту 300 секунд). SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.

ip ssh time-out 120

Для того, чтобы вам подключиться по ssh соединению, нужно скачать любую программу для этого, у меня это putty, во вкладке session в поле Host name я ввожу Ip адрес устройства к которому я буду подключаться, протокол ставлю ssh и порт 22, нажимаю Open.

Настройка CISCO 1841

Есть локальная сеть 192.168.1.0/255.255.255.0 и подключение к провайдеру x.x.x.x.

Имеется Cisco 1841.

Захожу через консоль, дошло до запроса Username. Попробовал cisco/ciscovty. Не получилось.

При загрузке нажимаем Ctrl-Break.

Потом даем команду

>confreg 0x2142

Произвел начальную настройку, настроил для начала один внутренний интерфейс. Залогинился через телнет, отключился от консоли.

После первоначальной настройки надо проделать тоже самое, вернуть регистра на место

>confreg в 0x2102

Включил веб-интерфейс:

>ip http server

SDM скачал здесь ftp://ftp.cisco.com/pub/web/sdm

Настроил остальные интерфейсы.

ip nat inside  на внутренний интерфейс. ip nat outside на внешний.

и включить роутинг.

>conf t

>ip routing

Базопасность

Закрыть доступ к циске со всех адресов кроме разрешенных, сделать акссес-лист, там указать только твой адрес и на vty прописать его access-group

access-list 3 permit твой_ip

line vty 0 4 access-class 3 in тут пропиши транспорт, желательно только ssh и добавить такой же line vty 5 15

желательно после изменений не закрывать текущую сессию, открыть паралельную и если вход выполнен уже сохранять

snmp-server community сменить надо

поднимаешь сервер авторизации (такакс, радиус) и настраиваешь учетки доступа к оборудованию потом по уровню доступа ограничиваешь доступ эммм… доступ к оборудованию всмысле

Вот что по сути получилось, окончательный конфиг (естественно надо доработать напильником):

Current configuration : 1351 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname ph ! boot-start-marker boot-end-marker ! enable secret 5 * enable password ! no aaa new-model ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip cef ! ! no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ip name-server x.x.x.x ! no ftp-server write-enable ! ! ! ! ! no crypto isakmp ccm ! ! ! interface FastEthernet0/0 description $ETH-LAN$ ip address 192.168.1.254 255.255.255.0 ip nat inside ip virtual-reassembly speed auto full-duplex no mop enabled ! interface FastEthernet0/1 description $ETH-WAN$ ip address x.x.x.x 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto ! ip classless ip route 0.0.0.0 0.0.0.0 x.x.x.x ! ip http server no ip http secure-server ip nat inside source list 2 interface FastEthernet0/1 overload ip dns server ! access-list 1 remark SDM_ACL Category=2 access-list 1 permit x.x.x.x 0.0.0.3 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 192.168.1.0 0.0.0.255 snmp-server community public RO ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 password login ! end

Устранение неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

 Примечание. Дополнительные сведения о командах debug см. в документе Важные сведения о командах debug.

Для устранения неполадок используются следующие параметры:

• Выберите Help (Справка) > About this Router (Об этом маршрутизатора), чтобы просмотреть подробные сведения об аппаратном и программном обеспечении маршрутизатора.

• Опция Help (Справка) предоставляет сведения о различных доступных параметрах в Cisco CP для конфигурации маршрутизаторов.

Как можно изменить имя пользователя и пароль для маршрутизатора?

Имя и пароль пользователя маршрутизатора можно изменить с помощью Cisco CP. Выполните следующие шаги для изменения имени пользователя и пароля:

1. Создайте новую учетную запись временного пользователя, затем войдите в нее.

2. Измените имя пользователя и пароль учетной записи основного пользователя (т. е. учетной записи пользователя маршрутизатора, в которой следует изменить имя пользователя и пароль) в программе Cisco CP.

3. Выйдите из временной учетной записи и войдите в основную.

4. Удалите учетную запись временного пользователя после изменения пароля для основной учетной записи.

Проблема

Вы могли получить следующую внутреннюю ошибку при использовании Internet Explorer 8 для настройки маршрутизатора серии 2800 с помощью Cisco CP:

Internal error: [FaultEvent fault=[RPC Fault faultString="Send failed" faultCode="Client.Error.MessageSend" faultDetail="Channel.Connect.Failed error NetConnection.Call.Failed: HTTP: Status 200: url: 'http://localhost:8600/messagebroker/amf'"] messageId="A08846FF-E7C6-F578-7C38-61C6E94899C7" type="fault" bubbles=false cancelable=true eventPhase=2]

Понижение версии Java не устраняет эту неполадку.

Решение

Эта ошибка может возникнуть из-за проблемы совместимости браузеров. Internet Explorer 8 изменяет многие базовые аспекты разработки приложений для IE. Cisco рекомендует понизить Internet Explorer до версии 7. Необходимо также удалить и повторно установить Cisco CP.

Проблема

При загрузке установочного файла приложения и попытке установить Cisco CP может наблюдаться следующая ошибка:

Решение

Попробуйте решить эту проблему следующим способом.

1. Удалите все экземпляры Cisco CP с ПК и выполните загрузку и установку заново.

2. Если предыдущий шаг не помог, попытайтесь загрузить другую версию Cisco CP.

3.  Примечание. Для связи с Центром технической поддержки Cisco требуются действующие учетные данные пользователя Cisco.

Как получить доступ к техническим журналам Cisco CP?

Нажмите Start> Programs> Cisco Systems> Cisco Configuration Professional> Collect Data for Tech Support (Пуск > Программы > Cisco Systems> Cisco Configuration Professional> Collect Data for Tech Support (Сбор данных для технической поддержки). Cisco CP автоматически архивирует журналы в файле zip-архива с именем _ccptech.zip. Выполните поиск этого файла в локальной файловой системе, если он не сохранен на рабочем столе. Эти технические журналы можно отправить в Центр технической поддержки Cisco для дальнейшего устранения неполадок.

 Примечание. Закройте все экземпляры Cisco CP, чтобы избавиться от любых других проблем с архивацией журналов.

Обнаружение маршрутизатора занимает больше времени, чем обычно. Как решить этот вопрос?

Проблема

Как только Cisco CP запущен и сообщество настроено, обнаружение маршрутизатора занимает больше времени, чем обычно. Вот журналы Cisco CP, которые описывают истекшее время:

Эта проблема происходит со всеми маршрутизаторами, независимо от их модели и платформы. Кроме того, на маршрутизаторах нет никаких проблем с памятью или ЦП.

Решение

Проверьте режим аутентификации. Если аутентификация не происходит локально, то проверьте, существует ли проблема с сервером аутентификации. Устраните проблему с сервером аутентификации для решения этого вопроса.

Мне не удается просмотреть страницу конфигурации IPS на Cisco CP. Как решить этот вопрос?

Проблема

Когда определенная функция в окне конфигурации не показывает ничего, кроме пустой страницы, возможны проблемы с несовместимостью.

Решение

Проверьте следующие элементы для решения этого вопроса:

• Проверьте, поддерживается ли конкретная функция и включена ли она на вашей модели маршрутизатора.

• Проверьте, поддерживает ли ваша версия маршрутизатора эту функцию. Проблемы несовместимости версий маршрутизатора могут быть решены с обновлением версии.

• Проверьте, имеется ли проблема с текущим лицензированием.

Похожие записи:

Как зайти на роутер cisco Cisco 3750 сброс на заводские настройки Post navigation Showing http://192.168.0.102:8080 related routers here Change netgear router password via routerlogin.net Протоколы vpn — pptp, l2tp, ikev2, openvpn