Сетевые комутаторы

администрирования сети могут работать коммерческие утилиты администрирования  или 

«самопальные» инструменты.

Я не буду подробно рассказывать ни о  протоколе SNMP, ни о программном

обеспечении для администрирования сети. В этом разделе я вкратце опишу процесс

настройки SNMP-агента в маршрутизаторе Cisco. Если вы не используете SNMP-

агент, то можете пропустить этот раздел, хотя я рекомендую все же прочитать 

его — возможно, вы откроете для  себя полезные возможности протокола SNMP.

По умолчанию доступ по протоколу SNMP отключен. Чтобы включить его,

выполните команду 

snmp-server community имя режим список_доступа

Ниже перечислены параметры  команды:

имя

Строка сообщества (community string), которую станция администрирования

использует для запроса информации. Эта строка выполняет функции  пароля.

Реализация SNMPvl небезопасна, так как строка передается по сети в 

формате простого текста. Любой злоумышленник, прослушивающий вашу сеть, 

сможет перехватить строку сообщества при передаче ее от одного устройства 

другому. Для большей безопасности используйте параметр списокдостпупа.

режим

Доступны два режима: R0 — доступ (непривилегированный) только для 

чтения и RW — доступ (привилегированный) для чтения и записи. Режим R0 

означает, что станция администрирования  может считывать информацию о 

маршрутизаторе, но не может ее менять; режим RW позволяет станции 

администрирования использовать протокол SNMP для изменения состояния 

маршрутизатора. Станции SNMP-администрирования  обычно задействуют 

разные строки сообщества для операций считывания и записи.

списокдостпупа

Имя или номер стандартного списка управления доступом для контроля над

SNMP-доступом. Маршрутизатор отвечает  только на SNMP-запросы от узлов, 

перечисленных в списке доступа. Обратите внимание, что в разных режимах

можно использовать разные списки доступа. Например, список доступа для

считывания и записи (RW) может  разрешать доступ лишь небольшому 

количеству узлов, а в списке доступа только для чтения (R0) узлов  может быть 

намного больше. Команды управления списком доступа обсуждаются  в главе 7.

Рекомендуется создавать разные строки сообщества для доступа только для

чтения и для чтения и записи, а также сообщать строку сообщества для чтения

и записи лишь самым доверенным людям. Если вы включаете протокол SNMP,

обязательно измените строки сообщества, убрав предлагаемые по умолчанию 

значения, причем не только на маршрутизаторе, но и на других узлах, 

мониторинг которых вы осуществляете. Практически все производители SNMP-уст-

ройств по умолчанию задают известные строки сообщества, поэтому первое, что

Включение протокола CDP

57

сделает злоумышленник, — это попробует  проникнуть в вашу сеть, опираясь на

предлагаемые по умолчанию значения. Также следует использовать списки 

доступа для ограничения количества узлов, которые смогут подключиться к 

вашему маршрутизатору по протоколу SNMP.

Простая конфигурация в следующем  примере позволяет настроить  базовый

доступ по протоколу SNMP:

! Настройка общего доступа со  строкой сообщества "not-public"

snmp-server community not-public RO

! Настройка привилегированного  доступа со строкой сообщества 

! "not-secure"

snmp-server community not-secure RW

Теперь увеличим степень безопасности. Мы разрешим общий SNMP-доступ

только из сети 10.10.1.0, а привилегированный  доступ — только с узла 10.10.1.35:

! Включение общего доступа и  применение списка доступа 1

snmp-server community not-public R0 1

I

! Включение привилегированного  доступа и применение списка  доступа 2

snmp-server community highly-secure RW 2

j

! Списки доступа (синтаксис и  правила применения см. в главе  7)

access-list 1 permit 10.10.1.0 0.0.0.255

access-list 2 permit 10.10.1.35

Осталось настроить последнюю  из базовых возможностей протокола SNMP.

Ловушка (trap) — это асинхронное сообщение, генерируемое SNMP-агентом и

передаваемое станции SNMP-администрирования. В SNMP определено 

небольшое число стандартных ловушек, но ловушки могут также нести  информацию

конкретного производителя (или даже сайта). Для использования ловушек 

необходимо определить адрес станции  администрирования, которая будет  получать

их, а также строку сообщества, которая  будет отправляться вместе с ловушками.

Большинство станций SNMP-администрирования  игнорируют ловушки, если те

не сопровождаются правильными  строками сообщества. Маршрутизатор  Cisco

для отправки ловушек конфигурируется  так:

! Указать, какая станция SNMP-администрирования  будет получать наши ловушки 

! Наша строка сообщества - "little-secure"

snmp-server host 10.10.1.2 little-secure traps

Станция администрирования, если она  настроена правильно, будет знать, что 

делать с получаемыми ловушками.

Вариантов конфигурирования протокола SNMP намного больше, но и того,

что рассказано в этом разделе, для  первого знакомства вполне достаточно.

Включение протокола CDP

Протокол обнаружения от Cisco (Cisco Discovery Protocol, CDP) чрезвычайно

полезен при настройке широкого диапазона оборудования Cisco. Он позволяет

проверить, какие маршрутизаторы и  коммутаторы находятся рядом, а  также 

узнать настроенные на них протоколы  и адреса.

58

Глава 3. Базовая настройка маршрутизатора

В большинстве интерфейсов протокол CDP по умолчанию включен (есть 

несколько исключений, в том числе ATM-интерфейсы). Этот протокол 

автоматически распознает соседние устройства компании Cisco, подключенные 

напрямую. Следующая команда включает протокол CDP на глобальном уровне:

cdp run

Чтобы отключить протокол CDP, используйте  ключевое слово по с той же

командой:

по cdp run

Можно отключить протокол CDP для  определенных интерфейсов, 

использовав команду no cdp enable в режиме конфигурирования интерфейса.

CDP поддерживает вывод полезной  информации о других маршрутизаторах 

и коммутаторах, подключенных напрямую:

Router>show cdp neighbors

Capability Codes: R - Router. T - Trans Bridge, В - Source Route Bridge

S - Switch. H - Host. I - IGMP

Device ID Local Intrfce Holdtme Capability Platform Port ID

switchl Eth 0 162 T S 1900 AUI

router2 Eth 0 176 R 4000 Eth 0

Чтобы узнать больше о соседнем устройстве, используйте команду show cdp

neighbors detail, которая возвращает намного больше данных, например IP-адреса

интерфейсов.

Отключайте протокол CDP на всех маршрутизаторах, подключенных 

напрямую к Интернету или  к сайту, которому вы не доверяете (например, сайту 

клиентов). Протокол CDP может угрожать безопасности, так как он предоставляет 

информацию внешним устройствам. Конечно, слишком много сведений с его

помощью не получишь, но нет никакой  причины делиться с потенциальными

злоумышленниками даже минимумом  данных.

Системные баннеры 

В маршрутизаторе предусмотрено несколько  стандартных сообщений для 

пользователей. Обычно такие сообщения  ассоциируются с процессом входа  в 

систему маршрутизатора. Например, при  входе пользователь может видеть баннер

сообщения дня (motd banner), за которым идет баннер входа в систему (login

banner), после чего уже следует само приглашение. После успешной регистрации

на экране пользователя может выводиться баннер исполнения (exec banner).

В особом случае обратного telnet-соединения (см. главу 4) пользователь может

видеть баннер поступлений (incoming banner), а не баннер исполнения. 

Другими словами, в типичном консольном сеансе можно встретить такие  строки:

Это - сообщение дня. (баннер типа motd)

Это - баннер входа в систему, (баннер типа login)

User access verification

Password: (эхо отсутствует)

Это - баннер исполнения. (баннер типа exec)

Системные баннеры 

59

Router> (приглашение пользовательского режима)

Все команды настройки баннеров имеют один и тот же формат:

тип_баннера # сообщение #

Решетка (#) — это разделительный символ, обозначающий начало и конец

сообщения. Его можно выбрать  по своему вкусу и нельзя использовать в тексте

сообщения. Например, следующая команда  служит для задания сообщения  дня:

Router(config)#banner motd # Сегодня маршрутизатор будет перезагружен для планового

обслуживания. #

Сообщения могут содержать пустые строки и символы переноса строк, как 

в следующем примере:

Router(config)#banner motd $

Enter TEXT message. End with the character '$'.

Маршрутизатор будет выключен до завтра.

Полагаю, нам следовало бы придумать  лучший план.

$

Router(config)#

Создание баннеров

Для создания баннеров любого типа используйте  команду banner, указав тип

баннера и сообщение:

Router(config)#banner motd # сообщение #

Router(config)#banner login # сообщение #

Router(config)#banner exec # сообщение #

Router(config)#banner incoming # сообщение #

Отключение баннеров

Обычно если баннеры определены, то они выводятся на экране. Отключить  бан-

нер невозможно, его можно удалить при помощи ключевого слова по в команде

banner:

Router(config)#no banner incoming

В отличие от других баннеров, баннеры  исполнения и сообщения дня можно 

отключить, использовав специальные команды no exec-banner и по motd-banner:

Router(config)fline 5

Router(config-line)#no exec-banner

Router (config-"I ine)#no motd-banner

Необычный побочный эффект этих команд состоит в том, что отключение

баннера исполнения приводит к отключению сообщения дня; а вот отключение

сообщения дня никак не влияет на баннер исполнения. Чтобы включить любой