Grundkonfigurationer

En grundkonfiguration inkluderar routers namn, lösenord, interfacets IP adresser och andra nätverksfunktioner, lägga till beskrivningar, lämpliga banner, spara ändringar och verifieringar.

Enhetsnamn (hostname)

Standard namn till en switch är endast switch, det samma för en router. Det kan vara svårt att identifiera flera routrar i samma nätverk om alla heter router och därför ska de namnges. Att namnge switchar/routrar på ett konsekvent och bra sätt kräver en namnkonvention som gäller för hela organisationen.

Några riktlinjer för att namnge nätverkshanterare:

  • Börjar med någon bokstav och slutar med en bokstav/ett nummer
  • Inte innehåller mellanslag men bindestreck går bra
  • max 63 tecken.

IOS skiljer stora och små bokstäver när det gäller hostnamn. Då är det bra att inleda med en storbokstav till alla enhetsnamn. RFC 1178 har regler för namngivning.

Obs: Hostname används endast av administratörer vid konfigurering via CLI och övervakning. Switchar/Routrar använder inte dessa namn när de upptäcker varandra.

Exempel

Bild 1: Kommandot hostname

Begränsat åtkomst

Förutom att nätverkshanterare placeras i säkra platser och obehöriga åtkomst begränsas bör dessa nätverkshanterare konfigureras med lösenord från början. Följande kommando för lösenordskonfigurering kommer att användas:

  • Console password
  • Enable password
  • Enable secret
  • VTY password

Som en bra säkerhetsrutin bör dessa lösenord vara olika men detta kräver samtidigt en effektiv hantering så att man inte slarvar lösenorden. Alla lösenord bör vara en kombination av bokstäver, siffror och speciella tecken samt vara minst åtta tecken. Man bör även undvika ange lättgissade lösenord såsom eget namn.

Obs: När dessa lösenord anges på terminalen visas ingenting men hanteras av IOS ändå.

Enable password och enable secret lösenord

Det finns två konfigurationsalternativ för lösenord till det privilegierade exekveringsläge, enable password och enable secret. Kommandot enable password är äldre och stödjer inte kryptering, därmed visas lösenord i text format. Däremot krypteras lösenordet med kommandot enable secret.

Obs: Om man inte konfigurerar dessa lösenord så blockeras åtkomst till privilegierade exekveringsläge för Telnet sessions.

VTY lösenord

Virtuella terminaler tillåter åtkomst till switchar/routrar via Telnet. De flesta Cisco enheter stödjer minst fem virtuella terminaler som default,  från 0 till 4. Nyare Cisco modeller stödjer flera än fem virtuella terminaler. Lösenorden till VTY kan vara desamma för alla eller helt olika, det beror på säkerhetsrutiner i organisationen. Unika lösenord bör konfigureras men det kräver som sagt en effektiv lösenordshantering.

Kommandot login bör alltid inkluderas i alla lösenordskonfigurering så att ett lösenord krävs vid inloggning och att all obehörig åtkomst via Telnet förhindras.

Lösenordskryptering

Lösenorden som har konfigurerats med kommandot password visas som vanlig i text-format i olika konfigurationsfiler. För att undvika detta är det bra att använda kommandot service password-encryption. Kommandot krypterar lösenord lokalt så länge de inte skickas ut till nätet.

Om du exekverar kommandot running-config show eller startup-config innan du exekverar service password-encryption visas alla okrypterade lösenord som text. När kommandot service password-encryption har exekverats kan man inte kryptera av lösenordet.

Banner meddelande

Det är viktig att förstå syftet med banner meddelande. Av juridiska skäll bör alla som försöker komma åt en switch/router informeras att åtkomsten är endast för behöriga användare. Man bör undvika utmana alla att logga in på systemet, endast till behöriga. För att konfigurera banner meddelande används kommandot banner motd följ av ett text mellan tecknet #. Till exempel:

Router(config)#banner motd # This is a secure system. Autorized Access Only! #

Här nedan en översikt på nödvändiga kommando:

Basic Router Configuration Command Syntax
Configuring a hostname Router>enable
Router#configure terminal
Router(config)#hostname <ange namnet>
Lösenord för privilegierad exekveringsläge Router>enable
Router#configure terminal
Router(config)#enable secret <ange lösenord>
Console lösenord och meddelandehantering. Kommandot logging synchronous avbryter inte dina kommando, annars oväntade meddelande visas när som helst. Router(config)#line console 0
Router(config-line)#password <ange lösenord>
Router(config-line)#login<ange lösenord>
Router(config-line)#logging synchronous
Router(config-line)#exit 
VTY lösenord Router(config)#line vty 0 15
Router(config-line)#password <ange lösenord>
Router(config-line)#login<ange lösenord>
Router(config-line)#logging synchronous
Router(config-line)#exit
Lösenords kryptering Router(config)#service password-encryption
Banner meddelande Router(configure)#banner motd # This is a secure system. Autorized Access Only! #

Hantering av konfigurationsfiler

Att konfigurera någon komponent eller funktion när switch/router är igång innebär att man gör ändringar i running-config fil. För att spara ändringar i running-config filen bör först kontrolleras kommandoutförande och därefter kopiera filen running-config till startup-config filen. Så här kan det gå till:

Router# show running-configuration
Router# copy running-configuration startup-configuration

Backup för konfigurationsfiler

Det är alltid bra att ha säkerhetsmekanismer som exempelvis kopior på konfigurationsfiler. De kan lagras som textfiler på en TFTP server eller USB minne, därefter kan filerna importeras tillbaka. Det förutsätter att man har editerat alla krypterade lösenord och ändrat till text, samt att man har tagit bort kommandon som pausar processen eller kräver åtgärd till något. Dessutom sker överföringen när switch/router är i globalt konfigurationsläge. Backup av konfigurationsfiler kan göras via terminaler.

När man använder HyperTerminal kan man utföra följande:

  1. lokalisera filen som ska kopieras och öppna dokumentet
  2. kopiera hela texten
  3. I meny Redigera (Edit) klicka på klistra in (paste to host)

När man använder TeraTerm gör man så här:

  1. I menyraden hitta Arkiv (File), sedan klicka Sänd
  2. Lokalisera filen som ska kopieras och öppna den
  3. TeraTerm kommer att klistra in texten

Dessa klistrade filer kommer att bli nya running-config fil.
Cisco routrar bygger på moduler och när det behövs läggs fler moduler till. Varje modul har en specifik nätverksteknologi, exempelvis seriella. Så här lägger man en ny modul på en router:

  1. Stäng av routern genom att klicka på Power ikonen
  2. Klicka på modulen HWIC-2T. Längs ner till höger visas det utvalda interfacet.
  3. Dra modulen till en tom plats (slot)
  4. När modulen är på plats tryck igen på Power ikonen.