Grundkonfiguration Cisco Switch

Konfiguration von Cisco Switchen

Wie man sich mit dem Konsolenkabel auf einem Switch verbindet, setze ich einfach mal als bekannt voraus.

Bei Cisco hat man 2 Stufen des Logins bzw. zwei Modi in denen man auf dem Switch Befehle ausführen kann.

Der normale „User Mode“ in dem man nur Befehle absetzen kann die die Konfiguration des Switch nicht beeinflussen und den „Enable Mode“ oder auch privilegierten Mode genannt.

Immer wenn man sich auf einem Cisco Gerät einloggt, kommt man erst in den User Mode und durch den Befehl „enable“ kann man in den privilegierten Modus gelangen.

Aber wie konfiguriert man jetzt einen Cisco Switch ?

Als erstes beginnen wir damit einen Hostnamen zu vergeben und ein Konsolen Passwort zu setzen

Setzen des Hostnamen :
Switch>en – Wechsel in den Enable Mode
Switch># configure Terminal – Wechsel in den Configurations Mode
Switch(config)# hostname Emma – setzen des Hostnamens
Emma(config)#end – Hostname vor dem prompt Wechsel auf den gesetzten Hostnamen
Emma#

Setzen des Login Passwortes für die Konsole :

Emma> en
Emma# configure terminal
Emma(config)# line Console 0
Emma(config-line)# password Cisco
Emma(config-line)# login
Emma(config-line)# end
Emma(config)#end
Emma#

Setzen des Passwortes für den enable Mode
Emma>en
Emma# configure terminal
Emma(config)# enable secret Cisco
Emma(config)#end
Emma#

Das Passwort und die Abfrage des Passwortes um sich per Telnet einzuloggen wir ähnlich gesetzt wie das Passwort für das Login an der Konsole

Emma> en
Emma# configure terminal
Emma(config)# line vty 0 15 – Cisco bietet 16 Usern Gleichzeitig den Login, Konsole 0 bis 15
Emma(config-line)# password Cisco
Emma(config-line)# login
Emma(config-line)# end
Emma(config)#end
Emma#

Jetzt kann man sich an der Konsole und per Telnet mit dem Passwort Cisco anmelden
Um in den Konfigurations Modus zu gelangen, mit dem Befehl enable, wird auch das Passwort Cisco benötigt.
Sinn macht das Passwort nicht da es viel zu einfach ist, aber es ist als Beispiel gut zu gebrauchen

Einloggen mit Benutzernamen und Kennwort an der Konsole oder der Terminal Sitzung

Um ein bischen Mehr Sicherheit zu erlangen, kann man auch Nutzernamen und Kennwörter auf den Geräten festlegen. Das macht einen Sinn, wenn man im laufenden Betrieb mit einer Tacacs oder Radius Authentifizierung arbeitet.

Diese Authentifizierung kann natürlich auch mal unterbrochen sein und dann kann man entweder wie oben beschrieben sich nur mit dem Passwort an der Konsole oder der Telnet Sitzung anmelden oder man konfiguriert einen speziellen User mit dem man sich bei fehlender externer Authentifizierung noch lokal am Gerät anmelden kann.

Emma>en
Emma# configure terminal
Emma(config)#username test password Cisco – test ist der Username und Cisco das Passwort
Emma(config)# line Console 0 – in die Konsolen Konfiguration wechseln
Emma(config-line)# login local – die Verwendung der lokalen Benutzer einschalten
Emma(config-line)# line vty 0 15 – Wechsel in die Telnet Konfiguration
Emma(config-line)# login local – ldie Verwendung der lokalen Benutzer einschalten
Emma(config-line)#end
Emma(config)#end
Emma#

Jetzt wird beim Login an der Konsole oder per Telenet der Username test mit dem Passwort Cisco benötigt. Das Enable Passwort ist davon unberührt und es wird immer noch nur das Passwort Cisco benötigt.

Die ganzen Passwörter werden aber in der Konfiguration, die man sich mit show running-config anzeigen lassen kann, im Klartext dargestellt.

Das ist natürlich unvorteilhaft, da man im Usermode sich die Konfiguration anzeigen lassen kann.

Passwörter verschlüsseln

Die Verschlüsselung der Passwörter wir eingeschaltet im globalen Konfigurationsmodus, den man durch das Eingeben von configure terminal erreicht.

Emma> en
Emma# configure terminal
Emma(config)# service password-encryption
Emma(config)#end
Emma#

Jetzt werden die Passwörter in der Konfiguration verschlüsselt angezeigt.

SSH Zugang

Der Zugang per Telnet ist zwar ohne Probleme möglich, aber da bei der Telnet Anwendung der Benutzername und das Passwort im Klartext übertragen werden, kommt es heute kaum noch zum Einsatz.

Man verwendet daher lieber ssh (secureShell) in der Version 2.

Auszug aus Wikipedia
Authentifizierung
Der Server identifiziert sich dem Client gegenüber mit einem RSA-, DSA- oder ECDSA-Zertifikat, wodurch Manipulationen im Netzwerk erkannt werden können (kein anderer kann sich als ein bekannter Server ausgeben).

Der Client kann sich wahlweise per Public-Key-Authentifizierung mit einem privaten Schlüssel, dessen öffentlicher Schlüssel auf dem Server hinterlegt ist, oder einem gewöhnlichenKennwort authentifizieren. Während Letzteres immer eine Benutzerinteraktion erfordert (solange das Kennwort nicht unverschlüsselt auf dem Client-Rechner gespeichert werden soll), ermöglicht die Public-Key-Authentifizierung, dass sich Client-Computer auch ohne Benutzerinteraktion auf SSH-Servern einloggen können, ohne dass dabei ein Passwort auf dem Client im Klartext gespeichert werden muss. Zur weiteren Absicherung können die privaten SSH-Schlüssel mit einem Passwort geschützt werden. Neuere Versionen des OpenSSH-Servers unterstützen die Mehrfaktor-Authentifizierung, bei der eine Kombination unterstützter Authentifizierungsverfahren erfolgreich durchlaufen werden muss.

Wie konfiguriert man das ganze jetzt auf einem Cisco Switch ?

Es muss ein Domain Name festgelegt werden, dann muss ein ssh Key erzeugt werden und es muss natürlich ssh eingeschaltet werden.

Das ist nur die ssh Konfiguration, somit ist aber noch kein Zugriff per ssh auf den Switch möglich, das muss in der vty Konfiguration noch eingestellt werden.

Konfigurieren von ssh
Emma> en
Emma# configure terminal
Emma(config)# ip domain-name beispiel.local
Emma(config)# crypto key generate rsa
Emma(config)# ip ssh version 2
Den Fernzugriff umstellen von Telnet auf ssh
Emma>en
Emma#configure Terminal
Emma(config)#line vty 0 15
Emma(config-line)# transport input ssh
Emma(config-line)#end
Emma(config)#end
Emma#

IP Adresse konfigurieren

Die Grundkonfiguration ist zwar jetzt fertig, aber per Remote Zugang kann man sich immer noch nicht auf dem Switch einloggen. Denn es fehlt die Adresse unter der der Switch erreichbar ist.

Dazu muss dem Switch eine IP Adresse gegeben werden.

Dazu loggt man sich wie gehabt auf dem Switch ein und konfiguriert in dem Standart VLAN 1 eine IP Adresse und auch das Standart Gateway wird gesetzt

Emma> en
Emma#configure terminal
Emma(config)#int Vlan 1
Emma(config-int)# ip address 192.168.1.10 255.255.255.0
Emma(config-int)#no shutdown
Emma(config-int)#end
Emma(config)#ip default-gateway 192.168.1.1
Emma(config)#end
Emma#

Das wars, wenn jetzt in Port im VLAN 1 up ist, dann kann man den Switch unter der IP Adresse 192.168.1.1 ereichen und sich auch per ssh auf ihn verbinden