- Почему это важно сразу
- Схема доступа к CLI на Cisco
- Как подключиться к консоли Cisco Catalyst
- Если видите Initial Configuration Dialog
- Ориентация в CLI: где вы и что можно делать
- Базовая безопасность Cisco через пароли
- Пароль на enable и в чём разница password и secret
- Настройка пароля для консольного подключения
- Настройка парольной защиты для Telnet (vty)
- Настройка удалённого доступа через SSH вместо Telnet
- Management VLAN и IP для удалённого управления
- Команды enable и перемещения между режимами
- Проверка текущей конфигурации паролей и настроек
- Управление портами и базовая диагностика линка
- Как сохранить конфигурацию и не потерять изменения
- Частые ошибки при базовой настройке безопасности
- Мини-чеклист для «поднять управление» безопасно
- Бонус. Сценарий из жизни для понимания логики
- Что в итоге вы должны уметь
Если вы подключились к Cisco, а там «много режимов и команд», легко растеряться. В этом материале разберём базовые шаги: как подключиться к консоли, как ориентироваться в CLI, и как сделать доступ защищённым паролями, чтобы вы не потеряли управление.
Почему это важно сразу
Представьте: коммутатор стоит в шкафу, физически вы к нему уже не подойдёте. Вы включаете удалённое управление, а пароль не настроили или настроили «как-нибудь». Итог обычно один: кто-то получает доступ, меняет конфигурацию или перезагружает устройство, а вы узнаёте об этом слишком поздно.
Правильная настройка безопасности — это фундамент. В ней участвуют: режим доступа к CLI, пароль на консоль, защита привилегированный и пользовательский уровней, и каналы telnet/ssh.
Схема доступа к CLI на Cisco
Команды на Cisco выполняются в разных режимы, и переходы между ними надо понимать.
flowchart TD
A[Коммутатор] --> B[CLI: User mode]
B --> C[Команда enable]
C --> D[CLI: Privileged mode]
D --> E[Global configuration mode]
E --> F[Interface / Line submodes]
Ключевые приглашения:
- Switch> — пользовательский режим
- Switch# — привилегированный режим
- Switch(config)# — глобальная конфигурация
Как подключиться к консоли Cisco Catalyst
Для первичной работы вам нужен физический консольный доступ. Это самый надёжный старт, потому что он не зависит от сети и не требует server-ов и IP.
Что понадобится
- консольный кабель Cisco (или совместимый переходник)
- ПК с терминальной программой (PuTTY, Tera Term и т.п.)
- порт console на коммутаторе
Настройка терминала на ПК
В терминальной программе выберите Serial и параметры обычно такие:
- скорость 9600
- 8N1: 8 data bits, No parity, 1 stop bits
- flow control None
После подключения:
1. Нажмите Enter пару раз
2. Должно появиться приглашение вроде Switch>
Если видите Initial Configuration Dialog
Иногда при первой загрузке Cisco предлагает «мастер». В обучающих сценариях чаще выбирают:
- no — чтобы перейти к ручной настройке
Так вы контролируете всё, что происходит дальше.
Ориентация в CLI: где вы и что можно делать
Полезные способы писать команды
Cisco CLI дружелюбен, но требует привычки:
| Приём | Что даёт |
|---|---|
Tab |
дописывает команду |
? |
показывает варианты после команды |
| сокращения команд | можно писать меньше, если это однозначно |
| история команд и стрелки | быстро повторять действия |
фильтрация вывода | |
искать нужное в длинных списках |
Пример фильтрации:
- show running-config | include hostname
Базовая безопасность Cisco через пароли
Ниже — самый практичный блок: как сделать защита входа на консоль и удалённый доступ.
Важный принцип
Злоумышленник, который получает привилегированный доступ (режим enable), может менять конфигурация и перезагружать устройство. Поэтому:
- пароль на enable обязателен
- пароль на линии (консоль и vty) обязателен
- удалённый доступ делайте безопасно: в идеале ssh, а не telnet
Пароль на enable и в чём разница password и secret
Чем отличаются команды
enable password— старый подход, пароль хранится менее надёжноenable secret— современнее, пароль хранится в более защищённом виде
Для защита обычно выбирают enable secret.
Настройка пароля для консольного подключения
Чтобы защитить физический вход через console, задайте пароль для линии con 0 (обычно это так и есть на типовых платформах).
Последовательность логическая:
1. Перейти в глобальную конфигурацию
2. Выбрать линию line console 0
3. Включить запрос пароля через login
4. Задать password
Схема команды выглядит так:
enable secret <пароль_enable>
configure terminal
line console 0
password <пароль_консоли>
login
exit
end
Настройка парольной защиты для Telnet (vty)
Удалённые подключения обычно проходят через vty (виртуальные терминальные линии). В типовых сценариях используют диапазон vty 0 15.
Идея та же:
- включить line vty 0 15
- задать password
- включить login
Примерно так:
configure terminal
line vty 0 15
password <пароль_vty>
login
end
⚠️ Важно: когда вы включаете удалённый доступ по telnet, устройство должно иметь корректный IP и маршрут управления. Но сам принцип — пароли на vty и защита уровня пользовательский/enable.
Настройка удалённого доступа через SSH вместо Telnet
Если ваша цель — безопасная сеть, делайте доступ по ssh, а telnet лучше выключать или хотя бы не оставлять открытым.
Базовый каркас такой:
1. задать hostname и доменное имя
2. включить генерацию ключей SSH
3. включить ssh версии 2
4. настроить vty так, чтобы принимался только ssh
5. настроить IP управления (Management VLAN)
Management VLAN и IP для удалённого управления
Чтобы управлять устройство удалённо, ему нужен адрес управления. На Cisco для этого обычно используют интерфейс VLAN — например interface vlan 1 или другой Management VLAN.
Смысл простой:
- VLAN под управлением создаётся как логическая среда
- на нём задаётся ip address
- включается интерфейс
- настраивается ip default-gateway
Минимальный каркас:
configure terminal
interface vlan 1
ip address <IP_управления> <MASK>
no shutdown
exit
ip default-gateway <IP_шлюза>
end
Команды enable и перемещения между режимами
Проверьте логику переходов:
- в пользовательском режиме: Switch>
- перейти в привилегированный: enable → Switch#
Если включён пароль на enable, он будет запрошен при вводе enable.
Проверка текущей конфигурации паролей и настроек
Когда вы делаете настройка безопасности, проверка обязательна: не доверяйте памяти и предположениям.
Полезные команды:
- show running-config — посмотреть текущую конфигурация (можно через | include)
- show startup-config — сравнить с сохранённым вариантом
- show ip ssh — проверить, включён ли ssh
- show ip interface brief — посмотреть интерфейсы и IP
Пример выборки:
- show running-config | include enable secret
- show running-config | include line vty
Управление портами и базовая диагностика линка
Даже если вам нужна только безопасность, без понимания статуса порт вы будете «лечить наугад».
Что обычно проверяют:
- включён ли интерфейс no shutdown
- физический статус и скорость
- что порт не «завис» в ошибках
Чаще всего помогают команды в стиле:
- show interfaces
- show interfaces status
(Конкретные варианты могут отличаться по платформам IOS, но смысл один — понять состояние линии.)
Как сохранить конфигурацию и не потерять изменения
Cisco хранит изменения не только «в голове», но и на устройстве.
Обычно используют:
- copy running-config startup-config
или сокращённо
- wr
После этого перезагрузка не «откатит» безопасность обратно.
Частые ошибки при базовой настройке безопасности
| Ошибка | Что происходит | Как избежать |
|---|---|---|
Забыл настроить enable secret |
любой может подняться в privileged |
задать enable secret сразу |
Нет login на line console 0 или line vty |
пароль может не запрашиваться | добавлять login обязательно |
| Поставили пароль, но не сохранили | после перезагрузки всё слетит | делать copy running-config startup-config |
| Настроили доступ по удалению и потеряли управление | удалённо «не зайти» после ошибки | делать поэтапно, сначала консоль, потом удалёнка |
| Не учли VLAN/IP управления | удалённый доступ не работает | сначала Management VLAN и IP, потом SSH/Telnet |
Мини-чеклист для «поднять управление» безопасно
1) Подключиться по консоли и войти в CLI
2) Включить enable protection: enable secret
3) Защитить console: line console 0 + password + login
4) Защитить vty: line vty 0 15 + password + login
5) Настроить IP управления на Management VLAN + default-gateway
6) Включить ssh (и только потом telnet ограничивать/отключать)
7) Проверить show running-config и show ip ssh
8) Сохранить конфигурацию в startup-config
Бонус. Сценарий из жизни для понимания логики
Представьте учебный стенд. Вы сначала делаете только базу и забываете, что после enable нужен пароль. Потом пробуете удалённый доступ — работает. Но если бы кто-то имел доступ к консоли или к сессии, он бы быстро поднял privileged.
Правильная последовательность закрывает эти «окна»:
- консоль защищаем через line console 0
- привилегированный режим защищаем через enable secret
- vty защищаем через line vty 0 15
И только после этого можно уверенно идти дальше в L2/L3 настройку.
Что в итоге вы должны уметь
После этой статьи вы можете:
- подключиться к консоль порту Cisco
- понимать режим user / privileged / configuration
- настроить пароль для консоли
- настроить пароль для vty (telnet)
- отличать enable password и enable secret
- подготовить Management VLAN и IP для удалённого доступа
- проверить текущие настройки через show ...
- сохранить конфигурацию так, чтобы изменения не пропали
Краткая схема команд для старта
enable secret <pass_enable>
configure terminal
hostname <name>
no ip domain-lookup
line console 0
password <pass_console>
login
line vty 0 15
password <pass_vty>
login
interface vlan 1
ip address <ip> <mask>
no shutdown
exit
ip default-gateway <gw>
end
copy running-config startup-config