Die Zugänge auf dem Switch einrichten

Zu allererst möchte ich die Zugänge um den Switch administrieren zu können einrichten. Danach sollte der Switch über die lokale Console und über SSH2 erreichbar sein (auch wenn nachher schon SSH eingerichtet ist, sollte er noch nicht ans Netz!).

Zunächst ist standardmässig nur eine grundlegende Console eingerichtet, ohne besondere Absicherung. Das ändern wir jetzt:

service password-encryption
!globale Passwortverschlüsselung aktivieren
service tcp-keepalives-in
!für späteren SSH-Zugang, hängende Sessions zu schließen
enable secret very-secret-pw
!lokales "enable"-Passwort setzen
username administrator privilege 15 password very-secret-pw
!lokalen Benutzer mit Passwort und mit höchsten Rechten anlegen

Wir brauchen noch ein Login-Banner. Es gibt verschiedene Varianten (banner motd, banner login, banner incoming, and banner exec), ich nutze hier:

banner login #
UNAUTHORIZED ACCESS TO THIS DEVICE IS PROHIBITED
You must have explicit, authorized permission to access or configure this device.
Unauthorized attempts and actions to access or use this system may result in civil and/or
criminal penalties.
All activities performed on this device are logged and monitored.
#

Login-Fehler möchte ich auch mitbekommen:
 

login on-failure log
login on-success log
!Optional, wenn man alle Login-Versuche mitbekommen möchte
ip access-list extended vlan10in
 !ACL um den späteren SSH-Zugang aufs Managment-VLAN einzuschränken
 permit tcp 192.168.10.0 0.0.0.255 any eq 22
 !Nur aus dem Managment-Netz Zugriff; Netzmaske invers bei ACL's
 deny   ip any any log-input
 !Alle anderen Zugriffe verweigern und loggen
 exit 
line con 0
 !Consolen-Port einrichten
 session-timeout 3
 exec-timeout 3 0
 login local
 !lokale Benutzer-Authentifizierung
 transport output none
 !keine ausgehenden Verbindungen von dieser Line
 exit
line vty 0 4
!virtuelle Lines 0 - 4 einrichten;
!Achtung line 0 4 (ohne con / vty) geht auch, dann werden alle Lines angesprochen
 session-timeout 3
 exec-timeout 3 0
 privilege level 15
 login local
 transport preferred none
 !Zugang nicht erlaubt, wenn die Anfrage nicht dem Transportprotokoll entspricht
 transport input ssh
 !für diese Line ausschließlich SSH
 transport output none
 exit
line vty 5 15
 !Der Zugang über die Lines 5 - 15 wird deaktiviert
 no login
 transport input none
 transport output none
 exit

Jetzt richten wir noch SSH in der Version 2 ein. SSH1 sollte nicht mehr genutzt werden, auch für Telnet besteht kein Bedarf.

hostname access-switch-1
!Der Host braucht natürlich einen Namen
ip domain-name mydomain.net
!Eine Domäne wird auch benötigt
crypto key generate rsa modulus 1024
!SSH2 funktioniert erst ab mind. Keysize 768, das steht nicht überall bei Cisco!
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 30 
hostname access-switch-1
!Der Host braucht natürlich einen Namen
ip domain-name mydomain.net !Eine Domäne wird auch benötigt
crypto key generate rsa modulus 1024
!SSH2 funktioniert erst ab mind. Keysize 768, das steht nicht überall bei Cisco!
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 30 

Damit wir den Switch auch im Netz erreichen können, braucht er natürlich noch eine IP ;-)
 

interface Vlan10
 ip address 192.168.10.20 255.255.255.0
 !Die IP setze ich hier auf ein VLAN und nicht auf einen Switchport
 ip helper-address 192.168.1.11
 !Die Helper-Adressen erlauben mir DHCP für die Hosts am Switchport aus einem anderen Netzbereich
 ip helper-address 192.168.1.12
 exit

 

Tags:

Neuen Kommentar schreiben

Plain text

  • Keine HTML-Tags erlaubt.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • HTML - Zeilenumbrüche und Absätze werden automatisch erzeugt.