IL CONFIGURATION REGISTER I router Cisco contengono un registro software di 16 bit salvato nella memoria NVRAM. Tramite questo registro, contenente un valore in esadecimale, è possibile modificare in parte il comportamento dell'apparato di rete, in particolare è spesso utile per gestire la fase di boot.
I bit del registro di configurazione sono suddivisi in campi, ogni campo si occupa della gestione di una particolare caratteristica dell'apparato, in particolare è possibile controllare: - le modalità di boot dell'apparato - la funzione di Break - gli indirizzi di broadcast - la velocità della porta console - i messaggi di diagnostica - se utilizzare o meno le configurazioni contenute nella NVRAM
I CAMPI RELATIVI AL BOOT DEL CONFIGURATION REGISTER I bit da 0 a 3 del registro di configurazione sono chiamati il boot field, modificando i valori in esso contenuti è possibile gestire l'avvio del router. In particolare: 00: con questo valore l'avvio avverrà in modalità ROM monitor. Il valore del registro sarà 0x2100; 01: con questo valore il router può utilizzare l'immagine IOS residente nella ROM. Il valore del registro sarà 0x2101; 02-F: con valori da 2 a F il router esegue il boot secondo quando spefificato nella configurazione in NVRAM; Il valore del registro potrà variare da 0x2102 a 0x210F; Il valore di default per il registro di configurazione è 0x2102.
VISUALIZZAZIONE E SETTAGGIO DEL CONFIGURATION REGISTER E' possibile visualizzare il contenuto corrente del registro di configurazione tramite il comando show version in modalità Priviliged EXEC mode: Router# show version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.0(3)T3, RELEASE SOFTWARE (fc1) ... Configuration register is 0x2102 In questo caso il registro è settato di default, in modo da caricare l'immagine dalla FLASH memory
Attraverso il comando config-register è possibile modificarne il valore: Router# configure terminal Per modificare il registro è necessario entrare in modalità Global Configuration Router(config)# config-register 0x2100 Il registro di configurazione è stato modificato per avviare il router in modalità ROM Monitor al prossimo reboot Una modificato il registro è necessario riavviare il router per rendere effettive le modifiche.
In modalità ROM monitor per modificare o ripristare il valore del registro è possibile utilizzare il comando confreg seguito dal valore del registro. In caso si digiti solamente il comando confreg senza parametri viene visualizzata una procedura guidata: Rommon 1 > confreg 0x2102 In questo caso viene passato direttamente il valore esadecimale rommon 7 > confreg Lanciando il comando senza parametri viene passato in rassegna ogni campo del registro di configurazione Configuration Summary enabled are: console baud: 9600 boot: the ROM Monitor do you wish to change the configuration? y/n [n]: y enable "diagnostic mode"? y/n [n]: y enable "use net in IP bcast address"? y/n [n]: enable "load rom after netboot fails"? y/n [n]: enable "use all zero broadcast"? y/n [n]: enable "break/abort has effect"? y/n [n]: enable "ignore system config info"? y/n [n]: change console baud rate? y/n [n]: y enter rate: 0 = 9600, 1 = 4800, 2 = 1200, 3 = 2400 [0]: 0 change the boot characteristics? y/n [n]: y enter to boot: 0 = ROM Monitor 1 = the boot helper image 2-15 = boot system [0]: 0 Configuration Summary enabled are: diagnostic mode console baud: 9600 boot: the ROM Monitor do you wish to change the configuration? y/n [n]: You must reset or power cycle for new config to take effect. rommon 8>
Non tutte le versioni di ROM monitor supportano gli stessi comandi, è quindi necessario consultare la documentazione in dotazione del router. I valori di configuration register da impostare per una procedura di password recovery, inoltre, possono variare a seconda del modello di router.
Autore: homer - Ultimo Aggiornamento: 2003-05-09 18:37:56 - Data di creazione: 2003-05-09 18:37:56 Tipo Infobox: DESCRIPTION - Skill: 2- JUNIOR
Grazie alle Password ed ai Privileged Level è possibile proteggere un router Cisco da accessi indesiderati, e definire policy di accesso, configurazione e utilizzo. In caso di perdita delle parole d'accesso è comunque possibile riottenere il controllo dell'apparato grazie alle procedure di password recovery eseguibili localmente.
Le password utilizzabili su un router Cisco si dividono in due categorie, le Enable Password che proteggono il privileged EXEC mode e le Line Password ovvero quelle che proteggono l'accesso da Auxiliary Port, da Console Port e tramite Telnet.
ENABLE PASSWORD La password per la modalità privileged EXEC detta password di ENABLE viene settata tramite il comando enable password. Utilizzando questo comando, la password risulta però visibile nel file di configurazione, per garantire una migliore sicurezza è consigliato l'utilizzo di password crittografate tramite il comando enable secret. Esempio: Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# enable secret ndcdiv400 Ora la password è presente crittografata nel file di configurazione
LINE PASSWORD Le line password devono anch'esse essere settate in Global Configuration Mode, il comando utilizzato è password. Tramite il comando line ? è possibile visualizzare quali interfacce line è possibile configurare: Router(config)# line ? <0-4> First Line number aux Auxiliary line console Primary terminal line vty Virtual terminal Possiamo notare aux per la Auxilary porte, console per la ominima porta e vty per gli accessi via telnet sulle interfacce configurate e attive
Alcuni esempi di configurazione per le line password: AUXILARY PORT Router(config)# line aux ? <0-0> First Line number Con il comando line <nomeinterfaccia> ? IOS restituisce il numero di interfacce disponibili. In questo caso vediamo che essendoci una sola Auxilary Port il range è 0-0 ovvero una sola line disponibile, la prima ovvero la line 0 Router(config)# line aux 0 Router(config-line)# login Viene indicato che il settaggio è relativo al login su questa porta Router(config-line)# password oskcpr CONSOLE PORT Router(config)# line console ? <0-0> First Line number Router(config)# line console 0 Router(config-line)# login Router(config-line)# password oskcpr ACCESSO VIA TELNET Router(config)# line vty 0 ? <0-4>Last Line Number Router(config-line)# line vty 0 4 Il settaggio fa riferimento agli accessi via telnet da 0 a 4 Router(config-line)# login Router(config-line)# password osktps
PASSWORD ENCRYPTION Solamente attraverso il comando enable secret le password settate sul router vengono crittografate di default, altrimenti restano visibili nel file di configurazione. Per fare in modo che ogni password immessa venga sempre crittografata è possibile abilitare il servizio di password encryption. Questa feature viene attivata in global configuration mode tramite il comando: service password-encryption. Esempio: Router# conf t Enter configuration commands, one per line. End with CNTL/Z. Conf t è un'abbreviazione possibile di configuration terminal per entrare in global configuration mode Router(config)# service password-encryption Ora ogni password è crittografata di default Router(config)# Exit Router# show running-config ! version 12.1 .. service timestamps debug uptime service timestamps log uptime service password-encryption .. Visualizzando la configurazione corrente tramite il comando show running-config è possibile vedere che il servizio di password-encryption è attivo Router# copy running-config startup-config A questo punto la configurazione viene salvata in NVRAM
PRIVILEGE LEVELS Un router cisco prevede di default due livelli di utilizzo, a livello 1 troviamo user EXEC Mode mentre a livello 15 troviamo Privileged EXEC mode. Tra questi due livelli è possibile inserire ulteriori levels, i quali protetti da password consentono solamente l'utilizzo di determinati comandi. Un'ipotetica policy potrebbe essere quella di definire degli operatori che possando eseguire solo operazioni di debug: Router(config)# enable password level 10 pswoscr Viene abilitata una password per lavorare a level 10 Router(config)# privilege exec level 10 debug ppp chap Router(config)# privilege exec level 10 debug ppp error Router(config)# privilege exec level 10 debug ppp negotiation L'operatore che farà il log sul router a level 10 potrà utilizzare i comandi di debug sul protocollo ppp sopra definiti o definiti a levels inferiori e non altri Router(config)# exit Router# copy running-config startup-config Uscita dalla modalità di configurazione globale e salvataggio nel file di configurazione
Una volta stabiliti i vari privilege level sarà possibile autenticarsi con i camandi enable numero_level, uscire dal livello con disable numero_level o verificare in che level si è loggati con show privilege.
PASSWORD RECOVERY Le procedure di password recovery di un router Cisco possono essere eseguite, per ragioni di sicurezza, solamente dalla porta console dell'apparato. Il recupero dell'accesso all'apparato varia da modello a modello di router, ma il processo è sostanzialmente il seguente:
FASE 1: Settare il router (tramite il configuration register) in modo da non utilizzare la configurazione presente nella NVRAM; FASE 2: Riavviare il router; FASE 3: Entrare in modalità Privileged EXEC mode (che a questo punto sarà priva di password di accesso); FASE 4: In caso di password non crittografate sarà possibile visualizzare dal file di configurazione nella NVRAM, altrimenti sarà necessario settare una nuova password, nel caso peggiore bisognera caricare una nuova configurazione; FASE 5: Settare nuovamente il router per leggere il file di configurazione nella NVRAM; FASE 6: Riavviare il router
Consultando il sito di Cisco Systems è possibile trovare la procedura di Password Recovery per ogni modello di Router.
Autore: homer - Ultimo Aggiornamento: 2003-06-18 20:45:41 - Data di creazione: 2003-06-18 20:45:41 Tipo Infobox: DESCRIPTION - Skill: 2- JUNIOR
Cisco Discovery Protocol (CDP) è un protocollo proprietario di Cisco Systems sviluppato per la raccolta di informazioni (tipo di Hardware, versione IOS, protocolli, numero di matricola ecc) su apparati di rete interconnessi tra loro.
CDP è stato implementato per essere utilizzato su router, access server, bridge e switch Cisco. Le informazioni ricavate tramite l'utilizzo di questo protocollo sono utili ai fine della documentazione e del troubleshooting della rete.
ABILITARE E DISABILITARE CDP E' possibile verificare se CDP è abilitato sul router tramite il comando show cdp neighbors in modalità Enable. Un esempio: router-Cs2# show cdp neighbors router-Cs2# "% CDP is not enabled" router-Cs2# config terminal IOS informa che il protocollo non è attivo: not enabled. E' quindi necessario abilitarlo... router-Cs2(config)# cdp run Se non impostato diversamente CDP è abilitato su tutte le interfacce supportate router-Cs2(config)# end router-Cs2# show cdp neighbors Capability Codes:R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Router-Cs1 Eth 0 122 R 2621 Fas 0/0 Router-Cs3 Ser 0 140 R 2500 Ser 0 L'output del comand mostra i due router connessi rispettivamente sull'interfaccia Ethernet e Seriale
Qualora invece si voglia disabilitare su ogni interfaccia il protocollo CDP è necessario utilizzare il comando no cdp run.
PARAMETRI GLOBALI Cisco Discovery Protocol utilizza per il suo funzionamento due parametri globali: - CDP Timers: Ogni quanto tempo i pacchetti CDP vengono inviati sulle interfacce attive; - Holdtime Information: Per quanto tempo il valore dei pacchetti ricevuti è mantenuto valido;
Se CDP è in funzione, é possibile visualizzare questi parametri tramite il comando show cdp: Router> sh cdp Global CDP information: Sending CDP packets every 60 seconds Sending a holdtime value of 180 seconds
In modalità configurazione si ha la possibilità di modificare questi parametri: Router-Cs2# conf t Enter configuration commands, one per line. End with CNTL/Z. Router-Cs2(config)#cdp ? holdtime Specify the holdtime (in sec) to be sent in packets timer Specify the rate at which CDP packets are sent(in sec) run In caso di dubbio l'help in linea e' un valido supporto Router-Cs2(config)# cdp timer 90 Router-Cs2(config)# cdp holdtime 240 Router-Cs2(config)# end
