PDA

Επιστροφή στο Forum : Cisco Router 851w and privilege mode



tsangaris
20-11-10, 12:55
Καλημέρα,

Αγόρασα προσφατα ένα Cisco Router 851w. Εχω θέσει username and password καθως και enable secret. Καθως χρησιμοποιώ telnet για login, βαζω κανονικα το username και password που δημιουργησα και αντι να πάω στο User mode με πάει απευθείας στο privilege mode. Σκοπός του enable secret δεν είναι να διαχωρίζει το User mode απο το privilege mode?

Ευχαριστώ.

........Auto merged post: tsangaris πρόσθεσε 13 λεπτά και 0 δευτερόλεπτα αργότερα ........

Φταει το γεγονός ότι ειμαι Privilege level 15?? Σε πιο privilege level πρεπει να ειμαι για να πάω user mode αρχικα?

arisgr
20-11-10, 13:13
Πραγματι αυτο φταιει.
Ριξε μια ματια εδω και θα σου λυθουν ολες οι αποριες:
http://www.cisco.com/en/US/docs/ios/12_1/security/command/reference/srdpass.html

tsangaris
20-11-10, 13:36
Ευχαριστω φιλε!

arisgr
20-11-10, 17:22
Νασαι καλα :)

tsangaris
22-11-10, 00:16
Οσο αφορα την αντιγραφη του start config σε tftp server:
Χρησιμοποιω solarwinds tftp server
Στο CLI γραφω:
router#copy start tftp
Address or name of the remoter host [] ? 10.10.10.3 ( ip address of the pc that tftp server is installed )
Destination filename [router-config]?

Πατώντας enter παίρνω το μήνυμα λάθους:
%error opening tftp://10.10.10.3/router-config (time out)

Παρόμοιο μηνυμα λάθους παίρνω και όταν προσπαθώ να αντιγράψω το περιεχομενο της flash.

Υπαρχει καμια ρύθμιση που πρεπει να γίνει στο solarwinds tftp server?

ps: ping 10.10.10.3 from CLI is successful.

taxiarxos
22-11-10, 11:39
Οι tftp servers χρησιμοποιηούν την πόρτα 69 σε udp τσέκαρε μήπως έχεις κανένα firewall στο pc σου.;)

tsangaris
23-11-10, 20:16
Οντως, το προβλημα ηταν το firewall. Μολις το απενεργοποιησα ολα δουλεψαν ρολοι.
Κατι αλλο:
O router μου (Cisco 851w) έχει ως εργοστασιακό ip address 10.10.10.1. Αλλαξα το ip του laptop μου σε 10.10.10.3 και έκανα ενα υποτυπωδες configuration αλλα τωρα θελω να βάλω τον router στο δικτυο μου (192.168.0.1-253). Με το Router# show ip int br βλέπω σε πιο interface ειναι assigned το ip 10.10.10.1 και στην προσπάθεια μου να το αλλαξω (πχ Router(config-if)#ip address 192.168.0.20 255.255.255.0) ο router κολλαει και το ip δεν αλλαζει. Το interface αυτο ειναι layer 3 interface, οπόταν επιδεχεται αλλαγης στο ip. Τι κανω λάθος?

Ευχαριστω.

euri
23-11-10, 20:59
Μήπως δεν κολλάει, αλλά επειδή αλλάζεις ΙΡ χάνεται η σύνδεση; (αυτό είναι αναμενόμενο)

Αν αμέσως μετά την αλλαγή της ΙΡ στον router αλλάξεις και την ΙΡ στο laptop δεν θα μπορέσεις να ξανασυνδεθείς;

tsangaris
23-11-10, 21:14
Ναι λογικο ειναι μετα την αλλαγή ip να μην εχω επικοινωνια. Αλλα εγω βαζω τον router στο switch και ενωνω και το λαπτοπ με το ιδιο δυκτιο με ip μεσα στο range του δικτυου. To παραξενο ειναι οτι ενω μπορω να κανω ping το 192.168.0.20(ip assigned to router) δεν μπορω να "βγω" πανω του.

euri
23-11-10, 21:17
Τότε δες μήπως έχεις κάποια access list που απαγορεύει το νέο subnet.

tsangaris
23-11-10, 21:27
O router ειναι καινουριος και δεν εχω δημιουργήσει καποιο ACL. Παντως αυτο που γινεται ειναι λιγο παραξενο, αφου θυμαμαι στο παρελθον οταν προσπαθησα να κανω ξανα κατι τετοιο δεκτηκε την αλλαγη ip, μετα αλλαξα το δικο μου ip στο ip του δικτυου και ολα δουλεψαν σωστα.

euri
23-11-10, 21:35
Αν θέλεις παράθεσε το config του router εδώ (αφαιρώντας τα usernames/passwords)

taxiarxos
23-11-10, 22:27
Ναι λογικό είναι αυτό που λες. θα πρέπει να αλλάξεις ip στο laptop σου σε 192.168.0.x κ να ξαναμπείς μέσα κ να κάνεις wr. Αλλιώς για να μην παιδευεσαι βάλε κονσόλα. Οταν αλλάξεις την ip του router σου από 10.10.10.1 σε 192.168.0.x πρέπει να αλλάξεις κ την default ACL λογικά είναι η STD ACL 1 από 10.10.10.0 0.0.0.255 σε 192.168.0.0 0.0.0.255 για να σου κάνει nat το σωστό subnet.

tsangaris
23-11-10, 22:35
My router's configuration:


=========================================


Router#show configuration
Using 3696 out of 131072 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 xxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2114067433
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2114067433
revocation-check none
rsakeypair TP-self-signed-2114067433
!
!
crypto pki certificate chain TP-self-signed-2114067433
certificate self-signed 01 nvram:IOS-Self-Sig#8.cer
dot11 syslog
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
!
!
!
username username privilege 15 password 7 xxxxxxxxxxxxxxxxxxxxxx
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description WAN
no ip address
shutdown
duplex auto
speed auto
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
access-list 23 permit 10.10.10.0 0.0.0.7
no cdp run
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Configuration Professional (Cisco CP) is installed on this device
and it provides the default username "cisco" for one-time use. If you have
already used the username "cisco" to login to the router and your IOS image
supports the "one-time" user option, then this username has already expired.
You will not be able to login to the router with this username after you exit
this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you
want to use.

-----------------------------------------------------------------------
^C
banner login ^C
-----------------------------------------------------------------------
Cisco Configuration Professional (Cisco CP) is installed on this device.
This feature requires the one-time use of the username "cisco" with the
password "cisco". These default credentials have a privilege level of 15.

YOU MUST USE CISCO CP or the CISCO IOS CLI TO CHANGE THESE
PUBLICLY-KNOWN CREDENTIALS

Here are the Cisco IOS commands.

username <myuser> privilege 15 secret 0 <mypassword>
no username cisco

Replace <myuser> and <mypassword> with the username and password you want
to use.

IF YOU DO NOT CHANGE THE PUBLICLY-KNOWN CREDENTIALS, YOU WILL
NOT BE ABLE TO LOG INTO THE DEVICE AGAIN AFTER YOU HAVE LOGGED OFF.

For more information about Cisco CP please follow the instructions in the
QUICK START GUIDE for your router or go to http://www.cisco.com/go/ciscocp
-----------------------------------------------------------------------
^C
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 0 0
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

=========================================

Κανω κατι λαθος και δεν το προσεξα? Ή προυπαρχει κατι στον router που εμποδιζει αυτο που προσπαθω να κανω?

Ευχαριστω.

euri
23-11-10, 22:43
Υπάρχει η ACL 23 η οποία επιτρέπει τη σύνδεση μέσω SDM και μέσω κονσόλας μόνο για το δίκτυο 10.10.10.0.

Άλλαξε αυτήν τη γραμμή σε κάτι που να ταιριάζει με το δικό σου δίκτυο και θα μπορείς να συνδεθείς.

taxiarxos
23-11-10, 23:13
Πρέπει να φτιάξεις το BVI1 interface να βγάλεις την IP από το VLAN1 κ να βάλεις IP επάνω στο Bridge goup. Επίσης άλλαξε το ACL 23. ;)

tsangaris
24-11-10, 16:51
Μολις αλλαξα την ACL 23 εγινε δεκτη και η αλλαγη ip για το interface vlan1. Ευχαριστω πολυ για την βοηθεια.

Ενα προβλημα που παρουσιαστηκε στη δουλεια και ειναι αξιο απορειας:
Ενας server( εστω server 1) ητανε κάτω απο την ACL IN_OUT_NEW η οποια εκοβε το ιντερνετ στους χρηστες του σερβερ και αφηνε μόνο μερικα websites ανοικτά για σκοπους επικοινωνιας του σερβερ αυτου με τον κεντρικο στην Γερμανια. Πριν λίγες μέρες αντικαταστησα τον σερβερ αυτο με ενα καινουριο (εστω server 2). O server 2 τρεχει ακριβως στο ιδιο ip address με τον προηγουμενο, ειναι κάτω απο την ιδια ACL ακριβως, ομώς χαθήκε η επικοινωνια του με τον κεντρικο σερβερ στην Γερμανια.

Το ιδιο προβλημα το ειχε παθεί και ο παλιος σερβερ, αλλα μολις εβαλα στα exceptions της ΑCL να κάνει permit το συγκεκριμενο ip address απο το port 80, το προβλημα λυθηκε και είχα επικοινωνια.

Τι μπορει να διαφέρει μεταξύ των 2 σερβερ και ο παλίος να επικοινωνει ενώ ο καινουριος οχι? ( απαντηση του στυλ: "o παλιος ειναι αλλιως " δεν βοηθανε !! :) )

Ευχαριστω.

euri
24-11-10, 18:37
Μήπως κάποιος από τους δύο (μάλλον ο νέος) έχει ρυθμισμένο proxy server;

tsangaris
24-11-10, 20:35
Αν εννοεις απο Internet option-->Connections-->LAN Setting-->Proxy server, τοτε δεν εχει ρυθμισμενο τπτ..

gbil
24-11-10, 21:00
Μολις αλλαξα την ACL 23 εγινε δεκτη και η αλλαγη ip για το interface vlan1. Ευχαριστω πολυ για την βοηθεια.

Ενα προβλημα που παρουσιαστηκε στη δουλεια και ειναι αξιο απορειας:
Ενας server( εστω server 1) ητανε κάτω απο την ACL IN_OUT_NEW η οποια εκοβε το ιντερνετ στους χρηστες του σερβερ και αφηνε μόνο μερικα websites ανοικτά για σκοπους επικοινωνιας του σερβερ αυτου με τον κεντρικο στην Γερμανια. Πριν λίγες μέρες αντικαταστησα τον σερβερ αυτο με ενα καινουριο (εστω server 2). O server 2 τρεχει ακριβως στο ιδιο ip address με τον προηγουμενο, ειναι κάτω απο την ιδια ACL ακριβως, ομώς χαθήκε η επικοινωνια του με τον κεντρικο σερβερ στην Γερμανια.

Το ιδιο προβλημα το ειχε παθεί και ο παλιος σερβερ, αλλα μολις εβαλα στα exceptions της ΑCL να κάνει permit το συγκεκριμενο ip address απο το port 80, το προβλημα λυθηκε και είχα επικοινωνια.

Τι μπορει να διαφέρει μεταξύ των 2 σερβερ και ο παλίος να επικοινωνει ενώ ο καινουριος οχι? ( απαντηση του στυλ: "o παλιος ειναι αλλιως " δεν βοηθανε !! :) )

Ευχαριστω.

Βάλε ένα log entry στην ACL να δεις αν κόβει κάτι, επίσης πάνω στον server τρέξε wireshark να δεις πως προσπαθεί να επικοινωνήσει.

tsangaris
24-11-10, 21:20
Kαλη η σκεψη με το wireshark. Θα το δω αυριο το πρωι στην δουλεια. Οσο για το log entry, πως το κανω?

gbil
24-11-10, 22:06
Kαλη η σκεψη με το wireshark. Θα το δω αυριο το πρωι στην δουλεια. Οσο για το log entry, πως το κανω?

Στο τέλος της ACL βάλε ένα deny any any και στο τέλος της λέξη log, έτσι θα γράφει στο log τι κόβει.

tsangaris
24-11-10, 22:35
Ευχαριστω! Θα τα δοκιμασω και θα επανελθω!

@ ADSLgr.com All rights reserved.