Di seguito verranno descritti alcuni comandi che rendono più produttività l'esperienza di amministrazione di una macchina Cisco, soprattutto nel contesto laboratoriale. Infatti, a differenza del contesto di produzione, nell'attività di laboratorio si tende a privilegiare sicuramente la semplificazione operativa anche se a scapito della sicurezza.
1. Non impostare password
Quando si usa la CLI in ambito laboratoriale (sia reale ma anche con Packet tracer) gli apparati vengono usati da più studenti; una password non conosciuta, impostata da un altro studente, comporta il reset fisico dell'apparato con evidenti ricadute sull'esperienza di laboratorio. Pertanto è buona norma non impostare alcuna password in nessuna modalità utente o privilegiata.
2. Disabilitare il DNS lookup
E' il primo comando EXEC sicuramente da immettere (subito dopo quello dell'assegnazione dell'hostname). Forse è quello più indispensabile.
Quando si inserisce un comando errato, in alcune circostanze, il sistema prova a interrogare il server DNS impostato di default, nel tentativo di risolvere il nome (ipotizza che la stringa immessa sia il nome di un host al quale ci si vuole collegare). Esempio:
Switch# conifg Translating "conifg"...domain server (255.255.255.255)
% Unknown command or computer name, or unable to find computer address
Switch# config terminal
Switch(config)# no ip domain-lookup
3. Mitigare i disturbi del syslogging su console
Il demone syslog del sistema operativo Cisco IOS logga sulla console, in qualsiasi momento, messaggi di sistema, per esempio attivazione/disattivazione di interfaccia, messaggi di protocolli ecc. Se in quel momento si sta, per esempio, usando la console per inserire un comando questo verrà "spezzato" e nel mezzo inserito il messaggio di syslog. Esempio:
R0(config-if)#ip address 192.168.1.10 255.2 %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to down 55.255.0
Switch(config)# line console 0
Switch(config-line)# no logging console
Questa soluzione potrebbe però impedire di leggere messaggi importanti di sistema. Esistono diverse soluzioni alternative che risolvono o mitigano il problema (si rimanda a questo link).
Il metodo consigliato sui testi Cisco è quello di mantenere abilitato il logging su console, ma in modo "sincrono". In questo modo il comando che si stava inserendo verrà ristampato esattamente dopo la stampa su console dell'evento syslog:
R0(config)#ip address 192.168.1.10 255.2 %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up R0(config)#ip address 192.168.1.10 255.2
ll logging sincrono viene abilitato con i seguenti comandi:
Switch(config)# line console 0
Switch(config-line)# logging synchronous
Se si prevede di usare login SSH/Telnet (VTY terminal) , ripetere i comandi:
Switch(config)# line vty 0 15
Switch(config-line)# logging synchronous
4. Disabilitare il timeout di sessione
Di default dopo 5 minuti di inattività (sia console che SSH/Telnet), il sistema disconnette l'accesso. E' evidente che in un ambiente esercitativo, non di produzione, sarebbe preferibile non disconnettere mai che viene codificato con la coppia 0 ore, 0 min:
Switch(config)# line console 0
Switch(config-line)# exec-timeout 0 0
Se si prevede di usare login SSH/Telnet (Virtual Teletype) , ripetere i comandi:
Switch(config)# line vty 0 15
Switch(config-line)# exec-timeout 0 0
Ovviamente per salvare sulla memoria di avvio le modifiche fatte e quindi non perderle con un reboot della macchina, occorrerà lanciare il comando:
Switch# copy run start
________________
Sitografia/Bibliografia
- Solved: logging synchronous - Cisco Community
- WENDELL ODOM, CCENT/CCNA ICND1 100-105, CISCOPRESS
Nessun commento:
Posta un commento