Cisco console access

Line con 0
Login local

Als je natuurlijk iemand hebt die de apparatuur altijd via extern beheert, of gewoon met kabel op een van de switch poorten ben je natuurlijk geen con 0 nodig.

Maar meestal is het wel handig om in ieder geval een vorm van authenticatie op de con 0 poort te hebben. Zeker weten dat als je met een show run kijkt dat er bij Line con 0 niks staat?

Sorry, had het half gelezen

Bij ons houden we con0 altijd als backdoor beschikbaar, in het geval van een storing zal de netwerkengineer onsite toch in moeten kunnen loggen, al kan dit zonder geconfigureerde login ook op diverse manieren (denk aan password recovery vanuit de rommon). In ieder geval komt er wel degelijk een authenticatie op te staan, middels tacacs+, en als deze niet bereikbaar is gewoon een local login.

[ Voor 6% gewijzigd door MisteRMeesteR op 15-07-2013 16:50 ]

Ik weet niet hoe de rest van je conf eruit ziet, maar als je de radius server onbereikbaar maakt (kabel eruit) kun je volgens mij gelijk connecten via de console en dan via de local account

Verwijderd schreef op maandag 15 juli 2013 @ 16:26:
Heb weinig ervaring met Cisco. Huidige situatie bij cisco devices:
Via ssh + radius gaat het prima. Console heb ik een paar vragen over.

AAA settings:
aaa authentication login default group radius local
aaa authorization exec default group radius local

Console line:
line con 0
exec-timeout 45 0

Local account:
username pietjuh password abc123

Via console kabel kan ik niet inloggen met pietjuh, dit klopt toch? En met Radius?

Hoe slecht is het als een netwerkbeheerder (extern) dit op deze manier inricht? dus dat je geen lokale toegang hebt? Of is dit gebruikelijk?

Dank!

Het komt omdat de Cisco device eerst via radius gaat controleren en ziet dan de user niet bestaat. Dus het klopt.
Je komt pas binnen als de radius server niet reageert of faalt. Dan controleert de Cisco device op zijn locale user(s) database. Die user is ingebouwd als backdoor als het IT infrastructuur plat ligt of de radius server is down.

Verwijderd schreef op dinsdag 16 juli 2013 @ 08:57:
[...]


Hoi,

Dank voor je/jullie antwoord(en). Je hebt het over een fallback als de Radius server down is of niet te bereiken is. Maar werkt die fallback ook op de console poort met alleen deze instellingen?

line con 0
exec-timeout 45 0

Met deze instelling staat alles toch potdicht?

Bedankt!

Kort antwoord: Ja.

Met commando "aaa authentication login default group radius local", zoekt de Cisco device bij elke login, dus ook via console poort en ssh, de radius server. Dus eerst via radius (group radius) dan pas lokaal database (local).

De standaard van Cisco tegenwoordig is dat er een default commando onder alle line con en vty zit, die je zoals vaak bij Cisco niet ziet omdat het default is. Dat commando is: login authentication default

'default' is hier een group-name, die met de aaa commando's verder gespecificeerd kan worden. Zie hieronder het commando wat je 'toevoegt' maar dat toch onzichtbaar blijft:


S3_2960G#show run | b con 0
line con 0
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
!
end

S3_2960G#conf t
Enter configuration commands, one per line. End with CNTL/Z.
S3_2960G(config)#line con 0
S3_2960G(config-line)#login authentication default
S3_2960G(config-line)#^Z
S3_2960G#show run | b con 0
line con 0
line vty 0 4
transport input ssh
line vty 5 15
transport input ssh
!
end

S3_2960G#