Mam sobie laba na switchach (dlatego wrzucam ten temat tutaj).
Jest skonfigurowany i gotowy do labowania i chciałbym go udostępnić kilku osobom. Mogą sobie robić co chcą a na koniec mają zrestartować switche.
Chciałbym jednak ograniczyć możliwość zapisywania konfiguracji, żeby przez przypadek nie nadpisali mi konfiguracji bazowej - sam często odruchowo robię "do wr".
Czy da się zmienić np. jakiś klucz w rejestrze? To nie musi być zabezpieczenie nie do obejścia, ale takie, żeby przypadkiem nie nadpisać konfiguracji bazowej.
ograniczenie zapisu konfiguracji
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: ograniczenie zapisu konfiguracji
Moze byc ciezko, jezeli mialbys userow przez ACS to mozesz wtedy ladnie regulki porobic. (ACL)rysic pisze:Mam sobie laba na switchach (dlatego wrzucam ten temat tutaj).
Jest skonfigurowany i gotowy do labowania i chciałbym go udostępnić kilku osobom. Mogą sobie robić co chcą a na koniec mają zrestartować switche.
Chciałbym jednak ograniczyć możliwość zapisywania konfiguracji, żeby przez przypadek nie nadpisali mi konfiguracji bazowej - sam często odruchowo robię "do wr".
Czy da się zmienić np. jakiś klucz w rejestrze? To nie musi być zabezpieczenie nie do obejścia, ale takie, żeby przypadkiem nie nadpisać konfiguracji bazowej.
Ew zrob im konta z read only access w sumie jak wszystko ustawione, to tylko dostep do outputow im potrzebny.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: ograniczenie zapisu konfiguracji
Ale to jest lab, więc muszą sobie coś konfigurować a ten read only pozwoli im tylko odczytywać, tak? Na czym to polega?
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: ograniczenie zapisu konfiguracji
Jezeli to jest lab, i musza miec mozliwosc zapisu, to sorry ale nie pogodzisz to w ten sposob, daj kazdemu zakres portow na ktorych maja pracowac, i nie opisana umowa miedzy wami, aby nie ruszac edge port i pozostalych portow i tyle.rysic pisze:Ale to jest lab, więc muszą sobie coś konfigurować a ten read only pozwoli im tylko odczytywać, tak? Na czym to polega?
Czyli masz switch 48 port. User A ma swoje zabawki na portach 1-8, niech sie bawi, ale aby nie ruszal pozostalej czesci.
Inczej nie mam pomyslu, albo user per switch hmm
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: ograniczenie zapisu konfiguracji
W załączniku mój LAB.
Myślę, że danie po jednym switchu, albo ograniczenie do konfiguracji portów nie jest rozwiązaniem, choćby ze względu na możliwość polabowania agregacji portów.
Oczywiście ustna umowa - nie zapisywać cfg może być, ale tak jak pisałem, ja sam czasem odruchowo jestem w stanie zapisać konfigurację.
Jest możliwość zdalnego restartu urządzeń, więc powinni sobie szaleć do woli, nawet się odciąć od sprzętu, byle nie zapisać nic do starup config.
Przychodzi mi do głowy, że Cisco bazuje na Unixie a skoro unix, to może da się ustawić jakieś urpawnienia read only na starup confiug?
Ewentualnie, jeśli nie da się w ten sposób, to może bym się nauczył stawiać jakiegoś darmowego ACS-a/Radiusa cokolwiek co by mi pozwoliło precyzyjnie zarządzać uprawnieniami, tylko to by mi pewnie zajęło chwilę...
Myślę, że danie po jednym switchu, albo ograniczenie do konfiguracji portów nie jest rozwiązaniem, choćby ze względu na możliwość polabowania agregacji portów.
Oczywiście ustna umowa - nie zapisywać cfg może być, ale tak jak pisałem, ja sam czasem odruchowo jestem w stanie zapisać konfigurację.
Jest możliwość zdalnego restartu urządzeń, więc powinni sobie szaleć do woli, nawet się odciąć od sprzętu, byle nie zapisać nic do starup config.
Przychodzi mi do głowy, że Cisco bazuje na Unixie a skoro unix, to może da się ustawić jakieś urpawnienia read only na starup confiug?
Ewentualnie, jeśli nie da się w ten sposób, to może bym się nauczył stawiać jakiegoś darmowego ACS-a/Radiusa cokolwiek co by mi pozwoliło precyzyjnie zarządzać uprawnieniami, tylko to by mi pewnie zajęło chwilę...
Re: ograniczenie zapisu konfiguracji
Eee a taki trik nie zalatwi sprawy?
Kod: Zaznacz cały
boot config-file flash:/
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: ograniczenie zapisu konfiguracji
Calosc jest na GNS ? czy to sa fizyczne pudelka ?rysic pisze:W załączniku mój LAB.
Myślę, że danie po jednym switchu, albo ograniczenie do konfiguracji portów nie jest rozwiązaniem, choćby ze względu na możliwość polabowania agregacji portów.
Oczywiście ustna umowa - nie zapisywać cfg może być, ale tak jak pisałem, ja sam czasem odruchowo jestem w stanie zapisać konfigurację.
Jest możliwość zdalnego restartu urządzeń, więc powinni sobie szaleć do woli, nawet się odciąć od sprzętu, byle nie zapisać nic do starup config.
Przychodzi mi do głowy, że Cisco bazuje na Unixie a skoro unix, to może da się ustawić jakieś urpawnienia read only na starup confiug?
Ewentualnie, jeśli nie da się w ten sposób, to może bym się nauczył stawiać jakiegoś darmowego ACS-a/Radiusa cokolwiek co by mi pozwoliło precyzyjnie zarządzać uprawnieniami, tylko to by mi pewnie zajęło chwilę...
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: ograniczenie zapisu konfiguracji
Fizyczne, na GNSie nie da się labować switchingu - a przynajmniej nie do CCNP (swoją drogą, jeśli ktoś poleci jakieś dobre LABy do CCNP to będę wdzięczny).Wojtachinho pisze:Calosc jest na GNS ? czy to sa fizyczne pudelka ?rysic pisze:W załączniku mój LAB.
Myślę, że danie po jednym switchu, albo ograniczenie do konfiguracji portów nie jest rozwiązaniem, choćby ze względu na możliwość polabowania agregacji portów.
Oczywiście ustna umowa - nie zapisywać cfg może być, ale tak jak pisałem, ja sam czasem odruchowo jestem w stanie zapisać konfigurację.
Jest możliwość zdalnego restartu urządzeń, więc powinni sobie szaleć do woli, nawet się odciąć od sprzętu, byle nie zapisać nic do starup config.
Przychodzi mi do głowy, że Cisco bazuje na Unixie a skoro unix, to może da się ustawić jakieś urpawnienia read only na starup confiug?
Ewentualnie, jeśli nie da się w ten sposób, to może bym się nauczył stawiać jakiegoś darmowego ACS-a/Radiusa cokolwiek co by mi pozwoliło precyzyjnie zarządzać uprawnieniami, tylko to by mi pewnie zajęło chwilę...
Natomiast rysunek wykonany jest w GNS.
Re: ograniczenie zapisu konfiguracji
Jeśli dobrze rozumiem działanie tego polecenia to zmienia on nazwę pliku w którym zapisywana jest konfiguracja. Natomiast system chyba ma tego świadomość? Robiąc "write" albo "copu run startup" użyje chyba nowego pliku?vrankom pisze:Eee a taki trik nie zalatwi sprawy?
Kod: Zaznacz cały
boot config-file flash:/
Re: ograniczenie zapisu konfiguracji
najpierw wykonaj na jakims switchu
-
PatrykW
- wannabe
- Posty: 1742
- Rejestracja: 31 paź 2008, 16:05
- Lokalizacja: UI.PL / Ubiquiti Polska.pl
- Kontakt:
Re: ograniczenie zapisu konfiguracji
No tak, ja uzywam UNL.rysic pisze:Fizyczne, na GNSie nie da się labować switchingu - a przynajmniej nie do CCNP (swoją drogą, jeśli ktoś poleci jakieś dobre LABy do CCNP to będę wdzięczny).Wojtachinho pisze:Calosc jest na GNS ? czy to sa fizyczne pudelka ?rysic pisze:W załączniku mój LAB.
Myślę, że danie po jednym switchu, albo ograniczenie do konfiguracji portów nie jest rozwiązaniem, choćby ze względu na możliwość polabowania agregacji portów.
Oczywiście ustna umowa - nie zapisywać cfg może być, ale tak jak pisałem, ja sam czasem odruchowo jestem w stanie zapisać konfigurację.
Jest możliwość zdalnego restartu urządzeń, więc powinni sobie szaleć do woli, nawet się odciąć od sprzętu, byle nie zapisać nic do starup config.
Przychodzi mi do głowy, że Cisco bazuje na Unixie a skoro unix, to może da się ustawić jakieś urpawnienia read only na starup confiug?
Ewentualnie, jeśli nie da się w ten sposób, to może bym się nauczył stawiać jakiegoś darmowego ACS-a/Radiusa cokolwiek co by mi pozwoliło precyzyjnie zarządzać uprawnieniami, tylko to by mi pewnie zajęło chwilę...
Natomiast rysunek wykonany jest w GNS.
.ılı..ılı.
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
http://www.linkedin.com/in/pwojtachnio
Potrzebujesz projektu na studia z zakresu Cisco Packet Tracer & GNS ? Just give me call
Integrujemy i wspieramy IT
https://www.ui.pl | https://facebook.com/UIPolska
Jedyne rozwiązania Ubiquiti Networks w Polsce!
https://ubiquitipolska.pl | https://www.facebook.com/groups/Ubiquiti.Polska
Re: ograniczenie zapisu konfiguracji
rm -rf /vrankom pisze:najpierw wykonaj na jakims switchu
Lubię wiedzieć co robię
Poczytam 
Re: ograniczenie zapisu konfiguracji
Jeszcze nie testowałem tego rozwiązania z
ale przyszło mi na myśl jeszcze inne rozwiazanie. Czy jeśli ustawię wczytywanie konfiguracji z TFTP (a może i nawet obrazy, bo też mogą uszkodzić) to po użyciu kompendy "copy run start" te ustawienia sie nadpiszą, czy nadl będzie zaczytywać z TFTP?
Kod: Zaznacz cały
boot config-file flash:/
Re: ograniczenie zapisu konfiguracji
Ustaw AAA tacacs i ogranicz komendy jakie dany uzytkownik moze wykonywac.
deny "copy .*"
deny "write .*"
deny "copy .*"
deny "write .*"
-
freel4ncer
- wannabe
- Posty: 581
- Rejestracja: 27 wrz 2007, 01:13
Re: ograniczenie zapisu konfiguracji
stawiaj tacacsa np shrubbery albo probono ja mam probono na centosie w produkcji postawienie tego to doslownie pare minut.