Cisco IOS Access

2.1.1

Operating Systems
Tutti i dispositivi finali e i dispositivi di rete richiedono un sistema operativo (OS). Come mostrato nella
figura, la parte del sistema operativo che interagisce direttamente con l'hardware del computer è nota
come kernel. La parte che si interfaccia con le applicazioni e l'utente è nota come shell. L'utente può
interagire con la shell utilizzando un'interfaccia a riga di comando (CLI) o un'interfaccia utente grafica (GUI).

 Shell - L'interfaccia utente che consente agli utenti di richiedere attività specifiche dal computer.
Queste richieste possono essere effettuate tramite le interfacce CLI o GUI.
 Kernel: comunica tra l'hardware e il software di un computer e gestisce il modo in cui le risorse
hardware vengono utilizzate per soddisfare i requisiti software.
 Hardware: la parte fisica di un computer, inclusa l'elettronica sottostante.

Quando si utilizza una CLI, l'utente interagisce direttamente con il sistema in un ambiente basato su testo
immettendo comandi sulla tastiera al prompt dei comandi, come mostrato nell'esempio. Il sistema esegue il
comando, fornendo spesso output testuale. L'interfaccia a riga di comando richiede un sovraccarico minimo
per funzionare. Tuttavia, richiede che l'utente conosca la struttura di comando sottostante che controlla il
sistema.
analyst@secOps ~]$

ls Desktop Downloads lab.support.files second_drive

[analyst@secOps ~]$
2.1.2
GUI
Una GUI come Windows, macOS, Linux KDE, Apple iOS o Android consente all'utente di interagire con il
sistema utilizzando un ambiente di icone grafiche, menu e finestre. L'esempio di GUI nella figura è più
intuitivo e richiede una minore conoscenza della struttura dei comandi sottostante che controlla il sistema.
Per questo motivo, la maggior parte degli utenti fa affidamento su ambienti GUI.

Tuttavia, le GUI potrebbero non essere sempre in grado di fornire tutte le funzionalità disponibili con la CLI.
Le GUI possono anche non funzionare, bloccarsi o semplicemente non funzionare come specificato. Per
questi motivi, l'accesso ai dispositivi di rete avviene in genere tramite una CLI. La CLI è meno dispendiosa in
termini di risorse e molto stabile rispetto a una GUI.

La famiglia di sistemi operativi di rete utilizzati su molti dispositivi Cisco è denominata Cisco Internetwork
Operating System (IOS). Cisco IOS viene utilizzato su molti router e switch Cisco indipendentemente dal tipo
o dalle dimensioni del dispositivo. Ciascun tipo di router o switch del dispositivo utilizza una versione
diversa di Cisco IOS. Altri sistemi operativi Cisco includono IOS XE, IOS XR e NX-OS.

Nota: il sistema operativo sui router domestici è generalmente chiamato firmware. Il metodo più comune
per configurare un router domestico consiste nell'utilizzare una GUI basata su browser Web.
2.1.3

Purpose of an OS
I sistemi operativi di rete sono simili a un sistema operativo per PC. Attraverso una GUI, un sistema
operativo per PC consente all'utente di eseguire le seguenti operazioni:

 Utilizzare un mouse per effettuare selezioni ed eseguire programmi

 Immettere testo e comandi basati su testo
 Visualizza l'output su un monitor

Un sistema operativo di rete basato su CLI (ad es. Cisco IOS su uno switch o un router) consente a un
tecnico di rete di eseguire le seguenti operazioni:

 Utilizzare una tastiera per eseguire programmi di rete basati su CLI

 Utilizzare una tastiera per inserire testo e comandi basati su testo
 Visualizza l'output su un monitor

I dispositivi di rete Cisco eseguono versioni particolari di Cisco IOS. La versione IOS dipende dal tipo di
dispositivo utilizzato e dalle funzionalità richieste. Sebbene tutti i dispositivi siano dotati di un IOS
predefinito e di un set di funzionalità, è possibile aggiornare la versione di IOS o il set di funzionalità per
ottenere funzionalità aggiuntive.
2.1.4

Access Methods
Uno switch inoltrerà il traffico per impostazione predefinita e non è necessario che sia configurato in modo
esplicito per funzionare. Ad esempio, due host configurati connessi allo stesso nuovo switch sarebbero in
grado di comunicare.
Indipendentemente dal comportamento predefinito di un nuovo switch, tutti gli switch devono essere
configurati e protetti.

Method Description
Questa è una porta di gestione fisica che fornisce
l'accesso fuori banda a un dispositivo Cisco.
L'accesso fuori banda si riferisce all'accesso tramite
un canale di gestione dedicato utilizzato solo per
scopi di manutenzione del dispositivo. Il vantaggio
dell'utilizzo di una porta console è che il dispositivo
Console
è accessibile anche se non sono configurati servizi
di rete, come l'esecuzione della configurazione
iniziale. Per una connessione alla console sono
necessari un computer che esegue un software di
emulazione del terminale e uno speciale cavo della
console per la connessione al dispositivo.
SSH è un metodo in-band consigliato per stabilire
in remoto una connessione CLI sicura, attraverso
un'interfaccia virtuale, su una rete. A differenza di
una connessione console, le connessioni SSH
richiedono servizi di rete attivi sul dispositivo,
Secure Shell (SSH)
inclusa un'interfaccia attiva configurata con un
indirizzo. La maggior parte delle versioni di Cisco
IOS include un server SSH e un client SSH che
possono essere utilizzati per stabilire sessioni SSH
con altri dispositivi.
Telnet è un metodo in-band non sicuro per
stabilire in remoto una sessione CLI, tramite
un'interfaccia virtuale, su una rete. A differenza di
SSH, Telnet non fornisce una connessione sicura e
crittografata e dovrebbe essere utilizzato solo in un
Telnet
ambiente di laboratorio. Autenticazione utente,
password e comandi vengono inviati in rete in
chiaro. La migliore pratica consiste nell'usare SSH
invece di Telnet. Cisco IOS include sia un server
Telnet che un client Telnet.
Nota: alcuni dispositivi, come i router, possono anche supportare una porta ausiliaria legacy utilizzata per
stabilire una sessione CLI in remoto tramite una connessione telefonica utilizzando un modem. Simile a una
connessione alla console, la porta AUX è fuori banda e non richiede la configurazione o la disponibilità di
servizi di rete.
2.1.5

Terminal Emulation Programs

Esistono diversi programmi di emulazione di terminale che è possibile utilizzare per connettersi a un
dispositivo di rete tramite una connessione seriale su una porta della console o tramite una connessione
SSH/Telnet. Questi programmi consentono di aumentare la produttività regolando le dimensioni delle
finestre, modificando le dimensioni dei caratteri e modificando le combinazioni di colori.

Tera Term:
PuTTY:
SecureCRT:
IOS Navigation
2.2.1

Primary Command Modes

Nell'argomento precedente, hai appreso che tutti i dispositivi di rete richiedono un sistema operativo e che
possono essere configurati utilizzando la CLI o una GUI. L'utilizzo della CLI può fornire all'amministratore di
rete un controllo e una flessibilità più precisi rispetto all'utilizzo della GUI. Questo argomento illustra
l'utilizzo della CLI per navigare in Cisco IOS.

Come funzionalità di sicurezza, il software Cisco IOS separa l'accesso di gestione nelle due modalità di
comando seguenti:

 Modalità EXEC utente - questa modalità ha capacità limitate ma è utile per le operazioni di base.
Consente solo un numero limitato di comandi di monitoraggio di base ma non consente
l'esecuzione di comandi che potrebbero modificare la configurazione del dispositivo. La modalità
EXEC utente è identificata dal prompt CLI che termina con il simbolo >.
 Modalità EXEC con privilegi - per eseguire i comandi di configurazione, un amministratore di rete
deve accedere alla modalità EXEC con privilegi. Modalità di configurazione superiori, come la
modalità di configurazione globale, possono essere raggiunte solo dalla modalità EXEC privilegiata.
La modalità EXEC privilegiata è identificabile dal prompt che termina con il simbolo #.

La tabella riassume le due modalità e visualizza i prompt CLI predefiniti di uno switch e un router Cisco.

Command Mode Description Default Device Prompt

 La modalità consente
l'accesso solo a un
numero limitato di
comandi di monitoraggio Switch>
User Exec Mode
di base. Router>
 Viene spesso definita
modalità "solo
visualizzazione".
 La modalità consente
l'accesso a tutti i
comandi e le
funzionalità.
 L'utente può utilizzare Switch#
Privileged EXEC Mode
qualsiasi comando di Router#
monitoraggio ed
eseguire comandi di
configurazione e
gestione.

2.2.2

Configuration Mode and Subconfiguration Modes

Per configurare il dispositivo, l'utente deve accedere alla modalità di configurazione globale, comunemente
chiamata modalità di configurazione globale.

Dalla modalità di configurazione globale, vengono apportate modifiche alla configurazione della CLI che
influiscono sul funzionamento del dispositivo nel suo insieme. La modalità di configurazione globale è
identificata da un prompt che termina con (config)# dopo il nome del dispositivo, ad esempio
Switch(config)#.

Si accede alla modalità di configurazione globale prima di altre modalità di configurazione specifiche. Dalla
modalità di configurazione globale, l'utente può accedere a diverse modalità di sottoconfigurazione.
Ognuna di queste modalità consente la configurazione di una particolare parte o funzione del dispositivo
IOS. Due modalità di sottoconfigurazione comuni includono:

 Modalità di configurazione della linea: utilizzata per configurare l'accesso alla console, SSH, Telnet
o AUX.
 Modalità di configurazione dell'interfaccia: utilizzata per configurare una porta dello switch o
un'interfaccia di rete del router.

Quando viene utilizzata la CLI, la modalità è identificata dal prompt della riga di comando che è univoco per
quella modalità. Per impostazione predefinita, ogni prompt inizia con il nome del dispositivo. Dopo il nome,
il resto del prompt indica la modalità. Ad esempio, il prompt predefinito per la modalità di configurazione
della linea è Switch(config-line)# e il prompt predefinito per la modalità di configurazione dell'interfaccia è
Switch(config-if)#
2.2.4

Navigate Between IOS Modes

Vari comandi vengono utilizzati per spostarsi all'interno e all'esterno dei prompt dei comandi. Per passare
dalla modalità EXEC utente alla modalità EXEC privilegiata, utilizzare il comando enable. Utilizzare il
comando disable modalità EXEC privilegiata per tornare alla modalità EXEC utente.

Nota: la modalità EXEC privilegiata è talvolta chiamata modalità di abilitazione. Per entrare e uscire dalla
modalità di configurazione globale, utilizzare il comando configure terminal privilegiate EXEC mode. Per
tornare alla modalità EXEC privilegiata, immettere il comando exit global config mode.

Esistono diverse modalità di sottoconfigurazione. Ad esempio, per entrare in modalità di

sottoconfigurazione della linea, utilizzare il comando di linea seguito dal tipo di linea di gestione e dal
numero a cui si desidera accedere. Utilizzare il comando exit per uscire da una modalità di
sottoconfigurazione e tornare alla modalità di configurazione globale.

Switch(config)# line console 0

Switch(config-line)# exit
Switch(config)#

Per passare da qualsiasi modalità di sottoconfigurazione della modalità di configurazione globale alla
modalità un gradino sopra di essa nella gerarchia delle modalità, immettere il comando exit.

Per passare da qualsiasi modalità di sottoconfigurazione alla modalità EXEC privilegiata, immettere il
comando di fine o immettere la combinazione di tasti Ctrl+Z.

Switch(config-line)# end
Switch#

You can also move directly from one subconfiguration mode to another. Notice how after selecting an
interface, the command prompt changes from (config-line)# to (config-if)#.

Switch(config-line)# interface FastEthernet 0/1

Switch(config-if)#

2.2.6

A Note About Syntax Checker Activities

Quando impari a modificare le configurazioni del dispositivo, potresti voler iniziare in un ambiente sicuro e
non di produzione prima di provarlo su apparecchiature reali. NetAcad ti offre diversi strumenti di
simulazione per aiutarti a sviluppare le tue capacità di configurazione e risoluzione dei problemi. Poiché si
tratta di strumenti di simulazione, in genere non hanno tutte le funzionalità delle apparecchiature reali.
Uno di questi strumenti è il controllo della sintassi. In ogni verifica della sintassi, viene fornita una serie di
istruzioni per immettere una serie specifica di comandi. Non è possibile avanzare in Verifica sintassi a meno
che non venga immesso il comando esatto e completo come specificato. Strumenti di simulazione più
avanzati, come Packet Tracer, ti consentono di inserire comandi abbreviati, proprio come faresti su
apparecchiature reali.

The Command Structure

2.3.1

Basic IOS Command Structure

Questo argomento tratta la struttura di base dei comandi per Cisco IOS. Un amministratore di rete deve
conoscere la struttura di comando di base di IOS per poter utilizzare la CLI per la configurazione del
dispositivo. Un dispositivo Cisco IOS supporta molti comandi. Ogni comando IOS ha un formato o una
sintassi specifici e può essere eseguito solo nella modalità appropriata. La sintassi generale di un comando,
mostrata nella figura, è il comando seguito da qualsiasi parola chiave e argomento appropriati.
Keyword - Si tratta di un parametro specifico definito nel sistema operativo (in figura, protocolli ip)

Argument - Questo non è predefinito; è un valore o una variabile definita dall'utente (nella figura
192.168.10.5).

Dopo aver immesso ogni comando completo, comprese le parole chiave e gli argomenti, premere il tasto
Invio per inviare il comando all'interprete dei comandi.

2.3.2

IOS Command Syntax Check

Un comando potrebbe richiedere uno o più argomenti. Per determinare le parole chiave e gli argomenti
richiesti per un comando, fare riferimento alla sintassi del comando. La sintassi fornisce il modello, o
formato, che deve essere utilizzato quando si immette un comando.

Come identificato nella tabella, il testo in grassetto indica i comandi e le parole chiave immesse come
mostrato. Il testo in corsivo indica un argomento per il quale l'utente fornisce il valore.

Convention Description
Il testo in grassetto indica i comandi e le parole
boldface
chiave che inserisci letteralmente come mostrato.
Il testo in corsivo indica gli argomenti per i quali
italics
fornisci i valori.
Le parentesi quadre indicano un elemento
[x]
opzionale (parola chiave o argomento).
Le parentesi graffe indicano un elemento richiesto
{x}
(parola chiave o argomento).
Le parentesi graffe e le linee verticali tra parentesi
quadre indicano una scelta richiesta all'interno di
[x {y | z }]
un elemento opzionale. Gli spazi sono usati per
delineare chiaramente parti del comando.

Ad esempio, la sintassi per l'utilizzo del comando description è description string. L'argomento è un valore
stringa fornito dall'utente. Il comando description viene in genere utilizzato per identificare lo scopo di
un'interfaccia. Ad esempio, inserendo il comando, descrizione Collega allo switch della sede centrale
principale, descrive dove si trova l'altro dispositivo al termine della connessione.

Gli esempi seguenti mostrano le convenzioni utilizzate per documentare e utilizzare i comandi IOS:

 ping indirizzo-ip - Il comando è ping e l'argomento definito dall'utente è l'indirizzo IP del dispositivo
di destinazione. Ad esempio, eseguire il ping 10.10.10.5.
 traceroute ip-address - Il comando è traceroute e l'argomento definito dall'utente è l'indirizzo IP
del dispositivo di destinazione. Ad esempio, traceroute 192.168.254.254.

Se un comando è complesso con più argomenti, potresti vederlo rappresentato in questo modo:

Switch(config-if)# switchport port-security aging { static | time time |

type {absolute | inactivity}}

Il comando sarà in genere seguito da una descrizione dettagliata del comando e di ogni argomento.

Cisco IOS Command Reference è la fonte di informazioni definitiva per un particolare comando IOS.

2.3.3

IOS Help Features

L'IOS ha due forme di aiuto disponibili: guida sensibile al contesto e controllo della sintassi dei comandi.

La guida contestuale ti consente di trovare rapidamente le risposte a queste domande:

 Quali comandi sono disponibili in ciascuna modalità di comando?

 Quali comandi iniziano con caratteri o gruppi di caratteri specifici?
 Quali argomenti e parole chiave sono disponibili per comandi particolari?

Per accedere alla guida sensibile al contesto, è sufficiente inserire un punto interrogativo, ?, nella CLI.

Il controllo della sintassi del comando verifica che l'utente abbia immesso un comando valido. Quando
viene immesso un comando, l'interprete della riga di comando valuta il comando da sinistra a destra. Se
l'interprete comprende il comando, l'azione richiesta viene eseguita e la CLI torna al prompt appropriato.
Tuttavia, se l'interprete non riesce a capire il comando immesso, fornirà un feedback descrivendo cosa c'è
di sbagliato nel comando.
2.3.5

Hot Keys and Shortcuts

L'interfaccia a riga di comando di IOS fornisce tasti di scelta rapida e scorciatoie che semplificano la
configurazione, il monitoraggio e la risoluzione dei problemi. Comandi e parole chiave possono essere
abbreviati al numero minimo di caratteri che identificano una selezione univoca. Ad esempio, il comando
configure può essere abbreviato in conf perché configure è l'unico comando che inizia con conf. Una
versione ancora più breve, con, non funzionerà perché più di un comando inizia con con. Le parole chiave
possono anche essere abbreviate.

La tabella elenca le sequenze di tasti per migliorare la modifica della riga di comando.

Keystroke Description
Completa una voce parziale del nome del
Tab
comando.
Backspace Cancella il carattere a sinistra del cursore.
Ctrl+D Cancella il carattere in corrispondenza del cursore .
Cancella tutti i caratteri dal cursore alla fine della
Ctrl+K
riga di comando.
Cancella tutti i caratteri dal cursore fino alla fine
Esc D
della parola.
Cancella tutti i caratteri dal cursore all'inizio del
Ctrl+U or Ctrl+X
comando
Ctrl+W Cancella la parola a sinistra del cursore.
Ctrl+A Sposta il cursore all'inizio della riga.
Left Arrowor Ctrl+B Sposta il cursore di un carattere a sinistra.
Sposta il cursore indietro di una parola a sinistra.
Esc B

Esc F Sposta il cursore in avanti di una parola a destra.

Right Arrowor Ctrl+F Sposta il cursore di un carattere a destra.
Ctrl+E Sposta il cursore alla fine della riga di comando.
Richiama il comando precedente nel buffer della
Up Arrowor Ctrl+P
cronologia, a partire dal comando più recente.
Down Arrowor Ctrl+N Va alla riga successiva nel buffer della cronologia.
Visualizza nuovamente il prompt di sistema e la
Ctrl+R or Ctrl+I or Ctrl+L riga di comando dopo la ricezione di un messaggio
della console.

Nota: sebbene il tasto Delete in genere elimini il carattere a destra del prompt, la struttura del comando
IOS non riconosce il tasto Elimina.

Quando l'output di un comando produce più testo di quello che può essere visualizzato in una finestra di
terminale, l'IOS visualizzerà un prompt "--More--". La tabella seguente descrive le sequenze di tasti che
possono essere utilizzate quando viene visualizzato questo prompt.

Keystroke Description
Enter Key Visualizza la riga successiva.
Space Bar Visualizza la schermata successiva
Termina la stringa di visualizzazione, tornando al
prompt precedente. * Tranne "y", che risponde "sì"
Any other key *
al prompt --Altro-- e si comporta come la barra
spaziatrice

Questa tabella elenca i comandi utilizzati per uscire da un'operazione.

Keystroke Description
Ctrl-C In qualsiasi modalità di configurazione, termina la
modalità di configurazione e torna alla modalità
 EXEC privilegiata. Quando è in modalità di
configurazione, torna al prompt dei comandi.

In qualsiasi modalità di configurazione, termina la

modalità di configurazione e torna alla modalità
Ctrl-Z
EXEC privilegiata.

Sequenza di interruzioni per tutti gli usi utilizzata

per interrompere ricerche DNS, traceroute, ping,
Ctrl-Shift-6
ecc.

Basic Device Configuration

2.4.1

Device Names
Hai imparato molto su Cisco IOS, sulla navigazione in IOS e sulla struttura dei comandi. Ora sei pronto per
configurare i dispositivi! Il primo comando di configurazione su qualsiasi dispositivo dovrebbe essere quello
di assegnargli un nome dispositivo o hostname univoco. Per impostazione predefinita, a tutti i dispositivi
viene assegnato un nome predefinito di fabbrica. Ad esempio, uno switch Cisco IOS è "Switch".

Il problema è che se tutti gli switch in una rete fossero lasciati con i loro nomi predefiniti, sarebbe difficile
identificare un dispositivo specifico. Ad esempio, come faresti a sapere di essere connesso al dispositivo
giusto quando accedi in remoto utilizzando SSH? Il nome host fornisce la conferma che sei connesso al
dispositivo corretto

Il nome predefinito dovrebbe essere cambiato in qualcosa di più descrittivo. Scegliendo saggiamente i
nomi, è più facile ricordare, documentare e identificare i dispositivi di rete.

Di seguito sono riportate alcune importanti linee guida per la denominazione degli host:

 Inizia con una lettera

 Non contengono spazi
 Termina con una lettera o una cifra
 Usa solo lettere, cifre e trattini
 Essere di lunghezza inferiore a 64 caratteri

Un'organizzazione deve scegliere una convenzione di denominazione che renda facile e intuitivo
identificare un dispositivo specifico. I nomi host utilizzati nell'IOS del dispositivo conservano le maiuscole e i
caratteri minuscoli. Ad esempio, la figura mostra che tre switch, distribuiti su tre piani diversi, sono
interconnessi in una rete. La convenzione di denominazione utilizzata includeva la posizione e lo scopo di
ciascun dispositivo. La documentazione di rete dovrebbe spiegare come sono stati scelti questi nomi in
modo che i dispositivi aggiuntivi possano essere nominati di conseguenza.
Quando i dispositivi di rete vengono nominati, sono facili da identificare ai fini della configurazione.

Una volta identificata la convenzione di denominazione, il passaggio successivo consiste nell'utilizzare la CLI
per applicare i nomi ai dispositivi. Come mostrato nell'esempio, dalla modalità EXEC privilegiata, accedere
alla modalità di configurazione globale immettendo il comando configure terminal. Notare la modifica nel
prompt dei comandi.

Switch# configure terminal

Switch(config)# hostname Sw-Floor-1

Sw-Floor-1(config)#

Dalla modalità di configurazione globale, immettere il comando hostname seguito dal nome dello switch e
premere Invio. Notare la modifica nel nome del prompt dei comandi.

Nota: per riportare il passaggio al prompt predefinito, utilizzare il comando no hostname global config.

Assicurati sempre che la documentazione venga aggiornata ogni volta che un dispositivo viene aggiunto o
modificato. Identifica i dispositivi nella documentazione in base alla loro posizione, scopo e indirizzo.
2.4.2

Password Guidelines
L'uso di password deboli o facilmente intuibili continua a essere il principale problema di sicurezza delle
organizzazioni. I dispositivi di rete, inclusi i router wireless domestici, dovrebbero sempre avere password
configurate per limitare l'accesso amministrativo.

Cisco IOS può essere configurato per utilizzare password in modalità gerarchica per consentire diversi
privilegi di accesso a un dispositivo di rete.

Tutti i dispositivi di rete dovrebbero limitare l'accesso amministrativo proteggendo EXEC privilegiato, EXEC
utente e accesso Telnet remoto con password. Inoltre, tutte le password devono essere crittografate e
devono essere fornite notifiche legali.
Quando si scelgono le password, utilizzare password complesse che non sono facilmente intuibili. Ci sono
alcuni punti chiave da considerare quando si scelgono le password:

 Utilizzare password di lunghezza superiore a otto caratteri.

 Utilizzare una combinazione di lettere maiuscole e minuscole, numeri, caratteri speciali e/o
sequenze numeriche.
 Evita di utilizzare la stessa password per tutti i dispositivi.
 Non usare parole comuni perché sono facilmente intuibili.

Usa una ricerca su Internet per trovare un generatore di password. Molti ti permetteranno di impostare la
lunghezza, il set di caratteri e altri parametri.

Nota: la maggior parte dei laboratori in questo corso utilizza password semplici come Cisco o Class. Queste
password sono considerate deboli e facilmente intuibili e dovrebbero essere evitate negli ambienti di
produzione. Utilizziamo queste password solo per comodità in un ambiente scolastico o per illustrare
esempi di configurazione.
2.4.3

Configure Passwords
Quando ti connetti inizialmente a un dispositivo, sei in modalità EXEC utente. Questa modalità è protetta
utilizzando la console.

Per proteggere l'accesso in modalità EXEC dell'utente, accedere alla modalità di configurazione della
console di linea utilizzando il comando di configurazione globale della console di linea 0, come mostrato
nell'esempio. Lo zero viene utilizzato per rappresentare la prima (e nella maggior parte dei casi l'unica)
interfaccia della console. Quindi, specificare la password della modalità EXEC dell'utente utilizzando il
comando password password. Infine, abilita l'accesso dell'utente EXEC utilizzando il comando login.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line console 0
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#

L'accesso alla console ora richiederà una password prima di consentire l'accesso alla modalità EXEC
dell'utente.

Per avere l'accesso come amministratore a tutti i comandi IOS, inclusa la configurazione di un dispositivo, è
necessario ottenere l'accesso privilegiato in modalità EXEC. È il metodo di accesso più importante perché
fornisce un accesso completo al dispositivo.

Per proteggere l'accesso privilegiato EXEC, utilizzare il comando enable secret password global config, come
mostrato nell'esempio.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# enable secret class
Sw-Floor-1(config)# exit
Sw-Floor-1#
Le linee del terminale virtuale (VTY) consentono l'accesso remoto tramite Telnet o SSH al dispositivo. Molti
switch Cisco supportano fino a 16 linee VTY numerate da 0 a 15.

Per proteggere le linee VTY, entrare in modalità linea VTY utilizzando il comando line vty 0 15 global config.
Quindi, specificare la password VTY utilizzando il comando password password. Infine, abilita l'accesso VTY
usando il comando login.

Viene mostrato un esempio di protezione delle linee VTY su uno switch.

Sw-Floor-1# configure terminal
Sw-Floor-1(config)# line vty 0 15
Sw-Floor-1(config-line)# password cisco
Sw-Floor-1(config-line)# login
Sw-Floor-1(config-line)# end
Sw-Floor-1#

2.4.4

Encrypt Passwords
I file startup-config e running-config mostrano la maggior parte delle password in chiaro. Questa è una
minaccia alla sicurezza perché chiunque può scoprire le password se ha accesso a questi file.

Per crittografare tutte le password in testo normale, utilizzare il comando di configurazione globale di
crittografia della password del servizio come mostrato nell'esempio.
Sw-Floor-1# configure terminal
Sw-Floor-1(config)# service password-encryption
Sw-Floor-1(config)#

Il comando applica una crittografia debole a tutte le password non crittografate. Questa crittografia si
applica solo alle password nel file di configurazione, non alle password inviate sulla rete. Lo scopo di questo
comando è impedire a persone non autorizzate di visualizzare le password nel file di configurazione.

Utilizzare il comando show running-config per verificare che le password siano ora crittografate.
Sw-Floor-1(config)# end
Sw-Floor-1# show running-config
!
(Output omitted)
!
line con 0
password 7 094F471A1A0A
login
!
line vty 0 4
password 7 094F471A1A0A
login
line vty 5 15
password 7 094F471A1A0A
login
!
!
end
2.4.5

Banner Messages
Sebbene la richiesta di password sia un modo per tenere il personale non autorizzato fuori da una rete, è
fondamentale fornire un metodo per dichiarare che solo il personale autorizzato deve tentare di accedere
al dispositivo. Per fare ciò, aggiungi un banner all'output del dispositivo. I banner possono essere una parte
importante del procedimento legale nel caso in cui qualcuno venga perseguito per aver violato un
dispositivo. Alcuni sistemi legali non consentono l'azione penale, e nemmeno il monitoraggio degli utenti, a
meno che non sia visibile una notifica.

Per creare un messaggio banner del giorno su un dispositivo di rete, utilizzare il comando banner motd # il
messaggio del giorno # global config. Il "#" nella sintassi del comando è chiamato carattere di delimitazione.
Viene inserito prima e dopo il messaggio. Il carattere di delimitazione può essere qualsiasi carattere purché
non sia presente nel messaggio. Per questo motivo vengono spesso utilizzati simboli come il "#". Dopo
l'esecuzione del comando, il banner verrà visualizzato in tutti i successivi tentativi di accesso al dispositivo
fino alla rimozione del banner.

L'esempio seguente mostra i passaggi per configurare il banner su SW-Piano-1.

Sw-Floor-1# configure terminal

Sw-Floor-1(config)# banner motd #Authorized Access Only#

Save Configurations
2.5.1

Configuration Files

Ora sai come eseguire la configurazione di base su uno switch, incluse password e messaggi banner. Questo
argomento ti mostrerà come salvare le tue configurazioni. Esistono due file di sistema che memorizzano la
configurazione del dispositivo:

 startup-config - Questo è il file di configurazione salvato che è archiviato nella NVRAM. Contiene
tutti i comandi che verranno utilizzati dal dispositivo all'avvio o al riavvio. Flash non perde il suo
contenuto quando il dispositivo è spento.
 running-config - Questo è memorizzato nella memoria ad accesso casuale (RAM). Riflette la
configurazione attuale. La modifica di una configurazione in esecuzione influisce immediatamente
sul funzionamento di un dispositivo Cisco. La RAM è una memoria volatile. Perde tutto il suo
contenuto quando il dispositivo viene spento o riavviato.

Il comando della modalità EXEC privilegiata show running-config viene utilizzato per visualizzare la
configurazione in esecuzione. Come mostrato nell'esempio, il comando elencherà la configurazione
completa attualmente memorizzata nella RAM.
Sw-Floor-1# show running-config
Building configuration...
Current configuration : 1351 bytes
!
! Last configuration change at 00:01:20 UTC Mon Mar 1 1993
!
version 15.0
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption ! hostname Sw-Floor-1
!
(output omitted)

Per visualizzare il file di configurazione di avvio, utilizzare il comando EXEC privilegiato show startup-config.

Se si interrompe l'alimentazione al dispositivo o se il dispositivo viene riavviato, tutte le modifiche alla

configurazione andranno perse a meno che non siano state salvate. Per salvare le modifiche apportate alla
configurazione in esecuzione nel file di configurazione di avvio, utilizzare il comando copy running-config
startup-config privilegiate EXEC mode.
2.5.2

Alter the Running Configuration

Se le modifiche apportate alla configurazione in esecuzione non hanno l'effetto desiderato e la
configurazione in esecuzione non è stata ancora salvata, è possibile ripristinare il dispositivo alla
configurazione precedente. Rimuovere i comandi modificati singolarmente o ricaricare il dispositivo
utilizzando il comando della modalità EXEC privilegiata reload per ripristinare la configurazione di avvio.

Lo svantaggio dell'utilizzo del comando di ricarica per rimuovere una configurazione in esecuzione non
salvata è il breve periodo di tempo in cui il dispositivo sarà offline, causando tempi di inattività della rete.

Quando viene avviato un ricaricamento, IOS rileverà che la configurazione in esecuzione contiene modifiche
che non sono state salvate nella configurazione di avvio. Verrà visualizzato un messaggio per chiedere se
salvare le modifiche. Per annullare le modifiche, immettere n o no.

In alternativa, se nella configurazione di avvio sono state salvate modifiche indesiderate, potrebbe essere
necessario cancellare tutte le configurazioni. Ciò richiede la cancellazione della configurazione di avvio e il
riavvio del dispositivo. La configurazione di avvio viene rimossa utilizzando il comando della modalità EXEC
privilegiata cancella startup-config. Dopo che il comando è stato emesso, lo switch richiederà conferma.
Premi Invio per accettare.

Dopo aver rimosso la configurazione di avvio dalla NVRAM, ricaricare il dispositivo per rimuovere il file di
configurazione corrente in esecuzione dalla RAM. Al ricaricamento, uno switch caricherà la configurazione
di avvio predefinita originariamente fornita con il dispositivo.
2.5.4

Capture Configuration to a Text File

I file di configurazione possono anche essere salvati e archiviati in un documento di testo. Questa sequenza
di passaggi garantisce che una copia di lavoro del file di configurazione sia disponibile per la modifica o il
riutilizzo in un secondo momento.

Si supponga, ad esempio, che sia stato configurato uno switch e che la configurazione in esecuzione sia
stata salvata sul dispositivo.

Passaggio 1. Aprire il software di emulazione terminale, come PuTTY o Tera Term, che è già collegato a uno
switch.
Passaggio 2. Abilitare l'accesso al software del terminale e assegnare un nome e una posizione del file per
salvare il file di registro. La figura mostra che l'output di tutta la sessione verrà acquisito nel file specificato
(ad esempio, MySwitchLogs).

Passaggio 3. Eseguire il comando show running-config o show startup-config al prompt EXEC privilegiato. Il
testo visualizzato nella finestra del terminale verrà inserito nel file scelto.
Sw-Floor-1# show running-config
Building configuration...
(output omitted)
Passaggio 4. Disabilita l'accesso al software del terminale. La figura mostra come disabilitare la registrazione
scegliendo l'opzione di registrazione della sessione None.

Il file di testo creato può essere utilizzato come registrazione di come è attualmente implementato il
dispositivo. Il file potrebbe richiedere la modifica prima di essere utilizzato per ripristinare una
configurazione salvata su un dispositivo.

Per ripristinare un file di configurazione su un dispositivo:

Passaggio 1. Accedi alla modalità di configurazione globale sul dispositivo.

Passaggio 2. Copia e incolla il file di testo nella finestra del terminale collegata allo switch.

Il testo nel file verrà applicato come comandi nella CLI e diventerà la configurazione in esecuzione sul
dispositivo. Questo è un metodo conveniente per configurare manualmente un dispositivo.
2.6.1

IP Addresses
Congratulazioni, hai eseguito una configurazione di base del dispositivo! Ovviamente il divertimento non è
ancora finito. Se si desidera che i dispositivi finali comunichino tra loro, è necessario assicurarsi che
ciascuno di essi disponga di un indirizzo IP appropriato e sia collegato correttamente. In questo argomento
imparerai gli indirizzi IP, le porte dei dispositivi e i media utilizzati per connettere i dispositivi.

L'uso di indirizzi IP è il mezzo principale per consentire ai dispositivi di localizzarsi a vicenda e stabilire
comunicazioni end-to-end su Internet. Ciascun dispositivo finale su una rete deve essere configurato con un
indirizzo IP. Esempi di dispositivi finali includono questi:

 Computer (stazioni di lavoro, laptop, file server, web server)

 Stampanti di rete
 Telefoni VoIP
 Telecamere di sicurezza
 Smartphone
 Dispositivi portatili mobili (come scanner di codici a barre wireless)

La struttura di un indirizzo IPv4 è chiamata notazione decimale puntata ed è rappresentata da quattro

numeri decimali compresi tra 0 e 255. Gli indirizzi IPv4 sono assegnati ai singoli dispositivi collegati a una
rete.

Nota: IP in questo corso si riferisce a entrambi i protocolli IPv4 e IPv6. IPv6 è la versione più recente di IP e
sta sostituendo il più comune IPv4.

Con l'indirizzo IPv4 è necessaria anche una subnet mask. Una subnet mask IPv4 è un valore a 32 bit che
differenzia la parte di rete dell'indirizzo dalla parte host. Associata all'indirizzo IPv4, la subnet mask
determina a quale sottorete appartiene il dispositivo.

L'esempio nella figura mostra l'indirizzo IPv4 (192.168.1.10), la subnet mask (255.255.255.0) e il gateway
predefinito (192.168.1.1) assegnati a un host. L'indirizzo gateway predefinito è l'indirizzo IP del router che
l'host utilizzerà per accedere alle reti remote, inclusa Internet.
Gli indirizzi IPv6 sono lunghi 128 bit e scritti come una stringa di valori esadecimali. Ogni quattro bit è
rappresentato da una singola cifra esadecimale; per un totale di 32 valori esadecimali. I gruppi di quattro
cifre esadecimali sono separati da due punti (:) . Gli indirizzi IPv6 non fanno distinzione tra maiuscole e
minuscole e possono essere scritti in minuscolo o maiuscolo.

2.6.2

Interfaces and Ports

Le comunicazioni di rete dipendono dalle interfacce dei dispositivi degli utenti finali, dalle interfacce dei
dispositivi di rete e dai cavi che le collegano. Ogni interfaccia fisica ha specifiche, o standard, che la
definiscono. Un cavo di collegamento all'interfaccia deve essere progettato per soddisfare gli standard fisici
dell'interfaccia. I tipi di supporti di rete includono cavi in rame a doppino intrecciato, cavi in fibra ottica, cavi
coassiali o wireless, come mostrato nella figura.
Diversi tipi di media di rete hanno caratteristiche e vantaggi diversi. Non tutti i media di rete hanno le stesse
caratteristiche. Non tutti i media sono appropriati per lo stesso scopo. Queste sono alcune delle differenze
tra i vari tipi di media:

 Distanza in cui il supporto può trasportare correttamente un segnale

 Ambiente in cui deve essere installato il supporto
 Quantità di dati e velocità alla quale devono essere trasmessi
 Costo del supporto e dell'installazione

Non solo ogni collegamento su Internet richiede un tipo di supporto di rete specifico, ma ogni collegamento
richiede anche una particolare tecnologia di rete. Ad esempio, Ethernet è la tecnologia di rete locale (LAN)
più comune utilizzata oggi. Le porte Ethernet si trovano sui dispositivi degli utenti finali, sui dispositivi
switch e su altri dispositivi di rete che possono connettersi fisicamente alla rete tramite un cavo.

Gli switch Cisco IOS Layer 2 dispongono di porte fisiche per la connessione dei dispositivi. Queste porte non
supportano gli indirizzi IP di livello 3. Pertanto, gli switch dispongono di una o più interfacce virtuali switch
(SVI). Queste sono interfacce virtuali perché non c'è hardware fisico sul dispositivo ad esso associato. Un
SVI viene creato nel software.

L'interfaccia virtuale consente di gestire in remoto uno switch su una rete utilizzando IPv4 e IPv6. Ogni
switch viene fornito con un SVI che appare nella configurazione predefinita "out-of-the-box". L'SVI
predefinito è l'interfaccia VLAN1.

Nota: uno switch di livello 2 non necessita di un indirizzo IP. L'indirizzo IP assegnato all'SVI viene utilizzato
per accedere in remoto allo switch. Un indirizzo IP non è necessario affinché lo switch esegua le sue
operazioni.

Configure IP Addressing
2.7.1

Manual IP Address Configuration for End

Devices
Proprio come hai bisogno dei numeri di telefono dei tuoi amici per inviare loro messaggi di testo o
chiamarli, i dispositivi finali nella tua rete hanno bisogno di un indirizzo IP in modo che possano comunicare
con altri dispositivi sulla tua rete. In questo argomento, implementerai la connettività di base configurando
l'indirizzamento IP su switch e PC.

Le informazioni sull'indirizzo IPv4 possono essere immesse nei dispositivi finali manualmente o
automaticamente utilizzando DHCP (Dynamic Host Configuration Protocol).

Per configurare manualmente un indirizzo IPv4 su un host Windows, apri il Pannello di controllo > Centro
condivisione di rete > Modifica impostazioni adattatore e scegli l'adattatore. Quindi fare clic con il
pulsante destro del mouse e selezionare Proprietà per visualizzare le proprietà della connessione alla rete
locale, come mostrato nella figura.
Evidenziare Protocollo Internet versione 4 (TCP/IPv4) e fare clic su Proprietà per aprire la finestra Proprietà
Protocollo Internet versione 4 (TCP/IPv4), mostrata nella figura. Configurare l'indirizzo IPv4, le
informazioni sulla subnet mask e il gateway predefinito.

Nota: le opzioni di configurazione e indirizzamento IPv6 sono simili a IPv4.

Nota: gli indirizzi del server DNS sono gli indirizzi IPv4 e IPv6 dei server DNS (Domain Name System),
utilizzati per tradurre gli indirizzi IP in nomi di dominio, ad esempio www.cisco.com.
2.7.2

Automatic IP Address Configuration for End

Devices
I dispositivi finali in genere utilizzano per impostazione predefinita DHCP per la configurazione automatica
dell'indirizzo IPv4. DHCP è una tecnologia utilizzata in quasi tutte le reti. Il modo migliore per capire perché
DHCP è così popolare è considerare tutto il lavoro extra che dovrebbe aver luogo senza di esso.

In una rete, DHCP abilita la configurazione automatica dell'indirizzo IPv4 per ogni dispositivo finale abilitato
per DHCP. Immagina quanto tempo impiegherebbe se, ogni volta che ti connetti alla rete, dovessi inserire
manualmente l'indirizzo IPv4, la subnet mask, il gateway predefinito e il server DNS. Moltiplicalo per ogni
utente e ogni dispositivo in un'organizzazione e vedrai il problema. La configurazione manuale aumenta
anche la possibilità di errori di configurazione duplicando l'indirizzo IPv4 di un altro dispositivo.

Come mostrato in figura, per configurare DHCP su un PC Windows, è sufficiente selezionare Ottieni
automaticamente un indirizzo IP e Ottieni indirizzo server DNS automaticamente. Il tuo PC cercherà un
server DHCP e ti verranno assegnate le impostazioni dell'indirizzo necessarie per comunicare sulla rete.

Nota: IPv6 utilizza DHCPv6 e SLAAC (Stateless Address Autoconfiguration) per l'allocazione dinamica degli
indirizzi.
2.7.4

Switch Virtual Interface Configuration

Per accedere allo switch in remoto, è necessario configurare un indirizzo IP e una subnet mask sull'SVI. Per
configurare un SVI su uno switch, utilizzare il comando di configurazione globale dell'interfaccia vlan 1. Vlan
1 non è un'interfaccia fisica reale ma virtuale. Quindi assegnare un indirizzo IPv4 utilizzando il comando di
configurazione dell'interfaccia della maschera di sottorete (ip-address subnet-mask) dell'indirizzo ip. Infine,
abilita l'interfaccia virtuale usando il comando di configurazione dell'interfaccia no shutdown.

Dopo aver configurato questi comandi, lo switch dispone di tutti gli elementi IPv4 pronti per la
comunicazione sulla rete.

Nota: analogamente a un host Windows, gli switch configurati con un indirizzo IPv4 in genere devono
disporre anche di un gateway predefinito assegnato. Questo può essere fatto usando il comando di
configurazione globale ip default-gateway ip-address. Il parametro ip-address sarebbe l'indirizzo IPv4 del
router locale sulla rete, come mostrato nell'esempio. Tuttavia, in questo modulo configurerai solo una rete
con switch e host. I router verranno introdotti in seguito.
Sw-Floor-1# configure terminal
Sw-Floor-1 (config)# interface vlan 1
Sw-Floor-1 (config-if)# ip address 192.168.1.20 255.255.255.0
Sw-Floor-1 (config-if)# no shutdown
Sw-Floor-1 (config-if)# exit
Sw-Floor-1 (config-if)# default-gateway 192.168.1.1