Компания Cisco является мировым лидером в области сетевых технологий. Она смогла создать многоуровневую систему сертификации инженеров по компьютерным сетям, благодаря которой проверяются знания не только продукции, но и знание сетевых технологий, протоколов и принципов работы сети.
Маршрутизаторы Cisco используют межсетевую операционную систему — Cisco IOS, которая выполняет функции сетевой организации, маршрутизации, коммутации и передачи данных.
Интерфейс IOS имеет набор команд, доступных в зависимости от установленных привилегий для пользователя. Это позволяет избежать ошибочных действий для неподготовленных специалистов. Для использования привилегированного режима используется команда enable, для конфигурационного — команда configure terminal.
Каждый интерфейс устройств Cisco называется портом и обозначается несколькими способами:
— в фиксированных конфигурациях интерфейсы нумеруются последовательно без привязки к слоту, в который они установлены (например ethernet0, serial0).
— в модульных конструкциях с заменяемыми платами интерфейсов, используется нумерация с использованием синтаксиса типа слот/порт (например ethernet0/1, serial0/1).
Команды IOS могут предоставить пользователю информацию о конфигурации, управлении и статусе отдельных частей оборудования.
Назначение имени устройству осуществляется командой hostname
router (config)# hostname "ИМЯ"
HTTP сервер как правило отключается т.к. подвержен DoS. Для этого используется команда:
router# no ip http server.
Несмотря на то, что логи обычно записываются на сервер, обычно выделяют буфер в оперативной памяти размером 256 Кб в качестве резервного варианта.
router# logging buffered 262144 debugging
Для того чтобы не вызывать перегрузку необходимо поставить ограничение: не более 10 сообщений в секунду.
router# logging rate-limit 10 except warnings
Из соображений безопасности отключаем опцию IP пакета source routing
router# no ip source-route
Если по маршруту есть участники с размером MTU меньше чем 1500 байт, то необходимо включить path mtu discovery
router# ip tcp path-mtu-discovery
Для того, чтобы заходить на устройство по команде telnet необходимо поставить защиту. В противном случае доступ по telnet не будет получен.
S1(config)# enable secret "пароль" S1(config)# no ip domain-lookup S1(config)# line console 0 S1(config-line)# password "пароль" S1(config-line)# line vty 0 15 S1(config-line)# password "пароль" S1(config-line)# login
Для установки пароля на привилегированный режим необходимо сделать следующее
R1(config)# enable secret "пароль" R1(config-line)# line console 0 R1(config-line)# password "пароль" R1(config-line)# login
Внутреннее время задается с помощью команды clock set. Команда вводится в привилегированном режиме.
Router# clock set 15:00:00 10 aug 2015
Часовой пояс настраиваем с помощью команды clock timezone
Router(config)# clock timezone UTC 3
Настройка SSH подключения
Задаем имя роутеру:
Router1(config)# hostname R1
Назначаем доменное имяЖ
R1(config)# ip domain-name name.com
Генерируем RSA ключ:
R1(config)# crypto key generate rsa
Создаем пользователя root и назначает ему пароль admin
R1(config)# username root secret admin
создаем access-list, в котором можем задать например с каких IP адресов мы можем подключиться:
R1(config)# access-list 1 permit 10.1.1.12
Настраиваем виртуальный терминал с 0 по 4 и задаем проверку пароля локально
R1(config)# line vty 0 4
R1(config)# login local
С помощью списка доступа разрешаем доступ с IP-адреса
R1(config)# access-class 1 in
И разрешаем работать по протоколы SSH
R1(config)# transport input ssh
R1(config)# transport output ssh
R1(config)# end
Настройка NAT
Настраиваем интерфейс, который смотрит в интернет
interface FastEthernet0/0
ip nat outside
На локальном интерфейсе
interface vlan1
ip nat inside
Создаем список IP-адресов, имеющих доступ к NAT
ip access-list entended NAT
permit ip host 192.168.xxx.xxx any
Включаем NAT (PAT) на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
И добавляем инспекцию протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
Раздаем адреса по DHCP
R1(config)# service dhcp R1(config)# ip dhcp pool R1(config-pool)# network 192.168.x.x 255.255.255.0 R1(config-pool)# default-router 192.168.20.1 R1(config-pool)# domain-name "имя" R1(config-pool)# dns-server 192.168.20.101 R1(config-pool)# lease 7 R1(config)# ip dhcp excluded-address 192.168.20.1
Сохранение настроек роутера
Для того чтобы не повредить конфигурационные файлы после выключения устройства можно сделать сохранение настроек командой copy running-config startup-config
Просмотр интерфейса show interfaces
Позволяет просмотреть статус всех интерфейсов на устройстве. Если указать конкретный порт, то отобразится информация только по указанному интерфейсу. Например:
Router# show interfaces FastEthernet 0/0 FastEthernet0/0 is up, line protocol is up (connected) Hardware is Lance, address is 0030.a399.3901 (bia 0030.a399.3901) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00, Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out
Основная полученная информация
- FastEthernet0/0 is up, line protocol is up (connected) — порт включен и получает сигнал от подключенного к нему кабеля.
- Hardware is Lance, address is 0030.a399.3901 (bia 0030.a399.3901) — информация о модели интерфейса и его физическом адресе
- Encapsulation ARPA, loopback not set — указывает тип инкапсулирования для данного интерфейса.
Если инкапсулирование данных для интерфейсов локальной сети не нуждается в настройке, то для интерфейсов глобальных сетей это необходимо.
Интерфейс может быть в различном состоянии:
— «UP» — включен, поднят
— «DOWN» — выключен, нет линка
— «Administratively down» — административная блокировка
Различие заключается в том, что отключенный интерфейс находится в рабочем состоянии, но не обменивается данными с подключенной к нему средой, а в состоянии административной блокировки интерфейс отключен на уровне конфигурации.
Пример административной блокировки порта
Router# show interfaces FastEthernet 0/0 FastEthernet0/1 is administratively down, line protocol is down (disabled) Hardware is Lance, address is 0030.a399.3902 (bia 0030.a399.3902) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ...
Настройка интерфейса Ethernet
Заходим на интерфейс
router (config)# interface fastethernet 0/1
Устанавливаем IP на интерфейс
router (config)# ip add 10.0.0.1 255.255.255.0
Поднимаем интерфейс
router (config)# no shutdown
Посмотреть какой IP-адрес назначен интерфейсу можно командой show ip interface
Router#show ip interface fastEthernet 0/0 FastEthernet0/0 is up, line protocol is down (disabled) Internet address is 10.0.0.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes ...
Настройка интерфейса Serial
Заходим на интерфейс
router (config)# interface serial 0/0/0
Устанавливаем IP на интерфейс
router (config)# ip add 192.168.1.1 255.255.255.0
Устанавливаем скорость порта
router (config)# clock rate 56000
Поднимаем интерфейс
router (config)# no shutdown
Команда encapsulation определяет тип протокола канального уровня и формат передаваемых данных для конкретного интерфейса. Например:
Router# configure Router(config)# interface serial0/1/1 Router(config-if)# encapsulation ? frame-relay Frame Relay networks hdlc Serial HDLC synchronous ppp Point-to-Point protocol Router (config-if)# encapsulation ppp
Отключение порта shutdown
Команды выключения/включения интерфейса применяется, если необходимо изменить административное состояние интерфейса. Оборудование Cisco не передает данные на интерфейс, если он заблокирован на административном уровне. Выключение порта осуществляется путем входа на нужный интерфейс и ввода команды shutdown. Например:
Router# configure Router(config)# interface FastEthernet0/1 Router(config-if)# shutdown
Проверяем полученный результат с помощью уже известной команды show interfaces:
Router# show interfaces FastEthernet 0/0 FastEthernet0/1 is administratively down, line protocol is down (disabled) Hardware is Lance, address is 0030.a399.3902 (bia 0030.a399.3902) MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ...
Включение интерфейса осуществляется командой no shutdown
Router# configure Router (config)# interface FastEthernet0/1 Router (config-if)# no shutdown
Добавление описания/комментария с помощью команды description
К каждому из доступных интерфейсов доступно поле длиной не более 255 символов.
Router (config)# interface fastEthernet 0/0 Router (config-if)# description uplink_to_3750
Проверяем результат
Router# show interfaces fastEthernet 0/0 FastEthernet0/0 is up, line protocol is up (connected) Hardware is Lance, address is 0030.a399.3901 (bia 0030.a399.3901) Description: uplink_to_3750 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ...
Просмотр информации о VLAN
Команда show vlan позволяет посмотреть информацию о созданных виртуальных каналах.
Router# show vlan VLAN Name Status Ports ---- -------------------------------- --------- --------------------- 1 default active VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 ---- ---- ------ ---- ------ ------ -------- --- -------- ------ 1 enet 100001 1500
В рабочих конфигурациях использование VLAN с номером 1 не рекомендуется.
Команды конфигурирования IP-маршрутизации
Для просмотра таблицы IP-маршрутизации используется команда show ip route
Router# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, FastEthernet0/0
Результаты данной команды дают администратору сети огромное количество данных. Они являются ключевым инструментом для определения пути, по которому пакет проходит по сети.
В приведенном выше примере строка Gateway of last resort — это сетевой адрес маршрутизатора, куда должны будут посылаться пакеты, имеющие пункт назначения вне данной сети. Если статические маршруты и протоколы динамической маршрутизации не заданы, то будет указано «is not set». После представлена сама таблица маршрутизации. Буква перед маршрутом означает код, пояснения к которому выводятся выше.
Команды для конфигурирования служб имен доменов
Большинство пользователей обращаются к серверам, рабочим станциям и другим IP-устройствам, используя их имя, а не IP-адрес. Роль преобразования IP-адреса в имя отводится DNS серверам. Маршрутизаторы также могут пользоваться DNS-системой для преобразования имен в IP-адреса.
Пример конфигурирования службы DNS маршрутизатора:
Router# configure Router (config)# ip domain-lookup Router (config)# ip domain-name you_domen_name.ru Router (config)# ip domain-list you_domen_name.ru Router (config)# ip domain-list you_domen_name.ru Router (config)# ip name-server 10.0.0.1 10.0.0.2
Проверка установок службы DNS на маршрутизаторе выполняется с помощью команды show host
router# show host Default domain is not set Name/address lookup uses static mappings Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host Port Flags Age Type Address(es) 3750 None (perm, OK) ** IP 10.10.1.1 c3750 None (perm, OK) ** IP 10.10.1.2 5300-1 None (perm, OK) ** IP 10.10.1.3 5300-2 None (perm, OK) ** IP 10.10.1.4 c3750-1 None (perm, OK) ** IP 10.10.1.5 c3750-2 None (perm, OK) ** IP 10.10.1.6
Сброс настроек к первоначальным
На маршрутизаторах Cisco по команде
R1# erase /all nvram
на маршрутизаторах Cisco Catalyst:
switch# delete flash:vlan.dat switch# erase startup-config