Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco Materiał przedstawiony w tym zeszycie przyda się każdemu, kto pragnie zdobyć podstawowy zakres wiedzy dotyczącej konfiguracji urządzeń sieciowych firmy Cisco. Dzięki temu zeszytowi:
Powinieneś wiedzieć:
• Poznasz podstawowe zagadnienia dotyczące sieci komputerowych. • Dowiesz się jak konfigurować urządzenia sieciowe firmy Cisco. • Nauczysz się korzystać z podstawowych komend systemu IOS firmy Cisco.
• Znać podstawy posługiwania się systemem operacyjnym MS Windows
M
ją zatem takie elementy jak np. procesor, pamięć (trwała i ulotna) oraz interfejsy wejścia/wyjścia. Firma Cisco jest światowym liderem w opracowywaniu i sprzedaży urządzeń sieciowych. Urządzenia tej firmy stanowią podstawę wielu profesjonalnych instalacji sieciowych i są wykorzystywane masowo przez firmy z sektora ISP.
ateriał edukacyjny podzielony jest na dwie części:
• Drukowany zeszyt. Tutaj znajdziecie Państwo omówienie podstawowych zagadnień dotyczących konfiguracji urządzeń firmy Cisco, zbiór najważniejszych i najczęściej stosowanych poleceń wraz omówieniem a także opisy przykładowych topologii sieciowych i ich konfiguracji. • Płyta DVD. Zawarte są na niej prezentacje wideo, przedstawiające konfigurację urządzeń firmy Cisco. Płyta ta zawiera także pliki konfiguracyjne przestawionych w niniejszym zeszycie przykładów, które będzie można wykorzystać we własnym zakresie.
Urządzenia sieciowe firmy Cisco Sieć komputerowa to zbiór urządzeń i połączeń między nimi zbudowana w celu umożliwienia komunikacji użytkownikom. W tym schemacie użytkownicy wysyłają i odbierają dane a urządzenia sieciowe odpowiedzialne są za ich poprawne przesłanie. Funkcjonalność ta realizowana jest za pomocą dedykowanych, specjalistycznych urządzeń, które dzielimy i nazywamy wg pełnionej funkcji i możliwości. Wszystkie urządzenia sieciowe, elementy budowy infrastruktury czy protokoły sieciowe zostały usystematyzowane wg pewnego modelu. Model ten (OSI/ISO) dzieli obszar działania/funkcjonowania sieci komputerowych na 7 warstw. Każda warstwa realizuje określoną funkcjonalność (patrz Ramka) jest obsługiwana przez urządzenie sieciowe lub oprogramowanie. Sam sprzęt sieciowy w większości stanowi specjalizowane urządzenia komputerowe zaprojektowane do realizacji wymaganej funkcjonalności w sposób wydajny. Urządzenia te posiada1
trzeba poznać zestaw odpowiednich dla niego poleceń oraz sposób ich wydawania czy edycji. Stworzona konfiguracja powinna być zarchiwizowana tak, aby możliwe było jej szybkie odtworzenia w przypadku wymiany czy awarii urządzenia.
Tryby konfiguracji systemu IOS
System operacyjny Cisco IOS Nieodłącznym elementem każdego komputera jest system operacyjny i oprogramowanie użytkowe. Również urządzenia sieciowe wymagają funkcjonalności, która w typowym komputerze realizowana jest przez system operacyjny. Oprogramowanie takie, wraz z zestawem aplikacji dedykowanych do obsługi transmisji danych zostało opracowane przez firmę Cisco dla urządzeń przez nią produkowanych i nosi nazwę IOS (ang. Internetwork Operating System). W przeszłości nie wszystkie urządzenia Cisco były wyposażane w ten system, jednak obecnie jest to najczęściej sprzedawany system operacyjny dla urządzeń sieciowych tego producenta. Komunikacja pomiędzy administratorem a urządzeniem sieciowym odbywa się za pomocą interfejsu konfiguracyjnego. Istnieje wiele metod realizacji tego interfejsu i nie wszystkie są ze sobą zgodne. Dla systemu IOS został stworzony specjalny program zwany „interpretator poleceń”, który jest odpowiedzialny za przyjmowanie poleceń konfiguracyjnych. Interpreter poleceń systemu Cisco IOS nosi także nazwę Exec (lub interpreter Exec). Komunikacja z użytkownikiem odbywa się w trybie tekstowym (istnieje co prawda możliwość zarządzania konfiguracją systemu IOS za pomocą przeglądarki, lecz nie jest to popularna metoda wśród administratorów). Aby przeprowadzić proces konfiguracji urządzenia sieciowego (Routera, Switcha, Firewalla)
Polecenia systemu IOS pełnią różne funkcje, część z nich służy do zmiany konfiguracji urządzenia, inne pozwalają na weryfikację działania tego urządzenia i mechanizmów oraz protokołów na danym urządzeniu działających, jeszcze inne pozwalają na przeprowadzenie testów diagnostycznych czy zarządzanie konfiguracją, aktualizacjami oprogramowania, itd. W interpretatorze poleceń wyróżniono kilka trybów, które zawierają zdefiniowany zbiór poleceń. Stworzenie tych trybów umożliwia usystematyzowanie procedury konfiguracji i co ważniejsze możliwość kontroli uprawnień (zmiana trybu może wymagać uwierzytelnienia/autoryzacji użytkownika). Tryby pracy w systemie IOS: • Tryb użytkownika – udostępnia jedynie polecenia pozwalające na dostęp do podstawowych informacji o działaniu urządzenia oraz na wykonywanie podstawowych testów. Tryb ten jest również nazywany trybem nieuprzywilejowanym. Dostęp do tego trybu może być chroniony hasłem (podawanym podczas logowania się do urządzenia). Polecenia z tego trybu nie pozwalają na dokonywanie żadnych modyfikacji. • Tryb uprzywilejowany – jest rozszerzeniem trybu użytkownika, dostarcza większy zbiór poleceń, które pozwalają na przeglądanie wszystkich ustawień urządzenia i modyfikację jego działania, (czyli np. restart, usunięcie konfiguracji, wyczyszczenie zbieranych statystyk itp.). Tryb ten w żargonie bywa nazywany trybem „enable” (od nazwy polecenia, które powoduje przejście do tego trybu). Tryb ten może być chroniony hasłem. • Tryb konfiguracji – zawiera zbiór poleceń umożliwiający stworzenie wymaganej konfiguracji danego urządzenia sieciowego. Żadne polecenie tego trybu nie występuje w trybie uprzywilejowanym i na odwrót. Tryb SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
ten dzieli się na kilka podtrybów związanych z konfiguracją poszczególnych elementów i możliwościami urządzenia sieciowego takich np. interfejsy i podinterfejsy komunikacyjne, protokoły routingu, linie asynchroniczne itp. Nazwy tych podtrybów wynikają z tego, czego dany tryb dotyczy (np. tryb konfiguracji interfejsu). Wyróżniony jest również tryb konfiguracji globalnej, w którym wydawane polecenia dotyczą urządzenia jako całości. To samo polecenie w różnych podtrybach konfiguracji może mieć różny skutek. Dostęp do tego trybu nie może być zabezpieczony dodatkowym hasłem. W każdym z przedstawionych trybów wydawane polecenia mają określoną strukturę. Polecenie składa się z nazwy polecenia, po którym następuje zmienna lista jego argumentów. Lista argumentów zależy od polecenia i nie zawsze jest wymagana (przykładowo polecenie powodujące restart urządzenia reload nie wymaga argumentów). Na argumenty polecenia składają się słowa kluczowe np. argument polecenia show clock czy wartości jak np. na przykład adres IP w poleceniu network 10.0.0.0. Ponieważ działanie polecenia związane jest z trybem, w którym jest ono wydane, wszystkie polecenia w niniejszym opracowaniu będą zawierały pełną identyfikację trybu, w którym polecenie powinno zostać wykonane. Patrz Ramka Zgłoszenie (ang. prompt) w systemie IOS. Użycie znaku zapytania (?) w celu uzyskania pomocy W poniższej tabeli zaprezentowano w jaki sposób użycie znaku zapytania może pomóc w ustaleniu polecenia i wszystkich jego parametrów. •
Router#? – wyświetla wszystkie polecenia
dostępne w aktualnym trybie poleceń. • Router#c? – wyświetla wszystkie możliwe polecenia rozpoczynające się od litery c. • Router#cl? – wyświetla wszystkie możliwe polecenia rozpoczynające się od liter cl • Router#clock • % Incomplete Command – komunikat informujący o konieczności wprowadzenia dodatkowych parametrów. • Router#clock ? – wyświetla wszystkie możliwe argumenty polecenia clock (między innymi na liście jest argument set który umożliwia ustalenie aktualnego czasu • Router#clock set 12:10:20 25 April 2009 – wciśnięcie klawisza [Enter] ustawia nowy czas na urządzeniu. Jeśli na liście możliwych argumentów danego polecenia zostanie dodany oznaczenie <cr> to możliwe jest wydanie polecenia bez konieczności podawania dalszych argumentów. % Incomplete Command oznacza, że polecenie wprowadzono nieprawidłowo. Często w takich przypadkach znakiem ^ oznaczone jest pierwsze miejsce, w www.sdjournal.org
którym interpreter nie rozpoznał polecenia lub któregoś z jego argumentów. Tryb konfiguracji początkowej Tryb konfiguracji początkowej uruchamia się automatycznie po inicjalizacji systemu IOS w sytuacji, gdy na urządzeniu nie ma zapisanej konfiguracji startowej (patrz Listing 1).
Tryb konfiguracji początkowej umożliwia skonfigurowanie podstawowych parametrów urządzenia. Konfiguracja odbywa się poprzez podawanie odpowiedzi na zestaw pytań zadawanych w tym trybie. Konfigurator podaje w nawiasach kwadratowych domyślne ustawienia. Jeśli uznamy, że dana domyślna odpowiedź jest właściwa, to akceptujemy ją wciskając klawisz [Enter].
Listing 1. Tryb konfiguracji początkowej System Bootstrap, Version 12.1(3r)T2, RELEASE SOFTWARE (fc1) Copyright (c) 2000 by cisco Systems, Inc.
cisco 2621 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory Self decompressing the image :
########################################################################## [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph
(c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc.
170 West Tasman Drive
San Jose, California 95134-1706 Cisco Internetwork Operating System Software
IOS (tm) C2600 Software (C2600-I-M), Version 12.2(28), RELEASE SOFTWARE (fc5) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by cisco Systems, Inc. Compiled Wed 27-Apr-04 19:01 by miwang
cisco 2621 (MPC860) processor (revision 0x200) with 60416K/5120K bytes of memory .
Processor board ID JAD05190MTZ (4292891495) M860 processor: part number 0, mask 49 Bridging software.
X.25 software, Version 3.0.0.
2 FastEthernet/IEEE 802.3 interface(s)
32K bytes of non-volatile configuration memory.
16384K bytes of processor board System flash (Read/Write) --- System Configuration Dialog --Continue with configuration dialog? [yes/no]:
Zgłoszenie (ang. prompt) w systemie IOS • • • • • • •
Router> Router# Router(config)# Router(config-if)# Router(config-subif)# Router(config-line)# Router(config-router)#
tryb użytkownika tryb uprzywilejowany tryb konfiguracji globalnej tryb konfiguracji interfejsu tryb konfiguracji podinterfejsu tryb konfiguracji linii asynchronicznych tryb konfiguracji protokołu routingu.
Oznaczenie Router wynika z domyślnej nazwy urządzenia (występują też nazwy Switch, Asa itp.) i może być zmienione (poleceniem Router(config)# hostname <nazwa>).
2
Cisco Wciśnięcie kombinacji klawiszy [CTRL+c] w dowolnym momencie powoduje zakończenie procesu konfiguracji i przejście do trybu użytkownika (zgłoszenie: Router>) bez zmiany konfiguracji domyślnej.Tryb konfiguracji początkowej nie umożliwia przeprowadzenia konfiguracji wszystkich mechanizmów danego urządzenia. Generuje on jedynie podstawową konfigurację stanowiącą jedynie zaczątek przyszłej konfiguracji, która stanowi punkt wyjścia dla dalszych prac nad docelową konfiguracją urządzenia.Możliwe jest uruchomienie trybu konfiguracji początkowej także z trybu uprzywilejowanego za pomocą polecenia: Router# setup.
uprzywilejowanego. Wydawane jest w trybie użytkownika. System IOS po wydaniu tego polecenia może wyświetlić zapytanie o hasło. • Polecenie disable – polecenie Router# disable spowoduje przejście z trybu uprzywilejowanego do trybu użytkownika (operacja odwrotna do polecenia Router> enable) • Polecenie logout – Router# logout (także polecenie Router# exit) powodują wylogowanie (zamknięcie interpretatora poleceń) z urządzenia. W przypadku połączenia zdalnego (za pomocą protokołów SSH czy Telnet) występuje także przerwanie połączenia z urządzeniem. • Polecenie configure – polecenie Router# configure umożliwia podanie poleceń konfiguracyjnych. Polecenie to wymaga po-
Poruszanie się po trybach poleceń • Polecenie enable – polecenie Router> enable powoduje przejście do trybu ���
��
��
���
Polecenia służące do przejścia do podtrybów konfiguracji zależą od rodzaju podtrybu i tak dla podtrybu konfiguracji interfejsu będzie to np. polecenie Router(config)# interface Ethernet 0 a do podtrybu konfiguracji protokołu routingu np. polecenie Router(config)# router rip. Inne polecenia dla podtrybów konfiguracji typu zostaną przedstawione w dalszej części niniejszego zeszytu. Skróty klawiaturowe w systemie Cisco IOS Cisco IOS oferuje kilka kombinacji klawiszowych, których stosowanie może przyśpieszyć proces edycji poleceń:
Rysunek1. Topologia sieci dla pierwszego przykładu ��
��
dania argumentu określającego źródło poleceń. Dla poleceń wydawanych z klawiatury postać tego polecenia powinna być Router# configure terminal, co spowoduje przejście do trybu konfiguracji globalnej. • Polecenia exit i end – polecenie Router(config-if)# exit powoduje opuszczenie danego podtrybu konfiguracji i przejście do trybu konfiguracji globalnej. Polecenia Router(config)# end i Router(config)# exit powodują opuszczenie trybu konfiguracji i przejście do trybu uprzywilejowanego.
��
��
• [CTRL+a] – przenosi kursor na początek wiersza • [ESC+b] – cofa kursor o jedno słowo • [CTRL+b] – (lub strzałka w lewo) cofa kursor o jeden znak • [CTRL+e] – przenosi kursor na koniec wiersza • [CTRL+f] – (lub strzałka w prawo) przesuwa kursor o jeden znak do przodu • [ESC+f] – przesuwa kursor do przodu o jedno słowo. • [CTRL+z] – (w trybie konfiguracji) powoduje powrót do trybu uprzywilejowanego (opuszczenie trybu konfiguracji) Uwaga:
Rysunek2. Topologia sieci dla konfiguracji routingu statycznego
Weryfikacja konfiguracji
•
Router# show interfaces wyświetla statystyki wszystkich interfejsów. Router# show interface serial 0 wyświetla statystyki dla konkretnego interfejsu, w tym przypadku będzie to interfejs Serial0. Router# show ip interface brief wyświetla zestawienie wszystkich interfejsów, ich
• •
Router# show controllers serial 0 wyświetla parametry sprzętowe i statystyki dla interfejsu Router#show hosts wyświetla bufor zawierający dynamicznie uzyskane przekształcenia
•
Router#show users wyświetla wszystkich użytkowników aktualnie zalogowanych na urzą-
• •
Router#show arp wyświetla tablicę ARP. Router#show protocols wyświetla stan skonfigurowanych protokołów routingu dyna-
• •
Router# ping <adres _ ip> testuje połączenie z danym adresem IP Router# traceroute <adres _ ip> umożliwia wyświetlenie ścieżki (listy adresów route-
• •
stan i przypisany im adres IP. nazw hostów na adresy IP. dzeniu.
micznego
rów) pomiędzy danym urządzeniem a urządzeniem o podanym adresie IP
3
• $ – wskazuje, że wiersz polecenia został zawinięty w lewo lub w prawo • Router# terminal no editing – wyłącza możliwość użycia powyższych skrótów klawiszowych. • Router# terminal editing – przywraca tryb rozszerzonej edycji (umożliwia korzystanie ze skrótów klawiaturowych) – jest to ustawienie domyślne. Polecenia i skróty związane z historią wydawanych poleceń • [CTRL+p] (lub strzałka w górę) przywraca polecenia z bufora historii, począwszy od ostatnio wykonanego polecenia. • [CTRL+n] (lub strzałka w dół) wraca do ostatnio wykonanych poleceń w buforze historii po poleceń za pomocą sekwencji [CTRL+p] SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
•
Router# terminal history size <numer>
– ustawia liczbę poleceń w buforze, które będą pamiętane przez system IOS (domyślnie 10, maksymalnie 256). • Router# no terminal history size – przywraca ustawianie bufora na domyślną wartość 10 poleceń. • Router# show history wyświetla wszystkie polecenia z bufora historii Należy pamiętać: • polecenie Router# history size ma taką samą funkcjonalność co Router# terminal history size
• przy zmianie rozmiaru bufora zapamiętywanych poleceń należy być ostrożnym, gdyż obciążamy w ten sposób pamięć routera
Inne podstawowe polecenia systemu IOS •
Router# show version – wyświetla m.in.
informacje o aktualnej wersji systemu IOS wyświetla informacje o pamięci Flash (służącej do przechowywania systemu operacyjnego urządzenia) • Router# show clock – wyświetla aktualny czas na urządzeniu • Router# show running-config – generuje konfigurację bieżącą. Jest to lista poleceń (trybu konfiguracji) służąca do zmiany stanu pomiędzy konfiguracją domyślną a konfiguracją obecnie używaną na urządzeniu. Tak stworzony ciąg poleceń może być zapisany w pamięci nieulotnej urządzenia i użyty przy jego starcie. • Router# show startup-config – wyświetla konfigurację startową • Router# copy running-config startupconfig – kopiuje konfigurację bieżącą do •
Router# show flash –
Listing 2. Konfiguracja routingu statycznego Router0>
pliku konfiguracji startowej. Dzięki temu po ponownym włączeniu urządzenia będzie ono w stanie takim jak obecnie. • Router# reload – restart urządzenia. W przypadku, gdy od momentu ostatniego włączenia urządzenia zmianie uległa jego konfiguracja , system IOS zapyta czy zachować konfigurację bieżącą. • Router# erase startup-config – usunięcie konfiguracji początkowej urządzenia (po ponownym uruchomieniu automatycznie zostanie włączony tryb konfiguracji początkowej).
Konfiguracja urządzeń sieciowych Poniższe punkty/podrozdziały przedstawiają polecenia konfiguracyjne dla dowolnych urządzeń sieciowych działających pod kontrolą system IOS. Polecenia te, choć w zgłoszeniu będą miały nazwę Router mogą również stosowane dla urządzeń typu Switch. Podstawowa konfiguracja składa się zazwyczaj z następujących kroków:
• Przeprowadzenie konfiguracji związanej z identyfikacją urządzenia takiej jak konfiguracja nazwy, bannera MOTD. • Przeprowadzenie konfiguracji związanej z ograniczeniem dostępu do urządzenia poprzez ustalenie haseł. • Przeprowadzenie konfiguracji parametrów interfejsów komunikacyjnych. • Przeprowadzenie konfiguracji związanej z obsługą protokołu IP takich jak konfiguracja tablic hostów, nazwy domeny oraz serwerów DNS itp., • Testowanie, zapisanie i archiwizacja konfiguracji. • Większość parametrów przedstawionych w tych punktach można również skonfigurować z wykorzystaniem trybu konfiguracji początkowej (polecenie Router# setup). Konfiguracja nazwy urządzenia zamiast słowa nazwa podajemy nazwę, którą chcemy przypisać dla danego urządzenia. Router(config)# hostname <nazwa>
Polecenia dodatkowe • •
Router(config)# no router rip wyłącza proces routingu RIP Router(config-router)# no network a.b.c.d wyłącza ogłaszanie informacji o bezpo-
•
Router(config-router)# passive-interface serial 0/0 uaktualnienia RIP nie będą
średnio dołączonej sieci a.b.c.d poprzez protokół RIP
• • • • •
• •
Router0> enable
wysyłane przez interfejs serial 0/0. Nadal jednak informacje o sieci związanej z tym interfejsem będą ogłaszane. Polecenie takie wydaje się zwykle dla sieci końcowych, w których nie ma już innych routerów. Router(config)# version 2 włącza drugą wersję routingu RIP Router(config-router)# neighbor a.b.c.d definiuje konkretnego sąsiada, z którym będą wymieniane informacje. Wówczas RIP nie wysyła komunikatów na adres rozgłoszeniowy lub grupowy, lecz na ten konkretny adres. Router(config-router)# no ip split-horizon wyłącza mechanizm dzielonego horyzontu (domyślnie jest włączony) Router(config-router)# ip split-horizon włącza mechanizm dzielonego horyzontu. Router(config-router)# timers basic 30 90 180 270 360 zmienia wartość liczników RIP: • 30= licznik uaktualnień (w sekundach) (update timer) • 90= licznik awarii (w sekundach) (invalid timer) • 180= licznik wstrzymywania (w sekundach) (holddown timer) • 270= licznik usuwania (w sekundach) (flush timer) • 360= licznik uśpienia (w milisekundach) (sleep timer) Router(config-router)#maximum-paths x określa maksymalną liczbę ścieżek stosowanych przy równoważeniu obciążenia (4 = domyślnie, 6 = maksimum) Router(config-router)#default-information originate powoduje ogłaszanie poprzez protokół RIP trasy domyślnej (tzn. ten router ogłasza w sieci trasę domyślną).
Router0# configure terminal Router0(config)# ip route 180.10.30.0
255.255.255.0 180.10.20.2
konfiguracja trasy statycznej z
użyciem routera
następnego skoku
Router0(config)# ip route 180.10.40.0 255.255.255.0 180.10.20.2
Router0(config)# ip route 180.10.50.0 255.255.255.0
Router0(config)# exit
www.sdjournal.org
180.10.20.2
Weryfikacja konfiguracji routingu • •
Router# show ip route wyświetla zawartość tablicy routingu IP Router# clear ip route * usuwa z tablicy routingu wpisy pochodzące z protokołów ro-
•
Router# show ip protocols wyświetla stan wszystkich aktywnych procesów protokołów
•
Router# show interfaces wyświetla statystyki dla wszystkich interfejsów (m.in. wartości
•
Router# show interface fastEthernet 0/0 wyświetla statystyki dla interfejsu Fast
• •
Router# show ip interfaces wyświetla statystyki IP dla wszystkich interfejsów routera Router# show ip interfaces brief wyświetla skrótową informację o stanie i adresach
• •
Router# show running-config wyświetla bieżącą konfigurację routera Router# show running-config | begin słowo wyświetla bieżącą konfigurację routera
utingu dynamicznego i wymusza ponowne uzupełnienie tablicy. routingu.
przepustowości, opóźnienia, niezawodności i obciążenia). Ethernet 0/0.
IP wszystkich interfejsów routera.
począwszy od podanego ciągu znaków.
4
Cisco Konfiguracja bannera MOTD Ekran powitalny urządzenia MOTD (ang. Message Of The Day), wyświetlany będzie na konsoli routera po każdym uruchomieniu interpretatora poleceń, a także na ekranie terminala wirtualnego, za pomocą którego użytkownik będzie się zdalnie logować na urządzeniu. Ekran powitalny urządzenia tworzymy w trybie konfiguracyjnym za pomocą polecenia Router(config)# banner motd <znak_ otaczający>. Znakiem otaczający może być dowolny znak ASCII, którego użyjemy do poinformowania interpreter poleceń o zakończeniu wprowadzania komunikatu tekstowego pełniącego rolę powitania. Musi on otaczać treść komunikatu MOTD i może to być dowolny znak, dopóki nie jest to znak używany w treści komunikatu. Na znak otaczający warto jest wybierać znaki takie jak: #, @, $). Router(config)#banner motd #
Tutaj wprowadzamy komunikat, który chcemy zdefiniować. Możemy w tym celu użyć nie
tylko jednej linii!
#
W przykładzie znakiem otaczającym jest # Konfiguracja haseł Domyślna konfiguracja systemu IOS nie posiada żadnych haseł, dlatego uruchamianie interpretatora i przechodzenie pomiędzy trybami nie wymaga ich podawania. System IOS posiada kilka rodzajów haseł. Są to hasło enable czyli hasło weryfikowane przy wejściu do trybu uprzywilejowanego, hasło konsolowe – sprawdzane przy dostępie do interpretatora poleceń za pomocą portu konsoli oraz hasła vty weryfikowane przy dostępie zdalnym (za pomocą protokołów Telnet i SSH). Kluczową rolę pełni tu jednak hasło enable i dlatego istnieje możliwość konfiguracji dwóch sposobów przechowywanie tego hasła. Różnią się one siłą algorytmu szyfrowania służącego szyfrowania hasła przechowywanego w konfiguracji. •
Router(config)#
enable
passoword
ustanawia hasło do trybu uprzywilejowanego <hasło>
•
Router(config)# <hasło>
na hasło
•
enable
ustanawia hasło enable
Router(config)# line con 0
secret
secret
powoduje
•
Router (config-line)# password <hasło>
wejście w tryb konfiguracji konsoli
dzenia. Dlatego ważna jest jego poprawna konfiguracja.
•
Router(config-line)# login włącza spraw-
Przypisywanie adresom IP nazw
Router(config)# line vty 0 4 powodu-
przypisuje nazwę hosta adresowi IP. Po przypisaniu można używać nazwy hosta zamiast adresu IP podczas nawiązywania sesji Telnet/SSH (np. Routera# telnet krakow) lub podczas testów z wykorzystaniem polecenia ping (np. Router# ping krakow).
ustanawia hasło linii konsolowej jako hasło dzenie hasła podczas logowania
•
je wejście w tryb konfiguracji linii vty (dla wszystkich 5 linii vty o numerach od 0 do 4)
•
Router(config-line)# password <hasło>
•
Router(config-line)# login włącza spraw-
•
Router(config)#
ustanawia hasło vty jako hasło dzenie hasła podczas logowania line
aux
wejście w tryb linii pomocniczej
•
0
powoduje
Router(config-line)# password <hasło>
ustanawia hasło trybu linii pomocniczej jako hasło • Router(config-line)# login Umożliwia sprawdzanie hasła podczas logowania na linii AUX
Należy pamiętać, że hasło enable secret jest szyfrowane (domyślnie), natomiast hasło enable password nie podlega szyfrowaniu. Zalecane jest, aby nigdy nie konfigurować hasła za pomocą polecenia enable password. Dużo bezpieczniejszą praktyką jest używanie polecenia enable secret. Szyfrowanie hasła •
Router(config)#
service
password-
encryption włącza słabe szyfrowanie haseł
•
Router(config)# enable password <hasło>
•
Router(config-line)# password <hasło>
•
Router(config)#
ustanawia hasło enable jako hasło.
tak samo jak w powyższym przypadku. no
service
password-
encryption wyłącza szyfrowanie haseł (hasła
Polecenie no ip domain-lookup – polecenie to wyłącza wysyłanie zapytań DNS o adresy IP dla nazw podawanych jako argumenty poleceń. Ponieważ urządzenie domyślnie traktuje nierozpoznane polecenie jako nazwę domeny i próbuje je odwzorować do adresu IP wysyłając zapytanie DNS, warto niekiedy skorzystać z powyższej komendy – spowoduje to skrócenie czasu analizowania błędnego polecenia. Router(config)#no ip domain-lookup
Polecenie logging synchronous • •
Router(config)# line console 0 Router(config-line)
# logging synchronous
Domyślnie komunikaty informacyjne (o zdarzeniach) są wysyłane na konsole w trybie asynchronicznym. Oznacza to, iż wiersz polecenia podczas wpisywania poleceń może zostać przemieszany z pojawiającym się komunikatem diagnostycznym. Wydanie polecenia logging synchronous spowoduje przepisanie wiersza polecenia do nowej lini po każdym komunikacie diagnostycznym. Polecenie exec-timeout
już ustawione nie zostaną odszyfrowane) Ustawienie czasu i konfiguracja strefy czasowej • Router# clock set 12:34:56 25 2009 ustawia aktualny czas • Router(config)# clock timezone ustawia lokalną strefę czasową
• • April UTC 0
Czas jest używany do oznaczania komunikatów o zdarzeniach zapisywanych w pamięci urzą-
Weryfikacja konfiguracji OSPF •
Router# show ip protocols wyświetla parametry dla wszystkich protokołów routingu
• • •
Router# show ip route wyświetla pełną tablicę routingu IP Router# show ip ospf wyświetla podstawowe informacje dotyczące protokołu OSPF Router# show ip ospf interface wyświetla informacje dotyczące OSPF w odniesieniu
działających na routerze.
do konfiguracji interfejsów
•
Router# show ip ospf interface fastEthernet 0/0 wyświetla informacje dotyczące
• •
Router# show ip ospf neighbor wyświetla listę wszystkich sąsiadów OSPF i ich stan Router# show ip ospf neighbor detail wyświetla szczegółowe informacje na temat
•
Router# show ip ospf database wyświetla zawartość tablicy topologii protokołu OSPF
OSPF w odniesieniu do interfejsu fastEthernet 0/0 sąsiednich routerów OSPF
5
Router(config)#ip host krakow 10.10.10.1
Router(config)#line console 0
Router(config-li ne)# e xec-ti m eout sekundy ustawia limit czasowy, po jakim konsola automatycznie wyloguje użytkownika. Ustawienie 0 0 (0 minut 0 sekund) oznacza, że konsola nigdy nie wyloguje użytkownika. minuty
Polecenie można wykorzystać w trakcie nauki, dzięki niemu konsola nigdy się nie wyloguje. Jednak w prawdziwym świecie takie ustawienie może stanowić poważną lukę w bezpieczeństwie (zwiększa ryzyko przejęcia sesji przez osoby nieuprawnione).
Konfiguracja interfejsów Ethernet Interfejsy Ethernet (Ethernet, FastEthernet i Gigabit Ethernet) umożliwiają podłączenie routera do sieci lokalnej. Liczba interfejsów LAN wymaganych w routerze jest zależna od liczby sieci LAN znajdujących się w określonej lokalizacji (każda sieć przyłączana jest zwykle do osobnego portu, których liczba w obrębie jednego urządzenia jest ograniczona). Każdy z interfejsów routera powiSDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
nien być skonfigurowany w osobnej (pod)sieci IP. Najprostszy sposób przypisywania adresów IP interfejsom LAN polega na nadawaniu interfejsowi pierwszego adresu IP z zakresu przypisanego do sieci, do której interfejs ten jest przyłączony. •
Router(config)# interface fastEthernet 0/0 przejście do trybu konfiguracji interfejsu
i wybranie interfejsu FastEthernet 0/0 •
Router(config-if)# ip address 192.168.0.1 255.255.255.0 przypisanie adresu i maski sieci
danemu interfejsowi •
Router(config-if)# no shutdown włącze-
nie interfejsu (domyślnie wszystkie interfejsy routera są wyłączone)
Konfiguracja interfejsów szeregowych
Router# configure terminal przejście do
trybu konfiguracji globalnej.
•
Router(config)#interface
serial
0/0
przejście do trybu interfejsu Serial 0/0 (w zależności od modelu w niektórych routerach interfejsy mogą mieć jeszcze numerację pojedynczą np. serial 0 lub potrójną np. serial 0/1/0). Listę wszystkich interfejsów danego urządzenia uzyskujemy poleceniem
•
Router# show ip interfaces brief.
Router(config-if)# ip address 192.168.1.1
255.255.255.0 przypisanie adresu i maski pod-
sieci interfejsowi. •
Router(config-if)#clock
rate
56000
ustawienie taktowania zegara dla synchronicznej transmisji szeregowej (innymi sło-
www.sdjournal.org
Usuwanie konfiguracji
•
Router> enable przejście do trybu uprzy-
Przeglądanie i zapisywanie konfiguracji
•
Router# clock set 12:00:00 1 April
•
•
Router# config terminal wejście
Router#erase startup-config usuwa plik kon-
figuracji początkowej z pamięci stałej. Jest to konieczne, jeśli chcemy rozpocząć konfigurację urządzenia od stanu, w którym nie posiada on żadnych ustawień innych niż domyślne. Należy wtedy, po usunięciu konfiguracji, należy zrestartować urządzenie np. poleceniem Router# reload. Podstawowa konfiguracja routera Na Rysunku 1 pokazana jest topologia sieci, która zostanie wykorzystana w pierwszym przykładzie. Router R0
wilejowanego
Transmisja szeregowa stosowana jest często w sieciach rozległych, gdyż umożliwia przesyłanie danych na duże odległości. Podłączenie routera do łącza WAN wymaga konfiguracji portu szeregowego. Dla tego portu konieczne jest ustalenie takich parametrów jak enkapsulacja, szybkość taktowania oraz parametry protokołu IP (adresacja). Enkapsulacja dla interfejsu szeregowego jest to sposób obudowywania pakietów IP tak, aby możliwe było ich poprawne przesłanie za pomocą transmisji szeregowej. Istnieje wiele rodzajów enkapsulacji takich jak: HDLC, SLIP, PPP, FrameRelay czy X.25. Różnią się one między sobą budową ramki, dostępnością dodatkowych mechanizmów jak np. możliwość gwarantowania minimalnej przepustowości itp. Domyślnym ustawieniem enkapsulacji dla łącz szeregowych jest HDLC. Rodzaj enkapsulacji WAN wybranej dla danego interfejsu szeregowego można sprawdzić wydając polecenie Router# show interface serial <numer>. Jeśli chcemy poznać konfigurację interfejsu szeregowego serial 0, to wydamy polecenie Router# show interface serial 0. Interfejsy WAN konfigurujemy za pomocą tych samych poleceń, co polecenia używane do konfiguracji interfejsów LAN (za wyjątkiem szybkości taktowania). W celu skonfigurowania na routerze interfejsu Serial 0, wykonujemy niżej przedstawione polecenia. Konfiguracja interfejsu szeregowego: •
wy będzie to przepustowość wyrażona w bitach na sekundę). O tym, czy w konfiguracji interfejsu szeregowego wymagane jest polecenie clock rate decyduje rodzaj kabla do tego interfejsu podłączony. Jeśli jest to kabel z wtykiem z oznaczeniem DCE – polecenie to jest wymagane. Zakres możliwych przepustowości można uzyskać wprowadzając znak ? jako argument polecenia clock rate. Na każdym łączu szeregowym między routerami musi być ustawione taktowanie zegara. • Router(config-if)#no shutdown włączenie interfejsu • W celu wyjścia z trybu konfiguracyjnego naciskamy klawisze [Ctrl+z].
Router# copy running-config startup-
– Zapisuje bieżącą konfigurację w pamięci stałej. config
•
Router# copy running-config tftp:
–Zapisuje bieżącą konfigurację na zdalnym serwerze TFTP. Jest to zalecana metoda archiwizacji konfiguracji urządzenia. • Router# show running-config – Wyświetla bieżącą konfigurację urządzenia.
2009 ustawienie lokalnego czasu na routerze
w tryb
konfiguracji globalnej
•
Router(config)# hostname R0 ustawienie
•
R0(config)# no ip domain-lookup wyłą-
•
R0(config)#
nazwy routera jako R0
czenie wysyłanie zapytań DNS banner
motd
#
To
jest
przykladowa konfiguracja Routera R0#
stworzenie bannera MOTD •
R0(config)# clock timezone UTC 0 usta-
Listing 3. Konfiguracja routingu dynamicznego Router R2 R2> enable
R2# configure terminal
R2(config)# no ip route 172.16.30.0 255.255.255.0 172.16.20.2 usuwa trasę statyczną R2(config)# no ip route 172.16.40.0 255.255.255.0 172.16.20.2 R2(config)# router rip
lub
R2(config)#router igrp 10
R2(config-router)# network 172.16.0.0 ogłasza informację o podanej, bezpośrednio dołączonej
sieci
R2(config-router)# end wyjście z trybu konfiguracji Router R3 R3> enable
R3# configure terminal
R3(config)# no ip route 172.16.10.0 255.255.255.0 s0/1 usuwa trasę statyczną R3(config)# no ip route 172.16.50.0 255.255.255.0 s0/0
R3(config)# router igrp 10 włącza proces routingu IGRP.
R3(config-router)# network 172.16.0.0 ogłasza informację o podanej, bezpośrednio dołączonej
CTRL+Z wyjście z trybu konfiguracji
sieci
Router R4 R4> enable
R4# configure terminal
R4(config)# no ip route 0.0.0.0
0.0.0.0 serial 0/1 usuwa domyślną trasę statyczną
R4(config)# router igrp10 włącza process routingu IGRP
R4(config-router)# network 172.16.0.0 ogłasza informację o podanej, bezpośrednio dołączonej
CTRL+Z wyjście z trybu konfiguracji
sieci
6
Cisco wienie strefy czasowej dla Polski
•
R0(config-if)#
exit
przejście do trybu
•
R0(config)# enable secret gsg ustawie-
nie hasła enable secret na gsg
•
•
R0(config)# service password-encryption
ustawienie lokalnej nazwy dla hosta o adresie 180.16.20.2 • R0(config)# exit powrót do trybu uprzywilejowanego • R0# copy running-config startup-config zapisuje bieżącą konfigurację do pamięci stałej.
włączenie słabego szyfrowania haseł • R0(config)# line console 0 wejście w tryb konfiguracji konsoli • R0(config-line)# logging synchronous polecenia nie będą zakłócane przez komunikaty diagnostyczne • R0(config-line)# password gsg ustawia hasło konsoli na gsg • R0(config-line)# login wymusza sprawdzanie hasła podczas logowania. • R0(config-line)# line vty 0 4 przejście do trybu konfiguracji linii VTY od 0 do 4 • R0(config-line)# login włączenie sprawdzania hasła podczas zdalnego logowania się na router • R0(config-line)# line aux 0 przejście do trybu konfiguracji linii pomocniczej • R0(config-line)# password gsg ustawienie hasła do linii AUX na gsg • R0(config-line)# login umożliwia sprawdzenie hasła podczas logowania • R0(config-line)# exit powrót do trybu konfiguracji globalnej • R0(config)# interface fa 0/0 przejście do trybu konfiguracji interfejsu Fast Ethernet 0/0 • R0(config-if)# ip address 180.10.10.1 255.255.255.0 polecenie przypisuje interfejsowi adres IP i maskę sieci • R0(config-if)# no shutdown włącza interfejs
konfiguracji globalnej
R0(config)# ip host Lublin 180.16.20.2
Protokół CDP Wszystkie urządzenia sieciowe działające pod kontrolą systemu IOS posiadają implementację protokołu CDP (ang. Cisco Discovery Protocol). Protokół ten został opracowany przez firmę Cisco i umożliwia wykrycie i identyfikację urządzeń sieciowych tej firmy. Komunikaty protokołu CDP nie są przekazywane przez urządzenia sieciowe Cisco i dlatego możliwa jest jedynie identyfikacja urządzeń połączonych bezpośrednio. Działanie CDP polega na okresowym rozgłaszaniu informacji opisujących dane urządzenie na wszystkie interfejsy, na których protokół CDP został włączony. Informacje CDP są domyślnie ogłaszane co 60 sekund. Urządzenia zapamiętują odebrane informacje w tablicy CDP. Informacje w tablicy są przechowywane przez określony czas. Czas ten zwany okresem ważności (ang. holdtime) określa, kiedy po ostatniej aktualizacji informacja o danym urządzeniu zostanie usunięta (domyślnie jest to 180 sekund). Protokół CDP jest domyślnie włączony na wszystkich interfejsach. Działanie
tego protokołu może powodować zagrożenie bezpieczeństwa w sytuacji, gdy informacje CDP wysyłane będą na interfejsach podłączonych do niezaufanych urządzeń sieciowych (za pomocą CDP ogłaszany jest między innymi numer wersji systemu IOS). Konfiguracja i weryfikacja działania protokołu CDP: •
Router# show cdp wyświetla ogólne infor-
•
Router# show cdp neighbors
•
•
•
•
•
• • • • •
Router# clear ip route * usuwa całą tablicę routingu, wymuszając jej odbudowę (w
przypadku protokołu OSPF wiąże się to z ponownym przeliczeniem tras na podstawie tablicy topologii) Router# clear ip route a.b.c.d usuwa konkretną trasę do sieci a.b.c.d Router# clear ip ospf counters zeruje liczniki OSPF Rouer# clear ip ospf process powoduje restart procesu OSPF, zmuszając protokół OSPF do odtworzenia tablic sąsiadów, tablicy topologii i przeliczenia tras umieszczonych w tablicy routingu. Router# debug ip ospf events wyświetla wszystkie zdarzenia związane z działaniem protokołu OSPF Router# debug ip ospf packets powoduje generowanie informacji związanych z analizą zawartości pakietów OSPF.
Router# show cdp interface <interfejs>
wyświetla informacje na temat konfiguracji CDP dla konkretnego interfejsu • Router# show cdp traffic wyświetla informacje na temat komunikacji generowanej przez protokół CDP
•
Router(config)# cdp holdtime <czas>
ustala czasu przechowywania informacji uzyskanych za pomocą CDP.
Rozwiązywanie problemów z OSPF •
macje na temat konfiguracji protokołu CDP wyświetla listę sąsiednich urządzeń oraz oznaczenia interfejsów pomiędzy nimi Router# show cdp neighbors detail wyświetla szczegółowe informacje (np. wersję systemu IOS) na temat sąsiednich urządzeń Router# show cdp entry <nazwa> wyświetla dodatkowe informacje na temat urządzenia o nazwie nazwa Router# show cdp entry * wyświetla dodatkowe informacje na temat wszystkich wykrytych urządzeń Router# show cdp interface wyświetla informacje na temat interfejsów, na których działa protokół CDP.
•
• • •
•
Router(config)#
cdp
timer
<czas>
zmienia częstość wysyłania ogłoszeń protokołu CDP. Router(config)# cdp run uaktywnia CDP globalnie (polecenie domyślne) Router(config)# no cdp run wyłącza CDP globalnie Router(config-if)# cdp enable włącza CDP na konkretnym interfejsie (polecenie domyślne) Router(config-if)# no cdp enable wyłącza CDP na konkretnym interfejsie
Przeglądanie tablicy routingu • • • • •
Router# show ip route wyświetla zawartość całej tablicę routingu IP Router# show ip route protokół wyświetla wpisy z tablicy routingu uzyskane przez
wskazany protokół (na przykład RIP lub IGRP 10) Router# show ip route a.b.c.d wyświetla informacje o trasie do a.b.c.d Router# show ip route connected wyświetla wpisy dotyczące sieci bezpośrednio dołączonych Router# show ip route static wyświetla wpisy routingu statycznego
Ocena działania routingu dynamicznego •
Router# show ip protocols wyświetla stan wszystkich aktywnych procesów protokołów
•
Router# show ip rip database wyświetla bazę danych RIP
routingu.
7
•
Router# clear cdp counters zeruje licz-
•
Router# clear cdp table
niki ruchu protokołu CDP
usuwa zebra-
ne informacje z tablicy CDP
•
monitoruje informację o sąsiadach ogłaszających się za pomocą protokołu CDP • Router# debug cdp events monitoruje wszystkie zdarzenia związane z działaniem protokołu CDP • Router# debug cdp ip monitoruje zdarzenia związane z działaniem CDP specyRouter# debug cdp adjacency
SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
ficzne dla protokołu IP •
powoduje analizę informacji przesyłanych w pakietach protokołu CDP.
Router# debug cdp packets
Routing i protokoły routingu Routing jest to proces wyznaczania tras oraz przekazywania pakietów warstwy sieciowej (np. IP) w trakcie transmisji danych w sieci komputerowej. Proces ten jest wykonywany przez routery (a także komputery). Pojęcie routingu można rozważać w kontekście każdego protokołu sieciowego (IP, IPX, AppleTalk itd.). W dalszej części tego opracowania będzie omawiany wyłącznie routing IP – dla uproszczenia będzie nazywany po prostu routingiem. Routing jest niezbędny dla funkcjonowania sieci komputerowych (LAN – Local Area Network i WAN – Wide Area Network), które zbudowane są z wielu routerów. Otrzymawszy pakiet, każdy z routerów na ścieżce podejmuje decyzję, na który ze swoich interfejsów go przekazać. Gdy router jest bezpośrednio dołączony do sieci, w której znajduje się komputer docelowy, wysyła go wprost do celu, w przeciwnym razie wyznacza adres kolejnego routera, który znajduje się bliżej celu niż on sam i tam wysyła pakiet. W ten sposób pakiet jest kierowany do sieci docelowej. Gdy niekiedy routing funkcjonuje niepoprawnie, bądź w wyniku złej konfiguracji lub na skutek awarii zaistniałej w sieci, pakiety mogą krążyć w koło nigdy nie osiągając celu (pole TTL nagłówka IP zapobiega przed nieskończonym krążeniem pakietu). Routery podejmują decyzję o tym, gdzie przekazać dany pakiet zazwyczaj tylko na podstawie adresu docelowego (choć istnieją mechanizmy, które pozwalają uzależnić przekazanie pakietu od innych pól nagłówka pakietu IP oraz innych danych, np. interfejsu, na którym pakiet został otrzymany). Informacje o tym, gdzie przekazać pakiet, są zawarte w tablicy routingu. Zawiera ona wiele wpisów postaci <adres sieci> <maska podsieci> <adres routera następnego przeskoku lub nazwa interfejsu wyjściowego>.
Dany wpis pasuje do otrzymanego pakietu, jeśli wskazane przez maskę części adresu sieci wpisu i adresu docelowego pakietu są identyczne. Dobranie wpisu spośród pasujących odbywa się po najdłuższym dopasowaniu maski – jeśli pasuje wiele wpisów, wybierany jest ten, dla którego długość maski jest największa. Przykładowo, do adresu docelowego 192.168.3.3 pasują zarówno wpisy 192.168.3.0 255.255.255.0 jak i 192.168.0.0 255.255.0.0, jednak ten pierwszy pasuje lepiej. Jeśli nadal pasuje więcej niż jedna ścieżka, router może dokonywać równoważenia obciążenia – kolejne pakiety kierowane do tego celu przekazywać z wykorzystaniem każdego z równoważnych wpisów. Jeśli w tablicy routingu nie znajdzie się pasujący wpis, pakiet zostanie odrzucony, a do nadawcy może być wysłany komunikat protokołu ICMP informujący o tym zdarzeniu. Wpisy w tablicy routingu mogą być efektem www.sdjournal.org
działania wielu mechanizmów. Najprostszym z nich jest routing statyczny, polegający na tym, że administrator routera wpisuje odpowiednie komendy o sposobie dotarcia do poszczególnych sieci. Takie podejście jest zwykle stosowane w mniejszych sieciach, jednak dla routerów obsługujących większe sieci (stanowiących np. rdzeń sieci Internet – mogą one posiadać nawet 250 tysięcy wpisów) nie byłoby akceptowalne, jest bowiem uciążliwe, podatne na błędy i wymaga rekonfiguracji po zmianie topologii sieci. Wówczas uruchamia się protokoły routingu dynamicznego, które, na drodze wymiany informacji pomiędzy routerami powodują automatyczne umieszczenie odpowiednich wpisów w tablicy routingu.
Routing statyczny Routing statyczny polega na tym, że administrator routera wydaje odpowiednie komendy mówiące o sposobie dotarcia do poszczególnych sieci. Konfiguracja routingu statycznego W systemie IOS wpisy statyczne są dodawane z wykorzystaniem komendy ip route. Można to zrobić na dwa sposoby: wskazując adres IP routera następnego skoku lub wskazując nazwę interfejsu wyjściowego (zazwyczaj stosowane tylko dla interfejsów szeregowych). •
Router(config)#
ip
route
1.0.0.0
konfiguracja trasy statycznej z użyciem routera następnego skoku 255.255.0.0 5.5.5.5
•
Router(config)#ip
route
2.0.0.0
konfiguracja trasy statycznej z użyciem nazwy interfejsu wyjściowego. Na Rysunku 2 została przedstawiona topologia sieci, w której zostanie skonfigurowany routing statyczny. Wzorując się na podanym przykładzie, przeprowadź konfigurację routingu statycznego na pozostałych routerach. 255.255.0.0 serial 0/0
Konfiguracja trasy domyślnej Wpis o trasie domyślnej to wpis, do której pasują wszystkie adresy – jeśli tablica routingu nie zawiera wpisów bardziej szczegółowych (o dłuższej masce), zostanie wybrany on. Wpis domyślny jest odpowiednikiem bramy domyślnej w konfiguracji komputera. •
Router(config)# ip route 0.0.0.0 0.0.0.0
konfiguruje przekazywanie wszystkich pakietów, dla których nie istnieje wpis bardziej szczegółowy na adres 180.16.10.5. 180.16.10.5
•
Router(config)# ip route 0.0.0.0 0.0.0.0
0/1 konfiguruje przekazywanie wszystkich pakietów, dla których nie istnieje wpis bardziej szczegółowy poprzez interfejs Serial 0/1. serial
Weryfikacja zawartości tablicy routingu Router#show ip route wyświetla zawartość tablicy routingu IP. Wpisy statyczne są ozna-
czone literą S.
Routing dynamiczny – protokoły routingu klasy wektor-odległość Protokoły routingu należące do klasy wektor-odległość (distance-vector) implementują algorytm Bellmana-Forda. Odległość oznacza koszt dojścia do sieci docelowej, tzw. metrykę (różne protokoły tej klasy różnie definiują koszt), zaś wektor oznacza kierunek, w którym powinien być wysłany pakiet – czyli wskazuje interfejs wejściowy. Routery, na których skonfigurowano taki protokół okresowo wysyłają na swoje interfejsy informacje o sieciach, które zostały lokalnie wskazane w czasie jego konfiguracji oraz o sieciach otrzymanych od innych routerów. W stanie ustalonym (po rozdystrybuowaniu informacji o wszystkich sieciach do każdego z routerów) wszystkie routery powinny mieć kompletną informację na temat wszystkich sieci w topologii. Ogłaszanie odbywa się okresowo w regularnych odstępach czasu (zwykle co kilkadziesiąt sekund) lub natychmiast po zauważeniu zmian. Przesyłanie komunikatów ma na celu propagowanie informacji o dostępnych sieciach oraz wykrywanie awarii – nieotrzymywanie komunikatów przez dłuższy czas świadczy o zaistnieniu awarii w części sieci i stanowi impuls do wyznaczenia trasy alternatywnej. Wpisy uzyskane poprzez protokoły routingu dynamicznego posiadają swój czas ważności, jeśli router przez określony czas nie otrzyma informacji o danej sieci – usuwa ją z tablicy routingu. Protokoły tej klasy są słabo skalowalne – ze względu na implementowany algorytm, ich wydajność jest niska w większych sieciach – wówczas należy korzystać z protokołów innych klas (np. protokołów stanu łącza). Polecenie show ip protocols wyświetla parametry oraz inne informacje dotyczące procesów protokołów routingu skonfigurowanych na routerze.
Protokół RIP Protokół RIP (Routing Information Protocol) jest jednym z najprostszych protokołów routingu dynamicznego. Należy do klasy wektor-odległość. Miarą odległości w protokole RIP (metryką) jest liczba routerów występujących na drodze do sieci docelowej (tzw. liczba skoków). Ogłaszanie informacji odbywa się standardowo co 30 sekund. Pierwsza wersja protokołu wykorzystuje do tego celu rozgłaszanie (adres 255.255.255.255), druga korzysta z komunikacji grupowej (adres 224.0.0.9 zarezerwowany dla protokołu RIP 2). Ze względu na przyjęte założenia, maksymalna średnica sieci nie może być większa niż 15 routerów. Nie jest to jednak istotne ograniczenie, gdyż systemy autonomiczne (gdzie stosuje się RIP) niemal nigdy nie są aż tak rozległe. Warto konfigurować nowszą, drugą wersję protokołu RIP. Protokół RIP 1 jest protokołem klasowym nieobsługującym mechanizmu adresacji VLSM (zmienna długość maski podsieci) oraz tzw. nieciągłych podsieci. Protokół RIP 2 8
Cisco jest pozbawiony tych wad.
a.b.c.d to identyfikator bezpośrednio dołączo-
(reliability) – najniższa z niezawodności łączy na ścieżce od rozważanego routera do sieci docelowej. Jest ona wyznaczana w oparciu o wskazania komunikatów podtrzymujących aktywność łącza (keepalive). • Obciążenie (load) – najwyższe obciążenie na całej ścieżce od rozważanego routera do sieci docelowej.
Rozwiązywanie problemów związanych z działaniem protokołu RIP
Dwie pierwsze składowe metryki są statyczne – wyznaczane w oparciu o parametry konfiguracyjne, a dwie ostatnie – dynamiczne, wyznaczane na bieżąco przez routery. Wartości przepustowości i opóźnienia można samodzielnie zmieniać wydając odpowiednio polecenia bandwidth i delay w trybie konfiguracji interfejsu.
•
Przepustowość)/(256 – Obciążenie) + K3 *
Polecenia podstawowe •
Router(config)#router rip włącza proces
•
Router(config-router)#network a.b.c.d
routingu RIP
nej sieci, o której ma być ogłaszana informacja. Nawet jeśli zostanie wpisany adres podsieci (np. 180.16.10.0), router automatycznie skonwertuje ten adres do adresu wynikającego z jego klasy – w tym przypadku do 180.16.0.0.
wyświetla w czasie rzeczywistym zdarzenia związane z działaniem protokołu RIP • Router# show ip rip database wyświetla zawartość bazy danych RIP Router# debug ip rip
Routing IGRP Protokół IGRP (Interior Gateway Routing Protocol) jest protokołem routingu klasy wektor-odległość. W odróżnieniu od protokołu RIP, który jest otwartym standardem, IGRP jest protokołem zastrzeżonym przez Cisco, co ogranicza jego stosowalność tylko do sieci, w których pracują routery tej firmy. Protokół ten jest protokołem klasowym nieobsługującym mechanizmu adresacji VLSM (zmienna długość maski podsieci) oraz tzw. nieciągłych podsieci. Obecnie jest już wycofany przez firmę Cisco z nowych wersji systemu IOS (począwszy od wersji 12.3). Zastępuje go nowoczesny, wydajny i dobrze skalowalny protokół EIGRP Protokół IGRP może być dobrym rozwiązaniem dla sieci, w których metryka protokołu RIP oparta wyłącznie o liczbę przeskoków jest zbyt prosta. Wyznaczanie wartości metryki protokołu IGRP odbywa się w oparciu o cztery składowe metryki:
•
(bandwidth) – jest to najniższa z przepustowości na całej ścieżce od rozważanego routera do sieci docelowej • Opóźnienie (delay) – łączne opóźnienie na ścieżce od rozważanego routera do sieci docelowej
Metryka = [K1 * Przepustowość + (K2 *
Opóźnienie] * [K5/(Niezawodność + K4)],
przy czym, gdy K5 = 0, współczynnik niezawodności nie jest brany pod uwagę. Protokół można skonfigurować tak, aby metryka była wyznaczana zgodnie z potrzebami danej sieci poprzez modyfikację współczynników K1..K5. Zaleca się, by na wszystkich routerach w sieci skonfigurować ten sam sposób wyznaczania metryki, w przeciwnym razie routing IGRP może działać niepoprawnie. Domyślna wartość metryki wynosi Przepustowość + Opóźnienie (K1=K3=1, K2=K4=K5=0). Maksymalna średnica sieci, w której jest konfigurowany IGRP nie może przekraczać 255 routerów. Polecenia podstawowe Konfiguracja protokołu IGRP jest bardzo podobna do konfiguracji protokołu RIP. Włączenie procesu routingu IGRP wiąże się z podaniem numery systemu autonomicznego; na wszystkich routerach w konfigurowanej sieci trzeba podać tę samą wartość. (Routing pomiędzy systemami autonomicznymi zapewniają protokoły zewnętrzne takie jak BGP-4.)
Przepustowość
Router(config)#
router
systemu-autonomicznego
igrp
numer-
włącza proces
routingu IGRP. •
Router(config-router)# network a.b.c.d
a.b.c.d to identyfikator bezpośrednio dołączo-
nej sieci, o której informacja ma być ogłaszana.
Listy kontroli dostępu ACL Access Contol List – filtrowanie ruchu Access Control List, czyli lista kontroli dostępu jest mechanizmem, który pierwotnie opracowany został do realizacji filtracji ruchu sieciowego. Lista ACL jest to lista warunków, do których przypisana może być jedna z dwóch możliwych akcji: Permit i Deny. W sytuacji, gdy lista ACL wykorzystywana jest jako narzędzie filtracji komunikacji dopasowanie warunku spowoduje wykonanie akcji przypisanej do tego warunku, jeśli zaś warunek nie pasuje, sprawdzany będzie kolejny i tak do końca listy. Dopasowanie warunku z akcją Deny spowoduje odrzucenie pakietu, natomiast akcja Permit określa, iż pakiet będzie przesłany. W przypadku, gdy pakiet nie pasuje do żadnego warunku (sprawdzanie dojdzie do końca listy) domyślą akcją będzie wtedy odrzucenie pakietu. Lista pusta (beż żadnych warunków) przepuszcza cały ruch.
9
Nawet jeśli zostanie wpisany adres podsieci (np. 180.16.10.0), router automatycznie skonwertuje ten adres do adresu wynikającego z jego klasy – w tym przypadku do 180.16.0.0. Polecenia dodatkowe: •
Router(config)# no router igrp numersystemu-autonomicznego
wyłącza proces
routingu IGRP.
• •
Niezawodność
•
Router(config-router)#
no
network
uusuwa sieć a.b.c.d z procesu routingu IGRP. • Router(config-if)# bandwidth x zmienia deklarowaną przepustowość tego interfejsu na x kb/s (nie wpływa na faktyczną przepustowość tego segmentu sieci!) • Router(config-if)# delay x zmienia deklarowane opóźnienie tego interfejsu na 0,1*x mikrosekund (nie wpływa na faktyczne opóźnienie tego segmentu sieci!) • Router(config-router)# metric weights 0 K1 K2 K3 K4 K5 zmienia wartości współczynników K1..K5 używanych w wyznaczaniu metryki. • Router(config-router)#variance n pozwala protokołowi IGRP umieszczać w tablicy routingu więcej niż jedną trasę do sieci docelowej. Umieszczane są trasy, których koszt jest nie większy niż n*koszt najlepszej trasy do tej sieci. a.b.c.d
Rozwiązywanie problemów związanych z działaniem protokołu IGRP •
Router# debug ip igrp events wyświe-
tla w czasie rzeczywistym zdarzenia związane z działaniem protokołu IGRP
•
Router# debug ip igrp transactions
wyświetla uaktualnienia IGRP przesyłane pomiędzy routerami.
Przykład 2. Konfiguracja routingu dynamicznego (Rysunek 3)
Jednoobszarowy protokół OSPF Protokół OSPF (ang. Open Shortest Path First) jest otwartym protokołem stworzonym przez organizację IETF do obsługi dużych sieci w obrębie systemu autonomicznego. OSPF jest tzw. protokołem wewnętrznym działającym zgodnie ze schematem protokołów stanu-łącza. Działanie protokołu OSFP polega na wyznaczeniu tras na podstawie tablicy topologii. W tablicy tej znajduje się informacja na temat wszystkich dostępnych połączeń i każdy router posiada identyczną jej kopię. Informacje w tablicy uzupełniane są na podstawie aktualizacji informacji o połączeniach, wysyłanych nie jak w przypadku protokołów wektor-odległość periodycznie, lecz jedynie w sytuacji zmiany stanu połączenia i nie wyłącznie do sąsiadów, lecz do wszystkich routerów w topologii. Dlatego w stanie ustalonym (brak zmian w topologii) proces protokołu OSPF nie generuje komunikatów aktualizacji. TaSDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
blica routingu jest tworzona na podstawie tablicy topologii za pomocą algorytmu Dijkstry. Obszary w protokole OSPF służą wprowadzeniu hierarchii i ograniczeniu rozmiaru tablic routingu, co jest istotne w dużych sieciach, gdyż duże tablice topologii zwiększają czas potrzebny na wygerowanie tras i wymagają większej ilości pamięci operacyjnej. Routing OSPF – polecenia obowiązkowe •
Modyfikacja wartości metryki OSPF Domyślnie koszt OSFP jest obliczany na podstawie przepustowości zgodnie ze wzorem Koszt [C] = 10^7 / przepustowość [kb/s]. Koszt połączenia można zmienić zmieniając przepustowość (komenda bandwidth na interfejsie) lub podając wartość kosztu w sposób bezpośredni. • •
bandwidth 128 polecenie ustala przepustowość w kb/s, w wyniku zmiany wartości tego parametru OSPF prześle aktualizację informacji o połączeniu i przeliczy ponownie koszty ścieżek w tablicy routingu.
Router(config-if)#
Router(config)# router ospf 123 włącza
172.16.10.0 0.0.0.255 area 0 w pro-
tokole OSPF ogłaszane są informacje o połączeniach, a nie poszczególne sieci. Polecenie network przyjmuje jako argument adres sieci z odwrotną maską. Wszystkie interfejsy o adresach IP należących do danego adresu będą używane w procesie OSPF. Area 0 oznacza numer obszaru OSPF. W przypadku OSPF jednoobszarowego może to być do dowolna liczba z zakresu od 0 do 2 do potęgi 32. Na wszystkich routerach musi być podany ten sam numer obszaru (najczęściej zero). • Numer ID procesu OSPF jednego routera nie musi zgadzać się z numerami ID innych procesów OSPF routerów w obszarze w przeciwieństwie do protokołów IGRP lub EIGRP, gdzie numery procesów są przesyłane w aktualizacjach i muszą być zgodne.
•
• •
Router(config-rouetr)# exit
Użycie masek odwrotnych w konfiguracji OSPF
•
Router(config-if)# ip ospf
•
Router(config-if)#ip
ospf
cost
zmiana kosztu na wartość 1564
• •
Router(config)# router ospf 456 Router(config-router)# area
0 authentication message-digest
włącza uwierzytelnianie z wykorzystaniem skrótu komunikatu OSPF i hasła, który jest wyznaczany algorytmem MD5 i dołączany do wysyłanego komunikatu
1564
• •
Router(config-router)# exit
•
Router(config-if)#
Uwierzytelnianie OSPF Uwierzytelnianie powala ograniczyć niebezpieczeństwo akceptacji informacji o routingu z niezaufanych źródeł. Router OSPF będzie przetwarzał aktualizacje jedynie od routerów, na których zostało skonfigurowane takie samo hasło.
Router(config)# interface fastEthernet 0/0
ip
ospf
message-
1 to identyfikator klucza. Wartość ta musi być taka sama jak na sąsiednim routerze. MD5 wskazuje, że będzie użyty algorytm haszujący MD5. gsg to klucz (hasło), które również musi być takie samo, jak to konfigurowane na sąsiednim routerze. digest-key 1 md5 gsg
Rozwiązywanie podstawowych problemów związanych z routerem
Router(config)# router ospf 456 Router(config-router)# area
0 authentication włącza proste uwierzytelnianie – hasło jest wysyłane jawnym tekstem (bez szyfrowania)
Polecenia diagnostyczne routera W czasie pracy na routerze (zarówno w trybie użytkownika jak i trybie uprzywilejowanym) wykorzystywany jest interpreter Exec. Ważną umiejętnością jest sprawna weryfikacja sprzętowej i programowej konfiguracji routera. Jed-
Router(config)# interface fastEthernet 0/0
��
��
Router(config-router)# network
172.16.10.1 0.0.0.0 area 0 interfejs o adresie 172.16.10.1 zostanie przyłączony do strefy OSPF o numerze 0
•
• •
lub
Router(config-router)# network
ustawia ha-
Uwierzytelnianie OSPF za pomocą szyfrowania MD5 Uwierzytelnianie z wykorzystaniem silnego algorytmu MD5 jest zalecane w stosunku do uwierzytelniania opartego na haśle przesyłanym jawnym tekstem.
Router(config)# interface serial 0/0
proces OSPF o identyfikatorze 123. Numer ID procesu to dowolna wartość między 1 a 65535. Numer ID procesu nie jest równy numerowi obszaru OSPF.
•
authentication-key gsg
sło na wartość gsg
��
Router(config-router)# network
172.16.10.0 0.0.255.255 area 0
wszystkie interfejsy o adresach należących do sieci 172.16.10.0/16 zostaną przyłączone do strefy OSPF o numerze 0 •
Router(config-router)# network 0.0.0.0
area 0 każdy działający interfejs posiadający dowolny adres IP zostanie przyłączony do strefy OSPF o numerze 0 255.255.255.255
•
Router(config)# interface loopback 0
przejście do trybu konfiguracji wirtualnego interfejsu Loopback 0 (polecenie to również tworzy taki interfejs, jeśli zostanie wydane po raz pierwszy). Interfejsy pętli zwrotnej (Loopback) są zawsze włączone i są często stosowane gdyż OSPF aby móc wystartować wymaga przynajmniej jednego działającego interfejsu z adresem IP.
•
Rysunek 3. Topologia sieci dla konfiguracji routingu dynamicznego
Router(config-if)# ip address
192.168.100.1 255.255.255.255
pisuje interfejsowi adres IP www.sdjournal.org
przy-
Polecenia weryfikujące konfigurację • • • •
Switch# Switch# Switch# Switch#
• • •
Switch# show running-config wyświetla aktualną konfigurację Switch# show startup-config wyświetla aktualną konfigurację startową Switch# show post wyświetla, czy przełącznik poprawnie przeszedł procedurę POST (czyli test
• •
Switch# show vlan wyświetla aktualną konfigurację sieci wirtualnych VLAN Switch# show interfaces wyświetla konfigurację interfejsu i stan protokołu warstwy łącza da-
•
Switch# show interface vlan 1 wyświetla ustawienie wirtualnego interfejsu działającego w
net
show show show show
version wyświetla m.in. informacje na temat wersji oprogramowania i sprzętu flash wyświetla informacje o pamięci Flash (tylko dla serii 2900/2950) mac-address-table wyświetla aktualną zawartość tablicy przełączania controllers ethernet-controller wyświetla informacje o kontrolerze Ether-
elementów sprzętowych wykonywany po włączeniu zasilania – ang. Power-On Self Test) nych
warstwie 3 przypisanego do sieci wirtualnej VLAN 1, czyli do domyślnej sieci VLAN na przełączniku
10
Cisco nym z najbardziej przydatnych poleceń jest polecenie show – można je wykorzystywać m.in. do weryfikacji stanu interfejsów routera, konfiguracji routingu statycznego i dynamicznego, ilości pamięci Flash oraz RAM. Rysunek 20 pokazuje korzystanie z polecenia show interfaces, które dostarcza informacji dotyczących wszystkich interfejsów danego routera. Polecenie może być wpisane w linii poleceń trybu użytkownika lub trybu uprzywilejowanego. Wydawanie polecenia show dotyczącego konkretnego interfejsu: show interface Ethernet 0. Różnica w działaniu tego polecenia w porów-
naniu z poprzednim polega tylko na tym, że wyświetlane są informacje dotyczące jedynie interfejsu Ethernet 0. Polecenie show może być również wydawane w dowolnym trybie konfiguracji (choć wówczas nie działa podpowiadanie składni polecenia) poprzez wydanie polecenia do show ... Możliwość ta istnieje tylko w nowszych wersjach systemu IOS. Polecenie show w trybie użytkownika wskazuje m.in.: • show clock – ustawienie daty i godziny routera.
Listing 4. Przykład konfiguracji przełącznika z serii 2900
Testowanie warstwy 3 modelu OSI
2900(config-line)# login użytkownik musi się logować na porcie pomocniczym
Polecenie ping jest poleceniem bardzo przydatnym w czasie pracy z routerami. Polecenie to jest również często używane do sprawdzenia osiągalności i uzyskania informacji o czasie podróży pakietu do i z wskazanego komputera w sieci Internet. Polecenie ping (skrót od Packet INternet Groper, czyli pakietowy wyszukiwacz tras w sieci) używane jest do testowania poprawności komunikacji pomiędzy węzłami (takimi jak komputery, serwery czy routery) w sieci. Mechanizm ping może być używany dla wielu protokołów warstwy sieciowej, takich jak IP, IPX czy AppleTalk. Ping wykorzystuje adresację logiczną (sieciową) węzłów, dlatego pingować można wszystkie przyłączone do sieci interfejsy routerów, którym przypisane zostały odpowiedniego typu adresy logiczne.
2900(config-line)# exit powrót do trybu konfiguracji ogólnej
•
Switch> enable wejście w tryb uprzywilejowany
Switch# configure terminal wejście w tryb ogólnej konfiguracji
Switch(config)# no ip domain-lookup wyłącza zapytania DNS, przez które błędy literowe we wpisywanych poleceniach mogłyby spowolnić pracę
Switch(config)# hostname 00 ustawia nazwę hosta
2900(config)# enable secret gsg ustawia zaszyfrowane hasło secret na gsg 2900(config)# line console 0 wejście w tryb linii konsoli
2900(config-line)# logging synchronous przenosi polecenia do nowego wiersza w razie pojawienia się komunikatu diagnostycznego
2900(config-line)# login użytkownik musi zalogować się na konsoli przed możliwością jej użycia
2900(config-line)# password gsg ustawia hasło na gsg
2900(config-line)# exec-timeout 0 0 konsola nie będzie wylogowywała się samodzielnie 2900(config-line)# exit powrót do trybu konfiguracji ogólnej 2900(config)# line aux 0 wejście w tryb linii pomocniczej 2900(config-line)# password gsg ustawia hasło na gsg
2900(config)# line vty 0 15 przejście do trybu konfiguracji wszystkich 16 portów vty jednocześnie
2900(config-line)# login użytkownik musi się logować na portach vty 2900(config-line)# password gsg ustawia hasło na gsg
2900(config-line)# exit powrót do trybu konfiguracji ogólnej
2900(config)# ip default-gateway 192.168.1.1 ustawia domyślną bramę
2900(config)# interface vlan 1 przejście na wirtualny interfejs VLAN 1
2900(config-if)# ip address 192.168.1.2 255.255.255.0 ustawia adres IP przełącznika 2900(config-if)# no shutdown włącza wirtualny interfejs
2900(config-if)# interface fastEthernet 0/1 przejście do trybu konfiguracji interfejsu fastEthernet 0/1
2900 (config-if)# interface fastEthernet 0/4 przejście do trybu konfiguracji interfejsu fastEthernet 0/4
2900 (config-if)# port security aktywacja bezpieczeństwa portu
2900 (config-if)# port security max-count 1 w tablicy MAC dozwolony będzie tylko jeden adres MAC
2900 (config-if)# port security action shutdown port zostanie wyłączony, gdy zgłoszony zostanie więcej niż jeden adres MAC.
2900 (config-if)# interface fastEthernet 0/8 przejście do trybu konfiguracji interfejsu fastEthernet 0/8
2900 (config-if)# description link to workstation b ustawia opis interfejsu 2900 (config-if)# port security aktywacja bezpieczeństwa portu
2900 (config-if)# port security max-count 1 w tablicy MAC dozwolony będzie tylko jeden adres MAC dla danego portu
2900 (config-if)# port security action shutdown port zostanie wyłączony, gdy zgłoszony 2900 (config-if)# exit
zostanie więcej niż jeden adres MAC
2900# copy running-config startup-config zapis konfiguracji do pamięci NVRAM
11
• show version – wiele informacji związanych z parametrami sprzętowymi i programowymi routera, m.in. wersję systemu IOS. • show protocols – konfigurację warstwy sieciowej – protokoły routowalne i konfigurację sieciową interfejsów • show ip protocols wyświetla stan wszystkich aktywnych procesów protokołów routingu. • show processes – informacje dotyczące wykorzystania procesora. • show history listę ostatnio wykonanych poleceń.
a.b.c.d sprawdza łączność na poziomie warstwy 3 z hostem o adresie a.b.c.d. • Router#ping powoduje wejście w rozszerzony tryb polecenia ping, który dostarcza wiele dodatkowych opcji przydatnych w bardziej zaawansowanej diagnostyce sieci. Router#ping
W systemie IOS pierwotnie listy identyfikowane były wyłącznie za pomocą liczby naturalnej z odpowiednio przydzielonego dla danego protokołu routowalnego (np. IP, IPX) zakresu (patrz Ramka). W obecnych wersjach IOS można tworzyć listy ACL tzw. nazwane, czyli identyfikowane za pomocą dowolnej nazwy. Zakresy numerów dla list ACL: • • • • • •
1-99 lub 1300-1999 standardowe IP 100-199 lub 200-2699 rozszerzone IP 600-699 AppleTalk 800-899 IPX 900-999 rozszerzone IPX 1000-1099 IPX SAP
Listy ACL są również konieczne wszędzie tam gdzie istnieje konieczność zdefiniowania parametrów komunikacji, dla której przesłanie będzie inne niż standardowy routing. Przykładem może być tu mechanizm translacji adresów NAT. Konfiguracja tego mechanizmu wymaSDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
ga określenia, które pakiety spośród wszystkich przesyłanych przez router mają mieć zmodyfikowany nagłówek. Do selekcji tego ruchu służy zwykle odpowiednio określona lista ACL. Akcja Permit określa wtedy, że pakiet ma być obsługiwany przez proces NAT a akcja Deny, że pakiet ma być przesłany bez modyfikacji. Listy ACL bywają stosowane również do określenia zakresów adresów IP, z których możliwy będzie dostęp do konsoli (interpretatora poleceń) danego urządzenia sieciowego. Umożliwia to zwiększenie poziomu bezpieczeństwa urządzeń sieciowych, gdyż osoba nieuprawniona nawet posiadając hasło nie będzie miała dostępu do konfiguracji urządzeń. Działanie list dostępu Lista dostępu to wykorzystanie list kontroli dostępu ACL do filtracji ruchu – przepuszczania lub porzucania pakietów zgodnie z zadanymi kryteriami. Pozwalają one skonfigurować router jako firewall. Polecenia zamieszczone w liście dostępu są odczytywane i wykonywane po kolei, co oznacza, że pakiety przychodzące z określonego interfejsu routera konfrontowane są z zapisami listy w kolejności od góry do dołu listy. Pakiety odrzucone są eliminowane, natomiast pakiety zaakceptowane przesyłane są dalej tak, jakby lista dostępu nie istniała. Jeśli otrzymany pakiet nie spełnia kryteriów pierwszej deklaracji, to sprawdzany jest on względem kryteriów drugiej i kolejnych, aż do osiągnięcia ostatniej deklaracji. W przypadku zastosowania listy kontroli dostępu do filtracji ruchu można je stosować zarówno w kierunku przychodzącym (in) jak i wychodzącym (out). Kierunki te oznaczają moment kiedy będzie dokonywana weryfikacja ruchu w opraciu o daną listę. In oznacza, że sprawdzenie będzie wykonane przy odbieraniu pakietu przez router, out oznacza, że sprawdzenie będzie wykonane przy wysłaniu komunikacji przez dany interfejs. Maski odwrotne Z konfiguracją list dostępu jest związane pojęcie masek wildcard (maski odwrotne). Są one podobne do masek używanych do określenia długości części sieci w adresie IP. Różnią się tym, że mają odwrócony zapis, czyli z maski z adresu sieci uzyskujemy maskę odwróconą poprzez negację wszystkich bitów. Logiczne 0 w masce odwróconej oznacza, iż odpowiadający mu bit w adresie sieci musi mieć podaną wartość, logiczne 1 oznacza, iż odpowiadający bit adresu może być dowolny, czyli • 0 (logiczne zero) w masce odwrotnej oznacza, że sprawdzany jest odpowiedni bit w adresie • 1 (logiczne jeden) w masce odwrotnej oznacza, że odpowiedni bit w adresie jest ignorowany. Przykład: 172.16.0.0 0.0.255.255 172.16.0.0 =
10101100.00010000.00000000.0
www.sdjournal.org
0000000
0.0.255.255= 00000000.00000000.11111111.11 111111
Wynik =
101101100.00010000.xxxxxxxx.xx xxxxxxx
172.16.x.x (czyli wszystko pomiędzy
adresami 172.16.0.0 a 172.16.255.255)
x – oznacza w adresie dowolną wartość (0 lub 1)
miast maski odwrotnej 0.0.0.0 i powoduje, że pasuje do warunku tylko jeden konkretny adres. Tworzenie standardowych list ACL Listy standardowe służą do weryfikacji jedynie adresów źródłowych w weryfikowanych pakietach. Przykład 1: •
wszystkie pakiety o źródłowym adresie IP należącym do sieci 172.16.0.0/16 zostaną przepuszczone, cała pozostała komunikacja zostanie odrzucona (w przypadku użycia danej listy do filtracji komunikacji). • access-list polecenie tworzące/ modyfikujące listę ACL • 1 dowolna liczba pomiędzy 1 a 99, która określa standardową listę ACL dla protokołu IP • permit akcja dla warunku – pakiety, które pasują do podanego następnie wyrażenia będą przesłane • 172.16.0.0 źródłowy adres IP używany do porównań • 0.0.255.255 maska odwrotna 172.16.0.0 0.0.255.255
Maska odwrotna składająca się z samych zer oznacza, że adres z pakietu musi pasować dokładnie do adresu na liście ACL. Maska składająca się z samych jedynek oznacza, że adres w pakiecie może być dowolny. W odróżnieniu od masek w adresach IP, maski odwrotne mogą być nieciągłe. To znaczy, że maska odwrócona może mieć dowolną postać i nie musi składać z dwóch ciągłych części (części jedynek i części zer). Zastosowanie takich nieciągłych masek może być różne. Np. warunek: 192.168.0.0 1.0.0.254 (czyli maska odwrotna 00000001.00 000000.0000000.11111110) oznacza wszystkie parzyste adresy w sieciach 192.168.0.0/24 i 193.168.0.0/24. Słowa kluczowe ACL Słowo kluczowe any może być użyte zamiast 0.0.0.0 255.255.255.255 i sprawia, że pasują wszystkie porównywane z nim adresy. Słowo kluczowe host może być używane za-
Router(config)# access-list 1 permit
Przykład 2 (modyfikacja listy ACL o numerze 1 z przykładu 1): •
Router(config)#
access-list
1
deny
��
���� ��
��� ����
�
� ��
���� ����
��
Rysunek 4. Przykład topologii dla konfiguracji Frame Relay.
Listing 5. Przykład konfiguracji PPP Router> enable
Router# configure terminal
Router(config)# interface serial 0/0
Router(config-if)# ip address 172.16.20.1 255.255.255.0 przypisuje interfejsowi adres IP
Router(config-if)# clock rate 5600 ustawia taktowanie zegara dla strony łącza DCE Router(config-if)# encapsulation ppp włącza enkapsulację PPP
Router(config-if)# ppp authentication chap włącza uwierzytelnianie CHAP Router(config-if)# no shutdown włącza interfejs Router(config-if)# exit Router(config)# exit
Router#copy running-config startup-config
12
Cisco wszystkie pakiety o źródłowym adresie IP 172.17.0.1 zostaną odrzucone (w przypadku użycia danej listy do filtracji komunikacji) • deny pakiety, które pasują do następnie podanego wyrażenia, zostaną odrzucone • host słowo kluczowe zastępujące maskę odwrotną 0.0.0.0 • 172.16.0.10 konkretny adres hosta
wym adresie IP należącym do sieci 172.16.0.x będzie mogła być przesłana na dowolny adres docelowy należący do sieci 192.168.100.x • 110 numer rozszerzonej ACL z zakresu pomiędzy 100 a 199 • permit pakiety, które pasują do tego wyrażenia, nie będą odrzucone • tcp wpis określa, że pakiet IP zawiera w sobie segment protokołu TCP • 172.16.0.0 adres IP służący do weryfikacji adresów źródłowych w pakietach IP • 0.0.0.255 maska odwrotna określająca 24 bitową sieć • 192.168.100.0 adres IP służący do weryfikacji adresów docelowych w pakietach IP • 0.0.0.255 maska odwrotna określająca 24 bitową sieć • eq operator oznaczający równość numeru portu (podanego dalej) • 80 numer portu docelowego w segmentach protokołu TCP (wskazujący na komunikację do serwera protokołu HTTP)
host 172.17.0.1
•
Router(config)# access-list 1 permit
any wszystkie pakiety o dowolnym źródło-
wym adresie IP będą przesłane • access-list polecenie tworzące/ modyfikujące listę ACL • permit akcja – pakiety, które pasują do podanego następnie wyrażenia, mogą przejść dalej • any słowo kluczowe oznaczające dowolny adresy IP Przypisanie standardowej listy ACL do interfejsu Lista ACL przypisana do interfejsu pozwala na filtrację komunikacji, która będzie przesyłana przez router. Uwaga: lista ta nie będzie filtrować ruchu kierowanego do routera i generowanego na routerze. • •
Router(config)# interface fastEthernet 0/0
Przypisanie rozszerzonych list ACL do interfejsu •
Router(config)# interface fastEthernet
•
Router(config-if)# ip access-group 110
0/0
powoduje przypisanie listy o numerze 110 jako listy wyjściowej (weryfikowanej dla ruchu wychodzącego) dla interfejsu Fast Ethernet 0/0.
Router(config-if)# ip access-group 10
out
in powoduje przypisanie listy o numerze 10
jako listy wejściowej (weryfikowanej dla ruchu wchodzącego) dla interfejsu Fast Ethernet 0/0.
Tworzenie nazwanych list ACL Weryfikacja konfiguracji list ACL • •
wyświetla konfigurację protokołu IP dla wszystkich interfejsów routera, między innymi znajdują się tam informacje na temat przypisanych list ACL • Router# show access-lists wyświetla definicję wszystkich list ACL na routerze • Router# show access-list <numerlisty-dostępu> wyświetla zawartość listy ACL o podanym numerze • Router# show access-list <nazwa> wyświetla zawartość listy ACL o podanej nazwie • Router# show running-config wyświetla cała konfigurację, w tym wszystkie listy ACL i ich przypisania do interfejsów Router#
show
ip
Usuwanie listy ACL Router(config)# no access-list 10 usuwa
listę ACL o numerze 10
Tworzenie rozszerzonej listy ACL •
Router(config)# access list 100 permit
tcp 172.16.0.0 0.0.0.255 192.168.100.0.0 0.0.0.255 eq 80 komunikacja TCP na docelo-
wy port 80 (zazwyczaj serwer http) o źródło13
Router(config)# ip access-list extended
dostep-do-serwera tworzy rozszerzoną, na-
interface
•
zwaną listę dostępu o nazwie serwera.
dostep-do-
Router(config-ext-nacl)# permit tcp any
host 111.108.101.99 eq smtp przepuszczo-
ne zostaną pakiety z dowolnego adresu źródłowego kierowane do hosta 111.108.101.99 na port serwera SMTP (czyli 25/TCP) •
Router(config-ext-nacl)# deny ip any
użytkownicy logują się na router zdalnie. Przypisanie listy ACL do linii wirtualnych terminali spowoduje możliwość weryfikacji adresów źródłowych, z których możliwe będzie załogowanie się na urządzenie. •
Router(config)# access-list 2 permit
tworzy listę standardową o numerze 2 przepuszczającą jedynie komunikację z adresu 172.16.10.2 host 172.16.10.2
•
Router(config)#
access-list
2
permit
rozszerza listę o numerze 2 o warunek pozytywnie weryfikujący adresy źródłowe z sieci 172.16.20.0/24. Cała pozostała komunikacja będzie odrzucona • Router(config)# line vty 0 4 przechodzi do trybu konfiguracji linii wirtualnych (wszystkich pięciu równocześnie) • Router(config-line)# access-class 2 in przypisuje listę ACL o numerze 2 do wszystkich pięciu wirtualnych terminali (linii VTY) 172.16.20.0
0.0.0.255
Protokół PPP Protokół PPP (Point-to-Point Protocol) jest protokołem warstwy łącza danych modelu OSI/ISO (podobnie jak Ethernet) umożliwiającym przesyłanie danych między routerami połączonymi przy użyciu linii dzierżawionych. Protokół PPP jest protokołem wykorzystywanym w systemach otwartych, obsługujących sieci IP, IPX oraz AppleTalk. Protokół PPP można skonfigurować na łączach szeregowych przy użyciu polecenia encapsulation. Przepustowość łącza PPP określa się podobnie jak w przypadku HDLC. Konfiguracja interfejsu szeregowego do obsługi protokołu PPP składa się z następujących kroków: • Po przejściu do trybu konfiguracji interfejsu (np. serial 0) należy podać typ enkapsulacji komendą encapsulation ppp. • (Opcjonalnie) W konfiguracji interfejsu szeregowego moża podać parametry związane a uwierzytelnieniem urządzeń, których komunikacja będzie wymieniana za pomocą protokołu PPP.
log
uniemożliwia przejście pozostałych pakietów. Jeśli pakiet zostanie odrzucony, informacja o tym fakcie wraz z parametrami pakietu odrzuconego zostanie zapisana. Informacje te można przeglądać w celu wykrycia potencjalnych prób ataków.
Poprawność połączenia PPP utworzonego z innym routerem można sprawdzić za pomocą polecenia ping podając adres IP interfejsu z drugiego końca lub inny adres IP znajdujący się w tamtym fragmencie sieci.
• •
Router(config-ext-nacl)# exit
Router(config)# interface fastEthernet
Konfiguracja enkapsulacji HDLC na łączu szeregowym
•
Router(config-if)#
Router# configure terminal
0/0
ip
access-group
przypisuje listę ACL na interfejsie Fast Ethernet 0/0 dla weryfikacji komunikacji wychodzącej. dostp-do-serwera
out
Ograniczanie dostępu do wirtualnych terminali Terminale wirtualne są wykorzystywane, gdy
Router(config)# interface serial 0/0
Router(config-if)# encapsulation hdlc
HDLC to domyślna enkapsulacja dla synchronicznych łączy szeregowych na routerach Cisco. Polecenia encapsulation hdlc używamy wtedy, gdy chcemy przywrócić enkapsulację SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
do stanu domyślnego. Konfiguracja enkapsulacji PPP na łączu szeregowym Router# configure terminal Router(config)# interface serial 0/0
Router(config-if)# encapsulation ppp zmie-
nia enkapsulację z domyślnej HDLC na PPP Aby łącze szeregowe działało poprawnie, polecenie encapsulation ppp należy wydać po obu stronach danej linii szeregowej. Konfiguracja PPP na łączu szeregowym: kompresja danych Kompresja pozwala zwiększyć wydajność komunikacji poprzez zmnieszenie ilości koniecznych do wysłania informacji. Stosowane są tutaj dwa możliwe algorytmy, różniące się spółczynninkiem kompresji i obciążeniem generwowanych na routerze. Nie wszystkie informacje przesyłane za pomocą sieci komputerowej (np. pliki JPG, archiwa ZIP itp.) da się efektywnie kompresować. •
Router(config-if)# compress predictor
•
Router(config-if)# compress stac
uaktywnia algorytm kompresji predictor uaktywnia algorytm kompresji stac
Konfiguracja PPP na łączu szeregowym: jakość łącza polecenie gwarantuje jakość łącza o wartości x procent; w innym razie łącza jest zamykane. x oznacza tutaj maksymalny dopuszczalny procent strat pakietów podczas transmisji za pomocą protokołu PPP. Router(config-if)# ppp quality x
Konfiguracja PPP na łączu szeregowym: uwierzytelnianie • •
Router(config)# interface serial 0/0
Router(config-if)# ppp authentication ppp włącza uwierzytelnianie PAP
•
Router(config-if)# ppp authentication
•
Router(config-if)# ppp authentication
chap włącza uwierzytelnianie CHAP
łącze użyje uwierzytelniania PAP, ale gdyby się nie powiodło lub zostało odrzucone przez drugą stronę, spróbuje uwierzytelniania CHAP pap
•
chap
Router(config-if)# ppp authentication
pap łącze użyje uwierzytelniania CHAP, ale gdyby się nie powiodło lub zostało odrzucone przez drugą stronę, spróbuje uwierzytelniania PAP chap
ISDN ISDN (Integrated Services Digital Network), czyli cyfrowa sieć usług zintegrowanych jest usługą dostarczaną przy użyciu zwykłych linii telefonicznych. Poszczególne urządzenia przyłączane są do sieci telefonicznej za pośrednictwem modemu ISDN. System ISDN dostępny jest w www.sdjournal.org
różnych implementacjach: jako łącze podstawowe (BRI), jako łącze główne (PRI) oraz szerokopasmowy ISDN (B-ISDN). Przed skonfigurowaniem obsługi ISDN w routerze sprawdzamy, czy nie ma on wbudowanego interfejsu ISDN. Jeśli nie ma, to w celu skorzystania z tej usługi trzeba zakupić modem ISDN i przyłączyć go do jednego z asynchronicznych interfejsów routera. Konfigurowanie interfejsu szeregowego do obsługi technologii ISDN:
mer SPID dla kanału B1, zgodnie z danymi dostawcy usług. Drugi numer (5551000) to lokalny numer katalogu wybierania (LDN), który zwykle pasuje do informacji pochodzących z przełącznika ISDN •
Router(config-if)#isdn spid2
51055510010001 5551001 definiuje numer SPID dla kanału B2, zgodnie z danymi od dostawcy usług ISDN
Konfiguracja ISDN PRI • W linii poleceń trybu uprzywilejowanego wydajemy polecenie configure terminal, które powoduje wejście do globalnego trybu konfiguracji. • Aby określić typ przełącznika dla połączenia ISDN, wydajemy polecenie isdn switch type kod identyfikacyjny (ID code) (typ przełącznika ISDN w centrali operatora, z którym będziemy się łączyć). • Teraz można rozpocząć konfigurowanie interfejsu ISDN. W tym celu wydajemy polecenie interface bri <numer>, gdzie <numer> oznacza numer kolejny interfejsu ISDN dla danego routera (np. BRI 0 lub BRI 1). • Po przejściu z trybu konfiguracji globalnej do trybu konfiguracji interfejsu wydajemy polecenie określające typ enkapsulacji. • Aby podać numer SPID dla obu kanałów ISDN B, w linii poleceń interfejsu wpisujemy polecenie isdn spidl <numer1 _ spid>, podajemy numer SPID uzyskany od dostawcy usług ISDN, w celu uzyskania dostępu do określonego kanału. Jeśli był to numer 881234561, to nasze polecenie miałoby postać isdn spid 881234561. • Podobnie określamy numer SPID dla drugiego kanału. Wydajemy polecenie isdn spid2 numer2 _ spid, gdzie <numer2 _ spid> oznacza numer SPID drugiego kanału dla dostępu BRI. Skonfigurowawszy interfejs ISDN, jego ustawienia obejrzeć można za pomocą polecenia Router# show interface bri <numer>. Konfiguracja ISDN BRI: ustawianie typu przełącznika •
typprzełącznika ustawia typ przełącznika dla wszystkich interfejsów ISDN działających w obrębie danego urządzenia • Router(config)# interface bri 0 ustawia typ przełącznika dla tego konkretnego interfejsu. Jeśli jest taka potrzeba, może on być inny od globalnego typu przełącznika ISDN. Router(config)# isdn switch-type
Konfiguracja ISDN BRI: konfiguracja numerów SPID • •
Router(config)# interface bri 0 Router(config-if)# isdn spid1
51055510000001 5551000 definiuje nu-
•
Router(config)# isdn switch-type typ-
przełącznika to samo polecenie, co w przy-
padku BRI. Może być wykonane globalnie lub w trybie konfiguracji interfejsu. • Router(config)# controller t1 1/0 wejście w tryb konfiguracji kontrolera, na odpowiada za konfigurację interfejsu PRI • Router(config-controller)# framing {sf | esf} ustawia ramkowanie na format Superframe (SF) lub Extended Superframe(ESF) zgodnie z informacjami uzyskanymi od dostawcy usług. ESF jest najczęściej stosowanym ramkowaniem. • Router(config-controller)# linecode {ami | b8zs | hdb3} ustawia metodę sygnalizacji warstwy 1 na alternatywną inwersję znaku (AMI), binarne zastępowanie ośmiu zer (B8ZS), lub HDB3. W Ameryce Północnej używa się B8ZS, Europa to najczęściej HDB3. • Router(config-controller)# pri-group timeslots 1.24 konfiguruje liczbę slotów czasosowych alokowanych przez dostawcę, pod warunkiem użycia kanałowego kontrolera T1. • Router(config-controller)# interface serial 0/0:23 wskazuje interfejs używany dla obsługi kanału D PRI. Polecenie to wskazuje interfejs Serial 0/0. Kanały ISDN PRI są ponumerowane od zera a nie od jeden. Dlatego kanał 24 (sygnalizacyjny) ma w konfiguracji numer 23.
Frame Relay Protokół Frame Relay jest protokołem WAN warstwy łącza danych, umożliwiającym łączenie znajdujących się w sieciach komutowanych urządzeń DTE (routerów) z urządzeniami DCE (switch FrameRelay). Urządzenia w sieciach Frame Relay składają się z: należących od operatora sieci telefonicznej przełączników oraz urządzeń koncowych (np. routerów z interfejsem szeregowym skonfigurowanym do obsługi technologii FrameRelay). Sieć Frame Relay operatora na schematach najczęściej przedstawiana jest w postaci chmury. Protokół Frame Relay zapewnia komunikację między urządzeniami tworzącymi sieci WAN, dzięki wykorzystaniu obwodów przełączanych (VC ang. Virtual Circut). Obwody te oznaczane są za pomocą identyfikatorów DLCI (Data Link Connection Identifier), których wartości uzyskiwa14
Cisco ne są od dostawcy usługi Frame Relay. Każde połączenie między routerem a przełącznikiem wskazywane jest przez lokalnie unikatowy identyfikator DLCI, który musi zostać wprowadzony podczas konfiguracji protokołu Frame Relay na routerze. Innym parametrem wymagającym podania podczas konfigurowania sieci Frame Relay jest interfejs LMI (Local Management Interface) służący do zarządzania usługami w sieci Frame
Relay. Wybór określonego typu interfejsu LMI determinuje standard sygnalizacyjny używany podczas komunikacji między routerem a przełącznikiem Frame Relay. Prawidłowo skonfigurowany interfejs sygnalizacyjny LMI umożliwia poprawne działanie sieci Frame Relay w tym automatyczne zestawianie kanałów VC. Routery Cisco obsługują trzy różne typy LMI:
Słownik używanych terminów sieciowych • • • •
• • • • •
•
• •
• •
• • • • •
•
15
Access control list (Lista kontroli dostępu) Lista kontroli dostępu to lista warunków w postaci poleceń permit i deny, która może być wykorzystana m.in. do ograniczania przepływu pakietów do i z routera. CDP (Cisco Discovery Protocol) – Protokół CDP jest firmowym protokołem Cisco, który pozwala na uzyskiwanie informacji o sąsiednich urządzeniach Cisco. CSU/DSU (Channel Service Unit/Data Service Unit) – Jednostka CSU/DSU to urządzenie, które łączy węzeł sieci (urządzenie sieciowe) z łączem WAN. DCE (Data Communications Equipement/Data Circuit Terminating Equipment) – Interfejs DCE może być połączony wyłącznie z interfejsem DTE, gdyż inaczej komunikacja nie będzie możliwa. Poza zapewnieniem urządzeniom DTE pasma przesyłania, urządzenia DCE zapewniają synchronizację komunikacji między urządzeniami DTE, a siecią komutowaną oraz pełnią funkcję terminatorów. Urządzeniami DCE są między innymi: przełączniki sieciowe, modemy. Default gateway – Bramą domyślną jest adres interfejsu routera przyłączonego do danej sieci LAN. Każde urządzenie znajdujące się w tej sieci korzysta z adresu interfejsu przyłączonego routera jako bramy domyślnej. DLCI (Data Link Control Interface) W sieciach Frame Relay jest to adres używany do identyfikowania poszczególnych kanałów wirtualnych. DNS (Domain Name Service) Usługa nazewnictwa DNS, kojarzy adresy IP z czytelnymi dla ludzi nazwami. Dzięki usłudze DNS w celu uzyskania dostępu do serwera nie trzeba wpisywać adresu IP. DSU (Data Service Unit) Jednostka DSU (uproszczony modem). DTE (Data Terminal Equipment) Urządzenie DTE tworzy interfejs umożliwiający łączenie w pary przewodnika nadającego i odbierającego przekaz, dopełniając w ten sposób interfejs DCE. Interfejs DTE może być połączony wyłącznie z interfejsem DCE, gdyż inaczej urządzenia nie będą w stanie się komunikować. Urządzeniami DTE są między innymi komputery i routery. EIGRP (Enhanced Interior Gateway Protocol) Protokół EIGRP korzysta z tradycyjnej wieloskładnikowej metryki IGRP, przy czym umożliwia obsługę tras różnych protokołów sieciowych (IP, IPX, itp.). EIGRP może zbierać informacje dotyczące topologii i na ich podstawie wypełniać tablice routingu dla protokołów IP. Frame Relay to typ transmisji w sieci WAN. Frame Relay umożliwia tworzenie wielu logicznych stałych kanałów wirtualnych, z których każdy posiada własny zakres pasma wystarczający do prowadzenia transmisji. IGRP (Interior Gateway Routing Protocol) Protokół IGRP jest protokołem klasy wektor-odległość opracowanym przez firmę Cisco Systems w latach osiemdziesiątych. Protokół ten używa złożonej metryki pozwalającej na uwzględnienie podczas trasowania wielu zmiennych opisujących stan połączeń. Pozwala na ominięcie niektórych ograniczeń protokołu RIP takich jak niezdolność do trasowania pakietów na odległości przekraczające 15 skoków. IGRP jest obsługiwane jedynie przez routery firmy Cisco. IOS. System IOS jest systemem operacyjnym sieci złożonych. System ten dostarcza zestawu poleceń i funkcji programowych, za pomocą których można monitorować i konfigurować routery. ISDN (Integrated Services Digital Network) Cyfrowa sieć usług zintegrowanych ISDN jest w pełni cyfrową technologią komunikacji realizowanej za pomocą analogowych sieci telefonicznych. Poszczególne urządzenia przyłączane są do sieci telefonicznej za pośrednictwem modemu ISDN. System ISDN dostępny jest w różnych implementacjach: łącze podstawowe (BRI), łącze główne (PRI) i szerokopasmowy ISDN (B-ISDN). LMI (Local Management Interface) Interfejs zarządzania lokalnego to standard sygnalizowania używany między routerem i przełącznikiem Frame Relay. MAC adres. Są to adresy zapisane w chipach pamięci ROM kart sieciowych, nadają unikatowy adres (zwany także adresem sprzętowym, fizycznym lub Ethernet). OSPF (Open Shortest Path First) Protokół OSPF jest protokołem stanu łącza opracowanym przez organizację IETF na miejsce zdezaktualizowanego protokołu RIP. Protokół OSPF wyznacza najlepszą trasę przesyłania danych przy użyciu algorytmu najkrótszej ścieżki. Protokoły trasowania (routingu, routujące) używane są do wymiany informacji o trasach pomiędzy sieciami komputerowymi, co pozwala na dynamiczną budowę tablic trasowania. PPP (Point-to-Point Protocol) Protokół PPP jest to metoda enkapsulacji i przeysłania pakietów IP, pozwalająca na korzystanie z samokonfigurowalnych, pełnodupleksowych, dwukierunkowych połączeń z dużą liczbą hostów za pośrednictwem wielu różnych typów połączeń. Warstwa fizyczna PPP pozwala na przesyłanie danych przez łącza synchroniczne i asynchroniczne przy użyciu wielu różnych protokołów. RIP (Routing Information Protocol) Protokół RIP jest protokołem trasowania z użyciem algorytmu wektora odległości.
• LMI typu cisco – standard wspierany przez firmy Cisco, Northern Telecom i Strata Com, • LMI typu ansi – standard wspierany przez Instytut ANSI, • LMI typu q933a – standard wspierany przez organizację ITU. Podstawowa konfiguracja protokołu Frame Relay na routerze jest podobna do konfiguracji innych protokołów WAN i na łączach szeregowych. Jednak możliwości protokołu Frame Relay są większe i dlatego niekiedy konfiguracja Frame Relay może być skomplikowana. Konfigurowanie interfejsu szeregowego do obsługi protokołu Frame Relay: • W trybie konfiguracji wybranego interfejsu należy podać typ enkapsulacji: encapsulation frame-relay. • Aby połączenie między routerem a przełącznikiem Frame Relay mogło działać poprawnie, w linii poleceń należy wydać polecenie frame-relay interface-dlci <numer-DLCI>, za pomocą którego oznaczony jest obwód wirtualny, z którego korzystać będzie dany interfejs szeregowy. Jeśli zatem numer DLCI uzyskany od operatora wynosi np. 200, to wprowadzane przez nas polecenie będzie miało postać frame-relay interface dlci 200. • Wydanie polecenia frame-relay interfacedlci 200 powoduje przejście do trybu konfiguracji DLCI, służącego określeniu zaawansowanych parametrów dotyczących obwodów wirtualnych. Po określeniu ich wartości wracamy do trybu konfiguracji interfejsu, wpisując polecenie exit. Po zakończeniu konfigurowania routera ustawienia konfiguracyjne Frame Relay wybranego interfejsu szeregowego można obejrzeć wydając polecenie show interface serial. Dwoma innymi poleceniami umożliwiającymi przeglądanie ustawień konfiguracyjnych Frame Relay są: show frame-relay lmi oraz show frame-relay map. Wydanie polecenia show frame-relay lmi powoduje wyświetlenie informacji dotyczących działania protokołów sygnalizacyjnych Frame Relay. Wydanie polecenia show frame-relay map powoduje wyświetlenie informacji dotyczących
GRZEGORZ GAŁĘZOWSKI Autor jest informatykiem, członkiem zespołu naukowego do opracowania, przygotowania i wdrożenia w archiwach państwowych Zintegrowanego Systemu Informacji Archiwalnej, który jest pierwszym systemem informatycznym, tworzonym przez administrację rządową w Polsce, opartym w całości na tzw. „otwartym oprogramowaniu”. Autor zajmuje się Linuksem od ponad 12 lat. Hobby informatyczne to systemy IBM z/OS, OS/400, AIX i SAP R/3. Kontakt z autorem: gsgalezowski@gmail.com
SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
numerów DLCI przypisanych poszczególnym adresom IP urządzeń znajdujących się po drugiej stronie połączeń wirtualnych VC. Konfiguracja Frame Relay: ustawienie typu enkapsulacji Frame Relay • •
Router(config)# interface serial 0/0
Router(config-if)# encapsulation frame-
relay włącza enkapsulację Frame Realay z do-
myślnym typem sygnalizacji LMI (czyli typ sygalizacji LMI: cisco) lub •
Przed wprowadzeniem polecenia no shutdown należy wykonać polecenie no frame-relay inverse-arp; w innym razie interfejs będzie używał powiązań uzyskanych za pomocą InverseARP ignorując statyczne powiązania. Konfiguracja Frame Relay przy użyciu podinterfejsów Podinterfejsy pozwalają rozwiązać problemy z dzielonym horyzontem w protokołach typu wektor-odległość i utworzyć wiele obwodów PVC na pojedynczym fizycznym interfejsie szeregowym. • •
włącza enkapsulację Frame Relay z typem LMI IETF. Typu LMI ustawionego na ietf używamy, łącząc się z routerem innym niż Cisco.
frame-relay
ietf
Konfiguracja Frame Relay: ustawienie typu LMI dla Frame Relay
•
zależnie od wybranej opcji, to polecenie ustawia typ LMI na standard ANSI, Cisco lub na standard ITU-T Q.933 Annex A. Począwszy od wersji 11.2 systemu Cisco IOS typ LMI jest wykrywany automatycznie, przez co polecenie to nie jest wymagane.
Router(config-if)#frame-relay
lmi-
ustawia typ LMI dla wszystkich podinterfejsów na tym interfejsie. type
• •
Router(config-if)# frame-relay lmi-type {ansi | cisco | q933a}
R o u t e r( c o n fig-i f)# e n c a p s u l at io n
ietf ustawia typ enkapsulacji na Frame Relay dla wszystkich podinterfejsów na tym interfejsie.
R o u t e r( c o n fig-i f)# e n c a p s u l at io n frame-relay
Router(config)# interface serial 0/0
ansi
Router(config-if)#no shutdown
Router(config-if)#interface serial 0/ 0.102
point-to-point
tworzy podinter-
fejs o numerze 102 •
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
przypisuje
podinterfejsowi adres IP •
Router(config-subif)#interface
serial
0/0.103 point-to-point tworzy kolejny pod-
interfejs o numerze 103 i typie punkt-punkt Konfiguracja Frame Relay: ustawienie numeru DLCI kanału Frame Relay Router(config-if)#frame-relay interfacedlci 110
przypisuje numer DLCI 110 do in-
•
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
przypisuje
podinterfejsowi numer IP •
terfejsu
Router(config-su bif)#fra m e-relay interface-dlci 103
przypisuje podinterfej-
sowi numer DLCI Konfiguracja map Frame Relay •
Router(config-if)# frame-relay map ip
192.168.100.1 110 broadcast odwzorowuje
zdalny adres IP do lokalnego numeru DLCI
Opcjonalne słowo kluczowe broadcast wskazuje, że komunikacja rozgłoszeniowa IP ma być przekazywana do tego obwodu wirtualnego. Jest to konieczne np. podczas używania protokołów routingu dynamicznego korzystających z komunikacji rozgłoszeniowych do wysyłania aktualizacji. •
Router(config-if)# inverse arp
no
frame-relay
wyłącza mechanism Inver-
se ARP
Routery Cisco obłsugują protokół InverseARP (Address Resolution Protocol), którego obsługa jest włączona domyślnie. Oznacza to, że router może automatycznie stworzyć odwzorowanie pomiędzy numerami DLCI a adresami IP. Jeśli zdalny router nie obsługuje Inverse ARP lub jeśli chcemy kontrolować ruch rozgłoszeniowym na stałym obwodzie wirtualnym PVC, musimy statycznie ustawić odwzorowania pomiędzy numerami DLCI a adresami IP i wyłączyć Inverse ARP. www.sdjournal.org
• •
Router(config-subif)#exit Router(config-if)#exit
Istnieją dwa typy podinterfejsów używanych do obsługi wielu kanałów VC na jednym interfejsie Frame Relay: • typu punkt-punkt, gdzie pojedynczy obwód VC łączy jeden router z innym, a każdy podinterfejs z punktu widzenia adresacji znajduje się w oddzielnej sieci IP. • wielopunktowe, gdzie router jest węzłem centralnym dla komunikacji grupy routerów. Wszystkie pozostałe routery komunikują się poprzez ten router. Wtedy wszystkie interfejsy posiadają adresację IP z jednej sieci. Weryfikacja Frame Relay •
Router# show frame-relay map wyświe-
tla powiązania pomiędzy numerami DLCI a adresami IP • Router# show frame-relay pvc wyświetla stan wszystkich skonfigurowanych obwodów wirtualnych • Router# show frame-relay lmi wyświetla statystyki sygnalizacji LMI
•
usuwa wszystkie wpisy z tablicy odwzorowań Inverse ARP
Router# clear frame-relay-inarp
W przypadku, gdy polecenie clear framerelay nie spowoduje usunięcia mapy Frame Relay, konieczny może być restart routera. Rozwiązywanie problemów z Frame Relay polecenie używane do sprawdzania, czy pomiędzy routerem a przełącznikiem Frame Relay następuje poprawna komunikacja LMI. Router# debug frame-relay lmi
Konfiguracja przełączników Przełącznik (ang. switch) jest urządzeniem drugiej warstwy modelu OSI/ISO. Sam proces przełączania, za którego realizację odpowiada switch Ethernet to przesyłanie ramek protokołu Ethernet pomiędzy portami. Switch nie modyfikuje przesyłanych przez niego ramek i w związku z tym jest przeźroczysty (transparent) dla komunikujących się urządzeń. Urządzenie to stanowi podstawowy element budowy współczesnych sieci LAN. W sieciach komputerowych istnieje wiele różnych sprzętowych implementacji przełączania stworzonych dla różnych technologii działających w warstwach 2 i 3 modelu OSI/ISO, jednak na potrzeby niniejszego zeszytu termin przełącznik (switch) określać będzie wyłącznie przełącznik Ethernetowy. Dzięki temu, iż switch posiada informacje na temat topologii (rozmieszczenia urządzeń sieciowych) w ujęciu warstwy łącza danych, możliwe jest podejmowanie przez niego decyzji o przesyłaniu komunikacji wyłącznie na te porty, na których znajdują się odbiorcy. To działanie pociąga za sobą wiele konsekwencji. Pierwszą z nich jest zwiększenie wydajności komunikacji, gdyż wiele transmisji może być w ten sposób realizowanych równocześnie. Drugim efektem jest podział domeny kolizyjnej. Kolizje w sieci Ethernet wynikają w sytuacji równoczesnego rozpoczęcia komunikacji przez dwie lub więcej stacji używających tego samego medium. Domena kolizyjna to obszar sieci, w której urządzenia mogą między sobą wywołać kolizję. Switch dzieli domenę kolizyjną, dzięki temu znacznie zmniejsza liczbę kolizji a co za tym idzie poprawia wydajność komunikacji. Pięć głównych funkcji switcha to: • budowa i aktualizacja tablicy przełączania (forwarding database). W tablicy tej są przechowywane informacje na temat położenia urządzeń. Każde urządzenie sieciowe używające technologii Ethernet posiada adres MAC. Adresy te wraz z powiązaniem z numerem portu są przechowywane w tablicy przełączania switcha. Uzupełnianie tej tablicy odbywa się na podstawie analizy otrzymywanych ramek. Switch odczytuje z odebranych ramek adresy źródłowe, które dopisuje do tablicy wraz z numerem portu, z którego odebrał daną komunikację. • Przesyłanie ruchu (przełączanie). Jeśli 16
Cisco switch odbierze ramkę, w której adres docelowy znajduje się w tablicy, to ramka zostanie przesłana na port, na którym znajduje się odbiorca. Jest to główna funkcja switcha. • Zalewanie sieci. Ramka, dla której odbiorca jest nieznany (brak wpisu w tablicy przełączania) jest kopiowana i wysyłana na wszystkie porty z wyjątkiem tego, z którego została odebrana. • Filtrowanie ruchu. W przypadku, gdy ramka jest odebrana na tym samym porcie, na którym zgodnie z tablicą przełączania znajduje się odbiorca, to wtedy taka komunikacja zostanie zignorowana. • Usuwanie wpisów. Wpisy w tablicy przełączania zostają automatycznie usuwane, jeśli przez pewien czas (domyślnie 300 sekund) switch nie odbierze żadnej komunikacji z danego adresu MAC. Zapobiega to pamiętaniu informacji o niedziałających już urządzeniach. Dla ruchu rozgłoszeniowego (transmisja typu broadcast) oraz transmisji grupowych (multicast) switch domyślnie przekazuje komunikację na wszystkie porty. Nowy przełącznik jest skonfigurowany z domyślnymi ustawieniami fabrycznymi. Taka konfiguracja jednak może nie odpowiadać potrzebom administratorów sieci. Przełączniki firmy Cisco można skonfigurować posługując się interfejsem wiersza poleceń. Większość nowych przełączników tej firmy jest wyposażona w system IOS i dla tego ich konfiguracja jest podobna do konfiguracji routera. Przełączniki można także konfigurować za pomocą przeglądarki WWW. Istnieje wiele serii przełączników firmy Cisco. Część z nich używa uproszczonego sposobu konfiguracji za pomocą systemu organizującego opcje w menu. W seriach tych istnieje również możliwości korzystania z wiersza poleceń. Np. seria przełączników Catalyst 1900 używa interaktywnego menu; aby wejść w tryb wiersza poleceń użytkownika, należy nacisnąć literę [K].
twierdzić nazwę usuwanego pliku należy nacisnąć klawisz [Enter] • Delete flash:vlan.dat? [confirm] potwierdź samo usuwanie należy ponownie nacisnąć klawisz [Enter] • Switch# erase startup-config polecenie usuwa plik z konfiguracją startową • Switch# reload restartuje przełącznik Konfiguracja adresu IP i domyślnej bramy Konfiguracja parametrów protokołu IP nie jest wymagana do poprawnej pracy przełącznika. Jeśli jednak istnieje konieczność zarządzania konfiguracją urządzenia zdalnie, należy skonfigurować parametry IP takie jak adres IP oraz maskę i ewentualnie domyślą bramę (gateway). Seria przełączników Catalyst 1900 • Switch(config)# ip address 172.16.10.2 255.255.255.0 polecenie konfiguruje adres IP i maskę, by umożliwić zdalny dostęp do przełącznika • Switch(config)# ip default-gateway 172.16.10.1 ustawia adres domyślnej bramy, używany do obsługi ruchu związanego ze zdalnym zarządzaniem
cę interfejsu z przepustowością 10 Mb/s 100 wymusza pracę interfejsu z przepustowością 100 Mb/s • Switch(config-if)#speed auto włącza autokonfigurację przepustowości interfejsu (wartość domyślna) •
Switch(config-if)#speed
Włączenie możliwości konfiguracji za pomocą przeglądarki WWW: serie przełączników 1900 i 2900/2950 •
Switch(config)# ip http server włącza
•
Switch(config)# ip http port 80
serwer protokołu HTTP
usta-
wia numer portu dla HTTP.
Możliwość konfiguracji za pomocą przeglądarki powinna być wyłączona ze względów bezpieczeństwa jeśli nie jest używana (poleceniem Switch(config)# no ip http serwer). Zarządzanie tablicą adresów MAC: serie przełączników 1900 i 2900/2950 •
Switch#
show
mac-address-table
wy-
świetla aktualną tablicę przełączania
•
Switch# clear mac-address-table
•
Switch#
Seria przełączników Catalyst 2900/2950
usuwa wszystkie wpisy z tablicy przełączania clear
mac-address-table
dynamic usuwa z tablicy tylko wpisy dopisa-
ne przez switch automatycznie •
Switch(config)# interface vlan 1wejście
do trybu konfiguracji wirtualnego interfejsu skojarzonego z siecią VLAN1 (domyślnej sieci VLAN na przełączniku)
•
Switch(config-if)# ip address 172.16.10.2
ustawia adres IP i maskę, by umożliwić zdalny dostęp do przełącznika 255.255.255.0
•
Switch(config)#
ip
Seria przełączników Catalyst 1900 •
Switch(config)# m ac-ad d ress-ta ble permanent aaaa.aaaa.aaaa Ethernet 0/
1 przypisuje statycznie adres aaaa.aaaa.aaaa w
default-gateway
ustawia adres domyślnej bramy, używany do obsługi ruchu związanego ze zdalnym zarządzaniem 172.16.10.1
Konfiguracja statycznych adresów MAC
tablicy przełączania do interfejsu Ethernet 0/1 •
Switch#clear mac-address
-table permanent usuwa wszystkie wpi-
sy statyczne Usuwanie konfiguracji przełącznika Przy rozpoczęciu pracy z przełącznikiem konieczne może być usunięcie jego aktualnej konfiguracji. Przełącznik zazwyczaj posiada odrębną konfigurację sieci wirtualnych VLAN i konfigurację ustawień pozostałych parametrów. Seria przełączników Catalyst 1900 •
Switch# delete vtp usuwa informacje na
temat konfiguracji protokołu VTP (VLAN Trunking Protocol) • Switch# delete nvram resetuje przełącznik do fabrycznych ustawień domyślnych
Konfiguracja ustawień trybu dupleksu: serie przełączników 1900 lub 2900/2950
Seria przełączników Catalyst 2900/2950
•
•
Switch(config)# interface ethernet 0/
przejście do trybu konfiguracji interfejsu ethernet 0/1 • Switch(config-if)# duplex full wymusza tryb pełnego dupleksu • Switch(config-if)# duplex auto włącza autokonfigurację trybu dupleksu (wartość domyślna) • Switch(config-if)# duplex half wymusza tryb transmisji półdupleksowej 1
Seria przełączników Catalyst 2900/2950
Konfiguracja ustawień przepustowości: serie przełączników 2900/2950
•
•
Switch(config)# static
mac-address-table
aaaa.aaaa.aaaa
fastEthernet
0/1 vlan 1 przypisuje adres aaaa.aaaa.aaaa
w tablicy przełączania do interfejsu fastEthernet 0/1 w sieci VLAN 1 •
Switch(config)# no mac-address-table static
aaaa.aaaa.aaaa
fastEthernet
usuwa statyczne powiązanie adresu aaaa.aaaa.aaaa z portem fastEthernet 0/1 dla sieci VLAN 1 0/1 vlan 1
Bezpieczeństwo portów: Seria przełączników Catalyst 1900
usuwa konfigurację parametrów sieci wirtualnych VLAN z pamięci Flash • Delete filename [vlan.dat]? aby po17
Switch# delete flash:vlan.dat
Switch(config)#int
fastEthernet
0/1
przejście do trybu konfiguracji interfejsu FastEthernet 0/1 • Switch(config-if)#speed 10 wymusza pra-
•
port secure zostaje włączony mechanizm bezpieczeństwa Port Security
Switch(config-if)#
SDJ Extra 33 Cisco
Kurs konfiguracji urządzeń sieciowych firmy Cisco
•
Switch(config-if)#
port
secure
stęp do pamięci Flash
max-
na tym interfejsie w tablicy przełączania, dozwolony będzie tylko jeden adres MAC. Zapobiega to zagrożeniom, gdy do portu zostanie dołączone więcej niż jedno urządzenie. Switch w takim przypadku domyślnie zablokuje port. mac-count
1
• •
show
mac-address-table
wyświetla tablicę przełączania z informacjami o adresach dodanych na portach działających w trybie bezpiecznym. security
Seria przełączników Catalyst 2900/2950 •
wyświetla konfigurację portów działających w trybie bezpiecznym.
Switch# show port security
Uaktualnienie oprogramowania przełącznika Catalyst 1900 z wykorzystaniem serwera protokołu TFTP Aby uaktualnić oprogramowanie przełączników Catalyst z serii 1900 za pośrednictwem protokołu TFTP, trzeba skorzystać z menu interaktywnego: • Wybierz opcję [F] z menu głównego, [F] to skrót od firmware (oprogramowanie systemowe) • Wybierz opcję [S] w menu Firmware, [S] oznacza serwer TFTP • Wprowadź adres serwera TFTP • Wybierz opcję [F] w menu Firmware, [F] oznacza tutaj nazwę pliku zawierającego oprogramowanie systemowe • Wprowadź nazwę pliku zawierającego nowe oprogramowanie • Wybierz opcję [T], w menu Firmware oznacza ona rozpoczęcie uaktualnienia Po zakończeniu uaktualnienia przełącznik zresetuje się samodzielnie i uruchomi nowe oprogramowanie. Odzyskiwanie hasła dla serii przełączników Catalyst 2950 Procedura ta pozwala na skasowanie aktualnie wykorzystywanych haseł bez konieczności usunięcia całej konfiguracji przełącznika. • Należy odłączyć zasilanie z tyłu przełącznika • Wcisnąć i przytrzymać przycisk Mode z przodu przełącznika • Podłączyć zasilanie z powrotem • Należy odczekać, aż dioda STAT zgaśnie, a następnie zwolnić przycisk Mode (w przypadku serii 2900 należy odczekać aż zgaśnie dioda nad portem o numerze 1) • Wprowadź następujące polecenia: • Switch: flash _ init inicjalizuje dowww.sdjournal.org
flash:config.text
plik config.text zawiera konfigurację przełącznika • Switch: boot ponowne uruchomienie przełącznika • Należy wyjść z trybu konfiguracji początkowej i przejść do trybu użytkownika (wpisując no lub wciskając kombinację klawiszy [Ctrl+c]) • Switch> enable przejście do trybu uprzywilejowanego • Switch# rename flash:config.old flash:config.text zmienia nazwę pliku z konfiguracją z powrotem na nazwę oryginalną • Destination filename [config.text] Wciśnij [Enter] • Switch#copy flash:config.text system:running-config wczytuje polecenia konfiguracyjne z pliku config.text • Switch#configure terminal przejście do trybu konfiguracji globalnej • Switch(config)# enable secret <hasło> ustalenie nowego hasła do trybu uprzywilejowanego • Switch(config)# exit • Switch#copy running-config startup-config zapisuje konfigurację (wraz z nowymi hasłami)
Seria przełączników Catalyst 1900 Switch#
rename
flash:config.old
Weryfikacja bezpieczeństwa portu
•
Switch:
Wirtualne sieci LAN Wyświetlanie informacji o sieciach VLAN
Switch(config)# vlan 2 name inz1two-
rzy VLAN o identyfikatorze 2 i nadaje mu nazwę inz1
Switch: dir flash: (łącznie z dwukrop-
kiem), w ten sposób zostaną wyświetlone pliki znajdujące się w pamięci Flash
•
•
Switch: load _ helper
Seria przełączników Catalyst 2900 •
vlan database wejście w tryb konfiguracji bazy danych VLAN • Switch(vlan)# vlan 2 name eng tworzy sieć VLAN 2 i nadaje jej nazwę eng Switch#
Seria przełączników Catalyst 2950 •
Switch#
configure
terminal
wejście w
tryb konfiguracji ogólnej
•
Switch(config)# vlan 10
tworzy VLAN 10 i powoduje wejście w tryb konfiguracji VLAN w celu podania dalszych poleceń konfiguracyjnych
•
Switch(config-vlan)#
name
accounting
przypisuje sieci VLAN nazwę accounting • Switch(config-vlan)# exit powrót do trybu konfiguracji ogólnej • Switch(config)# vlan 20 tworzy VLAN 20 i powoduje wejście w tryb konfiguracji VLAN w celu podania dalszych poleceń konfiguracyjnych • Switch(config-vlan)# name sprzedaz przypisuje sieci VLAN nazwę sprzedaz • Switch(config-vlan)# exit W przypadku serii przełączników 2900, aby zmiany odniosły efekt, należy zapisać je w bazie danych VLAN. Można także użyć polecenia apply w bazie danych VLAN, które wprowadzi zmiany, ale nie spowoduje wyjścia z trybu. Użycie kombinacji [CTRL+z] w celu wyjścia z bazy danych VLAN nie wprowadza zmian w bazie danych VLAN.
Seria przełączników Catalyst 1900 Przypisywanie portów do VLAN •
Switch# show vlan wyświetla informacje
•
Switch# show vlan-membership
o VLAN
wyświetla porty według przynależności do VLAN • Switch# show vlan 2 wyświetla tylko informacje o VLAN2
Seria przełączników Catalyst 1900 • •
Switch# configure terminal
•
Switch(config-if)# vlan static 2 przy-
Serie przełączników Catalyst 2900/2950 •
show vlan brief wyświetla podsumowanie informacji o konfiguracji wszystkich sieci VLAN • Switch# show vlan id 2 wyświetla informacje o konfiguracji sieci VLAN 2 • Switch# show vlan name Marketing wyświetla tylko informacje o sieci VLAN o nazwie Marketing. Switch#
•
Switch# configure terminal
2 przejście w tryb konfiguracji interfejsu
pisuje ten port statycznie do VLANu o identyfikatorze 2
Seria przełączników Catalyst 2900/2950 • •
Switch# configure terminal
•
Switch(config-if)#
Switch(config)# interface fastEthernet 0/2 wejście w tryb konfiguracji interfejsu switchport
mode
access powoduje ustawienie portu w try-
bie access (powoduje to włączenie obsługi tylko jednej sieci VLAN na danym porcie)
Tworzenie i konfiguracja sieci VLAN Seria przełączników Catalyst 1900
Switch(config)# interface ethernet 0/
•
Switch(config-if)# switchport access
przypisuje ten port statycznie do sieci VLAN o identyfikatorze 2 vlan 2
18
Cisco Konfigurowanie wielu portów równocześnie za pomocą polecenia range (tylko przełączniki z serii Catalyst 2950) •
Switch(config)#
interface
range
powoduje przejście do trybu równoczesnej konfiguracji wskazanych portów . fastEthernet 0/1 – 4
•
Switch(config-if-range)#
switchport
Switch(config-ir-range)#
switchport
powoduje wyłączenie automatycznej negocjacji połączeń typu Trunk i przełączenie portu w tryb Access (czyli obsługi ruchu z tylko jednej sieci VLAN) mode access
•
access vlan 10 przypisuje wszystkie por-
ty do sieci VLAN o identyfikatorze 10.
Na zakończenie chciałbym wszystkim polecić witrynę firmy Cisco www.cisco.com. Na stronie o tym adresie znajdziemy nie tylko informacje na temat produktów Cisco, ale także szczegółowe dane techniczne, podręczniki, a nawet bezpłatne oprogramowanie ułatwiające administrowanie sieciami. Mimo że poruszanie się w takim gąszczu informacji może wydać się skomplikowane, to każdy szybko się przekona się, że na stronach internetowych tej firmy znajdują się wielkie zasoby przydatnej wiedzy, z których można czerpać praktycznie bez ograniczeń.
19
SDJ Extra 33 Cisco