Прежде всего стоит отметить, что при выполнении некоторых команд IOS выдает определенные сообщения. Такие сообщения могут вставляться внутрь команд набирает сетевой администратор. Хотя это не приводит к необходимости
нового набора этих соответствующих команд и операционная система их правильно понимает - это может вызвать некоторый дискомфорт администратору. Для исправления ситуации целесообразно воспользоваться командой logging synchronous:
Router (config) # line console 0
Router (config-line) # logging synchronous
Router (config-line) # line vty 0 4
Router (config-line) # logging synchronous
Теперь, во время консольной-или VTY-сессии команды администратора не связан будут разрываться системными сообщениями.
Настройка имени - это одна из первых команд, которую следует выполнить на маршрутизаторе или коммутаторе. Имя должно говорить администратору о местоположении функции данного устройства. Ведь администратор, как правило, имеет дело со многими маршрутизаторами, коммутаторами и т.д. и для их настройки (тем более с помощью SSH-сессий), администратору необходимо ориентируется ваться на любом устройстве он находится. Задание имени выполняется в глобальном режиме:
Router (config) # hostname Rt1_VNTU
Rt1_VNTU (config) #
Настройка паролей. Пароли используются для защиты от несанкционированного доступа. Паролем можно защитить доступ к:
• консоли. Установка пароля для консоли выполняется с по-мощью команд
Router (config) # line console 0
Router (config-line) # password
Router (config-line) # login
• виртуальной линии терминала (virtual terminal - VTY). Telnet-доступ. Одновременно может быть установлено несколько Telnet-сеансов. Для каждой линии пароль можно установить индивидуально, а можно один для всех линий. Установка пароля осуществляется с помощью команд
Router (config) # line vty 0 4
Router (config-line) # password
Router (config-line) # login
• привилегированного режима работы. Для ограничения доступа к привилегированному режиму следует ввести команду
Router (config) # enable secret.
Для сохранения пароля здесь используется одностороннее шифра ния по алгоритму MD5, что делает невозможным восстановление пароля. Если данная команда не поддерживается можно воспользоваться командой
Router (config) # enable password,
но в таком случае пароль будет храниться в конфигурационных файлах незашифрованном виде. Для запрета отображения пароля в открытом виде можно воспользоваться командой
Router (config) # service password-encryption.
В таком случае будут шифроваться все пароли (кроме пароля заданного по команде enable secret), но уровень защиты информации здесь невысо-кий.
Для отмен шифрования всех паролей используется команда
Router (config) # no service password-encryption.
Настройка последовательных интерфейсов (выполняется для маршрутизатора) предполагает выполнение следующих шагов:
• войти в режим глобального конфигурирования;
• войти в режим настройки нужного интерфейса.
Формат команды может быть
Router (config) # interface type port,
Router (config) # interface type slot / port,
Router (config) # interface type slot / subslot / port,
где interface - это тип интерфейса (например Serial, FastEthernet, GigabitEthernet, Loopback т.д.) port, subslot, slot - номера порта, слота и подлость, соответственно;
• задать IP-адрес интерфейса и маску подсети;
• указать полосу пропускания канала (необязательно);
• установить частоту синхроимпульсов для DCE (по умолчанию маршрутизаторы функционируют как DTE, но могут быть настроены и как DCE);
• привести описание интерфейса - для того, чтобы администратор мог вспомнить какую-то важную информацию об интерфейс. Описание целесообразно создавать по специальному формата (например, назначение и размещение интерфейса, описание устройств, подключенных к нему, и т.п.);
• включить интерфейс.
Команды, соответствующие данным шагам приведены ниже
Router # configure terminal
Router (config) # interface serial 0/0/1
Router (config-if) # ip address
Router (config-if) # bandwidth 56
Router (config-if) # clockrate 56000
Router (config-if) # description interface ftom InITKI
Router (config-if) # no shutdown
Стандартно все интерфейсы маршрутизатора выключены. Для включения интерфейса маршрутизатора или коммутатора используют команду no shutdown, а для их отключения - shutdown.
Настройка Ethernet-интерфейсов
Для маршрутизатора такая настройка выполняется аналогично настройке его последовательных интерфейсов за исключением того, что четвертый и пятый шаги не требуется.
Для коммутатора настройки Ethernet-интерфейсов нечто иное. Порты FastEthernet коммутатора по умолчанию установлены в режим автоматического определения скорости передачи и дуплексный режим. Это позволяет интерфейсум устройств, участвующих в сеансе связи, изменять параметры. Если администратору нужно быть уверенным в том, что данный интерфейс имеет конкретную скорость передачи и дуплексный или пивдуплексний режим, то эти значения следует установить вручную, как показано на примере 3.3.
Switch (config) # interface FastEthernet0 / 2
Switch (config-if) # duplex full
Switch (config-if) # speed 100
Пример 3.3 - Настройка и режима передаваемого-ния портов коммутатора
Другой полезной функцией, которая может быть установлена на порту, есть опция portfast. Если порт коммутатора присоединен только к станциям конечного пользователя (т.е. не подключен к другому коммутатору), то на нем следует установить функцию portfast с помощью команды
Switch # set spantree portfast 4/1 enable.
В таком случае при первом использовании порта он автоматически переходит из заблокированного состояния в состояние пересылки.
Настройка Loopback-интерфейсов
Иногда бывают случаи, когда возникает необходимость проемулюва-ти соединения которого в данный момент физически не существует (например, в будущем подключиться к провайдеру, к другой организации и т.д.). Для этого на маршрутизаторе можно настроить Loopback-интерфейс, задав ему нужную IP-адрес и маску:
Router (config) # interface loopback number
Router (config-if) # ip address
Router (config-if) # description My virtul interface
Router (config-if) # no shutdown
Настройка баннеров
Баннером называется сообщение, отображаемое при входе в систему. Такое сообщение (его еще называют сообщению дня - Message Of The Day - MOTD) можно использовать для передачи некоторой информации ко всем пользователям сети. Например, часто такое сообщение предупреждает пользователей о том, что вход в систему отказано неавторизованных пользователей. Для задания сообщение дня используют команду banner motd, после которой приводят нужный текст, выделенный символами "#", как показано на примере 3.4.
Router (config) # banner motd #
Enter TEXT message. End with the character '#'.
******************************************
WARNING! Unauthorized Access Prohibited!
****************************************** #
Пример 3.4 - Настройка сообщение дня
Настройка Telnet-и SSH-доступа
Прежде всего отметим, что указать нужный метод доступа: или telnet или SSH, или telnet и SSH можно так:
Router (config) # line vty 0 4
Router (config-line) # transport input,
а для выбора одной из вышеуказанных трех альтернатив значение аргумента mode будет telnet, ssh и all, соответственно.
Telnet-доступ
Для маршрутизатора, как указывалось выше, для получения Telnet-доступа достаточно установить пароль на VTY-доступ и задать IP-адрес и маску подсети соответствующем интерфейса [4].
Для коммутатора организация Telnet-доступа предусматривает назначение ему IP-адреса и задания шлюза по умолчанию. На примере 3.5 показано как это сделать для коммутаторов моделей Catalyst 2950. По умолчанию сеть VLAN 1 является виртуальной сетью управления. В сети, построенной на коммутаторах, все устройства объединенной сети должны находиться в сети управления VLAN. Это позволяет с одной рабочей станции доступ ко всем устройствам объединенной сети, конфигурировать и управлять ими.
Switch (config) # interface VLAN1
Switch (config-if) # ip address 192.168.1.2 255.255.255.0
Switch (config) # ip default gateway 192.168.1.1
Пример 3.5 - Назначение коммутатору IP-адреса и шлюза по умолчанию
SSH-доступ
SSH-доступ также предусматривает наличие SSH-клиента и SSH-сервера. Для реализации такого доступа следует сгенерировать ключи RSA (Rivest, Shamir, Adleman encryption). RSA предполагает использование общедоступного ключа (public key), который хранится на общедоступном RSA-сервере и частного ключа (private key), который знают только отправитель и получатель. Общий ключ может быть известен каждому и используется для шифрования сообщений. Такие зашифрованные сообщения могут быть расшифрованы только при использовании приватного ключа.
Вам нужно сгенерировать RSA-ключи, используя команду
crypto key generate rsa
Эта процедура нужна, если Вы конфигурирует устройство (например, маршрутизатор) как SSH-сервер. Следует войти в привилегированный режим, назначить устройству имя, выбрать доменное имя и сгенерировать пару ключей RSA:
Router # configure terminal Router (config) # hostname Rt Rt (config) # ip domain-name my_domain Rt (config) # crypto key generate rsa
В четвертой команде (crypto key generate rsa) Вы позволяете SSH-серверу выполнять локальную и удаленную аутентификацию и генерируете пару RSA-ключей. При генерации этих ключей Вы должны выбрать их длину (Cisco, например, рекомендует выбирать длину в 1024 бита). Большая длина хоть и была бы безопаснее, но и требует больше времени на генерирование и использование.
Посмотреть состояние SSH-сервера можно по команде show ip ssh или show ssh. Для извлечения пары ключей RSA, следует ввести команду
Rt (config) # crypto key zeroize rsa,
после которой сервер SSH автоматически отключается.
При конфигурировании SSH-доступа можно указать:
• используемую версию SSH (первую или вторую) с помощью команды Rt (config) # ip ssh version, где v_num - номер вер-сии.
Если эту команду ввести - это SSH-сервер выберет старшую вер-сию, поддерживаемую клиентом (например, если клиент поддерживает SSHv1 и SSHv2, сервер выберет SSHv2)
• управляющие параметры SSH: время тайм-аута (time-out) в секундах из диапазона от 0 до 120 (по умолчанию 120 секунд) можно указать с помощью команды Rt (config) # ip ssh timeout. Это время отводится для подключения; максимальное число попыток аутентификации клиента в пределах от 0 до 5 (по умолчанию 3) можно указать с помощью команды Rt (config) # ip ssh authentication-retries.
Работа с таблицей МАС-адресов (для коммутаторов)
Коммутаторы узнают о МАС-адреса компьютеров или других конечных устройств, присоединенных к их портов путем анализа адресов ис-точников в фреймах, поступающих на данный порт. Далее эти адреса заносятся в таблицу МАС-адресов коммутатора. Для просмотра известных коммутатору адресов необходимо войти в привилегированного режима, как показано на примере 3.6.
Switch # show mac-address-table
Dynamic Address Count: 2
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 13
Total MAC addresses: 15
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
0010.7a60.ad7e Dynamic 1 FastEthernet0 / 2
00e0.2917.1884 Dynamic 1 FastEthernet0 / 5
Пример 3.6 - Результат выполнения команды show mac-address-table
Адреса изучаются динамично и коммутатор может поддерживать в целом тысячи МАС-адресов, на каждом порту могут быть несколько десятков адресов. Для экономии памяти и оптимального функционирования коммутатора иногда возникает необходимость удалить некоторые позиции из таблицы МАС-адресов. Для этого все позиции таблицы имеют временные метки, которые отражают время поступления на порт пакета с данной адресу. Рабочие станции могут быть отсоединены от порта, отключены или переключены на другой порт этого же или другого коммутатора, возможна замена карты сетевого интерфейса. Это все может привести к путанице при пересылке фреймов. Во избежание этого коммутатор настроен так, что при отсутствии фреймов с ранее записанной адресу в течение определенного времени (обычно 300 секунд) соответствующая МАС-адрес автоматически удаляется из таблицы.
Вместо ожидания естественного устаревания динамической позиции адреса администратор может воспользоваться для ее извлечения командой clear mac-address-table (пример 3.7).
Позиции МАС-адресов, сконфигурированные администратором, могут быть удалены аналогично, что обеспечивает мгновенное удаление позиций таблицы с адресами, которые стали недействительными.
Switch # clear mac-address-table
Switch # show mac-address-table
Dynamic Address Count: 0
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 13
Total MAC addresses: 14
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port ------------------------------------------- -----
Пример 3.7 - Результат выполнения команды clear mac-address-table
Конфигування статических МАС-адресов
Возможна ситуация, в которой целесообразно постоянно привязать некоторое МАС-адрес к конкретному интерфейса коммутатора. В этом случае автоматического удаления MAC-адреса после окончания обычного срока хранения адреса не произойдет.
Постоянный адрес может быть привязана к интерфейсу в случае необходимости подключить сервер или рабочую станцию пользователя к данному порту при условии, что МАС-адрес известен. При этом также может быть повышен уровень безопасности. Для установления статического MAC-адреса на интерфейсе коммутатора используется следующий синтаксис команды:
Switch (config) # mac-address-table static mac-address-of-host
interface FastEthernet ethernet-number vlan vlan-name
Например, Switch (config) # mac-address-table static 0а40.4в00.2341 interface FastEthernet0 / 5 vlan VLAN1
Для извлечения позиции адреса из таблицы используется эта же команды с ключевым словом no.
Конфигурирование безопасности портов коммутатора
Обеспечение безопасности в объединенной сети является важной задачей администратора. Порты коммутатора, относящихся к уровню доступа, в результате структурной схемы прокладки доступны в стенных разъемах офисов и других помещений и к любому из них можно подключиться с помощью ПК. Они также являются потенциальными точками входа в сеть для несанкционированных пользователей. Коммутаторы имеют функцию предоставления безопасности портум. В частности, можно ограничить количество адресов, о которых можно узнать на конкретном интерфейсе. При конфигурировании могут быть заданы определенные действия, если это количество превышено, например, команды
Switch (config) # interface FastEthernet0 / 1
Switch (config) # port security action shutdown,
приводят к отключению соответствующего порта, если количество МАС превышен). Безопасные МАС-адреса могут быть установлены статически, но такой способ может оказаться довольно сложным, кроме того велика вероятность ошибок.
Альтернативным подходом является реализация мер безопасности для порта на интерфейсе коммутатора. Первой адресу, о котором динамично узнает коммутатор, становится безопасной. Для изменения типа безопасности на интерфейсе используется форма этой команды с ключевым словом no. Для тестирования статуса безопасности на порту используется команда show port security.
Некоторые команды группы show
В операционной системе ряд команд show, которые предоставляют статическую информацию о работе устройства [1,2,4]. Например, они позволяют получить информацию о конфигурации, функционирования и статуса частей маршрутизатора или коммутатора.
Посмотреть список параметров команды show можно набрав show?
Некоторые параметры команды следующие:
• show arp - отображает ARP таблицу устройства;
• show startup-config - отображает конфигурацию, содержится в NVRAM (стартовый файл конфигурации);
• show running-config - отображает конфигурацию, у RAM (рабочий файл конфигурации);
• show interfaces - отображает статистику о всех интерфейсы устройства. Если нужно просмотреть статистику по конкретному интерфейса следует ввести команду show interfaces fastethernet 0/1;
• show ip interface brief - предоставляет краткую информацию о всех интерфейсы устройства и их статус;
• show controllers serial - отображает информацию об аппаратных средствах маршрутизатора;
• show clock - отображает установленное время;
• show hosts - отображает список управляемых имен узлов и адресов;
• show users - отображает список пользователей, подключенных к устройству;
• show history - отображает список введенных команд
• show flash - отображает информацию о flash-памяти и файлах, хранящихся в ней;
• Достаточно полезной командой, предоставляет много информации есть команда show version. Она выводит информацию, например, маршрутизатора о: версию IOS и ее краткое описание; версию загрузочной программы (Bootstrap ROM) версию сокращенной IOS в ПЗУ (Boot ROM), время непрерывной работы устройства (Router uptime) последний метод перезапуска устройства (restart method), имя образа системного файла и его местоположения, номер аппаратной платформы устройства; настройки конфигурационного регистра;
• show protocol - отражает глобальное состояние и состояние интерфейсов любого протокола третьего уровня маршрутизатора;
• show mac-address-table - отображает таблицу МАС-адресов коммутатора.
Отметим, что команды show очень много и их нецелесообразно приводить в данном руководстве. Посмотреть подробнее эти команды и их функции можно, например в [4, 5, 16].
Общие сведения о команд группы debug
Команды настройки (или команды debug) позволяют локализовать проблемы с протоколами и неправильными настройками [1, 2, 4]. Тогда как команды show предоставляют только статическую картину работы устройства, данные, полученные с помощью команд debug, являются динамическими и обес-слышат глубокое понимание текущих событий в процессе работы устройства. Динамический стиль работы команд debug осуществляется за счет системных ресурсов, что может приводить к перегрузке процессора и нарушать нормальную работу устройства [4, 5]. Поэтому использовать их следует только при необходимости. Кроме того, рекомендуется сужать поле поиска проблемы в нескольких вариантов. Другими словами команды группы debug следует использовать для локализации конкретных проблем, а не для мониторинга нормальной работы КС. Особенно следует помнить, что команду debug all следует применять как можно реже, поскольку она может привести к нарушению нормальной работы сети.
Дополнительной полезной службой Cisco IOS, которая повышает ценность работы команд debug есть команда timestamp, что замечает сообщение команды debug временными метками, по которым можно узнать время, когда произошло то или иное событие и интервал времени между ними.
Команды no debug all и undebug all выключают выдачи всех диагностических сообщений. Для отключения конкретной команды debug используют ту же команду с добавлением ключевого слова no. Просмотреть все, что в настоящее время исследуется с помощью команды debug можно с помощью команды show debugging.