Какой командой можно посмотреть текущие настройки роутера
Перейти к содержимому

Какой командой можно посмотреть текущие настройки роутера

  • автор:

Режимы командной строки Cisco

Вся информация, приведённая в данной статье касается как маршрутизаторов, так и коммутаторов Cisco под управлением IOS. Независимо от того, каким образом осуществляется доступ к командной строке устройства (Telnet, SSH, Console), настроенное устройство потребует ввод пароля. Если устройство не настроено, то подключиться к нему можно только через консоль и в этом случае, как правило пароль отсутствует. Впрочем, некоторые модели имеют IP адрес, логин и пароль по умолчанию – в этом случае их можно узнать в инструкции. Далее можно начинать работу с устройством. Устройства Cisco имеют несколько режимов командной строки:

  1. Пользовательский режим (user mode)
  2. Привилегированный режим (privileged mode)
  3. Режим глобальной конфигурации (global configuration mode)
  4. Режим специфической конфигурации

Понять, в каком режиме мы находимся очень просто, для этого надо посмотреть на приглашение в командной строке. Оно будет иметь следующий вид:

  1. Для пользовательского режима Router>
  2. Для привилегированного режима Router#
  3. Для режима глобальной конфигурации Router(config)#
  4. Для режимов специфической конфигурации Router(config-*)#, где на месте звёздочки находится название подрежима. Например, Router(config-if)# – режим настройки интерфейса маршрутизатора

Вместо слова Router пишется имя устройства. По умолчанию, маршрутизаторы имеют имя Router, коммутаторы – Switch, но обычно при конфигурировании эти имена меняют на более конкретные. Подробнее об этом можно прочитать в статье hostname.

Пользовательский режим

В этот режим мы попадаем изначально, здесь доступен только ограниченный перечень команд, выполнение которых не должно навредить функционированию устройства. Например, из этого режима можно посмотреть версию операционной системы командой show version или запустить команду ping. Обычно доступ к этому режиму дают младшим техникам, чтобы они могли диагностировать некоторые проблемы самостоятельно, но не могли ничего испортить в конфигурации.

Привилегированный режим

Для перехода в этот режим необходимо из пользовательского режима выполнить команду enable и в случае необходимости ввести пароль. После перехода, нам доступен полный перечень команд и возможность перехода в режим конфигурации без пароля. Таким образом, зная пароль на вход на устройство и пароль на привилегированный режим, человек имеет полный доступ к маршрутизатору, так как дальше уже никаких паролей вводить не требуется. Для выхода обратно в пользовательский режим используется команда disable.

Режим глобальной конфигурации

Этот режим позволяет вносить изменения в конфигурацию устройства. Для входа в него необходимо из привилегированного режима, выполнить команду configure terminal. Ввод паролей в данном случае не потребуется.

Режимы специфической конфигурации

Этих режимов множество и они являются подрежимами режима глобальной конфигурации. Например, введя в режиме глобальной конфигурации команду interface FastEthernet 0/0 мы перейдём в подрежим настройки соответствующего интерфейса (config-if). Множество режимов специфической конфигурации соответствует множеству разных ветвей глобальной конфигурации.

Примеры

Чтобы было понятнее, о чём мы говорили выше, давайте рассмотрим пример работы с режимами:

Press RETURN to get started! User Access Verification Password: Router> Router>enable Router# Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# Router(config)#interface FastEthernet 0/1 Router(config-if)#exit Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#disable Router>exit Router con0 is now available Press RETURN to get started.

В данном примере на маршрутизаторе настроен пароль на консоль, но не настроен пароль на привилегированный режим. Проанализируем содержимое примера. Вначале при подключении по консоли нам надо нажать Enter и ввести пароль (символы пароля не отображаются).

Press RETURN to get started! User Access Verification Password: Router>

Как видно из последней строчки, имя маршрутизатора задано стандартное – Router, а судя по тому, что после него стоит угловая скобка, мы попали в пользовательский режим. Далее переходим в привилегированный режим:

Router>enable Router#

Судя по тому, что после имени вместо угловой скобки появилась решетка, нам это удалось, а судя по тому, что нас не спросили пароль, пароль на этот режим не задан. Переходим в режим глобальной конфигурации:

Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#

Слово (config) говорит о том, что мы находимся в режиме глобальной конфигурации. Попробуем перейти в подрежим настройки интерфейса. Например, на данном маршрутизаторе есть интерфейс FastEthernet 0/1 – зайдём в подрежим его настройки:

Router(config)#interface FastEthernet 0/1 Router(config-if)#

Приглашение снова поменялось, в этом подрежиме можно вводить параметры, относящиеся к интерфейсу, например, включить его, или задать IP адрес. Далее выходим из режимов в обратном порядке. Обратите внимание, как каждый раз меняется приглашение командной строки:

Router(config-if)#exit Router(config)#exit Router# %SYS-5-CONFIG_I: Configured from console by console Router#disable Router>exit Router con0 is now available Press RETURN to get started.

Заканчивается всё тем, что мы вернулись к тому же состоянию, с какого начинали – «Нажмите Enter чтобы начать работу с маршрутизатором».

Артём Санников

Данная книга является руководством для начинающих специалистов в области анализа и обработки данных. В книге рассматривается язык SQL и его процедурное расширение PL/SQL от компании Oracle.

SQL без слёз

Цель книги заключается в том, чтобы научить любого человека работать с реляционными базами данных и получать из них необходимую информацию посредством выполнения SQL-запросов.

Главная › Cisco › Cisco Packet Tracer › Вывод текущей конфигурации устройства. Cisco packet tracer.

Вывод текущей конфигурации устройства. Cisco packet tracer.

Вывести текущую конфигурацию коммутатора или маршрутизатора можно при помощи команды show running-config в CLI.

Switch> enable //переходим в привилегированный режим EXEC
Switch# show running-config //выводим текущую конфигурацию

Результат выполнения команды show running-config.

Вывод текущей конфигурации коммутатора. Cisco packet tracer.

Записи по теме

  • Запрет на передачу данных для MAC-адресов. Cisco packet tracer.
  • Запись MAC-адреса в рабочую конфигурацию. Cisco packet tracer.
  • Время старения MAC-адреса. Cisco packet tracer.
  • Количество MAC-адресов на порт устройства. Cisco packet tracer.
  • Активация функции port-security. Cisco packet tracer.
  • Исключение IP-адреса из пула DHCP. Cisco packet tracer.
  • Адрес домена для пула DHCP. Cisco packet tracer.
  • Срок аренды IP-адреса для пула DHCP. Cisco packet tracer.

Основные команды по настройке и эксплуатации маршрутизаторов Cisco

Cisco 1600 Series

Автор: Михаил Кадер , системный инженер, Cisco Systems
Текст взят с сайта: http://www.banknet.kz/~info/
Содержание: 1. Описание маршрутизаторов Cisco2511 и Cisco1600
2. Начало работы с маршрутизатором Cisco
2.1 Подключение к маршрутизатору и начало работы
2.2 Восстановление забытого enable secret password
3. Работа с флэш-памятью и NVRAM
4. Настройка синхронных интерфейсов Serial для X25
5. AAA (authentication, authorization, accounting), tacacs+, RADIUS
6. Настройка асинхронного интерфейса и линий
7. Управление и мониторинг1 . Описание маршрутизаторов Cisco2511 и Cisco1600Маршрутизатор Cisco 1601 Маршрутизаторы серии Cisco 1601 служат для подключения небольших офисов, в которых развернута локальная сеть Ethernet, к Internet и к внутренней сети компании, или к корпоративной локальной сети через несколько подключений глобальных сетей, таких как ISDN, асинхронные последовательные и синхронные последовательные.
Cisco 1601 имеет один Ethernet-порт, один встроенный WAN-порт и один слот для необязательного второго WAN-порта.
Слот для интерфейсного модуля позволяет потребителю изменить тип или добавить ещё один порт на машрутизаторе, в случае изменения потребностей или цен на услуги компаний-провайдеров линий связи. Поэтому серия маршрутизаторов Cisco 1600 предлагает более широкую гибкость по сравнению с другими продуктами этого же класса. Последовательный порт на модели 1601 и интерфейсной карте может работать в следующих режимах:

  • Асинхронный со скоростями до 115.2 Кб/с по коммутируемой телефонной линии (протоколы PPP, SLIP)
  • Синхронный со скоростями до 2.048 Мб/с по выделенной линии (протоколы Frame Relay, SMDS, X.25, HDLC, LAPB, PPP)

Cisco 1601: вид сзади

Маршрутизаторы Cisco 2500

Маршрутизаторы серии Cisco 2509 предназначенны как для использования в небольшом офисе, так и в сетях с удаленными узлами.
Модель оснащена двумя из следующих интерфейсов:

Cisco 2500 Series

  • 1 Ethernet
  • 2 Синхронный последовательный
  • 8 Асинхронный последовательный

Маршрутизаторы серии Cisco 2500 оснащены Flash-памятью технологии EPROM, которая применяется для хранения программных образов и обеспечивает их легкую модернизацию.
Эти системы могут работать с разнообразными программными комплектами (feature set) операционной системы Cisco IOS, поэтому заказчик может выбрать комплект программ, соответствующий конкретным протоколам, применяемым в его сети. Программные комплекты имеют очень широкий спектр — от простых IP и мостовых соединений до полного набора функциональных возможностей ПО фирмы Cisco, включая APPN и RMON.
Все модели, за исключением комбинированных с концентратором, имеют AUI разъём Ethernet-портов. Синхронные порты имеют универсальный DB-60 разъем, а тип порта определяется подключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты на серверах доступа собраны по 8 портов в 68 контактные разъёмы. На корпусе также имеется терминальный порт с разъёмом RJ-45, а также порт AUX, который можно использовать либо для удалённого управления маршрутизатором, либо как асинхронный порт для резервной линии связи.

Cisco 2511: вид сзади

2 . Начало работы с маршрутизатором Cisco

Вынимаем железку, подключаем терминал (или PC с TELEMATE) к консольному порту (или вспомогательный порт ранее сконфигурированной Cisco, и заходим обратным телнетом), все нужные нам кабели (синхронный, Ethernet, модемы), включаем питание и начинаем конфигурирование.
При первом включении IOS пытается скачать конфигурацию из глобальной сети — можно подождать несколько минут, чтобы дать ей понять, что на том конце ничего нет, или временно отсоединить синхронный кабель. Потерпев неудачу, IOS предлагает выполнить команду setup — соглашайтесь. В этом случае IOS задает вам несколько вопросов и самостоятельно конфигурируется. После этого можно зайти и исправить конфигурацию, как вы пожелаете. Команду setup можно запустить в любой момент с командной строки в привилегированном режиме:
Router# setup

Конфигурирование осуществляется следующими способами:

1. Командный интерфейс:
telnet Router — имя Cisco
имя-Cisco>
с терминала: conf term
NVRAM: conf memory
из сети: conf network

2. Через WWW (начиная с версии 11.0(6), 11.1(5), не все возможности, в версии 12.0 — все возможности): ip http server

3. ClickStart (конфигурирование Cisco 1003, 1004 и 1005).

Общие сведения о командном языке:

1. help — в любой момент можно ввести «?» — киска в ответ выдаст список команд или операндов.
2. Любое ключевое слово или имя можно сокращать до минимально возможного.
3. Если терминал нормально настроен, то можно редактировать командную строку как в emacs или bash ( как в UNIX ).
4. Почти каждую команду можно предварять словом no, если Вы собираетесь отказаться от команды.

Уровни привилегий: предусмотрено 16 уровней привилегий — от 0 до 15. Если не производить дополнительной настройки, то уровень 0 — это уровень пользователя: доступны только «безопасные» команды. Уровень 15 — это уровень супервизора: доступны все команды. Переходим с уровня на уровень по команде:
enable [номер уровня]
Любую команду можно перевести на уровень, отличный от стандартного; любому пользователю можно назначить определенный уровень, устанавливаемый при входе на киску этого пользователя; таким образом права пользователей можно тонко настраивать (только help-ом при этом тяжело пользоваться).

Режимы командного языка:

1. Режим пользователя

2. Привилегированный режим:

1. верхний уровень
2. режим глобальной конфигурации: 1. собственно верхний уровень конфигурирования
2. конфигурирование интерфейса 1. конфигурирование интерфейса
2. конфигурирование подинтерфейсa (serial в режиме Frame Relay)

3. конфигурирование контроллера (T1)
4. конфигурирование хаба (cisco 2500 — ethernet)
5. конфигурирование списка карт (ATM и FrameRelay)
6. конфигурирование класса карт (Quality of Service over Switched Virtual Circuit — ATM, FrameRelay или dialer)
7. конфигурирование линий
8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp, mobile, OSPF, RIP, static)
9. конфигурирование IPX-маршрутизатора
10. конфигурирование карт маршрутизатора
11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)
12. конфигурирование генератора отчетов о времени ответа
13. конфигурирование БД LANE (ATM)
14. режим команд APPN с его подрежимами (advance peer-to-peer Networking — второе поколение SNA)
15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с CIP)
16. режим команд сервера TN3270
17. конфигурирование списков доступа (для именованых IP ACL) 18.режим шестнадцатеричного ввода (задание публичного ключа для шифровки)
19. конфигурирование карт шифровки

3. ROM монитор (нажать break в первые 60 секунд загрузки, тоже есть help).

Редактирование командной строки

  • Задать размер истории команд: terminal history size размер.
  • Предыдущая/следующая команда: Ctrl-P/Ctrl-N или стрелка вверх/вниз.
  • Включить/выключить редактирование: [no] terminal editing.
  • Символ вперед/назад: Ctrl-F/Ctrl-B или стрелка вперед/назад.
  • В начало/конец строки: Ctrl-A/Ctrl-E
  • На слово вперед/назад: Esc F/Esc B
  • Развертывание команды: Tab или Ctrl-I
  • Вспомнить из буфера/вспомнить следующий: Ctrl-Y/Esc Y
  • Удалить символ слева от курсора/под курсором: Delete/Ctrl-D
  • Удалить все символы до начала строки/конца строки: Ctrl-U/Ctrl-K
  • Удалить слово слева от курсора/справа от курсора: Ctrl-W/Esc D
  • Перерисовать строку: Ctrl-L/Ctrl-R
  • Поменять символы местами: Ctrl-T
  • Экранирование символа: Ctrl-V или Esc Q
  • Комментарии начинаются с восклицательного знака, но в NVRAM не сохраняются.

2.1 Подключение к маршрутизатору и начало работы

1. Подключаем консольным кабелем от соответствующего маршрутизатора к порту COM компьютера.
2. Запускаем и настраиваем Term95 или Telix под соотвествующий порт и скорость (обычно 9600 kb/s). Установите терминал в режим 8N1. Включите маршрутизатор.
3. Включаем свой маршрутизатор
4. Если в нем уже была какая-то настройка, то стираем ее:
Router> enable
Router# erase startup configuration
Router# reload
5. Отказываемся от автоматической настройки:
Would you like to enter the initial dialog? [yes]: no
6. Через некоторое время появится сообщение:
Router>
Войти в режим администратора:
Router> enable
Подсказка > должна смениться на #
7. Начать конфигурирование с терминала:
Router# configure terminal
8. Задать имя хоста:
Router(config)# hostname Router (любое имя какое вам нравится)
9. Задать защищенный пароль администратора:
Router (config)# enable secret cisco (любое пароль какой вам нравится)
10. Введите команды:
Router(config)# ip subnet-zero
Router(config)# ip classless
11. Отключаем DNS, если его нет:
Router(config)# no ip domain-lookup
12. Выйдите из режима конфигурации:
Router(config)# exit
Router#
13.Сохраните конфигурацию:
Router(config)# exit
Router# write
14. Выйдите из режима расширенных команд:
Router# exit
Router>
15. Настройка терминальных линий (vty) для доступа к Cisco через локальную сеть:
Router# configure terminal (или conf t)
Router(config)# line vty 0 4
Router(config-line)# login
Router(config-line)# password Сisco
Router(config-line)# session-timeout 10 output
Router(config-line)# exit или Сtrl^Z
Router# write terminal (wr — сокращенно)
16. Настройка порта Ethernet на Cisco и установка IP адреса:
Router# configure terminal
Router(config)# interface Ethernet0 или сокрашенно int E0
Router(config-if)# ip address 172.16.150.1 255.255.255.0
Router(config-if)# no shutdown — на всякий случай, хотя интерфейс должен подняться сразу после подключения кабеля.

2.2 Восстановление забытого enable secret password

В случае утери пароля следует выключить маршрутизатор и снова включить.
1. послать Break в первые 60 секунд после включения питания. Сигнал Break посылается в зависимости от используемого терминала или Ctrl Break или Ctrl ^ C (можно найти в настройках терминала)
2. изменить регистры загрузки. Вы попадаете в другой режим, так называемый ROM Monitor режим с приглашением > После этого следует ввести команду (в зависимости от Cisco):

> confreg 0x141 (для 1000/1600/3600/4500)
> o/r 0x141 (для 2500/4000)

3. Enter

> reset (для 1000/1600/3600/4500)
> i (для 2500/4000)

4. initial conf dialog? n
5. Router(boot)> enable
6. Router(boot)# copy start run (если была включена authorisation, то конфигурировать придется с нуля)
7. Router# config term
8. Router(config)# enable secret новый_пароль
9. Не забыть поменять регистр конфигурации на нормальный режим
Router (config)# config-reg 0x2102
10. Router(config)# end
11. Router(boot)# copy run start
12. Router(boot)# reload

3 . Работа с флэш-памятью (в ней лежит и из нее выполняется IOS) и NVRAM (конфигурация)

На Cisco работает ТРИ программы: ROM монитор (это загрузчик и отладчик -тупой до безобразия — попадаем в него если соответствующим образом установлен регистр конфигурации или нажал BREAK во время загрузки и это не запрещено); boot ROM — система в ROM (урезанная и очень старая система IOS — 9.1 — если не удалось найти более подходящую во флэш или по сети или ручная загрузка из ROM монитора) и система во флэш — версия, которуя сам поставил. Конфигурация хранится в NVRAM. Еще есть оперативная память, используемая для хранения данных (IOS выполняется прямо из ROM). Внимание: пароль администратора в IOS 9.1 задается командой «enable password«, а не «enable secret«!
В руководстве делается предупреждение, что на Sun’е сервер TFTP должен быть настроен так, чтобы генерировать и проверять контрольные суммы UDP (я ничего не делал). Везде вместо TFTP можно использовать rcp (rsh), но мне лениво следить за безопасностью в этом случае. Посмотреть, что там лежит: show flash all

System flash directory:
File Length Name/status
addr fcksum ccksum
1 3243752 igs-i-l.110-1
0x40 0xB5C4 0xB5C4
[3243816 bytes used, 950488 available, 4194304 total]
4096K bytes of processor board System flash (Read ONLY)

Chip Bank Code Size Name
1 1 89A2 1024KB INTEL 28F008SA
2 1 89A2 1024KB INTEL 28F008SA
3 1 89A2 1024KB INTEL 28F008SA
4 1 89A2 1024KB INTEL 28F008SA
Executing current image from System flash

Иметь два файла во флэш можно только, если имеется два банка памяти (у меня нет) и выполнить специальную процедуру (IOS надо настроить адреса — выполняется-то она из флэша!). Буква l в имени файла как раз и означает, что адреса можно настроить. Посмотреть, сколько раз туда чего записывали: show flash err
Копировать из флэш на tftp: copy flash tftp, после чего спросят имя сервера, исходное имя файла и результатирующее имя файла (файл должен существовать с правами 666).
В основном используется сервер TFTP под Windows95/NT. Инсталлируется он очень просто. После этого в настройках нужно указать директорию для копирования файлов и имиджей. Сервер TFTP под Windows95/NT во время копирования должен быть запужен (обязательно), можно в свернутом состоянии.
Копировать конфигурацию на tftp: copy startup-config/running-config tftp
Router#copy tftp
Router#copy tftp flash
**** NOTICE ****
Flash load helper v1.0
This process will accept the copy options and then terminate
the current system image to use the ROM based image for the copy.
Routing functionality will not be available during that time.
If you are logged in via telnet, this connection will terminate.
Users with console access can see the results of the copy operation.
—- ******** —-
[There are active users logged into the system]
Proceed? [confirm] y

System flash directory:
File Length Name/status
1 5010180 c2500-ras-113.6
[5010244 bytes used, 3378364 available, 8388608 total]
Address or name of remote host 172.16.150.2
Source file name? c2500-ras-113.6 name of file in flash
Destination file name [c2500-ras-113.6] y
Accessing file ‘c2500-ras-113.6’ on 172.16.150.2.
Проверяет наличие файла на TFTP сервера.
Загрузить конфигурацию с tftp: copy tftp startup-config/running-config (по-моему, если грузить текущую конфигурацию, то происходит не копирование, а слияние).
Копировать из tftp во флэш (если достаточно памяти. ): copy tftp flash
Понятное дело, что если IOS выполняется из флэш, то грузить новое (заходить только с консоли — иначе ничего не увидишь, и об ошибках не узнаешь ;). После этого надо сохранить конфигурацию (copy run start). А все-таки интересно, как выбираться из ситуации, если что-то получилось не так. Кстати, рекомендуется сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s. все-таки можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS), если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.
Посмотреть состояние: show version
Проверить контрольную сумму: verify flash
Повторно выполнить конфигурационный файл: configure memory
Очистить конфигурацию: erase startup
Посмотреть текущую/загрузочную конфигурацию: show run/start
В NVRAM записываются только параметры, отличные от параметров по умолчанию. Параметры по умолчанию различны для различных версий, так что при смене версии бывает очень интересно 😉
На TFTP cервер можно скидывать и загружать с него файлы конфигурации, образ операционной системы (IOS), что является очень удобным прикаких либо неполадках.

4 . Настройка синхронных интерфейсов Serial для X25

Действия по шагам:
1. Начать конфигурирование с терминала:
Router# configure terminal
2. Задать, что данный маршрутизатор будет выполнять маршрутизацию X25:
Router(config)# x25 routing
3. Конфигурируем последовательный интерфейс 0:
Router(config)# interface serial 0
4. Задаем протокол X25 на данном интерфейсе
Router(config-if)# encapsulation x25 dte (dce)
Параметр dte или dce определяет, кто будет выполнять синхронизацию, т.е задавать скорость между двумя устройствами. По умолчанию dte.
5. Устанавливаем X25 параметры на интерфейсе. Должны совпадать с параметрами DCE устройства, то есть устройства, к которому подключена Cisco (обычно коммутатор X25):
Router(config-if)# x25 address 232420023 адрес X25 на интерфейсе
Router(config-if)# x25 ips 128 размер входного пакета
Router(config-if)# x25 ops 128 размер выходного пакета
Router(config-if)# x25 win 2 размер вх. пакета
Router(config-if)# x25 wout 2 размер вых. пакета
Router(config-if)# x25 htc 28 кол-во виртуальных каналов
6. Активация интерфейса:
Router(config-if)# no shutdown
Router(config-if)# exit
7. Аналогично для интерфейса serial 1, если нужно (для Cisco2509).
8. Прописывание X25 маршрутизации, то есть куда какие пакеты направлять. Если есть только один интерфейс для X25, то можно использовать default
Router(config)# x25 route .* interface Serial0
* — указывает на все пакеты можно задать конкретный шаблон, например
Router(config)# x25 route 2324200 .* interface Serial0
9. Настройка поверх X25 TCP/IP. Включаем IP на данном интерфейсе:
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# x25 map ip 10.1.1.2 232420024 сompress
Причем здесь IP address и X25 address другого маршрутизатора, с которым вы собираетесь связаться ( на нем соответственно должны стоять ваши параметры) compress — включаем компрессию.
10. Проверка X25:
Roter# show x25 route
Roter# show x25 map
11. Сохранение конфигурации:
Roter# copy running-config startup-config
12. Прописываем статическую маршрутизацию (роутинг):
Router(config)# ip route 172.16.160.0 255.255.255.0 10.1.1.2 permanent
где 172.16.160.0 255.255.255.0 — это локальная сеть, к которой подключен др.маршрутизатор, 10.1.1.2 — виртуальный адрес, нужен только для связывания двух cisco по X25
Router(config)# exit
Router# show config
Router# copy run start

5 . AAA (authentication, authorization, accounting), tacacs+, RADIUS

Сервер доступа (tacacs+, RADIUS) — это программа, которая крутится на UNIX-компьютере и отвечает на запросы киски типа: есть ли такой пользователь, какие у него права и ведет журнал посещений. Собственно AAA есть authentication (установление личности пользователя), authentication (проверка полномочий) и accounting (учет использования ресурсов). Для каждой из трех функций используется поименованный список методов, примененный к интерфейсу. При необходимости использования любой функции AAA IOS «пробегает» по этому списку пытаясь соединиться с соответствующим сервером. Если соединиться не удается (локальная БД отвечает всегда), то IOS переходит к следующему методу из списка. Если методов в списке не осталось, то регистрируется отказ. По умолчанию, к каждому интерфейсу применяется список методов по имени default. Если не требуется что-то необычное, то рекомендуется определить ровно один свой список методов с именем default и пусть он применяется ко всем.
aaa new-model # будем использовать tacacs+, а не старые варианты
aaa processes число # количество параллельных процессов, обслуживающих AAA (количество одновременно заходящих пользователей). У меня загрузка второго процесса составляет 10% от загрузки 1-го, так что, думаю, что двух достаточно
show ppp queues # показывает, сколько AAA процессов запущено и их статистику (странное название и странные числа он показывает)
tacacs-server host IP-адрес-tacacs+-сервера [single-connection] [port порт(49)] [timeout секунд] [key ключ-шифровки] # tac_plus 4.0.2 не поддерживает single-connection; можно указывать несколько серверов, они будут пробоваться по очереди
tacacs-server key key # ключ, с помощью которого шифруются сообщения между киской и tacacs+ сервером
tacacs-server retransmit retries # число попыток достучаться до сервера (по умолчанию — 2)
tacacs-server timeout seconds # сколько ждать, чтобы убедиться, что сервер не работает (по умолчанию — 5 секунд)
ip tacacs source-interface subinterface-name # задать исходный IP-адрес TACACS пакетов
tacacs-server directed-request # включен по умолчанию; управляет использованием имен пользователей в виде: имя@сервер; если включен, то на указанный сервер (проверяется, что он указан в конфигурации, иначе вся строка посылается на сервер по умолчанию) посылается короткое имя пользователя, если выключен — вся строка на сервер по умолчанию. В документации не описано действие ключа restricted.

authentication

Для установления личности определяется список методов идентификации и применяется к определенному интерфейсу.
Проверка при входе на линию:
aaa authentication login метод1 [ метод2 ] .
Методы при проверке на входе бывают следующие:
tacacs+ — использовать сервер TACACS+
none — удостоверять личность без проверки
enable — использовать пароль администратора (enable password) для проверки личности
krb5 — использовать сервер Kerberos 5
krb5-telnet — использовать сервер Kerberos 5 соединяясь с ним через telnet
line — использовать пароль, привязанный к линии
local — использовать локальную БД имен
radius — использовать сервер RADIUS
Для использования сервера kerberos необходимо иметь версию IOS с поддержкой шифровки.
Применить список методов к линии(ям):
line тип-линии номер-линии [конечный-номер-линии-из-интервала]
login authentification
Пример:
aaa authentication login default tacacs+ enable # по-умолчанию проверяем каждый вход на линию с помощью tacacs+ сервера, а если он не отзывается, то спрашиваем пароль суперпользователя. Т.к. используется имя default, то он будет действовать на всех линиях.
Если пользователи подсоединяются с RAS по PPP, минуя интерфейс командной строки, то для проверки их личности необходимо определить список методов установления личности при соединении PPP, по умолчанию никакой проверки не производится (список default не используется):
aaa authentication ppp метод1 [ метод2 ] .
Применить список методов к интерфейсам (if-needed только для TACACS и XTACACS, callin вызывает аутентификацию только для входных соединений, one-time позволяет вводить имя и пароль в одной строке):
interface тип-интерфейса номер-интерфейса
ppp authentication [if-needed] [callin] [one-time]

Методы при проверке личности во время установления PPP-соединения бывают следующие:
tacacs+ — использовать сервер TACACS+
radius — использовать сервер RADIUS
none — удостоверять личность без проверки
local — использовать локальную БД имен
krb5 — использовать сервер Kerberos 5
if-needed — не делать проверку, если она уже была произведена при входе на линию
Пример:
aaa authentication ppp default if-needed none # при включении PPP, производим фиктивную проверку пользователя, если не проверяли его раньше (может это уже можно выключить?), т.к. используется имя default, то сами интерфейсы конфигурировать не надо.
Проверка личности при переходе в привилегированный режим:
aaa authentication enable default метод1 [ метод2 ] .
Методы при проверке личности при входе в привилегированный режим:
enable — использовать пароль администратора (enable password) для проверки личности
line — использовать пароль, привязанный к линии
none — удостоверять личность без проверки
tacacs+ — использовать сервер TACACS+
radius — использовать сервер RADIUS
Бывает еще двойная проверка (access-profile, ip trigger-authentication, show ip trigger-authentication, clear ip trigger-authentication) и автоматическая двойная проверка, но это какакя-то муть.
Аутентификация без AAA (как только AAA сконфигурирован, то он имеет больший приоритет) установление пароля на линию (в режиме конфигурации линии), до 80 букв и цифр (должен начинаться с буквы):
password пароль
login

проверка имени пользователя (в глобальном режиме конфигурации, password и autocommand д.б. последними в строке, можно использовать несколько строк на одно имя — информация будет накапливаться), используется также для CHAP (чтобы отвечать на CHAP-запросы имя должно соответствовать имени хоста, на удаленном хосте это имя тоже д.б. определено с тем же секретом):
username имя [nopassword | password тип-шифровки пароль | password пароль][callback-dialstring номер-телефона] [callback-rotary номер-группы-rotary] [callback-line[tty] line-number [ending-line-number]] [access-class номер-ACL] [privilege уровень ][autocommand команда ] [noescape ] [nohangup ]
Что касается длин имени и пароля: безопасным является использование имен и паролей длиной до 8 символов включительно. Более длинные имена и пароли (якобы до 25 символов, буквы и цифры и пробелы, первый символ — буква) обрабатываются по-разному в разных версиях IOS. CHAP секрет — до 11 символов. tac_plus пароль, шифрованный с помощью crypt — до 8 символов.
Установка пароля на привилегированные команды:
enable [secret] [level уровень-привилегий ]
рекомендуется использовать опцию secret (пароль будет храниться в шифрованном виде). Первый уровень привилегий дается каждому пользователю при входе по умолчанию, 15 уровень — режим суперпользователя, команды изменения уровня (enable, disable, exit, help) находится на нулевом уровне. encryption-type:
7 (для enable без secret, собственный алгоритм шифрования, есть программа декодирования)
5 (для enable secret, необратимое шифрование)
0 (незашифрованный текст) шифровать пароли (а также прочие ключи)
service password-encryption переместить определенную команду на другой уровень (очень удобно для clear line 😉
privilege mode level level command (где mode — командный режим: exec, configure, interface, line и др.) дать всем пользователям, входящим с определенной линии указанный уровень привилегий (в режиме конфигурации линии)
privilege level level
посмотреть текущий уровень привилегий
show privilege
перейти на другой уровень (в режиме EXEC)
enable уровень

aaa authentication local-override # позволяет использовать локальную базу пользователей перед обращением к другим методам, но такие пользователи получаются абсолютно бесправными (даже EXEC не могут запустить, т.к. не проходят авторизацию)
timeout login response seconds # сколько секунд IOS будет ждать ввода имени или парол (30 секунд, есть еще количество попыток)
aaa authentication password-prompt text-string (если он не заменен внешним сервером) aaa authentication username-prompt text-string (если он не заменен внешним сервером)
aaa authentication banner delimiter string delimiter
aaa authentication fail-message delimiter string delimiter
chap или pap аутентификация в PPP (д.б. установлена encapsulation ppp на интерфейсе)(в режиме конфигурации интерфейса):
ppp authentication [if-needed] [list-name | default] [callin] [one-time] list-name и one-time можно использовать только, если сконфигурирован AAA if-needed можно использовать только для TACACS или XTACACS (не AAA) аутентификация при выходных звонках или когда дозвонившийся тоже хочет убедиться, что попал куда хотел (PAP)
ppp pap sent-username username password password
отказаться отвечать на запросы CHAP (но выдавать такие запросы самому):
ppp chap refuse [callin]
отвечать на запросы CHAP только после того, как собеседник представится (действует по умолчанию):
ppp chap wait secret
выдавать себя за указанный хост (по умолчанию посылается собственное имя NAS) для соседей, имя которых не найдено в списке пользователей:
ppp chap hostname hostname
определить секретное слово (до 11 символов) для CHAP для соседей, имя которых не найдено в списке пользователей:
ppp chap password secret
количество попыток (по умолчанию 3):
tacacs-server attempts count

authorization

Проверка прав доступа (полномочий) производится в случаях:

  • exec (атрибуты терминальной сессии)
  • command (проверка прав на исполнение команд, в т.ч. конфигурации) network (соединение PPP, SLIP, ARAP)
  • reverse access (для обратного telnet, установление личности потребуется в любом случае), только tacacs+ или radius

Для определения полномочий определяется список методов определения полномочий и применяется к определенному интерфейсу. Так же как и в случае с аутентификацией, список по имени default применяется к интерфейсу по умолчанию. Прежде , чем конфигурировать авторизацию, необходимо включить AAA на NAS и сконфигурировать аутентификацию, TACACS+, локальную БД пользователей и/или RADIUS сервера.
Методы проверки полномочий:
tacacs+ — использовать сервер TACACS+ для получения AV пар с полномочиями
if-authenticated — все аутентифицированные пользователи получают полномочия
none — полномочия не проверяются
local — используется локальная BD, определяемая командами username (только небольшая часть возможностей доступна)
Конфигурация именованного списка методов авторизации:
aaa authorization [network | exec | command level | reverse-access ] [имя | default ]
Для аутентифицированных пользователей, зашедших с консольной линии, авторизация не производится. Привязка поименованного списка методов к линии или интерфейсу (в соответствующем режиме конфигурации):
authorization или (одновременно определяется список методов авторизации для SLIP) ppp authorization
Запретить авторизацию команд конфигурации:
no aaa authorization config-command
Примеры:
aaa authorization exec default tacacs+ if-authenticated # проверяем права на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена — только благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае telnet или ppp)
aaa authorization commands 1 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 1 (непривилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
aaa authorization commands 15 default tacacs+ if-authenticated # проверяем права на исполнение команд уровня 15 (привилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
aaa authorization network default tacacs+ if-authenticated # проверка прав, если кто-то лезет к нам по сети, с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена

accounting

Так же как и для аутентификации и авторизации определяется список методов учета и применяется к определенному интерфейсу или линии. По умолчанию применяется список по имени default. Если примененный список не определен, то учет не производится.
Методы учета:
tacacs+ — AV пары учета посылаются на tacacs+ сервер
radius — AV пары учета посылаются на RADIUS сервер
Типы учитываемых событий:
network — PPP, SLIP и ARAP сессии, включают счетчики байт и пакетов
exec — учет терминальных EXEC-сессий
command — учет отдельных команд?
connection — учет информации о исходящих соединениях (telnet, rlogin, LAT, TN3270, PAD)
system — события системного уровня (только default список и только tacacs+)
Объем информации:
stop-only — посылается информация только о завершении события
wait-start — посылается информация о начале события и о его завершении, ожидаетсяподтверждение от TACACS+ или RADIUS сервера о получении этой информации(необходим, если нужен учет максимального числа одновременных сессий в tac_plus)
start-stop — посылается информация о начале события и о его завершении
none — ничего не посылать
Конфигурация именованного списка методов учета:
aaa accounting [method1 [method2. ] ]
Затем применяем определенный ранее метод учета к линии
accounting или интерфейсу (одновременно определяется список методов авторизации для SLIP)
ppp accounting
Мелкие настройки:
aaa accounting suppress null-username # не посылать учетные записи, если имя пользователя — пустая строка (aaa authentication login method-list none)
aaa accounting update # регулярно посылать учетную информацию при изменениях/периодически (ранее по умолчанию посылались update newinfo)
Посмотреть учетную информацию о текущих сессиях:
show accounting

6 . Настройка асинхронного интерфейса и линий

Нужен для того, чтобы удаленные пользователи могли попасть в вашу сеть через маршрутизатор.
Действия по шагам:
1. Начать конфигурирование с терминала:
Router# configure terminal
Router(config)# x25 routing
2. Конфигурируем асинхронный интерфейс:
Router(config)# interface async 1
3. Задаем протокол PPP (point-to-point) на данном интерфейсе:
Router(config-if)# encapsulation ppp
4. Устанавливаем PPP параметры на интерфейсе:
Router(config-if)# async mode interactive задаем тип линии
Router(config-if)# ppp authentication chap задаем тип аутофентикации
5. Настройка IP address:
Router(config-if)# ip address 192.168.20.1 255.255.255.0
6. Активация интерфейса:
Router(config-if)# no shutdown
Router(config-if)# exit
Router# write запись
7. Аналогично для других интерфейсов async, если нужно (для Cisco2509).

7 . Управление и мониторинг

Можно всегда посмотреть по команде show ?
Эта команда показывает, какие события можно просмотреть.
show async status
show interface async номер
show compress
show controller имя-контроллера
show interface accounting
show interface тип номер
clear counters тип номер
show protocols
show version
clear interface тип номер
clear line номер
shutdown
no shutdown
show ip route
show x25 route

Раздел 1. интерфейс cisco packet tracer ответы на вопросы часть 2

Контрольные вопросы.
1. Какой командой можно посмотреть текущие настройки роутера?
2. Какими командами настраивается сетевой интерфейс роутера.
3. Как просмотреть конфигурационные настройки коммутатора?
4. Как определить распределение вилланов по портам коммутатора?
5. Перечислите основные режимы конфигурации при настройке коммутатора.
6. Перечислите основные режимы конфигурации при настройке роутера.
7. Как посмотреть таблицу маршрутизации на роутере?
8. Какие команды формируют таблицу маршрутизации роутера?
9. Какими командами настраиваются вилланы на коммутаторе?
10. Какими командами настраивается взаимодействие между вилланами?

Контрольные вопросы.
1. В чем преимущества статической маршрутизации?
2. Дайте характеристику параметрам статической таблицы маршрутизации?
3. Какие этапы при установке устройства присущи маршрутизаторам компании Cisco, но отсутствуют у коммутаторов?
4. Какую из указанных ниже команд можно встретить в интерфейсе командной строки маршрутизатора, но не коммутатора? — команда cloc rate; — команда ip address маска адрес; — команда ip address dhcp; — команда interface vlan 1
5. Чем отличаются интерфейсы командной строки маршрутизатора и коммутатора компании Cisco?
6. Какая из указанных ниже команд не покажет настройки IP-адресов и масок в устройстве? — show running-config; — show protocol тип номер; — show ip interface brief; Show version
7. Перечислите основные функции маршрутизатора в соответствии с уровнями модели OSI.
8. Приведите классификацию маршрутизаторов по областям применения.
9. Перечислите основные технические характеристики маршрутизаторов.
10. Дайте характеристику основным сериям маршрутизаторов компании Cisco.
11. Приведите перечень протоколов маршрутизации и дайте им краткие характеристики.
12. Приведите перечень поддерживаемых маршрутизаторами интерфейсов для локальных и глобальных сетей и определите их назначение.
13. Приведите перечень поддерживаемых маршрутизаторами сетевых протоколов и определите их назначение.

Голосование за лучший ответ

1. Какой командой можно посмотреть текущие настройки роутера? Для начала необходимо активизировать привилегированный режим:
Switch>
Switch>enable
Switch#
2. Какими командами настраивается сетевой интерфейс роутера.
В режиме конфигурации настраиваем интерфейс:
Router#conf t ->
Router(config)# ->
Router( config)# interface FastEthernet0/0 (настройка Ethernet интерфейса) -> Router( config- if)#
3. Как просмотреть конфигурационные настройки коммутатора? С помощью команды Router>Show terminal можно увидеть все конфигурационные параметры коммутатора.
4. Как определить распределение вилланов по портам коммутатора? На портах коммутаторов указывается в каком VLAN они находятся.
5. Перечислите основные режимы конфигурации при настройке коммутатора.
• Пользовательский режим — это режим просмотра, в котором пользователь может только просматривать определённую информацию о сетевом устройстве, но не может ничего менять. В этом режиме приглашение имеет вид: Switch>
• Привилегированный режим — поддерживает команды настройки и
тестирования, детальную проверку сетевого устройства, манипуляцию с
конфигурационными файлами и доступ в режим конфигурирования. В этом
режиме приглашение имеет вид: Switch#
•Режим глобального конфигурирования — реализует мощные однострочные команды, которые решают задачи конфигурирования. В том режиме приглашение имеет вид: Switch(config)#
6. Перечислите основные режимы конфигурации при настройке роутера.
7. Как посмотреть таблицу маршрутизации на роутере? В режиме CLI в привилегированном режиме воспользоваться командой Router1> show ip route или Router1>show hosts (Рис. 2)
8. Какие команды формируют таблицу маршрутизации роутера? Router#sh vl br
9. Какими командами настраиваются вилланы на коммутаторе? В привилегированном режиме выполнив команду enable
Switch(config)#vlan 2
Switch(config-vlan)#name subnet_192
Switch(config)#interface range fastEthernet 0/1-2
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
10. Какими командами настраивается взаимодействие между вилланами?
Для настройки взаимодействия между несколькими виртуальными сетями (Vlan), расположенными на одном коммутаторе, необходим маршрутизатор, подключенный к коммутатору через Trunk порт. При передаче трафика по этому порту каждый пакет помечается номером Vlan, которому принадлежит. Это позволяет устройствам корректно перенаправлять пакеты.
На этом интерфейсе настраиваются сабинтерфейсы (subinterfaces) с соответствующими ip адресами для каждой из сетей Vlan.
Router#conf t
Router(config)#hostname Router2
Войдём на интерфейс FastEthernet 0/0:
Router2(config)#interface fa0/0
Router2(config-if)#no shutdown

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *