Вы находитесь на странице: 1из 16

Лабораторная работа №3.

Основы работы с интерфейсом оборудования Cisco

Цель работы: освоить программный продукт CISCO Packet Tracer, ознакомиться с


оборудованием Cisco, функциональными возможностями, интерфейсом оборудования Cisco. Изучить
командный интерфейс коммутаторов Cisco, приемы первичной настройки коммутаторов, обеспечения
их защищенности и доступности для управления.
Типы интерфейсов устройств Cisco
Устройства Cisco имеют несколько типов интерфейсов (портов):
1. LAN интерфейсы – Ethernet. Используются для подсоединения к устройству компьютеров,
коммутаторов или маршрутизаторов. Как правило, таким интерфейсам, в зависимости от его типа,
даются такие имена как AUI (устарело), Ethernet, FastEthernet или Fa 0/0.
2. WAN Interfaces – Serial. Соединяют между собой WAN устройства и CSU/DSU, возможно
также соединение между собой двух маршрутизаторов (для этого нужна ещё одна дополнительная
команда, позже мы её рассмотрим).
3. Консольный интерфейс. Интерфейс для начальной конфигурации коммутатора или
маршрутизатора, также играет важную роль при поиске неисправностей в сети. Обязательно нужно
учесть, что физический доступ к этому порту (равно как и к устройству в целом) для посторонних
должен быть запрещён.
4. Auxiliary (AUX) интерфейс. Этот интерфейс используют для удалённого управления
маршрутизатором. Обычно модем, подключенный к этому порту, принимает входящие подключения.
Обеспечение доступа к маршрутизатору через этот порт потенциально небезопасно и требует
повышенной ответственности.

Рис. 1 - Типы интерфейсов (портов)

Подключение к устройствам Cisco


Поскольку сетевые устройства, как правило, не имеют средств для вывода информации, для
управления ими нужно использовать специальную программу, называемую эмулятором терминала.
Эта программа позволяет использовать дисплей и клавиатуру одного устройства для доступа к
функциональности другого устройства. Для подключения к конфигурируемому устройству
необходимо выполнить следующие действия:
1. Соединить специальным консольным кабелем последовательный порт компьютера и
консольный порт на устройстве Cisco. Такой кабель – или rollover – оснащён коннектором DB-9 на

1
одном конце и коннектором RJ-45 с другого. Если у компьютера отсутствует последовательный порт,
можно использовать специальные USB-Serial переходники.
2. На компьютере установите подходящие настройки на эмуляторе терминала.
Например, в программе HyperTerminal установить параметры:
• Bits per second: 9600 bps;
• Data bits: 8;
• Parity: None;
• Stop bits: ;1
• Flow control: None.
3. Войти в командную строку устройства, нажав <Enter>. При правильных настройках это не
вызывает трудностей.

Рис. 2 - Подключение к устройствам

Методы доступа к управлению устройством


Существует несколько методов получения доступа к командной строке устройства:
• Доступ через консольный порт;
• Telnet или SSH;
• AUX-порт.
Консольный доступ. Для начальной настройки маршрутизатора или коммутатора, когда сетевые
параметры ещё не настроены, применяют доступ через низкоскоростной консольный порт (или, иначе,
CTY line), используя специальный кабель (rollover) и программу-эмулятор терминала. Этот порт
доступен всегда, даже если сетевые сервисы не функционируют. Помимо стартовой настройки
системы, его используют в случае отказа сети или поиска неисправности, когда невозможно удалённо
получить доступ к устройству, а также для процедуры восстановления забытого пароля. Настоятельно
рекомендуется защитить доступ через консольный порт паролем, чтобы избежать
несанкционированного доступа к устройству. В случае утери пароля, существует специальный набор
процедур, позволяющий его восстановить.
Telnet и SSH. Чтобы получить удалённый доступ к CLI используют протоколы Telnet или SSH.
Для успешного подключения необходимо, чтобы хотя бы один интерфейс был в рабочем состоянии, и
ему был назначен IP-адрес. Сама операционная система содержит Telnet сервер, стартующий при
загрузке устройства, и Telnet клиент. Однако, протокол Telnet имеет недостатки, среди которых тот
факт, что, несмотря на возможность защитить доступ к CLI с помощью пароля, сам пароль передаётся
через сеть в открытом виде и может быть легко перехвачен. Поэтому рекомендуется вместо Telnet
использовать SSH. SSH обеспечивает более строгий процесс аутентификации, трафик, передаваемый
с помощью этого протокола, шифруется. С клиентских станций SSH соединение устанавливается с
использованием SSH клиентов, присутствующих по умолчанию или специально установленных.
Большинство новейших версий IOS включает в себя SSH сервер, включенный по умолчанию. IOS
содержит также клиент SSH, позволяющий установить SSH соединение с другими устройствами.

2
AUX. Ещё один способ получить доступ к CLI – установить dial-up соединение, используя модем,
подключенный к AUX порту маршрутизатора. Этот способ похож на консольный тем, что нет
необходимости в предварительном конфигурировании сетевых служб маршрутизатора. Доступ через
AUX порт может быть осуществлён и локально, прямым подключением с использованием эмулятора
терминала. Однако, не каждый маршрутизатор имеет AUX порт, в то время, как наличие консольного
порта является обязательным. Из этих двух портов предпочтительнее всё же использовать консольный,
из-за того, что становятся доступными различные диагностические сообщения, появляющиеся во
время загрузки устройства. Фактически, единственный случай, при котором использование AUX
порта оправдано, это невозможность по каким-либо причинам использовать консольный порт,
например, если неизвестны параметры консольного соединения.

Рис.3 - Методы получения доступа к командной строке устройства

global configuration mode на маршрутизаторе (router) приглашение командной строки имеет


следующий вид:
Router(config)#
В зависимости от используемых команд и смены режимов приглашение командной строки также
изменяется, чтобы отразить текущий контекст.

Рис.4 – Пример командной строки при работе с маршрутизатором

3
-
Рис. 5 – Пример командной строки при работе с коммутатором

Router>enable

Никаких аргументов эта команда не имеет. После её выполнения приглашение командной строки
выглядит так:

Router#

Если переход в privileged EXEC защищён паролем, IOS запросит пароль:

Router>enable
Password:
Router#

Обратный переход осуществляется командой disable:

Router#disable
Router

Рис. 6 – Примеры режимов конфигурации маршрутизатора

4
Рис.7 - Примеры режимов конфигурации коммутатора

Базовая настройка Cisco IOS

Назначение имени устройству. Каждому устройству Cisco можно дать имя, используя
командную строку Cisco IOS. По умолчанию маршрутизатор имеет имя Router, а коммутатор – Switch.
Рекомендуется назначить каждому устройству своё имя, во избежание путаницы, которая неминуемо
возникнет, если много устройств будет иметь одинаковые имена. Имя устройства отображается в
командной строке. Когда вы пытаетесь получить доступ, скажем, к маршрутизатору по Telnet или SSH,
как определить, на то ли устройство вы попали, если имя этого маршрутизатора может совпадать с
именем другого маршрутизатора? Выбор имён для устройств должен опираться на продуманную
стратегию, иметь определённое соглашение по именованию устройств, это соглашение должно быть
единым во всей организации. Имена устройств чувствительны к регистру символов и подчиняются
следующим правилам:
• Должны начинаться с буквы;
• Не должны содержать пробелов;
• Должны заканчиваться буквой или цифрой;
• Должны состоять только из цифр. букв и тире;
• Длина имени не должна превышать 63 символа.
Имена устройств используются только администраторами для конфигурирования и мониторинга
устройств, сами устройства не используют имена во взаимодействии друг с другом. Давайте в качестве
примера рассмотрим топологию, состоящую из трёх маршрутизаторов, каждый из которых размещён
в своём филиале организации. Чтобы создать соглашение по именованию этих маршрутизаторов,
следует задаться несколькими вопросами:
• Являются ли эти маршрутизаторы частью штаб-квартиры организации?
• Имеют ли эти маршрутизаторы одинаковое или разное назначение?
• Является ли каждый из этих маршрутизаторов начальной или промежуточной точкой
соединения в сети?
В нашем случае каждый маршрутизатор находится в главном офисе организации в разных
городах, соответственно, можно присвоить им такие имена: AtlantaHQ, PhoenixHQ и CorpusHQ. Если
бы каждый машрутизатор был звеном в последовательной цепочке, можно было бы назвать их
следующим образом: AtlantaJunction1, PhoenixJunction2 и CorpusJunction3. В сетевой документации
необходимо указать имена, данные устройствам с указанием причины, по которой то или иное имя

5
было выбрано. Это поможет впоследствии придерживаться соглашения об именовании устройств.
Следующим шагом станет присвоение имён маршрутизаторам. Назначим имя маршрутизатору в
Атланте:
Router#configure terminal
Router(config)#
Router(config)#hostname AtlantaHQ
AtlantaHQ(config)#

Обратите внимание, что только что присвоенное имя маршрутизатора появилось в приглашении
командной строки. После смены имени сведения об этом нужно внести в сетевую документацию.
Каждое из устройств должно идентифицироваться в журнале по его имени, адресу, предназначению и
местоположению. Для отмены назначения имени (возврата к значению по умолчанию) можно дать
команду no hostname:

AtlantaHQ(config)#no hostname
Router(config)#

Конфигурирование паролей и баннеров. Назначение паролей на доступ является хорошей


практикой по предотвращению несанкционированного доступа к устройству. Можно установить
следующие виды паролей: •

Рис. 8 - Примеры задания имени маршрутизатору

Конфигурирование паролей и баннеров. Назначение паролей на доступ является хорошей


практикой по предотвращению несанкционированного доступа к устройству. Можно установить
следующие виды паролей:
• Console password – ограничивает доступ к устройству через консольный порт;
• Enable password – ограничивает доступ к режиму privileged EXEC;
• Enable secret password – ограничивает доступ к режиму privileged EXEC, пароль при этом
шифруется;
• VTY password – ограничивает доступ к устройству через Telnet.

6
Рекомендуется в целях безопасности использовать разные пароли на разных уровнях доступа.
При установке пароля необходимо обеспечить высокий уровень сложности пароля, опираясь на
следующие рекомендации:
• Используйте пароли длиной не менее, чем восемь символов;
• Используйте комбинацию цифр и символов в высоком и низком регистре;
• Избегайте использования одинаковых паролей на разных устройствах;
• Избегайте использования слов типа «password» и «administrator», такие «пароли» легко
угадываются.

Если у злоумышленника есть физический доступ к устройству (что само по себе уже плохо), ему
не составит труда подключиться к нему через консоль, просто вставив кабель в порт. Исходя из этого,
такой доступ должен быть ограничен паролем. Назначим такой пароль коммутатору:
Switch(config)#line console 0
Switch(config-line)#password password
Switch(config-line)#login
Команда line console 0 даётся из режима global config, «0» означает первый (а зачастую и
единственный) консольный интерфейс. Команда password password определяет пароль, а команда login
заставляет IOS потребовать аутентификацию. При удачном завершении аутентификации появляется
приглашение командной строки. Обратите внимание, что при вводе пароля его символы не
отображаются.

Рис. 9 – Примеры задания пароля

Для обеспечения дополнительной безопасности рекомендуется выполнить команды enable


password и enable secret. Эти команды требуют введения пароля при входе в privileged
EXEC (пароль запрашивается после команды enable). По возможности нужно использовать
enable secret, так как пароль, назначенный этой командой, шифруется. Команду enable password
обычно используют со старыми версиями IOS, не понимающими более новую команду enable secret.
Router(config)#enable password password
Router(config)#enable secret password
Если пароль на privileged EXEC не установлен, получить доступ к этому режиму через Telnet не
удастся. В этом случае IOS выдаст такое сообщение:
Switch>enable %
No password set

7
Switch>
Пароль на доступ к устройству через Telnet устанавливается с помощью команды line vty. Многие
устройства Cisco по умолчанию поддерживают пять Telnet-линий с номерами от 0 до 4. Можно
установить пароль для отдельных линий, а можно на все сразу:

Router(config)#line vty 0 4
Router(config-line)#password password
Router(config-line)#login

По умолчанию IOS включает команду login. Это предотвращает доступ через Telnet без
предварительной аутентификации. Команда no login, введённая по ошибке, отменяет обязательную
аутентификацию, в результате чего злоумышленник может получить доступ к устройству.
Установленные пароли на доступ через консоль или через Telnet в открытом виде отображаются
в конфигурационных файлах. Для дополнительной защиты можно зашифровать эти пароли командой
service password encryption. После введения этой команды пароли будут отображаться в running-config
и startup-config в зашифрованном виде. После того как шифрование установлено, дешифрация
невозможна, даже если дать команду no service password-encryption.
Одновременно с требованием аутентификации необходим способ задекларировать
авторизованный доступ, чтобы предупредить потенциального злоумышленника о возможном
судебном преследовании за взлом системы. Для этой цели предназначены баннеры. Ниже приведены
примеры баннеров, точное их содержание зависит от многих вещей, в частности, от корпоративной
политики:
• «Use of the device is specifically for authorized personnel»;
• «Activity may be monitored»;
• «Legal action will be pursued for any unauthorized use»

Рис.10 – Задание пароля

Так как баннеры можно увидеть каждый, кто пытается войти в систему, сообщение должно быть
сформулировано очень осторожно. Любая формулировка, включающая в себя такие выражения как
«Добро пожаловать» или «Входите» являются нецелесообразной. С таким приглашением трудно будет
привлечь к ответственности человека, взломавшего пароль и получившего несанкционированный
8
доступ к устройству. Наоборот, баннер должен всячески подчёркивать, что только авторизованный
персонал может здесь находиться. Существует несколько типов баннеров, самым распространённым
является баннер MOTD (message of the day). Этот тип баннера отображается на всех подключенных
терминалах. Чтобы сконфигурировать баннер из global conffig введите команду

Switch(config)#banner motd # message #

Рис.11 - Примеры баннеров

Как показывает иллюстрация, эта команда требует использования специальных символов,


выделяющих текст баннера, т. к. сам текст может состоять из нескольких строк. Таким разделителем,
обрамляющим текст с начала и конца, выступает символ #.
Конфигурирование интерфейсов. Хотя не всем промежуточных сетевых устройствам
необходим для работы IP-адрес, большинству из них такой адрес назначается в целях последующего
управления этим устройством через сетевые службы, такие как Telnet или SSH. Маршрутизаторам IP-
адрес необходим, так как они соединяют разные сети. Каждому интерфейсу маршрутизатора должен
быть присвоен уникальный адрес, принадлежащий к иной подсети, нежели адрес другого интерфейса.
Мы обсудим наиболее базовые конфигурационные команды.

9
Рис. 12 - Конфигурирование интерфейсов

Сконфигурировать Ethernet интерфейс можно, выполнив следующие шаги:


1. Войти в режим global config;
2. Войти в режим конфигурации интерфейса;
3. Назначить интерфейсу IP-адрес и маску;
4. Включить интерфейс.
IP-адрес и маска назначаются следующими командами:

Router(config)#interface FastEthernet 0/0


Router(config-if)#ip address ip_address netmask
Router(config-if)#no shutdown

Последняя команда включает интерфейс. Она обязательна к применению, т. к. по умолчанию


интерфейс выключен. Если работающий интерфейс необходимо выключить, используется команда
shutdown.

Рис.13 - Конфигурирование Ethernet интерфейса на маршрутизаторе


10
Чтобы сконфигурировать Serial интерфейс необходимо проделать следующее:
1. Войти в режим global config;
2. Войти в режим конфигурации интерфейса;
3. Назначить интерфейсу IP-адрес и маску;
4. Установить clock rate, если подсоединён DCE кабель, если подключен DTE кабель, параметр
clock rate будет игнорироваться, поэтому этот шаг можно пропустить. Serial интерфейсу необходимо
контролировать временные параметры соединения, что обеспечивает clock сигнал, подаваемый DCE
устройством, таковым обычно является модем или CSU/DSU. В отсутствие модема нам приходится
один из маршрутизаторов конфигурировать как устройство DCE командой clock rate.
5. Включить интерфейс.

Рис. 14 - Конфигурирование Serial интерфейса на маршрутизаторе

Router(config)#interface Serial 0/0/0


Router(config-if)#ip address ip_address netmask
Router(config-if)#clock rate 56000
Router(config-if)#no shutdown

После завершения конфигурации можно просмотреть сделанные настройки командой show,


проверить их корректность и сохранить текущую конфигурацию в startup config. Полезной командой
также является команда description, позволяющая давать интерфейсу описание. Описание интерфейса
появляется в выводе команд show startup-config, show running-config и show interfaces. В него могут
быть внесены сведения о целях интерфейса, указано, какие устройства подключены к этому
интерфейсу, на WAN линиях можно указать ID виртуального канала, контактную информацию
компании, поддерживающей этот канал и т. п. Создаём описание интерфейса:
HQ-switch1#configure terminal
HQ-switch1(config)#interface fa0/0
HQ-switch1(config-if)#description Connects to main switch in Building A

11
Рис.15 - Описание интерфейса

Отличие процесса конфигурирования коммутатора от процесса конфигурирования


маршрутизатора заключается в том, что, поскольку коммутатор работает на канальном уровне, его
интерфейсам не могут быть присвоены IP-адреса. Все интерфейсы коммутатора по умолчанию
включены, поэтому нет необходимости в команде no shutdown. Однако IPадрес коммутатору присвоить
всё же можно, но не на физический, а на виртуальный (Virtual LAN или VLAN) интерфейс, после чего
к коммутатору можно обратиться с помощью Telnet или SSH. Как правило, это VLAN 1. Как и
маршрутизаторе, этот интерфейс нужно включить командой no shutdown.
Поскольку, вследствие назначения IP-адреса, коммутатор, по сути, работает как станция, для
обеспечения возможности работы в составной сети необходимо назначить ему шлюз по умолчанию
командой ip default-gateway.

12
Рис. 16 - Конфигурирование коммутатора

Проверка работоспособности сети. В этой части урока мы познакомимся с предлагаемыми


Cisco методами тестирования работоспособности сети и поисками неисправностей, а также с
особенностями применения команды ping в операционной системе Cisco. Как вы уже знаете, самый
простой, но далеко не единственный способ проверить исправность сети – команда ping. В IOS вывод
этой команды может принимать следующие формы:
1. ! – показывает, что получен ответ на отправленный ICMP пакет. Подтверждает
работоспособность сети на сетевом уровне.
2. . – показывает, что время ожидания ответа истекло. Информирует либо об отсутствии
связности сети, либо от том, что какой-либо маршрутизатор не знает маршрут к получателю и не может
отправить сообщение о недостижимости получателя. Также вохможно, что пакет блокирован по
соображениям безопасности.
3. U – получено сообщение о недостижимости получателя. Сигнализирует, что маршрутизатор
не знает маршрута к получателю и сообщает о его недостижимости отправителю.

13
Cisco предлагает все операции по обнаружению неисправности сети проводить в следующем
порядке:
1. Протестировать работоспособность стека командой
C:\>ping 127.0.0.1.
Получение ответа свидетельствует о корректной работе стека.
2. Проверить работоспособность локального интерфейса маршрутизатора. Наиболее часто
используемой для этого командой является
show ip interface brief.
Особое внимание нужно обратить на наличие IP-адреса и на состояние интерфейса – если в поле
Status стоит up, то интерфейс работоспособен на физическом уровне, если в поле Protocol стоит up, –
интерфейс работоспособен на канальном уровне. Соответственно, значение down в этих полях говорит
о наличии проблем. Ещё одно возможное значение – administratively down. Интерфейс выключен
административно, т. е. или дана команда shutdown, или наоборот, не дана команда no shutdown.
Ещё одна полезная команда – traceroute. С её помощью можно просмотреть маршрут, которым
проходит пакет на пути к получателю, эта команда также может использоваться для тестирования
связности сети. Аналогичным способом проверяется состояние интерфейсов коммутатора, за тем
отличием, что IP-адрес назначается VLAN интерфейсу.
3. Следующий шаг – проверка локального интерфейса станции командой ping ip address . Так
можно определить, готов ли сетевой интерфейс к передаче сигналов.
Например, C:\>ping 10.0.0.5.
Если ответа нет, это говорит о возможных проблемах с сетевым адаптером или его драйвером.
4. Далее можно проверить достижимость узлов в локальной сети. В случае неисправности могут
быть получены уведомления о недостижимости получателя или о истёкшем времени ожидания пакета.
IOS предоставляет интересную возможность использования команды ping – так называемый extended
ping. Чтобы воспользоваться этой возможностью введите команду ping без параметров из privileged
EXEC, IOS предложит вам диалоговый режим, в котором вы сможете задать желаемые параметры.
Нажимая <Enter>, вы принимает параметры, которые предлагает IOS:
Router#ping
Protocol [ip]:
Target IP address:10.0.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:5
Extended commands [n]: n

Можно увеличить период ожидания ответа, чтобы обнаружить увеличившиеся задержки в сети,
или увеличить количество отправляемых пакетов. Если в поле Extended commands ввести «y», будет
предложено ещё большее число полезных опций.
5. Следующий шаг – проверка наличия и достижимости шлюза по умолчанию. Команда ipconfig
покажет вам, назначен ли для станции шлюз, а команда ping проверит его достижимость. Для
маршрутизатора также возможно назначить маршрут по умолчанию, просмотреть о нём сведения
можно командой show ip route. Необходимо, чтобы интерфейс следующего маршрутизатора (next hop)
был доступен, иначе маршрутизатор будет отбрасывать пакеты. В случае отрицательного ответа
возможны проблемы либо с конфигурацией маршрутизатора, либо с оборудованием. Можно
проверить, правильный ли адрес установлен в качестве шлюза, и достаточно ли надёжно подключена
кабельная система.
6. На следующем шаге необходимо проверить достижимость удалённой станции. Можно
попытаться пропинговать последовательно каждый интерфейс каждого маршрутизатора на пути к
14
удалённой станции, а в завершение и саму удалённую станцию. Таким образом существующую
проблему можно изолировать и принять меры к её исправлению.
7. Затем полезно произвести трассировку маршрута, на рабочей станции под управлением
Windows для этого служит утилита tracert, на маршрутизаторе Cisco – команда traceroute. В случае
получения негативного результата, можно определить, какой маршрутизатор последним смог
отправить ответ и выяснить, находится ли корень проблемы в локальной сети или за её пределами.

Выполнение:
Приобретаемые навыки в работе с оборудованием Cisco:
Изменение имени оборудования (hostname);
Вход в привилегированный режим (enable);
Вход в режим конфигурации настроек (configure terminal);
Вход в режим конфигурирования линий (консоль, терминальные подключения) (line?);
Вход в режим конфигурирования интерфейсов виртуальный сетей (interface VLAN ?);
Задание пароля для перехода в привилегированный режим (enable secret?);
Задание ip-адреса для интерфейса виртуальной сети коммутатором (ip address ?);
Сохранение текущей конфигурации (copy running-config startup-config);
Просмотр текущей работающей конфигурации (show running-config);
Просмотр сохраненной конфигурации (show startup-config);
Настройка ip-адресов персональных компьютеров (winipcfg, ipconfig ?);
Выявление достижимости персональных компьютеров и коммутаторов в сети (ping?);
Просмотр записей arp-таблицы персональных компьютеров (arp).

Задание: Собрать схему сети:


- Коммутаторы S1, S2, S3 (3 шт.);
- Персональные компьютеры PC1, PC2, PC3, PC4 (4 шт.);
- Схема сети представлена на рис.17.
1. Изменить имя коммутаторам Cisco;
2. Обеспечить парольный доступ к привилегированному режиму на коммутаторах;
3. Задать ip-адреса и маски коммутаторам (172.16.1.11/24, 172.16.1.12/24, 172.16.1.13/24);
4. Задать ip-адреса и маски сетей персональным компьютерам. (172.16.1.1/24, 172.16.1.2/24,
172.16.1.3/24, 172.16.1.4/24);
5. Проверить достижимость всех объектов сети по протоколу IP;
6. Перейти в «Режим симуляции» (описанном в методических указаниях к предыдущей
лабораторной работе) рассмотреть и пояснить процесс обмена данными по протоколу ICMP между
устройствами (ping), пояснить роль протокола ARP в этом процессе. Детальное пояснение включить в
отчет.

15
Switch1

PC1 PC4
Switch2 Switch3

PC3
PC2

Рис.17- Схема сети

Отчет работы должен содержать:


1. Титульный лист;
2. Задание;
3. Схема сети;
4. Скриншоты работы собранной схемы;
5. Ход работы:
Данный раздел содержит последовательное описание значимых выполняемых шагов (с
указанием их сути) и скриншоты результатов экрана (с отражением набранной команды и реакция
системы, если она есть).
6. Выводы.

16

Вам также может понравиться