Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
1
одном конце и коннектором RJ-45 с другого. Если у компьютера отсутствует последовательный порт,
можно использовать специальные USB-Serial переходники.
2. На компьютере установите подходящие настройки на эмуляторе терминала.
Например, в программе HyperTerminal установить параметры:
• Bits per second: 9600 bps;
• Data bits: 8;
• Parity: None;
• Stop bits: ;1
• Flow control: None.
3. Войти в командную строку устройства, нажав <Enter>. При правильных настройках это не
вызывает трудностей.
2
AUX. Ещё один способ получить доступ к CLI – установить dial-up соединение, используя модем,
подключенный к AUX порту маршрутизатора. Этот способ похож на консольный тем, что нет
необходимости в предварительном конфигурировании сетевых служб маршрутизатора. Доступ через
AUX порт может быть осуществлён и локально, прямым подключением с использованием эмулятора
терминала. Однако, не каждый маршрутизатор имеет AUX порт, в то время, как наличие консольного
порта является обязательным. Из этих двух портов предпочтительнее всё же использовать консольный,
из-за того, что становятся доступными различные диагностические сообщения, появляющиеся во
время загрузки устройства. Фактически, единственный случай, при котором использование AUX
порта оправдано, это невозможность по каким-либо причинам использовать консольный порт,
например, если неизвестны параметры консольного соединения.
3
-
Рис. 5 – Пример командной строки при работе с коммутатором
Router>enable
Никаких аргументов эта команда не имеет. После её выполнения приглашение командной строки
выглядит так:
Router#
Router>enable
Password:
Router#
Router#disable
Router
4
Рис.7 - Примеры режимов конфигурации коммутатора
Назначение имени устройству. Каждому устройству Cisco можно дать имя, используя
командную строку Cisco IOS. По умолчанию маршрутизатор имеет имя Router, а коммутатор – Switch.
Рекомендуется назначить каждому устройству своё имя, во избежание путаницы, которая неминуемо
возникнет, если много устройств будет иметь одинаковые имена. Имя устройства отображается в
командной строке. Когда вы пытаетесь получить доступ, скажем, к маршрутизатору по Telnet или SSH,
как определить, на то ли устройство вы попали, если имя этого маршрутизатора может совпадать с
именем другого маршрутизатора? Выбор имён для устройств должен опираться на продуманную
стратегию, иметь определённое соглашение по именованию устройств, это соглашение должно быть
единым во всей организации. Имена устройств чувствительны к регистру символов и подчиняются
следующим правилам:
• Должны начинаться с буквы;
• Не должны содержать пробелов;
• Должны заканчиваться буквой или цифрой;
• Должны состоять только из цифр. букв и тире;
• Длина имени не должна превышать 63 символа.
Имена устройств используются только администраторами для конфигурирования и мониторинга
устройств, сами устройства не используют имена во взаимодействии друг с другом. Давайте в качестве
примера рассмотрим топологию, состоящую из трёх маршрутизаторов, каждый из которых размещён
в своём филиале организации. Чтобы создать соглашение по именованию этих маршрутизаторов,
следует задаться несколькими вопросами:
• Являются ли эти маршрутизаторы частью штаб-квартиры организации?
• Имеют ли эти маршрутизаторы одинаковое или разное назначение?
• Является ли каждый из этих маршрутизаторов начальной или промежуточной точкой
соединения в сети?
В нашем случае каждый маршрутизатор находится в главном офисе организации в разных
городах, соответственно, можно присвоить им такие имена: AtlantaHQ, PhoenixHQ и CorpusHQ. Если
бы каждый машрутизатор был звеном в последовательной цепочке, можно было бы назвать их
следующим образом: AtlantaJunction1, PhoenixJunction2 и CorpusJunction3. В сетевой документации
необходимо указать имена, данные устройствам с указанием причины, по которой то или иное имя
5
было выбрано. Это поможет впоследствии придерживаться соглашения об именовании устройств.
Следующим шагом станет присвоение имён маршрутизаторам. Назначим имя маршрутизатору в
Атланте:
Router#configure terminal
Router(config)#
Router(config)#hostname AtlantaHQ
AtlantaHQ(config)#
Обратите внимание, что только что присвоенное имя маршрутизатора появилось в приглашении
командной строки. После смены имени сведения об этом нужно внести в сетевую документацию.
Каждое из устройств должно идентифицироваться в журнале по его имени, адресу, предназначению и
местоположению. Для отмены назначения имени (возврата к значению по умолчанию) можно дать
команду no hostname:
AtlantaHQ(config)#no hostname
Router(config)#
6
Рекомендуется в целях безопасности использовать разные пароли на разных уровнях доступа.
При установке пароля необходимо обеспечить высокий уровень сложности пароля, опираясь на
следующие рекомендации:
• Используйте пароли длиной не менее, чем восемь символов;
• Используйте комбинацию цифр и символов в высоком и низком регистре;
• Избегайте использования одинаковых паролей на разных устройствах;
• Избегайте использования слов типа «password» и «administrator», такие «пароли» легко
угадываются.
Если у злоумышленника есть физический доступ к устройству (что само по себе уже плохо), ему
не составит труда подключиться к нему через консоль, просто вставив кабель в порт. Исходя из этого,
такой доступ должен быть ограничен паролем. Назначим такой пароль коммутатору:
Switch(config)#line console 0
Switch(config-line)#password password
Switch(config-line)#login
Команда line console 0 даётся из режима global config, «0» означает первый (а зачастую и
единственный) консольный интерфейс. Команда password password определяет пароль, а команда login
заставляет IOS потребовать аутентификацию. При удачном завершении аутентификации появляется
приглашение командной строки. Обратите внимание, что при вводе пароля его символы не
отображаются.
7
Switch>
Пароль на доступ к устройству через Telnet устанавливается с помощью команды line vty. Многие
устройства Cisco по умолчанию поддерживают пять Telnet-линий с номерами от 0 до 4. Можно
установить пароль для отдельных линий, а можно на все сразу:
Router(config)#line vty 0 4
Router(config-line)#password password
Router(config-line)#login
По умолчанию IOS включает команду login. Это предотвращает доступ через Telnet без
предварительной аутентификации. Команда no login, введённая по ошибке, отменяет обязательную
аутентификацию, в результате чего злоумышленник может получить доступ к устройству.
Установленные пароли на доступ через консоль или через Telnet в открытом виде отображаются
в конфигурационных файлах. Для дополнительной защиты можно зашифровать эти пароли командой
service password encryption. После введения этой команды пароли будут отображаться в running-config
и startup-config в зашифрованном виде. После того как шифрование установлено, дешифрация
невозможна, даже если дать команду no service password-encryption.
Одновременно с требованием аутентификации необходим способ задекларировать
авторизованный доступ, чтобы предупредить потенциального злоумышленника о возможном
судебном преследовании за взлом системы. Для этой цели предназначены баннеры. Ниже приведены
примеры баннеров, точное их содержание зависит от многих вещей, в частности, от корпоративной
политики:
• «Use of the device is specifically for authorized personnel»;
• «Activity may be monitored»;
• «Legal action will be pursued for any unauthorized use»
Так как баннеры можно увидеть каждый, кто пытается войти в систему, сообщение должно быть
сформулировано очень осторожно. Любая формулировка, включающая в себя такие выражения как
«Добро пожаловать» или «Входите» являются нецелесообразной. С таким приглашением трудно будет
привлечь к ответственности человека, взломавшего пароль и получившего несанкционированный
8
доступ к устройству. Наоборот, баннер должен всячески подчёркивать, что только авторизованный
персонал может здесь находиться. Существует несколько типов баннеров, самым распространённым
является баннер MOTD (message of the day). Этот тип баннера отображается на всех подключенных
терминалах. Чтобы сконфигурировать баннер из global conffig введите команду
9
Рис. 12 - Конфигурирование интерфейсов
11
Рис.15 - Описание интерфейса
12
Рис. 16 - Конфигурирование коммутатора
13
Cisco предлагает все операции по обнаружению неисправности сети проводить в следующем
порядке:
1. Протестировать работоспособность стека командой
C:\>ping 127.0.0.1.
Получение ответа свидетельствует о корректной работе стека.
2. Проверить работоспособность локального интерфейса маршрутизатора. Наиболее часто
используемой для этого командой является
show ip interface brief.
Особое внимание нужно обратить на наличие IP-адреса и на состояние интерфейса – если в поле
Status стоит up, то интерфейс работоспособен на физическом уровне, если в поле Protocol стоит up, –
интерфейс работоспособен на канальном уровне. Соответственно, значение down в этих полях говорит
о наличии проблем. Ещё одно возможное значение – administratively down. Интерфейс выключен
административно, т. е. или дана команда shutdown, или наоборот, не дана команда no shutdown.
Ещё одна полезная команда – traceroute. С её помощью можно просмотреть маршрут, которым
проходит пакет на пути к получателю, эта команда также может использоваться для тестирования
связности сети. Аналогичным способом проверяется состояние интерфейсов коммутатора, за тем
отличием, что IP-адрес назначается VLAN интерфейсу.
3. Следующий шаг – проверка локального интерфейса станции командой ping ip address . Так
можно определить, готов ли сетевой интерфейс к передаче сигналов.
Например, C:\>ping 10.0.0.5.
Если ответа нет, это говорит о возможных проблемах с сетевым адаптером или его драйвером.
4. Далее можно проверить достижимость узлов в локальной сети. В случае неисправности могут
быть получены уведомления о недостижимости получателя или о истёкшем времени ожидания пакета.
IOS предоставляет интересную возможность использования команды ping – так называемый extended
ping. Чтобы воспользоваться этой возможностью введите команду ping без параметров из privileged
EXEC, IOS предложит вам диалоговый режим, в котором вы сможете задать желаемые параметры.
Нажимая <Enter>, вы принимает параметры, которые предлагает IOS:
Router#ping
Protocol [ip]:
Target IP address:10.0.0.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:5
Extended commands [n]: n
Можно увеличить период ожидания ответа, чтобы обнаружить увеличившиеся задержки в сети,
или увеличить количество отправляемых пакетов. Если в поле Extended commands ввести «y», будет
предложено ещё большее число полезных опций.
5. Следующий шаг – проверка наличия и достижимости шлюза по умолчанию. Команда ipconfig
покажет вам, назначен ли для станции шлюз, а команда ping проверит его достижимость. Для
маршрутизатора также возможно назначить маршрут по умолчанию, просмотреть о нём сведения
можно командой show ip route. Необходимо, чтобы интерфейс следующего маршрутизатора (next hop)
был доступен, иначе маршрутизатор будет отбрасывать пакеты. В случае отрицательного ответа
возможны проблемы либо с конфигурацией маршрутизатора, либо с оборудованием. Можно
проверить, правильный ли адрес установлен в качестве шлюза, и достаточно ли надёжно подключена
кабельная система.
6. На следующем шаге необходимо проверить достижимость удалённой станции. Можно
попытаться пропинговать последовательно каждый интерфейс каждого маршрутизатора на пути к
14
удалённой станции, а в завершение и саму удалённую станцию. Таким образом существующую
проблему можно изолировать и принять меры к её исправлению.
7. Затем полезно произвести трассировку маршрута, на рабочей станции под управлением
Windows для этого служит утилита tracert, на маршрутизаторе Cisco – команда traceroute. В случае
получения негативного результата, можно определить, какой маршрутизатор последним смог
отправить ответ и выяснить, находится ли корень проблемы в локальной сети или за её пределами.
Выполнение:
Приобретаемые навыки в работе с оборудованием Cisco:
Изменение имени оборудования (hostname);
Вход в привилегированный режим (enable);
Вход в режим конфигурации настроек (configure terminal);
Вход в режим конфигурирования линий (консоль, терминальные подключения) (line?);
Вход в режим конфигурирования интерфейсов виртуальный сетей (interface VLAN ?);
Задание пароля для перехода в привилегированный режим (enable secret?);
Задание ip-адреса для интерфейса виртуальной сети коммутатором (ip address ?);
Сохранение текущей конфигурации (copy running-config startup-config);
Просмотр текущей работающей конфигурации (show running-config);
Просмотр сохраненной конфигурации (show startup-config);
Настройка ip-адресов персональных компьютеров (winipcfg, ipconfig ?);
Выявление достижимости персональных компьютеров и коммутаторов в сети (ping?);
Просмотр записей arp-таблицы персональных компьютеров (arp).
15
Switch1
PC1 PC4
Switch2 Switch3
PC3
PC2
16