6844

Основы настройки сетевых устройств CISCO

Лабораторная работа

Информатика, кибернетика и программирование

Основы настройки сетевых устройств CISCO Цель работы: познакомиться с устройством маршрутизаторов, основами операционной системы IOS, протоколами маршрутизации и списками контроля доступа. План работы: Настройте адреса всех сетевых интерфейсов...

Русский

2013-01-08

145.5 KB

54 чел.

Основы настройки сетевых устройств CISCO

Цель работы: познакомиться с устройством маршрутизаторов, основами операционной системы IOS, протоколами маршрутизации и списками контроля доступа.

План работы:

  1.  Настройте адреса всех сетевых интерфейсов в заданной топологии (для последовательных интерфейсов задайте clock rate). Активируйте сетевые интерфейсы.
  2.  Проверьте достижимость соседних устройств.
  3.  Настройте маршрутизацию согласно индивидуальному заданию.
  4.  Проверьте достижимость всех сетевых адресов топологии.
  5.  Настройте контроль доступа согласно индивидуальному заданию и проверьте его работу.
  6.  Задайте пароли доступа к консольным и сетевым портам, а также для привилегированного режима. Сохраните настройки маршрутизаторов.

Топология

1. Назначение и устройство маршрутизаторов

По сути своей маршрутизатор – это специализированный компьютер, предназначенный для передачи данных между несколькими интерфейсами к которым могут быть подключены  как локальные сети (возможно, использующие различные технологии) так и каналы распределенных сетей (в основном это соединения точка-точка). Как и обычный персональный компьютер, маршрутизатор имеет системную плату, процессор, оперативную память (RAM). Вместо жесткого диска, операционная система (IOS) и файлы конфигурации хранятся на энергонезависимой flash-памяти.

Маршрутизаторы имеют порты для подключения к локальным сетям (Ethernet) и распределенным сетям (последовательные интерфейсы), а также консольный порт (для непосредственного подключения персонального компьютера через последовательный порт).

Именно через консольный порт осуществляется начальная настройка маршрутизатора (консольный порт может использоваться для конфигурации только физически доступного устройства). Когда маршрутизатор уже подключен в сеть и настроен сетевой интерфейс, для удаленного конфигурирования используются протоколы telnet или ssh.

*Параметры консольного подключения: 9600baud, 8data, no parity, 1 stop bit, no flow control.

В маршрутизаторах CISCO используется специализированная операционная система (IOS – Internetworking Operational System). Основной способ настройки IOS – интерфейс командной строки (CLI – Command Line Interface). В IOS существует несколько уровней привилегий команд – zero, user, enable. На каждом уровне доступны разные наборы команд. Чтобы перейти на user- уровень и, затем, на enable- уровень возможно потребуется указать отдельные пароли. (Традицией стало использование в учебных материалах паролей cisco и class. Некоторые системные администраторы являются хранителями сей доброй традицииJ.

Текущий уровень полномочий можно отличить по приглашению командной строки.

>//промт для user-режима

>enable // переход в привилегированный режим

# // «приглашение» enable-режима

Именно на enable- уровне доступны все команды тестирования и диагностики (команды show, ping и traceroute).

Из enable-уровня можно перейти в общий режим конфигрурирования,

#configure terminal

из которого, в свою очередь,  доступны режимы кофигурирования интерфейсов, протоколов маршрутизации, контроллеров итд. Режимы конфигурирования можно отличить по приглашению CLI (config-if, config-line, config-router). Команда exit позволяет выйти из текущего режима.

*Параметры команд, указанные в треугольных скобках, следует заменять соответствующими значениями. Дополнительные параметры – в квадратных скобках. За “//” следуют комментарии.

2.Настройка IOS

(config)#hostname <Tokyo>

-устанавливает собственное название устройства. Это название появляется в приглашении CLI и служит чтобы отличать настраиваемый маршрутизатор при удаленном администрировании через telnet или ssh. Устройства сети ничего не знают о собственных именах других устройств.

Основная команда получения информации – show. Эта команда имеет множество возможных аргументов. Справочная система IOS позволяет узнать о доступных аргументах и параметрах команд: #show ?  //узнать аргументы команды show

Проверьте следующие команды:

#show version //информация об IOS

#show flash

#show interfaces 

#show protocols

#show running-config //текущая настройка устройства

#show startup-config //команды настройки, хранимые в NVRAM

#show users //подключенные пользователи

#show arp //протокол ARP

#show clock 

Настройка сетевых итнерфейсов:

Минимальная настройка последовательного интерфейса заключается в назначении ему IP-адреса, указания clock rate для DCE стороны двуточечного канала и активации интерфейса.

#interface Serial 0/0 //переход в режим конфигурирования интерфейса

(config-if)#ip address <ip> <mask>

(config-if)#clock rate <56000…4000000>

//clock rate задается только одной из сторон последовательного соединения (DCE)

(config-if)#<no> shutdown //включить или выключить интерфейс

(config-if)#exit //выйти из режима конфигурирования интерфейса

#

Аналогично (за исключением clock rate) конфигурируются LAN- интерфейсы:

#interface FastEthernet 0/1  //переход в режим конфигурирования интерфейса

(config-if)#ip address <ip> <mask>

(config-if)#no shutdown

(config-if)#description <описание интерфейса>

Отменить настроенный IP-адрес интерфейса: (config-if)#no ip address

Все выполненные в CLI команды влияют только на текущую работу маршрутизатора. При перезагрузке применяются настройки, сохраненные в NVRAM.

#copy running-config startup-config //сохранить текущее состояние настройки в NVRAM

#erase startup-config //удалить команды конфигурации, хранящиеся в NVRAM

#reload //перезагрузка. Будут применены настройки из NVRAM

Также команды настройки могут быть cохранены на TFTP сервере и наоборот.

#copy running-config tftp

#copy tftp running-config

Для удобства, с IP-адресом любого хоста может быть связано символьное имя, которое будет использоваться как синоним адреса при конфигурировании, что сделает настройку более наглядной. Данное имя не связано с именами DNS.

(config)#ip host <Alabama> <ip> // добавляет запись в таблицу имен хостов.

#show hosts //просмотр локальной таблицы имен хостов

Чтобы защитить линии доступа, следует задать пароли для консольного и telnet-подключения.

(config)#line console 0

(config-line)#password <пароль>

(config-line)#login //разрешить доступ

(config-line)#exit

(config)#line vty 0 4

(config-line)#password <пароль>

(config-line)#login //разрешить доступ

(config-line)#exit

Задать пароль привилегированного режима:

(config)#enable secret <пароль>

3. Настройка маршрутизации

Принцип работы протоколов маршрутизации вектора расстояния и состояния каналов накладывает свой отпечаток на логику их настройки. Для DVA протоколов указываются адреса (диапазоны адресов) сетевых интерфейсов, через которые маршрутизатор будет рассылать свою маршрутную таблицу, в то время как при настройке LSA протоколов указываются адреса сетей (интерфейсов), о состоянии которых маршрутизатор будет сообщать другим участвующим в процессе маршрутизаторам. Для настройки некоторого протокола маршрутизации следует перейти в режим его настройки и указать адреса сетей (интерфейсов) участвующих в процессе маршрутизации.

Протокол RIP

(config)#router rip //режим настройки протокола RIP

(config)#no router rip //отключить RIP

(config-router)#network <network-IP>

Команда network указывает, какие сети включать в процесс маршрутизации и рассылать маршрутные таблицы.

(config-router)#version 2 //использовать RIPv2

#show ip rip database //просмотр информации RIP

Протокол EIGRP

(config)#router eigrp <as-number> //запустить EIGRP и указать “номер автономной системы”

Чтобы маршрутизаторы смогли обмениваться EIGRP сообщениями, “номера автономных систем” у них должны совпадать.

Информцию о каких сетях сообщать по EIGRP другим маршрутизаторам и через какие интерфейсы обмениваться сообщениями EIGRP (список сетей для EIGRP процесса):

(config-router)#network <network-IP> [<wildcard>]

wildcard” - величина, инверсная маске сети.

(config-if)#bandwidth <kilobits> //ПС канала связи, используемая при вычислении метрики

(config-if)#ip hello-interval eigrp <as-number> <seconds> //интервал рассылки hello-сообщений в секундах

(config-if)#ip hold-time eigrp <as-number> <seconds> //интервал ожидания hello-сообщений в секундах

#show ip eigrp neighbors //информация о EIGRP-соседях

#show ip eigrp topology //информация о EIGRP-топологии

#show ip eigrp topology all-links

Протокол OSPF

(config)#router ospf <process-is> //запустить OSPF-процесс и указать его идентификатор (идентификатор имеет локальное для маршрутиазтора значение т.е. номера процессов у взаимодействующих маршрутизаторов могут различаться).

Указать сети для OSPF-процесса:

(config-router)#network <network-IP> <wildcard> area <area-id>

Протокол OSPF разработан как иерархический протокол маршрутизации, позволяющий обслуживать несколько областей маршрутизации, взаимодействующих между собой через “нулевую” область. Если OSPF используется в отдельно взятой области, то area-id такой области должно быть равным нулю.

(config-if)#bandwidth <kilobits> //ПС канала связи, используемая при вычислении метрики

Метрика канала связи может быть также задана в явном виде:

(config-if)#ip ospf cost <metric> //metric=100000/bandwidth

При необходимости возможно настраивать интервалы рассылки и ожидания hello-сообщений:

(config-if)#ip ospf hello-interval <seconds>

(config-if)#ip ospf dead-interval <seconds>

Данные таймеры у взаимодействующих по OSPF маршрутизаторов должны совпадать.

Информация OSPF:

#show ip ospf

#show ip ospf neighbor

#show ip ospf interface

#show ip ospf process

Помимо динамических маршрутов (получаемых от других маршрутизаторов), могут быть настроены статические маршруты:

(config)#ip route <адрес_назначения> <маска> <outbond-interface>

(config)#ip route <адрес_назначения> <маска> <Next-Hop-IP> [<AD>]

Статический маршрут может указывать как некоторый выходной интерфейс, так и IP-адрес следующего маршрутизатора.

(config)#ip route 0.0.0.0 0.0.0.0 <Next-Hop-IP|outbond-interface> //маршрут по умолчанию

Чтобы отменить статический маршрут – выполните соответствующую команду с приставкой no

#show ip route

//просмотр всех известных данному устройству маршрутов

4. Проверка и диагностика маршрутиазтора

Протокол CDP (CISCO Discovery Protocol) предназначен для обнаружения непосредственно подключенных на канальном уровне устройств CISCO и получение информации о них.

#show cdp neighbors

#show cdp neighbors detail

(config-if)#cdp run

(config-if)#cdp enable

#show cdp entry

#show cdp interface

#show cdp traffic

#debug cdp

Проверьте следующие команды:

#show interfaces [<name>]

#show ip interface

#show ip interface brief

#show ip protocols

#show ip route

#show controllers [serial]

Для диагностики работы маршрутизатора используется множество команд debug.

Например, для протокола RIP:

#debug ip rip [events] //вывод всей отладочной информации протокола RIP

Следует учитывать, что режим отладки создает значительную нагрузку на процессор устройства и каналы связи.

Отключить отладку:

#no debug rip

или

#undebug all

Пример настройки маршрутизатора:

//хранить пароли в зашифрованном виде

service password-encryption

!

//собственное имя маршрутизатора

hostname r1

!

//пароль и стойкий пароль для входа в привилегированный режим

//если задан secret password, то ои и используется

enable secret 5 $1$bXi2$4XbBwkFTmT2Aa6i4VpiQ6.

enable password 7 1511070D1739

!

ip subnet-zero

//синонимы для некоторых ip адресов

ip host r2 172.16.1.2

ip host r3 172.16.1.3

ip host r4 172.16.1.4

ip host r5 172.16.1.5

!

//настройка интерфейсов

!

interface Loopback0

ip address 172.16.1.1 255.255.255.255

no ip directed-broadcast

!

interface Ethernet0

ip address 192.168.200.1 255.255.255.240

!

interface Serial0

ip address 192.168.100.1 255.255.255.252

!

interface Serial1

ip address 192.168.100.5 255.255.255.252

clockrate 4000000

!

//настройка протоколов маршрутизации

router ospf 1

 network 172.16.1.1 0.0.0.0 area 0

network 192.168.100.0 0.0.0.3 area 0

network 192.168.100.4 0.0.0.3 area 0

network 192.168.200.0 0.0.0.255 area 0

!

router igrp 20

redistribute connected

redistribute static

network 192.168.100.0

network 192.168.200.0

!

router eigrp 1

network 172.16.1.2 0.0.0.0

network 192.168.100.12 0.0.0.3

network 192.168.200.0

neighbor 192.168.100.14

no auto-summary

!

//настройка консольного порта

line con 0

 password 7 0307570A151C

login

!

line aux 0

!

//настройка виртуального (сетевого) порта для telnet-доступа

line vty 0 4

password 7 0205085A1815

login

!

end

Фильтрация сетевого трафика. Списки контроля доступа в CISCO IOS

В общем случае правила фильтрации могут использовать любые данные заголовков IP (IP-адреса источника и получателя), ICMP (type и code), UDP (порт - источник и порт – получатель), TCP (порт – источник, порт-получатель, флаги), MAC (MAC- адрес источников). Кроме того, правила фильтрации учитывают входной и выходной интерфейс обрабатываемого пакета.

Если обрабатываемый пакет удовлетворяет правилу фильтрации, к нему применяется «действие» (передать пакет дальше, сбросить пакет, сбросить пакет и направить источнику пакета icmp-сообщение, записать пакет в Log). Политика фильтрации трафика может иметь строгий (запрещено все, что не разрешено явно) или не строгий характер (разрешено все, что явно не запрещено).

IOS ACL (Access Control List) могут применяться для задач классификации потоков (выделение  потоков трафика, удовлетворяющих определенным признакам). В частности, для фильтрации или ограничения трафика, ограничения доступа к VTY портам итд. ACL имеет вид:

access-list <ACL_#> {permit | deny} <protocol> <source><src-wildcard> [<operator> <port>]

<destination> <dst-wildcard> [<operator> <port>] [established] [log]

Для некоторых задач могут использоваться «простые ACL», позволяющие фильтровать потоки трафика только по адресу источника:   access-list <ACL_#> {permit | deny | remark} <source> [wildcard]

  •  <acl#> - номер ACL. Номера 100..199, 2000..2699 используются для «расширенных» ACL.

(номера 1..99,1300..1999 закреплены за «стандартными» ACL, имеющими значительно меньше параметров).

  •  [proto]=ip | tcp | udp | icmp - символы, определяющие протокол
  •  Вместо адресов источника и получателя могут использоваться следующие символы:

«any»  эквивалентно 0.0.0.0 255.255.255.255

«host *.*.*.*» эквивалентно *.*.*.* 0.0.0.0 (указывается только ip-адрес хоста).

  •  [operator] = eq | neq | gt | lt | range – условие фильтрации по номерам портов.
  •  Правила с параметром «established» применяются только к пакетам уже установленного ТСР – соединения, т.е. ко всем пакетам соединения, кроме пакетов с флагом «SYN».

Часто используемые сетевые порты:

FTP

TCP 20, 21

UUCP

TCP 540

SSH

TCP 22

RTCP

TCP 554

Telnet

TCP 23

MS Exchange

TCP 691

SMTP

TCP 25

MS SQL

TCP 1433, 1434

DNS

TCP,UDP 53

RADIUS

TCP 1645

DHCP

UDP 67,68

L2TP

TCP 1701

TFTP

UDP 69

MS PPTP

TCP 1723

HTTP

TCP 80, 8080

RADIUS

TCP 1812, 1813

Kerberos

TCP 88

NFS

TCP 2049

POP3

TCP 110

Oracle DB

TCP 2483, 2484

NNTP (Usenet)

TCP 119

HTTP Proxy

TCP 3128

NTP

UDP 123

MySQL

TCP 3306

Microsoft RPC

135

Terminal Server

TCP 3389

Службы Windows

135..139

RTP

TCP 5004, 5005

NETBIOS

TCP 137

SIP

5060

SNMP

UDP 161,162

PostgreSQL

TCP 5432

LDAP

TCP 389

X.Window

7000…7010

HTTPS

TCP 443

HTTP Proxy

TCP 8080

Microsoft DS

TCP 445

Webmin

TCP 10000

Kerberos

TCP 464

NetBus

TCP 12345

IKE (ISAKMP)

UDP 500

HalfLife

27015

SYSLOG

UDP 514

BackOrifice

31337

Может быть назначен только один ACL на один интерфейс/один протокол/в одном направлении (in или out).

Правила в списке контроля доступа просматриваются в порядке их следования, поэтому правила фильтрации следует вводить от частных к общим. После того, как будет найдено правило, удовлетворяющее рассматриваемому пакету, к данному пакету применяется соответствующее «действие» и последующие правила не рассматриваются.

Нельзя выборочно удалить одно из правил нумерованного ACL, а только лишь ACL в целом:

#no access-list <acl#>

В конце каждого ACL неявно предполагается правило «deny ip any any», запрещающее весь остальной трафик.

При необходимости изменить действие «по умолчанию» последнее правило в ACL должно быть «permit ip any any».

После задания ACL его следует применить к интерфейсу (или нескольким интерфейсам):

(config-if)#<proto> acess-group <acl#> [in | out]

Пример :

В данной топологии

требуется разработать правила фильтрации,

-разрешающие ping внешней (192.168.0.0) сети;

-запрещающие хосту 192.168.200.19 доступ во внешнюю сеть;

-разрешающие хостам внутренней сети www доступ во внешнюю сеть;

-разрешающие внешний доступ к web-серверу 192.168.0.7;

-запрещающие доступ к остальным web-серверам;

Решение:

interface FastEthernet0/0

ip address 192.168.200.1 255.255.255.0

ip access-group 101 in

no shutdown

interface FastEthernet0/1

ip address 192.168.0.100 255.255.255.0

ip access-group 105 in

no shutdown

access-list 101 permit icmp any any echo //1

access-list 101 deny ip host 192.168.200.19 any  //2

access-list 101 permit tcp any any eq www //3

access-list 101 permit tcp host 192.168.200.7 eq www any established //4 (реверсное к правилу 6)

access-list 105 permit icmp any any echo-reply //5 (реверсное к правилу 1)

access-list 105 permit tcp any host 192.168.200.7 eq www //6

access-list 105 deny tcp any any eq www //7

access-list 105 permit tcp any eq www any established //8 (реверсное к правилу 3)

*правило 7 в данном случае является избыточным, поскольку по умолчанию в конце каждого ACL применяется неявное «deny ip any any».

Для проверки ACL используются следующие команды:

#show access-list

#show ip interface

Варианты заданий:

  1.  Разрешить ping – трафик во внешнюю сеть.
  2.  Ограничить (запретить) ping-трафик во внутреннюю сеть.
  3.  Запретить доступ к некоторому PC.из внеших сетей.

  1.  Запретить все входящие ТСР- соединения из внешних сетей.
  2.  Запретить Telnet и SSH-трафик во внутреннюю сеть.
  3.  Разрешить доступ к SSH порту некторого хоста внутренней сети.

  1.  Разрешить (запретить) пользователям внутренней сети использование почтовых сервисов SMTP и (или) POP3 на некотором внешнем сервере.
  2.  Разрешить почтовому серверу обмен SMTP-трафиком с внешней сетью.
  3.  Запретить входящий трафик к внутренним почтовым сервисам  SMTP и POP3.

  1.  Разрешить для некторого PC использование только одного web (FTP) - сервера во внешней сети.
  2.  Разрешить всем пользователям внутренней сети использование только web (FTP) - серверов во внешней сети.
  3.  Запретить трафик к определенным внешним серверам.
  4.  Разрешить доступ к внешним web-серверам только через proxy-сервер.
  5.  Запретить внешний трафик к некоторым сервисам во внутренней сети.
  6.  Разрешите для внешних сетей использование web (FTP)-сервера во внутренней сети.

  1.  Разрешить прохождение запросов между DNS-сервером во внутренней сети и внешними DNS-серверами.

Литература:

  1.  Леинванд А., Пински Б. Конфигурирование маршрутизаторов Cisco, 2-е изд. : Пер. с англ. – М. : «Вильямс», 2001. – 368 с.
  2.  Хабракен Д. Как работать с маршрутизаторами Cisco : Пер. с англ. – М. ДМК Пресс, 2005. – 320 с.


 

А также другие работы, которые могут Вас заинтересовать

75577. Визначні та пам’ятні місця США. Узгодження часів в англійській мові 73.5 KB
  Обладнання: підручник географічна карта США граматична таблиця The Sequence of Tenses HO1 Chnge the pronouns nd dverbs H02 Wht do they chnge for H03 Detective Dniels’ Report H04 True or Flse HOs. The def reporter sks Wht did he she sk nd wht did he she sy The student who sked the question reports his her question nd the nswer he she got. Word flshcrds: How old re you Where do you live re you mrried Hve you ever been to Mdrid before Do you like Spnish food re you stying here long Hve you visited Toledo Whos your...
75578. Визначні та пам’ятні місця США 76.5 KB
  By the end of the lesson you should be ble: to recognize understnd nd operte lexicl mteril bout the Gret Lkes the most interesting plce of the US; to identify min ides nd detils from the text for reding...
75579. Національні свята в Україні та США 58.5 KB
  Практикувати учнів в ауДіюванні та читанні текстів з метою отримання загального уявле (skimming) та максимально повного й точного розуміння усієї інформації, що в них міститься (scanning). Підготувати учнів до самостійного усного висловлювання на основі прослуханого та прочиного текстів.
75580. Національні символи. Активізація ЛО теми State Symbols 60.5 KB
  Обладнання: підручник зображення прапорів англомовних країн: Великобританії США Канади Новозеландії та Австралії; Державний прапор і Герб України запис Гімну України його переклад англійською мовою HO1 Mtch the pirs H02 Mtch the country nd description of its Ntionl flg H03. the oldest flg 6. bluendyellow flg 9...
75581. З історії відомих винаходів людства, Числівники, План-конспект уроку з англійської мови для учнів 9-х класів 141.5 KB
  Обладнання: підручник Numbers HO1 Write the numbers s words HO2 ordinl Numbers H03 Clendrrdquo; H04 Look t the picture H05 Frctions nd decimls H06 Circle the letter Н07 автентичний текст Blue Jens Cross out the word HOs. We hve to review the grmmr bout Numbers: crdinl numbers ordinl number; frctions decimls. By the end of the lesson you should be ble: to review nd operte the numbers crdinl ordinl frctions decimls when dcing exercises; to identify min ides nd detils of uthentic text for reding despite the...
75582. Американські індіанці, План-конспект уроку з англійської мови для учнів 9-х класів 61.5 KB
  Обладнання: підручник Mtch the pirs HO1 ngrms H02 карта світу на дошці Put the sentences given below in the correct order H03 автентичний текст для позакласного читання mericn Indins H04. Т: The topic of our todys lesson is: mericn Indins . By the end of the lesson you should be ble: to recognize understnd nd operte lexicl mteril bout Indins; to identify min ides nd detils from the text for reding; to prticipte in common converstionl exchnge on the topic of our...
75583. День Незалежності США, План-конспект уроку з англійської мови для учнів 9-х класів 57 KB
  Т: We re going to tlk bout the Independence Dy of US. By the end of the lesson you should be ble: to identify min ides nd detils from the uthentic text for reding despite the nturl difficulties; to tlk bout the celebrtion of the Independence Dy in US; to conduct your own dilogues using the given ones s model...
75584. Риси характеру американців, План-конспект уроку з англійської мови для учнів 9-х класів 57 KB
  Т: Tody we re going to tlk bout the min fetures of chrcter of mericn pec By the end of the lesson you should be ble: to identify min ides nd detils from the text for reding; to tlk bout the min fetures of chrcter of mericn people; to conduct your own dilogues using the given ones s model. Т: Wht do you know bout culture shock When people trvel to other countries they find tht mny things re different from their own country the wether the food the greetings gestures of people their behviour lifestyle nd so on. Often it upsets people nd...
75585. Традиційна американська їжа. Активізація ЛО теми «їжа» 78 KB
  Практикувати учнів у читанні тексту і в аудіюванні автентичного тексту з метою отримання загального уявлення та з метою точного та повного розуміння усієї інформації, що в ньому міститься, незважаючи на мовні труднощі.