3.7 Деякі команди початкового конфігурування та моніторингу роботи маршрутизатора та комутатора

Перш за все варто зазначити, що під час виконання деяких команд IOS видає певні повідомлення. Такі повідомлення можуть вставлятись усередину команд, що набирає мережевий адміністратор. Хоча це не приводить до необхідності нового набирання цих відповідних команд і операційна система їх правильно розуміє – це може спричиняти деякий дискомфорт адміністратору. Для виправлення такої ситуації доцільно скористатись командою logging synchronous:


Router(config)#line console 0
Router(config-line)#logging synchronous
Router(config-line)#line vty 0 4
Router(config-line)#logging synchronous

Тепер, під час консольної- або VTY-сесії команди адміністратора не будуть розриватися системними повідомленнями.

Настроювання імені – це одна з перших команд, яку слід виконати на маршрутизаторі або комутаторі. Ім’я повинно говорити адміністратору про місцезнаходження та функції даного пристрою. Адже адміністратор, як правило, має справу з багатьма маршрутизаторами, комутаторами тощо і для їх настроювання (тим більше за допомогою SSH-сесій), адміністратору необхідно орієнту-ватись на якому пристрої він знаходиться. Задання імені виконується в глобальному режимі:


Router(config)#hostname Rt1_VNTU
Rt1_VNTU(config)#

Настроювання паролів. Паролі використовуються для захисту від несанкціонованого доступу. Паролем можна захистити доступ до:

• консолі. Встановлення пароля для консолі виконується за допомо-гою команд


Router(config)#line console 0
Router(config-line)#password
Router(config-line)#login

• віртуальної лінії терміналу (virtual terminal – VTY). Telnet-доступ. Одночасно може бути встановлено кілька Telnet-сеансів. Для кожної лінії пароль можна встановити індивідуально, а можна один для всіх ліній. Встановлення пароля виконується за допомогою команд


Router(config)# line vty 0 4
Router(config-line)# password
Router(config-line)# login

• привілейованого режиму роботи. Для обмеження доступу до привілейованого режиму слід ввести команду


Router(config)# enable secret .

Для збереження пароля тут використовується одностороннє шифру-вання за алгоритмом MD5, що унеможливлює відновлення пароля. Якщо дана команда не підтримується можна скористатись командою


Router(config)# enable password ,

але в такому випадку пароль буде зберігатись в конфігураційних файлах у незашифрованому вигляді. Для заборони відображення пароля у відкритому вигляді можна скористатись командою


Router(config)# service password-encryption.

В такому випадку будуть шифруватися усі паролі (крім пароля заданого за командою enable secret), але рівень захисту інформації тут невисо-кий.

Для відмінення шифрування усіх паролів використовується команда


Router(config)#no service password-encryption.

Настроювання послідовних інтерфейсів (виконується для маршрутизатора) передбачає виконання таких кроків:

• увійти в режим глобального конфігурування;

• увійти в режим настроювання потрібного інтерфейсу.

Формат команди може бути


Router(config)# interface type port,
Router(config)# interface type slot/port,
Router(config)# interface type slot/subslot/port,

де interface – це тип інтерфейсу (наприклад Serial, FastEthernet, GigabitEthernet, Loopback тощо); port, subslot, slot – номери порту, слота та підлота, відповідно;

• задати ІР-адресу інтерфейсу та маску під мережі;

• вказати смугу пропускання каналу (необов’язково);

• встановити частоту синхроімпульсів для DCE (за замовчуванням маршрутизатори функціонують як DTE, але можуть бути налаштовані і як DCE);

• навести опис інтерфейсу – для того, щоб адміністратор міг згадати якусь важливу інформацію про цей інтерфейс. Опис доцільно створювати відповідно спеціальному формату (наприклад, призначення та розміщення інтерфейсу, опис пристроїв, що під’єднані до нього, тощо);

• увімкнути інтерфейс.

Команди, що відповідають даним крокам наведено нижче


Router# configure terminal
Router(config)# interface serial 0/0/1
Router(config-if)# ip address
Router(config-if)# bandwidth 56
Router(config-if)# clockrate 56000
Router(config-if)# description interface ftom InITKI
Router(config-if)# no shutdown

Стандартно усі інтерфейси маршрутизатора вимкнені. Для увімкнення інтерфейсу маршрутизатора або комутатора використовують команду no shutdown, а для їх вимкнення – shutdown.

Настроювання Ethernet-інтерфейсів

Для маршрутизатора таке настроювання виконується аналогічно настроюванню його послідовних інтерфейсів, за виключенням того, що четвертий і п’ятий кроки виконувати не потрібно.

Для комутатора настроювання Ethernet-інтерфейсів дещо інше. Порти FastEthernet комутатора за замовчуванням встановлені в режим автоматичного визначення швидкості передавання і дуплексний режим. Це дозволяє інтерфейсум пристроїв, що беруть участь у сеансі зв’язку, змінювати ці установки. Якщо адміністратору треба бути впевненим в тому, що даний інтерфейс має конкретну швидкість передавання та дуплексний або півдуплексний режим, то ці значення слід встановити вручну, як показано на прикладі 3.3.


Switch(config)# interface FastEthernet0/2
Switch(config-if)# duplex full
Switch(config-if)# speed 100

Приклад 3.3 – Встановлення швидкості та режиму передаван-ня портів комутатора

Іншою корисною функцією, яка може бути встановлена на порту, є опція portfast. Якщо порт комутатора приєднаний тільки до станцій кінцевого користувача (тобто не приєднаний до іншого комутатора), то на ньому слід встановити функцію portfast за допомогою команди

Switch# set spantree portfast 4/1 enable.

В такому випадку при першому використанні порту він автоматично переходить із заблокованого стану в стан пересилання.

Настроювання Loopback-інтерфейсів

Іноді трапляються випадки, коли виникає необхідність проемулюва-ти з’єднання котрого в даний момент фізично не існує (наприклад, в майбутньому планується під’єднатись до провайдера, до іншої організації тощо). Для цього на маршрутизаторі можна настроїти Loopback-інтерфейс, задавши йому потрібну ІР-адресу та маску:


Router(config)# interface loopback number
Router(config-if)# ip address
Router(config-if)# description My virtul interface
Router(config-if)# no shutdown

Настроювання банерів

Банером називається повідомлення, що відображається під час входу до системи. Таке повідомлення (його ще називають повідомленням дня – Message Of The Day – MOTD) можна використовувати для передавання деякої інформації до всіх користувачів мережі. Наприклад, часто таке повідомлення попереджає користувачів про те, що вхід в систему заборонено для неавторизованих користувачів. Для задання повідомлення дня використовують команду banner motd, після якої наводять потрібний текст, виділений символами „#”, як показано на прикладі 3.4.


Router(config)# banner motd #
Enter TEXT message. End with the character '#'.
******************************************
WARNING!! Unauthorized Access Prohibited!!
******************************************#

Приклад 3.4 – Настроювання повідомлення дня

Настроювання Telnet- та SSH-доступу

Насамперед зазначимо, що вказати потрібний метод доступу: або telnet, або SSH, або telnet і SSH можна так:


Router(config)# line vty 0 4
Router(config-line)# transport input ,

а для вибору однієї з вищевказаних трьох альтернатив значення аргументу mode буде telnet, ssh та all, відповідно.

Telnet-доступ

Для маршрутизатора, як вказувалось вище, для отримання Telnet-доступу достатньо встановити пароль на VTY-доступ і задати ІР-адресу і маску підмережі відповідному інтерфейсу [4].

Для комутатора організація Telnet-доступу передбачає призначення йому IP-адреси і задання шлюзу за замовчуванням. На прикладі 3.5 показано як це зробити для комутаторів моделей Catalyst 2950. За замовчуванням мережа VLAN 1 є віртуальною мережею керування. У мережі, побудованій на комутаторах, усі пристрої об’єднаної мережі повинні знаходитись в мережі керування VLAN. Це дозволяє з однієї робочої станції отримувати доступ до всіх пристроїв об’єднаної мережі, конфігурувати та керувати ними.


Switch(config)# interface VLAN1
Switch(config-if)# ip address 192.168.1.2 255.255.255.0
Switch(config)# ip default gateway 192.168.1.1

Приклад 3.5 – Призначення комутатору IP-адреси і шлюзу за замовчуванням

SSH-доступ

SSH-доступ також передбачає наявність SSH-клієнта та SSH-сервера. Для реалізації такого доступу слід згенерувати ключі RSA (Rivest, Shamir, Adleman encryption). RSA передбачає використання загальнодоступного ключа (public key), який зберігається на загальнодоступному RSA-сервері та приватного ключа (private key), який знають лише відправник та отримувач. Загальний ключ може бути відомий кожному і використовується для шифрування повідомлень. Такі зашифровані повідомлення можуть бути дешифровані тільки при використанні приватного ключа.

Вам потрібно згенерувати RSA-ключі, використовуючи команду

crypto key generate rsa

Ця процедура потрібна, якщо Ви конфігуруєте пристрій (наприклад, маршрутизатор) як SSH-сервер. Слід увійти в привілейований режим, призначити пристрою ім’я, вибрати доменне ім’я та згенерувати пару ключів RSA:

Router# configure terminal Router(config)# hostname Rt Rt(config)# ip domain-name my_domain Rt(config)# crypto key generate rsa

У четвертій команді (crypto key generate rsa) Ви дозволяєте SSH-серверу виконувати локальну та віддалену аутентифікацію і генеруєте пару RSA-ключів. Під час генерації цих ключів Ви повинні вибрати їх довжину (Cisco, наприклад, рекомендує вибирати довжину у 1024 біти). Більша довжина хоч і була б безпечніша, але й потребує більше часу на генерування та використання.

Подивитись стан SSH-сервера можна за командою show ip ssh або show ssh. Для вилучення пари ключів RSA, слід ввести команду

Rt(config)# crypto key zeroize rsa,

після якої сервер SSH автоматично вимикається.

Під час конфігурування SSH-доступу можна також вказати:

• використовувану версію SSH (першу або другу) за допомогою команди Rt(config)# ip ssh version , де v_num – номер вер-сії.

Якщо цю команду не ввести – то SSH-сервер вибере найстаршу вер-сію, підтримувану клієнтом (наприклад, якщо клієнт підтримує SSHv1 та SSHv2, сервер вибере SSHv2);

• керувальні параметри SSH: час тайм-ауту (time-out) в секундах з діапазону від 0 до 120 (стандартно 120 секунд) можна вказати за допомогою команди Rt(config)# ip ssh timeout . Цей час відводиться для встановлення з’єднання; максимальну кількість спроб аутентифікації клієнта з діапазону від 0 до 5 (стандартно 3) можна вказати за допомогою команди Rt(config)#ip ssh authentication-retries .

Робота з таблицею МАС-адрес (для комутаторів)

Комутатори дізнаються про МАС-адреси комп’ютерів або інших кінцевих пристроїв, приєднаних до їх портів шляхом аналізу адрес дже-рел у фреймах, що надходять на даний порт. Далі ці адреси заносяться в таблицю МАС-адрес комутатора. Для перегляду відомих комутатору адрес необхідно увійти до привілейованого режиму, як показано на прикладі 3.6.


Switch#show mac-address-table
Dynamic Address Count: 2
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 13
Total MAC addresses: 15
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
0010.7a60.ad7e Dynamic 1 FastEthernet0/2
00e0.2917.1884 Dynamic 1 FastEthernet0/5

Приклад 3.6 – Результат виконання команди show mac-address-table

Адреси вивчаються динамічно і комутатор може підтримувати в цілому тисячі МАС-адрес, на кожному порту можуть бути декілька десятків адрес. Для економії пам’яті і оптимального функціонування комутатора іноді виникає необхідність вилучити деякі позиції з таблиці МАС-адрес. Для цього всі позиції таблиці мають часові мітки, які відображають час надходження на порт пакета з даною адресою. Робочі станції можуть бути від’єднані від порту, вимкнуті або перемкнуті на інший порт цього ж або іншого комутатора, можлива заміна карти мережевого інтерфейсу. Це все може призвести до плутанини під час пересилання фреймів. Для уникнення цього комутатор настроєно так, що за відсутності фреймів з раніше записаною адресою протягом певного часу (зазвичай 300 секунд) відповідна МАС-адреса автоматично вилучається з таблиці.

Замість очікування природного застарівання динамічної позиції адреси адміністратор може скористатись для її вилучення командою clear mac-address-table (приклад 3.7).

Позиції МАС-адрес, сконфігуровані адміністратором, можуть бути вилучені аналогічно, що забезпечує миттєве вилучення позицій таблиці з адресами, які стали недійсними.


Switch#clear mac-address-table
Switch#show mac-address-table
Dynamic Address Count: 0
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 13
Total MAC addresses: 14
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port ------------------ ----------- ---- ---------------

Приклад 3.7 – Результат виконання команди clear mac-address-table

Конфігування статичних МАС-адрес

Можлива ситуація, в якій доцільно постійно прив’язати деяку МАС-адресу до конкретного інтерфейсу комутатора. В цьому випадку автоматичного вилучення МАС-адреси після закінчення звичайного терміну збереження адреси не відбудеться.

Постійна адреса може бути прив’язана до інтерфейсу у разі потреби під’єднати сервер або робочу станцію користувача до даного порту за умови що МАС-адреса відома. При цьому також може бути підвищено рівень безпеки. Для встановлення статичної МАС-адреси на інтерфейсі комутатора використовується такий синтаксис команди:


Switch(config)# mac-address-table static mac-address-of-host
interface FastEthernet ethernet-number vlan vlan-name

Наприклад, Switch(config)# mac-address-table static 0а40.4в00.2341 interface FastEthernet0/5 vlan VLAN1

Для вилучення позиції адреси з таблиці використовується ця ж команди з ключовим словом no.

Конфігурування безпеки портів комутатора

Забезпечення безпеки в об’єднаній мережі є важливим завданням адміністратора. Порти комутатора, що відносяться до рівня доступу, внаслідок структурної схеми прокладки кабелів доступні в стінних роз’ємах офісів та інших приміщень і до будь-якого з них можна під’єднатись за допомогою ПК. Вони також є потенційними точками входу в мережу для несанкціонованих користувачів. Комутатори мають функцію надання безпеки портум. Зокрема, можна обмежити кількість адрес, про які можна дізнатися на конкретному інтерфейсі. Під час конфігурування можуть бути задані певні дії, якщо ця кількість перевищена, наприклад, команди


Switch(config)# interface FastEthernet0/1
Switch(config)# port security action shutdown,

призводять до вимкнення відповідного порту, якщо кількість МАС-адрес перевищено). Безпечні МАС-адреси можуть бути встановлені статично, але такий спосіб може виявитись досить складним, крім того велика вірогідність помилок.

Альтернативним підходом є реалізація заходів безпеки для порту на інтерфейсі комутатора. Першою адресою, про яку динамічно дізнається комутатор, стає безпечною. Для зміни типу безпеки на інтерфейсі використовується форма цієї команди з ключовим словом no. Для тестування статусу безпеки на порту використовується команда show port security.

Деякі команди групи show

В операційній системі ряд команд show, які надають статичну інформацію стосовно роботи пристрою [1,2,4]. Наприклад, вони дозволяють отримати інформацію щодо конфігурації, функціонування та статусу частин маршрутизатора або комутатора.

Переглянути список усіх параметрів команди show можна набравши show ?

Деякі параметри команди вказані нижче:

• show arp – відображає ARP таблицю пристрою;

• show startup-config – відображає конфігурацію, що міститься у NVRAM (стартовий файл конфігурації);

• show running-config – відображає конфігурацію, що є у RAM (робочий файл конфігурації);

• show interfaces – відображає статистику про усі інтерфейси пристрою. Якщо треба проглянути статистику щодо конкретного інтерфейсу слід ввести команду show interfaces fastethernet 0/1;

• show ip interface brief – надає стислу інформацію про усі інтерфейси пристрою та їх статус;

• show controllers serial – відображує інформацію про апаратні засоби маршрутизатора;

• show clock – відображає встановлений час;

• show hosts – відображає список керованих імен вузлів та адрес;

• show users – відображає список користувачів, під’єднаних до пристрою;

• show history – відображає список введених команд;

• show flash – відображає інформацію стосовно flash-пам’яті та файлах, що в ній знаходяться;

• Досить корисною командою, що надає багато інформації є команда show version. Вона виводить інформацію, наприклад, для маршрутизатора про: версію IOS та її стислий опис; версію завантажувальної програми (Bootstrap ROM); версію скороченої IOS в ПЗУ (Boot ROM); час безперервної роботи пристрою (Router uptime); останній метод перезапуску пристрою (restart method); ім’я образу системного файлу та його місця розташування; номер апаратної платформи пристрою; настройки конфігураційного регістра;

• show protocol – відображає глобальний стан і стан інтерфейсів будь-якого протоколу третього рівня маршрутизатора;

• show mac-address-table – відображає таблицю МАС-адрес комутатора.

Зазначимо, що команд show є дуже багато і їх недоцільно наводити в даному посібнику. Подивитись детальніше ці команди та їх функції можна, наприклад у [4, 5, 16].

Загальні відомості стосовно команд групи debug

Команди налагоджування (або команди debug) дозволяють локалізовувати проблеми з протоколами та неправильними настройками [1, 2, 4]. Тоді як команди show надають лише статичну картину роботи пристрою, дані, отримані за допомогою команд debug, є динамічними і забезпе-чують глибше розуміння поточних подій у процесі роботи пристрою. Динамічний стиль роботи команд debug здійснюється за рахунок системних ресурсів, що може призводити до перевантаження процесора і порушувати нормальну роботу пристрою [4, 5]. Тому використовувати їх варто лише за необхідності. Крім того, рекомендується звужувати поле пошуку проблеми до кількох варіантів. Іншими словами команди групи debug слід використовувати для локалізації конкретних проблем, а не для моніторингу нормальної роботи КМ. Особливо слід пам’ятати, що команду debug all варто застосовувати якомога рідше, оскільки вона може призвести до порушення нормальної роботи мережі.

Додатковою корисною службою Cisco IOS, яка підвищує цінність роботи команд debug є команда timestamp, що помічає повідомлення команди debug часовими мітками, за якими можна дізнатись час, коли відбулась та чи інша подія та інтервал часу між ними.

Команди no debug all та undebug all вимикають видавання усіх діагностичних повідомлень. Для відключення конкретної команди debug використовують ту ж команду з додаванням ключового слова no. Проглянути все, що в даний час досліджується за допомогою команди debug можна за допомогою команди show debugging.

Детальніше команди debug та їх функції можна проглянути, напри-клад, у літературі [4, 5, 16].