Сённяшні ўрок уяўляе сабой уступную інфармацыю аб роўтарах Cisco. Перш чым прыступіць да вывучэння матэрыялу, хачу павіншаваць усіх, хто глядзіць мой курс, таму што відэаўрок «Дзень 1» на сёння праглядзелі амаль мільён чалавек. Я дзякую ўсім карыстальнікам, якія ўнеслі свой уклад у вывучэнне видеокурса CCNA.
Сёння мы вывучым тры тэмы: роўтэр як фізічная прылада, невялікае ўвядзенне ў маршрутызатары Cisco і пачатковая налада роўтара. На гэтым слайдзе паказана, як выглядае тыповы роўтар мадэлі 1921 вытворчасці Cisco.
У адрозненне ад світача, мелага мноства портаў, тыповы роўтар мае ўсяго 2 порта для падлучэння, у дадзеным выпадку гэта порты Gigabit Ethernet GE0/0 і GE/1 і раздым USB. Роўтар таксама мае слоты пад модулі пашырэння і 2 кансольных порта, у тым ліку 1 USB-порт. Адметнай рысай роўтэраў Cisco з'яўляецца наяўнасць выключальніка - світчы Cisco выключальнікаў не маюць. Звычайна перадпакой частка роўтара выглядае так, як паказана ў левай ніжняй частцы слайда. На задняй панэлі роўтара размешчаны гнёзды для падлучэння кабеляў. У дадзеным выпадку кабель з слота GE0/0 ці GE/1 падлучаецца да світаку.
Справа ўнізе паказаны модуль пашырэння NME-X 23-ES-1GP, які можна ўставіць у роўтар, зняўшы панэлі-заглушкі. Выкарыстоўваючы такія модулі, можна пашырыць магчымасці звычайнага роўтара Cisco у адпаведнасці з вашымі патрэбамі. Як вядома, прадукцыя Cisco у сілу сваёй складанасці і шырокай функцыянальнасці досыць дарагая, таму карыстач мае магчымасць не пераплачваць за прыладу з шырэйшымі магчымасцямі, чым яму патрабуецца. Купіўшы просты роўтэр на 2 порта, вы можаце па меры развіцця сеткі дакупляць неабходныя модулі пашырэння. У цэлым прылады Cisco здольныя выконваць мноства функцый. Роўтэры вынайшла не Cisco, але менавіта роўтэры зрабілі Cisco той кампаніяй, якую мы сёння ведаем. Cisco пачала масавую вытворчасць роўтэраў, якія валодаюць найвысокай якасцю, што забяспечыла гэтай прадукцыі якое лідыруе становішча на рынку сеткавых прылад.
Cisco заве сябе софтвернай кампаніяй, гэта значыць кампаніяй, якая вырабляе праграмнае забеспячэнне. Апаратнае забеспячэнне, аналагічнае "жалезу" Cisco, можа вырабіць любы вытворца, напрыклад, Кітай, закупіўшы якое адпавядае начынне. Але менавіта праграмнае забеспячэнне Cisco IOS робіць прылады гэтай кампаніі тым, чым яны з'яўляюцца насамрэч. Кампанія па-сапраўднаму ганарыцца гэтай аперацыйнай сістэмай, якая запускаецца на ўсіх прыладах Cisco - як свитчах, так і роўтэрах.
Найважным вынаходствам Cisco з'яўляецца таксама тэхналогія CEF Enhanced, ці Cisco Express Forwarding. Яна забяспечвае вельмі хуткую перадачу пакетаў, практычна на максімальнай хуткасці, якую дазваляюць тэхнічныя магчымасці сеткі. Гэта стала магчыма дзякуючы інтэгральным схемам спецыяльнага прызначэння Cisco ASIC – Application Specific Iintegrated Сircuitry, якія прымушаюць світч перадаваць пакеты практычна на хуткасці сеткі.
Як я казаў, роўтар у большай ступені софтверная прылада, таму рашэнні маршрутызацыі прымаюцца аперацыйнай сістэмай Cisco IOS.
Вы ведаеце, што існуюць дарагія графічныя карты для камп'ютарных гульняў. Дык вось, калі ў вас няма такой карты, усе грувасткія вылічэнні, 3D-анімацыю і складаную апрацоўку графікі выконвае ваша аперацыйная сістэма, нагружаючы працэсар кампутара. Калі ў вас усталявана магутная відэакарта з уласным працэсарам GPU і сваёй памяццю, прадукцыйнасць у гульнях узрастае ў шмат разоў, паколькі графічнай часткай займаецца асобнае "жалеза".
Аналагічнай выявай працуе світч, таму што ўсе рашэнні па камутацыі пакетаў прымаюцца асобным «жалезам», не нагружаючы роўтар, у якім гэтыя рашэнні павінна было бы прымаць праграмнае забеспячэнне. Cisco выкарыстоўвае паў-софтверную, паў-хардверную тэхналогію CEF, якая прымушае роўтэр прымаць паскораныя рашэнні па маршрутызацыі. Гэтая функцыя ўласцівая толькі роўтарам кампаніі Cisco.
Мы ўжо разглядалі, як выконваць пачатковую наладу параметраў світача, і паколькі налада роўтара вырабляецца аналагічнай выявай, я распавяду вам пра яе вельмі хутка. Я адкрыю праграму Cisco Packet Tracer і абяру роўтар мадэлі 1921, затым адкрыю акно кансолі IOS, у якім можна ўбачыць, як выконваецца загрузка аперацыйнай сістэмы гэтага роўтара.
Вы бачыце, што ў нас загрузілася версія 15.1, гэта апошняя версія IOS, аб'ём памяці роўны 512 Мб, платформа CISCO 2911, далей размешчаны астатнія параметры аперацыйнай сістэмы, тэст выявы IOS, і вядома, тут маецца ліцэнзійная дамова і іншыя падобныя рэчы.
Я зраблю асобнае відэа, прысвечанае выключна Cisco IOS, ці ж проста раскажу аб розных службах гэтай аперацыйнай сістэмы. Скажу толькі, што па нумары версіі вы можаце вызначыць, якімі магчымасцямі і функцыямі валодае дадзеная АС. Пачынальна з 15.1, усе версіі IOS з'яўляюцца ўніверсальнымі, гэта значыць у залежнасці ад ліцэнзіі, якую набывае карыстач, ён можа скарыстацца рознымі функцыямі сістэмы. Напрыклад, калі вам трэба забяспечыць падвышаную бяспеку сеткі, вы купляеце ліцэнзію сэрвісу бяспекі, калі вам патрэбныя функцыі галасавой службы - ліцэнзію галасавога сэрвісу і г.д.
Да версіі 15.1 роўтэры мелі АС з рознымі версіямі - Basic, Security, Enterprise, Voice Enable і гэтак далей. Дапушчальны, роўтар майго сябра меў версію Enterprise IOS, а ў мяне стаяла версія Basic IOS, пры гэтым нішто не мяшала мне ўзяць версію сябра і ўсталяваць яе на свой роўтар, таму што Cisco не выкарыстала канцэпцыю ліцэнзій АС.
Пачынальна з версіі 15.1, кампанія стала ўжываць канцэпцыю варыянтаў ліцэнзій, і датуль, пакуль вы не набылі які адпавядае ключ, вы не можаце выкарыстаць які-небудзь дадатковы сэрвіс аперацыйнай сістэмы. Крыху пазней, калі мы будзем разглядаць ліцэнзійную палітыку Cisco, я раскажу вам аб розных версіях IOS. Пакуль жа можаце не звяртаць на гэта ніякай увагі і пераходзіць прама да лога загрузкі.
У канцы лога вы бачыце апісанне "жалеза", на якім запусцілася сістэма: марку працэсара, 3 гігабітных інтэрфейсу, 64-бітную DRAM, 256 Кб энерганезалежнай памяці. Такі аб'ём памяці здаецца занадта маленькім, але для роўтара, які прымае рашэнні маршрутызацыі, гэтага суцэль досыць. Гэтую памяць не варта параўноўваць з памяццю вашага кампутара, дык гэта зусім розныя рэчы.
Лог загрузкі Cisco IOS сканчаецца пытаннем: «Працягнуць дыялогам налады? Ды не". Калі вы адкажаце «Так», сістэма правядзе вас праз серыю пытанняў, адказваючы на якія, вы выканаеце пачатковую канфігурацыю прылады.
У працэсе вывучэння курса CCNA вы не павінны гэтага рабіць, таму заўсёды адказвайце "Не" на дадзенае пытанне. Вядома, вы можаце выбраць адказ "Так" і прагартаць наладу канфігурацыі, але паколькі вы не ведаеце, як яе выконваць, лепш выбірайце адказ "Не".
Выбраўшы «Не» і націснуўшы RETURN, мы пяройдзем да падказак каманднага радка, у якім можна набіраць розныя каманды. Як і ў выпадку са світчам, у пачатку набяром каманду Router > enable, каб перайсці ў прывілеяваны рэжым налад. Затым я набіраю config t (configure terminal) і пападаю ў рэжым глабальнай канфігурацыі.
Давайце хутка прабяжымся па камандах. Я хачу змяніць імя хаста, таму выкарыстоўваю каманду hostname R1, далей ідуць каманды адмаўлення, таму я спачатку прашу паказаць мне інтэрфейсы роўтара з дапамогай каманды do show ip interface brief. Мы бачым, што порт Gigabit Ethernet 0/0 знаходзіцца ў рэжыме administratively down, таму я выкарыстоўваю каманды int gigabitEthernet 0/0 і не shutdown. Пасля гэтага стан порта мяняецца на up. Калі зноў зірнуць на стан інтэрфейсаў роўтара, відаць, што зараз дадзены порт мае статут "уключаны". Стан пратакола застаецца ў становішчы down, таму што да нашага роўтара нічога не падлучана, а пры адсутнасці трафіку ён знаходзіцца ў адключаным стане. Але як толькі на порт роўтара паступіць трафік, пратакол памяняе статут на up.
Далей трэба ўсталяваць пароль на кансоль. Для гэтага я друкую каманды line con 0, password console і do show run, каб упэўніцца, што пароль на кансоль быў усталяваны. Праверка пароля будзе рабіцца толькі пасля таго, як я ўвяду каманду login. Цяпер кансольны порт роўтара абаронены паролем.
Я ўжо расказваў вам пра шыфраванне пароляў. Уявіце, што нехта атрымаў доступ да бягучай канфігурацыі гэтай прылады. Паколькі ў ёй выдатна відаць усталяваны пароль, гэты чалавек можа лёгка яго выкрасці, каб у любы час зайсці ў налады роўтара і ўзламаць сістэму.
Адным са спосабаў уключыць шыфраванне пароля з'яўляецца выкарыстанне каманды service password-encryption. Паколькі па змаўчанні гэтая каманда скарыстана з камандай адмаўлення no і мае выгляд no service password-encryption, шыфраванне пароля не выконваецца. Давайце пяройдзем у рэжым глабальнай канфігурацыі, надрукуем каманду service password-encryption і націснем "Увод". Гэтая каманда азначае, што сістэма бярэ тэкставы пароль, які я ўсталяваў, і зашыфроўвае яго.
Цяпер, калі паглядзець на бягучую канфігурацыю з дапамогай каманды do show run і перайсці да радка пароля, можна ўбачыць, што пароль сёмага тыпу прыняў выгляд выпадковай паслядоўнасці лічбаў. Цяпер, калі нехта з вашых калегаў зможа зазірнуць праз ваша плячо і ўбачыць гэты пароль, яму будзе вельмі цяжка запомніць гэтую паслядоўнасць. Такім чынам, мы стварылі першую лінію абароны сістэмы бяспекі доступа.
Але нават калі яму атрымаецца скапіяваць гэты пароль, зайсці ў налады і паспрабаваць уставіць яго ў радок password, сістэма не дасць доступ да налад, таму што гэты набор лічбаў не сам пароль, а яго зашыфраванае значэнне. Правільны пароль - гэтае слова console, і калі я яго ўвяду, то атрымаю доступ да кансольнага порта. Такім чынам, нават калі нехта скапіюе гэтыя лічбы, то ўсё роўна не зможа атрымаць доступ да прылады.
Аднак насамрэч мы памыляемся, таму што ўсё, што трэба зламысніку - гэта зайсці на сайт, які дазваляюць лёгка расшыфраваць паролі Cisco сёмага тыпу. Дастаткова ўвайсці на старонку сайта, увесці скапіяваныя лічбы, і вы атрымаеце расшыфраваны пароль, у нашым выпадку гэтае слова console. Цяпер хакеру дастаткова скапіяваць гэтае слова, вярнуцца ў налады IOS і ўставіць яго ў радок запыту пароля.
У дадзеным выпадку простая функцыя Enable Password не забяспечвае патрэбную бяспеку. Лепшы спосаб забяспечыць абарону - гэта выкарыстоўваць каманду enable secret cisco. Калі пасля гэтага паглядзець на бягучую канфігурацыю, бачна, што значэнне пароля зараз уяўляе сабой набор самых розных сімвалаў. У дадзеным выпадку выкарыстаны пяты тып пароляў Cisco.
Расшыфраваць пароль такога тыпу ў рэжыме анлайн немагчыма, так што зараз кансоль вашай прылады знаходзіцца ў поўнай бяспецы.
Далей трэба ўсталяваць пароль на Telnet. Для гэтага я набіраю каманду line vty 0 4, што дазволіць карыстацца дадзеным роўтэрам 5-ці чалавекам, і ўводжу каманду password telnet. Цяпер, калі хтосьці захоча злучыцца з роўтэрам па пратаколе Telnet, яму трэба будзе ўвесці дадзены пароль - слова telnet.
Далей для світача мы выконвалі наладу IP-адрасы Management IP, таму што світач адносіцца да 2-га ўзроўню OSI. Аднак роўтэр з'яўляецца прыладай 3-га ўзроўню, і гэта азначае, што кожны порт роўтара мае свой уласны IP-адрас.
У світцы мы пераходзілі да налад VLAN1 або да налад любой іншай сеткі, у якой трэба было прапісаць IP-адрас. Мы стваралі віртуальныя інтэрфейсы і прысвойвалі ім IP-адрасы. Але ў выпадку з роўтарам гэтыя адрасы трэба прысвоіць фізічным партам, таму я ўводжу каманды config t і int g0/0. Далей я выкарыстоўваю каманду для прызначэння IP-адрасы сапраўды гэтак жа, як паступаў у выпадку з VLAN, гэта значыць уводжу каманду ip address 10.1.1.1 255.255.255.0 і затым набіраю no shutdown.
Калі зараз зірнуць на стан портаў, выкарыстаўшы каманду do show int brief, відаць, што адрас 10.1.1.1 прысвоены інтэрфейсу Gigabit Ethernet 0/0. Такім чынам мы настроілі IP-адрас.
Далей мы пераходзім да налады банэра Logon Banner. Сапраўды гэтак жа, як і для світача, я выкарыстоўваю каманду banner motd & і затым магу ўвесці любы тэкст, які захачу, напрыклад, Welcome to NetworKing Router, падкрэслю тэкст "зорачкамі" і зачыню яго амперсандам &.
Далей, калі вы захочаце адключыць порт, то карыстаецеся каманду Shutdown. Для захавання настроек выкарыстоўваецца каманда copy running-config startup-config. Бягучую канфігурацыю можна прагледзець з дапамогай каманды show running conf, а для прагляду канфігурацыі загрузкі выкарыстоўваецца каманда show startup conf. Так як мы выкарыстоўвалі новую прыладу "са скрынкі" і загрузку з параметрамі па змаўчанні, у адказ на просьбу паказаць загрузачную канфігурацыю сістэма адказвае, што яе яшчэ не існуе.
Пасля ўводу каманды copy running-config startup-config сістэма просіць пацвердзіць, што перазапісвальны файл - гэта файл параметраў загрузкі сістэмы startup-config. Пасля перазапісу файла загрузнай канфігурацыі я праглядаю яго з дапамогай каманды show startup conf і бачу, што зараз ён цалкам паўтарае файл параметраў бягучага стану прылады. Цяпер, калі я выключу роўтэр і ўключу яго зноў, ён загрузіцца з выкарыстаннем захаваных параметраў.
Верыфікацыю стану роутера лепш за ўсё вырабіць з дапамогай каманды show int brief, можна таксама выкарыстоўваць каманду show int, якая пакажа стан усіх партоў. Калі вы жадаеце зірнуць на стан пэўнага порта, можаце выкарыстоўваць каманду show interface g0/0, пасля чаго сістэма пакажа поўную статыстыку па гэтым інтэрфейсе.
Як я сказаў, найболей важнай часткай роўтара з'яўляецца табліца маршрутызацыі. Прагледзець яе можна з дапамогай каманды show ip route.
На дадзены момант табліца пустая, таму што да нашага роўтара не падлучаныя ніякія прылады. На наступным відэаўрок мы разгледзім, як ствараецца табліца маршрутызацыі з выкарыстаннем розных пратаколаў, як адбываецца яе запаўненне пры падлучэнні новых прылад з выкарыстаннем статычнай маршрутызацыі або дынамічных пратаколаў. У свеце роўтэраў каманда show ip route з'яўляецца самай папулярнай, таму што звычайна ўсе непаладкі роўтынгу пачынаюцца з табліцы маршрутызацыі.
На гэтым я заканчваю наш відэаўрок, бо расказаў пра ўсё, што было запланавана на сёння. Многія карыстальнікі пытаюцца, у чым заключаецца мой інтарэс, калі я запісваю і выкладваю гэтыя відэаўрокі. Я займаюся гэтым у вольны час зусім бясплатна. Вядома, вы можаце дасылаць мне грошы, калі захочаце. Многія сайты выкарыстоўваюць мае відэаўрокі і просяць за гэта грошы, але я не хачу так рабіць са сваімі слухачамі і абяцаю, што мае ўрокі ніколі не будуць платнымі.
Дзякуй, што застаяцеся з намі. Вам падабаюцца нашыя артыкулы? Жадаеце бачыць больш цікавых матэрыялаў? Падтрымайце нас аформіўшы замову або парэкамендаваўшы знаёмым, 30% зніжка для карыстальнікаў Хабра на ўнікальны аналаг entry-level сервераў, які быў прыдуманы намі для Вас: (даступныя варыянты з RAID1 і RAID10, да 24 ядраў і да 40GB DDR4).
Dell R730xd у 2 разы танней? Толькі ў нас у Нідэрландах! Dell R420 – 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB – ад $99! Чытайце аб тым
Крыніца: habr.com