Сегодняшний урок представляет собой вводную информацию о роутерах Cisco. Прежде чем приступить к изучению материала, хочу поздравить всех, кто смотрит мой курс, потому что видеоурок «День 1» на сегодня просмотрели почти миллион человек. Я благодарю всех пользователей, которые внесли свой вклад в изучение видеокурса CCNA.
Сегодня мы изучим три темы: роутер как физическое устройство, небольшое введение в маршрутизаторы Cisco и начальная настройка роутера. На этом слайде показано, как выглядит типичный роутер модели 1921 производства Cisco.
В отличие от свитча, имеющего множество портов, типичный роутер имеет всего 2 порта для подключения, в данном случае это порты Gigabit Ethernet GE0/0 и GE/1 и разъем USB. Роутер также имеет слоты под модули расширения и 2 консольных порта, в том числе 1 USB-порт. Отличительной чертой роутеров Cisco является наличие выключателя – свитчи Cisco выключателей не имеют. Обычно передняя часть роутера выглядит так, как показано в левой нижней части слайда. На задней панели роутера расположены гнезда для подключения кабелей. В данном случае кабель из слота GE0/0 или GE/1 подключается к свитчу.
Справа внизу показан модуль расширения NME-X 23-ES-1GP, который можно вставить в роутер, сняв панели-заглушки. Используя такие модули, можно расширить возможности обычного роутера Cisco в соответствии с вашими потребностями. Как известно, продукция Cisco в силу своей сложности и широкой функциональности достаточно дорога, поэтому пользователь имеет возможность не переплачивать за устройство с более широкими возможностями, чем ему требуется. Купив простой роутер на 2 порта, вы можете по мере развития сети докупать необходимые модули расширения. В целом устройства Cisco способны выполнять множество функций. Роутеры изобрела не Cisco, но именно роутеры сделали Cisco той компанией, которую мы сегодня знаем. Cisco начала массовое производство роутеров, обладающих высочайшим качеством, что обеспечило этой продукции лидирующее положение на рынке сетевых устройств.
Cisco называет себя софтверной компанией, то есть компанией, производящей программное обеспечение. Аппаратное обеспечение, аналогичное «железу» Cisco, может изготовить любой производитель, например, Китай, закупив соответствующую начинку. Но именно программное обеспечение Cisco IOS делает устройства этой компании тем, чем они являются на самом деле. Компания по-настоящему гордится этой операционной системой, которая запускается на всех устройствах Cisco – как свитчах, так и роутерах.
Важнейшим изобретением Cisco является также технология CEF Enhanced, или Cisco Express Forwarding. Она обеспечивает очень быструю передачу пакетов, практически на максимальной скорости, которую позволяют технические возможности сети. Это стало возможно благодаря интегральным схемам специального назначения Cisco ASIC — Application Specific Iintegrated Сircuitry, которые заставляют свитч передавать пакеты практически на скорости сети.
Как я говорил, роутер в большей степени софтверное устройство, поэтому решения маршрутизации принимаются операционной системой Cisco IOS.
Вы знаете, что существуют дорогие графические карты для компьютерных игр. Так вот, если у вас нет такой карты, все громоздкие вычисления, 3D-анимацию и сложную обработку графики выполняет ваша операционная система, нагружая процессор компьютера. Если у вас установлена мощная видеокарта с собственным процессором GPU и своей памятью, производительность в играх возрастает во много раз, поскольку графической частью занимается отдельное «железо».
Аналогичным образом работает свитч, потому что все решения по коммутации пакетов принимаются отдельным «железом», не нагружая роутер, в котором эти решения должно было бы принимать программное обеспечение. Cisco использует полу-софтверную, полу-хардверную технологию CEF, которая принуждает роутер принимать ускоренные решения по маршрутизации. Эта функция присуща только роутерам компании Cisco.
Мы уже рассматривали, как выполнять начальную настройку параметров свитча, и поскольку настройка роутера производится аналогичным образом, я расскажу вам о ней очень быстро. Я открою программу Cisco Packet Tracer и выберу роутер модели 1921, затем открою окно консоли IOS, в котором можно увидеть, как выполняется загрузка операционной системы этого роутера.
Вы видите, что у нас загрузилась версия 15.1, это последняя версия IOS, объём памяти равен 512 Мб, платформа CISCO 2911, далее расположены остальные параметры операционной системы, тест образа IOS, и конечно, здесь имеется лицензионное соглашение и прочие подобные вещи.
Я сделаю отдельное видео, посвященное исключительно Cisco IOS, или же просто расскажу о различных службах этой операционной системы. Скажу лишь, что по номеру версии вы можете определить, какими возможностями и функциями обладает данная ОС. Начиная с 15.1, все версии IOS являются универсальными, то есть в зависимости от лицензии, которую приобретает пользователь, он может воспользоваться различными функциями системы. Например, если вам нужно обеспечить повышенную безопасность сети, вы покупаете лицензию сервиса безопасности, если вам нужны функции голосовой службы – лицензию голосового сервиса и т.д.
До версии 15.1 роутеры имели ОС с разными версиями – Basic, Security, Enterprise, Voice Enable и так далее. Допустим, роутер моего друга имел версию Enterprise IOS, а у меня стояла версия Basic IOS, при этом ничто не мешало мне взять версию друга и установить её на свой роутер, потому что Cisco не использовала концепцию лицензий ОС.
Начиная с версии 15.1, компания стала применять концепцию вариантов лицензий, и до тех пор, пока вы не приобрели соответствующий ключ, вы не можете использовать какой-либо дополнительный сервис операционной системы. Немного позже, когда мы будем рассматривать лицензионную политику Cisco, я расскажу вам о разных версиях IOS. Пока же можете не обращать на это никакого внимания и переходить прямо к логу загрузки.
В конце лога вы видите описание «железа», на котором запустилась система: марку процессора, 3 гигабитных интерфейса, 64-битную DRAM, 256 Кб энергонезависимой памяти. Такой объем памяти кажется слишком маленьким, но для роутера, принимающего решения маршрутизации, этого вполне достаточно. Эту память не стоит сравнивать с памятью вашего компьютера, так это совершенно разные вещи.
Лог загрузки Cisco IOS заканчивается вопросом: «Продолжить диалогом настройки? Да/Нет». Если вы ответите «Да», система проведет вас через серию вопросов, отвечая на которые, вы выполните начальную конфигурацию устройства.
В процессе изучения курса CCNA вы не должны этого делать, поэтому всегда отвечайте «Нет» на данный вопрос. Конечно, вы можете выбрать ответ «Да» и пролистать настройку конфигурации, но поскольку вы не знаете, как её выполнять, лучше выбирайте ответ «Нет».
Выбрав «Нет» и нажав RETURN, мы перейдём к подсказкам командной строки, в которой можно набирать различные команды. Как и в случае со свитчем, в начале наберем команду Router > enable, чтобы перейти в привилегированный режим настроек. Затем я набираю config t (configure terminal) и попадаю в режим глобальной конфигурации.
Давайте быстро пробежимся по командам. Я хочу изменить имя хоста, поэтому использую команду hostname R1, далее идут команды отрицания, поэтому я сначала прошу показать мне интерфейсы роутера с помощью команды do show ip interface brief. Мы видим, что порт Gigabit Ethernet 0/0 находится в режиме administratively down, поэтому я использую команды int gigabitEthernet 0/0 и no shutdown. После этого состояние порта меняется на up. Если снова взглянуть на состояние интерфейсов роутера, видно, что теперь данный порт имеет статус «включен». Состояние протокола остаётся в положении down, потому что к нашему роутеру ничего не подсоединено, а при отсутствии трафика он пребывает в отключенном состоянии. Но как только на порт роутера поступит трафик, протокол поменяет статус на up.
Далее нужно установить пароль на консоль. Для этого я печатаю команды line con 0, password console и do show run, чтобы убедиться, что пароль на консоль был установлен. Проверка пароля будет производиться только после того, как я введу команду login. Теперь консольный порт роутера защищен паролем.
Я уже рассказывал вам о шифровании паролей. Представьте, что кто-то получил доступ к текущей конфигурации этого устройства. Поскольку в ней прекрасно видно установленный пароль, этот человек может легко его украсть, чтобы в любое время зайти в настройки роутера и взломать систему.
Одним из способов включить шифрование пароля является использование команды service password-encryption. Поскольку по умолчанию эта команда использована с командой отрицания no и имеет вид no service password-encryption, шифрование пароля не выполняется. Давайте перейдём в режим глобальной конфигурации, напечатаем команду service password-encryption и нажмем «Ввод». Эта команда означает, что система берет текстовый пароль, который я установил, и зашифровывает его.
Теперь, если посмотреть на текущую конфигурацию с помощью команды do show run и перейти к строке пароля, можно увидеть, что пароль седьмого типа принял вид случайной последовательности цифр. Теперь, если кто-то из ваших коллег сможет заглянуть через ваше плечо и увидеть этот пароль, ему будет очень трудно запомнить эту последовательность. Таким образом, мы создали первую линию обороны системы безопасности доступа.
Но даже если ему удастся скопировать этот пароль, зайти в настройки и попытаться вставить его в строку password, система не даст доступ к настройкам, потому что этот набор цифр не сам пароль, а его зашифрованное значение. Правильный пароль – это слово console, и когда я его введу, то получу доступ к консольному порту. Таким образом, даже если кто-то скопирует эти цифры, то все равно не сможет получить доступ к устройству.
Однако на самом деле мы ошибаемся, потому что все, что нужно злоумышленнику – это зайти на сайт, который позволяют легко расшифровать пароли Cisco седьмого типа. Достаточно войти на страницу сайта, ввести скопированные цифры, и вы получите расшифрованный пароль, в нашем случае это слово console. Теперь хакеру достаточно скопировать это слово, вернуться в настройки IOS и вставить его в строку запроса пароля.
В данном случае простая функция Enable Password не обеспечивает нужную безопасность. Лучший способ обеспечить защиту – это использовать команду enable secret cisco. Если после этого посмотреть на текущую конфигурацию, видно, что значение пароля теперь представляет собой набор самых разных символов. В данном случае использован пятый тип паролей Cisco.
Расшифровать пароль такого типа в режиме онлайн невозможно, так что теперь консоль вашего устройства находится в полной безопасности.
Далее нужно установить пароль на Telnet. Для этого я набираю команду line vty 0 4, что позволит пользоваться данным роутером 5-ти человекам, и ввожу команду password telnet. Теперь, если кто-то захочет соединиться с роутером по протоколу Telnet, ему нужно будет ввести данный пароль – слово telnet.
Далее для свитча мы выполняли настройку IP-адреса Management IP, потому что свитч относится ко 2-му уровню OSI. Однако роутер является устройством 3-го уровня, и это означает, что каждый порт роутера имеет свой собственный IP-адрес.
В свитче мы переходили к настройкам VLAN1 или к настройкам любой другой сети, в которой нужно было прописать IP-адрес. Мы создавали виртуальные интерфейсы и присваивали им IP-адреса. Но в случае с роутером эти адреса нужно присвоить физическим портам, поэтому я ввожу команды config t и int g0/0. Далее я использую команду для назначения IP-адреса точно так же, как поступал в случае с VLAN, то есть ввожу команду ip address 10.1.1.1 255.255.255.0 и затем набираю no shutdown.
Если теперь взглянуть на состояние портов, использовав команду do show int brief, видно, что адрес 10.1.1.1 присвоен интерфейсу Gigabit Ethernet 0/0. Таким образом мы настроили IP-адрес.
Далее мы переходим к настройке баннера Logon Banner. Точно так же, как и для свитча, я использую команду banner motd & и затем могу ввести любой текст, какой захочу, например, Welcome to NetworKing Router, подчеркну текст «звездочками» и закрою его амперсандом &.
Далее, если вы захотите отключить порт, то используете команду Shutdown. Для сохранения настроек используется команда copy running-config startup-config. Текущую конфигурацию можно просмотреть с помощью команды show running conf, а для просмотра конфигурации загрузки используется команда show startup conf. Так как мы использовали новое устройство «из коробки» и загрузку с параметрами по умолчанию, в ответ на просьбу показать загрузочную конфигурацию система отвечает, что её еще не существует.
После ввода команды copy running-config startup-config система просит подтвердить, что перезаписываемый файл – это файл параметров загрузки системы startup-config. После перезаписи файла загрузочной конфигурации я просматриваю его с помощью команды show startup conf и вижу, что теперь он полностью повторяет файл параметров текущего состояния устройства. Сейчас, если я выключу роутер и включу его снова, он загрузится с использованием сохраненных параметров.
Верификацию состояния роутера лучше всего произвести с помощью команды show int brief, можно также использовать команду show int, которая покажет состояние всех портов. Если вы хотите взглянуть на состояние конкретного порта, можете использовать команду show interface g0/0, после чего система покажет полную статистику по этому интерфейсу.
Как я сказал, наиболее важной частью роутера является таблица маршрутизации. Просмотреть её можно с помощью команды show ip route.
На данный момент таблица пуста, потому что к нашему роутеру не подсоединены никакие устройства. На следующем видеоуроке мы рассмотрим, как создается таблица маршрутизации с использованием различных протоколов, как происходит её заполнение при подсоединении новых устройств с использованием статической маршрутизации или динамических протоколов. В мире роутеров команда show ip route является самой популярной, потому что обычно все неполадки роутинга начинаются с таблицы маршрутизации.
На этом я заканчиваю наш видеоурок, так как рассказал обо всем, что было запланировано на сегодня. Многие пользователи спрашивают, в чем заключается мой интерес, когда я записываю и выкладываю эти видеоуроки. Я занимаюсь этим в свободное время совершенно бесплатно. Конечно, вы можете присылать мне деньги, если захотите. Многие сайты используют мои видеоуроки и просят за это деньги, но я не хочу так поступать со своими слушателями и обещаю, что мои уроки никогда не будут платными.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас:
Dell R730xd в 2 раза дешевле? Только у нас
Источник: habr.com