Dnešní lekce je úvodem do směrovačů Cisco. Než začnu studovat materiál, chci poblahopřát všem, kteří sledují můj kurz, protože video lekci „Den 1“ dnes zhlédlo téměř milion lidí. Děkuji všem uživatelům, kteří přispěli do videokurzu CCNA.
Dnes si prostudujeme tři témata: router jako fyzické zařízení, krátký úvod do routerů Cisco a počáteční nastavení routeru. Tento snímek ukazuje, jak vypadá typický router Cisco 1921.
Na rozdíl od switche, který má mnoho portů, má typický router pouze 2 propojovací porty, v tomto případě se jedná o gigabitové ethernetové porty GE0/0 a GE/1 a USB konektor. Router má také sloty pro rozšiřující moduly a 2 konzolové porty, včetně 1 USB portu. Charakteristickým rysem směrovačů Cisco je přítomnost přepínače - přepínače Cisco nemají přepínače. Přední strana routeru obvykle vypadá jako ta, která je na snímku vlevo dole. Na zadním panelu routeru jsou zásuvky pro připojení kabelů. V tomto případě je k přepínači připojen kabel ze slotu GE0/0 nebo GE/1.
Vpravo dole je zobrazen rozšiřující modul NME-X 23-ES-1GP, který lze vložit do routeru odstraněním prázdných panelů. Pomocí takových modulů můžete rozšířit možnosti běžného routeru Cisco podle svých potřeb. Jak víte, produkty Cisco jsou díky své složitosti a široké funkčnosti poměrně drahé, takže uživatel má možnost nepřeplatit zařízení s více schopnostmi, než potřebuje. Zakoupením jednoduchého routeru se 2 porty si můžete zakoupit potřebné rozšiřující moduly, jak se bude vaše síť rozvíjet. Obecně jsou zařízení Cisco schopna vykonávat mnoho funkcí. Cisco nevynalezlo routery, ale byly to routery, které z Cisco udělaly společnost, kterou známe dnes. Cisco zahájilo sériovou výrobu routerů nejvyšší kvality, což těmto produktům zajistilo vedoucí postavení na trhu síťových zařízení.
Cisco si říká softwarová společnost, tedy společnost, která vyrábí software. Hardware podobný hardwaru Cisco může vyrobit kterýkoli výrobce, například Čína, zakoupením příslušného hardwaru. Ale je to software Cisco IOS, který dělá zařízení společnosti tím, čím jsou. Společnost je skutečně hrdá na tento operační systém, který běží na všech zařízeních Cisco – jak na přepínačích, tak na routerech.
Nejdůležitějším vynálezem společnosti Cisco je také technologie CEF Enhanced neboli Cisco Express Forwarding. Poskytuje velmi rychlý přenos paketů, téměř maximální rychlostí, kterou umožňují technické možnosti sítě. To bylo možné díky speciálním integrovaným obvodům Cisco ASIC - Application Specific Iintegrated Circuitry, které nutí přepínač přenášet pakety téměř síťovou rychlostí.
Jak jsem řekl, router je z velké části softwarové zařízení, takže rozhodnutí o směrování provádí operační systém Cisco IOS.
Víte, že existují drahé grafické karty pro počítačové hry. Pokud tedy takovou kartu nemáte, všechny těžkopádné výpočty, 3D animace a složité grafické zpracování provádí váš operační systém, který zatěžuje procesor počítače. Pokud máte výkonnou grafickou kartu s vlastním GPU procesorem a vlastní pamětí, herní výkon se mnohonásobně zvýší, protože grafickou část má na starosti samostatný hardware.
Přepínač funguje podobným způsobem, protože všechna rozhodnutí o přepojování paketů jsou prováděna samostatným hardwarem, bez zatížení routeru, ve kterém by tato rozhodnutí musela být provedena softwarově. Cisco používá napůl softwarovou a napůl hardwarovou technologii CEF, která nutí router k rychlejšímu rozhodování o směrování. Tato funkce je dostupná pouze na směrovačích Cisco.
Již jsme se podívali na to, jak provést počáteční konfiguraci parametrů přepínače, a protože nastavení routeru se provádí podobným způsobem, velmi rychle vám o tom povím. Otevřu Cisco Packet Tracer a vyberu router 1921, pak otevřu okno konzoly IOS, kde uvidím spouštění operačního systému routeru.
Vidíte, že máme staženou verzi 15.1, to je nejnovější verze IOS, kapacita paměti je 512 MB, platforma CISCO 2911, dále se nachází zbytek parametrů operačního systému, test obrazu IOS a samozřejmě je licenční smlouva a další podobné věci.
Natočím samostatné video věnované výhradně Cisco IOS, nebo budu jednoduše mluvit o různých službách tohoto operačního systému. Dovolte mi jen říci, že podle čísla verze můžete určit, jaké schopnosti a funkce daný OS má. Od 15.1 jsou všechny verze IOS univerzální, to znamená, že v závislosti na licenci, kterou si uživatel zakoupí, může využívat různé funkce systému. Například pokud potřebujete zajistit zvýšenou bezpečnost sítě, koupíte si licenci bezpečnostní služby, pokud potřebujete funkce hlasové služby, koupíte si licenci hlasové služby atd.
Před verzí 15.1 měly routery OS s různými verzemi – Basic, Security, Enterprise, Voice Enable a tak dále. Řekněme, že router mého přítele měl verzi Enterprise IOS a já měl verzi Basic IOS a nic mi nebránilo vzít verzi mého přítele a nainstalovat si ji na svůj router, protože Cisco nepoužívalo koncept licencí OS.
Počínaje verzí 15.1 začala společnost implementovat koncept licenčních možností a dokud si nezakoupíte příslušný klíč, nemůžete používat žádnou další službu operačního systému. O něco později, až se podíváme na licenční zásady Cisco, vám povím o různých verzích IOS. Prozatím to můžete ignorovat a přejít přímo do protokolu stahování.
Na konci protokolu vidíte popis hardwaru, na kterém systém běžel: značka procesoru, 3 gigabitová rozhraní, 64bitová DRAM, 256 KB energeticky nezávislé paměti. Toto množství paměti se zdá být příliš malé, ale pro router, který rozhoduje o směrování, je to docela dost. Tato paměť by se neměla srovnávat s pamětí vašeho počítače, protože se jedná o zcela odlišné věci.
Zaváděcí protokol Cisco IOS končí otázkou: „Pokračovat v konfiguračním dialogu? Spíš ne". Pokud odpovíte „Ano“, systém vás provede řadou otázek k dokončení počáteční konfigurace zařízení.
Během kurzu CCNA byste to neměli dělat, proto na tuto otázku vždy odpovězte „Ne“. Samozřejmě můžete zvolit „Ano“ a procházet konfigurační nastavení, ale protože nevíte, jak na to, je lepší zvolit „Ne“.
Výběrem „Ne“ a stisknutím tlačítka RETURN se dostaneme do příkazového řádku, kde můžeme zadávat různé příkazy. Stejně jako v případě přepínače nejprve napíšeme příkaz Router > enable pro přepnutí do režimu privilegovaného nastavení. Poté napíšu config t (configure terminal) a dostanu se do režimu globální konfigurace.
Pojďme si rychle projít příkazy. Chci změnit název hostitele, takže používám příkaz hostname R1 následovaný příkazy negation, takže nejprve požádám o zobrazení rozhraní routeru pomocí příkazu do show ip interface brief. Vidíme, že port gigabitového Ethernetu 0/0 je administrativně nedostupný, takže používám int gigabitEthernet 0/0 a žádné příkazy k vypnutí. Poté se stav portu změní na up. Pokud se znovu podíváte na stav rozhraní routeru, můžete vidět, že tento port má nyní stav „povoleno“. Stav protokolu zůstává vypnutý, protože k našemu směrovači není nic připojeno, a pokud nedochází k žádnému provozu, zůstává ve vypnutém stavu. Jakmile však na port routeru dorazí provoz, protokol změní svůj stav na up.
Dále je potřeba nastavit heslo pro konzoli. Za tímto účelem zadám příkazový řádek con 0, password console a do show run, abych se ujistil, že heslo konzole bylo nastaveno. Heslo bude zkontrolováno až po zadání přihlašovacího příkazu. Nyní je konzolový port routeru chráněn heslem.
Už jsem vám řekl o šifrování hesel. Představte si, že někdo přistoupil k aktuální konfiguraci tohoto zařízení. Vzhledem k tomu, že nastavené heslo je v něm jasně viditelné, může ho tato osoba snadno ukrást, aby mohla kdykoli přejít do nastavení routeru a hacknout systém.
Jedním ze způsobů, jak povolit šifrování hesla, je použít příkaz service password-encryption. Protože výchozí nastavení tohoto příkazu se používá s příkazem negation no a není to šifrování heslem služby, neprovádí se žádné šifrování heslem. Pojďme do režimu globální konfigurace, zadejte příkaz service password-encryption a stiskněte Enter. Tento příkaz znamená, že systém vezme heslo ve formátu prostého textu, které jsem nastavil, a zašifruje ho.
Nyní, když se podíváte na aktuální konfiguraci pomocí příkazu do show run a přejdete na řádek s heslem, můžete vidět, že sedmý typ hesla má podobu náhodné sekvence čísel. Nyní, pokud se vám některý z kolegů může podívat přes rameno a uvidí toto heslo, bude mít velmi těžké si tuto sekvenci zapamatovat. Tím jsme vytvořili první obrannou linii systému zabezpečení přístupu.
Ale i když se mu podaří toto heslo zkopírovat, přejít do nastavení a zkusit ho vložit do řádku pro heslo, systém neumožní přístup k nastavení, protože tato sada čísel není samotné heslo, ale jeho zašifrovaná hodnota. Správné heslo je slovo konzole a když ho zadám, budu mít přístup k portu konzole. Tedy, i když někdo zkopíruje tato čísla, stále nebude mít přístup k zařízení.
Ve skutečnosti se však mýlíme, protože vše, co útočník potřebuje, je přejít na web, který vám umožní snadno dešifrovat hesla typu Cisco sedm. Stačí vstoupit na stránku webu, zadat zkopírovaná čísla a obdržíte dešifrované heslo, v našem případě je to slovo konzole. Nyní hackerovi stačí zkopírovat toto slovo, vrátit se zpět do nastavení IOS a vložit jej do výzvy k zadání hesla.
V tomto případě jednoduchá funkce Enable Password neposkytuje potřebné zabezpečení. Nejlepším způsobem, jak zajistit ochranu, je použít příkaz enable secret cisco. Pokud se pak podíváte na aktuální konfiguraci, uvidíte, že hodnota hesla je nyní sada velmi odlišných znaků. V tomto případě se používá pátý typ hesla Cisco.
Tento typ hesla není možné dešifrovat online, takže konzole vašeho zařízení je nyní zcela bezpečná.
Dále musíte nastavit heslo pro Telnet. Za tímto účelem zadám příkazový řádek vty 0 4, který umožní 5 lidem používat tento router, a zadám příkaz heslo telnet. Nyní, pokud se někdo bude chtít připojit k routeru pomocí protokolu Telnet, bude muset zadat toto heslo – slovo telnet.
Dále jsme nakonfigurovali Management IP adresu pro přepínač, protože přepínač patří do 2. vrstvy OSI. Router je však zařízení vrstvy 3, což znamená, že každý port na routeru má svou vlastní IP adresu.
Ve switchi jsme šli do nastavení VLAN1 nebo do nastavení jakékoli jiné sítě, ve které jsme potřebovali zaregistrovat IP adresu. Vytvořili jsme virtuální rozhraní a přiřadili jim IP adresy. Ale v případě routeru je potřeba tyto adresy přiřadit fyzickým portům, takže zadám příkazy config t a int g0/0. Dále pomocí příkazu přiděluji IP adresu stejným způsobem jako u VLAN, to znamená, že zadám příkaz ip address 10.1.1.1 255.255.255.0 a poté napíšu no shutdown.
Pokud se nyní podíváte na stav portů pomocí příkazu do show int brief, můžete vidět, že adresa 10.1.1.1 je přiřazena rozhraní Gigabit Ethernet 0/0. Takto jsme nakonfigurovali IP adresu.
Dále přejdeme k nastavení Logon Banneru. Stejně jako u přepínače používám příkaz banner motd & a poté mohu zadat libovolný text, například Welcome to NetworKing Router, podtrhnout text hvězdičkami a zavřít jej ampersandem &.
Dále, pokud chcete port deaktivovat, použijte příkaz Shutdown. Chcete-li uložit nastavení, použijte příkaz copy running-config startup-config. Spuštěnou konfiguraci lze zobrazit pomocí příkazu show running conf a konfiguraci spouštění lze zobrazit pomocí příkazu show startup conf. Protože jsme použili nové zařízení po vybalení a zavedli jsme s výchozími parametry, na výzvu k zobrazení konfigurace spouštění systém odpoví, že ještě neexistuje.
Po zadání příkazu copy running-config startup-config vás systém požádá o potvrzení, že přepisovaný soubor je souborem spouštěcích parametrů systému startup-config. Po přepsání konfiguračního souboru spouštění jej prohlížím pomocí příkazu show startup conf a vidím, že je nyní přesně stejný jako soubor parametrů aktuálního stavu zařízení. Nyní, když router vypnu a znovu zapnu, nabootuje se pomocí uložených nastavení.
Stav routeru je nejlepší ověřit pomocí příkazu show int brief, lze také použít příkaz show int, který zobrazí stav všech portů. Pokud se chcete podívat na stav konkrétního portu, můžete použít příkaz show interface g0/0, po kterém systém zobrazí kompletní statistiky pro toto rozhraní.
Jak jsem řekl, nejdůležitější částí routeru je směrovací tabulka. Můžete jej zobrazit pomocí příkazu show ip route.
V tuto chvíli je tabulka prázdná, protože k našemu routeru nejsou připojena žádná zařízení. V další video lekci se podíváme na to, jak se vytváří směrovací tabulka pomocí různých protokolů, jak se vyplňuje při připojení nových zařízení pomocí statického směrování nebo dynamických protokolů. Ve světě směrovačů je nejoblíbenější příkaz show ip route, protože obvykle všechny problémy se směrováním začínají směrovací tabulkou.
Tím naše video lekce končí, protože jsem mluvil o všem, co bylo na dnešek naplánováno. Mnoho uživatelů se ptá, co mě zajímá, když natáčím a zveřejňuji tyto videonávody. Dělám to ve svém volném čase zdarma. Samozřejmě mi můžete poslat peníze, pokud chcete. Mnoho webů používá moje video lekce a žádá za to peníze, ale já to svým posluchačům dělat nechci a slibuji, že moje lekce nebudou nikdy zaplaceny.
Děkujeme, že s námi zůstáváte. Líbí se vám naše články? Chcete vidět více zajímavého obsahu? Podpořte nás objednávkou nebo doporučením přátelům, 30% sleva pro uživatele Habr na unikátní obdobu entry-level serverů, kterou jsme pro vás vymysleli: (k dispozici s RAID1 a RAID10, až 24 jader a až 40 GB DDR4).
Dell R730xd 2x levnější? Pouze zde V Nizozemsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 $! Číst o
Zdroj: www.habr.com