Dnešná lekcia je úvodom do smerovačov Cisco. Skôr ako začnem študovať materiál, chcem zablahoželať všetkým, ktorí sledujú môj kurz, pretože video lekciu „Deň 1“ dnes videlo takmer milión ľudí. Ďakujem všetkým používateľom, ktorí prispeli do videokurzu CCNA.
Dnes si preštudujeme tri témy: smerovač ako fyzické zariadenie, krátky úvod do smerovačov Cisco a počiatočné nastavenie smerovača. Táto snímka ukazuje, ako vyzerá typický smerovač Cisco 1921.
Na rozdiel od prepínača, ktorý má veľa portov, má typický router len 2 porty na pripojenie, v tomto prípade sú to porty Gigabit Ethernet GE0/0 a GE/1 a USB konektor. Router má aj sloty pre rozširujúce moduly a 2 konzolové porty vrátane 1 USB portu. Charakteristickým rysom smerovačov Cisco je prítomnosť prepínača - prepínače Cisco nemajú prepínače. Predná strana smerovača zvyčajne vyzerá ako tá, ktorá je zobrazená v ľavej dolnej časti snímky. Na zadnom paneli smerovača sú zásuvky na pripojenie káblov. V tomto prípade je k prepínaču pripojený kábel zo slotu GE0/0 alebo GE/1.
Vpravo dole je zobrazený rozširujúci modul NME-X 23-ES-1GP, ktorý je možné vložiť do smerovača odstránením prázdnych panelov. Pomocou takýchto modulov môžete rozšíriť možnosti bežného smerovača Cisco podľa svojich potrieb. Ako viete, produkty Cisco sú vzhľadom na svoju zložitosť a širokú funkčnosť pomerne drahé, takže používateľ má možnosť nepreplatiť za zariadenie s väčšími možnosťami, ako potrebuje. Zakúpením jednoduchého smerovača s 2 portami si môžete zakúpiť potrebné rozširujúce moduly podľa toho, ako sa bude vaša sieť vyvíjať. Vo všeobecnosti sú zariadenia Cisco schopné vykonávať mnoho funkcií. Cisco nevynašlo smerovače, ale práve smerovače urobili z Cisco spoločnosť, ktorú poznáme dnes. Cisco začalo sériovú výrobu smerovačov najvyššej kvality, čo týmto produktom zabezpečilo vedúce postavenie na trhu sieťových zariadení.
Cisco sa nazýva softvérová spoločnosť, teda spoločnosť, ktorá vyrába softvér. Hardvér podobný hardvéru Cisco môže vyrobiť ktorýkoľvek výrobca, napríklad Čína, zakúpením príslušného hardvéru. Ale je to softvér Cisco IOS, ktorý robí zariadenia spoločnosti tým, čím sú. Spoločnosť je skutočne hrdá na tento operačný systém, ktorý beží na všetkých zariadeniach Cisco – prepínačoch aj smerovačoch.
Najdôležitejším vynálezom spoločnosti Cisco je tiež technológia CEF Enhanced, čiže Cisco Express Forwarding. Poskytuje veľmi rýchly prenos paketov, takmer maximálnou rýchlosťou, ktorú umožňujú technické možnosti siete. To bolo možné vďaka špeciálnym integrovaným obvodom Cisco ASIC - Application Specific Iintegrated Circuitry, ktoré nútia switch prenášať pakety takmer sieťovou rýchlosťou.
Ako som povedal, smerovač je z veľkej časti softvérové zariadenie, takže rozhodnutia o smerovaní robí operačný systém Cisco IOS.
Viete, že existujú drahé grafické karty pre počítačové hry. Ak teda takúto kartu nemáte, všetky ťažkopádne výpočty, 3D animácie a zložité grafické spracovanie vykonáva váš operačný systém, ktorý zaťažuje procesor počítača. Ak máte výkonnú grafickú kartu s vlastným GPU procesorom a vlastnou pamäťou, herný výkon sa mnohonásobne zvýši, keďže grafickú časť má na starosti samostatný hardvér.
Prepínač funguje podobným spôsobom, pretože všetky rozhodnutia o prepínaní paketov robí samostatný hardvér, bez načítania smerovača, v ktorom by tieto rozhodnutia musel robiť softvér. Cisco používa napoly softvérovú a napoly hardvérovú technológiu CEF, ktorá núti smerovač robiť rýchlejšie rozhodnutia o smerovaní. Táto funkcia je dostupná iba na smerovačoch Cisco.
Už sme sa pozreli na to, ako vykonať počiatočnú konfiguráciu parametrov prepínača, a keďže nastavenie smerovača sa vykonáva podobným spôsobom, poviem vám o tom veľmi rýchlo. Otvorím Cisco Packet Tracer a vyberiem smerovač 1921, potom otvorím okno konzoly IOS, kde vidím, ako sa spúšťa operačný systém smerovača.
Vidíte, že máme stiahnutú verziu 15.1, toto je najnovšia verzia IOS, kapacita pamäte je 512 MB, platforma CISCO 2911, ďalej sa nachádza zvyšok parametrov operačného systému, test obrazu IOS a samozrejme je licenčná zmluva a iné podobné veci.
Urobím samostatné video venované výhradne Cisco IOS, alebo jednoducho poviem o rôznych službách tohto operačného systému. Dovoľte mi povedať, že podľa čísla verzie môžete určiť, aké schopnosti a funkcie má daný OS. Od 15.1 sú všetky verzie IOS univerzálne, to znamená, že v závislosti od licencie, ktorú si používateľ zakúpi, môže využívať rôzne funkcie systému. Napríklad, ak potrebujete zabezpečiť zvýšenú bezpečnosť siete, zakúpite si licenciu bezpečnostnej služby, ak potrebujete funkcie hlasovej služby, zakúpite si licenciu hlasovej služby atď.
Pred verziou 15.1 mali smerovače OS s rôznymi verziami - Basic, Security, Enterprise, Voice Enable a tak ďalej. Povedzme, že router môjho priateľa mal verziu Enterprise IOS a ja som mal verziu Basic IOS a nič mi nebránilo v tom, aby som zobral verziu môjho priateľa a nainštaloval si ju na router, pretože Cisco nepoužívalo koncept licencií OS.
Počnúc verziou 15.1 začala spoločnosť implementovať koncept licenčných možností a kým si nezakúpite príslušný kľúč, nemôžete používať žiadnu ďalšiu službu operačného systému. O niečo neskôr, keď sa pozrieme na licenčné pravidlá Cisco, poviem vám o rôznych verziách IOS. Zatiaľ to môžete ignorovať a prejsť priamo do denníka sťahovania.
Na konci protokolu vidíte popis hardvéru, na ktorom systém bežal: značka procesora, 3 gigabitové rozhrania, 64-bitová DRAM, 256 KB energeticky nezávislej pamäte. Toto množstvo pamäte sa zdá byť príliš malé, ale na to, aby smerovač prijímal rozhodnutia o smerovaní, je to celkom dosť. Táto pamäť by sa nemala porovnávať s pamäťou vášho počítača, pretože ide o úplne odlišné veci.
Zavádzací protokol Cisco IOS končí otázkou: „Pokračovať v konfiguračnom dialógu? Nie naozaj". Ak odpoviete „Áno“, systém vás prevedie sériou otázok na dokončenie počiatočnej konfigurácie zariadenia.
Počas kurzu CCNA by ste to nemali robiť, preto na túto otázku vždy odpovedzte „Nie“. Samozrejme, môžete zvoliť "Áno" a prechádzať nastaveniami konfigurácie, ale keďže neviete, ako na to, je lepšie zvoliť "Nie".
Výberom „Nie“ a stlačením RETURN sa dostaneme do príkazového riadka, kde môžeme zadávať rôzne príkazy. Rovnako ako v prípade prepínača najprv napíšeme príkaz Router > enable pre prepnutie do režimu privilegovaných nastavení. Potom napíšem config t (konfigurácia terminálu) a dostanem sa do režimu globálnej konfigurácie.
Poďme rýchlo prejsť príkazy. Chcem zmeniť názov hostiteľa, takže používam príkaz hostname R1, po ktorom nasledujú príkazy negácie, takže najprv požiadam, aby som mi ukázal rozhrania smerovača pomocou príkazu do show ip interface brief. Vidíme, že port gigabitového Ethernetu 0/0 je administratívne vypnutý, takže používam int gigabitový Ethernet 0/0 a žiadne príkazy na vypnutie. Potom sa stav portu zmení na up. Ak sa znova pozriete na stav rozhraní smerovača, môžete vidieť, že tento port má teraz stav „povolený“. Stav protokolu zostáva vypnutý, pretože k nášmu smerovaču nie je nič pripojené, a ak nie je žiadna prevádzka, zostáva v zakázanom stave. Akonáhle však na port smerovača dorazí prevádzka, protokol zmení svoj stav na up.
Ďalej musíte nastaviť heslo pre konzolu. Aby som to urobil, napíšem príkazový riadok con 0, password console a do show run, aby som sa uistil, že heslo konzoly bolo nastavené. Heslo sa skontroluje až po zadaní príkazu na prihlásenie. Teraz je konzolový port smerovača chránený heslom.
Už som vám povedal o šifrovaní hesla. Predstavte si, že niekto získal prístup k aktuálnej konfigurácii tohto zariadenia. Keďže je v ňom jasne viditeľné nastavené heslo, táto osoba ho môže ľahko ukradnúť, aby mohla kedykoľvek prejsť do nastavení smerovača a hacknúť systém.
Jedným zo spôsobov, ako povoliť šifrovanie hesla, je použiť príkaz service password-encryption. Pretože predvolená hodnota tohto príkazu sa používa s príkazom negation no a nejde o šifrovanie hesla služby, nevykonáva sa žiadne šifrovanie heslom. Poďme do režimu globálnej konfigurácie, napíšte príkaz service password-encryption a stlačte Enter. Tento príkaz znamená, že systém prevezme heslo vo formáte obyčajného textu, ktoré som nastavil, a zašifruje ho.
Ak sa teraz pozriete na aktuálnu konfiguráciu pomocou príkazu do show run a prejdete na riadok s heslom, môžete vidieť, že siedmy typ hesla má podobu náhodnej postupnosti čísel. Ak sa vám teraz jeden z kolegov môže pozrieť cez rameno a vidieť toto heslo, bude mať veľmi ťažké zapamätať si túto sekvenciu. Takto sme vytvorili prvú líniu obrany systému zabezpečenia prístupu.
Ale aj keď sa mu podarí skopírovať toto heslo, prejsť do nastavení a pokúsiť sa ho vložiť do riadku s heslom, systém neumožní prístup k nastaveniam, pretože táto sada čísel nie je heslo samotné, ale jeho zašifrovaná hodnota. Správne heslo je slovo konzola a keď ho zadám, budem mať prístup k portu konzoly. Aj keď teda niekto skopíruje tieto čísla, stále nebude mať prístup k zariadeniu.
V skutočnosti sa však mýlime, pretože všetko, čo útočník potrebuje, je prejsť na stránku, ktorá vám umožní ľahko dešifrovať heslá typu Cisco sedem. Stačí vstúpiť na stránku, zadať skopírované čísla a dostanete dešifrované heslo, v našom prípade je to slovo konzola. Teraz hackerovi stačí skopírovať toto slovo, vrátiť sa do nastavení IOS a vložiť ho do výzvy na zadanie hesla.
V tomto prípade jednoduchá funkcia Enable Password neposkytuje požadované zabezpečenie. Najlepším spôsobom, ako zabezpečiť ochranu, je použiť príkaz enable secret cisco. Ak sa potom pozriete na aktuálnu konfiguráciu, môžete vidieť, že hodnota hesla je teraz súbor veľmi odlišných znakov. V tomto prípade sa používa piaty typ hesla Cisco.
Tento typ hesla nie je možné dešifrovať online, takže konzola vášho zariadenia je teraz úplne bezpečná.
Ďalej musíte nastaviť heslo pre Telnet. Za týmto účelom zadávam príkazový riadok vty 0 4, ktorý umožní 5 ľuďom používať tento smerovač, a zadávam príkaz heslo telnet. Teraz, ak sa chce niekto pripojiť k smerovaču pomocou protokolu Telnet, bude musieť zadať toto heslo – slovo telnet.
Ďalej sme nakonfigurovali Management IP adresu prepínača, pretože prepínač patrí do 2. vrstvy OSI. Router je však zariadenie vrstvy 3, čo znamená, že každý port na smerovači má svoju vlastnú IP adresu.
V prepínači sme prešli do nastavení VLAN1 alebo do nastavení akejkoľvek inej siete, v ktorej sme potrebovali zaregistrovať IP adresu. Vytvorili sme virtuálne rozhrania a pridelili im IP adresy. Ale v prípade routra je potrebné tieto adresy priradiť fyzickým portom, preto zadávam príkazy config t a int g0/0. Ďalej použijem príkaz na pridelenie IP adresy rovnakým spôsobom, ako som to urobil s VLAN, to znamená, že zadám príkaz IP adresa 10.1.1.1 255.255.255.0 a potom napíšem no shutdown.
Ak sa teraz pozriete na stav portov pomocou príkazu do show int brief, môžete vidieť, že adresa 10.1.1.1 je priradená rozhraniu Gigabit Ethernet 0/0. Takto sme nakonfigurovali IP adresu.
Ďalej prejdeme k nastaveniu prihlasovacieho bannera. Rovnako ako pre prepínač používam príkaz banner motd & a potom môžem zadať ľubovoľný text, napríklad Welcome to NetworKing Router, podčiarknuť text hviezdičkami a zavrieť ho znakom &.
Ďalej, ak chcete port deaktivovať, použite príkaz Shutdown. Ak chcete uložiť nastavenia, použite príkaz copy running-config startup-config. Spustenú konfiguráciu je možné zobraziť pomocou príkazu show running conf a konfiguráciu zavádzania je možné zobraziť pomocou príkazu show startup conf. Keďže sme použili nové zariadenie po vybalení a zaviedli sme s predvolenými parametrami, na výzvu na zobrazenie konfigurácie zavádzania systém odpovie, že ešte neexistuje.
Po zadaní príkazu copy running-config startup-config vás systém požiada, aby ste potvrdili, že prepísaný súbor je súbor s parametrami spúšťania systému startup-config. Po prepísaní konfiguračného súboru zavádzania ho zobrazím pomocou príkazu show startup conf a vidím, že je teraz presne rovnaký ako súbor parametrov aktuálneho stavu zariadenia. Ak teraz router vypnem a znova zapnem, spustí sa pomocou uložených nastavení.
Stav routera je najlepšie overiť príkazom show int brief, môžete použiť aj príkaz show int, ktorý zobrazí stav všetkých portov. Ak sa chcete pozrieť na stav konkrétneho portu, môžete použiť príkaz show interface g0/0, po ktorom systém zobrazí kompletné štatistiky pre toto rozhranie.
Ako som povedal, najdôležitejšou súčasťou smerovača je smerovacia tabuľka. Môžete ho zobraziť pomocou príkazu show ip route.
Momentálne je tabuľka prázdna, pretože k nášmu smerovaču nie sú pripojené žiadne zariadenia. V ďalšej video lekcii sa pozrieme na to, ako sa vytvára smerovacia tabuľka pomocou rôznych protokolov, ako sa vypĺňa pri pripájaní nových zariadení pomocou statického smerovania alebo dynamických protokolov. Vo svete smerovačov je najpopulárnejší príkaz show ip route, pretože zvyčajne všetky problémy so smerovaním začínajú pri smerovacej tabuľke.
Toto končí naša video lekcia, keď som hovoril o všetkom, čo bolo na dnes naplánované. Mnohí používatelia sa pýtajú, čo ma zaujíma, keď nahrávam a uverejňujem tieto videonávody. Robím to vo svojom voľnom čase zadarmo. Samozrejme, ak chcete, môžete mi poslať peniaze. Mnoho stránok používa moje video lekcie a pýtajú si za to peniaze, ale ja to svojim poslucháčom robiť nechcem a sľubujem, že moje lekcie nebudú nikdy zaplatené.
Ďakujeme, že ste zostali s nami. Páčia sa vám naše články? Chcete vidieť viac zaujímavého obsahu? Podporte nás zadaním objednávky alebo odporučením priateľom, 30% zľava pre užívateľov Habr na unikátny analóg serverov základnej úrovne, ktorý sme pre vás vymysleli: (k dispozícii s RAID1 a RAID10, až 24 jadier a až 40 GB DDR4).
Dell R730xd 2 krát lacnejší? Len tu v Holandsku! Dell R420 – 2x E5-2430 2.2 GHz 6C 128 GB DDR3 2 x 960 GB SSD 1 Gb/s 100 TB – od 99 USD! Čítať o
Zdroj: hab.com