K A P I T O L A 4 Systém Cisco lOS (Internetwork Operating System) a nástroj SDM (Security Device Manager)

Je čas, abychom si představili systém Cisco lOS (Internetwork Operating System). Systém lOS zajišťuje funkce směrovačů i přepínačů Cisco a dovoluje také tato zařízení konfigurovat. Uvedený systém bude tématem této kapitoly. Ukážeme si, jak konfigurovat směrovač se systémem Cisco lOS pomocí rozhraní příkazového řádku (CLI - command-line interface) Cisco lOS. Když toto rozhraní dokonale zvládnete, dokážete konfigurovat názvy hostitelů, vstupní zprávy, hesla a další parametry a také řešit problémy pomocí systému Cisco lOS. Dále se podíváme na nástroj Cisco SDM (Security Device Manager) a naučíme se, jak navázat se směrovačem relaci protokolu HTTPS, která umožňuje konfigurovat stejné parametry jako rozhraní příkazového řádku. Možnosti nástroje SDM skutečně oceníte až v dalších kapitolách, protože mimořádně zjednodušuje konfiguraci přístupových seznamů, sítí VPN a protokolu lPSec. Nejdříve se však musíte seznámit se základy systému Cisco lOS. Získáte také stručný přehled nejdůležitějších příkazů pro konfiguraci směrovače a ověření příkazů. V této kapitole se budeme zabývat následujícími tématy:

 

• Seznámení se systémem Cisco lOS a jeho konfigurace • Připojení ke směrovači • Zprovoznění směrovače • Přihlášení ke směrovači • Seznámení s výzvami směrovače • Seznámení s výzvami příkazového řádku • Používání funkcí úprav a nápovědy • Získávání základních informací o směrování • Nastavení funkcí pro správu • Nastavení hostitelských názvů • Nastavení vstupních zpráv • Nastavení hesel • Nastavení popisů rozhraní • Postupy konfigurace rozhraní • Prohlížení, ukládání a vymazání konfigurace • Kontrola konfigurace směrování

 

Stejně jako v případě předchozích kapitol platí, že znalosti získané v této kapitole představují nutný základ, abyste mohli přejít k dalším kapitolám knihy.

 

Uživatelské rozhraní systému Cisco lOS

Systém Cisco lOS (lnternetwork Operating System) tvoří jádro směrovačů a většiny přepínačů společnosti Cisco. Pokud to náhodou nevíte, jádro je základ, nezbytná součást operačního systému, která přiděluje prostředky a spravuje funkce typu nízkoúrovňových hardwarových rozhraní a zabezpečení. V následujících sekcích si ukážeme, jak systém Cisco lOS vypadá a jak konfigurovat směrovač s tímto systémem pomocí rozhraní příkazového řádku. V závěrečné části kapitoly přejdeme k nástroji Cisco SDM.

 

Poznámka Konfiguraci přepínačů Cisco si necháme do kapitoly 8, "Přepínání vrstvy 2 a protokol STP (Spanning Tree Protocol)".

 

Systém Cisc O lOS ve směrovači

Cisco lOS je systémové jádro vyvinuté ve společnosti Cisco, které poskytuje funkce směrování, přepínání, propojení sítí a telekomunikací. První verze systému lOS, kterou napsal William Yeager roku 1986, umožňovala provoz síťových aplikací. Systém funguje ve většině směrovačů Cisco a také ve stále se rozšiřující skupině přepínačů Cisco Catalyst, jako jsou přepínače řady Catalyst 2950/2960 a 3550/3560. Software lOS směrovačů Cisco zajišťuje následující důležité úkoly:

• Přenos síťových protokolů a funkcí • Propojení vysokorychlostních přenosů mezi zařízeními • Doplnění bezpečnosti kvůli řízení přístupu a zamezení neoprávněného použití sítě • Poskytování škálovatelnosti za účelem usnadnění růstu sítě a zaručení redundance • Zajištění spolehlivosti sítě při připojování k síťovým prostředkům

K systému Cisco lOS lze přistupovat pomocí portu konzoly směrovače, z modemu do pomocného portu (neboli portu Aux), případně i protokolem Telnet. Přístup k příkazovému řádku systému lOS se označuje jako relace EXEC.

 

Připojení ke směrovači Cisco

Připojíte-li se ke směrovači Cisco, můžete jej konfigurovat, ověřovat jeho konfiguraci a kontrolovat statistiky. Lze to provést různými způsoby, ale nejčastěji se k připojení používá port konzoly. Port konzoly má obvykle konektor RJ-45 (8pinový modulární konektor) umístěný na zadní straně směrovače. V závislosti na výchozím nastavení může být vyžadováno heslo. Nové směrovače ISR používají standardně uživatelské jméno cisco a heslo cisco.

Poznámka Postup konfigurace počítače pro přípojení k portu konzoly směrovače naleznete v kapitole 1, "Datové sítě" .

Ke směrovači Cisco se také můžete připojit pomocí pomocného portu (auxiliary port), který v zásadě odpovídá portu konzoly, takže se s nimi pracuje stejně. Pomocný port však dovoluje konfigurovat příkazy modemu. To znamená, že lze ke směrovači připojit modem. Jedná se o šikovnou funkci, která umožňuje telefonické připojení ke vzdálenému směrovači pomocí modemu připojeného k pomocnému portu, pokud směrovač není funkční a potřebujete jej nakonfigurovat pomocí oddělené správy (out-of-band - tzn. mimo vlastní síť). Třetí způsob připojení ke směrovači Cisco nabízí integrovaná správa (in-band) prostřednictvím programu Telnet. (Integrovaná správa označuje konfiguraci směrovače pomocí sítě, což je opakem "oddělené správy".) Telnet je program emulace terminálu, který napodobuje jednoduchý hardwarový terminál. Program Telnet umožňuje připojení k libovolnému aktivnímu rozhraní směrovače, např. k portu Ethernet nebo sériovému portu. Obrázek 4. 1 znázorňuje modulární směrovač řady Cisco 2600, který poněkud vylepšuje směrovače řady 2500 díky svému rychlejšímu procesoru a podpoře mnoha dodatečných rozhraní. Směrovače řady 2500 i 2600 již nejsou v nabídce a můžete je získat pouze z druhé ruky. Mnoho směrovačů řady 2600 však i nadále plní svou funkci v produkčním prostředí, takže je důležité jim rozumět. Všímejte si pečlivě různých typů rozhraní a připojení.

Směrovače řady 2600 mohou mít více sériových rozhraní, která dovolují připojit linku Tl nebo síť Frame Relay pomocí sériového spojení V.35 sítě WAN. V závislosti na konkrétním modelu směrovače lze použít více portů typu Ethernet nebo FastEthernet. Tento směrovač je také vybaven jedním připojením konzoly a jedním pomocným připojením s konektory RJ-45. Další směrovač, na který se zaměříme, patří do řady 2800 (viz obrázek 4.2). Tento směrovač nahrazuje směrovače řady 2600 a označuje se jako směrovač ISR (Integrated Services Router). Svůj název získal díky tomu, že integruje mnoho služeb, jako např. funkce zabezpečení. Jedná se o modulární zařízení typu směrovačů řady 2600, ale je mnohem rychlejší a elegantnější - jeho návrh podporuje širokou škálu možností rozhraní.

 

Již jsme uvedli, že zabezpečení je integrováno - směrovač 2800 standardně obsahuje nainstalovaný nástroj SDM (Security Device Manager). SDM je webový nástroj pro správu směrovačů Cisco, který usnadňuje konfiguraci směrovače prostřednictvím webové konzoly. K této problematice se dostaneme v další části kapitoly. Je dobré vědět, že směrovače řady 2800 poskytují vzhledem ke své ceně vysoký výkon - dokud k nim nezačnete připojovat mnoho rozhraní. Za každou z těchto lákavých funkcí je potřeba platit ztrátou výkonu a jednotlivé nároky se poměrně rychle hromadí. K dispozici je několik dalších řad směrovačů, které jsou levnější než směrovače řady 2800: jedná se o zařízení řady 1 800 a 800. Na tyto směrovače byste se měli zaměřit v případě, že hledáte levnější alternativu k řadě 2800, ale zároveň chcete provozovat stejný systém lOS verze 1 2.4 a nejnovější nástroj SDM. Obrázek 4.3 představuje směrovač 1 841, který je vybaven prakticky stejnými rozhraními jako směrovač 2800, ale je menší a levnější. Hlavní důvod, proč upřednostnit řadu 2800 před řadou 1 800, spočívá v pokročilejších rozhraních, která řada 2800 podporuje - mj. bezdrátový řadič a přepínací moduly

 

 

 

Na úvod uveďme, že v rámci této knihy budeme konfiguraci směrovačů dokumentovat na nových řadách 2800, 1 800 a 800. Mějte však na paměti, že při výuce principů směrování můžete použít i směrovače řady 2600 nebo dokonce 2500.

Poznámka Další informace o všech směrovačích Cisco naleznete na adrese www.ci sco . com/en/ US/pr oducts / hw / route rs/i ndex . html .

zprovoznění srněrovače

 

 

Symboly ukazují průběh načítání systému lOS do paměti RAM. Po dekompresi do paměti RAM je systém lOS načten a začne ovládat činnost směrovače (viz dále). Všimněte si, že systém lOS je k dispozici v pokročilé zabezpečené verzi 1 2.4( 12):

 

 

 

Nové směrovače lSR potěší srozumitelnějším názvem systému lOS. Název souboru v praxi sděluje, jaké funkce systém lOS poskytuje - např. pokročilé zabezpečení (Advanced Security). Po načtení systému lOS jsou zobrazeny údaje zjištěné z rutiny POST, jak je patrné z následujícího výpisu:

K dispozici jsou dvě rozhraní FastEthernet, čtyři sériová rozhraní a navíc modul sítě VPN. Zobrazen je také objem paměti RAM, NVRAM a paměti t1ash. Výše uvedený směrovač informuje o tom, že má k dispozici 256 MB RAM, 239 kB NVRAM a 64 MB paměti t1ash. Jakmile je systém lOS zaveden a funkční, zkopíruje se z paměti NVRAM do RAM připravená konfigurace (označuje se jako startup-config). Kopie tohoto souboru zůstává v paměti RAM a říká se jí running-config.

 

 

 

Poznámka Směrovače 1 841 a 871W startují přesně stejně jako směrovač 2 811. Směrovače 1 841 a 871 W vykazují méně paměti a odlišná rozhraní, ale jinak použivaji stejný postup spouštěni a stejný předem připravený soubor startup-config.

Zprovoznění směrovače jiného typu než ISR (řady 2600)

Jak se záhy přesvědčíte, proces spouštění směrovačů jiného typu než ISR je zhruba stejný jako u směrovačů

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ISR. Při prvním spuštění nebo restartu směrovače 2600 se zobrazí následující zprávy:

Nakonec vidíme, že směrovač má jedno rozhraní Ethernet a tři sériová rozhraní. Zobrazena je také velikost paměti RAM a paměti tlash. Výše uvedený směrovač informuje o tom, že má k dispozici 64 MB paměti RAM a 16 MB paměti tlash.

Jak už bylo uvedeno, je po zavedení a aktivaci systému lOS načtena z paměti NVRAM konfigurace zvaná startup-config. Zde však spočívá rozdíl oproti směrovačům ISR - jestliže paměť NVRAM žádnou konfiguraci neobsahuje, směrovač odešle všesměrové vysílání a pokusí se najít platnou konfiguraci na hostiteli TFTP. (Může k tomu dojít jen tehdy, když směrovač na libovolném rozhraní zachytí signál carrier detect neboli CD.) Pokud všesměrové vysílání není úspěšné, směrovač přejde do tzv. instalačního režimu (setup mode). Jedná se o proces, kdy lze směrovač konfigurovat v jednotlivých krocích. Měli byste si proto pamatovat, že pokud ke směrovači připojíte libovolné rozhraní a poté jej spustíte, může být nutné několik minut čekat, zatímco směrovač hledá svou konfiguraci.

Poznámka Směrovače ISR mohou tento spouštěcí cyklus provést poté, co vymažete soubor startup-config a směrovač restartujete. Tím získáte čistý směrovač bez výchOZí konfigurace. Postup, jak to provést, si ukážeme dále v této kapitole.

Do instalačního režimu můžete také vstoupit kdykoli z příkazového řádku, když zadáte příkaz setup v tzv. privilegovaném režimu, ke kterému se zakrátko dostaneme. Instalační režim zahrnuje pouze několik globálních příkazů a obecně není příliš užitečný. Uveďme si příklad:

Poznámka Instalační režim můžete kdykoli u končit stisknutím kláves Ctrl+C.

Doporučuji, abyste si tento režim jednou prošli a už se k němu nevraceli. Vždy můžete použít rozhraní příkazového řádku nebo nástroj SDM.

Rozhraní příkazového řádku (CLI)

Rozhraní příkazového řádku (CLI - command line interface) někdy označuji za "Cash Line Interface", protože pokud se naučíte pokročilé metody konfigurace směrovačů a přepínačů Cisco pomocí příkazového řádku, poznáte to na své výplatě! Chcete-li pracovat s příkazovým řádkem, po dokončení spouštění směrovače stiskněte klávesu Enter. Směrovač poté zareaguje zprávou s popisem stavu všech svých rozhraní. Následně zobrazí vstupní zprávu a požádá o přihlášení. Uveďme si příklad:

Nyní se stačí přihlásit uživatelským jménem cisco a heslem cisco a ocitnete se v privilegovaném režimu, o kterém si budeme povídat dále. Ve směrovači je předem nainstalována konfigurace proto, abyste se mohli připojit k nástroji SDM pomocí protokolu HTTPS, aniž by bylo nutné směrovač konfigurovat. Předem nakonfigurovaný soubor startup-config si projdeme v další části této kapitoly.

vstup do příkazového řádku ze směrovače jiné řady než ISR

Po zobrazení zpráv o stavu rozhraní a stisknutí klávesy Enter se objeví výzva Router>. Označuje s e t o jako uživatelský režim exec (uživatelský režim). Slouží hlavně k zobrazení statistik, ale umožňuje také přihlášení do privilegovaného režimu. Konfiguraci směrovače Cisco je možné zobrazit a změnit pouze v privilegovaném režimu exec (privilegovaném režimu), do kterého se dostanete zadáním příkazu enabl e. Uveďme si postup:

Router>enable

Routerl#

Poté máte k dispozici výzvu Routerll, která informuje o tom, že se nacházíte v privilegovaném režimu, kde můžete prohlížet i měnit konfiguraci směrovače. Zpět z privilegovaného do uživatelského režimu lze přejít pomocí příkazu d i s a b 1 e (viz dále):

Router#disable

V této fázi můžete práci s konzolou v libovolném režimu ukončit zadáním příkazu logout:

Router>logout

Router conO is now a vailable

Press RETURN to get started .

 

Poznámka Pamatujte, že když odstraníte výchozí konfiguraci směrovače ISR a restartujete jej, dostanete stejné výzvy a nezobrazí se požadavek na zadání uživatelského jména a hesla.

V dalších sekcích si ukážeme, jak konfigurovat některé základní parametry správy.

Přehled režimů směrovače

Chcete-li konfigurovat pomocí rozhraní příkazového řádku, můžete provést globální změny směrovače po zadání příkazu configure terminal (nebo zkráceně configt). Tím se dostanete do režimu globální konfigurace a můžete upravovat soubor zvaný running-config. Globální příkaz (soubor spuštěný z globální konfigurace) je nastaven pouze jednou a ovlivní celý směrovač.

Zadáte-li příkaz co nfig z výzvy privilegovaného režimu a poté stisknete klávesu Enter, zvolíte výchozí nastavení terminal, jak je patrné z této ukázky:

V této fázi můžete provádět změny, které ovlivní celý směrovač (globálně). Tento režim se proto označuje jako režim globální konfigurace. Jestliže chcete změnit soubor running-config - aktuální konfiguraci umístěnou v dynamické paměti RAM (DRAM) - zadejte příkaz configure terminal (viz ukázka výše).

 

Pokud potřebujete upravit soubor startup-config - konfiguraci uloženou v paměti NVRAM - zadejte příkaz configure memory (nebo zkráceně config mem), který sloučí soubor startup-config se souborem running-config v paměti RAM. Chcete-li změnit konfiguraci směrovače uloženou v hostiteli TFTP (popis naleznete v kapitole 5, "Správa systému Cisco lOS"), odešlete příkaz confi gure network (neboli stručně config net), který také sloučí soubor se souborem running-config v paměti RAM.

 

Údaje v paměti RAM směrovače lze konfigurovat pomocí příkazů c o nfi gure terminal, configure memory a configure network. Obvykle se však používá pouze příkaz configure termina l. Příkazy configmem a config net se však mohou hodit v situaci, kdy poškodíte soubor running-config a nechcete směrovač restartovat.

 

Uveďme si některé další možnosti příkazu configure:

výzvy příkazového řádku

Je velmi důležité, abyste znali různé výzvy, se kterými se při konfiguraci směrovače můžete setkat. Budete-Ii mít dobrý přehled o těchto výzvách, usnadní vám to procházení možností a poznáte, když se dostanete do režimu konfigurace. V této sekci si představíme výzvy, které se používají u směrovačů Cisco, a rozebereme si různé používané termíny. (Než provedete jakékoli změny konfigurace směrovače, vždy zkontrolujte zobrazené výzvy!) Nebudeme popisovat všechny dostupné výzvy příkazového řádku, protože na to nemáme v knize dostatek prostoru. Místo toho si ukážeme všechny výzvy, se kterými se budete setkávat v této kapitole a zbytku knihy. Tyto výzvy příkazového řádku budete tak jako tak v praxi používat nejčastěji. Navíc se jedná o výzvy, které potřebujete znát na zkoušku.

 

Poznámka Nelekejte se! Zatím není podstatné, abyste rozuměli funkci všech těchto výzev příkazového řádku, protože si tyto informace zakrátko uvedeme. Nyní se tedy pouze snažte získat přehled o různých dostupných výzváCh. Pro tuto chvíli to stačí.

 

Rozhraní

Chcete-li provést změny rozhraní, použijte příkaz interface v režimu globální konfigurace:

Všimli jste si, že se výzva změnila na you rname ( c onfi 9 - i O #? Z toho poznáte, že se nacházíte v režimu konfigurace rozhraní. Nebylo by hezké, kdyby se z výzvy dalo poznat i to, které rozhraní právě konfigurujete? Prozatím se bez této informace bohužel musíte obejít, protože ji výzva neobsahuje. Jedna věc je jistá: Při konfiguraci směrovače si musíte opravdu dávat pozor!

Dílčí rozhraní

Dílčí rozhraní (subinterface) umožňují vytvářet v rámci směrovače logická rozhraní. Výzva se poté změní do tvaru yourname ( config - subifl /#:

yourname ( confi g-ifl # interface fO / 0 .1

yourname(conf ig- subi f l #

Řádkové příkazy

Chcete-li konfigurovat hesla uživatelského režimu, použijte příkaz Line. Výzva se poté změní na yourname ( config-line ) /l#:

Příkaz line console 0 je znám jako hlavní příkaz (také se označuje jako globální příkaz). Všechny příkazy zadané z výzvy (config - line) se pak označují jako dílčí příkazy.

 

Konfigurace směrovacích protokolů

Definice termínů týkajících se směrovačů

Tabulka 4. 1 obsahuje definice některých termínů, které jsme zatím použili.

Funkce úprav a nápovědy

Při konfiguraci svého směrovače můžete použít pokročilé funkce, které společnost Cisco nabízí pro úpravy. Zadáte-li na libovolnou výzvu otazník (?), zobrazí se seznam všech příkazů, které jsou z dané výzvy dostupné:

V této fázi můžete stisknutím mezerníku přejít na další stránku informací. Případně můžete pomocí klávesy Enter zobrazovat jeden příkaz po druhém. Lze také stisknutím klávesy Q (nebo libovolné jiné klávesy) ukončit zobrazení a přejít zpět na výzvu. Uveďme si zkrácený postup: Chcete-li vyhledat příkazy, které začínají určitým písmenem, zadejte toto písmeno a těsně za něj (bez mezery) symbol otazníku:

Když jste zadali řetězec c?, dostali jste jako odpověď seznam všech příkazů, které začínají písmenem c. Všimněte si také, že po zobrazení seznamu všech příkazů se znovu objeví výzva yourname#c, Toto chování oceníte, pracujete-li s dlouhými příkazy a potřebujete zjistit další možný příkaz. Bylo by docela hloupé, kdybyste při každém použití otazníku museli celý příkaz zadávat znovu!

 

Jestliže chcete najít další příkaz v řetězci, zadejte první příkaz a poté otazník:

Po zadání příkazu clock ? dostanete seznam dalších možných parametrů a popis jejich funkce, Všimněte si, že můžete zadávat kombinaci příkazu, mezery a otazníku, dokud nezbývá jediná možnost <cr> (návrat vozíku - carriage return).

Jestliže chcete najít další příkaz v řetězci, zadejte první příkaz a poté otazník:

Po zadání příkazu cl oc k ? dostanete seznam dalších možných parametrů a popis jejich funkce, Všimněte si, že můžete zadávat kombinaci příkazu, mezery a otazníku, dokud nezbývá jediná možnost (návrat vozíku - carriage return).

Jestliže píšete příkazy a zobrazí se zpráva

je patrné, že řetězec s příkazem není zatím úplný. Stačí stisknutím klávesy se šipkou znovu zobrazit poslední zadaný příkaz a poté pokračovat v zadávání příkazu s otazníkem. Pokud pak narazíte na chybu

zadali jste příkaz nesprávně. Všimněte si malého symbolu vsuvky: A . Jedná se o velmi užitečnou pomůcku, která přesně vyznačuje místo, kde při zadávání příkazu došlo k chybě. Následuje další příklad se zobrazením symbolu vsuvky:

Po zadání příkazu cl oc k ? dostanete seznam dalších možných parametrů a popis jejich funkce, Všimněte si, že můžete zadávat kombinaci příkazu, mezery a otazníku, dokud nezbývá jediná možnost (návrat vozíku - carriage return).

Jestliže píšete příkazy a zobrazí se zpráva

je patrné, že řetězec s příkazem není zatím úplný. Stačí stisknutím klávesy se šipkou znovu zobrazit poslední zadaný příkaz a poté pokračovat v zadávání příkazu s otazníkem. Pokud pak narazíte na chybu

zadali jste příkaz nesprávně. Všimněte si malého symbolu vsuvky: A . Jedná se o velmi užitečnou pomůcku, která přesně vyznačuje místo, kde při zadávání příkazu došlo k chybě. Následuje další příklad se zobrazením symbolu vsuvky:

Příkaz vypadá správně, ale pozorně jej zkontrolujte. Problém spočívá v tom, že celý příkaz má podobu show interface serial O/O/O .

znamená to, že zadaným řetězcem začíná více příkazů a tento řetězec proto není jedinečný. Požadovaný příkaz naleznete pomocí otazníku:

 

 

Jak je zřejmé, existují dva příkazy, které začínají stejným řetězcem s how ru.

Tabulka 4.2 shrnuje pokročilé příkazy pro úpravy, které jsou dostupné ve směrovačích Cisco.

Ukažme si další užitečnou funkci pro úpravy - automatický posun dlouhých řádků. Příkaz zadaný v následujícím příkladu přesáhl pravý okraj a automaticky se posunul o II mezer doleva (symbol dolaru [$] informuje o tom, že je řádek posunut doleva):

Historii příkazů směrovače můžete prohlížet pomocí příkazů, které shrnuje tabulka 4.3.

Následující příklad dokumentuje použití příkazu show history a postup, jak změnit velikost historie a také jak ji ověřit pomocí příkazu show terminal. Nejdříve si pomocí příkazu show history prohlédněte posledních 20 příkazů zadaných do směrovače:

Nyní příkazem show terminal zkontrolujte velikost historie terminálu:

Příkaz terminal history size zadaný v privilegovaném režimu dokáže změnit velikost vyrovnávací paměti historie:

 

 

Změnu lze zkontrolovat pomocí příkazu s how terrminal:

Získávání základních informací o směrování

Příkaz show version udává základní konfiguraci systémového hardwaru a také verzi softwaru a spouštěcích bitových kopií.

Předchozí část výstupu popisuje systém Cisco lOS spuštěný ve směrovači. Následující sekce informuje o použité paměti pouze pro čtení (ROM - read-only memory), která slouží ke spuštění směrovače a uchovává rutinu POST:

ROM : System Bootstrap . Version 12.4( 13rlT. RELEASE SOFTWARE ( f c l )

V další sekci je zřejmé, jak dlouho je směrovač spuštěn, jak byl restartován (uvidíte-li chybu system restarted by bu s, je to velmi špatné znamení), umístění, ze kterého byl načten systém Cisco lOS, a název systému lOS. Výchozí nastavení představuje paměť flash:

Tato další sekce určuje procesor, objem paměti DRAM a flash a rozhraní, která rutina POST u směrovače nalezla:

Příkazy show interfaces a show ip interface brief jsou dále velmi užitečné při kontrole nastavení a řešení potíží se směrovačem i se sítí. Tyto příkazy si rozebereme dále v této kapitole. Příslušnou sekci rozhodně nevynechejte.

Administrativní konfigurace  směrovačů a přepínačů

Tato sekce sice není pro zprovoznění směrovače či přepínače v síti klíčová, ale přesto je poměrně důležitá. Projdeme si tam konfigurační příkazy, které pomáhají spravovat lokální síť. Ve směrovači a přepínači lze konfigurovat následující funkce pro správu:

 

• Hostitelské názvy

• Vstupní zprávy

• Hesla

• Popisy rozhraní

 

Pomocí těchto funkcí činnost směrovačů nebo přepínačů nezrychlíte ani nevylepšíte. Pokud však jejich konfiguraci ve všech svých síťových zařízeních věnujete čas, usnadníte si tím do budoucna práci. Uvedené funkce totiž značně usnadňují řešení potíží a údržbu sítě. Ukázky v další sekci budou založeny na směrovači Cisco, ale přesně stejné příkazy fungují i u přepínačů Cisco.

 

Hostitelské názvy

Identitu směrovače lze nastavit pomocí příkazu hostname. Tento příkaz je významný pouze z místního hlediska. Nijak se tedy neprojeví na vyhledávání názvů směrovačem ani na jeho fungování v datové síti. V kapitole 14 však hostitelské názvy využijeme při rozboru protokolu PPP k účelům autentizace.

Je pochopitelně velmi lákavé nastavit jako hostitelský název vlastní jméno, ale vhodnější je v každém případě zvolit název, který souvisí s umístěním. Bude-Ii se totiž hostitelský název nějakým způsobem týkat reálné polohy zařízení, značně si tím usnadníte případné hledání tohoto zařízení. Poslouží také pro kontrolu toho, že skutečně konfigurujete zařízení, které máte v úmyslu. V této kapitole prozatím ponecháme název Todd

 

vstupní zprávy

Vstupní zpráva (banner) není pouze hračka pro efekt. Užitečnou aplikací vstupní zprávy je krátká bezpečnostní výstraha pro uživatele, kteří se pokoušejí připojit k datové síti proto kolem Telnet nebo modemem. Můžete také vytvořit vstupní zprávu, která zobrazí potřebné informace každému, kdo se přihlásí ke směrovači. Seznamte se s rozdíly mezi čtyřmi dostupnými typy vstupních zpráv: vstupní zpráva vytvoření procesu exec, vstupní zpráva příchozí linky terminálu, přihlašovací vstupní zpráva a vstupní zpráva se zprávou dne (všechny typy dokumentuje následující kód):

Nejčastěji se používá vstupní zpráva se zprávou dne (MOTD - message of the day). Zobrazuje zprávu každé osobě, která se ke směrovači připojuje modemem, protokolem Telnet, přes pomocný port nebo dokonce přes port konzoly (viz dále):

 

 

 

 

 

 

Předchozí vstupní zpráva v zásadě sděluje každému, kdo se připojuje ke směrovači a není na seznamu pozvaných hostů, aby udělal čelem vzad. Povšimněte si oddělovacího znaku, který sděluje směrovači, že zpráva je kompletní. K tomuto účelu můžete použít libovolný znak. Snad je ale jasné, že oddělovací znak nemůže být součástí vlastní zprávy. Jakmile zprávu dopíšete, stiskněte klávesu Enter, oddělovací znak a poté znovu klávesu Enter. Zpráva se zobrazí i v případě, že to neuděláte. Pokud však máte více vstupních zpráv, zkombinují se do jediné zprávy a budou navazovat na jediném řádku. Jednořádkovou zprávu lze například nastavit takto:

Todd ( config )l#banner motd x Neautorizovany pristup je zakazan ! x

Tento příklad bude fungovat správně, ale pokud přidáte další vstupní zprávu se zprávou dne, zobrazí se oba texty na jediném řádku.

Uveďme si některé podrobnosti o dalších zmíněných zprávách dne:

Vstupní zpráva vytvoření procesu Exec - zobrazení vstupní zprávy vytvoření procesu exec (line-activation) je možné nastavit pro situace, kdy je vytvořen proces EXEC (např. aktivace linky nebo příchozí připojení k lince VTY). Vstupní zprávu exec aktivujete jednoduše tím, že zahájíte uživatelskou relaci exec přes port konzoly.

Příchozí vstupní zpráva - lze nakonfigurovat vstupní zprávu, která se zobrazí na terminálech připojených ke zpětným linkám Telnet. Tato vstupní zpráva se hodí k zobrazení pokynů uživatelům, kteří pracují se zpětným protokolem Telnet.

Přihlašovací vstupní zpráva - nakonfigurujete-li přihlašovací vstupní zprávu, zobrazí se na všech připojených terminálech. Tato vstupní zpráva se zobrazí po zprávě dne, ale před přihlašovacími výzvami. Přihlašovací zprávu nelze zakázat pro jednotlivé uživatele. Pokud ji tedy chcete zakázat globálně, musíte ji odstranit příkazem no banner 1 ogi n. Uveďme si příklad přihlašovací vstupní zprávy:

Výše uvedená přihlašovací vstupní zpráva by vám měla být povědomá. Její anglická verze je součástí výchozí konfigurace směrovačů Cisco ISR. Tato zpráva je zobrazena před přihlašovacími výzvami, ale po zprávě dne.

Nastavení hesel

K zabezpečení směrovačů Cisco slouží pět hesel: portu konzoly, pomocného portu a připojení telnet (VTY) a hesla nastavovaná příkazy enable password a enable secret. Příkazy "enable secret" a "enable password" umožňují nastavit heslo, které zabezpečuje privilegovaný režim. Uživatelé pak musejí zadat heslo při použití příkazu ena bl e. Zbývající tři možnosti konfigurují heslo pro přístup v uživatelském režimu přes port konzoly, pomocný port nebo připojení Telnet. Přejděme nyní k jednotlivým uvedeným možnostem.

Hesla typu "enable"

Hesla typu "enable" lze nastavit z režimu globální konfigurace tímto způsobem:

Hesla typu "enable" mají následující parametry:

last- resort : Umožní nouzový přístup ke směrovači i v případě, že nastavíte autentizaci prostřednictvím serveru TACACS, který není k dispozici. Pokud však server TACACS funguje, tento režim se nepoužije.

password : Nastaví heslo typu "enable" ve starších systémech před verzí 1 0.3. Vůbec se nepoužívá v případě, že je nastavena možnost "enable secret".

secret : Jedná se o nové šifrované heslo, které má v případě nastavení přednost před příkazem "enable password".

use-t acacs : Zajišťuje, aby směrovač při ověřování používal server TACACS. Tato možnost je výhodná v situaci, kdy máte desítky nebo dokonce více směrovačů. Chtěli byste měnit hesla na všech těchto zařízeních jednotlivě? Každý soudný správce se tomuto úkolu rád vyhne. Místo toho můžete přejít na server TACACS a heslo zde změnit pouze jednou!

Následuje příkaz nastavení hesel typu "enable":

Pokusíte-li se nastavit hesla "enable secret" a "enable" na stejnou hodnotu, směrovač diskrétně upozorní, že byste druhé heslo měli změnit. Jestliže nemáte starší historické směrovače, nemusíte se příkazem "enable password" vůbec zabývat. Příkazy uživatelského režimu se nastavují příkazem Line:

 

 

 

Pokusíte-li se nastavit hesla "enable secret" a "enable" na stejnou hodnotu, směrovač diskrétně upozorní, že byste druhé heslo měli změnit. Jestliže nemáte starší historické směrovače, nemusíte se příkazem "enable password" vůbec zabývat. Příkazy uživatelského režimu se nastavují příkazem Line:

Hesla typu "enable"

Hesla typu "enable" lze nastavit z režimu globální konfigurace tímto způsobem:

 

 

 

 

Hesla typu "enable" mají následující parametry:

last-resort : Umožní nouzový přístup ke směrovači i v případě, že nastavíte autentizaci prostřednictvím serveru TACACS, který není k dispozici. Pokud však server TACACS funguje, tento režim se nepoužije.

password : Nastaví heslo typu "enable" ve starších systémech před verzí 1 0.3. Vůbec se nepoužívá v případě, že je nastavena možnost "enable secret".

secret : Jedná se o nové šifrované heslo, které má v případě nastavení přednost před příkazem "enable password".

use-t acacs : Zajišťuje, aby směrovač při ověřování používal server TACACS. Tato možnost je výhodná v situaci, kdy máte desítky nebo dokonce více směrovačů. Chtěli byste měnit hesla na všech těchto zařízeních jednotlivě? Každý soudný správce se tomuto úkolu rád vyhne. Místo toho můžete přejít na server TACACS a heslo zde změnit pouze jednou!

Následuje příkaz nastavení hesel typu "enable":

Pokusíte-li se nastavit hesla "enable secret" a "enable" na stejnou hodnotu, směrovač diskrétně upozorní, že byste druhé heslo měli změnit. Jestliže nemáte starší historické směrovače, nemusíte se příkazem "enable password" vůbec zabývat. Příkazy uživatelského režimu se nastavují příkazem line:

Měli byste si všímat těchto řádků:

aux : Nastaví heslo uživatelského režimu pro pomocný port. Tento port obvykle slouží pro připojení modemu ke směrovači, ale lze jej použít i jako port konzoly.

console: Nastaví heslo uživatelského režimu pro port konzoly.

vty : Nastaví ve směrovači heslo připojení Telnet. Není-li toto heslo nastaveno, není připojení Telnet standardně funkční.

Pokud chcete konfigurovat hesla uživatelského režimu, nastavíte požadovanou linku a poté pomocí příkazu l o g i n nebo no l o g i n sdělíte směrovači, aby požádal o autentizační inforrmace. V následujících sekcích si podrobně ukážeme postupy konfigurace každé linky. 

Heslo pomocného portu

Chcete-li konfigurovat heslo pomocného portu, přejděte do režimu globální konfigurace a zadejte příkaz 1 i ne a ux ? V tomto případě je zřejmé, že je k dispozici pouze volba o-o (to je dáno tím, že zařízení má pouze jeden port):

Je důležité si pamatovat, že příkaz login ani pomocný port nezobrazují výzvu k autentizaci.

Společnost Cisco se rozhodla pro postup, kdy nelze nastavit příkaz l o g i n dříve, než je pro linku nastaveno heslo. Pokud byste totiž nastavili příkaz l o g i n příslušné linky a poté heslo nenastavili, nebylo by linku možné použít. Linka by zobrazovala výzvu k zadání neexistujícího hesla. Jedná se tedy o funkci, nikoli o chybu.

Heslo portu konzoly

Chcete-li nastavit heslo portu konzoly, použijte příkaz 1 i ne c on s o 1 e o. Pokud se však pokusíte zadat příkaz 1 i ne conso1 e O ? z výzvy ( c onfi g -1 i ne l il, zobrazí se chyba. Samotný příkaz 1 i ne conso 1 e O sice zařízení přijme, ale obrazovky s nápovědou nejsou z této výzvy dostupné. Zadáním příkazu ex i t přejdete o jednu úroveň zpět, kde již obrazovky s nápovědou fungují. Toto chování je normální. Opravdu. Uveďme si

 

 

 

 

zařízení přijme, ale obrazovky s nápovědou nejsou z této výzvy dostupné. Zadáním příkazu ex i t přejdete o jednu úroveň zpět, kde již obrazovky s nápovědou fungují. Toto chování je normální. Opravdu. Uveďme si příklad:

Vzhledem k tomu, že je k dispozici pouze jeden port konzoly, lze zvolit pouze možnost line console o. Všechna hesla linek lze sice nastavit na stejnou hodnotu, ale kvůli zabezpečení je vhodné použít různá hesla. Při práci s portem konzoly je vhodné znát několik dalších důležitých příkazů.

 V prvé řadě příkaz exec -timeout O O nastaví časový limit pro relaci EXEC konzoly na nulu, což v praxi znamená, že časový limit nikdy nevyprší. Výchozí časový limit má hodnotu 10 minut. (Jestliže si chcete z někoho vystřelit, vyzkoušejte v práci tento trik: Nastavte tuto hodnotu na O 1. Konzola pak vyprší za 1 sekundu! Když budete chtít toto nastavení vrátit zpět, budete muset při změně časového limitu neustále druhou rukou mačkat klávesu se šipkou dolů!)

 

 

 

logging synchronous je velmi šikovný příkaz, který by měl představovat výchozí nastavení - bohužel tomu tak není. Zabrání tomu, aby se na konzole objevovaly otravné zprávy, které ruší zadávaný vstup. Zprávy se sice zobrazují i nadále, ale poté přejdete zpět do výzvy směrovače a předtím zadané příkazy zůstanou beze změny. Vstupní zprávy jsou díky tomu mnohem čitelnější.

Následuje příkaz konfigurace obou příkazů:

 

 

 

 

Heslo pro připojení Telnet

Chcete-li nastavit heslo uživatelského režimu pro přístup ke směrovači pomocí připojení Telnet, použijte příkaz 1 i ne v ty. Směrovače, ve kterých není nainstalována verze Enterprise systému Cisco lOS, standardně poskytují pět linek VTY s čísly O až 4. Máte-li však k dispozici verzi Enterprise, získáte mnohem více linek. Nejlepší způsob, jak zjistit počet dostupných linek, spočívá v zadání otazníku:

Pamatujte, že z výzvy ( config-line )# nelze získat nápovědu. Pokud chcete použít symbol otazníku (?), musíte přejít zpět do privilegovaného režimu.

Poznámka Příkaz login může a nemusí být nutné nastavit před heslem na linkách VTV. Závisí to na verzi systému lOS. Výsledek je v každém případě stejný.

 

 

 

 

systému lOS. Výsledek je v každém případě stejný.

Co se tedy stane, pokud se pokusíte o připojení protokolem Telnet ke směrovači, který nemá nastaveno heslo VTY? Zobrazí se chyba s informací o tom, že připojení bylo odepřeno - samozřejmě proto, že nebylo nastaveno heslo. Jestliže se tedy snažíte přihlásit protokolem Telnet ke směrovači a dostanete zprávu

znamená to, že ve vzdáleném směrovači (v tomto případě SFRouter) nebylo nastaveno heslo VTY (Telnet). Tuto překážku však můžete obejít a nakonfigurovat směrovač tak, aby přijímal připojení Telnet bez hesla. Slouží k tomu příkaz no login:

SFRouter( config-line )# line vty O 4

SFRout er( config -line) #no lo gin

Upozornění o Nedoporučuji povolovat přípoje ní Telnet bez hesla příkazem no l og; n. nejste-Ii v testovacím nebo výukovém prostředí! V produkční sítí byste vždy měli nastavit heslo VTV.

Jakmile je směrovačům nastavena IP adresa, můžete je konfigurovat a kontrolovat programem Telnet a obejdete se bez kabelu konzoly. Program Telnet spustíte zadáním příkazu tel net z libovolného příkazového řádku (systému DOS nebo Cisco). Vše, co souvisí s připojením Telnet, popisuje podrobněji kapitola 5.

Nastavení protokolu SSH (Secure Shell)

Místo připojení Telnet můžete zvolit připojení protokolem SSH (Secure Shell), který vytváří bezpečnější relace než protokol Telnet, protože na rozdíl od něj datový proud šifruje. Protokol SSH odesílá data chráněná šifrovacími klíči, takže se uživatelská jména ani hesla nikdy nepřenášejí v otevřeném tvaru.

 

Při nastavení připojení SSH postupujte takto:

1. Nastavte hostitelský název:

Router(config )#hostname Todd

2. Nastavte doménový název (při generování šifrovacích klíčů je nutné zadat jak hostitelský, tak doménový název):
Todd ( config ) # ip domain-name Lammle. com

3. Generujte šifrovací klíče k zabezpečení relace:

4. Nastavte maximální časový limit nečinnosti pro relaci SSH:

5. Nastavte maximální počet chybných pokusů o připojení SSH:

6. Připojte se k lince VTY směrovače:

Todd(config ) #line vty O 1 1 80

7. Nakonec nakonfigurujte SSH a poté Telnet jako přístupové protokoly:

TOdd(config -lin e ) #transport input ssh telnet

Pokud na konci příkazového řetězce neuvedete klíčové slovo tel n et, bude pro připojení ke směrovači fungovat pouze protokol SSH. Rozhodnutí je na vás, ale uvědomte si, že protokol SSH je bezpečnější než Telnet.

Šifrování hesla

Vzhledem k tomu, že ve výchozím nastavení je šifrováno pouze heslo "enable secret", musíte šifrování hesel uživatelského režimu a hesel "enable" nastavit ručně. Všimněte si, že příkazem show running - config lze zobrazit všechna hesla směrovače s výjimkou hesla "enable secret":

Pokud chcete hesla zašifrovat ručně, zadejte příkaz servic e password - e ncrypti o n. Ukažme si, jak postupovat:

A je to! Hesla jsou nadále šifrována. Stačí pouze zašifrovat hesla, spustit příkaz show run a poté příkaz vypnout. Můžete se přesvědčit, že heslo "enable" a hesla linky jsou vesměs zašifrována.

 

Než si však přejdeme k nastavení popisů směrovačů, věnujme více času šifrování hesel. Jak jsme již uvedli, pokud nastavíte hesla a poté zapnete příkaz servi ce pa s s word · enc rypt i on, musíte před vypnutím šifrovací služby odeslat příkaz show runn i ng - confi g, j inak hesla nebudou zašifrována. Šifrovací službu vůbec není nutné vypínat. Tento krok má význam pouze v případě přetížení směrovače mnoha procesy. Jestliže navíc službu zapnete před nastavením hesel, nemusíte je před zašifrováním dokonce vůbec zobrazit.

Popisy

Nastavení popisů rozhraní je užitečné pro správce a stejně jako u hostitelských názvů má pouze lokální význam. Příkaz descript i on pomáhá například sledovat čísla okruhů. Uveďme si příklad:

Popisy rozhraní lze zobrazit buď příkazem show running - config, nebo pomocí příkazu show interface:

Z praxe

description: užitečný příkaz

Karel, který pracuje jako správce sítě v brněnské pobočce společnosti Kapitál, má na starosti více než 50 spojení WAN k různým pobočkám po ČR a Slovensku. Kdykoli dojde k výpadku rozhraní, tráví Karel spoustu času zjišťováním čísla okruhu a také telefonního čísla na poskytovatele spojení WAN. Příkaz description pro rozhraní by mu značně usnadnil prácí, protože při použití tohoto příkazu pro spojení sítě LAN lze přesně rozlišit, kde jsou připojena jednotlivá rozhraní směrovačů. Karlovi by navíc mimořádně pomohlo, kdyby každé rozhraní WAN obsahovalo připojenou informaci o čísle okruhu spolu s telefonním číslem zodpovědného poskytovatele.

 

 

 

 

 

 

 

 

 

Když tedy Karel věnuje několik hodin a doplní tyto údaje pro všechna rozhraní směrovačů, ušetří si spoustu času v budoucnu, až jeho spojení WAN vypadnou - a je jisté, že k tomu dříve nebo později dojde!

Použití příkazu do

Počínaje systémem lOS verze 1 2.3 společnost Cisco konečně poskytuje příkaz, který umožňuje zobrazit konfiguraci a statistiku v rámci režimu konfigurace. (V příkladech uvedených v předchozí sekci byly všechny příkazy show spuštěny v privilegovaném režimu.) Pokud se pokusíte zobrazit konfiguraci uloženou v souboru global-config u směrovače se systémem starším než 1 2.3, dostanete následující chybu:

Router(config)#sh run

% lnvalid input detected at 'A' m a r k er.

Porovnejte tento výstup s výstupem stejného příkazu, který byl zadán ve směrovači se systémem 1 2.4 lOS:

V praxi tedy můžete spustit libovolný příkaz z jakékoli konfigurační výzvy. Když se vrátíme k příkladu šifrování hesel, příkaz do by vše značně urychlil, což každopádně stojí za úvahu.

 

Rozhraní srovnavačů

Konfigurace rozhraní patří k nejdůležitějším částem konfigurace směrovače, protože bez rozhraní by směrovače byly prakticky nepoužitelné. Aby směrovače mohly komunikovat s jinými zařízeními, musí být konfigurace rozhraní navíc velmi přesná. Při konfiguraci rozhraní se používají adresy síťové vrstvy, typ média, šířka pásma a další příkazy pro správu. Různé směrovače používají při výběru aktivních rozhraní odlišné metody. Následující příkaz například ukazuje směrovač Cisco 2522 s deseti sériovými rozhraními, která jsou označena čísly od O do 9:

 

Router( config)l # int serial ?

<0·9> Serial interface number

 

Nyní je potřeba zvolit rozhraní ke konfiguraci. Konfigurační příkazy se budou následně vztahovat na příslušné rozhraní. Následující příkaz dovoluje například zvolit sériový port 5:

 

Router( config)l # int serial 5

Rout erl config)-if )#

 

Směrovač 2522 je vybaven jedním portem Ethernet 1 OBaseT a dané rozhraní lze konfigurovat zadáním příkazu i nterface ethernet O, jak je patrné z této ukázky:

 

Router ( config) # int ethernet ?

 < 0 · 0 > Ethenet interface number

Router (config)#int ethernet 0

Router ( config-if) #

 

Jak jsme si ukázali výše, směrovač 2500 má pevnou konfiguraci. To znamená, že zakoupíte-li tento model, nemůžete jeho fyzickou konfiguraci změnit. To je zásadní důvod, proč je osobně příliš nepoužívám. Rozhodně bych je už nikdy nenasadil do produkčního prostředí.

Při konfiguraci rozhraní se odjakživa používal příkaz interface typ čí 57 o. Směrovače řady 2600 a 2800 (ve skutečnosti to platí pro libovolný směrovač ISR) však mají fyzickou patici s číslem portu na modulu, který je k dané patici připojen. U modulárního směrovače by tedy konfigurace měla tvar interface typ pat ice/ port (viz dále):

Všimněte si, že nelze uvést pouze i nt fast ethernet O. Musíte zadat celý příkaz: typ patice/port neboli i nt fast ethernet O/O (či i nt fa O/O).

U řady směrovačů ISR platí v zásadě totéž, jen je k dispozici ještě více možností. Integrovaná rozhraní FastEthernet například fungují se stejnou konfigurací, která se používá u směrovačů řady 2600:

Zbytek modulů se však liší - místo dvou čísel používají tři. První nula označuje vlastní směrovač a poté je možné zvolit patici a následně port. Uveďme si příklad sériového rozhraní směrovače 2811:

 

 

 

 

 

Vypadá to sice poněkud složitě, ale opravdu to není tak těžké. Měli byste si pamatovat, že je vždy vhodné zobrazit výstup příkazu running-config, který informuje o dostupných rozhraních. výstup směrovače 2801 následuje:

Kvůli úspoře místa je kompletní obsah konfigurace running-config zkrácen, ale uvedeno je vše podstatné. Z výstupu je zřejmé, že k dispozici jsou dvě integrovaná rozhraní FastEthernet, dvě sériová rozhraní v patici O (O/O/O a 0/0/1), sériové rozhraní v patici 1 (0/1/0) a sériové rozhraní v patici 2 (0/2/0). Jakmile jsou rozhraní zobrazena uvedeným způsobem, je mnohem snazší pochopit způsob, kterým jsou jednotlivé moduly do směrovače zapojeny.

 

Stačí rozumět tomu, že zadáte-li příkaz i nterface e0 ve směrovači 2500, i nterface fas tethernet O/O ve směrovači 2600 nebo i nterface seri a 1 0/1/ 0 ve směrovači 2800, pouze tím volíte rozhraní ke konfiguraci. Všechna rozhraní se poté konfigurují v zásadě stejným způsobem. V rozboru rozhraní směrovačů budeme pokračovat v dalších sekcích. Ukážeme si také, jak aktivovat rozhraní a nastavit IP adresu rozhraní směrovače.

 

V rozboru rozhraní směrovačů budeme pokračovat v dalších sekcích. Ukážeme si také, jak aktivovat rozhraní a nastavit IP adresu rozhraní směrovače.

 

Aktivace rozhraní

Rozhraní lze zakázat pomocí příkazu rozhraní shutdown a povolit je zadáním příkazu no shutdown. Pokud je rozhraní vypnuto, zobrazí v reakci na příkaz show interfaces (zkráceně sh i nt) údaj "administratively down":

 

Todd#s h int f0 /l

FastEthernet0 /l is administratively down . line protocol is down

[ výstup je zkrácen ]

Stav rozhraní lze také zkontrolovat pomocí příkazu show runn i ng·c onfi g. Všechna rozhraní jsou ve výchozím nastavení vypnuta. Rozhraní můžete aktivovat příkazem no shutd own (zkráceně n o s h u t):

Konfigurace IP adresy rozhraní

u směrovačů sice není nutné používat protokol IP, ale je to víceméně pravidlem. Chcete-li konfigurovat IP adresy rozhraní, použijte příkaz ip address v režimu konfigurace rozhraní:

 

Todd ( config) #int f0/1

Todd ( config-ifl) #ip address 172.16.10.2 255.255.255.0

 

Nezapomeňte rozhraní povolit pomocí příkazu no shutdown. Příkaz show interface int dovoluje zjistit, zda je rozhraní administrativně vypnuto či nikoli. Tuto informaci poskytne i příkaz show running-config.

Poznámka
Příkaz iP address adresa maska začne zpracování IP na rozhraní.

Jestliže chcete rozhraní přidělit druhou adresu podsítě, musíte použít parametr seconda ry. Zadáte-li další IP adresu a stisknete Enter, nová adresa nahradí stávající IP adresu a masku. Jedná se nepochybně o nejlepší funkci systému Cisco lOS. Vyzkoušejte ji tedy. Pokud chcete přidat sekundární IP adresu, stačí uvést parametr secondary:

Sám rozhodně nedoporučuji nastavovat na rozhraní více IP adres, protože tato konfigurace je ošklivá a neefektivní. Přesto jsme si postup ukázali pro případ, že se někdy dostanete do kontaktu s vedoucím informačního systému, který si libuje ve špatném návrhu sítě a pověří vás její správou. A kdo ví? Možná se vás na to jednou někdo zeptá a budete vypadat chytře, protože náhodou budete znát správnou odpověď.

Použití kanálu

Ne, nejedná se o systémový kanál (pipe). Mám na mysli modifikátor výstupu. (U některých konfigurací směrovačů, se kterými jsem se ve své kariéře setkal, to však nebylo zcela jasné.) Tento kanál ( I ) umožňuje filtrovat všechny konfigurace nebo jiné dlouhé výstupy a vyhledat pouze položky, které nás zajímají. Uveďme si příklad:

Symbol kanálu (modifikátor výstupu) tedy v zásadě postačuje k tomu, abyste mohli vyhledat požadované informace v celé konfiguraci směrovače mnohonásobně rychleji. Osobně tuto funkci často používám, když potřebuji zjistit, zda se ve velké směrovací tabulce nachází konkrétní trasa. Uveďme si příklad:

 

Todd#sh ip route I include 192.168.3.3 2

R 192. 168.3.3 2 [ 1 2 0 /2] via 10.10.10.8. 0 0 : 0 0:2 5. FastEthernet0/0

Todd#

 

V prvé řadě je nutné uvést, že tato směrovací tabulka obsahuje více než 1 00 položek. Bez svého užitečného kanálu bych tento výstup nejspíš analyzoval ještě dnes! Tento mimořádně efektivní nástroj šetří spoustu času a úsilí, když je potřeba v rámci konfigurace najít určitý řádek - případně jak je patrné z předchozí ukázky, jedinou trasu v rozsáhlé směrovací tabulce. Vyhraďte si na seznámení s příkazem kanálu dostatek času. Jakmile tuto funkci ovládnete, budete nadšeni možnostmi, které poskytuje při rychlé analýze výstupu směrovače.

Příkazy sériového rozhraní

Moment! Než se pustíte do konfigurace sériového rozhraní, potřebujete určité klíčové informace. Musíte například vědět, že rozhraní bude obvykle připojeno k zařízení typu jednotky kanálových služeb a jednotky datových služeb (CSU/OSU), které zajišťuje taktování linky směrovače (viz obrázek 4.4).

Zde je patrné, že sériové rozhraní se používá k připojení sítě s komunikačními zařízeními prostřednictvím jednotky kanálových služeb a jednotky datových služeb, která zajišťuje taktování rozhraní směrovače. Používáte-li však konfiguraci typu back-to-back (např. v laboratorním prostředí jako na obrázku 4.5), musí taktování poskytovat komunikační zařízení (OCE) na konci kabelu!

Všechny směrovače Cisco ve výchozím nastavení fungují jako terminálová zařízení (OTE). To znamená, že mají-li fungovat jako komunikační zařízení, musíte nakonfigurovat rozhraní, které bude zajišťovat taktování. Opět platí, že např. u produkčního připojení linkou Tl byste taktování nekonfigurovali, protože byste k sériovému rozhraní měli připojenu jednotku kanálových služeb a jednotku datových služeb (CSU/OSU), jak je zřejmé z obrázku 4.4.

Sériové rozhraní komunikačního zařízení lze konfigurovat pomocí příkazu clock rate:

Příkaz clock rate se nastavuje v bitech za sekundu. Kromě toho, že lze na konci kabelu zkontrolovat označení komunikačního nebo terminálového zařízení, můžete pomocí příkazu s how controllers int zjistit, zda je k sériovému rozhraní směrovače připojen kabel komunikačního zařízení:

Uveďme si příklad výstupu, který popisuje připojení komunikačního zařízení:

Další příkaz, se kterým se musíte obeznámit, se nazývá bandwidth. Každý směrovač Cisco se dodává s výchozí šířkou pásma sériové linky Tl ( 1,544 Mb/s). Tato hodnota však nijak nesouvisí s tím, jak se data přes připojení přenášejí. Šířka pásma sériového spojení se používá ve směrovacích protokolech typu EIGRP a OSPF při výpočtu optimální (nejlevnější) trasy do vzdálené sítě. Pokud tedy používáte pouze směrování protokolu RIP, nemá nastavení šířky pásma sériového spojení žádný význam, protože protokol RIP zjišťuje výsledek jen pomocí počtu přeskoků. Pokud poslední věty čtete znovu a říkáte si "Cože? Směrovací protokoly? Metriky?" - neděste se! Vrátíme se k tomu hned v kapitole 6 "Směrování IP".

 

Následuje příklad použití příkazu bandwidth:

Všimli jste si, že na rozdíl od příkazu clock rate se příkaz bandwidth konfiguruje v kilobitech?

Poznámka Na závěr všech ukázek konfigurace, které se týkají příkazu clock rate pro nastavení taktovací frekvence, je potřeba uvést, že nové směrovače ISR automaticky detekují připojeni komunikačního zařizeni a nastavují taktovací frekvenci na hodnotu 2 000000. Příkaz clock rate však přesto musíte znát, i když se u nových směrovačů nastavuje automaticky!

 

Prohlížení, ukládání a vymazání konfigurace

Při procházení instalačního režimu se zobrazí dotaz, zda chcete použít právě vytvořenou konfiguraci. Pokud odpovíte kladně, zařízení poté zkopíruje konfiguraci uloženou v paměti DRAM (označuje se jako running-config) do paměti NVRAM a pojmenuje soubor jako startup-config. Místo instalačního režimu je však výhodnější pracovat s rozhraním příkazového řádku nebo nástrojem SDM.

Soubor z paměti DRAM lze do paměti NVRAM uložit ručně příkazem CDPy running - config startup - config (lze také zadat zkrácenou verzi příkazu CDPy run start):

Když se setkáte s otázkou, u které je odpověď uzavřena do hranatých závorek [ ], znamená to, že pokud poté stisknete klávesu Enter, zvolíte výchozí odpověď. Když příkaz požádal o cílový název souboru, byla jako výchozí odpověď uvedena hodnota startup-config. Příkaz zobrazuje tento dotaz proto, že konfiguraci lze uložit prakticky na libovolné místo. Podívejte se:

Soubory je možné zobrazit zadáním příkazu show running- conflg nebo show startup ­ confl 9 z privilegovaného režimu. Příkaz s h run, který je zkrácenou variantou příkazu show running - config, informuje o tom, že je zobrazena aktuální konfigurace:

Příkaz sh start, který patří mezi zkratky příkazu show startup - config, zobrazuje konfiguraci, jež se použije při dalším restartu směrovače. Sděluje také, jaká část paměti NVRAM slouží k uložení souboru startup-config. Uveďme si příklad:

Příkaz sh start, který patří mezi zkratky příkazu show startup - config, zobrazuje konfiguraci, jež se použije při dalším restartu směrovače. Sděluje také, jaká část paměti NVRAM slouží k uložení souboru startup-config. Uveďme si příklad:

Smazání konfigurace a restart směrovače

Soubor startup-config lze odstranit příkazem erase startup - config:

Pokud směrovač restartujete nebo vypnete a zapnete po použití příkazu era se s t a r t u p - con ­ fi g, nabídne vám instalační režim, protože v paměti NVRAM není uložena žádná konfigurace. Instalační režim lze kdykoli ukončit stisknutím kláves Ctrl+C (příkaz rel oad je dostupný pouze v privilegovaném režimu). Se svými znalostmi už byste se při konfiguraci směrovače měli obejít bez instalačního režimu. Prostě jej ignorujte, protože je k dispozici jen pro uživatele, kteří na rozdíl od vás neumějí pracovat s rozhraním příkazového řádku (CLI). Nebojte se - zvládnete to!

 

Kontrola konfigurace

Ke kontrole aktuální konfigurace se nabízí příkaz s how running - config a k ověření konfigurace, která se použije při dalším restartu směrovače, je na první pohled nejvhodnější příkaz show startup - config.

Jakmile se však podíváte na obsah souboru running-config (pokud vše vypadá v pořádku), můžete svou konfiguraci kontrolovat pomocí nástrojů typu Ping a Telnet. Ping znamená "Packet Internet Groper". Tento program používá požadavky ozvěny a odpovědi protokolu ICMP. (Protokolem ICMP jsme se zabývali v kapitole 2, "Úvod do protokolů TCP/IP".) Příkaz Ping odešle paket vzdálenému hostiteli a jestliže daný hostitel odpoví, je zřejmé, že funguje. Tímto způsobem však nelze zjistit, že vzdálený počítač funguje a je také dostupný. To, že můžete odeslat příkaz ping na server společnosti Microsoft, ještě neznamená, že se k němu dokážete přihlásit! Příkaz Ping přesto představuje skvělé výchozí místo při řešení potíží v datové síti. Věděli jste, že příkaz ping lze použít s různými protokoly? Opravdu je to možné a sami se o tom můžete přesvědčit zadáním příkazu pi ng ? buď na výzvu uživatelského, nebo privilegovaného režimu směrovače:

Chcete-li najít adresu síťové vrstvy sousedního počítače, musíte přejít ke směrovači, přepnout se, nebo příkazem show cdp entry * protocol získat adresy síťové vrstvy, které k odeslání příkazu ping potřebujete.

 

Nástroj Traceroute používá protokol ICMP s hodnotou TTL (time to live) protokolu IP při sledování trasy, kterou paket prochází v datové síti. V tom spočívá rozdíl oproti příkazu Ping, který pouze vyhledá hostitele a požádá o odpověď. Příkaz Traceroute je rovněž kompatibilní s více protokoly.

Protokoly Telnet, FTP a HTTP v praxi patří k nejlepším nástrojům, protože k navázání relace se vzdáleným hostitelem používají protokol IP na síťové vrstvě a protokol TCP na transportní vrstvě. Pokud lze zařízení kontaktovat protokolem telnet, ftp nebo http, znamená to, že existuje IP konektivita.

Route r#t e l net ?

 WORD IP addres s or hostname of a remote system

<cr>

 

z výzvy směrovače stačí zadat hostitelský název nebo IP adresu a směrovač automaticky předpokládá, že se chcete připojit protokolem telnet. V praxi není nutné zadávat vlastní příkaz telnet. V následujících sekcích si ukážeme, jak zkontrolovat statistiky rozhranÍ.

 

Kontrola pomocí příkazu show interface

Další způsob kontroly konfigurace nabízejí příkazy show interface. Prvním z nich je příkaz show interface ? Tento příkaz zobrazí všechna dostupná rozhraní, která lze konfigurovat.

Poznámka
Příkaz show interfaces vypisuje konfigurovatelné parametry a statistiky všech rozhraní směrovače.

Velmi usnadňuje kontrolu nastavení a řešení potíží se směrovači a sítí. Následuje výstup z čerstvě vymazaného a restartovaného směrovače 2811:

K "reálným" fyzickým rozhraním patří pouze FastEthernet, sériové rozhraní (Serial) a asynchronní rozhraní (Async). Zbylé položky označují logická rozhraní nebo příkazy pro jejich ověření. Další příkaz má tvar s how interface fastethernet 010. Zjišťuje hardwarovou adresu, logickou adresu a metodu zapouzdření a také statistiky kolizí (viz dále):

Jak jste pravděpodobně uhodli, budeme u tohoto výstupu analyzovat důležité statistiky. Nejdříve však jeden odlehčovací dotaz (i když relaxujeme celou dobu): do které podsítě patří rozhraní FastEthernet O/O a jaká je všesměrová adresa a platný rozsah hostitelů? Odpověď musíte vysypat z rukávu! Pokud náhodou váháte, adresa je 192. 1 68. 1.33/27. A řekněme si otevřeně: pokud v této chvíli nevíte, co znamená /27, budete k absolvování zkoušky potřebovat zázrak. (Zápis /27 odpovídá masce 255.255.255.224.) Čtvrtý oktet má velikost bloku 32. Podsítě jsou O, 32, 64 ... ; rozhraní FastEthernet leží v podsíti 32; všesměrová adresa je 63; a platné adresy hostitelů se nacházejí v rozsahu 33-62.

 

Poznámka Pokud jste v předchozích odstavcích měli jakékoli potíže, vyhněte se hrozící katastrofě a ihned se vraťte zpět ke kapitole 3, "TVorba podsítí, masky podsítí s proměnnou délkou (VLSM) a řešení problémů v TCP/IP"! Tuto kapitolu si přečtěte tolikrát, než vám vše bude naprosto jasné!

 

Výše uvedené rozhraní funguje a zdá se, že je v dobrém stavu. Příkaz show interfaces zobrazí případné přijaté chyby rozhraní a informuje o hodnotách MTU (maximum transmission unit), šířce pásma (bandwidth - BW), spolehlivosti (255/255 znamená dokonalý výsledek!) a vytížení 0 /255 označuje nulové vytížení). Když se vrátíme k předchozímu výstupu: jaká je šířka pásma rozhraní? Kromě snadné nápovědy v názvu rozhraní "FastEthernet" je také patrné, že šířka pásma má hodnotu 1 00 000 kb, což se rovná 1 00 000 000 (jednotka kb vyžaduje přidat tři nuly). Tento údaj znamená 1 00 Mb za sekundu, což odpovídá technologii FastEthernet. Rozhraní Gigabit by mělo rychlost 1 000 000 kb za sekundu.

 

Nejdůležitější statistikou příkazu show interface je výstup linky a stav protokolu datové linky. Jestliže výstup informuje o tom, že jak rozhraní FastEthernet O/O, tak protokol linky jsou funkční, znamená to, že je v pořádku celé rozhraní:

 

Router#sh int fa0/0

Fast Ethernet0/0 is up . line protocol is up

 

První parametr se vztahuje na fyzickou vrstvu a v pořádku je tehdy, jestliže je detekován signál carrier detect (CD). Druhý parametr se týká linkové vrstvy a zjišťuje hodnoty keepalive z komunikujícího konce. (Hodnoty keepalive se používají při komunikaci mezi zařízeními jako kontrola, že nedošlo k výpadku konektivity.) Uveďme si příklad běžného problému - u sériových rozhraní:

 

Router#sh i n t s0/0/0
Serial0/0 is up . line protocol is down

 

Jestliže zjistíte, že linka je funkční, ale protokol nikoli (viz výše), jedná se o problém s taktováním (keepalive) nebo rámci - pravděpodobně nesoulad zapouzdření. Zkontrolujte, zda souhlasí hodnoty keepalive na obou koncích, zda je v případě potřeby nastavena taktovací frekvence a zda mají oba konce stejný typ zapouzdření. Výše uvedený výstup indikuje problém na linkové vrstvě. Zjistíte-li, že není funkční rozhraní linky ani protokol, jedná se o problém s kabelem nebo rozhraním. Následující výstup by ukazoval na potíže s fyzickou vrstvou:

 

RouterUsh i n t s0/0/0

Serial 0/0 is down . line protocol is down

 

Jestliže je jeden konec ve stavu "administratively shut down" (jak je vidět v další ukázce), bude u vzdáleného konce dvakrát uveden stav "down":

 

Router#sh int s0/0/0

Serial 0/0 is administratively down . line protocol is down

 

Chcete-li rozhraní povolit, zadejte v režimu konfigurace rozhraní příkaz no s hutdown.

Další příkaz show i nt e r f a c e ser i a 1 O I O I O poskytuje informace o sériové lince a hodnotě MTU (maximum transmission unit) - ve výchozím nastavení 1 500 bajtů. Ukazuje také výchozí šířku pásma (bandwidth - BW) všech sériových linek Cisco: 1 ,544 kb/s. Tato hodnota udává šířku pásma linky pro směrovací protokoly jako EIGRP a OSPF. Dalším důležitým konfiguračním parametrem je hodnota keepalive, která má standardně hodnotu 10 sekund. Všechny směrovače odesílají zprávu keepalive svým sousedům každých 10 sekund. Pokud oba směrovače nemají nastavenu stejnou časovou hodnotu keepalive, nebude komunikace fungovat.

Čítače rozhraní lze vymazat příkazem cleare counters:

 

Serial10/0/0 by console

Router#

Kontrola pomocí příkazu show ip interface

Příkaz show ip interface poskytuje informace o konfiguraci rozhraní směrovače na vrstvě 3:

 

Použití příkazu show ip interface brief

Příkaz show ip interface brief pravděpodobně patří mezi nejužitečnější příkazy, které jsou u směrovačů Cisco k dispozici. Tento příkaz poskytuje stručný přehled rozhraní směrovače včetně logické adresy a stavu:

 

Pamatujte, že údaj "administratively down" znamená, že je nutné pro dané rozhraní zadat příkaz no s hutdown. Všimněte si, že rozhraní SerialO/O/O má uvedeno "up/down", tzn. fyzická vrstva je v pořádku a signál carrier detect je zachycen, ale ze vzdáleného konce nejsou přijímány žádné zprávy keepalive. V této neprodukční síti zatím není nastavena taktovací frekvence.

Kontrola pomocí příkazu show protocols

Příkaz show protocol s se opravdu hodí, chcete-li si rychle prohlédnout stav vrstvy 1 a 2 každého rozhraní a také použité IP adresy. Uveďme si příklad výstupu jednoho z produkčních směrovačů:

Použití příkazu show controllers

Příkaz show c o ntrol l ers zobrazí informace o vlastním fyzickém rozhraní. Zjišťuje také typ sériového kabelu, který je zapojen do sériového portu. Obvykle se jedná pouze o kabel terminálového zařízení (DTE), který zajišťuje propojení s určitým typem jednotky datových služeb (DSU).

 

 

Všimněte si, že rozhraní serial % má kabel terminálového zařízení, zatímco k rozhraní serial 0/1 je připojen kabel komunikačního zařízení (DCE). Rozhraní se rial 0/1 musí poskytovat taktování. které se nastavuje příkazem clock rate. Rozhraní serial O/O bude využívat taktování z jednotky datových služeb. Podívejte se na tento příkaz znovu. Vidíte kabel mezi terminálovým a komunikačním zařízením, který spojuje dva směrovače na obrázku 4.5? Pamatujte si, že tuto konfiguraci v produkčním prostředí neuvidíte.

Směrovač Rl má připojení terminálového zařízení, které je u všech směrovačů Cisco výchozí. Směrovače Rl a R2 nemohou komunikovat. Zkontrolujte výstup příkazu show controllers s0/0:

 

Příkaz show controllers s0/0 sděluje, že je k rozhraní připojen kabel komunikačního zařízení V.35. To znamená, že směrovač Rl musí zajišťovat taktování linky ke směrovači R2. Rozhraní má v praxi chybný popisek kabelu na sériovém rozhraní směrovače Rl. Pokud však zapnete taktování sériového rozhraní směrovače Rl, měla by síť fungovat. Zaměřme se nyní na další problém (viz obrázek 4.6), který lze vyřešit příkazem show controllers. Směrovače Rl a R2 opět nemohou komunikovat.

 

Následuje výstup příkazu show controIIers s0/0 a příkazu show i p interface s0/0směrovače Rl:

 

Použijete-li příkazy s how controllers a show i p interface, zjistíte, že směrovač Rl nepřijímá taktování na lince. Tato síť není produkční, takže není připojena žádná jednotka kanálových služeb a jednotka datových služeb (CSU/DSU), která by zajišťovala taktování linky. To znamená, že taktování poskytuje konec kabelu s komunikačním zařízením - v tomto případě směrovač R2. Příkaz show ip interface informuje, že rozhraní je funkční, ale protokol nikoli. Ze vzdáleného konce tedy nejsou přijímány žádné zprávy keepalive. V tomto případě představuje pravděpodobnou příčinu vadný kabel nebo chybějící taktování.

 

Nástroj Cisco SDM (Security Device Manager)

Nakonec jsme se dostali k popisu nástroje SDM společnosti Cisco. Tento šikovný pomocník slouží ke konfiguraci směrovače pomocí rozhraní protokolu HTTP nebo HTTPS. Společnost Cisco již v minulosti něco podobného vytvořila, ale tento předchůdce nástroje SDM nebyl příliš povedený. Tento nový nástroj však opravdu funguje. Nástroj SDM je mimochodem k dispozici u modelů směrovačů od řady Cisco 830 po řadu 730 1. Kromě toho je standardně  nainstalován ve všech nových směrovačích řady 850, 870, 1 800, 2800 a 3800. Samé dobré zprávy!

 

Poznámka U produktu Cisco PIX použijte místo nástroje SDM obdobný nástroj PDM (Pix Device Manager).

 

Je zde ale háček. Nástroj SDM je opravdu skvělý, ale uděláte nejlépe, když si jej necháte jen na pokročilou konfiguraci a nebudete jej využívat pro krátké a jednoduché úpravy konfigurace toho typu, které jsme si předvedli v této kapitole. Ukažme si to na příkladu. Řekněme, že chcete ve směrovači nastavit komplexní přístupový seznam, síť VPN s protokolem IPSec a ochranu proti vniknutí. K tomuto účelu je nástroj SDM jako stvořený. Chcete-li protokol IPSec konfigurovat a zprovoznit, nemusíte o něm ani vědět nic bližšího. Opět to ale má své dobré i špatné stránky. Samozřejmě lze nyní zvládat pokročilou konfiguraci mnohem snáze, avšak nevýhoda spočívá v tom, že tytéž možnosti má nyní k dispozici doslova každý!

Nyní si ukážeme, jak se pomocí nástroje SDM přihlásit, nastavit hostitelský název, vstupní zprávu a heslo "enable secret" a přiřadit směrovači fond DHCP a IP adresu jeho rozhraní. Pokud tuto sekci zvládnete, začnete si nástroj SDM cenit mnohem více. Při čtení kapitol o systému lOS, překladu adres NAT, bezdrátových technologiích a zabezpečení zjistíte, že tento nástroj poskytuje mnoho možností nad rámec základní konfigurace směrovače v systému lOS. Stručně se k němu vrátíme v každé kapitole a ukážeme si, jak si usnadnit příslušné úkoly a zvládnout jeho složitost. Nebudeme však skrývat ani jeho omezení.

O nástroji SDM by bylo možné napsat celou knihu, ale není to nutné, protože společnost Cisco to již udělala. Chcete-li se s nástrojem SDM seznámit podrobněji, přejděte na adresu www.ci sco . com/go/sd m. Nové směrovače se navíc obvykle dodávají s diskem CD, který obsahuje průvodce pro fyzické připojení směrovače a jednotlivé kroky konfigurace (což je podle mého názoru zbytečné). Chcete-li však pouze připojit směrovač a začít nástroj SDM používat, bez tohoto disku CD se obejdete.

Stačí jen podporovaný směrovač ISR ( 1 800/2800 atd.) a můžete si z následujícího umístění stáhnout nejnovější verzi nástroje SDM spolu s pokyny, jak jej nainstalovat do svého počítače a směrovače: www.cisco com/pcgi-bi n/tablebuiild.pl /sdm.

Poznámka Chcete-Ii stáhnout tento software, potřebujete přihlášení CCO (Cisco Connection Online). Získáte je však zdarma a stačí k tomu jen minutová čí kratší registrace. Přejděte na adresu www . c i s c o . com a v pravém horním rohu klepněte na odkaz Register. Vyplňte krátký formulář, zadejte požadované uživatelské jméno a heslo a poté si můžete stáhnout nástroj SDM i ukázku jeho použití.

Kromě toho, že si z tohoto webu můžete nainstalovat do svého počítače nástroj SDM, který urychlí načítání stránek SDM při připojení ke směrovači, je také možné povolit použití samotné demoverze nástroje Cisco SDM.

Tip -------------- Pokud nemáte směrovač ISR, který byste mohli využít k testování, rozhodně doporučuji stáh nout a spustit demoverzi nástroje SDM. Nejdřive do svého počítače nainstalujte nástroj SDM a poté si stáhněte demoverzi na adrese www.cisco.com/ pcgi-bi n /tablebuild.p l /sdm-too l- demo. Chcete-Ii nástroj SDM nastavit a seznámit se s jeho používáním, přečtěte si pokyny k instalaci nebo si projděte Praktické cvičení 4.6 na konci této kapitoly.

 

Musíte si však uvědomit, že abyste mohli ze svého hostitele přihlásit pomocí nástroje SDM, musíte nejdříve zajistit správnou konfiguraci směrovače. V předchozí sekci jsme konfiguraci směrovače odstranili a restartovali jej, aby bylo možné začít od začátku. Není to však vůbec těžké. Stačí zvolit rozhraní LAN směrovače a poté připojit hostitele přímo ke směrovači pomocí překříženého kabelu.

 

Co to vše znamená? V předchozí konfiguraci jsme nastavili IP adresu rozhraní FastEthernet a povolili je příkazem no shutdown. Poté jsme připojení vyzkoušeli odesláním paketu ping na přímo připojeného hostitele z výzvy směrovače. (Tato minimální konfigurace by umožnila připojení pomocí nástroje SDM.) Nyní stačí otevřít prohlížeč, povolit otevírání nových oken, zadat adresu http : // 1 .1.1.1 a po připojení postupovat podle srozumitelných pokynů. Odlišný postup se používá při nastavení připojení směrovače protokolem HTTPS, který umožňuje připojení v privilegovaném režimu (to znamená, že je ve směrovači obnovena původní výchozí konfigurace), Je k tomu potřeba pouze zadat několik dalších příkazů, V prvé řadě povolte server HTTP/HTTPS (směrovač nepodporuje protokol HTTPS, pokud nemá nainstalován systém lOS s pokročilými službami):

V dalším kroku vytvořte uživatelský účet s úrovní privilegií 15 (nejvyšší úroveň):

 

Nakonec nakonfigurujte konzolu, SSH a Telnet, aby byla k dispozici autentizace lokálního přihlášení na úrovni privilegovaného přístupu:

A je to! Nyní se připojte ke směrovači 28 11 protokolem HTTPS.

Ihned po připojení k adrese https://I.I.I.I se zobrazí bezpečnostní upozornění.

 

Poté se objeví výzva k přihlášení pomocí předem vytvořeného uživatelského jména a hesla. Začne načítání nástroje SDM a zobrazí se informace o průběhu. To znamená, že otevření dalšího okna bude chvíli trvat. Toto okno nezavírejte.

 

Do směrovače byl načten certifikát, který byl vytvořen příkazem ip http - secure - se rver. Klepněte na tlačítko Always Trust Content from this Publisher a poté na tlačítko Yes

Klepnutím na tlačítko Configure v horní části stránky můžete projít podrobnou konfiguraci rozhranÍ. Nejdříve zvolte typ požadovaného rozhraní ke konfiguraci a poté v dolní části stránky klepněte na tlačítko Create New Connection. Otevře se průvodce LAN nebo WAN, v závislosti na vybraném konfigurovaném rozhranÍ. (Postup konfigurace rozhraní směrovače pomocí průvodce Interface Wizard naleznete v kapitole 6.)

Zde je patrné, že směrovač vytvořil hostitelský název, fond DHCP a certifikát. Nastavení bylo zdlouhavější kvůli použití protokolu HTTPS. Použijete-li běžný protokol HTTP, je vše mnohem snazší. Pamatujte však, že jste pro připojení nástrojem SDM používali výchozí konfiguraci směrovače ISR. S nástrojem SDM budeme v této knize pracovat i nadále, ale rozhodně doporučuji, abyste si jej osahali sami.

 Shrnutí

V této kapitole jsme si užili spoustu zábavy. Uvedli jsme mnohé informace o systému Cisco lOS, které by měly poskytnout přehled o fungování světa směrovačů Cisco. Na začátku kapitoly jsme si vysvětlili základy systému Cisco lOS (Internetwork Operating System) a ukázali jsme si, jak lze směrovače Cisco pomocí tohoto systému pouštět a konfigurovat. Dozvěděli jste se, jak směrovač aktivovat a k čemu slouží instalační režim. Mimochodem: když nyní víte, jak při základní konfiguraci směrovačů Cisco postupovat, bez instalačního režimu se již obejdete. Po rozboru připojení směrovače pomocí konzoly a sítě LAN jsme se zabývali funkcí nápovědy Cisco a postupy, jak pomocí rozhraní příkazového řádku (CU) hledat příkazy a jejich parametry. Kromě toho jsme diskutovali některé základní příkazy show, které pomáhají při kontrole konfigurace. Administrativní funkce směrovače pomáhají spravovat síť a kontrolovat, zda konfigurujete správné zařízení. K nejdůležitějším úkolům konfigurace směrovačů patří nastavení jejich hesel. Ukázali jsme si pět hesel, která lze nastavit. Kromě toho jsme si předvedli nastavení hostitelského názvu, popisu rozhraní a vstupních zpráv, které usnadňují konfigurace směrovačů. Nakonec jsme si prošli konfiguraci směrovače, aby bylo možné se připojovat nástrojem SDM a používat jej při další konfiguraci. Opět je mnohem snazší při nastavování základních funkcí směrovače používat rozhraní příkazového řádku. Již ale víte, že nástroj SDM může pomoci při úkolech pokročilejší konfigurace, se kterými se brzy setkáte. Tímto uzavíráme úvod do systému Cisco lOS. Jako obvykle je mimořádně důležité zvládnout základy z této kapitoly dříve, než se pustíte do následujících kapitol.

Klíčové poznatky ke zkoušce

Měli byste vědět, co se stane (a v jakém pořadí), když zapnete směrovač - při prvním zapnutí spustí směrovač Cisco rutinu POST (power-on self-test). Pokud je rutina dokončena úspěšně, vyhledá a načte v paměti flash systém Cisco lOS (je-li soubor k dispozici). Systém lOS poté pokračuje v načítání a hledá v paměti NVRAM platnou konfiguraci, která se označuje jako startup-config. Jestliže paměť NVRAM takový soubor neobsahuje, přejde směrovač do instalačního režimu.

Pamatujte si, co lze provádět v instalačním režimu - instalační režim se automaticky spustí, když směrovač po svém startu nenalezne soubor startup-config v paměti NVRAM. Tento režim lze vyvolat i zadáním příkazu setup v privilegovaném režimu. Instalační režim poskytuje minimální rozsah konfigurace ve snadném formátu pro uživatele, kteří neumějí konfigurovat směrovače Cisco z příkazového řádku.

Uvědomte si rozdíl mezi uživatelským a privilegovaným režimem - uživatelský režim poskytuje rozhraní příkazového řádku, které ve výchozím nastavení poskytuje jen velmi málo příkazů. Uživatelský režim nedovoluje konfiguraci zobrazit ani měnit. Privilegovaný režim umožňuje uživateli zobrazit i změnit konfiguraci směrovače. Do privilegovaného režimu je možné vstoupit zadáním příkazu enable a zadáním hesla "enable" nebo "enable secret", jsou-li nastavena.

Pamatujte si, co nabízí příkaz show version - příkaz show version poskytuje základní konfiguraci systémového hardwaru a také verzi softwaru, názvy a zdroje konfiguračních souborů, nastavení config - register a spouštěcí bitové kopie.

Naučte se nastavit hostitelský název směrovače - při nastavení hostitelského názvu směrovače se postupuje takto:

enable

configt

hostname Todd

Měli byste znát rozdíl mezi hesly "enable" a "enable secret" - obě hesla slouží pro přístup k privilegovanému režimu. Heslo "enable secret" je však novější a vždy je standardně šifrováno. Pokud dále nastavíte heslo "enable" a poté heslo "enable secret", bude se používat pouze druhé z nich.

Pamatujte si, jak nastavit heslo "enable secret" směrovače - při nastavení tohoto hesla se používá příkaz enable sec ret. Nezadávejte příkaz ve tvaru enabl e sec ret password heslo, protože byste své heslo nastavili na hodnotu password heslo. Uveďme si příklad:

enable

configt

enable secret todd

Pamatujte si, jak nastavit heslo portu konzoly směrovače - chcete-li nastavit heslo portu konzoly, postupujte takto:

enable

configt

line console 0

Login

password todd

Naučte se nastavit heslo připojení Telnet směrovače - k nastavení hesla Telnet slouží tento postup:

e n abl e ,  config t, line vty 0 4 , password todd , login

Seznamte se s postupy řešení problémů se sériovou linkou - zadáte-li příkaz s how interface serial 0 a zobrazí se výstup d own . line protocol is down, ukazuje to na problém na fyzické vrstvě. Pokud místo toho dostanete odpověď up . line protocol is down, jedná se o potíže linkové vrstvy.

Naučte se kontrolovat směrovač příkazem show interfaces - po zadání příkazu show interfaces můžete zobrazit statistiky rozhraní směrovače, zkontrolovat, zda jsou rozhraní vypnuta, a zjistit IP adresy jednotlivých rozhraní.