1         Směrovače CISCO

Pro správce sítě je velice důležitá znalost alespoň základní abecedy práce se směrovači CISCO neboť v této oblasti je firma CISCO dominantní. V této publikaci uvádíme příklady nejenom z konfigurace  operačních systému UNIX a Windows, ale též systému CISCO IOS.  Firma CISCO se specializuje zejména na síťové aktivní prvky (boxy) od přepínačů, přes směrovače až po firewally. Tyto boxy jsou pro nás zajímavé zejména podobným konfiguračním jazykem, jehož základní abecedu popisuje tato kapitola. Budeme s v ní zabývat výhradně konfigurací směrovačů. Pro další studium doporučujeme www.cisco.com, kde jsou tisíce stránek kompletní dokumentace popisující nejenom hardware ale i  IOS. Čtenáři doporučujeme tuto kapitolu číst až při druhém čtení celé publikace.

 

Směrovače CISCO jsou jednoúčelové boxy, které se specializují na jedinou věc – na směrování. Běží v nich specializovaný operační systém, který se označuje jako IOS. Takže se vlastně budeme zabývat konfigurací IOSu. Bude nám vcelku jedno, jestli IOS běží na úplně prťavém boxu nebo na skříni v ceně mnoha milionů.

 

IOS má řadu mutací. Problém totiž spočívá v tom, jaké protokoly má IOS na našem směrovači podporovat (existuje i IOS s funkcí firewallu). Čím více protokolů bude mutace IOSu podporovat, tím větší zabere místo v paměti, což je problém zejména u starších boxů. Z ekonomického hlediska nás bude zajímat i cena, která pochopitelně bude větší u mutací, které podporují více protokolů. Tj. pokud chceme používat i exotické síťové protokoly, pak si musíme připlatit nejenom za paměť, ale i za operační systém.

 

Při nákupu   musíme řešit:

1.        Nákup hardware (boxu).

·         Box musí mít příslušný počet  jednotlivých typů síťových rozhraní, které potřebujeme (synchronní linky, asynchroní linky, Ethernet ...).

·         Box musí mít dostatečný výkon a paměť.

·         Musíme nakoupit správné kabely.

2.        Nákup vhodné mutace operačního systému IOS.

 

Pro potřebu  této kapitoly  jsem si zapůjčil box s označením CISCO  1603. Volba na model 1603 nebyla sice náhodná (nesehnal jsem jiný model), ale podle mého názoru je  zcela jedno, jaký mám box, protože rozdíly mezi jednotlivými modely jsou z pohledu této publikace zanedbatelné.

 

Pokud vám přijde do ruky jakýkoliv směrovač, prohlédněte si jej zejména zezadu, kde má konektory. Tak poznáte, jaká má rozhraní. Z ostatních pohledů je směrovač většinou nezajímavý.

 

Obr. 1.1 Pohled zezadu na CISCO 1603 (obrázek přejat z www.cisco.com)

 

Pomineme-li napájení, pak na zadní straně všech směrovačů CISCO se budou vyskytovat obdobné konektory. CISCO 1603 lze v tomto ohledu brát jako exemplární případ. Takže popišme  konektory na obr. 1.1 zleva doprava:

• Konektory pro připojení LAN. Moje CISCO  má jedno rozhraní pro klasický Ethernet na frekvenci 10MHz. Takto pomalý Ethernet může mít tři typy konektorů: RJ-45 pro 10BASE-T (viz obr. 3.19 a 3.28), CANNON 15 pro AUI  (obr. 3.27) nebo BNC konektor.  Uvedený model 1603 má pro Ethernetové rozhraní dva typy konektorů: RJ-45 a CANNON 15.  LAN proto musíme přivést na jeden z těchto dvou konektorů.
• Konektor RJ-45  pro ISDN Basic Rate (rozhraní S/T). Zde je důležité upozornit, že existuje model 1604 s rozhraním U a integrovaným zařízením NT-1 (viz obr. 3.12). Musím zdůraznit, že je třeba před nákupem směrovače se dohodnout s poskytovatelem připojení ISDN  na tom, na jaký typ rozhraní budeme směrovač připojovat, abychom jej pak nemuseli komplikovaně vyměňovat za jiný model. Není pravda, že pokud směrovač 1604 připojíme na rozhraní U, tak již nemůžeme připojovat další ISDN zařízení (např. ISDN telefon), protože z ve směrovači  integrovaného zařízení NT-1  vychází rozhraní S/T pro připojení dalších ISDN zařízení.
• Konektor RJ-45 s rozhraním V.24 pro připojení konzole. Tento konektor bude pro nás nejzajímavějším.
• Na vyměnitelné desce je vpravo nahoře tzv. WAN-port. Jedná se o univerzální sériové rozhraní, se kterým se setkáváme u téměř všech směrovačů CISCO. Na našem směrovači na něj lze připojit jak asynchronní linky, tak synchronní. Používá se snad pro všechny protokoly pro sériové linky (HDLC, PPP, Frame Relay atd.)  do rychlostí 2 Mb/s. Na fyzické vrstvě používá WAN-port pro směrovače CISCO specifické rozhraní   DB-60. Volbou vhodného kabelu pak určíme konkrétní protokol na fyzické vrstvě, kterým bude směrovač komunikovat. Např. pokud chceme komunikovat protokolem V.35, musíme zakoupit speciální kabel, který má na straně směrovače konektor DB-60 a na druhé straně konektor V.35.

 

U jiných modelů směrovačů CISCO se setkáváme mj. s rozhraními: 

• AUX (auxiliary = pomocné rozhraní pro vzdálenou správu). Jedná se o klasický asynchronní port s možností hardwarového řízení toku dat. Na tento port můžeme připojit modem. Konzole je ve své podstatě také takovým portem; je však primárně určena pro lokální konfiguraci směrovače.
• Rozhraní pro jiné typy LAN; zejména rozhraní pro Fast Ethernet a Gigabitový Ethernet.
• Speciální rozhraní pro protokoly WAN, které používají přenosové rychlosti nad 2 Mb/s.

 

Zvláštní kapitolou jsou tzv. Access Servery. Jedná se o specializované směrovače pro připojování většího počtu linek. Klasickým využitím Access Serveru je jeho použití jako přístupového bodu (tzv. POP - point-of-presence), na který přes telefonické připojení přistupují zákazníci poskytovatele Internetu. A to buď analogovým telefonickým okruhem nebo ISDN. Access Server má  baterii asynchronních portů, na které připojujeme modemy. Větší Access Servery tvoří stavebnici, do které se vkládají moduly obsahující příslušný počet portů. Navíc moduly mohou obsahovat i integrované modemy, takže Access Server má pak příslušný počet rozhraní přímo do telefonní sítě. Tj. do našeho Access Serveru pak mohou vést telefonní linky přímo z telefonní ústředny.  Jenže dnešní telefonní ústředny jsou digitální a mohou mít výstup např. linkou E1 (viz obr. 3.17), která pojme až 30 hovorů současně.  Proto je možné při propojení telefonní ústředny s Access Serverem s vloženým modulem pro dělenou E1 přivést jedním kabelem současně až 30 hovorů do Access Serveru. Odpadá tím manipulace s velkým počtem párů kroucených dvojlinek, přiděláváním konektorů na každý par atd.

1.1      Označování rozhraní

Směrovače CISCO mají pro jednotlivé typy rozhraní konkrétní názvy. Např.: „Ethernet“ pro rozhraní Ethernet nebo „Serial“ pro sériové rozhraní. Obdobné je to i v případě linek: „Console“ nebo jen „con“ pro konzoli (ve výpisech označovaný též jako CTY);  „aux“ pro pomocné asynchronní rozhraní, „tty“ pro asynchronní linky a nesmíme zapomenout na „vty“ – síťové terminály (chcete-li v UNIXové terminologii pseudoterminály), na které se budeme připojovat programem telnet přes síť.

 

Jelikož má směrovač více rozhraní musíme, vždy specifikovat nejenom název rozhraní, ale i jeho pořadové číslo, které je dané hardwarovou konfigurací.  Máme-li např. dvě sériová rozhraní, pak jedno bude „Serial 0“ a druhé „Serial 1“, přitom záleží na hardwarové konfiguraci, které je 0 a které 1,, tj. dočteme se to v návodu k hardware.  Na číslo však nesmíme zapomínat, i když náš box bude mít dané rozhraní jen jedno. Tj. číslo musíme uvést např. i při specifikaci konzole, kterou máme jen jednu: „con 0“. 

 

U větších boxů, které jsou stavebnicí, do které vkládáme jednotlivé moduly a každý modul může mít x konkrétních portů, je číslování složitější. Skládá se ze dvou čísel: číslo slotu, do kterého je modul zasunut lomeno číslem portu na konkrtétním modulu. Pokud např. zasuneme modul se dvěma rozhraními Ethernet do nultého slotu,, bude mít náš box mj. rozhraní „Ethernet 0/0“ a „Ethernt 0/1“.

 

Jiná je situace u  síťových linek označovaných vty. Teoreticky se přes síť může např. programem telent současně přihlásit libovolné množství uživatelů. Jak se budou postupně hlásit, tak budou používat linky „vty 0“, „vty 1“ atd. Směrovače CISCO umožňují nakonfigurovat několik linek, tj. teoreticky může být přihlášeno více uživatelů současně. Tím je myšleno, že jsou přihlášeni do systému IOS. Toto číslo neomezuje např. počet uživatelů používajících protokol PPP.

1.2      Kabely

V případě směrovačů CISCO jsou kabely přímo věda.  Při pořizování směrovače je proto dobré si u dodavatele ponechat zadní vrátka tak, abychom si kabely případně mohli zaměnit za takové, které opravdu budeme potřebovat.

 

S připojením LAN jsem neměl problémy – kabely jsem obdržel od správce budovy, který měl na starosti strukturovanou kabeláž. Zajímala mne proto pouze dvě rozhraní: WAN a konzole.

 

WAN port (univerzální sériové rozhraní) mého směrovače  používá  konektor   DB-60. Volbou vhodného kabelu pak určíme konkrétní protokol fyzické vrstvy, kterým bude směrovač komunikovat.  Já jsem chtěl použít protokol V.35, takže jsem si musel obstarat kabel, který měl na straně směrovače konektor DB-60 a na straně modemu rozhraní V.35.

 

I rozhraní V.35 může být  DTE nebo DCE (viz obr. 0.3). DTE je zpravidla koncový počítač, terminál či směrovač a DCE bývá obvykle modem. Jelikož budu používat synchronní přenos, je důležité určit kdo bude zdrojem hodin. Směrovače CISCO implicitně předpokládají, že zdrojem hodin (viz obr. 3.2) je DCE.

 

Později jsem zjistil, že bych potřeboval vyzkoušet vzájemnou komunikaci dvou směrovačů. Byl mi zapůjčen další směrovač. Zajímavým problémem pro mne nastal v okamžiku, kdy jsem chtěl vzájemně propojit oba dva směrovače.  Ležely mi vedle sebe a modemy mi pochopitelně nikdo nepůjčil. Tj. chci přímo propojit dva směrovače CISCO  přes rozhraní V.35. Musím tedy vytvořit nulový modem. Na obr. 3.5 je znázorněno zapojení nulového modemu pro rozhraní V.24. Analogicky lze prokřížením vysílání s příjmu (a obdobně i řídících signálů) vytvořit nulový modem i pro  rozhraní V.35. CISCO takovéto propojení řeší tak, že k jednou směrovači si obstaráme šňůru V.35 DTE a ke druhému šňůru V.35 DCE. Jelikož jedna je samec a druhá samice, lze je zapojit do sebe, čímž  vznikne nulový modem. Jedná se však o synchronní komunikaci, takže jedna strana bude muset být zdrojem hodin a druhá se musí tomuto zdroji podřídit. (Řešení: Konfigurace rozhraní DCE se musí doplnit o příkaz clock)

 

1.3      Paměť

Sěrovače CISCO mají zpravidla tři typy paměti:

• Paměť RAM, do které se zavádí operační systém (nachází se v ní běžící operační systém). Paměť se při vypnutí nebo výpadku proudu vymaže. V příkazech  se mnohdy tato paměť označuje jako „system“.
• FLASH – jedná se o paměť, která se nevymaže při výpadku elektrického proudu. Do této paměti se ukládá operační systém, který se bude při startu zavádět do paměti RAM. Směrovač na obrázku 1.1 má paměť FLASH realizovánu na kartě PCMCIA vkládanou do slotu vpravo dole.
• NVRAM – menší přepisovatelná paměť, která se při výpadku elektrického proudu také nepřemazává. Směrovač si do ní zálohuje konfiguraci operačního systému IOS.

 

Po zapnutí si směrovač zavádí IOS z paměti FLASH. Zaváděný systém je konfigurován podle příkazů uvedených v konfiguračním souboru startup-config  uloženého v paměti NVRAM. Jednotlivé typy paměti se chovají jako souborové systémy. Názvosloví je obdobné jako v systému MS-DOS. Avšak místo disků A:, B:, C: atd. máme souborové systémy flash:, nvram:, system: (pro paměť RAM) atd. Po souborových systémech se v novějších verzích IOS můžeme pohybovat příkazy cd, dir, pwd, delete atd.  Je zde i příkaz copy, kterým může např. zkopírovat konfigurační soubor running-config běžícího  systému IOS do paměti NVRAM, pod jménem startup-config čímž si jej zálohujeme:

 

copy system:running-config nvram:startup-config

(pro stejnou akci máme i starší příkaz write memory).

 

Příkaz copy může mít jako parametr i URL. To nám umožní např. do paměti FLASH vložit novou verzi operačního systému.  Např. následujícím příkazem

 

copy ftp: flash:

 

si z FTP serveru můžete provést upgrade boxu, tj.  zkopírovat novou verzi IOS do paměti FLASH (na údaje, které jste ve specifikaci URL neuvedli, budete dotázáni). Starší verze IOS nepodporovaly protokol FTP, ale pouze protokol TFTP. Pokud si např. na PC spustíme jednoduchý TFTP server, pak si  do jeho kořenového adresáře můžeme např. zálohovat konfiguraci příkazem:

 

copy nvram:startup-config  tftp:

 

Jednoduchý TFTP server pro PC je součástí software, který je na webové stránce  této publikace.

1.4      Konzole

Konzole je asynchronní rozhraní. Toto rozhraní si kabelem propojím s COM portem svého PC. Moje PC se tak stane konzolí, kterou budu  konfigurovat směrovač.

 

Ve výbavě směrovače je šňůra (nulový modem rozhraní V.24) s konektorem RJ-45 na obou stranách. Na straně směrovače můžeme tuto šňůru zapojit přímo do směrovače avšak na straně PC  musíme použít redukci RJ-45 na konektor CANNON 9 (resp. CANNON 25), která je rovněž ve výbavě směrovače.

 

Nyní si na PC spustím aplikaci Terminál (resp. Hyperterminal).  V jeho konfiguraci si nastavím číslo COM portu, na který je šňůra připojena a další parametry linky: rychlost 9600 b/s, 8 bitů, bez parity, 1 nebo 2 stop bity (to je třeba vyzkoušet).  Problém bych měl pouze v případě, kdyby  mi někdo explicitně nastavil jiné hodnoty parametrů pro řízení terminálu v konfiguraci směrovače..

 

Nyní mi na terminálu ožila komunikace se směrovačem. Jenže směrovač  chce od mne heslo, které neznám.  Jedinou možností je při startu ignorovat uloženou startovací konfiguraci směrovače (nvram:startup-config) obsahující heslo a začít se směrovačem pracovat jako by byl úplně nový (původní startovací konfigurace však zůstane zapsána v NVRAM). Takže  jsem směrovač vypnul a opětovně zapnul. Po zapnutí jsem současně stiskl klávesu CTRL s klávesou BREAK. A na terminálu mi naskočil příkazový řádek firmware směrovače, tzv. ROM Monitor (ROMMON).

 

Na tomto příkazovém řádku jsem si spustil příkaz confreg.  Zkušení síťový administrátoři zadají hexadecimálně hodnotu tzv. konfiguračního registru, která při startu způsobí ignorování startovací konfigurace směrovače. Já ale příkaz confreg zadal bez parametrů, takže mi přešel do interaktivního režimu.  Na dotazy jsem odpovídal, že nechci nic měnit. Až jsem se dostal k dotazu „Ignore system config info? y/n“ a odpověděl jsem „y“. Odmačkal  jsem zbylé dotazy příkazu confreg a zadal příkaz boot, který mi zavedl operační systém IOS. A už heslo nebylo vyžadováno. Nabízenou prvotní konfiguraci směrovače  jsem odmítl odpovědí „no“ a  obdržel jsem příkazový řádek systému IOS bez nutnosti zadat  heslo. Příkazem enable jsem se dostal do privilegovaného režimu. Následně jsem příkazem:

 

copy startup-config running-config

 

zkopíroval původní konfiguraci směrovače z NVRAM do operační paměti. Změnil jsem  hesla a takto změněnou konfiguraci jsem z operační paměti příkazem:

 

write memory

 

uložil zpět do paměti NVRAM. Směrovač jsem vypnul a opětovně zapnul. Opět jsem klávesami CTRL a BREAK získal příkazový řádek firmware. Na tomto příkazovém řádku jsem pomocí příkazu confreg uvedl hodnoty konfiguračního registru do původního stavu, tak aby se mi IOS nadále zaváděl ze startovací konfigurace, tj. aby si konfiguraci načetl z NVRAM.

 

Jenže druhý zapůjčený směrovač byl obstarožní se starším typem firmware. A u starších boxů po stisku kláves CTRL a BREAK dostaneme velice jednoduchý příkazový řádek, který se ovládá jednoznakovými povely (není zde příkaz confreg). Povelem O si vypíšeme hodnotu konfiguračního registru, abychom na závěr věděli na co máme konfigurační registr zpět nastavit. Tento výpis také většinou  zobrazí, který bit konfiguračního registru způsobí ignorování startovací konfigurace. Mně se mj. zobrazilo:

Configuration register = 0xFFFF2102 at last boot

 

Pak jsem v mém směrovači  povelem

o/r 0x142

změnil poslední čtyři cifry z výpisu konfiguračního registru na 0xFFFF0142 (142 šestnáctkově mělo v případě mého směrovače  v příslušném bitu konfiguračního registru způsobujícím ignorování  startovací konfigurace jedničku). Následně jsem povelem I provedl inicializaci systému ... . Nakonec jsem povelem

o/r 0x2102 uvedl vše do původního stavu.

 

1.5      Příkazy

Jaké příkazy můžeme kdy používat zjistíme pomocí otazníku (?), který se díky tomu stal mým nejoblíbenějším příkazem.

 

Příklad: Otazník zadaný na příkazovém řádku neprivilegovaného režimu:

Router>?

 

Exec commands:

  access-enable    Create a temporary Access-List entry

  access-profile   Apply user-profile to interface

  clear            Reset functions

  connect          Open a terminal connection

  disable          Turn off privileged commands

  disconnect       Disconnect an existing network connection

  enable           Turn on privileged commands

  exit             Exit from the EXEC

  help             Description of the interactive help system

  lock             Lock the terminal

  login            Log in as a particular user

  logout           Exit from the EXEC

--More--

 

Otazník se dá napsat i v okamžiku, kdy napíšeme prvních pár znaků příkazů a nevíme jak dál. 

Příklad: 

Router>p?

*p=ping  pad  ping  ppp

 

Nebo místo parametrů napíšeme otazník a IOS nám vrátí syntaxi parametrů.

Příklad:

Router>ping   ?

  WORD  Ping destination address or hostname

  ip    IP echo

  tag   Tag encapsulated IP echo

 

Drtivou většinu dále uváděných příkazu lze používat pouze v tzv. privilegovaném režimu, do kterého se dostaneme příkazem enable.  Tento příkaz se nás zpravidla dotáže na heslo (je-li nastaveno). Privilegovaný režim nejčastěji poznáme podle toho, že výzva příkazového řádku nekončí znakem > ale znakem #.

Příklad:

Router>enable

Password: heslo (nezobrazuje se)

Router#

 

1.5.1      Neprivilegovaný režim

V neprivilegovaném režimu můžeme zadávat příkazy, kterými nelze změnit konfiguraci směrovače, tj. nelze zásadně změnit jeho funkčnost.   Uveďme několik příkazů.

 

telnet, ping, traceroute 

Jedná se o obdobu příkazů které známe ze systémů UNIX i Windows. Zajímavé je, že mnohé příkazy pracují i na jiných síťových protokolech než jenom na TCP/IP.

 

terminal

Tímto příkazem může nastavit nejrůznější komunikační parametry terminálu. Je totiž důležité, aby stejné parametry byly nastaveny na obou stranách komunikace, tj. jak v programu emulujícím terminál na PC, tak na straně směrovače. Např. příkazem:

terminal terminal-type vt100

nastavíme typ terminálu na „vt100“. Pokud mám nastaven i na PC typ terminálu  „vt100“, pak mi zpravidla fungují šipky nahoru a dolů, pomocí kterých se pohybuji po historii příkazů. To se mi však nikdy nepodařilo nastavit v programu Hyperterminal, proto místo něj raději používám program TeraTerm.

 

ppp

Pokud se přihlašuji např. po asynchronní lince přes modem na směrovač, abych se skrze něj dostal do Internetu (resp. intranetu), autentizuji se zpravidla jako konkrétní uživatel.  Jak  je popsáno v odstavci „4.4.1 Vytáčení telefonní linky“, po autentizaci mohu získat příkazový řádek IOS, zadávat příkazy IOS (např. i přejít do privilegovaného režimu) a teprve poté spustit příkazem ppp komunikaci v protokolu PPP. Tj. příkaz ppp slouží ke startu protokolu PPP. (Přístup na příkazový řádek IOS je možné pro konkrétní uživatele i potlačit.)

 

show

Pomocí příkazu show si mohu zobrazit nejrůznější informace a statistiky. Co se bude zobrazovat se zadává jako parametr. Např.:

• ip – zobrazí informace o protokolech TCP/IP.  Např.:
• show ip route – výpis směrovací tabulky.
• show ip arp – výpis tabulky protokolu ARP.
• show ip interface – informace o jednotlivých síťových rozhraních.
• terminal – zobrazí nastavení konfiguračních parametrů terminálové linky.
• users – zobrazí informace o přihlášených uživatelích. 
• version – zobrazí stavové informace o hardware a software.

 

login, logout, exit

Pomocí příkazu login se mohu přihlásit jako konkrétní uživatel. Příkazy logout a exit ukončím terminálovou relaci (odhlásím se).

 

enable, disable

Příkazem enable se přihlašuji do privilegovaného režimu. Pokud je nastaveno pro tuto akci heslo, pak jsem na něj dotázán. Příkaz disable je naopak již příkazem privilegovaného režimu, kterým se z privilegovaného režimu odhlašuji zpět do neprivilegovaného režimu.

1.5.2      Privilegovaný režim

V privilegovaném režimu mohu kromě neprivilegovaných příkazů provádět již zmíněné příkazy pro práci se soubory a souborovým systémem: cd, dir, delete, copy, erase (výmaz souborového systému) a zejména mohu provádět příkazy configure (konfigurace směrovače) a debug (výpis přenášených paketů).

 

Podstatně bohatší možnosti zde má i příkaz show. Např.

·         show debugging – zobrazí inforamce o stavu nastavení výpisů.

·         show running-config – zobrazí konfiguraci běžícího systému.

·         show configuration   - zobrazí startovací konfiguraci.

·         show logging – výpis záznamu událostí.

·         show line – zobrazí informace o jednotlivých linkách.

·         show interface – zobrazí aktuální informace o konkrétním rozhraní, které se specifikuje jako parametr. Např.: sho int serial 0. Tímto příkazem zjistíme, zda-li je linka „Up“ nebo „Down“, jednotlivé protokoly jsou „Up“ nebo „Down“  a mnoho dalších informací.

 

1.6      Konfigurace

Směrovač má dvě konfigurace:

·         Aktuální  (Running configuration), tj. konfiguraci aktuálně běžícího IOS, kterou vypisujeme  příkazem show running-config.

·         Zálohovanou konfiguraci v NWRAM, tj. v paměti, která se při výpadku elektrického proudu nevymaže a použije se při následném startu směrovače. Proto se této konfiguraci také říká startovací konfigurace. Vypisujeme ji příkazem show configuration. Aktuální konfiguraci zálohujeme do NVRAM příkazem write memory..

 

V kapitole 1.3 jsme si řekli, že startovací konfiguraci můžeme jako textový soubor stáhnout např. protokolem TFTP či FTP na PC. Zde ji můžeme textovým editorem změnit a opět např. protokolem TFTP zkopírovat zpět do směrovače.

 

Příklad  jednoduchého konfiguračního souboru:

version 12.0

hostname Router

!

enable password heslo1

!

interface Ethernet0

   ip address 195.0.1.195 255.255.255.224

!

interface Serial0

   no ip address

   shutdown

!

line con 0

   transport input none

line vty 0

   password heslo2

   login

!

end

 

Všimněte si,  že konfigurační soubor se skládá z jednotlivých sekcí. Sekce vždy začínají příkazem, který sám začíná od prvního sloupce. V uvedeném příkladu konfiguračního souboru máme tedy následující sekce:

• Version – specifikující verzi IOS.
• Hostanme – specifikující jméno směrovače.
• Sekce začínající „enable password“ specifikuje heslo pro přístup do privilegovaného režimu.
• Sekce začínající „interface Ethernet0“ specifikuje konfiguraci rozhraní Ethernet 0.
• Parametrem „ip address“ specifikujeme IP adresu a masku sítě.
• Sekce začínající „interface Serial0“ specifikuje konfiguraci rozhraní Serial 0. Všimněte si, že parametrem „shutdown“, je toto rozhraní vypnuto („Down“).
• Sekce začínající „line con 0“ specifikuje konfiguraci konzole. Pokud zde není parametr „login“, přihlašujeme se do neprivilegovaného režimu bez hesla.
• Sekce začínající „line vty 0“ specifikuje konfiguraci prvního pseudoterminálu. Všimněte si, že i neprivilegovaný režim vyžaduje přihlášení tj. (parametr „login“). Heslo je pak specifikováno parametrem „password“.
• Poslední sekcí je sekce „end“.

 

Nyní si popíšeme interaktivní  konfiguraci, která je podstatně běžnější.    Tato nejběžnější činnost každého síťového správce se v privilegovaném režimu začíná příkazem:

 

configure terminal

 

Nyní nemáme k dispozici  celoobrazovkový textový editor, kterým bychom editovali konfigurační soubor, ale velice inteligentní řádkový editor. Musíme si na něj trochu zvyknout.

 

Konfiguruje se vždy jedna konkrétní sekce. Konfigurace sekce začíná tím, že po příkazu configure terminal napíšeme celý první řádek sekce.  

 

Pokud bychom si chtěli v naší konfiguraci změnit IP adresu interface Ethernet 0 na 195.0.1.196 s maskou 255.255.255.0, pak provedeme:

 

Router#configure terminal

Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface Ethernet 0

Router(config-if)#no ip address 195.0.1.195 255.255.255.224

Router(config-if)#ip address 195.0.1.196 255.255.255.0

Router(config-if)#^Z

Router# write memory

Building configuration...

[OK]

 

Všimněte si, že původní řádek jsem nejprve musel vymazat příkazem no, který obsahoval jako parametr úplně celý původní řádek.

 

Pokud bych chtěl  v našem příkladu  konfigurace  zprovoznit rozhraní Serial 0 (tj. odstranit příkaz shutdown), uvedl bych při interaktivní konfiguraci  rozhraní Serial 0 příkaz:

 

no shutdown

 

Konfiguraci sekce ukončíme příkazem exit. Celou konfiguraci ukončíme dalším příkazem exit. Pokud chceme z konfigurace sekce rovnou ukončit celou konfiguraci, použijeme ^Z (tj. CTRL + Z).

 

Nesmíme zapomenout, že interaktivně  konfigurujeme konfigurační soubor aktuálního (běžícího) systému. Takže po ukončení  konfigurace je praktické provést zálohování konfigurace příkazem:

 

write memory

 

1.6.1      Nastavení hesla pro privilegovaný přístup

Asi vás překvapilo, že v konfiguračním souboru bylo uvedeno heslo v čistém nezabezpečeném tvaru. Tuto eventualitu jsem zvolil jen pro přehlednost. Hesla je možné ukládat také  v zabezpečeném tvaru („znehodnocena jednocestou funkcí“). Navíc je možná i autentizace za využití  protokolů Radius či TACACS+.

 

Pokud nechceme mít v konfiguraci heslo v čistém tvaru, můžeme si jej případně  převzít znehodnocené jednocestnou funkcí např. z UNIXu.  Tj. nemůžeme heslo nemůžeme  zadat v čistém tvaru, ale  musíme jej mít předem připravené jednocestnou funkcí. 

 

Router#configure terminal

Router(config)#enable pasword  7  kódované_heslo

(s parametrem 0 jsem vyrobil původní konfiguraci s heslem v čistém tvaru)

 

Další možnost je zadat heslo  v čistém tvaru a konfigurační příkaz jej „přežehlí“ jednocestnou funkcí:

 

Router(config)#enable secret  5 heslo

 

1.6.2      Web

Vložíme-li do konfiguračního souboru řádek:

ip http server

spustíme ve směrovači webový server, pomocí kterého  lze konfigurovat náš směrovač (viz  obr. 1.2). Na PC si v prohlížeči do URL napíšeme IP adresu směrovače. Nejprve jsme dotázáni na jméno a heslo. Pokud ve směrovači nemáme explicitně zavedeny uživatele, nevyplníme do výzvy k zadání jména a hesla jméno uživatele ale zadáme např. pouze heslo pro přístup do privilegovaného režimu. Nyní  můžeme začít s komunikací se směrovačem pomocí webového prohlížeče.

 

 

 

 

 

Obr. 1.2 Konfigurace směrovače přes webové rozhraní

1.6.3      ConfigMaker

Jiným prostředkem je program ConfigMaker pro PC, který lze stáhnout z http://www.cisco.com/go/configmaker. Jedná se o velice přívětivý program pro PC (viz obr. 1.3). Program umí funkcí „Detect“ nasát konfiguraci z jednotlivých boxů. Pomocí nástrojů v levých oknech si navrhnete novou síť  nebo jen upravíte Vaší stávající síť.

 

Obr. 1.3 Program ConfigMaker

Na jednotlivé parametry jste interaktivně dotazováni. Vytvoří se tak konfigurace pro všechny vaše boxy, kterou zpět odešlete do jednotlivých boxů funkcí „Deliver“. Program umí i tisknout obrázky konfigurací atd. Nevýhodou je, že pokud bychom se soustředili pouze na takovéto okénkové ovládání a neuměli více, mohli bychom získat pouze povrchní znalosti. Jinou nevýhodou je, že jednotlivé operace poměrně dlouho trvají a zkušený síťař je podle mne udělá rychleji přes terminál.

 

Na druhou stranu, když jsem nemohl přijít na konfiguraci asynchronních linek, vygeneroval jsem si ji pomocí oken programu ConfigMaker a prohlédl si ji. A už  mi bylo na první pohled jasné, kde jsem měl chybu.

 

1.7      Debug

Cílem je zaznamenávat události.  Nás budou zajímat dva typy:

• Události vzniklé činností systému. Sem patří např.: některé z rozhraní přešlo do stavu „Up“ či „Down“, směrovači byla změněna konfigurace atd.
• Události definované správcem. Správce definuje „trap“ (doslovný překlad by byl past, ale asi nejvýstižnější je tyto události  nazývat podmíněnými událostmi). Např.  byl odeslán datový paket určitého protokolu. Dojde-li pak k odeslání takového paketu, zapíše se o tom  záznam do záznamu událostí.

 

Nejprve musíme v konfiguraci specifikovat, kam se budou jednotlivé záznamy událostí zapisovat. To lze udělat  příkazem  logging v konfiguračním souboru:

 

Router# configure terminal

Router(config)# logging console 7

 

Příkaz způsobí výstup záznamu událostí na konzoli. Číslo 7 specifikuje nejpodrobnější výpis. Nižší čísla znamenají méně podrobné výpisy, nula je nejméně podrobný výpis. Pokud budeme chtít zaznamenávat i podmíněné události, přidáme ještě příkaz (důležité zejména při zaznamenávání událostí přes síť protokolem SYSLOG):

Router(config)# logging trap 7

 

Poznamenejme, že pokud nepracujeme přímo na rozhraní console, ale na terminálu, musíme si navíc povolit výstup záznamu událostí na terminál příkazem:

 

Router# terminal monitor

 

Jelikož záznamů může být hodně a můžeme je chtít i dále zpracovávat, je praktická jiná technologie – posílat záznamy událostí protokolem SYSLOG přes síť na SYSLOG server. SYSLOG server je běžně součástí každého UNIXu. Jednoduchý  server pro PC je součástí software, který je na webové stránce  této publikace.

 

Spustíme si SYSLOG server na PC a  na směrovači  napíšeme příkaz:

 

Router(config)#logging IP_adresa_SYSLOG_serveru

Nastartujeme zaznamenávání událostí na počítač o uvedené IP adrese. Pokud byl SYSLOG server již předem nastartován, provede nám uvedený příkaz první záznam. Pokud máme nastaveno i zaznamenávání podmíněných událostí, začnou se objevovat v záznamu.

 

Zbývá nám už jen nastavovat podmíněné události. To se provádí příkazem debug. Jako parametry se uvádějí jednotlivé sledované protokoly. Např.:

 

Router#  debug ip icmp

 

Bude zaznamenávat zprávy protokolu ICMP. Výpis několika ICMP zpráv je na obr. 1.4.

 

Obr. 1.4 Výpis čtyř záznamů obsahující ICMP pakety

Nejedná se  o podrobný výpis paketů, ze kterých by se dala vyčíst např. hesla, ale o pohodlný výpis pro správce sítě, který hledá chybu v konfiguraci. Detailními výpisy paketů se zabývá následující kapitola.

 

Zjistit, jaké máme nastavené podmíněné události, lze příkazem show debug. Které pakety jakých protokolů je možné takto sledovat, popisuje docela tlustý samostatný manuál. Často však vystačíte s otazníkem za příkazem debug.