Certyfikaty firmy Cisco pogrupowane są w trzech poziomach - Network Installation & Support, Network Engineering & Design, Cisco Qualified Specialist. CCNA (Cisco Certified Network Associate) jest pierwszym stopniem na poziomie dotyczącym umiejętności w zakresie instalacji sieci i świadczenia pomocy technicznej; następne stopnie na tym poziomie to: CCNP (Cisco Certified Network Proffesional) i CCIE (Cisco Certified Internetworking Expert).
Certyfikat CCNA przeznaczony jest dla specjalistów od niewielkich sieci (do 100 stanowisk) i potwierdza umiejętności w zakresie instalacji i konfiguracji routerów i przełączników Cisco w sieciach LAN i WAN (poprawa wydajności i bezpieczeństwa sieci oraz usuwanie problemów). Kandydat może wybrać dowolny sposób przygotowania się do egzaminu, w szczególności edukację zdalną.
Kurs konfiguracji i użytkowania routerów Cisco składa się z serii artykułów przedstawiających szczegółowo czynności, jakie administrator musi wykonać począwszy od momentu pierwszego włączenia routera, poprzez skonfigurowanie interfejsów, aż do uruchomienia odpowiedniego procesu routingu i wdrożenia zaplanowanej polityki bezpieczeństwa.
Autorzy Waldemar Pierścionek i Piotr Zejer są instruktorami i inżynierami systemowymi w firmie DC Edukacja, która specjalizuje w szkoleniach technicznych dla administratorów i inżynierów Microsoft i Cisco, przeprowadza również egzaminy VUE i Prometric. Posiada ośrodki szkoleniowe w Warszawie, Wrocławiu, Gdańsku i Kielcach.
W tym artykule szczegółowo omówimy tryb konfiguracyjny oraz współpracę z serwerem TFTP. Zapoznamy także czytelników z wybranymi poleceniami konfiguracyjnymi, m.in. z komendami dotyczącymi interfejsów routera i poleceniem show, pozwalającym przeglądać różne elementy konfiguracji. Przedstawimy proces poszukiwania i ładowania systemu operacyjnego, sterowany poprzez rejestr systemowy i skrypt konfiguracyjny. Prezentowane przykłady wykorzystują router serii 2600 z systemem operacyjnym IOS 11.3.
Rozważmy typową sieć lokalną firmy, z której użytkownicy mają dostęp do Internetu poprzez łącze dzierżawione. Do sterowania przepływem informacji między siecią LAN a Internetem potrzebny jest router sprzętowy lub programowy (patrz schemat poniżej). To obecnie bardzo częste zastosowanie routerów, chociaż są one również wykorzystywane jako urządzenia sterujące ruchem w sieciach wielosegmentowych. Routery stosuje się też w strukturach wielooddziałowych, w których łączność realizowana jest z wykorzystaniem usług sieci rozległej WAN. Oprócz adresowania i trasowania pakietów routery odpowiedzialne są za optymalizowanie komunikacji sieciowej poprzez rozdzielenie tzw. domen rozgłoszeniowych.
Typowe zastosowanie routera - między siecią LAN a Internetem
Pierwszą czynnością administratora po zakupie lub rozbudowaniu routera jest ustanowienie połączenia z routerem poprzez port konsoli. Każdy router Cisco wyposażony jest w jeden taki port (interfejs RS-232 lub RJ-45), do którego podłączyć można terminal znakowy lub komputer z emulatorem terminala (np. HyperTerminal w systemach Windows). Za pomocą terminala administrator może przeprowadzić proces konfiguracji routera. Pamiętać należy, iż poprawna komunikacja z routerem wymaga ustawienia odpowiednich parametrów transmisyjnych terminala - zwykle stosuje się: terminal typu VT100, prędkość 9600 (chociaż w rejestr routera można wpisać inną wartość), 8 bitów danych, 1 bit stopu, transmisję bez parzystości.
Po włączeniu routera w oknie terminala pojawi się zestaw komunikatów związanych ze startem routera. Proces uruchamiania routera składa się z kilku etapów i jest inicjowany przez program rozruchowy (bootstrap), znajdujący się w pamięci ROM. Po przeprowadzeniu testów diagnostycznych sprzętu w ramach procedury POST, w której sprawdza się m.in. działanie procesora, pamięci i interfejsów, poszukiwany jest i ładowany obraz systemu operacyjnego IOS - zgodnie z ustawieniami w rejestrze routera oraz poleceniami zawartymi w skrypcie konfiguracyjnym.
Większość routerów zawiera pamięć Flash. Jest to pamięć typu EEPROM, jej zawartość może być wielokrotnie usuwana i zapisywana ponownie. Zawartość pamięci Flash nie ginie po wyłączeniu routera, dlatego przeznaczona jest przede wszystkim do przechowywania wielu kopii systemu operacyjnego IOS. Zwykle początkowo w pamięci Flash znajduje się tylko jeden obraz systemu operacyjnego (zwany domyślnym plikiem systemu operacyjnego) i właśnie on zostanie załadowany po pierwszym włączeniu routera. Pamiętać jednak należy, że niektóre routery (Cisco 2500, 4000, 4500) przechowują minimalną wersję systemu operacyjnego bezpośrednio w pamięci ROM. Inne, np. routery serii 7000 i 7500, wczytują pełen obraz systemu operacyjnego z pamięci ROM.
Po załadowaniu systemu operacyjnego poszukiwany jest skrypt konfiguracyjny, zawierający parametry definiujące pracę routera (np. hasło dla trybu uprzywilejowanego) oraz poszczególnych jego części (np. interfejsów). Skrypt konfiguracyjny zapisywany jest w nieulotnej pamięci NVRAM, skąd przy każdym ponownym uruchomieniu routera może być odczytany i załadowany do pamięci operacyjnej RAM. Aktualna konfiguracja oraz wszelkie dokonywane w niej zmiany przechowywane są tylko w pamięci RAM, aby więc utrwalić wprowadzane przez administratora modyfikacje, należy ręcznie zapamiętać tę konfigurację w pamięci NVRAM jako konfigurację startową. Przy pierwszym uruchomieniu routera skrypt konfiguracyjny w pamięci NVRAM nie istnieje, co powoduje automatyczne uruchomienie dialogu konfiguracyjnego.
Dialog konfiguracyjny - ustawienie haseł dostępu
Configuring global parameters:
Enter host name [Router]: C2600
The enable secret is a password used
to protect access to privileged EXEC
and configuration modes. This password,
after entered, becomes encrypted
in the configuration.
Enter enable secret: haslo1
The enable password is used when you
do not specify an enable secret password,
with some older software versions, and
some boot images.
Enter enable password: haslo2
The virtual terminal password is used
to protect access to the router over
a network interface.
Enter virtual terminal password: haslo3
Dialog konfiguracyjny to interaktywna sekwencja pytań i odpowiedzi, pozwalających utworzyć pierwszą, bazową konfigurację routera. Dialog wywoływany jest również w przypadku usunięcia zawartości pamięci NVRAM lub po uruchomieniu routera w specjalnym trybie naprawczym z pominięciem odczytywania pamięci NVRAM. Administrator pracujący w trybie uprzywilejowanym może także w dowolnej chwili uruchomić dialog konfiguracyjny poleceniem SETUP. Zbiór parametrów, jakie można ustawić bezpośrednio w dialogu konfiguracyjnym, zależy od modelu routera i wersji systemu operacyjnego. Obok przedstawimy przykładowy dialog konfiguracyjny dla routera 2600 z systemem 11.3.
Po wyświetleniu pierwszego pytania wciskamy klawisz Enter, aby wejść do trybu interaktywnego. Niewątpliwie warto wyświetlić na ekranie podsumowanie dotyczące aktualnej konfiguracji interfejsów, w tym celu w odpowiedzi na drugie pytanie wciskamy ponownie Enter, zatwierdzając proponowaną domyślną wartość podaną w nawiasach kwadratowych. W pierwszej kolumnie wyświetlonego zestawienia sprawdzić można, jak oznaczane są w danym routerze poszczególne interfejsy. Nazwa interfejsu składa się z typu (np. Ethernet lub Serial) oraz numeru. W routerach niemodularnych (poniżej rodziny 2600) numer interfejsu jest pojedynczą liczbą (np. Serial 0, Ethernet 1), natomiast w routerach modularnych, które mogą być rozbudowywane o kolejne karty interfejsów, stosuje się zestaw dwu liczb w notacji nr_karty/nr_portu (np. Serial 0/1 oznacza drugi port szeregowy na pierwszej karcie). W routerach serii 7000 i 7500, wyposażonych w złącza (slot) dla kart VIP, oznaczenie interfejsu złożone będzie z trzech liczb, zgodnie z konwencją nr_karty_VIP/nr_karty/nr_portu (np. Ethernet 1/0/1).
Następne kolumny podsumowania dotyczącego interfejsów zawierają informacje o przypisanych adresach IP, aktualnym statusie pracy interfejsu i wybranym protokole warstwy łącza danych. Zauważmy, że domyślnie wszystkie interfejsy są wyłączone (status oznaczony jako down), nie mają adresów IP ani określonego protokołu warstwy łącza danych. W kolejnych etapach dialogu konfiguracyjnego zdefiniować należy parametry globalne, w tym logiczną nazwę urządzenia wykorzystywaną w różnych procesach identyfikacyjnych oraz trzy hasła dostępowe wykorzystywane na routerze.
Pierwsze hasło, oznaczone jako enable secret, chroni dostępu do trybu uprzywilejowanego, w którym administrator może uruchamiać wszystkie polecenia, a także przeprowadzać dowolne zmiany konfiguracyjne. Konieczność zabezpieczania tego trybu przed nieautoryzowanym dostępem jest więc bezdyskusyjna. Hasło enable secret przechowywane jest w postaci zaszyfrowanej. Aby zapewnić zgodność z wcześniejszymi wersjami systemu operacyjnego, w dialogu konfiguracyjnym pozostawiono możliwość zdefiniowania również hasła enable password. Hasło to także chroni dostępu do trybu uprzywilejowanego, ale jest wykorzystywane tylko w starszych wersjach systemu oraz wtedy, gdy hasło enable secret nie jest zdefiniowane. Ponieważ enable password przechowywane jest w postaci niezaszyfrowanej, zalecane jest stosowanie enable secret. Trzecim wymagane hasło chroni dostępu do routera poprzez linie terminali wirtualnych VTY, zwykle są to połączenia z wykorzystaniem protokołu telnet. Standardowo router udostępnia pięć linii wirtualnych VTY. Należy zauważyć, że domyślnie dostęp do routera poprzez linię konsoli nie jest zabezpieczany żadnym hasłem.
Skróty klawiszowe
Kombinacja
Działanie
strzałka w górę lub Ctrl_P
poprzednie polecenie w historii poleceń
strzałka w dół lub Ctrl_N
następne polecenie w historii poleceń
Ctrl_A
przejście na początek linii
Ctrl_E
przejście na koniec linii
Tab lub Ctrl_I
dokończenie polecenia
Ctrl_C
wyjście z trybu interaktywnego
Ctrl_Z (polecenie End)
wyjście z trybu konfiguracyjnego
Ctrl_^ (Ctrl_Shift_6)
przerwanie wykonywanego polecenia
Ctrl_Shift_6+x
chwilowe opuszczenie zdalnej sesji telnetowej
? (polecenie Help)
system pomocy
Enter
następny wiersz w trybie "-More-"
Odstęp
następna strona w trybie "-More-"
Q
wyjście z trybu "-More-"
Ctrl_Break
wywołanie z konsoli trybu monitora pamięci ROM
Po określeniu haseł, w dialogu konfiguracyjnym pojawia się możliwość zdefiniowania społeczności protokołu SNMP, w której pracować będzie router. Domyślnie proponowana jest społeczność Public i początkowo można tę nazwę pozostawić bez zmiany. Właściwe zdefiniowanie społeczności może mieć duże znaczenie dla pracujących w trybie graficznym programów do zdalnego zarządzania routerem, które działanie opierają na protokole SNMP. Kolejne pytania dialogu konfiguracyjnego dotyczą protokołów routingu dynamicznego, takich jak RIP czy IGRP. Można początkowo pozostawić proponowane, domyślne ustawienia lub wyłączyć routing dynamiczny.
Ostatnia sekcja dialogu konfiguracyjnego pozwala w pętli zdefiniować parametry dotyczące poszczególnych interfejsów routera, np.: adres IP czy maska podsieci. Po udzieleniu odpowiedzi na wszystkie pytania pojawia się możliwość przejrzenia zdefiniowanych ustawień oraz zapamiętania konfiguracji startowej w pamięci NVRAM. Odpowiednia opcja w menu wyboru pozwala opuścić dialog konfiguracyjny bez zapamiętywania zmian. Z trybu dialogu można także wyjść w dowolnej chwili, wybierając kombinację Ctrl_C. W ramce zamieszczamy fragment dialogu konfiguracyjnego z pytaniami dotyczącymi nazwy routera oraz haseł dostępu.
Po zapamiętaniu konfiguracji startowej oraz po ponownym uruchomieniu routera administrator podłączony do routera poprzez port konsoli automatycznie uzyskuje dostęp do trybu wykonywania poleceń, zwanego trybem EXEC. Tryb EXEC pozwala na pracę na szesnastu poziomach uprzywilejowania, choć zwykle wykorzystywane są tylko dwa: poziom użytkownika (poziom 1) oraz poziom uprzywilejowany (poziom 15). Poziomem domyślnym - oznaczanym przez znak zachęty zakończony symbolem ">" - jest poziom użytkownika, na którym dostępne są tylko niektóre polecenia sprawdzające status routera oraz definiujące pracę terminala.
Listę dostępnych poleceń w dowolnym trybie pracy routera wyświetlić można przez wciśnięcie znaku "?". W trakcie wpisywania poleceń o złożonej składni wciśnięty znak "?" przywołuje kontekstową pomoc z informacjami o kolejnych parametrach czy słowach kluczowych wymaganych w danym poleceniu. Bardzo użyteczną cechą systemu operacyjnego jest rozróżnianie poleceń na podstawie wpisanych początkowych znaków nazwy. Wpisana część nazwy komendy musi jednoznacznie identyfikować polecenie, np. słowo en oznaczać będzie w praktyce polecenie enable. System operacyjny pamięta również historię ostatnio wykonywanych poleceń, po której w większości terminali poruszać można się za pomocą klawiszy kierunkowych w górę i w dół.
Pełen zestaw poleceń łącznie z trybem konfiguracyjnym przypisany jest do poziomu uprzywilejowanego oznaczanego znakiem zachęty zakończonym symbolem "#" (poziomy 2 - 14 też oznaczane są symbolem "#"). Aby przejść na poziom 15, należy wykonać polecenie enable, pamiętając o tym, że dostęp do poziomu uprzywilejowanego chroniony jest hasłem enable secret, zdefiniowanym w dialogu konfiguracyjnym (jeżeli zdefiniowane jest hasło enable secret, nie można wykorzystać hasła enable password do przejścia na poziom 15). Powrót na poziom domyślny (poziom 1) realizowany jest poleceniem disable.
Ponieważ interaktywny dialog konfiguracyjny nie pozwala na zdefiniowanie wszystkich parametrów pracy routera, administrator będzie musiał dokończyć proces konfiguracji ręcznie z wykorzystaniem specjalnego trybu pracy routera, zwanego trybem konfiguracyjnym. Tryb ten (podobnie jak tryb śledzenia, wywoływany poleceniem debug) zarezerwowany jest dla poziomu uprzywilejowanego, a wchodzi się do niego komendą configure - pozwala ona skonfigurować router trzema różnymi metodami:
· Terminal (metoda domyślna) - konfiguracja ręczna poprzez wykonywanie poszczególnych poleceń z poziomu terminala,
· Memory - wczytanie pełnej konfiguracji z pamięci NVRAM (konfiguracja startowa) do pamięci RAM,
· Network - wczytanie skryptu konfiguracyjnego z serwera sieciowego TFTP.
Po wejściu do trybu konfiguracyjnego z opcją domyślną zmienia się odpowiednio znak zachęty, zgodnie z notacją: Nazwa_routera(config)#. Wyróżniamy trzy rodzaje poleceń konfiguracyjnych: globalne, główne i podpolecenia. Komendy globalne, zapisywane w pojedynczej linii, definiują parametry dotyczące pracy routera jako ca...
SILVER_1985