В этой статье работа с Cisco-коммутаторами и их настройка будет представлена на примере коммутаторов Cisco-Catalyst модели 2960. Существует несколько разновидностей таких устройств (24-портовые, 48-портовые). Каждый из этих портов рассчитан на работу по 10BASET или 100BASETX Ethernet, то есть каждый подключенный через такой порт (посредством UTP-кабеля c RJ45-коннекторами) компьютер может передавать/получать данные на скоростях 10 Mb/s и 100Mb/s. Но в коммутаторах с правой стороны находится два особых порта, где передача информации возможна на скоростях до 1000 Mb/s.
Каждый порт в Cisco-коммутаторах именуется интерфейсом. В настройках, конфигурационных файлах этих устройств каждый из таких портов-интерфейсов обозначаются под конкретным номером, к примеру Fa 0/1, Gi 0/1, где надпись Fa означает работу порта-интерфейса по технологии Fast-Ethernet (порты, работающие на скоростях до 100Mb/s), в надписи 0/1 – 1 – порядковый номер порта; 0 – номер Vlan (виртуальной) сети. Об этих сетях будет рассказано в последней части данной статьи.
Управление работой Cisco-коммутаторов осуществляется посредством операционной системы (ОС), которых в таких устройствах встречается два вида: IOS и Cat_OS. Кстати, последняя разновидности операционки встречается крайне редко, да и основные команды в ней идентичные командам IOS. Поэтому настройка этих устройств будет представлена на примере OC IOS.
Описание коммутаторов
Подготовив для создания компьютерной сети коммутатор, сетевой инженер может увидеть на его передней панели множество RJ-45-портов (для подключения ПК) и несколько (слева) индикаторов. Что показывают эти индикаторы? Так, светящийся SYST-индикатор указывает на нахождения устройства в рабочем состоянии (не горит – электропитание отключено, горит оранжевым цветом – не удалось завершить должным образом процедуру самотестирования). Горящий RPS-индикатор указывает на задействование дополнительного (резервного блока питания). Mode-кнопка переключает устройство в одно из трёх режимов: STAT, DUPLEX, SPEED (напротив соответствующей надписи на передней панели слева будет гореть индикатор).
STAT-режим. Индикатор каждого порта будет светиться зелёным светом - порт находится в нормальном состоянии; мигает зелёным светом – через порт идёт передача информации; светится оранжевым светом – порт либо отключён в целях безопасности, либо сетевой администратор его выключил; не горит – отсутствует соединение через этот порт.
DUPLEX-режим. Индикатор каждого порта горит зелёным светом – соединение работает в дуплексном режиме; не горит – в полудуплексном.
SPEED-режим. Выключенный индикатор – соединение работает на скорости 10 Мб/с; светится зелёным - работает на скорости 100 Мб/с; мигает зелёным - работает на скорости 1000 Мб/с.
Как получить доступ к командной строке IOS?
Есть два способа подключения к коммуникатору: через SSH (22 порт) либо Telnet (23 порт) с помощью специальной программы (Putty) и через консоль.
При первом способе системщик запускает приложение (Putty), выбирает порт, через который будет проходить подключение (22 или 23), указывает ІР-адрес коммутатора и при наличии соединения на экране монитора появится строка ввода команд.
Второй способ заключается в подключении ПК к коммутатору через специальный (находящийся сзади) физический RJ45-разъём. На системном блоке ПК подключение проходит через последовательный СОМ1-разъём. При этом на экране ПК возникнет необходимость ввода специальных параметров соединения:
Port/СОМ1;
Baud-rate/9600;
Data/8 bit;
Parity/none;
Stop/1bit;
Flow-control/ none.
Transmit-delay/0 (в обоих полях ввода).
Безопасность командной строки.
После появления строки ввода команд сетевой администратор может обезопасить коммутатор от доступа к нему посторонних лиц. Делается это следующим образом. При консольном подключении вводится серия команд:
line console 0 – обращение к консольному порту (у него номер 0);
login – задание логина для доступа к строке ввода команд;
password – задание пароля для доступа к строке ввода команд.
При подключении через SSH или Telnet вводится серия команд:
line vty 0 15 – обращение к виртуальным сеансам (у них номера 0…15);
login – задание логина для доступа к строке ввода команд;
password – задание пароля для доступа к строке ввода команд.
Подключение к пользовательскому и привилегированному режиму командной строки
При подключении к строке ввода команд коммутатора через SSH или Telnet или консоль пользователь посредством ввода команд сможет лишь просматривать информацию. Доступ же к её редактированию будет закрыт. Такая возможность работы со строкой ввода команд называется пользовательским интерфейсом. Но при вводе команды enable пользователю откроется возможность работы с привилегированным режимом, в котором больше команд и есть возможность проведения некоторых настроек коммутатора. К примеру, имеющаяся в привилегированном режиме команда reload перезагружает устройство. Но перед началом использования привилегированного режима для его безопасного доступа необходимо задать пароль (команда enable_secret - при вводе команды значок «_» заменяется пробелом). Только при наличии пароля возможна работа в этом режиме.
Подсказки для ввода команд
Команд для настройки коммутатора много и всех их не запомнишь. Поэтому лучшим вариантом решения такой проблемы являются интерактивные подсказки. Как их использовать? Ниже представлен перечень примеров использования интерактивных подсказок:
Команда «?». Ввод этого символа открывает перечень всех доступных для этого режима команд;
Команда «help». Ввод этой команды выводит на экран информацию о правильном использовании интерактивных подсказок;
Команда «Ввод любой команды ?». Выводит на экран текстовую подсказку с первым параметром команды;
Команда «com?». Выводит на экран перечень команд, начинающихся с символов com;
Команда «начальные буквы параметр?». Выводит на экран список параметров команды, начинающихся с указанных символов;
Команда «начальные буквы параметр?». Если перед символом «?» стоит пробел, то система выводит на экран список следующих параметров данной команды.
Переход в режим глобального конфигурирования.
Существует несколько режимов работы с Cisco-коммутаторами: пользовательский (ЕХЕС) режим, режим конфигурирования и режим глобальной конфигурации. Именно в последнем режиме пользователь сможет менять параметры настроек устройства. Как переходить из ЕХЕС-режима в режим конфигурирования – описано выше. А из привилегированно-пользовательского режима в режим глобального конфигурирования переход проводится посредство команды configure terminal. Кстати, именно в этом режиме возможно настраивать как параметры работы всего устройства, так и его отдельного порта-интерфейса. Как уже сказано выше, каждый из портов обозначается Fa 0/1 либо Gi 0/1.
В строке ввода команд ввести co_nfigure ter_minal (при вводе значки нижнего подчёркивания необходимо убирать). Эта команда переводит Cisco-устройство в режим глобально-пользовательского конфигурирования.
В строке ввода команд ввести ho_stname Fr_ed (при вводе значки нижнего подчёркивания необходимо убирать). Эта команда присваивает имя устройству.
В строке ввода команд ввести li_ne vty 0 15 (в процессе ввода символы с нижним подчёркиванием извлекаются). Такая команда даст возможность залогиниться при переходе в привилегированно-пользовательский режим виртуального подключения
В строке ввода команд ввести pass_word ho_pe (в процессе ввода символы с нижним подчёркиванием извлекаются). Такая команда даст возможность ввести пароль при переходе в привилегированно-пользовательский режим
В строке ввода команд ввести inter_face FastEther_net 0/5 (при вводе значки нижнего подчёркивания необходимо убирать). Эта команда переводит устройство в режим конфигурирования интерфейса под номером 5.
В строке ввода команд ввести spe_ed 100 (при вводе значки нижнего подчёркивания необходимо убирать). Установка рабочего режима для интерфейса на скорости 100 Мб/с.
В строке ввода команд ввести ex_it (в процессе ввода символы с нижним подчёркиванием извлекаются). Такая команда даст возможность выйти из привилегированного режима.
Внутреннее устройство Cisco-коммутатора.
Коммутатор работает под управлением ОС IOS, образ которой находится во флэш-памяти (съёмном модуле-микросхеме) и запускается посредством утилиты самозагрузки (находится в ПЗУ). После запуска и размещения в ОЗУ коммутатора ОС Cisco-IOS принимает на себя управление устройством. В ОЗУ находится не только файлы ОС, но и текущая конфигурация. Понятно, что после перезагрузки устройства все файлы, в том числе и файлы текущей конфигурации будут стёрты. Но ведь при работе устройство вместе с загрузкой ОС откуда-то же загружается конфигурация интерфейсов, самой ОС. А загружаются файлы начальной конфигурации, которая находится в энергонезависимой памяти (NVRAM). Попадая в ОЗУ коммутатора, начальная конфигурация становится текущей конфигурацией. Все изменения в файлах конфигурации отображаются в только в текущей конфигурации. Как посмотреть содержимое текущей конфигурации. Для этого необходимо:
В строке ввода команд ввести sh_ow start_up-config (при вводе значки нижнего подчёркивания необходимо убирать). Эта команда указывает параметры начальной (находящейся в NVRAM) конфигурации.
Видно, что в начальной конфигурации имя устройства не изменилось (написано hostname Alex). После перезагрузки коммутатора текущая конфигурация будет стёрта из ОЗУ, а начальная же конфигурация остаётся без изменений. Но что делать, если нужно сохранить изменения в конфигурации. Кому-то, например, хочется увековечить себя, присвоив своё имя коммутатору. Необходимо внести изменения в начальную конфигурацию. Об этом ниже.
Сохранение собственных изменений в конфигурацию.
Возможность вносить изменения в текущую конфигурацию устройства является, конечно, хорошим делом, но только на один сеанс. То есть после перезагрузки или выключения/включения устройства все проведенные в текущей конфигурации изменения будут уничтожены. Как же сохранить изменения? Для этого необходимо скопировать содержимое текущей конфигурации в начальную. Делается это так:
В строке ввода команд вводится copy running#config startup#config (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое текущей конфигурации в энергонезависимую память (начальную конфигурацию). Теперь после перезагрузки все внесённые ранее изменения в ОЗУ будут сохранены.
Прежде чем что-либо сохранять лучше сначала после внесения изменений в текущую конфигурацию сначала протестировать работу коммутатора. Если внесённые изменения не позволяют полноценно работать устройству, то параметры текущей конфигурации заменяются параметрами начальной. Делается это так:
В строке ввода команд вводится copy startup#config running#config (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое начальной конфигурации в ОЗУ коммутатора (текущую конфигурацию). Теперь устройство будет работать с установленными по умолчанию параметрами.
При сохранении и копирования файлов с/на TFTP-сервер вводятся следующие команды:
В строке ввода команд вводится copy tftp startup#config (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое TFTP-сервера в энергонезависимую память (начальную конфигурацию).
В строке ввода команд вводится copy tftp running#config (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое TFTP-сервера в ОЗУ коммутатора (текущую конфигурацию).
В строке ввода команд вводится copy startup#config tftp (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое энергонезависимой памяти (начальной конфигурации) в TFTP-сервер.
В строке ввода команд вводится copy running#config tftp (при вводе значки «#» необходимо заменить на «_»). Эта команда копирует содержимое ОЗУ коммутатора (текущей конфигурации) на TFTP-сервер.
Параметры подключений через Telnet/SSH и консольного подключения
Можно настроить Cisco-коммутатор таким образом, чтобы пользователь на экране мог увидеть текст информационного сообщения. Существует три типа информационных сообщений: MOTD, отображающийся перед появлением приглашения для аутентификации; LOGIN, отображающийся после MOTD, но перед приглашением аутентификации (указывает на безуспешные попытки аутентифицироваться); EXEC, отображающийся после успешной аутентификации.
Все три перечисленные выше типы информационных сообщений настраиваются посредством команды banner #, первым параметром которого указывается тип сообщения. Ниже представлен пример использования команды настройки сообщений.
Как сконфигурировать ІР-адрес коммутатора.
Для обеспечения доступа к Cisco-коммутатору через Telnet/SSH-протоколы, а также обеспечить разрешение других ІР-протоколов взаимодействовать с коммутатором, к примеру, SNMP-протоколу, устройство должно иметь свой ІР-адрес. Как же его присвоить присвоить коммутатору?
Такая работа проводится в 4 этапа:
1. Переход из режима глобальной конфигурирации в режим конфигурирования VLAN1-сети посредством команды interface#vlan#1, при вводе которой значок «#» заменяется пробелом.
2. Присвоение устройству ІР-адреса и маски посредством команды ip/address#(прописывается ір_адрес устройства)#(прописывается маска устройства), при вводе которой значок «#» заменяется пробелом.
3. Включение виртуального интерфейса VLAN1-сети посредством команды no/shutdown, при вводе которой значок «#» заменяется пробелом.
4. Указание стандартного шлюза устройства в режиме глобальной конфигурации посредством команды ір#default-gateway# (прописывается ір-адрес шлюза), при вводе которой значок «#» заменяется пробелом.
Настройка VLAN-сетей.
Интерфейсы Cisco-коммутаторов могут работать как в режиме сетевого доступа, так и в trunking-режимах. Первый режим – приём/отправка фреймов в одной VLAN-сети, второй - приём/отправка фреймов во многих VLAN-сетях. Ниже приведена последовательность создания новой VLAN-сети и привязка к ней отдельный интерфейсов. Такая операция выполняется в несколько этапов.
1. Новая VLAN-сеть настраивается следующими действиями.
При переходе в режим глобальной конфигурации прописывается команда vlan#номер (в процессе ввода вместо # ставится пробел) для создания виртуальной сети и переход в подрежим конфигурирования.
Посредством команды vlan#имя (в процессе ввода вместо # ставится пробел) задаётся удобное для VLAN-сети имя.
2. Для привязки к VLAN-сетям интерфейсов выполняются следующие действия.
Посредством команды interface выполняется режим конфигурирования нужного интерфейса.
Посредством команды switchport#access#vlan#номер_сети (в процессе ввода вместо # ставится пробел) определённый интерфейс привязывается к VLAN-сети.
Посредством команды switchport#mode#access (в процессе ввода вместо # ставится пробел) выполняется отключение возможности trunking-режима.
Ниже приведена последовательность ввода команд для выполнения данной операции.
В строке ввода команд вводится ena_ble (при вводе значок «_» заменяется пробелом). Эта команда открывает режим привилегированного пользователя.
В строке ввода команд вводится con_figure term_inal (при вводе значки нижнего подчёркивания необходимо убирать). Эта команда открывает режим глобальной конфигурации.
В строке ввода команд вводится vlan#2 (в процессе ввода вместо # ставится пробел). Создаётся виртуальная сеть и переход в подрежим конфигурирования.
В строке ввода команд вводится name#Freddy_vlan (в процессе ввода вместо # ставится пробел). Для VLAN-сети задаётся имя.
В строке ввода команд вводится ex_it (в процессе ввода символы с нижним подчёркиванием извлекаются). Такая команда даст возможность выйти из режима конфигурирования.
В строке ввода команд вводится interface#range#fastethernet 0/13 – 14 (в процессе ввода вместо # ставится пробел). Делаетсявход в режим конфигурирования интерфейсов с номерами 13-14.
В строке ввода команд вводится switchport#access#vlan 2 (в процессе ввода вместо # ставится пробел). Делаетсяпривязка интерфейсов с номерами 13-14 к VLAN2-сети.
В строке ввода команд вводится ex_it (в процессе ввода символы с нижним подчёркиванием извлекаются). Такая команда даст возможность выйти из режима конфигурирования.
В строке ввода команд вводится show/running_config (при вводе значок «/» заменяется пробелом), чтобы посмотреть произошедшие изменения в конфигурации устройства.
Заключение
Для повышения безопасности использования Cisco-коммутатора ниже приведён список рекомендаций по настройкам неиспользуемых интерфейсов.
Командой shutdown (в подрежиме конфигурирования интерфейса) административно отключается каждый неиспользуемый интерфейс.
Командой switchport#mode#access (в процессе ввода вместо # ставится пробел) в подрежиме конфигурирования интерфейса порт переводится в access-режим доступа к сети с целью отключения автоматического согласования trunking-режима и VTP-протокола.
Командой switchport#access#vlan#номер (в процессе ввода вместо # ставится пробел) в подрежиме конфигурирования интерфейса выполняется привязка всех неиспользуемый портов к неиспользуемой VLAN-сети.
