Konfigurace Cisco směrovače V tomto textu najde čten{ř z{kladní příkazy pro konfiguraci směrovačů s operačním systémem IOS firmy Cisco, informace o režimech pr{ce směrovače, konfiguraci směrovací tabulky při statickém a dynamickém směrov{ní. Klíčové pojmy: Neprivilegovaný a privilegovaný režim, konfigurační režim, emulátor směrovače. Směrovače a emul{tory směrovačů Jednotlivé konfigurační příkazy je dobré nejprve vyzkoušet pomocí vhodného emul{toru směrovače, teprve jsme-li si jisti tím, co příkazem ovlivníme, můžeme přistoupit k nastavov{ní skutečného směrovače. Také je dobré (až nutné) před jakoukoli změnou ve směrovacích tabulk{ch mít z{lohov{n předchozí stav, abychom v případě výskytu problémů mohli přejít k předchozí konzistentní verzi. Pro Cisco směrovače je k dispozici několik emul{torů, např. Paket Tracer, výukový systém od firmy Cisco Systems, kde lze simulovat takřka jakoukoli síť složenou z Cisco síťových prvků. Tento software je dostupný všem členům Cisco Networking Academy. Dalším emul{torem, kde lze konfiguraci směrovače vyzkoušet je např. volně dostupný emul{tor Dynagen. Tento emul{tor je schopen napodobit chov{ní směrovačů řady Cisco 7200, Cisco 1700, Cisco 3600, Cisco 3700, Cisco 2600. K propojení s re{lným síťovým rozhraním na počítači, kde emulace probíh{, slouží knihovna WinPcap, k vlastní konfiguraci routerů je vhodné např. PuTTy. Režimy pr{ce směrovače Směrovače pracují ve třech z{kladních režimech: Uživatelský neprivilegovaný režim Uživatelský privilegovaný režim Konfigurační režim Při přihl{šení se dostaneme do neprivilegovaného uživatelského režimu. Mezi režimy lze přepínat, při přepnutí do privilegovaného uživatelského režimu je nutn{ autentizace heslem, přepnutí provedeme příkazem enable. Zpět do neprivilegovaného režimu n{s přepne příkaz exit. Do konfiguračního režimu směrovače se lze dostat z privilegovaného uživatelského režimu příkazem configure terminal, zpět do privilegovaného režimu opět příkazem exit. 11/6/2010 www 1
N{pověda V kterémkoli z režimů je k dispozici n{pověda?, kter{ za n{s doplní příkaz v případě, že si nejsme jisti jeho spr{vnou syntaxí (např. sh?... show), případně vypíše seznam dostupných příkazů (?). Chceme-li např. v neprivilegovaném uživatelském režimu zjistit, jaké příkazy m{me k dispozici, za prompt v příkazovém ř{dku napíšeme otazník (?). Odpovědí zařízení bude například takovýto seznam příkazů: enable exit logout ping show traceroute Příkaz navíc nemusíme vypsat celý, stačí napsat tolik poč{tečních písmen příkazu, aby z nich jednoznačně vyplynulo, o jaký příkaz se jedn{. Např. místo příkazu show můžeme použít pouze sh apod. Negace všech dostupných příkazů se prov{dí přid{ním slovíčka no před vlastní příkaz. Např. chceme-li zastavit výpis příkazu debug, napíšeme no debug. Uživatelský neprivilegovaný režim Umožňuje vypsat HW konfiguraci zařízení, dostupn{ rozhraní, typ operačního systému. Pozn{me jej podle znaku > za jménem zařízení. Příkazy: enable přechod do privilegovaného režimu logout ukončení práce s příkazovou řádkou ping ověření funkčnosti rozhraní show zobrazí různé informace a statistiky, např. ip informace o protokolech TCP/IP, např. show ip route vypíše směrovací tabulku version typ zařízení a na něm běžící SW interfaces rozhraní směrovače, informace o konkrétním rozhraní traceroute zobrazení cesty paketu k cíli přes jednotlivá zařízení např. show interfaces FastEthernet 0/0 V příkazu je možné použít nepovinný parametr acounting, který vypíše počet paketů jednotlivých protokolů odeslaných/přijatých každým z rozhraní. Např. příkaz show interfaces acounting vypíše: Interface TokenRing0 is disabled Ethernet0 Protocol Pkts In Chars In Pkts Out Chars Out IP 873171 735923409 34624 9644258 11/6/2010 www 2
Interface Serial0 is disabled Ethernet1 Interface Serial1 is disabled atd... Novell 163849 12361626 57143 4272468 DEC MOP 0 0 1 77 ARP 69618 4177080 1529 91740 Protocol Pkts In Chars In Pkts Out Chars Out IP 0 0 37 11845 Novell 0 0 4591 275460 DEC MOP 0 0 1 77 ARP 0 0 7 420 Uživatelský privilegovaný režim Režim pro spr{vu zařízení, můžeme z něj vypisovat detailnější informace o stavu a činnosti zařízení i spouštět příkazy, které ovlivní okamžitou činnost a stav zařízení. V tomto režimu nelze ovlivňovat konfiguraci zařízení. Příkazy se pouze provedou, nebudou ale trvalou souč{stí konfigurace zařízení. Přesto lze konfiguraci aktu{lně běžící uložit z privilegovaného režimu do startovní konfigurace, případně nat{hnout konfigurace odjinud. Režim pozn{me podle znaku # za jménem zařízení. Příkazy: Všechny příkazy dostupné z neprivilegovaného režimu + další, např. příkazy pro pr{ci se soubory a souborovým systémem, výpisy konfigurace a přen{šených paketů. cd, dir, delete, copy příkazy pro práci se soubory a adresáři erase vymazání souborového systému debug diagnostika, tento příkaz používat opatrně, jeho výstup je obsáhlý a může zahltit CPU disable přechod zpět do neprivilegovaného režimu show running-config zobrazí běžící konfiguraci zařízení show configuration zobrazí startovní konfiguraci zařízení copy running-config startup-config nakopíruje stávající kofiguraci do startovní Pokud se přihl{síme na směrovač, je vhodné před z{sahy do konfigurace nejprve zjistit jeho st{vající konfiguraci. Po přihl{šení je tedy dobré začít přihl{šením do privilegovaného režimu (příkazem enable) a pokračovat příkazy pro výpis: Router#show interfaces Vypíše připojená zařízení Router#show ip protocols Router#show ipv6 protocols 11/6/2010 www 3
Vypíše informace o směrovacích protokolech Router#show ip route Router#show ipv6 route Vypíše směrovací tabulku Router#show ip arp Vypíše arp tabulku (pro Ipv4) Router#show ipv6 neighbors Vypíše sousedy (sousední směrovače pro Ipv6) Teprve poté přikročíme k vlastní úpravě konfigurace zařízení, a to přepnutím do konfiguračního režimu. Konfigurační režim Směrovače CISCO mají dvě konfigurace, a to konfiguraci aktu{lní, pr{vě běžícího IOS a konfiguraci z{lohovanou v NVRAM paměti (startovní konfigurace). Startovní konfigurace je textový soubor, který můžeme ze směrovače st{hnout na lok{lní počítač (např. protokolem TFTP nebo FTP), upravit a nakopírovat zpět do směrovače. Konfigurace zařízení je hierarchick{, můžeme pracovat s obecnou (glob{lní) konfigurací či s konfigurací specifickou (konfigurace procesu, rozhraní atd.). Konfigurační režim pozn{me podle výzvy (config)#. Příkazy: write memory zálohuje aktuální konfiguraci do NVRAM paměti hostname změna (přiřazení) jména zařízení interface [jaké rozhraní] přechod k lokální konfiguraci zařízení end, exit, ctrl-z návrat do privilegovaného režimu enable secret [heslo] nastavení hesla pro privilegovaný režim ip adress [adresa] [maska] nastavení IP adresy a masky zařízení Glob{lní konfigurace V konfiguračním režimu nejprve pojmenujeme zařízení příkazem hostname: Router(config)#hostname Alice Alice(config)# D{le můžeme našemu směrovači přiřadit DNS server: Alice(config)# ip name-server aa.bb.cc.dd Konfigurace rozhraní Jednotliv{ rozhraní jsou označov{na podle konvence: TypRozhraní slot/port např. FastEthernet 0/0 serial 1/1 apod. 11/6/2010 www 4
Sloty jsou označeny na směrovači, porty jsou číslov{ny zleva doprava, číslov{ní začín{ nulou. Pokud zařízení nem{ sloty (např. Cisco 1600), pak je rozhraní označeno takto: TypRozhraní port Např. Serial 0 Příklad konfigurace rozhraní: Alice(config)# interface FastEthernet 0/1 Alice(config-if)# ip address 192.168.155.2 255.255.255.0 Alice(config-if)# ipv6 adress fe80::230:1bff:fe80:b8ea/64 Alice(config-if)# ipv6 enable Alice(config-if)# ip access-group ONLYWWW in Alice(config-if)# no shutdown Nezapomínejte příkazem no shutdown zařízení aktivovat. Pro ověření, zda konfigurace proběhla tak, jak jsme si představovali můžeme konfiguraci zařízení vypsat (předtím se přepneme do privilegovaného režimu): Alice(config-if)# ctrl-z Alice#show interface FastEthernet 0/1 Pokud je rozhraním sériov{ linka, je zapotřebí spr{vně nastavit časov{ní. Alice(config)# interface serial 1/1 Alice(config-if)# clockrate 56000 Můžeme nastavit i další podrobnosti o zařízení, např. jeho přenosovou rychlost, režim apod. Alice(config-if)#speed auto Alice(config-if)#duplex full Konfigurace směrov{ní IP směrov{ní je na zařízení automaticky aktivov{no, pokud bylo předtím vypnuto, je možné jej aktivovat příkazem Alice(config)#ip routing Případně aktivovat IPv6 směrov{ní příkazem Alice(config)#ipv6 unicast-routing Vypíšeme směrovací tabulku, poté můžeme z{znamy v ní upravovat. Alice#show ip route Pro směrov{ní je možné zadat ručně jednotlivé cesty (statické směrov{ní) nebo použít dynamický směrovací protokol. Z{znam do směrovací tabulky můžeme přidat takto: zad{me adresu cílové sítě, masku cílové sítě a adresu dalšího skoku. Při 11/6/2010 www 5
zad{v{ní defaultní cesty zad{v{me jako adresu cílové sítě i její síťovou masku samé nuly. Alice(config)#ip route 172.16.0.0 255.255.255.0 192.168.150.1 Alice(config)#ip route 0.0.0.0 0.0.0.0 192.168.150.2 Směrov{ní pomocí směrovacího protokolu RIP spustíme příkazem: Alice(config)# router rip Alice(config-router)#version 2 Alice(config-router)#network 10.0.0.0 Funkčnost směrovacího protokolu RIP ověříme výpisem: Alice#show ip route Alice#show ip rip database Chybové stavy směrovacího procesu můžeme ladit pomocí výpisů Alice#debug ip rip Příkaz debug používejte umírněně, výpisy mohou zahltit směrovač. Ukončení ladění příkazem no debug. Zdroje: http://www.cisco.com http://www.cs.vsb.cz http://pavlikjiri.eu http://www.soom.cz 11/6/2010 www 6