Konfiguracja routerów Cisco
Autor: Krzysztof Mas yk IVFDS
1
STRESZCZENIE
Routery s dzisiaj nieodzownym sk adnikiem niemal e wszystkich rodzajów sieci. Jako e in-
ternet ma struktur hierarchiczn bez prze czania pakietów pomi dzy sieciami nie mo na si
dzisiaj ju obej . Jedn z najbardziej licz cych si firm na wiecie produkuj ca routery jest
firma Cisco Corp., dlatego te w tym projekcie zostanie omówiona podstawowa wiedza na te-
mat konfiguracji interfejsów danego routera, podstawowe polecenia konfiguracyjne oraz in-
formacje o rutingu. Na wst pie zostan omówione polecenia i sposoby ich u ycia w podstawo-
wych trybach konfiguracji routera, nast pnie przedstawiona zostanie konfiguracja interfejsów
innych ni Ethernet. B dzie te co o trasowaniu statycznym.
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
2
SPIS TRE CI
Streszczenie .................................................................................................................................. 1
1. Opis rodowiska........................................................................................................................ 3
2. Przegl d rozkazów oraz ich przeznaczenia...............................................................................4
2.1. Tryb U ytkownika.....................................................................................................5
2.2. Tryb uprzywilejowany...............................................................................................6
2.3. Tryb konfiguracji.......................................................................................................6
2.4. Tabela obrazuj ca tryby pracy...................................................................................8
3. Dialog konfiguracyjny............................................................................................................10
4. Tryby pracy i zarz dzanie skryptem konfiguracyjnym - rozszerzenie...................................11
5. Konfigurowanie interfejsów...................................................................................................12
6. adowanie systemu operacyjnego..........................................................................................23
7. Ochrona dost pu do routera....................................................................................................24
8. Procedura naprawiania has a..................................................................................................23
9. Obs uga komunikatów obs ugiwanych przez router..............................................................23
10. Konfiguracja protoko u SNMP.............................................................................................22
11. Przyk adowy skrypt konfiguracyjny.....................................................................................12
Literatura..................................................................................................................................... 23
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
3
1. OPIS RODOWISKA
Pierwsz czynno ci administratora po zakupie lub rozbudowaniu routera jest ustanowie-
nie po czenia z routerem poprzez port konsoli. Ka dy router Cisco wyposa ony jest w jeden
taki port (interfejs RS-232 lub RJ-45), do którego pod czy mo na terminal znakowy lub
komputer z emulatorem terminala (np. HyperTerminal w systemach Windows). Za pomoc
terminala administrator mo e przeprowadzi proces konfiguracji routera. Pami ta nale y, i
poprawna komunikacja z routerem wymaga ustawienia odpowiednich parametrów transmisyj-
nych terminala - zwykle stosuje si : terminal typu VT100, pr dko 9600 (chocia w rejestr ro-
utera mo na wpisa inn warto ), 8 bitów danych, 1 bit stopu, transmisj bez parzysto ci.
Po w czeniu routera w oknie terminala pojawi si zestaw komunikatów zwi zanych ze
startem routera. Proces uruchamiania routera sk ada si z kilku etapów i jest inicjowany przez
program rozruchowy (bootstrap), znajduj cy si w pami ci ROM. Po przeprowadzeniu testów
diagnostycznych sprz tu w ramach procedury POST, w której sprawdza si m.in. dzia anie
procesora, pami ci i interfejsów, poszukiwany jest i adowany obraz systemu operacyjnego
IOS - zgodnie z ustawieniami w rejestrze routera oraz poleceniami zawartymi w skrypcie kon-
figuracyjnym.
Wi kszo routerów zawiera pami Flash. Jest to pami typu EEPROM, jej zawarto
mo e by wielokrotnie usuwana i zapisywana ponownie. Zawarto pami ci Flash nie ginie po
wy czeniu routera, dlatego przeznaczona jest przede wszystkim do przechowywania wielu ko-
pii systemu operacyjnego IOS. Zwykle pocz tkowo w pami ci Flash znajduje si tylko jeden
obraz systemu operacyjnego (zwany domy lnym plikiem systemu operacyjnego) i w a nie on
zostanie za adowany po pierwszym w czeniu routera. Pami ta jednak nale y, e niektóre ro-
utery (Cisco 2500, 4000, 4500) przechowuj minimaln wersj systemu operacyjnego bezpo-
rednio w pami ci ROM. Inne, np. routery serii 7000 i 7500, wczytuj pe en obraz systemu
operacyjnego z pami ci ROM.
Po za adowaniu systemu operacyjnego poszukiwany jest skrypt konfiguracyjny, zawieraj -
cy parametry definiuj ce prac routera (np. has o dla trybu uprzywilejowanego) oraz poszcze-
gólnych jego cz ci (np. interfejsów). Skrypt konfiguracyjny zapisywany jest w nieulotnej pa-
mi ci NVRAM, sk d przy ka dym ponownym uruchomieniu routera mo e by odczytany i za-
adowany do pami ci operacyjnej RAM. Aktualna konfiguracja oraz wszelkie dokonywane w
niej zmiany przechowywane s tylko w pami ci RAM, aby wi c utrwali wprowadzane przez
administratora modyfikacje, nale y r cznie zapami ta t konfiguracj w pami ci NVRAM ja-
ko konfiguracj startow . Przy pierwszym uruchomieniu routera skrypt konfiguracyjny w pa-
mi ci NVRAM nie istnieje, co powoduje automatyczne uruchomienie dialogu konfiguracyjne-
go.
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
4
2. Przegl d rozkazów i ich przeznaczenia.
W rozdziale tym postaram si opisa podstawowe polecenia z wi kszo ci najcz ciej
u ywanych trybów. Oczywi cie nie jestem tutaj w stanie opisa ich wszystkich poniewa zaj -
o by to mniej wi cej tyle co redniej wielko ci ksi ka. Tak wi c skupi em si tutaj na polece-
niach z trybu podstawowego czyli u ytkownika, w którym s polecenia s u ce administrato-
rowi do wykonania najbardziej prostych a zarazem podstawowych czynno ci administracyj-
nych. Nast pnie w trybie uprzywilejowanym, w którym administrator danego routera mo e np.
zabezpieczy do niego dost p poprzez identyfikacj za pomoc has a.
2.1 Tryb u ytkownika
W trybie tym u ytkownik ma do dyspozycji tylko podstawowe polecenia nie wp ywaj ce na
prac routera. S tu mi dzy innymi komendy s u ce do podgl du parametrów pracy routera i
inne takie jak:
disable  komenda , która wy cza tryb uprzywilejowany
disconnect  roz czenie po czenia sieciowego
enable  w cza tryb uprzywilekowany
exit  wyj cie z trybu EXEC
help  prosta i niezbyt szczegó owa pomoc na temat poszczególnych komend
logout  robi dok adnie to samo co exit  wyj cie z trybu EXEC
ping  mechanizm umo liwiaj cy sprawdzenie stanu po czenia (reczej) fizycznego mi dzy
dwoma w z ami siec.
show  funkcja ta s u y do podgl du wielu parametrów i ustawie routera.
telnet  otwiera po czenie telnetowe
terminal  ustawia parametry pracy linii terminala
traceroute  powoduje odtworzenie cie ki okre lonej przez parametr przeznaczenia
2.2 Tryb uprzywilejowany
W trybie tym mo emy spotka si ju z niektórymi poleceniami, które wyst pi y w trybie
u ytkownika. Aby maszyna pozwoli a nam wej do tego trybu u yjemy polecenia enable
(en).W tym punkcie zostan omówione tylko nowo poznane komendy:
clear  s u y do czyszczenia tablicy routowania albo pami ci odwzorowania adresów
clock  s u y do zarz dzania zegarem systemowym
configure  dzi ki temu rozkazowi router wchodzi w stan konfiguracji
copy  kopiuje plik (albo do pliku) z ustawieniami startowymi b d z aktualnymi routera
erase  usuwa pami w której jest przechowywana konfiguracja routera
reload  zatrzymuje system powoduj c jednocze nie zimny restart
write  zapisuje pami NVRAM do dowolnego interfejsu (serwer TFTP, terminal, pami
NVRAM ), polecenie dzia a podobnie jak w polecenie copy
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
5
2.3 Tryb konfiguracji
banner  po wpisaniu linii tekstu router ustawia wiadomo dnia
boot  s u y do wyszukania w pami ci flash i za adowania obrazu plików okre lonych po-
przez nazw
cpd  s u y do zarz dzania podpoleceniami (nie wiem dok adnie jak dzia a)
hostname  ustawia nazw routera, na którym pracujemy
interface  s u y do konfigurowania interfejsów (ISDN, Ethernet,Serial)
ip  za pomoc tego polecenia tworzymy statyczn tablic rutowania
ipx  polecenie w cza na routerze przekazywanie pakietów IPX
isdn - ustawia typ prze cznika isdn
line  s u y do konfigurowania linii terminala lub terminali wirtulnych
logging  pozwala ustali poziom raportowania dla komunikatów wysy anych do us ugi sys-
log
ntp  konfiguruje
router  w cza rutowanie dynamiczne pos uguj c si protoko ami takimi jak : rip(1,2), igrp,
eigrp, ospf
tftp-srewer  zezwala na us ug adowania plików poprzez serwer tftp
username  ustawia nazw u ytkownika
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
6
2.4 Tabela obrazuj ca tryby pracy routera
Tryb pracy Dzia anie
Ograniczony zestaw polece nieniszcz cych;
Tryb u ytkownika Router> definiowanie ustawie terminala; wy wietlanie
statusu routera.
Pe en zestaw polece ; tryb konfiguracyjny;
Tryb uprzywilejowany Router # ledzenie pracy routera poprzez polecenie de-
bug.
Globalne i g ówne polecenia konfiguracyjne;
Tryb konfiguracyjny Router(config)#
wywo ywany z trybu uprzywilejowanego.
Konfiguracja specyficznego procesu lub inter-
Tryb konfiguracyjny procesu Router
fejsu routera;
realizacja podpolece ; wywo ywany z trybu
(config-proces)#
konfiguracyjnego.
Konfiguracja routera w trybie ineraktywnym;
Dialog konfiguracyjny wywo ywany poleceniem setup lub automa-
tycznie przy braku konfiguracji startowej.
Procesy naprawcze (has a lub pami ci Flash);
modyfikowanie rejestru; wywo ywany r cznie
Monitor pami ci ROM rommon> odpowiedni kombinacj (zwykle Ctrl_Break)
lub automatycznie przy braku poprawnego
systemu operacyjnego.
3. Dialog konfiguracyjny
Dialog konfiguracyjny to interaktywna sekwencja pyta i odpowiedzi, pozwalaj cych utworzy
pierwsz , bazow konfiguracj routera. Dialog wywo ywany jest równie w przypadku usuni -
cia zawarto ci pami ci NVRAM lub po uruchomieniu routera w specjalnym trybie napraw-
czym z pomini ciem odczytywania pami ci NVRAM. Administrator pracuj cy w trybie
uprzywilejowanym mo e tak e w dowolnej chwili uruchomi dialog konfiguracyjny polece-
niem setup. Zbiór parametrów, jakie mo na ustawi bezpo rednio w dialogu konfiguracyjnym,
zale y od modelu routera i wersji systemu operacyjnego.
List dost pnych polece w dowolnym trybie pracy routera wy wietli mo na przez wci-
ni cie znaku  ? . W trakcie wpisywania polece o z o onej sk adni wci ni ty znak  ? przy-
wo uje kontekstow pomoc z informacjami o kolejnych parametrach czy s owach kluczowych
wymaganych w danym poleceniu. Bardzo u yteczn cech systemu operacyjnego jest rozró -
nianie polece na podstawie wpisanych pocz tkowych znaków nazwy. Wpisana cz nazwy
komendy musi jednoznacznie identyfikowa polecenie, np. s owo en oznacza b dzie w prak-
tyce polecenie enable. System operacyjny pami ta równie histori ostatnio wykonywanych
polece , po której w wi kszo ci terminali porusza mo na si za pomoc klawiszy kierunko-
wych w gór i w dó .
Po wy wietleniu pierwszego pytania wciskamy klawisz Enter, aby wej do trybu interaktyw-
nego. Niew tpliwie warto wy wietli na ekranie podsumowanie dotycz ce aktualnej konfigura-
cji interfejsów, w tym celu w odpowiedzi na drugie pytanie wciskamy ponownie Enter, za-
twierdzaj c proponowan domy ln warto podan w nawiasach kwadratowych. W pierwszej
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
7
kolumnie wy wietlonego zestawienia sprawdzi mo na, jak oznaczane s w danym routerze
poszczególne interfejsy. Nazwa interfejsu sk ada si z typu (np. Ethernet lub Serial) oraz nume-
ru. W routerach niemodularnych (poni ej rodziny 2600) numer interfejsu jest pojedyncz liczb
(np. Serial 0, Ethernet 1), natomiast w routerach modularnych, które mog by rozbudowywane
o kolejne karty interfejsów, stosuje si zestaw dwu liczb w notacji nr_karty/nr_portu (np. Serial
0/1 oznacza drugi port szeregowy na pierwszej karcie). W routerach serii 7000 i 7500, wyposa-
onych w z cza (slot) dla kart VIP, oznaczenie interfejsu z o one b dzie z trzech liczb, zgod-
nie z konwencj nr_karty_VIP/nr_karty/nr_portu (np. Ethernet 1/0/1).
Nast pne kolumny podsumowania dotycz cego interfejsów zawieraj informacje o przypi-
sanych adresach IP, aktualnym statusie pracy interfejsu i wybranym protokole warstwy cza
danych. Zauwa my, e domy lnie wszystkie interfejsy s wy czone (status oznaczony jako
down), nie maj adresów IP ani okre lonego protoko u warstwy cza danych. W kolejnych
etapach dialogu konfiguracyjnego zdefiniowa nale y parametry globalne, w tym logiczn na-
zw urz dzenia wykorzystywan w ró nych procesach identyfikacyjnych oraz trzy has a dost -
powe wykorzystywane na routerze.
Pierwsze has o, oznaczone jako enable secret, chroni dost pu do trybu uprzywilejowanego,
w którym administrator mo e uruchamia wszystkie polecenia, a tak e przeprowadza dowolne
zmiany konfiguracyjne. Konieczno zabezpieczania tego trybu przed nieautoryzowanym do-
st pem jest wi c bezdyskusyjna. Has o enable secret przechowywane jest w postaci zaszyfro-
wanej. Aby zapewni zgodno z wcze niejszymi wersjami systemu operacyjnego, w dialogu
konfiguracyjnym pozostawiono mo liwo zdefiniowania równie has a enable password. Ha-
s o to tak e chroni dost pu do trybu uprzywilejowanego, ale jest wykorzystywane tylko w star-
szych wersjach systemu oraz wtedy, gdy has o enable secret nie jest zdefiniowane. Poniewa
enable password przechowywane jest w postaci niezaszyfrowanej, zalecane jest stosowanie
enable secret. Trzecim wymagane has o chroni dost pu do routera poprzez linie terminali wir-
tualnych VTY, zwykle s to po czenia z wykorzystaniem protoko u telnet. Standardowo router
udost pnia pi linii wirtualnych VTY. Nale y zauwa y , e domy lnie dost p do routera po-
przez lini konsoli nie jest zabezpieczany adnym has em.
Po okre leniu hase , w dialogu konfiguracyjnym pojawia si mo liwo zdefiniowania spo-
eczno ci protoko u SNMP, w której pracowa b dzie router. Domy lnie proponowana jest
spo eczno Public i pocz tkowo mo na t nazw pozostawi bez zmiany. W a ciwe zdefinio-
wanie spo eczno ci mo e mie du e znaczenie dla pracuj cych w trybie graficznym progra-
mów do zdalnego zarz dzania routerem, które dzia anie opieraj na protokole SNMP. Kolejne
pytania dialogu konfiguracyjnego dotycz protoko ów routingu dynamicznego, takich jak RIP
czy IGRP. Mo na pocz tkowo pozostawi proponowane, domy lne ustawienia lub wy czy
routing dynamiczny.
Ostatnia sekcja dialogu konfiguracyjnego pozwala w p tli zdefiniowa parametry dotycz -
ce poszczególnych interfejsów routera, np.: adres IP czy maska podsieci. Po udzieleniu odpo-
wiedzi na wszystkie pytania pojawia si mo liwo przejrzenia zdefiniowanych ustawie oraz
zapami tania konfiguracji startowej w pami ci NVRAM. Odpowiednia opcja w menu wyboru
pozwala opu ci dialog konfiguracyjny bez zapami tywania zmian. Z trybu dialogu mo na tak-
e wyj w dowolnej chwili, wybieraj c kombinacj Ctrl_C. W ramce zamieszczamy fragment
dialogu konfiguracyjnego z pytaniami dotycz cymi nazwy routera oraz hase dost pu.
4. Tryby pracy i zarz dzanie skryptem konfiguracyjnym  rozszerzenie
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
8
Po zapami taniu konfiguracji startowej oraz po ponownym uruchomieniu routera admini-
strator pod czony do routera poprzez port konsoli automatycznie uzyskuje dost p do trybu
wykonywania polece , zwanego trybem EXEC. Tryb EXEC pozwala na prac na szesnastu po-
ziomach uprzywilejowania, cho zwykle wykorzystywane s tylko dwa: poziom u ytkownika
(poziom 1) oraz poziom uprzywilejowany (poziom 15). Poziomem domy lnym - oznaczanym
przez znak zach ty zako czony symbolem > - jest poziom u ytkownika, na którym dost pne s
tylko niektóre polecenia sprawdzaj ce status routera oraz definiuj ce prac terminala.
Pe en zestaw polece cznie z trybem konfiguracyjnym przypisany jest do poziomu uprzy-
wilejowanego oznaczanego znakiem zach ty zako czonym symbolem  # (poziomy 2 - 14 te
oznaczane s symbolem  # ). Aby przej na poziom 15, nale y wykona polecenie enable,
pami taj c o tym, e dost p do poziomu uprzywilejowanego chroniony jest has em enable se-
cret, zdefiniowanym w dialogu konfiguracyjnym (je eli zdefiniowane jest has o enable secret,
nie mo na wykorzysta has a enable password do przej cia na poziom 15). Powrót na poziom
domy lny (poziom 1) realizowany jest poleceniem disable.
Poniewa interaktywny dialog konfiguracyjny nie pozwala na zdefiniowanie wszystkich pa-
rametrów pracy routera, administrator b dzie musia doko czy proces konfiguracji r cznie z
wykorzystaniem specjalnego trybu pracy routera, zwanego trybem konfiguracyjnym. Tryb ten
(podobnie jak tryb ledzenia, wywo ywany poleceniem debug) zarezerwowany jest dla pozio-
mu uprzywilejowanego, a wchodzi si do niego komend configure - pozwala ona skonfigu-
rowa router trzema ró nymi metodami:
" Terminal (metoda domy lna) - konfiguracja r czna poprzez wykonywanie poszczegól-
nych polece z poziomu terminala,
" Memory - wczytanie pe nej konfiguracji z pami ci NVRAM (konfiguracja startowa) do
pami ci RAM,
" Network - wczytanie skryptu konfiguracyjnego z serwera sieciowego TFTP.
Po wej ciu do trybu konfiguracyjnego z opcj domy ln zmienia si odpowiednio znak za-
ch ty, zgodnie z notacj : Nazwa_routera(config)#. Wyró niamy trzy rodzaje polece konfigu-
racyjnych: globalne, g ówne i podpolecenia. Komendy globalne, zapisywane w pojedynczej li-
nii, definiuj parametry dotycz ce pracy routera jako ca o ci. Poni ej przedstawiamy trzy przy-
k ady polece globalnych, definiuj cych odpowiednio: logiczn nazw routera, has o chroni ce
dost p do trybu uprzywilejowanego (przechowywane w postaci zaszyfrowanej) i routing dla
protoko u IP:
C2600(config)#hostname Router
Router(config)#enable secret password
Router(config)#ip routing
Polecenia g ówne nie definiuj bezpo rednio adnych parametrów routera, lecz wyró niaj
konkretny proces lub interfejs, który ma podlega dalszej konfiguracji. Dost pnych jest ponad
17 specyficznych trybów konfiguracyjnych, wybieranych poleceniami g ównymi. Poni sze
dwa przyk adowe polecenia g ówne wybieraj odpowiednio interfejs Ethernet 0/1 oraz protokó
routingu dynamicznego IGRP. Zauwa my, e wykonanie polecenia g ównego, poza zmian
znaku zach ty wskazuj cego wybrany proces, nie powoduje praktycznych zmian w konfigura-
cji:
Router(config)#interface Ethernet 0/1
Router(config-if)#
Router(config)#router IGRP 10
Router(config-router)#
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
9
W a ciw konfiguracj procesu czy interfejsu wybranego poleceniem g ównym przepro-
wadza si , podaj c w kolejnych liniach podpolecenia. Polecenie g ówne musi mie przynajm-
niej jedno podpolecenie. List specyficznych dla danego trybu podpolece mo na wy wietli ,
wciskaj c znak  ? . Na przyk ad podpolecenie definiuj ce tekstowy opis dla interfejsu Ethernet
0/1 wygl da nast puj co:
Router(config)#interface Ethernet 0/1
Router(config-if)#description Drugi segment sieci lokalnej
Zmiany przeprowadzane w trybie konfiguracyjnym dotycz zawsze konfiguracji aktualnej,
przechowywanej w pami ci RAM. Aby zmiany te utrwali , nale y nagra konfiguracj aktual-
n w pami ci nieulotnej NVRAM jako konfiguracj startow . W tym celu wykonujemy pole-
cenie:
Router #copy running-config startup-config
Zarówno konfiguracj aktualn , jak i startow mo na w dowolnej chwili wy wietli na
ekranie za pomoc odpowiedniej sk adni polecenia show. W poni szych przyk adach wy wie-
tlana jest konfiguracja aktualna i startowa, zwana te czasami konfiguracj zapasow . Warto
zwróci uwag na skrótowy zapis w drugim przyk adzie:
Router# show running-config
Router# sh start
Skrypt konfiguracyjny odczytywany przy ka dym uruchomieniu routera z pami ci NVRAM
mo e by tak e przechowywany i pobierany z zewn trznego serwera sieciowego, np. z serwera
TFTP. Dzi ki temu mo liwe jest przygotowanie i publikowanie na niezale nym serwerze sie-
ciowym wzorcowego zbioru konfiguracyjnego dla oryginalnego routera b d wielu routerów
podobnych.
Przechowywanie skryptu konfiguracyjnego na serwerze TFTP u atwia te jego edycj przy
u yciu dowolnego edytora tekstowego (np. WordPad). Przydaje si to szczególnie wtedy, gdy
cz sto modyfikujemy z o one polecenia konfiguracyjne.
Plik konfiguracyjny na serwerze TFTP tworzymy najcz ciej nie od podstaw, lecz przez za-
pami tanie na serwerze sieciowym aktualnej konfiguracji. W tym celu wykonujemy nast puj -
c komend :
Router# copy running-config tftp
Aby powy sze polecenie zadzia a o poprawnie, okre li nale y prawid owy adres IP serwe-
ra TFTP oraz nazw pliku, w którym nagrana zostanie aktualna konfiguracja. W zale no ci od
stosowanej us ugi TFTP najcz ciej mo liwe jest podawanie równie pe nej cie ki do pliku.
Przyk ad procedury nagrywania aktualnej konfiguracji na serwerze TFTP przedstawiamy poni-
ej:
Router#copy running-config tftp
Remote host []? 131.108.1.250
Name of configuration file to write [Router -confg]?
/2600/c2600-confg
Write file /2600/ Router-confg on host 131.108.1.250? [confirm]
Building configuration...
Writing /2600/c2600-confg !! [OK]
Router
Je li konieczne jest wprowadzenie zmian w skrypcie konfiguracyjnym, otwieramy plik za-
pami tany na serwerze TFTP w odpowiednim edytorze tekstowym i poddajemy go dalszej
edycji. Je li pojawi si konieczno pobrania wzorcowego pliku konfiguracyjnego zapami ta-
nego na serwerze TFTP, wykonujemy nast puj ce polecenie, podaj c odpowiednie parametry,
podobnie jak w poprzednim przyk adzie:
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
10
Router copy tftp running-config
Je eli zachodzi taka konieczno , mo na zast pi konfiguracj startow przechowywan w
pami ci NVRAM, nadpisuj c j plikiem konfiguracyjnym z serwera TFTP:
Router #copy tftp startup-config
Wczytuj c plik konfiguracyjny z serwera TFTP do pami ci NVRAM, nadpisujemy w ca o ci
konfiguracj startow . Natomiast pobieraj c skrypt z serwera TFTP do pami ci RAM, wykonu-
jemy poszczególne polecenia linia po linii - w tej sytuacji konfiguracja aktualna nie zostanie
nadpisana. W przypadku polece wykluczaj cych si , s one nadpisywane (np. nazwa routera
musi by tylko jedna). Niektóre polecenia mog si logicznie sumowa , a nie nadpisywa (np.
router mo e nale e do dwu spo eczno ci protoko u SNMP - jedna zdefiniowana w konfigura-
cji aktualnej, a druga w pliku na serwerze TFTP).
Nale y pami ta o tym, e je eli w pliku konfiguracyjnym na serwerze TFTP nie wyst puje
jakie polecenie, to nie znaczy, e b dzie ono usuni te z konfiguracji aktualnej (np. je eli w
pliku na serwerze TFTP nie podano komendy shutdown, polecenie to pozostanie, je li by o
zdefiniowane wcze niej, w aktualnej konfiguracji interfejsu).
5. Konfigurowanie interfejsów
Jednym z pierwszych zada konfiguracyjnych, jakie wykona musi administrator nowego
routera, b dzie w a ciwe zdefiniowanie parametrów komunikacyjnych dla poszczególnych in-
terfejsów - zarówno tych dotycz cych segmentów sieci lokalnej, jak i interfejsów szeregowych,
wykorzystywanych najcz ciej do po cze w sieci WAN. Dla interfejsów sieci LAN, takich
jak Ethernet, zwykle wystarczaj ce jest zdefiniowanie parametrów dotycz cych adresowania w
protokole warstwy sieciowej (np. IP) oraz odwo anie domy lnie w czonego polecenia shut-
down, które blokuje prac interfejsu. Czynno ci te mog by niepotrzebne, je li interfejs skon-
figurowano z poziomu dialogu konfiguracyjnego.
Poni sza sekwencja polece pokazuje wywo anie trybu konfiguracyjnego, wybór w a ciwe-
go interfejsu, przypisanie adresu IP i maski podsieci do interfejsu Ethernet 0/0 oraz wy czenie
polecenia shutdown blokuj cego interfejs. Na przyk adzie polecenia shutdown warto zwróci
uwag na sposób odwo ywania polece przez wykorzystanie komendy no, dopisywanej na po-
cz tku oryginalnej linii.
Router# configure terminal
!!! Mo na równie conf t
Router(config)#interface Ethernet 0/0
Router(config-if)#ip address 131.108.1.1 255.255.255.0
Router(config-if)#no shutdown
W niektórych sytuacjach mo e okaza si konieczne przypisanie do jednego interfejsu wi -
cej ni jednego adresu IP. Dzieje si tak na przyk ad wtedy, gdy router obs uguje kilka wirtual-
nych sieci IP w jednym segmencie fizycznym. Polecenie dodaj ce do interfejsu kolejny adres
IP (drugi, trzeci itd.) ma sk adni :
Router(config-if)#ip address 212.1.1.1 255.255.255.0 secondary
W przypadku interfejsów szeregowych konfiguracja jest bardziej z o ona, bowiem oprócz
parametrów warstwy sieciowej (adres IP czy maska podsieci) okre li nale y równie ustawie-
nia dla warstwy cza danych oraz warstwy fizycznej (dost pne protoko y warstwy fizycznej
oraz sposób ich wyboru, a tak e protoko y warstwy cza danych przedstawimy szczegó owo w
artykule o pracy routera Cisco w sieciach WAN w nast pnym numerze).
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
11
W przypadku komunikacji synchronicznej, typu punkt-punkt z wykorzystaniem interfejsów
szeregowych, jedno urz dzenie w parze pe ni rol urz dzenia biernego typu DTE, za drugie
jest urz dzeniem aktywnym DCE, definiuj cym parametry transmisyjne, np. parametr zegara
transmisji. W typowej sytuacji, gdy router pod cza si do sieci WAN, rol DCE pe ni urz -
dzenie brzegowe dostawcy, a DTE - interfejs szeregowy routera oraz odwo anie domy lnie
w czonego polecenia shutdown, które blokuje prac interfejsu. Czynno ci te mog by niepo-
trzebne, je li interfejs skonfigurowano z poziomu dialogu konfiguracyjnego. W warstwie cza
danych, jako typ hermetyzacji (encapsulation) dla przesy anych danych, wybierany jest auto-
matycznie i domy lnie protokó HDLC. W zale no ci od potrzeb protokó ten mo na zmieni .
Je eli interfejs szeregowy routera pracuje jako urz dzenie DCE, obowi zkowo dla tego in-
terfejsu zdefiniowa nale y parametr zegara transmisji. W tym celu wykonujemy nast puj ce
polecenie w ramach konfiguracji interfejsu, podaj c jako parametr jedn z dozwolonych warto-
ci (wyra on w bps):
Router(config-if)#clock rate 128000
Parametr polecenia clock rate musi by dostosowany do wybranego protoko u warstwy fi-
zycznej oraz do typu interfejsu szeregowego. System nie przyjmie warto ci zegara wi kszej ni
maksymalna obs ugiwana przez konkretny interfejs, co np. dla interfejsów szeregowych do-
st pnych na asynchroniczno - synchronicznych kartach WIC 2A/S oznacza dozwolon pr d-
ko do 128 kbps.
Dla wszystkich interfejsów szeregowych mo na dodatkowo skonfigurowa przepustowo
oraz opó nienie wprowadzane przez dany interfejs. Trzeba jednak pami ta , e obydwa te pa-
rametry s statycznie wpisywane przez administratora (pocz tkowo maj warto ci domy lne,
wynikaj ce z typu interfejsu), maj znaczenie etykietowe i nie odzwierciedlaj w adnym wy-
padku faktycznej komunikacji przez konkretny interfejs. Modyfikuje si je w celu zmiany ro-
dowiska pracy protoko ów routingu dynamicznego, takich jak IGRP czy OSPF.
W poni szym przyk adzie polecenia definiuj przepustowo i opó nienie dla interfejsu sze-
regowego. Parametr dla polecenia bandwidth wyra any jest w kbps, natomiast opó nienie po-
daje si w dziesi tkach mikrosekund:
Router(config-if)#bandwidth 128
Router(config-if)#delay 2000
Zdefiniowane dla interfejsów parametry oraz stan ich pracy mo na w dowolnej chwili obej-
rze poleceniem show interfaces - wy wietla ono m.in. nast puj ce komunikaty dla konkretne-
go interfejsu Serial 0/0:
Router# show interfaces serial 0/0
Serial0/0 is up, line protocol is up
Hardware is PowerQUICC Serial
Internet address is 131.107.11.1/24
MTU 1500 bytes, BW 128 Kbit, DLY 20000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation HDLC, loopback not set, keepalive set (10 sec)
Informacja typu  Serial0/0 is up oznacza poprawne dzia anie interfejsu w warstwie fizycz-
nej (status down sygnalizuje na przyk ad brak cz stotliwo ci no nej lub niepod czony kabel).
Komunikat  line protocol is up opisuje tu poprawne dzia anie protoko u warstwy cza da-
nych, czyli otrzymywanie pakietów keepalive (status down mo e oznacza na przyk ad nie-
zgodno protoko u warstwy drugiej b d niezdefiniowany zegar (clock rate) w urz dzeniu
pracuj cym jako DCE). W pewnych sytuacjach stan interfejsu wy wietlany jest jako  admini-
stratively down , co oznacza, e w konfiguracji interfejsu w czono polecenie shutdown, blo-
kuj ce prac interfejsu.
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
12
W ród innych ciekawych informacji wy wietlanych poleceniem show znale mo na: adres
sprz towy MAC (dla interfejsów typu Ethernet), przypisany adres IP, parametr MTU (maksy-
malny rozmiar pola danych transmitowanej ramki), przepustowo (BW), opó nienie (DLY),
niezawodno i obci enie interfejsu (dwa parametry rzeczywistej transmisji) oraz w czony
protokó warstwy cza danych (np. HDLC dla interfejsu szeregowego lub ARPA,czyli Ether-
net II dla interfejsu typu Ethernet). Wi cej parametrów dotycz cych tylko protoko u IP dla wy-
branego interfejsu zobaczy mo na po wykonaniu nast puj cego polecenia:
Router# show ip interface Serial 0/0
Je eli administrator routera chce sprawdzi , które interfejsy szeregowe pracuj jako urz -
dzenia DTE, a które jako DCE, jaki zosta zdefiniowany zegar oraz jaki jest stosowany (zwykle
zale ny od wybranego kabla) protokó warstwy fizycznej, mo e wykona komend show con-
trollers interfejs, które wy wietla parametry fizyczne interfejsu:
Router# show controllers serial 0/0
Interface Serial0/0
Hardware is PowerQUICC MPC860
DCE V.35, clock rate 56000
6. adowanie systemu operacyjnego
Omówienie etapu poszukiwania i adowania obrazu systemu operacyjnego zaczniemy od
wyja nienia poj cia rejestru systemowego, którego zawarto mo e mie istotny wp yw na
proces wczytywania systemu. Rejestr routera Cisco jest 16-bitow struktur , przedstawian
najcz ciej w postaci czterech cyfr szesnastkowych (np. dla routera 2600 rejestr mo e przyj-
mowa domy lnie warto 0x2102). W poszczególnych bitach zapami tane s ró ne opcje do-
tycz ce pracy routera, a fragment rejestru definiuje sposób adowania systemu operacyjnego.
Warto ostatniej cyfry szesnastkowej, nazywanej te polem startu (boot field), okre la sposób
uruchomienia routera, zgodnie z nast puj c konwencj :
0 - uruchomienie routera w naprawczym trybie monitora pami ci ROM (nie jest adowany a-
den system operacyjny);
1 - za adowanie systemu operacyjnego z pami ci sta ej ROM (cz routerów ma w pami ci
ROM tylko minimaln wersj systemu operacyjnego);
2¸F - za adowanie systemu operacyjnego zgodnie z sekcj polece boot system, znajduj c si
w skrypcie konfiguracyjnym w pami ci NVRAM.
Poniewa na ostatniej pozycji rejestru wyst puje domy lnie warto 2, administrator mo e
do dowolnie sterowa kolejno ci poszukiwania systemu operacyjnego. Polecenie konfigura-
cyjne Boot system pozwala jawnie wskaza ród o, z którego adowany jest system operacyjny,
np. plik w pami ci Flash, serwer sieciowy TFTP czy pami ROM. Nale y pami ta , e kolej-
no prób za adowania systemu operacyjnego definiowana jest kolejno ci komend boot sys-
tem zawartych w skrypcie konfiguracyjnym.
Za ó my, e router zawiera pami Flash, w której przechowywanych jest kilka obrazów
systemu operacyjnego. Niezale nymi poleceniami boot system mo na wskaza ró ne pliki w
pami ci Flash. Je eli w pami ci Flash nie b dzie mo na znale pierwszego pliku, system
spróbuje za adowa nast pny. W przypadku, gdy komend boot system wskazywany jest plik
systemu operacyjnego na serwerze sieciowym TFTP, w sk adni polecenia poda nale y nazw
pobieranego pliku oraz adres IP serwera TFTP. Poni szy przyk ad pokazuje przyk adow se-
kwencj polece boot system, okre laj c kolejno prób za adowania systemu operacyjnego:
Router(config)#boot system Flash IOS_Plik_nr 1
Router(config)#boot system Flash IOS_Plik_nr 2
Router(config)#boot system TFTP IOS_Plik_nr_3 131.108.1.250
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
13
Router(config)#boot system ROM
Je eli w skrypcie konfiguracyjnym nie zdefiniowano polece boot system (sytuacja pocz t-
kowa), nast puje próba za adowania domy lnego pliku z pami ci Flash; jest to pierwszy plik
systemu operacyjnego nagrany w pami ci Flash (niezale nie od jego nazwy). Mo e si jednak
zdarzy , e pami Flash jest pusta (na przyk ad skasowana), wówczas router próbuje za ado-
wa plik o domy lnej nazwie z serwera sieciowego TFTP. Nazwa pliku tworzona jest na pod-
stawie ustawie w rejestrze routera, a serwer TFTP poszukiwany jest metod rozg oszeniow .
Je li ta metoda nie da pozytywnego rezultatu, router uruchamia si w specjalnym trybie moni-
tora pami ci ROM (zg asza si w postaci: rommon>) i nie jest adowany aden system opera-
cyjny.
Aby przygotowa zapasow kopi systemu operacyjnego, administrator powinien nagra
plik z pami ci Flash na serwerze sieciowym TFTP (b d RCP lub FTP, je li dost pna jest taka
opcja). W tym celu wykona nale y polecenie Copy Flash TFTP, podaj c jako parametry na-
zw pliku ród owego, adres IP serwera TFTP oraz nazw i cie k dost pu do pliku docelo-
wego. Je eli pojawi si taka potrzeba, mo na wczyta plik systemu operacyjnego z powrotem
do pami ci Flash za pomoc polecenia Copy TFTP Flash.
Przed rozpocz ciem w a ciwego kopiowania mo na (ale nie trzeba) wybra opcj kasowa-
nia pami ci Flash. Komendy dotycz ce r cznego kasowania pami ci Flash mog by ró ne, w
zale no ci od wersji systemu. Przyk adowo, na routerze 2600 z systemem 11.3 dost pne jest
tylko polecenie erase Flash, pozwalaj ce usun ca zawarto pami ci Flash. W innych przy-
padkach mo e by dost pna równie komenda delete, umo liwiaj ca skasowanie wybranego
pliku z pami ci Flash. Aktualn zawarto pami ci Flash oraz inne parametry (np. jej rozmiar
czy ilo wolnego miejsca) wy wietli mo na na ekranie poleceniem show Flash:
Router# show flash
System flash directory:
File Length Name/status
1 3119712 c2600-i-mz.113-10.T
[3119776 bytes used, 5268832 available, 8388608 total]
W sytuacji, gdy program aduj cy (bootstrap) nie mo e zlokalizowa i za adowa adnego
systemu operacyjnego, router uruchamiany jest w specjalnym trybie naprawczym monitora
pami ci ROM. Sytuacja taka ma miejsce na przyk ad wówczas, gdy skasowano pami Flash i
nie podano adnego innego ród a systemu operacyjnego. W trybie monitora pami ci ROM,
który zg asza si znakiem zach ty rommon>, mo na pobra plik systemu operacyjnego z ser-
wera TFTP i nagra go do pami ci Flash. W tym celu nale y zdefiniowa pi zmiennych ro-
dowiskowych, których znaczenie jest nast puj ce:
" IP_ADDRESS - adres IP interfejsu routera,
" IP_SUBNET_MASK - maska podsieci interfejsu routera,
" IP_DEFAULT_GATEWAY - adres IP domy lnego routera, gdy serwer TFTP jest w
innym segmencie,
" TFTP_SERVER - adres IP serwera TFTP,
" TFTP_FILE - nazwa pliku pobieranego z serwera TFTP.
Nast pnie w trybie monitora pami ci ROM uruchamiamy polecenie tftpdnld, które domy l-
nie próbuje wczyta wskazany plik z serwera TFTP i nagra go w pami ci Flash (je li powy -
sze zmienne nie zosta y wcze niej okre lone, wy wietlane s odpowiednie komunikaty). Po
naprawieniu zawarto ci pami ci Flash nale y uruchomi ponownie router poleceniem Reset.
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
14
Nazwa oryginalnego pliku systemu operacyjnego dostarczanego w pami ci Flash sk ada si
z kilku cz ci, z których ka da ma specyficzne znaczenie - we my na przyk ad nazw C2600-i-
mz.113-10.T:
" Router - platforma urz dzenia, na którym uruchamiany jest ten obraz systemu.
" I - specyficzne cechy i sk adniki systemu operacyjnego. Ta cz mo e by te opisana
przez grup symboli. W tym wypadku i oznacza obs ug protoko u IP, ale np. symbol js
opisuje rozszerzony system w wersji enterprise.
" mz - kompresja oraz miejsce uruchamiania. W tym wypadku mz oznacza plik skompre-
sowany, uruchamiany w pami ci RAM.
" 113 - wersja systemu operacyjnego.
" 10 - kolejna aktualizacja systemu operacyjnego.
" T - rozszerzenie nazwy pliku.
7. Ochrona dost pu do routera
W konfiguracji standardowej dost p do routera poprzez lini konsoli nie jest chroniony ad-
nym has em. Je eli w konkretnej firmie obowi zuj bardziej restrykcyjne zasady bezpiecze -
stwa sieci, nale y to zmieni . Opiszemy dwie metody zabezpieczania dost pu do routera: w
pierwszej u ytkownicy musz zna wspólne dla wszystkich has o, w drugiej ka dy u ytkownik
uwierzytelniany jest na podstawie indywidualnego konta i has a. Aby zdefiniowa wspólne dla
wszystkich has o chroni ce dost p do routera poprzez lini konsoli, nale y przej do trybu
konfiguracyjnego linii konsoli numer 0, nast pnie w czy uwierzytelnianie i okre li has o:
Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password haslo
Poniewa w tej metodzie od wszystkich u ytkowników wymagane jest to samo has o, mo e
si ona okaza w pewnych sytuacjach niewystarczaj ca. Lepsz metod weryfikowania dost pu
do routera b dzie sprawdzanie u ytkownika poprzez indywidualne konto i has o. Konfiguracja
linii konsoli w tym przypadku b dzie nieco inna. Komenda login musi by uruchomiona z pa-
rametrem okre laj cym baz kont u ytkowników. Je eli na przyk ad stosowana ma by lokal-
na, utworzona na routerze baza kont, to konfiguracja jest nast puj ca:
Router(config)#line console 0
Router(config-line)#login local
Zauwa my, e w powy szym przyk adzie nie ma komendy password, gdy has o wspólne
dla wszystkich u ytkowników nie ma w tym przypadku zastosowania. Przy u ywaniu komendy
login local nale y unika pewnej pu apki, która mo e zablokowa normalne korzystanie z ro-
utera - po wykonaniu polecenia login local, przy ka dej próbie pod czenia si do routera po-
jawi si pytanie o konto u ytkownika i has o; je eli wi c nie b dzie lokalnej bazy kont (a stan-
dardowo jej nie ma), nie b dzie mo liwe poprawne uwierzytelnianie. Trzeba najpierw zdefi-
niowa konta u ytkowników, a dopiero potem u y komendy login local.
Polecenie konfiguracyjne pozwalaj ce utworzy nowe konto u ytkownika ma sk adni :
username Nazwa password Haslo. Polecenie to wymaga podania nazwy konta i has a wyko-
rzystywanego w procesie uwierzytelniania. Konta utworzone poleceniem username s prze-
chowywane i widoczne w aktualnej konfiguracji routera, st d nale y pami ta o regularnym
zapisywaniu jej w pami ci NVRAM. Domy lnie u ytkownik, który weryfikowany jest przy
dost pie do routera poprzez indywidualne konto i has o, umieszczany jest na poziomie 1 (po-
ziom u ytkownika). Mo na równie do ka dego konta indywidualnie przypisa inny domy lny
poziom pracy, na który u ytkownik b dzie automatycznie prze czany. W tym celu nale y po-
nownie pos u y si komend username. W poni szym przyk adzie tworzone jest konto Ad-
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
15
min2 z has em cisco, a dodatkowo do tego konta przypisywany jest domy lny poziom uprzywi-
lejowania 7:
Router(config)#username Admin2 password cisco
Router(config)#username Admin2 privilege level 7
Korzystanie z polecenia konfiguracyjnego login local jest rozwi zaniem skutecznym, cho
mo e by nieco uci liwe, gdy wymaga definiowania lokalnej bazy danych na ka dym z ro-
uterów. Innym sposobem rozwi zania problemu weryfikacji jest zastosowanie centralnej us ugi
uwierzytelniaj cej pod czaj cych si u ytkowników. Rozwi zanie to oparte w praktyce na
us ugach zewn trznych RADIUS lub TACACS+ oferuje równie mo liwo autoryzacji i reje-
stracji wykonywanych dzia a . Przyk adow sytuacj , w której router Cisco jest klientem ser-
wera RADIUS przedstawia rysunek poni ej.
Przy próbie pod czenia si do routera, np. poprzez port konsoli, router pracuj cy jako klient
przesy a do centralnego serwera pro b o uwierzytelnienie u ytkownika. Serwer RADIUS, za-
wieraj cy centraln baz informacji o u ytkownikach, przeprowadza proces weryfikacji, do-
datkowo mo e okre li rodzaj dozwolonych dla u ytkownika operacji (autoryzacja) oraz kon-
trolowa i zapisywa w dzienniku ich realizacj . Protokó RADIUS pozwala w praktyce na
wykonywanie trzech niezale nych dzia a (nie tylko uwierzytelniania), jest on przyk adem tzw.
protoko u AAA (Authentication, Authorization, Accounting). Aby w czy na routerze Cisco
korzystanie ze wszystkich us ug AAA, nale y w trybie konfiguracji globalnej wykona polece-
nie aaa new-model, a nast pnie skonfigurowa realizacj procesu uwierzytelniania, autoryzacji
i kontroli poleceniami: aaa authentication, aaa authorization i aaa accounting. Poni sze
przyk adowe komendy konfiguracyjne pozwalaj wskaza serwer RADIUS oraz okre li klucz
stosowany do zaszyfrowania przesy anego has a u ytkownika (podobnie konfiguruje si
wspó prac z serwerem TACACS+, który te jest protoko em AAA):
Router(config)#radius-server host 131.107.2.250
Router(config)#radius-server key klucz
Zastosowanie protoko ów AAA pozwala w optymalny sposób zarz dza procesem uwierzy-
telniania u ytkowników, zw aszcza w rodowisku du ej, wielosegmentowej sieci lokalnej, wy-
posa onej w wiele routerów. Przed wdro eniem tego rozwi zania nale y zastanowi si nad
wyborem odpowiedniego protoko u. Protokó RADIUS (oparty na UDP) jest rozwi zaniem
otwartym, nadaj cym si bardzo dobrze dla rodowisk niejednorodnych, w których wykorzy-
stywane s urz dzenia ró nych producentów. Natomiast protokó TACACS+ (oparty na TCP)
jest rozwi zaniem firmy Cisco i przeznaczony jest dla sieci wykorzystuj cych urz dzenia tej
firmy.
Oprócz pod czenia poprzez port konsoli mo liwy jest tak e dost p do routera poprzez li-
nie terminali wirtualnych VTY. Najcz ciej wykorzystywany jest do tego celu protokó Telnet.
Aby ustanowi sesj telnetow do zdalnego routera, konieczne jest wcze niejsze poprawne
skonfigurowanie interfejsu tego routera (m.in. wpisanie adresu IP), poprzez który sesja zostanie
nawi zana. Standardowo router Cisco udost pnia 5 linii terminali wirtualnych, przez które
mo na si do niego pod czy . Linie te przyznawane s u ytkownikom dynamicznie i nie wia-
domo, która zostanie wykorzystana na kolejne po czenie. Z tego powodu najcz ciej konfigu-
ruje si wszystkie 5 linii VTY jednocze nie. Ochrona dost pu do routera poprzez linie VTY
wygl da bardzo podobnie, jak w przypadku pod czania si poprzez port konsoli. Dlatego bez
dodatkowego omawiania tych samych rozwi za , zapoznajmy si z przyk adami konfiguracji
linii VTY. Aby w czy ochron dost pu do routera na poziomie pojedynczego has a, nale y
wykona polecenia:
Router(config)#line VTY 0 4
Router(config-line)#login
Router(config-line)#password haslo
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
16
Zapis line VTY 0 4 w pierwszym poleceniu oznacza linie VTY o numerach od 0 do 4, czyli
wszystkie 5 linii. Pami tajmy, e has o chroni ce dost p przez linie VTY definiowane jest ju
w dialogu konfiguracyjnym (w odró nieniu od portu konsoli), zatem polecenie password w
tym przypadku s u y b dzie jedynie do jego zmiany. Aby w czy korzystanie z lokalnej bazy
kont u ytkowników w procesie uwierzytelnienia, nale y wykona nast puj ce polecenia:
Router(config)#line VTY 0 4
Router(config-line)#login local
Dodatkowym sposobem zwi kszenia bezpiecze stwa przy dost pie do routera poprzez linie
VTY jest okre lenie dozwolonych adresów, z których po czenie mo e by ustanowione. Mo -
na wskaza na przyk ad adresy komputerów, przy których pracuj administratorzy. Realizuje
si to przez wykorzystanie podpolecenia access-class w ramach konfiguracji linii VTY. W
praktyce polecenie to korzysta ze zdefiniowanych wcze niej list dost pu dla protoko u IP, które
omówione zostan w jednym z dalszych artyku ów. Dodatkowo dla linii terminali wirtualnych
warto zdefiniowa parametry automatycznego roz czania po czenia. Poni ej pokazujemy
dwa przyk ady ustawiaj ce czasy roz czania. Komenda pierwsza oznacza bezwzgl dne roz -
czenie sesji u ytkownika po 60 minutach. Polecenie drugie ustawia roz czanie po 15 minutach
i 30 sekundach bezczynno ci. Komenda absolute-timeout nie ma zdefiniowanej warto ci do-
my lnej, polecenie exec-timeout przyjmuje domy lnie warto 10 minut:
Router(config)#line VTY 0 4
Router(config-line)#absolute-timeout 60
Router(config-line)#exec-timeout 15 30
Zarówno has o zdefiniowane poleceniem enable password, jak i has a przypisane do kont
u ytkowników oraz has a zabezpieczaj ce dost p do routera poprzez linie konsoli czy linie
VTY przechowywane s w postaci jawnej w konfiguracji routera. Mo e si zdarzy , zw aszcza
gdy skrypt konfiguracyjny nagrywany jest na serwerze TFTP, e has a te zostan odczytane
przez niepowo ane osoby. Aby temu zapobiec, nale y w trybie konfiguracji globalnej wykona
polecenie service password-encryption. Wszystkie wprowadzone jawnie has a przedstawione
zostan w konfiguracji w postaci zaszyfrowanych a cuchów znaków, poprzedzonych cyfr 7,
wskazuj c algorytm szyfrowania (z wyj tkiem has a enable secret, które szyfrowane jest in-
nym algorytmem). Oczywi cie podczas logowania u ytkownik ca y czas pos uguje si has em
w postaci jawnej. Warto zauwa y , e wy czenie us ugi szyfruj cej nie powoduje odszyfro-
wania hase . W postaci jawnej has a zostan pokazane w konfiguracji dopiero po ich nast pnej
zmianie.
8. Procedura naprawiania has a
Je eli administrator routera zapomni has a uprawniaj cego do przej cia na poziom 15, nie
b dzie móg wprowadzi adnych zmian konfiguracyjnych. Podobny problem mo e pojawi
si wówczas, gdy administrator otrzymuje router ju skonfigurowany, na przyk ad z innego od-
dzia u firmy, bez informacji o zwi zanym z nim ha le. Proces tzw. naprawienia has a dla trybu
uprzywilejowanego polega w zasadzie na jego nadpisaniu now warto ci . Mo e go przepro-
wadzi osoba pod czona do routera poprzez port konsoli. Przede wszystkim router musi zosta
uruchomiony w specjalnym trybie monitora pami ci ROM po to, aby zmodyfikowa szesna-
stobitow warto rejestru systemowego. W tym celu w ci gu pierwszych 60 sekund od w -
czenia routera (warto podawana w dokumentacji Cisco), z konsoli nale y wybra specjaln
kombinacj klawiszy, przerywaj c normalny proces startu. Najcz ciej jest to kombinacja
CTRL_Break, cho mo e by ró na w zale no ci od rodzaju emulowanego terminala. Inne
kombinacje, które warto przetestowa to np. CTRL_B lub Alt_B. Przyk adowo kombinacja
CTRL_Break dzia a poprawnie w programie HyperTerminal systemu Windows 98 czy Win-
dows 2000 (ale nie Windows NT 4.0). Po wybraniu CTRL_ Break router uruchamiany jest w
trybie monitora pami ci ROM. Przy ka dym starcie routera has o zwi zane z poziomem 15 od-
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
17
czytywane jest z konfiguracji startowej. Procedura naprawcza rozpocznie si wi c od ustawie-
nia w rejestrze warto ci, która zmusi router do pomini cia (ale nie skasowania) konfiguracji
startowej przy jego nast pnym uruchomieniu. W tym celu na routerze 2600, wykorzystywanym
w wi kszo ci naszych przyk adów, wykona nale y polecenie confreg 0x2142 (standardowa
warto rejestru to 0x2102). Cyfra szesnastkowa 4 na trzeciej pozycji rejestru oznacza pomi-
ni cie wczytywania konfiguracji startowej. Je eli nie wiemy, jak warto rejestru nale y
ustawi , mo na uruchomi program confreg w trybie dialogowym, w którym odpowiedzi na
kolejne pytania pozwalaj zdefiniowa ró ne parametry pracy routera, ustawiaj c odpowiednie
bity w rejestrze. Wi kszo pyta nie dotyczy w ogóle has a, wi c mo na pozostawi propo-
nowane domy lne warto ci. Tylko pytanie Ignore system config info wymaga odpowiedzi Yes.
Po zdefiniowaniu rejestru nale y ponownie uruchomi router poleceniem reset.
Proces uruchamiania routera powinien zako czy si pytaniem o wej cie do dialogu konfi-
guracyjnego. Dzieje si tak dlatego, i router nie wczyta konfiguracji startowej i wówczas
zawsze proponuje dialog konfiguracyjny. Po udzieleniu przecz cej odpowiedzi zauwa ymy, e
nazwa routera ma posta : Router. W kolejnych krokach nale y:
1. Wej do trybu uprzywilejowanego poprzez wykonanie komendy enable (system nie za-
pyta o has o);
2. Wczyta konfiguracj startow do pami ci RAM: copy start runn;
3. wej do trybu konfiguracyjnego: conf term;
4. Zdefiniowa nowe has o, np.: enable secret cisco1;
5. Przywróci poprzedni posta rejestru: config-register 0x2102;
6. W konfiguracji ka dego interfejsu wy czy polecenie shutdown (domy lnie router nie-
skonfigurowany ma wy czone interfejsy, a jest nim na przyk ad router, który nie wczyta
konfiguracji startowej);
7. Nagra konfiguracj aktualn z nowym has em w pami ci NVRAM: copy runn start;
8. Ponownie uruchomi router i przetestowa nowe has o.
4.0 Konfigurowanie protoko u SNMP
Protokó SNMP (Simple Network Management Protocol) opracowany zosta do nadzorowa-
nia, diagnozowania oraz zdalnego zarz dzania urz dzeniami pracuj cymi w sieci TCP/IP. Wy-
ró niamy dwa podstawowe sk adniki w architekturze SNMP: oprogramowanie agenta, zwykle
zaszyte w urz dzeniu sieciowym oraz oprogramowanie mened era SNMP, dostarczane na
przyk ad jako specjalizowana aplikacja (p. rysunek).
Komunikacja mi dzy mened erem i agentem, realizowana przy wykorzystaniu standardo-
wego zestawu polece , pozwala mened erowi zebra podstawowy zestaw informacji o urz -
dzeniu, na którym pracuje agent. Informacje, które mened er mo e uzyska od agenta zdefi-
niowane s w postaci obiektów w bazach danych MIB (Management Information Base). Ka dy
obiekt w bazie ma swój unikatowy identyfikator, poprzez który mened er ma do niego dost p.
Typowe polecenia, za pomoc których mened er uzyskuje informacje o okre lonych obiektach
to: GET i GET-NEXT, natomiast poleceniem SET mened er wymusza ustawienie warto ci
wybranego obiektu. Dodatkowo agent mo e z w asnej inicjatywy wysy a do mened era ko-
munikaty typu TRAP, co dzieje si na skutek wyst pienia pewnych zdarze . System operacyj-
ny routera Cisco wyposa ony jest w oprogramowanie agenta SNMP, ale do poprawnej pracy
wymaga dodatkowej konfiguracji. Aby agent zaakceptowa polecenie przysy ane od mened e-
ra. musi by spe niony warunek przynale no ci do tej samej spo eczno ci SNMP (community).
Nazw spo eczno ci, do której nale y agent (router Cisco) mo na zdefiniowa ju w dialogu
konfiguracyjnym lub pó niej globalnym poleceniem konfiguracyjnym snmp-server communi-
ty. W poleceniu tym mo na te poda tryb dost pu do agenta: RO (tylko do odczytu - polece-
nia GET i GET-NEXT) b d RW (do odczytu i zapisu - równie polecenie SET) oraz numer
standardowej listy dost pu, dzi ki której mo na okre li dozwolone adresy IP dla mened erów
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
18
przysy aj cych dania. Do standardowych zdarze zachodz cych na routerze Cisco, które po-
woduj wys anie komunikatu Trap do wybranego mened era nale y b d uwierzytelnienia. Jest
to przypadek, gdy do agenta przychodzi danie z obcej spo eczno ci. Oprócz informowania o
próbach nieuprawnionego dost pu, agent wysy a typowo do swojego mened era komunikaty
Trap dla zdarze ponownego uruchomienia routera b d zmiany stanu interfejsu. Inne komuni-
katy typu Trap wysy ane przez agenta konfiguruje si poleceniem snmp-server host. Komenda
ta pozwala okre li adres IP mened era SNMP, nazw spo eczno ci mened era oraz rodzaje
komunikatów Trap, które b d do mened era wysy ane.
Poni ej przedstawiamy przyk ad konfiguracji protoko u SNMP. Zauwa my, e router mo e
nale e do kilku spo eczno ci. Dla spo eczno ci Public w czona jest opcja RO (tylko do od-
czytu), dla spo eczno ci Private w czony jest pe en dost p (RW). W przypadku spo eczno ci
Private ustawiono kontrolowanie adresu IP mened era poprzez list dost pu nr 5. Ostatnia ko-
menda definiuje adres IP mened era, do którego wysy ane b d komunikaty Trap, okre la te
rodzaj wysy anych komunikatów trap. W tym przyk adzie router C2600 informowa b dzie
swojego mened era o zdarzeniach dotycz cych protoko u ISDN oraz o zmianach w konfigura-
cji.
Router(config)# snmp-server community Public RO
Router(config)#snmp-server community Private RW 5
Router(config)#snmp-server host 131.107.10.245 Public isdn config
Programy graficzne przeznaczone do zdalnego zarz dzania routerem Cisco bardzo cz sto opie-
raj swoje dzia anie na protokole SNMP. W takim przypadku niezb dne b dzie okre lenie w a-
ciwej nazwy spo eczno ci, w której pracuje router. Dodatkowo, aby u atwi zarz dzanie, na
routerze mo na skonfigurowa dwa parametry opisowe, okre laj ce po o enie routera oraz
osob kontaktow . Parametry te definiuje si w postaci a cuchów znaków za pomoc polece-
nia snmp-server location oraz snmp-server contact.
9. Obs uga komunikatów obs ugiwanych przez router
Zdarzenia zachodz ce na routerze oraz poszczególne dzia ania systemu operacyjnego mog
by monitorowane i zapisywane w postaci komunikatów, co u atwia diagnostyk i naprawianie
ewentualnych b dów. Komunikaty opisuj ce prac routera oraz b d ce wynikiem dzia ania
polecenia debug, ledz cego wybrane procesy, mog by wysy ane do czterech ró nych od-
biorców, zgodnie z rysunkiem poni ej.
Standardowo wszystkie komunikaty wy wietlane s na terminalu konsoli. Dodatkowo mo na
skonfigurowa wy wietlanie komunikatów w sesjach telnetowych (po czenia VTY) oraz wy-
sy anie komunikatów do zewn trznego serwera us ugi syslog. Czwart opcj jest zapisywanie
komunikatów w wewn trznym buforze routera. Dla ka dego z wymienionych czterech przy-
padków mo na niezale nie skonfigurowa poziom szczegó owo ci raportowanych zdarze (p.
tabela). Standardowo dla linii konsoli oraz linii terminali wirtualnych w czony jest najbardziej
szczegó owy poziom raportowania (debugging) oznaczaj cy monitorowanie wszystkich zda-
rze , dla us ugi syslog w czony jest poziom komunikatów informacyjnych (informational), na-
tomiast buforowanie komunikatów w pami ci jest wy czone.
Poziom 7 (debugging), oprócz tego, e oznacza zbieranie wszystkich komunikatów opisuj cych
prac routera, jest równie wymagany dla poprawnego raportowania zdarze zwi zanych z
dzia aniem polecenia debug. Podstawow komend konfiguracyjn s u c do okre lania
miejsc, w których b d zbierane komunikaty oraz definiowania poziomów szczegó owo ci jest
globalne polecenie konfiguracyjne logging. W poni szej sekwencji polece wy czono rapor-
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
19
towanie na linii konsoli, w czono wysy anie komunikatów na linie VTY (na poziomie 6), zde-
finiowano maksymalny poziom szczegó owo ci (7) komunikatów wysy anych do zewn trznej
us ugi syslog pracuj cej pod adresem 131.108.1.250 oraz ustalono, e zdarzenia b d monito-
rowane w wewn trznym buforze (8192 bajty) routera:
Router(config)#no logging console
Router(config)#logging monitor informational
Router(config)#logging 131.108.1.250
Router(config)#logging trap debugging
Router(config)#logging buffered 8192
Polecenie logging trap pozwala ustali poziom raportowania dla komunikatów wysy anych
do us ugi syslog. Najcz ciej jest to us uga uruchamiana na hostach systemu Unix, a zbierane
zdarzenia zapisywane b d w pliku tekstowym.
Poleceniem logging monitor w cza si wysy anie komunikatów na linie terminali wirtual-
nych VTY, ale nie jest to równoznaczne z odbieraniem ich w sesjach protoko u Telnet. Po
ustanowieniu po czenia na jednej z pi ciu linii terminali wirtualnych, wymagane jest dodat-
kowo wykonanie polecenia terminal monitor, które spowoduje wy wietlanie komunikatów w
tej konkretnej sesji telnetowej.
Polecaj c zbieranie komunikatów do wewn trznego bufora na routerze, pami ta nale y o
tym, i jest on tworzony w pami ci RAM, tak wi c wszystkie zgromadzone w nim komunikaty
zostan utracone po ka dym ponownym uruchomieniu routera. To rozwi zanie, cho wygodne
- komunikaty z bufora mo na w dowolnej chwili wy wietli na ekranie konsoli - nie nadaje si
do archiwizowania zdarze . Do tego celu nale y wykorzysta zewn trzn us ug syslog. Do-
my lny rozmiar bufora komunikatów wynosi 4096 bajtów, a zawarte w nim komunikaty oraz
aktualn konfiguracj raportowania wy wietli mo na poleceniem show logging. Poni ej pre-
zentujemy wynik tego polecenia dla przyk adowej konfiguracji routera, w której w czono bu-
forowanie komunikatów. Zwró my uwag na wy wietlany czas monitorowanych zdarze :
Router#show logging
Syslog logging: enabled (0 messages dropped,0 flushes, 0 overruns)
Console logging: level debugging, 25 messages logged
Monitor logging: level debugging, 5 messages logged
Logging to: vty66(5)
Trap logging: level informational, 29 message lines logged
Buffer logging: level debugging, 25 messages logged
Log Buffer (4096 bytes):
02:34:23: %SYS-5-CONFIG_I: Configured from console by console
02:35:22: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to up
02:35:24: %LINK-5-CHANGED: Interface Ethernet0/1, changed state to
administratively down
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
20
Jak zaznaczyli my wcze niej, w czenie najwy szego poziomu raportowania 7 jest wymaga-
ne do poprawnego pos ugiwania si poleceniem debug. Komenda ta, dost pna na poziomie
uprzywilejowanym, pozwala monitorowa prac ró nego rodzaju procesów i protoko ów dzia-
aj cych na routerze. Poszczególne komunikaty opisuj ce ledzony proces mog by wysy ane
do jednego z czterech odbiorców, jak to opisali my wcze niej. Jako przyk ad pos ugiwania si
poleceniem debug, prezentujemy narz dzie przeznaczone do testowania komunikacji w sieci IP
- program ping. Wysy a on sekwencj pakietów echo protoko u ICMP pod wskazany adres IP,
oczekuj c na tak sam liczb odpowiedzi w postaci pakietów echo reply. ledzenie dzia ania
programu ping wymaga nast puj cej sk adni komendy debug: debug ip icmp. Oto przyk ado-
wa sekwencja komunikatów wynikowych:
Router#debug ip icmp
ICMP packet debugging is on
Router#ping 131.107.10.245
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 131.107.10.245, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), Round-trip min/avg/max = 1/2/4 ms
Router#
03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1
03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1
03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1
03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1
03:30:53: ICMP: echo reply rcvd, src 131.107.10.245, dst 131.107.10.1
Warto zauwa y , i polecenie debug nie obejmuje pakietów echo protoko u ICMP wysy a-
nych przez router. Dlatego te w komunikatach wynikowych wida tylko pi pakietów zwrot-
nych echo reply (nie ma 5 wysy anych pakietów echo).
Czasami w procesie rozwi zywania problemów komunikacyjnych, niezb dne jest w czenie
ledzenia ca ej komunikacji protoko u IP. W tym celu wykona nale y komend : debug ip
packet. Poni ej przedstawiamy ponownie przyk ad dzia ania programu ping - fragment komu-
nikatów wyra nie pokazuje, i tym razem komenda debug obejmuje zarówno pakiety wysy a-
ne, jak i odbierane.
Router# debug ip packet IP packet debugging is on
Router#ping 131.107.10.245 Sending 5, 100-byte ICMP Echos to 131.107.10.245,
timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip
min/avg/max = 1/2/4 ms
Router# 03:35:19: IP: s=131.107.10.1 (local),d=131.107.10.245 (Ethernet0/0),
len 100, sending 03:35:19: IP: s=131.107.10.245 (Ethernet0/0),
d=131.107.10.1 (Ethernet0/0), len 100, rcvd 3
Innym cz sto stosowanym poleceniem jest komenda debug ip rip, pozwalaj ca nadzorowa
i wykrywa ewentualne b dy w dzia aniu protoko u routingu dynamicznego RIP. Poniewa
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
21
proces ledzenia mo e generowa na ekranie konsoli bardzo du o komunikatów, które nak ada-
j si na inne wpisywane polecenia, psuj c ich czytelno (ale nie sk adni ), mo na pos u y
si poleceniem konfiguracyjnym linii konsoli: logging synchronous. Komenda ta zablokuje
nak adanie si wy wietlanych komunikatów na aktualnie wpisywane polecenie. Do wy czenia
polecenia debug s u y standardowo sk adnia no debug ledzony_proces. Przyk adowo polece-
nie no deb all wy cza wszystkie procesy ledzenia.
10. Konfiguracja protoko u SNMP
Protokó SNMP (Simple Network Management Protocol) opracowany zosta do nadzorowa-
nia, diagnozowania oraz zdalnego zarz dzania urz dzeniami pracuj cymi w sieci TCP/IP. Wy-
ró niamy dwa podstawowe sk adniki w architekturze SNMP: oprogramowanie agenta, zwykle
zaszyte w urz dzeniu sieciowym oraz oprogramowanie mened era SNMP, dostarczane na
przyk ad jako specjalizowana aplikacja (p. rysunek).
Komunikacja mi dzy mened erem i agentem, realizowana przy wykorzystaniu standardo-
wego zestawu polece , pozwala mened erowi zebra podstawowy zestaw informacji o urz -
dzeniu, na którym pracuje agent. Informacje, które mened er mo e uzyska od agenta zdefi-
niowane s w postaci obiektów w bazach danych MIB (Management Information Base). Ka dy
obiekt w bazie ma swój unikatowy identyfikator, poprzez który mened er ma do niego dost p.
Typowe polecenia, za pomoc których mened er uzyskuje informacje o okre lonych obiektach
to: GET i GET-NEXT, natomiast poleceniem SET mened er wymusza ustawienie warto ci
wybranego obiektu. Dodatkowo agent mo e z w asnej inicjatywy wysy a do mened era ko-
munikaty typu TRAP, co dzieje si na skutek wyst pienia pewnych zdarze . System operacyj-
ny routera Cisco wyposa ony jest w oprogramowanie agenta SNMP, ale do poprawnej pracy
wymaga dodatkowej konfiguracji. Aby agent zaakceptowa polecenie przysy ane od mened e-
ra. musi by spe niony warunek przynale no ci do tej samej spo eczno ci SNMP (community).
Nazw spo eczno ci, do której nale y agent (router Cisco) mo na zdefiniowa ju w dialogu
konfiguracyjnym lub pó niej globalnym poleceniem konfiguracyjnym snmp-server communi-
ty. W poleceniu tym mo na te poda tryb dost pu do agenta: RO (tylko do odczytu - polece-
nia GET i GET-NEXT) b d RW (do odczytu i zapisu - równie polecenie SET) oraz numer
standardowej listy dost pu, dzi ki której mo na okre li dozwolone adresy IP dla mened erów
przysy aj cych dania. Do standardowych zdarze zachodz cych na routerze Cisco, które po-
woduj wys anie komunikatu Trap do wybranego mened era nale y b d uwierzytelnienia. Jest
to przypadek, gdy do agenta przychodzi danie z obcej spo eczno ci. Oprócz informowania o
próbach nieuprawnionego dost pu, agent wysy a typowo do swojego mened era komunikaty
Trap dla zdarze ponownego uruchomienia routera b d zmiany stanu interfejsu. Inne komuni-
katy typu Trap wysy ane przez agenta konfiguruje si poleceniem snmp-server host. Komenda
ta pozwala okre li adres IP mened era SNMP, nazw spo eczno ci mened era oraz rodzaje
komunikatów Trap, które b d do mened era wysy ane.
Poni ej przedstawiamy przyk ad konfiguracji protoko u SNMP. Zauwa my, e router mo e
nale e do kilku spo eczno ci. Dla spo eczno ci Public w czona jest opcja RO (tylko do od-
czytu), dla spo eczno ci Private w czony jest pe en dost p (RW). W przypadku spo eczno ci
Private ustawiono kontrolowanie adresu IP mened era poprzez list dost pu nr 5. Ostatnia ko-
menda definiuje adres IP mened era, do którego wysy ane b d komunikaty Trap, okre la te
rodzaj wysy anych komunikatów trap. W tym przyk adzie router C2600 informowa b dzie
swojego mened era o zdarzeniach dotycz cych protoko u ISDN oraz o zmianach w konfigura-
cji.
Router(config)#snmp-server community Public RO
Router(config)#snmp-server community Private RW 5
Router(config)#snmp-server host 131.107.10.245 Public isdn config
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
22
Programy graficzne przeznaczone do zdalnego zarz dzania routerem Cisco bardzo cz sto
opieraj swoje dzia anie na protokole SNMP. W takim przypadku niezb dne b dzie okre lenie
w a ciwej nazwy spo eczno ci, w której pracuje router. Dodatkowo, aby u atwi zarz dzanie,
na routerze mo na skonfigurowa dwa parametry opisowe, okre laj ce po o enie routera oraz
osob kontaktow . Parametry te definiuje si w postaci a cuchów znaków za pomoc polece-
nia snmp-server location oraz snmp-server contact.
10. Przyk adowy skrypt konfiguracyjny
Router #sh runn
Current configuration:
version 11.3
no service password-encryption
! Nazwa routera
hostname C2600
! System operacyjny wczytywany b dzie z serwera TFTP
boot system /2600/C2600-i-mz.113-10.T 131.108.1.250
! zaszyfrowane has o enable secret
enable secret 5 $1$souK$dTxfqZuhZCFSE/figBoA41
! nieszyfrowane has o enable password
enable password haslo2
! Dla interfejsu Ethernet 0/0 zdefiniowano 2 adresy IP
interface Ethernet0/0
ip address 212.1.1.1 255.255.255.0 secondary
ip address 131.108.1.1 255.255.255.0
! Dla S0/0 (DCE) zdefiniowano przepustowo , opó nienie i zegar
interface Serial0/0
ip address 131.107.11.1 255.255.255.0
no ip mroute-cache
bandwidth 128
delay 2000
clockrate 56000
! interface Ethernet0/1
ip address 131.109.1.1 255.255.255.0
! Dla S0/1 (te DCE) przepustowo i opó nienie s domy lne
interface Serial0/1
ip address 131.107.12.1 255.255.255.0
clockrate 56000
! Routing nieklasowy
ip classless
! Spo eczno SNMP Public pozwala tylko na odczyt informacji (RO)
snmp-server community public RO
! Port konsoli nie jest chroniony has em
line con 0
line aux 0
! Linie terminali wirtualnych (telnet) s chronione has em
line vty 0 4
password haslo3
login
end
LITERATURA
[1] PC Kurier  Archiwum  Dialogi i polecenia  .
[2] PC Kurier  Archiwum  Zabezpieczenie i diagnostyka .
[2] Leinwand Allan, Pinsky Bruce  Konfiguracja routerów Cisco- Podstawy
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002
23
Politechnika Rzeszowska im. Ignacego ukasiewicza
Zak ad Systemów Rozproszonych
Rzeszów 2002


Wyszukiwarka

Podobne podstrony:
Konfiguracja routerów cisco
CCNA Lab02 5 4 podstawowa konfiguracja routera za pomocą linii poleceń CISCO IOS
Konfiguracja routera
Budowa sieci komputerowych na przelacznikach i routerach Cisco busiko
Three Router Cisco CCNP Frame Relay Lab
w8901g konfiguracja routera?sl
Routery Cisco?ektywne zarzadzanie rcisez
Instrukcja szybkiej instalacji i konfiguracji routerów ADSL2
3 Konfiguracja routera
Podstawy dzialania routerow i routingu
Cisco Router Commands
cisco konfig

więcej podobnych podstron