Tutorial 6 Konfiguracja routerów i switchy

Transkrypt

1 1 Tutorial 6 Konfiguracja routerów i switchy 1. Podstawy IOS 1.1. Cisco IOS Routery i przełączniki, tak jak komputery nie mogą poprawnie działać bez systemu operacyjnego. System IOS (ang. Internetwork Operating System) jest systemem operacyjnym urządzeń firmy Cisco. Jest to podstawowa technologia większości urządzeń tej firmy. System IOS jest używany niezależnie od wielkości i typu urządzeń. Wykorzystuje się go w routerach, przełącznikach LAN, bezprzewodowych punktach dostępowych (ang. Access Point), ścianach ogniowych (ang. Firewall) oraz w wielu innych urządzeniach. Cisco IOS zapewnia urządzeniom między innymi następujące usługi sieciowe: Podstawowe funkcje routingu i przełączania Niezawodny i bezpieczny dostęp do zasobów sieciowych Skalowalność sieci Szczegóły działania systemu IOS różnią się na poszczególnych urządzeniach, zależnie od jego przeznaczenia i zestawu funkcji. Dostęp do usług udostępnianych przez IOS odbywa się przy użyciu interfejsu linii komend (CLI). Dostępne funkcje zależą od wersji IOS oraz typu urządzenia. Plik IOS ma rozmiar kilkunastu megabajtów i jest przechowywany w pamięci Flash. Pamięć Flash zapewnia nieusuwalny magazyn przechowujący dane. Oznacza to, że zawartość tej pamięci nie jest tracona po wyłączeniu zasilania. Jednak w razie konieczności może zostać ona zmieniona lub nadpisana. Korzystanie z pamięci Flash umożliwia aktualizację systemu IOS do nowszej wersji lub uzyskanie dodatkowych funkcjonalności. W wielu architekturach routerów, w momencie włączenia urządzenia, IOS jest kopiowany do pamięci RAM i router podczas pracy korzysta z IOS przechowywanego w tej pamięci. Taka funkcjonalność podnosi wydajność urządzenia. Metody dostępu Istnieje kilka sposobów dostępu do środowiska CLI. Najczęściej używane metody to konsola, telnet lub SSH oraz port AUX. Konsola CLI może być dostępne poprzez sesję konsoli, zwaną również linią CTY (ang. CTY line). Konsola wykorzystuje wolne połączenie szeregowe poprzez bezpośrednie podłączenie komputera lub terminala do portu konsoli (console) w routerze lub przełączniku. Port konsoli jest zarządzalnym portem, który zapewnia pełny dostęp do routera. Jest on dostępny nawet w sytuacji, gdy na urządzeniu nie zostały skonfigurowane żadne usługi. Port konsoli najczęściej używany jest w przypadku, gdy usługi sieciowe nie zostały uruchomione lub przestały działać. Przykłady wykorzystania konsoli: Początkowa konfiguracja urządzenia sieciowego

2 2 Procedury awaryjne lub rozwiązywanie problemów w chwili, gdy zdalny dostęp jest niemożliwy Procedury odzyskiwania hasła Po pierwszym uruchomieniu routera parametry sieci nie są jeszcze skonfigurowane. Zatem router nie może komunikować się poprzez sieć. Aby skonfigurować urządzenie, uruchamiamy na komputerze oprogramowanie emulatora terminala oraz podłączamy komputer do portu konsoli urządzenia. Komendy konfiguracyjne routera mogą być wydawane na podłączonym komputerze. Podczas pracy, jeśli nie ma możliwości dostępu zdalnego, połączenie do konsoli umożliwia sprawdzenie statusu urządzenia. Domyślnie, konsola przekazuje komunikaty generowane w czasie uruchamiania urządzenia, komunikaty dotyczące procesu debugowania oraz komunikaty o błędach. Dla wielu urządzeń z systemem IOS dostęp do konsoli nie wymaga dodatkowych zabezpieczeń. Jednak konsola powinna być konfigurowana z hasłami ograniczającymi nieautoryzowany dostęp do urządzenia. W razie zagubienia hasła istnieje specjalny zestaw procedur pozwalający na ominięcie hasła i dostęp do urządzenia. Urządzenie powinno być zlokalizowane w zamkniętym pokoju lub szafie serwerowej, aby ograniczyć fizyczny dostęp do niego. Telnet lub SSH Metodą zdalnego dostępu do interfejsu linii poleceń (CLI) urządzenia jest telnet. W przeciwieństwie do połączenia konsolowego sesja telnet wymaga aktywnie działających usług sieciowych na urządzeniu. Urządzenie sieciowe musi posiadać minimum jeden aktywny interfejs skonfigurowany z adresem warstwy 3, np. adres IPv4. Urządzenia z systemem Cisco IOS posiadają wbudowany serwer Telnet uruchamiany podczas startu urządzenia. IOS posiada również klienta Telnet. Host z klientem Telnet może uzyskać dostęp do sesji vty uruchomionych na urządzeniu Cisco. Z powodów związanych z bezpieczeństwem system IOS wymaga, aby każda sesja telnet używała hasła (jako minimalnej metody uwierzytelnienia). Metody konfiguracji loginu i hasła zostaną omówione później.

3 3 Protokół Secure Shell (SSH) jest bardziej bezpieczną metodą zdalnego dostępu do urządzenia. Protokół udostępnia zbliżoną strukturę logowania do Telnet, ale oprócz tego umożliwia korzystanie z bardziej bezpiecznych usług. SSH zapewnia silniejsze niż Telnet uwierzytelnianie haseł oraz używa szyfrowania podczas przesyłu danych. Sesja SSH szyfruje całą komunikację pomiędzy klientem i urządzeniem. To rozwiązanie utrzymuje ID użytkownika, hasło oraz szczegóły prywatnej sesji. Najlepszą praktyką jest używanie SSH (zamiast Telnet), jeśli tylko jest to możliwe. Większość nowszych wersji IOS zawiera serwer SSH. Niektóre urządzenia usługę SSH mają włączoną domyślne. Pozostałe urządzenia wymagają jej uruchomienia. Urządzenia z systemem IOS posiadają również klienta SSH, który może być wykorzystany do ustanawiania sesji z innymi urządzeniami. Podobnie, możesz użyć zdalny komputer z klientem SSH do rozpoczęcia bezpiecznej sesji CLI. Klient SSH nie jest domyślnie dostępny we wszystkich systemach operacyjnych. W razie potrzeby możesz zainstalować i skonfigurować klienta SSH na swoim komputerze. AUX Innym sposobem ustanowienia zdalnej sesji z interfejsem wiersza poleceń CLI jest wykorzystanie telefonicznego połączenia wdzwanianego za pomocą modemu podłączonego do portu AUX routera. Jak w przypadku połączenia konsolowego, metoda ta nie wymaga skonfigurowanych i dostępnych usług sieciowych na urządzeniu. Port AUX może zostać użyty również lokalnie, tak jak port konsoli, przez bezpośrednie połączenie do komputera z uruchomionym emulatorem terminala. Port konsoli jest potrzebny do przeprowadzenia konfiguracji routera, natomiast nie wszystkie routery posiadają port AUX. Do rozwiązywania problemów zaleca się używania portu konsoli, ponieważ wtedy router domyślnie wyświetla komunikaty startowe, debugujące i błędów. Podsumowując, port AUX powinien być używany jedynie w sytuacji, gdy występują problemy z portem konsoli (np. gdy nie są znane jego parametry) Pliki konfiguracyjne Urządzenia sieciowe działają w oparciu o dwa typy oprogramowania: system operacyjny oraz konfiguracja. Jak w każdym komputerze - system operacyjny ułatwia podstawowe operacje sprzętowym komponentom urządzenia. Pliki konfiguracyjne zawierają komendy Cisco IOS użyte do konfiguracji funkcjonalności urządzenia. Komendy te są parsowane (tłumaczone i wykonywane) przez oprogramowanie Cisco IOS w chwili startu systemu (z pliku startup-config) lub w trybie konfiguracji, kiedy są wprowadzane w linii komend CLI. Administrator sieci tworzy plik konfiguracyjny definiujący wymaganą funkcjonalność urządzenia Cisco. Plik konfiguracyjny zwykle ma rozmiar od kilkuset do kilku tysięcy bajtów. Typy plików konfiguracyjnych Urządzenia sieciowe Cisco zawierają dwa pliki konfiguracyjne: Plik konfiguracji bieżącej (running-config) - używany podczas aktualnej pracy urządzenia Plik konfiguracji startowej (startup-config) - używany jako kopia konfiguracji i wczytywany podczas startu urządzenia. Plik konfiguracji może być również przechowywany na zdalnym serwerze (jako kopia zapasowa).

4 4 Plik konfiguracji startowej Plik konfiguracji startowej (startup-config) jest używany podczas startu systemu do konfiguracji urządzenia. Plik konfiguracji startowej lub plik startup-config jest przechowywany w nieulotnej pamięci RAM (NVRAM). Zatem w razie wyłączenia urządzenia plik ten pozostaje nienaruszony. Pliki startup-config są wczytywane do pamięci RAM podczas każdego startu lub restartu routera. Po wczytaniu pliku konfiguracyjnego do pamięci RAM jest on traktowany jako bieżąca konfiguracja (plik running-config). Konfiguracja bieżąca Od momentu przekazania pliku konfiguracyjnego do pamięci RAM, zapisana w nim konfiguracja jest używana przez urządzenie. Konfiguracja bieżąca jest modyfikowana podczas wprowadzania zmian przez administratora. Zmiany w pliku konfiguracji bieżącej natychmiast wpływają na funkcjonowanie urządzenia. Po dokonaniu zmian administrator może je zachować poprzez skopiowanie konfiguracji bieżącej do pliku startup-config. Wówczas po restarcie urządzenia zmiany w konfiguracji zostaną uwzględnione. Ponieważ konfiguracja bieżąca przechowywana jest w pamięci RAM, jest ona tracona po wyłączeniu lub restarcie urządzenia. Zmiany dokonane w pliku bieżącej konfiguracji (running-config) zostaną również utracone, jeśli nie zostanie on skopiowany do pliku konfiguracji startowej (startup-config) przed wyłączeniem urządzenia Tryby systemu IOS System Cisco IOS został zaprojektowany z podziałem na tryby (ang. modal operating system). Określenie z podziałem na tryby opisuje system, w którym istnieją różne tryby operacyjne, a każdy z nich ma własną grupę operacji. Wiersz poleceń (CLI) korzysta z hierarchicznej struktury tych trybów. Główne tryby to (w kolejności od góry do dołu): Tryb EXEC użytkownika Tryb EXEC uprzywilejowany Tryb konfiguracji globalnej Pozostałe tryby konfiguracji szczegółowej Każdy tryb ma przyporządkowane konkretne zadania i posiada specyficzny zestaw komend. Na przykład, aby skonfigurować interfejs routera, należy włączyć tryb konfiguracji interfejsu.

5 5 Wszystkie ustawienia wprowadzone w trybie konfiguracji interfejsu dotyczą tylko danego interfejsu. Niektóre komendy są dostępne dla wszystkich trybów; pozostałe mogą być wykonane tylko po przejściu w odpowiedni tryb, w którym dana komenda jest dostępna. Poszczególne tryby można odróżnić po charakterystycznym znaku zachęty (ang. prompt) i tylko komendy, które są przypisane do danego trybu, są możliwe do wykonania. Hierarchiczna struktura trybów zwiększa bezpieczeństwo. Dla każdego trybu można stosować różne sposoby uwierzytelnienia. Dzięki temu, dla personelu sieciowego może być przyznawany różny poziom dostępu. Rysunek pokazuje strukturę systemu IOS z typowymi znakami zachęty i funkcjonalnościami. Znak zachęty wiersza poleceń W wierszu poleceń CLI tryb identyfikowany jest poprzez znak zachęty linii komend (ang. command-line prompt), który jest unikatowy dla każdego trybu. Znak zachęty składa się z wyrazów i symboli znajdujących się po lewej stronie obszaru roboczego. Wykorzystano określenie znak zachęty, ponieważ intuicyjnie system zachęca do wprowadzania poleceń. Domyślnie, każdy znak zachęty rozpoczyna się od nazwy urządzenia. Za nazwą urządzenia znak zachęty wskazuje tryb. Przykładowo, domyślny znak zachęty trybu globalnej konfiguracji na routerze będzie wyglądał następująco:

6 6 Router(config)# Podczas wprowadzania komend i zmiany trybów, znak zachęty prezentuje aktualny stan w sposób, jaki pokazano na rysunku. Podstawowe tryby Dwa podstawowe tryby operacyjne to tryb EXEC użytkownika oraz tryb EXEC uprzywilejowany. Z przyczyn bezpieczeństwa, oprogramowanie Cisco IOS separuje sesje EXEC na dwa rodzaje dostępu. Te dwa podstawowe tryby dostępu są wykorzystywane niezależnie od hierarchicznej struktury wiersza poleceń Cisco CLI. Każdy tryb ma podobne komendy. Mimo podobieństw, uprzywilejowany tryb EXEC ma wyższy poziom uprawnień w wykonywaniu komend. Tryb EXEC użytkownika Tryb EXEC użytkownika - lub w skrócie tryb EXEC - ma ograniczone możliwości, ale jest wykorzystywany do pewnych podstawowych operacji. Jest on jest na szczycie hierarchicznej struktury trybów. Tryb ten jest pierwszym trybem, który pojawia się zaraz po uruchomieniu wiersza poleceń CLI routera.

7 7 Tryb EXEC użytkownika udostępnia jedynie ograniczony zestaw podstawowych poleceń do monitorowania. Zalecany jest najczęściej do przeglądania ustawień. Tryb EXEC użytkownika nie pozwala na wykonywanie komend, które mogą zmienić konfigurację urządzenia. Domyślnie nie jest wymagane uwierzytelnienie dostępu do trybu EXEC użytkownika. Dobrą praktyką jest włączenie uwierzytelnienia podczas początkowej konfiguracji. Tryb EXEC identyfikowany jest za pomocą symbolu > na końcu znaku zachęty. Przykład: Switch> Uprzywilejowany tryb EXEC Wykonywanie komend wymaga od administratora używania uprzywilejowanego trybu EXEC lub specyficznego trybu położonego niżej w hierarchii. Tryb uprzywilejowany EXEC może być rozpoznany za pomocą symbolu # znajdującego się na końcu wiersza poleceń. Switch# Domyślnie tryb uprzywilejowany EXEC nie wymaga uwierzytelnienia. Niemniej jednak konfigurowanie uwierzytelnienia podnoszącego bezpieczeństwo jest dobrą praktyką. Tryb konfiguracji globalnej oraz wszystkie inne szczegółowe tryby konfiguracji są dostępne tylko z poziomu trybu uprzywilejowanego. W dalszej części tutorialu przedstawiona zostanie konfiguracja urządzenia oraz kilka jej trybów. Przechodzenie z trybu EXEC użytkownika do trybu uprzywilejowanego EXEC i odwrotnie. Do zmian pomiędzy trybem EXEC użytkownika i trybem uprzywilejowanym służą komendy: enable oraz disable Struktura komend IOS Każda komenda w IOS ma specyficzny format i składnię oraz jest wykonywana we właściwym wierszu poleceń. Ogólna składnia polecenia rozpoczyna się komendą, a po niej następują właściwe słowa kluczowe oraz argumenty. Niektóre komendy zawierają podzbiór

8 8 słów kluczowych i argumenty, które dostarczają dodatkową funkcjonalność. Na rysunku pokazane są wspomniane części polecenia. Komenda jest początkowym słowem (lub słowami) wpisanym w wierszu poleceń. Komendy nie rozróżniają wielkości liter. Po komendzie występuje jedno lub więcej słów kluczowych i argumentów. Słowa kluczowe opisują specyficzne parametry dla interpretera. Dla przykładu, polecenie show służy do wyświetlania informacji o urządzeniu. Komenda ta, może posiadać wiele słów kluczowych, które mogą być użyte do zdefiniowania wyniku, jaki ma zostać wyświetlony. Na przykład: Switch#show running-config Komenda show została uzupełniona słowem kluczowym running-config. Wydanie polecenia wskazuje, że na wyjściu powinna zostać wyświetlona konfiguracja bieżąca urządzenia Korzystanie z pomocy CLI IOS posiada kilka rodzajów dostępu do pomocy: Pomoc kontekstowa w postaci podpowiedzi Weryfikacja składni komendy Skróty i "gorące klawisze" Pomoc kontekstowa w postaci podpowiedzi Pomoc kontekstowa dostarcza listę komend i związanych z nimi słów kluczowych, pasujących do aktualnego trybu. W celu uzyskania pomocy należy wpisać znak zapytania? w dowolnym miejscu wiersza poleceń. Następuje wówczas natychmiastowa odpowiedź nie trzeba znaku? potwierdzać klawiszem <Enter>. Korzystając z pomocy kontekstowej otrzymujemy listę dostępnych komend. Takie rozwiązanie może być używane np. jeśli nie mamy pewności co do nazwy polecenia lub jeśli chcemy sprawdzić, czy IOS wspiera konkretną komendę. Dla przykładu, w celu uzyskania listy komend dostępnych w trybie EXEC użytkownika wprowadź? w wierszu poleceń po znaku zachęty Router>. Kolejnym przykładem pomocy kontekstowej jest wykorzystanie komendy do wyświetlenia listy komend rozpoczynających się od określonego znaku lub znaków. Po wpisaniu znaku lub sekwencji znaków, jeśli wciśniemy? bez spacji, IOS wyświetli listę poleceń lub słów kluczowych dla kontekstu rozpoczynającego się od podanych znaków.

9 9 Na przykład, wpisz sh?, aby wyświetlić listę komend, które rozpoczynają się od ciągu sh. Ostatnim zastosowaniem pomocy kontekstowej jest próba określenia, które opcje, słowa kluczowe czy argumenty są powiązane z określoną komendą. Aby sprawdzić, co może lub powinno zostać wprowadzone, po wpisaniu komendy należy wcisnąć spację i wprowadzić znak?. Jak pokazano na rysunku, po wpisaniu komendy clock set 19:50:00 możemy wpisać znak? i w ten sposób dowiedzieć się, jakie opcje lub słowa kluczowe pasują do tej komendy. Weryfikacja składni komend Po zatwierdzeniu komendy klawiszem <Enter>, w celu określenia żądanej akcji interpreter parsuje polecenie od lewej strony do prawej. IOS dostarcza informacje na temat błędów w składni. Jeśli interpreter zrozumie komendę, żądana akcja zostaje wykonana, a wiersz poleceń zwraca właściwy znak zachęty. Jednakże, jeśli interpreter nie rozumie wprowadzonego polecenia, to dostarczy informację zwrotną z opisem, co zostało wprowadzone błędnie. Są trzy różne rodzaje komunikatów o błędach: Niejednoznaczne polecenie Niekompletne polecenie

10 10 Niepoprawne polecenie Skróty i "gorące klawisze" Wiersz poleceń CLI dostarcza tzw. "gorące klawisze" (ang. hot keys) oraz skróty, które ułatwiają konfigurację, monitoring i rozwiązywanie problemów. Rysunek przedstawia większość skrótów. Następujące skróty zasługują na specjalną uwagę: Tab - dopełnia komendę lub słowo kluczowe Ctrl-R - odświeża linię Ctrl-Z - wychodzi z trybu konfiguracji i wraca do trybu EXEC Strzałka w dół - pozwala użytkownikowi na przewijanie do przodu wydanych komend Strzałka w górę - pozwala użytkownikowi na przewijanie do tyłu wydanych komend Ctrl-Shift-6 - pozwala użytkownikowi na przerwanie procesu IOS takiego jak ping czy traceroute Ctrl-C - przerywa aktualną komendę i wychodzi z trybu konfiguracji

11 11 Skrócone komendy lub słowa kluczowe. Komendy i słowa kluczowe mogą być wydane minimalną liczbą znaków, które ją jednoznacznie identyfikują. Na przykład, komenda configure może być wydana przez conf dlatego, że configure to jedyne słowo, które rozpoczyna się od conf. Próba skrócenia polecenia do con nie powiedzie się, ponieważ istnieje więcej komend rozpoczynających się od con. Słowa kluczowe również mogą być skracane. Jako kolejny przykład polecenie show interfaces może zostać skrócone następująco: Router#show interfaces Router#show int Można skracać zarazem komendy i słowa kluczowe, na przykład: Router#sh int 1.6. Polecenia testujące IOS W celu weryfikowania i rozwiązywania problemów funkcjonowania sieci, musimy badać funkcjonowanie urządzenia. Możemy sprawdzić konfigurację za pomocą komendy show. Istnieje wiele wariantów tej komendy. Aby otrzymać pełną listę dostępnych komend w danym trybie, należy użyć komendę show?. Rysunek przedstawia informacje dostarczane za pomocą typowej komendy show na temat konfiguracji, funkcjonalności oraz statusu elementów routera Cisco. Kilka najczęściej używanych komend: show interfaces Wyświetla statystyki wszystkich interfejsów urządzenia. Aby zobaczyć statystyki konkretnego interfejsu, należy wpisać polecenie show interfaces, a po nim nazwę i numer określonego interfejsu. Na przykład: Router#show interfaces serial0/1

12 12 Router#show version Wyświetla informacje o aktualnie załadowanej wersji oprogramowania razem z informacjami na temat sprzętu i urządzenia show arp - wyświetla tablice ARP urządzenia. show mac-address-table - wyświetla tablicę MAC przełącznika (polecenie dostępne tylko na przełączniku). show startup-config - wyświetla konfigurację urządzenia zapisaną w NVRAM. show running-config - wyświetla zawartość aktualnie uruchomionego pliku konfiguracyjnego lub konfigurację konkretnego interfejsu. show ip interfaces - wyświetla statystyki protokołu IPv4 dla wszystkich interfejsów routera. Aby obejrzeć statystyki konkretnego interfejsu należy wpisać polecenie show ip interfaces, a po nim - konkretny numer slotu/portu interfejsu. show ip interface brief - Jest to użyteczne polecenie, dzięki któremu możemy łatwo uzyskać sumaryczne informacje o wszystkich interfejsach i ich statusie WYKONAJ ĆWICZENIE 6.1 I SKOPIUJ LOG KONSOLI 1.7. Tryby konfiguracji IOS Tryb konfiguracji globalnej Podstawowy tryb konfiguracji nazywany jest konfiguracją globalną lub global config. W tym trybie możemy modyfikować ustawienia całego urządzenia. Z trybu konfiguracji globalnej korzystamy również w celu wejścia do trybów konfiguracji szczegółowych. Poniższa komenda stosowana jest do przejścia z trybu uprzywilejowanego do trybu globalnej konfiguracji i pozwala na wprowadzanie komend konfiguracyjnych z terminala:

13 13 Router#configure terminal Po wykonaniu komendy znak zachęty informuje, że router jest w trybie globalnej konfiguracji. Router(config)# Szczegółowe tryby konfiguracji Z trybu konfiguracji globalnej można przejść do różnych trybów konfiguracji szczegółowych. Każdy z trybów pozwala na konfigurowanie poszczególnych części lub funkcjonalności urządzenia. Poniższa lista przedstawia kilka z nich: Interface mode konfiguracja jednego lub wielu interfejsów sieciowych (Fa0/0, S0/0/0,...) Line mode konfiguracja fizycznej lub wirtualnej linii (konsola, AUX, VTY,..) Router mode konfiguracja parametrów jednego z protokołów routingu Rysunek pokazuje wiersz poleceń dla kilku trybów. W celu wyjścia z trybu konfiguracji szczegółowej i powrotu do trybu konfiguracji globalnej należy wpisać exit. Aby opuścić tryb konfiguracji i powrócić do uprzywilejowanego trybu EXEC należy wpisać end lub skorzystać z sekwencji Ctrl-Z. Po dokonaniu zmian w trybie globalnej konfiguracji dobrą praktyką jest zapisanie ich w pliku konfiguracji początkowej przechowywanej w pamięci NVRAM. Chroni to przed problemami w razie utraty zasilania lub zamierzonego restartu. Komenda, która kopiuje zmiany w bieżącej konfiguracji do konfiguracji początkowej, jest następująca: Router#copy running-config startup-config WYKONAJ ĆWICZENIE 6.2 I SKOPIUJ LOG KONSOLI

14 14 2. Wdrażanie podstawowej konfiguracji 2.1. Nazwy urządzeń W znaku zachęty CLI występuje nazwa hosta. Jeśli nazwa hosta nie jest skonfigurowana, router korzysta z domyślnych ustawień fabrycznych "Router". Przełącznik posiada fabryczną, domyślną nazwę - "Switch". Jeśli sieć składa się z kilku routerów, posiadających domyślne nazwy "Router", może to spowodować zamieszanie. Podczas zdalnego dostępu do urządzenia za pomocą Telnetu lub SSH ważne jest uzyskanie potwierdzenia, że połączyliśmy się z właściwym urządzeniem. Gdyby routery miały pozostawione domyślne nazwy, trudno byłoby zidentyfikować, czy podłączyliśmy się do odpowiedniego urządzenia. Poprzez przemyślany wybór oraz dokumentację nazw łatwiej będzie pamiętać, dyskutować i identyfikować urządzenia sieciowe. Spójne i zgodne z przeznaczeniem nazywanie urządzeń wymaga ustalenia konwencji nazewnictwa, która obejmuje firmę lub przynajmniej dany oddział. W celu zachowania spójności wewnątrz organizacji dobrą praktyką jest tworzenie nazw w tym samym czasie co schemat adresowania. Niektóre wytyczne dotyczące konwencji nazewnictwa mówią, że nazwy powinny: Rozpoczynać się od litery Nie zawierać spacji Kończyć się literą lub cyfrą Posiadać tylko litery, cyfry, znak podkreślenia Zawierać do 63 znaków Nazwy hostów stosowane w urządzeniach z systemem IOS mogą zawierać duże i małe litery. W związku z tym mamy możliwość nazywania urządzeń zgodnie z potrzebami - w przeciwieństwie do większości systemów nazw stosowanych w sieci Internet, gdzie duże i małe litery traktowane są identycznie. RFC 1178 dostarcza kilka zasad, które mogą być użyteczne podczas procesu nazywania urządzeń. Częścią konfiguracji jest nadawanie unikatowych nazw hostów na każdym konfigurowanym urządzeniu. Uwaga: Nazwy hostów są wykorzystane przez administratorów tylko podczas konfiguracji i monitorowania urządzeń za pomocą wiersza poleceń. Domyślnie, w czasie wykrywania się wzajemnie i współpracy, urządzenia nie korzystają z nazw. Konfiguracja nazwy hosta Łatwo zauważyć, że nazwa hosta została dołączona do znaku zachęty wiersza poleceń. Aby wyjść z trybu konfiguracji globalnej można użyć komendę exit. Po dodaniu lub modyfikacji konfiguracji urządzenia należy uaktualnić dokumentację. Urządzenia w dokumentacji opisujemy poprzez wskazanie ich lokalizacji, celu oraz adresu.

15 15 Uwaga: Aby zanegować efekt komendy, polecenie należy poprzedzić wyrazem no. Przykładowo, aby usunąć nazwę urządzenia, wpisz: AtlantaHQ(config)#no hostname Router(config)# Zauważ, że polecenie no hostname powoduje powrót routera do domyślnego ustawienia nazwy hosta "Router". WYKONAJ ĆW. 6.3 DO 100% I SKOPIUJ LOG KONSOLI 2.2. Ograniczenie dostępu do urządzeń i tworzenie banerów Dobrą praktyką jest ograniczanie fizycznego dostępu do urządzeń sieciowych poprzez zamykanie ich w szafach. Jednak podstawową ochroną przed nieautoryzowanym dostępem są ustawione hasła do urządzeń. Każde urządzenie powinno mieć lokalnie skonfigurowane hasło, w celu ograniczenia dostępu do niego. W późniejszej części zajęć pokażemy, w jaki sposób można wymóc stosowanie haseł powiązanych z kontami użytkowników. Teraz zaprezentujemy podstawowe zabezpieczenia przy użyciu samego hasła. We wcześniejszych rozważaniach wspominaliśmy, że IOS korzysta z hierarchicznych trybów w celu podniesienia poziomu bezpieczeństwa. IOS może akceptować kilka haseł dostępu do urządzenia (co ma związek z różnymi uprawnieniami). Są to m.in: Hasło dostępowe do konsoli hasło ograniczające połączenia poprzez konsole Hasło trybu uprzywilejowanego - hasło ograniczające dostęp do trybu uprzywilejowanego EXEC Bezpieczne hasło trybu uprzywilejowanego - hasło szyfrowane ograniczające dostęp do trybu uprzywilejowanego EXEC VTY password hasło ograniczające dostęp poprzez Telnet Dobrą praktyką jest stosowanie różnych haseł do każdego poziomu dostępu. Mimo, że logowanie z wieloma różnymi hasłami jest kłopotliwe. Jednak takie działanie jest niezbędne do właściwego zabezpieczenia infrastruktury sieciowej przed nieautoryzowanym dostępem. Dodatkowo, należy użyć silnych haseł, które nie będą łatwe do odgadnięcia. Korzystanie ze słabych lub łatwych do odgadnięcia haseł wciąż jest problemem bezpieczeństwa w wielu aspektach świata biznesu. Podczas wyboru haseł należy wziąć pod uwagę poniższe zalecenia: Korzystaj z haseł o długości większej niż 8 znaków Korzystaj z kombinacji dużych i małych liter i/lub sekwencji cyfr w hasłach. Unikaj stosowania tych samych haseł do wszystkich urządzeń. Unikaj korzystania z popularnych słów, np. password lub administrator, ponieważ są łatwe do odgadnięcia. Uwaga W przygotowanych laboratoriach będziemy korzystać z prostych haseł, np. cisco lub class. Hasło konsoli

16 16 Hasło konsoli w systemie IOS ma specjalne uprawnienia. Port konsoli urządzenia sieciowego musi być chroniony, jako zupełne minimum, poprzez zastosowanie przez użytkownika silnego hasła. Takie działanie redukuje szansę dostępu nieautoryzowanego personelu poprzez podłączenie kabla do urządzenia i uzyskanie dostępu. Aby ustawić hasło konsoli, należy w trybie konfiguracji globalnej wykonać następujące instrukcje: Polecenie login konfiguruje wymóg uwierzytelnienia logowania. Kiedy login jest włączony, a hasło ustawione, wiersz poleceń poprosi o wprowadzenie hasła. Po wykonaniu tych trzech komend, wiersz poleceń zapyta o hasło za każdym razem, gdy użytkownik spróbuje uzyskać dostęp do portu konsoli. Hasła: Enable i Enable Secret Passwords W celu dodatkowego zabezpieczenia należy używać komendy enable password lub enable secret. Oba polecenia mogą być użyte w celu włączenia uwierzytelnienia przed dostępem do trybu uprzywilejowanego EXEC (enable). Jeśli to możliwe, zawsze używaj komendy enable secret, a nie starszej enable password. Polecenie enable secret dostarcza większych zabezpieczeń, ponieważ posiada mechanizm szyfrowania. Polecenie enable password może zostać użyte tylko w sytuacji, gdy enable secret nie zostało jeszcze ustawione. Polecenie enable password może być użyte, jeśli urządzenie korzysta ze starej kopii oprogramowania Cisco IOS, która nie rozpoznaje polecenia enable secret. Uwaga: Jeśli nie ma ustawionego enable password lub enable secret, to IOS chroni przed dostępem do uprzywilejowanego trybu EXEC podczas dostępu przez sesje Telnet.

17 17 Bez ustawionego hasła enable password sesja Telnet może wyglądać następująco: Switch>enable % No password set Switch> Hasło VTY Linie vty umożliwiają dostęp do routera poprzez Telnet. Domyślnie wiele urządzeń Cisco obsługuje 5 linii vty, które są numerowane od 0 do 4. Ustawienie hasła jest niezbędne dla wszystkich linii vty. Można ustawić to samo hasło dla wszystkich połączeń. Aczkolwiek często wskazane jest ustawienie unikatowego hasła na jednej linii celem dostarczenia zapasowego dostępu administracyjnego w sytuacji, gdy pozostałe połączenia są w użyciu. Do ustawienia hasła dla linii vty używa się następujących poleceń: System IOS domyślnie włącza komendę login na liniach VTY. Chroni to przed dostępem do urządzenia bez uwierzytelnienia. Szyfrowanie wyświetlania haseł Kolejna użyteczna komenda chroni hasła przed pokazaniem ich w postaci czystego tekstu podczas przeglądania plików konfiguracyjnych. Jest to komenda service password-encryption. Komenda ta powoduje szyfrowanie haseł podczas ich konfiguracji. Polecenie service password-encryption włącza słabe szyfrowanie wszystkich haseł. Szyfrowanie to nie jest stosowane do haseł przesyłanych przez media, a jedynie w konfiguracji. Celem tej komendy jest uniemożliwienie nieautoryzowanym użytkownikom zapoznanie się z hasłami zapisanymi w pliku konfiguracyjnym. Jeśli przed wprowadzeniem komendy service password-encryption wydamy polecenie show running-config lub show startup-config, to niezaszyfrowane hasła będą widoczne na ekranie. Polecenie service password-encryption może być wydane później i wtedy szyfrowanie zostanie zastosowane do haseł. Wyłączenie usługi szyfrowania haseł, po uprzednim jej włączeniu, nie spowoduje operacji odwrotnej - ich odszyfrowania. Baner - komunikaty Istotne jest dostarczenie metody informowania o tym, kto może uzyskać dostęp do urządzenia. Aby to zrobić, do konfiguracji urządzenia należy dodać baner. Banery mogą być istotnym elementem procesu prawnego w sytuacji, gdy ktoś jest ścigany za włamanie do urządzenia. Niektóre systemy prawne nie pozwalają na ściganie, a nawet monitoring użytkowników, bez wcześniejszej widocznej informacji o tym fakcie. Przykłady: "Użycie urządzenia jest dozwolone tylko upoważnionym pracownikom." "Działania mogą być monitorowane." "Po każdym nieautoryzowanym użyciu zostaną podjęte działania prawne."

18 18 Banery mogą być widoczne dla każdego, kto próbuje się zalogować - należy je dobierać bardzo starannie. Nie używać słów "Witamy", "Zapraszamy", "Zaloguj się" IOS dostarcza wiele różnych typów banerów. Jednym z najpopularniejszych banerów jest wiadomość dnia - MOTD (ang. message of the day). MOTD jest często używany do przekazania informacji prawnych, ponieważ wyświetla się na wszystkich podłączonych terminalach. Baner MOTD konfigurujemy za pomocą polecenia banner motd w trybie konfiguracji globalnej. WYKONAJ ĆWICZENIE 6.4 I SKOPIUJ LOG KONSOLI 2.3. Zarządzanie plikami startowymi Modyfikacja bieżącej konfiguracji od razu wpływa na działanie urządzenia. Po dokonaniu zmian w konfiguracji, jako następne działanie należy rozważyć następujące trzy akcje: Ustanowić zmienioną konfigurację nową konfiguracją startową. Przywrócić urządzeniu oryginalną konfigurację. Usunąć całą konfigurację z urządzenia. Aktualizacja konfiguracji startowej Pamiętaj, że bieżąca konfiguracja jest przechowywana w pamięci RAM i jest aktywna tymczasowo - do czasu wyłączenia urządzenia Cisco. Jeśli stracisz zasilanie lub router zostanie zrestartowany, wszystkie zmiany konfiguracyjne zostaną utracone (chyba, że zostały wcześniej zapisane).

19 19 Zapisanie bieżącej konfiguracji do pliku konfiguracji startowej w NVRAM zachowuje zmiany jako nową konfigurację startową. Przed zatwierdzeniem zmian skorzystaj z właściwych poleceń show, aby zweryfikować działania urządzenia. Jak pokazano na rysunku, komenda show running-config może zostać użyta do obejrzenia pliku konfiguracji bieżącej. Kiedy zmiany zostały zweryfikowane jako poprawne, skorzystaj z polecenia copy runningconfig startup-config w wierszu poleceń uprzywilejowanego trybu EXEC. Użyj następującego polecenia: Switch#copy running-config startup-config Po wykonaniu polecenia plik bieżącej konfiguracji zastąpi plik konfiguracji startowej. Przywrócenie oryginalnej konfiguracji Jeśli zmiany w bieżącej konfiguracji nie przyniosły spodziewanego efektu, może być konieczne przywrócenie poprzedniej konfiguracji urządzenia. Zakładając, że konfiguracja startowa nie została nadpisana zmianami, można zastąpić nią konfigurację bieżącą. Najlepiej to zrobić poprzez wydanie polecenia reload w wierszu poleceń uprzywilejowanego trybu EXEC. Podczas inicjowania przeładowania, IOS wykryje, że bieżąca konfiguracja posiada zmiany, które nie zostały zachowane w startowej konfiguracji. W wierszu poleceń pojawi się pytanie, czy zachować dokonane zmiany. W celu porzucenia zmian wpisz n lub no. Dodatkowo. w wierszu poleceń pojawi się pytanie o potwierdzenie procesu przeładowania. W celu potwierdzenia wciśnij Enter. Wciśnięcie innego klawisza spowoduje przerwanie procesu przeładowania. Na przykład:

20 20 Router#reload System configuration has been modified. Save? n Proceed with reload? [confirm] *Apr 13 01:34:15.758: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command. System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1) Technical Support: Copyright (c) 2004 by cisco Systems, Inc. PLD version 0x10 GIO ASIC version 0x127 c1841 processor with Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled Kopia zapasowa konfiguracji (offline) Na wypadek problemów, należy utworzyć i zapisać kopie zapasowe plików konfiguracyjnych. Pliki konfiguracyjne mogą być przechowywane na serwerze TFTP (ang. Trivial File Transfer Protocol), nośnikach CD czy pamięciach przenośnych Pendrive USB w bezpiecznym miejscu. Plik konfiguracyjny powinien być również załączony do dokumentacji sieci. Kopiowanie konfiguracji na serwer TFTP Wybierz jedno z poleceń - copy running-config tftp lub copy startup-config tftp - i wykonaj następujące kroki: 1. Wpisz polecenie copy running-config tftp. 2. Wpisz adres IP hosta, na którym będzie przechowywany plik konfiguracji. 3. Wpisz nazwę pliku konfiguracyjnego. 4. Odpowiedz yes, aby potwierdzić wprowadzone dane. Usuwanie całej konfiguracji Jeśli nieprzewidziane zmiany zostały zachowane w konfiguracji startowej, możesz być zmuszony do wyczyszczenia całej konfiguracji. To działanie wymaga usunięcia konfiguracji startowej i restartu urządzenia. Startowa konfiguracja jest usuwana za pomocą polecenia erase startup-config. Aby usunąć plik konfiguracji startowej skorzystaj z komendy erase NVRAM:startup-config lub erase startup-config w wierszu poleceń trybu uprzywilejowanego EXEC: Router#erase startup-config Po wydaniu polecenia router zapyta o potwierdzenie:

21 21 Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] Confirm, czyli potwierdzenie, jest odpowiedzią domyślną. W celu potwierdzenia i usunięcia liku konfiguracji początkowej wciśnij klawisz Enter. Wciśnięcie innego klawisza spowoduje anulowanie procesu. Uwaga: Zachowaj ostrożność korzystając z polecenia erase. Komenda ta może być użyta do usunięcia każdego pliku z urządzenia. Niewłaściwe użycie polecenia może usunąć IOS lub inny krytyczny plik. Po usunięciu konfiguracji początkowej z NVRAM, uruchom ponownie urządzenie w celu usunięcia z pamięci RAM aktualnego pliku bieżącej konfiguracji. Urządzenie załaduje domyślną konfigurację początkową, która została oryginalnie dostarczona z urządzeniem, do konfiguracji bieżącej. Tworzenie kopii zapasowej z przechwytywaniem tekstu (HyperTerminal) Pliki konfiguracyjne mogą zostać zachowane/skopiowane do pliku tekstowego. Poniższa sekwencja kroków zapewnia, że działająca kopia plików konfiguracyjnych jest dostępna do edycji lub użycia później. Korzystając z HyperTerminal, postępuj wg poniższej instrukcji: 1. W menu Transfer wybierz Capture Text. 2. Wybierz lokalizację. 3. Kliknij Start, aby rozpocząć przechwytywanie tekstu. 4. Po rozpoczęciu przechwytywania, wykonaj polecenie show running-config lub show startup-config w trybie uprzywilejowanego użytkownika EXEC. Tekst wyświetlany na ekranie terminala, będzie zachowany we wskazanym pliku. 5. Obejrzyj plik wynikowy, aby sprawdzić, czy nie został uszkodzony. Tworzenie kopii zapasowej z przechwytywaniem tekstu (TeraTerm) Pliki konfiguracyjne mogą zostać zachowane/skopiowane do pliku tekstowego za pomocą programu TeraTerm.

22 22 Jak pokazano na rysunku, poszczególne etapy procedury to: Odtworzenie konfiguracji z pliku tekstowego. Plik konfiguracji może zostać skopiowany z dysku do dowolnego urządzenia. Podczas kopiowania do terminala IOS traktuje każdą linię tekstu pliku konfiguracji jako komendę. Oznacza to, że tekst w zapisanym na dysku pliku będzie często wymagał edycji, w celu zamiany haseł zaszyfrowanych na zapisane jawnym tekstem oraz usunięcia linii nie będących komendami, np. tekstu "--More--" oraz komunikatów IOS. Proces ten zostanie omówiony w laboratorium. Kontynuując, aby poprawie przyjąć dane z pliku, urządzeniu musi być w trybie konfiguracji globalnej. Korzystając z HyperTerminal powinieneś: 1. Zlokalizować plik ze skopiowaną konfiguracją, która ma zostać wczytana oraz otworzyć go. 2. Skopiować cały tekst. 3. W menu Edit wybrać paste to host. Korzystając z TeraTerm powinieneś: 1. W menu File kliknąć Send. 2. Zlokalizować plik, który ma zostać skopiowany do konfiguracji i kliknąć Open. 3. TeraTerm wklei zawartość pliku do urządzenia. Tekst w pliku będzie traktowany jako komendy w wierszu poleceń CLI i stanie się bieżącą konfiguracją urządzenia. Jest to wygodna metoda ręcznej konfiguracji routera. WYKONAJ ĆWICZENIE 6.5 I SKOPIUJ LOG KONSOLI

23 Konfiguracja interfejsów Konfiguracja interfejsu Ethernet routera Konfiguracja interfejsu szeregowego routera

24 24 Interfejsy szeregowe wymagają sygnału zegara sterującego taktowaniem komunikacji. W większości środowisk urządzenia DCE (np. CSU/DSU) zapewniają zegar. Domyślnie routery Cisco są urządzeniami DTE, ale mogą również zostać skonfigurowane jako urządzenia DCE. Na łączach szeregowych, które są bezpośrednio połączone (jak w naszym laboratorium), jedna strona musi działać jako DCE w celu zapewnienia sygnału taktowania. Uruchomienie zegara i ustawienie szybkości odbywa się za pomocą polecenia clock rate na interfejsie. Niektóre prędkości bitowe mogą być niedostępne na pewnych interfejsach szeregowych. Zależy to od przepustowości interfejsu. Po wykonaniu zmian w routerze pamiętaj, aby użyć poleceń show w celu zweryfikowania zmian, a następnie zapisz konfigurację jako konfigurację startową. Tak jak nazwa hosta pomaga identyfikować urządzenie sieciowe, opis interfejsu określa cel interfejsu. Opis stanu interfejsu, wraz z opisem kierunku połączenia, powinien być częścią standardowej konfiguracji każdego interfejsu. Opis może okazać się użyteczny w czasie rozwiązywania problemów. Opis interfejsu pojawi się na wyjściu następujących komend: show startup-config, show running-config oraz show interfaces. Na przykład, poniższy opis dostarcza wartościowych informacji na temat celu interfejsu: Ten interfejs jest bramą dla zarządzanej sieci LAN. Opis może być pomocny w określeniu urządzeń lub lokalizacji połączonych z interfejsem. Poniżej kolejny przykład: Interfejs F0/0 jest połączony z głównym przełącznikiem w budynku administracyjnym. Kiedy personel techniczny może w łatwy sposób zidentyfikować cel interfejsu lub podłączone urządzenie, łatwiej zrozumie zakres problemu, a tym samym szybciej doprowadzi do usunięcia usterki. Informacje kontaktowe oraz inne przydatne informacje, również mogą zostać dołączone do opisu interfejsu. Poniższy opis dla interfejsu szeregowego dostarcza informacje, które administrator sieci może potrzebować do przeprowadzenia testów w sieci WAN. Opis interfejsu wskazuje zakończenie obwodu (circuit ID) oraz nr telefonu do firmy dostarczającej sygnał: FR to GAD1 circuit ID:AA.HCGN DLCI support# W celu stworzenia opisu skorzystaj z polecenia description

25 25 Konfiguracja interfejsu przełącznika Przełącznik LAN jest urządzeniem pośredniczącym, które łączy segmenty wewnątrz sieci. Zatem fizyczne interfejsy przełącznika nie posiadają adresów IP. W przeciwieństwie do routera, gdzie fizyczne interfejsy są połączone z różnymi sieciami, fizyczne interfejsy przełącznika łączą urządzenia wewnątrz sieci. Interfejsy przełącznika są domyślnie włączone. Jak pokazano na rysunku dotyczącym przełącznika Switch 1, możemy przydzielać opisy, ale nie musimy włączać interfejsów. Chcąc zarządzać przełącznikiem, przydzielamy adres IP do urządzenia. Przełącznik posiadający adres IP jest traktowany jak host. Po przydzieleniu adresu IP, możemy uzyskać dostęp do przełącznika za pomocą telnet, ssh lub usługi web. Adres IP jest przydzielany do wirtualnego interfejsu reprezentowanego jako interfejs Virtual LAN (VLAN). W większości przypadków jest to interfejs VLAN 1. Na rysunku dotyczącym przełącznika Switch 2, adres IP jest przydzielany do interfejsu VLAN 1. Podobnie jak w przypadku routera, interfejs musi zostać włączony poleceniem no shutdown. Jak inne hosty, przełącznik potrzebuje adresu bramy definiowanej w celu komunikacji na zewnątrz sieci lokalnej. Jak pokazano na rysunku, bramę domyślną przydzielamy za pomocą polecenia ip default-gateway.

26 26 3. Podsumowanie Podsumowanie poleceń IOS: Tryb EXEC użytkownika enable - wejście w uprzywilejowany tryb EXEC Uprzywilejowany tryb EXEC copy running-config startup-config - kopiuje konfigurację bieżącą do konfiguracji początkowej, zlokalizowanej w pamięci NVRAM copy startup-config running-config - kopiuje konfigurację początkową z pamięci NVRAM do konfiguracji bieżącej, zlokalizowanej w pamięci RAM erase startup-configuration - usuwa konfigurację startową z pamięci NVRAM ping adres_ip - wysyła ping pod wskazany adres IP traceroute adres_ip - śledzi trasę do wskazanego adresu IP show interfaces - wyświetla statystyki wszystkich interfejsów urządzenia show clock - wyświetla czas ustawiony na routerze show version - wyświetla wersje aktualnie załadowanego systemu IOS, informacje o sprzęcie i urządzeniu show arp - wyświetla tablicę ARP urządzenia show startup-config - wyświetla konfigurację startową zapisaną w pamięci NVRAM show running-config - wyświetla konfigurację bieżącą show ip interface - wyświetla statystyki IP dla interfejsu(ów) routera configure terminal - wejście w tryb konfiguracji globalnej Tryb konfiguracji globalnej hostname hostname - przypisuje nazwę do urządzenia enable password password - ustawia niezaszyfrowane hasło do trybu enable (uprzywilejowanego trybu EXEC) enable secret password - ustawia silnie zaszyfrowane hasło do trybu enable (uprzywilejowanego trybu EXEC) service password-encryption - szyfruje wyświetlanie wszystkich haseł (z wyjątkiem haseł typu secret) banner motd # message # - ustawia komunikat dnia (MOTD, ang. message-of-the-day) line console 0 - wejście w tryb konfiguracji linii konsoli line vty wejście w tryb konfiguracji wirtualnej linii terminala interface nazwa_interfejsu - wejście w tryb konfiguracji interfejsu Tryb konfiguracji linii login - włącza sprawdzanie hasła password password - ustawia hasło Tryb konfiguracji interfejsu ip address adres_ip netmask - ustawia adres IP i maskę podsieci interfejsu description opis - ustawia opis interfejsu clock rate wartość - włącza zegar i ustawia jego prędkość na urządzeniu DCE no shutdown - włącza interfejs shutdown - administracyjnie wyłącza interfejs

27 27 4. Pytania kontrolne 5. Jakie usługi sieciowe dostarcza Cisco IOS? 6. Jakie są 3 metody dostępu do wiersza poleceń urządzenia Cisco w celu konfiguracji? 7. Czym różnią się pliki startup-config i running-config i kiedy są używane? 8. Jakie są różnice w możliwościach zwykłego i uprzywilejowanego trybu EXEC? 9. Jak rozwijany jest skrót ze znakiem zapytania bez spacji i ze spacją, np. cl? i clock? 10. Co oznacza # w symbolu zachęty i jak go uzyskać? 11. Podaj różnice pomiędzy service password-encryption oraz enable secret 12. Dlaczego podczas wprowadzania banera (motd) wymagane jest stosowanie separatorów? 13. Podaj trzy metody tworzenia kopii bezpieczeństwa z działającej konfiguracji urządzenia Cisco. 14. Co oznacza polcenie no shutdown w konfiguracji interfejsu?