Konfiguracja routerów Cisco. Autor: Krzysztof Masyk IVFDS

Transkrypt

1 Konfiguracja routerów Cisco Autor: Krzysztof Masyk IVFDS

2 1 STRESZCZENIE Routery s dzisiaj nieodzownym skadnikiem niemale wszystkich rodzajów sieci. Jako e internet ma struktur hierarchiczn bez przeczania pakietów pomidzy sieciami nie mona si dzisiaj ju obej!". Jedn z najbardziej liczcych si firm na!wiecie produkujca routery jest firma Cisco Corp., dlatego te w tym projekcie zostanie omówiona podstawowa wiedza na temat konfiguracji interfejsów danego routera, podstawowe polecenia konfiguracyjne oraz informacje o rutingu. Na wstpie zostan omówione polecenia i sposoby ich uycia w podstawowych trybach konfiguracji routera, nastpnie przedstawiona zostanie konfiguracja interfejsów innych ni Ethernet. Bdzie te co! o trasowaniu statycznym.

3 SPIS TRECI 2 Streszczenie Opis!rodowiska Przegld rozkazów oraz ich przeznaczenia Tryb Uytkownika Tryb uprzywilejowany Tryb konfiguracji Tabela obrazujca tryby pracy Dialog konfiguracyjny Tryby pracy i zarzdzanie skryptem konfiguracyjnym - rozszerzenie Konfigurowanie interfejsów adowanie systemu operacyjnego Ochrona dostpu do routera Procedura naprawiania hasa Obsuga komunikatów obsugiwanych przez router Konfiguracja protokou SNMP Przykadowy skrypt konfiguracyjny...12 Literatura... 23

4 3 1. OPIS RODOWISKA Pierwsz czynno!ci administratora po zakupie lub rozbudowaniu routera jest ustanowienie poczenia z routerem poprzez port konsoli. Kady router Cisco wyposaony jest w jeden taki port (interfejs RS-232 lub RJ-45), do którego podczy" mona terminal znakowy lub komputer z emulatorem terminala (np. HyperTerminal w systemach Windows). Za pomoc terminala administrator moe przeprowadzi" proces konfiguracji routera. Pamita" naley, i poprawna komunikacja z routerem wymaga ustawienia odpowiednich parametrów transmisyjnych terminala - zwykle stosuje si: terminal typu VT100, prdko!" 9600 (chocia w rejestr routera mona wpisa" inn warto!"), 8 bitów danych, 1 bit stopu, transmisj bez parzysto!ci. Po wczeniu routera w oknie terminala pojawi si zestaw komunikatów zwizanych ze startem routera. Proces uruchamiania routera skada si z kilku etapów i jest inicjowany przez program rozruchowy (bootstrap), znajdujcy si w pamici ROM. Po przeprowadzeniu testów diagnostycznych sprztu w ramach procedury POST, w której sprawdza si m.in. dziaanie procesora, pamici i interfejsów, poszukiwany jest i adowany obraz systemu operacyjnego IOS - zgodnie z ustawieniami w rejestrze routera oraz poleceniami zawartymi w skrypcie konfiguracyjnym. Wikszo!" routerów zawiera pami" Flash. Jest to pami" typu EEPROM, jej zawarto!" moe by" wielokrotnie usuwana i zapisywana ponownie. Zawarto!" pamici Flash nie ginie po wyczeniu routera, dlatego przeznaczona jest przede wszystkim do przechowywania wielu kopii systemu operacyjnego IOS. Zwykle pocztkowo w pamici Flash znajduje si tylko jeden obraz systemu operacyjnego (zwany domy!lnym plikiem systemu operacyjnego) i wa!nie on zostanie zaadowany po pierwszym wczeniu routera. Pamita" jednak naley, e niektóre routery (Cisco 2500, 4000, 4500) przechowuj minimaln wersj systemu operacyjnego bezpo-!rednio w pamici ROM. Inne, np. routery serii 7000 i 7500, wczytuj peen obraz systemu operacyjnego z pamici ROM. Po zaadowaniu systemu operacyjnego poszukiwany jest skrypt konfiguracyjny, zawierajcy parametry definiujce prac routera (np. haso dla trybu uprzywilejowanego) oraz poszczególnych jego cz!ci (np. interfejsów). Skrypt konfiguracyjny zapisywany jest w nieulotnej pamici NVRAM, skd przy kadym ponownym uruchomieniu routera moe by" odczytany i za- adowany do pamici operacyjnej RAM. Aktualna konfiguracja oraz wszelkie dokonywane w niej zmiany przechowywane s tylko w pamici RAM, aby wic utrwali" wprowadzane przez administratora modyfikacje, naley rcznie zapamita" t konfiguracj w pamici NVRAM jako konfiguracj startow. Przy pierwszym uruchomieniu routera skrypt konfiguracyjny w pamici NVRAM nie istnieje, co powoduje automatyczne uruchomienie dialogu konfiguracyjnego.

5 2. Przegl%d rozkazów i ich przeznaczenia. W rozdziale tym postaram si opisa" podstawowe polecenia z wikszo!ci najcz!ciej uywanych trybów. Oczywi!cie nie jestem tutaj w stanie opisa" ich wszystkich poniewa zaj- o by to mniej wicej tyle co!redniej wielko!ci ksika. Tak wic skupiem si tutaj na poleceniach z trybu podstawowego czyli uytkownika, w którym s polecenia suce administratorowi do wykonania najbardziej prostych a zarazem podstawowych czynno!ci administracyjnych. Nastpnie w trybie uprzywilejowanym, w którym administrator danego routera moe np. zabezpieczy" do niego dostp poprzez identyfikacj za pomoc hasa Tryb u,ytkownika W trybie tym uytkownik ma do dyspozycji tylko podstawowe polecenia nie wpywajce na prac routera. S tu midzy innymi komendy suce do podgldu parametrów pracy routera i inne takie jak: disable komenda, która wycza tryb uprzywilejowany disconnect rozczenie poczenia sieciowego enable wcza tryb uprzywilekowany exit wyjcie z trybu EXEC help prosta i niezbyt szczegóowa pomoc na temat poszczególnych komend logout robi dokadnie to samo co exit wyjcie z trybu EXEC ping mechanizm umo"liwiajcy sprawdzenie stanu poczenia (reczej) fizycznego mi&dzy dwoma w&zami siec. show funkcja ta su"y do podgldu wielu parametrów i ustawie( routera. telnet otwiera poczenie telnetowe terminal ustawia parametry pracy linii terminala traceroute powoduje odtworzenie cie"ki okrelonej przez parametr przeznaczenia 2.2 Tryb uprzywilejowany W trybie tym moemy spotka" si ju z niektórymi poleceniami, które wystpiy w trybie uytkownika. Aby maszyna pozwolia nam wej!" do tego trybu uyjemy polecenia enable (en).w tym punkcie zostan omówione tylko nowo poznane komendy: clear su"y do czyszczenia tablicy routowania albo pami&ci odwzorowania adresów clock su"y do zarzdzania zegarem systemowym configure dzi&ki temu rozkazowi router wchodzi w stan konfiguracji copy kopiuje plik (albo do pliku) z ustawieniami startowymi bd) z aktualnymi routera erase usuwa pami&* w której jest przechowywana konfiguracja routera reload zatrzymuje system powodujc jednoczenie zimny restart write zapisuje pami&* NVRAM do dowolnego interfejsu (serwer TFTP, terminal, pami&* NVRAM ), polecenie dziaa podobnie jak w polecenie copy

6 5 2.3 Tryb konfiguracji banner po wpisaniu linii tekstu router ustawia wiadomo* dnia boot su"y do wyszukania w pami&ci flash i zaadowania obrazu plików okrelonych poprzez nazw& cpd su"y do zarzdzania podpoleceniami (nie wiem dokadnie jak dziaa) hostname ustawia nazw& routera, na którym pracujemy interface su"y do konfigurowania interfejsów (ISDN, Ethernet,Serial) ip za pomoc tego polecenia tworzymy statyczn tablic& rutowania ipx polecenie wcza na routerze przekazywanie pakietów IPX isdn - ustawia typ przecznika isdn line su"y do konfigurowania linii terminala lub terminali wirtulnych logging pozwala ustali* poziom raportowania dla komunikatów wysyanych do usugi syslog ntp konfiguruje router wcza rutowanie dynamiczne posugujc si& protokoami takimi jak : rip(1,2), igrp, eigrp, ospf tftp-srewer zezwala na usug& adowania plików poprzez serwer tftp username ustawia nazw& u"ytkownika

7 2.4 Tabela obrazuj%ca tryby pracy routera 6 Tryb pracy Tryb uytkownika Router> Tryb uprzywilejowany Router # Tryb konfiguracyjny Router(config)# Tryb konfiguracyjny procesu Router (config-proces)# Dialog konfiguracyjny Monitor pamici ROM rommon> Dziaanie Ograniczony zestaw poleceh nieniszczcych; definiowanie ustawieh terminala; wy!wietlanie statusu routera. Peen zestaw poleceh; tryb konfiguracyjny;!ledzenie pracy routera poprzez polecenie debug. Globalne i gówne polecenia konfiguracyjne; wywoywany z trybu uprzywilejowanego. Konfiguracja specyficznego procesu lub interfejsu routera; realizacja podpoleceh; wywoywany z trybu konfiguracyjnego. Konfiguracja routera w trybie ineraktywnym; wywoywany poleceniem setup lub automatycznie przy braku konfiguracji startowej. Procesy naprawcze (hasa lub pamici Flash); modyfikowanie rejestru; wywoywany rcznie odpowiedni kombinacj (zwykle Ctrl_Break) lub automatycznie przy braku poprawnego systemu operacyjnego. 3. Dialog konfiguracyjny Dialog konfiguracyjny to interaktywna sekwencja pytah i odpowiedzi, pozwalajcych utworzy" pierwsz, bazow konfiguracj routera. Dialog wywoywany jest równie w przypadku usunicia zawarto!ci pamici NVRAM lub po uruchomieniu routera w specjalnym trybie naprawczym z pominiciem odczytywania pamici NVRAM. Administrator pracujcy w trybie uprzywilejowanym moe take w dowolnej chwili uruchomi" dialog konfiguracyjny poleceniem setup. Zbiór parametrów, jakie mona ustawi" bezpo!rednio w dialogu konfiguracyjnym, zaley od modelu routera i wersji systemu operacyjnego. List dostpnych poleceh w dowolnym trybie pracy routera wy!wietli" mona przez wci-!nicie znaku?. W trakcie wpisywania poleceh o zoonej skadni wci!nity znak? przywouje kontekstow pomoc z informacjami o kolejnych parametrach czy sowach kluczowych wymaganych w danym poleceniu. Bardzo uyteczn cech systemu operacyjnego jest rozrónianie poleceh na podstawie wpisanych pocztkowych znaków nazwy. Wpisana cz!" nazwy komendy musi jednoznacznie identyfikowa" polecenie, np. sowo en oznacza" bdzie w praktyce polecenie enable. System operacyjny pamita równie histori ostatnio wykonywanych poleceh, po której w wikszo!ci terminali porusza" mona si za pomoc klawiszy kierunkowych w gór i w dó. Po wy!wietleniu pierwszego pytania wciskamy klawisz Enter, aby wej!" do trybu interaktywnego. Niewtpliwie warto wy!wietli" na ekranie podsumowanie dotyczce aktualnej konfiguracji interfejsów, w tym celu w odpowiedzi na drugie pytanie wciskamy ponownie Enter, zatwierdzajc proponowan domy!ln warto!" podan w nawiasach kwadratowych. W pierwszej

8 kolumnie wy!wietlonego zestawienia sprawdzi" mona, jak oznaczane s w danym routerze poszczególne interfejsy. Nazwa interfejsu skada si z typu (np. Ethernet lub Serial) oraz numeru. W routerach niemodularnych (poniej rodziny 2600) numer interfejsu jest pojedyncz liczb (np. Serial 0, Ethernet 1), natomiast w routerach modularnych, które mog by" rozbudowywane o kolejne karty interfejsów, stosuje si zestaw dwu liczb w notacji nr_karty/nr_portu (np. Serial 0/1 oznacza drugi port szeregowy na pierwszej karcie). W routerach serii 7000 i 7500, wyposa- onych w zcza (slot) dla kart VIP, oznaczenie interfejsu zoone bdzie z trzech liczb, zgodnie z konwencj nr_karty_vip/nr_karty/nr_portu (np. Ethernet 1/0/1). Nastpne kolumny podsumowania dotyczcego interfejsów zawieraj informacje o przypisanych adresach IP, aktualnym statusie pracy interfejsu i wybranym protokole warstwy cza danych. Zauwamy, e domy!lnie wszystkie interfejsy s wyczone (status oznaczony jako down), nie maj adresów IP ani okre!lonego protokou warstwy cza danych. W kolejnych etapach dialogu konfiguracyjnego zdefiniowa" naley parametry globalne, w tym logiczn nazw urzdzenia wykorzystywan w rónych procesach identyfikacyjnych oraz trzy hasa dostpowe wykorzystywane na routerze. Pierwsze haso, oznaczone jako enable secret, chroni dostpu do trybu uprzywilejowanego, w którym administrator moe uruchamia" wszystkie polecenia, a take przeprowadza" dowolne zmiany konfiguracyjne. Konieczno!" zabezpieczania tego trybu przed nieautoryzowanym dostpem jest wic bezdyskusyjna. Haso enable secret przechowywane jest w postaci zaszyfrowanej. Aby zapewni" zgodno!" z wcze!niejszymi wersjami systemu operacyjnego, w dialogu konfiguracyjnym pozostawiono moliwo!" zdefiniowania równie hasa enable password. Haso to take chroni dostpu do trybu uprzywilejowanego, ale jest wykorzystywane tylko w starszych wersjach systemu oraz wtedy, gdy haso enable secret nie jest zdefiniowane. Poniewa enable password przechowywane jest w postaci niezaszyfrowanej, zalecane jest stosowanie enable secret. Trzecim wymagane haso chroni dostpu do routera poprzez linie terminali wirtualnych VTY, zwykle s to poczenia z wykorzystaniem protokou telnet. Standardowo router udostpnia pi" linii wirtualnych VTY. Naley zauway", e domy!lnie dostp do routera poprzez lini konsoli nie jest zabezpieczany adnym hasem. Po okre!leniu hase, w dialogu konfiguracyjnym pojawia si moliwo!" zdefiniowania spo- eczno!ci protokou SNMP, w której pracowa" bdzie router. Domy!lnie proponowana jest spoeczno!" Public i pocztkowo mona t nazw pozostawi" bez zmiany. Wa!ciwe zdefiniowanie spoeczno!ci moe mie" due znaczenie dla pracujcych w trybie graficznym programów do zdalnego zarzdzania routerem, które dziaanie opieraj na protokole SNMP. Kolejne pytania dialogu konfiguracyjnego dotycz protokoów routingu dynamicznego, takich jak RIP czy IGRP. Mona pocztkowo pozostawi" proponowane, domy!lne ustawienia lub wyczy" routing dynamiczny. Ostatnia sekcja dialogu konfiguracyjnego pozwala w ptli zdefiniowa" parametry dotyczce poszczególnych interfejsów routera, np.: adres IP czy maska podsieci. Po udzieleniu odpowiedzi na wszystkie pytania pojawia si moliwo!" przejrzenia zdefiniowanych ustawieh oraz zapamitania konfiguracji startowej w pamici NVRAM. Odpowiednia opcja w menu wyboru pozwala opu!ci" dialog konfiguracyjny bez zapamitywania zmian. Z trybu dialogu mona tak- e wyj!" w dowolnej chwili, wybierajc kombinacj Ctrl_C. W ramce zamieszczamy fragment dialogu konfiguracyjnego z pytaniami dotyczcymi nazwy routera oraz hase dostpu Tryby pracy i zarz%dzanie skryptem konfiguracyjnym rozszerzenie

9 Po zapamitaniu konfiguracji startowej oraz po ponownym uruchomieniu routera administrator podczony do routera poprzez port konsoli automatycznie uzyskuje dostp do trybu wykonywania poleceh, zwanego trybem EXEC. Tryb EXEC pozwala na prac na szesnastu poziomach uprzywilejowania, cho" zwykle wykorzystywane s tylko dwa: poziom uytkownika (poziom 1) oraz poziom uprzywilejowany (poziom 15). Poziomem domy!lnym - oznaczanym przez znak zachty zakohczony symbolem > - jest poziom uytkownika, na którym dostpne s tylko niektóre polecenia sprawdzajce status routera oraz definiujce prac terminala. Peen zestaw poleceh cznie z trybem konfiguracyjnym przypisany jest do poziomu uprzywilejowanego oznaczanego znakiem zachty zakohczonym symbolem # (poziomy 2-14 te oznaczane s symbolem # ). Aby przej!" na poziom 15, naley wykona" polecenie enable, pamitajc o tym, e dostp do poziomu uprzywilejowanego chroniony jest hasem enable secret, zdefiniowanym w dialogu konfiguracyjnym (jeeli zdefiniowane jest haso enable secret, nie mona wykorzysta" hasa enable password do przej!cia na poziom 15). Powrót na poziom domy!lny (poziom 1) realizowany jest poleceniem disable. Poniewa interaktywny dialog konfiguracyjny nie pozwala na zdefiniowanie wszystkich parametrów pracy routera, administrator bdzie musia dokohczy" proces konfiguracji rcznie z wykorzystaniem specjalnego trybu pracy routera, zwanego trybem konfiguracyjnym. Tryb ten (podobnie jak tryb!ledzenia, wywoywany poleceniem debug) zarezerwowany jest dla poziomu uprzywilejowanego, a wchodzi si do niego komend configure - pozwala ona skonfigurowa" router trzema rónymi metodami: Terminal (metoda domy!lna) - konfiguracja rczna poprzez wykonywanie poszczególnych poleceh z poziomu terminala, Memory - wczytanie penej konfiguracji z pamici NVRAM (konfiguracja startowa) do pamici RAM, Network - wczytanie skryptu konfiguracyjnego z serwera sieciowego TFTP. Po wej!ciu do trybu konfiguracyjnego z opcj domy!ln zmienia si odpowiednio znak zachty, zgodnie z notacj: Nazwa_routera(config)#. Wyróniamy trzy rodzaje poleceh konfiguracyjnych: globalne, gówne i podpolecenia. Komendy globalne, zapisywane w pojedynczej linii, definiuj parametry dotyczce pracy routera jako cao!ci. Poniej przedstawiamy trzy przykady poleceh globalnych, definiujcych odpowiednio: logiczn nazw routera, haso chronice dostp do trybu uprzywilejowanego (przechowywane w postaci zaszyfrowanej) i routing dla protokou IP: C2600(config)#hostname Router Router(config)#enable secret password Router(config)#ip routing 8 Polecenia gówne nie definiuj bezpo!rednio adnych parametrów routera, lecz wyróniaj konkretny proces lub interfejs, który ma podlega" dalszej konfiguracji. Dostpnych jest ponad 17 specyficznych trybów konfiguracyjnych, wybieranych poleceniami gównymi. Ponisze dwa przykadowe polecenia gówne wybieraj odpowiednio interfejs Ethernet 0/1 oraz protokó routingu dynamicznego IGRP. Zauwamy, e wykonanie polecenia gównego, poza zmian znaku zachty wskazujcego wybrany proces, nie powoduje praktycznych zmian w konfiguracji: Router(config)#interface Ethernet 0/1 Router(config-if)# Router(config)#router IGRP 10 Router(config-router)#

10 Wa!ciw konfiguracj procesu czy interfejsu wybranego poleceniem gównym przeprowadza si, podajc w kolejnych liniach podpolecenia. Polecenie gówne musi mie" przynajmniej jedno podpolecenie. List specyficznych dla danego trybu podpoleceh mona wy!wietli", wciskajc znak?. Na przykad podpolecenie definiujce tekstowy opis dla interfejsu Ethernet 0/1 wyglda nastpujco: Router(config)#interface Ethernet 0/1 Router(config-if)#description Drugi segment sieci lokalnej Zmiany przeprowadzane w trybie konfiguracyjnym dotycz zawsze konfiguracji aktualnej, przechowywanej w pamici RAM. Aby zmiany te utrwali", naley nagra" konfiguracj aktualn w pamici nieulotnej NVRAM jako konfiguracj startow. W tym celu wykonujemy polecenie: Router #copy running-config startup-config Zarówno konfiguracj aktualn, jak i startow mona w dowolnej chwili wy!wietli" na ekranie za pomoc odpowiedniej skadni polecenia show. W poniszych przykadach wy!wietlana jest konfiguracja aktualna i startowa, zwana te czasami konfiguracj zapasow. Warto zwróci" uwag na skrótowy zapis w drugim przykadzie: Router# show running-config Router# sh start Skrypt konfiguracyjny odczytywany przy kadym uruchomieniu routera z pamici NVRAM moe by" take przechowywany i pobierany z zewntrznego serwera sieciowego, np. z serwera TFTP. Dziki temu moliwe jest przygotowanie i publikowanie na niezalenym serwerze sieciowym wzorcowego zbioru konfiguracyjnego dla oryginalnego routera bds wielu routerów podobnych. Przechowywanie skryptu konfiguracyjnego na serwerze TFTP uatwia te jego edycj przy uyciu dowolnego edytora tekstowego (np. WordPad). Przydaje si to szczególnie wtedy, gdy czsto modyfikujemy zoone polecenia konfiguracyjne. Plik konfiguracyjny na serwerze TFTP tworzymy najcz!ciej nie od podstaw, lecz przez zapamitanie na serwerze sieciowym aktualnej konfiguracji. W tym celu wykonujemy nastpujc komend: Router# copy running-config tftp Aby powysze polecenie zadziaao poprawnie, okre!li" naley prawidowy adres IP serwera TFTP oraz nazw pliku, w którym nagrana zostanie aktualna konfiguracja. W zaleno!ci od stosowanej usugi TFTP najcz!ciej moliwe jest podawanie równie penej!cieki do pliku. Przykad procedury nagrywania aktualnej konfiguracji na serwerze TFTP przedstawiamy poni- ej: Router#copy running-config tftp Remote host []? Name of configuration file to write [Router -confg]? /2600/c2600-confg Write file /2600/ Router-confg on host ? [confirm] Building configuration... Writing /2600/c2600-confg!! [OK] Router Je!li konieczne jest wprowadzenie zmian w skrypcie konfiguracyjnym, otwieramy plik zapamitany na serwerze TFTP w odpowiednim edytorze tekstowym i poddajemy go dalszej edycji. Je!li pojawi si konieczno!" pobrania wzorcowego pliku konfiguracyjnego zapamitanego na serwerze TFTP, wykonujemy nastpujce polecenie, podajc odpowiednie parametry, podobnie jak w poprzednim przykadzie: 9

11 Router copy tftp running-config Jeeli zachodzi taka konieczno!", mona zastpi" konfiguracj startow przechowywan w pamici NVRAM, nadpisujc j plikiem konfiguracyjnym z serwera TFTP: Router #copy tftp startup-config Wczytujc plik konfiguracyjny z serwera TFTP do pamici NVRAM, nadpisujemy w cao!ci konfiguracj startow. Natomiast pobierajc skrypt z serwera TFTP do pamici RAM, wykonujemy poszczególne polecenia linia po linii - w tej sytuacji konfiguracja aktualna nie zostanie nadpisana. W przypadku poleceh wykluczajcych si, s one nadpisywane (np. nazwa routera musi by" tylko jedna). Niektóre polecenia mog si logicznie sumowa", a nie nadpisywa" (np. router moe nalee" do dwu spoeczno!ci protokou SNMP - jedna zdefiniowana w konfiguracji aktualnej, a druga w pliku na serwerze TFTP). Naley pamita" o tym, e jeeli w pliku konfiguracyjnym na serwerze TFTP nie wystpuje jakie! polecenie, to nie znaczy, e bdzie ono usunite z konfiguracji aktualnej (np. jeeli w pliku na serwerze TFTP nie podano komendy shutdown, polecenie to pozostanie, je!li byo zdefiniowane wcze!niej, w aktualnej konfiguracji interfejsu) Konfigurowanie interfejsów Jednym z pierwszych zadah konfiguracyjnych, jakie wykona" musi administrator nowego routera, bdzie wa!ciwe zdefiniowanie parametrów komunikacyjnych dla poszczególnych interfejsów - zarówno tych dotyczcych segmentów sieci lokalnej, jak i interfejsów szeregowych, wykorzystywanych najcz!ciej do poczeh w sieci WAN. Dla interfejsów sieci LAN, takich jak Ethernet, zwykle wystarczajce jest zdefiniowanie parametrów dotyczcych adresowania w protokole warstwy sieciowej (np. IP) oraz odwoanie domy!lnie wczonego polecenia shutdown, które blokuje prac interfejsu. Czynno!ci te mog by" niepotrzebne, je!li interfejs skonfigurowano z poziomu dialogu konfiguracyjnego. Ponisza sekwencja poleceh pokazuje wywoanie trybu konfiguracyjnego, wybór wa!ciwego interfejsu, przypisanie adresu IP i maski podsieci do interfejsu Ethernet 0/0 oraz wyczenie polecenia shutdown blokujcego interfejs. Na przykadzie polecenia shutdown warto zwróci" uwag na sposób odwoywania poleceh przez wykorzystanie komendy no, dopisywanej na pocztku oryginalnej linii. Router# configure terminal!!! Mona równie conf t Router(config)#interface Ethernet 0/0 Router(config-if)#ip address Router(config-if)#no shutdown W niektórych sytuacjach moe okaza" si konieczne przypisanie do jednego interfejsu wicej ni jednego adresu IP. Dzieje si tak na przykad wtedy, gdy router obsuguje kilka wirtualnych sieci IP w jednym segmencie fizycznym. Polecenie dodajce do interfejsu kolejny adres IP (drugi, trzeci itd.) ma skadni: Router(config-if)#ip address secondary W przypadku interfejsów szeregowych konfiguracja jest bardziej zoona, bowiem oprócz parametrów warstwy sieciowej (adres IP czy maska podsieci) okre!li" naley równie ustawienia dla warstwy cza danych oraz warstwy fizycznej (dostpne protokoy warstwy fizycznej oraz sposób ich wyboru, a take protokoy warstwy cza danych przedstawimy szczegóowo w artykule o pracy routera Cisco w sieciach WAN w nastpnym numerze).

12 W przypadku komunikacji synchronicznej, typu punkt-punkt z wykorzystaniem interfejsów szeregowych, jedno urzdzenie w parze peni rol urzdzenia biernego typu DTE, za! drugie jest urzdzeniem aktywnym DCE, definiujcym parametry transmisyjne, np. parametr zegara transmisji. W typowej sytuacji, gdy router podcza si do sieci WAN, rol DCE peni urzdzenie brzegowe dostawcy, a DTE - interfejs szeregowy routera oraz odwoanie domy!lnie wczonego polecenia shutdown, które blokuje prac interfejsu. Czynno!ci te mog by" niepotrzebne, je!li interfejs skonfigurowano z poziomu dialogu konfiguracyjnego. W warstwie cza danych, jako typ hermetyzacji (encapsulation) dla przesyanych danych, wybierany jest automatycznie i domy!lnie protokó HDLC. W zaleno!ci od potrzeb protokó ten mona zmieni". Jeeli interfejs szeregowy routera pracuje jako urzdzenie DCE, obowizkowo dla tego interfejsu zdefiniowa" naley parametr zegara transmisji. W tym celu wykonujemy nastpujce polecenie w ramach konfiguracji interfejsu, podajc jako parametr jedn z dozwolonych warto-!ci (wyraon w bps): Router(config-if)#clock rate Parametr polecenia clock rate musi by" dostosowany do wybranego protokou warstwy fizycznej oraz do typu interfejsu szeregowego. System nie przyjmie warto!ci zegara wikszej ni maksymalna obsugiwana przez konkretny interfejs, co np. dla interfejsów szeregowych dostpnych na asynchroniczno - synchronicznych kartach WIC 2A/S oznacza dozwolon prdko!" do 128 kbps. Dla wszystkich interfejsów szeregowych mona dodatkowo skonfigurowa" przepustowo!" oraz opósnienie wprowadzane przez dany interfejs. Trzeba jednak pamita", e obydwa te parametry s statycznie wpisywane przez administratora (pocztkowo maj warto!ci domy!lne, wynikajce z typu interfejsu), maj znaczenie etykietowe i nie odzwierciedlaj w adnym wypadku faktycznej komunikacji przez konkretny interfejs. Modyfikuje si je w celu zmiany!rodowiska pracy protokoów routingu dynamicznego, takich jak IGRP czy OSPF. W poniszym przykadzie polecenia definiuj przepustowo!" i opósnienie dla interfejsu szeregowego. Parametr dla polecenia bandwidth wyraany jest w kbps, natomiast opósnienie podaje si w dziesitkach mikrosekund: Router(config-if)#bandwidth 128 Router(config-if)#delay 2000 Zdefiniowane dla interfejsów parametry oraz stan ich pracy mona w dowolnej chwili obejrze" poleceniem show interfaces - wy!wietla ono m.in. nastpujce komunikaty dla konkretnego interfejsu Serial 0/0: Router# show interfaces serial 0/0 Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is /24 MTU 1500 bytes, BW 128 Kbit, DLY usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation HDLC, loopback not set, keepalive set (10 sec) Informacja typu Serial0/0 is up oznacza poprawne dziaanie interfejsu w warstwie fizycznej (status down sygnalizuje na przykad brak czstotliwo!ci no!nej lub niepodczony kabel). Komunikat line protocol is up opisuje tu poprawne dziaanie protokou warstwy cza danych, czyli otrzymywanie pakietów keepalive (status down moe oznacza" na przykad niezgodno!" protokou warstwy drugiej bds niezdefiniowany zegar (clock rate) w urzdzeniu pracujcym jako DCE). W pewnych sytuacjach stan interfejsu wy!wietlany jest jako administratively down, co oznacza, e w konfiguracji interfejsu wczono polecenie shutdown, blokujce prac interfejsu. 11

13 W!ród innych ciekawych informacji wy!wietlanych poleceniem show znales" mona: adres sprztowy MAC (dla interfejsów typu Ethernet), przypisany adres IP, parametr MTU (maksymalny rozmiar pola danych transmitowanej ramki), przepustowo!" (BW), opósnienie (DLY), niezawodno!" i obcienie interfejsu (dwa parametry rzeczywistej transmisji) oraz wczony protokó warstwy cza danych (np. HDLC dla interfejsu szeregowego lub ARPA,czyli Ethernet II dla interfejsu typu Ethernet). Wicej parametrów dotyczcych tylko protokou IP dla wybranego interfejsu zobaczy" mona po wykonaniu nastpujcego polecenia: Router# show ip interface Serial 0/0 Jeeli administrator routera chce sprawdzi", które interfejsy szeregowe pracuj jako urzdzenia DTE, a które jako DCE, jaki zosta zdefiniowany zegar oraz jaki jest stosowany (zwykle zaleny od wybranego kabla) protokó warstwy fizycznej, moe wykona" komend show controllers interfejs, które wy!wietla parametry fizyczne interfejsu: Router# show controllers serial 0/0 Interface Serial0/0 Hardware is PowerQUICC MPC860 DCE V.35, clock rate adowanie systemu operacyjnego Omówienie etapu poszukiwania i adowania obrazu systemu operacyjnego zaczniemy od wyja!nienia pojcia rejestru systemowego, którego zawarto!" moe mie" istotny wpyw na proces wczytywania systemu. Rejestr routera Cisco jest 16-bitow struktur, przedstawian najcz!ciej w postaci czterech cyfr szesnastkowych (np. dla routera 2600 rejestr moe przyjmowa" domy!lnie warto!" 0x2102). W poszczególnych bitach zapamitane s róne opcje dotyczce pracy routera, a fragment rejestru definiuje sposób adowania systemu operacyjnego. Warto!" ostatniej cyfry szesnastkowej, nazywanej te polem startu (boot field), okre!la sposób uruchomienia routera, zgodnie z nastpujc konwencj: 0 - uruchomienie routera w naprawczym trybie monitora pamici ROM (nie jest adowany aden system operacyjny); 1 - zaadowanie systemu operacyjnego z pamici staej ROM (cz!" routerów ma w pamici ROM tylko minimaln wersj systemu operacyjnego); 2 F - zaadowanie systemu operacyjnego zgodnie z sekcj poleceh boot system, znajdujc si w skrypcie konfiguracyjnym w pamici NVRAM. Poniewa na ostatniej pozycji rejestru wystpuje domy!lnie warto!" 2, administrator moe do!" dowolnie sterowa" kolejno!ci poszukiwania systemu operacyjnego. Polecenie konfiguracyjne Boot system pozwala jawnie wskaza" Sródo, z którego adowany jest system operacyjny, np. plik w pamici Flash, serwer sieciowy TFTP czy pami" ROM. Naley pamita", e kolejno!" prób zaadowania systemu operacyjnego definiowana jest kolejno!ci komend boot system zawartych w skrypcie konfiguracyjnym. Zaómy, e router zawiera pami" Flash, w której przechowywanych jest kilka obrazów systemu operacyjnego. Niezalenymi poleceniami boot system mona wskaza" róne pliki w pamici Flash. Jeeli w pamici Flash nie bdzie mona znales" pierwszego pliku, system spróbuje zaadowa" nastpny. W przypadku, gdy komend boot system wskazywany jest plik systemu operacyjnego na serwerze sieciowym TFTP, w skadni polecenia poda" naley nazw pobieranego pliku oraz adres IP serwera TFTP. Poniszy przykad pokazuje przykadow sekwencj poleceh boot system, okre!lajc kolejno!" prób zaadowania systemu operacyjnego: Router(config)#boot system Flash IOS_Plik_nr 1 Router(config)#boot system Flash IOS_Plik_nr 2 Router(config)#boot system TFTP IOS_Plik_nr_

14 Router(config)#boot system ROM 13 Jeeli w skrypcie konfiguracyjnym nie zdefiniowano poleceh boot system (sytuacja pocztkowa), nastpuje próba zaadowania domy!lnego pliku z pamici Flash; jest to pierwszy plik systemu operacyjnego nagrany w pamici Flash (niezalenie od jego nazwy). Moe si jednak zdarzy", e pami" Flash jest pusta (na przykad skasowana), wówczas router próbuje zaadowa" plik o domy!lnej nazwie z serwera sieciowego TFTP. Nazwa pliku tworzona jest na podstawie ustawieh w rejestrze routera, a serwer TFTP poszukiwany jest metod rozgoszeniow. Je!li ta metoda nie da pozytywnego rezultatu, router uruchamia si w specjalnym trybie monitora pamici ROM (zgasza si w postaci: rommon>) i nie jest adowany aden system operacyjny. Aby przygotowa" zapasow kopi systemu operacyjnego, administrator powinien nagra" plik z pamici Flash na serwerze sieciowym TFTP (bds RCP lub FTP, je!li dostpna jest taka opcja). W tym celu wykona" naley polecenie Copy Flash TFTP, podajc jako parametry nazw pliku Sródowego, adres IP serwera TFTP oraz nazw i!ciek dostpu do pliku docelowego. Jeeli pojawi si taka potrzeba, mona wczyta" plik systemu operacyjnego z powrotem do pamici Flash za pomoc polecenia Copy TFTP Flash. Przed rozpoczciem wa!ciwego kopiowania mona (ale nie trzeba) wybra" opcj kasowania pamici Flash. Komendy dotyczce rcznego kasowania pamici Flash mog by" róne, w zaleno!ci od wersji systemu. Przykadowo, na routerze 2600 z systemem 11.3 dostpne jest tylko polecenie erase Flash, pozwalajce usun" ca zawarto!" pamici Flash. W innych przypadkach moe by" dostpna równie komenda delete, umoliwiajca skasowanie wybranego pliku z pamici Flash. Aktualn zawarto!" pamici Flash oraz inne parametry (np. jej rozmiar czy ilo!" wolnego miejsca) wy!wietli" mona na ekranie poleceniem show Flash: Router# show flash System flash directory: File Length Name/status c2600-i-mz t [ bytes used, available, total] W sytuacji, gdy program adujcy (bootstrap) nie moe zlokalizowa" i zaadowa" adnego systemu operacyjnego, router uruchamiany jest w specjalnym trybie naprawczym monitora pamici ROM. Sytuacja taka ma miejsce na przykad wówczas, gdy skasowano pami" Flash i nie podano adnego innego Sróda systemu operacyjnego. W trybie monitora pamici ROM, który zgasza si znakiem zachty rommon>, mona pobra" plik systemu operacyjnego z serwera TFTP i nagra" go do pamici Flash. W tym celu naley zdefiniowa" pi" zmiennych!rodowiskowych, których znaczenie jest nastpujce: IP_ADDRESS - adres IP interfejsu routera, IP_SUBNET_MASK - maska podsieci interfejsu routera, IP_DEFAULT_GATEWAY - adres IP domy!lnego routera, gdy serwer TFTP jest w innym segmencie, TFTP_SERVER - adres IP serwera TFTP, TFTP_FILE - nazwa pliku pobieranego z serwera TFTP. Nastpnie w trybie monitora pamici ROM uruchamiamy polecenie tftpdnld, które domy!lnie próbuje wczyta" wskazany plik z serwera TFTP i nagra" go w pamici Flash (je!li powysze zmienne nie zostay wcze!niej okre!lone, wy!wietlane s odpowiednie komunikaty). Po naprawieniu zawarto!ci pamici Flash naley uruchomi" ponownie router poleceniem Reset.

15 Nazwa oryginalnego pliku systemu operacyjnego dostarczanego w pamici Flash skada si z kilku cz!ci, z których kada ma specyficzne znaczenie - wesmy na przykad nazw C2600-imz T: Router - platforma urzdzenia, na którym uruchamiany jest ten obraz systemu. I - specyficzne cechy i skadniki systemu operacyjnego. Ta cz!" moe by" te opisana przez grup symboli. W tym wypadku i oznacza obsug protokou IP, ale np. symbol js opisuje rozszerzony system w wersji enterprise. mz - kompresja oraz miejsce uruchamiania. W tym wypadku mz oznacza plik skompresowany, uruchamiany w pamici RAM wersja systemu operacyjnego kolejna aktualizacja systemu operacyjnego. T - rozszerzenie nazwy pliku Ochrona dost5pu do routera W konfiguracji standardowej dostp do routera poprzez lini konsoli nie jest chroniony adnym hasem. Jeeli w konkretnej firmie obowizuj bardziej restrykcyjne zasady bezpieczehstwa sieci, naley to zmieni". Opiszemy dwie metody zabezpieczania dostpu do routera: w pierwszej uytkownicy musz zna" wspólne dla wszystkich haso, w drugiej kady uytkownik uwierzytelniany jest na podstawie indywidualnego konta i hasa. Aby zdefiniowa" wspólne dla wszystkich haso chronice dostp do routera poprzez lini konsoli, naley przej!" do trybu konfiguracyjnego linii konsoli numer 0, nastpnie wczy" uwierzytelnianie i okre!li" haso: Router(config)#line console 0 Router(config-line)#login Router(config-line)#password haslo Poniewa w tej metodzie od wszystkich uytkowników wymagane jest to samo haso, moe si ona okaza" w pewnych sytuacjach niewystarczajca. Lepsz metod weryfikowania dostpu do routera bdzie sprawdzanie uytkownika poprzez indywidualne konto i haso. Konfiguracja linii konsoli w tym przypadku bdzie nieco inna. Komenda login musi by" uruchomiona z parametrem okre!lajcym baz kont uytkowników. Jeeli na przykad stosowana ma by" lokalna, utworzona na routerze baza kont, to konfiguracja jest nastpujca: Router(config)#line console 0 Router(config-line)#login local Zauwamy, e w powyszym przykadzie nie ma komendy password, gdy haso wspólne dla wszystkich uytkowników nie ma w tym przypadku zastosowania. Przy uywaniu komendy login local naley unika" pewnej puapki, która moe zablokowa" normalne korzystanie z routera - po wykonaniu polecenia login local, przy kadej próbie podczenia si do routera pojawi si pytanie o konto uytkownika i haso; jeeli wic nie bdzie lokalnej bazy kont (a standardowo jej nie ma), nie bdzie moliwe poprawne uwierzytelnianie. Trzeba najpierw zdefiniowa" konta uytkowników, a dopiero potem uy" komendy login local. Polecenie konfiguracyjne pozwalajce utworzy" nowe konto uytkownika ma skadni: username Nazwa password Haslo. Polecenie to wymaga podania nazwy konta i hasa wykorzystywanego w procesie uwierzytelniania. Konta utworzone poleceniem username s przechowywane i widoczne w aktualnej konfiguracji routera, std naley pamita" o regularnym zapisywaniu jej w pamici NVRAM. Domy!lnie uytkownik, który weryfikowany jest przy dostpie do routera poprzez indywidualne konto i haso, umieszczany jest na poziomie 1 (poziom uytkownika). Mona równie do kadego konta indywidualnie przypisa" inny domy!lny poziom pracy, na który uytkownik bdzie automatycznie przeczany. W tym celu naley ponownie posuy" si komend username. W poniszym przykadzie tworzone jest konto Ad-

16 min2 z hasem cisco, a dodatkowo do tego konta przypisywany jest domy!lny poziom uprzywilejowania 7: Router(config)#username Admin2 password cisco Router(config)#username Admin2 privilege level 7 Korzystanie z polecenia konfiguracyjnego login local jest rozwizaniem skutecznym, cho" moe by" nieco uciliwe, gdy wymaga definiowania lokalnej bazy danych na kadym z routerów. Innym sposobem rozwizania problemu weryfikacji jest zastosowanie centralnej usugi uwierzytelniajcej podczajcych si uytkowników. Rozwizanie to oparte w praktyce na usugach zewntrznych RADIUS lub TACACS+ oferuje równie moliwo!" autoryzacji i rejestracji wykonywanych dziaah. Przykadow sytuacj, w której router Cisco jest klientem serwera RADIUS przedstawia rysunek poniej. Przy próbie podczenia si do routera, np. poprzez port konsoli, router pracujcy jako klient przesya do centralnego serwera pro!b o uwierzytelnienie uytkownika. Serwer RADIUS, zawierajcy centraln baz informacji o uytkownikach, przeprowadza proces weryfikacji, dodatkowo moe okre!li" rodzaj dozwolonych dla uytkownika operacji (autoryzacja) oraz kontrolowa" i zapisywa" w dzienniku ich realizacj. Protokó RADIUS pozwala w praktyce na wykonywanie trzech niezalenych dziaah (nie tylko uwierzytelniania), jest on przykadem tzw. protokou AAA (Authentication, Authorization, Accounting). Aby wczy" na routerze Cisco korzystanie ze wszystkich usug AAA, naley w trybie konfiguracji globalnej wykona" polecenie aaa new-model, a nastpnie skonfigurowa" realizacj procesu uwierzytelniania, autoryzacji i kontroli poleceniami: aaa authentication, aaa authorization i aaa accounting. Ponisze przykadowe komendy konfiguracyjne pozwalaj wskaza" serwer RADIUS oraz okre!li" klucz stosowany do zaszyfrowania przesyanego hasa uytkownika (podobnie konfiguruje si wspóprac z serwerem TACACS+, który te jest protokoem AAA): Router(config)#radius-server host Router(config)#radius-server key klucz Zastosowanie protokoów AAA pozwala w optymalny sposób zarzdza" procesem uwierzytelniania uytkowników, zwaszcza w!rodowisku duej, wielosegmentowej sieci lokalnej, wyposaonej w wiele routerów. Przed wdroeniem tego rozwizania naley zastanowi" si nad wyborem odpowiedniego protokou. Protokó RADIUS (oparty na UDP) jest rozwizaniem otwartym, nadajcym si bardzo dobrze dla!rodowisk niejednorodnych, w których wykorzystywane s urzdzenia rónych producentów. Natomiast protokó TACACS+ (oparty na TCP) jest rozwizaniem firmy Cisco i przeznaczony jest dla sieci wykorzystujcych urzdzenia tej firmy. Oprócz podczenia poprzez port konsoli moliwy jest take dostp do routera poprzez linie terminali wirtualnych VTY. Najcz!ciej wykorzystywany jest do tego celu protokó Telnet. Aby ustanowi" sesj telnetow do zdalnego routera, konieczne jest wcze!niejsze poprawne skonfigurowanie interfejsu tego routera (m.in. wpisanie adresu IP), poprzez który sesja zostanie nawizana. Standardowo router Cisco udostpnia 5 linii terminali wirtualnych, przez które mona si do niego podczy". Linie te przyznawane s uytkownikom dynamicznie i nie wiadomo, która zostanie wykorzystana na kolejne poczenie. Z tego powodu najcz!ciej konfiguruje si wszystkie 5 linii VTY jednocze!nie. Ochrona dostpu do routera poprzez linie VTY wyglda bardzo podobnie, jak w przypadku podczania si poprzez port konsoli. Dlatego bez dodatkowego omawiania tych samych rozwizah, zapoznajmy si z przykadami konfiguracji linii VTY. Aby wczy" ochron dostpu do routera na poziomie pojedynczego hasa, naley wykona" polecenia: Router(config)#line VTY 0 4 Router(config-line)#login Router(config-line)#password haslo 15

17 Zapis line VTY 0 4 w pierwszym poleceniu oznacza linie VTY o numerach od 0 do 4, czyli wszystkie 5 linii. Pamitajmy, e haso chronice dostp przez linie VTY definiowane jest ju w dialogu konfiguracyjnym (w odrónieniu od portu konsoli), zatem polecenie password w tym przypadku suy" bdzie jedynie do jego zmiany. Aby wczy" korzystanie z lokalnej bazy kont uytkowników w procesie uwierzytelnienia, naley wykona" nastpujce polecenia: Router(config)#line VTY 0 4 Router(config-line)#login local Dodatkowym sposobem zwikszenia bezpieczehstwa przy dostpie do routera poprzez linie VTY jest okre!lenie dozwolonych adresów, z których poczenie moe by" ustanowione. Mona wskaza" na przykad adresy komputerów, przy których pracuj administratorzy. Realizuje si to przez wykorzystanie podpolecenia access-class w ramach konfiguracji linii VTY. W praktyce polecenie to korzysta ze zdefiniowanych wcze!niej list dostpu dla protokou IP, które omówione zostan w jednym z dalszych artykuów. Dodatkowo dla linii terminali wirtualnych warto zdefiniowa" parametry automatycznego rozczania poczenia. Poniej pokazujemy dwa przykady ustawiajce czasy rozczania. Komenda pierwsza oznacza bezwzgldne rozczenie sesji uytkownika po 60 minutach. Polecenie drugie ustawia rozczanie po 15 minutach i 30 sekundach bezczynno!ci. Komenda absolute-timeout nie ma zdefiniowanej warto!ci domy!lnej, polecenie exec-timeout przyjmuje domy!lnie warto!" 10 minut: Router(config)#line VTY 0 4 Router(config-line)#absolute-timeout 60 Router(config-line)#exec-timeout Zarówno haso zdefiniowane poleceniem enable password, jak i hasa przypisane do kont uytkowników oraz hasa zabezpieczajce dostp do routera poprzez linie konsoli czy linie VTY przechowywane s w postaci jawnej w konfiguracji routera. Moe si zdarzy", zwaszcza gdy skrypt konfiguracyjny nagrywany jest na serwerze TFTP, e hasa te zostan odczytane przez niepowoane osoby. Aby temu zapobiec, naley w trybie konfiguracji globalnej wykona" polecenie service password-encryption. Wszystkie wprowadzone jawnie hasa przedstawione zostan w konfiguracji w postaci zaszyfrowanych ahcuchów znaków, poprzedzonych cyfr 7, wskazujc algorytm szyfrowania (z wyjtkiem hasa enable secret, które szyfrowane jest innym algorytmem). Oczywi!cie podczas logowania uytkownik cay czas posuguje si hasem w postaci jawnej. Warto zauway", e wyczenie usugi szyfrujcej nie powoduje odszyfrowania hase. W postaci jawnej hasa zostan pokazane w konfiguracji dopiero po ich nastpnej zmianie Procedura naprawiania has7a Jeeli administrator routera zapomni hasa uprawniajcego do przej!cia na poziom 15, nie bdzie móg wprowadzi" adnych zmian konfiguracyjnych. Podobny problem moe pojawi" si wówczas, gdy administrator otrzymuje router ju skonfigurowany, na przykad z innego oddziau firmy, bez informacji o zwizanym z nim ha!le. Proces tzw. naprawienia hasa dla trybu uprzywilejowanego polega w zasadzie na jego nadpisaniu now warto!ci. Moe go przeprowadzi" osoba podczona do routera poprzez port konsoli. Przede wszystkim router musi zosta" uruchomiony w specjalnym trybie monitora pamici ROM po to, aby zmodyfikowa" szesnastobitow warto!" rejestru systemowego. W tym celu w cigu pierwszych 60 sekund od wczenia routera (warto!" podawana w dokumentacji Cisco), z konsoli naley wybra" specjaln kombinacj klawiszy, przerywajc normalny proces startu. Najcz!ciej jest to kombinacja CTRL_Break, cho" moe by" róna w zaleno!ci od rodzaju emulowanego terminala. Inne kombinacje, które warto przetestowa" to np. CTRL_B lub Alt_B. Przykadowo kombinacja CTRL_Break dziaa poprawnie w programie HyperTerminal systemu Windows 98 czy Windows 2000 (ale nie Windows NT 4.0). Po wybraniu CTRL_ Break router uruchamiany jest w trybie monitora pamici ROM. Przy kadym starcie routera haso zwizane z poziomem 15 od-

18 czytywane jest z konfiguracji startowej. Procedura naprawcza rozpocznie si wic od ustawienia w rejestrze warto!ci, która zmusi router do pominicia (ale nie skasowania) konfiguracji startowej przy jego nastpnym uruchomieniu. W tym celu na routerze 2600, wykorzystywanym w wikszo!ci naszych przykadów, wykona" naley polecenie confreg 0x2142 (standardowa warto!" rejestru to 0x2102). Cyfra szesnastkowa 4 na trzeciej pozycji rejestru oznacza pominicie wczytywania konfiguracji startowej. Jeeli nie wiemy, jak warto!" rejestru naley ustawi", mona uruchomi" program confreg w trybie dialogowym, w którym odpowiedzi na kolejne pytania pozwalaj zdefiniowa" róne parametry pracy routera, ustawiajc odpowiednie bity w rejestrze. Wikszo!" pytah nie dotyczy w ogóle hasa, wic mona pozostawi" proponowane domy!lne warto!ci. Tylko pytanie Ignore system config info wymaga odpowiedzi Yes. Po zdefiniowaniu rejestru naley ponownie uruchomi" router poleceniem reset. Proces uruchamiania routera powinien zakohczy" si pytaniem o wej!cie do dialogu konfiguracyjnego. Dzieje si tak dlatego, i router nie wczyta konfiguracji startowej i wówczas zawsze proponuje dialog konfiguracyjny. Po udzieleniu przeczcej odpowiedzi zauwaymy, e nazwa routera ma posta": Router. W kolejnych krokach naley: 1. Wej!" do trybu uprzywilejowanego poprzez wykonanie komendy enable (system nie zapyta o haso); 2. Wczyta" konfiguracj startow do pamici RAM: copy start runn; 3. wej!" do trybu konfiguracyjnego: conf term; 4. Zdefiniowa" nowe haso, np.: enable secret cisco1; 5. Przywróci" poprzedni posta" rejestru: config-register 0x2102; 6. W konfiguracji kadego interfejsu wyczy" polecenie shutdown (domy!lnie router nieskonfigurowany ma wyczone interfejsy, a jest nim na przykad router, który nie wczyta konfiguracji startowej); 7. Nagra" konfiguracj aktualn z nowym hasem w pamici NVRAM: copy runn start; 8. Ponownie uruchomi" router i przetestowa" nowe haso. 4.0 Konfigurowanie protokou SNMP Protokó SNMP (Simple Network Management Protocol) opracowany zosta do nadzorowania, diagnozowania oraz zdalnego zarzdzania urzdzeniami pracujcymi w sieci TCP/IP. Wyróniamy dwa podstawowe skadniki w architekturze SNMP: oprogramowanie agenta, zwykle zaszyte w urzdzeniu sieciowym oraz oprogramowanie menedera SNMP, dostarczane na przykad jako specjalizowana aplikacja (p. rysunek). Komunikacja midzy menederem i agentem, realizowana przy wykorzystaniu standardowego zestawu poleceh, pozwala menederowi zebra" podstawowy zestaw informacji o urzdzeniu, na którym pracuje agent. Informacje, które meneder moe uzyska" od agenta zdefiniowane s w postaci obiektów w bazach danych MIB (Management Information Base). Kady obiekt w bazie ma swój unikatowy identyfikator, poprzez który meneder ma do niego dostp. Typowe polecenia, za pomoc których meneder uzyskuje informacje o okre!lonych obiektach to: GET i GET-NEXT, natomiast poleceniem SET meneder wymusza ustawienie warto!ci wybranego obiektu. Dodatkowo agent moe z wasnej inicjatywy wysya" do menedera komunikaty typu TRAP, co dzieje si na skutek wystpienia pewnych zdarzeh. System operacyjny routera Cisco wyposaony jest w oprogramowanie agenta SNMP, ale do poprawnej pracy wymaga dodatkowej konfiguracji. Aby agent zaakceptowa polecenie przysyane od menedera. musi by" speniony warunek przynaleno!ci do tej samej spoeczno!ci SNMP (community). Nazw spoeczno!ci, do której naley agent (router Cisco) mona zdefiniowa" ju w dialogu konfiguracyjnym lub pósniej globalnym poleceniem konfiguracyjnym snmp-server community. W poleceniu tym mona te poda" tryb dostpu do agenta: RO (tylko do odczytu - polecenia GET i GET-NEXT) bds RW (do odczytu i zapisu - równie polecenie SET) oraz numer standardowej listy dostpu, dziki której mona okre!li" dozwolone adresy IP dla menederów 17

19 przysyajcych dania. Do standardowych zdarzeh zachodzcych na routerze Cisco, które powoduj wysanie komunikatu Trap do wybranego menedera naley bd uwierzytelnienia. Jest to przypadek, gdy do agenta przychodzi danie z obcej spoeczno!ci. Oprócz informowania o próbach nieuprawnionego dostpu, agent wysya typowo do swojego menedera komunikaty Trap dla zdarzeh ponownego uruchomienia routera bds zmiany stanu interfejsu. Inne komunikaty typu Trap wysyane przez agenta konfiguruje si poleceniem snmp-server host. Komenda ta pozwala okre!li" adres IP menedera SNMP, nazw spoeczno!ci menedera oraz rodzaje komunikatów Trap, które bd do menedera wysyane. Poniej przedstawiamy przykad konfiguracji protokou SNMP. Zauwamy, e router moe nalee" do kilku spoeczno!ci. Dla spoeczno!ci Public wczona jest opcja RO (tylko do odczytu), dla spoeczno!ci Private wczony jest peen dostp (RW). W przypadku spoeczno!ci Private ustawiono kontrolowanie adresu IP menedera poprzez list dostpu nr 5. Ostatnia komenda definiuje adres IP menedera, do którego wysyane bd komunikaty Trap, okre!la te rodzaj wysyanych komunikatów trap. W tym przykadzie router C2600 informowa" bdzie swojego menedera o zdarzeniach dotyczcych protokou ISDN oraz o zmianach w konfiguracji. Router(config)# snmp-server community Public RO Router(config)#snmp-server community Private RW 5 Router(config)#snmp-server host Public isdn config Programy graficzne przeznaczone do zdalnego zarzdzania routerem Cisco bardzo czsto opieraj swoje dziaanie na protokole SNMP. W takim przypadku niezbdne bdzie okre!lenie wa-!ciwej nazwy spoeczno!ci, w której pracuje router. Dodatkowo, aby uatwi" zarzdzanie, na routerze mona skonfigurowa" dwa parametry opisowe, okre!lajce pooenie routera oraz osob kontaktow. Parametry te definiuje si w postaci ahcuchów znaków za pomoc polecenia snmp-server location oraz snmp-server contact Obs7uga komunikatów obs7ugiwanych przez router Zdarzenia zachodzce na routerze oraz poszczególne dziaania systemu operacyjnego mog by" monitorowane i zapisywane w postaci komunikatów, co uatwia diagnostyk i naprawianie ewentualnych bdów. Komunikaty opisujce prac routera oraz bdce wynikiem dziaania polecenia debug,!ledzcego wybrane procesy, mog by" wysyane do czterech rónych odbiorców, zgodnie z rysunkiem poniej. Standardowo wszystkie komunikaty wy!wietlane s na terminalu konsoli. Dodatkowo mona skonfigurowa" wy!wietlanie komunikatów w sesjach telnetowych (poczenia VTY) oraz wysyanie komunikatów do zewntrznego serwera usugi syslog. Czwart opcj jest zapisywanie komunikatów w wewntrznym buforze routera. Dla kadego z wymienionych czterech przypadków mona niezalenie skonfigurowa" poziom szczegóowo!ci raportowanych zdarzeh (p. tabela). Standardowo dla linii konsoli oraz linii terminali wirtualnych wczony jest najbardziej szczegóowy poziom raportowania (debugging) oznaczajcy monitorowanie wszystkich zdarzeh, dla usugi syslog wczony jest poziom komunikatów informacyjnych (informational), natomiast buforowanie komunikatów w pamici jest wyczone. Poziom 7 (debugging), oprócz tego, e oznacza zbieranie wszystkich komunikatów opisujcych prac routera, jest równie wymagany dla poprawnego raportowania zdarzeh zwizanych z dziaaniem polecenia debug. Podstawow komend konfiguracyjn suc do okre!lania miejsc, w których bd zbierane komunikaty oraz definiowania poziomów szczegóowo!ci jest globalne polecenie konfiguracyjne logging. W poniszej sekwencji poleceh wyczono rapor-

20 towanie na linii konsoli, wczono wysyanie komunikatów na linie VTY (na poziomie 6), zdefiniowano maksymalny poziom szczegóowo!ci (7) komunikatów wysyanych do zewntrznej usugi syslog pracujcej pod adresem oraz ustalono, e zdarzenia bd monitorowane w wewntrznym buforze (8192 bajty) routera: 19 Router(config)#no logging console Router(config)#logging monitor informational Router(config)#logging Router(config)#logging trap debugging Router(config)#logging buffered 8192 Polecenie logging trap pozwala ustali" poziom raportowania dla komunikatów wysyanych do usugi syslog. Najcz!ciej jest to usuga uruchamiana na hostach systemu Unix, a zbierane zdarzenia zapisywane bd w pliku tekstowym. Poleceniem logging monitor wcza si wysyanie komunikatów na linie terminali wirtualnych VTY, ale nie jest to równoznaczne z odbieraniem ich w sesjach protokou Telnet. Po ustanowieniu poczenia na jednej z piciu linii terminali wirtualnych, wymagane jest dodatkowo wykonanie polecenia terminal monitor, które spowoduje wy!wietlanie komunikatów w tej konkretnej sesji telnetowej. Polecajc zbieranie komunikatów do wewntrznego bufora na routerze, pamita" naley o tym, i jest on tworzony w pamici RAM, tak wic wszystkie zgromadzone w nim komunikaty zostan utracone po kadym ponownym uruchomieniu routera. To rozwizanie, cho" wygodne - komunikaty z bufora mona w dowolnej chwili wy!wietli" na ekranie konsoli - nie nadaje si do archiwizowania zdarzeh. Do tego celu naley wykorzysta" zewntrzn usug syslog. Domy!lny rozmiar bufora komunikatów wynosi 4096 bajtów, a zawarte w nim komunikaty oraz aktualn konfiguracj raportowania wy!wietli" mona poleceniem show logging. Poniej prezentujemy wynik tego polecenia dla przykadowej konfiguracji routera, w której wczono buforowanie komunikatów. Zwró"my uwag na wy!wietlany czas monitorowanych zdarzeh: Router#show logging Syslog logging: enabled (0 messages dropped,0 flushes, 0 overruns) Console logging: level debugging, 25 messages logged Monitor logging: level debugging, 5 messages logged Logging to: vty66(5) Trap logging: level informational, 29 message lines logged Buffer logging: level debugging, 25 messages logged Log Buffer (4096 bytes): 02:34:23: %SYS-5-CONFIG_I: Configured from console by console 02:35:22: %LINK-3-UPDOWN: Interface Ethernet0/1, changed state to up 02:35:24: %LINK-5-CHANGED: Interface Ethernet0/1, changed state to administratively down