Доброго времени суток!
В этом посте я структурировал заметки, созданные вместе со слушателями на курсах в процессе повторения пройденного материала. Изначально все это делалось в блокноте. В посте нет детальных описаний и т.д. Добавил немного графиков и оформил по порядку. В общем, рассматривайте информацию, как краткие шпаргалки, которые можно почитать вечером перед сдачей экзамена, чтобы быстро все освежить в памяти. Если будет интересно, то можно выложить ICND2, да и много чего еще есть в таком же духе.
Сетевой уровень: IP
- Длина адреса 32-bit
- Для записи используется нотация Dotted-Decimal. Бьем на октеты по 8 бит, записываем в десятичном виде, отделяем точкой: 10.1.1.1
Классы адресов и правило первого октета:
КЛАСС | ДИАПАЗОН АДРЕСОВ (ПЕРВЫЙ ОКТЕТ) | ДЛИНА СЕТЕВОЙ/ХОСТОВОЙ ЧАСТИ | ПРАВИЛО ПЕРВОГО ОКТЕТА |
---|---|---|---|
A | 1-127 | 8.24 | 0xxxxxxx |
B | 128-191 | 16.16 | 10xxxxxx |
C | 192-223 | 24.8 | 110xxxxx |
D | 224-239 | Multicast | 1110xxxx |
E | 240-255 | Экспериментальный | 1111xxxx |
Проблема нехватки IP адресов и ее решения:
1. Private / Public адреса
a. A 10.x.x.x
b. B 172.16.x.x — 172.31.x.x
c. C 192.168.x.x
2. Subnet Mask / VLSM / CIDR
3. NAT
4. IPv6
a. A 10.x.x.x
b. B 172.16.x.x — 172.31.x.x
c. C 192.168.x.x
2. Subnet Mask / VLSM / CIDR
3. NAT
4. IPv6
Транспортный уровень: UDP/TCP
ПРОТОКОЛ | ХАРАКТЕРИСТИКИ | |
---|---|---|
TCP | Надежный (Reliable) | Формирует предварительно соединение (Connection-oriented) |
UDP | Ненадежный (Best-Effort) | Соединение не формируется (Connectionless) |
Процесс формирования соединения TCP (3-Way Handshake):
TCP-Window:
- Возможность отправить N-сегментов данных и получить единственный ACK.
- Fixed (размер окна фиксирован) & Scaling (размен меняется в течение сессии) Window.
Работа с Cisco IOS
Процесс загрузки:
- BIOS > POST
- BIOS > Bootstrap
- Bootstrap > IOS
- IOS > Startup-config
Способы конфигурирования:
1. CLI
a. Console
b. AUX (Routers)
c. VTY (Telnet/ssh)
2. GUI
a. Web Server (жуть)
b. SDM
3. SNMP
1. CLI
a. Console
b. AUX (Routers)
c. VTY (Telnet/ssh)
2. GUI
a. Web Server (жуть)
b. SDM
3. SNMP
Конфигурационные режимы:
НАЗВАНИЕ | ОПИСАНИЕ | ПРИГЛАШЕНИЕ | ВГЛУБЬ | ВВЕРХ |
---|---|---|---|---|
USER EXEC | Пользовательский режим. Прав почти нет. | > | enable | exit logout |
PRI EXEC | Привилегированный режим. Права администратора. Логирование, дебаг. Переход в конфигурационные режимы. | # | configure terminal | Exit Logout Disable |
GLOBAL CONFIG | Режим глобального конфигурирования. Настраиваются параметры, влияющие на устройство в целом. | (config) # | Interface … Vlan … Router … Controller … | Exit CTRL-Z (сразу в PRI EXEC) |
SUB CONFIG | Настраиваем интерфейсы, вланы, протоколы маршрутизации и т.д. | (config-if)# (config-line)# И д.р. | Exit CTRL-Z (сразу в PRI EXEC) |
Получение справки:
- ? — все команды режима
- ab? — команды, начинающиеся на ab
- command? — аргументы команды command
Базовая настройка коммутатора
! ! Задаем имя устройства и название домена. FQDN требуется для настройки SSH. ! hostname SW1 ip domain-name CISCO.LOCAL ! ! Создаем виртуальный L3 интерфейс. Закидываем его в 1-ый vlan. Назначаем IP. ! Включаем. ! Чтобы интерфейс поднялся, требуется хотя бы 1 активный интерфейс в указанном Vlan. ! interface vlan 1 ip address 1.1.1.1 255.0.0.0 no shutdown ! ! Default Gateway в глобальном режиме. Для администрирования коммутатора из других ! сетей. ! ip default-gateway 1.1.1.254 !
Базовый Security
! ! Защита подключений (USER EXEC). ! ! Защита подключений к консольному порту ! line console 0 login -- включение аутентификации по паролю password PASSWORD -- пароль для аутентификации ! ! Защита подключений по сети. Виртуальные терминалы (vty). ! Настраиваем и разрешаем только протокол SSH. ! ! Создание пользователей ! username ROOT secret CISCO username ADMIN secret OCSIC ! ! Включение SSH и генерация ключей ! crypto key genereate rsa ! ! Настройка vty портов ! line vty 0 15 login local -- аутентификация по базе пользователей и паролей transport input ssh -- разрешаем только подключения по SSH ! ! Защита перехода в привилегированный режим ! enable password OCSIC -- пароль хранится в открытом виде enable secret CISCO -- пароль хранится в виде хэша ! ! Шифруем пароли, хранимые в открытом виде ! service password-encryption ! ! Создание баннера ! banner motd @ ------------------------------------------------------ Unauthorized access is blah-blah-blah ---------------------------------------------------- @ ! ! Безопасность портов (Port-Security) ! interface fa0/1 switchport mode access ! Определяем безопасные (легальные) адреса: ! -- максимальное количество легальных адресов switchport port-security maximum 10 ! -- статическое указание легального адреса switchport port-security mac-address 0001.0002.0003 ! -- динамическое определение легальных адресов и их запись в running-config switchport port-security mac-address sticky switchport port-security violation shutdown -- в случае нарушения, выключить порт switchport port-security -- включение port-security на интерфейсе
Проверка:
show running-config -- текущий файл конфигурации show startup-config -- загрузочный файл конфигурации show int -- информация по интерфейсам show int vlan 1 show int fa0/1 show ip int brie show port-security -- проверка безопасности портов show port-security int fa0/1 show port-security address show version -- информация об устройстве
Сохранение файла конфигурации:
copy running-config startup-config
Маршрутизация
Metric – выбор маршрута внутри протокола.
Administrative distance (AD) – выбор маршрута между протоколами. От 0 до 255. Меньше = лучше.
Протокол | Метрика | AD |
Connected | - | 0 |
Static | - | 1 |
EIGRP | Metric = 256*(BW+Delay) | 90 |
OSPF | Cost = 100/BW Mbps | 110 |
RIP | Hop Count | 120 |
Классы протоколов:
- Distance Vector (RIP, IGRP, EIGRP)
- Link-State (OSPF, IS-IS)
Маскирование
Пример 1:
192.168.2.0/24
11000000.10101000.00000010. 00000000 192.168.2.0 /24 network
11111111.11111111.11111111. 00000000 255.255.255.0 mask
11000000.10101000.00000010. 00000001 192.168.2.1 1 host
11000000.10101000.00000010. 11111110 192.168.2.254 Last host
11000000.10101000.00000010. 11111111 192.168.2.255 Broadcast
Пример 2:
Данный диапазон 195.1.1.0 /24 разделить на посети:
- 2 сети по 30 хостов
- 4 сети по 6 хостов
- 2 транспортных сети
1. 30 hosts 2^n-2 >=30 n=5 --------- 11000011.00000001.00000001.000 00000 195.1.1.0 /27 Subnet Zero 11111111.11111111.11111111.111 00000 255.255.255.224 11000011.00000001.00000001.000 00001 195.1.1.1 /27 1 host 11000011.00000001.00000001.000 11110 195.1.1.30 /27 last host 11000011.00000001.00000001.000 11111 195.1.1.31 /27 broadcast 11000011.00000001.00000001.001 00000 195.1.1.32 /27 Вторая сеть 11000011.00000001.00000001.001 00001 195.1.1.33 /27 11000011.00000001.00000001.001 11110 195.1.1.62 /27 11000011.00000001.00000001.001 11111 195.1.1.63 /27 11000011.00000001.00000001.010 00000 195.1.1.64 /27 Третья … 11000011.00000001.00000001.010 00001 195.1.1.65 /27 11000011.00000001.00000001.010 11110 195.1.1.94 /27 11000011.00000001.00000001.010 11111 195.1.1.95 /27 11000011.00000001.00000001.011 00000 195.1.1.96 /27 11000011.00000001.00000001.011 00001 195.1.1.97 /27 11000011.00000001.00000001.011 11110 195.1.1.126 /27 11000011.00000001.00000001.011 11111 195.1.1.127 /27 ... 11000011.00000001.00000001.111 00000 195.1.1.224 /27 11000011.00000001.00000001.111 00001 195.1.1.225 /27 11000011.00000001.00000001.111 11110 195.1.1.254 /27 11000011.00000001.00000001.111 11111 195.1.1.255 /27 2. 6 hosts 2^n-2 >=6 n=3 11000011.00000001.00000001.010 00 000 195.1.1.64 /29 11111111.11111111.11111111.111 11 000 255.255.255.248 11000011.00000001.00000001.010 00 001 195.1.1.65 /29 11000011.00000001.00000001.010 00 110 195.1.1.70 /29 11000011.00000001.00000001.010 00 111 195.1.1.71 /29 11000011.00000001.00000001.010 01 000 195.1.1.72 /29 11000011.00000001.00000001.010 01 001 195.1.1.73 /29 11000011.00000001.00000001.010 01 110 195.1.1.78 /29 11000011.00000001.00000001.010 01 111 195.1.1.79 /29 11000011.00000001.00000001.010 10 000 195.1.1.80 /29 11000011.00000001.00000001.010 10 001 195.1.1.81 /29 11000011.00000001.00000001.010 10 110 195.1.1.86 /29 11000011.00000001.00000001.010 10 111 195.1.1.87 /29 11000011.00000001.00000001.010 11 000 195.1.1.88 /29 11000011.00000001.00000001.010 11 001 195.1.1.89 /29 11000011.00000001.00000001.010 11 110 195.1.1.94 /29 11000011.00000001.00000001.010 11 111 195.1.1.95 /29 3. 2 hosts n=2 11000011.00000001.00000001.010 10 0 00 195.1.1.80 /30 11111111.11111111.11111111.111 11 1 00 255.255.255.252 11000011.00000001.00000001.010 10 0 01 195.1.1.81 /30 11000011.00000001.00000001.010 10 0 10 195.1.1.82 /30 11000011.00000001.00000001.010 10 0 01 195.1.1.83 /30 11000011.00000001.00000001.010 10 1 00 195.1.1.84 /30 11000011.00000001.00000001.010 10 1 01 195.1.1.85 /30 11000011.00000001.00000001.010 10 1 10 195.1.1.86 /30 11000011.00000001.00000001.010 10 1 11 195.1.1.87 /30
Терминология:
195.1.1.0 /24 Network (Маска = класс) 195.1.0.0 /16 Summary (Маска < Класс) 195.1.1.0 /30 Subnet (Маска > Класс) 195.1.1.1 /32 Host (Маска = 32) 0.0.0.0 /0 Default Route
Использование роутера в качестве DHCP-сервера
Настройка RTR-DHCP:
! Исключающий диапазон (адреса роутеров) ! ip dhcp excluded-address 1.1.1.1 ip dhcp excluded-address 2.1.1.2 2.1.1.20 ! ! Создание пула адресов для сети 1.1.1.0 (подключенная) ! ip dhcp pool NET1 network 1.1.1.0 255.255.255.0 -- пул адресов default-router 1.1.1.1 -- шлюз по умолчанию dns-server 1.1.1.1 8.8.8.8 -- DNS сервера ! ! ! Создание пула адресов для сети 2.2.2.0 (удаленная, через relay) ! ip dhcp pool NET2 network 2.2.2.0 255.255.255.0 -- пул адресов default-router 2.2.2.1 -- шлюз по умолчанию dns-server 1.1.1.1 8.8.8.8. -- DNS сервер Проверка: Sh ip dhcp bindings Sh ip dhcp conflicts Sh ip dhcp s
Настройка RTR-RELAY:
! Проброс широковещательных пакетов на указанный адрес int fa0/1 ip address 2.2.2.1 255.255.255.0 -- интерфейс в удаленной сети 2.2.2.0 ip helper-address 1.1.1.1 -- куда пробрасывать (адрес DHCP) ! ! Пробрасываем только UDP67 бродкасты Ip forward-protocol udp 67
Удаленный доступ (telnet / ssh)
Команды клиента | Описание |
1.1.1.1 HOSTNAME telnet 1.1.1.1 ssh -l USERNAME 1.1.1.1 | Открыть соединение |
CTRL+SHIFT+6 – X | возврат в локальную сессию |
show sessions | просмотр соединений |
ENTER-ENTER | возврат в последнюю активную сессию (*) |
2 Resume 2 | возврат в соединение #2 |
disconnect 2 | закрыть соединение #2 |
Команды сервера | Описание |
Show users | кто подключен |
Send | Чат |
Clear line vty 1 | отключить vty 1 |
Show ssh | просмотр ssh соединений |
WAN
PPP:
1. LCP = Link Control Protocol a. Compession b. Error Detection c. Authentication 2. NCP = Network Control Protocol a. IPCP b. IPV6CP c. CDPCP
Настройка Serial интерфейсов:
show controllers -- определяем DCE или DTE ! interface serial 1/0 clock rate 64000 -- скорость в bps (на DCE интерфейсе) bandwidth 64 -- используется для расчета метрики (kbps) encapsulation ppp -- устанавливаем инкапсуляцию ip address 4.4.4.1 255.255.255.252 no shutdown !
Для проверки:
Sh interface s1/0 Sh controllers s1/0
Протокол RIP
Протоколы на 3 уровне:
- Routing (RIP, OSPF, EIGRP)
- Routed (IP, IPv6, IPX, AppleTalk)
Протоколы маршрутизации:
- IGP — Inside AS (RIP, OSPF, EIGRP)
- EGP — Between AS (BGP)
Классы протоколов маршрутизации:
- Distance-Vector: RIP, IGRP
- Advanced Distance-Vector: EIGRP, BGP
- Link-State: OSPF, IS-IS
Поддержка VLSM/CIDR:
- Classfull (RIPv1, IGRP)
- Classless (RIPv2, BGP, OSPF, EIGRP, IS-IS)
Шаги настройки:
- 1. Включить протокол маршрутизации
- 2. Выбрать локальные интерфейсы. Выбор интерфейса означает, что:
- a. Интерфейс отправляет апдейты
- b. Интерфейс получает апдейты
- c. Сеть интерфейса будет включена в апдейты
RIP:
RIPv1 | RIPv2 |
Классовый | Бесклассовый |
UDP520 | UDP520 |
Обновления отправляет на 255.255.255.255 | Обновления отправляет на 224.0.0.9 |
Поддерживает аутентификацию | |
Поддерживает ручное суммирование |
RTR-A
sh ip interface brief -- посмотрели интерфейсы ! router rip -- включили RIP version 2 -- включили RIPv2 network 1.0.0.0 -- выбираем локальные интерфейсы. В RIP – классовые сети network 2.0.0.0 no auto-summary -- отключаем автосуммирование (роутер будет передавать ! подсети, вместо адресов классовых сетей)
RTR-B:
router rip version 2 network 2.0.0.0 no auto-summary
Проверка:
show ip protocols show ip route rip show ip rip ? debug ip rip
Управление
Поиск IOS в процессе загрузки:
- NVRAM:config-register
- NVRAM:startup-config (команды boot system)
- Первый файл IOS из Flash:
- Если не нашел, то 3 раза пытается найти IOS на tftp (бродкастом)
- ROMMON
Конфигурационный регистр:
• 16 бит • Каждый бит как-то влияет на процесс загрузки • За поиск IOS отвечают биты c 0 по 3-ий: o 0x0 ROMMON o 0x1 Boot IOS from ROM o 0x2-F Standard boot
Просмотр и изменение:
Show version Config-register 0x2100 -- загрузка в ROMMON (последний 0) IOS Update sh flash -- убедиться в наличии свободного места dir flash
Если свободного места для копирования нового IOS нет:
#copy flash:ios.old tftp://1.1.1.1 -- Backup старый IOS (на всякий) ! Освобождаем место: ! Форматирование flash (если не жалко) #erase flash: ! Или удаляем отдельные файлы #del flash:ios.old ! #copy tftp://1.1.1.1/newios flash: -- Копируем новый IOS ! #reload -- Перезугружаемся
Если свободное место есть:
#copy tftp://1.1.1.1/newios flash: -- Копируем новый IOS (config)#boot system flash:newios -- Инструктируем загружаться в новый IOS #copy running startup -- Сохраняем конфиг #reload -- Перезагружаемся
IOS Recovery:
ROMMON > tftpdnld
Password Recovery:
- Перезагружаемся (выключаем)
- Жмем CTRL-Break
- Попадаем в ROMMON
! В ROMMOM меняем в конфигурационном регистре 6-ой бит (2142). Значение бита – ! игнорировать загрузочный конфиг ROMMON>confreg 0x2142 ! Перегружаемся ROMMON>reset ! Startup-config при загрузке будет проигнорирован. Восстанавливаем его. #copy startup runn ! Возвращаем конфигурационный регистр (config)#config-register 0x2102 ! Меняем пароль (config)#enable secret cisco ! Сохраняем конфиг #copy runn start
Дополнительные команды, связанные с мониторингом и управлением
show tech-support | redirect tftp://1.1.1.1/filename -- показать все show processes -- использование CPU и RAM show processes cpu history
No comments:
Post a Comment