18 April 2014

Заметки по Cisco CCNA (часть 1)

Доброго времени суток!
В этом посте я структурировал заметки, созданные вместе со слушателями на курсах в процессе повторения пройденного материала. Изначально все это делалось в блокноте. В посте нет детальных описаний и т.д. Добавил немного графиков и оформил по порядку. В общем, рассматривайте информацию, как краткие шпаргалки, которые можно почитать вечером перед сдачей экзамена, чтобы быстро все освежить в памяти. Если будет интересно, то можно выложить ICND2, да и много чего еще есть в таком же духе.


Сетевой уровень: IP

  • Длина адреса 32-bit
  • Для записи используется нотация Dotted-Decimal. Бьем на октеты по 8 бит, записываем в десятичном виде, отделяем точкой: 10.1.1.1
Классы адресов и правило первого октета:
КЛАССДИАПАЗОН АДРЕСОВ (ПЕРВЫЙ ОКТЕТ)ДЛИНА СЕТЕВОЙ/ХОСТОВОЙ ЧАСТИПРАВИЛО ПЕРВОГО ОКТЕТА
A1-1278.240xxxxxxx
B128-19116.1610xxxxxx
C192-22324.8110xxxxx
D224-239Multicast1110xxxx
E240-255Экспериментальный1111xxxx
Проблема нехватки IP адресов и ее решения:
1. Private / Public адреса
a. A 10.x.x.x
b. B 172.16.x.x — 172.31.x.x
c. C 192.168.x.x
2. Subnet Mask / VLSM / CIDR
3. NAT
4. IPv6

Транспортный уровень: UDP/TCP

ПРОТОКОЛХАРАКТЕРИСТИКИ
TCPНадежный (Reliable)Формирует предварительно соединение (Connection-oriented)
UDPНенадежный (Best-Effort)Соединение не формируется (Connectionless)
Процесс формирования соединения TCP (3-Way Handshake):
image
TCP-Window:
  • Возможность отправить N-сегментов данных и получить единственный ACK.
  • Fixed (размер окна фиксирован) & Scaling (размен меняется в течение сессии) Window.

Работа с Cisco IOS

Процесс загрузки:
  1. BIOS > POST
  2. BIOS > Bootstrap
  3. Bootstrap > IOS
  4. IOS > Startup-config
Способы конфигурирования:
1. CLI
a. Console
b. AUX (Routers)
c. VTY (Telnet/ssh)
2. GUI
a. Web Server (жуть)
b. SDM
3. SNMP
Конфигурационные режимы:
НАЗВАНИЕОПИСАНИЕПРИГЛАШЕНИЕВГЛУБЬВВЕРХ
USER EXECПользовательский режим. Прав почти нет.>enableexit
logout
PRI EXECПривилегированный режим. Права администратора. Логирование, дебаг. Переход в конфигурационные режимы.#configure
terminal
Exit
Logout
Disable
GLOBAL
CONFIG
Режим глобального конфигурирования. Настраиваются параметры, влияющие на устройство в целом.(config) #Interface …
Vlan …
Router …
Controller …
Exit
CTRL-Z (сразу в PRI EXEC)
SUB
CONFIG
Настраиваем интерфейсы, вланы, протоколы маршрутизации и т.д.(config-if)#
(config-line)#
И д.р.
Exit
CTRL-Z (сразу в PRI EXEC)
Получение справки:
  • ? — все команды режима
  • ab? — команды, начинающиеся на ab
  • command? — аргументы команды command

Базовая настройка коммутатора

!
! Задаем имя устройства и название домена. FQDN требуется для настройки SSH.
!
hostname SW1
ip domain-name CISCO.LOCAL
!
! Создаем виртуальный L3 интерфейс. Закидываем его в 1-ый vlan. Назначаем IP. 
! Включаем.
! Чтобы интерфейс поднялся, требуется хотя бы 1 активный интерфейс в указанном Vlan.
!
interface vlan 1
 ip address 1.1.1.1 255.0.0.0
 no shutdown
!
! Default Gateway в глобальном режиме. Для администрирования коммутатора из других 
! сетей.
!
ip default-gateway 1.1.1.254
!

Базовый Security

!
! Защита подключений (USER EXEC).
!
! Защита подключений к консольному порту
!
line console 0
 login     -- включение аутентификации по паролю
 password PASSWORD   -- пароль для аутентификации
!
! Защита подключений по сети. Виртуальные терминалы (vty).
! Настраиваем и разрешаем только протокол SSH.
!
! Создание пользователей
!
username ROOT secret CISCO
username ADMIN secret OCSIC
!
! Включение SSH и генерация ключей
!
crypto key genereate rsa
!
! Настройка vty портов
!
line vty 0 15
 login local                    -- аутентификация по базе пользователей и паролей
 transport input ssh    -- разрешаем только подключения по SSH
!
! Защита перехода в привилегированный режим
!
enable password OCSIC      -- пароль хранится в открытом виде
enable secret CISCO             -- пароль хранится в виде хэша
!
! Шифруем пароли, хранимые в открытом виде
!
service password-encryption
!
! Создание баннера
!
banner motd @
------------------------------------------------------
Unauthorized access is blah-blah-blah
---------------------------------------------------- @
!
! Безопасность портов (Port-Security)
!
interface fa0/1
 switchport mode access
! Определяем безопасные (легальные) адреса:
! -- максимальное количество легальных адресов
 switchport port-security maximum 10 
! -- статическое указание легального адреса
 switchport port-security mac-address 0001.0002.0003  
! -- динамическое определение легальных адресов и их запись в running-config
 switchport port-security mac-address sticky 
 switchport port-security violation shutdown -- в случае нарушения, выключить порт
 switchport port-security      -- включение port-security на интерфейсе
Проверка:
show running-config    -- текущий файл конфигурации
show startup-config     -- загрузочный файл конфигурации

show int                          -- информация по интерфейсам
show int vlan 1
show int fa0/1
show ip int brie

show port-security       -- проверка безопасности портов 
show port-security int fa0/1
show port-security address

show version                -- информация об устройстве
Сохранение файла конфигурации:
copy running-config startup-config

Маршрутизация

Metric – выбор маршрута внутри протокола.
Administrative distance (AD) – выбор маршрута между протоколами. От 0 до 255. Меньше = лучше.
ПротоколМетрикаAD
Connected-0
Static-1
EIGRPMetric = 256*(BW+Delay)90
OSPFCost = 100/BW Mbps110
RIPHop Count120
Классы протоколов:
  • Distance Vector (RIP, IGRP, EIGRP)
  • Link-State (OSPF, IS-IS)

Маскирование

Пример 1:
192.168.2.0/24
11000000.10101000.00000010. 00000000 192.168.2.0 /24 network
11111111.11111111.11111111. 00000000 255.255.255.0 mask
11000000.10101000.00000010. 00000001 192.168.2.1 1 host
11000000.10101000.00000010. 11111110 192.168.2.254 Last host
11000000.10101000.00000010. 11111111 192.168.2.255 Broadcast
Пример 2:
Данный диапазон 195.1.1.0 /24 разделить на посети:
  • 2 сети по 30 хостов
  • 4 сети по 6 хостов
  • 2 транспортных сети
1. 30 hosts  2^n-2 >=30 n=5
                           ---------
11000011.00000001.00000001.000 00000 195.1.1.0 /27   Subnet Zero
11111111.11111111.11111111.111 00000  255.255.255.224
11000011.00000001.00000001.000 00001 195.1.1.1 /27   1 host
11000011.00000001.00000001.000 11110 195.1.1.30 /27  last host
11000011.00000001.00000001.000 11111 195.1.1.31 /27  broadcast

11000011.00000001.00000001.001 00000 195.1.1.32 /27  Вторая сеть
11000011.00000001.00000001.001 00001 195.1.1.33 /27
11000011.00000001.00000001.001 11110 195.1.1.62 /27
11000011.00000001.00000001.001 11111 195.1.1.63 /27

11000011.00000001.00000001.010 00000 195.1.1.64 /27  Третья …
11000011.00000001.00000001.010 00001 195.1.1.65 /27
11000011.00000001.00000001.010 11110 195.1.1.94 /27
11000011.00000001.00000001.010 11111 195.1.1.95 /27

11000011.00000001.00000001.011 00000 195.1.1.96 /27
11000011.00000001.00000001.011 00001 195.1.1.97 /27
11000011.00000001.00000001.011 11110 195.1.1.126 /27
11000011.00000001.00000001.011 11111 195.1.1.127 /27

...

11000011.00000001.00000001.111 00000 195.1.1.224 /27
11000011.00000001.00000001.111 00001 195.1.1.225 /27
11000011.00000001.00000001.111 11110 195.1.1.254 /27
11000011.00000001.00000001.111 11111 195.1.1.255 /27

2. 6 hosts  2^n-2 >=6 n=3

11000011.00000001.00000001.010 00 000 195.1.1.64 /29
11111111.11111111.11111111.111 11 000 255.255.255.248
11000011.00000001.00000001.010 00 001 195.1.1.65 /29
11000011.00000001.00000001.010 00 110 195.1.1.70 /29
11000011.00000001.00000001.010 00 111 195.1.1.71 /29

11000011.00000001.00000001.010 01 000 195.1.1.72 /29
11000011.00000001.00000001.010 01 001 195.1.1.73 /29
11000011.00000001.00000001.010 01 110 195.1.1.78 /29
11000011.00000001.00000001.010 01 111 195.1.1.79 /29

11000011.00000001.00000001.010 10 000 195.1.1.80 /29
11000011.00000001.00000001.010 10 001 195.1.1.81 /29
11000011.00000001.00000001.010 10 110 195.1.1.86 /29
11000011.00000001.00000001.010 10 111 195.1.1.87 /29

11000011.00000001.00000001.010 11 000 195.1.1.88 /29
11000011.00000001.00000001.010 11 001 195.1.1.89 /29
11000011.00000001.00000001.010 11 110 195.1.1.94 /29
11000011.00000001.00000001.010 11 111 195.1.1.95 /29

3. 2 hosts n=2

11000011.00000001.00000001.010 10 0 00 195.1.1.80 /30
11111111.11111111.11111111.111 11 1 00  255.255.255.252
11000011.00000001.00000001.010 10 0 01 195.1.1.81 /30
11000011.00000001.00000001.010 10 0 10 195.1.1.82 /30
11000011.00000001.00000001.010 10 0 01 195.1.1.83 /30

11000011.00000001.00000001.010 10 1 00 195.1.1.84 /30
11000011.00000001.00000001.010 10 1 01 195.1.1.85 /30
11000011.00000001.00000001.010 10 1 10 195.1.1.86 /30
11000011.00000001.00000001.010 10 1 11 195.1.1.87 /30
Терминология:
195.1.1.0 /24   Network (Маска = класс)
195.1.0.0 /16   Summary (Маска < Класс)
195.1.1.0 /30   Subnet (Маска > Класс)
195.1.1.1 /32   Host (Маска = 32)
0.0.0.0 /0   Default Route

Использование роутера в качестве DHCP-сервера

image
Настройка RTR-DHCP:
! Исключающий диапазон (адреса роутеров)
!
ip dhcp excluded-address 1.1.1.1 
ip dhcp excluded-address 2.1.1.2 2.1.1.20
!
! Создание пула адресов для сети 1.1.1.0 (подключенная)
!
ip dhcp pool NET1
 network 1.1.1.0 255.255.255.0   -- пул адресов
 default-router 1.1.1.1    -- шлюз по умолчанию
 dns-server 1.1.1.1 8.8.8.8   -- DNS сервера
!
!
! Создание пула адресов для сети 2.2.2.0 (удаленная, через relay)
!
ip dhcp pool NET2
 network 2.2.2.0 255.255.255.0   -- пул адресов
 default-router 2.2.2.1    -- шлюз по умолчанию
 dns-server 1.1.1.1 8.8.8.8.   -- DNS сервер

Проверка:
Sh ip dhcp bindings
Sh ip dhcp conflicts
Sh ip dhcp s
Настройка RTR-RELAY:
! Проброс широковещательных пакетов на указанный адрес

int fa0/1
 ip address 2.2.2.1 255.255.255.0  -- интерфейс в удаленной сети 2.2.2.0 
 ip helper-address 1.1.1.1    -- куда пробрасывать (адрес DHCP)
!
! Пробрасываем только UDP67 бродкасты
Ip forward-protocol udp 67

Удаленный доступ (telnet / ssh)

Команды клиентаОписание
1.1.1.1
HOSTNAME
telnet 1.1.1.1
ssh -l USERNAME 1.1.1.1
Открыть соединение
CTRL+SHIFT+6 – Xвозврат в локальную сессию
show sessionsпросмотр соединений
ENTER-ENTERвозврат в последнюю активную сессию (*)
2
Resume 2
возврат в соединение #2
disconnect 2закрыть соединение #2
Команды сервераОписание
Show usersкто подключен
SendЧат
Clear line vty 1отключить vty 1
Show sshпросмотр ssh соединений

WAN

PPP:
     1. LCP = Link Control Protocol
                a.  Compession
                b.  Error Detection
                c.  Authentication

     2. NCP = Network Control Protocol
                a.  IPCP
                b.  IPV6CP
                c.  CDPCP
Настройка Serial интерфейсов:
show controllers    -- определяем DCE или DTE
!
interface serial 1/0   
 clock rate 64000   -- скорость в bps (на DCE интерфейсе)
 bandwidth 64   -- используется для расчета метрики (kbps)
 encapsulation ppp  -- устанавливаем инкапсуляцию
 ip address 4.4.4.1 255.255.255.252
 no shutdown 
!
Для проверки:
Sh interface s1/0
Sh controllers s1/0

Протокол RIP

Протоколы на 3 уровне:
  • Routing (RIP, OSPF, EIGRP)
  • Routed (IP, IPv6, IPX, AppleTalk)
Протоколы маршрутизации:
  • IGP — Inside AS (RIP, OSPF, EIGRP)
  • EGP — Between AS (BGP)
Классы протоколов маршрутизации:
  • Distance-Vector: RIP, IGRP
  • Advanced Distance-Vector: EIGRP, BGP
  • Link-State: OSPF, IS-IS
Поддержка VLSM/CIDR:
  • Classfull (RIPv1, IGRP)
  • Classless (RIPv2, BGP, OSPF, EIGRP, IS-IS)
Шаги настройки:
  • 1. Включить протокол маршрутизации
  • 2. Выбрать локальные интерфейсы. Выбор интерфейса означает, что:
  • a. Интерфейс отправляет апдейты
  • b. Интерфейс получает апдейты
  • c. Сеть интерфейса будет включена в апдейты
RIP:
RIPv1RIPv2
КлассовыйБесклассовый
UDP520UDP520
Обновления отправляет на 255.255.255.255Обновления отправляет на 224.0.0.9
Поддерживает аутентификацию
Поддерживает ручное суммирование
image
RTR-A
sh ip interface brief -- посмотрели интерфейсы
!
router rip   -- включили RIP
 version 2   -- включили RIPv2
 network 1.0.0.0  -- выбираем локальные интерфейсы. В RIP – классовые сети
 network 2.0.0.0
 no auto-summary  -- отключаем автосуммирование (роутер будет передавать 
!    подсети, вместо адресов классовых сетей)
RTR-B:
router rip   
 version 2   
 network 2.0.0.0
 no auto-summary
Проверка:
show ip protocols
show ip route rip 
show ip rip ?
debug ip rip

Управление

Поиск IOS в процессе загрузки:
  1. NVRAM:config-register
  2. NVRAM:startup-config (команды boot system)
  3. Первый файл IOS из Flash:
  4. Если не нашел, то 3 раза пытается найти IOS на tftp (бродкастом)
  5. ROMMON
Конфигурационный регистр:
• 16 бит
• Каждый бит как-то влияет на процесс загрузки
• За поиск IOS отвечают биты c 0 по 3-ий: 
              o   0x0 ROMMON
              o   0x1 Boot IOS from ROM
              o   0x2-F Standard boot
Просмотр и изменение:
Show version
Config-register 0x2100  -- загрузка в ROMMON (последний 0)

IOS Update
sh flash  -- убедиться в наличии свободного места
dir flash
Если свободного места для копирования нового IOS нет:
#copy flash:ios.old tftp://1.1.1.1  -- Backup старый IOS (на всякий)
! Освобождаем место: 
! Форматирование flash (если не жалко)
#erase flash:      
! Или удаляем отдельные файлы
#del flash:ios.old   
!
#copy tftp://1.1.1.1/newios flash:  -- Копируем новый IOS
! 
#reload      -- Перезугружаемся
Если свободное место есть:
#copy tftp://1.1.1.1/newios flash:  -- Копируем новый IOS
(config)#boot system flash:newios  -- Инструктируем загружаться в новый IOS
#copy running startup    -- Сохраняем конфиг
#reload      -- Перезагружаемся
IOS Recovery:
ROMMON > tftpdnld
Password Recovery:
  • Перезагружаемся (выключаем)
  • Жмем CTRL-Break
  • Попадаем в ROMMON
! В ROMMOM меняем в конфигурационном регистре 6-ой бит (2142). Значение бита – 
! игнорировать загрузочный конфиг
ROMMON>confreg 0x2142  
! Перегружаемся
ROMMON>reset

! Startup-config при загрузке будет проигнорирован. Восстанавливаем его.
#copy startup runn
! Возвращаем конфигурационный регистр
(config)#config-register 0x2102
! Меняем пароль
(config)#enable secret cisco
! Сохраняем конфиг
#copy runn start
Дополнительные команды, связанные с мониторингом и управлением
show tech-support | redirect tftp://1.1.1.1/filename  -- показать все
show processes     -- использование CPU и RAM
show processes cpu history

No comments:

Post a Comment