Конфигурирование маршрутизаторов Cisco - Аллан Леинванд, Брюс Пински
.pdfпараметром номер списка доступа, и тогда выводится содержание только этого списка. Если параметр не указывается, то выводятся данные обо всех списках доступа. Ниже приведен результат исполнения команды show ipx access-lists на маршрутизаторе компании ZIP SF-1 для рассмотренных ранее примеров создания списков доступа:
SF-l#show ipx access-lists
IPX standard access list 800 permit 10 200
IPX standard access list pass-marketing permit 10 200
Установлен ли на интерфейсе список доступа, показывает команда ОС IOS режима EXEC show ipx interface. В восьмой строке приведенного ниже результата испо нения этой команды на маршрутизаторе SF-1 показано, что стандартный список до тупа протокола IPX наложен на исходящие IPX-пакеты:
SF-2#show ipx interface fddi 0
FddiO is up, line protocol is up
IPX address is 10.0000.OcOc.llbb, SNAP [up]
Delay of this IPX network, in ticks is 1 throughput 0 link delay 0 IPXWAN processing not enabled on this interface.
IPX SAP update interval is 60 seconds
IPX type 20 propagation packet forwarding is disabled Incoming access list is not set
Outgoing access list is 800
IPX helper access list is not set
SAP GNS processing enabled, delay 0 ms, output filter list is not set SAP Input filter list is not set
SAP Output filter list is not set SAP Router filter list is not set Input filter list is not set Output filter list is not set Router filter list is not set
Netbios Input host access list is not set Netbios Input bytes access list is not set Netbios Output host access list is not set Netbios Output bytes access list is not set
Updates each 60 seconds, aging multiples RIP:3 SAP:3
SAP interpacket delay is 55 ms, maximum size is 480 bytes RIP interpacket delay is 55 ms, maximum size is 432 bytes IPX accounting is disabled
IPX fast switching is configured (enabled)
RIP packets received 54353, RIP packets sent 214343 SAP packets received 94554422, SAP packets sent 93492324
Конфигурирование основных служб удаленного доступа по коммутируемым каналам связи протокола
IPX
В этой главе рассматриваются возможности маршрутизации с помощью протокола IPX, реализованные в ОС 1OS компании Cisco. Эта операционная система также позволяет осуществлять удаленный доступ IPX-клиентов во многом с теми же функциями, которые описывались в разделах предыдущих глав, посвященных удаленному доступу по коммутируемым каналам связи в рамках протоколов IP и AppleTalk. Функция удаленного доступа в протоколе IPX дает пользователям возможность получать у< ОС NetWare даже тогда, когда они физически не подключены к выделенным каналам сегмента локальной сети.
ОС IOS позволяет осуществлять удаленный доступ по асинхронным коммутируемым каналам связи и по ISDN-каналам. В этой главе рассматриваются специфические для протокола IPX команды, обычно используемые для IPX-клиентов, работающих с асинхронными коммутируемыми каналами. IPX-доступ по каналам ISDN обычно
241
используется при маршрутизации между маршрутизаторами с установкой соединения по требованию — тема, которая выходит за рамки настоящей книги.
Как было сказано раньше, настройка удаленного доступа состоит из установки конфигурации асинхронной линии, при которой активируются ААА-службы для пользователей, и конфигурирования опций, специфических для протокола. Конфигурирование асинхронной линии для протокола IPX выполняется точно так же, как для протокола IP, что рассматривалось в главе 4. IPX-клиенты используют в качестве протокола канального уровня протокол РРР, делая конфигурирование ААА-служб абсолютно идентичным их конфигурированию для ранее рассмотренных сетевых протоколов. Дальнейшее обсуждение этого вопроса проводится в главе 7.
Первым шагом в добавлении специфических для протокола IPX опций, связанных с доступом по асинхронным коммутируемым каналам связи, является присвоение IPX-адреса интерфейсу Loopback 0, для чего используется субкоманда конфигурирования интерфейса ОС IOS ipx network (рассмотренная выше). Этот адрес становится номером IPX-сети, который будут использовать удаленные IPX-клиенты. Затем с помощью субкоманды конфигурирования интерфейса ОС IOS ipx ppp-client loopback групповому асинхронному интерфейсу назначается IPX-номер сети интер- фейса Loopback 0. Конфигурирование сервера доступа sing2511 сети компании ZIP выглядит так:
Sing2511#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CTRL+Z.
Sing2511(config)#interface loopback 0
Sing2511(config-if)#ipx network 2500
Sing2511(config-if)#interface group-asyncl
Sing2511(config-if)#ipx ppp-client loopback 0
Sing2511(config-if)#^Z
Удаленным IPX-клиентам нет необходимости получать информацию протоколов IPX RIP и SAP. Чтобы исключить отправку на асинхронные интерфейсы пакетов актуализации маршрутной информации с нормальной периодичностью в 60 секунд, можно воспользоваться субкомандой конфигурирования интерфейса ipx update interval. Эта команда требует в качестве параметра слово sap или rip и значение в секундах частоты отправки соответствующих пакетов актуализации на интерфейс. В примере ниже сервер доступа Sing2511 конфигурируется на отправку пакетов актуализации от протоколов IPX RIP и SAP каждые 10 часов (36 000 секунд). При установке командой ipx update interval такого высокого значения интервала предполагается, что IPX- клиент не будет оставаться подключенным в течение 10 часов.
Sing2511#configure
Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CTRL+Z. Sing2511(config)#interface group-asyncl Sing2511(config-if)#ipx update interval sap 36000 Sing2511(config-if)#ipx update interval rip 36000 Sing2511(config-if)#AZ
Верификация взаимодействия в сети с протоколом IPX и устранение неполадок
Полезным инструментом для идентификации проблем взаимодействия в IPX-o является эхо- тестирование с помощью специальных IPX-пакетов, или пингов. При работе с протоколом IPX используются два различных типа пингов. Первый — эхо-пакеты Cisco (специальная разработка компании Cisco); на такие эхо-пакеты отвечают только устройства, работающие под управлением ОС IOS. Второй — стандартные эхо-пакеты разработки компании Novell, которые поддерживаются устройств; работающими под ОС IOS, и NetWare-серверами, на которых исполняется протокол
242
NLSP, отвечающий спецификации версии 1.0 или более поздней.
Использующее ОС IOS устройство, находясь в непривилегированном ре» EXEC, может посылать эхо-пакеты Cisco, для чего необходимо воспользоваться командой ОС IOS режима EXEC ping ipx. По этой команде посылаются пять байтных эхо-пакетов Cisco в формате протокола IPX по заданному IPX-адресу, это показано в примере ниже для маршрутизатора SF- Core-1:
SF-Core-l#ping ipx 10.0000.ОсОс.23се Type escape sequence to abort.
Sending 5, 100-byte IPX cisco Echoes to 10.0000.OcOc.23ce,timeout is 2 seconds:
! ! ! ! !
Success rate is 100 percent (5/5), round-trip min/avg/max =1/1/4 ms
Из этого примера видно, что было отослано пять IPX-эхо-пакетов Cisco и пол но пять откликов от проверяемого адреса. В табл. 6.2 показаны значения символов, выводимых маршрутизатором для каждого посланного IРХ-пинга.
Таблица 6.2. Символы, выводимые в ответ на команду ipx ping
!Получен ответ от исследуемого адреса
. Сетевой сервер превысил временной предел, ожидая ответ от исследуемого адреса U Получено сообщение об ошибке недостижимости IPX-пункта назначения
С Принят пакет с сообщением о перегрузке в IPX-сети I Пользователь вручную прервал тест
? Принят IPX-пакет неизвестного типа
&Превышено время жизни IPX-пакета
Команда ОС IOS ping в привилегированном режиме EXEC может использовать для отправки либо эхо-пакетов Cisco, либо стандартных эхо-пакетов компании N> Команда ping в привилегированном режиме также позволяет задавать множество характеристик посылаемых эхо- пакетов, включая количество повторений, размер пакетов и временной предел ожидания эхо-ответа. В примере ниже маршрута: компании ZIP SF-Core-1 отправляет IPX-пинг с помощью команды ping в привилегированном режиме:
SF-Core-l#ping Protocol [ip]:ipx
Target IPX address:10.0000.OcOc.23ce Repeat count [5]:
Datagram size [100]: Timeout in seconds [2]: Verbose [n]:
Novell Standard Echo [n]: Type escape sequence to abort.
Sending 5 100-byte IPX echoes to 10.0000.OcOc.23ce,timeout is 2 seconds.
! ! ! ! !
Success rate is 100 percent (5/5)
Общую статистику работы протокола IPX на маршрутизаторе компании Cisco можно получить, воспользовавшись командой show ipx traffic. В ее состав входят счетчики таких данных, как общее количество посланных и принятых маршрутизатором пакетов, количество принятых и отосланных широковещательных пакетов, статистика протоколов SAP, IPX RIP, EIGRP и NLSP, а также информация о том, посылал или принимал маршрутизатор IPX-эхо- пакеты. Кумулятивные счетчики команды show ipx traffic обнуляются только при перезагрузке маршрутизатора или выключении-включении питания. Ниже показан пример результата исполнения команды show ipx traffic на маршрутизаторе компании ZIP SF-Core-1:
SF-Core-l#show ipx traffic
System Traffic for 0.0000.0000.0001 System-Name:zipnet
243
Rcvd: 603143 total, 94947 format errors, 0 checksum errors, 0 bad hop count,
0 packets pitched, 401 local destination, 0 multicast Beast: 406 received, 6352 sent
Sent: 6355 generated, 0 forwarded
0 encapsulation failed, 19 no route SAP: 368 SAP requests, 0 SAP replies, 2 servers
0 SAP Nearest Name requests, 0 replies
0 SAP General Name requests, 0 replies
27 SAP advertisements received, 138 sent
20 SAP flash updates sent, 0 SAP format errors RIP: 6 RIP requests, 0 RIP replies, 5 routes
5629 RIP advertisements received, 6139 sent
0 RIP flash updates sent, 0 RIP format errors Echo: Rcvd 0 requests, 0 replies
Sent 0 requests, 0 replies
0 unknown: 0 no socket, 0 filtered, 0 no helper 0 SAPs throttled, freed NDB len 0
Watchdog:
0 packets received, 0 replies spoofed Queue lengths:
IPX input: 0, SAP 0, RIP 0, GNS 0
SAP throttling length: 0/(no limit), 0 nets pending lost route reply Delayed process creation: 0
EIGRP: Total received 0, sent 0 Updates received 0, sent 0 Queries received 0, sent 0 Replies received 0, sent 0
SAPs received 0, sent 0
NLSP: Level-1 Helios received 0, sent 0
В дополнение к командам верификации, поиска и устранения неисправное представленным в настоящем разделе, в привилегированном режиме EXEC ОС существует множество отладочных команд debug, призванных оценить работоспособность протокола IPX на маршрутизаторе. Эти команды debug обеспечивают получение как общей, так и подробной диагностической информации, которая может мочь при устранении неполадок и проверке работы маршрутизатора, протоколов маршрутизации и других функций. Самые распространенные команды debug, используемые для протокола IPX, сведены в табл 6.3.
Таблица 6.3. Команды debug для протокола IPX
Команда |
Описание |
debug ipx eigrp |
Выводит содержание пакетов протокола IPX EIGRP, посылаемых и |
|
получаемых маршрутизатором |
debug ipx nlsp |
Показывает деятельность протокола NLSP, исполняемого на маршрутизаторе |
debug ipx packet |
Выводит данные об IPX-адресах отправителей и получателей паке |
|
маршрутизируемых маршрутизатором |
debug ipx routing |
Показывает изменения в таблице IPX-маршрутизации, явившиеся |
|
результатом добавлений и удалений маршрутов |
debug ipx sap |
Выводит информацию об объявлениях протокола SAP, отправлен и принятых |
|
маршрутизатором |
Конфигурирование переадресации IPXпакетов типа 20
Многие приложения в среде ОС NetWare используют сетевую базовую сие ввода/вывода (NetBIOS), чтобы запрашивать службы IPX-серверов. Эти услуги в чают начало и окончание сеанса и передачу информации.
На NetWare-клиенте NetBIOS-приложение, используя протокол IPX, осуществляет
244
широковещательную рассылку пакетов типа 20 во все IPX-сети, пытаясь получить информацию об именованных узлах в сети. Система NetBIOS воспринимает именованные узлы в качестве ресурсов сети. Таким образом, чтобы общаться такими ресурсами, NetWare- клиенты должны отображать эти именованные узлы на IPX-адреса.
Для отображения именованных узлов на IPX-адреса система NetBIOS использует механизм протокола IPX. Однако, как было доказано в этой книге, маршрутизаторы компании Cisco no умолчанию блокируют все широковещательные пакеты сетевого уровня, включая и IPX-пакеты рассылки типа 20. Если маршрутизатор не переадресовывает пакеты рассылки типа 20, а NetWare-клиенту, исполняющему приложение которое использует NetBIOS, необходимо пройти маршрутизатор, чтобы получит! формацию об именованном узле в сети, то такой клиент не имеет возможности связаться с сервером.
Интерфейсная субкоманда ОС IOS ipx type-20-propagation дает маршрутизатору инструкцию на прием и переадресацию пакетов рассылки типа 20 на другие IPX-интерфейсы, у которых тоже входит в конфигурацию эта субкоманда. Более того, ОС IOS пытается переадресовывать IPX-пакеты рассылки типа 20 интеллектуальным образом: она не размещает эти пакеты на интерфейсах, которые стоят на пути маршрута к интерфейсу исходного отправителя.
Вместо переадресации IPX-пакетов рассылки типа 20 в несколько сегментов сети можно переадресовывать эти пакеты на конкретный сетевой IPX-адрес, тем самым потенциально снижая количество широковещательных пакетов, посылаемых по IPX-сети. Переадресацию IPX-пакетов рассылки типа 20 на конкретный IPX-адрес разрешает команда глобального конфигурирования ОС IOS ipx type-20-helpered. Интерфейсная субкоманда ОС IOS ipx helper-address задает тот конкретный IPX-адрес, на который следует переадресовывать пакеты типа 20. Команды ipx type- 20-helpered и ipx type-20-propagation являются взаимоисключающими. ОС IOS должна либо переадресовывать пакеты рассылки типа 20 другим аналогично сконфигурированным интерфейсам, либо переадресовывать их на IPX-адрес.
В примере конфигурации ниже все IPX-пакеты типа 20 на маршрутизаторе сети компании ZIP в Сингапуре переадресовываются через интерфейс Ethernet 0 на конкретный IPX-сервер в Сан-
Франциско с IPX-адресом аа.0005. 0112.0474:
Singapore#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CTRL+Z.
Singapore(config)#ipx type-20-helpered
Singapore(config)#interface ethernet 0
Singapore(config-if)#ipx helper-address aa.0005.0112.0474
Singapore(config-if)#^Z
Резюме
В данной главе рассмотрены главные моменты, связанные с работой группы протоколов, входящих в состав протокола IPX, основные команды для поднятия IPX-сети, а также некоторые дополнительные команды, часто применяемые в крупных IPX-сетях. Конечно, эта глава не превратит читателя в эксперта по IPX-сетям, но она поднимет его уровень и сделает дееспособным. Основные концептуальные положения этой главы выглядят следующим образом.
•IPX-адрес имеет форму сеть.узел, где сеть — это 32-разрядный номер, назначаемый сегменту локальной или глобальной сети, а узел — 48-разрядный но мер, назначаемый клиенту или серверу. Сетевая часть адреса назначается администратором сети. Узловая часть часто совпадает с 48-разрядным адресом устройства на канальном уровне.
•Для того чтобы NetWare-клиенты, NetWare-серверы и маршрутизаторы компании Cisco нормально общались в рамках сегмента локальной IPX-сети, все они должны работать с одним и тем же методом IPX-инкапсуляции. Наиболее часто выбор метода инкапсуляции диктуется используемой версией ОС NetWare.
245
•Как и IP-маршрутизация, IPX-маршрутизация может конфигурироваться вручную или с помощью протоколов динамической маршрутизации. Для протокола IPX таковыми являются протоколы RIP, NLSP и EIGRP. Работа протокола RIP разрешается на всех IPX-
интерфейсах по умолчанию сразу после применения команды глобального конфигурирования ipx routing.
•SAP представляет собой протокол динамических услуг, который объявляет услуги, имеющиеся в IPX-сети. Он конфигурируется по умолчанию на сконфигурированных под работу с протоколом IPX интерфейсах. Для ограничения трафика посылаемых и принимаемых маршрутизатором пакетов протокола SAP могут быть использованы SAP- фильтры.
•Чтобы позволить маршрутизаторам компании Cisco принимать и отсылать широковещательные пакеты системы NetBIOS, необходимо воспользоваться командой ipx type-20-propagation или ipx type-20-helpered.
•Для проверки конфигураций и устранения неполадок в IPX-сети используются команды show, debug и ping. Кроме команд, приведенных в табл. 6.4, с соответствующих команд еще можно найти в табл. 6.5.
Таблица 6.4. Сводная таблица команд режима EXEC для конфигурирования протокола
IPX
Команда |
|
Описание |
|
clear ipx rout e |
|
Очищает всю таблицу IPX-маршрутизации или, если он задан, конкретный |
|
|
|
маршрут |
|
ping сеть. узел |
|
Проверяет указанный IPX-адрес на предмет его достижимости и |
|
|
|
способности отвечать |
|
ping ipx сеть.узел |
|
В привилегированном режиме используется для отправки либо эхо-пакетов |
|
|
|
Cisco, либо стандартных эхо-пакетов компании Novell по указанному IPX- |
|
|
|
адресу для проверки его достижимости и способности отвечать |
|
show ipx access-list |
|
Показывает все списки доступа протокола IPX, которые даны на |
|
|
|
маршрутизаторе |
|
show ipx interface brief |
|
Показывает краткую сводную информацию об IPX-сети и статусе всех |
|
|
|
имеющихся на устройстве интерфейсов |
|
show ipx interface |
|
Показывает все параметры, связанные с конфигурацией протокола IPX на |
|
интерфейс |
|
интерфейс |
|
show ipx route |
|
Выводит таблицу IPX-маршрутизации маршрутизатора |
|
show ipx route |
|
Показывает маршрутную информацию для заданного IPX-маршрута |
|
сеть, узел |
|
|
|
show ipx servers |
|
Показывает список всех известных на текущий момент IPX-серверов |
|
show i px traffi c |
|
Выводит общие статистические данные о работе протокола IPX на |
|
|
|
маршрутизаторе |
|
Таблица 6.5. Сводная таблица команд конфигурирования для IPX-сетей |
|||
Команда |
|
Описание |
|
access-list |
|
Создает нумерованный список доступа и связанные с ним критерии |
|
|
|
|
фильтрации |
area-address адрес маска |
|
Задает префикс адреса области и маску для протокола NLSP |
|
dialer map ipx |
|
Статически отображает IPX-адрес на имена систем и телефонные |
|
|
|
|
номера для ISDN-вызовов |
frame-relay map ipx |
|
Отображает IPX-адрес на DLCI-идентификатор протокола Frame |
|
|
|
|
Relay |
ipx access-group список |
|
Накладывает указанный список доступа на задачу фильтрации |
|
[in | out] |
|
входящих или исходящих пакетов на интерфейсе |
|
ipx access-list {extended I Назначает именованный список доступа протокола IPX и связанные с |
|
sap I standard} имя |
ним критерии фильтрации |
246
ipx gns-round-robin |
Оговаривает использование метода циклического отбора по списку |
|
при выборе подходящих серверов из нескольких, когда |
|
маршрутизатор отвечает на GNS-запросы |
ipx input-sap-filter список |
Интерфейсная субкоманда, инструктирующая маршрутизатор |
|
фильтровать входящие SAP-пакеты на основе критериев конкретного |
|
списка доступа |
ipx internal-network сеть |
Задает внутренний номер сети на маршрутизаторе для протокола |
|
NLSP |
ipx maximum paths коли- |
Конфигурирует маршрутизатор на разрешение содержать в таблице |
чество |
IPX-маршрутизации заданное количество путей равной стоимости |
ipx network сеть |
Задает IPX-сеть для этого интерфейса Как вариант, задает метод |
[encapsulation | |
инкапсуляции (например, snap и агра), используемый на данном |
secondary] |
интерфейсе, и определяет, является сеть для данного интерфейса |
|
первичной или вторичной |
ipx output-gns-filter |
Интерфейсная субкоманда, инструктирующая маршрутизатор |
список |
фильтровать исходящие из маршрутизатора GNS-пакеты на основе |
|
критериев заданного списка доступа |
ipx output-sap-filter |
Интерфейсная субкоманда, инструктирующая маршрутизатор |
список |
фильтровать исходящие из маршрутизатора SAP-пакеты на основе |
|
критериев заданного списка доступа |
ipx ppp-client loopback |
Интерфейсная субкоманда, которая назначает IPX-номер интерфейсу |
|
обратной петли для использования IPX РРР-клиентами |
ipx route |
Конфигурирует статический IPX-маршрут |
ipx router eigrp |
Разрешает использовать протокол EIGRP в качестве процесса |
автономная система |
маршрутизации протокола IPX |
ipx router nlsp тэг |
Разрешает использовать заданный процесс протокола NLSP в |
|
качестве процесса маршрутизации протокола 1Р> |
ipx router-sap-filter |
Накладывает фильтр на все объявления протокола SAP на основе |
|
критериев заданного списка доступа |
ipx routing |
Разрешает IPX-маршрутизацию на маршрутизаторе |
ipx sap |
Задает записи в статической SAP-таблице |
ipx sap-incremental-eigrp |
конфигурирует маршрутизатор таким образом, чтобы он посылал |
|
SAP-сообщения только при изменениях в SAP-табл |
ipx update interval {rip I |
Интерфейсная субкоманда, изменяющая интервал отправки IPX RIP |
sap) секунды |
или SAP-пакетов до заданного количества секунд |
|
|
map group |
Назначает именованную группу отображений интерфейс для |
|
использования при отображении на интерфейсе IPX адресов на ATM- |
|
адреса канального уровня |
map list |
Создает именованный список отображений для конфигурирования |
|
отображения IPX-адресов на постоянные или кс мутируемые |
|
виртуальные каналы ATM-системы адресаи |
network сеть |
Связывает номер IPX-сети с протоколом EIGRP |
х25 map ipx |
Статически отображает IPX-адрес на адрес протокола X |
Дополнительная литература
Предмет данной главы более подробно рассматривается в следующих монографиях.
1.Currid, С. and A. Currid. Novell's Introduction to Networking. Foster City, Califc IDG Books Worldwide, 1997.
2.Heywood, D. Novell's Guide to TCP/IP and Intranetware. Foster City, Califc IDG Books Worldwide, 1997.
247
3.Siyan, K..S. et al. Novell Intranetware Professional Reference. Indianapolis, Inc New Riders Publishing, 1997.
248
Глава 7
Ключевые темы этой главы
•Основы управления доступом. Основы конфигурирования средств управления доступом к устройству с использованием в ОС IOS протоколов RADIUS и TACACS+.
•Основы предотвращения атак Основные моменты, связанные с настройкой функций ОС IOS для предотвращения некоторых распространенных в сети Internet атак отказов в обслуживании (DoS).
•Основы управления сетью. Краткий обзор простого протокола управлению сетью
(Simple Network Management Protocol — SNMP) и его конфигурирование в ОС IOS компании Cisco.
•Основы управления временем. Настройка протокола системы сетевого времени Network Time Protocol и системные часы в устройствах компании Cisco
249
Основы администрировать и управления
В этой главе рассматриваются основные вопросы, связанные с управлением IOS, которые
существенны для создания надежных и эффективных сетей передачи данных Эти вопросы включают управление доступом к устройствам компании Cisco, протоколирование системной деятельности, предотвращение атак, конфигурирование протоколов управления сетью и синхронизацию времени и даты на устройства тающих под управлением ОС IOS компании Cisco.
Основы управления доступом
ОС IOS компании Cisco предлагает ряд механизмов и протоколов, которые помогают в
управлении доступностью устройств Эти базовые механизмы управления доступом могут оказать помощь в ограничении круга тех, кто обращается к устройствам сети, а также того, что они делают
на каждом из устройств Таким образом обеспечивается безопасность сети и создается протокол любых изменений в сети.
Подключение к виртуальному терминалу с использованием протокола Telnet и оболочки
Общими методами доступа к устройству, работающему под управлением являются подключение через порт консоли (как описано в главе 2) или подключение по каналам виртуального терминала (vty). Каналы виртуального те представляют собой программное обеспечение, которое дает возможность подключаться к маршрутизатору по сети данных
Работающее под управлением устройство также поддерживает пять одновременных сеансов через каналы виртуального терминала
Использование клиента протокола Telnet и клиента защищенной оболочки Shell (SSH) — вот два
наиболее общеупотребительных метода подключения виртуального терминала Для создания незащищенного соединения с серверным программным обеспечением, работающим на канале виртуального терминал клиент использует стандартный протокол, описанный в Запросе на комментарий № 854 По умолчанию все основанные на ОС 1OS устройства имеют Telnet- сервер активированным на всех каналах виртуального терминала; методы защиты этих каналов будут рассматриваться в следующем разделе "Активация SSH-сервера".
SSH представляет собой протокол, который обеспечивает защищенное и шифрованное соединение между SSH-клиентом и сервером, работающим на канале виртуального терминала.
Это соединение по своим функциональным характеристикам подобно соединению протокола Telnet. В отличие от Telnet-сервера, SSH-сервер не является активированным по умолчанию на каналах виртуального терминала. Активация SSH-сервера обсуждается в следующем разделе.
Чтобы выбрать, Telnet- или SSH-клиент использовать в конкретной локальной системе, обратитесь за помощью к системному администратору. Исполняющее ОС IOS устройство может играть роль либо Telnet-клиента, либо SSH-клиента, для этого в строке приглашения режима EXEC вводится команда telnet или ssh.
Примечание
В настоящее время существуют две версии протокола SSH: SSH версии 1 и SSH версии 2. На данный момент ОС IOS поддерживает только протокол SSH версии 1.
SSH-клиенты и серверы могут обеспечить аутентификацию пользователя с помощью системы шифрования по открытому ключу, изобретенной Ривестом (Rivest), Шамиром (Shamir) и Аделманом (Adelman) (система RSA). Однако реализованная в SSH-клиенте RSA- аутентификация пользователя не поддерживается в SSH-сервере для ОС IOS компании Cisco. ОС IOS осуществляет аутентификацию пользователей только с применением комбинации из идентификатора пользователя и пароля. Хотя SSH-сервер ОС IOS использует метод RSA для
250