Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Конфигурирование маршрутизаторов Cisco - Аллан Леинванд, Брюс Пински

.pdf
Скачиваний:
179
Добавлен:
24.05.2014
Размер:
2.48 Mб
Скачать

параметром номер списка доступа, и тогда выводится содержание только этого списка. Если параметр не указывается, то выводятся данные обо всех списках доступа. Ниже приведен результат исполнения команды show ipx access-lists на маршрутизаторе компании ZIP SF-1 для рассмотренных ранее примеров создания списков доступа:

SF-l#show ipx access-lists

IPX standard access list 800 permit 10 200

IPX standard access list pass-marketing permit 10 200

Установлен ли на интерфейсе список доступа, показывает команда ОС IOS режима EXEC show ipx interface. В восьмой строке приведенного ниже результата испо нения этой команды на маршрутизаторе SF-1 показано, что стандартный список до тупа протокола IPX наложен на исходящие IPX-пакеты:

SF-2#show ipx interface fddi 0

FddiO is up, line protocol is up

IPX address is 10.0000.OcOc.llbb, SNAP [up]

Delay of this IPX network, in ticks is 1 throughput 0 link delay 0 IPXWAN processing not enabled on this interface.

IPX SAP update interval is 60 seconds

IPX type 20 propagation packet forwarding is disabled Incoming access list is not set

Outgoing access list is 800

IPX helper access list is not set

SAP GNS processing enabled, delay 0 ms, output filter list is not set SAP Input filter list is not set

SAP Output filter list is not set SAP Router filter list is not set Input filter list is not set Output filter list is not set Router filter list is not set

Netbios Input host access list is not set Netbios Input bytes access list is not set Netbios Output host access list is not set Netbios Output bytes access list is not set

Updates each 60 seconds, aging multiples RIP:3 SAP:3

SAP interpacket delay is 55 ms, maximum size is 480 bytes RIP interpacket delay is 55 ms, maximum size is 432 bytes IPX accounting is disabled

IPX fast switching is configured (enabled)

RIP packets received 54353, RIP packets sent 214343 SAP packets received 94554422, SAP packets sent 93492324

Конфигурирование основных служб удаленного доступа по коммутируемым каналам связи протокола

IPX

В этой главе рассматриваются возможности маршрутизации с помощью протокола IPX, реализованные в ОС 1OS компании Cisco. Эта операционная система также позволяет осуществлять удаленный доступ IPX-клиентов во многом с теми же функциями, которые описывались в разделах предыдущих глав, посвященных удаленному доступу по коммутируемым каналам связи в рамках протоколов IP и AppleTalk. Функция удаленного доступа в протоколе IPX дает пользователям возможность получать у< ОС NetWare даже тогда, когда они физически не подключены к выделенным каналам сегмента локальной сети.

ОС IOS позволяет осуществлять удаленный доступ по асинхронным коммутируемым каналам связи и по ISDN-каналам. В этой главе рассматриваются специфические для протокола IPX команды, обычно используемые для IPX-клиентов, работающих с асинхронными коммутируемыми каналами. IPX-доступ по каналам ISDN обычно

241

используется при маршрутизации между маршрутизаторами с установкой соединения по требованию тема, которая выходит за рамки настоящей книги.

Как было сказано раньше, настройка удаленного доступа состоит из установки конфигурации асинхронной линии, при которой активируются ААА-службы для пользователей, и конфигурирования опций, специфических для протокола. Конфигурирование асинхронной линии для протокола IPX выполняется точно так же, как для протокола IP, что рассматривалось в главе 4. IPX-клиенты используют в качестве протокола канального уровня протокол РРР, делая конфигурирование ААА-служб абсолютно идентичным их конфигурированию для ранее рассмотренных сетевых протоколов. Дальнейшее обсуждение этого вопроса проводится в главе 7.

Первым шагом в добавлении специфических для протокола IPX опций, связанных с доступом по асинхронным коммутируемым каналам связи, является присвоение IPX-адреса интерфейсу Loopback 0, для чего используется субкоманда конфигурирования интерфейса ОС IOS ipx network (рассмотренная выше). Этот адрес становится номером IPX-сети, который будут использовать удаленные IPX-клиенты. Затем с помощью субкоманды конфигурирования интерфейса ОС IOS ipx ppp-client loopback групповому асинхронному интерфейсу назначается IPX-номер сети интер- фейса Loopback 0. Конфигурирование сервера доступа sing2511 сети компании ZIP выглядит так:

Sing2511#configure

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CTRL+Z.

Sing2511(config)#interface loopback 0

Sing2511(config-if)#ipx network 2500

Sing2511(config-if)#interface group-asyncl

Sing2511(config-if)#ipx ppp-client loopback 0

Sing2511(config-if)#^Z

Удаленным IPX-клиентам нет необходимости получать информацию протоколов IPX RIP и SAP. Чтобы исключить отправку на асинхронные интерфейсы пакетов актуализации маршрутной информации с нормальной периодичностью в 60 секунд, можно воспользоваться субкомандой конфигурирования интерфейса ipx update interval. Эта команда требует в качестве параметра слово sap или rip и значение в секундах частоты отправки соответствующих пакетов актуализации на интерфейс. В примере ниже сервер доступа Sing2511 конфигурируется на отправку пакетов актуализации от протоколов IPX RIP и SAP каждые 10 часов (36 000 секунд). При установке командой ipx update interval такого высокого значения интервала предполагается, что IPX- клиент не будет оставаться подключенным в течение 10 часов.

Sing2511#configure

Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CTRL+Z. Sing2511(config)#interface group-asyncl Sing2511(config-if)#ipx update interval sap 36000 Sing2511(config-if)#ipx update interval rip 36000 Sing2511(config-if)#AZ

Верификация взаимодействия в сети с протоколом IPX и устранение неполадок

Полезным инструментом для идентификации проблем взаимодействия в IPX-o является эхо- тестирование с помощью специальных IPX-пакетов, или пингов. При работе с протоколом IPX используются два различных типа пингов. Первый эхо-пакеты Cisco (специальная разработка компании Cisco); на такие эхо-пакеты отвечают только устройства, работающие под управлением ОС IOS. Второй стандартные эхо-пакеты разработки компании Novell, которые поддерживаются устройств; работающими под ОС IOS, и NetWare-серверами, на которых исполняется протокол

242

NLSP, отвечающий спецификации версии 1.0 или более поздней.

Использующее ОС IOS устройство, находясь в непривилегированном ре» EXEC, может посылать эхо-пакеты Cisco, для чего необходимо воспользоваться командой ОС IOS режима EXEC ping ipx. По этой команде посылаются пять байтных эхо-пакетов Cisco в формате протокола IPX по заданному IPX-адресу, это показано в примере ниже для маршрутизатора SF- Core-1:

SF-Core-l#ping ipx 10.0000.ОсОс.23се Type escape sequence to abort.

Sending 5, 100-byte IPX cisco Echoes to 10.0000.OcOc.23ce,timeout is 2 seconds:

! ! ! ! !

Success rate is 100 percent (5/5), round-trip min/avg/max =1/1/4 ms

Из этого примера видно, что было отослано пять IPX-эхо-пакетов Cisco и пол но пять откликов от проверяемого адреса. В табл. 6.2 показаны значения символов, выводимых маршрутизатором для каждого посланного IРХ-пинга.

Таблица 6.2. Символы, выводимые в ответ на команду ipx ping

!Получен ответ от исследуемого адреса

. Сетевой сервер превысил временной предел, ожидая ответ от исследуемого адреса U Получено сообщение об ошибке недостижимости IPX-пункта назначения

С Принят пакет с сообщением о перегрузке в IPX-сети I Пользователь вручную прервал тест

? Принят IPX-пакет неизвестного типа

&Превышено время жизни IPX-пакета

Команда ОС IOS ping в привилегированном режиме EXEC может использовать для отправки либо эхо-пакетов Cisco, либо стандартных эхо-пакетов компании N> Команда ping в привилегированном режиме также позволяет задавать множество характеристик посылаемых эхо- пакетов, включая количество повторений, размер пакетов и временной предел ожидания эхо-ответа. В примере ниже маршрута: компании ZIP SF-Core-1 отправляет IPX-пинг с помощью команды ping в привилегированном режиме:

SF-Core-l#ping Protocol [ip]:ipx

Target IPX address:10.0000.OcOc.23ce Repeat count [5]:

Datagram size [100]: Timeout in seconds [2]: Verbose [n]:

Novell Standard Echo [n]: Type escape sequence to abort.

Sending 5 100-byte IPX echoes to 10.0000.OcOc.23ce,timeout is 2 seconds.

! ! ! ! !

Success rate is 100 percent (5/5)

Общую статистику работы протокола IPX на маршрутизаторе компании Cisco можно получить, воспользовавшись командой show ipx traffic. В ее состав входят счетчики таких данных, как общее количество посланных и принятых маршрутизатором пакетов, количество принятых и отосланных широковещательных пакетов, статистика протоколов SAP, IPX RIP, EIGRP и NLSP, а также информация о том, посылал или принимал маршрутизатор IPX-эхо- пакеты. Кумулятивные счетчики команды show ipx traffic обнуляются только при перезагрузке маршрутизатора или выключении-включении питания. Ниже показан пример результата исполнения команды show ipx traffic на маршрутизаторе компании ZIP SF-Core-1:

SF-Core-l#show ipx traffic

System Traffic for 0.0000.0000.0001 System-Name:zipnet

243

Rcvd: 603143 total, 94947 format errors, 0 checksum errors, 0 bad hop count,

0 packets pitched, 401 local destination, 0 multicast Beast: 406 received, 6352 sent

Sent: 6355 generated, 0 forwarded

0 encapsulation failed, 19 no route SAP: 368 SAP requests, 0 SAP replies, 2 servers

0 SAP Nearest Name requests, 0 replies

0 SAP General Name requests, 0 replies

27 SAP advertisements received, 138 sent

20 SAP flash updates sent, 0 SAP format errors RIP: 6 RIP requests, 0 RIP replies, 5 routes

5629 RIP advertisements received, 6139 sent

0 RIP flash updates sent, 0 RIP format errors Echo: Rcvd 0 requests, 0 replies

Sent 0 requests, 0 replies

0 unknown: 0 no socket, 0 filtered, 0 no helper 0 SAPs throttled, freed NDB len 0

Watchdog:

0 packets received, 0 replies spoofed Queue lengths:

IPX input: 0, SAP 0, RIP 0, GNS 0

SAP throttling length: 0/(no limit), 0 nets pending lost route reply Delayed process creation: 0

EIGRP: Total received 0, sent 0 Updates received 0, sent 0 Queries received 0, sent 0 Replies received 0, sent 0

SAPs received 0, sent 0

NLSP: Level-1 Helios received 0, sent 0

В дополнение к командам верификации, поиска и устранения неисправное представленным в настоящем разделе, в привилегированном режиме EXEC ОС существует множество отладочных команд debug, призванных оценить работоспособность протокола IPX на маршрутизаторе. Эти команды debug обеспечивают получение как общей, так и подробной диагностической информации, которая может мочь при устранении неполадок и проверке работы маршрутизатора, протоколов маршрутизации и других функций. Самые распространенные команды debug, используемые для протокола IPX, сведены в табл 6.3.

Таблица 6.3. Команды debug для протокола IPX

Команда

Описание

debug ipx eigrp

Выводит содержание пакетов протокола IPX EIGRP, посылаемых и

 

получаемых маршрутизатором

debug ipx nlsp

Показывает деятельность протокола NLSP, исполняемого на маршрутизаторе

debug ipx packet

Выводит данные об IPX-адресах отправителей и получателей паке

 

маршрутизируемых маршрутизатором

debug ipx routing

Показывает изменения в таблице IPX-маршрутизации, явившиеся

 

результатом добавлений и удалений маршрутов

debug ipx sap

Выводит информацию об объявлениях протокола SAP, отправлен и принятых

 

маршрутизатором

Конфигурирование переадресации IPXпакетов типа 20

Многие приложения в среде ОС NetWare используют сетевую базовую сие ввода/вывода (NetBIOS), чтобы запрашивать службы IPX-серверов. Эти услуги в чают начало и окончание сеанса и передачу информации.

На NetWare-клиенте NetBIOS-приложение, используя протокол IPX, осуществляет

244

широковещательную рассылку пакетов типа 20 во все IPX-сети, пытаясь получить информацию об именованных узлах в сети. Система NetBIOS воспринимает именованные узлы в качестве ресурсов сети. Таким образом, чтобы общаться такими ресурсами, NetWare- клиенты должны отображать эти именованные узлы на IPX-адреса.

Для отображения именованных узлов на IPX-адреса система NetBIOS использует механизм протокола IPX. Однако, как было доказано в этой книге, маршрутизаторы компании Cisco no умолчанию блокируют все широковещательные пакеты сетевого уровня, включая и IPX-пакеты рассылки типа 20. Если маршрутизатор не переадресовывает пакеты рассылки типа 20, а NetWare-клиенту, исполняющему приложение которое использует NetBIOS, необходимо пройти маршрутизатор, чтобы получит! формацию об именованном узле в сети, то такой клиент не имеет возможности связаться с сервером.

Интерфейсная субкоманда ОС IOS ipx type-20-propagation дает маршрутизатору инструкцию на прием и переадресацию пакетов рассылки типа 20 на другие IPX-интерфейсы, у которых тоже входит в конфигурацию эта субкоманда. Более того, ОС IOS пытается переадресовывать IPX-пакеты рассылки типа 20 интеллектуальным образом: она не размещает эти пакеты на интерфейсах, которые стоят на пути маршрута к интерфейсу исходного отправителя.

Вместо переадресации IPX-пакетов рассылки типа 20 в несколько сегментов сети можно переадресовывать эти пакеты на конкретный сетевой IPX-адрес, тем самым потенциально снижая количество широковещательных пакетов, посылаемых по IPX-сети. Переадресацию IPX-пакетов рассылки типа 20 на конкретный IPX-адрес разрешает команда глобального конфигурирования ОС IOS ipx type-20-helpered. Интерфейсная субкоманда ОС IOS ipx helper-address задает тот конкретный IPX-адрес, на который следует переадресовывать пакеты типа 20. Команды ipx type- 20-helpered и ipx type-20-propagation являются взаимоисключающими. ОС IOS должна либо переадресовывать пакеты рассылки типа 20 другим аналогично сконфигурированным интерфейсам, либо переадресовывать их на IPX-адрес.

В примере конфигурации ниже все IPX-пакеты типа 20 на маршрутизаторе сети компании ZIP в Сингапуре переадресовываются через интерфейс Ethernet 0 на конкретный IPX-сервер в Сан-

Франциско с IPX-адресом аа.0005. 0112.0474:

Singapore#configure

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CTRL+Z.

Singapore(config)#ipx type-20-helpered

Singapore(config)#interface ethernet 0

Singapore(config-if)#ipx helper-address aa.0005.0112.0474

Singapore(config-if)#^Z

Резюме

В данной главе рассмотрены главные моменты, связанные с работой группы протоколов, входящих в состав протокола IPX, основные команды для поднятия IPX-сети, а также некоторые дополнительные команды, часто применяемые в крупных IPX-сетях. Конечно, эта глава не превратит читателя в эксперта по IPX-сетям, но она поднимет его уровень и сделает дееспособным. Основные концептуальные положения этой главы выглядят следующим образом.

IPX-адрес имеет форму сеть.узел, где сеть это 32-разрядный номер, назначаемый сегменту локальной или глобальной сети, а узел 48-разрядный но мер, назначаемый клиенту или серверу. Сетевая часть адреса назначается администратором сети. Узловая часть часто совпадает с 48-разрядным адресом устройства на канальном уровне.

Для того чтобы NetWare-клиенты, NetWare-серверы и маршрутизаторы компании Cisco нормально общались в рамках сегмента локальной IPX-сети, все они должны работать с одним и тем же методом IPX-инкапсуляции. Наиболее часто выбор метода инкапсуляции диктуется используемой версией ОС NetWare.

245

Как и IP-маршрутизация, IPX-маршрутизация может конфигурироваться вручную или с помощью протоколов динамической маршрутизации. Для протокола IPX таковыми являются протоколы RIP, NLSP и EIGRP. Работа протокола RIP разрешается на всех IPX-

интерфейсах по умолчанию сразу после применения команды глобального конфигурирования ipx routing.

SAP представляет собой протокол динамических услуг, который объявляет услуги, имеющиеся в IPX-сети. Он конфигурируется по умолчанию на сконфигурированных под работу с протоколом IPX интерфейсах. Для ограничения трафика посылаемых и принимаемых маршрутизатором пакетов протокола SAP могут быть использованы SAP- фильтры.

Чтобы позволить маршрутизаторам компании Cisco принимать и отсылать широковещательные пакеты системы NetBIOS, необходимо воспользоваться командой ipx type-20-propagation или ipx type-20-helpered.

Для проверки конфигураций и устранения неполадок в IPX-сети используются команды show, debug и ping. Кроме команд, приведенных в табл. 6.4, с соответствующих команд еще можно найти в табл. 6.5.

Таблица 6.4. Сводная таблица команд режима EXEC для конфигурирования протокола

IPX

Команда

 

Описание

clear ipx rout e

 

Очищает всю таблицу IPX-маршрутизации или, если он задан, конкретный

 

 

маршрут

ping сеть. узел

 

Проверяет указанный IPX-адрес на предмет его достижимости и

 

 

способности отвечать

ping ipx сеть.узел

 

В привилегированном режиме используется для отправки либо эхо-пакетов

 

 

Cisco, либо стандартных эхо-пакетов компании Novell по указанному IPX-

 

 

адресу для проверки его достижимости и способности отвечать

show ipx access-list

 

Показывает все списки доступа протокола IPX, которые даны на

 

 

маршрутизаторе

show ipx interface brief

 

Показывает краткую сводную информацию об IPX-сети и статусе всех

 

 

имеющихся на устройстве интерфейсов

show ipx interface

 

Показывает все параметры, связанные с конфигурацией протокола IPX на

интерфейс

 

интерфейс

show ipx route

 

Выводит таблицу IPX-маршрутизации маршрутизатора

show ipx route

 

Показывает маршрутную информацию для заданного IPX-маршрута

сеть, узел

 

 

 

show ipx servers

 

Показывает список всех известных на текущий момент IPX-серверов

show i px traffi c

 

Выводит общие статистические данные о работе протокола IPX на

 

 

маршрутизаторе

Таблица 6.5. Сводная таблица команд конфигурирования для IPX-сетей

Команда

 

Описание

access-list

 

Создает нумерованный список доступа и связанные с ним критерии

 

 

 

фильтрации

area-address адрес маска

 

Задает префикс адреса области и маску для протокола NLSP

dialer map ipx

 

Статически отображает IPX-адрес на имена систем и телефонные

 

 

 

номера для ISDN-вызовов

frame-relay map ipx

 

Отображает IPX-адрес на DLCI-идентификатор протокола Frame

 

 

 

Relay

ipx access-group список

 

Накладывает указанный список доступа на задачу фильтрации

[in | out]

 

входящих или исходящих пакетов на интерфейсе

ipx access-list {extended I Назначает именованный список доступа протокола IPX и связанные с

sap I standard} имя

ним критерии фильтрации

246

ipx gns-round-robin

Оговаривает использование метода циклического отбора по списку

 

при выборе подходящих серверов из нескольких, когда

 

маршрутизатор отвечает на GNS-запросы

ipx input-sap-filter список

Интерфейсная субкоманда, инструктирующая маршрутизатор

 

фильтровать входящие SAP-пакеты на основе критериев конкретного

 

списка доступа

ipx internal-network сеть

Задает внутренний номер сети на маршрутизаторе для протокола

 

NLSP

ipx maximum paths коли-

Конфигурирует маршрутизатор на разрешение содержать в таблице

чество

IPX-маршрутизации заданное количество путей равной стоимости

ipx network сеть

Задает IPX-сеть для этого интерфейса Как вариант, задает метод

[encapsulation |

инкапсуляции (например, snap и агра), используемый на данном

secondary]

интерфейсе, и определяет, является сеть для данного интерфейса

 

первичной или вторичной

ipx output-gns-filter

Интерфейсная субкоманда, инструктирующая маршрутизатор

список

фильтровать исходящие из маршрутизатора GNS-пакеты на основе

 

критериев заданного списка доступа

ipx output-sap-filter

Интерфейсная субкоманда, инструктирующая маршрутизатор

список

фильтровать исходящие из маршрутизатора SAP-пакеты на основе

 

критериев заданного списка доступа

ipx ppp-client loopback

Интерфейсная субкоманда, которая назначает IPX-номер интерфейсу

 

обратной петли для использования IPX РРР-клиентами

ipx route

Конфигурирует статический IPX-маршрут

ipx router eigrp

Разрешает использовать протокол EIGRP в качестве процесса

автономная система

маршрутизации протокола IPX

ipx router nlsp тэг

Разрешает использовать заданный процесс протокола NLSP в

 

качестве процесса маршрутизации протокола 1Р>

ipx router-sap-filter

Накладывает фильтр на все объявления протокола SAP на основе

 

критериев заданного списка доступа

ipx routing

Разрешает IPX-маршрутизацию на маршрутизаторе

ipx sap

Задает записи в статической SAP-таблице

ipx sap-incremental-eigrp

конфигурирует маршрутизатор таким образом, чтобы он посылал

 

SAP-сообщения только при изменениях в SAP-табл

ipx update interval {rip I

Интерфейсная субкоманда, изменяющая интервал отправки IPX RIP

sap) секунды

или SAP-пакетов до заданного количества секунд

 

 

map group

Назначает именованную группу отображений интерфейс для

 

использования при отображении на интерфейсе IPX адресов на ATM-

 

адреса канального уровня

map list

Создает именованный список отображений для конфигурирования

 

отображения IPX-адресов на постоянные или кс мутируемые

 

виртуальные каналы ATM-системы адресаи

network сеть

Связывает номер IPX-сети с протоколом EIGRP

х25 map ipx

Статически отображает IPX-адрес на адрес протокола X

Дополнительная литература

Предмет данной главы более подробно рассматривается в следующих монографиях.

1.Currid, С. and A. Currid. Novell's Introduction to Networking. Foster City, Califc IDG Books Worldwide, 1997.

2.Heywood, D. Novell's Guide to TCP/IP and Intranetware. Foster City, Califc IDG Books Worldwide, 1997.

247

3.Siyan, K..S. et al. Novell Intranetware Professional Reference. Indianapolis, Inc New Riders Publishing, 1997.

248

Глава 7

Ключевые темы этой главы

Основы управления доступом. Основы конфигурирования средств управления доступом к устройству с использованием в ОС IOS протоколов RADIUS и TACACS+.

Основы предотвращения атак Основные моменты, связанные с настройкой функций ОС IOS для предотвращения некоторых распространенных в сети Internet атак отказов в обслуживании (DoS).

Основы управления сетью. Краткий обзор простого протокола управлению сетью

(Simple Network Management Protocol — SNMP) и его конфигурирование в ОС IOS компании Cisco.

Основы управления временем. Настройка протокола системы сетевого времени Network Time Protocol и системные часы в устройствах компании Cisco

249

Основы администрировать и управления

В этой главе рассматриваются основные вопросы, связанные с управлением IOS, которые

существенны для создания надежных и эффективных сетей передачи данных Эти вопросы включают управление доступом к устройствам компании Cisco, протоколирование системной деятельности, предотвращение атак, конфигурирование протоколов управления сетью и синхронизацию времени и даты на устройства тающих под управлением ОС IOS компании Cisco.

Основы управления доступом

ОС IOS компании Cisco предлагает ряд механизмов и протоколов, которые помогают в

управлении доступностью устройств Эти базовые механизмы управления доступом могут оказать помощь в ограничении круга тех, кто обращается к устройствам сети, а также того, что они делают

на каждом из устройств Таким образом обеспечивается безопасность сети и создается протокол любых изменений в сети.

Подключение к виртуальному терминалу с использованием протокола Telnet и оболочки

Общими методами доступа к устройству, работающему под управлением являются подключение через порт консоли (как описано в главе 2) или подключение по каналам виртуального терминала (vty). Каналы виртуального те представляют собой программное обеспечение, которое дает возможность подключаться к маршрутизатору по сети данных

Работающее под управлением устройство также поддерживает пять одновременных сеансов через каналы виртуального терминала

Использование клиента протокола Telnet и клиента защищенной оболочки Shell (SSH) — вот два

наиболее общеупотребительных метода подключения виртуального терминала Для создания незащищенного соединения с серверным программным обеспечением, работающим на канале виртуального терминал клиент использует стандартный протокол, описанный в Запросе на комментарий № 854 По умолчанию все основанные на ОС 1OS устройства имеют Telnet- сервер активированным на всех каналах виртуального терминала; методы защиты этих каналов будут рассматриваться в следующем разделе "Активация SSH-сервера".

SSH представляет собой протокол, который обеспечивает защищенное и шифрованное соединение между SSH-клиентом и сервером, работающим на канале виртуального терминала.

Это соединение по своим функциональным характеристикам подобно соединению протокола Telnet. В отличие от Telnet-сервера, SSH-сервер не является активированным по умолчанию на каналах виртуального терминала. Активация SSH-сервера обсуждается в следующем разделе.

Чтобы выбрать, Telnet- или SSH-клиент использовать в конкретной локальной системе, обратитесь за помощью к системному администратору. Исполняющее ОС IOS устройство может играть роль либо Telnet-клиента, либо SSH-клиента, для этого в строке приглашения режима EXEC вводится команда telnet или ssh.

Примечание

В настоящее время существуют две версии протокола SSH: SSH версии 1 и SSH версии 2. На данный момент ОС IOS поддерживает только протокол SSH версии 1.

SSH-клиенты и серверы могут обеспечить аутентификацию пользователя с помощью системы шифрования по открытому ключу, изобретенной Ривестом (Rivest), Шамиром (Shamir) и Аделманом (Adelman) (система RSA). Однако реализованная в SSH-клиенте RSA- аутентификация пользователя не поддерживается в SSH-сервере для ОС IOS компании Cisco. ОС IOS осуществляет аутентификацию пользователей только с применением комбинации из идентификатора пользователя и пароля. Хотя SSH-сервер ОС IOS использует метод RSA для

250

Соседние файлы в предмете Сети и Телекоммуникации