Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Конфигурирование маршрутизаторов Cisco - Аллан Леинванд, Брюс Пински

.pdf
Скачиваний:
180
Добавлен:
24.05.2014
Размер:
2.48 Mб
Скачать

line vty начало конец

Главная команда для конфигурирования каналов

 

виртуального терминала, пронумерованных от начала до

 

конца

logging buffered размер

Задает размер внутреннего буфера устройства в байтах

logging

Определяет протоколирование сообщений с указанным и

место нахождения уровень

более высоким уровнем серьезности в заданном месте

ntp access-group

Ограничивает типы NTP-ассоциаций устройства с ОС IOS,

 

которое то может иметь, до определенных в IP-списке

 

доступа

ntp broadcast

Конфигурирует интерфейс на широковещательную

 

передачу NTP-сообщений в данный сегмент локальной

 

сети

ntp broadcast client

Конфигурирует интерфейс на прослушивание

 

широковещательных NTP-пакетов

ntp peer

Конфигурирует одноранговую ассоциацию между двумя

 

сконфигурированными NTP-устройствами

ntp server

Конфигурирует серверную ассоциацию между

 

устройством ОС IOS и сконфигурированным NTP-

 

устройством

ntp update-calendar

Периодически синхронизирует календарь маршрутизаторе

 

серии 7000 с календарем протокола NTP

password пароль

Задает пароль канальной субкоманды

radius-server host

Задает RADI US-сервер, с которым обменивается данным!

 

клиент ОС IOS

radius-server key

Конфигурирует секретную цепочку для шифрования связи

 

между RADIUS-сервером и ОС IOS

server

Субкоманда конфигурирования ААА-серверов Задает IP-

 

адреса серверов в группе ААА-серверов

service

Конфигурирует устройство с ОС IOS на шифрование всех

password-encryption

паролей, показываемых командами режима EXEC

service timedtamps тип

Конфигурирует устройство с ОС IOS на введение

 

временных меток в отладочные сообщения и сообщения

 

для журнала

snmp-server community

Конфигурирует цепочку сообщества для защиты SNMP-

 

агента

snmp-server contact

Конфигурирует текстовую строку, указывающую

 

контактную персону по устройству, работающему под

 

управлением ОС IOS

snmp-server host

Задает IP-адрес и цепочку сообщества менеджера,

 

которому должны будут отсылаться Trap-сообщения

snmp-server location

Конфигурирует текстовую строку, указывающую место

 

расположения устройства с ОС IOS

sntp broadcast client

Конфигурирует SNTP-процесс маршрутизатора на

 

прослушивание широковещательных NТР-пакетов

sntp server

Конфигурирует протокол SNTP запрашивать и принимать

 

пакеты от указываемых в конфигурации серверов

tacacs-server host

Конфигурирует ТАСАСS+-сервер, с которым будет

 

общаться клиент ОС IOS

tacacs-server key

Конфигурирует секретную цепочку для шифрования связи

 

между TACACS+-сервером и ОС IOS

В табл. 7.3 приводятся основные команды режима EXEC для администрирования.

271

Таблица 7.3. Сводная таблица команд режима EXEC для задач администрирования и управления

272

Команда

Описание

show clock

Показывает текущие значения даты и времени системных

 

часов

show calendar

Выводит на экран текущие значения даты и времени сис-

 

темы календаря в маршрутизаторах серии Cisco 7000

show crypto key mypubkey rsa

Показывает открытый RSA-ключ, используемый в

 

протоколе SSH для шифрования

show ip ssh

Показывает текущие сеансы протокола SSH на устройстве

show logging

Описывает текущий статус протоколирования устройства

show ntp associations

Показывает текущие NTP-ассоциации и их статус

show ntp status

Показывает текущий статус протокола NTP в устройстве

show snmp

Показывает статистику протокола SNMP для SNMP-агента

 

на устройстве с ОС IOS

show sntp

Показывает статус протокола SNTP в устройстве с ОС IOS

show tcp intercept connections

Показывает текущие незаконченные и установленные

 

TCP-соединения

show tcp intercept statistics

Показывает статистические данные функции ТСР-

 

перехвата

Дополнительная литература

В приведенных ниже монографиях вопросы этой главы исследуются более подробно

1.Carasik, Anne. UNIX SSH: Using Secure Shell. New York: McGraw-Hill Companies Inc., 1999.

2.Case, J.D., M. Fedor, M.L. Scoffstall, and C. Davin. RFC 1157, "Simple Netwoi Management Protocol (SNMP)". May 1990.

3.Ferguson, P., and D. Senie. RFC 2827, "Network Ingress Filtering: Defeating Dena of Service Attacks Which Employ IP Sourse Address Spoofing". May 2000.

4.Finseth, C. RFC 1492, "An Access Control Protocol, Sometimes Called TACACS July 1993.

5.Leinwand, Allan, and Karen Fang-Conroy. Network Management: A Practical Perspecth

Second Edition. Reading, Massachusetts: Addison-Wesley Publishing, 1996.

6.McCloghrie, K., and M. Rose. RFC 1213, "Management Information Base f Management Information of TCP/IP-based Internets: MIBII". March 1991.

7.Mills, D. RFC 1305, "Network Time Protocol (Version 3) Specification, Implementatio and Analysis". March 1992.

8.Mills, D. RFC 2030, "Simple Network Time Protocol (SNTP) Version 4 for IPv IPv6, and OSI". October 1996.

9. Postel, J., and J. Reynolds. RFC 854, "The Telnet Specification". May 1983. lO.Rigney, C. RFC 2866, "RADIUS Accounting". June 2000.

11. Rigney, C., S.Willens, A. Rubens, and W. Simpson. RFC 2865, "Remote Authenticati Dail-In User Service (RADIUS)". June 2000.

273

Глава 8

Ключевые темы этой главы

Маршрутизатор в Куала-Лумпуре

Маршрутизатор SF-1

Маршрутизатор SF-2

Маршрутизатор SF-Core-1

Маршрутизатор SF-Core-2

Маршрутизатор в Сан-Хосе

Маршрутизатор Seoul -1

Маршрутизатор Seoul-2

Маршрутизатор в Сингапуре

Сервер доступа SingISDN

Сервер доступа Sing2511

274

Полная конфигурация ОС IOS для сети компании ZIP

В данной главе показаны полные наборы команд конфигурирования ОС IOS для всех маршрутизаторов и серверов доступа, стоящих в сети компании ZIP. Для демонстрации действующих на текущий момент команд конфигурирования устройства, работающего под управлением ОС IOS, используется команда режима EXEC show running-config.

При просмотре этих команд конфигурирования следует помнить следующее.

∙ В сети компании ZIP используется ОС IOS версии 12 1 Некоторые из команд конфигурирования ОС IOS могут работать не так, как описано в ранних версиях.

Некоторые из устройств имеют неиспользованные интерфейсы, так как количество интерфейсов, необходимых для организации взаимодействия в сети компании ZIP, меньше, чем может быть сконфигурировано согласно спецификациям компании Cisco.

Команды конфигурирования ОС IOS стоят не в том порядке, в котором они вводились в

устройство

Устройство разделяет некоторые основные сегменты команд конфигурирования символом восклицательного знака (') Все символы в конфигурационном файле, стоящие в данной строке после восклицательного знака, устройством OC IOS не интерпретируются.

В качестве протокола динамической маршрутизации для протоколов IP, Apple Talk и IPX все маршрутизаторы в сети компании ZIP используют протокол EIGRP.

Для выполнения аутентификации, авторизации и учета устройства сети компании ZIP используют комбинацию протоколов RADIUS и TACACS+.

Маршрутизатор в Куала-Лумпуре

Устройство сети компании ZIP в Куала-Лумпуре представляет собой маршрутизатор модели Cisco 2501. Конфигурацию этого маршрутизатора отличает следующее.

Сегмент локальной сети в Куала-Лумпуре подключен к интерфейсу Ethernet.

Куала-Лумпур с маршрутизатором Seoul-1 соединяются по двухточечному интерфейсу Frame Relay.

Для DHCP-клиентов в сегменте локальной сети в Куала-Лумпуре назначение

IP-адресов выполняет DHCP-сервер ОС IOS.

Полная конфигурация маршрутизатора в Куала-Лумпуре выглядит следующим образом:

version 12.1

service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption

!

hostname Kuala-Lumpur

!

aaa new-model

aaa authentication login default group tacacs+ enable aaa authorization exec group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa acounting exe stop-only group tacacs+

enable secret 5 $2$5toY$IJQPTVD4.aEDLwZSnPrvX.

!

ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet.com

ip name-server 131.108.110.34 ip name-server 131.108.110.35

ip dhcp database tftp://131.108.2.77/kl-dhcp-info ip dhcp excluded-address 131.108.2.1 131.108.2.10 ip dhcp excluded-address 131.108.2.57

ip dhcp excluded-address 131.108.2.129 131.108.2.135

!

ip dhcp pool kl-common network 131.108.2.0/24

dns-server 131.108.101.34 131.108.101.35 domain-name zipnet. om netbios-name-server 131.108.21.70 netbios-node-type h

lease 0 1

!

ip dhcp pool kl-users network 131.108.2.0/25

default-router 131.108.2.1

!

ip dhcp pool kl-users-2 network 131.108.2.128/25

!

appletalk routing eigrp 25000 appletalk route-redistribution routing 0000.Оb1.2 Зе

clock timezone MST +8

!

interface Loopbackl

description Kuala-Lumpur router loopback ip address 131.108.254.9 255.255.255.255

!

interface EthernetO

description Kuala-Lumpur LAN Segment ip address 131.108.2.1 255.255.255.128

ntp broadcast

appletalk cable-range 3001-3010 appletalk zone Asia Manufacturing ipx network 3010

!

interface SerialO

description IETF frame relay PVCs on circuit M234563KL no ip address

encapsulation frame-relay ietf bandwidth 128

frame-relay Imi-type ansi

!

interface SerialO.100 point-to-point description FR PVC 100 to Seoul-1

ip address 131.108.242.2 255.255.255.252 bandwidth 128

frame-relay interface-dlci 100 appletalk cable-range 2901-2901 appletalk zone WAN Zone appletalk protocol eigrp

no appletalk protocol rtmp ipx network 2901

!

interface Seriall no ip address shutdown

!

router eigrp 25000 network 131.108.0.0 no auto-summary

!

ip classless

logging trap debugging logging console emergencies logging 131.108.110.33

acess-list 1 permit 131.108.0.0 0.0.255.255

276

acess-list 2 permit host 131.108.20.45

!

ipx router eigrp 25000 network 2901

network 3010

tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2

snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 1 KLCC Towers Kuala Lumpur Malaysia snmp-server contact Allan Leinwand allan@telegis.net

!

line con 0 password 7 095B59 line aux 0

line vty 0 4 password 7 095B59 acess-class 1 in

!

ntp update-calendar

ntp server 192.216.191.10 ntp server 129.189.134.11

!

end

Маршрутизатор SF-1

Устройство SF-1 сети компании ZIP представляет собой маршрутизатор модели Cisco 4700. Конфигурацию этого маршрутизатора отличает следующее.

Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.

Сегмент локальной сети в Сан-Франциско подключается к интерфейсу

Ethernet.

На выходе в сегмент локальной сети в Сан-Франциско стоит IPX-фильтр GNS- сообщений.

Полная конфигурация маршрутизатора SF-1 выглядит следующим образом:

version 12.1

service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption

!

hostname SF-1

!

aaa new-model

aaa authentication login default group tacacs+ enable aaa authorization exe group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa acounting exe stop-only group tacacs+

enable secret 5 $2$5toY$IJQPTVD4.aEDLwZSnPrvX.

!

ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet. om

ip name-server 131.108.110.34 ip name-server 131.108.110.35 appletalk routing eigrp 25000 appletalk route-redistribution ipx routing 0000.1 2 .23bb

!

clock timezone PST -8

277

clock sunnier-time PDT recurring

!

interface Loopbackl

description SF-1 router loopback

ip address 131.108.254.1 255.255.255.255

!

interface FastEthernetO

description San Francisco FastEthernet backbone LAN ip address 131.108.20.1 255.255.252.0

appletalk cable-range 1-10 appletalk zone SF Zone ipx network 1010 full-duplex

!

interface EthernetO description SF-1 LAN Segment

ip address 131.108.101.1 255.255.255.0 ip helper-address 131.108.21.70 media-type lOBaseT

ntp broadcast

appletalk cable-range 11-100 appletalk zone Operations ipx network 100

ipx output-gns-filter 1010

!

interface Ethernetl no ip address shutdown

!

router eigrp 25000 network 131.108.0.0 no auto-summary

!

ip classless

logging 131.108.110.33 logging trap debugging logging console emergencies

access-list 1 permit 131.108.0.0 0.0.255.255 access-list 2 permit host 131.108.20.45

access-list 1010 permit aa.0207.0104.0874 access-list 1010 deny -1

!

ipx router eigrp 25000 network 100

network 1010 i

tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2

snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 22 Cable Car Drive, San Francisco, CA, USA snmp-server contact Allan Leinwand allan@telegis.net

!

line con 0 password 7 095B59

line aux 0 line vty 0 4

password 7 095B59 access-class 1 in I

ntp update-calendar

ntp server 192.216.191.10 ntp server 129.189.134.11

!

278

end

Маршрутизатор SF-2

Устройство SF-2 сети компании ZIP представляет собой маршрутизатор модели Cisco 4700. Конфигурация этого маршрутизатора имеет такие характеристики.

Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.

Два сегмента локальной сети в Сан-Франциско подключаются к двум интерфейсам Ethernet.

На выходах в сегмент локальной сети в Сан-Франциско стоят IPX-фильтры GNS-сообщений.

Полная конфигурация маршрутизатора SF-2 выглядит следующим образом:

version 12.1

service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption

!

hostname SF-2

!

aaa new-model

aaa authentication login default group tacacs+ enable aaa authorization exec group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa accounting exec stop-only group tacacs+

enable secret 5 $2$5toY$IJQPTVD4.aEDLwZ8nPrvX. i

ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet.com

ip name-server 131.108.110.34 ip name-server 131.108.110.35 appletalk routing eigrp 25000 appletalk route-redistribution ipx routing 0000.OcOc.llbb

!

clock timezone PST -8

clock summer-time PDT recurring

!

interface Loopbackl

description SF-2 router loopback

ip address 131.108.254.2 255.255.255.255

!

interface FastEthernetO

description San Francisco FastEthernet backbone LAN ip address 131.Ю8.20.2 255.255.252.0

appletalk cable-range 1-10 appletalk zone SF Zone ipx network 10

!

interface EthernetO

description SF-2 LAN Segment 1

ip address 131.108.110.1 255.255.255.0 ip helper-address 131.108.21.70 media-type lOBaseT

ntp broadcast

appletalk cable-range 151-200 appletalk zone Marketing

ipx network 200

ipx output-gns-filter 1010

!

interface Ethernetl

description SF-2 LAN Segment 2

ip address 131.108.120.1 255.255.255.0 ip helper-address 131.108.21.70

279

media-type lOBaseT ntp broadcast

appletalk cable-range 101-150 appletalk zone Sales

ipx network 150

!

router eigrp 25000 network 131.108.0.0 no auto-summary

!

ip classless

logging 131.108.110.33 logging trap debugging logging console emergencies

access-list 1 permit 131.108.0.0 0.0.255.255 access-list 2 permit host 131.108.20.45 access-list 1010 permit aa.0207.0104.0874 access-list 1010 deny -1

!

ipx router eigrp 25000 network 10

network 150 network 200

!

tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2

snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 22 Cable Car Drive, San Francisco, CA, USA snmp-server contact Allan Leinwand, allan@telegis.net

!

line con 0 password 7 095B59

line aux 0 line vty 0 4

password 7 095B59 access-class 1 in

!

ntp update-calendar n tp server 192.216.191.10

ntp server 129.189.134.11

!

end

Маршрутизатор SF-Core-1

Устройство SF-Core-1 сети компании ZIP представляет собой маршрутизатор модели Cisco 7505. Конфигурацию этого маршрутизатора отличает следующее.

Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.

Используется последовательный HDLC-канал к маршрутизатору в Сан-Хосе.

Существует последовательный HDLC-канал к провайдеру Internet для сети компании ZIP.

Маршрутизаторы SF-Core-1 и SF-Core-2 образуют HSRP-rpynny.

Между сетью компании ZIP и локальным провайдером Internet-сервиса-В используется маршрутизация с применением протокола EBGP. Маршруты, которые объявляются и принимаются в рамках протокола ВОР, контролируются с помощью списков рассылки.

В процессе EIGRP-маршрутизации для формирования маршрутов по умолчанию используется редистрибуция статических маршрутов.

Для фильтрации трафика между сетью компании ZIP и общедоступной сетью Internet используется расширенный IP-список доступа.

280

Соседние файлы в предмете Сети и Телекоммуникации