Конфигурирование маршрутизаторов Cisco - Аллан Леинванд, Брюс Пински
.pdfline vty начало конец |
Главная команда для конфигурирования каналов |
|
виртуального терминала, пронумерованных от начала до |
|
конца |
logging buffered размер |
Задает размер внутреннего буфера устройства в байтах |
logging |
Определяет протоколирование сообщений с указанным и |
место нахождения уровень |
более высоким уровнем серьезности в заданном месте |
ntp access-group |
Ограничивает типы NTP-ассоциаций устройства с ОС IOS, |
|
которое то может иметь, до определенных в IP-списке |
|
доступа |
ntp broadcast |
Конфигурирует интерфейс на широковещательную |
|
передачу NTP-сообщений в данный сегмент локальной |
|
сети |
ntp broadcast client |
Конфигурирует интерфейс на прослушивание |
|
широковещательных NTP-пакетов |
ntp peer |
Конфигурирует одноранговую ассоциацию между двумя |
|
сконфигурированными NTP-устройствами |
ntp server |
Конфигурирует серверную ассоциацию между |
|
устройством ОС IOS и сконфигурированным NTP- |
|
устройством |
ntp update-calendar |
Периодически синхронизирует календарь маршрутизаторе |
|
серии 7000 с календарем протокола NTP |
password пароль |
Задает пароль канальной субкоманды |
radius-server host |
Задает RADI US-сервер, с которым обменивается данным! |
|
клиент ОС IOS |
radius-server key |
Конфигурирует секретную цепочку для шифрования связи |
|
между RADIUS-сервером и ОС IOS |
server |
Субкоманда конфигурирования ААА-серверов Задает IP- |
|
адреса серверов в группе ААА-серверов |
service |
Конфигурирует устройство с ОС IOS на шифрование всех |
password-encryption |
паролей, показываемых командами режима EXEC |
service timedtamps тип |
Конфигурирует устройство с ОС IOS на введение |
|
временных меток в отладочные сообщения и сообщения |
|
для журнала |
snmp-server community |
Конфигурирует цепочку сообщества для защиты SNMP- |
|
агента |
snmp-server contact |
Конфигурирует текстовую строку, указывающую |
|
контактную персону по устройству, работающему под |
|
управлением ОС IOS |
snmp-server host |
Задает IP-адрес и цепочку сообщества менеджера, |
|
которому должны будут отсылаться Trap-сообщения |
snmp-server location |
Конфигурирует текстовую строку, указывающую место |
|
расположения устройства с ОС IOS |
sntp broadcast client |
Конфигурирует SNTP-процесс маршрутизатора на |
|
прослушивание широковещательных NТР-пакетов |
sntp server |
Конфигурирует протокол SNTP запрашивать и принимать |
|
пакеты от указываемых в конфигурации серверов |
tacacs-server host |
Конфигурирует ТАСАСS+-сервер, с которым будет |
|
общаться клиент ОС IOS |
tacacs-server key |
Конфигурирует секретную цепочку для шифрования связи |
|
между TACACS+-сервером и ОС IOS |
В табл. 7.3 приводятся основные команды режима EXEC для администрирования.
271
Таблица 7.3. Сводная таблица команд режима EXEC для задач администрирования и управления
272
Команда |
Описание |
show clock |
Показывает текущие значения даты и времени системных |
|
часов |
show calendar |
Выводит на экран текущие значения даты и времени сис- |
|
темы календаря в маршрутизаторах серии Cisco 7000 |
show crypto key mypubkey rsa |
Показывает открытый RSA-ключ, используемый в |
|
протоколе SSH для шифрования |
show ip ssh |
Показывает текущие сеансы протокола SSH на устройстве |
show logging |
Описывает текущий статус протоколирования устройства |
show ntp associations |
Показывает текущие NTP-ассоциации и их статус |
show ntp status |
Показывает текущий статус протокола NTP в устройстве |
show snmp |
Показывает статистику протокола SNMP для SNMP-агента |
|
на устройстве с ОС IOS |
show sntp |
Показывает статус протокола SNTP в устройстве с ОС IOS |
show tcp intercept connections |
Показывает текущие незаконченные и установленные |
|
TCP-соединения |
show tcp intercept statistics |
Показывает статистические данные функции ТСР- |
|
перехвата |
Дополнительная литература
В приведенных ниже монографиях вопросы этой главы исследуются более подробно
1.Carasik, Anne. UNIX SSH: Using Secure Shell. New York: McGraw-Hill Companies Inc., 1999.
2.Case, J.D., M. Fedor, M.L. Scoffstall, and C. Davin. RFC 1157, "Simple Netwoi Management Protocol (SNMP)". May 1990.
3.Ferguson, P., and D. Senie. RFC 2827, "Network Ingress Filtering: Defeating Dena of Service Attacks Which Employ IP Sourse Address Spoofing". May 2000.
4.Finseth, C. RFC 1492, "An Access Control Protocol, Sometimes Called TACACS July 1993.
5.Leinwand, Allan, and Karen Fang-Conroy. Network Management: A Practical Perspecth
Second Edition. Reading, Massachusetts: Addison-Wesley Publishing, 1996.
6.McCloghrie, K., and M. Rose. RFC 1213, "Management Information Base f Management Information of TCP/IP-based Internets: MIBII". March 1991.
7.Mills, D. RFC 1305, "Network Time Protocol (Version 3) Specification, Implementatio and Analysis". March 1992.
8.Mills, D. RFC 2030, "Simple Network Time Protocol (SNTP) Version 4 for IPv IPv6, and OSI". October 1996.
9. Postel, J., and J. Reynolds. RFC 854, "The Telnet Specification". May 1983. lO.Rigney, C. RFC 2866, "RADIUS Accounting". June 2000.
11. Rigney, C., S.Willens, A. Rubens, and W. Simpson. RFC 2865, "Remote Authenticati Dail-In User Service (RADIUS)". June 2000.
273
Глава 8
Ключевые темы этой главы
•Маршрутизатор в Куала-Лумпуре
•Маршрутизатор SF-1
•Маршрутизатор SF-2
•Маршрутизатор SF-Core-1
•Маршрутизатор SF-Core-2
•Маршрутизатор в Сан-Хосе
•Маршрутизатор Seoul -1
•Маршрутизатор Seoul-2
•Маршрутизатор в Сингапуре
•Сервер доступа SingISDN
•Сервер доступа Sing2511
274
Полная конфигурация ОС IOS для сети компании ZIP
В данной главе показаны полные наборы команд конфигурирования ОС IOS для всех маршрутизаторов и серверов доступа, стоящих в сети компании ZIP. Для демонстрации действующих на текущий момент команд конфигурирования устройства, работающего под управлением ОС IOS, используется команда режима EXEC show running-config.
При просмотре этих команд конфигурирования следует помнить следующее.
∙ В сети компании ZIP используется ОС IOS версии 12 1 Некоторые из команд конфигурирования ОС IOS могут работать не так, как описано в ранних версиях.
∙Некоторые из устройств имеют неиспользованные интерфейсы, так как количество интерфейсов, необходимых для организации взаимодействия в сети компании ZIP, меньше, чем может быть сконфигурировано согласно спецификациям компании Cisco.
∙Команды конфигурирования ОС IOS стоят не в том порядке, в котором они вводились в
устройство
∙Устройство разделяет некоторые основные сегменты команд конфигурирования символом восклицательного знака (') Все символы в конфигурационном файле, стоящие в данной строке после восклицательного знака, устройством OC IOS не интерпретируются.
∙В качестве протокола динамической маршрутизации для протоколов IP, Apple Talk и IPX все маршрутизаторы в сети компании ZIP используют протокол EIGRP.
∙Для выполнения аутентификации, авторизации и учета устройства сети компании ZIP используют комбинацию протоколов RADIUS и TACACS+.
∙
Маршрутизатор в Куала-Лумпуре
Устройство сети компании ZIP в Куала-Лумпуре представляет собой маршрутизатор модели Cisco 2501. Конфигурацию этого маршрутизатора отличает следующее.
•Сегмент локальной сети в Куала-Лумпуре подключен к интерфейсу Ethernet.
•Куала-Лумпур с маршрутизатором Seoul-1 соединяются по двухточечному интерфейсу Frame Relay.
•Для DHCP-клиентов в сегменте локальной сети в Куала-Лумпуре назначение
IP-адресов выполняет DHCP-сервер ОС IOS.
Полная конфигурация маршрутизатора в Куала-Лумпуре выглядит следующим образом:
version 12.1
service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption
!
hostname Kuala-Lumpur
!
aaa new-model
aaa authentication login default group tacacs+ enable aaa authorization exec group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa acounting exe stop-only group tacacs+
enable secret 5 $2$5toY$IJQPTVD4.aEDLwZSnPrvX.
!
ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet.com
ip name-server 131.108.110.34 ip name-server 131.108.110.35
ip dhcp database tftp://131.108.2.77/kl-dhcp-info ip dhcp excluded-address 131.108.2.1 131.108.2.10 ip dhcp excluded-address 131.108.2.57
ip dhcp excluded-address 131.108.2.129 131.108.2.135
!
ip dhcp pool kl-common network 131.108.2.0/24
dns-server 131.108.101.34 131.108.101.35 domain-name zipnet. om netbios-name-server 131.108.21.70 netbios-node-type h
lease 0 1
!
ip dhcp pool kl-users network 131.108.2.0/25
default-router 131.108.2.1
!
ip dhcp pool kl-users-2 network 131.108.2.128/25
!
appletalk routing eigrp 25000 appletalk route-redistribution routing 0000.Оb1.2 Зе
clock timezone MST +8
!
interface Loopbackl
description Kuala-Lumpur router loopback ip address 131.108.254.9 255.255.255.255
!
interface EthernetO
description Kuala-Lumpur LAN Segment ip address 131.108.2.1 255.255.255.128
ntp broadcast
appletalk cable-range 3001-3010 appletalk zone Asia Manufacturing ipx network 3010
!
interface SerialO
description IETF frame relay PVCs on circuit M234563KL no ip address
encapsulation frame-relay ietf bandwidth 128
frame-relay Imi-type ansi
!
interface SerialO.100 point-to-point description FR PVC 100 to Seoul-1
ip address 131.108.242.2 255.255.255.252 bandwidth 128
frame-relay interface-dlci 100 appletalk cable-range 2901-2901 appletalk zone WAN Zone appletalk protocol eigrp
no appletalk protocol rtmp ipx network 2901
!
interface Seriall no ip address shutdown
!
router eigrp 25000 network 131.108.0.0 no auto-summary
!
ip classless
logging trap debugging logging console emergencies logging 131.108.110.33
acess-list 1 permit 131.108.0.0 0.0.255.255
276
acess-list 2 permit host 131.108.20.45
!
ipx router eigrp 25000 network 2901
network 3010
tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2
snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 1 KLCC Towers Kuala Lumpur Malaysia snmp-server contact Allan Leinwand allan@telegis.net
!
line con 0 password 7 095B59 line aux 0
line vty 0 4 password 7 095B59 acess-class 1 in
!
ntp update-calendar
ntp server 192.216.191.10 ntp server 129.189.134.11
!
end
Маршрутизатор SF-1
Устройство SF-1 сети компании ZIP представляет собой маршрутизатор модели Cisco 4700. Конфигурацию этого маршрутизатора отличает следующее.
•Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.
•Сегмент локальной сети в Сан-Франциско подключается к интерфейсу
Ethernet.
•На выходе в сегмент локальной сети в Сан-Франциско стоит IPX-фильтр GNS- сообщений.
Полная конфигурация маршрутизатора SF-1 выглядит следующим образом:
version 12.1
service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption
!
hostname SF-1
!
aaa new-model
aaa authentication login default group tacacs+ enable aaa authorization exe group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa acounting exe stop-only group tacacs+
enable secret 5 $2$5toY$IJQPTVD4.aEDLwZSnPrvX.
!
ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet. om
ip name-server 131.108.110.34 ip name-server 131.108.110.35 appletalk routing eigrp 25000 appletalk route-redistribution ipx routing 0000.1 2 .23bb
!
clock timezone PST -8
277
clock sunnier-time PDT recurring
!
interface Loopbackl
description SF-1 router loopback
ip address 131.108.254.1 255.255.255.255
!
interface FastEthernetO
description San Francisco FastEthernet backbone LAN ip address 131.108.20.1 255.255.252.0
appletalk cable-range 1-10 appletalk zone SF Zone ipx network 1010 full-duplex
!
interface EthernetO description SF-1 LAN Segment
ip address 131.108.101.1 255.255.255.0 ip helper-address 131.108.21.70 media-type lOBaseT
ntp broadcast
appletalk cable-range 11-100 appletalk zone Operations ipx network 100
ipx output-gns-filter 1010
!
interface Ethernetl no ip address shutdown
!
router eigrp 25000 network 131.108.0.0 no auto-summary
!
ip classless
logging 131.108.110.33 logging trap debugging logging console emergencies
access-list 1 permit 131.108.0.0 0.0.255.255 access-list 2 permit host 131.108.20.45
access-list 1010 permit aa.0207.0104.0874 access-list 1010 deny -1
!
ipx router eigrp 25000 network 100
network 1010 i
tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2
snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 22 Cable Car Drive, San Francisco, CA, USA snmp-server contact Allan Leinwand allan@telegis.net
!
line con 0 password 7 095B59
line aux 0 line vty 0 4
password 7 095B59 access-class 1 in I
ntp update-calendar
ntp server 192.216.191.10 ntp server 129.189.134.11
!
278
end
Маршрутизатор SF-2
Устройство SF-2 сети компании ZIP представляет собой маршрутизатор модели Cisco 4700. Конфигурация этого маршрутизатора имеет такие характеристики.
•Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.
•Два сегмента локальной сети в Сан-Франциско подключаются к двум интерфейсам Ethernet.
•На выходах в сегмент локальной сети в Сан-Франциско стоят IPX-фильтры GNS-сообщений.
Полная конфигурация маршрутизатора SF-2 выглядит следующим образом:
version 12.1
service timestamps debug datetime localtime service timestamps log datetime localtime service password-encryption
!
hostname SF-2
!
aaa new-model
aaa authentication login default group tacacs+ enable aaa authorization exec group tacacs+ if-authenticated aaa authorization network group radius if-authenticated aaa accounting exec stop-only group tacacs+
enable secret 5 $2$5toY$IJQPTVD4.aEDLwZ8nPrvX. i
ip domain-list zipnet.com ip domain-list zipnet.net ip domain-name zipnet.com
ip name-server 131.108.110.34 ip name-server 131.108.110.35 appletalk routing eigrp 25000 appletalk route-redistribution ipx routing 0000.OcOc.llbb
!
clock timezone PST -8
clock summer-time PDT recurring
!
interface Loopbackl
description SF-2 router loopback
ip address 131.108.254.2 255.255.255.255
!
interface FastEthernetO
description San Francisco FastEthernet backbone LAN ip address 131.Ю8.20.2 255.255.252.0
appletalk cable-range 1-10 appletalk zone SF Zone ipx network 10
!
interface EthernetO
description SF-2 LAN Segment 1
ip address 131.108.110.1 255.255.255.0 ip helper-address 131.108.21.70 media-type lOBaseT
ntp broadcast
appletalk cable-range 151-200 appletalk zone Marketing
ipx network 200
ipx output-gns-filter 1010
!
interface Ethernetl
description SF-2 LAN Segment 2
ip address 131.108.120.1 255.255.255.0 ip helper-address 131.108.21.70
279
media-type lOBaseT ntp broadcast
appletalk cable-range 101-150 appletalk zone Sales
ipx network 150
!
router eigrp 25000 network 131.108.0.0 no auto-summary
!
ip classless
logging 131.108.110.33 logging trap debugging logging console emergencies
access-list 1 permit 131.108.0.0 0.0.255.255 access-list 2 permit host 131.108.20.45 access-list 1010 permit aa.0207.0104.0874 access-list 1010 deny -1
!
ipx router eigrp 25000 network 10
network 150 network 200
!
tacacs-server host 131.108.110.33 tacacs-server key ZIPSecure radius-server host 131.108.110.33 radius-server key Radius4Me snmp-server community Zipnet RO 2 snmp-server community ZIPprivate RW 2
snmp-server host 131.108.20.45 Zipnet snmp frame-relay config snmp-server location 22 Cable Car Drive, San Francisco, CA, USA snmp-server contact Allan Leinwand, allan@telegis.net
!
line con 0 password 7 095B59
line aux 0 line vty 0 4
password 7 095B59 access-class 1 in
!
ntp update-calendar n tp server 192.216.191.10
ntp server 129.189.134.11
!
end
Маршрутизатор SF-Core-1
Устройство SF-Core-1 сети компании ZIP представляет собой маршрутизатор модели Cisco 7505. Конфигурацию этого маршрутизатора отличает следующее.
•Магистральный сегмент локальной сети в Сан-Франциско подключается к интерфейсу Fast Ethernet.
•Используется последовательный HDLC-канал к маршрутизатору в Сан-Хосе.
•Существует последовательный HDLC-канал к провайдеру Internet для сети компании ZIP.
•Маршрутизаторы SF-Core-1 и SF-Core-2 образуют HSRP-rpynny.
•Между сетью компании ZIP и локальным провайдером Internet-сервиса-В используется маршрутизация с применением протокола EBGP. Маршруты, которые объявляются и принимаются в рамках протокола ВОР, контролируются с помощью списков рассылки.
•В процессе EIGRP-маршрутизации для формирования маршрутов по умолчанию используется редистрибуция статических маршрутов.
•Для фильтрации трафика между сетью компании ZIP и общедоступной сетью Internet используется расширенный IP-список доступа.
280