uvod u cisco ios command line interface
TRANSCRIPT
V I S O K A T E H N I Č K A Š K O L A
N I Š
PROJEKTNI RAD
Uvod u Cisco Command Line Interface
Predmet: Aktivni mrežni uređaji
Mentori:
dr Dejan Blagojević
mr Dušan Stefanović
Sadržaj
Cisco IOS Command Line Interface.........................................................................3
Projektni rad..............................................................................................................4
1. Kreiranje lozinke za pristup preko konzole i telnet sesije....................................................5
2. SSH pristup...........................................................................................................................5
3. CDP (Cisco Discovery Protocol).........................................................................................6
4. IP adrese...............................................................................................................................8
Statičko rutiranje..........................................................................................................................8
5. TFTP (Trivial File Transfer Protocol).................................................................................9
6. Sigurnost porta (Port Security)...........................................................................................10
7. DCE - DTE.........................................................................................................................11
Provera konfiguracije router-a................................................................................12
2
Cisco IOS Command Line Interface
Osnovni način konfigurisanja i rada sa Cisco router-ima jeste direktno zadavanje
komandi u tekstualnom interfejsu koji se naziva Command Line Interface (CLI). CLI se sastoji
od nekoliko modova rada koji su hijerarhijski organizovani kao na Slici 1.
Slika 1. Hijerarhijska organizacija CLI-a
User mode je osnovni mod u kojem je moguće korišćenje komandi kojima se prikazuju
samo najosnovnije informacije o radu router-a. Komandom enable prelazi se u privileged
mode (ili enable mode), koji je zaštićeni mod u kojem je moguće prikazivanje svih informacija o
router-u. Komandom disable se vraća nazad u user mode. Da bi se menjali parametri
router-a, odnosno da bi se router konfigurisao, potrebno je preći u globalni konfiguracioni mod
zadavanjem komande configure terminal. U ovom modu je moguće podešavati opšte
parametre router-a, dok je za konfigurisanje nekih specifičnih delova postoji čitav niz pod-
modova. Ovim modovima se pristupa zadavanjem komandi kao što su interface (za
konfiguraciju interfejsa), router (za konfiguraciju routing protokola) ili line (za
konfiguraciju konzole ili TELNET portova), dok se za izlazak iz specifičnog pod-moda, kao i za
izlazak iz globalnog konfiguracionog moda koristi naredba exit.
3
Projektni rad
Potrebno je napraviti mrežnu topologiju kao na Slici 2:
Slika 2.
Topologija se sastoji od dva Cisco 2621 router-a koji imaju po dva FastEthernet
interfejsa i po jedan modul WIC-1T sa serijskim interfejsom, dva Cisco 2620 switch-eva, dva
personalna računara i dva TFTP servera. Dva rutera su povezana serijskim interfejsima i
predstavljaju WAN servis gde je ruter ITC1 uređaj na strani servis provajdera (Data
Circuitterminating Equipment – DCE) a ruter ITC2 uređaj na strani korisnika (Data Terminating
Equipment – DTE)
Potrebno je podesiti osnovne parametre router-a, switch-eva i servera. Prvo podesiti ime
router-a na ITC1 i ITC2:
Router> enableRouter# configure terminalRouter(config)# hostname ITC1ITC1(config)#
Sličnu proceduru treba ponoviti za ITC2, SW1 i SW2.
4
1. Kreiranje lozinke za pristup preko konzole i telnet sesije
Na router-u ITC1 i SW1 kreirati lozinku za pristup preko konzole i telnet sesije.
Lozinke u konfiguracionom fajlu treba da budu kriptovane.
Potrebno je iz konfiguracionog moda ući u konfiguracioni mod konzole, podesiti lozinku
i uključiti proveru lozinke prilikom ulaska u korisnički mod.
ITC1(config)# line console 0ITC1(config-line)# password banedejanITC1(config-line)# loginITC1(config-line)# exit
Takođe, potrebno je ući u konfiguraciju TELNET portova i postaviti parametre za
lozinku i proveru lozinke prilikom ulaska u korisnički mod.
ITC1(config)#line vty 0 4ITC1(config-line)#password banedejanITC1(config-line)#loginITC1(config-line)#exit
Da bi lozinke bile kriptovane potrebno je uključiti potreban servis iz globalnog
konfiguracionog moda.
ITC1(config)#service password-encryption
2. SSH pristup
Na ruteru ITC2 kreirati SSH pristup.
SSH je skraćenica za “Secure Shell”. SSH obično koristi port 22 za povezivanje računara
na drugi računar preko Interneta. Najčešće ga koriste administratori mreža za daljinsko
prijavljivanje i upravljanje serverima.
Ukoliko je udaljeni pristup switch-u neophodan bolje je koristiti SSH umesto TELNET-a
jer SSH obezbeđuje šifrovane veze na daljinu. Pre upotrebe SSH na switch, administrator mora
na switch-u da konfiguriše sa sledeće komande: hostname, ip domain-name i crypto key generate
rsa.
ITC2(config)# hostname projekat.com
Komanda crypto key generate rsa zavisi od hostname-a i ip domain-name-a. Ova
komanda generiše Rivest, Shamir, Adleman (RSA) par ključeva, od kojih je jednu javni a jedan
5
privatni RSA ključ. Zatim, napravi par RSA ključeva za router da ih koristi za proveru identiteta
i šifrovanje SSH podataka. Jedno od pitanja na koje se mora odgovoriti u toku procesa kreiranja
ključeva je modulus size ključa. Cisco preporučuje najmanje 768 bita.
TR-Router(config)# crypto key generate rsaThe name for the keys will be: ITC2.projekat.comChoose the size of the key modulus in the range of 360 to 2048for your General Purpose Keys. Choosing a key modulus greater than512 may take a few minutes.
How many bits in the modulus [512]: 768% Generating 768 bit RSA keys ...[OK]
ITC2(config)#*mar 1 2:24:57.78: %SSH-5-ENABLED: SSH 1.99 has been enabledITC2(config)#
Kao što se može videti iz ovog primera, nakon što sistem generiše ključ, dobijamo
poruku da je automatski omogućen SSH 1,99 na router-u. SSH 1,99 znači da je sistem omogućio
podršku za SSH1 i SSH2. Ako sistem omogući podršku samo za SSH2, poruka će biti SSH 2.0 a
ako omogući samo SSH1 poruka će biti SSH 1.5.
3. CDP (Cisco Discovery Protocol)
Preko CDP-a otkriti oznaku interfejsa na svim mrežnim uređajima. Podesiti
CDP tajmere tako da holddown tajmer bude 15 sec a frekfencija slanja 5 sec. Na
ITC1 omogućiti CDP samo na interfejsu koji ima adresu 212.1.1.1.
CDP je medijski i mrežni protokol sloja 2 (Data link) koji se koristi za otkrivanje informacija
o susednim mrežnim uređajima. CDP uređaji periodično šalju obaveštenja preko multikast
adresu svakih 60 sekundi po default-u. Holdtime je 180 sekundi po default-u. CDP radi na svim
Cisco uređajima, uključujući router-e, swich-eve, bridge-eve i za pristup serverima. CDP
prikuplja informacije o susednim uređajima kao što su tip uređaja, verzija softvera, i adresa
mrežnog sloja, ako je podešena. Ova informacija se čuva u tabeli u RAM-u.
CDP je omogućen po default-u, a koristeći sledeću komandu u globalnom konfiguracionom
režimu rada da bi onemogućili CDP za celi ruter:
Router(config)# no cdp run
6
Da bi videli da li je CDP omogućen za ruter, i trenutne CDP tajmere, koristimo sledeću naredbu:
Router> show cdp
Da biste onemogućili CDP na određenom interfejsu, koristimo sledeću komandu u
konfiguracionom modu interfejsa:
Router(config-if)# no cdp enable
Jedna od najvažnijih komandi u vezi CDP je show cdp neighbors
Router02> show cdp neighborsCapability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host,I - IGMP, r - RepeaterDevice ID Local Intrfce Holdtme Capability Platform Port IDRouter01 Ser 0 154 R 2500 Ser 0
When the detail option is added to the command, it will display the following additional information per discovered
device:
Network layer addresses (IP, IPX, AppleTalk, etc.)
IOS version
The show cdp interface command displays the interfaces for which CDP is enabled including the encapsulation type
and CDP timers. The default update timer of 60 seconds can be changed using the cdp timer command in global
configuration mode. For example, the following commands will configure the router to send CDP advertisements
every 90 seconds:
Router(config)# cdp timer 90
The default holdtime of 180 seconds can be changed using the cdp holdtime command in global configuration
mode:
Router(config)# cdp holdtime 270
To disable CDP globally on a Catalyst 1900 switch (not relevant for CCNA), use the following command:
Console> (enable) set cdp disable
CDP can be disabled on a particular interface. In the following example CDP is disabled for the port 12 on a module
1:
Console> (enable) set cdp disable 1/12
7
4. IP adrese
Podesiti IP adrese na ruterima i switch-evima na osnovu prikazanog dijagrama.
Omogućiti komunikaciju ralunara u mreži 172.16.1.0 i mreži 192.168.1.0.
Potrebno je podesiti interfejse router-a. Na router-u ITC1 interfejsu Serial0/0 treba
dodeliti IP adresu 212.1.1.1 i subnet masku 255.255.255.252 (/30) a interfejsu FastEthernet0/0
router-a ITC1 treba dodeliti IP adresu 172.16.1.1 i subnet masku 255.255.255. 0 (/24):
ITC1(config)# interface Serial0/0ITC1(config-if)# ip address 212.1.1.1 255.255.255.252ITC1(config-if)# no shutdownITC1(config)# exitITC1(config)# interface fastEthernet0/0ITC1(config-if)# ip address 176.16.1.1 255.255.255.0ITC1(config-if)# no shutdownITC1(config)# exit
Interfejsu Serial0/0 router-a ITC2 treba dodeliti IP adresu 212.1.1.2 sa subnet maskom
255.255.255.252 (/30) i interfejsu FastEthernet0/0 router-a ITC2 treba dodeliti IP adresu
192.168.1.1 sa subnet maskom 255.255.255.0 (/24):
ITC2(config)# interface Serial0/0ITC2(config-if)# ip address 212.1.1.2 255.255.255.252ITC2(config-if)# no shutdownITC2(config)# exitITC2(config)# interface fastEthernet0/0ITC2(config-if)# ip address 192.168.1.1 255.255.255.0ITC2(config-if)# no shutdownITC2(config)# exit
Statičko rutiranje
Da bi kreirali statičke rute na Cisco router-ima, možemo koristiti ip route command
podešavajući destinacionu mrežu, masku mreže, kao i usmerenje na narednu IP adresu (IP adresu
sledećeg router-a ka destinacionoj mreži) ili interfejs na lokalnom router-u koji će poslužiti kao
izlazni interfejs ka destinacionoj mreži.
Da bi mreža 172.16.1.0/24 komunicirala sa mrežom 192.168.1.0/24 potrebno da router
ITC1 usmeri pakete ka router-u ITC2 na njegov Serial0/0 interfejs ili da router ITC1 propusti
pakete kroz svoj Serial0/0 interfejs.
8
ITC1(config)#ip route 192.168.1.0 255.255.255.0 212.1.1.2 (next-hop IP add.)
Ili
ITC1(config)#ip route 192.168.1.0 255.255.255.0 serial0 (local exit interface)
Da bi mreža 192.168.1.0/24 komunicirala sa mrežom 172.16.1.0/24 potrebno da router
ITC2 usmeri pakete ka router-u ITC1 na njegov Serial0/0 interfejs ili da router ITC2 propusti
pakete kroz svoj Serial0/0 interfejs.
ITC1(config)#ip route 172.16.1.0 255.255.255.0 212.1.1.1 (next-hop IP addr.)
Ili
ITC1(config)#ip route 172.16.1.0 255.255.255.0 serial0/0 (local exit interface)
5. TFTP (Trivial File Transfer Protocol)
Konfiguraciju rutera ITC1 i SW1 snimiti na TFTP1 dok konfiguraciju ITC2 i SW2 snimiti na TFTP2.
TFTP…
Kopiranje izvršnog konfiguracionog fajla router-a ITC1 na TFTP1:
ITC1#copy running-config tftp:Address or name of remote host []? 172.16.1.20Destination filename [ITC1-confg]? .!![OK - 672 bytes]
672 bytes copied in 3.02 secs (0 bytes/sec)ITC1#
Kopiranje izvršnog konfiguracionog fajla router-a ITC2 na TFTP2:
ITC2#copy running-config tftp: Address or name of remote host []? 192.168.1.6Destination filename [ITC2-confg]? .!![OK - 666 bytes]
666 bytes copied in 3.019 secs (0 bytes/sec)ITC2#
9
6. Sigurnost porta (Port Security)
Postaviti PORT_SECURITY na SW1 portu na koji je povezan računar sa IP
172.16.1.10, i to tako da dozvolite max. 1 mac adresu koja je naučena preko sticky
opcije sa prekršajnim pravilom protected.
Sigurnost porta predstavlja mogučnost kontrole prometa drugog sloja na Cisco switch-
evima. Ona omogućava administratoru konfiguraciju sigurnosnih opcija na svakom portu
pojedinačno kao i kontrolu ulazka samo određenog broja izvornih MAC adresa na određeni port.
Primarna upotreba ove opcije je u sprečavanju dodavanja novih switch-eva na mrežu od strane
korisnika i nezakonitog proširivanja opsega mreže (npr. dva ili tri korisnika mogu deliti pristup
na jednom portu). Dodatak neupravljivih uređaja komplikuje mogučnost rešavanja problema od
strane administratora te ih je najbolje izbegavati.
Sigurnost porta sa se može pokrenuti izdavanjem jedne naredbe na određenom
interfejsu:
SW2(config)# interface f0/2SW2(config-if)# switchport mode accessSW2(config-if)# switchport port-security
Sigurnost porta se može konfigurisati tako da se prilikom otkrivanja povrede
implementira jedna od tri akcije :
shutdown ; Interfejs se stavlja u error-disabled (greškom uzrokovano) stanje blokirajući
sav promet.
protect; Frejmovi koji stižu sa nedozvoljenih MAC adresa se odbacuju; promet sa
dozvoljenih adresa će proći normalno.
restrict; Isto kao i protect način, ali generira syslog poruke i povećava brojač prekršaja
(violation).
Postavljamo prekršajno pravilo protect.
SW1(config-if)# switchport port-security violation protect
Po defaultu, sigurnost porta limitira broj dolazećih MAC adresa na jednu. Taj broj se
može promeniti. Mi potvrđujemo da je maksimalan broj MAC jedan.
SW1 (config-if)# switchport port-security maximum 1
10
Konfigurirane MAC adrese se snimaju u trenutnu konfiguraciju(running configuration).
Postoji mogućnost da se omoguči "ljepljiva" MAC adresa; MAC adrese će se dinamički pamtiti
dok se ne dostigne maksimum adresa za taj interfejs.
SW1(config-if)# switchport port-security mac-address sticky
Konfiguraciju sigurnosti porta možemo vidjeti ako upotrijebimo komandu show port-
security.
7. DCE - DTE
Podesiti brzinu na 1Mbps na ruteru koji je DCE. To je serijska veza između
ITC1 i ITC2.
ITC1(config)#interface Serial 0/0ITC1(config-if)#clock rate 1000000
Na kraju je potrebno sačuvati konfiguraciju:
ITC1# copy running-config startup-config
ITC2# copy running-config startup-config
11
Provera konfiguracije router-a
Posle konfigurisanja router-a, neophodno je proveriti da li je to konfigurisanje dovelo do
željenih rezultata. Konkretno, u ovom slučaju treba proveriti da li routing tabele routera sadrže
dovoljno informacija kako bi saobraćaj mogao biti tačno usmeravan. Za potrebe provere routing
tabele se koristi komanda IOS-a show ip route.
Sadržaja routing tabele router-a ITC1 dat je u sledećem prikazu:
ITC1>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 1 subnetsC 172.16.1.0 is directly connected, FastEthernet0/0S 192.168.1.0/24 [1/0] via 212.1.1.2 212.1.1.0/30 is subnetted, 1 subnetsC 212.1.1.0 is directly connected, Serial0/0
Sadržaja routing tabele router-a ITC2:
ITC2>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 1 subnetsS 172.16.1.0 [1/0] via 212.1.1.1C 192.168.1.0/24 is directly connected, FastEthernet0/0 212.1.1.0/30 is subnetted, 1 subnetsC 212.1.1.0 is directly connected, Serial0/0
12
Na kraju, potrebno je pomoću ping-a proveriti da li svaki računar u mreži može da
komunicira sa ostalim računarima u mreži. Na Windows XP platformi, to se obavlja otvaranjem
command prompt-a i unosom naredbe ping. Rezultat uspešnog ping-a sa računara PC1
(IP:172.16.1.10 SM:255.255.255.0) ka računaru PC2 (IP:192.168.1.5 SM:255.255.255.0) dat je
u sledećem prikazu:
PC>ping 192.168.1.5
Pinging 192.168.1.5 with 32 bytes of data:
Reply from 192.168.1.5: bytes=32 time=156ms TTL=126Reply from 192.168.1.5: bytes=32 time=156ms TTL=126Reply from 192.168.1.5: bytes=32 time=156ms TTL=126Reply from 192.168.1.5: bytes=32 time=156ms TTL=126
Ping statistics for 192.168.1.5: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 156ms, Maximum = 156ms, Average = 156ms
13