Cisco Router основы. SSH

Спланировать адресацию сети, на основе первоначальных данных

Здесь надо вспомнить раздел бесклассовой адресации, где были примеры нахождения номера сети, полагаясь на количесво пользователей. Здесь этот процесс рассматриваться не будет.

Для 513 пользователей мы будем использовать подсеть 10.18.0.0/22, с диапазоном доступных адресов 10.18.0.1 - 10.18.3.254.

1. Fa0/0 - 10.18.1.0/22 (обратите внимание, что ip адрес заканчивается на 0, такой выбор сделан для того, что бы развеять миф "об ip адресах заканчивающихся на 0 и 255", но надо понимать, что и у этой подсети есть ip адреса, которые мы не можем использовать 10.18.0.0 и 10.18.3.255);
2. Fa0/1 - 10.18.4.1/27

Выполнить базовую настройку роутера

Что бы приступить к настройке R0, надо подключиться к нему консолью через ПК_ADMIN. Первое, что вы увидите:

          --- System Configuration Dialog ---
 
 Continue with configuration dialog? [yes/no]: no
 
 
 Press RETURN to get started!
 
 
 Router>

Router предлагает произвести первоначальную настройку, набрав no, мы отказались ее произвести (первоначальная настройка рассматриваться не будет).

У роутера из "коробки" (без файла конфигурации startup-config) все порты находятся в состоянии administratively down, т.е. выключен. Настроим порты роутера, указав ip адреса, обозначенные в первом пункте.

 Router(config)#interf fa 0/1
 Router(config-if)#ip add
 Router(config-if)#ip address 10.18.4.1 255.255.255.224
 Router(config-if)#no shutdown
 Router(config-if)#
 %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up
 
 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
 
 Router(config-if)#interf fa 0/0
 Router(config-if)#ip address 10.18.1.0 255.255.252.0
 Router(config-if)#no shut
 
 Router(config-if)#
 %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
 
 %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
 
 Router(config-if)#

Как вы могли уже заметить командная строка коммутатора и роутера внешне ничем не отличается, самое главное отличие - набор команд для каждого типа устройств. Мы уже выставляли ip адрес на коммутаторе, аналогично мы сделали это на роутере - зашли в режим настройки интерфейса interface fastethernet <номер интерфейса>, назначили ему ip адрес командой ip address <ip адрес> <маска> и включили интерфейс no shutdown. Теперь я переименую роутер в R0, но вам не покажу как я это сделал, т.к. мы уже это проходили.

Теперь распределим ip адреса по компьютерам в сети (в дальнейшем мы научимся использовать DHCP и распределение будет происходить динамически):

• ПК_ADMIN - 10.18.1.255/22
• ПК_3 - 10.18.1.3/22
• ПК_4 - 10.18.1.4/22
• ПК_2 - 10.18.4.2/27
• ПК_5 - 10.18.4.5/27
• ПК_6 - 10.18.4.6/27

Изучить таблицу маршрутизации, arp-таблицу, рассмотреть основные show команды для изучения интерфейсов

Что бы просмотреть таблицу маршрутизации на роутере, надо вызвать команду show ip route.

 R0#sh ip route
 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
        * - candidate default, U - per-user static route, o - ODR
        P - periodic downloaded static route
 
 Gateway of last resort is not set
 
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
 C       10.18.0.0/22 is directly connected, FastEthernet0/0
 C       10.18.4.0/27 is directly connected, FastEthernet0/1
 R0#

В самом начале вывода этой команды, есть дополнение под названием Codes - список используемых символов и их описание. После слов Gateway of last resort is not set (что означает эта фраза, мы узнаем в одном из следующих разделов) идет таблица маршрутизации. Первой строчкой указана классовая сеть 10.0.0.0/8 и сообщается, что она разделена на подсети, которые мы можем видеть под ней. Символ C означает connected (эта информация есть в Codes) или подключенный напрямую (directly connected). Т.е. роутер знает о существовании двух подсетей, подключенных к нему напрямую - 10.18.0.0/22 к интерфейсу FastEthernet0/0 и 10.18.4.0/27 к интерфейсу FastEthernet0/1.

Раз роутер знает маршрут, то может пропускать пакеты между этими сетями. Еще раз убедитесь, что Gateway прописан на всех ПК правильно и после этого можно проверять достпность ПК_2 c компьютера ПК_3, рисунок 1.3 (на рисунке, Request timed out, говорит о том, что на первый запрос ПК_3 недождался, Request timed out, это нормально, если вы повторите команду, потерь больше не будет).

Перед тем как изучать ARP-таблицу, я советую пропустить некоторый трафик через R0. Например, выполнить ping-запросы с ПК_4 на ПК_5, с ПК_6 на ПК_3, для того что бы ARP-таблица заполнилась. После надо вызвать команду show arp.

 R0#sh arp 
 Protocol  Address          Age (min)  Hardware Addr   Type   Interface
 Internet  10.18.1.0               -   0007.ECB8.B501  ARPA   FastEthernet0/0
 Internet  10.18.1.3               185 000A.4188.50CA  ARPA   FastEthernet0/0
 Internet  10.18.1.4               2   0010.11E6.4557  ARPA   FastEthernet0/0
 Internet  10.18.1.255             0   000D.BD02.7E95  ARPA   FastEthernet0/0
 Internet  10.18.4.1               -   0007.ECB8.B502  ARPA   FastEthernet0/1
 Internet  10.18.4.2               185 00D0.BAC1.4150  ARPA   FastEthernet0/1
 Internet  10.18.4.5               2   0005.5E41.192A  ARPA   FastEthernet0/1
 Internet  10.18.4.6               1   0009.7C2B.0612  ARPA   FastEthernet0/1
 R0#	

Что полезного мы можем вынести из это таблицы? Во-первых соотношение ip адреса и MAC адреса. Во-вторых интерфейс на котором находится это устройство. В-третьих мы можем узнать когда впервые роутер узнал ARP-запись (Age (min) - возраст в минутах). По умолчанию, каждая ARP-запись находится 4 часа, а после удаляется.

 R0#sh ip interface brief 
 Interface              IP-Address      OK? Method Status                Protocol
  
 FastEthernet0/0        10.18.1.0       YES manual up                    up
  
 FastEthernet0/1        10.18.4.1       YES manual up                    up
  
 Vlan1                  unassigned      YES unset  administratively down down
 R0#

Есть так же команды show ip interface (рассматриваться не будет) и show interfaces (либо show interface <имя номер интерфейса> для просмотра информации по конкретному интерфейсу).

 R0#sh interface fa 0/0
 FastEthernet0/0 is up, line protocol is up (connected)
   Hardware is Lance, address is 0007.ecb8.b501 (bia 0007.ecb8.b501)
   Internet address is 10.18.1.0/22
   MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
      reliability 255/255, txload 1/255, rxload 1/255
   Encapsulation ARPA, loopback not set
   ARP type: ARPA, ARP Timeout 04:00:00, 
   Last input 00:00:08, output 00:00:05, output hang never
   Last clearing of "show interface" counters never
   Input queue: 0/75/0 (size/max/drops); Total output drops: 0
   Queueing strategy: fifo
   Output queue :0/40 (size/max)
   5 minute input rate 0 bits/sec, 0 packets/sec
   5 minute output rate 0 bits/sec, 0 packets/sec
      35 packets input, 3463 bytes, 0 no buffer
      Received 2 broadcasts, 0 runts, 0 giants, 0 throttles
      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
      0 input packets with dribble condition detected
      30 packets output, 3140 bytes, 0 underruns
      0 output errors, 0 collisions, 1 interface resets
      0 babbles, 0 late collision, 0 deferred
      0 lost carrier, 0 no carrier
      0 output buffer failures, 0 output buffers swapped out
 R0#

Здесь можно найти очень много полезной информаци. Интерфейс в рабочем состоянии, имеет статус up (так же могут быть состояния down - физически выключен, провод не вставлен или administratively down - выключен програмно, например, при помощи команды shutdown). Так же MAC адрес интерфейса (Hardware address), ip адрес (Internet address), MTU (что такое MTU). Бывает очень полезно узнать когда последнии раз принимались (Last input 00:00:08) или передавались (output 00:00:05) данные с этого интерфейса, а так же статистику скорости передачи, приема за пять минут ( 5 minute input/output rate 0 bits/sec, 0 packets/sec). Очень полезная информация о ошибках на интерфейсе. В строчке Input queue: 0/75/0 предпоследнее число отвечает за кол-пакетов, которые могут содержаться в буфере, а последнее число показывает сколько пакетов было отброшено при переполнении буфера. Строчка input errors показывает сколько всего было замечено пакетов с ошибками. Более подробную информацию вы можете найти тут.

Настройка ssh, telnet с использованием логина/пароля

Начнем с простого - создания пользователей. Но прежде чем создавать пользователей для удаленного подключения, надо разобраться с privilege level (уровень привилегий). Когда вы подключаетесь к роутеру "из коробки", вы попадаете User mode (пользовательский режим), которые имеет самые низкие права - privilege level 1. Если вы наберете enable, то попадете в Privilege mode (режим с привилегиями), который имеет наивысший права - privilege level 15. Мы не будем разбираться как можно распределять права, а просто всем пользователям будем выдавать максимальные права. Создадим нового пользователя.

 R0(config)#username gurkin33.ru privilege 15 password gurkin33.ru

Готово. Теперь у нас есть первый пользователь с максимальными правами. Прежде чем переходить к настройке ssh, настроим telnet авторизацию по логин/паролю (до этого была авторизация только по паролю).

										
 R0(config)#lin vty 0 4 
 R0(config-line)#login local 
 R0(config-line)#transport input telnet	
 

Команда login local означает, что авторизовать (пользователя) надо из локальной базы пользователей. Раньше мы указывали команду privilege level 15 с помощью которой все пользователи подключенные по telnet получали максимальные права, но теперь мы научились выставлять права отдельные для каждого пользователя. Давайте подключимся к R0 c ПК_ADMIN, рисунок 1.4.

Теперь мы можем приступить к настройке Secure Shell (ssh).

SSH зашифровывает передаваемые данные, между клиентом и сервером, при помощи специального ключа (в нашем случае это "RSA" ключ (Rivest-Shamir-Adleman), в подробности вдаваться не будем). Ключ надо сгенерировать командой crypto key generate rsa. Но прежде чем генерировать ключ, надо указать доменное имя (например, gurkin33.ru) ip domain-name <доменное имя> (если вы не изменили hostname со стандартного Router на что-то иное, то самое время сделать это, потому что без этого ключ не сгенерится).

										
 R0(config)#ip domain-name gurkin33.ru
 R0(config)#crypto key generate rsa 
 The name for the keys will be: R0.gurkin33.ru
 Choose the size of the key modulus in the range of 360 to 2048 for your
   General Purpose Keys. Choosing a key modulus greater than 512 may take
   a few minutes.
 
 How many bits in the modulus [512]: 1024
 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
 
 R0(config)#	
 

Установили доменное имя gurkin33.ru. После запуска процесса генерации, роутер предлагает выбрать размер ключа (чем больше ключ, тем безопасней, но тем больше тратиться процессорное время на шифрование/дешифрование), по умолчанию 512 бит, в нашем примере мы сгенерировали ключ на 1024 бита.

Остался еще один маленький момент, надо указать что бы роутер принимал ssh соединения, делается это при помощи команды transport input ssh (если вы хотите что бы работал telnet и ssh, то команду transport input all, а в реальном оборудовании можно так transport input ssh telnet).

 R0(config)#lin vty 0 4
 R0(config-line)#transport input ?
   all     All protocols
   none    No protocols
   ssh     TCP/IP SSH protocol
   telnet  TCP/IP Telnet protocol
 R0(config-line)#transport input all 	

Вот теперь давайте подключимся к R0 c ПК_ADMIN, рисунок 1.5. Для этого на ПК_ADMIN мы вызываем команду типа ssh -l <логин> <ip адрес>

Ниже представлен "копипаст", для быстрой настройки ssh.

 lin vty 0 4
 transport input ssh
 login local 
 ip domain-name example.ru
 hostname R_Name0
 crypto key generate rsa
 username g33 privilege 15 password cisco