Смекни!
smekni.com

Конфигурирование интерфейсов Ethernet на маршрутизаторе (стр. 2 из 4)

1. Сначала нужно войти в режим конфигурирования с терминала:
Router#configure terminal

2. Выберем нужный интерфейс:
Router(config)#interface Ethernet0 или сокрашенно int E0

3. Теперь нужно задать IP адрес:
Router(config-if)#ip address 172.16.150.1 255.255.255.0

4. Выполним включение апаратуры:
Router(config-if)#no shutdown

Также доступны следующие команды:

(Interface configuration commands)

access-expression Build a bridge boolean access expression

arp Set arp type (arpa, probe, snap) or timeout

backup Modify backup parameters

bandwidth Set bandwidth informational parameter

bridge-group Transparent bridging interface parameters

carrier-delay Specify delay for interface transitions

cdp CDP interface subcommands

cmns OSI CMNS

custom-queue-list Assign a custom queue list to an interface

default Set a command to its defaults

delay Specify interface throughput delay

description Interface specific description

duplex Configure duplex operation.

exit Exit from interface configuration mode

fair-queue Enable Fair Queuing on an Interface

full-duplex Configure full-duplex operational mode

half-duplex Configure half-duplex and related commands

help Description of the interactive help system

hold-queue Set hold queue depth

ip Interface Internet Protocol config commands

keepalive Enable keepalive

llc2 LLC2 Interface Subcommands

load-interval Specify interval for load calculation for an

interface

logging Configure logging for interface

loopback Configure internal loopback on an interface

mac-address Manually set interface MAC address

max-reserved-bandwidth Maximum Reservable Bandwidth on an

Interface

media-type Interface media type

mtu Set the interface Maximum Transmission Unit

(MTU)

multilink-group Put interface in a multilink bundle

netbios Use a defined NETBIOS access list or enable

name-caching

no Negate a command or set its defaults

ntp Configure NTP

priority-group Assign a priority group to an interface

random-detect Enable Weighted Random Early Detection

(WRED) on an interface

rate-limit Rate Limit

service-policy Configure QoS Service Policy

shutdown Shutdown the selected interface

snapshot Configure snapshot support on the interface

snmp Modify SNMP interface parameters

speed Configure speed operation.

standby Hot standby interface subcommands

timeout Define timeout values for this interface

traffic-shape Enable Traffic Shaping on an Interface or

Sub-Interface

transmit-interface Assign a transmit interface to a

receive-only interface

tx-queue-limit Configure card level transmit queue limit

IP адресация

Системный администратор должен свободно ориентироватся в IP адресации. Адрес любого компьютера подключенного к сети интернета состоит из двух частей : адрес сети и адрес хоста, например в сети класса C полный адрес хоста выглядит так :

233.233.233.113, где 233.233.233 - адрес сети,а 113 - адрес хоста.

Конечно, роутер работает с адресами в двоичном представлении (в качестве основания взято число "2")о чем и подет речь ниже. Полный IP адрес занимает 32 байта или 4 октета по 8 битов в каждом. Напрмер часто используемая маска сети 255.255.255.0 в двоичном представлении выглядит так :

11111111 11111111 11111111 00000000

Преобразование адресов из двоичной в десятичную систему счисления (CC) производится путем подсчета значащих (заполненных единицами ) битов в каждом октете и возведении в эту степень двойки. Напрмер число 255 есть 2 в восьмой степени или полностью заполненые все восемь битов в октете единицами (см. выше). Обратный же процесс преобразования адреса из десятичной CC в двоичную тоже прост - достаточно запомнить значение каждого бита в десятичной системе и путем операции "Логическое И" над адресом и нашим шаблоном получаем двоичное представление.

7 6 5 4 3 2 1 0 степень 2 ---------------------------------------- 128 64 32 16 8 4 2 1 значение 2

Верхняя строка показывает нумерацию разрядов в октете или степень двойки в каждом разряде, нижняя строка - значение двойки в степени. Напрмер возмем адрес 233.233.233.111, и начнем перевод в двоичную СС. 233 в десятичную систему счисления : первый байт 233 получается суммой следующих слагаемых, которые мы набираем из нижней строки :

233 = 128+ 64 + 32 + 8 + 1

где позиции из которых были задействованны слагаемые мы записываем единицами, остальные нулями и получается - "11101001". Адрес хоста (последний октет) - десятичное 113 раскладывается так :

64 + 32 + 16 + 1В итоге полный адрес будет выглядеть так : 11101001 11101001 11101001 01110001

Адрес сети в зависимости от первых трех битов делится на сети класса A, B, C, а маршрутизатор по первым битам определяет какого класса данная сеть, что ускоряет процесс маршрутизации. Ниже представленна таблица сетей, где AAA - часть адреса сети, BBB - часть адреса хоста

Сеть класса A (первый бит "0):

AAA.HHH.HHH.HHH (диапазон AAA от 1 до 127), например : 63.12.122.12 Сеть класса B (первые два бита 10) :AAA.AAA.HHH.HHH (диапазон AAA от 128 до 191), например 160.12.234.12 Сеть класса C (первые три бита 110):AAA.AAA.AAA.HHH (диапазон AAA от 192 до 223), например 200.200.200.1

Соответственно число узлов в сети класса A (16 777 214) больше чем узлов в сети класса B (65534) и совсем немного станций можно определить в сети класа C - всего 254. Почему не 256 - спросите вы ? Дело в том что два адреса содержащего только нули и только единицы резервируется и от числа адресов отнимается 2 адреса 256-2 = 254. То же касается и части адреса сети : в сети класса A можно создать 128-1=127 сетей, так как один нулевой адрес сети используется при указании маршрута по умолчанию при статической маршрутизации, сетей класса B может быть 2 в 14 степени = 16384 (2 октета по 8 бит = 16 битов - 2 первых зарезервированных бита = 14), сетей класса C насчитывается 2 в 21 степени (3 октета по 8 бит = 24 бита - 3 первых зарезервированных бита = 21).

Еще пример. Есть маска сети 255.255.224.0 и ее надо представить в двоичном виде. Вспомнив что 255 в двоичной системе счисления есть 8 единиц мы записываем :

11111111 11111111 ???????? 00000000

Число 224 раскладывается по шаблону на следующие множители :
128 + 64 + 32 = 224 и заполнив единицами позиции из которых мы использовали слагаемые а нулями неиспользуемые позиции получаем полный адрес в двоичном представлении : получаем двоичное число

11111111 11111111 1110000 00000000

Теперь перейдем к пониманию того как же образуются подсети на примере сети класса C. Введение понятия подсети необходимо для экономии и четкого упорядочивания адресного пространства в компании, поскольку давать каждому отделу свое адресное пространство на 256 хостов в каждой сети нет необходимости да и накладно будет подобное для ISP. К тому же снижается трафик в сети поскольку роутер теперь может направлять пакеты непосрественно в нужную подсеть (определяющую отдел компании) а не всей сети.

Для того чтобы разделить сеть на подсети используют часть битов из адресного пространства описывающего адрес хоста с помошью маски подсети. Например в сети класса C мы можем использовать последний октет (8 битов), точнее его часть. Теперь разберемся с логической структурой компании . Компания имеет 10 отделов с числом компьютеров в каждом отделе не более 12-ти. Для такой струкруты подойдет маска подсети 255.255.255.240. Почему спросим мы ? Если представить маску в двоичном представлении :

1111111 11111111 11111111 11110000

то мы увидим что последний октет состоит из 4-х единиц и нулей. Поскольку 4 бита забирается из адреса сети для маски подсети то у нас остается 2 в четвертой степени адреса (2xx4=16 - адресов). Но согласно RFC использовать нулевые адреса и адреса состоящие их единиц не рекомендуется, значит из 16 адресов мы вычитаем 2 адреса = 14 адресов в каждой подсети. Аналогично мы можем подсчитать число подсетей равное : 2 в 4-й степени = 16 - 2 зарезервированных адреса , итого 14 подсетей.

Применяя данную методику посчета мы можем организовывать адресное пространство согласно структуре компании, в нашем случае каждый отдел будет иметь по 14 адресов с маской 255.255.255.240 с числом отделов до 14-ти. Но системный администратор должен знать еще и диапазон адресов в назначаемый им каждом отделе. Это делается путем вычитания первого подсети ("16) подсети из числа 256, т.е 256-16=240, 240-16=224... и так до тех пор пока не получится число меньше чем 16. Корректные адреса хостов лежат в диапазоне между подсетями, как в таблице :

Подсеть 16 (17-30) Подсеть 32 (33-46) Подсеть 48 (49-62) Подсеть 64 (65-..) ... ... Подсеть 224 (225-238)

В первой подсети 16 вы видите что диапазон адресов находится в границах от 17 до 30. "31" адрес (а если быть точнее часть адреса исключая биты подсети) состоит из единиц (используя 4 последних бита под адрес хоста мы получим широковещательный адрес) и мы не можем использовать его, само число 31 в двоичном представлении = 00011111. Старайтесь всегда переводить числа в двоичную с/с или пользуйтесь таблицами, ведь маршрутизатор получив неправильную маску или адрес хосто не сможет доставить обратно пакеты этому хосту.

Значит первую подсеть мы можем выделить секретариат отделу где каждый хост должен иметь маску подсети 255.255.255.240. При работе с маршрутизатором Вам следует учесть что использовать нулевую подсеть, c маской 255.255.255.128 в RFC не рекомендуется , но Вы можете решить эту проблему введя команду ip classless в глобальную кофигурацию роутера.

5. Защита доступа к роутеру

Так как по линиям Ethernet с помощью telnet сессий доступно управление роутером необходимо провести соответствующую настройку защиты, мы займемся защитой паролем доступа к трем внешним источникам конфигрирования роутера :

- консоли роутера- дополнительного порта для подлкючения модема (AUX)- доступа по telnet сеансу

Для того чтобы закрыть доступ по консоли роутера войдите в режим конфигурирования

Router#config terminal

и введите команду задания пароля :

Router(config)#line console 0Router(config)#password your_passwordRouter(config)#loginRouter(config)#exitRouter#wr mem

Задание пароля на AUX порту задается так же :

Router(config)#line aux 0Router(config)#password your_passwordRouter(config)#loginRouter(config)#exitRouter#wr mem

И наконец пароль для telnet сессий :

Router(config)#line vty 0 4Router(config)#password your_passwordRouter(config)#loginRouter(config)#exitRouter#wr mem

Обратите внимение, что при задании пароля для telnet сеанса вы указываете число разрешенных сессий равное 4-м. При попытке получить доступ по любому из перечисленных способов получения доступа к роутеру вы получите приглашение такого рода : "Enter password:" При большом количестве роутеров использкуюте AAA acounting для задания механизма единой авторизации на всех устройствах cоздав пользователя командой :

Router(config)#username vasya password pipkin_passwordRouter(config)#exitRouter#wr term

По комапнде snow config мы увидим что наш пароль зашифрован и разгадать его достаточно сложно :

username vasya password 7 737192826282927612

Затем включаем в глобальном конфиге AAA accounting :

aaa new-modelaaa authentication login default localaaa authentication login CONSOLE noneaaa authorization exec local if-authenticated

Далее сконфигурируем AUX, Console, telnet сессию, чтобы получить в итоге в конфиге :

line con 0 login authentication CONSOLEline aux 0 transport input noneline vty 0 4!

Теперь при попытке залогиниться получим следующее приглашение (пароль не отображается):