ЛР1__Начальное_конфигурирование_

[Audio] МГТУ ИМ. Н.Э. БАУМАНА ФАКУЛЬТЕТ ИУ КАФЕДРА ИУ3 МЕТОДИЧЕСКИЕ УКАЗАНИЯ К ЛАБОРАТОРНОЙ РАБОТЕ Начальное конфигурирование Курс Проектно-технологическая практика по инфокоммуникационным системам и сетям.

[Audio] Содержание Цель работы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Теоретическая часть . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Среда моделирования Packet Tracer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Начальное конфигурирование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Настройка имени хоста . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 Настройка парольной защиты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Настройка IP-адреса коммутатора . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Настройка шлюза по умолчанию . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Сохранение конфигурации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Создание VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Добавление интерфейсов в VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Настройка транковых интерфейсов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Цель работы 1. Изучить среду моделирования Cisco Packet Tracer и её интерфейс. 2. Освоить базовые навыки конфигурирования сетевого оборудования. 3. Изучить принцип работы виртуальных локальных сетей (VLAN), их создание и настройку. 4. Изучить настройку маршрутизации между различными виртуальными локальными сетями. Теоретическая часть Среда моделирования Packet Tracer Packet Tracer – среда для визуального моделирования компьютерных сетей. Представляет собой безопасную «песочницу», где можно экспериментировать с топологиями, изучать поведение трафика и отрабатывать сценарии отказов без риска сломать реальное оборудование. Она позволяет получить практические навыки настройки и диагностики проблем в сетях. Рабочий интерфейс программы делится на три основные зоны: 1. Панель категорий оборудования (коммутаторы, маршрутизаторы, ПК, кабели и т.д.). 2. Панель выбора конкретной модели устройства в выбранной категории 3. Рабочая область для размещения оборудования и построения связей между ними. Рис. 1: Общий вид интерфейса Packet Tracer Важная особенность данной среды – наличие режима симуляции. В отличие от режима реального времени, симуляция позволяет пошагово отслеживать все PDU, пересылаемые в сети. В этом режиме они отображаются в виде графических конвертов, перемещающихся между узлами. 2.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Рис. 2: Панель режима симуляции в Packet Tracer Кликнув на конверт, можно получить детальную информацию о том, как формируется PDU на каждом уровне модели OSI/ISO. Рис. 3: Информация о кадре ARP-запроса 3.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Также режим симуляции показывает логику работы оборудования. Если PDU было неожиданно отброшено сетевым устройством, описание подскажет точную причину. Например, несовпадение MAC-адресов или отсутствие нужной записи в таблице маршрутизации. Рис. 4: Описание причины, по которой кадр был отброшен Двойной клик мышью по любому устройству открывает окно его свойств и настроек. В данном курсе необходимо использовать две вкладки: Physical – даёт визуальное физическое представление устройства. Здесь можно включать и выключать питание и устанавливать дополнительные модули. CLI – командная строка Cisco IOS, где осуществляется конфигурирование оборудования. 4.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Рис. 5: Вкладка Physical Рис. 6: Вкладка CLI Для соединения устройств необходимо выбрать правильный тип кабеля (прямой, перекрёстный или зеркальный). На примере ниже для соединения ПК с коммутатором используется прямой кабель. Нажав на нужное устройство, выберите соответствующий интерфейс из выпадающего списка. Для соединения устройств нужно выбрать подходящий тип кабеля из панели выбора конкретного оборудования, нажать один раз мышью на устройство, после чего выбрать из списка необходимый интерфейс. Рис. 7: Выбор интерфейса коммутатора для подключения кабеля Результат соединения представлен на рисунке ниже. На кабеле рядом с интерфейсами устройств отображаются специальные световые индикаторы, имитирующие светодиоды на реальном оборудовании. 5.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Рис. 8: Физическое соединение компьютера и коммутатора Обращайте внимание на индикаторы, они показывают текущее состояние интерфейса. В зависимости от состояния цвета индикаторов могут быть следующими: Красный – физическое соединение отсутствует. Либо интерфейс в состоянии administratively down, либо устройство выключено, либо выбран неверный тип кабеля. Оранжевый – соединение устанавливается. Линк физически поднят, но коммутатор временно блокирует передачу данных, например, при проверке на наличие петель маршрутизации. Зелёный – соединение успешно установлено, интерфейс активен и готов к приёму и передаче трафика. Начальное конфигурирование Все устройства, работающие под управлением Cisco IOS, поставляются с завода с базовой конфигурацией. Для того, чтобы устройство могло корректно выполнять свои функции в сети, а также было безопасно и доступно для администрирования, необходимо провести его начальное конфигурирование. Управлять сетевыми устройствами можно несколькими способами: 1. Через консольное подключение (порт CONSOLE). Базовый способ, требующий физического доступа к устройству и консольного кабеля. 2. Через удалённое подключение (Telnet, SSH). Используется для управления по сети через виртуальные линии (VTY). 3. Через веб-интерфейс Cisco SDM. Для удалённого управления на устройстве уже должны быть настроены IP-адрес и пароли, поэтому первая настройка абсолютно всегда выполняется через консоль. После загрузки операционной системы коммутатор предоставляет доступ к CLI. Обратите внимание на префикс (Switch>) – оно указывает на текущий режим работы. Настройка имени хоста По умолчанию все коммутаторы и маршрутизации называются одинаково – Switch и Router соответственно. В реальной сети устройств может быть очень много, поэтому каждому из них необходимо задать уникальное и понятное имя. Для этого перейдите в режим глобальной конфигурации и введите команду hostname: 6.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Switch>enable Switch#configure terminal Switch(config)#hostname Hamster Hamster(config)# Настройка парольной защиты Нужно защитить доступ ко всем режимам и линиям управления коммутатором. Придумайте любой пароль, который будете использовать в рамках данной лабораторной работы. 1. Пароль для доступа к привилегированному режиму. Чтобы никто посторонний не мог вносить изменения в настройки, защитим переход из пользовательского режима (>) в привилегированный (#). Существует две команды для установки пароля: enable password и enable secret. Hamster(config)#enable password пароль Hamster(config)#enable secret пароль Команда enable password сохраняет пароль в конфигурации открытым текстом. Команда enable secret шифрует пароль с помощью MD5. Если заданы оба пароля, IOS будет использовать только enable secret. Выйдите в пользовательский режим Hamster(config)#exit Hamster# Попробуйте снова ввести enable, чтобы убедиться, что коммутатор запрашивает пароль. 2. Пароль для консольного интерфейса. Когда он задан, даже если злоумышленник получит физический доступ к устройству, он не сможет зайти даже в пользовательский режим. Hamster(config)#line console 0 Hamster(config-line)#password пароль Hamster(config-line)#login Команда login обязательна! Именно она указывает, что при подключении к консоли необходимо требовать ввод пароля, заданного командой password. 3. Пароль для удалённого доступа. Для управления устройством по сети необходимо задать пароль для VTY. Обычно оборудование Cisco поддерживает до 16 одновременных подключений, от 0 до 15. Hamster(config)#line vty 0 15 Hamster(config-line)#password пароль Hamster(config-line)#login 4. Глобальное шифрование паролей. Если посмотреть текущую конфигурацию устройства, вы увидите, что пароли хранятся открытым текстом. 7.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Hamster#show running-config Building configuration... Current configuration : 704 bytes ! version 15.1 no service password-encryption ! hostname Hamster ! enable password elite ! interface Vlan1 no ip address shutdown ! line con 0 password console login ! line aux 0 ! line vty 0 4 password vty login line vty 5 15 password vty login ! end Чтобы их зашифровать, нужно активировать службу шифрования: Hamster#configure terminal Hamster(config)#service password-encryption Проверив конфигурацию ещё раз, вы увидите, что все пароли теперь заменены на зашифрованные строки MD5. Hamster#show running-config Building configuration... Current configuration : 735 bytes ! version 15.1 8.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" service password-encryption ! hostname Hamster ! enable password 7 082440471D1C ! interface Vlan1 no ip address shutdown ! line con 0 password 7 082243401A160912 login ! line aux 0 ! line vty 0 4 password 7 08375857 login line vty 5 15 password 7 08375857 login ! end Настройка IP-адреса коммутатора Коммутатор работает на канальном уровне модели OSI/ISO, и для передачи кадров между компьютерами ему не нужны IP-адреса, но IP-адрес необходим самому коммутатору, чтобы можно было подключиться к нему удалённо по Telnet или SSH. Для этого IP-адрес назначается на специальный логический интерфейс – VLAN 1. Hamster(config)#interface vlan 1 Hamster(config-if)#ip address <маска> Hamster(config-if)#no shutdown Добавьте ноутбук, соедините его с коммутатором прямым кабелем, зайдите в Command Prompt и попробуйте зайти на коммутатор по telnet. C:\>telnet Если вы всё настроили правильно, устройство запросит пароль для доступа по линии VTY. Настройка шлюза по умолчанию Если инженер находится в другой подсети, коммутатору необходимо знать, куда отправлять ответные пакеты. Для этого на коммутаторе задаётся шлюз по умолчанию. 9.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Hamster(config)#ip default-gateway Сохранение конфигурации Все настройки, которые были произведены до этого момента, применялись мгновенно, но сохранялись в оперативной памяти устройства (в running-config). Если коммутатор перезагрузить или отключить питание, все настройки исчезнут. Чтобы сохранить настройки, необходимо скопировать текущую конфигурацию в энергонезависимую память NVRAM, в startup-config. Hamster#copy running-config startup-config Destination filename [startup-config]? <Нажмите Enter> Building configuration... [OK] Также можно использовать команду write. Hamster#write Building configuration... [OK] Перезагрузите коммутатор: Hamster#reload Проверьте, что конфигурация осталась на месте. VLAN С ростом количества устройств в сети возникает серьёзная проблема: если все компьютеры подключены к одному или нескольким коммутаторам в единой сети, они начинают «слышать» широковещательный трафик друг друга. Помимо ухудшения производительности узлов, это небезопасно – например, компьютеры рядовых сотрудников могут иметь прямой доступ к серверам бухгалтерии или устройствам руководства. Для решения вышеперечисленных проблем была придумана технология VLAN – виртуальная локальная сеть. Она позволяет логически разделить одну физическую сеть на несколько логических. Главные преимущества VLAN: 1. Устройства из одного VLAN не могут напрямую взаимодействовать с устройствами из другого VLAN без маршрутизатора. 2. Широковещательный трафик не рассылается по всей сети, а остаётся только внутри конкретной виртуальной локальной сети. По умолчанию абсолютно все интерфейсы коммутатора находятся в VLAN 1. Вы можете убедиться в этом, введя команду show vlan brief в привилегированном режиме. 10.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Создание VLAN На коммутаторах Cisco нормальный диапазон номеров для виртуальных сетей – от 1 до 1005, при этом номера 1002-1005 зарезервированы для устаревших технологий вроде Token Ring. Создадим новый VLAN и дадим ему понятное имя. Хорошей практикой является обязательное именование сетей – это сильно упростит диагностику в будущем. Hamster(config)#vlan 10 Hamster(config-vlan)#name Department Hamster(config-vlan)#exit Добавление интерфейсов в VLAN Конечные устройства не знают о существовании VLAN. Коммутатор сам добавляет специальную метку к кадру, когда тот попадает на интерфейс. Такой интерфейс, смотрящий в сторону конечного устройства, называется интерфейсом доступа (access port). На нём может быть настроен только один VLAN для передачи данных. Переведём интерфейс FastEthernet0/2 в режим доступа и добавим его в созданный нами VLAN 10: Hamster(config)#interface fa0/2 Hamster(config-if)#switchport mode access Hamster(config-if)#switchport access vlan 10 Hamster(config-if)#exit Настройка транковых интерфейсов В сетях, состоящих из нескольких коммутаторов, регулярно возникает необходимость передавать трафик разных VLAN по одному физическому каналу связи между устройствами. Если соединить коммутаторы интерфейсом доступа, такой линк сможет пропускать данные только одной конкретной виртуальной сети, что крайне неэффективно, так как придётся для каждого VLAN физически создавать линк. Для связи сетевого оборудования (коммутатор-коммутатор или коммутатор-маршрутизатор) используется магистральный интерфейс – trunk port. Транковый интерфейс способен пропускать через себя трафик сразу нескольких существующих VLAN. При передаче данных через транк коммутатор добавляет к каждому кадру специальную метку, содержащую номер VLAN, чтобы принимающее устройство точно знало, к какой логической сети принадлежит этот кадр. Для примера настроим интерфейс GigabitEthernet0/1 в качестве транкового: Hamster(config)#interface gig0/1 Hamster(config-if)#switchport mode trunk По умолчанию транковый интерфейс разрешает передачу трафика абсолютно всех существующих VLAN. Если топология или политика безопасности сети требуют ограничить этот список на конкретном линке, используется специальная команда фильтрации. Например, разрешим передачу только сетей 10, 20 и 30: 11.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Hamster(config-if)#switchport trunk allowed vlan 10,20,30 Hamster(config-if)#end Проверка настроек VLAN Чтобы убедиться, что интерфейсы успешно привязаны к нужным виртуальным сетям, вернитесь в привилегированный режим и используйте команду show vlan brief: Hamster#show vlan brief VLAN Name Status Ports –––– –––––––––––––––––––––––––––––––- –––––- –––––––––––––––1 default active Fa0/1, Fa0/3, Fa0/4, Fa0/5 Fa0/6, Fa0/7, Fa0/8, Fa0/9 10 Department active Fa0/2 1002 fddi-default active 1003 token-ring-default active 1004 fddinet-default active 1005 trnet-default active Видно, что сеть Department под номером 10 создана, находится в активном состоянии, и за ней закреплён интерфейс Fa0/2. Обратите внимание, что транковый интерфейс Gig0/1 в этой таблице не отображается – для просмотра транков используется отдельная команда show interfaces trunk. Маршрутизация между VLAN Как уже было сказано ранее, устройства, находящиеся в разных VLAN, полностью изолированы друг от друга на канальном уровне. Чтобы компьютер из одного VLAN мог передать данные компьютеру в другом VLAN, необходимо использовать устройство сетевого уровня – маршрутизатор. Его главная задача – переправлять пакеты из одной сети в другую. Если в сети создано много виртуальных сетей, подключать каждую из них отдельным физическим кабелем к маршрутизатору будет крайне дорого и неэффективно. Вместо этого используется конфигурация, получившая название «маршрутизатор на палочке». В этой схеме соединение между коммутатором и маршрутизатором настраивается как транковый канал. Со стороны маршрутизатора один физический интерфейс логически делится на несколько виртуальных субинтерфейсов. Рис. 9: Разделение физического интерфейса на субинтерфейсы Каждый субинтерфейс привязывается к конкретному VLAN и выступает для него шлюзом по умолчанию. Чтобы маршрутизатор «понимал» тегированные кадры, приходящие от транкового интерфейса коммутатора, на субинтерфейсе включается поддержка протокола IEEE 802.1Q. 12.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Настройка субинтерфейсов на маршрутизаторе Настроим связь для двух виртуальных сетей VLAN 10 и VLAN 20, используя физический интерфейс маршрутизатора FastEthernet0/0. 1. Включение физического интерфейса. Физическому интерфейсу в данной схеме IP-адрес не назначается, но его обязательно нужно включить. Если физический интерфейс выключен, ни один субинтерфейс работать не будет. Router(config)#interface fa0/0 Router(config-if)#no shutdown Router(config-if)#exit 2. Создание и настройка субинтерфейса для VLAN 10. Для создания субинтерфейса к имени физического интерфейса через точку добавляется его логический номер. Router(config)#interface fa0/0.10 Router(config-subif)#encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config-subif)#exit Замечание. Команда encapsulation dot1Q 10 является ключевой! Она указывает маршрутизатору, что данный субинтерфейс должен обрабатывать кадры, помеченные тегом VLAN 10. Номер самого субинтерфейса (например, .10) может быть любым, но для удобства администрирования принято, чтобы он совпадал с номером VLAN. Если ранее вы на коммутаторе поменяли нативный VLAN, например, на 10 с помощью команды Hamster(config)#interface fa0/1 Hamster(config-if)#switchport trunk native vlan 10 Тогда на маршрутизаторе также нужно будет указать этот VLAN как нативный: Router(config-subif)#encapsulation dot1Q 10 native 3. Создание и настройка субинтерфейса для VLAN 20. Повторим аналогичные действия для второй сети, задав ей IP-адрес из другой подсети. Router(config)#interface fa0/0.20 Router(config-subif)#encapsulation dot1Q 20 Router(config-subif)#ip address 192.168.20.1 255.255.255.0 Router(config-subif)#end 13.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" Теперь трафик при передаче из VLAN 10 в VLAN 20 будет отправляться на коммутатор, подниматься по транку к маршрутизатору, обрабатываться соответствующим субинтерфейсом и возвращаться обратно уже с новым тегом VLAN. Чтобы проверить работу этой схемы, достаточно настроить на компьютерах правильные шлюзы по умолчанию (192.168.10.1 для ПК в десятом VLAN и 192.168.20.1 для ПК в двадцатом) и выполнить команду ping между ними. Практическая часть Собрать и настроить топологию, заданную преподавателем. В качестве коммутатора использовать модель 2960, в качестве маршрутизатора – 2811. В качестве среды моделирования использовать Cisco Packet Tracer. Список необходимых команд приведён в таблице. КОМАНДА ОПИСАНИЕ Навигация enable Осуществляет переход из пользовательского режима в привилегированный режим. configure terminal Осуществляет переход из привилегированного режима в режим глобальной конфигурации. end Возвращает в привилегированный режим из любого уровня вложенности. logout Выход из системы Базовая настройка и безопасность hostname <имя> Задаёт сетевое имя устройства enable password <пароль> Устанавливает незашифрованный пароль для защиты доступа к привилегированному режиму. enable secret <пароль> Устанавливает криптографически зашифрованный пароль для привилегированного режима. service password-encryption Глобально включает службу шифрования: все открытые пароли в конфигурации заменяются на хэш. line vty 0 15 Переходит в режим настройки VTY для удалённого управления через Telnet и SSH. password <пароль> Назначает пароль для доступа к текущей настраиваемой линии. login Заставляет устройство проверять пароль при подключении пользователя к линии. Настройка интерфейсов и VLAN 14.

[Audio] ПТП. Лабораторная работа №1 "Начальное конфигурирование" КОМАНДА ОПИСАНИЕ interface vlan 1 Переходит в режим настройки виртуального интерфейса управления коммутатором. ip address <маска> Назначает логический IP-адрес и маску подсети выбранному интерфейсу. ip default-gateway Устанавливает IP-адрес шлюза по умолчанию для самого коммутатора. shutdown / no shutdown Административно выключает / включает интерфейс. switchport access vlan Привязывает интерфейс доступа к указанной виртуальной сети VLAN. switchport mode trunk Переводит интерфейс в режим транка для передачи трафика нескольких VLAN. encapsulation dot1Q Включает на субинтерфейсе маршрутизатора тегирование стандарта 802.1Q и привязывает его к номеру VLAN. Мониторинг, диагностика и сохранение show running-config Выводит текущую конфигурацию устройства, которая находится в оперативной памяти. show vlan brief Отображает сводную таблицу всех настроенных VLAN и привязанных к ним интерфейсов доступа. show interfaces vlan 1 Отображает информацию об IP-адресе коммутатора ping Отправляет ICMP-запросы для проверки сетевой доступности удалённого узла. telnet Инициирует удаленное подключение к другому устройству по протоколу Telnet. write Сохраняет текущую конфигурацию сетевого устройства. reload Выполняет перезагрузку устройства 15.