Оцените этот текст:


Сергей Богомолов
Оригинал этого документа лежит на странице Сергея Богомолова, и
там постоянно исправляется и пополняется. Лучше сходите туда.
http://www.bog.pp.ru/work/cisco_ios.html
http://www.bog.pp.ru./work/ios_lab.html


  • словарь терминов
  • словарь терминов Cisco
  • матрица версий
  • безопасность
  • локальная документация на IOS 11.0 на CD-ROM
  • IOS 11.0 на CD-ROM на www.cisco.com
  • IOS 11.1 на CD-ROM на www.cisco.com
  • IOS 11.2 на CD-ROM на www.cisco.com
  • информация об IOS на сервере Cisco
  • новости о софте
  • общее описание продукта - отличия в наборах возможностей и версиях
  • различие в наборах возможностей для различных моделей и требования к ресурсам (память/флэш) для версий 11.1 и 11.2
  • информация об IOS для знающих пароль

    Я рассматриваю только младшие серии (Cisco 2500, AS5100), про ATM ни слова, про ИБМ протоколы тоже)(потребности в памяти даны для Cisco 2500 - исполнение из флэша)(RMON alarm and events реализованы даже для наборов, в которых нет RMON):

    1. igs-i-l(4 FLASH, 4 DRAM): IP
    2. igs-im-l(4 FLASH, 4 DRAM): IP/RMON
    3. igs-ir-l(8/4): IP/IBM Base
    4. igs-imr-l(8/4): IP/IBM/RMON
    5. igs-in-l(8/4): IP/IPX
    6. igs-imn-l(8/4): IP/IPX/RMON
    7. igs-inr-l(8/4): IP/IPX/IBM Base
    8. igs-imnr-l(8/4): IP/IPX/IBM/RMON
    9. igs-ainr-l(8/8): IP/IPX/IBM/APPN
    10. igs-d-l(8/4): Desktop (с этого уровня начинается AppleTalk, DECnet IV)
    11. igs-dr-l(8/4): Desktop/IBM Base
    12. igs-j-l(8/6): Enterprise (с этого уровня начинается ES-IS и IS-IS, DECnet V, Apoolo domain, VINES, ISO, XNS керберос для login, трансляция протоколов, Xremote)
    13. igs-jm-l(8/6): Enterprise/RMON
    14. igs-aj-l(16/8): Enterprise/APPN
    15. CFRAD(4/4) (Cisco Frame Relay Access Device)
    16. igs-p-l(4/4): Remote Access Server (нет всяких IBМовских и прочих нестандарных вещей, зато есть все, что необходимо для нормальной работы, нет RMONа,ISDN, OSPF, EGP, моста, зато есть трансляция протоколов, TN3270, Xremote, PAD, LAT, NETBEUI через PPP, автоконфигурация модемов)
    17. igs-g-l(4/2): ISDN
    18. LAN FRAD(4/4)
    19. OSPF LAN FRAD(4/4)

    11.1(12)

    11.1(11)

    11.1(10)

    более старые модификации я не рассматриваю, но количество их впечатляет Наборы возможностей (feature set) для версии 11.0(16)(у меня есть только 11.0(14))

    Рассматривается только Cisco 2500 (все очень похоже на 11.1, потребности в памяти даны для Cisco 2500 - исполнение из флэша) :

    1. IP(4 MB Flash/2 DRAM)
    2. IP/IBM Base(8/4)
    3. IP/IPX(4/4)
    4. IP/IPX/IBM Base(8/4)
    5. IP/IPX/IBM APPN(8/8)
    6. Desktop(8/4)
    7. Desktop/IBM Base(8/4)
    8. Enterprise(8/6)
    9. Enterprise/APPN(8/8)
    10. CFRAD(4/2)
    11. ISDN(4/2)
    12. LAN FRAD(8/4)
    13. Remote Access Server(4/4)

    11.0(16):

    11.0(14):

    11.0(13):

    11.0(12):

    11.0(11) и ранее:

    Наборы возможностей (feature set) для версии 11.2 (7a)(у меня есть только 11.2(05))

    Для версии 11.2 параллельно ведутся 3 ветки: 11.2 (наиболее стабильная, только исправления ошибок), 11.2 P (исправление ошибок и новое оборудование), 11.2 F (исправление ошибок, новое оборудование и межплатформенная совместимость).

    Требования к памяти (для версии 11.2 Cisco 2500):

    Имена файлов см. в http://www.cisco.com/univercd/data/doc/software/11_2/relnotes/rn112.htm

    Image Name Mapping from Release 11.1 to Release 11.2
    Image Name in Release 11.1 or Earlier Image Name in Release 11.2
    Cisco 1005
    c1005-bnxy-mz
    c1005-bny-mz
    c1005-bxy-mz
    c1005-by-mz
    c1005-nxy-mz
    c1005-ny-mz
    c1005-xy-mz
    c1005-y-mz
    c1005-xy2-mz
    c1005-y2-mz
    Cisco 2500 Series
    IP/IPX/IBM/APPN
    igs-ainr-l
    c2500-ainr-l
    Enterprise/APPN
    igs-aj-l
    c2500-ajs-l
    igs-c-l
    c2500-c-l
    Desktop
    igs-d-l
    c2500-d-l
    Desktop/IBM Base
    igs-dr-l
    c2500-ds-l
    igs-f-l
    c2500-f-l
    igs-fin-l
    c2500-fin-l
    ISDN
    igs-g-l
    c2500-g-l
    IP
    igs-i-l
    c2500-i-l
    IP/RMON
    igs-im-l
    c2500-is-l
    IP/IPX/RMON
    igs-imn-l
    c2500-ds-l
    IP/IPX/IBM/RMON
    igs-imnr-l
    c2500-ds-l
    IP/IBM/RMON
    igs-imr-l
    c2500-is-l
    IP/IPX
    igs-in-l
    c2500-d-l
    IP/IBM Base
    igs-ir-l
    c2500-is-l
    IP/IPX/IBM base
    igs-inr-l
    c2500-ds-l
    Enterprise/RMON
    igs-jm-l
    c2500-js-l
    Enterprise
    igs-j-l
    c2500-j-l
    Cisco AS5200
    as5200-iz-l
    c5200-is-l
    as5200-dz-l
    c5200-ds-l
    as5200-jmz-l
    c5200-js-l
    Cisco 4000 Series
    xx-ainr-mz
    c4000-ainr-mz
    xx-aj-mz
    c4000-ajs-mz
    xx-d-mz
    c4000-d-mz
    xx-dr-mz
    c4000-ds-mz
    xx-i-mz
    c4000-is-mz
    xx-in-mz
    c4000-d-mz
    xx-inr-mz
    c4000-ds-mz
    xx-ir-mz
    c4000-is-mz
    xx-j-mz
    c4000-j-mz
    Cisco 4500 Series
    c4500-aj-mz
    c4500-ajs-mz
    c4500-dr-mz
    c4500-ds-mz
    c4500-ir-mz
    c4500-is-mz
    c4500-in-mz
    c4500-d-mz
    c4500-inr-mz
    c4500-ds-mz
    Cisco 7000 Series
    gs7-aj-mz
    c7000-aj-mz
    gs7-ajv-mz
    c7000-ajv-mz
    gs7-jv-mz
    c7000-jv-mz
    gs7-j-mz
    c7000-j-mz
    Cisco 7200 Series
    c7200-aj-mz
    c7200-ajs-mz
    c7200-dr-mz
    c7200-ds-mz
    c7200-j-mz
    c7200-js-mz
    Cisco 7500 Series and Cisco 7000 with RSP7000
    rsp-aj-mz
    rsp-ajsv-mz
    rsp-j-mz
    rsp-jsv-mz
    rsp-ajv-mz
    rsp-ajsv-mz
    rsp-jv-mz
    rsp-jsv-mz

    Каждый набор может иметь 4 модификации: базовая, расширенная (PLUS), шифровка 40 бит, шифровка 56 бит (не на каждой платформе возможны определенные пакеты и их модификации):

    1. c2500-i- IP: параллельная маршрутизация и мост, GRE, совмещенная маршрутизация и мост (начиная с 11.2), IP, LAN extention host, multiring, прозрачные и переводные мосты, VLAN (ISL и IEEE 802.10 - только Cisco 4500 и с версии 11.2 и модификация Plus), Combinet Packet Protocol (CPP - с версии 11.2), Dialer Profiles (с версии 11.2), Frame Relay, Frame Relay Traffic shaping (с 11.2), полумост/полумаршрутизатор (с 11.2), HDLC, PPP, SMDS, switched 56, X.25, полоса пропускания по запросу, настраиваемые приоритеты очередей, dial backup, dial-on-demand, сжатие заголовка, соединения и payroll(?), snapshot routing, weighted fair queuing, BGP, BGP4 (с 11.2), EGP, IGRP, enhanced IGRP, оптимизация EIGRP (с 11.2), поименнованные IP ACL (с 11.2), трансляция сетевых адресов (с 11.2 и Plus), NHRP, маршрутизация по запросу (с 11.2), OSPF, OSPF Not-So-Stubby-Areas (с 11.2), OSPF on demand circuit (RFC 1793 - с 11.2), PIM (protocol independent multicast), policy based routing, RIP, RIP2 (с 11.1), generic traffic shaping (с 11.2), Random Early Detection (RED - с 11.2), resource reservation protocol (RSVP - с 11.2), AutoInstall, автоматическая конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms (с 11.1), полный RMON (только 2500, с 11.2 и Plus), SNMP, telnet, списки доступа, расширенные списки доступа, Lock and Key (с 11.2), MAC security for hubs (с 11.2), MD5 routing authentication, шифровка на сетевом уровне (только модификация encrypt), RADIUS (с 11.1), TACACS+, asynchronous master interfaces, PPP, SLIP, CPPP, CSLIP, DHCP, IP pooling, rlogin, telnet, X.25 PAD
    2. c2500- IP/IPX(этот набор отсутствует для 11.2): добавлено IPX, IPXWAN 2.0, ISDN, IPX RIP, NLSP, IPXCP
    3. c2500- Desktop(IP/IPX/AppleTalk/DEC): добавлено AppleTalk 1 и 2, DECnet IV, Virtual Private Dial-UP network (с 11.2), AURP, RTMP, SMRP, ARAP 1.0/2.0, ATCP, MacIP
    4. c2500- Enterpise: добавлено Apollo Domain, Banyan Vines, DECnet V, OSI, XNS, Frame Relay SVC (с 11.2), multichassis multilink PPP (MPP - с 11.2), ES-IS, IS-IS, SRTP, Kerberos login (с 11.1), поддержка клиентов Kerberos V (с 11.2), трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), IPX и ARAP на виртуальных асинхронных интерфейсах, NASI (с 11.1), NetBEUI поверх PPP (с 11.1), LAT, TN3270, Xremote
    5. c2500- Enterprise and APPN
    6. c2500- IP/IPX/IBM and APPN
    7. c2500- Desktop/IBM and APPN

    Для Cisco 1000 и 1600 (только 11.1 и 11.2):

    1. IP
    2. IP/IPX
    3. IP/Apple Talk
    4. IP/IPX/Apple Talk

    Для Cisco 1005:

    1. IP/OSPF/PIM
    2. IP/Async
    3. IP/IPX/Async

    Для Cisco 2500 и AS5100 дополнительно:

    1. c2500- CFRAD
    2. c2500- LAN FRAD
    3. c2500- ISDN
    4. c2500-p- Remote Access Server (2509-2512 и AS5100): AppleTalk 1 и 2 (с 11.2), DECnet IV (только 11.0), GRE, совмещенная маршрутизация и мост (начиная с 11.2), IP, multiring, IPX, source-route bridging (с 11.2), прозрачный мост (с 11.2), прозрачные и переводные мосты, CPP (с 11.2), dialer profiles (с 11.2), Frame Relay, Frame Relay Traffic shaping (с 11.2), полумост/полумаршрутизатор (с 11.2), HDLC, IPXWAN 2.0, multichassis multilink PPP (MPP - с 11.2), PPP, switched 56, Virtual Private Dial-UP network (с 11.2), X.25, полоса пропускания по запросу, настраиваемые приоритеты очередей, dial backup, dial-on-demand, сжатие заголовка, соединения и payroll(?), snapshot routing, weighted fair queuing, BGP (только 11.0), BGP4 нет совсем, EGP (только 11.0), EIGRP, оптимизация EIGRP (с 11.2), IGRP, NHRP (только 11.0), маршрутизация по запросу (с 11.2), OSPF (только 11.0), PIM, policy based routing, RIP, RIP2 (с 11.1), AURP, IPX RIP, RTMP, generic traffic shaping (с 11.2), utoInstall, автоматическая конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms (с 11.1), SNMP, telnet, писки доступа, расширенные списки доступа, Lock and Key (с 11.1), MD5 routing authentication, RADIUS (с 11.1), TACACS+, трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), ARAP 1.0/2.0, asynchronous master interfaces, PPP, SLIP, CPPP, CSLIP, ATCP, DHCP, IP pooling, IPX и ARAP на виртуальных асинхронных интерфейсах, IPXCP, MacIP, NASI (с 11.1), NetBEUI поверх PPP (с 11.1), login, telnet, X.25 PAD, LAT, TN3270, Xremote

    11.2(7):

    11.2(6):

    11.2(5):

    11.2(4) и ниже:

    Новое в версии 11.0 (начиная с 11.0(11) только исправляются ошибки):

    Новое в версии 11.1 (начиная с 11.1(6) только исправляются ошибки):

    Новое в версии 11.2:

    Заказывать надо продукт с номером, заканчивающимся на знак равенства.

    IOS можно заказать в трех формах:

    1. DOS дискетта (EPROM, Flash);
    2. CD-ROM
    3. загрузка с TFTP сервера (только для устройств с флэш-памятью).

    Номер продукта определяется так:

    Поставка осуществляется в виде пакетов возможностей (feature packs) - CD-ROM с одним или несколькими образами IOS и инсталляционной программой для MS Windows 95, инструкция по установке (в т.ч. использование TFTP вместо инсталляционной программы), лицензия, CD-ROM с документацией.

    а а аНа наших маршрутизаторах стоит IOS версии 11.1 (12) на внутренних и 11.2(5) на внешней, хотя уже выпущена 11.2(7a) 18-jul-97 - ана внутренних не хватает флэша под версию 11.2.

    а а аВынимаем железку, подключаем терминал (или PC с TELEMATE) к консольному порту (или вспомогательный порт ранее сконфигурированной киски и заходим обратным телнетом), все нужные нам кабели (синхронный, Ethernet, модемы), включаем питание и начинаем конфигурирование. При первом включении IOS пытается скачать конфигурацию из глобальной сети - можно подождать несколько минут, чтобы дать ей понять, что на том конце ничего нет, или временно отсоединить синхронный кабель. Потерпев неудачу, IOS предлагает выполнить команду setup - соглашайтесь! В этом случае IOS задает вам несколько вопросов и самостоятельно конфигурируется.

    Конфигурирование осуществляется следующими способами:

    1. командный интерфейс:
      telnet имя-киски
      имя-киски>
      • с терминала: conf term
      • NVRAM: conf memory
      • из сети: conf network
    2. через WWW (начиная с версии 11.0(6), 11.1(5), не все возможности): ip http server
    3. ClickStart (стандартные конфигурации).

    а аОбщие сведения о командном языке:

    1. help - в любой момент можно ввести "?" - киска в ответ выдаст список команд или операндов;
    2. любое ключевое слово или имя можно сокращать до минимально возможного;
    3. если терминал нормально настроен, то можно редактировать командную строку как в emacs или bash.
    4. почти каждую команду можно предварять словом no.

    а аУровни привилегий: предусмотрено 16 уровней привилегий - от 0 до 15. Если не производить дополнительной настройки, то уровень 0 - это уровень пользователя: доступны только "безопасные" команды. Уровень 15 - это уровень супервизора: доступны все команды. Переходим с уровня на уровень по команде:
    а аепable
    [номер уровня]
    Любую команду можно перевести на уровень, отличный от стандартного; любому пользователю можно назначить определенный уровень, устанавливаемый при входе на киску этого пользователя; таким образом права пользователей можно тонко настраивать (только help-ом при этом тяжело пользоваться :(

    Режимы командного языка:

    1. Режим пользователя
    2. Привилегированный режим:
      1. верхний уровень
      2. режим глобальной конфигурации
        1. собственно верхний уровень конфигурирования
        2. конфигурирование интерфейса
          1. конфигурирование интерфейса
          2. конфигурирование подинтерфейса (serial ав режиме Frame Relay)
        3. конфигурирование контроллера (T1)
        4. конфигурирование хаба (cisco 2500 - ethernet)
        5. конфигурирование списка карт (ATM и FrameRelay)
        6. конфигурирование класса карт (Quality of Service over Switched Virtual Circuit - ATM, FrameRelay или dialer)
        7. конфигурирование линий
        8. конфигурирование маршрутизатора (bgp, egp, igrp, eigrp, is-is, iso-igrp, mobile, OSPF, RIP, static)
        9. конфигурирование IPX-маршрутизатора
        10. конфигурирование акарт маршрутизатора
        11. конфигурирование ключевых цепочек с его подрежимами (RIP authentication)
        12. конфигурирование генератора отчетов о времени ответа
        13. конфигурирование БД LANE (ATM)
        14. режим команд APPN с его подрежимами (advance peer-to-peer Networking - авторое поколение SNA)
        15. режим команд присоединения канала IBM с его подрежимами (Cisco 7000 с CIP)
        16. режим команд сервера TN3270
        17. конфигурирование списков доступа (для именованых IP ACL)
        18. режим шестнадцатеричного ввода (задание публичного ключа для шифровки)
        19. конфигурирование карт шифровки
      3. ROM монитор (нажать break в первые 60 секунд загрузки, тоже есть help).

    Комментарии начинаются с восклицательного знака, но в NVRAM не сохраняются.

    Задать размер истории команд: terminal history size размер

    Предыдущая/следующая команда: Ctrl-P/Ctrl-N или sстрелка вверх/вниз

    Включить/выключить редактирование:
    [no] terminal editing

    символ вперед/назад: Ctrl-F/Ctrl-B или стрелка вперед/назад

    в начало/конец строки: Ctrl-A/Ctrl-E

    на слово вперед/назад: Esc F/Esc B

    развертывание команды: Tab или Ctrl-I

    вспомнить из буфера/вспомнить следующий: Ctrl-Y/Esc Y

    удалить символ слева от курсора/под курсором: Delete/Ctrl-D

    удалить все символы до начала строки/конца строки: Ctrl-U/Ctrl-K

    удалить слово слева от курсора/справа от курсора: Ctrl-W/Esc D

    перерисовать строку: Ctrl-L/Ctrl-R

    поменять символы местами: Ctrl-T

    экранирование символа: Ctrl-V или Esc Q Работа с флэш-памятью (в ней лежит и из нее выполняется IOS) и NVRAM (конфигурация)

    На киске работает ТРИ программы: ROM монитор (это загрузчик и отладчик - тупой до безобразия - попадаем в него если соответствующим образом установлен регистр конфигурации или нажал BREAK во время загрузки и это не запрещено); система в ROM (урезанная и очень старая система IOS - 9.1 - если не удалось найти более подходящую во флэш или по сети или ручная загрузка из ROM монитора) и система во флэш - версия, которуя сам поставил.

    В руководстве делается предупреждение, что на Sun'е сервер TFTP должен быть настроен так, чтобы генерировать и проверять контрольные суммы UDP (я ничего не делал). Везде вместо TFTP можно использовать rcp (rsh), но мне лениво следить за безопасностью в этом случае.

    Посмотреть, что там лежит: show flash all

    System flash directory:
    File  Length   Name/status
            addr      fcksum  ccksum
      1   3243752  igs-i-l.110-1
            0x40      0xB5C4  0xB5C4
    [3243816 bytes used, 950488 available, 4194304 total]
    4096K bytes of processor board System flash (Read ONLY)
    
       Chip    Bank    Code      Size      Name
        1      1       89A2      1024KB    INTEL 28F008SA
        2      1       89A2      1024KB    INTEL 28F008SA
        3      1       89A2      1024KB    INTEL 28F008SA
        4      1       89A2      1024KB    INTEL 28F008SA
    Executing current image from System flash
    
    

    Иметь два файла во флэш можно только, если имеется два банка памяти (у меня нет) и выполнить специальную процедуру (IOS надо настроить адреса - выполняется-то она из флэша!). Буква l в имени файла как раз и означает, что адреса можно настроить.

    Посмотреть, сколько раз туда чего записывали: show flash err (по-моему, ерунду показывает).

    Копировать из флэш на tftp: copy flash tftp, после чего спросят имя сервера, исходное аимя файла и результатирующее имя файла (файл должен существовать с правами 666).

    Копировать конфигурацию на tftp: copy startup-config/running-config tftp

    Загрузить конфигурацию с tftp: copy tftp startup-config/running-config (по-моему, если грузить текущую конфигурацию, то происходит не копирование, а слияние).

    Копировать из tftp во флэш (если достаточно памяти!!!): copy tftp flash

    Понятное дело, что если IOS выполняется из флэш, то грузить новое содержимое флэша во время работы IOS не стоит, надо загрузиться из ROM (либо нажав Break при загрузке, либо выдав no boot system flash).

    Черта-с два! На самом деле все не так как в книжке. Надо выдать copy tftp flash прямо из IOS (ибо в bootstrap такой команды нет вовсе), будет запущен flash load helper, который задает все необходимые вопросы, затем перезапускает киску из ROМа, стирает флэш, копирует файл с tftp (заходить только с консоли - иначе ничего не увидишь, и об ошибках не узнаешь ;). После этого надо сохранить конфигурацию (copy run start). А все-таки интересно, как выбираться из ситуации, если что-то получилось не так. Кстати, рекомендуется сохранить конфигурацию куда-нибудь на tftp перед изменением флэша. p.s. все-таки можно было бы сделать и загрузившись из ROM (только не ROM монитор, а ROM IOS), если задать в регистре конфигурации младшие 4 бита равными 0-0-0-1.

    Копирование текущей конфигурации в загрузочную: copy run start

    Копирование загрузочной конфигурации в текущую: copy start run

    Посмотреть состояние: show version

    Проверить контрольную сумму: verify flash

    Сжатие конфигурационного файла работает только на Cisco 3xxx и Cisco 7xxx.

    Повторно выполнить конфигурационный файл: configure memory

    Очистить конфигурацию: erase startup

    Посмотреть текущую/загрузочную конфигурацию: show run/start

    В NVRAM записываются только параметры, отличные от параметров по умолчанию.

    Регистр конфигурации: 16 бит. Меняется командой: config-register. Младшие 4 бита (3,2,1, и 0) образуют поле загрузки:

    Файл конфигурации сети (по умолчанию имя файла: network-config):
    boot network [tftp] имя-файла [ip-адрес]
    service config

    Файл конфигурации хоста (по умолчанию имя файла: network-config):
    boot host [tftp] имя-файла [ip-адрес]
    service config

    Перезагрузка:

    ClickStart: конфигурирование Cisco 1003, 1004 и 1005 через WWW (однопортовые ISDN, Frame Relay и асинхронные маршрутизаторы).

    AutoInstall: включаешь новый маршрутизатор, он ишет сконфигурированный ранее маршрутизатор (Ethernet, FDDI, HDLC, Frame Relay) - требуется такое количество предварительной подготовки, что легче все сделать вручную (если только не надо установить сотню кисок).

    Setup: интерактивная установка параметров. Требует подключения консольного терминала (я использую AUX порт соседней киски).

    Еще бывает sreamline setup (если установлен RXBOOT ROM) и возникают непреодолимые проблемы: задает минимум вопросов необходимых, чтобы найти загрузочный образ и файл с конфигурацией.

    Часы (сбрасываются даже при перезагрузке на 1 марта 1993 года) хранятся в формате UTC (Coordinated Universal Time) - то же самое, что и GMT. Используются протоколы NTP (прием и передача - включен по умолчанию - при перезагрузке и при выключении на пару минут время сохраняется), SNTP ана кисках серии 1000 (только прием - выключен по умолчанию).

    Запустить TFTP сервер на киске:

    Запустить RARP сервер на киске (чтобы это реально использовать необходимо выполнить кучу дополнительных условий - обеспечить broadcast UDP - ip forward-protocol udp 111, заполнить таблицу аАRP MAC-адресами клиентов, ip helper-adress адрес-настоящего-сервера - говорят, что проблемы возникли из-за недоделанности rpc.bootparamd в SunOS - судя по нашему принтеру так оно и есть):
    cat(config-if)>ip rarp-server ip-адрес-настоящего-сервера

    rcp и rsh сервис:

    HTTP-сервер (при входе в качестве имени надо говорить имя киски, а пароля - пароль супервизора) - пользы от этого никакой:
    ip http server
    ip http port 80

    prompt строка - изменение стандартного приглашения
    hostname имя - имя маршрутизатора
    alias уровень-EXEC имя-синоним текст-команды - создание сокращений-синонимов команд
    show aliases [уровень-EXEC] - посмотреть список синонимов
    load-interval секунд - длина интервала вычисления средней загрузки

    общие команды для всех интерфейсов

    description строка-текста
    hold-queue длина in/out - задание размера буфера
    bandwidth kilobits - используется, например, для настройки параметров TCP
    delay десятые-милисекунды - информация для некоторых протоколов маршрутизации (или десятки микросекунд)
    keepalive секунд - как часто посылать пкаеты для проверки живучести линии (интерфейс считается упавшим если в течении 3 интервалов не пришло ответа)
    mtu байт

    последовательный асинхронный

    async: 8 штук на Cisco 2509, 16 штук на Cisco 2511, еще можно использовать AUX порт, но ОЧЕНЬ не советую (дефективная аппаратная реализация: скорость 38400, все на программном уровне - в том числе и синхронизация).

    Саму физическую линию надо конфигурировать отдельно с помощью команды line.

    Вход в режим конфигурации интерфейса:
    interface async номер-порта

    Инкапсуляция: поддерживаются два метода инкапсуляции - SLIP и PPP. О SLIP мы забудем сразу же.

    Режим: интерактивный или жестко настроенный (dedicated): ав последнем случае не запускается EXEC, так что нельзя поменять адрес и другие параметры:
    async mode interactive/dedicated

    Разрешить протоколы динамической маршрутизации:
    async dynamic routing

    Групповая конфигурация (столько предупреждений об ошибках, что лучше и не трогать)

    1. определение группы:
      interface group-async unit-number
      общие команды
      member номер индивидуальная-команда
      group-range low-number high-number - тут же начинается построение конфигурации

    хаб (2505, 2507, 2516)

    hub ethernet number port
    no shutdown

    auto-polarity
    link-test
    source-address [MAC-address]
    - пропускать только пакеты от этого MAC-адреса

    loopback (позволяет удержать BGP-сессию, даже если другие интерфейсы упадут)

    interface loopback number

    null (позволяет маршрутизировать все ненужное в /dev/null)

    interface null 0

    синхронный последовательный интерфейс (serial)

    interface serial номер
    encapsulation atm-dxi/hdlc/frame-relay/ppp/sdlc-primary/sdlc-secondary/smds/stun/x25 - по умолчанию HDLC (есть обнаружение ошибок, но нет повтора неверно переданных данных)
    compress stac - если загрузка CPU превышает 65%, то выключить
    pulse-time секунд - какую паузу сделать при пропадании несущей

    тунель (инкапсуляция пакетов одного протокола внутри пакетов другого)

    Для чего это надо:

    1. многопротокольная локальная сеть через однопротокольный бэкбон
    2. для обхода протоколов ограничивающих число промежуточных узлов
    3. виртуальные частные сети через WAN

    Компоненты:

    1. протокол-пассажир
    2. протокол-носитель
    3. протокол инкапсуляции (обычно GRE, остальные в исключительных случаях)

    Предупреждения:

    1. большая загрузка CPU
    2. возможное нарушение безопасности
    3. увеличение времени задержки
    4. множественные тунели могут забить канал информацией о маршрутах
    5. протокол маршрутизации может предпочесть тунель как якобы самый короткий маршрут
    6. появление рекурсивных маршрутов

    interface tunnel номер
    тут должно быть описано каким протоколам позволено туннелироваться
    tunnel source ip-address-или-интерфейс
    tunnel destination ip-address-или-интерфейс
    tunnel mode aurp/cayman/dvmrp/eon/gre ip/nos - определяет протокол инкапсуляции
    tunnel checksum - все плохие пакеты будут выкидываться (некоторые протоколы требуют этого)
    tunnel key номер - должны быть одинаковы на обоих концах (слабая защита)
    tunnel sequence-datagramms - отбрасывать пакеты, пришедшие не в том порядке (некоторые протоколы требуют этого)

    управление и мониторинг

    show async status
    show interface async номер
    show compress
    show controller имя-контроллера
    show interface accounting
    show interface тип номер
    clear counters тип номер
    show protocols
    show version
    clear interface тип номер
    clear line номер
    shutdown
    no shutdown

    down-when-looped - считать интерфейс упавшим, если на нем включен loopback (необходимо для backup)

    ip address-pool local
    ip local pool default начальный-ip-адрес конечный-ip-адрес
    interface Group-Async1
    ip unnumbered Ethernet0
    ip tcp header-compression passive
    encapsulation ppp
    bandwidth 112
    delay 20000
    keepalive 10
    async mode interactive
    no cdp enable
    здесь я еще говорил: peer default ip address pool, но она куда-то делась (по-умолчанию небось)
    group-range 1 16

    если чей-то адрес надо задать явно, то скажи:
    member номер peer default ip address IP-адрес

    в версии 11.0(1) не работала, в версии 11.1(12) вроде работает

    а а аПример конфигурации с коментариями.

    а аservice tcp-small-servers # позволяет киске отвечать на всякие мелкие запросы типа echo, chargen и т.д.
    а аhostname cat2511-wb # имя киски, выдается в приглашении и ,наверное, где-то еще
    а асlock timezone MSK 3 # временная зона
    а асlock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 # летнее время
    а аепable secret <шифрованный пароль> # зашифрованный пароль суперпользователя
    а аепable password <нешифрованный пароль> # не используется, если есть шифрованный
    а аip subnet-zero # не разбирался
    а аip tcp synwait-time 120 # зачем это
    а аip tcp path-mtu-discovery # автоматическая настройка на размер MTU
    а аip accounting-threshold 256 # не разбирался
    а аip accounting-list 194.84.39.0 0.0.0.255 # не разбирался
    а аinterface Ethernet0 # начинаем конфигурировать порт Ethernet
    а аip address 194.84.39.24 255.255.255.224 # IP адрес и маска ethernet-порта (основной адрес киски)
    а аip address 194.87.163.24 255.255.255.224 secondary # если у нас два блока IP-адресов (что у нас было в момент перехода от одного ISP к другому
    а аехit # выход из конфигурирования Ethernet
    а аinterface Serial0 # начинаем конфигурировать синхронный последовательный порт
    а апo ip address # нет у нас его
    а аshutdown # -//-
    а аехit # выход из конфигурирования порта
    а аinterface Serial1 # начинаем конфигурировать синхронный последовательный порт
    а апo ip address # нет у нас его
    а аshutdown # -//-
    а аехit # выход из конфигурирования порта
    а аip domain-name deol.ru. # имя нашего домена
    а аip name-server 194.84.39.28 # адрес DNS-сервера (может быть до 6 штук)
    а аip route 0.0.0.0 0.0.0.0 194.84.39.26 # маршрут по умолчанию (все, что не на наших портах, передаем на более "умную" киску
    а аsnmp-server community public RO # разрешаем SNMP управление (только чтение)
    а аline con 0 # начинаем конфигурирование консольного порта
    а аехec-timeout 0 0 # отключаем тайм-аут
    а аехit # выход из конфигурирования порта
    а аline 1 16 # начинаем конфигурацию асинхронных последовательных портов
    а аехec-timeout 0 0 # отключаем тайм-аут
    а амodem InOut # отрабатывать модемные сигналы
    а ааиtocommand telnet 194.84.39.28 # при входе на линию, киска насильно выдает команду telnet..., что не позволяет пользователю делать что-либо еще (если, конечно, не знаешь как из этого выйти)
    а аtransport input none # не позволяет звонить с наших модемов (зайдя на линию обратным телнетом)
    а аtransport preferred none # ана всякий случай
    а аеscape-character NONE # не позволяет выйти из telnet'а
    а аstopbits 1
    а аrxspeed 115200 # скорость между модемом и киской
    а аtxspeed 115200 # скорость между киской и модемом
    а аflowcontrol hardware
    а аехit # выход из конфигурирования порта
    а аline aux 0 # конфигурирование вспомогательного асинхронного последовательного порта
    а аtransport input all # может быть сюда будет подключена консоль другой киски
    а аехit # выход из конфигурирования порта
    а аline vty 0 4 # конфигирирование виртуальных терминалов (на них мы попадаем, когда заходим телнетом на киску)
    а аехec-timeout 0 0 # отключаем тайм-аут
    а арassword <пароль> # пароль линии; к сожалению, не шифрованный
    а аlogin # киска будет спрашивать пароль при заходе на эту линию (в данном случае телнетом)
    а аехit # выход из конфигурирования порта

    а а аСервер доступа (tacacs+) - это программа, которая крутится на UNIX-компьютере и отвечает на запросы киски типа: есть ли такой пользователь, какие у него права и ведет журнал посещений. Как конфигурировать сервер смотри отдельную главу, а киска конфигурируется так:
    а ааaa new-model # будем использовать tacacs+, а не старые варианты
    а ааaa authentication login default tacacs+ enable # по-умолчанию проверяем каждый вход на линию с помощью tacacs+ сервера, а если он не отзывается, то спрашиваем пароль суперпользователя
    а ааaa authentication ppp default if-needed none # при включении PPP, производим проверку пользователя, если не проверяли его раньше (может это уже можно выключить?)
    а ааaa authorization exec tacacs+ if-authenticated # проверяем права на запуск EXEC (shell так у киски называется) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена - только благодаря этой строчке tacacs+ сервер возвращает автокоманду (в нашем случае telnet или ppp)
    а ааaa authorization commands 1 tacacs+ if-authenticated # проверяем права на исполнение команд уровня 1 (непривилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
    а ааaa authorization commands 15 tacacs+ if-authenticated # проверяем права на исполнение команд уровня 15
    (привилегированных) с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
    аа aaa authorization network tacacs+ if-authenticated # проверка прав, если кто-то лезет к нам по сети с помощью сервера tacacs+, а если его нет, то даем разрешение, если личность пользователя удостоверена
    а ааaa accounting network stop-only tacacs+ # посылаем учетную запись tacacs+ серверу в случае окончания сетевого события (завершение PPP-сеанса, например)
    а ааaa accounting connection stop-only tacacs+ # а апосылаем учетную запись tacacs+ серверу в случае окончания telnet-сеанса
    а ааaa accounting system stop-only tacacs+ # посылаем учетную запись tacacs+ серверу в случае окончания системного события (например, перезагрузки)
    а аеще должна работать команда: aaa authentication local-override (если конечно перед ней завести пользователя на киске username admin privilege 15 password <пароль>), которая позволяет использовать локальную базу пользователей, но такие пользователи получаются абсолютно бесправными (даже EXEC не могут запустить :( Отлично! Я использую это для запрета входа пользователя bbs на киску с быстрыми модемами, не разбираясь с tacacs+ сервером.
    а аtacacs-server host 194.84.39.28 # адрес компьютера, на котором работает tacacs+ сервер
    а аtacacs-server host 194.84.39.27 # адрес компьютера, на котором работает запасной tacacs+ сервера (в реальности он не работает, но при необходимости можно запустить)
    а аtacacs-server key <пароль> # ключ, с помощью которого шифруются сообщения между киской и tacacs+ сервером


    Last-modified: Mon, 16 Apr 2001 15:07:36 GMT
    Оцените этот текст: