17 января 2012 в 20:51

Сети для самых маленьких. Часть первая (которая после нулевой). Подключение к оборудованию cisco tutorial



Тематику cisco на хабре нельзя назвать популярной, зачастую интересные статьи остаются почти незамеченными. Но нас приятно удивил ажиотаж вокруг нашей предыдущей публикации. Больше тысячи человек добавили её в избранное, и это определённо говорит о том, что продолжение необходимо.
Кроме того, много людей, имеющих опыт реального планирования и строительства сетей, делали очень правильные замечания по резервированию. Дело в том, что предложенная в прошлый раз схема сети — это макет, лаборатория, на который мы будем отрабатывать и понимать технологии, поэтому такими вещами мы не озадачивались. В реальной же жизни, особенно, если вы оператор связи/провайдер, необходимы различные схемы резервирования: VRRP, STP, Link Aggregation, протоколы динамической маршрутизации.
Все замечания мы постараемся учесть и в конце цикла, вероятно, рассмотрим то, как сеть должна строиться, чтобы через полгода после запуска инженеру не было мучительно больно.

Сегодня же мы обратимся к части немного скучной, но важной для начинающих: как подключиться, поставить или сбросить пароль, войти по telnet. Также рассмотрим существующие программы — эмуляторы ciscо и интерфейс оборудования.
Как и обещали, в этот раз всё по-взрослому: с видео.

Под катом то же в текстовой и чуть более подробной форме.
Итак, вот они приехали — заветные коробки с надписью Cisco на борту.

Среда


Начнём с того, в какой среде будем работать.

В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco:

а) Цисковский же продукт Packet Tracer, который по идее свободно не распространяется. Это эмулятор и имеет лишь некоторые функции Cisco IOS. Вообще говоря, он сильно ограничен и многие вещи в нём реализованы лишь отчасти. Никаких тонких настроек. С другой стороны к настоящему моменту версия 5.3.2 поддерживает создание GRE-туннелей, протоколов динамической маршрутизации (и в их числе даже BGP!). Притом он очень прост в освоении и имеет в своём арсенале сервера (FTP, TFTP, DHCP, DNS, HTTP, NTP, RADIUS, SMTP, POP3), рабочие станции и свичи. Сейчас уже есть под Linux, хотя в былые времени он прекрасно запускался и из-под Wine.

б) Распространяемый по лицензии GNU GPL симулятор GNS3. В этом пакете необходимо загружать настоящие образы Cisco IOS. С одной стороны это плюс – вы работаете с настоящим интерфейсом cisco и ограничены лишь своей фантазией, существующими стандартами и производительностью рабочей станции, с другой, во-первых, эти IOS ещё нужно суметь достать, во-вторых, это более сложный продукт для понимания, и в-третьих, в нём есть только маршрутизаторы и «типа» коммутаторы.

Я считаю, что для знакомства с принципами лучше начать всё же с Packet Tracer'a, а потом переходить на тяжёлую артиллерию по мере надобности. Все мы не дети малые, где взять то, что нам нужно, рассказывать не будем.

Способы подключения



В Packet Tracer’e управлять оборудованием можно следующими способами:
  • GUI
  • CLI в окне управления
  • Терминальное подключение с рабочей станции через консольный кабель
  • telnet


Интерфейс последних трёх идентичный – отличается лишь способ подключения. Разумеется, GUI – не наш метод.
В реальной же жизни доступны:
  • Telnet/ssh
  • Терминальное подключение с рабочей станции через консольный кабель
  • Web-интерфейс (Cisco SDM).


Последний вариант даже не упоминайте в приличном обществе. Даже если вы адепт мыши и браузера, очень не советую.
На своём примере при работе с другим оборудованием я сталкивался с тем, что настроенное через веб не работает. Хоть ты тресни, но не работает. А у того же длинка вообще был баг в одной версии прошивки для свичей: если изменить настройки VLAN в веб-интерфейсе из под линукс, то свич становится недоступным для управления. Это официально признанная проблема).Телнет – стандартная, всем известная утилита, как и ssh. Для доступа к cisco по этим протоколам нужно настроить пароли доступа, об этом позже. Возможность использования ssh зависит от лицензии IOS.

Управление по консоли


Ну вот принесли вы маршрутизатор, распечатали, питание на него дали. Он томно зашумел кулерами, подмигивает вам светодиодами своих портов. А чего дальше-то делать?
Воспользуемся один из древнейших и нестареющих способов управления практически любым умным устройством: консоль. Для этого вам нужен компьютер, само устройство и подходящий кабель.
Тут каждый вендор на что горазд. Какие только разъёмы они не используют: RJ-45, DB-9 папа, DB-9 мама, DB-9 с нестандартной распиновкой, DB-25.
У циски используется разъём RJ-45 на стороне устройства и DB-9 мама (для подключения к COM-порту) на стороне ПК.
Консольный порт выглядит так:

Консольный порт ciscoКонсольный порт cisco

Всегда выделен голубым цветом. С недавних пор стало возможным управление по USB.
А это консольный кабель cisco:

Консольный кабель cisco

Раньше он поставлялся в каждой коробке, теперь зачастую стоит отдельных денег. В принципе подходит аналогичный кабель от HP.
Проблема в том, что современные ПК зачастую не имеют COM-порта. На выручку приходят частоиспользуемые конвертеры USB-to-COM:



Либо редкоиспользуемые для этих целей конвертеры RS232-Ethernet



После того, как вы воткнули кабель, определили номер COM-порта, для подключения можно использовать Hyperterminal или Putty в Виндоус и Minicom в Линукс.

Управление через консоль доступно сразу, а вот для телнета нужно установить пароль. Как это сделать?
Обратимся к PT.
Начнём с создания маршрутизатора: выбираем его на панели внизу и переносим на рабочее пространство. Даём какое-нибудь название

c2811

Что бы вы делали, если бы это был самый взаправдашний железный маршрутизатор? Взяли бы консольный кабель и подключились им в него и в компьютер. То же самое сделаем и тут:

Packet tracer consolePacket tracer console

Кликом по компьютеру вызываем окно настройки, в котором нас интересует вкладка Desktop. Далее выбираем Terminal, где нам даётся выбор параметров



Впрочем, все параметры по умолчанию нас устраивают, и менять их особо смысла нет.

Если в энергонезависимой памяти устройства отсутствует конфигурационный файл (startup-config), а так оно и будет при первом включении нового железа, нас встретит Initial Configuration Dialog prompt:

cisco interface

Вкратце, это такой визард, позволяющий шаг за шагом настроить основные параметры устройства (hostname, пароли, интерфейсы). Но это неинтересно, поэтому отвечаем no и видим приглашение

Router>


Это стандартное совершенно для любой линейки cisco приглашение, которое характеризует пользовательский режим, в котором можно просматривать некоторую статистику и проводить самые простые операции вроде пинга. Ввод знака вопроса покажет список доступных команд:



Грубо говоря, это режим для сетевого оператора, инженера первой линии техподдержки, чтобы он ничего там не повредил, не напортачил и лишнего не узнал.
Гораздо большие возможности предоставляет режим с говорящим названием привилегированный. Попасть в него можно, введя команду >enable. Теперь приглашение выглядит так:
Router#

Здесь список операций гораздо обширнее, например, можно выполнить одну из наиболее часто используемых команд, демонстрирующую текущие настройки устройства ака “конфиг” #show running-config. В привилегированном режиме вы можете просмотреть всю информацию об устройстве.

Прежде, чем приступать к настройке, упомянем несколько полезностей при работе с cisco CLI, которые могут сильно упростить жизнь:

— Все команды в консоли можно сокращать. Главное, чтобы сокращение однозначно указывало на команду. Например, show running-config сокращается до sh run. Почему не до s r? Потому, что s (в пользовательском режиме) может означать как команду show, так и команду ssh, и мы получим сообщение об ошибке % Ambiguous command: «s r» (неоднозначная команда).

— Используйте клавишу Tab и знак вопроса. По нажатию Tab сокращенная команда дописывается до полной, а знак вопроса, следующий за командой, выводит список дальнейших возможностей и небольшую справку по ним (попробуйте сами в PT).

— Используйте горячие клавиши в консоли:

Ctrl+A — Передвинуть курсор на начало строки
Ctrl+E — Передвинуть курсор на конец строки
Курсорные Up, Down — Перемещение по истории команд
Ctrl+W — Стереть предыдущее слово
Ctrl+U — Стереть всю линию
Ctrl+C — Выход из режима конфигурирования
Ctrl+Z — Применить текущую команду и выйти из режима конфигурирования
Ctrl+Shift+6 — Остановка длительных процессов (так называемый escape sequence)

— Используйте фильтрацию вывода команды. Бывает, что команда выводит много информации, в которой нужно долго копаться, чтобы найти определённое слово, например.
Облегчаем работу с помощью фильтрации: после команды ставим |, пишем вид фильтрации и, собственно, искомое слово(или его часть). Виды фильтрации (ака модификаторы вывода):

begin — вывод всех строк, начиная с той, где нашлось слово,
section — вывод секций конфигурационного файла, в которых встречается слово,
include — вывод строк, где встречается слово,
exclude — вывод строк, где НЕ встречается слово.

Но вернемся к режимам. Третий главный режим, наряду с пользовательским и привилегированным: режим глобальной конфигурации. Как понятно из названия, он позволяет нам вносить изменения в настройки устройства. Активируется командой #configure terminal из привилегированного режима и демонстрирует такое приглашение:
Router(config)#


В режиме глобальной конфигурации не выполняются довольно нужные порой команды других режимов (тот же show running-config, ping, etc.). Но есть такая полезная штука, как do. Благодаря ей мы можем, не выходя из режима конфигурирования, выполнять эти самые команды, просто добавляя перед ними do. Примерно так:
Router(config)#do show running-config


Настройка доступа по Telnet


Из этого-то режима мы и настроим интерфейс для подключения компьютера через telnet:
Команда для перехода в режим конфигурации интерфейса FastEthernet 0/0:
# Router(config)# interface fa0/0

По умолчанию все интерфейсы отключены (состояние administratively down). Включаем интерфейс:
Router(config-if)#no shutdown

Настроим IP-адрес:
Router(config-if)#ip address 192.168.1.1 255.255.255.0


shutdown — означает “выключить интерфейс”. Соответственно, если вы хотите отменить действие команды, то используйте слово no перед ней. Это правило общее для CLI и применимо к большинству команд.

Подключаемся. Для этого надо использовать кроссоверный кабель. (Хотя в реальной жизни это зачастую уже необязательно – все карточки умеют понимать приём/передачу, однако встречаются ещё маршрутизаторы, порты которых не поднимаются при использовании неправильного типа кабеля — так что будьте внимательны)

crossover cable
Настраиваем IP-адрес компьютера через Desktop.

IP адрес

И пробуем подключиться, выбрав Command Prompt в панели Desktop:

Packet Tracer telnet

Как и ожидалось, циска не пускает без пароля. В реальной жизни обычно выдаёт фразу “Password required, but none set”

Пароли


Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:


Router(config)#line vty 0 4
Router(config-line)#password <i>cisco</i>
Router(config-line)#login


0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий.
Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:

Packet Tracer telnet

Настроим пароль для enable-режима:


Router(config)#enable secret <i>test</i>


Packet Tracer

Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой password, то следует применить так же service password-encryption, тогда ваш пароль в конфигурационном файле будет зашифрован:


line vty 0 4
 password 7 08255F4A0F0A0111


Один мой знакомый рассказал мне историю:
Стоял он как-то курил возле одного из своих узлов, находящемся в жилом доме. С сумкой для инструментов, ноутбук в руках. Вдруг подходит двое алкашей с пакетом и предлагают купить, раскрывая пакет и показывая какой-то свич. Просят 500 рублей. Ну он купил. По меткам и модели свича парень сделал вывод какому провайдеру он принадлежит. Пришёл домой, начал ковырять — телнет закрыт, консоль запаролена. Слил конфиг по snmp. Пароли в открытом виде хранятся, имя с головой выдаёт провайдера. С их админом он знаком лично, позвонил ему вместо “Здрасьти” выдал логин и пароль в трубку. Слышно было, как скрипел мозг первые секунд 20: везде аксес-листы, авторизация, привязка к мак-адресу. Как?! В общем, всё хорошо, что хорошо кончается.


Немного об этом можно почитать здесь. Ну или чуть более по-русски, тут.

Хотим обратить ваше внимание:
сейчас принятно настраивать доступы не через виртуальные терминалы, а командами #username и #aaa new-model. В версии PT 5.3.2 они уже есть и вполне работают.
Для этого нужно выполнить:


Router(config)#aaa new-model
Router(config)#username admin password 1234


Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой username.

Будьте внимательны: приоритет команды aaa new-model выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.

Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.

При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: access-class. Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
При работе с access-list'ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду reload in min, где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой reload cancel. Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в startup-config (он используется при загрузке), ставим reload in 15, вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем reload cancel.

Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды

Router(config)#line console 0
Router(config-line)#login
Router(config-line)#password <i>cisco</i>


Privilege Level


Ещё один важный момент, которому в статьях уделяют мало внимания: privelege level.
Как понятно из латинского звучания — это уровень прав пользователя. Всего существует 16 уровней: 0-15.
privilege level 0 — это команды disable, enable, exit, help и logout, которые работают во всех режимах
privilege level 1 — Это команды пользовательского режима, то есть как только вы попадаете на циску и увидите приглашение Router> вы имеете уровень 1.
privilege level 15 — Это команды привилегированного режима, вроде, как root в Unix'ах

Пример1




Router(config)#line vty 0 4
Router(config-line)privilege level 15


После входа на маршрутизатор при такой настройке вы сразу увидите Router# со всеми вытекающими правами.



Все уровни со 2 по 14 настраиваются вручную. То есть, например, вы можете дать добро пользователю с privelege level 2 на выполнение команды show running-config

Пример2



Настроить права для конкретного пользователя поможет уже упомянутая прежде команда username


Router(config)#username pooruser privilege 2 secret poorpass
Router(config)#privilege exec level 2 show running-config
Router(config)#enable secret level 2 l2poorpass


В первой строке назначаем уровень прав пользователю, во второй команду, разрешенную для этого уровня, в третьей задаём пароль для входа в привилегированный режим с этим уровнем.

После этого из пользовательского режима вы можете выполнить команду enable 2 и введя пароль l2poorpass попасть в привилегированный режим, в котором будут доступны все команды уровня 1 + команды уровня 2.



Для чего это может быть нужно? В российских реалиях практически ни для чего, потому что обычно на устройство нужно заходить инженерам сразу с полными правами. Ну разве что 15-й уровень ставят, чтобы двойную аутентификацию не проходить. А все другие уровни опять же для того, чтобы персонал младшего состава (техподдержка, например) мог зайти и промониторить какие-то параметры или настроить некритичную функцию.

SSH


Нельзя не упомянуть о том, что telnet — протокол незащищённый и передаёт пароль и данные в открытом виде. С помощью любого анализатора пакетов можно вычислить пароль.
Поэтому крайне рекомендуем использовать ssh — любые устройства cisco с не самой урезанной прошивкой способны выступать ssh-сервером.
Следующий набор команд позволит вам включить ssh и отключить доступ по telnet:


	Router(config)#hostname R0
	Router(config)#ip domain-name cisco-dmn
	Router(config)#crypto key generate rsa
	Router(config)#line vty 0 4
	Router(config-line)#transport input ssh


Имя хоста должно отличаться от Router, обязательно должно быть задано имя домена. Третьей строкой генерируется ключ и далее разрешается только ssh. Длина ключа должна быть более 768 бит, если вы желаете использовать ssh версии 2, а вы желаете этого. Всё.

Ещё одно финальное внимание новичкам: не забывайте о команде write memory — это сохранение текущей конфигурации. Впрочем, достаточно два раза обжечься, забыв сохранить, чтобы навсегда заработать иммунитет к этому — кто кодил по ночам или писал курсовую, тот поймёт.

Используя PT, мы будем настраивать оборудование не через терминал или телнет, а непосредственно через CLI устройства, которое вызывается кликом по иконке роутера — так удобнее:

CLI

Ну и на сладенькое: сброс пароля


Так, а что же делать, если на стол легла вам бушная циска с неизвестным паролем или вы очень невовремя забыли его? Вообще-то это многократно описано и легко гуглится, но повторить это необходимо.
Практически на любом сетевом устройстве есть возможность сбросить пароль, имея физический доступ. Если сделать это невозможно или это отдельная платная услуга, то скорее всего в ваших руках находится какая-то русская поделка (не в обиду, конечно, нашим производителям, но дважды я такие строки читал в документации:))
Итак, cisco:
1) Подключаетесь к устройству консольным кабелем,
2) Отправляете его в ребут (хоть по питанию, хоть командой #reload)
3) Когда на экране побежит такая строчка ########...###, означающая загрузку образа (40-60 секунд после включения), необходимо отправить сигнал Break. Как это сделать в разных программах читать тут. Вы попадаете в режим ROMMON.
4) В этом режиме введите команду: confreg 0x2142, она заставит устройство игнорировать startup-config при загрузке.
5) Введите reset для перезагрузки
6) После загрузки running-config будет девственно чистым, а startup-config содержит по-прежнему последнюю сохранённую конфигурацию. Сейчас самое время поменять пароль или слить конфиг.
7) Самое важное: верните обратно регистры:
Router(config)#config-register 0x2102

Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута) И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)

В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
OSI.
VLAN

Незарегистрированные читатели Хабрахабра могут задать свои вопросы в ЖЖ.
Хочу поблагодарить пользователя thegluck за помощь в написании этой статьи.
Марат @eucariot
карма
570,0
рейтинг 0,0
Пользователь
Похожие публикации
Самое читаемое Администрирование

Комментарии (76)

  • +17
    От имени самых маленьких — большое вам человеческое спасибо! ;)
    • –4
      +1.
  • +2
    Благодарствую!
    Хочу следующую серию!
    • +1
      Ну, как и говорилось в видео, после китайских выходных ожидаем)
  • 0
    не забывайте о команде write memory

    Лучше copy run start, так как write memory с версии 12.4 считается устаревшей.
    • 0
      Да, ещё многие сталкиваются с отсутвием некоторых фичей в имеющейся версии IOS, неплохо бы добавить краткий обзор редакций и инструкцию по обновлению IOS и ROMmon.
      • 0
        В данный момент есть два известных пакета программ, позволяющих моделировать сеть, построенную на оборудовании Cisco

        Вообще-то три, ещё есть Cisco IOU, позволяющий моделировать L2-фичи (спасибо cepera_ang за наводку).
        • +1
          И тут Остапа понесло… Последнее дополнение, остальные буду отправлять в личку :)

          В реальной же жизни доступны:

          Ещё есть Cisco Configuration Assistant (CCA) и Cisco Network Assistant (CNA): десктопные приложения для управления и мониторинга оборудования Cisco. А SDM, если не ошибаюсь, также как write memory — считается устаревшим.
          • 0
            Спасибо за ваши замечания. Сейчас внесу поправки в статьи.
        • +1
          Ну тут еще стоит упомянуть про Boson NetSim, по функционалу, что то между Packet Tracer-ром и GNS.
    • 0
      wr+enter гораздо удобнее
      • 0
        IMHO, лучше знать команды полностью, это не отменяет возможности пользоваться сокращениями, но позволяет их не тупо запоминать, а понимать смысл.
  • 0
    Надеюсь на скорое продолжение! Заранее спасибо.
  • +2
    ой, какое всё родное и любимое! люблю такие статьи, где нахожу частичку себя… это очень роднит с хабром… спасибо, автор!
  • 0
    Увидев заголовок, ожидал увидеть очередную полную хабраерунду, которая здесь все заполонила, но приятно удивлен. Толково расписано, с годными иллюстрациями и комментариями по делу =)

    Да, рассказ про тонкости современной архитектуры IOS планируется? Кооперативный мультитаскинг там, отсутствие разделения адресного пространства, 5 или сколько их там видов свитчинга, etc. Читал об этом древний цисковский талмуд, интересно что с тех пор изменилось.
    • +1
      Ну, поскольку серия всё таки для «самых маленьких», эти темы не очень укладываются в план, и, откровенно говоря, я в них слаб. Возможно, мой коллега сможет подготовить такого рода статью.
      А где обычно вы читаете хорошие статьи?
    • 0
      Все. Кооперативный мультитаскинг и отсутствие защиты памяти — свойства серии 25xx, ну, может, 26xx. В современных железках IOS XR — это набор процессов над ядром QNX, а IOS XE — над ядром Linux.
  • 0
    Насчёт SDM'a — всё-таки это не длинковский веб-интерфейс, поэтому иногда бывает полезен :) Как минимум тем, что в нём по большому счёту все действия транслируются в конфигурационные команды и можно подсмотреть как делается в консоли, то что настраиваешь в веб-интерфейсе.
  • +2
    Почему же для самых маленьких — на самом деле есть такой слой читателей, которые неплохо знают сети, но именно с оборудованием cisco ни разу не работали или по причине жадности руководителей или по любой другой, не суть важно. Такие статьи, как ваши, очень хорошо помогают въехать в суть дела и понять с какого боку к новой железке вообще подходить.
    Продолжайте в том же духе!
    ЗЫ: Всё время диву даюсь насколько схожи CLI и принципы работы железа Cisco и 3Com/HP
    • +1
      Согласен, но CLI, действительно похожи, и если вы знаете технологию, то настроить сможете где угодно, кроме DLink'а :)
      И это вы ещё Huawei не видели))
      • 0
        Huawei — это вообще контрактный производитель цисок в своё время, и в какое-то время они выпускали вообще полные клоны.
        • 0
          Поимею смелость поспорить. Huawei не было производителем cisco, насколько мне известно. В своё время они просто свистнули их прошивки и за счёт этого лихо поднялись, просто поменяв некоторые команды после решения суда.
      • 0
        Соглашусь что D'Link отличается как мордой лица так и своей консолью от большинства железок, но особых проблем не испытывал ни с L2 ни с L3 железками, конечно имея на борту последнюю прошивку и серия железки не ниже 3000, всё что было до этого вспоминаю как страшный сон.
        • 0
          Да у каждой серии DLinkов разный CLI. Я имел дело с младшими сериями, но я не помню их номер. Я их проклял. Но дома у меня DIR-320))
      • 0
        Cli есть? rs232 есть? Настроим, если не на китайском )
        • +1
          Ну знаете ли, единообразие надо. Ясен пень, настроим. Но вот если у меня три свитча одного производителя с 3 разными интерфейсами и при этом ещё что-то совершенно тривиальное не работает, а ты на горе в 200 км от дома и время 7 вечера, через 15 минут выключат кресельную дорогу и пешком идти 3 км, то голова кипит от числа команд и их синтаксиса.
          • 0
            Да все они очень одинаковые. Есть свои нюансы, но когда постоянно с ними работаешь, уже порой не замечаешь разницы. Что там у нас в природе из обиходного есть… д-линки со старой кли, д-линки с новой цискообразной, 3комы\хп, брокады, микролинки, микротики, джуники. Во всех '?', 'help'. Конечно когда вообще первый раз встречаешься тогда конечно, такой разрыв шаблона бывает.
            у джуника еще и другая логика конфига (замечу, очень удобная), с длинка на циску, с него на джуник прыгаешь — иногда за ушами трещит. Но что поделать — издержки профессии ^^
            • 0
              Новый интерфейс не видел. Может, действительно стал приятнее. Всё таки по пути дауншифта никто не движется.
              А вообще было бы неплохо, если бы существовал некий единый стандарт для интерфейса) Хотя это утопизм)
            • 0
              это вы еще не RedBack (Ericsson) не видели, с ихними контекстами и виртуальными роутерами :)
      • 0
        Тоже хотел добавить про Huawei. Мне их чаще приходится конфигурировать и эта статья мне сильно в этом поможет. У нас сейчас идут CISCO ME3600 и Huawei S2300 — команды отличаются, но, в основном, только написанием.
        • 0
          Они действительно очень похожи. Но в Huaweях есть классная команда display this)
          • 0
            Так и не понял её назначения, если честно. Слышал звон…
            • 0
              Не, ну как, заходите в interface xgi3/0/0 и прям оттуда этой командой можно посмотреть конфиг именно этого интерфейса.
              Или зашли в режим настройки BGP: раз, зафигачили эту команду и посмотрели, добавили вы уже этот vpn-instance или нет? :)
              • 0
                Ага, это получается, что не надо выводить display current-configuration и искать секцию конкретного порта. Можно просто вывести отдельно её.
                • 0
                  Да именно)
                  Ещё я вижу некоторую долю удобства в том, что по многим командам типа ping мы не ограничены определённым режимом)
                  • 0
                    В циско есть команда section:
                    sh run | sec router ospf 100
                    ну или какую там секцию нужно посмотреть.
                    Ну а по поводу выполнения команд типа пинг из режима конфигурации — в циско есть магическая команда do:
                    do sh run | sec router ospf 100
                    • 0
                      Ну как бы в статье было об этом сказано) Да я и не спорю, что есть. Просто ввести disp th попроще, чем sh run | sec router ospf 100.
  • +1
    Не много в защиту GNS. В нем есть реализация L2 уровня. Просто необходимо добавлять в устройство, модуль расширения NM-16ESW, а для L3 уровня, соответственно модуль NM-4E/T. И в нем больше нет ничего сложного. В свое время мои CCNA и CCNP, были реализованы только благодаря GNS. Насчет IOS для GNS, если кому нужны они, для 36xx серии, пишите в личку, с удовольствием поделюсь.
  • 0
    А я вот думаю взять себе реальное железо. Кто, что может предложить? Можно и из устаревшего.
    Интересует роутер без wifi, 2 wan. небольшой и не шумный :)
    • 0
      На тест? Советую ограничиться GNS. Все практически желания можно реализовать. Но если прижало, то старенькое можно смотреть на shop.nag.ru.
      • +1
        ну не то, что бы и на тест. Дома хочу роутер заменить — заодно поизучать.
        Покупать все равно буду за бугром.
        Просто я плохо (а точнее никак) знаю ассортимент cisco.
        • 0
          Для дома — CIsco не оч, т.к. у дешевых моделей производительность низкая, ну а у тех, кто по производительности подойдет — цена космос. Так что все-таки лучше какие-то эмуляторы.
          Хотя тут вот недавно был топик, человек себе взял дамой Cisco 1812 б/у (http://habrahabr.ru/blogs/cisconetworks/136342/) и вроде доволен.
          • 0
            Да я видел это. Я не дума, что дешевые модели cisco (не берем linksys), будут слабее линейки asus wrt с допиленной прошивкой. 1812 это как вариант, но хотелось бы выбор :)
            как вариант, что бы была IOS 12 с апгрейдом до 15, ну думаю такие аппараты дороги.
            • 0
              800-я серия будет слабее чем тот-же tp-link 1043nd, который стоит 60 баксов и если почти в любом магазине. Я уж не говорю про сравнение с нетгирами.
              • 0
                ну как то не верится, что CISCO871 будет слабее asus wrt-16.
                • 0
                  Да, я точно в цифрах не помню Но обработать могут роутеры 800-й серии что-то порядка нескольких Мегабит — их уже не выпускают.
                  1800-е примерно так же. 1700-е, по-моему слабее, чем 800-е.
                  • 0
                    ну если смотреть на сайт, то 800 еще в деле. а вот 1700/1800 не видно Видно 1900.
                    www.cisco.com/cisco/web/solutions/small_business/products/routers_switches/800_series_isr/index.html

                    • 0
                      850/870 — вроде списали, на замену — 860/880 выпустили. 1700 еще в 2007-м году был ЕОС, про 1800 точно не скажу, но старшие модели точно еще поддерживаются, младшие уже возможно заменили на 1900
                      • 0
                        Ошибся цифрами, но даже при таком раскладе для дома соотношение цены и качества ни разу не оптимальное.
                        Зато у циски вайфаи домашние очень зачётные. Мне нравятся. И стоят всего в 1,5-2 раза дороже.
                        • 0
                          Ну и я о том-же, что Cisco для дома — не оптимальный вариант.
                        • 0
                          поправка. у циски зачетные линксисы домашние ^^
                • 0
                  Судя по офф доку циско — Routing Performance:
                  890 — 51,2 Мбит при Fast/CEF Switching
                  880 — 26,60
                  870 — 12.80
                  ну и т.д.
                  1760 — 8.19
                  1812 — 35,84
                  1861 — 74.82
                  2691 — 35.84
                  и т.п. и т.д.

                  Ну а тот-же тп-линк у меня прокачивает свободно 7 мбайт (60 мбит) через pptp подключение (если кто не в курсе — самый жестокий случай для домашних роутеров) на родной прошивке с натами, торрентами, iptv и т.д.
        • +2
          Вот честно-честно. Если нету сразу целой лаборатории с асашками, пиксами, роутерами, свитчами, шлюзами итп, которую вертите как душе угодно, то изучать лучше на лабах. От одной дохлой циски, где вы сконфигурите что-то типа «habrahabr.ru/blogs/cisconetworks/136342/» толку для изучения на «команды прописал и забыл».
    • 0
      Поиграться дешево и сердито (роутинг, голос, свитчинг) взять 1751 + куча разных VIC/WIC и PVDM для голоса.
  • 0
    прежде чем знать «как» конфигурить, нужно знать «что». Сети надо начинать не с интерфейса кошек и подключения к ним, а с модели OSI по порядку…
    • +2
      Вот чё вы все такие? Ну возьмите и начинайте с OSI. А я пока буду на практике всё рассказывать и проводить параллели между тем, как IP пакет идёт и 3-м уровнем OSI. И я был бы счастлив, если бы в своё время мне довелось почитать, как всё делается на практике, а не самому тратить по несколько дней на то, чтобы разобраться, как вланы терминируются на циске.
      Теории написаны тонны, только пока её с практикой соотнесёшь, голова вспухнет. Меня слово OSI вообще пугало первое время.
      • 0
        сппасибо, начал. и закончил. и преподавал как раз циску, извините :)
        • 0
          Вы прощены) Но преподавать на курсах и статья на тематическом ресурсе всё-таки разные вещи, Илья.
      • 0
        Кому нужна модель OSI, почитает в википедии, как и о TCP/IP и пр.
        Это же практическая статья о конфигурировании оборудования конкретного производителя.
        А Вы вполне можете написать статью о теоретических основах сетей передачи данных для начинающих.

    • 0
      Не согласен. Ибо тогда авторам придется столько сил и времени потратить на нудные теоретические выкладки, которые любой желающий может и сам без проблем найти, что это отобьет желание читать следующие статьи напрочь. Уж чего-чего, а теории в сети хватает, ешь — не хочу. А вот таких вот качественных практичных материалов куда меньше, тем они и ценны и за что авторам благодарность.
      • 0
        У вас так ники похожи, что я диву даюсь) Спасибо, солидарен с вами.
    • 0
      Для вредных, потративших бесцельно годы на изучение OSI (кстати которой из многих? ) в пакет трейсере есть режим, который поуровнево расписывает происходящее. Поверьте: в наглядности и сразу в железке это все гоооораздо быстрее учится чем долгое и нудное учение отче-наш, без видимого представления. Тем более на такой зыбкой и плавающей штуке как базовая модель.
      • 0
        :) какие годы, Вы чего? неужто трудно сделать живой обзор модели, иллюстрируя картинками из того же РТ?.. ну увидите Вы как пакет бегает, но никогда не поймете почему, если матчасть не выучите…
        • 0
          Про годы это ирония. Я к тому, что имхо это другая уже тема. Соответствие iso osi с реальностью на примере. Помню когда 5 лет назад подступился к циске, особенности osi я еще помнил, но вот мне ну никак это не помогло в ее настройке ^^
          • 0
            я не столько модель хочу заставить учить, сколько принципы работы протоколов и инкапсуляцию/декапсуляцию. Без этого настройка будет поверхностной и циска не будет отличаться от длинка с вебмордой.
            • 0
              Согласен. А вообще лучше все и сразу учить. Без отрыва по «главам» и «темам».
              А автор все равно молодец, сначала надо материал нагенерировать, а в полноценный учебник уже проще скомпоновать. Это я его так защищаю, не обращайте внимания.
            • 0
              На самом деле вы почти правы. Я не собираюсь просто сказать, какими командами настраиваются вланы. Я подробно опишу структуру заголовка эзернет, что происходит с фреймом, почему именно так. И так же проведу параллели между OSI и TCP/IP
  • 0
    Вмемориз, однозначно.
    • 0
      Спасибо)
  • –1
    Простите, но можно без «Виндоус».
    Называйте вещи своими именами — Windows.

    Ну а вообще, молодец, только где вы были 3 года назад?
    • 0
      Я не вижу ничего зазорного в том, чтобы писать иностранные слова по-русски. Почему вас не смущают слова променад, компьютер, твиттер? Или тоже смущают?

      Я сам теряюсь в догадках, где я был 3 года назад, когда я себе был так нужен.
  • 0
    Очень интересная статья! Автору спасибо, и конечно же ждем продолжения!
  • 0
    Отличная статья!
    Все бы так руководства писали! Заставило вспомнить мелочи, про которые и позабыл давно, а они удобны.
    • 0
      Спасибо. Через полторы-две недели будет следующая :)
  • 0
    Вы уверены, что разъём используется RJ-45, а не 8P8C?
    • 0
      *вздыхая, «335»* да, это 8p8c. а вы знаете разницу?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.