Руководство для студента Номер текста по каталогу 97250401

© 2007 Cisco Systems, Inc.
ЛВС Ethernet
2-71
Вывод состояния первого запуска коммутатора
После входа в систему коммутатора Catalyst, состояние первого запуска коммутатора можно проверить с помощью следующих команд show version, show running-config и show interfaces. В этом разделе описываются команды состояния коммутатора, которые можно использовать для проверки начальной работоспособности коммутатора.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 12
Вывод состояния первого запуска коммутатора
SwitchX#show version
Отображает конфигурацию оборудования системы, версию программного обеспечения, имена и источники файлов конфигурации, а также загрузочные образы.
SwitchX#show running-config
Отображает файл текущей активной конфигурации коммутатора.
SwitchX#show interfaces
Отображает статистику по всем интерфейсам, настроенным на коммутаторе.
Команды состояния коммутатора: show version: выводит конфигурацию аппаратного обеспечения системы и сведения о версиях программного обеспечения. show running-config: выводит файл текущей активной (действующей) конфигурации коммутатора. Эта команда требует доступа к привилегированному режиму EXEC.
Здесь отображается IP-адрес, маска подсети и параметры шлюза по умолчанию. show interfaces: показывает статистику и сведения о состоянии всех интерфейсов коммутатора. Как транковые подключения, так и линейные порты коммутатора считаются интерфейсами. Вывод команды зависит от сети, для которой настроен интерфейс. Обычно эта команда вводится с параметрами type (тип) и slot/number
(слот/номер), где type позволяет выбрать между Ethernet и Fast Ethernet, а slot/number указывает слот 0 и номер порта на выбранном интерфейсе (например, e0/1).

2-72
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 13
Swi tch# sho w v ersi on
SOF TWAR E ( fc1 )
Cop yrig ht (c) 198 6-20 06 by Cisc o S yste ms, In c.
Com pile d F ri 28-J ul-0 6 1 1:5 7 by ye nanh
Ima ge t ext -ba se: 0x00 003 000 , da ta- base : 0 x00 BB79 44
ROM : Bo ots tra p pr ogra m i s C 2960 bo ot l oad er
BOO TLDR : C 296 0 Bo ot L oad er (C29 60- HBOO T-M ) V ersi on 12.2 (25 r)SE E1, RE LEAS E S OFTW ARE (fc 1)
Sys tem ret urn ed t o RO M b y p ower -on
Sys tem ima ge file is "fl ash :c29 60- lanb ase k9- mz.1 22- 25.S EE2 /c29 60- lan base k9- mz.1 22-
25. SEE2 .bi n"
Pro cess or boa rd I D FO C10 52W 3XC
Las t re set fr om p ower -on
1 V irtu al Eth erne t in ter fac e
24 Fast Eth ern et i nter fac es
2 G igab it Eth erne t in ter fac es
The pas swo rd- reco very me cha nism is ena ble d.
! T ext omi tte d
Swi tch#
Команда коммутатора show version
Cisc o I OS S oft war e, C 296 0 So ftw are (C2 960- LAN BASE K9- M), Ver sio n 12 .2( 25)S EE2 , R ELEA SE
Swit ch upti me is 24 m inu tes cisc o W S-C2 960 -24 TT-L (P ower PC4 05) pro cess or (rev isi on B0) wit h 61 440 K/40 88K by tes of memo ry.
Используйте команду EXEC show version для вывода конфигурации оборудования системы и сведения о версии ПО. В таблице описываются некоторые поля вывода команды show version.
Вывод
Описание
Cisco IOS version
Сведения о названии и номере версии программного обеспечения.
Всегда указывайте весь номер версии, когда вы сообщаете о возможных проблемах ПО. В этом примере на коммутаторе работает программное обеспечение Cisco IOS версии 12.2(25)SEE2.
Switch uptime
Количество дней и времени, прошедшего с момента последней загрузки системы.
В примере время работы коммутатора составляет 24 минуты.
Switch platform
Выводит информацию об аппаратной платформе, в том числе о версии и оперативной памяти.
Снимок экрана на рисунке получен на коммутатора Cisco Catalyst WS-C2960-24 с 24 портами Fast Ethernet.

© 2007 Cisco Systems, Inc.
ЛВС Ethernet
2-73
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 14
Команда коммутатора show interfaces
Swit chX #sho w i nter fac es F ast Eth erne t0/2
Fast Eth erne t0/ 2 is up , li ne pro toco l is up (c onne cte d)
Ha rdw are is Fast Et hern et, ad dres s is 00 08. a445 .ce 82 ( bia 000 8.a 445 .ce8 2)
MT U 1 500 byt es, BW 1000 0 K bit , DL Y 10 00 use c,
re liab ili ty 2 55/ 255, tx loa d 1/ 255, rx loa d 1/ 255
En cap sula tio n AR PA, loo pba ck not set
Ke epa live se t (1 0 s ec)
Ha lf- dupl ex, 10M b/s in put flo w-c ontr ol is u nsu ppo rted out put fl ow-c ont rol is unsu ppo rte d
AR P t ype: AR PA, ARP Tim eou t 0 4:00 :00
La st inpu t 4 w6d, ou tput 00 :00 :01, out put ha ng n eve r
La st clea rin g of "s how int erf ace" cou nte rs neve r
In put que ue: 0/7 5/0 /0 ( siz e/m ax/d rops /fl ush es); To tal out put dro ps: 0
Qu eue ing str ateg y: fifo
Ou tpu t qu eue : 0/ 40 (siz e/m ax)
5 min ute inp ut r ate 0 b its /se c, 0 pac ket s/s ec
5 min ute out put rat e 0 bit s/s ec, 0 pa cke ts/ sec
18 2979 pa cket s i nput , 1 680 2150 byt es, 0 no b uff er
Re ceiv ed 4995 4 b road cas ts (0 m ulti cas t)
0 runt s, 0 gi ant s, 0 th rot tles
0 inpu t e rror s, 0 CR C, 0 f rame , 0 ove rru n, 8 ig nore d
0 watc hdo g, 2 011 5 mu lti cas t, 0 pau se inp ut
0 inpu t p acke ts with dr ibb le c ondi tio n d etec ted
37 4747 3 p acke ts outp ut, 35 3656 347 byt es, 0 u nde rrun s
--M ore --
Half -du plex , 1 0Mb /s
0 CRC ,
Hard war e is Fa st Ethe rne t, a ddr ess is 0008 .a4 45.c e82 (b ia 0 008 .a44 5.c e82)
Команда show interfaces выводит сведения о состоянии и статистику сетевых интерфейсов коммутатора. В таблице приводятся некоторые поля вывода, которые можно использовать для проверки основных параметров коммутатора.
Вывод
Описание
FastEthernet0/2 is up
Указывает состояние аппаратного обеспечения интерфейса. В этом примере оно функционирует правильно. За состоянием аппаратного обеспечения следует состояние канального протокола, который в этом примере также исправен и активен. address is
0008.a445.ce82…
Выводит МАС-адрес, который идентифицирует аппаратный интерфейс.
Half-duplex, 10 Mb/s
Показывает режим и тип подключения. Другие варианты: full duplex,
100 Mb/s.
CRC
Показывает, что выявлено 0 ошибок циклического контроля избыточности. Ошибки циклического контроля избыточности могут указывать на несоответствие дуплексного режима или на сбои адаптера Ethernet в подключенном устройстве.
Команда show interfaces будет часто использоваться при настройке и мониторинге сетевых устройств.

2-74
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Управление таблицами МАС-адресов
В этом разделе описывается задание постоянных и статических адресов в таблице
МАС-адресов.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 15
Catalyst 2960 Series
SwitchX#show mac-address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
----
-----------
--------
-----
All 0008.a445.9b40 STATIC CPU
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0100.0cdd.dddd STATIC CPU
1 0008.e3e8.0440 DYNAMIC Fa0/2
Total Mac Addresses for this criterion: 5
SwitchX#
Управление таблицей MAC-адресов
Коммутаторы используют таблицы МАС-адресов для передачи данных между портами.
Таблицы MAC-адресов содержат динамические, постоянные и статические адреса.
Динамические адреса – это МАС-адреса которые коммутатор получает из поля источника кадра, а затем удаляет, если они не обновляются и устаревают. Коммутатор реализует динамическую адресацию, изучая МАС-адрес источника каждого кадра, полученного с каждого порта, и добавляя МАС-адрес источника и соответствующий номер порта в таблицу МАС-адресов. По мере добавления или удаления станций в сети, коммутатор обновляет таблицу МАС-адресов, добавляя новые записи и переводя в разряд устаревших записи, которые не используются в настоящее время.
Администратор может присваивать постоянные адреса некоторым портам. В отличие от динамических адресов постоянные адреса не устаревают.
Максимальный размер таблицы МАС-адресов меняется в зависимости от модели коммутатора. Например, коммутаторы серии Catalyst 2960 могут хранить до 8 192
МАС-адреса. Когда таблица МАС-адресов переполняется, для трафика к новым неизвестным адресам выполняется лавинная рассылка.

© 2007 Cisco Systems, Inc.
ЛВС Ethernet
2-75
Резюме
В этом разделе приводится резюме основных вопросов, рассмотренных в занятии.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 16
Резюме
Запуск коммутатора Cisco IOS требует проверки физической установки, подключения питания и проверки вывода программного обеспечения Cisco IOS на консоли.
Коммутаторы Cisco IOS оснащены несколькими светодиодными индикаторами состояния, которые светятся зеленым цветом, когда коммутатор функционирует нормально, и изменяют цвет на желтый при возникновении неисправности.
Процедура Cisco Catalyst POST выполняется только при включении коммутатора.
Если при начальном запуске во время тестирования POST обнаруживаются ошибки, они выводятся на консоль. Если процедура POST завершается успешно, можно приступать к процедуре настройки коммутатора.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1 .0—2- 17
Резюме (прод.)
Чтобы запустить любой из режимов на коммутаторе Cisco IOS следует начать работу в пользовательском режиме EXEC.
При переключения режимов необходимо ввести пароль.
Коммутаторы Catalyst IOS можно настраивать с помощью режима глобальной конфигурации и других режимов, аналогично маршрутизаторам.
Чтобы задать имя хоста и IP-адрес, настраивайте коммутатор
Cisco IOS из командной строки.
После входа в систему коммутатора Catalyst, состояние оборудования и программного обеспечения коммутатора можно проверить с помощью команд show version
, show running-config и
show interfaces

2-76
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.

Занятие 6
Общие сведения о безопасности коммутатора
Обзор
Помимо защиты физического доступа существует растущая потребность в обеспечении безопасности доступа к коммутатору через консольный порт и виртуальные порты VTY. Кроме того, важно гарантировать что неиспользуемые порты коммутатора не станут брешью в системе безопасности.
Задачи
По окончании этого занятия вы сможете создать базовую конфигурацию коммутатора Cisco. Это значит, что вы сможете выполнять следующие задачи: описывать способы минимизации аппаратных и электрических угроз, угрозы, связанных с обслуживанием, а также угроз со стороны окружающей среды, способных повредить безопасности коммутаторов Cisco; настраивать защиту на базе паролей; настраивать баннер входа в систему; описывать разницу между протоколами Telnet и SSH для удаленного доступа; настраивать безопасность портов; обеспечивать безопасность неиспользуемых портов.

2-78
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Физические угрозы и угрозы со стороны окружающей среды
Часто угрозу безопасности сети представляет неверная или неполная установка сетевых устройств, причем эта угроза часто остается без внимания и приводит к печальным последствиям. Невозможно предотвратить преднамеренное или даже случайное повреждение сети в результате плохо проведенной установки только программными средствами безопасности. В этом разделе описывается, как минимизировать аппаратные и электрические угрозы, угрозы, связанные с обслуживанием, а также угрозы со стороны окружающей среды, способные ухудшить безопасность коммутаторов Cisco.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 2-2
Типовые угрозы для физических установок
Угрозы для аппаратного обеспечения
Угрозы со стороны окружающей среды
Электрические угрозы
Эксплуатационные угрозы
Существуют четыре класса угроз, связанных с небезопасной установкой или физическим доступом.
Угрозы для аппаратного обеспечения. Это угрозы физического повреждения аппаратной части маршрутизатора или коммутатора.
Угрозы со стороны окружающей среды. К ним относятся такие угрозы, как предельные температуры (слишком высокие или слишком низкие) или предельные значения влажности (слишком низкая или слишком высокая).
Электрические угрозы. К ним относятся такие угрозы как пики напряжения, недостаточное напряжение в сети (провалы напряжения), колебания напряжения (шум) и полное отключение питания.
Эксплуатационные угрозы. К ним относится неправильное обращение с основными электронными компонентами (электростатический разряд), отсутствие важных запасных частей, плохая прокладка кабеля, небрежная маркировка и т.д.

© 2007 Cisco Systems, Inc.
ЛВС Ethernet
2-79
Настройка защиты паролем
Интерфейс командной строки (CLI) используется для настройки пароля и ввода других команд консоли. В этом разделе описывается одна из важнейших задач конфигурации – настройка пароля.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 2-3
Настройка пароля коммутатора
Внимание Пароли предоставляются только для учебных целей. Пароли, используемые в реальной ситуации, должны удовлетворять требования «сильного» пароля.
Вы можете обеспечить защиту коммутатора с помощью пароля, чтобы ограничить доступ к нему. Использование паролей и назначение уровней привилегий – это простой способ контроля терминального доступа в сети.
Пароли можно задать для доступа к отдельным линиям, таким как консольная линия, и для доступа к привилегированному режиму EXEC. В паролях учитывается регистр.
Порты Telnet на коммутаторе известны как линии VTY. На коммутаторе может работать до шестнадцати виртуальных портов, обеспечивающих до шестнадцати одновременных сеансов Telnet. Виртуальные порты коммутатора пронумерованы от 0 до 15.
Используйте команду line console 0 с подкомандами password и login, чтобы включить аутентификацию при входе в систему и установить пароль на консольном терминальном порту или порту VTY. По умолчанию аутентификация выключена на консольном терминальном порту а пароль не установлен консольном терминальном порту или порту VTY.
Команда line vty 0 4 с подкомандами password и login включают аутентификацию при входе в систему и устанавливают пароль для сеансов Telnet.

2-80
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
С помощью команды login local можно включить аутентификацию на основе имени пользователя и пароля, указанного с помощью команды глобальной конфигурации username. Команда username включает аутентификацию по имени пользователя с использованием зашифрованных паролей.
Глобальная команда enable password ограничивает доступ к привилегированному режиму EXEC. Можно определить пароль доступа для сохранения в зашифрованной форме с помощью команды «enable secret». Для этого необходимо ввести команду enable secret с желаемым паролем в приглашении режима глобальной конфигурации. Если пароль «enable secret» настроен, он используется вместо простого пароля, а не вместе с ним.
Можно также добавить еще один уровень безопасности, который будет особенно полезен для паролей, пересылаемых по сети или хранящихся на TFTP-сервере.
Cisco предоставляет возможность использования зашифрованных паролей. Чтобы установить шифрование пароля, введите команду service password-encryption в режиме глобальной конфигурации.
Отображаемые пароли и пароли, заданные после выполнения команды service password-encryption, будут зашифрованы.
Чтобы отключить команду, используйте версию «no» этой команды. Например, используйте команду no service password-encryption, чтобы отключить шифрование паролей.

© 2007 Cisco Systems, Inc.
ЛВС Ethernet
2-81
Настройка баннера входа
Интерфейс командной строки используется для настройки «сообщения дня» и ввода других команд консоли. В этом разделе описываются некоторые задачи конфигурации, необходимые для включения баннера входа.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 2-4
Настройка баннера входа
Задает и активирует настраиваемый баннер, который выводится перед запросом имени пользователя и пароля
SwitchX# banner login " Access for authorized users only. Please enter your username and password. "
С помощью команды banner login в режиме глобальной конфигурации можно настроить баннер, который будет отображаться перед запросом имени пользователя и пароля. Чтобы отключить баннер входа, используйте версию «no» этой команды.
После ввода команды banner login поставьте за ней один или несколько пробелов и символ-разделитель по выбору. В этом примере в качестве символа- разделителя используется кавычка ("). После добавления текста баннера завершите сообщение таким же символом-разделителем.
Предупреждение Необходимо осторожно выбирать слова, используемые в баннере входа.
Выражения типа «добро пожаловать» могут означать, что доступ неограничен, что позволит хакерам оправдать свои действия.

2-82
Interconnecting Cisco Networking Devices Part 1 (ICND1) v1.0
© 2007 Cisco Systems, Inc.
Сравнение доступа через Telnet и SSH
В этом разделе рассматривается выбор режима удаленного доступа.
© 200 7 Cisco Syst ems , Inc. Вс е пр ава за щищ ены.
ICND1 v1.0— 2-5
Сравнение доступа через Telnet и SSH
Telnet
–
Самый распространенный метод доступа
–
Незащищенный
Зашифрованный SSH
!– T he user nam e c omma nd crea te the use rna me a nd p ass wor d fo r t he S SH sess ion