Router основы. SSH
Данный раздел посвящен настройке роутера из “коробки”.
Когда роутер загружается и не находит файла конфигурации (startup-config), он предлагает пройти процесс первичной настройки. Этот процесс рассматриваться не будет и при настройке нового роутера, мы будем пропускать этот процесс.
С этого раздела и далее мы будем “развлекаться” с бесклассовой адресацией. Если вы не знаете что такое бесклассовая адресация, обратитесь к этому разделу.
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Теория и практика
Версия файла: 2.0
Уже получили: 115 пользователей
Начальные данные
В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Все “манипуляции” с роутером можно осуществлять только при помощи PC0 (либо с других PC в сети).
В данной практической работе необходимо спланировать две подсети, в одной будет 15 сотрудников, а в другой 513. Адресация не должна выходить за рамки диапазона 10.18.0.0 – 10.18.4.255 (это просто “какой-то” диапазон ip адресов!).
Цели
- Спланировать адресацию сети, на основе первоначальных данных.
- Выполнить базовую настройку роутера.
- Изучить таблицу маршрутизации, arp-таблицу, рассмотреть основные show команды для изучения интерфейсов.
- Настройка ssh, telnet с использованием логина/пароля.
Выполнение
-
Спланировать адресацию сети, на основе первоначальных данных
Здесь надо вспомнить раздел бесклассовой адресации, где были примеры нахождения номера сети, полагаясь на количество пользователей. Здесь этот процесс рассматриваться не будет.
Для 513 пользователей мы будем использовать подсеть 10.18.0.0/22, с диапазоном доступных адресов 10.18.0.1 – 10.18.3.254.
Для 15 пользователей мы будем использовать подсеть 10.18.4.0/27, с диапазоном доступных адресов 10.18.4.1 – 10.18.4.30.
Интерфейсы у роутера:- Fa0/0 – 10.18.1.0/22 (обратите внимание, что ip адрес заканчивается на 0, такой выбор сделан для того, что бы развеять миф “об ip адресах заканчивающихся на 0 и 255”, но надо понимать, что и у этой подсети есть ip адреса, которые мы не можем использовать 10.18.0.0 и 10.18.3.255);
- Fa0/1 – 10.18.4.1/27
Указанные интерфейсы будут являться шлюзами по умолчанию (gateway).
-
Выполнить базовую настройку роутера
Что бы приступить к настройке R1, надо подключиться к нему консолью с PC0. Первое, что вы увидите:
--- System Configuration Dialog --- Continue with configuration dialog? [yes/no]: no Press RETURN to get started! Router> Router предлагает произвести первоначальную настройку, набрав
no
, мы отказались ее произвести (первоначальная настройка рассматриваться не будет).У роутера из “коробки” (без файла конфигурации startup-config) все порты находятся в состоянии administratively down, т.е. выключены. Настроим порты роутера, указав ip адреса, обозначенные в первом пункте. (
предварительно переименуйте его в R1, это критерий достижения )R1(config)# interf fa 0/0 R1(config-if)# ip address 10.18.1.0 255.255.252.0 R1(config-if)# no shut R1(config-if)# interf fa 0/1 R1(config-if)# ip address 10.18.4.1 255.255.255.224 R1(config-if)# no shut Как вы могли уже заметить командная строка коммутатора и роутера внешне ничем не отличается, самое главное отличие – набор команд для каждого типа устройств. Мы уже выставляли ip адрес на коммутаторе, аналогично мы сделали это на роутере – зашли в режим настройки интерфейса
interface fastethernet <номер интерфейса>
, назначили ему ip адрес командойip address <ip адрес> <маска>
и включили интерфейсno shutdown
.Теперь распределим ip адреса по компьютерам в сети (в дальнейшем мы научимся использовать DHCP и распределение будет происходить динамически):
- PC0 – 10.18.1.255/22
- PC2 – 10.18.1.3/22
- PC3 – 10.18.1.4/22
- PC1 – 10.18.4.2/27
- PC4 – 10.18.4.5/27
- PC5 – 10.18.4.6/27
Рисунок 1.1 демонстрирует настройку ip адреса на PC0, аналогично надо настроить все компьютеры в сети. Не забудьте указать шлюз по умолчанию (gateway)! В сети 10.18.0.0/22 это 10.18.1.0, а в сети 10.18.4.0/27 это 10.18.4.1! Рисунок 1.2 показывает проверку доступности R1 с PC0, при помощи команды
ping
.Рисунок 1.1 Настройка ip адреса на PC0 Рисунок 1.2 Проверка доступности R1 c PC0 -
Изучить таблицу маршрутизации, arp-таблицу, рассмотреть основные show команды для изучения интерфейсов
Что бы просмотреть таблицу маршрутизации на роутере, надо вызвать команду
show ip route
.R1# show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 10.18.0.0/22 is directly connected, FastEthernet0/0 C 10.18.4.0/27 is directly connected, FastEthernet0/1 В самом начале вывода этой команды, есть дополнение под названием Codes – список используемых символов и их описание. После слов Gateway of last resort is not set (что означает эта фраза, мы узнаем в одном из следующих разделов) идет таблица маршрутизации. Первой строчкой указана классовая сеть 10.0.0.0/8 и сообщается, что она разделена на подсети, которые мы можем видеть под ней. Символ C означает connected (эта информация есть в Codes) или подключенный напрямую (directly connected). Т.е. роутер знает о существовании двух подсетей, подключенных к нему напрямую – 10.18.0.0/22 к интерфейсу FastEthernet0/0 и 10.18.4.0/27 к интерфейсу FastEthernet0/1.
Раз роутер знает маршрут, то может пропускать пакеты между этими сетями. Еще раз убедитесь, что Gateway прописан на всех PC правильно и после этого можно проверять доступность PC4 c компьютера PC2, рисунок 1.3 (на рисунке, Request timed out, говорит о том, что на первый запрос PC2 не дождался ответа – Request timed out, это нормально, если вы повторите команду, потерь больше не будет).
Рисунок 1.3 Проверка доступности PC4 c PC2 Перед тем как изучать ARP-таблицу, я советую убедиться, что все PC видят друг друга. Это можно проверить, если выполнить ping-запросы между всеми PC. После надо вызвать команду
show arp
.R1# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 10.18.1.0 - 00E0.B085.0E01 ARPA FastEthernet0/0 Internet 10.18.1.3 5 0001.C705.01D1 ARPA FastEthernet0/0 Internet 10.18.1.4 0 0001.9769.2CBE ARPA FastEthernet0/0 Internet 10.18.1.255 14 0060.5C0A.1D19 ARPA FastEthernet0/0 Internet 10.18.4.1 - 00E0.B085.0E02 ARPA FastEthernet0/1 Internet 10.18.4.2 0 0006.2AC9.B935 ARPA FastEthernet0/1 Internet 10.18.4.5 5 0002.4A36.2390 ARPA FastEthernet0/1 Internet 10.18.4.6 0 0009.7CD0.4B34 ARPA FastEthernet0/1 Что полезного мы можем вынести из это таблицы? Во-первых соотношение ip адреса и MAC адреса. Во-вторых интерфейс на котором находится это устройство. В-третьих мы можем узнать когда впервые роутер узнал ARP-запись (Age (min) – возраст в минутах). По умолчанию, каждая ARP-запись находится 4 часа, а после удаляется.
ARP-таблица может пригодиться для поиска устройства в сети по ip адресу. В начале мы ищем соответствующую ip адресу ARP-запись, что бы найти MAC адрес, а после, при помощи таблицы коммутации (таблицы MAC адресов), ищем на каком порту какого коммутатора он находится.
Мы уже изучили команду
show ip interface brief
, она показывает краткое состояние интерфейсов.R1# show ip interface brief Interface IP-Address OK? Method Status Protocol FastEthernet0/0 10.18.1.0 YES manual up up FastEthernet0/1 10.18.4.1 YES manual up up Vlan1 unassigned YES unset administratively down down Есть так же команды
show ip interface
(рассматриваться не будет) иshow interfaces
(либоshow interface <имя номер интерфейса>
для просмотра информации по конкретному интерфейсу).R1# sh interf fa 0/0 FastEthernet0/0 is up, line protocol is up (connected) Hardware is Lance, address is 00e0.b085.0e01 (bia 00e0.b085.0e01) Internet address is 10.18.1.0/22 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set ARP type: ARPA, ARP Timeout 04:00:00, Last input 00:00:08, output 00:00:05, output hang never Last clearing of "show interface" counters never Input queue: 0/75/0 (size/max/drops); Total output drops: 0 Queueing strategy: fifo Output queue :0/40 (size/max) 5 minute input rate 111 bits/sec, 0 packets/sec 5 minute output rate 111 bits/sec, 0 packets/sec 212 packets input, 6736 bytes, 0 no buffer Received 0 broadcasts, 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 input packets with dribble condition detected 209 packets output, 6552 bytes, 0 underruns 0 output errors, 0 collisions, 1 interface resets 0 babbles, 0 late collision, 0 deferred 0 lost carrier, 0 no carrier 0 output buffer failures, 0 output buffers swapped out Здесь можно найти очень много полезной информации. Интерфейс в рабочем состоянии, имеет статус up (так же могут быть состояния down – физически выключен, провод не вставлен или administratively down – выключен программно, например, при помощи команды
shutdown
). Так же MAC адрес интерфейса (Hardware address), ip адрес (Internet address), MTU (что такое MTU). Бывает очень полезно узнать когда последний раз принимались (Last input 00:00:08) или передавались (output 00:00:05) данные с этого интерфейса, а так же статистику скорости передачи, приема за пять минут (5 minute input/output rate 0 bits/sec, 0 packets/sec). Очень полезная информация об ошибках на интерфейсе. В строчке Input queue: 0/75/0 предпоследнее число отвечает за кол-пакетов, которые могут содержаться в буфере, а последнее число показывает сколько пакетов было отброшено при переполнении буфера. Строчка input errors показывает сколько всего было замечено пакетов с ошибками. Более подробную информацию вы можете найти тут. -
Настройка ssh, telnet с использованием логина/пароля
Начнем с простого – создания пользователей. Но прежде чем создавать пользователей для удаленного подключения, надо разобраться с privilege level (уровень привилегий). Когда вы подключаетесь к роутеру “из коробки”, вы попадаете User mode (пользовательский режим), которые имеет самые низкие права – privilege level 1. Если вы наберете
enable
, то попадете в Privilege mode (режим с привилегиями), который имеет наивысший уровень прав – privilege level 15. Мы не будем разбираться как можно распределять права, а просто всем пользователям будем выдавать максимальные права. Создадим нового пользователя.R1(config)# username ciscolearning privilege 15 passw cisco123 Готово. Теперь у нас есть первый пользователь с максимальными правами. Прежде чем переходить к настройке ssh, настроим telnet авторизацию по логин/паролю (до этого была авторизация только по паролю).
R1(config)# line vty 0 15 R1(config-line)# login local R1(config-line)# transport input telnet Команда
login local
означает, что авторизовать (пользователя) надо из локальной базы пользователей. Раньше мы указывали командуprivilege level 15
с помощью которой все пользователи подключенные по telnet получали максимальные права, но теперь мы научились выставлять права отдельные для каждого пользователя. Давайте подключимся к R1 c PC0, рисунок 1.4.Рисунок 1.4 Telnet к R1 Теперь мы можем приступить к настройке Secure Shell (ssh).
SSH зашифровывает передаваемые данные, между клиентом и сервером, при помощи специального ключа (в нашем случае это “RSA” ключ (Rivest-Shamir-Adleman), в подробности вдаваться не будем). Ключ надо сгенерировать командой
crypto key generate rsa
. Но прежде чем генерировать ключ, надо указать доменное имя (например, ciscolearning.ru)ip domain-name <доменное имя>
(если вы не изменили hostname со стандартного Router на что-то иное, то самое время сделать это, потому что без этого ключ не сгенерится).R1(config)# ip domain-name ciscolearning.ru R1(config)# crypto key generate rsa The name for the keys will be: R1.ciscolearning.ru Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R1(config)# Установили доменное имя ciscolearning.ru. После запуска процесса генерации, роутер предлагает выбрать размер ключа (чем больше ключ, тем безопасней, но тем больше тратиться процессорное время на шифрование/дешифрование), по умолчанию 512 бит, в нашем примере мы сгенерировали ключ на 1024 бита.
Остался еще один маленький момент, надо указать что бы роутер принимал ssh соединения, делается это при помощи команды
transport input ssh
(если вы хотите что бы работал telnet и ssh, то командуtransport input all
, а в реальном оборудовании можно такtransport input ssh telnet
).R1(config)# line vty 0 15 R1(config-line)# transport input ? all All protocols none No protocols ssh TCP/IP SSH protocol telnet TCP/IP Telnet protocol R1(config-line)# transport input all Вот теперь давайте подключимся к R1 c PC3, рисунок 1.5. Для этого на PC3 мы вызываем команду типа
ssh -l <логин> <ip адрес>
Рисунок 1.5 SSH к R1 Ниже представлен “копипаст”, для быстрой настройки ssh.
lin vty 0 4 transport input ssh login local ip domain-name example.ru hostname my-super-name username clearing privilege 15 passwordcisco123 crypto key generate rsa
Общая информация
Packet Tracer version: 6.2.0
Рабочий файл: скачать
Тип: Самостоятельная работа
Версия файла: 2.0
Уже получили: 115 пользователей
Начальные данные
В данной лабораторной работе будет использоваться схема сети, которая представлена на рисунке ниже.

Все “манипуляции” с роутером можно осуществлять при помощи PC0 (либо с других ПК в сети). Логин/пароль от оборудования admin/welcome, подключаться используя telnet. Младший сотрудник выполнил настройку компьютеров, но не все пользователи остались довольный работой сети. Ваша задача разобраться и решить существующие проблемы и задачи.
Задания
- Пользователь PC2 жалуется, что может подключиться к tacacsGUI(172.16.17.200), но не может подключиться к CisoLearning(192.168.3.14). У остальных пользователей в сети 172.16.17.0/24 все открывается. Скриншот прилагается.
Рисунок 1.6 Проблема на ПК4 - Пользователь PC5 жалуется, что не может подключиться к CisoLearning(192.168.3.14), но при этом может подключиться к tacacsGUI(172.16.17.200).У остальных пользователей в сети 192.168.36.0/24 все открывается.
- Начальство требует настроить SSH на роутере R1 и добавить пользователя mynameis c паролем nobody (не забываем про privilege level).
ID: 142 Created: Oct 19, 2016 Modified Feb 11, 2019