Router основы. SSH

Данный раздел посвящен настройке роутера из “коробки”.

Когда роутер загружается и не находит файла конфигурации (startup-config), он предлагает пройти процесс первичной настройки. Этот процесс рассматриваться не будет и при настройке нового роутера, мы будем пропускать этот процесс.


С этого раздела и далее мы будем “развлекаться” с бесклассовой адресацией. Если вы не знаете что такое бесклассовая адресация, обратитесь к этому разделу.

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Теория и практика

Версия файла: 2.0

Уже получили: 85 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 84 пользователей

Начальные данные

В данной практической работе будет использоваться схема сети, которая представлена на рисунке ниже.

Схема сети для практической работы
Схема сети для практической работы


Все “манипуляции” с роутером можно осуществлять только при помощи PC0 (либо с других PC в сети).

В данной практической работе необходимо спланировать две подсети, в одной будет 15 сотрудников, а в другой 513. Адресация не должна выходить за рамки диапазона 10.18.0.0 – 10.18.4.255 (это просто “какой-то” диапазон ip адресов!).

Цели

  1. Спланировать адресацию сети, на основе первоначальных данных.
  2. Выполнить базовую настройку роутера.
  3. Изучить таблицу маршрутизации, arp-таблицу, рассмотреть основные show команды для изучения интерфейсов.
  4. Настройка ssh, telnet с использованием логина/пароля.

Выполнение

  1. Спланировать адресацию сети, на основе первоначальных данных

    Здесь надо вспомнить раздел бесклассовой адресации, где были примеры нахождения номера сети, полагаясь на количество пользователей. Здесь этот процесс рассматриваться не будет.

    Для 513 пользователей мы будем использовать подсеть 10.18.0.0/22, с диапазоном доступных адресов 10.18.0.1 – 10.18.3.254.

    Для 15 пользователей мы будем использовать подсеть 10.18.4.0/27, с диапазоном доступных адресов 10.18.4.1 – 10.18.4.30.
    Интерфейсы у роутера:

    1. Fa0/0 – 10.18.1.0/22 (обратите внимание, что ip адрес заканчивается на 0, такой выбор сделан для того, что бы развеять миф “об ip адресах заканчивающихся на 0 и 255”, но надо понимать, что и у этой подсети есть ip адреса, которые мы не можем использовать 10.18.0.0 и 10.18.3.255);
    2. Fa0/1 – 10.18.4.1/27

    Указанные интерфейсы будут являться шлюзами по умолчанию (gateway).

  2. Выполнить базовую настройку роутера

    Что бы приступить к настройке R1, надо подключиться к нему консолью с PC0. Первое, что вы увидите:

              --- System Configuration Dialog ---
 
 Continue with configuration dialog? [yes/no]: no
 
 
 Press RETURN to get started!
 
 
 Router>

    Router предлагает произвести первоначальную настройку, набрав no, мы отказались ее произвести (первоначальная настройка рассматриваться не будет).

    У роутера из “коробки” (без файла конфигурации startup-config) все порты находятся в состоянии administratively down, т.е. выключены. Настроим порты роутера, указав ip адреса, обозначенные в первом пункте. (предварительно переименуйте его в R1, это критерий достижения)

     R1(config)#interf fa 0/0
 R1(config-if)#ip address 10.18.1.0 255.255.252.0
 R1(config-if)#no shut

 R1(config-if)#interf fa 0/1
 R1(config-if)#ip address 10.18.4.1 255.255.255.224
 R1(config-if)#no shut

    Как вы могли уже заметить командная строка коммутатора и роутера внешне ничем не отличается, самое главное отличие – набор команд для каждого типа устройств. Мы уже выставляли ip адрес на коммутаторе, аналогично мы сделали это на роутере – зашли в режим настройки интерфейса interface fastethernet <номер интерфейса>, назначили ему ip адрес командой ip address <ip адрес> <маска> и включили интерфейс no shutdown.

    Теперь распределим ip адреса по компьютерам в сети (в дальнейшем мы научимся использовать DHCP и распределение будет происходить динамически):

    • PC0 – 10.18.1.255/22
    • PC2 – 10.18.1.3/22
    • PC3 – 10.18.1.4/22
    • PC1 – 10.18.4.2/27
    • PC4 – 10.18.4.5/27
    • PC5 – 10.18.4.6/27

    Рисунок 1.1 демонстрирует настройку ip адреса на PC0, аналогично надо настроить все компьютеры в сети. Не забудьте указать шлюз по умолчанию (gateway)! В сети 10.18.0.0/22 это 10.18.1.0, а в сети 10.18.4.0/27 это 10.18.4.1! Рисунок 1.2 показывает проверку доступности R1 с PC0, при помощи команды ping.

    Рисунок 1.1 Настройка ip адреса на PC0
    Рисунок 1.1 Настройка ip адреса на PC0


    Рисунок 1.2 Проверка доступности R1 c PC0
    Рисунок 1.2 Проверка доступности R1 c PC0

  3. Изучить таблицу маршрутизации, arp-таблицу, рассмотреть основные show команды для изучения интерфейсов

    Что бы просмотреть таблицу маршрутизации на роутере, надо вызвать команду show ip route.

     R1#show ip route
 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
        i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
        * - candidate default, U - per-user static route, o - ODR
        P - periodic downloaded static route
 
 Gateway of last resort is not set
 
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
 C       10.18.0.0/22 is directly connected, FastEthernet0/0
 C       10.18.4.0/27 is directly connected, FastEthernet0/1

    В самом начале вывода этой команды, есть дополнение под названием Codes – список используемых символов и их описание. После слов Gateway of last resort is not set (что означает эта фраза, мы узнаем в одном из следующих разделов) идет таблица маршрутизации. Первой строчкой указана классовая сеть 10.0.0.0/8 и сообщается, что она разделена на подсети, которые мы можем видеть под ней. Символ C означает connected (эта информация есть в Codes) или подключенный напрямую (directly connected). Т.е. роутер знает о существовании двух подсетей, подключенных к нему напрямую – 10.18.0.0/22 к интерфейсу FastEthernet0/0 и 10.18.4.0/27 к интерфейсу FastEthernet0/1.

    Раз роутер знает маршрут, то может пропускать пакеты между этими сетями. Еще раз убедитесь, что Gateway прописан на всех PC правильно и после этого можно проверять доступность PC4 c компьютера PC2, рисунок 1.3 (на рисунке, Request timed out, говорит о том, что на первый запрос PC2 не дождался ответа – Request timed out, это нормально, если вы повторите команду, потерь больше не будет).

    Рисунок 1.3 Проверка доступности PC4 c PC2
    Рисунок 1.3 Проверка доступности PC4 c PC2


    Перед тем как изучать ARP-таблицу, я советую убедиться, что все PC видят друг друга. Это можно проверить, если выполнить ping-запросы между всеми PC. После надо вызвать команду show arp.

     R1#show arp
 Protocol  Address          Age (min)  Hardware Addr   Type   Interface
 Internet  10.18.1.0               -   00E0.B085.0E01  ARPA   FastEthernet0/0
 Internet  10.18.1.3               5   0001.C705.01D1  ARPA   FastEthernet0/0
 Internet  10.18.1.4               0   0001.9769.2CBE  ARPA   FastEthernet0/0
 Internet  10.18.1.255             14  0060.5C0A.1D19  ARPA   FastEthernet0/0
 Internet  10.18.4.1               -   00E0.B085.0E02  ARPA   FastEthernet0/1
 Internet  10.18.4.2               0   0006.2AC9.B935  ARPA   FastEthernet0/1
 Internet  10.18.4.5               5   0002.4A36.2390  ARPA   FastEthernet0/1
 Internet  10.18.4.6               0   0009.7CD0.4B34  ARPA   FastEthernet0/1

    Что полезного мы можем вынести из это таблицы? Во-первых соотношение ip адреса и MAC адреса. Во-вторых интерфейс на котором находится это устройство. В-третьих мы можем узнать когда впервые роутер узнал ARP-запись (Age (min) – возраст в минутах). По умолчанию, каждая ARP-запись находится 4 часа, а после удаляется.

    ARP-таблица может пригодиться для поиска устройства в сети по ip адресу. В начале мы ищем соответствующую ip адресу ARP-запись, что бы найти MAC адрес, а после, при помощи таблицы коммутации (таблицы MAC адресов), ищем на каком порту какого коммутатора он находится.

    Мы уже изучили команду show ip interface brief, она показывает краткое состояние интерфейсов.

     R1#show ip interface brief
 Interface              IP-Address      OK? Method Status                Protocol
  
 FastEthernet0/0        10.18.1.0       YES manual up                    up
  
 FastEthernet0/1        10.18.4.1       YES manual up                    up
  
 Vlan1                  unassigned      YES unset  administratively down down

    Есть так же команды show ip interface (рассматриваться не будет) и show interfaces (либо show interface <имя номер интерфейса> для просмотра информации по конкретному интерфейсу).

     R1#sh interf fa 0/0
 FastEthernet0/0 is up, line protocol is up (connected)
   Hardware is Lance, address is 00e0.b085.0e01 (bia 00e0.b085.0e01)
   Internet address is 10.18.1.0/22
   MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
      reliability 255/255, txload 1/255, rxload 1/255
   Encapsulation ARPA, loopback not set
   ARP type: ARPA, ARP Timeout 04:00:00, 
   Last input 00:00:08, output 00:00:05, output hang never
   Last clearing of "show interface" counters never
   Input queue: 0/75/0 (size/max/drops); Total output drops: 0
   Queueing strategy: fifo
   Output queue :0/40 (size/max)
   5 minute input rate 111 bits/sec, 0 packets/sec
   5 minute output rate 111 bits/sec, 0 packets/sec
      212 packets input, 6736 bytes, 0 no buffer
      Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
      0 input packets with dribble condition detected
      209 packets output, 6552 bytes, 0 underruns
      0 output errors, 0 collisions, 1 interface resets
      0 babbles, 0 late collision, 0 deferred
      0 lost carrier, 0 no carrier
      0 output buffer failures, 0 output buffers swapped out

    Здесь можно найти очень много полезной информации. Интерфейс в рабочем состоянии, имеет статус up (так же могут быть состояния down – физически выключен, провод не вставлен или administratively down – выключен программно, например, при помощи команды shutdown). Так же MAC адрес интерфейса (Hardware address), ip адрес (Internet address), MTU (что такое MTU). Бывает очень полезно узнать когда последний раз принимались (Last input 00:00:08) или передавались (output 00:00:05) данные с этого интерфейса, а так же статистику скорости передачи, приема за пять минут (5 minute input/output rate 0 bits/sec, 0 packets/sec). Очень полезная информация об ошибках на интерфейсе. В строчке Input queue: 0/75/0 предпоследнее число отвечает за кол-пакетов, которые могут содержаться в буфере, а последнее число показывает сколько пакетов было отброшено при переполнении буфера. Строчка input errors показывает сколько всего было замечено пакетов с ошибками. Более подробную информацию вы можете найти тут.

  4. Настройка ssh, telnet с использованием логина/пароля

    Начнем с простого – создания пользователей. Но прежде чем создавать пользователей для удаленного подключения, надо разобраться с privilege level (уровень привилегий). Когда вы подключаетесь к роутеру “из коробки”, вы попадаете User mode (пользовательский режим), которые имеет самые низкие права – privilege level 1. Если вы наберете enable, то попадете в Privilege mode (режим с привилегиями), который имеет наивысший уровень прав – privilege level 15. Мы не будем разбираться как можно распределять права, а просто всем пользователям будем выдавать максимальные права. Создадим нового пользователя.

     R1(config)#username ciscolearning privilege 15 passw cisco123

    Готово. Теперь у нас есть первый пользователь с максимальными правами. Прежде чем переходить к настройке ssh, настроим telnet авторизацию по логин/паролю (до этого была авторизация только по паролю).

     R1(config)#line vty 0 15
 R1(config-line)#login local
 R1(config-line)#transport input telnet

    Команда login local означает, что авторизовать (пользователя) надо из локальной базы пользователей. Раньше мы указывали команду privilege level 15 с помощью которой все пользователи подключенные по telnet получали максимальные права, но теперь мы научились выставлять права отдельные для каждого пользователя. Давайте подключимся к R1 c PC0, рисунок 1.4.

    Рисунок 1.4 Telnet к R1
    Рисунок 1.4 Telnet к R1


    Теперь мы можем приступить к настройке Secure Shell (ssh).

    SSH зашифровывает передаваемые данные, между клиентом и сервером, при помощи специального ключа (в нашем случае это “RSA” ключ (Rivest-Shamir-Adleman), в подробности вдаваться не будем). Ключ надо сгенерировать командой crypto key generate rsa. Но прежде чем генерировать ключ, надо указать доменное имя (например, ciscolearning.ru) ip domain-name <доменное имя> (если вы не изменили hostname со стандартного Router на что-то иное, то самое время сделать это, потому что без этого ключ не сгенерится).

    									
 R1(config)#ip domain-name ciscolearning.ru
 R1(config)#crypto key generate rsa 
 The name for the keys will be: R1.ciscolearning.ru
 Choose the size of the key modulus in the range of 360 to 2048 for your
   General Purpose Keys. Choosing a key modulus greater than 512 may take
   a few minutes.
 
 How many bits in the modulus [512]: 1024
 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
 
 R1(config)#

    Установили доменное имя ciscolearning.ru. После запуска процесса генерации, роутер предлагает выбрать размер ключа (чем больше ключ, тем безопасней, но тем больше тратиться процессорное время на шифрование/дешифрование), по умолчанию 512 бит, в нашем примере мы сгенерировали ключ на 1024 бита.

    Остался еще один маленький момент, надо указать что бы роутер принимал ssh соединения, делается это при помощи команды transport input ssh (если вы хотите что бы работал telnet и ssh, то команду transport input all, а в реальном оборудовании можно так transport input ssh telnet).

     R1(config)#line vty 0 15
 R1(config-line)#transport input ?
   all     All protocols
   none    No protocols
   ssh     TCP/IP SSH protocol
   telnet  TCP/IP Telnet protocol
 R1(config-line)#transport input all

    Вот теперь давайте подключимся к R1 c PC3, рисунок 1.5. Для этого на PC3 мы вызываем команду типа ssh -l <логин> <ip адрес>

    Рисунок 1.5 SSH к R1
    Рисунок 1.5 SSH к R1


    Ниже представлен “копипаст”, для быстрой настройки ssh.

     lin vty 0 4
 transport input ssh
 login local 
 ip domain-name example.ru
 hostname my-super-name
 username clearing privilege 15 password cisco123
 crypto key generate rsa

Общая информация

Packet Tracer version: 6.2.0

Рабочий файл: скачать

Тип: Самостоятельная работа

Версия файла: 2.0

Уже получили: 85 пользователей


Часто задаваемые вопросы

Получить достижение

Код активации можно получить выполнив практическое задание

Achievement

Уже получили 85 пользователей

Начальные данные

В данной лабораторной работе будет использоваться схема сети, которая представлена на рисунке ниже.

Схема сети для лабораторной работы
Схема сети для лабораторной работы


Все “манипуляции” с роутером можно осуществлять при помощи PC0 (либо с других ПК в сети). Логин/пароль от оборудования admin/welcome, подключаться используя telnet. Младший сотрудник выполнил настройку компьютеров, но не все пользователи остались довольный работой сети. Ваша задача разобраться и решить существующие проблемы и задачи.

Задания

  1. Пользователь PC2 жалуется, что может подключиться к tacacsGUI(172.16.17.200), но не может подключиться к CisoLearning(192.168.3.14). У остальных пользователей в сети 172.16.17.0/24 все открывается. Скриншот прилагается.

    Рисунок 1.6 Проблема на ПК4
    Рисунок 1.6 Проблема на ПК4
  2. Пользователь PC5 жалуется, что не может подключиться к CisoLearning(192.168.3.14), но при этом может подключиться к tacacsGUI(172.16.17.200).У остальных пользователей в сети 192.168.36.0/24 все открывается.
  3. Начальство требует настроить SSH на роутере R1 и добавить пользователя mynameis c паролем nobody (не забываем про privilege level).


ID: 142 Created: Oct 19, 2016 Modified Feb 11, 2019