Что такое сети cisco? основные понятия и термины
Содержание:
- Уровень распределения (Distribution layer)
- Предоставляемая функциональность
- Алгоритм установки обновлений на оборудование Cisco
- Наборы функций
- Послесловие
- Прочие проблемы
- Стадии развития и распространения
- Приставка Билайн ТВ не загружается и не работает
- show processes
- Ядро сети (Core layer)
- Настройка ssh cisco
Уровень распределения (Distribution layer)
Следующий уровень это уровень распределения. Он обслуживает общую связность
между уровнем доступа и ядром сети. Иногда этот уровень называют уровнем агрегации,
но такое название я встречал лишь при обсуждении оборудования компании D-Link. Коммутаторы
уровня распределения призваны снять нагрузку с ядра сети распределяя траффик между
коммутаторами доступа. Так же на их плечи ложится обработка огромного количества
MAC-адресов и VLAN. Одно из требований это наличие высокоскоростных аплинков
до коммутаторов уровня ядра. Каждый коммутатор уровня распределения должен быть подключен
минимум к двум коммутаторам ядра. В этом случае при поломке одного из коммутаторов ядра
работоспособность сети не нарушится. Даунлинки должны быть высокоскоростными, дабы не
создавать эффекта бутылочного горлышка. При аплинках со скоростью от 40 Гбит/сек
до 10 Гбит/сек, даунлинки должны быть от 10 Гбит/сек до 1 Гбит/сек.
В маленьких компаниях коммутаторы ядра и коммутаторы распределения это одни и те же
коммутаторы. Но я бы не стал говорить, что это правильный подход для компании где требуется
аппаратное резервирование сети и где требуется гарантированное подключение позволяющее
на горячую заменять коммутационное оборудование.
На коммутаторах уровня распределения так же требуется поддержка EtherChannel
и в добавок они должны иметь корректно настроенную QoS.
Предоставляемая функциональность
Существуют разные компоновки IOS отличающиеся функционалом, так называемые feature sets :
- IP Base — начальный уровень функциональности, включается во все другие. Обеспечивает базовую маршрутизацию (статические маршруты, RIP, OSPF, EIGRP для IPv4), VLAN (802.1Q и ISL) и NAT.
- IP Services (для L3 свитчей) — протоколы динамической маршрутизации, NAT, IP SLA.
- Advanced IP Services — добавляется поддержка IPv6.
- IP Voice — добавляет функциональность VoIP и VoFR.
- Advanced Security — добавляется IOS/Firewall, IDS, SCTP, SSH и IPSec (DES, 3DES и AES).
- Service Provider Services — добавляется Netflow, SSH, BGP, ATM и VoATM.
- Enterprise Base — добавляется поддержка L3-протоколов (IPX и AppleTalk), а также DLSw+, STUN/BSTUN и RSRB.
Алгоритм установки обновлений на оборудование Cisco
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-02
Для хранения образа IOS может использоваться дисковая файловая система или флэш-система. Типичные файловые системы, поддерживаемые маршрутизаторами Cisco, могут обозначаться следующими префиксами: flash:, slot0:, slot1:, disk0: и disk1:. Имейте ввиду, что для хранения образа IOS файловая система должна иметь достаточно свободного места. Чтобы ознакомиться с доступными файловыми системами и проверить наличие свободного места, воспользуемся командой
show file systems:
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-03
Видим структуру текущей файловой системы.
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-04
Выполним обзор файлов на flash: командой
dir или show flash
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-05
Предварительно скопируем конфигурацию и старый IOS на TFTP-сервер :
copy running-config tftp:
Address or name of remote host []? в моем случае ip 10.152.1.31
Destination filename ? config-port11
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-06
Проверяем наш tftp сервер и видим наш файл
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-07
Копируем текущий IOS на tftp.
copy c2960-lanlitek9-mz.150-2.SE5 tftp:
Address or name of remote host []? 10.152.1.31
Destination filename c2960-lanlitek9-mz.150-2.SE5.bin
и получаем ошибку error reading flash (is a directory) которая говорит что прошивка хранится в виде каталога.
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-08
тогда пишем
copy c2960-lanlitek9-mz.150-2.SE5/c2960-lanlitek9-mz.150-2.SE5.bin tftp:
Address or name of remote host []? 10.152.1.31
Destination filename c2960-lanlitek9-mz.150-2.SE5.bin
Видим что все ок
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-09
Проверяем tftp и видим, что прошивка появилась
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-10
Выполним загрузку IOS с TFTP-сервера на коммутатор:
copy tftp://10.152.1.31/c2960-lanlitek9-mz.150-2.SE7.bin flash://c2960-lanlitek9-mz.150-2.SE7.binDestination filename ? c2960-lanlitek9-mz.150-2.SE7.bin
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-11
Выполним dir чтобы посмотреть появился ли файл
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-12
После загрузки файла необходимо проверить его целостность. Для этого подсчитаем контрольную сумму и сравним со значением, которое получено при загрузке файла с сайта производителя. Контрольная сумма предоставленная производителем: 2e5d03420a518b0783d84c31e047b50b. Проверяем контрольную сумму загруженного файла на коммутаторе
Пишем
verify /md5 flash:c2960-lanlitek9-mz.150-2.SE7.bin
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-13
Контрольная сумма совпадает, значит загрузка выполнена корректно. Указываем коммутатору необходимость загрузки системы с нового образа, не забыв предварительно отключить загрузку предыдущего образа:
заходим в режим конфигурирования
config t
no boot system
boot system flash:/c2960-lanlitek9-mz.150-2.SE7.bin
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-15
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-16
Все в порядке… Сохраним параметры и выполним перезагрузку коммутатора:
copy running-config startup-config
Destination filename ? нажимаем Enter.
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-17
Перезагружаемся
reload Proceed with reload? y
После перезагрузки логинимся и вводим команду которая покажет версию IOS
show version
И видим что все ок
Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-19
Как удалить предыдущую версию написано тут. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.
Наборы функций
У подавляющего большинства продукции Cisco, которая использует IOS, также есть несколько так называемых «наборов функций», обычно 8 штук для маршрутизаторов Cisco и 5 для коммутаторов Cisco. Например, релизы Cisco IOS, предназначенные для использования на коммутаторах Catalyst доступны в качестве «стандартной» версии (обеспечивающей только базовую IP-маршрутизацию), «улучшенной» версии, полностью поддерживающей IPv4 маршрутизацию и «продвинутую» версию, которая к тому же поддерживает IPv6.
Каждый пакет программ соответствует одной из сервисных категорий:
- IP-данные
- Конвергированная услуга передачи речи и данных
- Безопасность и VPN
Начиная с 1900, 2900 и 3900 моделей ISR-маршрутизаторов, Cisco пересмотрели лицензирование моделей IOS. Маршрутизаторы поставляются с предустановленным паком «IP Base» и лицензией на дополнительный функционал, которая позволяет добавить следующие паки:
- Data. Содержит BFD, IP SLAs, IPX, L2TPv3, Mobile IP, MPLS, SCTP.
- Security. Содержит VPN, Firewall, IP SLAs, NAC.
- Unified Comms. Содержит CallManager Express, Gatekeeper, H.323, IP SLAs, MGCP, SIP, VoIP, CUBE(SBC).
Interface Descriptor Block (блок описателя интерфейса), сокр. IDB — часть памяти, хранящая такую информацию, как IP адрес, состояние интерфейса и статистика пакетов. Cisco’s IOS поддерживает один блок описателя интерфейса в каждом отдельном коммутаторе или маршрутизаторе и один IDB для каждого субинтерфейса. Количество блоков IDB в системе варьируется в зависимости от типа платформы.
Послесловие
Надеюсь, теперь понятно почему большие корпоративные сети так сложно обслуживать
и почему администраторы из корпоративного сектора крайне косо смотрят на
использование неуправляемых коммутаторов на предприятиях любого уровня.
В качестве примера пользы подобного многократного дублирования могу привести
пожар на одном из наших объектов. На том обьекте было дублирование как сети, так
и серверов хранения данных. Так вот во время пожара у нас были видеоматериалы того
как произошло возгорание, как распространялся огонь по зданию, а так же температура
при которой начинали отключаться сервера в серверных.
• Перейти в архив
Прочие проблемы
В процессе эксплуатации могут возникнуть и другие трудности, когда аппарат не работает или дает сбои:
- При появлении фразы «Нет сигнала» или потере изображения перезагрузите приставку, вытянув провод питания из розетки на 5 секунд и более.
- Рассыпание изображения может свидетельствовать о повреждении сетевого кабеля. Проблему можно решить его заменой. Если видимых повреждений нет, нужно перезапустить аппарат. Аналогичное действие рекомендуется сделать в случае зависания изображения.
- Красный крест на экране может свидетельствовать о нарушении целостности сетевого кабеля.
Стадии развития и распространения
- Limited Deployment (LD) — первоначальный ограниченный выпуск (продолжается примерно один год с момента поставки первому заказчику).
- General Deployment (GD) — этап общего развертывания. На этом этапе проходит окончательная проверка стабильности кода и успешной реализации в нём всех предусмотренных средств. При этом происходит непрерывная доработка IOS и подготовка к выпуску её окончательной версии.
- Early Deployment (ED) — этап, на котором происходит первоначальное развертывание, обычно совпадает с этапом общего развертывания.
- Mature Maintenance (ММ) — этап сопровождения готового продукта (только устранение обнаруженных ошибок).
- Этап вывода из эксплуатации (начинается примерно через два года после первоначального выпуска продукта). Вначале прекращается его поставка (End-Of-Sale — EOS), затем разработка (End-Of-Engineering — ЕОЕ), и обнаруженные ошибки больше не устраняются, и наконец продукт переходит на этап завершения эксплуатации (End-Of-Life — EOL).
Приставка Билайн ТВ не загружается и не работает
Еще одна ситуация, когда не работает приставка Билайн ТВ, не загружается после подключения и входа. Такая неисправность часто происходит спонтанно. Еще вчера все было нормально, а сегодня возникли трудности. Проблема, как правило, связана с неисправностью оборудования. Симптом того, что поломался роутер или Билайн приставка — идет загрузка, пожалуйста подождите. Именно такую надпись могут видеть пользователи на экране ТВ или компьютера.
- убедитесь, что услуга активирована и работает;
- проверьте наличие необходимой суммы на счету;
- замените роутер (возможно, именно в нем проблема).
Бывают и другие неисправности:
- Горят все кнопки . Симптом свидетельствует о неправильной настройке сетевой карты. Во многих телевизорах придется вводить данные вручную.
- Отсутствует сигнал . Бывают ситуации, когда ТВ приставка Билайн перестала работать или трансляция зависает. Вероятные причины — перегрузка системы (подключение нескольких ТВ к устройству), неправильная настройка или плохие погодные условия.
Для восстановления работы необходимо перезапустить роутер. Если причина в дожде, сильных порывах ветра или других причудах погоды, придется подождать нормализации условий. Отмечаем неполадки в работе здесь.
show processes
Во время обычной работы с оборудованием или во время поиска неисправностей, может понадобиться информация о том, какие процессы работают на маршрутизаторе, какие из них больше всего загружают процессор.
Команда show processes отображает информацию об активных процессах. Параметры команды позволяют отобразить информацию о статистике загрузки процессора, объеме используемой памяти, и даже представить информацию в виде графиков. Далее несколько примеров использования команды.
Отображение отсортированного списка процессов:
Отображение списка процессов отсортированного по загрузке за последние 5 минут:
Графическое представление загрузки процессора:
Отображение списка процессов отсортированных по объему используемой памяти:
Подробнее о команде show processes, ее параметрах и описание значений вывода команд.
interface range и interface range macro
При работе с коммутаторами, часто возникает задача выполнить одинаковое действие с группой портов. Для этого используется команда interface range:
В команде могут быть перечислены не только порты идущие подряд:
Кроме того, если какие-то диапазоны портов используются постоянно, удобно создать для этого диапазона имя (в этом примере имя диапазона “HOSTS”) с помощью команды define interface-range:
Тогда, при дальнейших настройках этого диапазона, порты можно не перечислять, а переходить в режим настройки портов по имени:
default interface
Иногда возникает необходимость обнулить настройки интерфейса. Но, если к интерфейсу применено большое количество команд, то удалять их может быть достаточно неудобно. Например, интерфейс настроен так:
Для того чтобы обнулить его настройки, можно воспользоваться командой default interface:
Эту команду можно выполнять и с диапазоном интерфейсов или используя заданное ранее имя для диапазона интерфейсов:
show control-plane host open-ports
Команда show control-plane host open-ports показывает какие TCP и UDP-порты открыты на маршрутизаторе. У нее есть некоторые ограничения: не все сервисы, использующие UDP, отображаются (RIP), и не отображаются протоколы, которые не используют TCP и UDP (например, OSPF, EIGRP).
Пример вывода команды:
Ядро сети (Core layer)
Самый верх иерархии представлен высокоскоростными и высокопроизводительными
оммутаторами. Обычно они снабжаются портами со скоростью 100 Гбит/сек и/или
40 Гбит/сек. Эти коммутаторы оснащены ререзвируемыми блоками питания с горячей
заменой. Основная цель этого слоя в том, чтобы максимально быстро передавать пакеты между
подсетями. Значит коммутатор должен быть не ниже Layer 3. И вторая основная цель состоит
в резервировании каналов. Значит необходима поддержка технологии EtherChannel.
У компании Cisco есть линейка коммутаторов под эти задачи. Это серия коммутаторов Nexus
от 2000 до 9000. Они отлично подходят для подобной задачи. Но есть и более
дешёвые варианты, например, Cisco Catalyst 6500.
Настройка ssh cisco
И так давайте рассмотрим как производится настройка ssh cisco, я буду это показывать на примере симулятора Cisco packet tracer, но отличий от реального оборудования вы не обнаружите. До этого мы уже создали локального пользователя net_admin. Давайте включим ssh соединение и дадим ему возможность подключаться через него.
Заходим в режим конфигурирования и вводим.
config t line vty 0 5
vty означает виртуальный терминал
Как включить ssh в Cisco на примере Cisco 2960+48TC-S-01
Дальше включаем ssh для входящего трафика
Как включить ssh в Cisco на примере Cisco 2960+48TC-S-02
Говорим что авторизация будет через локальное хранилище учетных записей, выходим и сохраняем настройки.
login local end wr mem
Как включить ssh в Cisco на примере Cisco 2960+48TC-S-03
так же может потребоваться сгенерировать ключ шифрования, бывают случаи, что вы все включили, а ssh соединение не проходит, и происходит это из за того, что нет ключа, давайте покажу как его сгенерировать в ручную.
crypto key generate rsa
На вопрос какой размер ключа, я ответил 768
Посмотреть сгенерированный ssh ключ, можно командой:
show crypto key mypubkey rsa
Посмотреть текущие ssh соединения можно командой:
show ssh
Обратите внимание, что тут видно версию ssh, у меня это ssh 2.0
Еще есть полезная команда who, она показывает и консольные соединения и еще Ip адреса откуда идет подключение.
Безопасность ssh соединения Cisco
Очень важным моментом настройки ssh cisco, является еще и безопасность, все конечно здорово, что трафик шифруется, но нам нужно желательно изменить порт подключения на нестандартный и ограничить количество попыток соединения, ниже этим и займемся.
Для начала давайте ограничим количество попыток соединения по ssh протоколу, пишем:
ip ssh authentication-retries 3
Сразу включим занесение всех событий по терминалу в журнал. Это даст информацию кто и с каких ip адресов пытался подключиться. Если вы вдруг обнаружите большое количество сообщений, в которых идет попытка залогиниться с ошибкой, то у вас подбирают пароль.
ip ssh logging events
В таких случаях, да и вообще в принципе настройка ssh cisco всегда должна быть на нестандартный порт, например 2233
ip ssh port 2233 rotary 1
Хоть rotary и дает возможность производить подключение по ssh по нестандартному порту, 22 порт он не выключает, сделать это нужно в ручную, с помощью
access-list
ip access-list extended ssh_22
deny tcp any host 192.168.2.1 eq 22
Применим access-list к внешнему интерфейсу маршрутизатора
interface FastEthernet0/1
description uplink
ip address 192.168.2.1 255.255.255.0
ip access-group ssh_22
ip nat outside
Теперь давайте назначим созданный rotary на виртуальный терминал vty
line vty 0 4 rotary 1
Если хотите, то можете вообще указать отдельному vty, но учтите, что если терминал будет занят, то подключиться у другого не получиться.
line vty 1 rotary 1
Если стоит задача ограничить ssh подключение двумя сессиями, то вот команда:
ip ssh maxstartups 2
Ограничение времени timeoutá (по дефолту 300 секунд). SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
ip ssh time-out 120
Для того, чтобы вам подключиться по ssh соединению, нужно скачать любую программу для этого, у меня это putty, во вкладке session в поле Host name я ввожу Ip адрес устройства к которому я буду подключаться, протокол ставлю ssh и порт 22, нажимаю Open.