Что такое сети cisco? основные понятия и термины

Уровень распределения (Distribution layer)

Следующий уровень это уровень распределения. Он обслуживает общую связность
между уровнем доступа и ядром сети. Иногда этот уровень называют уровнем агрегации,
но такое название я встречал лишь при обсуждении оборудования компании D-Link. Коммутаторы
уровня распределения призваны снять нагрузку с ядра сети распределяя траффик между
коммутаторами доступа. Так же на их плечи ложится обработка огромного количества
MAC-адресов и VLAN. Одно из требований это наличие высокоскоростных аплинков
до коммутаторов уровня ядра. Каждый коммутатор уровня распределения должен быть подключен
минимум к двум коммутаторам ядра. В этом случае при поломке одного из коммутаторов ядра
работоспособность сети не нарушится. Даунлинки должны быть высокоскоростными, дабы не
создавать эффекта бутылочного горлышка. При аплинках со скоростью от 40 Гбит/сек
до 10 Гбит/сек, даунлинки должны быть от 10 Гбит/сек до 1 Гбит/сек.

В маленьких компаниях коммутаторы ядра и коммутаторы распределения это одни и те же
коммутаторы. Но я бы не стал говорить, что это правильный подход для компании где требуется
аппаратное резервирование сети и где требуется гарантированное подключение позволяющее
на горячую заменять коммутационное оборудование.

На коммутаторах уровня распределения так же требуется поддержка EtherChannel
и в добавок они должны иметь корректно настроенную QoS.

Предоставляемая функциональность

Существуют разные компоновки IOS отличающиеся функционалом, так называемые feature sets :

• IP Base — начальный уровень функциональности, включается во все другие. Обеспечивает базовую маршрутизацию (статические маршруты, RIP, OSPF, EIGRP для IPv4), VLAN (802.1Q и ISL) и NAT.
• IP Services (для L3 свитчей) — протоколы динамической маршрутизации, NAT, IP SLA.
• Advanced IP Services — добавляется поддержка IPv6.
• IP Voice — добавляет функциональность VoIP и VoFR.
• Advanced Security — добавляется IOS/Firewall, IDS, SCTP, SSH и IPSec (DES, 3DES и AES).
• Service Provider Services — добавляется Netflow, SSH, BGP, ATM и VoATM.
• Enterprise Base — добавляется поддержка L3-протоколов (IPX и AppleTalk), а также DLSw+, STUN/BSTUN и RSRB.

Алгоритм установки обновлений на оборудование Cisco

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-02

Для хранения образа IOS может использоваться дисковая файловая система или флэш-система. Типичные файловые системы, поддерживаемые маршрутизаторами Cisco, могут обозначаться следующими префиксами: flash:, slot0:, slot1:, disk0: и disk1:. Имейте ввиду, что для хранения образа IOS файловая система должна иметь достаточно свободного места. Чтобы ознакомиться с доступными файловыми системами и проверить наличие свободного места, воспользуемся командой

show file systems:

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-03

Видим структуру текущей файловой системы.

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-04

Выполним обзор файлов на flash: командой

dir или show flash

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-05

Предварительно скопируем конфигурацию и старый IOS на TFTP-сервер :

copy running-config tftp:

Address or name of remote host []? в моем случае ip 10.152.1.31

Destination filename ? config-port11

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-06

Проверяем наш tftp сервер и видим наш файл

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-07

Копируем текущий IOS на tftp.

copy  c2960-lanlitek9-mz.150-2.SE5 tftp:

Address or name of remote host []? 10.152.1.31

Destination filename  c2960-lanlitek9-mz.150-2.SE5.bin 

и получаем ошибку error reading flash (is a directory) которая говорит что прошивка хранится в виде каталога.

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-08

тогда пишем

copy  c2960-lanlitek9-mz.150-2.SE5/c2960-lanlitek9-mz.150-2.SE5.bin tftp:

Address or name of remote host []? 10.152.1.31

Destination filename  c2960-lanlitek9-mz.150-2.SE5.bin 

Видим что все ок

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-09

Проверяем tftp и видим, что прошивка появилась

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-10

Выполним загрузку IOS с TFTP-сервера на коммутатор:

copy tftp://10.152.1.31/c2960-lanlitek9-mz.150-2.SE7.bin flash://c2960-lanlitek9-mz.150-2.SE7.binDestination filename ? c2960-lanlitek9-mz.150-2.SE7.bin

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-11

Выполним dir чтобы посмотреть появился ли файл

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-12

После загрузки файла необходимо проверить его целостность. Для этого подсчитаем контрольную сумму и сравним со значением, которое получено при загрузке файла с сайта производителя. Контрольная сумма предоставленная производителем: 2e5d03420a518b0783d84c31e047b50b. Проверяем контрольную сумму загруженного файла на коммутаторе

Пишем

verify /md5 flash:c2960-lanlitek9-mz.150-2.SE7.bin

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-13

Контрольная сумма совпадает, значит загрузка выполнена корректно. Указываем коммутатору необходимость загрузки системы с нового образа, не забыв предварительно отключить загрузку предыдущего образа:

заходим в режим конфигурирования

config t

no boot system

boot system flash:/c2960-lanlitek9-mz.150-2.SE7.bin

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-15

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-16

Все в порядке… Сохраним параметры и выполним перезагрузку коммутатора:

copy running-config startup-config

Destination filename ? нажимаем Enter.

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-17

Перезагружаемся

reload Proceed with reload? y

После перезагрузки логинимся и вводим команду которая покажет версию IOS

show version

И видим что все ок

Как обновить прошивку IOS в Сisco router или switch на примере Cisco 2960+48TC-S-19

Как удалить предыдущую версию написано тут. С вами был Иван Семин, автор и создатель портала Pyatilistnik.org.

Наборы функций

У подавляющего большинства продукции Cisco, которая использует IOS, также есть несколько так называемых «наборов функций», обычно 8 штук для маршрутизаторов Cisco и 5 для коммутаторов Cisco. Например, релизы Cisco IOS, предназначенные для использования на коммутаторах Catalyst доступны в качестве «стандартной» версии (обеспечивающей только базовую IP-маршрутизацию), «улучшенной» версии, полностью поддерживающей IPv4 маршрутизацию и «продвинутую» версию, которая к тому же поддерживает IPv6.

Каждый пакет программ соответствует одной из сервисных категорий:

• IP-данные
• Конвергированная услуга передачи речи и данных
• Безопасность и VPN

Начиная с 1900, 2900 и 3900 моделей ISR-маршрутизаторов, Cisco пересмотрели лицензирование моделей IOS. Маршрутизаторы поставляются с предустановленным паком «IP Base» и лицензией на дополнительный функционал, которая позволяет добавить следующие паки:

• Data. Содержит BFD, IP SLAs, IPX, L2TPv3, Mobile IP, MPLS, SCTP.
• Security. Содержит VPN, Firewall, IP SLAs, NAC.
• Unified Comms. Содержит CallManager Express, Gatekeeper, H.323, IP SLAs, MGCP, SIP, VoIP, CUBE(SBC).

Interface Descriptor Block (блок описателя интерфейса), сокр. IDB — часть памяти, хранящая такую информацию, как IP адрес, состояние интерфейса и статистика пакетов. Cisco’s IOS поддерживает один блок описателя интерфейса в каждом отдельном коммутаторе или маршрутизаторе и один IDB для каждого субинтерфейса. Количество блоков IDB в системе варьируется в зависимости от типа платформы.

Послесловие

Надеюсь, теперь понятно почему большие корпоративные сети так сложно обслуживать
и почему администраторы из корпоративного сектора крайне косо смотрят на
использование неуправляемых коммутаторов на предприятиях любого уровня.

В качестве примера пользы подобного многократного дублирования могу привести
пожар на одном из наших объектов. На том обьекте было дублирование как сети, так
и серверов хранения данных. Так вот во время пожара у нас были видеоматериалы того
как произошло возгорание, как распространялся огонь по зданию, а так же температура
при которой начинали отключаться сервера в серверных.

• Перейти в архив

Прочие проблемы

В процессе эксплуатации могут возникнуть и другие трудности, когда аппарат не работает или дает сбои:

1. При появлении фразы «Нет сигнала» или потере изображения перезагрузите приставку, вытянув провод питания из розетки на 5 секунд и более.
2. Рассыпание изображения может свидетельствовать о повреждении сетевого кабеля. Проблему можно решить его заменой. Если видимых повреждений нет, нужно перезапустить аппарат. Аналогичное действие рекомендуется сделать в случае зависания изображения.
3. Красный крест на экране может свидетельствовать о нарушении целостности сетевого кабеля.

Стадии развития и распространения

1. Limited Deployment (LD) — первоначальный ограниченный выпуск (продолжается примерно один год с момента поставки первому заказчику).
2. General Deployment (GD) — этап общего развертывания. На этом этапе проходит окончательная проверка стабильности кода и успешной реализации в нём всех предусмотренных средств. При этом происходит непрерывная доработка IOS и подготовка к выпуску её окончательной версии.
3. Early Deployment (ED) — этап, на котором происходит первоначальное развертывание, обычно совпадает с этапом общего развертывания.
4. Mature Maintenance (ММ) — этап сопровождения готового продукта (только устранение обнаруженных ошибок).
5. Этап вывода из эксплуатации (начинается примерно через два года после первоначального выпуска продукта). Вначале прекращается его поставка (End-Of-Sale — EOS), затем разработка (End-Of-Engineering — ЕОЕ), и обнаруженные ошибки больше не устраняются, и наконец продукт переходит на этап завершения эксплуатации (End-Of-Life — EOL).

Приставка Билайн ТВ не загружается и не работает

Еще одна ситуация, когда не работает приставка Билайн ТВ, не загружается после подключения и входа. Такая неисправность часто происходит спонтанно. Еще вчера все было нормально, а сегодня возникли трудности. Проблема, как правило, связана с неисправностью оборудования. Симптом того, что поломался роутер или Билайн приставка — идет загрузка, пожалуйста подождите. Именно такую надпись могут видеть пользователи на экране ТВ или компьютера.

• убедитесь, что услуга активирована и работает;
• проверьте наличие необходимой суммы на счету;
• замените роутер (возможно, именно в нем проблема).

Бывают и другие неисправности:

1. Горят все кнопки . Симптом свидетельствует о неправильной настройке сетевой карты. Во многих телевизорах придется вводить данные вручную.
2. Отсутствует сигнал . Бывают ситуации, когда ТВ приставка Билайн перестала работать или трансляция зависает. Вероятные причины — перегрузка системы (подключение нескольких ТВ к устройству), неправильная настройка или плохие погодные условия.

Для восстановления работы необходимо перезапустить роутер. Если причина в дожде, сильных порывах ветра или других причудах погоды, придется подождать нормализации условий. Отмечаем неполадки в работе здесь.

show processes

Во время обычной работы с оборудованием или во время поиска неисправностей, может понадобиться информация о том, какие процессы работают на маршрутизаторе, какие из них больше всего загружают процессор.

Команда show processes отображает информацию об активных процессах. Параметры команды позволяют отобразить информацию о статистике загрузки процессора, объеме используемой памяти, и даже представить информацию в виде графиков. Далее несколько примеров использования команды.

Отображение отсортированного списка процессов:

Отображение списка процессов отсортированного по загрузке за последние 5 минут:

Графическое представление загрузки процессора:

Отображение списка процессов отсортированных по объему используемой памяти:

Подробнее о команде show processes, ее параметрах и описание значений вывода команд.

interface range и interface range macro

При работе с коммутаторами, часто возникает задача выполнить одинаковое действие с группой портов. Для этого используется команда interface range:

В команде могут быть перечислены не только порты идущие подряд:

Кроме того, если какие-то диапазоны портов используются постоянно, удобно создать для этого диапазона имя (в этом примере имя диапазона “HOSTS”) с помощью команды define interface-range:

Тогда, при дальнейших настройках этого диапазона, порты можно не перечислять, а переходить в режим настройки портов по имени:

default interface

Иногда возникает необходимость обнулить настройки интерфейса. Но, если к интерфейсу применено большое количество команд, то удалять их может быть достаточно неудобно. Например, интерфейс настроен так:

Для того чтобы обнулить его настройки, можно воспользоваться командой default interface:

Эту команду можно выполнять и с диапазоном интерфейсов или используя заданное ранее имя для диапазона интерфейсов:

show control-plane host open-ports

Команда show control-plane host open-ports показывает какие TCP и UDP-порты открыты на маршрутизаторе. У нее есть некоторые ограничения: не все сервисы, использующие UDP, отображаются (RIP), и не отображаются протоколы, которые не используют TCP и UDP (например, OSPF, EIGRP).

Пример вывода команды:

Ядро сети (Core layer)

Самый верх иерархии представлен высокоскоростными и высокопроизводительными
оммутаторами. Обычно они снабжаются портами со скоростью 100 Гбит/сек и/или
40 Гбит/сек. Эти коммутаторы оснащены ререзвируемыми блоками питания с горячей
заменой. Основная цель этого слоя в том, чтобы максимально быстро передавать пакеты между
подсетями. Значит коммутатор должен быть не ниже Layer 3. И вторая основная цель состоит
в резервировании каналов. Значит необходима поддержка технологии EtherChannel.

У компании Cisco есть линейка коммутаторов под эти задачи. Это серия коммутаторов Nexus
от 2000 до 9000. Они отлично подходят для подобной задачи. Но есть и более
дешёвые варианты, например, Cisco Catalyst 6500.

Настройка ssh cisco

И так давайте рассмотрим как производится настройка ssh cisco, я буду это показывать на примере симулятора Cisco packet tracer, но отличий от реального оборудования вы не обнаружите. До этого мы уже создали локального пользователя net_admin. Давайте включим ssh соединение и дадим ему возможность подключаться через него.

Заходим в режим конфигурирования и вводим.

config t line vty 0 5

vty означает виртуальный терминал

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-01

Дальше включаем ssh для входящего трафика

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-02

Говорим что авторизация будет через локальное хранилище учетных записей, выходим и сохраняем настройки.

login local end wr mem

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-03

так же может потребоваться сгенерировать ключ шифрования, бывают случаи, что вы все включили, а ssh соединение не проходит, и происходит это из за того, что нет ключа, давайте покажу как его сгенерировать в ручную.

crypto key generate rsa

На вопрос какой размер ключа, я ответил 768

Посмотреть сгенерированный ssh ключ, можно командой:

show crypto key mypubkey rsa

Посмотреть текущие ssh соединения можно командой:

show ssh

Обратите внимание, что тут видно версию ssh, у меня это ssh 2.0

Еще есть полезная команда who, она показывает и консольные соединения и еще Ip адреса откуда идет подключение.

Безопасность ssh соединения Cisco

Очень важным моментом настройки ssh cisco, является еще и безопасность, все конечно здорово, что трафик шифруется, но нам нужно желательно изменить порт подключения на нестандартный и ограничить количество попыток соединения, ниже этим и займемся.

Для начала давайте ограничим количество попыток соединения по ssh протоколу, пишем:

ip ssh authentication-retries 3

Сразу включим занесение всех событий по терминалу в журнал. Это даст информацию кто и с каких ip адресов пытался подключиться. Если вы вдруг обнаружите большое количество сообщений, в которых идет попытка залогиниться с ошибкой, то у вас подбирают пароль.

ip ssh logging events

В таких случаях, да и вообще в принципе настройка ssh cisco всегда должна быть на нестандартный порт, например 2233

ip ssh port 2233 rotary 1

Хоть rotary и дает возможность производить подключение по ssh по нестандартному порту, 22 порт он не выключает, сделать это нужно в ручную, с помощью

access-list

ip access-list extended ssh_22

deny tcp any host 192.168.2.1 eq 22

Применим access-list к внешнему интерфейсу маршрутизатора

interface FastEthernet0/1

description uplink

ip address 192.168.2.1 255.255.255.0

ip access-group ssh_22

ip nat outside

Теперь давайте назначим созданный rotary на виртуальный терминал vty

line vty 0 4 rotary 1

Если хотите, то можете вообще указать отдельному vty, но учтите, что если терминал будет занят, то подключиться у другого не получиться.

line vty 1 rotary 1

Если стоит задача ограничить ssh подключение двумя сессиями, то вот команда:

ip ssh maxstartups 2

Ограничение времени timeoutá (по дефолту 300 секунд). SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.

ip ssh time-out 120

Для того, чтобы вам подключиться по ssh соединению, нужно скачать любую программу для этого, у меня это putty, во вкладке session в поле Host name я ввожу Ip адрес устройства к которому я буду подключаться, протокол ставлю ssh и порт 22, нажимаю Open.