Interface media-type Interface media type mtu Set the interface Maximum Transmission Unit
(MTU) multilink-group Put interface in a multilink bundle netbios Use a defined NETBIOS access list or enable name-caching no Negate a command or set its defaults ntp Configure NTP priority-group Assign a priority group to an interface random-detect Enable Weighted Random Early Detection
(WRED) on an interface rate-limit Rate Limit service-policy Configure QoS Service Policy shutdown Shutdown the selected interface snapshot Configure snapshot support on the interface snmp Modify SNMP interface parameters speed Configure speed operation. standby Hot standby interface subcommands timeout Define timeout values for this interface traffic-shape Enable Traffic Shaping on an Interface or
Sub-Interface transmit-interface Assign a transmit interface to a receive-only interface tx-queue-limit Configure card level transmit queue limit
IP адресация
Системный администратор должен свободно ориентироватся в IP адресации. Адрес любого компьютера подключенного к сети интернета состоит из двух частей : адрес сети и адрес хоста, например в сети класса C полный адрес хоста выглядит так : 233.233.233.113, где 233.233.233 - адрес сети, а 113 - адрес хоста.
Конечно, роутер работает с адресами в двоичном представлении (в качестве основания взято число "2")о чем и подет речь ниже. Полный IP адрес занимает 32 байта или 4 октета по 8 битов в каждом. Напрмер часто используемая маска сети 255.255.255.0 в двоичном представлении выглядит так :
11111111 11111111 11111111 00000000
Преобразование адресов из двоичной в десятичную систему счисления (CC) производится путем подсчета значащих (заполненных единицами ) битов в каждом октете и возведении в эту степень двойки. Напрмер число 255 есть 2 в восьмой степени или полностью заполненые все восемь битов в октете единицами (см. выше). Обратный же процесс преобразования адреса из десятичной CC в двоичную тоже прост - достаточно запомнить значение каждого бита в десятичной системе и путем операции "Логическое И" над адресом и нашим шаблоном получаем двоичное представление.
7 6 5 4 3 2 1 0 степень 2
----------------------------------------
128 64 32 16 8 4 2 1 значение 2
Верхняя строка показывает нумерацию разрядов в октете или степень двойки в каждом разряде, нижняя строка - значение двойки в степени. Напрмер возмем адрес 233.233.233.111, и начнем перевод в двоичную СС. 233 в десятичную систему счисления : первый байт 233 получается суммой следующих слагаемых, которые мы набираем из нижней строки :
233 = 128+ 64 + 32 + 8 + 1 где позиции из которых были задействованны слагаемые мы записываем единицами, остальные нулями и получается - "11101001". Адрес хоста (последний октет) - десятичное 113 раскладывается так :
64 + 32 + 16 + 1 В итоге полный адрес будет выглядеть так :
11101001 11101001 11101001 01110001
Адрес сети в зависимости от первых трех битов делится на сети класса A, B, C, а маршрутизатор по первым битам определяет какого класса данная сеть, что ускоряет процесс маршрутизации. Ниже представленна таблица сетей, где AAA - часть адреса сети, BBB - часть адреса хоста
Сеть класса A (первый бит "0): AAA.HHH.HHH.HHH (диапазон AAA от 1 до 127), например : 63.12.122.12
Сеть класса B (первые два бита 10) : AAA.AAA.HHH.HHH (диапазон AAA от 128 до 191), например 160.12.234.12
Сеть класса C (первые три бита 110): AAA.AAA.AAA.HHH (диапазон AAA от 192 до 223), например 200.200.200.1
Соответственно число узлов в сети класса A (16 777 214) больше чем узлов в сети класса B (65534) и совсем немного станций можно определить в сети класа C - всего 254. Почему не 256 - спросите вы ? Дело в том что два адреса содержащего только нули и только единицы резервируется и от числа адресов отнимается 2 адреса 256-2 = 254. То же касается и части адреса сети : в сети класса A можно создать 128-1=127 сетей, так как один нулевой адрес сети используется при указании маршрута по умолчанию при статической маршрутизации, сетей класса B может быть 2 в 14 степени = 16384 (2 октета по 8 бит = 16 битов - 2 первых зарезервированных бита = 14), сетей класса C насчитывается 2 в 21 степени (3 октета по 8 бит = 24 бита - 3 первых зарезервированных бита = 21).
Еще пример. Есть маска сети 255.255.224.0 и ее надо представить в двоичном виде. Вспомнив что 255 в двоичной системе счисления есть 8 единиц мы записываем :
11111111 11111111 ???????? 00000000 Число 224 раскладывается по шаблону на следующие множители :
128 + 64 + 32 = 224 и заполнив единицами позиции из которых мы использовали слагаемые а нулями неиспользуемые позиции получаем полный адрес в двоичном представлении : получаем двоичное число
11111111 11111111 1110000 00000000
Теперь перейдем к пониманию того как же образуются подсети на примере сети класса C. Введение понятия подсети необходимо для экономии и четкого упорядочивания адресного пространства в компании, поскольку давать каждому отделу свое адресное пространство на 256 хостов в каждой сети нет необходимости да и накладно будет подобное для ISP. К тому же снижается трафик в сети поскольку роутер теперь может направлять пакеты непосрественно в нужную подсеть (определяющую отдел компании) а не всей сети.
Для того чтобы разделить сеть на подсети используют часть битов из адресного пространства описывающего адрес хоста с помошью маски подсети. Например в сети класса C мы можем использовать последний октет (8 битов), точнее его часть. Теперь разберемся с логической структурой компании . Компания имеет 10 отделов с числом компьютеров в каждом отделе не более 12- ти. Для такой струкруты подойдет маска подсети 255.255.255.240. Почему спросим мы ? Если представить маску в двоичном представлении :
1111111 11111111 11111111 11110000 то мы увидим что последний октет состоит из 4-х единиц и нулей. Поскольку 4 бита забирается из адреса сети для маски подсети то у нас остается 2 в четвертой степени адреса (2xx4=16 - адресов). Но согласно RFC использовать нулевые адреса и адреса состоящие их единиц не рекомендуется, значит из 16 адресов мы вычитаем 2 адреса = 14 адресов в каждой подсети. Аналогично мы можем подсчитать число подсетей равное : 2 в 4-й степени = 16 - 2 зарезервированных адреса , итого 14 подсетей.
Применяя данную методику посчета мы можем организовывать адресное пространство согласно структуре компании, в нашем случае каждый отдел будет иметь по 14 адресов с маской 255.255.255.240 с числом отделов до 14-ти. Но системный администратор должен знать еще и диапазон адресов в назначаемый им каждом отделе. Это делается путем вычитания первого подсети ("16) подсети из числа 256, т.е 256-16=240, 240-16=224... и так до тех пор пока не получится число меньше чем 16. Корректные адреса хостов лежат в диапазоне между подсетями, как в таблице :
Подсеть 16 (17-30)
Подсеть 32 (33-46)
Подсеть 48 (49-62)
Подсеть 64 (65-..)
...
Подсеть 224 (225-238)
В первой подсети 16 вы видите что диапазон адресов находится в границах от 17 до 30. "31" адрес (а если быть точнее часть адреса исключая биты подсети) состоит из единиц (используя 4 последних бита под адрес хоста мы получим широковещательный адрес) и мы не можем использовать его, само число 31 в двоичном представлении = 00011111. Старайтесь всегда переводить числа в двоичную с/с или пользуйтесь таблицами, ведь маршрутизатор получив неправильную маску или адрес хосто не сможет доставить обратно пакеты этому хосту.
Значит первую подсеть мы можем выделить секретариат отделу где каждый хост должен иметь маску подсети 255.255.255.240. При работе с маршрутизатором Вам следует учесть что использовать нулевую подсеть, c маской 255.255.255.128 в RFC не рекомендуется , но Вы можете решить эту проблему введя команду ip classless в глобальную кофигурацию роутера.
5. Защита доступа к роутеру
Так как по линиям Ethernet с помощью telnet сессий доступно управление роутером необходимо провести соответствующую настройку защиты, мы займемся защитой паролем доступа к трем внешним источникам конфигрирования роутера :
- консоли роутера - дополнительного порта для подлкючения модема (AUX) - доступа по telnet сеансу Для того чтобы закрыть доступ по консоли роутера войдите в режим конфигурирования Router#config terminal и введите команду задания пароля : Router(config)#line console 0 Router(config)#password your_password Router(config)#login Router(config)#exit Router#wr mem Задание пароля на AUX порту задается так же : Router(config)#line aux 0 Router(config)#password your_password Router(config)#login Router(config)#exit Router#wr mem И наконец пароль для telnet сессий : Router(config)#line vty 0 4 Router(config)#password your_password Router(config)#login Router(config)#exit Router#wr mem
Обратите внимение, что при задании пароля для telnet сеанса вы указываете число разрешенных сессий равное 4-м. При попытке получить доступ по любому из перечисленных способов получения доступа к роутеру вы получите приглашение такого рода : "Enter password:" При большом количестве роутеров использкуюте AAA acounting для задания механизма единой авторизации на всех устройствах cоздав пользователя командой : Router(config)#username vasya password pipkin_password Router(config)#exit Router#wr term По комапнде snow config мы увидим что наш пароль зашифрован и разгадать его достаточно сложно : username vasya password 7 737192826282927612 Затем включаем в глобальном конфиге AAA accounting : aaa new-model aaa authentication login default local aaa authentication login CONSOLE none aaa authorization exec local if-authenticated Далее сконфигурируем AUX, Console, telnet сессию, чтобы получить в итоге в конфиге : line con 0 login authentication CONSOLE line aux 0 transport input none line vty 0 4 ! Теперь при попытке залогиниться получим следующее приглашение (пароль не отображается): User Access Verification Username:vasya Password: Router>
Страницы: 1, 2, 3
