Ćwiczenie nr 12  v. 2.1
Str. 1
Ćwiczenie 12 Podstawy konfiguracji routerów Cisco
Cel ćwiczenia:
Poznanie podstaw konfiguracji routerów firmy Cisco.
Przed przystąpieniem do ćwiczenia uczeń powinien:
- znać podstawy działania sieci komputerowych,
- znać podstawy protokołu TCP/IP.
Po wykonaniu ćwiczenia uczeń będzie umiał:
- skonfigurować router Cisco w połączeniu LAN  WAN,
- filtrować ruch przepływający przez Router.
Uwagi o realizacji ćwiczenia:
Ćwiczenie podzielone jest na rozdziały. Rozdział zbudowany jest z opisu
teoretycznego omawiającego wybrane zagadnienie i zadania do wykonania. Zadania
umieszczone są w ramkach. Po wykonaniu zadania uczeń zobowiązany jest do
przeprowadzenia samooceny, korzystając z punktacji 1-5. Nauczyciel może skorygować
ocenę ucznia. Na końcu ćwiczenia znajduje się spis zadań.
W czasie tego ćwiczenia uczniowie pracują na oddzielnych komputerach, korzystają
z programowego symulatora routerów Cisco.
12.1 Wprowadzenie do konfiguracja routerów Cisco
12.1.a Port konsoli
Wszystkie routery Cisco wykorzystują samodzielny system operacyjny, zwany IOS
(Internetwork Operating System). Urządzenia sieciowe Cisco konfigurowane są
za pomocą określonych poleceń IOS a. Nowy router dostarczany jest przez producenta
w minimalnej konfiguracji. Do działania wymagana jest zawsze interwencji
administratora.
W celu konfiguracji użytkownik może podłączyć się przez port konsoli routera
RS-232C. Port ten zakończony jest zazwyczaj gniazdem DB-9 lub RJ-45. Z urządzeniem
dostarczany jest kabel do podłączenia się pod terminal lub pod gniazdo portu
szeregowego RS-232C komputera PC. Komputer PC może skomunikować się z routerem
za pomocą emulatora terminala (np. HyperTerminal w Windows 2000). Parametry
połączenia, to:
- emulacja VT100,
- prędkość 9600,
- bez parzystości,
- 8 bitów danych,
- 1 bit stopu.
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 2
W celu konfiguracji można także skorzystać ze specjalnego portu AUX, służącego do
tzw. konfiguracji out-band. W trybie tym administrator podłącza do routera modem,
dzięki czemu jest w stanie zdalnie, przez publiczną sieć telefoniczną, skonfigurować
urządzenie.
Po poprawnym nawiązaniu połączenia, urządzenie Cisco powinno przywitać się
i przy ustawionym haśle poprosić o autoryzację dostępu.
12.1.b Symulator
Symulator programowy symuluje działanie sieci, zbudowanej z kilku routerów,
switchów i hostów. Poniższy rysunek przedstawia konfigurację symulowanej sieci.
Aby symulacja przebiegała poprawnie, należy korzystać z adresacji zaproponowanej
przez twórców programu. Można podglądnąć ją przez wybranie przycisku View
Suggested Lab.
Po kliknięciu, na wskazanym urządzeniu, można dostać się do konsoli konfiguracyjnej.
Aby powrócić do schematu, w dolnej części okna należy wybrać Network Visualizer.
Rys. 12.1 Schemat symulowanej sieci
12.1.c Interfejs użytkownika i tryby pracy
UWAGA: wszystkie ćwiczenia wykonuj na Router A
Po pierwszym uruchomieniu routera, urządzenie zaproponuje konfigurację w trybie
dialogowym. Użytkownik proszony będzie o podanie odpowiedzi na szereg pytań.
Zazwyczaj jednak urządzenie Cisco konfiguruje się w trybie terminala za pomocą poleceń
IOS a. Tryb ten nazywany jest EXEC.
Ze względów bezpieczeństwa, w trybie EXEC można pracować na jednym z dwóch
poziomów dostępu:
" tryb użytkownika - umożliwia jedynie obejrzenie statusu routera, lecz nie można
zmieniać jego parametrów. Znak zachęty, to (>). Po połączeniu się z routerem,
użytkownik pracuje w tym trybie.
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 3
" tryb uprzywilejowany - umożliwia pełną konfigurację routera. Do trybu tego można
wejść za pomocą komendy enable. Znak zachęty, to (#). Wyjście realizowane jest
za pomocą polecenia disable. Zaleca się, aby tryb uprzywilejowany chroniony był
hasłem ustawionym za pomocą polecenia enable secret.
Router>enable
Router#conf t
Router(config)#enable secret cekape - cekape to hasło
Router(config)#exit
Router#disable
Router>enable
Password:
Router#disable
12.1.d System pomocy
System pomocy IOS wykorzystuje znak . Przy jego pomocy można wyświetlić
listę dostępnych poleceń, np.
Router>?
lub listę parametrów polecenia, np.
Router>ping ?
System IOS potrafi uzupełniać częściowo wpisane polecenia po naciśnięciu klawisza
, np.
Router>en
Router#di
System IOS rozpoznaje także części poleceń, jednoznacznie określające komendę, np.
Router>en
Router#disa
Router>en
12.1.e Konfiguracja pamięci
Urządzenia Cisco współpracują z trzema rodzajami pamięci. W dwóch -
zapamiętywana jest konfiguracja (RAM - ulotna i NVRAM - nieulotna), a w trzeciej
znajduje się system operacyjny IOS (EEPROM lub FLASH).
Startowa konfiguracja urządzenia zapamiętywana jest w pamięci NVRAM, natomiast
konfiguracja bieżąca w RAM. Przy uruchomieniu routera, konfiguracja z NVRAM
kopiowana jest do RAM. Jeżeli w urządzeniu zmieniono konfigurację i konfiguracja ta ma
zostać zapamiętana i wykorzystana przy następnym starcie, należy za pomocą polecenia
copy skopiować z RAM do NVRAM.
Router#copy running-config startup-config
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 4
Za pomocą polecenia copy, w dowolnym momencie można także przywrócić
konfigurację startową.
Router#copy startup-config running-config
Aby obejrzeć konfigurację startową, korzysta się z komendy show.
Router#show running-config
Router#show startup-config
W pamięci Flash znajduje się system operacyjny, czyli wykonywalny kod
odpowiedzialny za działanie urządzenia, zgodnie z aktualną konfiguracją. Nowy plik IOS
można pobrać z serwera TFTP. W pamięci FLASH zmusi jednak znajdować się
wystarczająca ilość miejsca. Wykorzystanie pamięci FLASH można zobaczyć za pomocą
polecenia show.
Router#show flash
12.1.f Konfiguracja w trybie użytkownika
Aby skonfigurować router z poziomu terminala w czasie rzeczywistym, w trybie
uprzywilejowanym należy wywołać komendę configure, następnie wybrać tryb terminal.
Aby wyjść z trybu konfiguracji, można skorzystać z komendy exit.
Router#configure
Router(config)#exit
Router#conf t
12.1.g Polecenia konfiguracyjne
Polecenia IOS można podzielić na trzy kategorie:
" globalne,
" główne,
" subpolecenia.
Polecenia globalne dotyczą całej konfiguracji IOS. Zmieniają konfigurację bez
dodatkowych poleceń, np. polecenia zmieniające nazwę urządzenia.
Router(config)#hostname RouterA
Polecenie główne odblokowuje subpolecenia służące do konfiguracji urządzenia,
natomiast samo nie służy do tego celu. Przykładem może być polecenie główne interface
ethernet informujące, iż kolejne subpolecenia dotyczyć będą interfejsu Ethernet.
RouterA(config)#interface Ethernet 0
RouterA(config-if)#ip address 100.100.100.100 255.255.255.0
RouterA(config-if)#exit
Wykonanie większość poleceń przysłania wcześniejsze ustawienia. Istnieją jednak
polecenia, które łączą się z wcześniejszymi. Aby usunąć stare polecenie łączne, należy
skorzystać z przedrostka no.
RouterA(config)#no hostname
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 5
12.1.h Ustawienie hasła dla konsoli
Port konsoli daje domyślnie dostęp wszystkim użytkownikom do routera. Dostęp ten
należy ograniczyć przez zdefiniowanie hasła. Wystarczy za pomocą polecenia line con 0
wejść w tryb konfiguracji konsoli.
Router#conf t
Router(conf)#line con 0
Router(config-line)#password haslo
Router(config-line)#end
12.1.i Ustawienie hasła dla dostępu zdalnego
Podobnie należy zabezpieczyć dostęp zdalny do routera. Jeżeli router ma
skonfigurowane interfejsy, można podłączyć się do urządzenia Cisco, za pomocą
polecenia telnet.
Router(conf)#line vty 0 4
Router(config-line)#password haslo
Router(config-line)#end
12.1.j Szyfrowanie haseł
Aby w pliku konfiguracyjnym hasła nie były zapamiętywane w postaci jawnej,
należy załączyć szyfrowanie haseł.
Router(config)# service password-encryption
12.2 Konfiguracja interfejsów
12.2.a Wprowadzenie
Interfejs jest połączeniem między urządzeniem sieciowym, a medium
transmisyjnym. Interfejsy, zwane inaczej portami, wykorzystują różne protokoły,
aby za pomocą fizycznego nośnika  takiego, jak przewody miedziane, włókna optyczne,
przesłać dane. Protokoły wykorzystujące interfejsy, zazwyczaj funkcjonują w warstwie
drugiej, łącza danych. Obecnie najczęściej wykorzystywanymi interfejsami są
ethernet (połączenie z siecią LAN) i serial (połączenie z siecią WAN). W urządzeniach
Cisco o stałej konfiguracji porty są ponumerowane sekwencyjnie np. ethernet0, serial0,
serial1. Przy budowie modularnej i wymiennych kartach interfejsów, interfejsy
numerowane są zgodnie z konwencją rodzaj gniazdo/port np. ethernet 1/2.
12.2.b Polecenie show interfaces i encapsulation
Polecenie show interfaces przedstawia informację o stanie wszystkich interfejsów
urządzenia.
Router#show interfaces
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 6
Pierwszy wiersz zawiera informacje o nazwie interfejsu i jego stanie:
- up oznacza, iż interfejs działa poprawnie i poprawnie komunikuje się z nośnikiem,
- down oznacza, iż interfejs działa poprawnie, lecz nie komunikuje się z dołączonym do
niego nośnikiem,
- administratively down  oznacza, iż interfejs jest zablokowany i nie działa.
Drugi wiersz zawiera typ fizycznego interfejsu i adres łącza danych.
Czwarty wiersz zawiera informację o enkapsulacji interfejsu. Enkapsulacja definiuje
format przesyłanych danych oraz protokół łącza danych. Dla interfejsów LAN
enkapsulacja zwykle nie wymaga konfiguracji. Natomiast interfejsy WAN mogą
współpracować z różnymi protokołami łącza danych, dlatego też należy podać rodzaj
enkapsulacji. Enkapsulację definiuje się subpoleceniem encapsulation w trybie
konfiguracji interfejsu. Wywołując polecenie z parametrem ? można otrzymać listę
obsługiwanych enkapsulacji.
Najczęściej spotykane protokoły WAN to:
- HDCL (High Level Data Link Protocol)  protokół synchroniczny wykorzystywany do
bezpośredniego łączenia routerów Cisco. Jest domyślnym protokołem enkapsulacji
w urządzeniach Cisco.
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 7
- PPP (Point-to-Point Protocol)  jest protokołem zarówno synchronicznym, jak
i asynchronicznym, do łączenia punkt-punkt różnych systemów. Zazwyczaj
wykorzystywany jest w łączach komutowanych.
- X.25  jest protokołem pakietowym wykorzystywanym w przypadku łączenia się
z sieciami WAN X.25. Są to zazwyczaj wolne sieci, wykorzystujące adresację X.25
- Frame Relay  protokół pakietowy wykorzystywany w przypadku łączenia się
z sieciami WAN Frame Relay. Są to zazwyczaj szybkie sieci, wykorzystujące adresację DLCI.
- ATM (Asynchronous Transfer Mode)  protokół przesyłania komórek, wykorzystywany
przy dostępie do sieci WAN ATM. Są to bardzo szybkie sieci, wykorzystujące adresację
E.164 lub NSAP.
- ISDN (Intergrated Services Digital Network)  cyfrowa sieć telefoniczna umożliwiająca
przesyłanie głosu i danych.
Dla HDLC 56000 bps konfiguracja może wyglądać, jak poniżej:
Router(conf)#interface serial 0
Router(config-if)#encapsulation ?
Router(config-if)#encapsulation hdlc
Router(config-if)#clock rate 56000 -> dla DCE jest nim Router B
Router(config-if)#end
Dla Frame Relay konfiguracja może wyglądać, jak poniżej:
Router(conf)#interface serial 0
Router(config-if)#encapsulation frame-relay ietf
Router(config-if)#end
12.2.c Polecenie shutdown
Za pomocą subpolecenia shutdown można wyłączyć interfejs, no shutdown
włącza interfejs.
Router#conf t
Router(conf)#interface ethernet 0
Router(config-if)#no shutdown
Router(config-if)#end
12.3 Adresacja i routing TCP/IP
12.3.a Przypisanie adresu
Adresy IP przypisuje się zarówno interfejsom LAN, jak i WAN za pomocą
subpolecenia interfejsu ip address. Jako parametry należy podać adres i maskę.
Router#conf t
Router(conf)#interface ethernet 0
Router(config-if)#ip address 172.16.11.1 255.255.255.0
Router(conf-if)#interface serial 0
Router(config-if)#ip address 172.16.20.1 255.255.255.0
Router(config-if)#end
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 8
Router#ping 172.16.11.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.11.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms
12.3.b Konfiguracja rutowania IP
Zadaniem routera jest przekazywanie pakietów z jednej podsieci LAN lub WAN do
drugiej. Do określenia położenia innych podsieci, router korzysta z tablic rutowania
tworzonych statycznie lub dynamicznie. Tablice statyczne tworzone są ręcznie przez
administratora, dynamiczne budowane są automatycznie dzięki specjalnym protokołom
rutowania.
Rutowanie IP jest domyślnie włączone w autonomicznych routerach.
Jeśli zaistniałaby jednak potrzeba załączenia, można skorzystać z polecenia globalnego
ip routing.
Po włączeniu routingu IP można przystąpić do budowania tablicy rutowania. Jeżeli
interfejs ma przypisany adres IP i jest włączony, dodawany jest domyślnie do tablicy.
Zatem, jeżeli router ma połączyć jedynie podsieci do których należy, nie trzeba
konfigurować tabeli rutingu. Potrzeba konfiguracji tabeli pojawi się, gdy w sieci pracuje
kilka routerów.
Za pomocą polecenia show ip route można zobaczyć tabelę routingu.
W poniższym przykładzie widać, iż router przyłączony jest do dwóch podsieci (parametr C).
Gateway of last resort is not set oznacza, iż nie jest zdefiniowana brama, przez którą
powinny wydostawać się pakiety do zewnętrznych sieci (tak zwana brama domyślna).
Router#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B  BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E  EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route, o - ODR
Gateway of last resort is not set
172.16.0.0/24 is subnetted, 2 subnets
C 172.16.20.0 is directly connected, Serial0
C 172.16.11.0 is directly connected, Ethernet0
Statyczne trasy definiuje się za pomocą polecenia ip route. Jako parametry podaje się
adres sieci, maskę i adres routera. Jeżeli zachodzi potrzeba zdefiniowania trasy
domyślnej, należy skorzystać z adresu sieci postaci 0.0.0.0 i maski postaci 0.0.0.0.
Jeżeli w czasie definiowania tras wykorzystane będą podsieci bezklasowe
(niezgodne z klasami A, B, C), wówczas należy wykorzystać komendę ip classless.
Router#conf t
Router(conf)#ip classless
Router(conf)#ip route 0.0.0.0 0.0.0.0 172.16.20.2
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 9
Router(conf)#ip route 172.16.10.0 255.255.255.0 172.16.11.2
Router(conf)#end
Router#show ip route
Gateway of last resort is 172.16.20.2 to network 0.0.0.0
172.16.0.0/24 is subnetted, 2 subnets
S* 0.0.0.0 0.0.0.0 [1/0] via 172.16.20.2
S 172.16.10.0 255.255.255.0 [1/0] via 172.16.11.2
C 172.16.20.0 is directly connected, Serial0
C 172.16.11.0 is directly connected, Ethernet0
12.4 Listy dostępu
12.4.a Filtrowanie IP za pomocą list dostępu
Proces filtrowania pakietów składa się z dwóch części. Najpierw należy zdefiniować
kryteria filtrowania za pomocą polecenia access-list, następnie zastosować zdefiniowane
kryteria do żądanego interfejsu za pomocą polecenia ip access-group.
Kryteria filtrowania nazywane są listą dostępu. Każdy pakiet danych porównywany
jest z kolejnymi liniami listy dostępu, aż do znalezienia pasującej linii. Dlatego też bardzo
ważna jest kolejność wpisów.
Listy dostępu dzielą się na dwie kategorie: standardowe i rozszerzone. Standardowa
lista sprawdza jedynie z
ródłowy adres IP pakietu, natomiast rozszerzona może sprawdzać
z
ródłowy i docelowy adres IP oraz z
ródłowy i docelowy numer portu TCP lub UDP.
Polecenie access-list umożliwia utworzenie numerowanej listy. Każda musi mieć
przypisany jakiś numer, przy czym numery 1-99 przeznaczone są na listy standardowe,
natomiast numery 100-199 na listy rozszerzone.
Definiując listę dostępu, należy podać numer listy, słowo kluczowe permit
(zezwolenie) lub deny (blokada), adres IP, wzorcową maskę, protokół oraz numer portu.
UWAGA: maska wzorcowa, to zanegowana maska podsieci, np. 0.0.0.255 pasuje
do dowolnej liczby od 0 do 255 w czwartym oktecie adresu.
Poniższy przykład blokuje adres 172.16.30.2 z podsieci 172.16.30.0/24. UWAGA:
bardzo ważna jest kolejność definicji.
Router#conf t
Router(conf)#access-list 1 deny 172.16.30.2
Router(conf)#access-list 1 permit any
Poniższy przykład ukazuje wykorzystanie list rozszerzonych.
Router(conf)#access-list 100 ?
Router(conf)#access-list 100 deny ?
Router(conf)#access-list 100 deny tcp ?
Router(conf)#access-list 100 deny tcp host 172.16.20.2 host 172.16.20.1 ?
UWAGA: 172.16.20.2 jest hostem z
ródłowym, 172.16.20.1 hostem docelowym
CKP Wrocław  Pracownia  Systemy i sieci komputerowe
Ćwiczenie nr 12  v. 2.1
Str. 10
Router(conf)#access-list 100 deny tcp host 172.16.20.2 host 172.16.20.1 eq telnet
UWAGA: teraz musisz odblokować pozostały ruch ip
Router(conf)#access-list 100 permit ip any 0.0.0.0 255.255.255.255
Po zdefiniowaniu listy dostępu, należy przypisać ją do określonego interfejsu.
Listy mogą zostać przypisane do ruchu wychodzącego (parametr out) lub przychodzącego
(parametr in).
Router(conf)#interface serial 0
Router(config-if)#ip access-group 1 in
Router(config-if)#ip access-group 100 in
Router(conf-if)#end
Router#show access-list
Zadanie 1  konfiguracja routerów Cisco
1. Skonfiguruj RouterB i RouterC tak, aby HostB i HostC mogły się skomunikować.
Wykorzystaj poniższą konfigurację:
" HostB korzysta z adresu  172.16.30.2/24
" HostC korzysta z adresu  172.16.50.2/24
" Router B serial 0  172.16.20.2/24, clock rate 56000
" Router B ethernet 0  172.16.30.1/24
" Router B serial 1  172.16.40.1/24, clock rate 56000
" Router C serial 0  172.16.40.2/24,
" Router C ethernet 0  172.16.50.1/24
12.5 Literatura
[1] Konfiguracja routerów Cisco  Praktyczne wprowadzenie do konfiguracji Cisco IOS, RM
[2] Akademia sieci Cisco  Pierwszy rok nauki, MIKOM
12.6 Lista zadań do wykonania i samoocena
Nr zadania Temat Ocena (1  5 pt.)
1 Konfiguracja routerów Cisco
Autor: mgr inż. Tomasz Chudzikiewicz 08.08.2007 Wrocław
CKP Wrocław  Pracownia  Systemy i sieci komputerowe