VISOKA TEHNIKA KOLA NI

PROJEKTNI RAD

Uvod u Cisco Command Line Interface

Predmet: Aktivni mreni ureaji

Mentori: dr Dejan Blagojevi mr Duan Stefanovi

Sadraj
Sadraj.......................................................................................................................2 Cisco IOS Command Line Interface.........................................................................3 Projektni rad..............................................................................................................4
Kreiranje lozinke za pristup preko konzole i telnet sesije...............................................................5 SSH pristup.......................................................................................................................................5 CDP (Cisco Discovery Protocol).....................................................................................................6 IP adrese ...........................................................................................................................................8 Statiko rutiranje...............................................................................................................................8 TFTP (Trivial File Transfer Protocol)..............................................................................................9 Sigurnost porta (Port Security).......................................................................................................10 DCE - DTE.....................................................................................................................................11

Provera konfiguracije router-a.................................................................................12

Cisco IOS Command Line Interface

Osnovni nain konfigurisanja i rada sa Cisco router-ima jeste direktno zadavanje komandi u tekstualnom interfejsu koji se naziva Command Line Interface (CLI). CLI se sastoji od nekoliko modova rada koji su hijerarhijski organizovani kao na Slici 1.

Slika 1. Hijerarhijska organizacija CLI-a

User mode je osnovni mod u kojem je mogue korienje komandi kojima se prikazuju samo najosnovnije informacije o radu router-a. Komandom enable prelazi se u privileged mode (ili enable mode), koji je zatieni mod u kojem je mogue prikazivanje svih informacija o router-u. Komandom disable se vraa nazad u user mode. Da bi se menjali parametri routera, odnosno da bi se router konfigurisao, potrebno je prei u globalni konfiguracioni mod zadavanjem komande configure terminal. U ovom modu je mogue podeavati opte parametre router-a, dok je za konfigurisanje nekih specifinih delova postoji itav niz podmodova. Ovim modovima se pristupa zadavanjem komandi kao to su interface (za konfiguraciju interfejsa), router (za konfiguraciju routing protokola) ili line (za 3

konfiguraciju konzole ili TELNET portova), dok se za izlazak iz specifinog pod-moda, kao i za izlazak iz globalnog konfiguracionog moda koristi naredba exit.

Projektni rad
Potrebno je napraviti mrenu topologiju kao na Slici 2:

Slika 2.

Topologija se sastoji od dva Cisco 2621 router-a koji imaju po dva FastEthernet interfejsa i po jedan modul WIC-1T sa serijskim interfejsom, dva Cisco 2620 switch-eva, dva personalna raunara i dva TFTP servera. Dva rutera su povezana serijskim interfejsima i predstavljaju WAN servis gde je ruter ITC1 ureaj na strani servis provajdera (Data Circuitterminating Equipment DCE) a ruter ITC2 ureaj na strani korisnika (Data Terminating Equipment DTE) Potrebno je podesiti osnovne parametre router-a, switch-eva i servera. Prvo podesiti ime router-a na ITC1 i ITC2:
Router> enable Router# configure terminal Router(config)# hostname ITC1 ITC1(config)#

Slinu proceduru treba ponoviti za ITC2, SW1 i SW2. 4

Kreiranje lozinke za pristup preko konzole i telnet sesije Na router-u ITC1 i SW1 kreirati lozinku za pristup preko konzole i telnet sesije. Lozinke u konfiguracionom fajlu treba da budu kriptovane.
Potrebno je iz konfiguracionog moda ui u konfiguracioni mod konzole, podesiti lozinku i ukljuiti proveru lozinke prilikom ulaska u korisniki mod.
ITC1(config)# line ITC1(config-line)# ITC1(config-line)# ITC1(config-line)# console 0 password banedejan login exit

Takoe, potrebno je ui u konfiguraciju TELNET portova i postaviti parametre za lozinku i proveru lozinke prilikom ulaska u korisniki mod.
ITC1(config)#line vty 0 4 ITC1(config-line)#password banedejan ITC1(config-line)#login ITC1(config-line)#exit

Da bi lozinke bile kriptovane potrebno je ukljuiti potreban servis iz globalnog konfiguracionog moda.
ITC1(config)#service password-encryption

SSH pristup Na ruteru ITC2 kreirati SSH pristup.

SSH je skracenica za Secure Shell. SSH obino koristi port 22 za povezivanje raunara na drugi raunar preko Interneta. Najece ga koriste administratori mrea za daljinsko prijavljivanje i upravljanje serverima. Ukoliko je udaljeni pristup switch-u neophodan bolje je koristiti SSH umesto TELNET-a jer SSH obezbeuje ifrovane veze na daljinu. Pre upotrebe SSH na switch, administrator mora na switch-u da konfigurie sa sledece komande: hostname, ip domain-name i crypto key generate rsa.
ITC2(config)# hostname projekat.com

Komanda crypto key generate rsa zavisi od hostname-a i ip domain-name-a. Ova komanda generie Rivest, Shamir, Adleman (RSA) par kljueva, od kojih je jednu javni a jedan privatni RSA klju. Zatim, napravi par RSA kljueva za router da ih koristi za proveru identiteta i 5

ifrovanje SSH podataka. Jedno od pitanja na koje se mora odgovoriti u toku procesa kreiranja kljueva je modulus size kljua. Cisco preporuuje najmanje 768 bita.
TR-Router(config)# crypto key generate rsa The name for the keys will be: ITC2.projekat.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 768 % Generating 768 bit RSA keys ...[OK] ITC2(config)# *mar 1 2:24:57.78: ITC2(config)# %SSH-5-ENABLED: SSH 1.99 has been enabled

Kao to se moe videti iz ovog primera, nakon to sistem generie klju, dobijamo poruku da je automatski omogucen SSH 1,99 na router-u. SSH 1,99 znai da je sistem omogucio podrku za SSH1 i SSH2. Ako sistem omoguci podrku samo za SSH2, poruka ce biti SSH 2.0 a ako omogui samo SSH1 poruka e biti SSH 1.5.

CDP (Cisco Discovery Protocol) Preko CDP-a otkriti oznaku interfejsa na svim mrenim ureajima. Podesiti CDP tajmere tako da holddown tajmer bude 15 sec a frekfencija slanja 5 sec. Na ITC1 omoguiti CDP samo na interfejsu koji ima adresu 212.1.1.1.
CDP je medijski i mreni protokol sloja 2 (Data link) koji se koristi za otkrivanje informacija o susednim mrenim ureajima. CDP ureaji periodino alju obavetenja preko multikast adresu svakih 60 sekundi po default-u. Holdtime je 180 sekundi po default-u. CDP radi na svim Cisco ureajima, ukljuujuci router-e, swich-eve, bridge-eve i za pristup serverima. CDP prikuplja informacije o susednim ureajima kao to su tip ureaja, verzija softvera, i adresa mrenog sloja, ako je podeena. Ova informacija se uva u tabeli u RAM-u. CDP je omogucen po default-u, a koristei sledecu komandu u globalnom konfiguracionom reimu rada da bi onemogucili CDP za celi ruter:
Router(config)# no cdp run

Da bi videli da li je CDP omogucen za ruter, i trenutne CDP tajmere, koristimo sledecu naredbu: 6

Router> show cdp

Da biste onemogucili CDP na odreenom interfejsu, koristimo sledecu komandu u konfiguracionom modu interfejsa:
Router(config-if)# no cdp enable

Jedna od najvanijih komandi u vezi CDP je show cdp neighbors

Router02> show cdp neighbors Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge S - Switch, H - Host, I - IGMP, r - Repeater Device ID Local Intrfce Holdtme Capability Platform Port ID Router01 Ser 0 154 R 2500 Ser 0
When the detail option is added to the command, it will display the following additional information per discovered device: Network layer addresses (IP, IPX, AppleTalk, etc.) IOS version

The show cdp interface command displays the interfaces for which CDP is enabled including the encapsulation type and CDP timers. The default update timer of 60 seconds can be changed using the cdp timer command in global configuration mode. For example, the following commands will configure the router to send CDP advertisements every 90 seconds:

Router(config)# cdp timer 90

The default holdtime of 180 seconds can be changed using the cdp holdtime command in global configuration mode:

Router(config)# cdp holdtime 270

To disable CDP globally on a Catalyst 1900 switch (not relevant for CCNA), use the following command:

Console> (enable) set cdp disable

CDP can be disabled on a particular interface. In the following example CDP is disabled for the port 12 on a module 1:

Console> (enable) set cdp disable 1/12

IP adrese Podesiti IP adrese na ruterima i switch-evima na osnovu prikazanog dijagrama. Omoguiti komunikaciju ralunara u mrei 172.16.1.0 i mrei 192.168.1.0.
Potrebno je podesiti interfejse router-a. Na router-u ITC1 interfejsu Serial0/0 treba dodeliti IP adresu 212.1.1.1 i subnet masku 255.255.255.252 (/30) a interfejsu FastEthernet0/0 router-a ITC1 treba dodeliti IP adresu 172.16.1.1 i subnet masku 255.255.255. 0 (/24):
ITC1(config)# interface Serial0/0 ITC1(config-if)# ip address 212.1.1.1 255.255.255.252 ITC1(config-if)# no shutdown ITC1(config)# exit ITC1(config)# interface fastEthernet0/0 ITC1(config-if)# ip address 176.16.1.1 255.255.255.0 ITC1(config-if)# no shutdown ITC1(config)# exit

Interfejsu Serial0/0 router-a ITC2 treba dodeliti IP adresu 212.1.1.2 sa subnet maskom 255.255.255.252 (/30) i interfejsu FastEthernet0/0 router-a ITC2 treba dodeliti IP adresu 192.168.1.1 sa subnet maskom 255.255.255.0 (/24):
ITC2(config)# interface Serial0/0 ITC2(config-if)# ip address 212.1.1.2 255.255.255.252 ITC2(config-if)# no shutdown ITC2(config)# exit ITC2(config)# interface fastEthernet0/0 ITC2(config-if)# ip address 192.168.1.1 255.255.255.0 ITC2(config-if)# no shutdown ITC2(config)# exit

Statiko rutiranje
Da bi kreirali statike rute na Cisco router-ima, moemo koristiti ip route command podeavajui destinacionu mreu, masku mree, kao i usmerenje na narednu IP adresu (IP adresu sledeeg router-a ka destinacionoj mrei) ili interfejs na lokalnom router-u koji ce posluiti kao izlazni interfejs ka destinacionoj mrei. Da bi mrea 172.16.1.0/24 komunicirala sa mreom 192.168.1.0/24 potrebno da router ITC1 usmeri pakete ka router-u ITC2 na njegov Serial0/0 interfejs ili da router ITC1 propusti pakete kroz svoj Serial0/0 interfejs.

ITC1(config)#ip route 192.168.1.0 255.255.255.0 212.1.1.2 (next-hop IP add.)

Ili
ITC1(config)#ip route 192.168.1.0 255.255.255.0 serial0 (local exit interface)

Da bi mrea 192.168.1.0/24 komunicirala sa mreom 172.16.1.0/24 potrebno da router ITC2 usmeri pakete ka router-u ITC1 na njegov Serial0/0 interfejs ili da router ITC2 propusti pakete kroz svoj Serial0/0 interfejs.
ITC1(config)#ip route 172.16.1.0 255.255.255.0 212.1.1.1 (next-hop IP addr.)

Ili
ITC1(config)#ip route 172.16.1.0 255.255.255.0 serial0/0 (local exit interface)

TFTP (Trivial File Transfer Protocol) Konfiguraciju rutera ITC1 i SW1 snimiti na TFTP1 dok konfiguraciju ITC2 i SW2 snimiti na TFTP2.
TFTP Kopiranje izvrnog konfiguracionog fajla router-a ITC1 na TFTP1:
ITC1#copy running-config tftp: Address or name of remote host []? 172.16.1.20 Destination filename [ITC1-confg]? .!! [OK - 672 bytes] 672 bytes copied in 3.02 secs (0 bytes/sec) ITC1#

Kopiranje izvrnog konfiguracionog fajla router-a ITC2 na TFTP2:

ITC2#copy running-config tftp: Address or name of remote host []? 192.168.1.6 Destination filename [ITC2-confg]? .!! [OK - 666 bytes] 666 bytes copied in 3.019 secs (0 bytes/sec) ITC2#

Sigurnost porta (Port Security) Postaviti PORT_SECURITY na SW1 portu na koji je povezan raunar sa IP 172.16.1.10, i to tako da dozvolite max. 1 mac adresu koja je nauena preko sticky opcije sa prekrajnim pravilom protected.
Sigurnost porta predstavlja mogunost kontrole prometa drugog sloja na Cisco switchevima. Ona omoguava administratoru konfiguraciju sigurnosnih opcija na svakom portu pojedinano kao i kontrolu ulazka samo odreenog broja izvornih MAC adresa na odreeni port. Primarna upotreba ove opcije je u spreavanju dodavanja novih switch-eva na mreu od strane korisnika i nezakonitog proirivanja opsega mree (npr. dva ili tri korisnika mogu deliti pristup na jednom portu). Dodatak neupravljivih ureaja komplikuje mogunost reavanja problema od strane administratora te ih je najbolje izbegavati. Sigurnost porta sa se moe pokrenuti izdavanjem jedne naredbe na odreenom interfejsu:
SW2(config)# interface f0/2 SW2(config-if)# switchport mode access SW2(config-if)# switchport port-security

Sigurnost porta se moe konfigurisati tako da se prilikom otkrivanja povrede implementira jedna od tri akcije : shutdown ; Interfejs se stavlja u error-disabled (grekom uzrokovano) stanje blokirajui sav promet. protect; Frejmovi koji stiu sa nedozvoljenih MAC adresa se odbacuju; promet sa dozvoljenih adresa e proi normalno. restrict; Isto kao i protect nain, ali generira syslog poruke i poveava broja prekraja (violation). Postavljamo prekrajno pravilo protect.
SW1(config-if)# switchport port-security violation protect

Po defaultu, sigurnost porta limitira broj dolazeih MAC adresa na jednu. Taj broj se moe promeniti. Mi potvrujemo da je maksimalan broj MAC jedan.
SW1 (config-if)# switchport port-security maximum 1

10

Konfigurirane MAC adrese se snimaju u trenutnu konfiguraciju(running configuration). Postoji mogunost da se omogui "ljepljiva" MAC adresa; MAC adrese e se dinamiki pamtiti dok se ne dostigne maksimum adresa za taj interfejs.
SW1(config-if)# switchport port-security mac-address sticky

Konfiguraciju sigurnosti porta moemo vidjeti ako upotrijebimo komandu show portsecurity.

DCE - DTE Podesiti brzinu na 1Mbps na ruteru koji je DCE. To je serijska veza izmeu ITC1 i ITC2.
ITC1(config)#interface Serial 0/0 ITC1(config-if)#clock rate 1000000

Na kraju je potrebno sauvati konfiguraciju:

ITC1# copy running-config startup-config ITC2# copy running-config startup-config

11

Provera konfiguracije router-a

Posle konfigurisanja router-a, neophodno je proveriti da li je to konfigurisanje dovelo do eljenih rezultata. Konkretno, u ovom sluaju treba proveriti da li routing tabele routera sadre dovoljno informacija kako bi saobraaj mogao biti tano usmeravan. Za potrebe provere routing tabele se koristi komanda IOS-a show ip route. Sadraja routing tabele router-a ITC1 dat je u sledeem prikazu:
ITC1>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set C S C 172.16.0.0/24 is subnetted, 1 subnets 172.16.1.0 is directly connected, FastEthernet0/0 192.168.1.0/24 [1/0] via 212.1.1.2 212.1.1.0/30 is subnetted, 1 subnets 212.1.1.0 is directly connected, Serial0/0

Sadraja routing tabele router-a ITC2:

ITC2>show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set S C C 172.16.0.0/24 is subnetted, 1 subnets 172.16.1.0 [1/0] via 212.1.1.1 192.168.1.0/24 is directly connected, FastEthernet0/0 212.1.1.0/30 is subnetted, 1 subnets 212.1.1.0 is directly connected, Serial0/0

12

Na kraju, potrebno je pomou ping-a proveriti da li svaki raunar u mrei moe da komunicira sa ostalim raunarima u mrei. Na Windows XP platformi, to se obavlja otvaranjem command prompt-a i unosom naredbe ping. Rezultat uspenog ping-a sa raunara PC1 (IP:172.16.1.10 SM:255.255.255.0) ka raunaru PC2 (IP:192.168.1.5 SM:255.255.255.0) dat je u sledeem prikazu:
PC>ping 192.168.1.5 Pinging 192.168.1.5 with 32 bytes of data: Reply Reply Reply Reply from from from from 192.168.1.5: 192.168.1.5: 192.168.1.5: 192.168.1.5: bytes=32 bytes=32 bytes=32 bytes=32 time=156ms time=156ms time=156ms time=156ms TTL=126 TTL=126 TTL=126 TTL=126

Ping statistics for 192.168.1.5: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 156ms, Maximum = 156ms, Average = 156ms

13