Cisco заметки - шпаргалка для ciscoвода

cisco заметки

Многие начинающие настройщики сетевого железа боятся консоли (CLI, Command Line Interface) как огня.  Однако, консоль является мощнейшим инструментом, не овладев которым называть себя настройщиком cisco нельзя. В этой записи складируются мои cisco заметки, которые могут пригодится в будущем при конфигурации cisco устройств.

При помощи консоли можно:

  1. Задать начальную конфигурацию.
  2. Восстановить потерянные пароли (для разных железок по-разному. Но поиском на сайте cisco.com легко найти процесс по ключевым словам “password-recovery (название железки)” )
  3. Настроить нестандартные топологии
  4. Включить скрытые возможности
  5. Проверить правильность настроек командами show
  6. Отладить процесс командами debug

Помните: при помощи консоли можно всё, при помощи GUI – не всё, а только то, что запрограммировали и разрешили.

Есть несколько хитростей, которые облегчат работу и могут пригодиться в реальной жизни:

  • Горячие сочетания клавиш. Самые часто используемые ctrl+a (начало строки),ctrl+e (конец строки), ctrl+z (выход из режима настройки)
  • Команда do для вызова команд show из режима настройки сильно экономит время, не приходится выходить из режима настройки и возвращаться обратно в него. При использовании команды do не работает подсказка по вопросу, кнопка табуляции и проверка синтаксиса на ошибку.

Примеры: (config)# do show ip route
(config-if)# do show ip int f0/0

  • Служебные команды после символа “|” (“grep”) сделают выборку из конфига или вывода других команд просмотра.

Примеры: sh run | include ip route
Sh ip route | include 192.168.0.0
Sh run | begin router ospf 1

  • Используйте блокнот или другой текстовый редактор, чтобы создавать шаблон конфига, а потом вливайте его копи-пастом в консоль. Перевод каретки циской распознаётся как ввод команды. Не забывайте после последней команды нажать кнопку ввод :)
  • Вызов ранее введенных команд стрелками «вверх» и «вниз» (или команды ctrl+p, ctrl+n). Размер буфера команд настраивается.
  • Разные команды возможно вводить из разных режимов: из режима непривилегированного пользователя можно мало и только посмотреть, из привилегированного – посмотреть, включить debug, из режима настройки – настроить параметры или перейти в подрежимы. Не забывайте, что знак «?» введенный без пробела, подскажет возможные продолжения команды, а знак «?», введенный через пробел – возможные дальнейшие ключевые слова
  • Сокращайте команды! Помните, что если сокращение однозначно, его циска распознает. Для ускорения обучению используйте кнопочку табуляции: если начало команды уже однозначно, циска продолжит команду автоматически.

Пример (сравните):
Ip nat inside source list NAT interface GigabitEthernet0/0 overload
Ip nat in so l NAT int G0/0 o

  • Строчки из конфига (running или startup) являются командами. Можно подглядеть в конфиг и стереть неугодную команду, поставив перед ней ключевое слово no

Конфигурация cisco порта

  • description etazh 2 komnata 1 - комментарий к интерфейсу, до 240 символов.
  • switchport mode access - порт принадлежит к одному влану и передает не тегированный трафик. Детальней: xgu.ru/wiki/VLAN_в_Cisco
  • switchport access vlan 30 - порт принадлежит к единственному, 30-му vlan'у и передает не тегированый трафик
  • switchport mode trunk - порт передает тегированный трафик и принадлежит к одному, нескольким или всем (по умолчанию) вланам
  • switchport trunk allowed vlan 1-2,10,15 - разрешенные вланы для транкового порта
  • switchport trunk native vlan 5 - можно указать к какому влану на транковом порте относится не тегированный трафик, на примере это 5-й влан, по умолчанию 1-й влан.
  • switchport port-security - включение порта в режим защиты от сетевых атак, с помощью ограничений трафика с привязкой к mac-адресам. По умолчанию не более одного mac-адреса на порту, в случае нарушения - выключение порта в статус "errdisable state" и запись в лог. Для того чтоб вывести порт из статуса  "errdisable state" его нужно выключить и включить командами "shutdown" и "no shutdown". Детальней: xgu.ru/wiki/Port_security
  • errdisable recovery cause security-violation - порт должен сам выходить из состояния "errdisable state" через 5 минут (по умолчанию)
  • errdisable recovery interval 600 - указываем что порт должен сам выходить из состояния  "errdisable state" через 10 минут (вместо 5-ти по умолчанию)
  • switchport port-security maximum 3 - на порту разрешено не более 3 мак-адресов.
  • switchport port-security mac-address 0000.1111.2222 - разрешили на порт работу хоста с мак-адресом 0000.1111.2222
  • switchport port-security aging time 2 - коммутатор удаляет MAC адреса из CAM таблицы через 2 минуты их не активности (по умолчанию 5 минут). Если используем эту команду необходимо указать причину удаления мак-адреса из таблицы.
  • switchport port-security aging type inactivity - причина удаления MAC адресов из CAM таблицы: из-за не активности
  • spanning-tree portfast - при подключении устройства к такому порту, он, минуя промежуточные стадии, сразу переходит к forwarding-состоянию. Portfast следует включать только на интерфейсах, ведущих к конечным устройствам (рабочим станциям, серверам, телефонам и т.д.), но не к другим свичам.
  • switchport host - эта команда разом включает PortFast, переводит порт в режим access (аналогично switchport mode access), и отключает протокол PAgP
  • spanning-tree bpduguard enable - переход порта в состояние error-disabled при получении BPDU пакета, так как на порте с включенным "spanning-tree portfast" не должно появляться BPDU пакетов.

Состояние cisco портов:

В обычном (802.1D) STP существует 5 различных состояний:

  • блокировка (blocking) : блокированный порт не шлет ничего. Предназначено для предотвращения петель в сети. Блокированный порт, тем не менее, слушает BPDU (чтобы быть в курсе событий, это позволяет ему, когда надо, разблокироваться и начать работать)
  • прослушивание (listening) : порт слушает и начинает сам отправлять BPDU, кадры с данными не отправляет.
  • обучение (learning) : порт слушает и отправляет BPDU, а также вносит изменения в CAM- таблицу, но данные не перенаправляет.
  • перенаправление\пересылка (forwarding) : может все: посылает\принимает BPDU, оперирует с данными и участвует в поддержании таблицы mac-адресов. То есть это обычное состояние рабочего порта.
  • отключен (disabled) : состояние administratively down, отключен командой shutdown. Понятное дело, ничего делать не может вообще, пока вручную не включат.

Порядок перечисления состояний не случаен: при включении (а также при втыкании нового провода), все порты на устройстве с STP проходят вышеприведенные состояния именно в таком порядке (за исключением disabled-состояния). Зачем? STP осторожничает. Ведь на другом конце провода, который только что воткнули в порт, может быть свич, а это потенциальная петля. Поэтому порт сначала 15 секунд (по умолчанию) пребывает в состоянии прослушивания — он смотрит BPDU, попадающие в него, выясняет свое положение в сети — как бы чего ни вышло, потом переходит к обучению еще на 15 секунд — пытается выяснить, какие mac-адреса “в ходу” на линке, и потом, убедившись, что ничего он не поломает, начинает уже свою работу. Итого целых 30 секунд простоя, прежде чем подключенное устройство сможет обмениваться информацией со своими соседями. Современные компы грузятся быстрее, чем за 30 секунд. Вот комп загрузился, уже рвется в сеть, истерит на тему “DHCP-сервер, сволочь, ты будешь айпишник выдавать, или нет?”, и, не получив искомого, обижается и уходит в себя, извлекая из своих недр айпишник автонастройки. Естественно, после таких экзерсисов, в сети его слушать никто не будет, ибо “не местный” со своим 169.254.x.x. Понятно, что это не дело и в таком случае для портов на котором находятся конечные компьютеры, а не коммутаторы используется команда "spaning-tree portfast"

Show

  • show port-security interface fa 0/1 - смотрим port-security статус порта
  • show memory statistics - показывает краткую статистику используемой памяти

Проверка корректности настройки безопасности на портах:

  • show port-security address - покажет какие mac-адреса прописаны на портах
  • show port-security - покажет на каких портах включено port-security и какая реакция при появлении незнакомого mac-адреса
  • show interface description - покажет описания портов и статус (up, down, admin down)

Термины:

  • STP (Spanning Tree Protocol, протокол связующего дерева) — сетевой протокол. Основной задачей STP является устранение петель в сети, в которой есть один или более сетевых мостов, связанных избыточными соединениями. STP решает эту задачу, автоматически блокируя соединения, которые в данный момент для полной связности коммутаторов являются избыточными.
  • BPDU (Bridge Protocol Data Unit) - фрейм (единица данных) протокола управления сетевыми мостами, IEEE 802.1d, базируется на реализации протокола STP (Spanning Tree Protocol). Используется для исключения возможности возникновения петель в сетях передачи данных при наличии в них многосвязной топологии.

Настройка времени и ntp

ntp server 10.0.100.254 - указываем ntp-сервер, с которого cisco-устройство будет брать время

show ntp associations - проверка статуса связи с ntp-сервером, если звездочка напротив ip - значит связь есть, если решетка - связи нет.

show ntp status - проверка статуса синхронизации с ntp-сервером

clock set 13:32:00 23 July 1997 - пример того, как можно указать время

clock timezone EST -5 - указываем часовой пояс и смещение в часах относительно UTC

clock summer-time EDT recurring - указываем часовой пояс для летнего времени

show clock detail - смотрим текущее время и когда переводятся часы с между зимним и летним временем

Название часовых поясов можно подсмотреть вот тут на cisco.com

Посмотреть загрузку cpu

sh proc cpu sorted 1 - выводит загрузку процессора в виде таблицы по различным процессам. Также в первой строке есть такой вот текст:

CPU utilization for five seconds: 36%/25%; one minute: 6%; five minutes: 7%

Где:

  • 36%, 6%, 7% - это общая загрузка процессора за 5 секунд, 1 минуту и 5 минут
  • 25% - загрузка по прерываниям (нагрузка на свитч-фабрику устройства). По сути не является нагрузкой процессора. Но высокие показатели этой цифры говорят что не все хорошо с коммутацией.

sh proc cpu hist - диаграмма загрузки процессора

Остальные cisco заметки:

  • logging buffered 40960 - увеличиваем log buffer до 40960 байтов. Чтобы понимать насколько можно увеличить смотрите на Processor в show memory statistics
  • username имя password пароль - хранение пароля в шифрованном виде, алгоритм шифрования обратимый
  • username имя secret пароль - хранение пароля в шифрованном виде, алгоритм шифрования md5crypt (они же MD5(Unix), FreeBSD MD5, Cisco-IOS MD5)
  • тестирование канала (скорости, потери пакетов и тд): команда ttcp
  • создание интерфейса с ip-адресом:
    • configure - переходим в режим конфигурации
    • interface Vlan50 - создаем, например, интерфейс для Vlan50
    • ip address 172.16.11.100 - прописываем для этого интерфейса ip-адрес

CISCO Роутер:

  • sh crypto session - показать состояние туннелей
  • clear crypto session remote 10.10.11.25 - сбросить состояние определенного туннеля

Используемые источники и полезные ссылки:

 

Понравилось? =) Поделись с друзьями:

Обсудить