Cisco Router
Материал из Xgu.ru
На этой странице описываются различные настройки маршрутизаторов Cisco.
[править] Базовые настройки маршрутизатора
[править] Полезные команды
Сбросить настройки на интерфейсе fa 0/1:
R1(config)# default interface fa 0/1
sh ip int des
traceroute 10.0.1.1
Прервать traceroute CTRL-SHIFT-6
auto secure ssh
show int description
ip local policy route-map <name-map>
show protocols
[править] Buffer Tuning
[править] Доступ к маршрутизатору
[править] Telnet
Настройка доступа telnet без пароля:
dyn1(config)# line vty 0 15 dyn1(config-line)# no login
При подключении сразу попасть в привилегированный режим:
dyn1(config)# line vty 0 15 dyn1(config-line)# privilege level 15
[править] ACL
Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.
Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:
dyn5(config)# access-list 10 permit 4.4.4.4 dyn5(config)# line vty 0 4 dyn5(config-line)# access-class 10 in
Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:
dyn5(config)# access-list 11 permit 1.1.1.1 dyn5(config)# line vty 0 4 dyn5(config-line)# access-class 11 out
Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:
dyn5# telnet 192.168.1.1 Trying 192.168.1.1 ... % Connections to that host not permitted from this terminal
[править] Дополнительные параметры при подключении telnet
Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.
Указание интерфейса для текущей сессии telnet:
dyn1# telnet 192.168.2.5 /source-interface lo0
Указание интерфейса для всех сессий telnet:
dyn1(config)# ip telnet source-interface lo0
[править] Разрыв соединения
Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):
dyn1(config)# line vty 0 15 dyn1(config-line)# absolute-timeout 10
Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:
dyn1(config)# line vty 0 15 dyn1(config-line)# logout-warning 30
Пример сообщения:
dyn3# telnet 192.168.2.1 Trying 192.168.2.1 ... Open User Access Verification Username: user1 Password: dyn1# * * * Line timeout expired * * [Connection to 192.168.2.1 closed by foreign host]
[править] Предотвращение залипания соединений
Для очистки зависших Telnet сессий используется механизм TCP-keepalives
Зачем это нужно? Порой возникают залипшие соединения сессий telnet. И при последующих попытках соединений - оно не устанавливается, при этом выдается сообщение "Connection refused by remote host"
Для предотвращения данной ситуации в конфигурацию роутера необходимо внести изменения:
Router# conf t Router(config)# service tcp-keepalives-in Router(config)# service tcp-keepalives-out
[править] Настройка нестандартных портов для telnet и привязка к конкретной vty
Указание нестандартного порта для telnet:
router(config)# line vty 3 router(config-line)# rotary 3
После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.
Пример конфигурации маршрутизатора:
hostname dyn5 ! username cisco password 0 cisco ! interface FastEthernet0/0 ip address 192.168.5.5 255.255.255.0 ! ! line vty 0 2 login local line vty 3 login local rotary 3 !
Подключение с соседнего маршрутизатора (к порту 3000+rotary):
dyn3# telnet 192.168.5.5 3003 Trying 192.168.5.5, 3003 ... Open User Access Verification Username: cisco Password: dyn5>
Пользователь подключился к vty 3:
dyn5#sh users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 5 vty 3 cisco idle 00:01:08 192.168.5.3 Interface User Mode Idle Peer Address
[править] SSH
Имя домена (необходимо для генерации ключей):
ip domain-name xgu.ru
Создание пары ключей:
crypto key generate rsa modulus 1024
Включение SSH версии 2:
ip ssh version 2
Создание пользователя в локальной базе:
username admin secret cisco123
Настройка VTY:
line vty 0 4 login local transport input ssh
[править] Настройка нестандартных портов для SSH и привязка к конкретной vty
Изменение порта SSH для определенной линии vty:
router(config)# ip ssh port 2009 rotary 9
Настройка соответствия vty и rotary:
router(config)# line vty 4 router(config-line)# rotary 9
Пример конфигурации маршрутизатора:
hostname dyn5 ! ip domain name unix.nt ip ssh port 2009 rotary 9 ip ssh version 2 ! username cisco password 0 cisco ! interface FastEthernet0/0 ip address 192.168.5.5 255.255.255.0 ! ! line vty 0 3 login local line vty 4 login local rotary 9 !
Подключение с соседнего маршрутизатора (к порту 2009):
dyn3# ssh -l cisco -p 2009 192.168.5.5 Password: dyn5>
Пользователь подключился к vty 4:
dyn5#sh users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 6 vty 4 cisco idle 00:00:01 192.168.5.3 Interface User Mode Idle Peer Address
Ограничение числа сессий ssh ip ssh maxstartups {число} Пример: ограничим 2 сессиями
Router(config)#ip ssh maxstartups 2
Ограничение времени timeoutá (по-умолчанию 300 секунд)ip ssh time-out {секнуд}
SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.
Пример:
Router(config)#ip ssh time-out 60
Указание интерфейса для всех сессий ssh
Router(config)#ip ssh source-interface FastEthernet0/1
Включение журналирования событий SSH ip ssh logging events
Router(conifig)#ip ssh logging events
Указание версии использования протокола ip ssh version версия Пример:
Router(config)#ip ssh version 2
Указание, какой ключ должен использоваться при соединении:
sm-c2821(config)#ip ssh rsa keypair-name xgu.ru
[править] Работа с сессиями
[править] Исходящие сессии Telnet и SSH
Инициировать сессию telnet:
router# telnet <IP-адрес>
или
router# <IP-адрес>
Пример:
router# telnet 192.168.1.1
router# 192.168.10.1
Исходящие сессии SSH:
router# ssh -l <user> <IP-адрес>
[править] Приостановка и мониторинг исходящих сессий
Приостановить сессию: Ctrl+Shift+6 и потом x.
Показать исходящие сессии:
router# show sessions
или
router# where
Пример:
router# where Conn Host Address Byte Idle Conn Name 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1 * 2 192.168.10.1 192.168.10.1 0 0 192.168.10.1 router# show sessions Conn Host Address Byte Idle Conn Name 1 192.168.1.1 192.168.1.1 0 0 192.168.1.1 * 2 192.168.10.1 192.168.10.1 0 0 192.168.10.1
Вернуться в приостановленную сессию:
router# resume <номер>
или
router#<номер>
Пример:
router# resume 2 [Resuming connection 2 to 192.168.10.1 ... ] router#1 [Resuming connection 1 to 192.168.1.1 ... ]
Завершить исходящую сессию:
router# disconnect <номер>
Если с маршрутизатора были открыты сессии, а затем приостановлены, то нажатие 'Enter' приводит к тому, что открывается последняя сессия. Для того чтобы сделать перевод строки, без команды и без восстановления последней сессии, необходимо использовать комбинацию ctrl+l.
Или нажать номер несуществующей сессии. После этого 'Enter' отрабатывает как обычно:
router#5 % 5 is not an open connection router# router#
[править] Входящие сессии
Показать подключения к локальному маршрутизатору (консоль, telnet, ssh):
router# show users
или
router# who
Пример:
router# show users Line User Host(s) Idle Location * 0 con 0 10.0.10.1 00:00:37 514 vty 0 idle 00:01:20 192.168.10.10 Interface User Mode Idle Peer Address router# who Line User Host(s) Idle Location * 0 con 0 10.0.10.1 00:00:46 514 vty 0 idle 00:01:29 192.168.10.10 Interface User Mode Idle Peer Address
Показать сессии ssh:
router# show ssh
[править] Автоматическое выполнение команды
Команда autocommand используется для автоматического выполнения определенной команды после того как пользователь подключился к определенной line:
line vty 6 login local rotary 6 autocommand telnet 10.1.1.1 2009
[править] HTTP
Включение HTTP-сервера:
dyn1(config)# ip http server
[править] Ограничение количества соединений
Настройка максимального количества соединений (по умолчанию 5, диапазон от 1 до 16):
dyn1(config)# ip http max-connections 2
[править] Изменение стандартного порта
Изменение стандартного порта HTTP:
dyn1(config)# ip http port 8800
[править] Время жизни соединения
Настройка таймеров:
dyn1(config)# ip http timeout-policy idle 180 life 300 requests 50
[править] Ограничение доступа
С помощью ACL можно указать каким хостам разрешен доступ по HTTP на маршрутизатор:
dyn1(config)# access-list 3 permit 192.168.1.10 dyn1(config)# access-list 3 permit 192.168.2.10 dyn1(config)# ip http access-class 3
[править] Аутентификация
Настройка аутентификации по локальной базе пользователей:
dyn1(config)# ip http authentication local
Пример создания пользователей:
dyn1(config)# username user1 password pass dyn1(config)# username user2 password pass
[править] Локальная аутентификация (локальная база пользователей)
Управление правами доступа на основании атрибутов, присвоенных отдельному пользователю.
Когда VPN-пользователи проходят аутентификацию на локальном сервере IOS, то может понадобиться запретить им доступ к CLI.
Настройка AAA (если настроен VPN, то тут могут быть дополнительные настройки):
aaa new-model aaa authentication login default local aaa authorization exec default local
Создание списка атрибутов для запрещения доступа к CLI:
aaa attribute list CLI attribute type service-type noopt service shell mandatory
Назначение списка пользователю:
username xguru secret xguru username xguru aaa attribute list CLI
Если пользователь пытается зайти в CLI маршрутизатора, то выдается ошибка:
dyn2#ssh -l xguru 192.168.103.1 Password: % Authorization failed. [Connection to 192.168.103.1 closed by foreign host]
[править] Разграничение доступа пользователям
[править] Уровни привилегий по умолчанию
Команды уровня 0:
dyn1>? Exec commands: disable Turn off privileged commands enable Turn on privileged commands exit Exit from the EXEC help Description of the interactive help system logout Exit from the EXEC
Некоторые команды уровня 1:
dyn1>? Exec commands: clear Reset functions disable Turn off privileged commands disconnect Disconnect an existing network connection enable Turn on privileged commands exit Exit from the EXEC login Log in as a particular user ping Send echo messages resume Resume an active network connection show Show running system information ssh Open a secure shell client connection telnet Open a telnet connection terminal Set terminal line parameters traceroute Trace route to destination where List active connections
[править] Уровни привилегий
Создание пользователя и задание пароля:
dyn1(config)# username user2 password cisco2
Назначение пользователю уровня привилегий:
dyn1(config)# username user2 privilege 2
Задание соответствия между командами и уровнем привилегий:
dyn1(config)#privilege exec level 2 configure dyn1(config)#privilege exec level 2 configure t dyn1(config)#privilege configure level 2 interface dyn1(config)#privilege interface level 2 shutdown dyn1(config)#privilege interface level 2 ip address
Для просмотра уровня своих привилегий используется команда show privilege
Пример:
c1750-sm3>show privilege Current privilege level is 1 c1750-sm3>en Password: c1750-sm3#show privilege Current privilege level is 15
[править] CLI view
Включить AAA:
router(config)# aaa new-model
Включить root view:
router# enable view
Создать view:
router(config)# parser view <view-name>
Настроить пароль для view:
router(config-view)# secret <password>
Добавить команды доступные в view:
router(config-view)# commands exec <include|include-exclusive|exclude> [all] [interface-id|command]
[править] Всякое
[править] Пароли
Задание минимальной длины пароля:
dyn1(config)# security passwords min-length 6
Хранение паролей в виде хеша:
dyn1(config)# service password-encryption
Отключение функции восстановления пароля:
dyn1(config)# no service password-recovery
Если необходимо ввести пароль в котором есть знак ?, то перед знаком необходимо нажать Esc + Q (при подключении пароль надо вводить просто со знаком ?). Например, пароль Cisco??pass надо вводить так: CiscoEsc + Q?Esc + Q?pass
Задание количества разрешенных неудачных попыток логина в минуту. При превышении будет сгенерировано лог-сообщение:
dyn1(config)#security authentication failure rate 3 log
Для задания пароля входа в privileg EXEC level (привилегированный режим) используется команда enable password|secret {пароль}
Пример:
Router(config)#enable password cisco_en
Следует заметить, что при использовании enable secret будет использоваться кодирования пароля с помощью алгоритма MD5, что повышает безопасность системы в целом
[править] Гарантия выполнения низкоприоритетных задач
При возникновении ситуации высокой загрузки процессора, низкоприоритетные задачи могут не дождаться своей очереди выполнения. По-умолчанию Cisco выделяет 5% процессорного времени для выполнения такого рода задач. Для изменения используется команда scheduler allocate .
Пример:
Router(config)# scheduler allocate 4000 200
Что бы маршрутизатор более живо реагировал на команды в консоли при большой нагрузке. 4000 микросекунд - это время переключения между процессами. 200 микросекунд, это максимальное время, которое выделяет маршрутизатор на выполнение низкоприоритетных задач
[править] Приглашение командной строки
Отключить приглашение командной строки в глобальном конфигурационном режиме:
dyn1(config)# no service prompt config
После выполнения команды, приглашение dyn1(config)# не отображается. При возвращении в режим enable приглашение появляется.
Настройка приглашения режима enable:
dyn1(config)# prompt DYN1-enable-mode
[править] Баннеры
Баннер - это своеобразная вывеска, которая предназначена для сообщения определенной информации, любому, кто пытается получить доступ к маршрутизатору. За рубежом, обычно, сообщается информация о том, кому принадлежит данное коммуникационное оборудование и что может последовать, если в дальнейшем последует несанкционированный доступ либо попытка доступа. Может быть и любая другая информация. К примеру фирма Cisco на новых не сконфигурированных маршрутизаторах сообщает об этом факте. Существует 3 вида баннеров motd, exec, incoming
Создание баннера message-of-the-day (MOTD):
dyn1(config)# banner motd #Hello! I'm $(hostname). You are connected on line $(line) on domain $(domain)#
dyn3# telnet 192.168.1.1 Trying 192.168.1.1 ... Open Hello! I'm dyn1. You are connected on line 2 on domain xgu.ru
Для создания баннера необходимо указать ключевое слово banner тип РазделительТекст баннера Разделитель. Разделитель НЕ может содержаться в тексте баннера
Существует возможность динамически добавлять в тело баннера имя хоста или домена, используя регулярные выражения $(hostname) и $(domain).
Пример:
Router#conf t Router(config)#hostname Xgu.ru Xgu.ru(config)#ip domain name xgu.ru Xgu.ru(config)#banner motd C Enter TEXT message. End with the character 'C'. Welcom to $(hostname) contact me at admin@$(domain) for any issues C Xgu.ru(config)# Press RETURN to get started. Welcom to Xgu.ru contact me at admin@$xgu.ru for any issues Xgu.ru>
[править] Создание меню
Название меню:
dyn1(config)# menu user3 title # Menu for user3 #
Текст приглашения по выбору пункта меню:
dyn1(config)# menu user3 prompt #Choose an option and press ENTER: #
Настройка очистки экрана перед выводом меню:
dyn1(config)# menu user3 clear-screen
Ключами для выбора определенного пункта меню могут быть буквы, цифры или строки. Если используются строки, то должен быть настроен режим line-mode:
dyn1(config)# menu user3 line-mode
Создание пунктов меню:
dyn1(config)# menu user3 text 1 Display the routing table dyn1(config)# menu user3 text 2 Configuration of fa0/0 dyn1(config)# menu user3 text 3 Ping dyn3 dyn1(config)# menu user3 text 4 Menu exit
Настройка команд, которые будут выполняться при вызове пункта меню:
dyn1(config)# menu user3 command 1 sh ip route dyn1(config)# menu user3 command 2 sh run int fa0/0 dyn1(config)# menu user3 command 3 ping 192.168.1.3
Для того чтобы пользователь мог выйти из меню, при создании меню необходимо настроить один пункт меню с командой menu-exit:
dyn1(config)# menu user3 command 4 menu-exit
Для пунктов меню, в которых предполагается вывод результата выполнения команды, необходимо задать параметр pause:
dyn1(config)# menu user3 options 1 pause dyn1(config)# menu user3 options 2 pause dyn1(config)# menu user3 options 3 pause
Можно указать какой пункт будет выполняться по умолчанию в случае, если пользователь не выбрал пункт меню и нажал Enter:
dyn1(config)# menu user3 default 4
Отображение строки с информацией о статусе подключения:
Server "dyn1" Line 0 Terminal-type (unknown) Menu for user3 1 Display the routing table 2 Configuration of fa0/0 3 Ping dyn3 4 Menu exit Choose an option and press ENTER:
Настройка автоматического вызова меню при подключении пользователя:
dyn1(config)# username user3 autocommand menu user3
[править] Пример меню и соответствующая конфигурация
Menu for user3 1 Display the routing table 2 Configuration of fa0/0 3 Ping dyn3 4 Menu exit Choose an option and press ENTER:
Соответствующая конфигурация:
menu user3 title ^C Menu for user3 ^C menu user3 prompt ^C Choose an option and press ENTER: ^C menu user3 text 1 Display the routing table menu user3 command 1 sh ip route menu user3 options 1 pause menu user3 text 2 Configuration of fa0/0 menu user3 command 2 sh run int fa0/0 menu user3 options 2 pause menu user3 text 3 Ping dyn3 menu user3 command 3 ping 192.168.1.3 menu user3 options 3 pause menu user3 text 4 Menu exit menu user3 command 4 menu-exit menu user3 clear-screen menu user3 status-line menu user3 default 4 menu user3 line-mode
[править] Создание соответствий IP-адрес -- имя хоста
Создание соответствия:
dyn1(config)# ip host Dyn4 192.168.1.100
Просмотреть список существующих соответствий:
dyn1# sh hosts Default domain is not set Name/address lookup uses static mappings Codes: UN - unknown, EX - expired, OK - OK, ?? - revalidate temp - temporary, perm - permanent NA - Not Applicable None - Not defined Host Port Flags Age Type Address(es) Dyn4 None (perm, OK) 0 IP 192.168.1.100 dyn3 None (perm, OK) 0 IP 192.168.2.3
[править] Сообщение о недоступности хоста
Настройка сообщения о недоступности хоста при подключении к нему по Telnet:
dyn1(config)# ip host Dyn4 192.168.1.100 dyn1(config)# busy-message Dyn4 #Host is down, try again later#
[править] Спрятать IP-адрес хоста к которому выполняется подключение
Обычно, при подключении к хосту, который в момент подключения доступен, в консоли отображается IP-адрес хоста:
dyn1# telnet dyn3 Trying dyn3 (192.168.2.3)... Open
Спрятать IP-адрес хоста к которому выполняется подключение:
dyn1(config)# service hide-telnet-addresses
После этого, при выполнении подключения адрес не отображается:
dyn1# telnet dyn3 Trying dyn3 address #1 ... Open
[править] Login enhancement
[править] Настройка блокировки
Настройка периода блокировки хоста, с указанием количества попыток подключения к маршрутизатору в течение указанного периода времени:
router(config)# login block-for <sec> attempts <attempts> within <sec>
Пример. Хост будет заблокирован на 60 секунд, если в течение 10 секунд будут 3 неудачные попытки логина:
router(config)# login block-for 60 attempts 3 within 10
Проверка настроек:
sh login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. Router enabled to watch for login Attacks. If more than 3 login failures occur in 10 seconds or less, logins will be disabled for 60 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 9 seconds. Login failures for current window: 0. Total login failures: 0.
После нескольких неудачных попыток подключения:
* %SEC_LOGIN-1-QUIET_MODE_ON: Still timeleft for watching failures is 5 secs, [user: admin] [Source: 192.0.1.2] [localport: 22] [Reason: Login Authentication Failed] [ACL: sl_def_acl] at 13:43:18 UTC Sat May 7 2011 * %SEC-6-IPACCESSLOGP: list sl_def_acl denied tcp 192.0.1.2(39151) -> 0.0.0.0(22), 1 packet router# sh login A default login delay of 1 seconds is applied. No Quiet-Mode access list has been configured. Router enabled to watch for login Attacks. If more than 3 login failures occur in 10 seconds or less, logins will be disabled for 10 seconds. Router presently in Quiet-Mode. Will remain in Quiet-Mode for 40 seconds. Denying logins from all sources. * %SEC_LOGIN-5-QUIET_MODE_OFF: Quiet Mode is OFF, because block period timed out at 13:44:18 UTC Sat May 7 2011
[править] Настройка исключений из правила блокировки
Правило исключения:
router(config)# login quiet-mode access-class <acl>
Пример. Исключение хоста 192.0.1.2:
router(config)# access-list 10 permit 192.0.1.2 router(config)# login quiet-mode access-class 10
Проверка настроек:
router# sh login A default login delay of 1 seconds is applied. Quiet-Mode access list 10 is applied. Router enabled to watch for login Attacks. If more than 3 login failures occur in 10 seconds or less, logins will be disabled for 60 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 3 seconds. Login failures for current window: 0. Total login failures: 3.
[править] Настройка логирования попыток подключения и задержки между подключениями
Задержка между попытками подключения (по умолчанию 1 секунда):
router(config)# login delay <sec>
Пример. Настройка задержки 5 секунд:
router(config)# login delay 5
Проверка настроек:
router# sh login A login delay of 5 seconds is applied. Quiet-Mode access list 10 is applied. Router enabled to watch for login Attacks. If more than 3 login failures occur in 10 seconds or less, logins will be disabled for 60 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 4 seconds. Login failures for current window: 1. Total login failures: 13.
Логирование попыток подключения:
router(config)# login on-failure log [every <login-attempts>] router(config)# login on-success log [every <login-attempts>]
Пример настройки:
router(config)# login on-failure log every 5 router(config)# login on-success log every 3
router# sh login A login delay of 5 seconds is applied. Quiet-Mode access list 10 is applied. Every 3 successful login is logged. Every 5 failed login is logged. Router enabled to watch for login Attacks. If more than 3 login failures occur in 10 seconds or less, logins will be disabled for 60 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 3 seconds. Login failures for current window: 0. Total login failures: 24.
[править] Пример настройки
Конфигурация:
login block-for 10 attempts 4 within 10 login delay 5 login quiet-mode access-class 100 login on-failure log login on-success log
router# sh login A login delay of 5 seconds is applied. Quiet-Mode access list 100 is applied. All successful login is logged. All failed login is logged. Router enabled to watch for login Attacks. If more than 4 login failures occur in 10 seconds or less, logins will be disabled for 10 seconds. Router presently in Normal-Mode. Current Watch Window Time remaining: 4 seconds. Login failures for current window: 0. Total login failures: 0.
[править] Трансляция адресов (NAT)
- Основная страница: Cisco NAT
[править] Настройка NTP
[править] Маршрутизатор в роли NTP-сервера
Настройка маршрутизатора в роли NTP-сервера:
dyn1(config)# int fa1/0 dyn1(config-if)# ntp broadcast
dyn1(config)# ntp master [stratum]
Обновление встроенных часов:
dyn1(config)# ntp update-calendar
Настройка интерфейса для отправки широковещательных пакетов NTP:
dyn1(config)# int fa1/0 dyn1(config-if)# ntp broadcast
[править] Статический клиент
dyn3(config)# ntp server 192.168.2.1
[править] Широковещательный клиент
dyn3(config)# int fa1/0 dyn3(config-if)# ntp broadcast client
[править] Symmetric active mode
dyn5(config)# ntp peer 192.168.2.1
[править] Аутентификация
dyn1(config)# ntp authenticate #Включение dyn1(config)# ntp authentication-key 1 md5 xguru #Задаем значение ключа dyn1(config)# ntp trusted-key 1 #Тому, кто знает этот ключ, тот может нас синхронизировать
[править] Задание часового пояса
sm-c2821(config)#clock timezone EET 2 # в данном случае - +2 - Киев
Переход на летнее время задается так:
- clock summer-time имя(MSD) recurring
- first/last/номер-недели-начала
- день-недели месяц hh:mm
- first/last/номер-недели-окончания
- день-недели месяц hh:mm
- [смещение-в-минутах]
Пример
sm-c2821(config)#clock summer-time EET recurring last Sat Mar 3:00 last Sat Oct 3:00
[править] ACL для предотвращения получения информации об устройстве и IOS
! sm-sht-c2811(config)#access-list 4 permit 10.84.144.0 0.0.0.255 # кому отдавать время sm-sht-c2811(config)#access-list 5 permit 10.44.0.1 # с кого брать время ! sm-sht-c2811(config)#ntp access-group peer 5 sm-sht-c2811(config)#ntp access-group serve-only 4 sm-sht-c2811(config)#ntp server 10.44.0.1 prefer !
[править] Запрет сервиса на определенном интерфейсе
sm-c2821(config-if)#ntp disable
[править] Просмотр настроек
Ассоциации NTP на маршрутизаторе в роли сервера:
sm-c2821#show ntp associations address ref clock st when poll reach delay offset disp *~10.44.0.1 194.44.50.1 3 315 1024 377 8.2 -0.09 4.7 ~10.84.243.2 10.44.0.1 4 992 1024 0 1.6 2595.5 16000. +~10.84.242.101 10.44.0.1 4 251 1024 377 0.7 2.41 0.2 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Статус NTP на маршрутизаторе в роли сервера:
dyn1# show ntp status Clock is synchronized, stratum 7, reference is 127.127.7.1 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CE27D5B6.4ED89C3B (10:45:10.307 UTC Sat Aug 8 2009) clock offset is 0.0000 msec, root delay is 0.00 msec root dispersion is 0.02 msec, peer dispersion is 0.02 msec
Ассоциации NTP на маршрутизаторе в роли клиента:
dyn3# sh ntp associations address ref clock st when poll reach delay offset disp *~192.168.2.1 127.127.7.1 7 29 64 377 92.1 1335.5 33.3 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Статус NTP на маршрутизаторе в роли клиента:
dyn3# sh ntp status Clock is synchronized, stratum 8, reference is 192.168.2.1 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CE2804A3.1C1FCDFB (14:05:23.109 UTC Sat Aug 8 2009) clock offset is 1335.5106 msec, root delay is 92.09 msec root dispersion is 1368.82 msec, peer dispersion is 33.28 msec
[править] Frame Relay
- Основная страница: Frame Relay в Cisco
[править] ARP encapsulations
Настройка:
router(config-if)# arp <arpa | probe | snap>
[править] Управление конфигурацией маршрутизатора
[править] Базовые команды
[править] Просмотр текущей конфигурации
Router# show running-config
[править] Просмотр сохраненной конфигурации
Router# show configuration
[править] Сохранение текущей конфигурации
Router# write memory
Примечание. Эта команда считается устаревшей, но пока используется (коротко можно вызывать "wr mem" или даже просто "wr"). "Правильная" команда по документации Cisco -- "копирование текущей конфигурации в стартовую":
Router# copy running-config startup-config или проще Router# copy run start
[править] Копирование конфигурации
Если конфигурация копируется в стартовую, то выполняется полная замена файла. Если конфигурация копируется в текущую, то выполняется слияние файлов.
Поэтому в текущую конфигурацию можно копировать, например, файл в котором содержится частичная конфигурация или какие-то определенные настройки (например, протокола динамической маршрутизации).
Ранее, для того чтобы обновить конфигурацию маршрутизатора, необходимо было скопировать новый конфигурационный файл в стартовую конфигурацию, а потом перезагрузить устройство. В новых версиях IOS можно выполнять замену (а не слияние) текущей конфигурации.
Например, заменить текущую конфигурацию файлом с TFTP-сервера:
router# configure replace tftp://10.0.1.1/new-cfg
Команда configure replace не всегда корректно отрабатывает, особенно со сложными объектами, такими как route-map. Поэтому более надежный способ использовать копирование в cтартовую конфигурацию. |
[править] На FTP-сервер
ip ftp username anonymous ip ftp password email@host.net
Пример выполнения копирования:
dyn3#copy run ftp://192.168.3.101/incoming/dyn3 Address or name of remote host [192.168.3.101]? Destination filename [incoming/dyn3]? Writing incoming/dyn3 ! 1432 bytes copied in 4.284 secs (334 bytes/sec)
[править] Команда archive
Зайти в режим настройки архивирования конфигурационных файлов:
dyn1(config)# archive dyn1(config-archive)#
Команды в режиме archive:
- log -- настройка логирования,
- maximum -- максимальное количество резервных копий конфигурации,
- path -- путь, который указывает где хранятся резервные копии,
- time-period -- период времени через который будет автоматически выполняться архивирование текущей конфигурации (в минутах),
- write-memory -- включает автоматическую генерацию резервной копии конфигурации, после выполнения сохранения конфигурации.
[править] Настройка логирования
Зайти в режим настройки логирования:
dyn1(config)# archive dyn1(config-archive)# log config
Включить логирование:
dyn1(config-archive-log-cfg)#logging enable
Настройка размера буфера (по умолчанию 100):
dyn1(config-archive-log-cfg)#logging size 150
Спрятать пароли:
dyn1(config-archive-log-cfg)#hidekeys
Отправлять изменения на syslog-сервер:
dyn1(config-archive-log-cfg)#notify syslog
Просмотр информации о выполненных командах:
dyn1#sh archive log config all idx sess user@line Logged command 1 1 console@console | logging enable 2 1 console@console | logging size 150 3 1 console@console | hidekeys 4 1 console@console | notify syslog 5 1 console@console | exit 6 1 console@console | exit
[править] Сравнение конфигураций
[править] Сравнение текущей и стартовой конфигурации
Если на маршрутизаторе не настроено хранение конфигурации на внешнем источнике, то сравнение его конфигураций может выполняться двумя способами.
Сравнение стартовой с текущей:
dyn1# show archive config differences Contextual Config Diffs: +snmp-server community TEST-RW RW +snmp-server host 192.168.2.1 version 2c cisco -router ospf 1 -log-adjacency-changes -network 192.168.1.0 0.0.0.255 area 0
Сравнение текущей со стартовой конфигурацией:
dyn1# show archive config differences nvram:startup-config system:running-config Contextual Config Diffs: +router ospf 1 +log-adjacency-changes +network 192.168.1.0 0.0.0.255 area 0 -snmp-server community TEST-RW RW -snmp-server host 192.168.2.1 version 2c cisco
Так как выполнение сравнения текущей конфигурации со стартовой может выполняться часто, а команда достаточно громоздкая, то лучше создать для неё alias:
dyn1(config)# alias exec change show archive config differences nvram:startup-config system:running-config
Теперь можно посмотреть это же сравнение по команде change:
dyn1# change Contextual Config Diffs: +router ospf 1 +log-adjacency-changes +network 192.168.1.0 0.0.0.255 area 0 +alias exec change show archive config differences nvram:startup-config system:running-config -snmp-server community TEST-RW RW -snmp-server host 192.168.2.1 version 2c cisco
[править] Просмотр доступных архивов
Просмотр списка доступных архивов
show archive
router# sh archive The next archive file will be named ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Sep-14-11:47:06-5 Archive # Name 0 1 ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Aug-14-11:53:29-1 2 ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Aug-20-12:14:57-2 3 ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Sep--7-18:05:27-3 4 ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Sep--8-09:33:24-4 <- Most Recent 5 6 7 8 9 10 11 12 13 14
sh archive config differences Если используется сохранение конфигурационных файлов на внешние хранилища, он сравнивает с ними, т.е не нужно указывать nvram и system.
Замена текущей конфигурации указанным файлом (происходит именно замена, а не совмещение файлов):
router# configure replace ftp://ftp.xgu.ru/rmn/sm-rmn-c2801-Sep--8-09:33:24-4 This will apply all necessary additions and deletions to replace the current running configuration with the contents of the specified configuration file, which is assumed to be a complete configuration, not a partial configuration. Enter Y if you are sure you want to proceed. ? [no]:
[править] Автоматический backup конфигурации
В режиме настройки архивирования конфигурационных файлов есть возможность сохранять текущую конфигурацию на удаленный сервер.
Поддерживаются протоколы ftp, http, https, scp, tftp, так же можно записывать конфигурационный файл на flash
Синтаксис:
- archive - вход в режим конфигурации
- path file-system-path - Задает путь сохранения архива файла конфигурации
- write-memory - включает запись backupá при выполнении команд write memory или copy running-config startup-config
Пример:
sm-ecoch-c871(config)#archive sm-ecoch-c871(config-archive)# path ftp://10.84.240.219/ecoch/sm-ecoch-c871 sm-ecoch-c871(config-archive)# write-memory ! sm-ecoch-c871(config)# ip ftp username archtest sm-ecoch-c871(config)# ip ftp password 7 060556724F41
В этом примере, при выполнении команд write memory или copy running-config startup-config, текущая конфигурация будет передаться на ftp, при этом будут использоваться имя и пароль, заданные в конструкции ip ftp
В конструкции path так же можно использовать параметр $H - имя хоста маршрутизатора и $T - текущее время
Пример:
sm-ndg-c2801(config)#archive sm-ndg-c2801(config-archive)#ftp://xgu.ru/ndg/$h-$t sm-ndg-c2801(config-archive)#write-memory
При этом имя файла конфигурации, сохраняемое на ftp будет иметь вид: sm-ndg-c2801-Sep--8-092742-2
[править] Автоматическое сохранение конфигурации по расписанию
- Создание kron policy-list - т.е создаем задание, которое будет выполняться в назначенное время
Router(config)#kron policy-list SaveConfig
Пример:
sm-ppl-c2811(config)#kron policy-list backup sm-ppl-c2811(config-kron-policy)#cli copy running-config ftp://ftp.xgu.ru
- Создание kron occurrence- инструкции для роутера, когда необходимо выполнять задание
sm-ppl-c2811(config)#kron occurrence daily-backup at 10:22 recurring sm-ppl-c2811(config-kron-occurrence)#policy-list backup
- просмотр сконфигурированных заданий
sm-ppl-c2811# show kron schedule
[править] Отправка копии crash файла
Существует возможность конфигурирования модели поведения записи crash файла. Для этого используется команда exception
Пример:
c1750-sm3(config)#exception core-file CDUMP.txt -определяем имя файла c1750-sm3(config)#exception protocol tftp -- определяем протокол, по которому будем отправлять файл c1750-sm3(config)#exception dump 10.84.242.249 --адрес сервера
[править] Resilient configuration
secure boot-image
secure boot-config
show secure bootset
[править] DNS-сервер
Настройка DNS-сервера:
router(config)# ip name-server <server-address>
Отключение преобразования имен:
router(config)# no ip domain-lookup
[править] Перезагрузка маршрутизатора
После перезагрузки маршрутизатор будет использовать распакованный IOS в DRAM, а не сжатую версию IOS во flash:
router(config)# warm-reboot
[править] Поиск неисправностей, logging
[править] Debug
router# debug ip packet detail 100
[править] Logging
[править] Отправка сообщений во внутренний буфер
Настройка отправки сообщений во внутренний буфер (по умолчанию размер буфера 4096 байт) logging buffered размер в байтах:
router(config)# logging buffered 131072 #устанавливаем равным 128 kbt
Просмотреть содержимое буфера:
router# show logging
Очистить содержимое буфера:
router# clear logging
[править] Отправка сообщений на сервер
Настройка отправки сообщений на сервер:
router(config)# logging 192.168.1.1
Настройка facility (по умолчанию local7):
router(config)# logging facility local5
Настройка интерфейса с которого будут отправляться сообщения:
dyn1(config)# logging source-interface lo0
[править] Вывод сообщений на терминал
Включение
sm-c2821#terminal monitor
отключение
sm-c2821#terminal no monitor
[править] Ограничение числа выводимых сообщений
Может возникнуть ситуация, когда количество выводимых сообщений настолько большое, что прочитать их физически невозможно. Более того, данная ситуация вызывает перегрузку системы.
Существует возможность ограничить количество выдаваемых сообщений на терминал в секунду.
sm-sm3-c1751(config)#logging rate-limit 100 except warnings
в этом примере ограничиваются предупреждения (warnings) или
sm-sm3-c1751(config)#logging rate-limit 100 all
в этом ограничиваются все сообщения
Существует возможность ограничить вывод сообщений на консоль, только критическими сообщениями
sm-sm3-c1751(config)#logging console critical
[править] Нумерация выводимых сообщений
Для включения вывода номера системного сообщения используется команда service sequence-numbers Пример:
Router#config terminal Router(config)#service sequence-numbers 284852: Sep 15 14:11:25: %SEC-6-IPACCESSLOGP: list acl-TbOut denied udp 10.86.153.3(1673) -> 10.84.158.254(161), 1 packet 284853: Sep 15 14:11:30: %SEC-6-IPACCESSLOGP: list acl-TbOut denied udp 10.86.153.3(1677) -> 10.84.158.254(161), 1 packet 284854: Sep 15 14:11:32: %VOIPAAA-5-VOIP_CALL_HISTORY: CallLegType 2, ConnectionId 4DE92403 A11F11DE B9570023 4537D40, SetupTime 14:11:17.140 EET Tue Sep 15 2009, PeerAddress 980675427572, PeerSubAddress , DisconnectCause 26 , DisconnectText network out of order (38), ConnectTime 14:11:32.140 EET Tue Sep 15 2009, DisconnectTime 14:11:32.140 EET Tue Sep 15 2009, CallOrigin 1, ChargedUnits 0, InfoType 2, TransmitPackets 0, TransmitBytes 0, ReceivePackets 0, ReceiveBytes 0
Данная возможность предназначена для возможного распознавания подделок злоумышленников log файла. Т.е он гарантирует целостность логов
[править] Время системных сообщений
Даем указание выводить локальное время:
Router(config)#service timestamps debug datetime localtime Router(config)#service timestamps log datetime localtime
[править] Создание core dump
[править] Использование FTP для core dump
Создание пользователя и пароля для FTP соединений:
dyn1(config)# ip ftp username cisco dyn1(config)# ip ftp password cisco
Настройка использования пассивного режима FTP:
dyn1(config)# ip ftp passive
IP-адрес интерфейса lo0 будет использоваться как адрес отправителя:
dyn1(config)# ip ftp source-interface lo0
Указание протокола, который будет использоваться для отправки core dump:
dyn1(config)# exception protocol ftp
Задание имени файла (и опционально сжатие файла):
dyn1(config)# exception core-file DYN1dump compress
Адрес сервера на который будет отправляться core dump:
dyn1(config)# exception dump 10.1.1.1
dyn1(config)# exception region-size 20000
[править] Запрет прерывания во время ввода команд
Для того, что бы всплывающие сообщения не прерывали ввод команд в консольном режиме используется команда logging synchronous
Пример:
Router(config-line)#logging synchronous
[править] Packet Capture
Utilizing the New Packet Capture Feature
[править] Настройка DRP
dyn1(config)#ip drp server
[править] Аутентификация
dyn1(config)#access-list 1 permit 10.5.5.5
dyn1(config)#ip drp access-group 1
dyn1(config)#key chain DRP dyn1(config-keychain)#key 1 dyn1(config-keychain-key)#key-string Cisco
dyn1(config)#ip drp authentication key-chain DRP
[править] Просмотр информации
dyn1# sh ip drp Director Responder Protocol Agent is enabled 0 director requests: 0 successful route table lookups 0 successful measured lookups 0 no route in table 0 nortt 0 DRP packet failures returned 0 successful echos 0 Boomerang requests 0 Boomerang-raced DNS responses Authentication is enabled, using "DRP" key-chain Director requests filtered by access-list 1 rttprobe source port is : 53 rttprobe destination port is: 53
[править] Настройка WCCP
WCCP-Web Cache Communication Protocol предназначен для перенаправления трафика в реальном времени. [7]
Ограничения (2 версии протокола):
- WCCP работает только в сетях IPv4
- Позволяет использовать до 32 роутеров (серверов WCCP).
- Time To Live (TTL) должен быть 15 или меньше
- Мультикаст должен быть в диапазоне 224.0.0.0 to 239.255.255.255
Определяем версию протокола
dyn1(config)#ip wccp version 2
dyn1(config)# ip wccp web-cache group-list 1
dyn1(config)# int fa1/0 dyn1(config-if)# ip wccp web-cache redirect out
dyn1(config)#access-list 1 permit 10.5.5.4
[править] RMON
[править] Группы RMON
- ethernet statistics
- history
- alarm
- host
- hostTopN
- matrix
- filter
- packet capture
- event
[править] Сертификаты
Для просмотра существующего ключа RSA используется команда show crypto key mypubkey rsa
удаление всех существующих ключей RSA
sm-glh-c2811(config)#crypto key zeroize rsa % All RSA keys will be removed. % All router certs issued using these keys will also be removed. Do you really want to remove these keys? [yes/no]:
Генерация нового RSA ключа crypto key generate rsa.
Внимание. Ключ может быть сгенерирован, только, если имя маршрутизатора задано и отличное от умолчания. Кроме того возможно необходимо задать имя домена
Размер ключа следует выбирать выше или равное 1024
Пример:
sm-trs-c2801(config)#crypto key generate rsa The name for the keys will be: sm-trs-c2801.sm.aval Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2048 % Generating 2048 bit RSA keys ...[OK]
Для проверки ключа можно использовать команду show crypto mypubkey rsa
sm-trs-c2801#show crypto key mypubkey rsa % Key pair was generated at: 14:18:02 EET Apr 15 2008 Key name: sm-trs-c2801.sm.aval Usage: General Purpose Key Key is not exportable. Key Data: 30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101 00B8D952 CA5E65B1 01FF2D80 BC9055F6 287FE6C9 AA68338A C67382C7 2D929050 E6722B21 9A937797 599DDDB2 AEE75244 E74BA784 BC7019F0 39619FA8 59CB95C6 863FEB4A 46082A07 A367629B 75F0AC74 2FE494A7 CB263D33 D35B69CB AB48465C B167E4DD 0C8923BE A919CCBC EF947EFF A13FCB55 0DFFDDA8 86F69050 74D9C557 408B1467 4AEF6681 7F5CC34C F91A8A35 30545EB1 D5CFAF79 47D0DAC5 95B4E435 1F71F0B4 DC8EEC71 B9F9D714 4418F20F E6D78675 C788E04E BB5145D6 8B2CC247 34BD52CB 57371EA9 9F786219 59E5E881 05412673 F5481205 B1D31CE6 1DE71FE4 C470C81D B06BD068 21438062 70E03161 1885D07B 59FA8F25 41009D24 A102CD8D 17020301 0001
[править] Настройка PPTP на маршрутизаторе
[править] Настройка PPTP-клиента
Данная возможность является не документированной, однако она доступна для большинства маршрутизаторов с версией ios > 12.2
Для включения используется команда service internal
Пример:cisco_home(config)#service internal
После включения, в vpdn будет доступен протокол PPTP:
cisco_home(config)#vpdn enable cisco_home(config)#vpdn-group 1 cisco_home(config-vpdn)#request-dialin cisco_home(config-vpdn-req-in)#protocol pptp cisco_home(config-vpdn-req-in)#rotary-group 0 cisco_home(config-vpdn-req-in)#exit cisco_home(config-vpdn)#initiate-to ip 10.0.0.23 cisco_home(config-vpdn)#
В этом примере:
- vpdn enable — включение vpdn
- vpdn-group 1 — описывается первая группа, в которой указывают, что будет использован протокол PPTP
- rotary-group 0 — указывается номер dialera
- initiate-to ip — указывается адрес сервера
После этого нужно описать интерфейс дозвона:
interface Dialer0 mtu 1460 ip address negotiated ip pim dense-mode ip nat outside encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp chap hostname 0003730007 ppp chap password 0 000000009 end
- ip address negotiated — указываем, что IP-адрес использовать с физического интерфейса,
- ip pim dense-mode - для автоустановки соединения, без использования дополнительных маршрутов
- dialer string 123 — эта строка должна быть, но вместо 123 можно написать что-угодно, она просто инициализирует дозвон.
[править] Пример конфигурации
Для полноты покажу всю конфигурацию. На маршрутизаторе есть один физический интерфейс FastEthernet 0/0 и два под интерфейса, реализованных на нем.
service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption service internal ! hostname cisco_home ! boot-start-marker boot-end-marker ! ! no aaa new-model ! no ip gratuitous-arps ip cef ! ! ip name-server 8.8.8.8 ip multicast-routing vpdn enable ! vpdn-group 1 request-dialin protocol pptp rotary-group 0 initiate-to ip 10.0.0.23 ! ! ! interface FastEthernet0/0 mac-address 001f.16ad.bcb9 no ip address speed auto full-duplex ! interface FastEthernet0/0.1 description ***LocalNetwork*** encapsulation dot1Q 1 native ip address 192.168.2.253 255.255.255.0 ip nat inside ! interface FastEthernet0/0.2 description ***InternetServiceProvider*** encapsulation dot1Q 3 ip address 10.22.78.27 255.255.254.0 ip flow egress ! interface Dialer0 mtu 1460 ip address negotiated ip pim dense-mode ip nat outside encapsulation ppp dialer in-band dialer idle-timeout 0 dialer string 123 dialer vpdn dialer-group 1 no cdp enable ppp pfc local request ppp pfc remote apply ppp chap hostname 000000087 ppp chap password 0 0910000009 ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 10.0.0.23 255.255.255.255 10.22.78.1 ip route 192.168.2.0 255.255.255.0 FastEthernet0/0.1 ! no ip http server no ip http secure-server ip nat inside source list 24 interface Dialer0 overload ! access-list 24 permit 192.168.2.0 0.0.0.255 dialer-list 1 protocol ip permit ! control-plane
[править] Отладка
debug vpdn event
cisco_home#debug vpdn event
Информация по теме:
[править] Разное
[править] Маршрутизатор как TFTP-сервер
Можно скопировать IOS с одного маршрутизатора на другой.
Например, если на R1 во flash есть образ, который надо скопировать на R2, то можно превратить R1 в TFTP-сервер.
Образ IOS во flash R1:
R1#sh flash 1 104134844 Mar 18 2015 17:51:38 +02:00 c2900-universalk9-mz.SPA.154-3.M2.bin
Настройка TFTP-сервера на R1:
R1(config)# tftp-server flash:/c2900-universalk9-mz.SPA.154-3.M2.bin
После этого, с R2 можно копировать образ:
R2# copy tftp flash
[править] Backup interface
interface fa0/0 backup interface fa0/1 ip address 192.168.1.4 255.255.255.0 interface fa0/1 ip address 192.168.45.4 255.255.255.0
R4# sh backup Primary Interface Secondary Interface Status ----------------- ------------------- ------ FastEthernet0/0 FastEthernet0/1 normal operation
interface fa0/0 backup delay 3 60
R4(config)# int fa0/0 R4(config-if)# shutdown R4#sh backup Primary Interface Secondary Interface Status ----------------- ------------------- ------ FastEthernet0/0 FastEthernet0/1 waiting to backup (2 more seconds) %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down R4# sh backup Primary Interface Secondary Interface Status ----------------- ------------------- ------ FastEthernet0/0 FastEthernet0/1 backup mode %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up R4(config-if)# int fa0/0 R4(config-if)# no shutdown %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up R4# sh backup Primary Interface Secondary Interface Status ----------------- ------------------- ------ FastEthernet0/0 FastEthernet0/1 waiting to revert (57 more seconds) %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to standby mode %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down R4# sh backup Primary Interface Secondary Interface Status ----------------- ------------------- ------ FastEthernet0/0 FastEthernet0/1 normal operation
debug backup
[править] Недокументированные команды Cisco
Ссылки на сайты:
- http://www.hoggnet.com/Documents/undoccisco.htm (англ.)
- http://www.elemental.net/~lf/undoc/ (англ.)
- http://www.heinzulm.com/2hu03.php (англ.)
- http://ciscotips.wordpress.com/2009/08/07/undocumented-ios-commands/ (англ.)
[править] Дополнительная информация
- 10 things you can do with the Cisco IOS service command (англ.)
- VLAN Routing and Bridging on a Router Using the IRB Feature (англ.)
- Cisco IOS Scripting with Tcl (англ.)
NTP:
Управление конфигурацией маршрутизатора:
- Router Configuration Management - статья, в которой описываются новые функции IOS Configuration Change Notification и Contextual Configuration Diff. Описаны основные возможности функций, примеры их использования, некоторые проблемы в работе функций (англ.).
- Managing Configuration Files (англ.)
MTU:
- Path MTU Discovery (англ.)
- Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC (англ.)
- The Never-Ending Story of IP Fragmentation by Ivan Pepelnjak (англ.)
- The tale of the three MTUs (англ.)
- mturoute: A utility that measures hop-by-hop path MTU (англ.)
|
---|