Какая функция на маршрутизаторе cisco позволяет перенаправлять трафик без определенного маршрута
Исторически сложилось так, что пакетные маршрутизаторы разрабатывались для маршрутизации всего трафика. В некоторой степени такая особенность сохраняется и в принятой по умолчанию конфигурации современных пакетных маршрутизаторов. Но чаще всего эти устройства используются в качестве шлюза для доступа к Internet. В стандартной конфигурации многие из них уязвимы с точки зрения безопасности, особенно это касается атак по типу «отказ в обслуживании» (Denial of Service, DoS). В этой статье рассматриваются конфигурационные команды и концепция настройки фильтрации, применение которых позволяет повысить уровень безопасности стандартной конфигурации маршрутизатора Cisco. Многие сервисы можно отключить либо модифицировать без снижения его функциональности. Кроме того, обсуждаются базовая операционная система IOS и интегрированные функции брандмауэра маршрутизаторов Cisco.
РАЗМЕЩЕНИЕ МАРШРУТИЗАТОРА НА ПЕРИМЕТРЕ СЕТИ
Доступ организации к Internet обычно осуществляется путем подключения специального устройства (это может быть маршрутизатор) к глобальной сети через так называемую «точку присутствия» провайдера Internet.
Многие современные методы подключений — кабельное (сетевой доступ с помощью широкополосной линии связи), DSL (Digital Subscriber Line, высокоскоростная передача данных по медному проводу) — заканчиваются на клиентской стороне портом Ethernet (кабельный модем/маршрутизатор или модем/маршрутизатор DSL). Маршрутизатор может быть использован в точке подключения по протоколу Ethernet для обеспечения дополнительных сетевых сервисов, таких, как преобразование сетевых адресов (Network Address Translation, NAT) или динамического предоставления IP-адресов клиентам (Dynamic Host Configuration Protocol, DHCP). Многие кабельные и DSL-модемы обладают встроенными функциями маршрутизации и могут обеспечивать соединение с провайдером Internet, предоставляя дополнительные функции наподобие NAT.
На Рисунке 1 представлены две схемы. На первой показано применение маршрутизатора в качестве оконечного устройства в точке подключения к глобальной сети. Он может находиться перед одним или несколькими другими маршрутизаторами, брандмауэрами либо иными сетевыми устройствами. На второй схеме маршрутизатор располагается в точке подключения сети малого или домашнего офиса (Small Office/Home Office, SOHO) к предоставляемому провайдером Internet кабельному или DSL-соединению.
ПАРАМЕТРЫ ГЛОБАЛЬНОЙ КОНФИГУРАЦИИ
В маршрутизаторах Cisco используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. В этом разделе дается определение ряда общих команд, имеющихся в большинстве версий Cisco IOS, применение которых позволит повысить общий уровень безопасности.
no ip source routе — четвертая версия IP имеет средства для включения информации о маршруте в пакет. Эта технология известна как маршрутизация от источника. Она никогда широко не применялась и уже удалена из новой версии протокола TCP/IP. Взломщики часто обращаются к ее возможностям, чтобы обойти таблицы маршрутизации устройств, и таким образом скрыть источник трафика. Данная команда заставляет маршрутизатор игнорировать пакеты с таким заголовком.
no service finger — процесс finger (указатель на детальную информацию об интересующем объекте) в маршрутизаторе подобен процессу finger в системе UNIX. Он может предоставить потенциальным взломщикам информацию, которую им не следует знать. Данная команда его отключает.
no service tcp-small-servers и no service udp-small-servers — в последних версиях IOS она применяется по умолчанию. Устройства Cisco поддерживают такие «малые» службы IP, как echo, chagren и discard. Ими легко воспользоваться, однако ввиду нечастого применения их лучше отключить.
no cdp run — протокол обнаружения Cisco (Cisco Discovery Protocol, CDP) является собственным информационным протоколом Cisco второго уровня. Предоставляемая им информация не нужна для работы маршрутизатора но может быть использована взломщиками. Однако если протокол CDP используется в вашей сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.
no ntp enable — синхронизирующий сетевой протокол (Network Time Protocol, NTP) может оказаться ненужным для пограничного маршрутизатора и должен быть отключен. При этом маршрутизатор не может быть ни источником, ни конечным пунктом маршрута для трафика NTP. Однако если протокол NTP все же используется в сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.
no ip domain-lookup — oтключает в маршрутизаторе функции поиска по DNS, которые в большинстве случаев не требуются для выполнения стандартных операций.
service password-encryption — определяет шифрование паролей, хранящихся на локальном маршрутизаторе, и обеспечивает необходимый уровень безопасности, если имеется брешь в системе защиты либо пароли скомпрометированы.
enable secret — определяет шифрование паролей в привилегированном режиме, в отличие от команды enable password, которая разрешает передачу пароля в виде нешифрованного текста.
banner motd text — эта команда аналогична команде motd в операционной системе UNIX, которая выводит на экран окно с предупреждением для взломщиков о том, что они вошли в частную систему. Стандартный текст находится в действующей по умолчанию конфигурации маршрутизатора. Данная команда не обеспечивает какую-либо защиту, но может быть полезна в случае судебных разбирательств в связи со взломом сети, поэтому при создании такого баннера было бы целесообразно проконсультироваться с юридическим отделом вашей компании.
ip tcp intercept mode intercept access-list 102 permit tcp any 172.30.0.0.0.0.255.255 ip tcp intercept list 102 ip tcp intercept max-incomplite high 200
Функция перехвата протокола TCP предоставляет возможность программной защиты серверов TCP от атак SYN flooding. Эта разновидность атак по типу «отказ в обслуживании» приводит к тому, что сервер оказывается заблокирован многочисленными запросами. Список доступа (дополнительную информацию см. далее в разделе «Списки доступа») определяет серверы и сети, от которых принимаются входящие соединения TCP. Параметр high 200 определяет максимально допустимое число открытых соединений TCP на хост. Команда может содержать много конфигурационных параметров, и ее следует применять, только если вы хорошо понимаете, какого типа трафик и соединения типичны для вашей сети.
ПАРАМЕТРЫ КОНФИГУРАЦИИ ИНТЕРФЕЙСА
Как уже говорилось в предыдущем разделе, эти параметры применяются непосредственно к сетевому интерфейсу для изменения его функции. Если не указано иное, большинство подобных команд должно применяться к внешнему по отношению к вашей сети интерфейсу маршрутизатора.
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.
ntp disable — отключает NTP на уровне интерфейса. Это позволяет выполнять протокол NTP на маршрутизаторе, но делает его «невидимым» снаружи.
no cdp enable — отключает протокол CDP на уровне интерфейса, что очень полезно, если протокол CDP применяется только во внутренней локальной сети.
no ip directed broadcast — действует по умолчанию в IOS Version 12 и выше. Команда блокирует прямую широковещательную рассылку в конкретную сеть или ее подсеть. Появление широковещательного трафика в сети часто является признаком такой разновидности атак по типу «отказ в обслуживании», как Smurf. Этот режим хорошо бы установить на всех сетевых маршрутизаторах компании, естественно, если отсутствуют конкретные приложения, которым необходима широковещательная рассылка.
mac-address 00550.04FE.7F9C — изменяет MAC-адрес интерфейса (Burned In Address, BIA) в программном обеспечении. Это позволяет слегка повысить уровень безопасности путем введения в заблуждение злоумышленника. С помощью указанной команды можно переопределить MAC-адрес интерфейса. Так как производители сетевого оборудования назначают MAC-адреса при изготовлении устройств, изменение данного параметра поможет скрыть тип устройства, например тип вашего маршрутизатора. Обычно я беру MAC-адрес сетевого адаптера 3COM со своего компьютера. Подобная операция может запутать потенциального взломщика, а также окажется весьма полезной, если ваш поставщик услуг связи (кабельного или DSL-соединения) неодобрительно относится к использованию маршрутизаторов в его сети.
СПИСКИ ДОСТУПА
Стандартный список доступа
access-list 10 deny 224.0.0.0 31.255.255.255 ! групповые адреса не принимаются. Отмените их. ! 224.0.0.0 является началом диапазона многоадресной ! рассылки, а 31.255.255 указывает оставшийся ! диапазон адресов access-list 10 permit any ! подразумевается, что каждый список доступа ! заканчивается deny any («запрещено все, что не ! разрешено»), поэтому если это нежелательный результат, ! добавьте permit any («разрешено все, что не запрещено»)Расширенный список доступа
access-list 111 deny ip 224.0.0.0 31.255.255.255 any ! здесь необходимо указать протокол. (ip означает любой ! протокол ip) и конец каждого маршрута access-list 111 permit ip any anyИнтерфейсная команда ip access group активизирует эти списки доступа на соответствующем интерфейсе. IOS позволяет задавать только по одному фильтру на каждом направлении (на входе или на выходе пакета). Если вы включили фильтрацию с использованием списков доступа IP, как минимум, убедитесь, что этот фильтр выполняет следующие операции фильтрации.
- Исходные адреса из диапазона частных адресов в соответствии с RFC 1918.
- Недействительные исходные адреса, например широковещательные.
- Адрес источника из внешней сети совпадает с одним из внутренних адресов.
Выполнение хотя бы минимальной фильтрации может быть полезно, даже если у вас есть брандмауэр между маршрутизатором на границе сети и внутренней сетью. Для пропуска только трафика, необходимого для работы вашей сети, могут быть разработаны более строгие фильтры. Пакетная фильтрация способна стать мощным средством безопасности. Однако пакетная фильтрация такого рода «не помнит» промежуточные состояния, поэтому маршрутизатор не «знает» о потоках, соединениях и обратном трафике. Например, если политика доступа разрабатывалась в предположении, что из вашей сети будет исходить только конкретный вид трафика, то природа пакетной фильтрации «без сохранения состояния» требует, чтобы вы проверяли и обратный трафик. Некоторые типы соединений предполагают, что пользователь устанавливает соединение вовне, а в ответ сервер инициирует соединение с пользователем (режим порта ftp, потоковое мультимедиа). Это потребует открытия «высоких» портов (больше чем 1023), а также контроля за битами TCP SYN и ACK, которые легко фальсифицировать.
Списки доступа следующего поколения — это возвратные списки доступа и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Возвратные списки доступа являются частью базового набора функций Cisco IOS, начиная с версии 12.0.
возвратные списки
ip access-list extended internet-out ! используется на исходящем направлении, проверяет ! внешний трафик для построения таблицы состояний permit ip any any reflect dynamic-path ! dynamic-path означает список доступа с возвращаемой ! информацией ip access-list extended internet-in ! используется на входящем направлении, может также ! содержать нединамические открытия; ! например SMTP mail to 1.2.3.4 permit tcp any host 1.2.3.4 eq smtp ! открывает на время дыры evaluate dynamic-path interface Serial 0/0 ! применяет ваш возвратный список ! к внешнему интерфейсу description Access to the Internet via this interface ip access-group internet-in in ip access-group internet-out outИспользование списков доступа для фильтрации входящих коммуникаций с маршрутизатором
В системе IOS списки доступа могут служить для фильтрации как входящих, так и исходящих соединений маршрутизатора. Два вида таких соединений, telnet и SNMP, направлены к маршрутизатору. Список доступа может применяться непосредственно к процессам telnet и snmp для ограничения трафика.
Пример для входящего трафика telnet:
access-list 10 permit 172.30.0.0 0.0.255.255 ! определение списка доступа для разрешения доступа ! внутрь сети line vty 0 4 ! конфигурирование виртуальных терминалов telnet access-class 10 in ! применение списка доступа к входящим процессам telnet
Пример для трафика SNMP:
!использовать список доступа 10 для доступа SNMP snmp-server community my-community RW 10
ВСТРОЕННЫЕ ФУНКЦИИ IOS ДЛЯ ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ
Контекстно-зависимые списки доступа — не единственный компонент интегрированной системы безопасности. Она также включает систему выявления вторжений (Intrusion Detection System, IDS). Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7x00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Буфер протоколирования системных событий можно просмотреть с помощью команды show log. К данному буферу следует обращаться в том случае, когда внешнее протоколирование невозможно. IDS может оказаться не в состоянии проверять весь трафик — все зависит от доступных ресурсов маршрутизатора и объема трафика. Она способна реально обеспечить дополнительный уровень защиты. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.
КОММЕНТАРИЙ К РАБОЧЕЙ КОНФИГУРАЦИИ МАРШРУТИЗАТОРА
Приведенная рабочая конфигурация в настоящее время используется на маршрутизаторе в домашнем офисе, подключенном к Internet по кабельному модему. Маршрутизатор Cisco2621 работает под управлением IOS версии 12.1(3)T (C2600-JO3S56I-M). В качестве внешнего интерфейса используется Fast Ethernet 0/0. Он подключается к кабельному модему с помощью переходного кабеля Ethernet. Внутренний интерфейс — Ethernet 0/1 — подсоединен к коммутатору Ethernet домашнего офиса. Внешний интерфейс имеет собственный MAC-адрес, как у сетевой платы компьютера, и получает адрес от провайдера по протоколу DHCP. Внутренний интерфейс использует сервер DHCP для предоставления информации об адресах оборудования домашнего офиса. Частный адрес (RFC 1918) применяется внутри. Маршрутизатор выполняет динамическое преобразование сетевых адресов NAT с использованием адреса внешнего интерфейса в качестве адреса отправителя. Безопасность обеспечивается за счет применения контекстно-зависимых списков доступа и системы выявления вторжений. Маршрутизатор использует также процесс учета, авторизации и идентификации (Accounting, Autho-rization, Authentication, AAA) для обеспечения безопасности консоли, вспомогательного последовательного порта и telnet. Процесс AAA обеспечивает большую безопасность, чем использование паролей отдельно для каждой линии, так как предоставляет унифицированный метод регистрации.
ЗАКЛЮЧЕНИЕ
Хотя в малых и домашних офисах уже широко используются брандмауэры, а также высокоскоростные линии связи, проблема безопасности внешнего периметра сети часто игнорируется. Маршрутизаторы Cisco при соответствующем конфигурировании могут обеспечить необходимый уровень безопасности любой сети.
Появление сетей существенно отразилось на нашей повседневной жизни. Помимо нашего образа жизни, они также повлияли на рабочие процессы и способы развлечений.
Сети позволяют нам общаться, сотрудничать и взаимодействовать в совершенно новой форме. Мы по-разному используем сети — пользуемся веб-приложениями, IP-телефонией, проводим видеоконференции, играем онлайн, учимся и делаем покупки через Интернет и т. д.
Как показано на рисунке, при обсуждении сетевых технологий можно упомянуть множество ключевых структур и свойств, связанных с производительностью сети.
- Топология: существуют физические и логические топологии. Физическая топология — схема расположения кабелей, сетевых устройств и конечных систем. В ней описывается, как сетевые устройства соединены между собой с помощью проводов и кабелей. Логическая топология — это путь, по которому данные передаются по сети. В ней описывается, как пользователи видят соединения сетевых устройств.
- Скорость — это количество переданных данных по какому-либо каналу сети, измеряемое в битах в секунду (бит/с).
- Стоимость указывает общие расходы на приобретение компонентов сети, установку и обслуживание сети.
- Безопасность указывает на степень защищенности сети, в том числе защищенности информации, передаваемой по сети. Фактор безопасности играет очень важную роль, поэтому технологии и методы обеспечения безопасности постоянно развиваются. При любых действиях, которые могут повлиять на работу сети, необходимо обращать внимание на обеспечение безопасности.
- Доступность указывает на возможность использования сети в момент обращения пользователя.
- Масштабируемость показывает, насколько легко сеть может вмещать большее число пользователей и соответствовать требованиям передачи данных. Если проект сети оптимизирован только для выполнения текущих задач, то расширение сети для соответствия растущим требованиям влечет за собой большие трудности и высокие затраты.
Надежность указывает на степень безотказности компонентов, из которых состоит сеть: маршрутизаторов, коммутаторов, компьютеров и серверов. Надежность часто измеряется как вероятность сбоя или как среднее время безотказной работы (MTBF).
Эти характеристики и свойства обеспечивают способы для сравнения различных сетевых решений.
Примечание. Хотя термин «скорость» нередко используется для обозначения пропускной способности сети, технически это неправильно. Фактическая скорость, с которой передаются биты, остается неизменной в рамках одной среды. Различие в пропускной способности возникает из-за количества бит, передаваемых за секунду, а не из-за скорости их прохождения по проводам или беспроводной среде.
Необходимость маршрутизации
Каким образом, щелкнув на ссылку в веб-браузере, мы получаем желаемую информацию в считанные секунды? Несмотря на то что происходит это благодаря слаженной работе множества устройств и технологий, главным устройством является маршрутизатор. Говоря простым языком, маршрутизатор соединяет две сети вместе.
Обмен данными между сетями был бы невозможен без маршрутизатора, который определяет оптимальный путь до пункта назначения и пересылает трафик на следующий маршрутизатор по сети. Маршрутизатор отвечает за выбор маршрута для пересылки трафика между сетями.
В топологии на рисунке маршрутизаторы соединяют сети на разных узлах. При получении пакета на интерфейсе маршрутизатор использует свою таблицу маршрутизации для определения оптимального пути до пункта назначения. Пунктом назначения для IP-пакета может быть веб-сервер, расположенный в другой стране, или сервер электронной почты в локальной сети. Именно маршрутизаторы отвечают за эффективную доставку этих пакетов. Эффективность передачи данных между сетями в значительной степени зависит от возможности маршрутизаторов пересылать пакеты по наиболее оптимальному пути.
Маршрутизаторы как компьютеры
Как показано на рисунке ниже, для работы большинства устройств с поддержкой сети (например, компьютеры, планшеты и смартфоны) требуются следующие компоненты:
- центральный процессор (ЦП);
- операционная система (OS);
- память и хранилище данных (ОЗУ, ПЗУ, энергонезависимое ОЗУ, флеш-память, жесткий диск).
Каким образом, щелкнув на ссылку в веб-браузере, мы получаем желаемую информацию в считанные секунды? Несмотря на то что происходит это благодаря слаженной работе множества устройств и технологий, главным устройством является маршрутизатор. Говоря простым языком, маршрутизатор соединяет две сети вместе.
Обмен данными между сетями был бы невозможен без маршрутизатора, который определяет оптимальный путь до пункта назначения и пересылает трафик на следующий маршрутизатор по сети. Маршрутизатор отвечает за выбор маршрута для пересылки трафика между сетями.
В топологии на рисунке маршрутизаторы соединяют сети на разных узлах. При получении пакета на интерфейсе маршрутизатор использует свою таблицу маршрутизации для определения оптимального пути до пункта назначения. Пунктом назначения для IP-пакета может быть веб-сервер, расположенный в другой стране, или сервер электронной почты в локальной сети. Именно маршрутизаторы отвечают за эффективную доставку этих пакетов. Эффективность передачи данных между сетями в значительной степени зависит от возможности маршрутизаторов пересылать пакеты по наиболее оптимальному пути.
Маршрутизаторы как компьютеры
Как показано на рисунке ниже, для работы большинства устройств с поддержкой сети (например, компьютеры, планшеты и смартфоны) требуются следующие компоненты:
- центральный процессор (ЦП);
- операционная система (OS);
- память и хранилище данных (ОЗУ, ПЗУ, энергонезависимое ОЗУ, флеш-память, жесткий диск).
По сути, маршрутизатор — это специализированный компьютер. Для его работы необходимы ЦП и память, в которой хранятся данные для выполнения инструкций операционной системы, например инициализации системы, функций маршрутизации и коммутации.
Примечание. В качестве системного ПО устройства Cisco используют операционную систему Cisco IOS.
Память маршрутизатора бывает энергозависимая и энергонезависимая. При отключении питания содержимое энергозависимой памяти теряется, а содержимое энергонезависимой памяти сохраняется.
В таблице ниже представлены типы памяти маршрутизатора с указанием критерия энергозависимости, а также приведены примеры данных, хранящихся в том или ином типе памяти.
В отличие от компьютера, маршрутизаторы не имеют видео- и звуковых карт. Вместо этого маршрутизаторы оснащены специализированными портами и сетевыми платами для подключения устройств к другим сетям. На рисунке ниже описываются некоторые из этих портов и интерфейсов.
Маршрутизаторы соединяют сети
Маршрутизатор соединяет много сетей, и это означает, что он оснащен множеством интерфейсов, каждый из которых принадлежит другой IP-сети. Когда маршрутизатор получает IP-пакет на одном интерфейсе, он определяет, какой интерфейс следует использовать для пересылки пакета до места назначения. Интерфейс, который использует маршрутизатор для пересылки пакета, может быть конечной точкой маршрута, или же сетью, подключенной к другому маршрутизатору, используемому для достижения сети назначения.
В анимации ниже маршрутизаторы R1 и R2 отвечают за получение пакета в одной сети и пересылку этого же пакета из другой сети по направлению в сеть назначения.
Как правило, каждая сеть, к которой подключается маршрутизатор, требует отдельного интерфейса. Эти интерфейсы используются для соединения как локальных (LAN), так и глобальных сетей (WAN). В большинстве случаев, LAN — это сети Ethernet, содержащие такие устройства, как ПК, принтеры и серверы. WAN используются для соединения сетей на больших территориях. Например, подключение к WAN обычно используется для подключения LAN к сети интернет-провайдера (ISP).
Обратите внимание, что для соединения с другими узлами для каждого узла на рис. 2 требуется использование маршрутизатора. Даже в домашнем офисе требуется маршрутизатор. В сетевой топологии домашнего офиса маршрутизатор представляет собой специализированное устройство, которое представляет множество сервисов для домашней сети.
Маршрутизаторы выбирают оптимальные пути
Основные функции маршрутизаторов:
- Определение оптимального пути для передачи пакетов
- Пересылка пакетов к месту назначения
Маршрутизатор использует свою таблицу маршрутизации, чтобы найти оптимальный путь для пересылки пакетов. Когда маршрутизатор получает пакет, он проверяет адрес назначения пакета и использует таблицу маршрутизации для поиска оптимального пути к нужной сети. Кроме того, в таблице маршрутизации учитывается, какой интерфейс следует использовать для пересылки пакетов в каждую известную сеть. Если оптимальный маршрут найден, маршрутизатор инкапсулирует пакет в кадр канала передачи данных исходящего или выходного интерфейса и пересылает пакет до пункта назначения.
Анимация на рисунке демонстрирует передачу пакета от ПК источника до ПК назначения. Обратите внимание, что именно маршрутизатор отвечает за поиск сети назначения в своей таблице маршрутизации и пересылку пакета до пункта назначения. В этом примере маршрутизатор R1 получает пакет, инкапсулированный в кадр Ethernet. После деинкапсуляции пакета маршрутизатор R1 использует IP-адрес назначения пакета для поиска соответствующего сетевого адреса в своей таблице маршрутизации. После того, как в таблице маршрутизации найден сетевой адрес, маршрутизатор R1 инкапсулирует пакет внутри кадра PPP и пересылает пакет маршрутизатору R2. Аналогичный процесс выполняется на маршрутизаторе R2.
Примечание. Для того чтобы узнать об удаленных сетях и построить таблицы маршрутизации, маршрутизаторы используют протоколы статической и динамической маршрутизации.
Механизмы пересылки пакетов
Маршрутизаторы поддерживают три механизма пересылки пакетов:
- Программная коммутация — это устаревший механизм пересылки пакетов, который по-прежнему доступен на маршрутизаторах Cisco. Когда пакет прибывает на интерфейс, он пересылается на уровень управления, где ЦП сопоставляет адрес назначения с записью в таблице маршрутизации, а затем определяет выходной интерфейс и пересылает пакет. Важно понимать, что маршрутизатор совершает это с каждым пакетом, даже если целый поток пакетов предназначен для одного адреса назначения. Механизм программной коммутации работает очень медленно и редко реализуется в современных сетях.
- Быстрая коммутация — это распространенный механизм пересылки пакетов, который использует кэш быстрой коммутации для хранения информации о следующих переходах. Когда пакет прибывает на интерфейс, он пересылается на уровень управления, где ЦП ищет совпадение в кэше быстрой коммутации. Если совпадение не найдено, пакет проходит программную коммутацию и пересылается на выходной интерфейс. Информация о трафике для пакетов также хранится в кэше быстрой коммутации. Если на интерфейс прибывает другой пакет, адресованный тому же назначению, то из кэш-памяти повторно используется информация о следующем переходе без вмешательства ЦП.
- Cisco Express Forwarding (CEF) — это новейший и наиболее предпочтительный для Cisco IOS способ пересылки пакетов. Как и быстрая коммутация, CEF создает 24-портовую базу данных переадресации (FIB) и таблицу смежности (adjacency table). Однако записи таблицы инициированы не пакетами, как при быстрой коммутации, а изменениями — например изменениями в сетевой топологии. Таким образом, по завершении сходимости сети в базе данных FIB и таблице смежности содержится вся информация, необходимая маршрутизатору при пересылке пакета. FIB содержит предварительно вычисленные обратные просмотры, информацию о следующих переходах для маршрутизаторов, в том числе информацию об интерфейсе и 2-м уровне. Коммутация CEF — это самый быстрый механизм пересылки, наиболее предпочтительный для использования на маршрутизаторах Cisco.
Рис. 1-3 иллюстрируют различия между тремя механизмами пересылки пакетов. Допустим, что поток трафика, состоящий из пяти пакетов, отправлен в одно место назначения. Как показано на рис. 1, при программной коммутации каждый пакет должен быть по отдельности обработан центральным процессором. Сравните данный механизм с механизмом быстрой коммутации, проиллюстрированным на рис. 2. При быстрой коммутации только первый пакет потока проходит программную коммутацию, после чего он добавляется в кэш быстрой коммутации. Следующие четыре пакета быстро обрабатываются, исходя из информации в кэш-памяти. На рис. 3 процесс CEF формирует базу данных FIB и таблицу смежности после завершения сходимости сети. Все пять пакетов быстро обрабатываются на уровне данных.
Три механизма пересылки пакетов можно описать, проведя следующую аналогию:
- Программная коммутация делает все расчеты каждый раз, даже в случае решения идентичных проблем.
- Быстрая коммутация делает расчеты один раз, запоминая ответ для последующих идентичных случаев.
- Механизм CEF решает каждую из возможных проблем заранее, внося ее в электронную таблицу.
Источник: Академия Cisco.
Другие статьи из категории «CCNA: Routing and Switching Essentials»
Изначально любой маршрутизатор или межсетевой экран знает о существовании только тех сетей, которые подключены к нему напрямую. Это касается как оборудования Cisco, так и любых других производителей. Если у устройства 2 интерфейса, на которых заданы ip адреса из разных сетей, то оно способно передать пакет от одного подключенного к нему хоста к другому – маршрутизировать трафик. Конечно же, если на хостах не забыть указать это самое устройство в качестве шлюза.
Предыдущий пример очень простой и немного оторван от жизни. Рассмотрим чуть более сложный вариант. Есть 2 офиса фирмы, в каждом офисе локальная сеть подключена к своему маршрутизатору, и между площадками проложен канал связи.
Важно!
Если добавить маршрут только на одном маршрутизаторе, то пакет от хоста А до хоста Б пройдет весь путь в одну сторону, но, не найдя обратного маршрута, будет отброшен. Каждое устройство в сети, передающее ip пакет, должно знать о маршруте как до источника, так и до назначения, независимо от количества устройств в сети.
Суммаризация маршрутов, шлюз по умолчанию (default gateway) и приоритеты
Маршруты можно указывать не только до сетей, но и делать их более конкретными вплоть до маршрутов до отдельных хостов.
Например, маршрут из предыдущего примера до хоста Б будет выглядеть так:
ip route 192.168.20.2 255.255.255.255 10.0.0.2
Также можно объединять несколько маршрутов до разных сетей, но через один и тот же шлюз под одним – суммаризировать.
Для примера маршруты до четырех сетей, доступных через один и тот же шлюз можно записать в виде маршрута до одной более широкой сети, изменив маску.
Следующие маршруты
ip route 192.168.20.0 255.255. 255 .0 10.0.0.2
ip route 192.168.21.0 255.255. 255 .0 10.0.0.2
ip route 192.168.22.0 255.255. 255 .0 10.0.0.2
ip route 192.168.23.0 255.255. 255 .0 10.0.0.2
Можно записать как маршрут до одной сети
ip route 10.168.20.0 255.255. 252 .0 10.0.0.2
Я сознательно не буду поднимать вопрос подсчета ip адресов сетей и их масок. Это достаточно обширная тема, которой обычно посвящаются не отдельные статьи, а даже целые главы книг. Надеюсь, что у моего читателя уже есть определенный запас этих самых теоретических знаний.
Важно!
Всегда маршрут до конкретной сети имеет приоритет над суммаризированным маршрутом, независимо от размера сетей.
Частным случаем суммаризированных маршрутов является шлюз по умолчанию (default gateway). Это маршрут до сети 0.0.0.0 с маской 0.0.0.0 через заданный шлюз.
ip route 0.0.0.0 0.0.0.0 х.х.х.х
где х.х.х.х – адрес шлюза
Такая строка в конфигурации говорит устройству отправлять все ip пакеты, для которых нет конкретных маршрутов, на заданный шлюз. Обычно такие маршруты используются при подключении к Интернет. В качестве шлюза указывается ближайший адрес на оборудовании провайдера связи.
Для лучшего понимания рассмотрим третий пример, наиболее приближенный к реальности. Все в тех же двух офисах есть не только выделенный канал между ними, но и каналы в Интернет. 1.1.1.1 и 2.2.2.2 – адреса оборудования провайдера, выступающие в качестве шлюзов.
Еще раз напомню, что последовательность строк маршрутов в конфигурации не имеет значения. Приоритет выдается всегда наиболее точному и конкретному маршруту. Если устройство не найдет конкретных записей в своей таблице маршрутизации, то только тогда будет использоваться шлюз по умолчанию (default gateway).
show startup-config
Показывает содержимое конфигурации, которая применяется при загрузке. Можно скопировать эти данные в буфер обмена и сохранить в файл в качестве бэкапа конфигурации. Этот файл потом можно просто вставить (с небольшими оговорками) из буфера обмена в экран консоли, дать команду wr mem, и этим восстановить конфигурацию (многие программы, автоматически сохраняющие и обновляющие конфигурацию, применяют как раз такой метод).
show running-config
Команда show running-config показывает текущую конфигурацию устройства. Running-configuration – это конфигурация, загруженная в данный момент в оперативную память роутера. Когда вы вносите изменения в оборудование, как раз эта конфигурация изменяется. НО ПОСЛЕ ПЕРЕЗАГРУЗКИ ОН ЗАМЕНЯЕТСЯ НА startup-config, так что не бойтесь испортить после перезагрузки все вернеться.
copy startup-config running-config
Отменяет все сделанные (если были) изменения в конфигурации. То же самое произойдет, если выключить/включить питание (перезагрузить устройство).
copy running-config startup-config
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write или write memory.
Как зайти в режим конфигурации cisco:
Как добавить строчку в конфигурацию:
прим добавить проброс (просто пишем строчку):
ip nat inside source static tcp 192.168.10.4 22 XXX.XXX.XXX.XXXX 22 extendable
Пример: добавить ip на интерфейсе:
interface Vlan1 (вначале указываем на каком интерфейсе)
ip address 192.168.10.4 255.255.255.0 secondary (добавляем второй, если без secondary то замените)
Как удалить строчку в конфигурацию:
Перед строчкой пишем no и пишем строчку прим:
no ip nat inside source static tcp 192.168.10.4 22 XXX.XXX.XXX.XXXX 22 extendable
Как перегрузить cisco:
reload in 1 (1 это время в минутах через сколько)
И решение как в cisco 871 открыть SSH во вне, сделать проброс порта на внутренний IP
100 команд Cisco IOS
“?”
На первый взгляд использование ? для вызова помощи кажется достаточно простым. Однако Cisco IOS кардинально отличается от других операционных систем в плане использования команды помощи. Поскольку Cisco IOS – это операционная система с командным интерфейсом, существуют тысячи команд для настройки и управления, а использование ? поможет сэкономить немало времени.
Эту команду можно применять различными способами. Во-первых, используйте ?, если не знаете какую команду написать. Например, вы можете написать ? в командной строке для вывода всех возможных команд.
Также можно использовать ?, если вы не знаете аргумент какой-либо команды. Например, можно ввести show ip ? Если команде не нужно никаких аргументов, роутер предложит только CR (возврат каретки).
Наконец, можно использовать? для просмотра всех команд, начинающихся с определённой буквы. Например, show c? покажет все команды, начинающиеся с буквы c.
show running-configuration
Команда show running-config показывает текущую конфигурацию устройства. Running-configuration – это конфигурация, загруженная в данный момент в оперативную память роутера. Когда вы вносите изменения в оборудование, как раз эта конфигурация изменяется.
Важно помнить, что конфигурация не сохраняется пока не выполнить copy running-configuration startup-configuration. Команду show running-config можно сокращать до sh run.
copy running-configuration startup-configuration
Эта команда сохранит текущие модификации в настройках (running-configuration, которая хранится в RAM), в энергонезависимую RAM (NVRAM). Если внезапно исчезнет электропитание, то данные в NVRAM сохранятся. Другими словами, если вы внесёте изменения в конфигурацию роутера или перезагрузите его, не используя перед этим данную команду, то все изменения будут утеряны. Команду можно сократить до copy run start.
Команда copy также используется для копирования текущей или стартовой конфигурации на TFTP-сервер.
- Состояние интерфейса (вкл./выкл.)
- Состояние протокола на интерфейсе
- Использование
- Ошибки
- MTU
Более распространёнными, чем show interface являются команды:
show ip interface и show ip interface brief.
Команда show ip interface предоставляет огромное количество информации о конфигурации и состоянии протокола IP и его службах на всех интерфейсах.
Команда show ip interface brief даёт краткий обзор интерфейсов, включая IP-адрес, статусы Layer 2 и Layer 3.
no shutdown
Команда no shutdown включает интерфейс. Она используется в режиме конфигурации интерфейса. Может быть полезна при диагностике или конфигурации новых интерфейсов. Если с каким-либо интерфейсом возникла проблема, можно попробовать ввести shut и no shut. Разумеется, для того, чтобы выключить интерфейс введите shutdown. Команду можно сократить до no shut.
show ip route
Команда show ip route выводит таблицу маршрутизации роутера. Она состоит из списка всех сетей, которые доступны роутеру, их метрике (приоритет маршрутов) и шлюза. Команду можно сократить до sh ip ro. Также после неё могут быть параметры, например sh ip ro ospf (показывает всю маршрутизацию OSPF).
Для очистки всей таблицы маршрутизации необходимо выполнить clear ip route *. Для удаления конкретного маршрута необходимо указать адрес сети после команды, например clear ip route 1.1.1.1.
show version
Команда show version показывает регистр конфигурации (в основном настройки загрузки маршрутизатора), когда последний раз роутер загружался, версию IOS, имя файла IOS, модель устройства, а также количество оперативной и флэш-памяти. Команду можно сократить до sh ver.
debug
У команды debug есть много параметров, и она не работает без них. Эта команда предоставляет детальную отладочную информацию по конкретному приложению, протоколу или службе. Например, debug ip route будет сообщать вам каждый раз, когда маршрут добавляется или удаляется из роутера.
show startup-config
Показывает содержимое конфигурации, которая применяется при загрузке. Можно скопировать эти данные в буфер обмена и сохранить в файл в качестве бэкапа конфигурации. Этот файл потом можно просто вставить (с небольшими оговорками) из буфера обмена в экран консоли, дать команду wr mem, и этим восстановить конфигурацию (многие программы, автоматически сохраняющие и обновляющие конфигурацию, применяют как раз такой метод).
copy startup-config running-config
Отменяет все сделанные (если были) изменения в конфигурации. То же самое произойдет, если выключить/включить питание (перезагрузить устройство).
copy running-config startup-config
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write или write memory.
write
Сохраняет в энергонезависимой памяти все изменения, сделанные в конфигурации. Полный аналог команды write memory или copy running-config startup-config.
show flash
Показывает размер, свободное место и содержимое (в виде списка) энергонезависимой памяти, которая работает с точно так же, как диск. На этом диске хранятся файлы, с которых записана IOS и конфигурация циски (startup-config и другие). Файлами можно манипулировать командами IOS.
terminal monitor
Переключает вывод debug-информации с консольного порта (RS232) на консоль, подключенную через сетевой интерфейс.
(no) service password-encryption
Команда, которая показывает пароли enable в конфиге в (открытом)закрытом виде
show flash: all
Показывает статус flash - сколько занято, свободно, контрольные суммы, сколько банков и их параметры, тип микросхем памяти.
show vlan (show vlans sh vlans)
Показать существующие vlan и привязку к ним физических интерфейсов.
erase nvram
Очистка конфигурации (startup-config и другая информация), полный сброс энергонезависимой памяти.
end
Полный выход из режима configure. Тот же эффект дает Ctrl-Z.
exit
Шаг назад по дереву конфигурирования (например, выход из реж. конфигурирования одного из интерфейсов).
no vlan n
Удалить vlan n.
(no) shutdown
Административно (включить) выключить сетевой интерфейс.
show vtp status
Показать конфигурацию режима VTP.
vtp mode <server|client>
Включить требуемый режим работы VTP.
show debugging
Показать накопленную (в памяти) статистику отладки.
undebug all
Полностью выключить отладку.
traceroute aaa.bbb.ccc.ddd
Аналог tracert aaa.bbb.ccc.ddd - показать маршрут до указанного IP.
show process cpu
Показать статистику загрузки процессора (в том числе и каждой задачей).
show process cpu history
Показать статистику загрузки процессора с временными графиками.
who
Показать сеансы администраторов, залогинившихся в терминал циски. Выводит примерно следующее:
Line User Host(s) Idle Location
* 98 vty 0 ciadmin idle 00:00:00 10.50.9.152
Interface User Mode Idle Peer Address
ssh -v 2 -l root a.b.c.d
Подсоединиться к <. > по SSH версии 2.
no banner login
Удаляет из конфига все строки banner login (приветствие при логине).
show interfaces port-channel n
Показывает состояние канала портов под номером n, какие порты туда входят.
show ip eigrp neighbors
Показывает EIGRP-соседей, какими интерфейсами с ними контакт, номер EIGRP-процесса.
show ip eigrp interfaces
Показывает список интерфейсов, вовлеченных в EIGRP, номер EIGRP-процесса.
show ip eigrp traffic
show ip eigrp topology
Показывает статистику работы EIGRP, номер EIGRP-процесса.
snmp-server community <строка_пароль> [номер access-листа]
Команда вводится в режиме глобального конфигурирования. Настраивает доступ к внутреннему snmp-серверу для специального ПО (например, чтобы CiscoWorks Device Fault Manager мог собирать статистику о состоянии оборудования). Параметр <строка_пароль> представляет собой community-string, который используется для аутентификации при подключении. Если указать RW, то будет разрешен полный доступ (чтение и запись) в SNMP базу данных устройства (можно не только считывать состояние, но и менять параметры устройства), если RO, то доступ будет только на чтение. Номер access-листа позволяет отфильтровать нежелательные подключения.
setup
Команда setup привилегированного режима запускает мастера первоначальной настройки.
terminal history size n
Команда, меняющая количество запоминаемых ранее введенных команд (n max 256).
telnet IP-адрес
Команда позволяет подключиться к другой циске. <Ctrl+Shift+6> позволяет приостановить сеанс Telnet (не разрывая его) и вернуться к собственной командной строке устройства. Команда disconnect без параметров позволяет разорвать последнее приостановленное соединение, а resume без параметров возобновляет последнее приостановленное соединение.
show diag [номер слота]
Команда показывает подробную информацию о материнской плате устройства Cisco и/или об установленных в слоты адаптерах.
show environment
Команда на некоторых устройствах (чаще дорогих и продвинутых) показывает состояние вентиляторов и температуру устройства, иногда значение питающих напряжений.
show ip sockets
Команда показывает открытые порты и активные соединения устройства Cisco.
show ip traffic
Команда показывает подробную инфо по трафику протоколов IP (много всего, в том числе количество пакетов broadcast и multicast), ICMP, TCP, BGP, IP-EIGRP, PIMv2, IGMP, UDP, OSPF, ARP и об ошибках.
show sessions
Команда показывает информацию приостановленных сессиях Telnet.
show snmp
Команда показывает статистику протокола SNMP (полезно при настройке и проверке работы протокола).
show tcp
Команда показывает подробную статистику о всех открытых соединениях с устройством Cisco
verify flash:имя_файла_IOS
Команда позволяет проверить целостность файла (проверяются контрольные суммы). Полезно выполнить после копирования IOS во флеш (например, при обновлении IOS-а).
clear ip nat translation *
Очистка таблицы NAT, обычно применяемая при смене правил NAT.
Примеры:
Посмотреть таблицу MAC адресов свитча
show mac-address-table
Посмотреть статистику VLAN
или show vlan brief
или show vlan id 20
или show vlan name students
или show vlan summary
Посмотреть статистику портов свитча
show interfaces vlan 20
show interfaces fa0/18 switchport
Базовые команды для конфигурирования CISCO Switch
Читайте также: