(здесь же список
основных ошибок - меня
интересует только 11.1(11) и более
поздние
Наборы возможностей (feature set) для версии 11.1 (12)
Я
рассматриваю только младшие серии (Cisco 2500, AS5100), про ATM ни
слова, про ИБМ протоколы
тоже)(потребности в памяти даны для Cisco 2500 -
исполнение из флэша)(RMON alarm and events
реализованы даже для наборов, в которых нет RMON):
igs-i-l(4 FLASH, 4 DRAM): IP
igs-im-l(4 FLASH, 4 DRAM): IP/RMON
igs-ir-l(8/4): IP/IBM Base
igs-imr-l(8/4): IP/IBM/RMON
igs-in-l(8/4): IP/IPX
igs-imn-l(8/4): IP/IPX/RMON
igs-inr-l(8/4): IP/IPX/IBM Base
igs-imnr-l(8/4): IP/IPX/IBM/RMON
igs-ainr-l(8/8): IP/IPX/IBM/APPN
igs-d-l(8/4): Desktop (с этого уровня
начинается AppleTalk, DECnet IV)
igs-dr-l(8/4): Desktop/IBM Base
igs-j-l(8/6): Enterprise (с этого уровня
начинается ES-IS и IS-IS, DECnet V, Apoolo domain, VINES, ISO, XNS
керберос для login,
трансляция
протоколов, Xremote)
igs-jm-l(8/6): Enterprise/RMON
igs-aj-l(16/8): Enterprise/APPN
CFRAD(4/4) (Cisco Frame Relay Access Device)
igs-p-l(4/4): Remote Access Server (нет
всяких IBМовских и прочих
нестандарных вещей, зато есть все, что
необходимо для
нормальной работы, нет RMONа,ISDN, OSPF, EGP,
моста, зато есть
трансляция
протоколов, TN3270, Xremote, PAD, LAT, NETBEUI
через PPP,
автоконфигурация модемов)
igs-g-l(4/2): ISDN
LAN FRAD(4/4)
OSPF LAN FRAD(4/4)
Ошибки версии 11.1 (только те, которые мне интересны)
11.1(12)
если разрешен учет
соединения, но не разрешен учет exec, то при 2-ом
соединении
пользователя Cisco
перегружается.
не
подерживается interrupt-level IP fragmentation
DHCP proxy-client не
обрабатывает DHCP пакеты от сервера с
DHCP-опцией равной нулю
RADIUS CLASS аттрибут
разрушается, что не
позволяет
использовать MERIT сервер
aaa accounting system start-stop tacacs+ не
всегда передает сообщение "system restarted" (не
успевает устояться таблица
маршрутизации) -
используйте: ip host-routing
show accounting может вызвать
перезагрузку
проблема при отсутсвии связи с RADIUS
сервером (не
предлагает ввести enable password)
проблемы с шифровкой длинных (больше 11
символов) паролей
администратора - может
обрезаться до 11 символов
snmp-server trap-source работает
неверно
pool manager ихогда пожирает память I/O
грох по команде no boot system flash
(введите полное имя файла)
включение сжатия STAC на async линии может
подвесить Cisco
нельзя
использовать ping с пакетом 2048 байт
отключение 10Base2 кабеля не
опускает интерфейс
тунель не работает, если bandwidth больше 2048
icmp redirect не
посылается, если входной пакет типа ECHO-REPLY
BGP с
расширенным ACL и default-originate route-map
грохается
при некоторых усливиях
статический маршрут со
следующим узлом,
достижимым через
статический маршрут, не
заносится в таблицу
не работает trace на
собственный ip-адрес
не работает сжатие
заголовков TCP на выходных линиях PPP
надежный PPP-режим не работает на
асинхронных линиях
сжатие заголовков TCP не
совместимо с multilink TCP, а
предупреждения об этом не
делается
11.1(11)
exec-timeout вырубает даже
активный telnet (либо
вернитесь к 11.1(10), либо
поставьте 0)
BGP и OSPF работают
нестабильно
ip igmp query-interval 0
подвешивает систему
низкоскоростные sync/async порты
неспособны
обрабатывать пакеты размером больше 1500
(поставьте на обоих концах MTU меньше 1498)
11.1(10)
reset script модема не
выполняется, если PPP-сессия
завершилась нормально
tacacs+ вызывает пожирание памяти
(начиная с версиии 11.0(10)
иногда бывает Bus Error
иногда telnet замирает на 20 секунд,
нажмите любую клавишу
show ip bgp iconsistence-as иногда
перезагружает киску
расширенный ACL иногда
пропускает фрагменты, если
включена
журнализация
по no shutdown для group async киска иногда
перезагружается
если есть PPP, то иногда
происходит Bus error
более старые
модификации я не
рассматриваю, но
количество их
впечатляет
Наборы
возможностей (feature set) для версии 11.0(16)(у меня
есть только 11.0(14))
Рассматривается только Cisco 2500 (все очень
похоже на 11.1,
потребности в памяти даны для Cisco 2500 -
исполнение из флэша) :
IP(4 MB Flash/2 DRAM)
IP/IBM Base(8/4)
IP/IPX(4/4)
IP/IPX/IBM Base(8/4)
IP/IPX/IBM APPN(8/8)
Desktop(8/4)
Desktop/IBM Base(8/4)
Enterprise(8/6)
Enterprise/APPN(8/8)
CFRAD(4/2)
ISDN(4/2)
LAN FRAD(8/4)
Remote Access Server(4/4)
Ошибки версии 11.0(только те, которые мне интересны)
11.0(16):
service password-encription
обрезает пароли до 11 символов
если serial
установлен в loopback
аппаратным сигналом, то чтобы вывести его из этого
состояния, надо выдать команду no loopback
11.0(14):
Cisco 2511 иногда
перезагружается со словами sched-3-pagezero: low memory
включение TACACS+ приводит к
пожиранию памяти (появилось в версии 11.0(10)
иногда бывает bus error
OSPF иногда приводит к краху
расширенный ACL иногда
пропускает фрагменты, если
включена
журнализация
если есть PPP, то иногда
происходит Bus error
иногда подвисает async
контроллер вместе с 4 модемами
11.0(13):
когда пингуешь
синхронный DDR с
установленным сжатием HDLC,
маршрутизатор
сбрасывается
перезагружай каждые 3 недели, если
используется SPX
не-TCP обратное
соединение может вызвать грох
маршрутизатора (началось с 11.0(11.1)
11.0(12):
пакеты к TACAS+ могут быть
задержаны на 9 секунд, если DNS не
сконфигурирован на
маршрутизаторе (либо сделайте no ip domain-lookup, либо
добавьте IP адрес TACACS+ сервера к
локальной таблице хостов)
если задача заняла меньше времени, чем
потребовалось чтобы
достучаться до TACACS+, то stop-запись
теряется
если alias расширится в строку длиннее 256, то
киска грохнется
11.0(11) и ранее:
service compress-config может
подвешивать
использование DNS для поиска alias
грохает киску
не надо говорить ip address на
подключенный к PPP
интерфейс
PAP не работает с TACACS+
на Cisco 2511 иногда сразу 4 порта меняют DSR при
одном событии
encapsulation ppp (или async mode dedicated)
приводит к паузе
неопределенной длины, если выдана для группы
при тяжелой загрузке Cisco 2509-2511 могут
зависнуть или bus error
иногда после copy tftp running
отваливается
аппаратная
синхронизация
если
использовать autoselect в
комбинации с TACACS+, то таблица
маршрутов будет содержать таблицу
маршрутов для IP-адреса по
умолчанию, даже если TACACS+ поменял этот адрес
расширенный ACL с
использованием конечных UDP адресов,
работает неверно
Наборы возможностей (feature set) для версии 11.2 (7a)(у меня
есть только 11.2(05))
Для версии 11.2
параллельно ведутся 3 ветки: 11.2
(наиболее стабильная, только
исправления ошибок), 11.2 P
(исправление ошибок и новое
оборудование), 11.2 F
(исправление ошибок, новое
оборудование и
межплатформенная
совместимость).
Требования к памяти (для версии 11.2 Cisco 2500):
Enterprise и выше: 8MB flash, 6MB DRAM
все, что ниже: 8MB flash, 4MB DRAM. Я
рассматриваю только младшие серии (Cisco 1000, 1600, 2500, 4000, AS5100,
AS5200), про ATM ни слова, про ИБМ
протоколы тоже.
Каждый набор может иметь 4
модификации: базовая,
расширенная (PLUS), шифровка 40 бит,
шифровка 56 бит (не на каждой
платформе возможны
определенные пакеты и их
модификации):
c2500-i- IP:
параллельная
маршрутизация и мост, GRE,
совмещенная
маршрутизация и мост (начиная с 11.2), IP, LAN extention host, multiring,
прозрачные и
переводные мосты, VLAN (ISL и IEEE 802.10 -
только Cisco 4500 и с версии 11.2 и
модификация Plus), Combinet Packet Protocol (CPP - с
версии 11.2), Dialer Profiles (с версии 11.2), Frame Relay, Frame Relay Traffic
shaping (с 11.2),
полумост/полумаршрутизатор (с 11.2), HDLC, PPP, SMDS, switched 56, X.25,
полоса
пропускания по запросу,
настраиваемые
приоритеты очередей, dial backup, dial-on-demand,
сжатие заголовка,
соединения и payroll(?), snapshot routing, weighted fair queuing, BGP, BGP4
(с 11.2), EGP, IGRP, enhanced IGRP,
оптимизация EIGRP (с 11.2),
поименнованные IP ACL (с 11.2),
трансляция сетевых адресов (с 11.2 и Plus), NHRP,
маршрутизация по запросу (с 11.2), OSPF, OSPF Not-So-Stubby-Areas (с 11.2),
OSPF on demand circuit (RFC 1793 - с 11.2), PIM (protocol independent multicast),
policy based routing, RIP, RIP2 (с 11.1), generic traffic shaping (с 11.2),
Random Early Detection (RED - с 11.2), resource reservation protocol (RSVP
- с 11.2), AutoInstall,
автоматическая
конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms
(с 11.1), полный RMON (только 2500, с 11.2 и Plus), SNMP, telnet,
списки доступа,
расширенные списки доступа, Lock and Key (с 11.2), MAC security for hubs
(с 11.2), MD5 routing authentication,
шифровка на сетевом уровне (только
модификация encrypt), RADIUS (с 11.1), TACACS+, asynchronous master interfaces,
PPP, SLIP, CPPP, CSLIP, DHCP, IP pooling, rlogin, telnet, X.25 PAD
c2500- IP/IPX(этот набор
отсутствует для 11.2):
добавлено IPX, IPXWAN 2.0, ISDN, IPX RIP, NLSP, IPXCP
c2500- Desktop(IP/IPX/AppleTalk/DEC):
добавлено AppleTalk 1 и 2, DECnet IV, Virtual Private Dial-UP network (с
11.2), AURP, RTMP, SMRP, ARAP 1.0/2.0, ATCP, MacIP
c2500- Enterpise: добавлено Apollo Domain, Banyan Vines, DECnet V, OSI, XNS,
Frame Relay SVC (с 11.2), multichassis multilink PPP (MPP - с 11.2), ES-IS,
IS-IS, SRTP, Kerberos login (с 11.1),
поддержка клиентов Kerberos V (с 11.2),
трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), IPX и ARAP
на виртуальных
асинхронных
интерфейсах, NASI (с 11.1), NetBEUI поверх PPP (с 11.1), LAT, TN3270, Xremote
c2500- Enterprise and APPN
c2500- IP/IPX/IBM and APPN
c2500- Desktop/IBM and APPN
Для Cisco 1000 и 1600 (только 11.1 и 11.2):
IP
IP/IPX
IP/Apple Talk
IP/IPX/Apple Talk
Для Cisco 1005:
IP/OSPF/PIM
IP/Async
IP/IPX/Async
Для Cisco 2500 и AS5100
дополнительно:
c2500- CFRAD
c2500- LAN FRAD
c2500- ISDN
c2500-p- Remote Access Server (2509-2512 и AS5100): AppleTalk 1 и 2 (с 11.2),
DECnet IV (только 11.0), GRE,
совмещенная
маршрутизация и мост (начиная с 11.2), IP, multiring, IPX, source-route bridging
(с 11.2), прозрачный мост (с 11.2),
прозрачные и
переводные мосты, CPP (с 11.2), dialer profiles (с 11.2), Frame Relay, Frame
Relay Traffic shaping (с 11.2),
полумост/полумаршрутизатор (с 11.2), HDLC, IPXWAN 2.0, multichassis multilink
PPP (MPP - с 11.2), PPP, switched 56, Virtual Private Dial-UP network (с
11.2), X.25, полоса
пропускания по запросу,
настраиваемые
приоритеты очередей, dial backup, dial-on-demand,
сжатие заголовка,
соединения и payroll(?), snapshot routing, weighted fair queuing, BGP
(только 11.0), BGP4 нет совсем, EGP (только 11.0), EIGRP,
оптимизация EIGRP (с 11.2), IGRP, NHRP
(только 11.0),
маршрутизация по запросу (с 11.2), OSPF
(только 11.0), PIM, policy based routing, RIP, RIP2 (с 11.1), AURP, IPX RIP,
RTMP, generic traffic shaping (с 11.2), utoInstall,
автоматическая
конфигурация модемов (с 11.1), HTTP-сервер (с 11.2), RMON events and alarms
(с 11.1), SNMP, telnet, писки доступа,
расширенные списки доступа, Lock and Key (с 11.1), MD5 routing authentication,
RADIUS (с 11.1), TACACS+,
трансляция протоколов (LAT, telnet, PPP, rlogin, X.25, TN3270), ARAP 1.0/2.0,
asynchronous master interfaces, PPP, SLIP, CPPP, CSLIP, ATCP, DHCP, IP pooling,
IPX и ARAP на
виртуальных
асинхронных
интерфейсах, IPXCP, MacIP, NASI (с 11.1), NetBEUI
поверх PPP (с 11.1), login, telnet, X.25 PAD, LAT, TN3270, Xremote
Ошибки в версии 11.2 (только те, которые меня задевают).
11.2(7):
иногда
перезагрузка по show accounting
в chat-script неверно
запоминаются cntrl-символы
если ip identd и
установлен tacacs+, то
перезагрузка, если:
используется внешний DNS
TACACS+ сервер упал
пользователь зашел через enable
выдал telnet
при
форматировании флэша типов A6, A7, AA он не
распознается (Intel 28F004S5/08S5/16S5)
при удалении ip default-network не
удаляется запись о gateway
Cisco 2511 через неделю работы может
сказать, что нет памяти
11.2(6):
не стоит делать copy tftp flash между двумя
кисками
если dialer dtr, то киска не
поднимает сигнал DTR
асинхронный
контроллер иногда зависает
на
низкоскоростных портах
обязательно ставить MTU меньше 1498
неправильный LCP NAK пакет грохает киску
11.2(5):
telnet может подвисать на 20 секунд
расширенный ACL иногда
пропускает фрагменты, если задана
журнализация
11.2(4) и ниже:
при включении TACACS+
понемногу исчезает память (начиная с 11.0(10)
нельзя очистить telnet-сессию с
непустым входным буфером
иногда группа из 4
последовательных портов зависает
пожирание памяти через 29 часов работы
быстро
завершившиеся задачи не попадают в журнал учета tacacs+
обратные соединения не-TCP могут
грохнуть киску
пакеты к TACAS+ могут быть
задержаны на 9 секунд, если DNS не
сконфигурирован на
маршрутизаторе (либо сделайте no ip domain-lookup, либо
добавьте IP адрес TACACS+ сервера к
локальной таблице хостов)
Отличия в версиях (X.25, DECnet, AppleTalk, VINES , IBM , ATM не описаны)
Новое в версии 11.0 (начиная с 11.0(11)
только
исправляются ошибки):
улучшение в работе с пулом IP-адресов - 11.0(3)
Multilink PPP для PPP
одновременное
использование Flash разных
производителей - 11.0(3) - нужен
загрузчик 10.2(7a)
PPP callback - 11.0(3)
куча нового в начальной версии не
описана
Новое в версии 11.1 (начиная с 11.1(6) только
исправляются ошибки):
NHRP для IPX
быстрая установка для
статических маршрутов (для backup);
быстро-переключаемое GRE (generic routing encapsulation);
-
с 11.1(1) -
динамическая генерация ACL в
зависимости от имени
пользователя.
Новое в версии 11.2:
маршрутизация по запросу (ODR) - меньше
нагрузка, на "глухом"
маршрутизаторе не надо
конфигурировать протокол
маршрутизации;
OSPF on demand (RFC 1793) -
позволяет
использовать OSPF через ISDN, X.25 SVC и
модемные линии;
OSPF Not-So-Stubby-Areas (NSSA) -
позволяет "тупиковым"
маршрутизаторам
импортировать внешнюю таблицу
маршрутов частично (например, только default);
BGP4 soft configuration -
позволяет
конфигурировать BGP4 без сброса кеша;
BGP4 multipath support -
балансировка загрузки между многими exterior BGP;
BGP4 prefix filtering with inbound route maps -
позволяет задать уровень
агрегирования внешних таблиц
маршрутизации;
Network Address Translation (NAT) -
позволяет
подсоединять хосты и подсети с
локальными IP адресами к Internet;
поименованные IP ACL;
integrated routing and bridging (IRB) -
позволяет продолжить VLAN через
интерфейсы (IP, IPX, AppleTalk, только
прозрачные мосты, не для X.25 и ISDN, не для Cisco 7000, не
может работать
параллельно с concurrent routing and bridging);
RED (Random Early Detection) -
помогает избегать
перегрузок сети (сообщает
приложениям TCP, чтобы работали
помедленнее);
generic traffic shaping -
помогает избежать
перегрузок сети (на уровне 2),
приостанавливая ответные пакеты;
router authetication;
шифровка на сетевом уровне;
оптимизация EIGRP;
Frame Relay SVC;
traffic shaping over Frame Relay;
NetFlow switching (только Cisco 7000 и 7500 с Route Switche Processor) -
ускоряет применение ACL и сбор
статистики;
MMP (multichassis multilink PPP) -
распараллеливание PPP между
каналами с разных кисок (внутри одной было и
раньше);
TACACS+ single connection (одно TCP
соединение на все);
SENDAUTH в TACACS+
(увеличение
безопасности);
VPDN - Virtual Private DialUp Network - по имени PPP
организуется туннель до домашней сети
пользователя,
независимо от физ. природы
соединения и
безопасный;
Dialer profiles;
CPP -
собственный протокол Combinet - сжатие и
распределение нагрузки по
нескольким ISDN;
полумост/полумаршрутизатор для CPP и PPP -
позволяет
подсоединять дешевые мосты к ядру сети.
Покупка IOS
Заказывать надо продукт с номером,
заканчивающимся на знак
равенства.
IOS можно заказать в трех формах:
DOS дискетта (EPROM, Flash);
CD-ROM
загрузка с TFTP сервера (только для
устройств с
флэш-памятью).
Номер продукта
определяется так:
начинается на SF и НЕ
кончается на знак равенства -
первоначальная загрузка на фабрике
начинается на SF и
зканчивается на знак
равенства - upgrade для Cisco 1003, 1004, 1005 для
загрузки во Flash
начинается на CD и
заканчивается на знак
равенства - upgrade для
устройства, которое пока содержит пакет (feature set)
только IP;
начинается на SW и НЕ
заканчивается на знак
равенства - для загрузки в новую
систему;
начинается на SW и
заканчивается на знак
равенства - upgrade для системы,
поставленной ранее на ROM или
дискетте;
начинается на FR - лицензия на
использование;
начинается на SWR и
заканчвается на знак
равенства - запасной софт,
поставляемый на ROM для Cisco 7000.
Поставка
осуществляется в виде пакетов
возможностей (feature packs) - CD-ROM с одним или
несколькими образами IOS и
инсталляционной
программой для MS Windows 95,
инструкция по установке (в т.ч.
использование TFTP вместо
инсталляционной программы),
лицензия, CD-ROM с
документацией.
Текущее состояние
На наших
маршрутизаторах стоит IOS версии 11.1 (12) на
внутренних и 11.2(5) на внешней, хотя уже
выпущена 11.2(7a) 18-jul-97 - на
внутренних не хватает флэша под версию 11.2.
приступаем к работе
Вынимаем железку,
подключаем терминал (или PC с TELEMATE) к
консольному порту (или
вспомогательный порт ранее
сконфигурированной киски и заходим
обратным телнетом), все нужные нам кабели
(синхронный, Ethernet, модемы),
включаем питание и начинаем
конфигурирование. При первом
включении IOS пытается скачать
конфигурацию из
глобальной сети - можно
подождать несколько минут, чтобы дать ей
понять, что на том конце ничего нет, или
временно
отсоединить
синхронный кабель. Потерпев неудачу, IOS
предлагает выполнить команду setup -
соглашайтесь! В этом случае IOS задает вам
несколько вопросов и
самостоятельно
конфигурируется.
Конфигурирование
осуществляется
следующими способами:
командный интерфейс:
telnet имя-киски имя-киски>
с терминала: conf term
NVRAM: conf memory
из сети: conf network
через WWW (начиная с версии 11.0(6), 11.1(5), не все
возможности): ip http server
ClickStart
(стандартные
конфигурации).
Общие сведения о
командном языке:
help - в любой момент можно ввести "?" - киска в
ответ выдаст список команд или
операндов;
любое ключевое слово или имя можно
сокращать до
минимально
возможного;
если терминал нормально настроен, то можно
редактировать командную строку как в emacs или bash.
почти каждую команду можно
предварять словом no.
Уровни привилегий:
предусмотрено 16 уровней
привилегий - от 0 до 15. Если не
производить
дополнительной настройки, то уровень 0 - это
уровень
пользователя: доступны только
"безопасные" команды. Уровень 15 - это
уровень
супервизора: доступны все команды.
Переходим с уровня на уровень по
команде:
епable [номер уровня]
Любую команду можно
перевести на уровень, отличный от
стандартного; любому
пользователю можно
назначить
определенный уровень,
устанавливаемый при входе на киску этого
пользователя; таким образом права
пользователей можно тонко
настраивать (только help-ом при этом тяжело
пользоваться :(
Режимы командного языка:
Режим
пользователя
Привилегированный режим:
верхний уровень
режим глобальной
конфигурации
собственно верхний уровень
конфигурирования
конфигурирование
интерфейса
конфигурирование
интерфейса
конфигурирование
подинтерфейса (serial в режиме Frame Relay)
конфигурирование
контроллера (T1)
конфигурирование хаба (cisco 2500 - ethernet)
конфигурирование списка карт (ATM и FrameRelay)
конфигурирование класса карт (Quality of Service over Switched Virtual Circuit
- ATM, FrameRelay или dialer)
символ
вперед/назад: Ctrl-F/Ctrl-B или стрелка
вперед/назад
в начало/конец строки: Ctrl-A/Ctrl-E
на слово
вперед/назад: Esc F/Esc B
развертывание команды: Tab или Ctrl-I
вспомнить из
буфера/вспомнить следующий: Ctrl-Y/Esc Y
удалить символ слева от
курсора/под курсором: Delete/Ctrl-D
удалить все символы до начала
строки/конца строки: Ctrl-U/Ctrl-K
удалить слово слева от
курсора/справа от курсора: Ctrl-W/Esc D
перерисовать строку: Ctrl-L/Ctrl-R
поменять символы местами: Ctrl-T
экранирование символа: Ctrl-V или Esc Q
Работа с флэш-памятью (в ней лежит и из нее
выполняется IOS) и NVRAM
(конфигурация)
На киске работает ТРИ
программы: ROM монитор (это
загрузчик и отладчик - тупой до
безобразия - попадаем в него если
соответствующим образом
установлен регистр
конфигурации или нажал BREAK во время
загрузки и это не
запрещено); система в ROM
(урезанная и очень старая система IOS - 9.1 - если не
удалось найти более
подходящую во флэш или по сети или ручная
загрузка из ROM монитора) и система во флэш -
версия, которуя сам поставил.
В руководстве делается
предупреждение, что на Sun'е сервер TFTP
должен быть настроен так, чтобы
генерировать и проверять
контрольные суммы UDP (я ничего не делал). Везде
вместо TFTP можно
использовать rcp, но мне
лениво следить за
безопасностью в этом случае.
Посмотреть, что там лежит: show flash all
System flash directory:
File Length Name/status
addr fcksum ccksum
1 3243752 igs-i-l.110-1
0x40 0xB5C4 0xB5C4
[3243816 bytes used, 950488 available, 4194304 total]
4096K bytes of processor board System flash (Read ONLY)
Chip Bank Code Size Name
1 1 89A2 1024KB INTEL 28F008SA
2 1 89A2 1024KB INTEL 28F008SA
3 1 89A2 1024KB INTEL 28F008SA
4 1 89A2 1024KB INTEL 28F008SA
Executing current image from System flash
Иметь два файла во флэш можно только, если
имеется два банка памяти (у меня нет) и
выполнить
специальную процедуру (IOS надо
настроить адреса -
выполняется-то она из флэша!). Буква l в имени
файла как раз и означает, что адреса можно
настроить.
Посмотреть, сколько раз туда чего
записывали: show flash err
(по-моему, ерунду
показывает).
Копировать из флэш на tftp: copy flash tftp,
после чего спросят имя сервера,
исходное имя файла и
результатирующее имя файла (файл должен
существовать с правами 666).
Копировать
конфигурацию на tftp: copy startup-config/running-config tftp
Загрузить
конфигурацию с tftp: copy tftp startup-config/running-config
(по-моему, если грузить текущую
конфигурацию, то
происходит не
копирование, а слияние).
Копировать из tftp во флэш (если
достаточно памяти!!!): copy tftp flash
Понятное дело, что если IOS
выполняется из флэш, то грузить новое
содержимое флэша во время работы IOS не стоит, надо
загрузиться из ROM (либо нажав Break при
загрузке, либо выдав no boot system flash).
Черта-с два! На самом деле все не так
как в книжке. Надо выдать copy tftp flash
прямо из IOS (ибо в bootstrap такой
команды нет вовсе), будет запущен flash load helper,
который задает все
необходимые вопросы, затем
перезапускает киску из ROМа, стирает флэш,
копирует файл с tftp (заходить только с
консоли - иначе ничего не увидишь, и об
ошибках не узнаешь ;). После этого надо
сохранить
конфигурацию (copy run start). А
все-таки интересно, как
выбираться из ситуации, если что-то
получилось не так. Кстати,
рекомендуется сохранить
конфигурацию
куда-нибудь на tftp перед
изменением флэша. p.s. все-таки можно было бы
сделать и
загрузившись из ROM (только не ROM
монитор, а ROM IOS), если задать в
регистре
конфигурации младшие 4 бита равными 0-0-0-1.
Копирование текущей
конфигурации в
загрузочную: copy run start
Копирование
загрузочной
конфигурации в текущую: copy start run
Посмотреть состояние: show version
Проверить
контрольную сумму: verify flash
Сжатие
конфигурационного файла работает только на Cisco 3xxx и Cisco 7xxx.
Повторно выполнить
конфигурационный файл: configure memory
Очистить
конфигурацию: erase startup
Посмотреть
текущую/загрузочную
конфигурацию: show run/start
В NVRAM
записываются только
параметры, отличные от
параметров по умолчанию.
Регистр
конфигурации: 16 бит. Меняется
командой: config-register.
Младшие 4 бита (3,2,1, и 0)
образуют поле загрузки:
0-0-0-0 загрузить ROM-монитор вместо IOS
0-0-0-1 загрузить boot ROM
если между 0-0-1-0 и 1-1-1-1 то грузить то, что
задано командой boot system (если
ничего не задано, то грузить файл с
сетевого сервера с именем
определяемым по умолчанию: имя
формаируется исходя из значения
регистра). Можно задать
несколько команд boot system. Только не надо
задавать имя файла в boot system flash (все
равно он ровно один, а то после
прошивки новой версии IOS
загрузчик будет упрямо искать старый файл).
Файл
конфигурации сети (по
умолчанию имя файла: network-config): boot network [tftp]
имя-файла
[ip-адрес] service config
Файл
конфигурации хоста (по
умолчанию имя файла: network-config): boot host [tftp]
имя-файла
[ip-адрес] service config
Перезагрузка:
просто
перезагрузка reload
перезагрузка в
определенное время: reload at hh:mm[monthday][reason]
перезагрузка через
определенное время: reload in [hh:]mm[reason]
отмена отложенной
перезагрузки: reload cancel
Автоматизированное конфигурирование
ClickStart:
конфигурирование Cisco 1003, 1004 и 1005 через WWW
(однопортовые ISDN, Frame Relay и
асинхронные
маршрутизаторы).
AutoInstall: включаешь новый
маршрутизатор, он ишет
сконфигурированный ранее
маршрутизатор (Ethernet, FDDI, HDLC, Frame Relay) -
требуется такое
количество
предварительной
подготовки, что легче все сделать
вручную (если только не надо
установить сотню кисок).
Setup:
интерактивная установка
параметров. Требует
подключения
консольного терминала (я
использую AUX порт соседней киски).
Еще бывает sreamline setup (если
установлен RXBOOT ROM) и
возникают
непреодолимые проблемы: задает минимум
вопросов
необходимых, чтобы найти
загрузочный образ и файл с
конфигурацией.
Сервисы
Часы
(сбрасываются даже при
перезагрузке на 1 марта 1993 года)
хранятся в формате UTC (Coordinated Universal Time) - то же
самое, что и GMT.
Используются протоколы NTP
(прием и передача - включен по
умолчанию - при
перезагрузке и при
выключении на пару минут время
сохраняется), SNTP на
кисках серии 1000 (только прием -
выключен по умолчанию).
посмотреть show clock[detail]
установить вручную clock set hh:mm:ssденьмесяцгод
аутентификация NTP:
ntp authenticate -
включить
ntp authentication-key number md value -
задать значение ключа
ntp trusted-key
номер-ключа - знающий этот ключ может
синхронизовать нас
получать
широковещательную
рассылку ntp broadcast client
установить
предполагаемое значение задержки при
широковещательной
рассылке ntp broadcastdelay
микросекунд
управление доступом (номер ACL
задается базовой командой access-list)(по
умолчанию все разрешено, даже
синхронизация с
незнакомыми системами! -
сделать) ntp access-group query-only/serve-only/serve/peer
номер-ACL
запретить NTP сервис на
определенном
интерфейсе ntp disable
если киска имеет несколько IP-адресов то можно
определить исходный IP-адрес в
NTP-пакетах ntp source
интерфейс
определить киску как властный
источник времени, даже если она не
синхронизована с внешним миром ntp master [слой]
задать размер
аппаратного тика
(теоретически 250 Гц) в единицах 2^-32 ntp clock-period единиц
максимальное число соседей
NTP-протокола
(сделать!) ntp max-associations число
посмотреть статус show ntp status
посмотреть список
соседей show ntp associations [detail]
откуда SNTP будет
запрашивать NTP пакеты sntp server адрес [version
версия]
SNTP будет брать NTP пакеты из
широковещательных
потоков sntp broadcast client
посмотреть сосотояние SNTP (Cisco 100x) show sntp
задать часовой пояс - почему только целое число
часов? clock timezone имя(MSK)
смещение(3)
задать летнее время (по правилам) (last Sun Mar 2:00 last Sun Sep
2:00) clock summer-time имя(MSD) recurring
first/last/номер-недели-началадень-недели месяцhh:mm
first/last/номер-недели-окончаниядень-неделимесяцhh:mm[смещение-в-минутах]
задать летнее время
непосредственно clock summer-time имямесяц-началаденьгодhh:mm
месяц-окончанияденьгодhh:mm[смещение-в-минутах]
на Cisco 4500 и Cisco 7000 есть
батареечный календарь
Запустить TFTP сервер на
киске:
предоставлять
содержимое флэша (там лежит не
обязательно IOS): tftp-server flash
имя-файла [alias
синоним] [acl]
предоставлять
содержимое ROМа (можно
одновременно с флэш): tftp-server rom
имя-файла [alias
синоним] [acl]
Запустить RARP
сервер на киске (чтобы это реально
использовать
необходимо выполнить кучу
дополнительных условий -
обеспечить broadcast UDP - ip forward-protocol udp 111,
заполнить таблицу АRP
MAC-адресами клиентов, ip helper-adress
адрес-настоящего-сервера -
говорят, что проблемы возникли из-за
недоделанности rpc.bootparamd в SunOS - судя по
нашему принтеру так оно и есть):
cat(config-if)>ip rarp-server
ip-адрес-настоящего-сервера
rcp и rsh сервис:
задание базы данных
пользователей (не знаю что за засада, но мне и
локальное и внешенее имя пришлось задать свое): ip rcmd remote-host local-usernameip-address/hostremote-username [enable [level]]
запуск rcp сервера (а для чего его можно
приспособить?): ip rcmd rcp-enable
запуск rsh сервера (надо
избавиться от expect при сборе
статистики) ip rcmd rsh-enable
HTTP-сервер (при входе в
качестве имени надо говорить имя киски, а
пароля - пароль
супервизора) - пользы от этого
никакой: ip http server
ip http port 80
Общее управление
prompt строка -
изменение
стандартного
приглашения hostname имя - имя
маршрутизатора alias уровень-EXECимя-синонимтекст-команды -
создание
сокращений-синонимов команд show aliases
[уровень-EXEC] -
посмотреть список
синонимов load-interval секунд - длина
интервала вычисления средней
загрузки
Интерфейсы
общие команды для всех
интерфейсов
description
строка-текста hold-queue длина in/out -
задание размера буфера bandwidth kilobits -
используется, например, для
настройки параметров TCP delay
десятые-милисекунды -
информация для некоторых
протоколов
маршрутизации (или десятки
микросекунд) keepalive секунд - как часто
посылать пкаеты для проверки
живучести линии (интерфейс
считается упавшим если в течении 3
интервалов не пришло ответа) mtu байт
последовательный
асинхронный
async: 8 штук на Cisco 2509, 16 штук на Cisco 2511, еще
можно
использовать AUX порт, но ОЧЕНЬ не
советую
(дефективная
аппаратная
реализация: скорость 38400, все на
программном уровне - в том числе и
синхронизация).
Саму физическую линию надо
конфигурировать отдельно с помощью
команды line.
Вход в режим
конфигурации
интерфейса: interface async
номер-порта
Инкапсуляция:
поддерживаются два метода
инкапсуляции - SLIP и PPP. О SLIP мы
забудем сразу же.
Режим:
интерактивный или жестко
настроенный (dedicated): в
последнем случае не
запускается EXEC, так что нельзя
поменять адрес и другие
параметры: async mode interactive/dedicated
Групповая
конфигурация (столько
предупреждений об ошибках, что лучше и не
трогать)
определение группы: interface group-async unit-number
общие команды member номериндивидуальная-команда group-range low-number high-number - тут же
начинается построение
конфигурации
хаб (2505, 2507, 2516)
hub ethernet number port
no shutdown auto-polarity
link-test
source-address [MAC-address] -
пропускать только пакеты от этого MAC-адреса
loopback (позволяет удержать BGP-сессию, даже если
другие интерфейсы упадут)
interface loopback number
null (позволяет
маршрутизировать все ненужное в /dev/null)
interface null 0
синхронный
последовательный интерфейс (serial)
interface serial номер encapsulation
atm-dxi/hdlc/frame-relay/ppp/sdlc-primary/sdlc-secondary/smds/stun/x25
- по умолчанию HDLC (есть
обнаружение ошибок, но нет повтора
неверно переданных данных) compress stac - если
загрузка CPU превышает 65%, то
выключить pulse-time секунд - какую паузу
сделать при
пропадании несущей
тунель
(инкапсуляция пакетов одного
протокола внутри пакетов другого)
Для чего это надо:
многопротокольная локальная сеть через
однопротокольный бэкбон
для обхода протоколов
ограничивающих число
промежуточных узлов
виртуальные частные сети через WAN
Компоненты:
протокол-пассажир
протокол-носитель
протокол
инкапсуляции (обычно GRE,
остальные в
исключительных случаях)
Предупреждения:
большая загрузка CPU
возможное нарушение
безопасности
увеличение времени задержки
множественные тунели могут забить канал
информацией о маршрутах
протокол
маршрутизации может
предпочесть тунель как якобы самый
короткий маршрут
появление
рекурсивных маршрутов
interface tunnel номер
тут должно быть описано каким
протоколам позволено
туннелироваться tunnel source
ip-address-или-интерфейс tunnel destination
ip-address-или-интерфейс tunnel mode aurp/cayman/dvmrp/eon/gre ip/nos -
определяет протокол
инкапсуляции tunnel checksum - все плохие пакеты будут
выкидываться (некоторые
протоколы требуют этого) tunnel key номер - должны быть
одинаковы на обоих концах (слабая
защита) tunnel sequence-datagramms -
отбрасывать пакеты,
пришедшие не в том порядке
(некоторые протоколы требуют этого)
управление и
мониторинг
show async status show interface async
номер show compress show controller
имя-контроллера show interface accounting show interface типномер clear counters типномер show protocols show version clear interface типномер clear line номер shutdown
no shutdown down-when-looped - считать
интерфейс упавшим, если на нем включен loopback
(необходимо для backup)
динамическое выделение IP-адресов из локального пула и удержание их за пользователями
ip address-pool local ip local pool default
начальный-ip-адресконечный-ip-адрес interface Group-Async1 ip unnumbered Ethernet0
ip tcp header-compression passive
encapsulation ppp
bandwidth 112
delay 20000
keepalive 10
async mode interactive
no cdp enable здесь я еще говорил: peer default ip address pool, но
она куда-то делась
(по-умолчанию небось)
group-range 1 16
если чей-то адрес надо задать явно, то скажи: member номер peer default ip address
IP-адрес
в версии 11.0(1) не работала, в версии 11.1(12)
вроде работает
конфигурирование в качестве простого терминального сервера
Пример
конфигурации с
коментариями.
service tcp-small-servers #
позволяет киске отвечать на всякие мелкие
запросы типа echo, chargen и т.д.
hostname cat2511-wb # имя киски,
выдается в
приглашении и ,наверное, где-то еще
сlock timezone MSK 3 #
временная зона
сlock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 #
летнее время
епable secret <шифрованный пароль> #
зашифрованный пароль
суперпользователя
епable password <нешифрованный пароль> # не
используется, если есть
шифрованный
ip subnet-zero # не
разбирался
ip tcp synwait-time 120 #
зачем это
ip tcp path-mtu-discovery #
автоматическая настройка на размер MTU
ip accounting-threshold 256 # не
разбирался
ip accounting-list 194.84.39.0 0.0.0.255 #
не
разбирался
interface Ethernet0 # начинаем
конфигурировать порт Ethernet
ip address 194.84.39.24 255.255.255.224 # IP
адрес и маска ethernet-порта
(основной адрес киски)
ip address 194.87.163.24 255.255.255.224 secondary #
если у нас два блока IP-адресов (что у нас было в
момент перехода от одного ISP к
другому
ехit # выход из
конфигурирования Ethernet
interface Serial0 # начинаем
конфигурировать
синхронный
последовательный порт
пo ip address # нет у нас его
shutdown # -//-
ехit # выход из
конфигурирования порта
interface Serial1 # начинаем
конфигурировать
синхронный
последовательный порт
пo ip address # нет у нас его
shutdown # -//-
ехit # выход из
конфигурирования порта
ip domain-name deol.ru. # имя нашего
домена
ip name-server 194.84.39.28 # адрес
DNS-сервера (может быть до 6 штук)
ip route 0.0.0.0 0.0.0.0 194.84.39.26 #
маршрут по умолчанию (все, что не на наших
портах, передаем на более "умную" киску
snmp-server community public RO #
разрешаем SNMP
управление (только чтение)
line con 0 # начинаем
конфигурирование
консольного порта
ехec-timeout 0 0 #
отключаем тайм-аут
ехit # выход из
конфигурирования порта
line 1 16 # начинаем
конфигурацию
асинхронных
последовательных портов
ехec-timeout 0 0 #
отключаем тайм-аут
мodem InOut #
отрабатывать модемные сигналы
аиtocommand telnet 194.84.39.28 # при входе на
линию, киска насильно выдает команду telnet..., что не
позволяет
пользователю делать что-либо еще (если,
конечно, не знаешь как из этого выйти)
transport input none # не
позволяет звонить с наших модемов (зайдя на линию
обратным телнетом)
transport preferred none # на всякий
случай
еscape-character NONE # не
позволяет выйти из telnet'а
stopbits 1
rxspeed 115200 # скорость между
модемом и киской
txspeed 115200 # скорость между киской и
модемом
flowcontrol hardware
ехit # выход из
конфигурирования порта
line aux 0 #
конфигурирование
вспомогательного
асинхронного
последовательного порта
transport input all # может быть сюда будет
подключена консоль другой киски
ехit # выход из
конфигурирования порта
line vty 0 4 #
конфигирирование
виртуальных
терминалов (на них мы попадаем, когда
заходим телнетом на киску)
ехec-timeout 0 0 #
отключаем тайм-аут
рassword <пароль> # пароль линии; к
сожалению, не
шифрованный
login # киска будет
спрашивать пароль при заходе на эту линию (в
данном случае телнетом)
ехit # выход из
конфигурирования порта
конфигурирование внешнего сервера доступа (tacacs+)
Сервер доступа (tacacs+) - это
программа, которая крутится на
UNIX-компьютере и отвечает на запросы киски типа: есть ли
такой
пользователь, какие у него права и ведет
журнал посещений. Как
конфигурировать сервер смотри
отдельную главу, а киска
конфигурируется так:
аaa new-model # будем
использовать tacacs+, а не старые
варианты
аaa authentication login default tacacs+ enable #
по-умолчанию проверяем каждый вход на линию с
помощью tacacs+ сервера, а если он не
отзывается, то
спрашиваем пароль
суперпользователя
аaa authentication ppp default if-needed none # при
включении PPP,
производим проверку
пользователя, если не
проверяли его раньше (может это уже
можно
выключить?)
аaa authorization exec tacacs+ if-authenticated #
проверяем права на запуск EXEC (shell так у киски
называется) с помощью сервера tacacs+, а если его нет, то
даем разрешение, если личность
пользователя
удостоверена - только
благодаря этой строчке tacacs+ сервер
возвращает
автокоманду (в нашем случае telnet или ppp)
аaa authorization commands 1 tacacs+ if-authenticated #
проверяем права на
исполнение команд уровня 1
(непривилегированных) с помощью сервера tacacs+, а если его
нет, то даем
разрешение, если личность
пользователя
удостоверена
аaa authorization commands 15 tacacs+ if-authenticated #
проверяем права на
исполнение команд уровня 15
(привилегированных) с помощью сервера tacacs+, а если его нет, то
даем разрешение, если личность
пользователя
удостоверена
aaa authorization network tacacs+ if-authenticated #
проверка прав, если кто-то лезет к нам по сети с
помощью сервера tacacs+, а если его нет, то даем
разрешение, если личность
пользователя
удостоверена
аaa accounting network stop-only tacacs+ #
посылаем учетную запись tacacs+ серверу в
случае окончания сетевого события
(завершение PPP-сеанса,
например)
аaa accounting connection stop-only tacacs+ #
посылаем учетную запись tacacs+
серверу в случае окончания
telnet-сеанса
аaa accounting system stop-only tacacs+ #
посылаем учетную запись tacacs+ серверу в
случае окончания
системного события (например,
перезагрузки)
еще должна работать команда: aaa authentication local-override
(если конечно перед ней завести
пользователя на киске username admin privilege 15 password <пароль>),
которая позволяет
использовать локальную базу
пользователей, но такие
пользователи
получаются абсолютно
бесправными (даже EXEC не могут
запустить :( Отлично! Я
использую это для запрета входа
пользователя bbs на киску с
быстрыми модемами, не
разбираясь с tacacs+
сервером.
tacacs-server host 194.84.39.28 # адрес
компьютера, на котором работает tacacs+
сервер
tacacs-server host 194.84.39.27 # адрес
компьютера, на котором работает
запасной tacacs+ сервер (в
реальности он не работает, но при
необходимости можно
запустить)
tacacs-server key <пароль> # ключ, с
помощью которого шифруются
сообщения между киской и tacacs+
сервером
