[Перевод] Тренинг Cisco 200-125 CCNA v3.0. День 9. Физический мир свитчей. Часть 104.06.2019 20:32

В прошлом видеоуроке мы говорили о настройке свитчей, а сейчас рассмотрим, как они взаимодействуют с другими устройствами и как на практике соединяются друг с другом. Не будем тратить время и сразу же перейдем к теме сегодняшнего урока. В первую очередь я хочу рассказать о топологии: у нас имеются две различных топологии — физическая и логическая.

dtwwqgiqvtbxmaw6wxbtgshtzn8.jpeg

Разница между ними очень проста, и существует одна важная вещь, о которой вы должны узнать, прежде чем погрузиться в реальный мир нетворкинга. Разрешите мне взять ручку и нарисовать на этой карте маршрут из Дубая в Нью-Йорк. То, что я нарисовал — это не наземное путешествие, а авиаперелет. Логически вы просто совершаете путешествие из Дубая в Нью-Йорк, но физически все не так просто — сначала вы должны отправиться в аэропорт и взять билет. Вы можете забронировать его онлайн или купить в кассе, можете использовать для покупки кредитную карту или наличку, вы можете отправиться в аэропорт на такси или на собственной машине и оставить её в аэропорту. Затем ваш билет должны проверить, вы должны пройти таможенный контроль, то есть вам придется проделать множество разных вещей, прежде чем попасть на борт самолета. После этого вы перелетите в Нью-Йорк, и там повторится похожая процедура — прохождение контроля, получение багажа, вы можете нанять такси или попросить друзей, чтобы они забрали вас из аэропорта, чтобы наконец добраться до пункта назначения. Вот так можно представить разницу между логической и физической топологией сети.

Если посмотреть на следующий рисунок, то можно увидеть, как люди представляют себе сеть.

e6dvjpgrkgqx5nibrnwlepz4lpg.jpeg

Компьютер соединен с хабом, хаб со свитчем, свитч с другим компьютером. Справа к свитчу подсоединено 2 компьютера, а слева два компьютера соединены с хабом, а хаб и свитч соединены друг с другом. Это логическая топология сети.

Если вы используете показанную на картинке программу Cisco Packet Tracer, то слева вверху у вас будет расположена кнопка Logical, нажав на которую можно увидеть логическую топологию вашей сети. Если я щелку на расположенную рядом с ней кнопку Physical, то увижу физическую топологию сети. Для этого из меню «Физическое расположение устройств» я выбираю параметр Rack — «Стойка», и передо мной появится стойка Cisco, на которой расположены мои свитч и хаб.

0trkbfrmiee7y4pzgtesb6zmimm.jpeg

Хочу показать вам изображение реальной стойки, которое я просто взял из интернета, так что не имею на него никаких прав. Сверху вы видите ссылку на сайт, откуда я взял эту картинку.

dus3beno-qzsl6cu4pvjzbg86jw.jpeg

В такую стойку монтируется и закрепляется несколько устройств Cisco, которые затем связывают друг с другом, чтобы создать сеть требуемой конфигурации. Вот так выглядит физическая топология сети, и вы можете добавлять нужные вам устройства в любой свободный отсек стойки, группируя их по типам — свитч над свитчем, хаб рядом с хабом и т.д. Затем вы можете построить свою сеть, просто соединяя устройства в стойке с помощью кабелей. На нашем рисунке зеленые кабеля соединяет хаб с компьютерами PC0 и PC1, а оранжевый кабель соединяет хаб с одним из портов свитча. Еще один зеленый кабель соединяет свитч с третьим компьютером PC2. Таким образом, к свитчу присоединено множество устройств.

Вот что собой представляет физическая топология сети. Как только вы добавляете новые устройства в логическую топологию сети, они тут же отобразятся на вкладке программы Physical (физические устройства), уже установленными на стойку Cisco.

fkqkk-enxhewnwhdcz-b9ere9g4.jpeg

Я хочу, чтобы вы усвоили разницу между физической и логической топологией сети, потому что чаще всего при возникновении неполадок сети у вас имеется именно такое соединение, как показано на схеме логической топологии. Но если вы приходите на новое место работы, то у вас нет логической топологии, к которой можно обратиться. Вы работаете с физической топологией сети, вы заходите в серверную и смотрите на все эти устройства, установленные в стойке. Для того, чтобы сделать из них сеть, вы должны использовать различные протоколы, например, VTP, о котором мы будем говорить в одном из следующих видеоуроков. Вы используете эти протоколы для того, чтобы определить, какие устройства подсоединены к каким портам. Вы можете определить это физически и попробовать создать логическую топологию. Вот в основном то, что я хотел рассказать, перед тем как перейти непосредственно к теме урока.

Давайте сделаем то, что мы узнали на предыдущем уроке, поэтому я бегло пройдусь по этим 10 командам, или 10 основным настройкам конфигурации свитча, которые мы должны выполнить для любого нового устройства.

8y-xqokhvmmf_rndkoeeistwbei.jpeg

В случае приведенного примера логической топологии сети вы должны настроить хаб и свитч для того, чтобы они могли взаимодействовать с 4-мя нашими компьютерами. Начнем со свитча, для этого кликнем по нему и войдем в терминал командной строки.

Сначала сконфигурируем имя хоста и назовем его SW1. Далее мы должны создать приветственный баннер, на котором напишем такую фразу: «Не входить! Это опасный свитч! За это вас привлекут к ответственности»!

wfp8sjyiat1sjtocgentlscqq8c.jpeg

После предыдущего урока меня многие спрашивают, зачем нужно использовать амперсанд в параметрах строки баннера. Вы можете не использовать &, используйте любой другой символ, заключив его в кавычки. Основное правило при создании баннера — не использовать этот символ, расположенный в кавычках, в качестве начального символа для текста баннера. Если я напечатаю амперсанд перед нижним полем из звездочек, сохранится лишь текст, расположенный выше этого амперсанда, а всё, что будет ниже него, система не запомнит. Таким образом, если я хочу использовать в своем тексте амперсанд &, то должен задать в качестве метки окончания текста баннера другой символ, например, закрывающую скобку »)», расположив её в кавычках вместо &.

vug_ghediod6cabycucnf5f4h-i.jpeg

Я покажу это на следующем примере — задам символ »)», а затем напечатаю новый текст баннера и закончу нижний ряд звездочек этой закрывающей скобкой. Если теперь я нажму «Ввод», то весь текст баннера перед этой скобкой автоматически сохранится. Таким образом, если вы хотите закончить свое сообщение каким-либо символом, просто не начинайте сообщение с этого символа.
Итак, мы создали приветственный баннер и теперь можем перейти к установке пароля на консоль. Для этого мы набираем в командной строке line con 0, потому что консоль — это линия связи, а у нас всего один консольный порт, поэтому обозначим консоль нулем. Мне нужно установить пароль на консоль, поэтому сначала я набираю в командной строке password console и назначаю пароль cisco, а в следующей строке мне нужно еще ввести слово login. Что означает этот логин?

Если я наберу сейчас команду no login, многие люди подумают, что это будет означать отсутствие пароля на консоль и будут совершенно не правы! Login означает всего лишь проверку пароля, который вводит пользователь. Если я наберу no login, такая проверка не будет осуществляться, но это не значит, что у нас не будет пароля. Логин — это как охранник двери, который спрашивает у любого пароль, и если пароль неправильный, его не пустят внутрь. Отсутствие логина означает, что «входная дверь» консольного порта все время будет открыта для любого трафика, который будет проходить через порт без запроса пароля.

У любого устройства Cisco по умолчанию консольный порт открыт, и любой, кто к нему подсоединится, может зайти в настройки устройства. Поэтому вам нужно настроить консольный порт свитча так, чтобы предотвратить к нему несанкционированный доступ, то есть ввести команду login.

Далее нам нужно установить пароль на Telnet. Это виртуальная линия связи, поэтому я печатаю line vty и поскольку нумерация этих линий может быть от 0 до 15, можно назначить от 0 до 4 или от 0 до 15 таких линий. Я выбираю значение от 0 до 4. Далее мы поступаем аналогично назначению пароля на консоль: я назначаю пароль командой password telnet и в следующей строке печатаю login, чтобы обеспечить его проверку. Это значит, что любой, кто попытается соединится со свитчем через Telnet, должен будет ввести правильный пароль.

Далее я ввожу команду do sh run, чтобы посмотреть на текущую конфигурацию устройства. У нас имеется 16 линий Telnet, и для линий первой части диапазона от 0 до 4 у нас имеется пароль telnet и логин, а для второй части от 5 до 15 виртуальной линии есть только логин. Возникает вопрос, почему у нас имеет место разделение параметров для линий 0–4 и 5–15. Если вы думаете, что это произошло из-за того, что я выбрал только четыре рабочих линии, то это не совсем неправильно.

nldvsypm-995kioenmz90lpa2fc.jpeg

Сейчас я вам объясню. Всего у нас имеется 16 виртуальных линий от 0 до 15, и для свитча Cisco это означает, что к нему одновременно могут подсоединиться 16 пользователей. Если я ввожу команду line vty 0 15, это означает, что я назначаю пароль для всех 16-ти пользователей.

dst9yghbhiqzgkaejh9w-ozzk-e.jpeg

Теперь я установлю пароль и логин для всех 16 линий, и если посмотреть на конфигурацию, то вы увидите, что теперь пароль и логин у нас имеется как для линий 0–4, так и для линий 5–15.

poogyrlh1ogu-ghjfp67au3txr4.jpeg

Что это значит? Как я уже сказал, 16 человек смогут подключиться к свитчу с помощью пароля telnet, но разница между 0–4 и 5–15 существует потому, что большинство старых моделей свитчей Cisco имеют всего 5 виртуальных линий от 0 до 4, и только у новых моделей имеется все 16 виртуальных линий 0–15. Поэтому Cisco считает, что если вы назначаете один пароль для всех 16 линий, это может вызвать проблему. Может случиться так, что вы скопируете конфигурацию настроек одного устройства и захотите перенести её на другие устройства. Но если вы попытаетесь использовать настройки свитча с 16 линиями для свитча с 5 линиями, команда не будет принята. Поэтому Cisco советует — даже если вы используете свитч с 16-ю виртуальными линиями, используйте раздельные настройки пароля и логина telnet для линий 0–4 и линий 5–16, чтобы у вас не возникло проблем с более старыми моделями свитчей, потому что команда для параметра line vty 0 4 совместима со всеми моделями. Вторая же часть, line vty 0 15, применима только к новым устройствам.

Таким образом, если вы копируете настройки нового свитча и хотите применить их для свитча старой модели, вы копируете только строки:

line vty 0 4
password telnet
login

Потому что новые свитчи не поймут команду для виртуальных линий 5–15, так как у них всего 5 линий. Вот в чем заключается причина разделения конфигурации Telnet на 2 части.

Если я хочу, чтобы все линии Telnet были доступны любому пользователю, я использую команды:

line vty 0 15
no login

Но это не то, что нам нужно — мы наоборот, хотим защитить свитч от несанкционированного доступа. Я покажу вам, как это сделать через минуту, пока что мы должны настроить IP для нашего свитча. Для этого я использую команду int vlan 1 и добавляю IP-адрес и маску подсети: add 10.1.1.1 255.255.255.0, закрепив изменения командой no sh (no shutdown).

Теперь вернемся назад к схеме логической топологии и произведем настройку Ip-адреса с помощью первого компьютера PC0.

zwf0mxkktssfhhs8wvlwlcrjchk.jpeg

Для этого вношу нужные параметры в окне сетевых настроек компьютера. Нам не нужно вводить параметры шлюза по умолчанию, поскольку у нас всего 1 сеть.

0hqtbxzmgcfq8zph8mixbqmmgha.jpeg

Далее я проверяю, пингуется ли свитч, и убеждаюсь, что всё работает как надо. То, что первый запрос выдал ошибку таймаута, объясняется тем, что наш компьютер обратился к устройству, не зная его MAC-адреса, а последующие запросы прошли удачно. Итак, я набираю в командной строке ping 10.1.1.10 и вижу приветственный баннер свитча — это означает, что я к нему подсоединился.

ajthj74h_n7rtcrp7h49oc0neoy.jpeg

При этом свитч не спросил у меня пароль, потому что мы оставили линию Telnet открытой — если посмотреть на конфигурацию свитча, можно увидеть, что для всех линий от 0 до 15 используется параметр no login, то есть любой может подсоединиться к этому свитчу по протоколу Telnet, просто использовав его IP-адрес. Если теперь ввести команду en (enable), чтобы перейти к установке параметров, у нас появится сообщение % No password set — «Пароль не установлен». Это один из защитных механизмов Cisco, который требует, чтобы пользователь знал пароль, позволяющий производить настройку конфигурации свитча.

Поэтому мы перейдем в окно конфигурации параметров свитча и используем команду enable password enable, где слово enable будет нашим паролем. Если теперь в терминале командной строки компьютера ввести это слово, то мы получим доступ к настройкам свитча, о чем свидетельствует появление строки SW1 #.

igepepovxofxcaq4nj5ivsx8qr0.jpeg

Таким образом, защитный механизм Cisco делает так, что даже если мы не активируем функцию запроса пароля enable password, получить доступ к настройкам свитча все равно не удастся.

hc9wlhqkq3qjeqwime2w04e_bpe.jpeg

Напомню, что если вы перейдете на вкладку CLI программы Cisco Packet Tracer, то сможете настроить доступ через консольный порт. Таким образом, если вы входите в устройство через консольный порт и не предусмотрели доступ по паролю, это не будет проблемой, потому что активировать запрос пароля можно позже, когда вы будете настраивать всю конфигурацию. Но если вы входите в свитч через виртуальную линию Telnet, вы не получите доступ к настройкам, если предварительно не используете в настройках свитча команду enable password.

Поскольку мы не хотим, чтобы любой пользователь Telnet имел доступ к настройкам, мы должны создать пароль. Предположим, что мы собираемся использовать только 1 виртуальную линию, поэтому введем команду line vty 0. Это будет означать, что параметр enable password будет действовать только для этой единственной линии. Далее я ввожу проверку пароля — слово login, в следующей строке набираю password telnet и далее exit.

p_x8ifc6qre80w3o2u8mdh-cbny.jpeg

Для всех остальных 15-и линий от 1 до 15 я введу параметр no password и login.

ut-otbrrnoodpham9knhjebt-gc.jpeg

Что же это значит? Если я ещё раз попрошу систему показать мне конфигурацию свитча командой sh run, то увижу следующее: для линии vty 0 у нас имеется и пароль, и логин, а для линий 1–4 логин активирован, это наш «охранник», но пароль не установлен. Это означает, что для входа в настройки свитча можно ввести любой пароль. При этом на экране отображаются сообщения, в которых написано: «Вход в систему по линии такой-то невозможен, пока не будет установлен пароль».

Теперь, если я перейду к окну командной строки компьютера и введу telnet 10.1.1.10, то увижу приветственный баннер с предложением ввести пароль. Давайте снова вернемся к логической топологии и выполним настройку сети для второго компьютера — PC1, введя IP-адрес 10.1.1.2 и маску подсети 255.255.255.0. Мы не будем трогать шлюз по умолчанию, потому что у нас всего одна сеть, а затем пропингуем свитч, чтобы убедиться, что связь установлена.

Если теперь попробовать войти в настройки свитча со второго компьютера с помощью команды telnet 10.1.1.10, у нас ничего не получится — система выдаст сообщение о том, что соединение уже используется другим хостом, поскольку у нас имеется всего одна линия Telnet под номером 0.

aywx3tdcj-hihdegpumrjiq5n7w.jpeg

Если посмотреть на терминал командной строки, мы увидим, что линия 0 уже занята другим устройством, и пока я его не отсоединю, новое устройство не сможет подключится к свитчу.

Сейчас я наберу команду exit, чтобы отсоединиться, снова введу команду telnet 10.1.1.10 в окне командной строки второго компьютера, и как видите, теперь он смог подключиться к свитчу. Теперь я введу в качестве пароля слово telnet и смогу войти в настройки устройства.
Если я хочу, чтобы к свитчу могли подключаться одновременно несколько устройств, я должен настроить его соответствующим образом.

Итак, мы установили параметры Telnet password и Enable password, а теперь перейдём к управлению IP-адресами — IP management. Если мы захотим связаться с устройством, принадлежащим к другой сети, наш свитч должен знать, как это можно будет сделать. Поэтому мы возвращаемся к сетевым настройкам компьютера и назначаем шлюз по умолчанию, присвоив нашему сетевому маршрутизатору IP-адрес 10.1.1.100. С помощью этого адреса наше устройство сможет связаться с устройствами, находящимися за пределами сети 10.1.1.2/24.

tnodqwfoll9ay6jufd378jqjqz4.jpeg

В случае, если наш компьютер захочет соединиться с устройством, у которого первые три октета IP-адреса будут иными, чем 10.1.1, свитч организует это соединение через шлюз по умолчанию с IP-адресом 10.1.1.100. Если вспомнить наш пример с отелями, вы сразу поймете, о чем речь — если вы захотите пойти в другой отель, вам понадобится выйти из своего отеля через входную дверь.

24:20 мин


Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5–2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5–2697v3 2.6GHz 14C 64GB DDR4 4×960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5–2430 2.2Ghz 6C 128GB DDR3 2×960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5–2650 v4 стоимостью 9000 евро за копейки?

© Habrahabr.ru