Сертификации R&S больше нет, но данная информация по-прежнему полезна.
CCNA R&S 6.0 Bridging Course часть 1, уроки 1-2 - для тех, кто готовился на сертификацию версии 3 и будет сдавать экзамены:
- Interconnecting Cisco Networking Devices Part 1 exam (ICND1 100-105), which is associated with the CCENT certification;
- CCNA Routing and Switching composite exam (200-125), which can be taken instead of the ICND1 and ICND2 exams.
Поскольку программа сертификации немного изменена по сравнению с версией 2 и выложила CISCO этот небольшой курс. Он состоит из четырех уроков, первый и второй - для CCENT, третий и четвертый - для CCNA.
Общая схема для курса:
Урок 1 Introduction to Networks (ITN)
Extended Traceroute
Ничего интересно, расскажу своими словами. Надо помнить, что удачный ping говорит, что удаленный узел доступен, а вот неудачный - ничего не говорит, кроме того, что ping неудачный. Следует помнить параметры для команды пинг, такие как -4, -6, -l, -t, -n. Команда просмотра информации о сетевом подключении на компьютере с Windows:
ipconfig /all
на роутере:
show ip interface brief - показывает настройки 3 уровня модели OSI
Трассировка помогает выявить местонахождение проблемы и заканчивается либо успехом при ответе запрашиваемого узла, либо прерывается пользователем. На компьютере:
tracert Ctrl+C - чтобы прервать
на роутере:
traceroute Ctrl+Shift+6 - чтобы прервать
По умолчанию маршрутизатор CISCO использует выходной адрес как адрес источника для пакетов ICMP. Это поведение можно изменить, использовав расширенный пинг и указав другой IP адрес как адрес источника. Для использования расширенного пинга нужно в привилегированном режиме набрать ping без параметров.
Debugging
Нужно знать, что команда:
debug
является командой привилегированного режима и ее включение в различных вариантах может снизить производительность коммутатора/маршрутизатора, вплоть до полного безразличия к командам. Следовательно после сбора информации всегда нужно выключать этот режим:
undebug all no debug all
Пример. Включим дебаг пакетов ICMP:
debug ip icmp
После окончания работы с инструментом можно выключить дебаг 3 способами:
no debug ip icmp undebug ip icmp undebug all
Важная вещь - в IOS сообщения лога посылаются по умолчанию в консоль и не выводятся при удаленном подключении, например через ssh. Чтобы включить вывод лога нужно выполнить в терминале удаленного подключения команду привилегированного режима:
terminal monitor
На скриншоте видно, что при управлении через ssh результат работы команды debug ip icmp не выводится пока не будет выполнена команда terminal monitor.
Network Troubleshooting
Шесть шагов решения проблемы:
Мощные инструменты траблшутинга на оборудовании CISCO это ping, traceroute и show.
Есть 2 варианта развития устранения проблемы - Resolve и Escalate. Resolve - непосредственно решить проблему, escalate - развить, обострить её. Вариант escalate нужен когда, допустим, для устранения проблемы нужно купить новый модуль для оборудования, тогда вопрос передаётся на рассмотрение руководящему работнику и он принимает решение о покупке модуля - обострение в этом смысле.
Проблемы дуплекса
Режим дуплекса лучше выставлять в авто для всех устройств, кроме, может быть, критически важных устройств, где его лучше выставить вручную. Ошибки дуплекса возникают:
- При ручной настройке, если с одной тороны линка full duplex, с другой half duplex;
- Могут возникать, если с одной стороны линка full duplex, с другой auto;
- Редко могут возникать в режиме auto-auto.
Лог ошибок дуплекса появляются на устройствах CISCO при включенном CDP.
Следует помнить, что при различных настройках дуплекса устройства остаются все-таки частично работоспособны и связь между ними целиком не исчезает. Для проверки настроек дуплекса следует использовать команду:
show interfaces - показывает настройки 1 и 2 уровня модели OSI для интерфейса
Настройка IP адресации на конечных устройствах
Для серверов и роутеров - обычно в ручном режиме, для пользовательских устройств - в режиме DHCP. При невозможности для клиента Windows получить адрес от DHCP, IP присваивается из диапазона 169.254.0.0/16 встроенным в Windows механизмом, который называется APIPA. Другие ОС, такие как Linux, MAC OS X не могут присвоить IP адрес автоматически, если нет связи с DHCP сервером. Компьютер с APIPA адресом может базово взаимодействовать с компьютерами в своём сегменте сети, у которых адрес тоже из диапазона APIPA и не может взаимодействовать с устройствами в удалённых сетях.
На устройствах CISCO IP адрес проверятся командами:
show ip interface interface show ip interface brief
На устройствах Windows командой:
ipconfig
Проблемы шлюза по умолчанию
Следует помнить, что отсутствующая или неправильная настройка шлюза по умолчанию делает невозможной работу только с удаленными сетями, на работу в локальной сети она не влияет. Основной шлюз должен быть в той же подсети что и компьютер - распространенная ошибка.
Просмотр настройки шлюза по умолчанию на компьютере с Windows все тот же ipconfig, на роутере:
show ip route
Проблемы связанные с DNS
Следует помнить, что пользователи часто путают проблему подключения к интернету и проблему DNS. Проверить работу DNS на компьютере можно пропинговав ресурс по его имени либо выполнив команду:
nslookup
Для проверки настройки DNS на компьютере с Windows используется команда:
ipconfig /all
Урок 2 Routing & Switching Essentials (RSE)
Configure static routes by specifying a next-hop address
Маршрут для узла - это маршрут, где ip-адрес назначения задаётся с маской подсети /32 для IPv4 и /128 для IPv6. Есть три способа как маршрут для узла может быть добавлен в таблицу маршрутизации:
- Автоматически, когда ip-адрес сконфигурирован на интерфейсе маршрутизатора (локальный);
- Статический маршрут, заданный вручную;
- Маршрут автоматически добавленный другими методами.
Локальный маршрут отмечен в таблице маршрутизации с помощью буквы "L".
Статический маршрут отмечен буквой "S" и добавляется командой:
ip route ip 255.255.255.255 ip_next_hop ipv6 route ip 255.255.255.255 ipv6_next_hop
Для ipv6 в качестве ipv6_next_hop может использоваться link-local адрес смежного маршрутизатора, тогда нужно обязательно указывать выходной интерфейс.
Device Discovery CDP
Cisco Discovery Protocol (CDP) - это проприетарный протокол Cisco уровня 2, которая используется для сбора информации об устройствах Cisco, которые используют тот же data link. CDP работает на всех устройствах Cisco, таких как маршрутизаторы, коммутаторы и серверы доступа. CDP протоколонезависим и не зависит также от среды передачи.
Устройство посылает периодические CDP объявления на подключенные устройства. Эти объявления передают информацию о типе устройства, которое было обнаружено, имя устройства, а также количество и типы интерфейсов.
Конфигурирование и проверка CDP
Для устройств Cisco, CDP включен по умолчанию. Из соображений безопасности, желательно отключить CDP глобально или на интерфейсе, так как злоумышленник может собрать ценную информацию о топологии сети, такую как ip-адреса, версии iOS и типы устройств.
Чтобы проверить состояние CDP и отображать информацию о CDP, введите команду привилегированного режима:
show cdp
Для включения CDP глобально для всех поддерживаемых интерфейсов на устройстве, введите команду:
cdp run
в режиме глобальной конфигурации. CDP может быть отключен для всех интерфейсов на устройстве:
no cdp run
Чтобы отключить CDP на конкретном интерфейсе, введите:
no cdp enable
в режим конфигурации интерфейса. Для включения CDP снова, введите:
cdp enable
Чтобы проверить состояние CDP и отобразить список соседей, используйте:
show cdp neighbors
Используйте команду привилегированного режима :
show cdp interface
для отображения интерфейсов, для которых CDP включен. Статус каждого интерфейса также отображается:
Обзор устройств с использованием CDP
Команда show cdp neighbors предоставляет следующую информацию, смотри картинку:
- Device identifiers - Имя хоста сосед устройства (S1);
- Port identifier - Имя локального и удаленного порта (Gig 0/1 and Fas 0/5);
- Capabilities list - Показывает что устройство коммутатор или маршрутизатор (S for switch; I for IGMP is beyond scope for this course);
- Platform - Аппаратная платформа устройства (WS-C2960).
Если нужна дополнительная информация, команда:
show cdp neighbors detail
также может предоставить информацию, такую как версия IOS и IP адрес.
Примечание. Хорошей практикой является выключение CDP глобально и включение его на нужных интерфейсах.
Device Discovery LLDP
Устройства Cisco также поддерживают Link Layer Discovery Protocol (LLDP), который является нейтральным по отношению к вендорам и похож на CDP. LLDP работает с коммутаторами, маршрутизаторами, беспроводными точками доступа.
В зависимости от устройства LLDP может быть включен или выключен по умолчанию. Для того чтобы включить LLDP для всего устройства Cisco, введите команду:
lldp run
в режиме глобальной конфигурации. При этом LLDP может быть выключен для отдельного интерфейса:
no lldp run
в режиме конфигурации интерфейса.
Как и CDP, LLDP может быть сконфигурирован на отдельном интерфейсе. Однако, LLDP должен быть сконфигурирован раздельно для получения и отправки LLDP пакетов:
Отсюда 2 основных различия CDP и LLDP:
- CDP проприетарный, LLDP нет;
- LLDP предлагает большую гибкость при настройке.
Для проверки LLDP на устройстве, введите команду:
show lldp
привилегированного EXEC режима.
С включенным LLDP, соседние устройства могут быть обнаружены с помощью команды:
show lldp neighbors
Когда нужно больше информации, команда:
show lldp neighbors detail
может предоставить информацию, такую как версия IOS, IP адрес и другие возможности устройства.
NTP
Почему важна синхронизация времени на сетевых устройствах? Для управления, безопасности, устранения неисправностей требуется правильный штамп времени в логах.
Время может устанавливаться двумя путями:
- Вручную;
- С помощью NTP.
Для ручной установки на устройствах CISCO используется команда привилегированного режима:
clock set
NTP - иерархическая структура сервисов времени в интернете и локальной сети.
Протокол UDP, 123 порт.
show clock detail clock set время дата clock timezone PST +/- число clock summer-time источник recurring show ntp associations show ntp status
Stratum — уровень иерархической структуры NTP, число определяет количество переходов до официального источника точного времени (Stratum 0). Также важны серверы со Stratum 1, их отличают от остальных устройств со Stratum 2 и больше. Если устройство получает время от сервера NTP, то Stratum устройства увеличивается на единицу по отношению к этому серверу. Максимальное число переходов - 15. Stratum 16 означает, что время на устройстве не синхронизировано.
Настройка и проверка NTP
До конфигурации NTP, команда:
show clock
показывает текущее время на устройстве. С опцией detail также показывается источник времени.
Команды:
show ntp associations show ntp status
производят проверку синхронизации с NTP сервером.
Для настройки синхронизации с NTP сервером:
ntp server ip_address
Установка временной зоны:
clock timezone PST +/-x - где x это разница временной зоны с Pacific Daylight time
Переход на летнее время и обратно:
clock summer-time PDT reccuring
Восстановление пароля
В зависимости от устройства процедура может отличаться, но принцип для роутеров одинаковый:
- Step 1. Enter the ROMMON mode;
- Step 2. Change the configuration register to 0x2142 to ignore the startup config file;
- Step 3. Make necessary changes to the original startup config file;
- Step 4. Save the new configuration.
Примечание. Консольный доступ необходим. Необходима также ввести устройство в режим ROMMON зажиманием кнопки Mode на устройства, или кнопки Break в окне терминала, или в PuTTY Ctrl+Break - процедура может отличаться для разных устройств (//www.cisco.com/c/en/us/support/docs/routers/10000-series-routers/12818-61.html).
После перезагрузки надо загрузить старую конфигурацию, разумеется со старым паролем:
copy startup-config running-config
Затем установить пароль, нормальное состояние регистра, записать конфигурацию и перезагрузить роутер:
Следует обратить внимание, что команды в режиме ROMMON отличаются от команд в других режимах.
Полезная тулза для просмотра различных вариантов конфигурационного регистра.