Cisco IOS: Основные команды настройки (в примерах)


 
 
 
 

 
   
   

 

 

Режимы:
 Router# - привелегированный
 Router > - непривелегированный
Для входа в режим Router(config)# :
 Router# config t
Для входа в режим Router(config-if)# :
 Router(config)# interface FastEthernet 0/0
Для входа в режим Router(config-line)# :
 Router(config)# line ?
 Router(config)# line consol 0
Для входа в режим Router(config-router)# :
 Router(config)# router ?
 Router(config)# router rip
Закончить - CTRL/Z

ip address
Режим:
Router(config-if)#
Синтаксис:
ip address ip-address mask [secondary] || no ip address
Описание:
Данная команда устанавливает значение параметров интерфейса.
ip-address mask : ip адрес и маска
secondary - вторичный адрес (может быть не один)
no ip address - нет ip-адреса
Пример:
Router(config-if)# ip address 192.168.10.1 255.255.255.0

bandwidth
Режим:
Router(config-if)#
Синтаксис:
bandwidth kilobits || no bandwidth
Описание:
kilobits : Пропускная способность в килобитах в секунду.
Данная команда необходима только для протоколов маршрутизации. (OSPF например). Пример:
Router(config)# interface serial 0/0
Router(config-if)# bandwidth 1540


description
Режим:
Router(config-if)#
Синтаксис:
description string || no description
Описание:
string : Комментарий к интерфейсу. Пример:
Router(config-if)# description 100Mb to UA-IX

encapsulation
Режим:
Router(config-if)#
Синтаксис:
encapsulation encapsulation-type || no encapsulation encapsulation-type
Описание: encapsulation-type : Тип енкапсуляции:
  • atm-dxi (ATM Mode-Data Exchange Interface)
  • bstun (Block Serial Tunnel)
  • frame-relay (Frame Relay, for serial interface)
  • hdlc (High-Level Data Link Control protocol, for serial interface)
  • isl (Inter-Switch Link, for virtual LANs)
  • lapb (X.25 Link Access Procedure, Balanced, for serial interface)
  • ppp (Point-to-Point, for serial interface)
  • sdlc (IBM serial Systems Network Architecture (SNA))
  • sdlc-secondary (IBM serial SNA (for secondary serial interface))
  • slip (Specifies Serial Line Internet Protocol)

  • Пример:
    Router(config)# interface serial 0/0
    Router(config-if)# encapsulation ppp

    encapsulation frame-relay
    Режим:
    Router(config-if)#
    Синтаксис:
    encapsulation frame-relay [cisco | ietf] || no encapsulation frame-relay [ietf]
    Описание:
    cisco : Использовать енкапсуляцию cisco.(Заголовок 4 байта: 2=DLCI + 2=тип пакета) ietf : стандарт Internet Engineering Task Force (IETF) (RFC 1490). Пример:
    Router(config)# interface serial 0/1
    Router(config-if)# encapsulation frame-relay ietf

    encapsulation x25
    Режим:
    Router(config-if)#
    Синтаксис:
    encapsulation x25 [dte | dce ] [ddn | bfe ] | [ietf ] || no encapsulation x25
    Описание:
  • dte : Работать как DTE. (По умолчанию).
  • dce : Работать как DCE. ddn : DDN X.25 Standard Service.
  • bfe : При подключении к BFE устройтсву. ietf : Стандарт Internet Engineering Task Force (IETF) (RFC 1356).
  • Пример:
    Router(config)# interface serial 0/1
    Router(config-if)# encapsulation x25 dce

    На другой стороне:
    Router(config)# interface serial 0/1
    Router(config-if)# encapsulation x25 dte

    (dce и dte - логические, не зависят от типа оборудования)

    shutdown
    Режим:
    Router(config-if)#
    Синтаксис:
    shutdown || no shutdown
    Описание:
    Поднять (включить) или опустить (выключить) интерфейс. Пример:
    Router(config-if)# no shutdown

    cdp enable
    Режим:
    Router(config-if)#
    Синтаксис:
    cdp enable || no cdp enable
    Описание:
    Включить Cisco Discovery Protocol (CDP) на интерфейсе или выключить. Пример:
    Router(config)# interface serial 0/1
    Router(config-if)# no cdp enable

    cdp holdtime
    Режим:
    Router(config)# Синтаксис:
    cdp holdtime seconds || no cdp holdtime
    Описание:
    seconds : Количество секунд, в течение которых устойство получившее CDP пакет будет его хранить. (по умолчанию 180 сек.) Значение должно быть больше, чем cdp timer (период отсылки cdp пакетов). Пример:
    Router(config)# cdp holdtime 100

    ip redirects
    Режим:
    Router(config-if)#
    Синтаксис:
    ip redirects || no ip redirects
    Описание:
    Дання команда включает отправку ICMP redirects на интерфейсе. (если входящий пакет надо отправить в тот же интерфейс с которого он получен) Пример:
    Router(config)# interface serial 0/0
    Router(config-if)# ip redirects

    clear cdp table
    Режим:
    Router#
    Синтаксис:
    clear cdp table
    Описание:
    Команда очищает таблицу содержащую информацию о CDP соседях. Пример:
    Router# clear cdp table

    clear cdp counters
    Режим:
    Router#
    Синтаксис:
    clear cdp counters
    Описание:
    Очищает всю информацию (счетчики) о полученых, отправленых, ... CDP пакетах. Посмотреть эту информацию можно выполнив команду show cdp traffic. Пример:
    Router# clear cdp counters

     


    Списки доступа (Access list) ACL

    ip access-group
    Режим:
    Router(config-if)#
    Синтаксис:
    ip access-group access-list-number | access-list-name {in | out} || no ip access-group access-list-number | access-list-name
    Описание:
    • access-list-number | access-list-name : Имя или название ACL
    in, out : На какие пакеты будет действоавть этот ACL.
    • in - на те которые получены с этого интерфейса
    • out - те которые должны быть отправлены с этого интерфейса.

    Пример: Запрет на доступ к серверам 10.0.0.[1 - 3] всем кто подключен к serial 0/0, на всю остальную сеть 10.0.0.0/8 - запрета нет.
    Router(config)# access-list 2 deny 10.0.0.1
    Router(config)# access-list 2 deny 10.0.0.2
    Router(config)# access-list 2 deny 10.0.0.3
    Router(config)# access-list 2 permit 10.0.0.0 0.255.255.255
    Router(config)# interface serial 0/0
    Router(config-if)# ip access-group 2 in

    Номера ACL (стандартные,расширенные, acl numbers)

    Протокол IP: Стандартные: 1 - 99 Стандартные: 1300-1999 Расширенные: 100 - 199 Расширенные: 2000 - 2699 Протокол IPX: Стандартные: 800 - 899 Расширенные: 900 - 999

    access-list
    Режим:
    Router(config)#
    Синтаксис:
    Стандартный:
    access-list access-list-number {
      deny | permit | remark line  }
    source [source-wildcard] [log]

    Расширенный: access-list
    access-list-number [dynamic dynamic-name [timeout minutes]]
      {deny | permit | remark line }
    protocol source source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log | log-input][time-range name]

    || no access-list access-list-number

    Описание:
    • access-list-number[20] - номер ACL списка.
    • dynamic dynamic-name timeout minutes - Означает что данная запись в этом ACL будет динамической (будет ставлятся в ACL только тогда, когда произойдет телнет на циску, и удалятся через minutes мин. неактивности)
    • deny - запретить прохождение пакетов permit - разрешить прохождение пакетов
    • remark line - комментарий
    • protocol - протокол для которого данное правило будет работать
    • source [source-wildcard] - источник пакетов, wild-card маска источника
    • destination [destination-wildcard] - получатель пакетов, wild-card маска получателя
    • precedence precedence - (0..7) Первые 3-и бита поля TOS (тоже самое можно сделать через TOS)
    • tos tos - (0..15) Поле TOS IPv4 пакета (Type of service)
    • log - Логирование на консоль (какой ACL, протокол, откуда+куда пакет пришел, ...)
    • log-input - Тоже что и log + интерфейс + MAC адрес отправителя
    • time-range name - Когда должно действовать это правило. (Смотри команду time-range)

    Пример динамического ACL:
    Router(config)# access-list 101 permit tcp 0.0.0.0 255.255.255.255 10.0.0.1 0.0.0.0 eq telnet
    Router(config)# access-list 101 dynamic admin_www permit tcp 10.0.0.0 0.0.0.255 0.0.0.0 255.255.255.255 eq 80
    Router(config)# access-list 101 deny ip any any

    Стандартный: Router(config)# access-list 1 permit 10.0.0.1 0.0.0.0

    show access-lists
    Режим:
    Router#
    Синтаксис: show access-lists [access-list-number | access-list-name]
    Описание:
    • access-list-number - Номер Access списка
    • access-list-name - Имя ACL (для именованых ACL)
    Команда выводит состав ACL списка.
    Пример:
    Router# show access-lists 110
    permit tcp host 10.0.0.10 any established (4304 matches)
    permit udp host 10.0.0.10 any eq domain (129 matches)
    permit icmp host 10.0.0.10 any
    permit tcp host 10.0.0.10 host 10.0.0.11 gt 1023
    permit tcp host 10.0.0.10 host 10.0.0.11 eq smtp (2 matches)
    permit tcp host 10.0.0.10 host 10.0.0.12 eq smtp


    clear access-list counters
    Режим:
    Router> или Router#
    Синтаксис: clear access-list counters [access-list-number | access-list-name]
    Описание:
    • access-list-number - Номер Access списка
    • access-list-name - Имя ACL (для именованых ACL)

    Команда очищает значения счетчиков списка доступа. (Которые можно увидеть выполнив команду [21] show access-lists)
    Пример: Router# clear access-list counters 110
    или Router> clear access-list counters 110
     


    Временные периоды (Time Range)

    absolute
    Режим:
    Router(config-time-range)#
    Синтаксис:
    absolute [start time date] [end time date] || no absolute
    Описание:
    time :Время в 24 часовом формате. date : Дата. (число "название месяца" год, пример: 10 december 2005)
    Пример:
    Router(config-time-range)# absolute 01:00 31 december 2005 01:00 1 january 2006

    time-range
    Режим:
    Router(config)#
    Синтаксис:
    time-range time-range-name || no time-range time-range-name
    Описание:
    time-range-name : Имя временного периода.
    Пример:
    Router(config)# time-range DenyNight

    periodic
    Режим:
    Router(config-time-range)#
    Синтаксис:
    periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm
    Описание:
    days-of-the-week : Начало или конец временного периода. Варианты: Monday, Tuesday, Wednesday, Thursday, Friday, Saturday, Sunday. Или: daily = (Monday - Sunday), weekdays = (Monday - Friday), weekend = (Saturday, Sunday). hh:mm - В 24 часовом формате
    Пример:
    Router(config)# time-range DenyNight
    Router(config-time-range)#periodic daily 22:00 to 9:00

     


     

    Маршрутизация

    OSPF (Open Shortest Path First)

    router ospf (запуск процесса ospf)
    Режим:
    Router(config)#
    Синтаксис:
    router ospf process-id || no router ospf process-id
    Описание:
    process-id : Номер процесса OSPF. (любое число > 0) ( можно запустить несколько процессов )
    Пример:
    Router(config)# router ospf 1

    network area
    Режим:
    Router(config-router)#
    Синтаксис:
    network address wildcard-mask area area-id || no network address wildcard-mask area area-id
    Описание:
    address wildcard-mask : Адрес и wild-card маска сети, которая будет учавствовать в OSPF маршрутизации. ( также определяет интерфейс на котором будет запущен OSPF )
    Пример:
    Router(config-router)# network 10.0.0.0 0.0.0.255 area 1

    ip ospf cost
    Режим:
    Router(config-if)#
    Синтаксис:
    ip ospf cost cost || no ip ospf cost
    Описание:
    cost : Стоимость (метрика) маршрута (для данного интерфейса) для OSPF маршрутизации. (от 1 до 65535). При отсутствии данной команды стоимость (метрика) для данного интерфейса расчитываеться исходя из его пропускной способности. (см команду bandwidth)
    Пример:
    Router(config-if)# ip ospf cost 100

    ip ospf priority
    Режим:
    Router(config-if)#
    Синтаксис:
    ip ospf priority number || no ip ospf priority
    Описание:
    number : Приоритет маршрутизатора. (от 1 до 65535). Приоритет используется при выборе выделенного (designated) маршрутизатора. Чем выше приоритет, тем больше шансов, что этот маршрутизатор станет выделенным.
    Пример:
    Router(config-if)#ip ospf priority 15

    area
    Режим:
    Router(config-router)#
    Синтаксис:
    area area-id {
    authentication [message-digest]
    stub [no-summary]
    nssa [no-redistribution] [default-information-originate]
    default-cost cost
    range address mask [advertise | not-advertise]
    virtual-link router-id
    }

    Описание:
    • area-id : для какой зоны будут дальнейшие настройки.
    • authentication [message-digest] Указание того, что для данной зоны включена авторизация. ( см. команду ip ospf authentication-key )
    • Если указан параметр message-digest то будет использоваться авторизация по MD5 ключу. ( см. команду ip ospf message-digest-key )
    • stub [no-summary]  указывает, что данная зона являеться тупиковой. В нее не отправляються обновления о изменениях состояния каналов, а отправляются только суммированые данные. При указании параметра no-summary  не отправляються и суммированые данные (LSA тип 3).
    • nssa [no-redistribution] [default-information-originate] Cisco как обычно вставила свои 5-копеек в протокол OSPF. :-). NSSA = not-so-stubby area. Не совсем тупиковая зона. (О как!) То же что и stub, но при этом маршрутизатор будет импортировать внешние маршруты.
    • Опция default-information-originate - говорить всем что маршрут 0.0.0.0 - через меня.
    • default-cost cost  Указывает стоимость (метрику) суммарного маршрута по умолчанию отправляемого в тупиковую зону.
    • range address mask  используеться для указания сумманого адреса и маски на границе зоны.

    Пример:   Router(config-router)#area 1 range 10.0.0.1 255.255.0.0
    • virtual-link router-id  Если маршрутизатор не имеет прямой связи с зоной 0 (требование протокола OSPF), но имеет соединение с (например) с зоной 1, то зона 1 обьявляеться как "транзитная" (виртуальная).

    Пример конфига (даже с авторизацией на транзитной зоне) есть тут.
    Пример:
    Router(config-router)# area 0 authentication message-digest

    ip ospf authentication-key
    Режим:
    Router(config-if)#
    Синтаксис:
    ip ospf authentication-key password || no ip ospf authentication-key
    Описание:
    password : Пароль для авторизации пакетов от соседнего маршрутизатора на котором настроена авторизация аналогичным образом.(до 8 символов). Для включения авторизации необходимо явно указать это (для конкретной зоны) с помощью команды area [area_num] authentication
    Пример:
    Router(config-if)# ip ospf authentication-key thispwd

    ip ospf message-digest-key
    Режим:
    Router(config-if)#
    Синтаксис:
    ip ospf message-digest-key key-id md5 key || no ip ospf message-digest-key key-id
    Описание:
    Команда используеться для установки авторизационных параметров по алгоритму MD5. key-id : Номер ключа. (от 1 до 255). key : Пароль (буквенно-циферный). (до 16 символов). key-id и key ДОЛЖНЫ совпадать на соседних маршрутизаторах. Для включения авторизации необходимо явно указать это (для конкретной зоны) с помощью команды area [area_num] authentication
    Пример:
    Router(config)# interface ethernet 0/1
    Router(config-if)# ip ospf message-digest-key 1 md5 coolpwd1


    ip ospf network
    Режим:
    Router(config-if)#
    Синтаксис:
    ip ospf network {
      broadcast
      non-broadcast {
        point-to-multipoint [non-broadcast]
        }
      } || no ip ospf network

    Описание:
    Команда указывает протоколу OSPF к камому типу сети подключен данный интерфейс.
    Пример:
    Router(config-if)# ip ospf network non-broadcast

    router-id
    Режим:
    Router(config-router)#
    Синтаксис:
    router-id ip-address || no router-id ip-address
    Описание:
    Команда необходима для явного указания ID маршрутизатора. (Иначе ID будет присвоен автоматически. ) ID разных маршрутизаторов не должны совпадать!
    Пример:
    Router(config-router)# router-id 10.0.0.1