Какая команда сохраняет файл конфигурации из оперативной памяти в nvram

Обновлено: 05.07.2024

Если вы использовали ПК с 1995 года и на нем работала более новая версия, чем Windows 3.1, велика вероятность того, что вы слышали или, возможно, даже использовали HyperTerminal для выполнения функций связи и эмуляции терминала. Если у вас есть доступ к HyperTerminal, вам повезло, так как вы можете использовать его двумя основными способами для подключения к маршрутизаторам Cisco: асинхронно через консольный (CONS) или вспомогательный (AUX) порт и как приложение Telnet. Сначала мы обсудим асинхронное использование HyperTerminal, а затем обсудим тонкости его использования в сетевых коммуникациях вместо Telnet.

Я возвращаюсь к старым временам телекоммуникаций, когда терминальные программы, такие как Telix и MacTerm, были в моде для подключения к системам досок объявлений (BBS), которые являются вчерашним эквивалентом форумов и чатов. Оказывается, все, что может отслеживать состояние последовательного порта и передавать информацию в буферы данных и из них на экран, может быть функциональной терминальной программой и может работать на маршрутизаторе для его настройки через его асинхронные соединения. На самом деле, у меня в гараже до сих пор есть устаревший Apple IIc с ProTERM, и я использую его для настройки интеллектуальных коммутаторов и маршрутизаторов просто для развлечения. Это крик, и он работает с небольшой суетой. Хотя вы можете использовать HyperTerminal через консоль и вспомогательные порты, каждый из них имеет особое назначение и требует защиты.

HyperTerminal особенно хорошо подходит для записи и загрузки текущей конфигурации с маршрутизаторов и на них. Но если вы оставите экранную страницу на 24 строки, вам придется удалить строку – more- из записанного текста (это очень раздражает, когда она там). В режиме глобальной конфигурации введите следующее:

Это устранит автоматическую паузу при записи текущей конфигурации в сеансе HyperTerminal. Выберите Трансфер| Capture Text, чтобы выбрать файл для захвата данных, и Transfer | Захват | Остановить, чтобы остановить передачу.

Первый метод подключения, который мы рассмотрим, — это подключение через последовательное консольное кабельное соединение в HyperTerminal с последующим подключением Telnet к интерфейсам VTY. Позже мы полностью перейдем от небезопасного метода подключения Telnet к предоставленному сервером подключению Secure Shell (SSH) в качестве короткого упражнения по защите связи маршрутизатора, когда обновление невозможно.

Консольный порт

В любое время, когда вам нужно сбросить пароль маршрутизатора или вы сталкиваетесь со случаем, когда маршрутизатор больше не может быть подключен к сети и, следовательно, недоступен через Telnet, вы можете использовать консольный порт. Консольный порт часто используется в ситуациях, когда кто-то неправильно настроил маршрутизатор из дома или перезагружает его только для того, чтобы обнаружить, что он отключился и теперь ему нужно физически подключиться к маршрутизатору и настроить все правильно.

Два других примечательных факта о консольном порте: он используется для сброса пароля маршрутизатора и в качестве места назначения по умолчанию для сообщений о состоянии маршрутизатора и отладочных сообщений. Я поднял вопрос о сбросе пароля в начале этого раздела. Консольный порт — это единственный порт на маршрутизаторе Cisco, на котором можно успешно обойти сохраненную конфигурацию и впоследствии сбросить пароль. На данный момент очень важно иметь дополнительную физическую защиту, когда речь идет о доступе вокруг ваших маршрутизаторов.

Я работал со специалистами по тестированию на проникновение, которые вальсировали в серверную или в центр сетевых операций, изображая из себя уборщиков. Находясь на месте, они сделали скриншоты, подключили кабель к порту консоли и оставили свою «визитную карточку» среди других действий, чтобы доказать, что они там были. Как только они получили физический доступ, игра в защиту для персонала закончилась. Пожалуйста, не позволяйте этому случиться с вами.

Другая ключевая функция консольного порта заключается в том, что журналы, отладка и сообщения о состоянии отображаются через консольный порт по умолчанию. Это сделано намеренно, так как тот, кто физически подключен к маршрутизатору через консольный порт, должен быть в курсе всего, что происходит внутри головы маршрутизатора. Вы можете изменить это, изменив настройки ведения журнала и выполнив команду monitor при подключении к соответствующему терминальному интерфейсу.

Это поднимает важный вопрос о ведении учета и аудите. Если вы не настроите систему для доставки данных журналов предупреждений, отладки и администрирования в систему ведения журналов, настроенную на получение системных сообщений, подобных этим, есть вероятность, что вы пропустите произошедшее событие и не получите никакой информации. относительно того, когда это произошло и кто стал причиной этого. Такая система называется сервером системного журнала.Если вы не знаете, используется ли сервер системного журнала таким образом, возможно, вам следует внести это изменение.

Если вы действительно хотите настроить маршрутизатор для отправки сообщений на сервер системного журнала, используйте следующие команды:

Я также рекомендую вам убедиться, что список управления доступом (ACL) помещен перед сервером системного журнала, чтобы хакерам было труднее загружать ваш сервер системного журнала поддельными сообщениями о событиях. Вы также можете отправлять сообщения системного журнала на 16 различных серверов системного журнала, чтобы разные организации или географически разделенные группы могли пользоваться преимуществами отчетов журнала.

В оставшейся части этой главы я буду описывать функции, которые сделают ведение журнала эффективным, такие как установка сетевого времени из надежных источников, а также ACL. Я также продемонстрирую отключение ненужных служб и принудительную аутентификацию по имени пользователя для других.

Если вы работаете сетевым администратором или занимаетесь сетевой безопасностью в своем офисе, не думайте, что вы можете установить и забыть, настроив ведение журнала. Ваша работа не закончена. Все эти данные, поступающие на сервер системного журнала, по-прежнему необходимо анализировать, чтобы определить, происходят ли инциденты. Если вы работаете в роли реагирования на инциденты и выполняете сбор данных, серверы системных журналов могут столкнуться с невероятным объемом информации, которую необходимо проанализировать. Вы будете поражены тем, как много логов делается, и есть искушение испугаться и уйти от этого. Неизбежная правда заключается в том, что кто-то должен просматривать зарегистрированные данные и анализировать их. Никакой скрипт, машина или программа не могут сделать это за вас, поскольку у вас есть самый продвинутый механизм анализа: тот, что между вашими ушами.

Не удивляйтесь, если вы встретите ИТ-специалистов, которые думают, что консольный порт — это единственное место, где на маршрутизаторе Cisco происходит правильное действие. Сетевые специалисты и администраторы имеют право на свою веру. Рискну предположить, что вы можете стать членом их группы, если возьмете с собой собственный консольный кабель Cisco или сами сделаете кабель, совместимый с маршрутизаторами Cisco, коммутаторами, частным интернет-обменом/устройством адаптивной защиты (PIX/ASA). ) брандмауэры и другие сетевые устройства.

Для наших целей в этой главе мы будем использовать HyperTerminal для создания профиля настроек Connections как для последовательного соединения через консольный порт, так и для Telnet через виртуальные терминалы (VTY). Сначала мы обратимся к консольному порту.

На рис. 6.1 показаны начальные этапы открытия HyperTerminal и выбора осмысленного имени соединения.

Рисунок 6.1. Настройка COM-порта HyperTerminal

На рис. 6.2 показаны параметры управления потоком, четности и другие параметры. Если вы допустили ошибку с настройкой, выберите Файл | Свойства, а затем нажмите кнопку «Настроить», чтобы сбросить настройки соответствующим образом.

Рисунок 6.2. Настройки COM-порта

Рисунок 6.3. Выполнен вход в режим привилегированного включения маршрутизатора Cisco

Спасибо Дейлу Лю за упоминание этого "пасхального яйца". HyperTerminal позволит вам установить последовательные настройки кабеля консоли Cisco одним нажатием кнопки. Когда вам будут представлены свойства для COM1 (или любого другого, установленного для вашего последовательного порта на вашем ПК), нажмите кнопку «Восстановить значения по умолчанию» в нижней половине окна. Как по волшебству, настройки, которые я описал ранее, будут применены. Нажмите OK, и все готово.

В этом разделе я обсудил основные настройки, необходимые для подключения консольного порта к маршрутизатору. Большая часть конфигурационных функций, сообщений о состоянии и отладки выполняется через консольный порт. Без него вы не сможете обойти сценарии запуска и изменить пароли. Если вам нужно это сделать, консольный порт — ваш единственный путь к успеху.

Дополнительный порт

Вспомогательный (AUX) порт используется в маршрутизаторах Cisco в некоторых случаях, и большинство из них предназначено для удаленного администрирования.Когда вы подключаетесь через порт AUX, вы обычно не получаете все сообщения о состоянии системы и отладочные сообщения, если вы не внесете некоторые изменения и не установите настройку монитора на порт AUX. Вы также можете использовать порт AUX в качестве средства удаленного входа в систему, если вы подключили к нему модем и подключили его к телефонной линии, по которой вы можете набирать номер. Однако, если вы это сделаете, проявите должную осмотрительность и защитите порт AUX и модем. вверх, так как каждая функция, добавляемая в сеть, предлагает компьютерному злоумышленнику еще один способ проникнуть в сеть и вызвать проблемы с сервером, и модемные порты не являются исключением.

Когда вы подключаете модем к порту AUX маршрутизатора, вы берете на себя довольно большую ответственность за безопасность, и вам нужно проделать определенную работу, чтобы смягчить возможные точки атаки. Чтобы предотвратить разграбление вашего маршрутизатора, вы можете начать с установки соответствующих паролей на порт AUX, прежде чем возникнет искушение подключить ваш модем. Убедитесь, что номер дозвона к модему доступен только тем сотрудникам, которым можно доверять и которым необходимо знать такую информацию. Также убедитесь, что номер не опубликован. Выполнив эти действия, вы сможете воспользоваться некоторыми преимуществами удаленного администрирования и снизить вероятность компрометации.

Вы можете использовать порт AUX в качестве второго порта консоли, но вы заметите некоторые отличия, как только войдете в него в первые несколько раз. Одно из ключевых отличий заключается в том, что сообщения о состоянии, регистрации и отладке не отображаются на порту AUX, если вы не внесете какие-либо изменения. Вы также не увидите сообщения о загрузке системы, пока IOS не будет полностью перезагружена.

На рис. 6.4 показана конфигурация порта AUX с командой monitor и уровнем ведения журнала, настроенным на мониторинг, чтобы команды не перекрывались сообщениями о состоянии.

Рисунок 6.4. Проверка безопасности портов AUX

Вы можете увидеть, что вход был выполнен, а также проверить, на каком порту был выполнен вход. В этом случае мы подтвердили, что вошли в порт AUX, после чего конфигурация порта AUX была изменена, и мы вышли из режима глобальной конфигурации. Как только это было завершено, появились всевозможные сообщения о состоянии.

Если вы действительно хотите, чтобы отладочные сообщения и сообщения о состоянии отображались через последовательное соединение с портом AUX, выполните настройку следующим образом:

Если вы подключены к порту AUX, вы должны увидеть всплывающие сообщения о состоянии в окне терминала.

Помните, что мы говорили о защите порта AUX от попыток вторжения в начале этого раздела? Следующий фрагмент кода будет посвящен тому, как заблокировать и сделать порт AUX неработоспособным. Это элемент, который легко проверить на предмет соответствия требованиям безопасности, любезно предоставленный нашими друзьями из Национальной ассоциации безопасности (АНБ) и их вкладом в повышение осведомленности о безопасности маршрутизатора; Руководство АНБ по усилению защиты конфигурации маршрутизатора/коммутатора сотворило чудеса в этом отношении. Вот команды, введенные в интерфейс командной строки (CLI):

Здесь мы применили слишком много контрмер. Мы устанавливаем тайм-аут простоя на одну секунду и ноль минут; мы убрали баннер exec; и мы отключили входной транспорт.

Производственные операции

Джеймс Фармер, . Вейл Ван, FTTx Networks, 2017 г.

Возможность резервного копирования и восстановления

Разработка стратегии резервного копирования и восстановления конфигурации и подготовки обеспечивает безопасность текущей конфигурации активных устройств в сети и информации об инициализации абонентов, которые необходимы для воссоздания операционной среды сети. Как правило, для активных устройств имеется программное средство для периодического автоматического переноса текущей конфигурации в резервную файловую систему для хранения и извлечения по мере необходимости. Для критически важных баз данных, используемых для подготовки, должна быть предусмотрена стратегия периодического резервного копирования данных, а также стратегия устойчивости для постоянной защиты данных, а также их постоянная доступность наряду с периодическими резервы на случай катастроф. Независимо от специфики процессов, разработанных для сети, необходимо проводить периодическое тестирование, в ходе которого сохраненные резервные копии извлекаются и восстанавливаются на репрезентативных сетевых устройствах, чтобы убедиться, что процессы резервного копирования работают.

Настройка маршрутизаторов Cisco

Файлы конфигурации

Изменения конфигурации, которые вы вносите в режиме Global Configuration, повлияют только на текущую конфигурацию маршрутизатора. Если бы маршрутизатор был перезагружен, конфигурация вернулась бы к предыдущей конфигурации.Это связано с тем, что при загрузке маршрутизатор извлекает свою конфигурацию из NVRAM. Эта конфигурация называется startup-config. Если вы хотите, чтобы ваши изменения конфигурации были постоянными, вы должны сохранить их в NVRAM. Это можно сделать, введя write memory (или wr mem) или copy running-config startup-config (или copy run чтобы начать).

Сбор энергонезависимых данных с маршрутизатора

Часто задаваемые вопросы

Являются ли обычно энергонезависимые данные достаточным доказательством инцидента?

Нет, к сожалению, знающий злоумышленник внесет изменения только в текущую конфигурацию и изменит ваш пароль, требуя перезагрузки для сброса пароля для получения доступа. Это перезаписывает текущую конфигурацию начальной конфигурацией и фактическими свидетельствами изменений конфигурации.

Какой предпочтительный способ подключения к маршрутизатору для сбора доказательств?

Используйте консольный порт и такую программу, как HyperTerminal, обеспечивающую полную регистрацию сеанса.

Если я не знаю пароль, как я могу получить доступ к маршрутизатору для сбора энергонезависимой информации?

Существует процедура сброса пароля, но она требует перезагрузки, которая перезапишет энергонезависимую информацию.

Почему я должен привлекать юридический отдел моей компании для проверки моего плана анализа?

Сбор доказательств должен осуществляться таким образом, чтобы не нарушать существующие «Политики прав использования» внутри организации.

Почему важно создавать хэш файлов MD5 на маршрутизаторе?

Хэш MD5 может доказать, что копия файла является достоверной, побитовой копией.

Каковы параметры связи для подключения к порту AUX на маршрутизаторе Cisco?

9600 бит в секунду, 8 битов данных, четность = нет, стоповые биты = 1 и управление потоком = нет.

Где в памяти хранится копия конфигурации маршрутизатора?

Загрузочная копия существует во флэш-памяти, а рабочая копия находится в энергонезависимой памяти.

Почему TFTP считается небезопасным?

TFTP обеспечивает доступ без имени пользователя и пароля и использует протокол без установления соединения UDP.

Стек устройств Cisco использует межсетевую операционную систему (IOS), которая управляет производительностью и поведением устройства. Cisco IOS определяет интерфейс, называемый интерфейсом командной строки (CLI), который позволяет администраторам вводить команды в программу эмуляции терминала. Доступ к CLI можно получить тремя способами: консоль, Telnet и Secure Shell (SSH).

Режимы Cisco

Пользователи могут войти в систему на устройстве Cisco, используя следующие режимы:

Режим Exec (режим пользователя) — позволяет пользователю осмотреться, но ничего не изменить. При доступе к интерфейсу командной строки любым из трех способов пользователь входит в Exec.
Включить режим (привилегированный режим или привилегированный режим выполнения) — позволяет пользователю выполнять привилегированные команды, такие как команда перезагрузки, которая указывает коммутатору перезагрузить Cisco IOS. Чтобы войти в этот режим, пользователь запускает командный режим enable.
Режим глобальной конфигурации — позволяет пользователям вводить команды без прерывания работы и отображать некоторую информацию. В отличие от режимов exec и enable, режим конфигурации принимает команды конфигурации — команды, сообщающие коммутатору, что и как делать. Команды, вводимые в режиме конфигурации, обновляют активный файл конфигурации, но фактические изменения конфигурации вступают в силу только после перезагрузки устройства. Чтобы войти в режим конфигурации, пользователь выполняет команду configure terminal (conf t).

Режим конфигурации содержит несколько подрежимов. Один из них — режим настройки интерфейса, в который можно войти, выполнив команду настройки интерфейса FastEthernet 0/1 (int fa0/1).

Основные команды интерфейса командной строки

Команда show — одна из самых полезных команд, поскольку вы можете узнать состояние почти каждой функции Cisco IOS. Он считывает текущую конфигурацию из ОЗУ устройства Cisco и перечисляет запрошенные параметры в интерфейсе командной строки. Например, команда show version отображает информацию о версии Cisco IOS, которая в данный момент загружена на устройство.

Отладка

Как и команда show, команда debug показывает информацию о настройках устройства. Однако вместо того, чтобы просто перечислить текущее состояние, команда отладки просит устройство продолжить мониторинг различных процессов в нем и отправлять пользователю сообщения при возникновении различных событий, показывая состояние настроек с течением времени. В результате команда отладки занимает больше циклов ЦП, но позволяет отслеживать происходящее в коммутаторе в режиме реального времени. Короче говоря, show предназначено для создания отчетов, а debug — для мониторинга.

Имя хоста

Команда hostname назначает сетевое имя устройству Cisco.

Используйте ? чтобы получить ответы на вопросы о других командах, например, их синтаксисе и описании.

Где хранятся файлы конфигурации

Устройству Cisco необходимо использовать файл конфигурации для выполнения своей работы. Устройства Cisco имеют оперативную память (ОЗУ) для хранения данных из файла конфигурации, пока Cisco IOS использует его, но содержимое ОЗУ теряется при отключении питания устройства. Чтобы загрузить все данные конфигурации обратно после отключения питания устройства, Cisco использует несколько типов более постоянной памяти. В следующем списке описаны четыре основных типа памяти коммутаторов и маршрутизаторов Cisco, а также наиболее распространенное использование каждого типа:

ОЗУ — ОЗУ используется устройством Cisco для хранения данных. Текущий файл конфигурации сохраняется
ПЗУ — в постоянном запоминающем устройстве (ПЗУ) хранится программа начальной загрузки, которая загружается при первом включении коммутатора. Эта программа находит полный образ Cisco IOS и загружает его в ОЗУ.
Флэш-память. Эта память может находиться либо внутри устройства, либо на съемной карте памяти. Флэш-память хранит полностью функциональные образы Cisco IOS и является местом по умолчанию, где коммутатор получает свою Cisco IOS во время загрузки. Флэш-память также можно использовать для хранения других файлов, в том числе резервных копий файлов конфигурации.
NVRAM — в энергонезависимой памяти (NVRAM) хранится первоначальный файл или файл начальной конфигурации, который используется при включении или перезагрузке устройства Cisco.

Копирование, стирание и сохранение текущей конфигурации на устройствах Cisco

Чтобы изменить конфигурацию устройства Cisco, необходимо войти в режим настройки терминала, а затем использовать одну или несколько следующих команд.

Переименовать устройство

Используйте команду hostname newname, чтобы изменить имя устройства на указанную вами строку.

Сохранить текущую конфигурацию на устройстве Cisco

Используйте команду copy running-config startup-config (copy run start), чтобы перезаписать текущий файл конфигурации запуска тем, что находится в текущем файле конфигурации.

Копировать файлы

Команду копирования можно использовать для копирования файлов на устройстве Cisco, таких как файл конфигурации или новая версия Cisco IOS. Файлы можно копировать между RAM, NVRAM и TFTP-сервером. Синтаксис команд копирования следующий:

Первый набор параметров в фигурных скобках — это местоположение "откуда"; следующий набор — это местоположение «до». Когда файл копируется в NVRAM или на сервер TFTP, команда копирования всегда перезаписывает существующий целевой файл новым файлом. Однако, когда команда копирования копирует файл конфигурации в работающий файл конфигурации в ОЗУ, файл конфигурации в ОЗУ не заменяется; вместо этого он объединяется.

Стереть содержимое NVRAM

Для стирания NVRAM можно использовать три разные команды: стирание записи, стирание конфигурации запуска и стирание nvram. Все они стирают содержимое конфигурационного файла NVRAM, поэтому, если устройство затем перезагружается, начальной настройки нет, и вам нужно начать начальную настройку устройства.

Обратите внимание, что в Cisco IOS нет команды, которая стирает содержимое работающего файла конфигурации. Чтобы очистить текущий файл конфигурации, просто сотрите файл начальной конфигурации и перезагрузите устройство.

Защита входа на устройства Cisco

Устройства Cisco аутентифицируют пользователей при входе в систему, но в конфигурации по умолчанию используется только простая защита паролем, а команда enable password определяет пароль для текущего входа в систему. Вы можете помочь защитить режим включения, используя вместо этого команду enable secret. Более старая команда enable password сохраняет пароль в виде открытого текста в работающей конфигурации, и единственный способ зашифровать его — использовать слабую команду шифрования пароля службы. Более новая команда enable secret автоматически кодирует пароль с помощью хэша Message Digest 5 (MD5).

Первоначальная настройка устройств Cisco

Коммутаторы Cisco покидают завод со следующими настройками по умолчанию:

Все интерфейсы включены.
Автосогласование включено для портов, которые могут его использовать (дуплексный автоматический режим и автоматический режим скорости).
Все интерфейсы являются частью VLAN 1.

Все, что вам нужно сделать с новым коммутатором Cisco, это выполнить все физические подключения — кабели Ethernet и шнур питания — и он начнет работать.

Чтобы настроить переключатель:

Войдите в режим конфигурации VLAN 1, используя команду глобальной конфигурации interface vlan 1.
Назначьте IP-адрес и маску, используя маску IP-адреса.
Включите интерфейс VLAN 1 с помощью параметра "Без выключения".
Добавить шлюз по умолчанию с ip default-gateway
Добавьте DNS-сервер с помощью команды ip name-server для преобразования имен в IP-адреса.

После первоначальной настройки вы можете просмотреть информацию об IP-адресе и маске с помощью команды show interface vlan x, которая показывает подробную информацию о состоянии интерфейса VLAN. Если вы используете DHCP, используйте команду show dhcp Lease, чтобы увидеть арендованный IP-адрес.

Вы можете увидеть некоторые детали конфигурации интерфейса, используя команду show running-config или удобную команду show interfaces status, которая перечисляет каждый интерфейс в одной строке, которая показывает первую часть описания интерфейса, а также скорость и настройки двусторонней печати.

Команда интерфейса show port-security выводит список параметров конфигурации безопасности порта на интерфейсе, а также несколько важных фактов о текущей работе безопасности порта, включая информацию о любых нарушениях безопасности. Коммутатор можно настроить на выполнение одного из трех действий при возникновении нарушения с помощью следующей команды: Все три параметра заставляют коммутатор отбрасывать ошибочный кадр, но некоторые из них заставляют коммутатор выполнять дополнительные действия, такие как отправка сообщений системного журнала на консоль, отправка сообщений-ловушек SNMP на станцию управления сетью или отключение интерфейса.

Заключение

Как видите, очень просто сохранить текущую конфигурацию, скопировать ее на tftp-сервер и выполнить первоначальную настройку устройства Cisco. Перед изменением работающего конфига обязательно сделайте резервную копию.

Джефф — бывший директор по разработке глобальных решений в Netwrix. Он давний блогер Netwrix, спикер и ведущий. В блоге Netwrix Джефф делится лайфхаками, советами и рекомендациями, которые могут значительно улучшить ваш опыт системного администрирования.

Получите полный доступ к Cisco Cookbook и более чем 60 000 других изданий с бесплатной 10-дневной пробной версией O'Reilly.

Есть также прямые онлайн-мероприятия, интерактивный контент, материалы для подготовки к сертификации и многое другое.

Глава 1. Настройка маршрутизатора и управление файлами

1.0. Введение

Вы можете думать о маршрутизаторе Cisco как о специализированном компьютере. У него есть собственная операционная система, которая называется Межсетевой операционной системой (IOS), а также файлы и файловые системы. Итак, мы начнем с обсуждения основных функций системного администрирования, которые должен выполнять инженер-маршрутизатор. Это включает в себя управление файловыми системами маршрутизатора, обновление операционной системы, резервное копирование и восстановление конфигурации системы.

Маршрутизаторы Cisco используют для хранения информации флэш-память, а не диски. Флэш-накопители значительно дороже и медленнее, чем дисковые хранилища, но объем памяти, необходимый для работы маршрутизатора, относительно невелик по сравнению с объемом, необходимым для работы компьютера общего назначения. Флэш-память также имеет то важное преимущество, что она более надежна, чем дисковое хранилище.

Флэш-память похожа на оперативную память (ОЗУ), но ей не требуется питание для хранения информации, поэтому она называется энергонезависимой. И, в отличие от постоянного запоминающего устройства (ПЗУ), вы можете легко стирать и перезаписывать флэш-память. Существуют и другие типы энергонезависимой твердотельной памяти, такие как стираемая программируемая постоянная память (EPROM) и электронно стираемая программируемая постоянная память (EEPROM). СППЗУ не подходит для маршрутизаторов, поскольку для его стирания обычно требуется внешнее устройство, такое как ультрафиолетовый свет, проходящий через окошко на микросхеме. С другой стороны, EEPROM можно стереть, просто отправив сигнал стирания на микросхему. Но есть ключевое различие между EEPROM и флэш-памятью: когда вы стираете что-то с устройства EEPROM, вы должны стирать все устройство, в то время как флэш-устройства допускают выборочное удаление частей носителя.

Это важная функция для маршрутизаторов, потому что вы не всегда хотите стирать весь носитель, чтобы стереть один файл. В рецептах 1.11 и 1.12 мы обсуждаем способы стирания отдельных файлов на некоторых типах маршрутизаторов в зависимости от типа используемой файловой системы.

В маршрутизаторе Cisco есть как минимум две основные части энергонезависимого хранилища. Информация о конфигурации маршрутизатора хранится в устройстве, называемом энергонезависимой оперативной памятью (NVRAM), а образы IOS хранятся в устройстве, называемом флэш-памятью (нижний регистр). Важно сохранить эти имена прямыми, потому что, конечно же, вся флэш-память является энергонезависимой оперативной памятью. И действительно, большинство маршрутизаторов используют технологию Flash для своих NVRAM. Поэтому легко запутаться в терминах.

На большинстве маршрутизаторов Cisco размер области NVRAM составляет от 16 до 256 КБ в зависимости от размера и функции маршрутизатора. Ожидается, что более крупные маршрутизаторы будут иметь более крупные файлы конфигурации, поэтому им потребуется больше NVRAM. Флэш-устройство, с другой стороны, обычно можно обновить, и его емкость может варьироваться от нескольких мегабайт до сотен мегабайт.

Мы часто говорим о файле конфигурации маршрутизатора, но на самом деле на любом маршрутизаторе есть два важных файла конфигурации. Существует файл конфигурации, описывающий текущее рабочее состояние маршрутизатора, который называется running-config . Затем есть файл конфигурации, который маршрутизатор использует для загрузки, который называется startup-config .В NVRAM хранится только startup-config, поэтому важно периодически проверять, синхронизирована ли версия конфигурации в NVRAM с версией, на которой маршрутизатор работает в данный момент. Иначе можно получить сюрприз из древней истории при следующей перезагрузке роутера. Вы можете синхронизировать два файла конфигурации, просто скопировав running-config в файл startup-config:

Многие инженеры Cisco, включая авторов, до сих пор по привычке используют устаревшую версию этой команды:

Однако эта команда не только устарела, но и плохо описывает, что делает маршрутизатор.

Маршрутизатор использует более крупный флэш-накопитель для хранения операционной системы или IOS. В отличие от операционных систем на большинстве компьютеров, IOS представляет собой единый файл, содержащий все возможности и функции, доступные на маршрутизаторе. Вы можете получить файлы образа IOS от Cisco на компакт-диске или, если у вас есть учетная запись в их системе, вы можете загрузить файлы IOS с веб-сайта Cisco, используя FTP.

В большинстве примеров в этой книге предполагается, что у вас установлена IOS версии 12. Однако многие из обсуждаемых нами функций доступны и в более ранних версиях. Хотя возможны небольшие изменения синтаксиса, мы ожидаем, что Cisco продолжит поддерживать все функции, которые мы описываем, в будущем. Важно быть гибким, потому что, если вы много работаете с маршрутизаторами Cisco, вы столкнетесь с большим разнообразием различных версий IOS с различными тонкими различиями. К сожалению, некоторые из этих тонких различий на самом деле являются ошибками. Cisco предлагает подробную систему отслеживания ошибок на своем веб-сайте для зарегистрированных пользователей.

Есть несколько важных моментов, которые следует учитывать при смене версии IOS на маршрутизаторе. Во-первых, это набор функций. Для каждого выпуска IOS Cisco выпускает несколько разных версий. Обычно они предлагают корпоративный набор функций, который включает в себя все различные варианты функций, доступные в данный момент времени. Поскольку IOS представляет собой монолитный файл, содержащий все функции и все команды, файлы Enterprise IOS обычно довольно велики. Версия Enterprise, как правило, намного дороже, чем различные упрощенные версии.

Самой простой версией IOS обычно является набор функций только IP. Как следует из названия, это включает в себя только функции, основанные на TCP/IP. В большинстве сетей вы обнаружите, что набора функций только IP более чем достаточно. Фактически, почти все рецепты в этой книге будут работать с версией IOS только для IP.

Если вам требуются другие протоколы, такие как IPX или AppleTalk, Cisco выпускает набор функций IOS под названием Desktop, который содержит эти протоколы. Они также предлагают несколько других важных вариантов, таких как IP Plus, IP Plus IPSec 56, IP Plus IPSec 3DES и так далее. Содержание этих разных версий (и даже их названия в некоторой степени) варьируется от выпуска к выпуску. Мы рекомендуем вам ознакомиться с матрицами функций Cisco, чтобы убедиться, что нужные вам функции есть в вашей версии IOS.

Одним из наиболее важных соображений, касающихся любого выпуска IOS, является наличие достаточного объема ОЗУ и флэш-памяти для поддержки новой версии. Вы можете узнать, сколько памяти у вашего маршрутизатора, просмотрев выходные данные команды show version.

Еще одна важная вещь, которую следует помнить об образах IOS на маршрутизаторах Cisco, заключается в том, что у каждого маршрутизатора есть резервный образ, расположенный в ПЗУ маршрутизатора. Этот образ IOS нельзя изменить или обновить без физической замены микросхем ПЗУ в маршрутизаторе.

ПЗУ маршрутизатора содержит три элемента: самотестирование при включении питания (POST), программу начальной загрузки и ограниченную версию операционной системы маршрутизатора. Маршрутизатор использует программу начальной загрузки во время загрузки. Образ IOS в ПЗУ обычно представляет собой чрезвычайно урезанную версию, которая не поддерживает многие общие функции (например, протоколы маршрутизации). В обычном цикле загрузки маршрутизатор сначала загружает POST, затем программу начальной загрузки, а затем соответствующий образ IOS. Пожалуйста, обратитесь к рецепту 1.7 для получения дополнительной информации о загрузке из различных файлов IOS.

В рецепте 1.7 также показано, как настроить значения регистров конфигурации. Эти значения устанавливают различные параметры загрузки и даже позволяют принудительно остановить процесс загрузки маршрутизатора перед загрузкой IOS. Это может быть полезно, если образ IOS поврежден или если вам нужно восстановить пароль.

Команда копирования всегда заменяет существующий файл, когда файл копируется в NVRAM или на TFTP-сервер. Другими словами, он действует так, как будто целевой файл был стерт, а новый файл полностью заменил старый.

Когда команда копирования копирует файл конфигурации в ОЗУ, файл конфигурации в ОЗУ не заменяется. По сути, любая копия в ОЗУ работает так же, как если бы вы вводили команды в конфигурационном файле «из» в порядке, указанном в конфигурационном файле.Другими словами, это работает так, как если бы файл конфигурации ОЗУ и вновь скопированные файлы были объединены.

Так кого это волнует? Хорошо, мы делаем. Если вы измените текущую конфигурацию, а затем решите, что хотите вернуться к тому, что находится в файле конфигурации запуска, единственный способ гарантировать это — ввести команду reload, которая перезагружает или перезагружает маршрутизатор.

Для стирания содержимого NVRAM можно использовать три ключевые команды. Команды write Erase и Erase startup-config устарели, тогда как команда erase nvram: является более новой и рекомендуемой командой. Все три команды просто стирают содержимое конфигурационного файла NVRAM. Конечно, если в этот момент маршрутизатор перезагружается, начальной настройки не происходит.

Просмотр команд конфигурации и конфигураций старого стиля

Когда-то команды, которые использовались для отображения и перемещения файлов конфигурации между RAM, NVRAM и TFTP, не использовали легко запоминающиеся параметры, такие как startup-config и running-config. На самом деле, большинство людей не могли запомнить команды или путались в них. На рис. 7-6 показаны как старая, так и новая команды, используемые для просмотра конфигураций.

Рис. 7-6 Конфигурация показывает команды

Первоначальная конфигурация (режим настройки)

Режим настройки позволяет администратору маршрутизатора выполнить базовую настройку маршрутизатора с помощью вопросов, которые запрашивают у администратора основные параметры конфигурации. Вместо использования режима настройки маршрутизатор Cisco можно настроить с помощью интерфейса командной строки в режиме конфигурации. На самом деле, большинство сетевых специалистов вообще не используют настройку, но новые пользователи иногда любят использовать режим настройки, особенно до тех пор, пока они не познакомятся с режимом настройки CLI.

Рисунок 7-7 и пример 7-5 описывают процесс, используемый в режиме настройки. Режим настройки чаще всего используется при загрузке маршрутизатора и не имеет конфигурации в NVRAM. В режим настройки также можно войти с помощью команды setup из привилегированного режима.

Рисунок 7-7 Вход в режим настройки

В примере 7-5 показан снимок экрана с использованием режима настройки после загрузки маршрутизатора без конфигурации в NVRAM.

Пример 7-5 Режим настройки маршрутизатора

— Диалоговое окно «Конфигурация системы» —

Хотите открыть диалоговое окно начальной настройки? [да/нет]: да В любой момент вы можете ввести вопросительный знак '?' за помощью. Используйте ctrl-c, чтобы прервать диалоговое окно конфигурации в любой момент.

Настройки по умолчанию заключены в квадратные скобки '[]'. Базовая настройка управления настраивает подключение для управления системой, расширенная настройка попросит вас настроить каждый интерфейс в системе

Хотите ввести базовые настройки управления? [да/нет]: нет

Во-первых, хотите ли вы просмотреть текущую сводку по интерфейсу? [да]:

Любой интерфейс указан с ОК? значение "НЕТ" не имеет допустимой конфигурации только достаточно

Интерфейс Ethernet0 Serial0 SerialAll

IP-адрес не назначен не назначен не назначен

Хорошо? Статус метода НЕТ снято с охраны НЕТ снято с охраны НЕТ снято с охраны

Протокол продолжается

Пример 7-5 Режим настройки маршрутизатора (продолжение)

Настройка глобальных параметров:

Введите имя хоста [Маршрутизатор]: R1

Секрет включения — это пароль, используемый для защиты доступа к привилегированным режимам EXEC и конфигурации. Этот пароль после ввода становится зашифрованным в конфигурации. Введите enable secret: cisco. Enable password используется, когда вы не указываете enable secret пароль, с некоторыми старыми версиями программного обеспечения и некоторыми загрузочными образами. Введите пароль включения: fred Пароль виртуального терминала используется для защиты доступа к маршрутизатору через сетевой интерфейс. Введите пароль виртуального терминала: barney Настроить управление сетью SNMP? [да]: нет Настроить мост? [no]: Настроить DECnet? [no]: Настроить AppleTalk? [no]: Настроить IPX? [no]: Настроить IP? [да]: Настроить маршрутизацию IGRP? [да]: Номер вашей автономной системы IGRP [1]: Настройка параметров интерфейса:

Вы хотите настроить интерфейс Ethernet0? [да]: Настроить IP на этом интерфейсе? [да]: IP-адрес для этого интерфейса: 172.16.1.1

Маска подсети для этого интерфейса [255.255.0.0] : 255.255.255.0 Сеть класса B: 172.16.0.0, 24 бита подсети; маска /24 Вы хотите настроить интерфейс Serial0? [да]:

Настроить IP на этом интерфейсе? [yes]: Настроить ненумерованный IP-адрес на этом интерфейсе? [no]: IP-адрес для этого интерфейса: 172.16.12.1

Маска подсети для этого интерфейса [255.255.0.0] : 255.255.255.0 Сеть класса B: 172.16.0.0, 24 бита подсети; маска /24 Вы хотите настроить интерфейс Serial1? [да]: Настроить IP на этом интерфейсе? [yes]: Настроить ненумерованный IP-адрес на этом интерфейсе? [no]: IP-адрес для этого интерфейса: 172.16.13.1

Маска подсети для этого интерфейса [255.255.0.0]: 255.255.255.0 Сеть класса B — 172.16.0.0, 24 бита подсети; маска /24

Создан следующий командный сценарий конфигурации:

включить секрет 5 $1$VOLh$pkIe0Xjx2sgjgZ/Y6Gt1s. включить пароль fred

Пример 7-5 Режим настройки маршрутизатора (продолжение)

строка vty 0 4 пароль barney no snmp-server !

нет моста 1, нет маршрутизации decnet, нет маршрутизации Appletalk, нет маршрутизации ipx, IP-маршрутизации!

IP-адрес интерфейса Ethernet0 172.16.1.1 255.255.255.0 швабра не включена!

IP-адрес 172.16.12.1 255.255.255.0 швабра не включена!

IP-адрес 172.16.13.1 255.255.255.0 no mop включен dialer-list 1 протокол IP разрешение dialer-list 1 протокол IPX разрешение !

роутер igrp 1 перераспределяет подключенную сеть 172.16.0.0 !

[0] Перейти в командную строку IOS без сохранения этой конфигурации.

[1] Вернуться к настройке без сохранения этой конфигурации.

[2] Сохраните эту конфигурацию в nvram и выйдите.

Введите свой выбор [2]: 2 Конфигурация здания.

[OK]Используйте команду 'configure' включенного режима, чтобы изменить эту конфигурацию. Нажмите RETURN, чтобы начать!

Программа установки ведет себя так, как показано в примере 7-5, независимо от того, была ли она достигнута путем загрузки с пустым энергонезависимой памятью или была использована команда установки с привилегированным доступом exec. Сначала маршрутизатор спрашивает, хотите ли вы войти в диалог начальной настройки. Если вы ответите y или yes, вы перейдете в режим настройки.

После завершения настройки вы выбираете один из трех вариантов дальнейших действий. Вариант 2 указывает маршрутизатору сохранить конфигурацию в NVRAM и выйти; эта опция используется в примере 7-5. Маршрутизатор размещает конфиг как в NVRAM, так и в RAM. Это единственная операция в IOS, которая изменяет оба файла конфигурации для включения одного и того же содержимого на основе одного действия пользователя. Параметры 0 и 1 указывают маршрутизатору игнорировать только что введенную конфигурацию и либо выйти в командную строку (вариант 0), либо начать настройку заново (вариант 1). Вы также можете прервать процесс установки до того, как ответите на все вопросы, и перейти к подсказке CLI, нажав CNTL-C.

Читайте также: