Ergebnis des Workshops
1. Voraussetzungen für die Konfiguration eines Cisco-Routers.
1.1 Sie benötigen ein Consolkabel.
Das Consolkabel wird mit jedem Router und mit jedem Cisco-Switch mitgeliefert. Seit etwa vier Jahren ist hellblau. Dazu gibt es einen D-Sub9-Stecker; auf diesem steht das Wort „Terminal“. Vorsicht es gibt auch Stecker mit der Aufschrift Modem. Dieses passt nicht, sondern ist nötig, wenn man mit dem an manchen Routern vorhandenen Modemport arbeiten möchte, bzw. ein solches anschliessen möchte.
Bei älteren Routern gibt es V24 – Stecker, das Kabel ist das gleiche.
1.2 Sie benötigen eine Terminal – Emulation.
Ich persönich verwende das uralte Telix. Es ist klein, kompakt und passt auf eine Diskette. Ausserdem hat es eine einfache Bedienung und es ist möglich einen Break auszulösen. Dies ist in einigen Fällen nötig. Kopieren Sie das Programm Telix von der CD-Rom auf den Rechner. Erstellen Sie eine Verknüpfung und bringen Sie diese auf den Desktop.
1.3 Sie benötigen einen FTP-Server.
Ich persönlich verwende seit Jahren den TFTPDS, es gelten die gleichen Argumente wie beim Telix. Nachteil, er kann nur mit 8 Zeichen langen Dateinamen arbeiten. Dieser Server ist ebenfalls auf Ihrer CD. Installieren Sie das Programm. Datei entpachen –x.cpl und x.exe kopieren in das Verzeichnis C:\Winnt\System32, dort ausführen (im DOS-Fenster) „tftpds –install“. Anschliessend ist das Programm unter der Systemsteuerung als ICON sichtbar. Mit einem Doppelklick auf die Ikone erhalten Sie die Möglichkeit den Ablagepfad des Programms einzustellen. Anschliessend ist der Rechner neu zu starten. Sie müssen den TFTP-Server noch so einstellen, dass er beim Neustart des Rechners automatisch gestartet wird.
1.4 Diese Vorbereitungen sind wichtig! Sie erleichtern das weitere Arbeiten.
1.5 Geben Sie nun dem PC die der Gruppen vorgesehene IP-Adresse.
2. Ein erster Blick in das Gerät.
Starten Sie die Terminalemulation. Telix ist in der Voreinstellung auf 19200 Baud Datenrate eingestellt. Die Standardeinstellung der meisten Consol-Schnittstellen ist 9600 Baud, 8N1. Bei Telix erreicht man diese Einstellungen indem man das erste Fenster quittiert, dann die Alt-P Taste drückt und anschließend mit E die Baudrate einstellt. Hier kann auch die Schnittstelle (COM 1,2,3) etc. eingestellt werden.
Nach diesen Modifikationen meldet sich der Router mit seinem Prompt:
router >
router >
router >
Sie befinden sich somit auf der Hardware.
3. Grundkonzept und Bedienerführung.
Sie können grundsätzlich an jeder Stelle der Routerkonfiguration das ? eingeben. Es gibt eine kontextbased Hilfe. Es werden Ihnen also an der betroffenen Stelle nur die gerade möglichen Eingaben angezeigt!
Versuchen Sie es.
Sie befinden sich im sogenannten Standard-Modus. Sie haben die Berechtigung zu ... geben Sie das Fragezeichen ein und schauen Sie nach!
Um auf dem Router volle Rechte zu haben, müssen Sie diesen in den ENABLE-Modus bringen.
Tun Sie dies, indem Sie das Wort ENABLE eingeben!
Sie werden nach einem Passwort gefragt. Dies können Sie mit RETURN quittieren, da wir noch kein Passwort konfiguriert haben. Der Router meldet sich mit dem Prompt:
router # (Er wechselt also die Anzeige von router > in router #)
Geben Sie erneut das Fragezeichen ein.
In diesem Modus könne Sie Grundeinstellungen vornehmen, und sich vieles Anzeigen lassen. Der Debugger kann eingeschaltet werden etc.
Geben Sie nun den Befehl write ? ein, anschliessend wird die nun mögliche Auswahl der weiteren Parameter für diesen Befehl angezeigt.
Diese Methode der Hilfe ist in allen Menüs und an allen Stellen möglich.
Wählen Sie aus den nun angezeigten Parametern für den Befehl write den Parameter terminal aus.
Write terminal (Auch hier ist es wieder möglich das Fragezeichen anzuhängen).
Dieser Befehl bewirkt, dass der Router Ihnen die zur Zeit aktuelle (vorhandene) Konfiguration anzeigt.
Diese enthält allgemeine, allgemeingültige Angaben und die vorhandenen Interfaces. Diese Interfaces werden nur angezeigt, wenn Sie vorhanden sind. Merken Sie sich das erste Ethernet-Interface:
Um den Router konfigurieren zu können geben Sie den Befehl Config ein. Quittieren Sie die Frage (ob Sie vom Terminal aus konfigurieren wollen) mit Return. Sie befinden sich nun im Configurationsmodus. Mit dem Fragezeichen können Sie feststellen, was Sie nun konfigurieren könne. Der Router zeigt den Prompt an:
router (config) >
Geben Sie den Befehl Hostname ein,
Vervollständigen Sie diesen Befehl mit dem verlangten. Der Router ändert sofort den Prompt. Der Name des Routers taucht im Prompt auf.
group4 (config) > Es werden alle Einstellungen sofort aktiv, Ist dies nicht so wird es mitgeteilt!
Wollen Sie ein Interface konfigurieren, müssen Sie sich auf das Interface setzen. Dies ist besonders wichtig, da dies eine weit verbreitete Fehlerquelle ist.
Interface <interface> ein. (Geben Sie das oben notierte Ethernet – Interface an) z.B. Ethernet 0
Interface Ethernet 0
Der Prompt ändert sich sofort in:
group4 (conf-int) >
Geben Sie dem Interface nun eine IP-Adresse, benutzen Sie die Hilfe dazu. (Benutzen Sie bitte die IP-Adresse die zu Ihrer Gruppe gehört). Mit
exit oder STRG + Z verlassen Sie den Konfigurationsmodus wieder.
Sie können nun den Router vom PC aus mit PING ansprechen. Schauen Sie sich nun die Configuration einmal an.
Nebenbei:
Mit der Taste TAB können angefangene eindeutige Befehle kompletiert werden. Sind die Befehle aber schon Eindeutig, sind Sie aber auch gültig; Beispiel:
wr te <tab> = write terminal
4. Speicheraufbau, Ablage von Software und Konfiguration:
Wenn Sie in der Terminal-Emulation oder dem Telnet auf dem Router arbeiten, dann arbeiten Sie im Arbeitsspeicher. Wie kommt die Konfiguration in den Arbeitsspeicher?
Was Sie am Ende sehen, wenn sie sich am gebooteten Router mit <wr te> (< write terminal >) die Konfiguration anschauen, ist eine Kombination aus der Konfig im NVRAM, den vorhandenen Interfacen und der geladenen Software. Befehle, die von der geladenen Software nicht verstanden werden, werden nicht aktiv. Sind in der geladenen Konfiguration Interface angegeben, die es nicht gibt, so wird der Befehl nicht ausgeführt. Die geladene Software passt nur auf einen bestimmten Routertyp. Die Konfiguration ist im wesentlichen vom Router unabhängig. Das heisst eine Konfiguration vom Cisco 4000 kann auch auf einen Router vom Typ 3600 geladen werden. In der Realität wird dies aber kaum genutzt.
4. Softwareupdate, -sicherung, Configuration und deren Sicherung.
Schauen wir uns noch einmal den Befehl write an:
1. <write ?> Schreibe die aktuelle Konfiguration aus dem Arbeitsspeicher nach:
· terminal des Benutzers.
· mem das entspricht dem NVRAM und somit der Startup-Konfig.
· net daraufhin wird der Benutzer nach der IP-Adresse eines TFTP-Servers und dem gewünschten Dateinamen gefragt. Die Konfiguration wird dorthin geschrieben.
· flash Die Konfiguration wird im Flash-Memory abgelegt. Von mir noch nicht genutzt.
· erase Mit diesem Befehl wird das NV-Ram gelöscht. Nach grösseren Veränderungen sollte dies immer geschehen, bevor man die aktuelle Konfiguration im NVRAM speichert.
Die auf dem TFTP-Server gespielten Konfigurationen können mit dem Editor bearbeitet werden, keinesfalls aber mit dem Wordpad oder Word.
2. Beispiel der Befehl <config>:
· terminal wir nehmen Veränderungen der laufenden im Arbeitsspeicher befindlichen Konfiguration vor.
· network wir konfigurieren vom Netzwerk. Wir werden nach der Adresse eines TFTP Servers und anschliessend nach einem Dateinamen gefragt. Diese Datei wird dann geladen.
· startup-config in diesem Falle wird die im NVRAM abgelegte Konfiguration geladen.
Aber Vorsicht: Es wird nicht alles Bedingungslos überschrieben. Auch hier gilt, das was geladen wird, wird nur dann geladen, wenn es die Software und die vorhandenen Interfaces zulassen. In keinem Falle bedeutet dies, dass alle Einstellungen der vorhandenen und laufenden Konfiguration überschrieben werden.
3. Der Befehl <copy>:
· tftp flash kopiert die Software vom TFTP-Server ins Flash-Memory. Die meisten Router führen vorher ein ERASE aus. Das heisst die alte Software wird gelöscht.
· Flash tftp kopiert die vorhandene Software vom Flash zum TFTP-Server.
· Startup-config tftp etc, ....
7. Routing, Routingprotokolle:
Sie haben einen PC. Von diesem PC können Sie die IP-Bereiche erreichen, die sich im eigenen Netzwerk befinden. Alles was nicht in diesem Netzwerkbereich ist, wird an das Default-Gateway gesandt. Dies ist in der Regel ein Router!
Der Router kann nicht mehr! Ein Router kann Pakete nur an bekannte Adressen senden.
Hat ein Router vier Ethernet-Beine; mit jedem Interface hängt der Router in einem anderen Netzwerk. Soll der Router nun Routen, kann er Pakete nur an Adressen versenden, die sich in diesen vier Netzwerken befinden. Der Router kann also nur auf den nächsten Hop verweisen.
Ip route 27.40.0.0 255.255.0.0 27.10.0.220
< Ziel > < Maske > < Next-Hop > diese Next-Hop-Adresse muss sich in einem bekannten Netzwerk befinden.
Bauen wir nun mit den vorhandenen ein Netzwerk zusammen, so dass alle miteinander kommunizieren können.
8. Eine Anwahl (die alte Methode)
!
interface BRI2/1 //ISDN-Port
description Waehlzugang Fa. BlaBlubb //Beschreibung
ip address 192.168.0.1 255.255.255.0 //IP-Adresse
ip nat outside
encapsulation ppp
isdn answer1 0123456789 //Anzuwählende Telefonnr.
dialer idle-timeout 600
dialer map ip 192.168.0.1 name xxyyzz 012344567898765 //Netz, Name u. Rufnr. vom Anzurufenden.
dialer group 1 // !!! Wer darf rauswählen
ppp authentication chap // Sicherheitsprotokoll. (Pap ist unverschlüsselt, Chap ist verschlüsselt, z.B. bei Provider einloggen.)
dialer list 1 protocol ip permit
(die modernere Methode)
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps lag uptime
service password-encryption
!
hostname athome;-)
!
logging buffered 4096 debugging
9. Grundkonfiguration, was immer drin stehen sollte:
!
version 12.0
service timestaps debug uptime
service timetamps log uptime
service password-encryption //Passworte werden in der Konfig verschlüsselt angezeigt.
!
hostname xyz
!
logging buffered 4096 debugging //Mitschrift aller Konsolenmeldungen,
Puffer anlegen.
Enable secret 5 $a$ösdjfölasdjfölasjflösajdfölsadjflöaks //enable secret Passwort
Enable password 7 12345G //Wie oben aber nachrangig.
!
username abc password 7 def //Definition von username u. Password
genaueres später
!
!
!
!
no ip domain-lookup
ip subnet-zero // in der IP-Adresse sind mit 0 gefüllte Octets normalerweise ungültig, damit werden Sie nutzbar
no ip source-route
no ip bootp server
ip name-server 192.168.0.1
no ip finger //wichtig bei Routern, die Kontakt zum Internet haben.
Isdn switch-type basic-net3 //in Europa gebräuchlicher ISDN-Typ (S0)
Isdn voice-call-failure 0 //trägt der Router selbst ein.
Cns event-service server //trägt der Router selbst ein.
!
!
!
!
interface Ethernet 0
description xyz //Beschreibung
ip address 192.168.0.1 255.255.255.0
no ip directed-broadcast
ip accountign output-packets //Packets mitschreiben.
No ip mroute-cache
No cdp enable
!
!
no ip thhp server // Der Router kann nicht als Server für das Protokoll http wirksam werden.
Ip classless //Klassenlose IP-Adressen sind erlaubt.
Ip route 0.0.0.0 0.0.0.0 Dialer 2
!
access-list 100 permit ip 192.168.0.1 255.255.255.0 any log-input
access-list 101 permit ip 192.168.0.1 255.255.255.0 any log-input
logging on
no cdp run
banner login
Sie betreten privatbereich,
jeder unauthorisierte Zugriff ist strengstens untersagt und wird zur
Anzeige gebracht.
!
line con 0 // Die Consolen Schnittstelle
exec-timeout 2 0 // Zeit bis zum Abwurf der Session
password 7 012345Q4579855Y145O54 // Password für den Zugriff
login local // Login wird local abgehandelt
transport input none // Das einladen von Dateien ist über diese Schnittstelle verboten.
Stoppbits 1
Line vty 0 4 //virtuelle Terminal-Linien (Telnet)
Access-class 100 in
Access-class 101 out
Exec-timeout 0 30
Password 7 04W1245321X1254F
Login local
Transport input telnet
Transport output none
!
end
10. Wo steht es, wo ist nachzuschauen???
Wie immer zählt der selbe Grundsatz: Man kann nicht alles wissen, sollte aber zumindest wissen wo es steht. ;-)
www.cisco.com //Zusammenstellung der Router
Grundlagen, Konzepte der Fa. Cisco, Beispiele,
Beschreibung der Beschreibung der Befehle, Revisionsübersicht.
Anmerkung: Alle von mir hier genutzten IP-Adressen und Namen
wurden von mir aus Datenschutzrechtlichen Gründen abgeändert. In der Regel
habe ich Standartadressen wie 27 (normalerweise Localhost) oder 192.168 (werden
im Internet nicht geroutet) verwendet.
Der Name Cisco ist ein geschütztes Warenzeichen der Cisco Corp.