По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Если вы работаете в IT, то наверняка тысячу раз сталкивались с необходимостью зайти на какое-то устройство или сервер удалённо – такая задача может быть выполнена несколькими путями, основные два для управления устройством через командную строку – Telnet и Secure Shell (SSH) .
Между ними есть одно основное различие – в протоколе Telnet все данные передаются по сети в незашифрованном виде, а в случае SSH все команды шифруются специальным ключом. SSH был разработан как замена Telnet, для безопасного управления сетевыми устройствами через небезопасную сеть, такую как Интернет. На всякий случай запомните, что Telnet использует порт 22, а SSH – 23.
Поэтому наша рекомендация – используйте SSH всегда, когда возможно.
Настройка
Для начала, вам понадобится Packet Tracer – программа для эмуляции сетей от компании Cisco. Он полностью бесплатен и его можно скачать с сайта netacad.com после регистрации. Запустите Packet Tracer и приступим к настройке.
Постройте топологию как на скриншоте ниже – один компьютер и один коммутатор третьего уровня. Нужно будет подключить их между собой и приступить к настройке.
Готово? Теперь обеспечим сетевую связность и настроим интерфейс vlan 1 на коммутаторе, для этого введите следующие команды:
Если сразу после создания в консоли коммутатора будет вопрос начать ли диалог изначальной настройки – ответьте «No».
en
conf t
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown
Далее, настроим сетевую карту компьютера – укажем сетевой адрес в настройках FastEthernet0: 192.168.1.2. По умолчанию все новые компьютеры будут находиться в vlan 1.
Теперь давайте попробуем пингануть коммутатор и зайти на него по протоколу telnet с нашего ПК на коммутатор – и вы увидите, что соединение будет отклонено по причине того, что мы еще не настроили аутентификацию на коммутаторе.
Перейдем к настройке аутентификации. Система поддерживает 20 виртуальных tty/vty линий для Telnet, SSH и FTP сервисов. Каждая сессия, использующая вышеупомянутый протокол занимает одну линию. Также можно усилить общую безопасность с помощью валидации запросов на авторизацию на устройстве. Перейдите обратно в режим общей конфигурации (conf t) на коммутаторе с помощью команды exit и введите следующие команды:
line vty 0 15
password cisco
login
end
Пароль cisco, используемый в статье, является крайне небезопасным и служит исключительно для демонстрационных целей. Если вы оставите такой пароль на настоящем оборудовании, шансы, что вас взломают будут стремиться к бесконечности. Лучше используйте наш генератор устойчивых ко взлому паролей :)
Теперь снова попробуйте зайти по Telnet на свитч – все должно получиться!
Однако, при попытке перейти к настройке и выполнении команды enable вы увидите, что это невозможно, по причине того, что не установлен пароль на глобальный режи enable.
Чтобы исправить это, введите следующие команды:
conf t
enable password cisco
Попробуйте еще раз – теперь все должно получиться!
Теперь настроим SSH на коммутаторе – для этого обязательно нужно указать хостнейм, доменное имя и сгенерировать ключ шифрования.
Вводим следующие команды (из основного конфигурационного режима):
hostname merionet_sw1
ip domain name merionet
crypto key generate rsa
Выбираем длину ключа – по умолчанию значение стоит равным 512 битам, для SSH версии 2 минимальная длина составляет 768 бит. Генерация ключа займет некоторое время.
После генерации ключа продолжим настройку коммутатора:
ip ssh version 2
line vty 0 15
transport input ssh
Теперь зайти по протоколу Telnet уже не выйдет, так как мы заменили его на SSH. Попробуйте зайти по ssh, используя логин по умолчанию – admin. Давайте-ка поменяем его на что-то поприличнее (опять из conf t):
username admin secret cisco
line vty 0 15
login local
do wr
Теперь попробуйте зайти с рабочей станции на коммутатор и удостоверьтесь, что новые настройки вступили в силу.
Прежде чем приступить к изучению виртуальной локальной сети (VLAN), необходимо иметь определенное представление о локальной сети. Локальную сеть можно рассмотреть с двух сторон. С одной стороны, локальная сеть это все пользовательские устройства, серверы, коммутаторы, маршрутизаторы, кабели и точки беспроводного доступа, расположенные в одном месте. С другой стороны, в более узком понимании определения локальной сети, позволяет нам освоить концепцию виртуальной локальной сети: локальная сеть включает все устройства в одном широковещательном домене.
p>
Широковещательный домен это устройства, подключенные к локальной сети, таким образом, что, когда одно из устройств отправляет широковещательный кадр, все остальные устройства получают копию этого кадра. Таким образом, понятие локальной сети и широковещательного домена является практически одинаковым.
Коммутатор, с настройками по умолчанию, считает, что все его интерфейсы находятся в одном широковещательном домене. То есть, когда широковещательный кадр приходит на один конкретный порт коммутатора, устройство пересылает этот широковещательный кадр на все остальные свои порты. В связи с таким принципом работы коммутатора, чтобы создать два разных широковещательных домена, придется купить два разных коммутатора для локальной сети Ethernet, как показано на рисунке:
Показаны два домена: домен 1 (подсеть 1) и домен 2 (подсеть 2). В первом домене два компьютера, а именно ПК1 и ПК2, подключены к коммутатору SW1 для создания широковещательного домена 1. Аналогично, во втором домене два компьютера, а именно ПК3 и ПК4, подключены к коммутатору SW2 для создания широковещательного домена 2.
Используя два VLAN’а, можно организовать те же две сети, что изображены на рисунке 1- создать два широковещательных домена с помощью одного коммутатора. С VLAN’нами коммутатор может настроить некоторые интерфейсы в один широковещательный домен, а некоторые в другой, создавая несколько широковещательных доменов. Эти отдельные широковещательные домены, созданные коммутатором, называются виртуальными локальными сетями (VLAN).
Рисунок ниже демонстрирует использование одного коммутатора для создания двух VLAN’ов, рассматривая порты в каждом VLAN’е как полностью самостоятельные. Коммутатор никогда не перешлет кадр, отправленный ПК1 (VLAN 1) либо ПК3 либо ПК4 (VLAN 2).
Из рисунка мы видим, что используется один коммутатор для нескольких широковещательных доменов. Из широковещательного домена 1 (подсеть 1) две системы ПК1 и ПК2 подключены к коммутатору SW1. Из широковещательного домена 2 (подсеть 2) к коммутатору SW1 подключены две системы ПК3 и ПК4.
Проектирование локальных сетей кампуса с использованием большего количества VLAN’ов, в каждом из которых используется минимальное количество коммутационного оборудования, часто помогает улучшить локальную сеть во многих отношениях. Например, широковещательная передача, отправленная одним узлом во VLAN1, будет приниматься и обрабатываться всеми другими узлами этого VLAN1-но не узлами из другого VLAN. Чем меньше посторонних узлов в сети получают широковещательные кадры, тем выше безопасность локальной сети.
Это всего лишь несколько причин для разделения хостов на разные VLAN. В следующем списке перечислены наиболее распространенные причины, по которым следует создавать VLAN’ны:
Чтобы уменьшить нагрузку на процессор на каждом устройстве; повышение производительности узла, путем уменьшения числа устройств, которые принимают каждый широковещательный кадр;
Повысить уровень безопасности за счет уменьшения числа хостов, получающих копии кадров, которые коммутаторы отправляют (broadcasts, multicasts, and unknown unicasts);
Повышение безопасности хостов за счет применения различных политик безопасности для каждого VLAN;
Создание подразделений, группирующих пользователей по отделам или группам, которые работают вместе, а не по физическому местоположению;
Уменьшение нагрузки для протокола связующего дерева (STP) путем ограничения VLAN одним коммутатором доступа.
Для любых интерфейсов 10/100 Мбит/с или 10/100/1000Мбит/с, то есть интерфейсов, которые могут работать на разных скоростях, коммутаторы Cisco по умолчанию устанавливают значение duplex auto и speed auto. В результате эти интерфейсы пытаются автоматически определить скорость и настройку дуплекса. Кроме того, как вы уже знаете, можно настроить большинство устройств, включая интерфейсы коммутатора, для использования определенной скорости и/или дуплекса.
В реальности, использование автосогласования не требует каких либо дополнительных настроек: просто можно выставить параметры скорости и дуплекса по умолчанию, и пусть порт коммутатора определяет, какие настройки использовать автоматически. Однако проблемы могут возникнуть из-за неудачных комбинаций настроек.
Автоматическое согласование в рабочих сетях
Устройства Ethernet, объединенные каналами связи, должны использовать один и тот же стандарт. В противном случае они не смогут корректно передавать данные. Например, старый компьютер с сетевым адаптером стандарта 100BASE-T, который использует двухпарный UTP-кабель со скоростью 100 Мбит /с, не сможет "общаться" с коммутатором, подключенному к ПК, так как порт коммутатора использует стандарт 1000BASE-T. Даже если подключите кабель, работающий по стандарту Gigabit Ethernet, канал не будет работать с оконечным устройством, пытающимся отправить данные со скоростью 100 Мбит /с на порт другого устройства, работающем со скоростью 1000 Мбит /с.
Переход на новые и более быстрые стандарты Ethernet становится проблемой, поскольку обе стороны должны использовать один и тот же стандарт. Например, если вы замените старый компьютер, который поддерживает стандарт передачи данных 100BASE-T , на новый, работающий по стандарту 1000BASE-T, то соответственно порты коммутатора на другом конце линии связи должны также работать по стандарту 1000BASE-T. Поэтому, если у вас коммутатор только с поддержкой технологии 100BASE-T, то вам придется его заменить на новый. Если коммутатор будет иметь порты, которые работают только по технологии 1000BASE-T, то соответственно вам придется заменить все старые компьютеры, подключенные к коммутатору. Таким образом, наличие как сетевых адаптеров ПК (NIC), так и портов коммутатора, поддерживающих несколько стандартов/скоростей, значительно облегчает переход к следующему улучшенному стандарту.
Протокол автосоглосования (IEEE autonegotiation) значительно облегчает работу с локальной сетью, когда сетевые адаптеры и порты коммутатора поддерживают несколько скоростей. IEEE autonegotiation (стандарт IEEE 802.3 u) определяет протокол, который позволяет двум узлам Ethernet, на основе витой пары, договариваться таким образом, чтобы они одновременно использовали одинаковую скорость и параметры дуплекса. Вначале каждый узел сообщает соседям, свои "возможности" по передаче данных. Затем каждый узел выбирает наилучшие варианты, поддерживаемые обоими устройствами: максимальную скорость и лучшую настройку дуплекса (full duplex лучше, чем half duplex) .
Автосогласование основывается на том факте, что стандарт IEEE использует одни и те же выводы кабеля для 10BASE-T и 100BASE-T (можно использовать кабель с двумя витыми парами). И что бы согласование проходило по технологии 1000BASE-T IEEE autonegotiation просто подключает новые две пары в кабеле (необходимо использовать кабель с четырьмя витыми парами).
Большинство сетей работают в режиме автосогласования, особенно между пользовательскими устройствами и коммутаторами локальной сети уровня доступа, как показано на рисунке 1. В организации установлено четыре узла. Узлы соединены кабелем с поддержкой Gigabit Ethernet (1000BASE-T). В результате, линия связи поддерживает скорость 10Мбит /с, 100Мбит /с и 1000Мбит /с. Оба узла на каждом канале посылают друг другу сообщения автосогласования. Коммутатор в нашем случае может работать в одном из трех режимов: 10/100/1000, в то время как сетевые платы ПК поддерживают различные опции. Настроены в ручную
Рисунок отображает концепцию автоматического согласования стандарта IEEE. В результате сетевая карта и порт на коммутаторе работают правильно. На рисунке показаны три ПК - 1, 2 и 3, подключенные к общему коммутатору. Сетевые адаптеры этих узлов имеют характеристики соответственно: 1 ПК 10 Mb/s, 2 ПК - 10/100 Mb/s и 3 ПК - 10/100/1000 Mb/s. ПК подключаются к коммутатору через порт поддерживающий режим работы 10/100/1000 Mb/s.
С обеих сторон автосогласование включено. Результатом во всех трех случаях является: дуплекс включен в режиме FULL, выставлена соответствующая скорость.
Далее разберем логику работы автосоглосования на каждом соединении:
ПК 1: порт коммутатора сообщает, что он может работать на максимальной скорости в 1000 Мбит /с, но сетевая карта компьютера утверждает, что ее максимальная скорость составляет всего 10 Мбит / с. И ПК, и коммутатор выбирают самую быструю скорость, на которой они могут работать совместно (10 Мбит /с), и устанавливают лучший дуплекс (full).
ПК2 сообщает коммутатору, что максимальная скорость передачи данных его сетевой карты составляет 100 Мбит /с. Это означает что ПК2 может работать по стандарту 10BASE-T или 100BASE-T. Порт коммутатора и сетевой адаптер договариваются использовать максимальную скорость в 100 Мбит /с и полный дуплекс (full).
ПК3: сообщает коммутатору, что его сетевая карта может работать в трех режимах: 10/100/1000 Мбит/с, и соответственно поддерживает все три стандарта. Поэтому и сетевая карта, и порт коммутатора выбирают максимальную скорость в 1000 Мбит /с и полный дуплекс (full).
Одностороннее автосогласовние (режим, при котором только один узел использует автоматическое согласование)
На рисунке 1 показано двухстороннее автосогласования IEEE (оба узла используют этот процесс). Однако большинство устройств Ethernet могут отключить автоматическое согласование, и поэтому важно знать, что происходит, когда один из узлов использует автосогласование, а другой нет.
Иногда возникает необходимость отключить автосогласование. Например, многие системные администраторы отключают автосогласование на соединениях между коммутаторами и просто настраивают желаемую скорость и дуплекс. Однако могут возникнуть ошибки, когда одно устройство использует автосогласование, а другое нет. В этом случае связь может не работать вообще, или она может работать нестабильно.
IEEE autonegotiation (автосогласование) определяет некоторые правила (значения по умолчанию), которые узлы должны использовать в качестве значений по умолчанию, когда автосогласование завершается неудачей-то есть когда узел пытается использовать автосогласование, но ничего не слышит от устройства.
Правила:
Скорость: используйте самую низкую поддерживаемую скорость (часто 10 Мбит / с).
Дуплекс: если ваша скорость равна 10 Мбит/, используйте полудуплекс (half duplex); Если 100 Мбит/с используйте полный дуплекс (full duplex) .
Коммутаторы Cisco могут самостоятельно выбирать наилучшие настройки порта по скорости и дуплексу, чем параметры IEEE, установленные по умолчанию (speed default). Это связано с тем, что коммутаторы Cisco могут анализировать скорость, используемую другими узлами, даже без автосогласования IEEE. В результате коммутаторы Cisco используют эту свою возможность для выбора скорости, когда автосогласование не работает:
Скорость: происходит попытка определения скорости (без использования автосогласования), если это не удается, используются настройки по умолчанию (устанавливается самая низкая поддерживаемая скорость, обычно 10 Мбит/с).
Дуплекс: в зависимости от установленной скорости настраиваются параметры дуплекса: если скорость равна 10 Мбит/с назначается полудуплекс (half duplex), если скорость равна 100 Мбит/с, то используется полный дуплекс (full duplex).
Гигабитные интерфейсы (1Gb/s) всегда используют полный дуплекс.
На рисунке 2 показаны три примера, в которых пользователи изменили настройки свих сетевых карт и отключили автоматическое согласование, в то время как коммутатор (на всех портах поддерживается скорость 10/100/1000 Мбит/с) пытается провести автосогласование. То есть, на портах коммутатора выставлены параметры скорости (speed auto) и (duplex auto) дуплекса в режим auto. В верхней части рисунка отображены настроенные параметры каждой сетевой карты компьютеров, а выбор, сделанный коммутатором, указан рядом с каждым портом коммутатора.
На рисунке показаны результаты работы автосогласования IEEE с отключенным режимом автосогласования на одной стороне. На рисунке показаны три компьютера - 1, 2 и 3, подключенные к общему коммутатору. Параметры сетевых адаптеров этих систем следующие: ПК1- 10/100Мбит/с, ПК2 - 10/100/1000 Мбит/с и ПК3 - 10/100Мбит/с. Компьютеры соединены с коммутатором через интерфейсы F0/1, F0/2 и F0/3. На стороне компьютеров автосогласование отключено, и произведены настройки скорости и дуплекса вручную, которые вы можете посмотреть на рисунке 2. На стороне коммутатора включено автосогласование (10/100/1000).
Разберем работу устройств на рисунке:
ПК1: коммутатор не получает сообщений автосогласования, поэтому он автоматически определяет скорость передачи данных ПК1 в 100 Мбит/с. Коммутатор использует дуплекс IEEE по умолчанию, основанный на скорости 100 Мбит/с (полудуплекс).
ПК2: коммутатор использует те же действия, что и при анализе работы с ПК1, за исключением того, что коммутатор выбирает использование полного дуплекса, потому что скорость составляет 1000 Мбит / с.
ПК3: пользователь установил самую низшую скорость (10 Мбит/с) и не самый лучший режим дуплекса (half). Однако коммутатор Cisco определяет скорость без использования автосогласования IEEE и затем использует стандарт IEEE duplex по умолчанию для каналов 10 Мбит / с (half duplex).
ПК1.Итог работы этой связки: дуплексное несоответствие. Оба узла используют скорость 100 Мбит/с, поэтому они могут обмениваться данными. Однако ПК1, используя полный дуплекс, не пытается использовать carrier sense multiple access (CSMA) для обнаружения столкновений (CSMA / CD) и отправляет кадры в любое время. В свою очередь интерфейс коммутатора F0/1 (в режиме half duplex), использует CSMA / CD. Отчего порт коммутатора F0/1 будет считать, что на канале происходят коллизии, даже если физически они не происходят. Порт остановит передачу, очистит канал, повторно отправит кадры и так до бесконечности. В результате связь будет установлена, но работать она будет нестабильно.