Wyświetla informacje o obecnie działającej wersji systemu IOS-XE.
#show boot
Wyświetla jaki obraz sytemu IOS-XE zostanie załadowany przy pomocy boot-loadera.
#show install active
Wyświetla informacje o aktualnie zainstalowanym systemie IOS-XE.
Instalowanie systemu IOS-XE
Weryfikacja obrazu IOS-XE
Proces pobierania systemu IOS-XE ostał opisany w następujących artykułach: SCP, FTP, TFTP.
#copy scp: flash:
Rozpoczyna proces pobierania wskazanego obrazu systemu IOS-XE.
#show flash:
Wyświetla zawartość pamięci Flash:.
Stara obecnie nie zalecana metoda (Bundle Mode)
#boot system switch all flash:nazwa-systemu-IOS
Wymusza uruchomienie wskazanego obrazu IOS-XE w momencie startu urządzenia.
#show boot
Wyświetla jaki obraz sytemu IOS-XE zostanie załadowany przy pomocy boot-loadera.
#boot system flash:packages.conf
Xxx
# more flash:packages.conf
Xxx
Nowa obecnie zalecana metoda (Install / Package Mode)
#request platform software package install switch all file flash:obraz-IOS-XE
Stara komenda aktywująca proces instalacji nowego systemu IOS-XE.
#install add file obraz-IOS-XEactivate commit
Nowa komenda aktywująca proces instalacji nowego systemu IOS-XE. activate – Wskazany system IOS-XE zostanie załadowany przy następnych uruchomieniu urządzenia. commit – Wskazany system IOS-XE zostanie załadowany przy każdym następnym uruchomieniu urządzenia.
#show install active
Wyświetla informacje o aktualnie zainstalowanym systemie IOS-XE.
#show install summary
Xxx
#xxx
Xxx
(config)#interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.
(config-if)#xxx
Xxx
(config-if)#xxx
Xxx
Pozostałe tematy związane z zarządzaniem systemem IOS
Określa metodę uwierzytelniania połączenia zdalnego. * local – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą konta lokalnego. * enable – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą hasła do trybu uprzywilejowanego. * aaa – Rozpoczyna uwierzytelnianie połączenia zdalnego za pomocą zdalnego serwera AAA.
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
Określa opcjonalne właściwości nowo stworzonego konta: * nopassword – Tworzy użytkownika bez hasła. * noescape – Blokuje wykonanie znaków „escape”. * autocommand – Automatycznie po zalogowaniu wykonuje wskazaną komendę, a następnie kończy sesję. *one-time– Tworzy konto jednorazowego użytku. * nohangup – Nie rozłącza sesji po wykonaniu komendy „autocommand”.
Połączenie zdalne SSH
Skonfigurowane hasło „enable secret” oraz „enable password” współistnieje z logowaniem za pomocą protokołu SSH.
Do wygenerowania klucza SSH potrzebna jest nazwa FQDN (Fully qualified domain name), która jest tworzona na podstawie nazwy urządzenia „hostname” oraz nazwy domeny „ip domain name”.
(config)# hostname nazwa-urządzenia
Zmienia nazwę urządzenia (Opcja wymagana przy generowaniu klucza SSH).
(config)# ip domain-name nazwa-domeny
Zmienia nazwę domeny (Opcja wymagana przy generowaniu klucza SSH).
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
Generuje klucz rsa, o długości od 360 do 4096 bitów (Aby aktywować protokół SSH w wersji drugiej, należy wygenerować klucz RSA o minimalnej długość 1024 bitów).
(config)#ip ssh version 2
Zmienia wykorzystywaną wersję protokołu SSH, na wersję drugą.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.
(config-line)#transport input ssh
Aktywuje protokół SSH na linii zdalnej.
(config-line)#login local
Umożliwia logowanie do linii zdalnej za pomocą lokalnej bazy użytkowników.
Określa źródłowy interfejs sieciowy względem komunikacji SSH.
(config)#ip ssh logging events
Rozpoczyna wysyłane logging-ów, informujących o wydarzeniach związanych z protokołem SSH.
(config)#ip ssh authentication-retries 0-5
(config)#ip ssh stricthostkeycheck
Opcjonalna konfiguracja linii zdalnej (SSH)
Ustawienia linii VTY
Po zalogowaniu się do systemu Cisco IOS za pomocą połączenia konsolowego, system zostanie załadowany z poziomu User Mode. Tymczasem w przypadku logowania za pomocą połączenia zdalnego SSH bądź telnet, system zostanie załadowany z poziomu uprzywilejowanego Enable Mode.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o pozytywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o negatywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
Określa trzy wartości zabezpieczające przed próbą złamania hasła: Czas blokady, ilość prób logowania oraz Czas logowania. Przykładowa komenda wygląda następująco [login block-for 180 attempts 3 within 120] a oznacza, że jeśli w ciągu 120 sekund użytkownik poda 3 razy błędne hasło, konsola zostanie zablokowana na 180 sekund.
W celu zablokowania dostępu do konsoli CLI, po wystąpieniu określonej w komendzie ilości błędnych logowań. System Cisco IOS stworzy nową listę ACL "sl_def_acl". Która to zawiera następujące wpisy:
Extended IP access list sl_def_acl
10 deny tcp any any eq telnet log
20 deny tcp any any eq www log
30 deny tcp any any eq 22 log
40 permit ip any any log
(config)# login quiet-mode access-class ACL-ID
Umożliwia zmianę domyślnie tworzonej listy ACL (sl_def_acl), na inną stworzoną przez administratora.
(config)# login delay 1-10(sekundy)
Określa czas opóźnienia pomiędzy kolejnymi próbami logowania do systemu (Niezależnie od tego czy próba logowania była udana czy nie).
# show login
Wyświetla konfigurację ustawień logowania do systemu Cisco IOS.
Komendy [login block-for], [login quiet-mode] oraz [login delay] dotyczą jedynie połączeń zdalnych VTY.
Ograniczenie dostępu do linii VTY za pomocą listy ACL
Dodaje komentarz administratora, do konfigurowanej listy ACL (Do jednej listy ACL może zostać dodana dowolna liczbą komentarzy, będą one wyświetlane zgodnie z kolejnością wpisywania, wraz z właściwymi wpisami wpisami ACL).
(config-std-nacl)# permit sieć maska
Określa grupę adresów IP, jaka zostanie dopuszczona do zdalnego zarządzania systemem Cisco IOS.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej VTY.
(config-line)# access-class ACL-ID in
Przypisuje listę ACL, do konfigurowanej linii VTY.
(config-line)# ipv6 access-class Nazwa-ACL in
Przypisuje listę ACL (Względem protokołu IPv6), do konfigurowanej linii VTY.
Zmiana domyślnego portu w komunikacji SSH
(config)#ip ssh port 2000-10000(Numer portu)(22) rotary1-127(Dolny zakres) 1-127(Górny zakres)
Określa port warstwy czwartej modelu OSI, na którym będzie prowadzona komunikacja protokołu SSH.
Komenda [ip ssh port] nie blokuje komunikacji protokołu SSH na domyślnym porcie 22. Aby zablokować port domyślny należy stworzyć listę dostępu ACL, blokująca cały nadchodzący ruch sieciowy na wskazanym porcie warstwy czwartej (22).
(config)#access-list ACL-ID permit tcp any any eq2000-10000(Numer portu)
Tworzy listę ACL, przepuszczającą jedynie ruch kierowany na nowo zdefiniowany port TCP, dzięki czemu sesje SSH nadchodzące z domyślnego portu (22) zostaną zablokowane.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.
(config-line)#transport input ssh
Aktywuje protokół SSH na linii zdalnej.
(config-line)#rotary 1-127
Przypisuje określony w komendzie [ip ssh port] port TCP do linii VTY.
(config-line)#access-list ACL-ID in
Przypisuje listę ACL (Filtrującą domyślny ruch na porcie 22) do linii VTY.
#show ip ssh
Wyświetla informacje dotyczące konfiguracji protokołu SSH, w tym wygenerowany klucz RSA.
#show ssh
Wyświetla aktywne sesje protokołu SSH.
Klient protokołu SSH w systemie IOS
# ssh -l login adres-IP
Nawiązuje połączenie SSH, z określonym urządzeniem (IP), przy pomocy wskazanego w komendzie loginu.
#show ssh
Wyświetla aktywne sesje protokołu SSH.
Wysyłanie wiadomości
# send vty [numer-VTY/ * ]
Wysyła wiadomość na określoną linie VTY / wszystkie aktywne linie VTY. * CTRL/Z–Wysyła wiadomość napisaną przez administratora. * CTRL/C–Usuwa wiadomość napisaną przez administratora.
Komendy Show, Clear
Komendy Show
# show users
Wyświetla użytkowników zalogowanych do systemu Cisco IOS.
# show terminal
Wyświetla ustawienia konsoli [exec-timeout/ terminal history size].
# show privilege
Wyświetla poziom dostępu, obecnie zalogowanego użytkownika.
# show login
Wyświetla informacje o zasadach bezpiecznego uwierzytelniania użytkowników [ACL].
#show crypto key mypubkey rsa
Wyświetla wygenerowane klucze RSA.
Komendy SHOW SSH
#show ip ssh
Wyświetla informacje dotyczące konfiguracji protokołu SSH, w tym wygenerowany klucz RSA.
#show ssh
Wyświetla aktywne sesje protokołu SSH.
#show line
Wyświetla linie VTY.
#show crypto key mypubkey rsa
Wyświetla wygenerowane klucze RSA.
Komendy CLEAR
#clear line vty 0-15
Czyści określoną linie VTY z sesji zdalnych.
Pozostałe tematy związane z zarządzaniem systemem IOS
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
Określa opcjonalne właściwości nowo stworzonego konta: * nopassword – Tworzy użytkownika bez hasła. * noescape – Blokuje wykonanie znaków „escape”. * autocommand – Automatycznie po zalogowaniu wykonuje wskazaną komendę, a następnie kończy sesję. *one-time– Tworzy konto jednorazowego użytku. * nohangup – Nie rozłącza sesji po wykonaniu komendy „autocommand”.
Połączenie zdalne telnet
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.
(config-line)#login local
Umożliwia logowanie do linii zdalnej za pomocą lokalnej bazy użytkowników.
(config-line)#transport input telnet
Aktywuje protokół telnet względem linii zdalnej.
#show running-config | section line vty
Wyświetla pełną konfigurację linii zdalnych VTY.
Opcjonalna konfiguracja linii zdalnej (Telnet)
Ustawienia linii VTY
Po zalogowaniu się do systemu Cisco IOS za pomocą połączenia konsolowego, system zostanie załadowany z poziomu User Mode. Tymczasem w przypadku logowania za pomocą połączenia zdalnego SSH bądź telnet, system zostanie załadowany z poziomu uprzywilejowanego Enable Mode.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o pozytywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o negatywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
Określa trzy wartości zabezpieczające przed próbą złamania hasła: Czas blokady, ilość prób logowania oraz Czas logowania. Przykładowa komenda wygląda następująco [login block-for 180 attempts 3 within 120] a oznacza, że jeśli w ciągu 120 sekund użytkownik poda 3 razy błędne hasło, konsola zostanie zablokowana na 180 sekund.
W celu zablokowania dostępu do konsoli CLI, po wystąpieniu określonej w komendzie ilości błędnych logowań. System Cisco IOS stworzy nową listę ACL "sl_def_acl". Która to zawiera następujące wpisy:
Extended IP access list sl_def_acl
10 deny tcp any any eq telnet log
20 deny tcp any any eq www log
30 deny tcp any any eq 22 log
40 permit ip any any log
(config)# login quiet-mode access-class ACL-ID
Umożliwia zmianę domyślnie tworzonej listy ACL (sl_def_acl), na inną stworzoną przez administratora.
(config)# login delay 1-10(sekundy)
Określa czas opóźnienia pomiędzy kolejnymi próbami logowania do systemu (Niezależnie od tego czy próba logowania była udana czy nie).
# show login
Wyświetla konfigurację ustawień logowania do systemu Cisco IOS.
Komendy [login block-for], [login quiet-mode] oraz [login delay] dotyczą jedynie połączeń zdalnych VTY.
Ograniczenie dostępu do linii VTY za pomocą listy ACL
Dodaje komentarz administratora, do konfigurowanej listy ACL (Do jednej listy ACL może zostać dodana dowolna liczbą komentarzy, będą one wyświetlane zgodnie z kolejnością wpisywania, wraz z właściwymi wpisami wpisami ACL).
(config-std-nacl)# permit sieć maska
Określa grupę adresów IP, jaka zostanie dopuszczona do zdalnego zarządzania systemem Cisco IOS.
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej VTY.
(config-line)# access-class ACL-ID in
Przypisuje listę ACL, do konfigurowanej linii VTY.
(config-line)# ipv6 access-class Nazwa-ACL in
Przypisuje listę ACL (Względem protokołu IPv6), do konfigurowanej linii VTY.
Komendy Show, Clear
Komendy Show
# show users
Wyświetla użytkowników zalogowanych do systemu Cisco IOS.
# show terminal
Wyświetla ustawienia konsoli [exec-timeout/ terminal history size].
# show privilege
Wyświetla poziom dostępu, obecnie zalogowanego użytkownika.
# show login
Wyświetla informacje o zasadach bezpiecznego uwierzytelniania użytkowników [ACL].
#show crypto key mypubkey rsa
Wyświetla wygenerowane klucze RSA.
Komendy CLEAR
#clear line vty 0-15
Czyści określoną linie VTY z sesji zdalnych.
Pozostałe tematy związane z zarządzaniem systemem IOS
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
Określa opcjonalne właściwości nowo stworzonego konta: * nopassword – Tworzy użytkownika bez hasła. * noescape – Blokuje wykonanie znaków „escape”. * autocommand – Automatycznie po zalogowaniu wykonuje wskazaną komendę, a następnie kończy sesję. *one-time– Tworzy konto jednorazowego użytku. * nohangup – Nie rozłącza sesji po wykonaniu komendy „autocommand”.
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
(config)#line console 0
Przechodzi do poziomu konfiguracji konsoli 0.
(config-line)#login local
Umożliwia logowanie do konsoli za pomocą lokalnej bazy użytkowników.
#show running-config | section username
Wyświetla wszystkie skonfigurowane, lokalne konta użytkowników systemu IOS.
Uwierzytelnianie za pomocą hasła lokalnego
(config)#line console 0
Przechodzi do poziomu konfiguracji konsoli 0.
(config-line)#password hasło
Tworzy hasło przypisane do konsoli.
(config-line)#login
Włącza funkcje logowania do systemu Cisco IOS, za pomocą lokalnego konta współdzielonego.
(config-line)#privilege level 0-15
Określa poziom dostępu.
#show running-config | section line con
Wyświetla pełną konfigurację konsoli CLI.
Opcjonalna Konfiguracja linii dostępowej
Ustawienia konsoli
Po zalogowaniu się do systemu Cisco IOS za pomocą połączenia konsolowego, system zostanie załadowany z poziomu User Mode. Tymczasem w przypadku logowania za pomocą połączenia zdalnego SSH bądź telnet, system zostanie załadowany z poziomu uprzywilejowanego Enable Mode.
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o pozytywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
Aktywuje funkcję monitorowania procesu logowania do systemu ISO, informując o negatywnym jego zakończeniu. Pod-komenda „log” zapisuje w pamięci urządzenia jak i wyświetla na konsoli CLI, potwierdzenie o zalogowaniu się użytkownika, „trap” generuje wiadomość protokołu SNMP natomiast komenda „etery” określa częstotliwość w wysyłaniu powiadomień.
# show login
Wyświetla konfigurację ustawień logowania do systemu Cisco IOS.
Komendy Show
Komendy show zarządzania zdalnego
# show users
Wyświetla użytkowników zalogowanych do systemu Cisco IOS.
# show terminal
Wyświetla ustawienia konsoli [exec-timeout/ terminal history size].
# show privilege
Wyświetla poziom dostępu, obecnie zalogowanego użytkownika.
Pozostałe tematy związane z zarządzaniem systemem IOS
Urządzenie rozpoczyna proces wykrywania oraz testowania swoich komponentów POST(Power-On Self-Test).
Urządzenie przegrywa program bootstrap z pamięci ROM do pamięci RAM, po czym go uruchamia.
Program Bootstrap decyduję jaki obraz systemu IOS załadować do pamięci RAM, tudzież w przypadku zastosowania kombinacji klawiszy Ctrl+Break, załadować obraz systemu ROMMON.
Po załadowaniu systemu IOS urządzenie pobiera konfiguracją „startup-config” z pamięci NVRAM do pliku „running-config” zlokalizowanego w pamięci RAM.
Pierwsze uruchomienie systemu IOS
Proces pierwszego uruchamiania systemu Cisco IOS
Ładowanie nowego systemu IOS z poziomu poprzedniego
Ładowanie wybranego systemu IOS
(config)#boot system flash
Przy następnym rozruchu zostanie załadowany pierwszy obraz IOS zapisany w pamięci Flash.
(config)#boot system flash flash:obraz
Przy następnym rozruchu zostanie załadowany określony w komendzie obraz systemu IOS.
(config)#boot system tftp obraz adres-IP
Przy następnym rozruchu zostanie załadowany obraz pobrany z sieci.
Weryfikuje spójność obrazu zgodnie z sumą kontrolną MD5.
#show version
Wyświetla szczegółowe informacje dotyczące systemu IOS, w tym informacje o obecnie działającym obrazie.
#show running-config | section boot
Wyświetla konfigurację systemu IOS pod kontem obrazów systemowych.
Przygotowywanie systemu IOS
#archive tar flash:/obraz.tar flash:/
Dekompresuje wskazany w komendzie obraz system IOS do formatu „.bin”.
Przywracanie systemu IOS (Router)
Odzyskiwanie hasła do systemu IOS
Podczas ładowania systemu IOS należy zastosować kombinację klawiszy Ctrl+Break, aby przejść do systemu ROMMON (Read Only Memory MONitor). System ten umożliwia wysyłanie jak i odbieranie pakietów IP, przez co może być wykorzystany do pobrania a następnie zboot-owania nowego systemu IOS.
Rommon 1> confreg 0x2142
Blokuje wczytywanie ustawień „startup-config” podczas ładowania systemu IOS.
Rommon 2> reset
# copy startup-config running-config
Przywraca ustawienia systemu IOS z pliku „startup-config”.
# configure terminal
(config)#enable secret hasło
Zmienia stare hasło chroniące tryb uprzywilejowany, na nowe.
Przywracanie poprzednich ustawień & dodatkowe zabezpieczanie urządzenia
(config)#config-register 0x2102
Przywraca domyślne ustawienia wczytywania konfiguracji, podczas ładowania systemu.
(config)#no service password-recovery
Blokuje funkcje przywracania hasła.
(config)#secure boot-config
Zabezpiecza plik konfiguracyjny przed nieplanowanym usunięciem.
(config)#secure boot-image
Zabezpiecza plik z systemem IOS przed nieplanowanym usunięciem.
Przywracanie systemu IOS (Switch)
Podczas ładowania systemu Cisco IOS należy nacisnąć i przytrzymać guzik „MODE”.
Przywraca oryginalną nazwę pliku konfiguracyjnego.
#copy flash:config.text system:running-config
Ładuje plik konfiguracyjny do działającej konfiguracji.
# configure terminal
(config)#enable secret hasło
Zmienia stare hasło chroniące tryb uprzywilejowany, na nowe.
#show secure bootset
Wyświetla stan zabezpieczeń plików konfiguracyjnych jak i systemowych.
Reset systemu IOS
#reload at [godzina:minuty] [1-31(dzień)miesiąc] [reasonopis]
Określa planowany restart systemu IOS, z określoną godziną, dniem czy miesiącem.
#reload in godziny:minuty
Określa planowany restart systemu IOS, za określoną ilość czasu.
#reload cancel
Odwołuje zaplanowany restart systemu IOS.
#show reload
Wyświetla informacje o planowanym restarcie systemu IOS.
Zapisywanie i usuwanie ustawień
Usuwanie konfiguracji
(config)# write erase
(config)# erase startup-config
(config)# erase nvram:
(config)# delete vlan.dat
Zapisywanie konfiguracji
(config)# write memory
(config)# copy running-config startup-config
Przetrzymywanie konfiguracji w systemie Cisco IOS
Automatyczny Backup konfiguracji
Aby utworzyć kopię zapasową systemu należy przegrać plik konfiguracyjny „running-config” na serwer TFTP bądź FTP.
Aby przywrócić konfigurację systemu IOS, należy pobrać plik konfiguracyjny „running-config” z serwera TFTP bądź FTP, na miejsce pliku startowego „startup-config”. tym samym stare ustawienia zostaną nadpisane poprzez kopię zapasową. po zakończeniu kopiowania należy zresetować urządzenie Komedą [reload].
Przegranie kopi zapasowej do działającej konfiguracji„running-config” dopisze, a nie nadpisze obecną konfiguracje.
Zapisywanie i przenoszenie konfiguracji systemu Cisco IOS
Alternatywną metodą robienia kopi zapasowych są archiwa, które automatycznie wykonują kopię danych jak i nie wymagają resetowania systemu w procesie przywracania ustawień.
Określa zdalną lokalizację, na którą przesyłane będą kopie zapasowe systemu IOS. Następujące zmienne wykorzystane w ścieżce określającej lokalizację urządzenia, zostaną zamienione na wskazane wartości ($h = hostname /$t = time).
(config-archive)# time-period 1-525600(Minuty)
Wysyła backup konfiguracji w określonych odstępach czasowych.
(config-archive)# write-memory
Wysyła backup konfiguracji przy zapisywaniu konfiguracji.
(config-archive)# maximum 1-15
Określa maksymalną liczbą backup-ów, zapisanych w pamięci urządzenia.
(config-archive)# log config
Przechodzi do trybu konfiguracji komunikatów systemowych (Logging-ów).
(config-archive-log-cfg)# logging enabled(off)
Wysyła wiadomości systemowe przy zmianie konfiguracji systemu IOS.
(config-archive-log-cfg)# logging size 1-1000
Określa maksymalną liczbę wpisów zachowanych w pamięci konfiguracji.
Komendy SHOW
# show archive
Wyświetla wszystkie dostępne kopie zapasowe systemu IOS.
# show archive log config 1 3
Wyświetla zapisane w pamięci komendy konfiguracyjne CLI od pierwszej do trzeciej, wraz z informacją o użytkownik jak i miejscu (Konsoli bądź Linii VTY) z jakiego dokonał on zmian.
# show archive log config all contenttype
Wyświetla wszystkie zapisane w pamięci komendy konfiguracyjne CLI, wraz z informacjami o użytkownik jak i miejscu (Konsoli bądź Linii VTY) z jakiego dokonał on zmian.
# show archive log config all provisioning
Wyświetla wszystkie zapisane w pamięci komendy konfiguracyjne CLI.
# show archive log config statistics
Wyświetla statystyki na temat zmian wprowadzanych w konfiguracji.
# show archive log config user użytkownik 1
Wyświetla wszystkie zapisane w pamięci komendy konfiguracyjne CLI wykonane przez danego użytkownika.
Specjalne komendy SHOW
# show archive config differences nvram:startup-config system:running-config
Wyświetla różnice pomiędzy konfiguracją startup-config a zapisami konfiguracji running-config.
Kopiuje konfigurację ze wskazanego folderu źródłowego, do bieżącego pliku konfiguracyjnego, nie nadpisując obecnej konfiguracji a jedynie dopisując do niej nową. Jeżeli w bieżącym pliku konfiguracyjnym interfejs miał przypisany adres IP oraz aktywną komendę [shutdown], natomiast kopiowany plik konfiguracyjny posiada jedynie inny adres IP, to adresacja zostanie zmieniona lecz port pozostanie wyłączony [shutdown].
Przywraca pliki usunięte za pomocą komendy [delete nazwa-pliku].
(config)#verifyobraz
Wylicza sumę kontrolną a następnie porównuję ją z tą zapisaną w sprawdzanym pliku.
Komendy SHOW
(config)#show file systems
Wyświetla pliki / katalogi systemowe.
System IOS zagadnienia
Podstawowe informacje na temat systemu IOS
Urządzenia Cisco przetrzymują obraz systemu IOS w pamięci Flash, tworząc na niej własny system pików zwany IFS(IOS File System). Komenda [show file systems] umożliwia wyświetlenie systemu plików systemowych.
System Cisco IOS używa wiele systemów plików, takich jak:
Opaque– Reprezentuje wewnętrzny system plików, wykorzystywany przez funkcje systemowe.
Network– Reprezentuje zewnętrzny system plików.
Disk– Jest wykorzystywany w wewnętrznej pamięci flash.
Usbflash– Jest wykorzystywany na zewnętrznej pamięci flash (USB).
NVRAM– Reprezentuje system plików wykorzystywany w pamięci NVRAM. Przeznaczonej do przechowywania konfiguracji „startup-config”.
Proces aktualizacji systemu IOS
Należy pobrać system IOS ze strony Cisco w postaci obrazu, kolejno przegrać go na pamięć USB lub udostępnić w sieci za pomocą serwera TFTP bądź FTP. Następnie z poziomu urządzenia przegrać obraz do wewnętrznej pamięci flash oraz zboot-ować nowy system.
Urządzenia Cisco przeważnie nie mogą być odpalane z systemu znajdującego się na pamięci przenośnej np. pamięci Flash USB.
Skróty klawiszowe
Podstawowe Skróty klawiszowe
Ctrl+P – Wyświetla najczęściej używane komendy.
Ctrl+B – Przenosi kursor o jeden znak w lewo (Działa tak samo jak klawisz <-).
Ctrl+F – Przenosi kursor o jeden znak w prawo (Działa tak samo jak klawisz ->).
Tab– Kończy wpisywanie komendy.
Ctrl+A – Przenosi kursor na początek linii.
Ctrl+E – Przenosi kursor na koniec linii.
Ctrl+R – Klonuje komendę do nowej linii.
Esc+B – Przenosi kursor o jedno słowo w lewo.
Esc+F – Przenosi kursor o jedno słowo w prawo.
Break Keys
Ctrl+C – Cofa linię do poprzedniego trybu (Configure terminal > Privileged mode).
Ctrl+Z – Cofa linię do poprzedniego trybu (Configure terminal > Privileged mode / Privileged mode > Logout).
Ctrl+Shift+6 – Przerywa operację np. wykonywanie komendy ping.
Monitorowanie oraz konfiguracja urządzenia sieciowego
Wydajność urządzenia sieciowego
#show processes cpu
Wyświetla zużycie procesora wraz z aktywnymi procesami systemu IOS.
#show processes memory
Wyświetla zużycie pamięci RAM wraz z aktywnymi procesami systemu IOS.
#show processes history
Wyświetla historię aktywnych procesów.
#show memory [summary]
Wyświetla zużycie pamięci RAM.
#show stacks
Wyświetla poziom utylizacji zasobów względem poszczególnych procesów.
#show buffers
Wyświetla zajętość buforów.
Podstawowe dane zapisane w systemie IOS
# show version
Wyświetla informacje o systemie IOS oraz jego aktywnych funkcjach.
# show running-config
Wyświetla bieżącą konfigurację systemu IOS.
# show startup-config
Wyświetla startową konfigurację systemu IOS.
# show flash
Wyświetla zawartość pamięci Flash.
Zarządzanie przełącznikiem
(config)#ip default-gateway adres-IP
Przypisuje adres IP bramy domyślnej do urządzenia.
(config)#ip name-serwer adres-IP1 adres-IP2 …
Przypisuje adres IP serwera DNS.
(config)#ip domain-lookup
Umożliwia dynamiczne rozwiązywanie nazw DNS na adresy IP.
(config)#interface vlan vlan-ID
Przechodzi do poziomu konfiguracji sieci VLAN.
(config-if)#ip address sieć maska
Przypisuje adres IP, do konfigurowanego interfejsu wirtualnego.
(config-if)#no shutdown
Komendy SHOW
# show ip default-gateway
Wyświetla adres IP bramy domyślnej.
Przydatne komendy systemu IOS
Podstawowe komendy umożliwiające personalizacje ustawień systemu IOS
(config)#prompt wartość
Zmienia domyślny znak zachęty (>) na określoną w komendzie wartość.
(config)#prompt config hostname-length0-80
Określa maksymalną, wyświetlaną ilość znaków nazwy Hostname.
(config)#no service prompt config
Wyłącza wyświetlanie nazwy urządzenia (Hostname) oraz znaku zachęty.
(config)#alias exec nazwa komenda-CLI
Tworzy nowy skrót wykonujący określoną komendę CLI.
(config)#ip finger
Włącza funkcję odpowiadającą na zapytania Finger (Zapytanie finger można wysłać za pomocą komendy [telnet adres-IP finger] w celu uzyskania wydruku komendy [show users]).
TFTP, FTP i HTTP
Konfiguracja protokołu HTTP
(config)# [no] ip http server
Aktywuje funkcję zarządzania urządzeniem sieciowym za pomocą przeglądarki HTTP.
(config)# ip http secure-server
Aktywuje protokół HTTPS.
(config)# ip http secure-port port
Określa port (Warstwy czwartej) poprzez jaki będzie nawiązywana komunikacja HTTPS.
(config)# ip http client username nazwa-użytkownika
Określa nazwę użytkownika, względem łączności HTTP / HTTPS.
(config)# ip http client password hasło
Określa hasło użytkownika, względem łączności HTTP / HTTPS.
Generuje klucz rsa, o długości od 360 do 4096 bitów (Aby aktywować protokół SSH w wersji drugiej, należy wygenerować klucz RSA o minimalnej długość 1024 bitów).
Tworzy nowe konto użytkownika lokalnego, z przypisanym hasłem zabezpieczonym za pomocą wskazanego algorytmu haszującego (opcjonalna komenda “privilege” określa poziom dostępu do systemu Cisco IOS).
(config)#line vty 0-924 4-924(Zakres konfigurowanych linii VTY)
Przechodzi do poziomu konfiguracji linii zdalnej.
(config-line)# transport input ssh
Aktywuje protokół SSH względem linii zdalnej.
(config-line)# login local
Umożliwia logowanie do linii zdalnej za pomocą lokalnej bazy użytkowników.
(config)# ip scp server enable
Aktywujefunkcję serwera SCP, na lokalnym urządzeniu.
# copy scp: flash:
Kopiuje plik za pomocą protokołu SSH do pamięci Flash.
Komendy przydatne przy zarządzaniu systemem IOS
Zarządzanie zawartością pamięci Flash
# show file systems
Wyświetla system plików IFS.
# more system-plików:plik
Wyświetla zawartość wskazanego w komendzie pliku [more nvram:startup-config]. Komenda „more” wyświetla dane przechowywane przez plik.
System IOS jest wydawany w wersjach (Np. 12, 15), z których każda posiada wiele wydań (Np. Release 12.2(55)). Ponadto każdy wydany obraz jest osobno przygotowany pod kontem danego rutera bądź przełącznika sieciowego.
System IOS wspiera wiele protokołów oraz rozwiązań uporządkowanych w czterech grupach głównych. Są to funkcję podstawowe (IP Bese), funkcje związane z bezpieczeństwem (Security), funkcje zaawansowanego routingu i przepływu danych (Data) oraz funkcje wspierające technologię głosowe VoIP (Voice).
IP Base – Zawiera podstawową funkcjonalność systemu IOS.
Security– Zawiera systemową zaporę ogniową, protokołu VPN, DMVPN czy IPsec.
Data– Zawiera funkcje Performance routing (PfR) czy protokoły WAAS oraz NBAR2.
Voice– Zawiera funkcję VoIP oraz IP telephony.
W starszych wersjach systemu IOS (Np. 12) oraz nowszych wersjach wydanych na starsze platformy sprzętowe (Np. ISR 2800 series), proces licencjonowania obrazu, polegał na dystrybucji systemu zawierającego wymagane przez klienta funkcję. Związku z tym wzbogacenie licencji musi być poprzedzone zmianą obrazu.
Wersję obrazów systemu Cisco IOS
Nowszy system licencjonowania Cisco, umożliwia pobranie uniwersalnego obrazu IOS zawierającego wszystkie dostępne funkcję systemu. Jednak po uruchomieniu dostępna jest jedynie funkcja podstawowa (IP Base). Aby aktywować resztę funkcji należy posiadać odpowiedni klucz generowany przez Cisco na podstawie numeru seryjnego urządzenia. Nowe podejście firmy ukróciło proces pobierania nielegalnego oprogramowania (niestety ☹), a nazywa się ono SMARTnet.
Od pewnego czasu Cisco pracuje nad wprowadzeniem nowego systemu licencjonowania, w którym system IOS nie byłby aktywowany z poziomu poszczególnego urządzenia, a globalnie poprzez aplikację CLM(Cisco License Manager).
Funkcja CLM poprzez Internet łączy się z Sewerami Cisco, sprawdzając jakie licencje posiada użytkownik oraz do jakich urządzeń one pasują. Następnie łączy się z poszczególnymi urządzeniami sieciowymi automatycznie rewalidując a następnie aktywując zakupione funkcję systemu IOS.
Aktywowanie licencji
Każde nowsze urządzenie firmy Cisco, posiada unikalny numer identyfikacyjny zwany UDI(Unique Device Identifier). Składa się on z numeru ID produktu PID(Product ID) oraz numeru seryjnego SN(Serial Number).
Ponad to po zakupieniu licencji, użytkownik otrzyma dodatkowy klucz PAK(Produkt Authorization Key).
Proces aktywowania nowych funkcji systemu IOS rozpoczyna się na stronie Cisco, gdzie oprócz unikalnego numeru UDI urządzenia, użytkownik musi podać zakupiony klucz PAK. świadczący o tym, że zapłacił on już za swoją licencje oraz nigdy wcześniej jej nie używał, do aktywacji innego urządzenia. Po przeprowadzeniu weryfikacji użytkownik może pobrać plik licencyjny (License Key), zawierający wygenerowany klucz względem określonego urządzenia.
W swojej dobroci Cisco umożliwia aktywowanie darmowej licencji testowej na okres 60 dni (proces jej aktywacji nie wymaga klucza PAK). Po upływie terminu, funkcję nadal pozostają aktywne (Jednak Cisco prosi, aby ich nie używać).
Aktywowanie licencji
#license install {url / usbflash1:plik}
Instaluje klucz licencji na konfigurowanym urządzeniu (Wymaga restartu).
Tworzy bezpieczne hasło blokujące dostęp do trybu uprzywilejowanego (Opcjonalnie komenda umożliwia wybranie algorytmu szyfrowania).
Banery powitalne
Rodzaje banerów powitalnych
MOTD(Message Of The Day) – Okresowa wiadomość informująca o przejściowych zdarzeniach np. o restarcie systemu.
LOGIN– Stała wiadomość wyświetlana przed prometem proszącym o podanie loginu i hasła użytkownika. W większości przypadków informuje osoby logujące się do systemu IOS o wymaganej autentykacji czy monitorowaniu sesji.
EXEC– Stała wiadomość wyświetlana po zalogowaniu do sytemu IOS. W większości przypadków informuje osoby logujące się do systemu IOS, o wersji systemu czy adresacji urządzenia.
Rodzaje banerów powitalnych w systemie Cisco IOS
Konfiguracja banerów powitalnych
Konfiguracja podstawowego banneru powitalnego w systemie Cisco IOS
(config)#banner {brak / login / exec}#treść na wiele wierzy#
Tworzy baner, którego treść następuje pomiędzy powtarzającymi się znakami (#). Znak ten można zamienić na dowolny inny znak ASCII, mogący pojawić się jedynie początku oraz na końcu wpisywanej frazy. * brak – Tworzy okresowy banner informujący o przejściowych zdarzeniach. * login – Tworzy stały banner wyświetlany przed prometem proszącym o podanie loginu i hasła użytkownika. * exec – Tworzy stały banner wyświetlany po zalogowaniu do sytemu IOS.
Zmienne wykorzystywane w banerach powitalnych
$(hostname)
Wyświetla nazwę urządzenia (Hostname).
$(domain)
Wyświetla nazwę domeny, do której należy dane urządzenie (Domain name).
$(line)
Wyświetla rodzaj bieżącego połączenia (Console, VTY).
$(line-desc)
Wyświetla opcjonalny opis połączenia (Description).
Pozostałe tematy związane z zarządzaniem systemem IOS
