Einführung in die Konfiguration von Cisco Switches und Router

Hier wird noch gearbeitet

Speicher

Der Catalyst 2900 und Catalyst 3550 besitzen jeweils drei verschiedene Speicherarten:

  • EEPROM (Electric Erasable Programmable Read Only Memory), auch Flash-Memory genannt. Das Betriebssystem, welches von allen Cisco Routern und vielen Switchen verwendet wird heißt IOS. Das IOS-Betriebssystem wird im Flash-Memory gespeichert und kann durch eine neue IOS-Version, die mittels TFTP geladen wird, verändert werden.
  • DRAM (dynamic random access memory) In diesem Geräte-Konfigurationsspeicher wird die aktuelle Konfiguration gespeichert. Alle getätigten Kommandos sind jedoch nach einer Stromunterbrechung wieder weg.
  • NVRAM (non-volatile random access memory) Hier ist die so genannte Start-Konfiguration gespeichert. Nach einer Stromunterbrechung liest das IOS-Betriebssystem hier die gespeicherte Konfiguration aus und startet den Switch damit.
  • Boot-ROM (Boot-Read Only Memory) Je nach Bauart besitzt das Gerät einen eigenen Speicherbaustein, in dem der so genannte Boot Loader enthalten ist.

Der Startprozess

  1. Das Gerät führt einen Power-on-self-Test (POST) durch. Bei diesem Einschalttest werden die Grundfunktionen von Prozessor, Speicher und Ports überprüft.
  2. Der Boot Loader sucht nach dem IOS (Internetworking Operating System) im Flash und lädt das Betriebssystem in den Arbeitsspeicher (DRAM). Sollte im Flash keine IOS-Version gefunden werden, sucht der Boot Loader nach einem TFTP-Server.
  3. Die aktuelle Konfiguration wird im NVRAM gesucht und in den Arbeitsspeicher geladen.

Konfigurationsmöglichkeiten

Es stehen verschiedene Möglichkeiten zur Verfügung, um ein Gerät von Cisco zu administrieren. Generell kann man jedes Gerät auch über einen beliebigen Webbrowser konfigurieren. Diese Methode bietet aber weder den vollen Funktionsumfang der Konfigurationsmöglichkeiten noch ist es eine effiziente Methode.

Um ein Gerät von Cisco erstmalig zu konfigurieren, bietet sich der Konsolen-Port an. Dafür verbindet man den asynchronen seriellen EIA/TIA-Konsolenanschluss am Gerät mit der COM-Schnittstelle des PC's. Ein Konsolenterminal (Hyperterminal) muss mit den Werten 9.600 Baud, 8 Datenbits, keine Parität, 1 Stopbit und ohne Flusskontrolle geöffnet werden.

Konfigurationsmodi

Es werden verschiedene Zugriffsmodi auf diesem Switch unterschieden, von denen entsprechende Konfigurationen durchgeführt werden können.

Nach der Anmeldung befindet man sich im nicht-priviligierten Modus (User Mode). Hier können nur Statusabfragen getätigt werden. Zum Wechseln in den priviligierten Modus (Privileged Mode) muss der Befehl enable und das enable-Kennwort eingegeben werden. Wird ein verschlüsseltes Kennwort verwendet, muss hier natürlich das enable secret-Kennwort angegeben werden.

Cisco3550>enable
Password: <unsichtbare Kennworteingabe>
Cisco3550#

Hilfe

In jedem Modus können alle zur Verfügung stehenden Kommandos können mit einem ? angezeigt werden. Dabei muss lediglich das Fragezeichen eingegeben werden ohne return zu drücken.

Cisco3550#configure terminal
Enter configuration commands, one per line.
End with CNTL/Z.
Cisco3550(config)#?
Configure commands:
aaa
Authentication, Authorization and Accounting.
access-list
Add an access list entry
alias
Create command alias

Ist man sich bei der Eingabe eines Kommandos nicht sicher, welche weiteren Befehle möglich sind, kann der entsprechende Befehl mit Leerzeichen und ? eingegeben werden. Daraufhin werden alle Möglichkeiten angezeigt.

Cisco3550#configure ?
memory
Configure from NV memory
network
Configure from a TFTP network host
overwrite-network
Overwrite NV memory from TFTP network host
terminal
Configure from the terminal
Cisco3550#configure

Daneben gibt es noch die Möglichkeit ein Kommando mit der Tabulator-Taste zu vervollständigen

Cisco3550#configure n <TAB>
Cisco3550#configure network
Global Confguration Mode
Switch>
Switch#
Switch (config)#
Switch (config-if)#
Switch (config-line)#
Switch (config-vlan)#
User Mode
Privileged Mode

Konfiguration

Privilegierter (enable) Modus

Wie schon oben erwähnt kann der Benutzer nur im privilegierten Modus Befehle eingeben, die den Switch konfigurieren. Der privilegierte Modus ist immer am # zu erkennen. So kann hier das Dateisystem bearbeitet werden und der Speicher bearbeitet werden. Ansehen der momentanen Konfiguration

Cisco3550#show running-config

Zeigt die aktuelle Konfiguration an. Speichern der Konfiguration im NVRAM

Cisco3550#copy running-config startup-config

Überträgt alle Konfigurationseinstellungen aus dem flüchtigen RAM in den NVRAM. Falls aus bestimmten Gründen die Startkonfiguration durch die Einstellungen der flüchtigen Konfiguration überschrieben werden soll, dreht man den Befehl einfach um:

Cisco3550#copy startup-config running-config

Löschen der Start-Konfiguration

Cisco3550#erase startup-config

Löscht die Start-Konfiguration im NVRAM und es würde erneut die Prozedur „System Configuration Dialog“ ablaufen.

Globaler Konfigurationsmodus

Um ein Interface zu konfigurieren muss man zuerst in den gobalen Konfigurations Modus wechseln. Dafür gibt es das Kommando

Cisco3550#configure terminal
Cisco3550(config)#

In diesem Modus kann zum Beispiel der Name des Switches gesetzt werden:

hostname <Switchname>

ein Kennwort für den priviligierten Modus hinterlegt werden:

enable secret <Kennwort>

oder IP-Routing aktiviert werden:

ip routing

Konfiguration der Schnittstellen

Interface

Der Catalyst kennt je nach Bauart mehrere Schnittstellen, hier im Allgemeinen Interfaces genannt. Man unterscheidet dabei LAN- und WAN-Schnittstellen. Zu jedem Interface gibt es dementsprechend einen oder mehrere physikalische Ports am Switch. Alle Schnittstellen werden nach

  • Type (Fast-Ethernet für 10/100-Ethernet)
  • Slot (bei diesem immer 0)
  • Port Nummer (beginnend von rechts mit 1)

unterschieden.

Zum Beispiel: fastethernet 0/1, gigabitethernet 0/1, serial0/4, bri0/2 Um ein Interface zu konfigurieren muss man zuerst in den gobalen Konfigurations Modes wechseln. Dann wird durch Angabe der entsprechenden Schnittstelle eine Eingabe von Befehlen, die sich direkt auf diese Schnittstelle beziehen, ermöglicht.

Cisco3550#configure terminal
Cisco3550(config)# interface bri0
Cisco3550(config-if)#encapsulation ppp
Cisco3550(config-if)#exit
Cisco3550(config)#

VLAN einrichten und verwalten

Auf einem Catalyst 3550 können 1005 VLAN eingerichtet werden, wobei die VLAN-ID zwischen 1002 bis 1005 reserviert sind für Token Ring und FDDI. VLAN-ID zwischen 1006 bis 4094 werden nicht mehr in der VLAN Datenbank gespeichert und der Switch muss sich im VTP transparenten Modus befinden.
Algemeine Informationen über VLAN: Ein Artikel von Heise

VTP (virtual trunking protocol) ist ein proprietäres Protokoll für die Kommunikation von VLAN über Trunking-Ports. Der Catalyst 2950 unterstützt mit der Standard-IOS-Version 64 VLAN's und, wenn der Switch mit dem Enhanced Software Image (EI) arbeitet 250 VLAN's. Ein VLAN wird mit dem aus dem Globalen Konfigurationsmodus heraus mit VLAN <vlan-id> angelegt. Dann können gleich ein Name oder eine IP-Adresse zugeordnet werden.

Switch(config)# interface Vlan 2
Switch(config-vlan)#
name test
Switch(config-vlan)#
end

Mit no vlan <vlan-id> kann das VLAN dann entsprechend wieder gelöscht werden. Damit dem VLAN auch physikalische Ports zugeordnet werden muss über die entsprechende Ethernet-Schnittstelle das VLAN zugeordnet werden.

Switch(config)# interface FastEthernet 0/8
Switch(config-if)# switchport mode access

Der Port arbeitet auf Layer 2

Switch(config-if)#
switchport access vlan 2

Der Port gehört zu VLAN 2 Natürlich kann man auch mehrere Ports auf einmal einem VLAN hinzufügen. Dafür ändern Sie einfach die erste Zeile ab:

Switch(config)# interface range FastEthernet 0/8 - 12

Die bestehenden VLAN's kann man sich mit dem folgenden Befehl anschauen:

Switch# show vlan

Jedoch muss beachtet werden, dass ein Port, der als Trunk eingerichtet wurde, nicht in der Liste der VLAN's auftaucht.

Einrichten eines VLAN-Trunks

Um auf zwei oder mehr VLAN-fähigen Switch die Kommunikation innerhalb eines VLAN's zu gewährleisten, muss man einen Trunk einrichten. Frames, die über diesen Trunk weitergeleitet werden, werden zusätzliche Informationen hinzugefügt, zu welchen VLAN der jeweilige Frame gehört und an welche VLAN's er weitergeleitet werden darf. Auf Cisco-Switches gibt es dafür zwei Typen: ISL (ein Cisco eigenes Protokoll) IEEE 802.1q ISL fügt dem Frame einen eigenen ISL-Header hinzu und IEEE 802.1q fügt dem Frame ein zusätzliches Feld hinzu (Tagging). Bei Cisco muss jedoch beachtet werden, dass zwischen zwei Ports ein Trunk mittels Dynamic Trunk Protocol (DTP) dynamisch ausgehandelt werden kann. Wenn man dies nicht möchte, muss dies ausgeschaltet werden.

Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport nonegotiate
Switch(config-if)# end

Dieser Befehl ist nur verfügbar, wenn ein Port als switchport mode trunk oder access arbeitet. Im switchport mode dynamic desirable oder dynamic auto ist der Befehl nicht verfügbar und führt zu einem Fehler. Mit dem Kommando switchport mode trunk wird explizit ein Trunk eingerichtet.

Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# end
</code
Beim Catalyst 3550 reicht die Angabe switchport mode trunk nicht aus. Hier muss zuerst über
ein Kommando die gewünschte Kapselung eingestellt werden:
<code/bash>
Switch(config)# interface fastethernet 0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# end

Das VLAN 1 ist standardmäßig als native VLAN eingerichtet, dass heißt, dass hier keine Informationen zum Frame hinzugefügt werden.

Konfigurieren von VTP

Mittels dem VLAN Trunking Protokoll können Cisco Switch die Informationen über vorhandene VLAN's austauschen. Das bedeutet, dass die Ports noch manuell dem jeweiligen VLAN hinzugefügt werden müssen.

Es gibt drei Modi:

  • Server

dies ist der Standard, in dem sich ein Trunk befindet Hier können VLAN's erzeugt, verändert und gelöscht werden. Änderungen werden sofort oder nach 5 Minuten an die Clients weitergegeben.

  • Client

Hier werden die Änderungen vom Server empfangen und es können auch Änderungen weitergeleitet werden, aber es können keine Änderungen gemacht werden.

  • Transparent

Das bedeutet, dass VTP auf dem Switch ausgeschaltet ist. Ein Switch, der sich im Modus transparent befindet, gibt zwar Änderungen an die Trunk-Ports weiter (ab VTP-Version 2), aber er selbst partizipiert nicht von diesen Änderungen. Wichtig ist dabei, dass alle Server und Clients sich in derselben VTP-Domäne befinden.

Switch# config terminal
Switch(config)# vtp mode server
Switch(config)# vtp domain eng_group
Switch(config)# vtp password mypassword
Switch(config)# end

IP-Adressen

Grundeinstellung der IP-Adresse und Standard-Gateway für Catalyst 2950

Einem Layer 2-Switch kann nur über ein VLAN eine IP-Adresse zugewiesen werden. Dafür wird in der Regel das VLAN 1 genutzt, welches standardmäßig auf dem Switch 2950 eingerichtet ist. Über diese IP-Adresse kann man den Switch mittels telnet oder Web-Browser erreichen und fern administrieren. Zusätzlich wird die IP-Adresse zu Überwachungszwecken des Switches (z. B. SNMP) benutzt.

Switch(config)# interface Vlan 1
Switch(config-vlan)# ip address 192.168.1.3 255.255.255.0

Die IP-Adresse kann über den gleichen Befehl mit vorangestellten no wieder entfernt werden. Beispiel:

Switch(config)# interface Vlan 1
Switch(config-if)# no ip address 192.168.1. 255.255.255.0

Ein Catalyst 2950 sollte in einer Umgebung mit mehreren Subnetzen genauso wie einem Rechner ein Standard-Gateway zugewiesen werden.

Grundeinstellung der IP-Adresse für Catalyst 3550

Hier wird genauso wie beim Catalyst 2950 die IP-Adresse einem VLAN zugeordnet. Allerdings kann hier jedem VLAN seine eigene IP-Adresse zugeordnet werden, die dann für die angeschlossenen Rechner als Standard-Gateway verwendet wird. Auf dem Catalyst 3550 kann eine IP-Adresse auch einem einzelnen Port zugewiesen werden. Dies darf dann aber kein Layer 2-Port sein.

3550(config)# interface FastEthernet 0/1
3550(config-if)# no switchport
3550(config-if)# ip address 192.168.1.1 255.255.255.0
3550(config-if)# no shutdown
3550(config-if)# end

Statische Routingeinträge auf dem Catalyst 3550

Zuerst muss auf dem Catalyst 3550 das Routing überhaupt eingeschaltet werden. Sollten auch klassenlose IP-Adressen, bzw. Subnetze verwendet werden, wird dieses entsprechend angegeben:

Cisco3550(config)# ip routing

Routing wird eingeschaltet

Cisco3550(config)# ip classless routing

klassenloses Routing eingeschaltet

Cisco3550(config)# ip subnet zero

Subnetz mit Nullen erlaubt Anlegen einer statischen Route:

Cisco3550(config)# ip route 0.0.0.0 0.0.0.0 200.3.2.1

Anzeigen aller vorhandenen Routen:

Cisco3550# show ip route

Aufgabe:

  1. Zuerst sollen die Switches wie oben abgebildet mit Trunks verbunden werden. Kontrollieren Sie, ob STP korrekt arbeitet und ergänzen Sie im Plan oben, welcher Switch als Root-Bridge arbeitet und wo sich die Root-Ports, die designated und non-designated Ports befinden. Welche Vor- und Nachteile hat dieser Aufbau?
  2. Danach sollen Sie das Schema überarbeiten. Wir nehmen an, dass die Catalyst 3550 Gebäudeverteiler und die Catalyst 2950 Etagenverteiler sind. Aus Kostengründen gibt es in diesem Unternehmen keine Standortverteiler.

Nun sollen zwischen den Gebäudeverteiler zwei Trunks eingerichtet werden. Der Trunk zwischen den beiden Etagenverteilern entspricht nicht mehr der strukturierten Verkabelung und soll entfernt werden. Außerdem sollen in jedem Gebäude andere Subnetze benutzt werden. Die VLAN's 1, 2 und 3 sollen erhalten bleiben und auch weiterhin in unterschiedlichen Subnetzen sein.

Machen Sie einen Plan, der den Anforderungen entspricht und vergeben Sie IP-Adressen für die Catalyst 3550 und für jeweils einen Beispiel-PC.

Stimmen Sie die Pläne mit den anderen Gruppen ab.

Realisieren Sie in jeder Gruppe Ihren Part und testen Sie danach.

Dokumentieren Sie die Konfiguration der Switches und der Tests, so dass ein unbeteiligter Dritter die Ergebnisse nachvollziehen kann.

Cisco Router 1712

Einführung

Beim Cisco 1712 Security Access Routers muss man beachten, dass einige IOS-Komandos abweichend von dem oben gelernten sind. Außerdem hat der Router einen FastEthernet 0-Port, der als Routerport fungiert und vier Switchports FastEthernet 1 – 4.

Router on a stick

Wurden auf einem Swich Layer 2 mehrere VLAN's eingerichtet, sind diese nicht miteinander verbunden und es ist kein Datenaustausch möglich. Will man dies ermöglichen, kann ein Router zur Verbindung der VLAN's eingesetzt werden. Ein Kabel wird zwischen den beiden Geräten installiert und die entsprechenden Ports auf beiden Seiten müssen als Trunk-Ports konfiguriert werden. Da der Router aber als Standard-Gateway für verschiedene Subnetze fungiert, arbeitet man hier mit Subinterfaces.

Cisco1712(config)# interface FastEthernet 0
Cisco1712(config-if)# no ip address
Cisco1712(config-if)# no shutdown
Cisco1712(config)# interface FastEthernet 0.1
Cisco1712(config-subif)# encapsulation dot1q 2
Cisco1712(config-subif)# ip address 192.168.2.1 255.255.255.0
Cisco1712(config-subif)# no shutdown
Cisco1712(config)# interface FastEthernet 0.2
Cisco1712(config-subif)# encapsulation dot1q 3
Cisco1712(config-subif)# ip address 192.168.3.1 255.255.255.0
Cisco1712(config-subif)# no shutdown
Cisco1712(config)# interface FastEthernet 0.3
Cisco1712(config-subif)# encapsulation dot1q 4
Cisco1712(config-subif)# ip address 192.168.4.1 255.255.255.0
Cisco1712(config-subif)# no shutdown

ISDN-Konfiguration

Einführung

Einstellen des ISDN-Types:

Es gibt unterschiedliche ISDN-Standards und deshalb muss auf jeden Fall erstmal der Standard in Erfahrung gebracht werden, der für den zu konfigurierenden Router maßgeblich ist. basic-1tr6—German 1TR6 ISDN switches
altes nationalen ISDN nach dem 1TR6-Standard
basic-5ess—Basic rate 5ESS switches
US National ISDN Phase 2 (von AT&T)
basic-dms100—NT DMS-100 basic rate switches
basic-net3—NET3 ISDN switches
Euro-ISDN (DSS1)
basic-ni—National ISDN-1 switches
basic-nwnet3—Norway NET3 switches
basic-nznet3—New Zealand NET3 switches
basic-ts013—Australian TS013 switches
ntt—Japanese NTT ISDN switches
vn2—French VN2 ISDN switches
vn3—French VN3 ISDN switches

R1(config)# int bri 0
R1(config-if)# isdn switch-type basic-net3
Einstellen des Verbindungsaufbau- und abbau-Protokolls

Das Punkt-zu-Punkt-Protokoll (ppp)ermöglicht die Übermittlung von Daten über synchrone und asynchrone Wähl- und Standleitungen. Es unterstützt als Layer 3-Protokolle IP, IPX und AppleTalk. Es ist herstellerunabhängig und dafür konzipiert, Router und Brücken über WAN-Leitungen zu verbinden. Die Verbindung kann in (mindestens) vier Phasen eingeteilt werden:

  1. Verbindungsaufbau und Konfigurationsaushandlung (und Authentifikation)
  2. Bestimmung der Verbindungsqualität (optional)
  3. Aushandlung der Konfiguration des Vermittlungsschichtprotokolls
  4. Datenübertragung
  5. Verbindungsbeendung
Komandos für den Test der Verbindung

Die folgenden Kommandos zeigen die Aktivitäten der ISDN-Leitung an:

R1# show isdn active
R1# show isdn status

Die Verbindung kann manuell beendet werden:

R1# isdn test disconnect int bri 0 all

Oder nach einer gewissen Zeit (in Sekunden) der Inaktivität beendet der Router die Verbindung:

R1(config)# int bri 0
R1(config-if)# dialer idle-timeout 60

Außerdem sollte CDP, STP und dynamische Routing-Protokolle nach Möglichkeit für Wählverbindungen ausgeschaltet werden.

R1(config)# int bri 0
R1(config-if)# no cdp enable

Basis-DDR-Konfiguration (Wählverbindung von zwei Routern)

Unter Dial-on-demand routing (DDR) versteht man die Wahlverbindung auf Anforderung. Sollen zwei Standorte miteinander über eine Wählleitung verbunden werden, müssen die ISDN-Interfaces so konfiguriert werden, dass jede Seite eine IP-Adresse erhält. Dies können private IP-Adressen sein, die sich im gleichen Subnetz befinden.

R1(config)# int bri 0
R1(config-if)# isdn switch-type basic-net3
R1(config-if)# encapsulation ppp
R1(config-if)# ip address 11.12.13.1 255.255.255.252
R1(config-if)# dialer map ip 11.12.13.2 name R2 04041486930
R1(config-if)# dialer-group 2
R1(config-if)#exit
R1(config)# ip route 192.168.1.0 255.255.255.0 11.12.13.2
R1(config)# dialer-list 2 protocol ip permit

Der Datenverkehr, der das Wählen auslöst, wird durch eine Accessliste spezifiziert. In der einfachsten Form löst jeder IP-Traffic ein Wählen aus. (siehe oben) Möchte man aber nur bestimmte IP-Subnetze die Verbindung in das entfernte Netz erlauben, kann man die normalen Accesslisten integrieren.

R1(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255
R1(config)# access-list 101 permit icmp host 11.12.13.1 host 11.12.13.2
R1(config)# dialer-list 2 protocol ip list 101

In der obigen Abbildung wird ISDN mit dem Layer 2-Protokoll ppp gekapselt. ppp kennt zwei Authentifizierungsprotokolle: PAP (ohne Verschlüsselung) und CHAP (mit Verschlüsselung, Three- Way-Handshake und wiederholter Authentifizierung auch während der Datenübertragung) Auf den Router R1:

R1(config)# username R2 password cisco
R1(config)# int bri 0
R1(config-if)# ppp authentification chap pap

Auf den Router R2:

R2(config)# username R1 password cisco
R2(config)# int bri 0
R2(config-if)# ppp authentification chap pap

Zuordnung von globalen IP-Adressen (Internetverbindung)

Zuerst muss gekennzeichnet werden, welches Interface eine interne Adresse und welches Interface eine externe Adresse zugewiesen bekommt.

R1(config)# interface Vlan 1
R1(config-if)# ip nat inside
R1(config-if)#exit
R1(config)# interface Bri 0
R1(config-if)# ip nat outside
R1(config-if)#exit
Statische Zuordnung

Zuerst muss gekennzeichnet werden, welches Interface eine interne Adresse und welches Interface eine externe Adresse zugewiesen bekommt.

R1(config)# ip nat inside source static 192.168.1.77 85.176.137.18
Dynamische Zuordnung über einen IP-Adresspool
R1(config)# ip nat pool ip-pool-1 85.176.137.1 85.176.137.20
R1(config)# ip nat inside source list 9 pool ip-pool-1
R1(config)# access-list 9 permit ip 192.168.1.0 0.0.0.255
Dynamische Zuweisung über einen ISP (port address translation)
R1(config)# interface Bri 0
R1(config-if)# ip address negotiated
R1(config-if)# dialer string 0192312
R1(config-if)# ppp pap sent-username hansenet password direkt
R1(config)# ip nat inside source list 9 interface bri0 overload

Konfiguration von Dialer Interfaces

R1(config)# interface Dialer 1
R1(config-if)# ip address 10.10.11.1 255.255.255.0
R1(config-if)# encapsulation ppp
R1(config-if)# dialer pool 3
R1(config-if)# dialer string 04041486930
R1(config-if)# dialer-group 2
R1(config-if)# ppp authentication chap
R1(config-if)#exit
R1(config)# int bri 0
R1(config-if)# dialer pool-member 1
R1(config)# dialer-list 2 protocol ip permit