www.SAMURAJ-cz.com 

23.02.2019 Svatopluk Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Série článků (seriály, skupiny)

Cisco IOS

Velký seriál o operačním systému aktivních prvků firmy Cisco.

Cisco IOS 1 - úvod, příkaz show

Firma Cisco je v oblasti aktivních prvků známa asi každému. Velká část jejich zařízení je vybavena jednotným operačním systémem zvaným IOS (Internetwork Operating System), který nabízí široké možnosti konfigurace a správy. V této první části série článků o IOSu se věnuji obecnému popisu IOSu, jeho používání a velmi důležitému příkazu show, který slouží k zobrazení informací.

Cisco IOS 2 - verze, upgrade a záloha IOSu

V druhé části článků o operačním systému Cisco aktivních prvků se věnuji krátce označování switchů a následně postupům pro upgrade IOSu a s tím související zálohou IOSu a konfigurace.

Cisco IOS 3 - nastavení interface/portu - access, trunk, port security

V pokračování popisu operačního systému Cisco Switchů se věnuji asi nejpoužívanější oblasti, nastavování parametrů pro porty a interfacy. Od základních vlastností, přes používání VLAN, nastavení IP adresy až po zabezpečení portu pomocí Port security. Popis je pouze stručný a v závěru se nachází praktické příklady.
18.05.2009 | 09.04.2007 | Samuraj - Petr Bouška | Cisco admin | 123286x | Komentáře [9]

Cisco IOS 4 - reset, password recovery

V další části popisu Cisco IOSu se věnuji metodám, jak vymazat existující konfiguraci switche, a tedy dostat jej do výchozího stavu. V druhé části je sepsán postup pro obnovu hesla, pokud to původní zapomeneme.

Cisco IOS 5 - komunikace se switchem

Další část popisu Cisco IOSu se věnuje shrnutí jednotlivých možností, jak se připojit ke switchi, aby bylo možno provádět jeho konfiguraci. Jedná se nejen o popis možností, ale také informace o konfiguraci těchto vlastností a zabezpečení přístupu.

Cisco IOS 6 - úvodní konfigurace switche

V tomto díle seriálu o Cisco IOSu je pouze soupis základních vlastností, které myslím, že je dobré nastavit na novém switchi. Většina vlastností byla popsána v předchozích dílech, takže zde jsou uvedeny pouze stručně.

Cisco IOS 7 - konfigurace VLAN, VTP

Další popis operačního systému Cisco IOS se tentokrát věnuje důležité, a v praxi potřebné, oblasti virtuálních lokálních sítí, tedy VLAN. Teorii jsem popsal v dřívějším článku, takže nyní se jedná o praktický popis konfigurace VLAN. Zmíněny jsou také protokoly Dynamic Trunk Protocol (DTP) pro automatické vyjednávání trunků a užitečný VLAN Trunking Protocol (VTP) pro konfiguraci VLAN na jednom místě a její automatickou distribuci na ostatní switche.
23.04.2009 | 18.06.2007 | Samuraj - Petr Bouška | Cisco admin | 106242x | Komentáře [23]

Cisco IOS 8 - ACL - Access Control List

Další část seriálu o Cisco IOSu je trošku více teoretická a věnuje se tématu Access Control List, tedy ACL. Můžeme říci, že se jedná o řízení nebo identifikaci přístupu k nějakému objektu. Začínám obecnějším popisem a dělením ACL a dále se věnuji rozšířenějším IP ACL a trochu méně používaným MAC ACL. Také článek ukazuje konfiguraci Standard, Extended i Named ACL na Cisco zařízeních a jejich aplikaci na Port nebo L3 interface.
07.04.2009 | 10.08.2007 | Samuraj - Petr Bouška | Cisco admin | 63654x | Komentáře [17]

Cisco IOS 9 - Spanning Tree Protocol

Další, značně teoretická, část popisu Cisco IOSu se věnuje tématu smyček v síti (tedy ne-stromové topologii). Nejprve zmiňuji jaké nevýhody a naopak jaké výhody nám smyčky přináší. Následně popisuji řešení souvisejících problémů pomocí Spanning Tree Protocolu (STP). A v závěru je popsána konfigurace PVSTP pomocí příkazů IOSu.
03.05.2009 | 20.08.2007 | Samuraj - Petr Bouška | Cisco admin | 93780x | Komentáře [21]

Cisco IOS 10 - Rapid Spanning Tree Protocol

Tento článek přímo navazuje na předchozí díl, kde byl popsán obecně STP protokol a konfigurace PVSTP. V tomto díle je mnohem stručnější popis, hlavně zaměřený na konfiguraci, dvou novějších verzí STP, tedy RSTP a MSTP. Popisuje také moje praktické zkušenosti s přechodem na RSTP. A je zde malá zmínka o Flex Link.

Cisco IOS 11 - IEEE 802.1x, autentizace k portu, MS IAS

Článek se věnuje protokolu IEEE 802.1x a jeho praktickému zprovoznění. Jedná se o užitečný, relativně jednoduchý a několik let starý protokol, který se začíná stále více implementovat. Je na něm založena řada dalších služeb. Dot1x slouží k řízení přístupu na okraji sítě (na portu). Stručně jsem popsal základní implementaci na Cisco switchi, větší část článku se věnuje konfiguraci MS verze RADIUS serveru (IAS) a závěr konfiguraci klienta.

Cisco IOS 12 - IEEE 802.1x a pokročilejší funkce

V minulém díle jste mohli nalézt popis protokolu IEEE 802.1x a jeho základní konfiguraci (pouze povolení přístupu uživatele k portu) jak na Cisco Switchi, tak na Microsoft IAS serveru (tedy RADIUSu) a Windows klientovi. Tento díl pokračuje dále a popisuje konfiguraci dalších zajímavých možností. Nejzajímavější je patrně možnost zařazovat port do určité VLANy podle autentizace uživatele a jeho zařazení ve skupině v AD nebo povolení přístupu (do určité části sítě) uživateli, který neprošel autentizací.

Cisco IOS 13 - DHCP služby na switchi

Tentokrát více praktický díl, který se věnuje službám okolo DHCP. Jako hlavní službu nám Catalysty nabízí možnost provozovat DHCP server. Nebudu se zabývat úvahami nad nasazením takovéhoto DHCP serveru v ostrém provozu, ale minimálně se jedná o užitečnou vlastnost pro různé testování a laboratoře. Další užitečná a často používaná funkce je DHCP Relay Agent, tedy předávání DHCP požadavků na server. A za povšimnutí určitě stojí, zajímává bezpečnostní funkce DHCP Snooping.

Cisco IOS 14 - tipy pro běžnou práci

Článek uvádí několik rad jak provádět každodenní operace jednodušeji a rychleji. Tipy se týkají oblastí popsaných v předchozích dílech, a buď přináší něco, co jsem se dodatečně naučil či co mi poradili čtenáři, nebo pouze vyzdvihuje něco dříve popsaného.

Cisco IOS 15 - zálohy a obnovy konfigurace a obrazů

Pokud máme v síti více aktivních prvků, tak je třeba řadu operací co nejvíce automatizovat. Jednou z operací, které je dobré provádět pravidelně, je záloha konfigurace. Novější funkcí v Cisco IOSu jsou konfigurační archivy a funkce archive. Pomocí ní můžeme (automatizovaně) ukládat, organizovat a spravovat archivy konfigurací, vracet se ke starším konfiguracím (rollback), logovat změny konfigurace a spravovat (záloha a upgrade) obrazy IOSu (image). Jedná se rozhodně o zajímavou a užitečnou funkci.

Cisco IOS 16 - HSRP - Hot Standby Routing Protocol

HSRP je Cisco protokol, který je užitečný a jednoduše se konfiguruje. Slouží k zajištění vysoké dostupnosti v síti pomocí redundance routerů (bran). Tak jako STP řeší redundanci cest v síti (a potřebujeme zdvojit propojení), tak HSRP řeší redundanci prvního hopu na Layer 3 OSI (musíme zdvojit router). Článek nerozebírá teorii HSRP, ale věnuje se jeho praktickému významu a popisu (základní, ale dostatečné) konfigurace. Stručně jsou zmíněny i další protokoly – IRDP, VRRP a GLBP.
13.05.2009 | 27.05.2008 | Samuraj - Petr Bouška | Cisco admin | 34280x | Komentáře [25]

Cisco IOS 17 - více switchů jako Stack - technologie StackWise

Stack je zajímavá technologie, která dovoluje některé pevné Cisco switche spojit do jednoho celku, který má společnou konfiguraci a správu a také zvyšuje spolehlivost. V podstatě se vytvoří jeden nový velký switch, který vlastní všechny porty. Pro základní vytvoření stacku stačí propojit jednotlivé switche pomocí speciálního kabelu a vše ostatní by se mělo provést automaticky. Přesto je dobré vědět co se děje a jak to funguje. A dále znát pár konfiguračních příkazů, hlavně z oblasti upgradu IOSu, protože všechny switche musí mít stejnou verzi.

Cisco IOS 18 - inter-VLAN routing a ACL - směrování mezi VLANy

Tento článek logicky navazuje na popis VLAN. Vezměme, že jsme si rozdělili naši LAN na VLANy (subnety), čímž jsme omezili broadcast domény, segmentovali síť a získali další výhody. Jenže teď bychom potřebovali, aby alespoň (nebo právě) některé VLANy mohli mezi sebou komunikovat. Potřebujeme tedy mezi jednotlivými VLANami routovat, tomu se říká inter-VLAN routing. Tento článek popisuje, jak takové routování provozovat a jak jej omezovat pomocí Access Control List (ACL).

Cisco QoS 1 - úvod do Quality of Service a DiffServ

Pokud stahujeme nějaký soubor ze sítě či prohlížíme webovou stránku, tak si ani nevšimneme řady problémů, ke kterým při přenosu dochází. Jsou to například různá zpoždění v doručení paketů nebo doručení v jiném pořadí než bylo vysílání. Komunikační protokol si s těmito problémy poradí a vše napraví. Problém nastane u operací, kdy výsledek potřebujeme okamžitě, tedy třeba VoIP a streamované audio/video. Pak se nám tyto problémy projeví v poruše obrazu a zvuku. Technologie, která řeší tyto problémy, se označuje jako zajištění kvality služby, tedy Quality of Service.

Cisco QoS 2 - Classification and Marking, Modular QoS CLI

Tato část článků o Quality of Service se zaměřením na Cisco se věnuje první činnosti, kterou při aplikaci QoSu musíme provést. Jedná se o prozkoumání provozu a jeho rozdělení do tříd - classification a následně označení jednotlivých paketů touto třídou - marking.

Cisco QoS 3 - omezování rychlosti - Policing, Shaping

V minulém díle jsme řešili rozřazení provozu do tříd. Zároveň jsme si popsali Modular QoS CLI, které slouží ke konfiguraci většiny QoS vlastností na Cisco IOSu. Stručně byly zmíněny i příkazy pro vlastnosti, které se budou řešit v tomto článku. Jedná se o správu šířky pásma - Traffic Rate Management, tedy nastavení maximální rychlosti, kterou může určitý provoz (například uživatel) spotřebovat. Využijeme k tomu metodu policingu (rate limiting) a shapingu.

Cisco QoS 4 - garance rychlosti - řazení do front - Queuing

V této časti se budeme věnovat oblasti správy zahlcení - Congestion Management. K tomu se využívají různé fronty (queues). V praxi jde o to, že můžeme vymezit určité pásmo pro nějako komunikaci, tedy garantovat šířku pásma. A případně ještě zajistit expresní odbavení (tedy nízkou latenci) - prioritizovat provoz. V druhé části se pouze lehce zmíním o podobné oblasti, zabránění zahlcení - Congestion Avoidance, které se řeší inteligentním zahazováním.

Cisco QoS 5 - QoS na switchi, MLS, SRR, Auto QoS

Konfigurace, které byly popsány v předchozích dílech, byly primárně určeny pro routery, i když se dají (občas v nějaké omezenější formě) použít i na switchích. V tomto díle se budu věnovat speciálním příkazům a konfiguracím určeným pro switche. Z principu činnosti, kdy switch často připojuje koncové klienty, je na něm třeba řešit jiné operace než na routeru.

Cisco QoS 6 - praktické příklady použití QoSu

Poslední díl seriálu o Quality of Service se věnuje jednoduchým praktickým příkladům. Pro toho, kdo přečetl předchozí díly, ukazuje komplexnější konfigurace. Ale je také vhodný pro ty, kteří předchozí články nečetli. Podle mého názoru můžeme konfigurovat různé vlastnosti, aniž bychom znali princip, jakým dojde k jejich provedení. Největší zaměření je na různé možnosti omezování rychlosti (propustnosti) portu.

TCP/IP - Internet Protocol Version 6 - IPv6

Internet Protocol (IP) se používá pro datovou komunikaci v přepínaných počítačových sítích, které používají TCP/IP. Jedná se o nejrozšířenější protokol na internetu i v LAN. První hlavní verze se dnes označuje jako IPv4 a stále se jedná o majoritně používanou verzi. Její hlavní nevýhodou je, že adresy jsou velké 32 bitů. Proto vznikla nová verze IPv6, která přináší řadu výhod, ale hlavní rozdíl je, že adresy jsou velké 128 bitů. IPv6 se dnes již celosvětově nasazuje.

TCP/IP - skupinové vysílání IP Multicast a Cisco

Multicast je metoda efektivní komunikace jednoho odesílatele více příjemcům. Příkladem může být internetové rádio (a přirovnání běžné rádio), kdy je jeden zdroj a mnoho příjemců, kteří přijímají stejná data ve stejnou chvíli. V praxi se to často řeší tak, že se vytvoří jednotlivá spojení pro každého příjemce. Takže je značně zatěžován server a část síťové infrastruktury je zbytečně přetížená přenosem duplicitních dat. Pomocí multicastu doručujeme informaci současně skupině příjemců co nejefektivnějším způsobem, aby zpráva přes každý síťový uzel cestovala pouze jednou, kopie se vytváří pouze, když se cesty k příjemcům rozdělují. V článku je vysvětlen obecný princip multicastu a dále se věnuje skupinovému protokolu IGMP (Internet Group Management Protocol) a směrovacímu protokolu PIM (Protocol Independent Multicast) ve všech jeho variantách.

Cisco Routing 1 - obecné vlastnosti směrovacích protokolů

Tento seriál se věnuje routingu, tedy směrování v počítačových sítích. Jednotlivé popisy jsou obecně platné, ale zde jsou uváděny se zaměřením na produkty firmy Cisco a s popisem konfigurace v Cisco IOSu. Tento první díl probírá základní rozdělení routovacích protokolů a popis kategorií. Popisuje základní termíny a ukazuje obecné konfigurační příkazy IOSu. Dále se věnuje Policy Based Routingu, sumarizaci adres, filtrování a redistribuci cest.

Cisco Routing 2 - EIGRP - Enhanced Interior Gateway Routing Protocol

Druhý díl o routování, se zaměřením na konfigurace Cisco zařízení, se věnuje proprietálnímu protokolu firmy Cisco Enhanced Interior Gateway Routing Protocol (EIGRP).

Cisco Routing 3 - OSPF - Open Shortest Path First

Třetí díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje asi nejrozšířenějšímu standardizovanému protokolu pro routování uvnitř AS, tedy Open Shortest Path First (OSPF).

Cisco Routing 4 - IS-IS - Intermediate System to Intermediate System

Čtvrtý díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje konkurenčnímu protokolu k OSPF, standardizovanému Intermediate System to Intermediate System (IS-IS).

Cisco Routing 5 - BGP - Border Gateway Protocol

Pátý díl o routování se zaměřením na konfigurace Cisco zařízení se věnuje routovacímu protokolu, který je určený pro routování mezi AS a používá se pro celý internet, jedná se o Border Gateway Protocol (BGP).

Cisco Routing 6 - srovnání routovacích protokolů

V předchozích dílech seriálu o routování (hlavně z pohledu Cisco prvků) jsem stručně sepsal vlastnosti hlavních směrovacích protokolů. V tomto posledním díle se pokouším o stručné tabulkové porovnání hlavních vlastností. Není to určeno k rozhodování při výběru vhodného routovacího protokolu, ale spíše pro přehled potřebný na Cisco test.

Cisco IOS 19 - Private VLAN a Protected Port

Občas může nastat situace, kdy chceme omezovat komunikaci mezi některými klienty v rámci stejného subnetu (VLANY). Například, aby klienti nemohli komunikovat mezi sebou, ale mohli komunikovat do internetu. K tomu nám dobře poslouží technologie zvaná Private VLAN. Případně jednodušší mechanismus Protected Ports. Na závěr ještě zmiňuji mechanismus, který blokuje neznámé unicasty či multicasty.

Cisco IOS 20 - VLAN access-map - VLAN map - VACL

Access Control List (ACL) je seznam pravidel, která řídí nebo identifikují provoz na nějakém objektu (například port nebo VLAN). VLAN map je rozšíření, jehož základem je ACL, které omezuje provoz v rámci VLANy. Navíc se jedná o veškerý provoz, tedy switchovaný i routovaný. Tento článek popisuje princip, použití a konfiguraci VLAN map.

Cisco IOS 21 - EtherChannel, Link Agregation, PAgP, LACP, NIC Teaming

EtherChannel je technologie pro agregaci linek (jinak řečeno bundlování portů) na switchích, routerech a serverech. Dovoluje spojit několik fyzických ethernetových portů/linek do jedné logické linky, která poskytuje fault tolerance a zvyšuje rychlost (load balancing). EtherChannel můžeme konfigurovat ručně nebo využít proprietární protokol Cisco Port Aggregation Protocol (PAgP) nebo standardizovaný Link Aggregation Control Protocol (LACP). Tato technologie se používá mezi switchi, ale je možno ji využít i pro připojení serveru, zde se označuje jako NIC Teaming nebo Bonding.
01.07.2009 | 08.06.2009 | Samuraj - Petr Bouška | Cisco admin | 38615x | Komentáře [2]

Běžné útoky na switche, Cisco Dynamic ARP Inspection

Tento článek pouze shrnuje základní informace o nejběžnějších typech útoků na switche. Informace, které přináší, nalezneme na mnoha místech, zde je uvádím kvůli úplnosti. Popsány jsou útoky MAC flooding, ARP spoofing, VLAN hopping a zmíněny jsou metody, jak se jim bránit na Cisco switchích. Také je rozebrána metoda obrany zvaná Dynamic ARP Inspection.

Cisco - Router Switching metody a související termíny - CAM, FIB, CEF

Když router nebo L3 switch přeposílá pakety (routuje), tak používá některou z metod označovaných jako Router Switching Path, od ní se odvíjí, jak rychle může pracovat. Některé z těchto metod jsou Process Switching, Fast Switching a Cisco Express Forwarding. Článek se stručně zmiňuje o těchto metodách a popisuje i související termíny, jako CAM tabulka, FIB, ARP, ale také switch, MLS a router. Některé z těchto termínů jsou podrobněji popsány ve starších článcích.

Cisco IOS 22 - monitoring/kontrola/zrcadlení provozu - SPAN a RSPAN

Tento článek popisuje velice užitečnou, a na konfiguraci jednoduchou funkci, která zajišťuje kopírování veškerého provozu z jednoho (nebo více) portu switche na jiný. To využijeme, když potřebujeme analyzovat síťový provoz některého zařízení, když chceme do sítě připojit IDS/IPS systém nebo i v některých dalších případech.

Cisco IOS 23 - Autentizace uživatele na switchi vůči Active Directory

V tomto díle seriálu o konfiguraci Cisco IOSu se podíváme na zabezpečení přístupu k příkazovému řádku switche (CLI), tedy k IOSu. Primárně budeme řešit autentizaci na switchi vůči MS Active Directory (za pomoci RADIUS serveru), ale podíváme se i na další možnosti. Jednoduchý popis této problematiky byl již v 5tém čísle.
15.10.2009 | 15.09.2009 | Samuraj - Petr Bouška | Cisco admin | 21090x | Komentáře [5]

Cisco QoS 7 - doplňující informace

Tento článek obsahuje různé další informace ohledně Quality of Service (velice stručně), které jsem potřeboval, když jsem se připravoval na Cisco test 642-845. Mimo drobných doplnění mluví o Link Efficiency Management, QoS pre-classification, Control Plane Policing, Cisco Router and Security Device Manager, doplnění Auto QoS.

Novinky ve switchích řady Catalyst 3750X a 2960S

Pořídili jsme v práci první switche z nových řad Catalyst 3750-X a 2960-S, které jsou opravdu povedené a je to opět posun vpřed. V tomto článku zmiňuji hlavní parametry a věnuji se dvěma novým vlastnostem, cože je připojení konzole přes USB kabel a připojení rozšiřující paměti přes USB flash disk.

Cisco NX-OS 1 - Virtual Port Channel

Tento krátký článek řadím do kategorie Cisco IOS, i když se týká přepínačů Cisco Nexus a tedy NX-OS. Jedná se o rozšíření EtherChannelu (či PortChannel nebo Link Aggregation), tedy agregace (spojování – bundlování) více portů do jednoho virtuálního. Běžně se při agregaci musí porty nacházet na jednom fyzickém switchi či stacku. Technologie vPC umožní, aby porty byly na dvou různých Nexus přepínačích.

Cisco IOS 24 - zabezpečení komunikace na portech

Stručný přehled konfigurace některých bezpečnostních funkcí, které zabezpečují komunikaci na portech přepínače. Začneme zmínkou o Traffic Storm Control, krátce se podíváme na DHCP Snooping a pak se budeme věnovat funkcím, které tuto vlastnost využívají. Více se ale zaměříme na situace, kdy se nepoužívá DHCP, ale statické IP adresy. Zmíníme si Port Security, IP Source Guard (IPSG) a Dynamic ARP Inspection (DAI).
09.11.2016 | 19.10.2016 | Samuraj - Petr Bouška | Cisco admin | 8185x | Komentáře [2]

Cisco NX-OS 2 - zabezpečení komunikace na portech

V minulém článku jsme řešili bezpečnostní funkce, které zabezpečují komunikaci na portech přepínače se systémem Cisco IOS. V tomto díle se podíváme na to samé, ale pro Cisco Nexus. Nebudeme rozebírat vlastní bezpečnostní metody, ale pouze konfiguraci a změny oproti IOSu.
15.11.2016 | 03.11.2016 | Samuraj - Petr Bouška | Cisco admin | 4148x | Komentáře [0]