3 Konfiguration von Cisco-Routern 3.1 Ziele In diesem Kapitel wollen wir X die Konfiguration eines Cisco-Routers mittels Setup-Funktion im Konfigurationsmodus zeigen und erklären, wie eine Konfigurationsdatei auf einem Netzwerk- Server lokalisiert werden kann; X Änderungen an Router-Konfigurationsdateien vornehmen und erklären; X ein Testnetz errichten, um zu erforschen, wie Cisco-Router in einem einfachen Internetwork interagieren. Wir werden vom IOS ausgegebene einfache Fehlermeldungen betrachten. Dieses Testnetz wird in späteren Kapiteln verwendet, um zu untersuchen, auf welche Weise Cisco-Router-Konfigurationen verschiedene Netzwerkprotokolle und -systeme implementieren; X eine einfache Fehlersuche auf dem Internetwork des Testnetzes durchführen. 3.2 Formen der Router-Konfiguration Ein Router kann auf drei verschiedene Arten konfiguriert werden: X manuell über ein Terminal, das an den Konsolen-Port des Routers angeschlossen ist (oder aber im Netzwerk über eine Telnet-Sitzung) X über Befehle, die im nichtflüchtigen RAM (NVRAM) gespeichert sind X über Befehle, die in einer Datei gespeichert sind, die sich auf einem TFTP-Server irgendwo auf dem Netzwerk befindet Einen Überblick über diese Befehle gibt Tabelle 3.1. 3.2.1 Manuelle Router-Konfiguration Cisco TCP/IP-Routing ISBN 3-8273-1881-5 Bei der manuellen Router-Konfiguration können wir die Setup-Funktion von Cisco verwenden vorausgesetzt, dass es noch keine Konfigurationsdatei für diesen Router gibt. Alternativ können wir die bestehende Konfiguration mit dem Befehl configure terminal ändern.
62 Konfiguration von Cisco-Routern Befehl Configure terminal Configure memory Configure network Tabelle 3.1: Konfigurationsbefehle Beschreibung Führt die Konfigurationsbefehle aus, die der Router von einem am Konsolen-Port angeschlossenen Terminal oder einer Telnet-Sitzung empfängt. Wenn Sie Ihre Änderungen vorgenommen haben, drücken Sie (Strg)(Z), um die Eingabe zu beenden und den Konfigurationsmodus zu verlassen. Tipp: Für die Eingabe des Befehls reicht die kürzeste eindeutige Zeichenfolge aus, in diesem Fall config t. Führt die im NVRAM gespeicherten Befehle aus. Lokalisiert Konfigurationsbefehle, die auf einem Netzwerk-Server gespeichert sind, und lädt diese Konfiguration in den Speicher. Sie werden aufgefordert, die IP-Adresse des TFTP-Servers anzugeben, mit dem eine Verbindung hergestellt werden soll, sowie den Namen der Konfigurationsdatei. Konfiguration per Setup Der erste Ansatz zur Konfiguration des Routers geht davon aus, dass Sie ein Terminal an Ihren Router angeschlossen haben und den Router zum ersten Mal konfigurieren. Nachdem Sie den Router an das Terminal angeschlossen und beide Geräte eingeschaltet haben, erscheint auf dem Bildschirm ein ähnlicher Text wie in der nachfolgenden Routerausgabe. Wenn es sich um einen neuen, noch nicht konfigurierten Router handelt, gibt es im Speicher keine Konfiguration, und der Router wechselt in den einleitenden Konfigurationsdialog. Wenn Sie einen bereits konfigurierten Router in diesen Status zurückversetzen möchten, geben Sie im Enable-Mode write erase ein, um die Konfiguration im Speicher zu löschen. In der folgenden Routerausgabe sind die vom Benutzer eingegebenen Passagen durch Fettdruck hervorgehoben. System Bootstrap, Version 11.3(2)XA4, RELEASE SOFTWARE (fc1) Copyright (c) 1999 by cisco Systems, Inc. TAC:Home:SW:IOS:Specials for info C2600 platform with 24576 Kbytes of main memory program load complete, entry point: 0x80008000, size: 0x2f9944 Self decompressing the image : ################################################################### ################################################################### ################################################################### ################################################################### ### [OK]
Formen der Router-Konfiguration 63 Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 11.3(10)T, RELEASE SOFTWARE (fc1) Copyright (c) 1986-1999 by cisco Systems, Inc. Compiled Tue 01-Jun-99 17:16 by pwade Image text-base: 0x80008084, data-base: 0x80566960 cisco 2611 (MPC860) processor (revision 0x203) with 18432K/6144K bytes of memory. Processor board ID JAD03492519 (2260096602) M860 processor: part number 0, mask 49 Bridging software. X.25 software, Version 3.0.0. 2 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) 32K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) Notice: NVRAM invalid, possibly due to write erase. - System Configuration Dialog -Would you like to enter the initial configuration dialog? [yes/no]: y At any point you may enter a question mark? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets []. First, would you like to see the current interface summary? [yes]: y Any interface listed with OK? value NO does not have a valid con-figuration
64 Konfiguration von Cisco-Routern Interface IP-Address OK? Method Status Protocol Ethernet0/0 unassigned NO unset up down Serial0/0 unassigned NO unset down down Ethernet0/1 unassigned NO unset up down Configuring global parameters: Enter host name [Router]: Roput uter1 The enable secret is a password used to protect access to privileged EXEC and configuration modes. This password, after entered, becomes encrypted in the configuration. Enter enable secret: test The enable password is used when you do not specify an enable secret password, with some older software versions, and some boot images. Enter enable password: testenab The virtual terminal password is used to protect access to the router over a network interface. Enter virtual terminal password: testvty Configure SNMP Network Management? [yes]: n Configure IP? [yes]: y Configure IGRP routing? [yes]: n Configure RIP routing? [no]: n Configure bridging? [no]: n Async lines accept incoming modems calls. If you will have users dialing in via modems, configure these lines. Configure Async lines? [yes]: n Configuring interface parameters:
Formen der Router-Konfiguration 65 Do you want to configure Ethernet0/0 interface? [yes]: y Configure IP on this interface? [yes]: y IP address for this interface: 123.45.45.45 Subnet mask for this interface [255.0.0.0] : Class A network is 123.0.0.0, 8 subnet bits; mask is /8 Do you want to configure Serial0/0 interface? [yes]: Some supported encapsulations are ppp/hdlc/frame-relay/lapb/x25/atm-dxi/smds Choose encapsulation type [hdlc]: No serial cable seen. Choose mode from (dce/dte) [dte]: Configure IP on this interface? [yes]: Configure IP unnumbered on this interface? [no]: IP address for this interface: 122.22.22.22 Subnet mask for this interface [255.0.0.0] : Class A network is 122.0.0.0, 8 subnet bits; mask is /8 Do you want to configure Ethernet0/1 interface? [yes]: n The following configuration command script was created: hostname Router1 enable secret 5 $1$/fhC$t1hhhWMGZzjUdajfmhge30 enable password testenab line vty 0 4 password testvty no snmp-server ip routing no bridge 1 interface Ethernet0/0 ip address 123.45.45.45 255.0.0.0
66 Konfiguration von Cisco-Routern interface Serial0/0 encapsulation hdlc ip address 122.22.22.22 255.0.0.0 interface Ethernet0/1 shutdown no ip address dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit end [0] Go to the IOS command prompt without saving this config. [1] Return back to the setup without saving this config. [2] Save this configuration to nvram and exit. Enter your selection [2]: Im nächsten Abschnitt gehen wir ausführlich auf diese Einträge ein. Wir werden sie so ändern, dass eine funktionierende Konfiguration entsteht. Lesen der Startkonfigurationsdatei Eine Router-Konfigurationsdatei ist reiner ASCII-Text. Diese Textdatei wird beim Starten des Systems gelesen und vom Betriebssystem des Routers (dem IOS) als gültige Konfiguration interpretiert. Nachdem Sie in den Konfigurationsmodus gewechselt haben, können Sie während des laufenden Routerbetriebs die Konfiguration ändern, ergänzen oder einschränken. Die Konfigurationsdateien des Routers können als reine Textdatei auf einem TFTP-Server gespeichert, mit einem Texteditor modifiziert und via TFTP wieder geladen werden. Wenn Sie diese Übung beendet haben und Ihr Router nun eine wenn auch willkürliche Konfiguration hat, können wir uns diese Konfigurationsdatei einmal näher betrachten. Der erste Eintrag hostname Router1 definiert den Text, den der Router als Prompt verwendet; dieser Router generiert die Bereitmeldung Router1>. Der Eintrag enable secret zeigt an, dass ein geheimes Passwort vergeben wurde. Dieses Passwort muss der Benutzer eingeben, um in den Enable-Mode zu gelangen. Es ist verschlüsselt und in der Konfigurationsdatei nicht sichtbar. Enable-Passwort eingeben: Der Eintrag enable password enter gibt an, dass das Passwort für den Enable-Mode»enter«lautet. In den neuen IOS-Versionen führt die gleichzeitige Verwendung von enable secret und enable password dazu, dass der Enable-Mode nur durch enable secret freigegeben wird. Die älteren IOS-Versionen erkannten das enable secret nicht und akzeptierten nur enable password als Zugang für den Enable-Mode.
Formen der Router-Konfiguration 67 Telnet-Zugang: Die nächsten erklärungsbedürftigen Einträge sind die Einträge, die sich auf den Router-Zugriff über virtuelle Terminals (Telnet-Zugang) beziehen. Es handelt sich um folgende Einträge: line vty 0 4 password testenab Die erste Zeile definiert fünf zulässige Telnet-Zugänge (von 0 bis 4). Die zweite Zeile gibt an, dass Sie zunächst das Passwort»testenab«eingegeben müssen, bevor Sie über eine Telnet-Sitzung auf das System zugreifen können. SNMP: Der nächste Konfigurationsbefehl no snmp-server deaktiviert das Simple- Network-Management-Protokoll (SNMP) auf dem Router. SNMP ist ein Protokoll der Anwendungsschicht (Application Layer), das auf UDP aufsetzt. Es wird ausführlich in Kapitel 7 behandelt. Wenn Sie nicht beabsichtigen, eine sichere SNMP-Umgebung einzurichten, ist es besser, SNMP auf dem Router zu deaktivieren. Ansonsten besteht die Gefahr, dass ein Eindringling, der sich mit SNMP auskennt, Ihre Konfiguration des Cisco-Routers und das Enable-Passwort in Erfahrung bringt. Damit könnte er erheblichen Schaden auf Ihrem Netzwerk anrichten, den Sie unter Umständen nur beheben können, indem Sie alle Router im Netzwerk ersetzen. ip routing: Der Eintrag ip routing aktiviert das IP-Routing auf dem Router. Die nächsten Einträge beziehen sich auf die Konfiguration des Ethernet-Ports 0/0. interface ethernet0/0 ip address 123.45.45.45 255.0.0.0 Diese Zeile definiert, dass der Ethernet-Port 0 die IP-Adresse 123.45.45.45 und die Netzmaske 255.0.0.0 hat. Sie entspricht der Standardmaske für ein Netzwerk der Klasse A. Der Router wählt diese Nummer, weil wir bei der Konfiguration angegeben haben, dass das Teilnetzfeld 0 Bit groß sein soll. Die nächsten Zeilen legen die Grundkonfiguration für den seriellen Port 0 (0/0) fest. Dieser Port erhält die IP-Adresse 122.22.22.22 und eine Standardnetzmaske der Klasse A (255.0.0.0). Der Eintrag hdlc definiert die Art der Kapselung. Dieses ist der Default; weitere Optionen werden in Kapitel 6 erläutert. interface serial0 encapsulation hdlc ip address 122.22.22.22 255.0.0.0 Die nächsten Zeilen beschreiben die Konfiguration eines weiteren seriellen Anschlusses, der aber zurzeit auf diesem Router nicht in Gebrauch ist. Mit dem Eintrag shutdown wird dieser Port als inaktiv und damit als nicht betriebsbereit definiert. Der Eintrag no ip address gibt an, dass diesem Port noch keine IP-Adresse zugewiesen wurde. interface serial0/1 shutdown no ip address Die Ausrufezeichen, die im Listing oben zu sehen sind, dienen nur als Trennzeichen. Sie verdeutlichen, welche Befehle zu einem Abschnitt gehören.
68 Konfiguration von Cisco-Routern Konfiguration von der Befehlszeile aus Nachdem wir uns mit dem Erstellen einer Konfigurationsdatei und einigen Basisbefehlen befasst haben, können wir nun dazu übergehen, die Datei an unsere individuellen Bedürfnisse anzupassen. Bei der Konfiguration von Cisco-Routern gibt es prinzipiell drei Klassen von Befehlen: X Globale Befehle Dies sind einzeilige Befehle, die sich auf die Funktion des gesamten Geräts beziehen. X Hauptbefehle Diese Befehle beziehen sich auf eine bestimmte Schnittstelle oder einen zu konfigurierenden Vorgang. Zu jedem Hauptbefehl muss es mindestens einen Unterbefehl geben. X Unterbefehle Unterbefehle folgen auf einen Hauptbefehl. Sie definieren einen Vorgang oder eine Schnittstelle. Die Router-Konfiguration kann mit den in Tabelle 3.2 dargestellten Befehlen angezeigt werden. Globale Befehle Wir wollen uns zunächst mit globalen Befehlen befassen. Globale Befehle stehen meist am Anfang der Konfigurationsdatei. Diese Befehle betreffen den Betrieb des gesamten Routers. In unserem Beispiel von vorhin wurden folgende globale Befehle verwendet: hostname router1 enable secret 5 $1$UtL7$KqpczYUWgIg4pnWYbNYD0 enable password enter no snmp-server ip routing Um einen globalen Parameter zu verändern, geben Sie nach dem»#«-zeichen Folgendes ein: Router1#conf t Der Router wird folgende Meldung ausgeben: Enter configuration commands, one per line. End with Ctrl/Z. Router1(config)# Nun können Sie Konfigurationsbefehle eingeben, um globale Parameter auf dem Router zu verändern. Sobald Sie den Befehl eingegeben und die ( )-Taste gedrückt haben, wird der neue Parameter in die Konfigurationsdatei übernommen und ist gültig.
Formen der Router-Konfiguration 69 Befehlssyntax Befehl Beschreibung sh conf show configuration Zeigt den Inhalt des NVRAMs an. Hier ist die beim Booten geladene Konfigurationsdatei abgelegt. Während des Bootvorgangs kopiert der Router die Konfigurationsdatei vom NVRAM in das RAM. Im NVRAM befindet sich also entweder die Konfiguration, mit welcher der Router gestartet wurde, oder jene, die vor dem letzten Aufruf des Befehls write mem gültig war. (write mem schreibt die aktuelle Konfiguration in das NVRAM.) wri term write terminal Zeigt auf dem Bildschirm die Konfiguration an, die im Speicher aktiv ist. Tabelle 3.2: Befehle zur Anzeige der Router-Konfiguration Hier ein Beispiel für die Eingabe eines globalen Befehls: Router1(config)#hostname Newname Newname(config)# Der Befehl hostname ändert den Namen des Routers in newname um. Wie Sie in der zweiten Zeile sehen, wird der neue Name angezeigt, sobald Sie die ( )-Taste gedrückt haben. Der Router kann seine Konfiguration beim Booten wahlweise vom ROM, aus dem Flash-Speicher oder aus einer Konfigurationsdatei auf einem TFTP-Server im Netz holen. In der Konfigurationsdatei des Routers können alle drei Optionen aufgelistet sein. Der Router versucht dann, von der ersten aufgelisteten Quelle zu booten. Wenn das fehlschlägt, versucht er, die zweite aufgelistete Quelle zu nutzen usw. Folgende Boot-Befehle stehen zur Verfügung: Boot-Befehle X boot system rom Dieser Befehl weist den Router an, von den ROM-Chips des Route-Prozessors zu booten. Die Daten in diesen Chips können nicht überschrieben werden. Wenn Sie ein Update benötigen, fordern Sie von Cisco neue Chips an. X boot system flash Der Router bootet vom Flash-Speicher. Im Flash-Speicher können mehrere IOS- Versionen gespeichert werden. Die Router können mit zusätzlichem Flash-Speicher ausgestattet werden. X boot system [Dateiname] [IP-Adresse] Bootet vom Netzwerk. Ein Router der 2500er-Serie wird üblicherweise so konfiguriert, dass er wenn möglich vom Flash-Speicher gebootet wird, ansonsten vom ROM. Um den Router so zu konfigurieren, geben Sie Folgendes ein: Newname(config)#boot system flash Newname(config)#boot system rom
70 Konfiguration von Cisco-Routern Drücken Sie (Strg)(Z), um den Konfigurationsmodus zu verlassen. Die Befehle werden in der Reihenfolge ihrer Eingabe in die Konfigurationsdatei übertragen. Mit dem Befehl write terminal können Sie sich die neue Konfiguration anzeigen lassen. Ein weiterer globaler Befehl, den Sie wahrscheinlich häufig verwenden werden, ist folgender: Newname(config)#no ip domain-lookup DNS: Dieser Befehl ist insbesondere dann nützlich, wenn Sie wie ich auf der Tastatur nicht unbedingt zu Hause sind. Wenn Sie sich bei der Befehlseingabe (im Ansichtsmodus nicht im Konfigurationsmodus) vertippen, erkennt der Router den Befehl nicht. Er nimmt an, dass das unbekannte Wort der Name eines Rechners auf dem Netzwerk ist und Sie eine Telnet-Sitzung zu ihm aufbauen möchten. Da er den fremden Rechnernamen in seiner eigenen Host-Tabelle nicht findet, wird er versuchen, einen DNS- (Domain Name Service-) Server auf dem Netzwerk ausfindig zu machen, in der Hoffnung, dass dieser die IP-Adresse des fremden Rechners kennt. Dann gibt es zwei Möglichkeiten: Entweder haben Sie keinen DNS-Server oder, dieser kennt keinen Rechner mit diesem Namen. Der Router kann also keine Telnet-Sitzung aufbauen. All dies braucht seine Zeit. Um solch unnötige Suchen zu vermeiden, können Sie im Konfigurationsmodus no IP domain-lookup eingeben. Das erspart Ihnen viel Zeit. Hauptbefehle und Unterbefehle Bereits in der optischen Gestaltung unterscheiden sich globale Befehle von Hauptbefehlen in der Konfigurationsdatei. Ein globaler Befehl steht immer separat auf einer Zeile. Auf einen Hauptbefehl folgt mindestens ein einzeiliger Unterbefehl, der sich auf diesen Hauptbefehl bezieht. Das folgende Listing zeigt einen Auszug aus der Startkonfigurationsdatei mit Hauptbefehlen und den zugehörigen Unterbefehlen: line vty 0 4 password access interface Ethernet0/0 ip address 123.45.45.45 255.0.0.0 interface Serial0/1 ip address 122.22.22.22 255.0.0.0 interface Serial0/1 shutdown no ip address Wir wollen nun ein wenig mit der Eingabe von Hauptbefehlen und den zugehörigen Unterbefehlen experimentieren: X Weisen Sie dem Ethernet-0/0-Port die IP-Adresse 192.1.1.1 und die Teilnetzmaske 255.255.255.0 zu. X Weisen Sie dem seriellen Port 0/0 eine leere IP-Adresse zu.
Formen der Router-Konfiguration 71 X Weisen Sie dem seriellen Port 0/0 die IP-Adresse 193.1.1.1 und die Teilnetzmaske 255.255.255.0 zu. X Weisen Sie dem seriellen Port 0/0 eine zweite (sekundäre) IP-Adresse mit der Nummer 194.1.1.1 und der Netzmaske 255.255.255.0 zu. Geben Sie nun im Enable-Mode Folgendes ein: Newname#conf t Newname(config)#int e0/0 Newname(config-if)#ip address 192.1.1.1 255.255.255.0 Newname(config-if)#(Strg-Z) Damit ist die Konfiguration des Ethernet-Port 0 abgeschlossen. Wie Sie vielleicht bemerkt haben, ändert sich das Eingabeaufforderungszeichen nach der Eingabe eines Hauptbefehls (vor der Eingabe des Unterbefehls). IP Unnumbered: IP Unnumbered, das wir zur Konfiguration des seriellen Ports 0 benötigen, wird ausführlich in Kapitel 7 besprochen; auf einige grundlegende Elemente wollen wir an dieser Stelle dennoch eingehen. IP Unnumbered ist eine von Cisco urheberrechtlich geschützte Funktion, die auf einem Internetwork häufig eingesetzt wird. IP Unnumbered wird verwendet, um die seriellen Ports zweier Router zu verbinden, die eine Punkt-zu-Punkt-Verbindung über eine Standleitung haben (Abbildung 3.1). S0/0 S0/0 Abbildung 3.1: Punkt-zu-Punkt-Verbindung mit IP Unnumbered
72 Konfiguration von Cisco-Routern Angenommen, auf dem Netzwerk wird als Routing-Protokoll IGRP verwendet. Die Daten der Teilnetzmasken werden bei einem Routing-Update nicht übertragen. Deshalb müssen alle Schnittstellen, denen eine IP-Adresse zugewiesen ist, dieselbe Netzmaske verwenden, damit die Routing-Tabellen korrekt aktualisiert werden. Ein Beispiel: Wir möchten sowohl am Standort 1 als auch am Standort 2 eine Netzmaske verwenden, die 62 gültige IP-Adressen im Teilnetz zulässt. Da die erste und die letzte Adresse im Teilnetz nicht einer Host- oder Router-Schnittstelle zugewiesen werden kann, hat die Netzmaske in diesem Fall die Adresse 255.255.255.192. Wenn der verfügbare Adressraum begrenzt ist, d.h. das Netzwerk auf internetkompatible Adressen zurückgreifen muss, die ein Internet-Service-Provider einem Unternehmen zugeteilt hat, würden 60 Adressen im Internetwork»verschwendet«, wenn die Netzmaske 255.255.255.192 für beide seriellen Ports genutzt wird.»verschwendet«sage ich deshalb, weil der Verbindung zwischen Router 1 und Router 2 ein separates Teilnetz zugewiesen wird, aber nur die beiden seriellen Ports auf diesen Routern eine IP-Adresse benötigen. Die Funktion IP Unnumbered umgeht dieses Problem, indem sie dem Router mitteilt, dass der serielle Port über eine Punkt-zu-Punkt-Verbindung angeschlossen ist. Außerdem gestattet sie den Routern, für die Datenkommunikation der seriellen Ports die Adresse der Ethernet-Ports zu benutzen. Auf diese Weise können wir es durch die Verwendung von IP Unnumbered vermeiden, einer einzelnen Punkt-zu- Punkt-Verbindung ein komplettes Teilnetz zuweisen zu müssen. Newname#conf t Newname(config)#int S0/0 Newname(config-if)#IP unnumbered E0/0 Um die 0/0-Verbindung zu konfigurieren, geben Sie Folgendes ein: Newname(config)#int S0/0 Newname(config-if)#ip address 193.1.1.1 255.255.255.0 Newname(config-if)#ip address 194.1.1.1 255.255.255.0 sec Wenn die Anzahl der Rechner, die vom aktuellen IP-Adress- und Teilnetzschema zugelassen sind, ausgeschöpft ist, kann einem Router-Port eine zweite IP-Adresse zugewiesen werden. Durch diesen Kunstgriff können neue Rechner in diesem Segment hinzugefügt werden, ohne dass die gesamten IP-Adressen der Rechner, die auf diesem Segment bereits existieren, neu konfiguriert werden müssen. 3.2.2 Router-Konfiguration vom Netzwerk-Server aus Bei der Erweiterung eines Cisco-Router-Netzwerks wird normalerweise eine Grundkonfiguration für alle Router definiert. Diese enthält die geänderten IP-Adressen aller Standorte. Es erleichtert die Sache ungemein, wenn diese Konfiguration von einem Netzwerk-Server auf alle Router geladen werden kann, sobald ein neuer Router installiert wird. Eine bereits existierende Konfiguration zu modifizieren ist auf alle Fälle zeitsparender, als eine komplett neue Konfiguration zu erstellen.
Formen der Router-Konfiguration 73 Dies lässt sich ganz einfach bewerkstelligen, indem Sie ein beliebiges, dafür geeignetes Gerät als TFTP- (Trivial File Transfer Protocol-) Server benutzen. Viele der leistungsfähigeren TCP/IP-Protokollstapel, die auf dem Markt erhältlich sind, haben eine TFTP-Serverfunktionalität. Jeder Unix-Rechner kann ebenfalls als TFTP-Server agieren. TFTP: TFTP ist ein einfaches Dateiübertragungsprotokoll, das weder so komplex ist wie FTP noch dessen Funktionsumfang hat. Im Bereich der Sicherheit, der Benutzerautorisierung oder der Zuverlässigkeit durchgängiger Verbindungen hat TFTP einige Schwachstellen, da es als Schicht-4-Protokoll nicht TCP, sondern UDP verwendet. Spielen wir den Fall einmal durch. Wir definieren einen Unix-Rechner als TFTP-Server, speichern die Konfigurationsdatei eines Routers auf diesem TFTP-Server und laden die Konfiguration wieder. Wenn der Serverrechner eine Anfrage auf dem UDP-Port 69 erhält, d.h. auf der Portnummer, die ständig TFTP zugewiesen ist, aktiviert er über den INETD-Dämon das Protokoll TFTP. Um sicherzustellen, dass TFTP in einem»sicheren«modus startet, sollten Sie das Kommentarzeichen (#) vor der entsprechenden Zeile in der Datei inetd.conf # entfernen. Auf einem Unix-Rechner hat die Datei inetd.conf standardmäßig zwei TFTP- Einträge: #tftp dgram udp wait nouser /etc/tftpd tftpd tftp dgram udp wait root /etc/tftpd tftpd-s /cisco Sicheres TFTP-Verzeichnis: Von diesen beiden Zeilen interessiert uns die Zeile mit dem Eintrag tftpd-s. Die einzige Änderung, die Sie hier vornehmen müssen, besteht in der Angabe des Verzeichnisses, das Sie als»sicheres«tftp-verzeichnis definieren möchten. Im Beispiel ist das Verzeichnis /cisco angegeben.»sicher«heißt in unserem Fall, dass das angegebene Verzeichnis das einzige Verzeichnis ist, auf das geschrieben oder von dem gelesen werden kann. Es bietet keine Benutzersicherheit in Form von Benutzernamen und Passwörtern. Die obere Zeile, die mit Hilfe des #-Zeichens auskommentiert wurde, zeigt die unsichere Variante. Sobald unser TFTP»sicher«ist und wir eine Konfiguration haben, die der in Abbildung 3.2 ähnelt, können wir Konfigurationen als reinen ASCII-Text speichern und laden. Im vorangegangenen Abschnitt benutzten wir den Befehl conf t, um den Router vom Terminal aus zu konfigurieren, und den Befehl wri t, um die aktuelle Konfiguration auf dem Bildschirm anzuzeigen. Jetzt wollen wir uns den Befehl wri net ansehen, mit dem wir die Konfiguration auf einen Netzwerk-Server kopieren können, und den Befehl conf net, mit dem wir den Router vom Netzwerk-Server aus konfigurieren können. Um die Router-Konfiguration auf den TFTP-Server kopieren zu können, muss im»sicheren«verzeichnis bereits eine Datei mit dem gewünschten Namen vorhanden sein. Diese muss Lese- und Schreibrechte haben und ausführbar sein. Im folgenden Beispiel heißt die gewünschte Datei router.conf. Sie muss auf dem TFTP-Unix-Server (der die Adresse 209.1.1.1 hat) im Verzeichnis /cisco liegen und die Rechte rwxrwxrwx haben.
74 Konfiguration von Cisco-Routern Abbildung 3.2: Netzwerk zum Speichern und Laden von Router-Konfigurationsdateien Das folgende Beispiel zeigt eine Anwendung des Befehls wri net. Der Cisco-Router wird angewiesen, seine Konfiguration auf dem Netzwerk-Server zu speichern. Router1#wri net Remote host[]? 209.1.1.1 Name of configuration file to write [router-confg]? router.conf Write file router.conf on host 209.1.1.1 [confirm]? Drücken Sie ( ) zur Bestätigung Writing router.conf: [OK] Die -Zeichen deuten an, dass gerade eine Datei übertragen wird. Sobald die Datei router.conf auf dem TFTP-Server gespeichert ist, kann sie wie jede andere Datei bearbeitet, gespeichert und/oder auf einen anderen Rechner übertragen werden. Um einen Router vom Netzwerkserver aus zu konfigurieren, geben Sie folgende Befehle am Router ein: Router1#conf net Host or network configuration file[host]? Drücken Sie ( ), um die Vorgabe anzunehmen Address of remote host [255.255.255.255]? 209.1.1.1 Name of configuration file [router-confg]? router.conf Configure using router.conf from 209.1.1.1 [confirm]? Drücken Sie ( ) zur Bestätigung Loading router.conf from 209.1.1.1 (via ethernet 0) Router1#
Formen der Router-Konfiguration 75 In der vorangegangenen Diskussion sind wir davon ausgegangen, dass der zu konfigurierende Router nur geringfügig vorkonfiguriert ist. Dies trifft nicht immer zu. Manchmal benötigen Sie eine neue Konfiguration für einen Router, der bereits in Betrieb ist, wollen die Konfiguration in einer Testumgebung testen und dann die neue Konfiguration auf einen in Betrieb befindlichen Router überspielen. Der Befehl conf net hilft Ihnen in dieser Situation nicht weiter, denn er würde dazu führen, dass die alte und neue Router-Konfiguration vermischt werden. Hier bietet es sich an, die neue Konfiguration vom Netzwerk-Server auf den Router mithilfe des Befehls copy tftp startup-config zu kopieren und sie anschließend auf dem Router neu zu laden. Durch diese Vorgehensweise wird die bestehende Konfiguration vollständig durch die vom Netzwerk-Server geladene Version ersetzt. 3.2.3 Router-Konfiguration über Auto-Install Auto-install ist eine spezielle Autokonfigurationsfunktion von Cisco-Routern. Sie ermöglicht es, einen neuen Router direkt an seinem zukünftigen Standort in Betrieb zu nehmen und seine Konfiguration automatisch von einem TFTP-Server im Netz herunterzuladen. Alles, was Sie dafür vor Ort tun müssen, ist den Router auszupacken, an eine Standleitung anzuschließen und einzuschalten. Diese Funktion ist sehr nützlich für die Erstinstallation oder den Austausch defekter Router(teile). Die Funktion ist besonders attraktiv für jene Unternehmen, die eine zentrale Netzverwaltung haben, über die die entfernten Standorte an das Unternehmensnetz angeschlossen werden. In der Praxis ist es nicht immer ratsam, die Erstinstallation vom zentralen Rechner aus vorzunehmen. Dies liegt nicht etwa an den Cisco-Geräten, sondern mehr an der Tatsache, dass neu installierte Standleitungen der Telefongesellschaften oft Probleme bereiten. Wenn beim Herunterladen der Konfigurationsdatei eine Störung auftritt, wie z.b. eine kurzzeitige Spannungsspitze, oder der Prozess durch einen anderen Fehler auf der Leitung unterbrochen wird, wird die Konfigurationsdatei beschädigt. Bedenken Sie, dass TFTP UDP verwendet und es daher keine Fehlerkorrektur oder Übertragungswiederholungen gibt. Ist die Konfigurationsdatei also beschädigt, dann ist der soeben installierte Router über die Standleitung nicht mehr erreichbar. Sobald er eine Konfigurationsdatei hat, greift der Router beim Booten auch nicht mehr auf die Autokonfigurationsfunktion zurück. Die Autokonfiguration ist nützlich, um die gültige Konfigurationsdatei an einen Ersatzrouter zu schicken. Beim Austausch eines Routers kann man in der Regel davon ausgehen, dass die anfänglichen Probleme mit der Leitung behoben sind und die Konfigurationsdatei problemlos übertragen wird. Konfiguration über Zwischenrouter Sehen wir uns nun an, wie die Autokonfiguration funktioniert. Wir gehen davon aus, dass eine ähnliche Netzwerkkonstruktion, wie in Abbildung 3.3 definiert, vorhanden ist. Um den neuen Router zu konfigurieren, müssen wir ihn zunächst über ein DEE/DÜE-Kabel an einen so genannten Zwischenrouter anschließen. In unse-
76 Konfiguration von Cisco-Routern rem Fall muss der serielle Port 0 des Zwischenrouters an das DÜE-Ende des Kabels angeschlossen und so konfiguriert werden, dass er das Taktsignal generiert. Auf die einzelnen Schritte der Konfiguration gehen wir später ein, wenn wir die Einrichtung des Testnetzes besprechen. Sobald der neue Router eingeschaltet wird, gibt er einen SLARP-Broadcast auf seinem seriellen Port aus. Abbildung 3.3: Router-Konfiguration mittels Autokonfigurationsfunktion SLARP-Broadcast: SLARP steht für Serial Line Address Resolution Protocol. Sobald der Zwischenrouter diese SLARP-Anforderung erhält, antwortet er, indem er dem neuen Router seine IP-Adresse mitteilt. Der neue Router addiert 1 zu dieser IP-Adresse und übernimmt diese Nummer als seine eigene IP-Adresse. Achtung: Diese Vorgehensweise funktioniert nur für die ersten beiden Adressen im Netz oder Teilnetz. Ein Beispiel soll dies verdeutlichen. Angenommen, der serielle Port 0 des Zwischenrouters hat die Adresse 1.1.1.1. Mit Hilfe des soeben beschriebenen SLARP-Prozesses weist der neue Router seinem eigenen seriellen Port nun die Adresse 1.1.1.2 zu.
Einrichten eines Testnetzes 77 Nachdem der neue Router eine IP-Adresse erhalten hat, wird die im IOS spezifizierte Autokonfigurationsfunktion nach einer Datei namens network-confg suchen (die sich auf dem Unix-Rechner CiscoWorks befindet), um dort den Namen des Rechners zu erhalten, der mit der Adresse 1.1.1.2 verknüpft ist. Dies geschieht, indem der neue Router einen Broadcast an den UDP-Port 69 schickt. Der Zwischenrouter muss mit einem globalen Befehl zur Weiterleitung von UDP-Broadcasts konfiguriert sein, und für den seriellen Port 0 muss ein Eintrag ip-helper vorhanden sein, der diesen Broadcast an die IP-Adresse der CiscoWorks-Netzverwaltungsstation weiterleitet. Die entsprechenden Befehle forward-protocol und ip-helper stehen in der Konfiguration des Zwischenrouters. Ein Beispiel (die Netzverwaltungsstation hat die IP-Adresse 151.3.5.5): interface serial 0/0 ip address 1.1.1.1 255.0.0.0 ip-helper 151.3.5.5 ip forward-protocol udp Diese beiden Befehle dienen dazu, den vom 1.0.0.0-Netzwerk abgesetzten Broadcast an die IP-Adresse 151.3.5.5 weiterzuleiten. Die Datei network-confg enthält ähnliche Einträge wie den folgenden: iphost newrouter 1.1.1.2 Wenn der neue Router seinen Rechnernamen (z.b.»newrouter«) gefunden hat, fordert er mittels TFTP-Anforderung eine Konfigurationsdatei namens newrouter-config an. Die Konfigurationsdatei muss sich, genau wie die Datei network-confg, im TFTP- Verzeichnis auf dem Unix-Rechner befinden. Sofern dort eine entsprechende Datei dieses Namens vorhanden ist, beginnt der Router, die Konfiguration vom TFTP- Verzeichnis des CiscoWorks-Rechners herunterzuladen. 3.3 Einrichten eines Testnetzes Bisher haben wir uns mit der grundlegenden Funktionsweise von TCP/IP-, der Benutzerschnittstelle des Cisco-Routers und der Änderung der IP-Adressen der Router-Ports beschäftigt. Nun wollen wir ein Testnetz errichten, um einiges auszuprobieren. Wenn Sie dies auch tun möchten, brauchen Sie drei Cisco-Router der 2600er-Serie, einen Hub und ein so genanntes DEE/DÜE-Kabel. (Auf die Definition und Bedeutung von DEE und DÜE kommen wir später noch zurück.) Mit dieser Minimalausstattung können wir realistisch arbeiten, ohne dafür extra einen High- End-Router bereitstellen zu müssen. Die physikalischen Verbindungen für das Internetwork, auf dem wir arbeiten, sind in Abbildung 3.4 dargestellt.
78 Konfiguration von Cisco-Routern Abbildung 3.4: Testnetz mit drei Routern Die Konfigurationen für die Router in diesem Testnetz sehen folgendermaßen aus: X Konfiguration für Router 1 hostname router1 enable secret 5 $1$W6qH$DTNrEHmJm6QqYcMu5PRh. enable password test interface Ethernet0/0 ip address 120.1.1,1 255.0.0.0 interface Serial0/0 no ip address shutdown interface Serial0/1 no ip address shutdown line con0 line aux 0
Einrichten eines Testnetzes 79 transport input all line vty 0 4 password access login end X Konfiguration für Router 2 version 11.3 hostname router2 enable secret 5 $1$/P2r$ob001mzYqpogV0U1g1O8U/ enable password test interface Ethernet0/0 ip address 120.1.1.2 255.0.0.0 interface Serial0/0 ip address 150.1.1.1 255.255.0.0 interface Serial0/1 no ip address shutdown line con 0 line aux 0 line vty 0 4 password ilx login end X Konfiguration für Router 3 Current configuration: version 11.3 hostname router3 enable secret 5 $1$cNaQ$a4jcvrXlzVO4cwJB7RP5j1 enable password test interface Ethernet0/0
80 Konfiguration von Cisco-Routern ip address 193.1.1.1 255.255.255.0 shutdown interface Serial0/0 ip address 150.1.1.2 255.255.0.0 clockrate 64000 interface Serial0/0 no ip address shutdown line con 0 line aux 0 transport input all line vty 0 4 password ilx login end Der einzige Eintrag, den Sie in diesen Router-Konfigurationen vielleicht noch nicht kennen, ist der Eintrag clockrate 64000 an Router 3. Um diesen Eintrag zu verstehen, benötigen Sie einige Grundkenntnisse über die Kommunikation über ein digitales Modem (auch als CSU/DSU bezeichnet). Kommunikation via CSU/DSU: Für zwei Router, die sich an verschiedenen Standorten befinden und mit einer Datenrate von 56 Kbit/s oder höher übertragen sollen, benutzen Sie in der Regel eine digitale Standleitung. An beiden Enden dieser Standleitung hängt eine CSU/DSU, die wiederum jeweils mit den seriellen Ports eines Routers verbunden sind, wie Abbildung 3.5 zeigt. DEE und DÜE: In der Fachsprache heißt dies: Der serielle Port des Routers wird als DEE, d.h. Datenendeinrichtung konfiguriert. Die CSU/DSU wird als DÜE, d.h. Datenübertragungseinrichtung konfiguriert. Warum ist dies so wichtig? Wegen der unterschiedlichen Funktion der Stecker-Pins an den Geräten. RS-232, Pinbelegung: Die meisten von Ihnen kennen die Pinbelegung einer RS- 232-Schnittstelle (mehr oder weniger gut). Pin 2 ist für die Datenübertragung (Transmit data, Tx) zuständig, Pin 3 für den Datenempfang (Receive data, Rx). Beim Anschluss eines PCs an ein Modem wird nach obiger Definition ein DEE an ein DÜE angeschlossen. Beide werden über ein direkt durchgehendes Kabel miteinander verbunden, was bedeutet, dass die Pins 1 bis 25 des einen Kabelendes mit den entsprechenden Pins des anderen Kabelendes verbunden sind. Wenn wir den seriellen Anschluss des PCs mit dem seriellen Anschluss eines Druckers verbinden wollten, würden wir zwei DEE-Geräte miteinander verbinden. Dafür bräuchten wir ein gekreuztes Kabel. Dieses Kabel ersetzt das Modem, indem Pin 2 des einen Kabelendes mit Pin 3 des anderen Kabelendes verbunden ist und umgekehrt.