|
Управление маршрутизатором через Telnet
Давайте более детально рассмотрим возможности, предлагаемые маршрутизатором при доступе к нему через консольный порт или telnet. Следует отметить, что управление данным устройством не вызовет проблем у людей, конфигурировавших оборудование Cisco. Команды возможно сокращать.
Процедура входа стандартна: авторизация по логину и паролю. Далее предоставляется возможность перехода в привилегированный режим, выхода из сеанса администрирования, либо просмотр текущих настроек. Команда show поддерживает великое множество параметров. Вот их полный список.
Список параметров | |
hostname | Hostname |
contact | Text for mib object sysContact |
location | Text for mib object sysLocation |
system-desc | Text for mib object sysDesc |
clock | Manage the system clock |
version | System hardware and software status |
line | TTY line information |
interfaces | Interface status and configuration |
ip | IP information |
rip | IP information |
ppp | Show PPP Global Parameters |
bridge | Display bridge configuration |
snmp | Display SNMP parameters |
access-list | Display access list |
fixup | Display service configuration |
time-range | Display time range entries |
logging | Display logging configuration |
reassembly | Display reassembly configuration |
filter | Application filtering record |
urlfilter | Url filter configuration |
proxyport | The proxy http port configured |
service | Display service configuration |
mime-flood | Show the MIME flood detection threshold parameters |
limits | Display limits on associations |
conn | Display connection information |
userlogin | Display information of users logged in |
userlogout | Display information of last 25 users logged out |
timeout | Display inactivity timeout records |
remote-access | Remote Access User-Group Management |
users | Display management user settings |
proposal | Display proposals |
manual-key | Display manual-keys |
vpn-access-list | show vpn access-list |
total-sa-count-stat | Dispaly total SA count statistics |
global-ipsec-sa-stat | Display global IPSEC SA Statistics |
ipsec-sa | Display IPSEC (SA)'s |
ike-sa | Show ike (SA)'s |
vpn-remote-user | Show remote user configuration |
vpn-ip-pools | Show remote user ip pools |
sntp | show SNTP servers list or update_time |
log | Log configuration |
log-file | File in Flash-file system |
Из консоли доступна следующая информация о маршрутизаторе:
UserLocalGateway>sh ver | |
Chip Version | 0 |
Chip Identifier | 4 |
System Clock | 133 MHz |
EJTAG0 Configuration | CPU3 |
EJTAG1 Configuration | CPU3 |
Serial Port0 Configuration | UART0 |
Serial Port1 Configuration | UART1 |
Mac0 Address | 00:0e:a6:45:8e:2e |
Mac1 Address | 00:0e:a6:45:8e:2f |
MAC1/USB Configuration | MAC1 |
WAN Port Configuration | Utopia |
Software Version: | |
Silicon Type | typhoon |
Release Type | GA |
Release Version number | 4 |
Major Version number | 1 |
Minor Version number | 0 |
Patch Version number | 0 |
Build Identification number | 1007 |
Date and Time of the Build | Mon Jul 26 12:31:46 CST 2004 |
CPU0 Version | TYP_REL_GA.4.1.0.0-1007 |
CPU1 version | TYP_REL_GA.4.1.0.0-1007 |
CPU Images: | |
Image File1 | vmlinux |
Image File2 | cpu1 |
Image File3 | noboot |
Image File4 | cpu3 |
Из функции sh bri мы узнаём, что возможно лишь 128 динамических записей в таблице моста.
UserLocalGateway> sho bridge | |
MAC Address: | 00:0e:a6:45:8e:2e |
Maximum Dynamic Entries: | 128 |
Говоря о пределах, нельзя не упомянуть результат работы функции sh lim.
UserLocalGateway> sh limits | ||
Network | CurrCnt | Max allowed |
Corp | 2 | 310 |
Ext | 0 | 310 |
Self | 5 | 160 |
Ext2Self | 0 | 40 |
Dmz | 0 | 0 |
Функция sh conn отображает все текущие подключения. Команды sh userlogin и sh userlogout отображают информацию о вошедших в систему пользователях.
Для перехода в привилегированный режим воспользуемся командой enable. В данном режиме присутствует команда stats, отображающая достаточно полную статистическую информацию о работе брандмауэра, моста, протоколов и много другого.
Посмотрим, что можно настроить через терминал. Для этого переходим в режим конфигурации, то есть выполняем команду configure terminal.
Здесь можно настроить практически всё, что только можно себе представить. Следует особо подчеркнуть, что в консоли мы имеем интерфейс как у Cisco. Администраторам, хорошо знакомым с синтаксисом команд Cisco IOS, не составит труда перейти на данную систему команд.
Мы можем запустить или остановить любые сервисы командой service servname, где servname может принимать значения:
dhcp | Enable DHCP server |
dns | Enable DNS relay agent |
snmp | Modify SNMP parameters |
firewall | Enable firewall |
vpn | Start the vpn service |
sntp | Enable SNTP |
igd | UPnP Internet Gateway Device (IGD) service |
Особо следует подчеркнуть наличие поддержки UPnP устройств. Хотя их не столь часто можно ещё встретить в наших сетях.
Также приятной особенностью явилось наличие возможности создания статической записи в arp-таблице, что позволяет частично защититься от arp-атак. Однако, эта запись исчезает при перезагрузке маршрутизатора. Не помогает даже функция принудительного сохранения параметров. Служба технической поддержки компании Asys не дала вразумительного ответа на вопрос о возможности сохранения этой записи при перезагрузке.
А теперь посмотрим, что можно настроить для интерфейса. interface ethernet 0. Список подкоманд впечатляет.
exit | Privilege mode logout OR return to previous mode |
end | End current mode and change to privilege mode |
ip | Interface Internet Protocol configuration commands |
no | Negate a command |
shutdown | Shutdown the selected interface |
mtu | Set the interface Maximum Transmission Unit (MTU) |
default | Set a command to its defaults |
speed | Specify the Ethernet speed |
bind | Bind interface |
nameif | Specify the type of Network |
l2f_ext_add | Add to ext list |
l2f_ext_modify | Modify ext list |
l2f_dst_add | Add to destination list |
l2f_dst_modify | Modify destination list |
l2f_delete | Delete rule |
l2f_show | List rules |
l2f_stats | Statistics |
l2f_state | Default state |
l2f_default_action | Set Default action |
Команды l2f позволяют настроить фильтрацию второго уровня на интерфейсе. Посмотрим на добавление ext (расширенного) правила. Вторым аргументом нужно указать направление следования кадра: extinput или extoutput. Далее действие: разрешение или запрет, и указываем все параметры следования кадра: адреса источника и получателя. Полная команда может выглядеть например так: l2f_ext_add extinput permit src single 00:00:00:11:22:33 any dst single 00:00:00:33:22:11 any. Можно также указать номер позиции, в которую будет вставлено данное правило. От порядка следования правил в таблице зависит то, как будет реагировать фильтр на входящие кадры. Теперь исследуем параметры функции l2f_dst_add. Описание этой функции не достаточно понятно. Насколько удалось выяснить, эта функция разрешает прохождение определённых кадров с указанного интерфейса. Можно указать, является ли это правило временным или постоянным. Примером добавления данного правила может служить строка: l2f_dst_add any any any allowto eth0 entryStatus temporary insertBefore 12. Если посмотреть список функций, доступных для внутреннего Ethernet интерфейса, то можно заметить присутствие ещё одной опции -управления виртуальными сетями VLAN. Это весьма неожиданно для устройства класса SOHO. Ниже приведён список команд, доступных в этом меню.
exit | Privilege mode logout OR return to previous mode |
end | End current mode and change to privilege mode |
vid | VLAN create command |
no | Negate a command |
enable | Enable VLAN Functionality |
disable | Disable VLAN Functionality |
member-set | Define memberset for this vlan |
pvid | Default port VID (PVID) |
leak | Enable unicast leaky function |
arp-broadcast | Enable arp broadcast function |
tag-aware | Enable 802.1Q tag aware function |
admit-only-tagged | Admit only 802.1Q tagged frames |
member-set-filter | Enable ingress filtering function |
Устройство поддерживает как порт-ориентированные VLAN, так и VLAN на основе меток. Всего можно создать до 4094 виртуальных сетей.