Рис. 7.17. физические интерфейсы стандарта Fast Ethernet

100Base-FX. Стандарт этого волоконно-оптического интерфейса полностью идентичен стандарту FDDI PMD, который подробно рассмотрен в главе 6. Основным оптическим разъемом стандарта 100Base-FX является Duplex SC. Интерфейс допускает дуплексный канал связи.

Таблица 7.6. Основные характеристики физических интерфейсов стандарта Fast Ethernet IEEE 802.3u

Обозначения:mm — многомодовое волокно, sm — одномодовое волокно
* — указанные расстояния могут быть достигнуты только при дуплексном режиме связи.

100Base-TX. Стандарт этого физического интерфейса предполагает использование неэкранированной витой пары категории не ниже 5. Он полностью идентичен стандарту FDDI UTP PMD, который также подробно рассмотрен в главе 6. Физический порт RJ-45, как и в стандарте 10Base-T, может быть двух типов: MDI (сетевые карты, рабочие станции) и MDI-X (повторители Fast Ethernet, коммутаторы). Порт MDI в единичном количестве может иметься на повторителе Fast Ethernet. Для передачи по медному кабелю используются пары 1 и 3. Пары 2 и 4 — свободны. Порт RJ-45 на сетевой карте и на коммутаторе может поддерживать, наряду с режимом 100Base-TX, и режим 10Base-T, или функцию автоопределения скорости. Большинство современных сетевых карт и коммутаторов поддерживают эту функцию по портам RJ-45 и, кроме этого, могут работать в дуплексном режиме.

100Base-T4. Этот тип интерфейса позволяет обеспечить полудуплексный канал связи по витой паре UTP Cat. 3 и выше. Именно возможность перехода предприятия со стандарта Ethernet на стандарт Fast Ethernet без радикальной замены существующей кабельной системы на основе UTP Cat. 3 следует считать главным преимуществом этого стандарта.

В отличие от стандарта 100Base-TX, где для передачи используется только две витых пары кабеля, в стандарте 100Base-T4 используются все четыре пары (рис. 7.18 а). Причем при связи рабочей станции и повторителя посредством прямого кабеля данные от рабочей станции к повторителю идут по витым парам 1, 3 и 4, а в обратном направлении — по парам 2, 3 и 4. Пары 1 и 2 используются для обнаружения коллизий подобно стандарту Ethernet. Другие две пары 3 и 4 попеременно, в зависимости от команд, могут пропускать сигнал либо в одном, либо в другом направлении. Передача сигнала параллельно по трем витым парам эквивалентна инверсному мультиплексированию, рассмотренному в главе 5. Битовая скорость в расчете на один канал составляет 33,33 Мбит/с.

Символьное кодирование 8В/6Т. Если бы использовалось манчестерское кодирование, то битовая скорость в расчете на одну витую пару была бы 33,33 Мбит/с, что превышало бы установленный предел 30 МГц для таких кабелей. Эффективное уменьшение частоты модуляции достигается, если вместо прямого (двухуровневого) бинарного кода использовать трехуровневый (ternary) код. Этот код известен как 8В/6Т [16]; это означает, что прежде, чем происходит передача, каждый набор из 8 бинарных битов (символ) сначала преобразуется в соответствии с определенными правилами в 6 тройных (трехуровневых) символов. На примере, показанном на рис.7.18 б, можно определить скорость трехуровневого символьного сигнала: (100-6/8)/3 = 25 МГц, значение которой не превышает установленный предел.

Интерфейс 100Base-T4 имеет один существенный недостаток -принципиальную невозможность поддержки дуплексного режима передачи. И если при строительстве небольших сетей Fast Ethernet с использованием повторителей 100Base-TX не имеет преимуществ перед 100Base-T4 (существует коллизионный домен, полоса пропускания которого не больше 100 Мбит/с), то при строительстве сетей с использованием коммутаторов недостаток интерфейса 100Base-T4 становится очевидным и очень серьезным. Поэтому данный интерфейс не получил столь большого распространения, как 100Base-TX и 100Base-FX.

Рис. 7.18. Физические интерфейсы 100Base-T4:
а) использование витых пар;б) кодирование 6В/8Т

Gate-485/Ethernet Преобразователь интерфейса Ethernet в RS485. 1 порт 10/100Base-T, полный дуплекс: преобразователи конверторы интерфейсов

Преобразователь Gate-Ethernet предназначен для подключения одного или нескольких контроллеров GATE, работающих по терфейсу RS485, в компьютерную сеть по протоколу TCP/IP. Поддерживаются все контроллеры «классической» СКУД GATE: Gate-4000, Gate-8000, Gate- Авто, Gate-Parking, Gate-Vizit и т. д. К одному преобразователю может быть подключено до 32 контроллеров Gate. 1 порт 10/100Base-T, полный дуплекс. Поддержка стека протоколов TCP/IP. Настройка при помощи специализированной утилиты. Питание 12В DC

Предназначен для подключения одного или нескольких контроллеров GATE, работающих по интерфейсу RS485, в компьютерную сеть по протоколу TCP/IP. Поддерживаются все контроллеры «классической» СКУД GATE: Gate-4000, Gate-8000, Gate- Авто, Gate-Parking, Gate-Vizit и т. д. К одному преобразователю может быть подключено до 32 контроллеров Gate.

Описание преобразователя Gate-Ethernet:

Преобразователь Gate-Ethernet предназначен для подключения одного или нескольких контроллеров GATE, работающих по интерфейсу RS485, в компьютерную сеть по протоколу TCP/IP.
Поддерживаются все контроллеры «классической» СКУД GATE: Gate-4000, Gate-8000, Gate-Авто, Gate-Parking, Gate-Vizit и т.д. К одному преобразователю может быть подключено до 32 контроллеров Gate.

Технические характеристики преобразователя Gate-Ethernet:

1. Питание — 12V DC

    

2. Максимальный потребляемый ток — 200 мА

    

3. Количество портов Ethernet — 1

    

4. Максимальное количество подключаемых контроллеров — 32

    

Схема подключения преобразователя Gate-Ethernet:

Характеристики -485/Ethernet:

• Производитель: Gate
• Интерфейс на входе: RS485
• Интерфейс на выходе: Ethernet

Доставка

Ваш отзыв может быть первым!

Преобразователь интерфейсов RS-485/RS-232 в Ethernet С2000-Ethernet

ЕКОН134 преобразователь интерфейса Ethernet — RS-232/RS-485

Преобразователь ЕКОН134 предназначен для подключения устройств c последовательным интерфейсом (RS-232, RS-485) к сети Ethernet. Он может применяться в системах диспетчеризации, автоматизированных системах учета энерго- и теплоэнергоресурсов как коммерческих, так и технологических.

Функциональные возможности преобразователя ОВЕН ЕКОН134

• Работа в одном из двух режимов передачи данных Ethernet — RS-232/RS-485: «ЗАПРОС-ОТВЕТ», «БЕЗ ЗАПРОСА»
• Одновременное обращение нескольких устройств из сети Ethernet к одному порту (RS-232, RS-485)
• Связь двух устройств с последовательными интерфейсами (RS-232, RS-485) по сети Ethernet
• Индикация обмена через последовательные порты

В режиме «ЗАПРОС-ОТВЕТ» осуществляется прием запроса по сети Ethernet, передача его на указанный порт запрашиваемого устройства, получение и передача ответа в сеть Ethernet устройству, отправившему запрос.

Режим «БЕЗ ЗАПРОСА» обеспечивает прием данных от устройства на последовательный порт, передачу этих данных в сеть Ethernet указанному устройству, прием данных по сети Ethernet и передачу их на указанный последовательный порт.

Отличительные характеристики

• 4 последовательных порта для удаленной работы по сети Ethernet (Internet) с  одним или несколькими устройствами, оснащенными интерфейсом RS-232/RS-485
• 2 универсальных последовательных интерфейса RS-232/RS-485, режим работы определяется при помощи встроенных DIP-переключателей
• Прибор имеет возможность конфигурирования параметров работы и замены внутреннего программного обеспечения (ПО) через WEB-интерфейс или через программу Конфигуратор Виртуальных Портов (КВП)
• Высокая скорость передачи данных по последовательным портам, до 921600 бот посредством сетевого  протокола UDP
• Один полномодемный последовательный порт  RS-232
• Широкий диапазон температур: от -25 до +70 ºС

Двунаправленный преобразователь Ethernet – последовательный интерфейс RS-232 или RS485

Интерфейс Ethernet-TCP/IP | MegaSensor.com

Первые энкодеры с интерфейсом Ethernet-TCP/IP. Одна из исторических статей опубликованных компанией Fraba в 2001 году, которая выпустила первый энкодер с Ethernet интерфейсом.

Первый энкодер с интегрированным веб-сервером

Предыстория создания и первые функциональные возможности

Фирма Fraba является первой (по состоянию на 2001 год), которая начала интегрировать в свои датчики миниатюрные веб-серверы. Датчики с этим интерфейсом могут подключаться или прямо к компьютеру через обычную сетевую карту, или к компьютерной сети. Коммуникация осуществляется с 10/100 MBit/s через TCP/IP протокол. Благодаря этому представляется возможным коммуницировать с датчиками подходящей программой из любой операционной системы и с помощью обычных текстовых команд. IP-адрес, как и другие параметры, записан в память (flash) датчика и позволяет себя легко изменять. Частота считывания информации из датчика зависит от ширины полосы пропускания и загруженности сети и достигает 1ms. Интегрированный mikro-Web-server, базируясь на TCP/IP протоколе, может также коммуницировать через HTTP-Protocol с любым веб — браузером и представляет привычные и удобные HTML веб — страницы с Java-Applets.

Таким образом, предоставляется возможность с помощью мыши из любой точки мира датчики параметрировать и программировать. Также статус-опрос, диагностика и вызов различных функций осуществляется комфортно с помощью Java-Applets. Через SMTP-Protocol дополнительно является возможным все диагностические сообщения, например, при аварийном превышении температуры датчика, отправлять электронной почтой (e-mail) на любой (заранее запрограммированный) e-mail адрес, например, на обслуживающий персонал.
С помощью HTTP и SMTP является также возможным, без каких-либо дополнительных Hard- и Software компонентов, дистанционный сервис датчиков.
Применение простых сетевых карт и отсутствие необходимости в сложном программном обеспечении, резко снижает затраты на проэктирование и интеграцию оборудования в производство.
Касаясь проблемы жесткого реального времени Ethernet-TCP/IP интерфейс нельзя сравнивать с ранее упомянутыми видами интерфейсов, да и создавался он для других целей, т.е. для передачи больших пакетов данных при низких требованиях к реальному времени. Коммуникация в интерфейсах CAN-Bus, Profibus-DP и др. строго регламентирована, т.е. рассчитана на передачу коротких пакетов данных и с определенной последовательностью. Компьютерная сеть предприятия должна выдерживать определенные нагрузки в так называемые «время пик», например, посылка документов на принтеры, Internet-Traffic и т.д. и в результате становится медленнее. Таким образом, достигаемое время/цикл, без применения особых мер, сильно колеблется. В настоящее время ведутся работы над концептами, которые должны улучшить процессную способность компьютерных сетей с помощью switches, распределения приоритетов или управления доступом во «второй слой».
Однако уже сегодня в обычной компьютерной сети, состоящей из PC и непосредственно подключенных Ethernet-датчиков, можно реализовать время/цикл в области нескольких миллисекунд.
Случаям применения с высокими требованиями к жесткому реальному времени целиком и полностью отвечают датчики с полевой шиной (fieldbus). Однако далеко не всегда ставятся такие требования. Применение датчиков с Ethernet-интерфейсом оправданно тогда, когда в первую очередь важны низкие интеграционные затраты, а требования к реальному времени относительны. В числе таких примеров могут быть система, где до этого никакие другие SPS или fieldbus-компоненты не применялись, проверяющие стенды или автоматика в зданиях. Существует также много примеров в сферах экспериментальных технологий, опытного производства, лабораториях и пр., где требования к реальному времени не высоки.

Объединение Ethernet сетей через последовательные интерфейсы

Существует значительное количество объектов, объединённых между собой при помощи последовательных линий связи, таких как модемные линии, РРЛ, системы связи ВЧ по ВЛ и др. Как правило, существующее каналообразующее оборудование не имеет Ethernet-интерфейсов, а его замена достаточно дорога или невозможна. В таком случае, используя оборудование серии NPort 6000, мы имеем возможность организовать PPP-соединение для передачи IP-траффика между удалёнными Ethernet-абонентами.  Настоящая инструкция рассматривает типовые вопросы настройки оборудования для решения этой задачи:

Важно понимать, что для организации двунаправленного обмена необходимо использовать только полнодуплексные последовательные интерфейсы.

1. Настройка IP-адресации

Сетевые параметры для всех устройств назначаются в соответствии с тестовой схемой.

    1.1 Настройки сетевых параметров РС1

В качестве шлюза по умолчанию указывается IP-адрес NPort1

     1.2 Настройка сетевых параметров NPort1

Все конфигурирование преобразователей осуществляется через web-меню.

 Main Menu -> Network Configuration -> Basic Network Settings

Аналогично выполняем настройки на PC2 и NPort2 в соответствии со схемой.

    1.3 Настройки сетевых параметров РС2

В качестве шлюза по умолчанию указывается IP-адрес NPort2

    1.4 Настройкасетевыхпараметров NPort2

Main Menu -> Network Configuration -> Basic Network Settings

2. Настройка работы NPort1

    2.1 Настройка параметров последовательного интерфейса

Параметры последовательных интерфейсов должны быть идентичными на двух концах последовательной линии.

Main Menu -> Serial Port Configuration -> Port 1 -> Communication Parameters

    2.2 Настройка режима работы

NPort1 будет выступать инициатором соединения PPP, поэтому должен быть сконфигурирован в режим работы РРР.

Main Menu -> Serial Port Configuration -> Port 1 -> Operation Modes

В качестве адреса назначения (Destination IP address) указывается виртуальный адрес NPort2. Виртуальный адрес самого NPort1 указывается в качестве адреса источника (Source IP address). Для того, чтобы соединение между NPort установилось необходимо будет успешно пройти аутентификацию. Для этого со стороны инициатора соединения указывается логин и пароль. 

    2.3 Настройка маршрутизации

Для обмена данными между устройствами cети LAN1 и LAN2 необходимо настроить маршрутизацию. Для это в таблицу маршрутизации нужно добавить соответствующий маршрут. 

Main Menu -> Network Configuration -> Route Table

 В качестве сети назначения указывается сеть LAN2. Шлюзом при этом будет выступать виртуальный адрес NPort2. Так как маршрутизация трафика будет осуществляться через последовательную линию, то в качестве интерфейса нужно установить последовательный порт

3. Настройка работы NPort2

    3.1 Настройка параметров последовательного интерфейса

Параметры последовательных интерфейсов должны быть идентичными на двух концах последовательной линии.

Main Menu -> Serial Port Configuration -> Port 1 -> Communication Parameters

   3.2 Настройка режима работы

NPort2 будет ожидать соединения PPP, поэтому режим работы выбирается РРРD.

Main Menu -> Serial Port Configuration -> Port 1 -> Operation Modes

В качестве адреса назначения (Destination IP address) указывается виртуальный адрес NPort1. Виртуальный адрес самого NPort2 указывается в качестве адреса источника (Source IP address).

    3.3 Настройка аутентификации

В настройках NPort1 указана информация для аутентификации при соединении между NPort. Для того, чтобы NPort2 мог успешно установить соединение необходимо в его таблицу пользователей добавить такие же логин/пароль, как и у инициатора соединения.

Main Menu -> Serial Port Configuration -> User Table

    3.4 Настройка маршрутизации

Для передачи трафика между сетями LAN1 и LAN2 в таблицу маршрутизации нужно добавить соответствующий маршрут.

Main Menu -> Network Configuration -> Route Table

 В качестве сети назначения указывается сеть LAN1. Шлюзом при этом будет выступать виртуальный адрес NPort1. Так как маршрутизация трафика будет осуществляться через последовательную линию, то в качестве интерфейса нужно установить последовательный порт.

4. Диагностика

Для того, чтобы проверить корректность работы системы, можно воспользоваться диагностической информацией преобразователей.

• Состояние РРР соединения

Main Menu -> Log, Monitoring and Warning -> System Monitoring -> Serial Status -> Serial to Network Connections 

При успешном соединении в таблице будут отображаться виртуальные IP адреса преобразователей.

• Статический маршрут

При правильной настройке и успешном соединении в таблице маршрутизации появится маршруты передачи данных из одной сети в другую.

Main Menu -> Log, Monitoring and Warning -> System Monitoring -> System Status -> Routing 

• Ping PC2 из сети LAN1

Что такое сетевой интерфейс Ethernet?

Что означает сетевой интерфейс Ethernet?

Ethernet относится к печатной плате или карте, установленной на персональном компьютере или рабочей станции, в качестве сетевого клиента. Сетевой интерфейс позволяет компьютеру или мобильному устройству подключаться к локальной сети (LAN), используя Ethernet в качестве механизма передачи.

Существует множество стандартов Ethernet, которым сетевой интерфейс Ethernet должен соответствовать с различными скоростями передачи и доступными типами / скоростями исправления ошибок.Ethernet является стандартом для передачи двоичных данных, и, хотя характеристики оборудования определены, он не зависит от оборудования, поэтому сетевой интерфейс Ethernet может использовать все виды оборудования для передачи от оптоволоконного кабеля до коаксиальной меди и беспроводной сети, в зависимости от возможностей. оборудования, на которое интерфейс отправляет / принимает данные, и требуемых скоростей передачи данных по сети.

Techopedia объясняет сетевой интерфейс Ethernet

Ethernet — наиболее широко используемая технология LAN.Используя стандарт IEEE 802.3, он был создан Xerox в начале 1970-х годов, а позже при разработке были задействованы DEC и Intel. Однако скорость передачи составляла всего около 10 Мбит / с.

Fast Ethernet увеличил скорость до 100 Мбит / с, а следующая итерация переместится на 1000 Мбит / с или 1,0 Гбит / с в 1998 году. Многие корпоративные сети используют технологию передачи, известную как Gigabit Ethernet, теперь использующую стандарт IEEE 802.3z, требующий оптического волокна. Этот стандарт обычно обозначается как 1000Base-X.

Следующим стандартом 1999 г. стал IEEE 802.ab и стал известен как 1000Base-T.

В 2000 году массово производились два компьютера — Apple Power Mac G4 и PowerBook G4, которые могли подключаться к сетевым соединениям 1000Base-T Ethernet. Эта функция вскоре стала доступна во многих других массовых настольных компьютерах. К 2009 году контроллеры сетевого интерфейса (NIC) Gigabit Ethernet (GbE или 1 GigE) были включены почти во все настольные компьютеры и серверные системы.

Также к 2009 году были разработаны стандарты более высокой пропускной способности 10 Гбит / с, и 10 Гбит Ethernet заменил 1 Гбит в качестве магистрали большинства сетей.

Ассоциация телекоммуникационной индустрии (TIA) разработала еще более новый (примерно 2011 г.) стандарт под названием 1000BASE-T и 1000BASE-TX (Gigabit Ethernet) и 10GBASE-T (10Gb Ethernet).

Стандарт 1000BASE-TX — это упрощенная конструкция, требующая менее дорогостоящей электроники (сетевые карты в сетевых оконечных компьютерах). Тем не менее, для 1000BASE-TX требуется кабель CAT 6, и до сих пор коммерческое использование не удалось из-за ограниченного преимущества этого стандарта и потенциально огромных затрат на повторную прокладку кабеля.

Последние обсуждаемые спецификации относятся к стандартам Ethernet 100 Гбит / с.

Ethernet — обзор

Telnet

Telnet — это средство удаленного входа в систему, которое также используется на маршрутизаторах Cisco. Я большой поклонник использования ввода из командной строки для проверки состояния и внесения изменений в конфигурацию, потому что вы никогда не столкнетесь с «проблемами поддерживаемого оборудования», когда дело доходит до внесения изменений таким образом, а внесение изменений с помощью интерфейса командной строки выполняется быстро и эффективно. Итак, ваш паспорт этого подхода — использовать сеанс, совместимый с Telnet.Это подводит меня к моменту, когда я могу рассказать вам об обходе препятствий, когда дело доходит до настройки маршрутизаторов и коммутаторов.

На днях я решил настроить два маршрутизатора серии 2500, которые были у меня в коллекции сетевых устройств. Я загрузил установщик для Cisco Network Assistant (CNA) и подключил два маршрутизатора к лабораторной подсети. Однако после того, как я направил мастера на IP-адреса маршрутизаторов, он сказал мне, что эти устройства не поддерживаются! Это имеет смысл, поскольку до этого момента я использовал CNA только на новых устройствах Cisco, и это высокоскоростное приложение не поддерживало это оборудование.К счастью, я смог быстро решить проблему, открыв сеанс Telnet и внося необходимые изменения. Я упоминаю об этом, чтобы вы понимали, что пока вы можете использовать интерфейс командной строки, у вас всегда будет возможность получать доступ, просматривать и настраивать оборудование Cisco.

Также важно помнить, что маршрутизаторы имеют пять виртуальных терминалов. Это означает, что вы должны установить логин для каждого виртуального терминала и установить пароль включения; в противном случае вы можете быть разочарованы.

Это также означает, что вы можете подключиться к одному и тому же маршрутизатору в пяти разных терминальных сессиях.Вы и четверо ваших коллег можете одновременно подключаться к маршрутизатору через Telnet. Но обратите внимание, что если вы вносите изменения в конфигурацию VTY, вы должны убедиться, что все VTY включены. Есть хороший шанс, что если вы примените только локальную настройку для входа в систему для VTY 0, VTY 1, 2, 3 и 4 не остановятся и не будут предлагать проблему входа в систему! Однако это легко заметить, если посмотреть на вывод show running-config или show startup-config , потому что вы увидите отдельные блоки настроек для одной группы VTY и другого набора конфигураций для VTY. без локальной настройки входа в систему, которая открывает доступ к устройству.Итак, сделайте это правильно и сделайте конфигурацию в строке VTY 0 4, и вы можете настроить все пять одновременно.

Вот как вы начинаете использовать Telnet для настройки маршрутизаторов. Вы должны уже установить IP-адрес для маршрутизатора, активировать интерфейс Ethernet, выполнив команду no shutdown на соответствующем подинтерфейсе Ethernet, и разрешить вход в VTY. (Если вы еще этого не сделали, вернитесь к той части этой главы, в которой обсуждается HyperTerminal и консольный порт, и внесите соответствующие изменения.)

Router # configure terminal

Router (config) # interface FastEthernet 0

Router (config-if) # ip address 192.168.1.46 255.255.255.0

Маршрутизатор (config-if) # no shutdown

Router (config-line) # CTRL-Z

Router # copy running-config startup-config

Если вы выберете ограничить доступ к небольшому списку доверенных IP-адресов, вы можете настроить ACL на терминале, который будет ограничивать подключение всех, у кого нет надлежащего IP-адреса.Здесь мы применяем расширенный ACL, чтобы вы увидели, как он выглядит. Позже я покажу вам некоторые основы ACL, включая стандартные и расширенные ACL. Чтобы обеспечить разумность в сценариях подробного анализа, попробуйте использовать согласованную систему при нумерации списков ACL. Например, попробуйте использовать 23 (стандартный ACL) или 123 (расширенный ACL) для Telnet и 80 (стандартный ACL) или 180 (расширенный ACL) для доступа в Интернет. Создайте систему и постарайтесь ее придерживаться. Вот пример:

Router # configure terminal

Router (config) # access-list 123 allow tcp host 192.168.1.45 host 0.0.0.0 eq telnet log-input

Router (config) # access-list 123 deny ip any any log-input

Router (config) # логин в журнал ошибок каждые 3

Маршрутизатор (конфигурация) # логин при успешном входе каждые 1

Маршрутизатор (конфигурация) # блокировка входа — на 300 попыток в течение 60

Маршрутизатор (конфигурация) # line vty 0 4

Маршрутизатор (строка конфигурации) # класс доступа 123 в

Маршрутизатор (строка конфигурации) # CTRL-Z

Маршрутизатор # копировать текущую конфигурацию startup-config

Будьте очень осторожны с ведением журнала, так как одна неуместная команда log или log-input будет регистрировать каждый пакет в интерфейсе или из него, и это может работать некорректно.Здесь мы просто хотим увидеть, когда ACL срабатывает в результате попытки Telnet с любого хоста, кроме 192.168.1.45.

Напомним, что мы вошли в режим настройки через терминал; в целях безопасности мы настроили ведение журнала так, чтобы оно происходило каждый третий раз при сбое входа в систему, и включение ведения журнала для успешного входа. Регистрация успешных вызовов VTY необходима для точного учета доступа к вашему маршрутизатору. Затем мы устанавливаем блокировку на маршрутизаторе, чтобы предотвратить вход в систему после трех неудачных попыток в течение 60 секунд.Эта изоляция длится пять минут. Затем мы перешли в режим субконфигурации VTY, чтобы мы могли установить доступ к маршрутизатору для входа в систему, и установили класс доступа на VTY. Затем мы сохранили его и скопировали в конфигурацию запуска во флеш-память маршрутизатора. Но мы еще не закончили. Нам еще предстоит обсудить несколько особых моментов, касающихся безопасности.

Если вы обратили внимание, я показал вам пример расширенного списка доступа, который очень конкретен.Пока я писал эту главу, мы с ведущим автором много обсуждали эти вопросы, и мы договорились показать пример стандарта и расширенного списка, чтобы вы научились распознавать различия между ними. Следующий фрагмент кода отображает стандартный список доступа, который проверяет только IP-адрес пакета, чтобы определить, соответствует ли он правилу:

Router # configure terminal

Router (config) # access-list 23 Журнал 172.16.1.1 журнал

Router (config) # access-list 23 deny any log

Router (config) # line vty 0 4

Router (config-line) # класс доступа 23 в

Маршрутизатор (конфигурация) # C TRL-Z

В этом примере задается ACL, который смотрит только на IP-адрес. Если он соответствует 172.16.1.1, ACL пропускает его во время регистрации. Если это не удается, он отбрасывает пакет и регистрирует его.Это применяется к Telnet VTY во внутреннем направлении с помощью директивы access-class , которая соответствует номеру правила ACL, который мы установили (в данном случае 23). (Имейте в виду, что access-class и access-group — это две разные команды, поэтому используйте их соответствующим образом.)

В следующем примере вы видите расширенный ACL, который выполняет гораздо более точную работу по проверке пакетов, поскольку он углубляется в пакет, чтобы определить, будет ли соответствовать правило:

Router (config) # access-list 123 allow tcp host 172.16.1.1 any eq 23 log-input

Router (config) # access-list 123 deny ip any any log-input

Router (config) # line vty 0 4

Маршрутизатор (строка конфигурации) # класс доступа 123 в

Маршрутизатор (строка конфигурации) # CTRL-Z

Этот расширенный список контроля доступа также создан для проверки пакетов с IP-адреса. как указать , какой тип пакета проверяется на соответствие.В этом примере мы выбрали для просмотра TCP-пакеты с целевым портом 23, который используется для Telnet. Мы по-прежнему выбрали ведение журнала, но вариант немного другой.

На этом этапе вы должны понять ключевые различия между стандартными и расширенными ACL. Если у вас все еще есть вопросы и вы хотите узнать больше, посетите http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a00801a1a55.shtml для получения дополнительной информации.

Если вы хотите запретить все подключения Telnet к маршрутизатору, вы можете полностью отключить маршрутизатор.В этот момент вы застрянете с набором номера к модему через защищенный порт AUX, который вы настроили ранее в этой главе в качестве решения для внеполосного администрирования. Рассмотрим следующий код, он должен выглядеть знакомо, но в нем есть определенные элементы, которые имеют отношение к VTY, о которых мы говорили:

Router # configure terminal

Router (config) # line vty 0 4

Маршрутизатор (строка конфигурации) # локальный вход в систему

Маршрутизатор (строка конфигурации) # no exec

Маршрутизатор (строка конфигурации) # время ожидания выполнения 0 1

Router (config-line) # tranport input none

Router (config-line) # CTRL-Z

Router # copy running-config startup-config

Инструменты и Ловушки…

SSH на сетевых устройствах Cisco

Многие клиенты, для которых я проводил оценку компьютерных сетей, приводили мне причины не использовать SSH для удаленного входа в свои маршрутизаторы и коммутаторы.Я понимаю, что не использую SSH, когда клиент планирует обновить свое оборудование для поддержки набора функций IOS. В этой связи я много раз указывал людям, что они воспользуются преимуществами сетевой защиты, купив и добавив набор функций IOS в свой арсенал оборудования. И я никогда не мог понять, когда эти пользователи все еще не пытаются использовать SSH для настройки своих маршрутизаторов или коммутаторов.

Если вы один из этих людей, я сейчас продемонстрирую, насколько легко настроить SSH.Первый шаг заключается в том, чтобы убедиться, что ваша платформа маршрутизатора поддерживает SSH для входа в систему. (Не все из них. Маршрутизатор 2524, описанный в этой главе, не может использовать SSH или другие безопасные системы управления.) Чтобы настроить маршрутизатор на монопольный SSH без доступа Telnet и установить двухминутный тайм-аут, используйте следующий код:

Router # configure terminal

Router (config) # hostname ACMERTR

ACMERTR (config) # ip domin-name mycorp.com

ACMERTR (config) # crypto key generate rsa

Имя ключей будет: ACMERTR

Выберите размер модуля ключа в диапазоне от 360 до 2048 для вашего Ключи общего назначения. Выбор модуля ключа больше 512 может занять несколько минут

Сколько битов в модуле [512] 2048

Генерация ключей RSA…

[OK]

ACMERTR (config) # ip ssh time-out 120

ACMERTR (config) # ip ssh authentication-retires 2

ACMERTR (config) # service tcp-keepalives-in

ACMERTR (config) # line vty 0 4

ACMERTR (config-line) # транспортный вход ssh

ACMERTR (config-line) # CTRL-Z

ACMERTR # copy running-config startup-config

Чтобы настроить маршрутизатор для обработки SSH и Telnet через линии виртуального терминала, используйте следующую команду:

ACMERTR (config-line) # транспортный ввод ssh telnet

То, что стоит за транспортной командой, сообщает IOS, где ожидать данные интерактивной команды и в какой форме или по протоколу.Можно использовать ряд протоколов, таких как rlogin или PAD, но наиболее распространенными из них, которые вы можете ожидать, являются протоколы SSH (порт 22) и Telnet (используя порт 23). Когда вы указываете оператор transport input в подкоманде config-line , вы сообщаете маршрутизатору, как обрабатывать ввод и какой порт следует использовать для связи. В наши дни устаревшие маршрутизаторы, не поддерживающие SSH, должны быть заменены, но в крайнем случае, когда замена нецелесообразна, вы можете использовать ACL для защиты доступа Telnet, особенно если вы регистрируете как успешные, так и неудачные попытки входа в систему.

Прежде чем мы перейдем к следующему разделу главы, нам нужно обсудить, как устанавливать баннеры на устройствах Cisco. Вы можете использовать баннеры, чтобы предупреждать людей о том, что означает их вход в систему, а также о любых связанных с этим ограничениях конфиденциальности. Баннеры должны быть явными по своему назначению, но также иметь юридическую силу. При написании баннерного сообщения есть некоторые подводные камни, о которых вам следует знать.

Баннеры раньше назывались «приветственными» сообщениями для всех, кто вошел в систему. Это больше не так, потому что слишком многие сетевые злоумышленники подготовили свою юридическую защиту на том основании, что они «… приветственное сообщение на странице входа.… »Пожалуйста, проконсультируйтесь с юридическими ресурсами, доступными для организации-клиента или вашей компании, когда вы разрабатываете свои предупреждающие сообщения, чтобы убедиться, что они содержат соответствующий язык и непреднамеренно не дают« отпор »преступникам и их умелой правовой защите. команды.

Вот как вы можете добавить сообщение-баннер для входа в ваш маршрутизатор Cisco. Старайтесь не включать идентифицирующие функции или местоположения, так как это может дать кому-то, у кого на уме шалость, несколько дополнительных подсказок относительно устройства и защиты вашего сетевого устройства.Баннер должен быть простым и быстрым для чтения, поскольку он будет появляться каждый раз, когда пользователь пытается войти в маршрутизатор.

ACMERTR # настроить терминал

ACMERTR (config) # banner login $

Введите ТЕКСТОВОЕ сообщение. Заканчивайте символом «$».

******************************************** *****************************

Внимание! Данное устройство является частной собственностью.

Несанкционированное использование запрещено согласно законам штата и федеральным законам.

Любой доступ к этому устройству подлежит мониторингу, регистрации, отслеживанию и расследованию.

Неправильное использование может быть наказано в максимальной степени, разрешенной законом.

******************************************** *********************************

.

$

ACMERTR (config) # CTRL-Z

Router # copy running-config startup-config

Вы также должны иметь возможность отслеживать, когда люди входят в систему ваш маршрутизатор или не может войти в систему, и сообщить об этих событиях на сервер системного журнала.

Интерфейс Ethernet

 # ip link добавить мост типа br0
# ip link set eth0 master br0
# ip link set tap1 master br0
# ip link set tap2 master br0
# ip link set veth2 master br0
 

 ip link добавить bond1 type bond miimon 100 mode active-backup
набор IP-ссылок eth0 master bond1
набор IP-ссылок eth2 master bond1
 

 # teamd -o -n -U -d -t team0 -c '{"runner": {"name": "activebackup"}, "link_watch": {"name": "ethtool"}}'
# ip link отключил eth0
# ip link отключил eth2
# teamdctl team0 порт добавить eth0
# teamdctl team0 порт добавить eth2
 

 # ip link добавить ссылку eth0 name eth0.2 type vlan id 2
# ip link добавить ссылку eth0 name eth0.3 type vlan id 3
 

 # ip link add vx0 type vxlan id 100 local 1.1.1.1 remote 2.2.2.2 dev eth0 dstport 4789
 

 # ip link add macvlan1 link eth0 type macvlan mode bridge
# ip link добавить ссылку macvlan2 eth0 тип мост в режиме macvlan
# ip netns добавить net1
# ip netns добавить net2
# ip link set macvlan1 netns net1
# ip link set macvlan2 netns net2
 

 # ip netns добавить ns0
# ip ссылка добавить имя ipvl0 ссылка eth0 тип ipvlan mode l2
# ip link set dev ipvl0 netns ns0
 

 # ip link добавить ссылку eth0 имя macvtap0 type macvtap
 

 # ip link добавить macsec0 ссылку eth2 type macsec
 

 # ip netns добавить net1
# ip netns добавить net2
# ip link add veth2 netns net1 type veth peer name veth3 netns net2
 

 # ip link add dev vcan1 type vcan
 

 # ip netns добавить net1
# ip netns добавить net2
# ip link add vxcan1 netns net1 type vxcan peer name vxcan2 netns net2
 

 # ip link добавить имя ib0 ipoib0 тип ipoib pkey Режим IB_PKEY подключен
 

 # ip link add nlmon0 type nlmon
# ip link set nlmon0 up
# tcpdump -i nlmon0 -w nlmsg.pcap
 

 # ip link добавить dummy1 type dummy
# ip addr add 1.1.1.1/24 dev dummy1
# ip link set dummy1 up
 

 # ip ссылка добавить ifb0 type ifb
# установка IP-ссылки ifb0 up
# tc qdisc add dev ifb0 root sfq
# tc qdisc add dev eth0 handle ffff: ingress
# tc filter add dev eth0 parent ffff: u32 match u32 0 0 action mirred egress redirect dev ifb0
 

 # ip link add dev sim0 type netdevsim
# ip link set dev sim0 up
 

 # ethtool -K sim0 hw-tc-offload on
 

 # ip link set dev sim0 xdpoffload obj prog.о
 

 # эхо 3> / sys / class / net / sim0 / device / sriov_numvfs
# ip link set sim0 vf 0 mac
 

 # эхо 0> / sys / class / net / sim0 / device / sriov_numvfs
# эхо 5> / sys / class / net / sim0 / device / sriov_numvfs
 

  ip а
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка / петля 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00
    inet 127.0.0.1/8 область видимости хоста lo
       valid_lft навсегда предпочтительный_lft навсегда
    inet6 :: узел области 1/128
       valid_lft навсегда предпочтительный_lft навсегда
2: enp0s25:  mtu 1500 qdisc noqueue state UP группа по умолчанию qlen 1000
    ссылка / эфир 00: 16: 3e: e2: 52: 42 brd ff: ff: ff: ff: ff: ff ссылка-netnsid 0
    инет 10.102.66.200 / 24 brd 10.102.66.255 область глобального динамического eth0
       valid_lft 3257sec предпочтительный_lft 3257sec
    inet6 fe80 :: 216: 3eff: fee2: 5242/64 ссылка области
       valid_lft навсегда предпочтительный_lft навсегда
  

  sudo lshw -класс сеть
  *-сеть
       описание: интерфейс Ethernet
       продукт: MT26448 [ConnectX EN 10GigE, PCIe 2.0 5GT / s]
       поставщик: Mellanox Technologies
       физический идентификатор: 0
       информация по автобусу: pci @ 0004: 01: 00.0
       логическое имя: eth5
       версия: b0
       серийный: e4: 1d: 2d: 67: 83: 56
       слот: U78CB.001.WZS09KB-P1-C6-T1
       размер: 10 Гбит / с
       емкость: 10 Гбит / с
       ширина: 64 бита
       часы: 33 МГц
       возможности: pm vpd msix pciexpress bus_master cap_list физическое волокно Ethernet 10000bt-fd
       конфигурация: автосогласование = выключено широковещание = да драйвер = mlx4_en driverversion = 4.0-0 дуплекс = полная прошивка = 2.9.1326 ip = 192.168.1.1 задержка = 0 канал = да многоадресная передача = да порт = скорость волокна = 10 Гбит / с
       ресурсы: iomemory: 24000-23fff irq: 481 память: 3fe200000000-3fe2000fffff память: 240000000000-240007ffffff
  

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    eth_lan0:
      dhcp4: правда
      матч:
        macaddress: 00: 11: 22: 33: 44: 55
      имя-набора: eth_lan0
  

  судо ethtool eth5
Настройки для eth5:
    Поддерживаемые порты: [FIBER]
    Поддерживаемые режимы связи: 10000baseT / Full
    Поддерживаемое использование кадра паузы: Нет
    Поддерживает автосогласование: Нет
    Поддерживаемые режимы FEC: не сообщается
    Рекламируемые режимы связи: 10000baseT / Full
    Объявленное использование кадра паузы: Нет
    Объявленное автосогласование: Нет
    Объявленные режимы FEC: не сообщается
    Скорость: 10000 Мб / с
    Дуплекс: Полный
    Порт: ВОЛОКНО
    PHYAD: 0
    Трансивер: внутренний
    Автосогласование: выключено
    Поддерживает пробуждение: d
    Пробуждение: d
    Текущий уровень сообщения: 0x00000014 (20)
                   ссылка ifdown
    Ссылка обнаружена: да
  

  sudo ip addr add 10.102.66.200/24 ​​dev enp0s25
  

  набор IP-ссылок dev enp0s25 up
ip link установить dev enp0s25 вниз
  

  ip-адрес показать dev enp0s25
10: enp0s25:  mtu 1500 qdisc noqueue state UP группа по умолчанию qlen 1000
    ссылка / эфир 00: 16: 3e: e2: 52: 42 brd ff: ff: ff: ff: ff: ff ссылка-netnsid 0
    инет 10.102.66.200 / 24 brd 10.102.66.255 область глобального динамического eth0
       valid_lft 2857sec предпочтительный_lft 2857sec
    inet6 fe80 :: 216: 3eff: fee2: 5242/64 ссылка области
       действительный_lft навсегда предпочтительный_lft навсегда6
  

  sudo ip route добавить значение по умолчанию через 10.102.66.1
  

  ip маршрут показать
по умолчанию через 10.102.66.1 dev eth0 proto dhcp src 10.102.66.200 metric 100
Ссылка на область видимости ядра 10.102.66.0/24 dev eth0 proto src 10.102.66.200
10.102.66.1 dev eth0 proto dhcp scope ссылка src 10.102.66.200 метрика 100
  

  сервер имен 8.8.8.8
сервер имен 8.8.4.4
  

  очистка IP-адреса eth0
  

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    enp3s0:
      dhcp4: правда
  

  sudo netplan применить
  

Чтобы настроить вашу систему на использование статического назначения адресов, создайте конфигурацию netplan в файле / etc / netplan / 99_config.yaml . В приведенном ниже примере предполагается, что вы настраиваете свой первый интерфейс Ethernet, идентифицированный как eth0 . Измените значения для адресов , , шлюза , и серверов имен в соответствии с требованиями вашей сети.

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    eth0:
      адреса:
        - 10.10.10.2/24
      шлюз4: 10.10.10.1
      серверы имен:
          поиск: [mydomain, otherdomain]
          адреса: [10.10.10.1, 1.1.1.1]
  

Затем конфигурацию можно применить с помощью команды netplan.

  sudo netplan применить
  

Петлевой интерфейс

Интерфейс обратной связи определяется системой как lo и имеет IP-адрес по умолчанию 127.0.0.1. Его можно просмотреть с помощью команды ip.

  ip-адрес показать lo
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    ссылка / петля 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00
    инет 127.0.0.1 / 8 объем хоста lo
       valid_lft навсегда предпочтительный_lft навсегда
    inet6 :: узел области 1/128
       valid_lft навсегда предпочтительный_lft навсегда
  

Имя Разрешение

Разрешение имен применительно к IP-сети — это процесс сопоставления IP-адресов с именами хостов, что упрощает идентификацию ресурсов в сети. В следующем разделе объясняется, как правильно настроить вашу систему для разрешения имен с использованием DNS и статических записей имен хостов.

Конфигурация DNS-клиента

Традиционно файл / etc / resolv.conf был статическим файлом конфигурации, который редко нужно было изменять или автоматически изменять с помощью клиентских хуков DCHP. Systemd-resolved обрабатывает конфигурацию сервера имен, и с ним следует взаимодействовать с помощью команды systemd-resolve . Netplan настраивает systemd-resolved для генерации списка серверов имен и доменов для помещения в /etc/resolv.conf , который является символической ссылкой:

  /etc/resolv.conf -> ../run/systemd/resolve/stub-resolv.conf
  

Чтобы настроить преобразователь, добавьте IP-адреса серверов имен, которые подходят для вашей сети, в файл конфигурации netplan.Вы также можете добавить дополнительные списки поиска суффиксов DNS, чтобы они соответствовали вашим сетевым доменным именам. В результате файл может выглядеть следующим образом:

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    enp0s25:
      адреса:
        - 192.168.0.100/24
      шлюз4: 192.168.0.1
      серверы имен:
          поиск: [mydomain, otherdomain]
          адреса: [1.1.1.1, 8.8.8.8, 4.4.4.4]
  

Опция search также может использоваться с несколькими доменными именами, чтобы DNS-запросы добавлялись в том порядке, в котором они были введены.Например, в вашей сети может быть несколько поддоменов для поиска; родительский домен example.com и два субдомена: sales.example.com и dev.example.com .

Если у вас есть несколько доменов, которые вы хотите найти, ваша конфигурация может выглядеть следующим образом:

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    enp0s25:
      адреса:
        - 192.168.0.100/24
      шлюз4: 192.168.0.1
      серверы имен:
          поиск: [example.com, sales.example.com, dev.example.com]
          адреса: [1.1.1.1, 8.8.8.8, 4.4.4.4]
  

Если вы попытаетесь проверить связь с хостом с именем server1 , ваша система автоматически запросит у DNS его полное доменное имя (FQDN) в следующем порядке:

1. server1.example.com

2. server1.sales.example.com

3. server1.dev.example.com

Если совпадений не найдено, DNS-сервер выдаст результат notfound и запрос DNS завершится ошибкой.

Статические имена хостов

Статические имена хостов — это локально определенные сопоставления имени хоста-IP, расположенные в файле / etc / hosts . Записи в файле hosts по умолчанию будут иметь приоритет над DNS. Это означает, что если ваша система пытается разрешить имя хоста, и оно соответствует записи в / etc / hosts, она не будет пытаться найти запись в DNS.В некоторых конфигурациях, особенно когда доступ в Интернет не требуется, серверы, которые обмениваются данными с ограниченным количеством ресурсов, могут быть удобно настроены на использование статических имен хостов вместо DNS.

Ниже приведен пример файла hosts , в котором ряд локальных серверов идентифицирован простыми именами хостов, псевдонимами и их эквивалентными полными доменными именами (FQDN).

  127.0.0.1 локальный хост
127.0.1.1 ubuntu-сервер
10.0.0.11 server1 server1.example.com vpn
10.0.0.12 server2 server2.example.com почта
10.0.0.13 server3 server3.example.com www
10.0.0.14 server4 server4.example.com файл
  

Примечание

В приведенном выше примере обратите внимание, что каждому из серверов были присвоены псевдонимы в дополнение к их собственным именам и полному доменному имени. Server1 был сопоставлен с именем vpn , server2 упоминается как mail , server3 как www , а server4 как файл .

Конфигурация коммутатора службы имен

Порядок, в котором ваша система выбирает метод преобразования имен хостов в IP-адреса, контролируется файлом конфигурации переключателя службы имен (NSS) /etc/nsswitch.conf . Как упоминалось в предыдущем разделе, обычно статические имена хостов, определенные в файле system / etc / hosts , имеют приоритет над именами, разрешенными из DNS. Ниже приведен пример строки, отвечающей за этот порядок поиска имени хоста в файле / etc / nsswitch.conf .

  хосты: файлы mdns4_minimal [NOTFOUND = return] dns mdns4
  

• файлов сначала пытается разрешить статические имена хостов, расположенные в / etc / hosts .

• mdns4_minimal пытается разрешить имя с помощью многоадресного DNS.

• [NOTFOUND = return] означает, что любой ответ notfound предшествующим процессом mdns4_minimal должен рассматриваться как авторитетный и что система не должна пытаться продолжить поиск ответа.

• dns представляет собой устаревший одноадресный DNS-запрос.

• mdns4 представляет многоадресный DNS-запрос.

Чтобы изменить порядок вышеупомянутых методов разрешения имен, вы можете просто изменить строку hosts: на значение по вашему выбору. Например, если вы предпочитаете использовать устаревший Unicast DNS вместо Multicast DNS, вы можете изменить строку в /etc/nsswitch.conf , как показано ниже.

  хосты: файлы dns [NOTFOUND = return] mdns4_minimal mdns4
  

Перемычка

Мостовое соединение нескольких интерфейсов — это более сложная конфигурация, но она очень полезна во многих сценариях. Один из сценариев — это установка моста с несколькими сетевыми интерфейсами, а затем использование брандмауэра для фильтрации трафика между двумя сегментами сети. Другой сценарий — использование моста в системе с одним интерфейсом, чтобы позволить виртуальным машинам прямой доступ к внешней сети.В следующем примере рассматривается последний сценарий.

Настройте мост, отредактировав конфигурацию вашего netplan, находящуюся в / etc / netplan / :

  сеть:
  версия: 2
  рендерер: networkd
  Ethernet:
    enp3s0:
      dhcp4: нет
  мосты:
    br0:
      dhcp4: да
      интерфейсы:
        - enp3s0
  

Примечание

Введите соответствующие значения для вашего физического интерфейса и сети.

Теперь примените конфигурацию для включения моста:

  sudo netplan применить
  

Теперь новый интерфейс моста должен быть запущен и запущен.Brctl предоставляет полезную информацию о состоянии моста, контролирует, какие интерфейсы являются частью моста, и т. Д. См. man brctl для получения дополнительной информации.

networkd-диспетчер для скриптов pre-up, post-up и т. Д.

Пользователи бывшего ifupdown могут быть знакомы с использованием сценариев ловушек (например, pre-up, post-up и т. Д.) В своих файлах интерфейсов. Конфигурация Netplan в настоящее время не поддерживает сценарии ловушки в своем определении конфигурации.

Вместо того, чтобы реализовать эту функциональность с помощью сетевого рендерера , пользователи могут использовать networkd-dispatcher.Пакет предоставляет пользователям и пакетам точки подключения при достижении определенных состояний сети, чтобы помочь в реагировании на состояние сети.

Примечание. Если не на Ubuntu Server, а на рабочем столе, сеть управляется Network Manager — в этом случае вам понадобятся сценарии NM Dispatcher.

В FAQ Netplan есть отличная таблица, в которой сравнивается время событий между ifupdown / systemd-networkd / network-manager

Важно знать, что эти перехватчики работают асинхронно; то есть они не будут блокировать переход в другое состояние.

В FAQ по Netplan также есть пример преобразования старого хука ifupdown в networkd-dispatcher .

Ресурсы

yang / ieee802-ethernet-interface.yang at master · YangModels / yang · GitHub