Время на прочтение
15 мин
Количество просмотров 43K
Приветствую, аудитория Хабра. За отсутствием комплексного материала по теме Cisco Certified Network Associate (CCNA) , хочу поделиться опытом освоения профессии сетевого инженера. Если кому-то опыт окажется полезным, значит я старался не зря.
Цель статьи: актуализация информации по текущему треку CCNA 200-301, как подготовиться и на чем учиться, а так же подсказать вектор развития будущему инженеру и попробовать ответить на вопрос: Нужен ли тебе CCNA?
Статья будет активно обновляться. Проверяйте раздел Обновления.
Немного о том, кто я такой. Работаю сетевым инженером в государственной компании. Наша сеть построена на коммутаторах Cisco. Пришел на позицию младшего админа из инженера проектировщика. За четыре года поднабрался опыта и определился с вектором развития. Пройти именно CCNA меня побудило любопытство, отсутствие базового каркаса по сетевым технологиям и текущие рабочие задачи.
За время подготовки к экзамену у меня накопилась некоторая экспертиза, как сейчас модно говорить, посему, хочу поделиться ей с вами и разжечь потухшее пламя обозначенной темы.
Текст навеян мыслями «вдруг это еще кому-то пригодится и человеку не придется тратить кучу времени, чтобы собрать все кусочки информации в одно целое» ,а так же благодаря заметке Дмитрия Бубнова.
В чем отличия моего взгляда на тему:
-
Дмитрий уже имел опыт работы с сетями (5+ лет и являлся тренером Mikrotik)
-
Сдавал CCNA до обновления трека в 2020 г.
Я сетями увлекся не так давно (около года назад), поэтому статья может помочь тем, кто еще в самом начале пути и не успел понять за что хвататься и в каком порядке.
Оглавление
-
О чем
-
Как готовиться
-
Как учиться
-
-
Что учить
-
Англоязычные ресурсы
-
Русскоязычные ресурсы
-
Где брать материалы
-
Как попробовать экзамен
-
-
Как поднять лабораторию
-
Как сдаваться
-
После сертификации
-
Повторная сертификация
-
-
Реалии РФ
-
Итоги и размышления
-
Обновления
-
Благодарности
О чем
Историческая справка: Раньше CCNA делился на два трека, ICND1 и ICND2. Экзамен назывался: CCNA Routing&Switching 200-125. Не стану углубляться в старый экзамен, сразу перейдем в настоящее. В 2020 году Cisco выкатила глобальный апдейт экзаменационного трека, взяв основные темы из старого трека, кое-что выкинула, кое-что добавила и мы получили единый CCNA 200-301.
Прежде чем мы рассмотрим основные изменения, позволю себе еще одно лирическое отступление. Новый CCNA позиционируется как фундамент или ступенька, если хотите, с которой вы выйдите на Professional Level (CCNP etc.), имея представление о широком спектре концепций и технологий. Ниже таблица с официального сайта Cisco, иллюстрирующая все имеющиеся сертификации.
Лайфхак: Теперь не обязательно сдавать CCNA, чтобы сдать CCNP. Если чувствуете потребность прыгнуть сразу в CCNP, вы можете без проблем это сделать.
С лирикой точно закончили, теперь пройдемся по изменениям:
Экзамен Cisco 200-125 длился 90 минут и включал от 60 до 70 вопросов. Что касается Cisco 200-301, нам дают 150 минут (в них входит +30 мин. за неродной английский), чтобы осилить около 100 вопросов.
Форматы вопросов:
-
multiple-choice single answer – you need to choose only a single correct answer:
-
multiple-choice multiple answer – you need to choose multiple answers:
-
drag-and-drop – you need to drag and drop items to the proper categories:
Лабораторные сценарии из экзамена убрали. Максимум, с чем придется встретиться, это описание сценария + пример топологии, но это будет вопрос из разряда multiple-choice multiple/single answer.
Проходной балл составляет от 800 до 850 баллов из 1000.
Стоимость экзамена — 300$ (при переводе на текущий курс ~ 26тыс руб.)
Заметка: Подсчет баллов не так прост, каждый вопрос имеет разный вес, что, в конечном итоге, определяет процент, отведенный на каждый из них. Подвох в том, что вы никогда не узнаете сколько баллов приносит тот или иной вопрос. Поэтому готовиться надо ко всему и сразу.
Так же, с недавних пор, Cisco не показывает вам полученный балл, все, что вы увидите после завершения экзамена в графе «Grade», это: Pass/Fail.
Теперь к вопросам: перелопатили экзаменационные блоки, что было раньше:
-
15% Network Fundamentals
-
21% LAN Switching Technologies
-
23% Routing Technologies
-
10% WAN Technologies
-
10% Infrastructure Services
-
11% Infrastructure Security
-
10% Infrastructure Mgt
Как это выглядит сейчас:
-
20% Network Fundamentals
-
20% Network Access
-
25% IP Connectivity
-
10% IP Services
-
15% Security Fundamentals
-
10% Automation and Programmability
Добавленные темы
-
Основы работы с сетью — маршрутизаторы, кабели, коммутаторы IPv4 и IPv6, TCP и UDP
-
Подключение по IP — OSPFv2, IP-маршрутизация
-
IP-службы — SNMP, NTP, DHCP, QoS
-
Безопасность Основы — беспроводная безопасность, VPN, безопасность портов
-
Доступ к сети — сети VLAN, а также транкинг, EtherChannel
-
Автоматизация и программируемость — Chef, Puppet, REST API, JSON, SDN
Удаленные темы
-
Основы сети — модель OSI
-
Коммутация LAN — VTP, кадр, стек коммутатора
-
Маршрутизация — EIGRP, OSPFv3, RIPv2, маршрутизация между VLAN
-
WAN — PPP, PPPoE, MLPPP , GRE, BGP, доступ к WAN
Полный список тем можно посмотреть на оф. сайте Cisco, тут
Как готовиться
Тут все и просто и сложно одновременно. Я пошел простым путем и заплатил учебному центру за дипломную программу. Поступил я так из собственных соображений, а именно:
-
Пришел в IT из инженера проектировщика, хотелось иметь на руках некоторые бумажные «пруфы», что я перепрофилировался.
-
Было плохо с общим пониманием происходящего, нужна была структурированная подача материала.
-
Давали аккаунт в Netacad Cisco на все треки курса (их три части)
-
Ваучер на сдачу CCNA
Для начала, необходимо понять с чем предстоит столкнуться. Советую пройти вот этот короткий курс с канала NetSkills Курс молодого бойца. Окунуться сразу в практику. Каждое видео начинается с небольшой вводной теории, затем практическая лабораторная. Курс покрывает основные технологии, которые вы точно встретите в CCNA и в дальнейшей практике. Как дополнительный плюс, познакомитесь с IOS Cisco, посмотрите на разные типы устройств, как выглядит основной инструмент — симулятор Packet Tracer (PT).
Лайфхак: Packet Tracer бесплатен, предоставляется в рамках бесплатного курса (нужно предварительно пройти регистрацию аккаунта в netacad) https://www.netacad.com/courses/packet-tracer/introduction-packet-tracer
Я придерживался следующей стратегии при подготовке:
-
Учить английский в процессе, у меня он был весьма слаб, а экзамен полностью англоязычный.
-
Использовать несколько ресурсов для подготовки, чтобы перекрывать максимум деталей по темам.
-
Packet Tracer, в нем удобный модуль симуляции трафика и приличный набор симулированного функционала реальных железок (с недостатками, но несущественными на старте), начать можно с него, проще для освоения и понимания базовых вещей.
-
eve-ng/pnet эмулятор для создания более сложных топологий, на него можно пересесть когда поймете базу в PT + попробуете базово разобраться с linux.
-
Флеш-карточки Anki на разные темы экзамена. Помогает освежить в памяти более точную инфу, такую как «виртуальный MAC HSRP».
Как учиться
Перед тем как мы продолжим, хочу затронуть важную тему в самостоятельном обучении — подходы к обучению.
Вам придется сохранять мотивацию на протяжении всего времени (от 2 до 6 месяцев), которое уйдет на подготовку. Подключим к нашему обучению элемент планирования.
-
оцените сколько времени вы готовы потратить на подготовку
-
когда вы будете учиться
-
где вам комфортней учиться
-
что нужно для учебы/выполнения лабораторных. (Скачать Packet Tracer, подобрать литературу и т.п)
-
подумать о своих целях: зачем Вам это нужно и что это Вам даст. Это позволит не терять мотивацию по ходу подготовки
Обязательно попробуйте найти группы единомышленников, где люди проходят тот же путь. Так же есть группы, где вам, в свободное время, могут помочь действующие инструктора или люди, кто уже прошли этот путь. Готовиться в подходящем окружении поможет быстрее пройти сложные моменты и поддержать вашу мотивацию. Иначе это можно назвать активным обучением. Подробнее можно почитать тут. (Обратите внимание на блок-схему в конце)
Каждый человек учится по своему, вместо пассивного изучения материала, рекомендую попробовать делать заметки. Подробнее об этом можно почитать тут.
Если заметки не ваше, попробуйте делать короткие ревью в блоге, вести список задач (по типу ToDo), делать mindmap, если захотите совместить подходы, попробуйте Notion или, если важен момент self-hosted, Obsidian.
Я делал несколько постов в блоге на тему тайм-менеджмента и обучения: часть 1, часть 2, часть 3.
Правильного пути «как правильно учиться» нет, ищите тот вариант, который подходит именно вам.
Что учить
Тут хочу выделить две основные категории: русскоязычный контент и зарубежный.
Первый подойдет тем, кто еще не совсем подружился с английским языком, второй, соответственно, тем, кто уже понял, что информации на русском катастрофически мало.
Совет: Крайне рекомендую отринуть страх и сомнения на счет языкового барьера, даже если вы будете работать только на отечественном рынке, лучше не отказываться от идеи сделать английский язык своим другом.
Англоязычные ресурсы
Хорошим выбором может стать курс от Нила Андерсона, так же на Udemy
В статье Дмитрия есть ссылка на книгу от того же автора, где подробно описаны лабораторные, которые можно собрать в PT. Можно попробовать в связке с курсом.
Если в каких-то темах не хватит информации, можно обратиться за курсами к CBT Nuggets, много хвалебных отзывов. Я целиком не впитывал, оттуда знаю только Кейта Баркера, его youtube канал — кладезь информации. Интересная подача, квизы, лабораторные. Уже должно хватить с головой.
Если считаете, что все еще мало информации (в рамках CCNA само собой) то вам прямо в CCNA 200-301 Official Cert Guide, Volume 1/2 by Wendell Odom
Лайфхак: Если с английским, на текущий момент, плохо, можете брать Official Cert Guide предыдущей редакции (есть на русском) и читать их параллельно с новым. Различия есть, но основной текст идентичен в большинстве тем, не считая добавленных новых. Заодно поймете, почему готовиться только по переведенным книгам — плохо.
Если и там что-то осталось непонятно, то предпоследняя остановка перед страшными RFC — CCNA Certification Study Guide Volume 2 Exam 200 301 by Todd Lammle
Совет: RFC (Request for Comments) — ваш постоянный спутник в мире сетевых технологий. Советую начать к нему привыкать. RFC содержит технические спецификации и стандарты по различным технологиям широко применяемых в Интернете.
Выше я писал про flash карточки Anki, их можно найти на канале Jeremy подписавшись на рассылку. Карточки + лабораторные придут на почту. Так же можно обратиться к его видео по CCNA, сухие факты, минимум воды, в конце каждого видео закрепляющие вопросы. (курс в процессе написания)
Русскоязычные ресурсы
Проект Иннокентия Солнцева — NetworkEducation, о котором писал Дмитрий, все еще полезен и актуален. Материалы все так же предоставляются по месячной подписке. Однозначно стоят своих денег.
Лайфхак: Чат внизу страницы очень даже рабочий, вы можете задать вопрос (слишком уж простых задавать не стоит, много информации можно найти за пару минут в любом удобном поисковике) и вам обязательно ответят.
Сети для самых маленьких, куда ж без них. Лучший способ понять, как же все может строиться в реальном мире (или достаточно близко к нему). К ним подходите осторожно, сложность материала растет постепенно, но не заметите как уже зависли на задачках по OSPF от Наташи Самойленко
Блог сетевика Андрея, неожиданная находка, помогло с освоением EVE-NG, советую изучить подробнее, есть не только выкладки по CCNA (пусть и старой редакции) но и по другим вещам. Большое спасибо, Андрей, за блог. Надеюсь, ты не забросишь свое дело.
Бонус: Отдельно хочу познакомить вас с циклом «Собес» от команды linkmeup, мне помогло прогнать несколько поведенческих страхов и понять концепцию собеседования с технической стороны.
Ну и ознакомьтесь с остальными подкастами. Много полезного и интересного.
Где брать материалы
Есть много вариантов, все перечислять, пожалуй, не этично. Самый простой — купить. Вариант попроще — пользоваться сообществами в Telegram. Можете сходить в библиотеку Дмитрия. Все необходимое для подготовки, можно найти в моей группе в телеграм, по хэштегу #ccna и #eve_ng.
Как попробовать экзамен
Элемент подготовки к экзаменационному окружению так же имеет некоторый вес, что греха таить, экзамен, который нас ждет, это тест. Если вы давно не сдавали подобного рода экзамены, то словите некоторый стресс, к этому нужно быть готовым. В наших силах несколько нивелировать этот элемент экзамена. Есть следующие варианты:
-
Тестовый экзамен Cisco, стоит 79$, посоветовать не могу, не пробовал проходить
-
Примеры тестов по экзаменационным вопросам на Udemy, один из примеров.
-
Поискать в интернете подборки вопросов и попробовать отвечать в рамках определенного таймера. (Подробнее ниже в цитате из комментариев)
-
И последний пункт, который я вам не рекомендую, но должен о нем упомянуть, чтобы предостеречь от возможных последствий. Так называемые «дампы», сборники вопросов с реального экзамена. За определенную цену вам скидывают банк вопросов с ответами.
Важно: Если, со стороны Cisco, вы будете уличены в использовании «дампов», ваш экзамен аннулируют и вы попадете в черный список, что закроет вам пути по сертификационным трекам Cisco насовсем.
Насильно никто вычислять не станет, конечно, таких, как вы, тысячи. Но если решились, то на свой страх и риск.
Со свой стороны добавлю, важно усвоить материал, а не просто получить лычку. Не создавайте проблем себе будущему. Ему не понравится, поверьте.
@zipo
Со своей стороны могу посоветовать достаточно хороший тестовый движек, для проверки своих знаний и «погружению» в атмосферу экзамена: https://loorex.com/Для него можно много разных тестов найти, профильных и не только, для 200-301 тоже находится: https://onlinetestcentre.com/200-301.html
Как поднять лабораторию
Заметка: Для сдачи CCNA вполне достаточно и Packet Tracer, лабораторные в VIRL/GNS3/EVE-NG etc, будут более актуальны в треке CCNP и выше. Поэтому данный раздел рекомендуется к ознакомлению только при наличии желания и времени.
Вопрос комплексный, есть несколько ресурсов, которые помогут это сделать from zero to hero, я использовал два: первый и второй. Даже при наличии более простого способа, о котором ниже, с первым ресурсом настоятельно рекомендую ознакомиться перед стартом, а второй использовать уже по ходу работы.
Со своей стороны хочу предложить вариант, как я уже сказал выше, попроще, который не потребует особого знания Linux на старте и позволит вам сразу начать строить вещи посложнее, чем в PT.
Речь пойдет о PnetLab, собранном на основе eve-ng. Инструкцию и образ забираем тут
Материалы по подготовке лабораторного стена выложил в своем небольшом канале в Телеграм, искать по хэштеку #ccna.
Коротко, что такое PNETLab (Packet Network Emulator Tool Lab) — платформа, позволяющая загружать и делиться лабораториями с сообществом. Включает в себя PNETLab Box и PNETLab Store.
-
PNETLab Box (с двумя режимами: Offline и Online) — виртуальная машина в которой мы строим и используем свои топологии, храним лабы и образы.
-
PNETLab Store — это веб-платформа с сотнями бесплатных лабораторий по сетям, базам данных и т.п. Все, что вам нужно сделать, это загрузить лабораторную и посмотреть образы, которые в ней используются.
После установки, открываем лабу и работаем, ничего дополнительно делать не нужно, в большинстве случаем, все работает «из коробки».
Лайфхак: Отдельно хочу отметить темы экзамена, связанные с DNA центром. По ссылке ниже вы найдете полностью функциональную лабораторную, можно воочию посмотреть, что такое DNA от Cisco.
DNA Center Always On Lab
https://sandboxdnac.cisco.com/
Username: devnetuser
Password: Cisco123!
Как сдаваться
Экзамен сдается в авторизованных центрах Pearson VUE. Они есть в каждом крупном городе. В условиях COVID-19 активно продвигается возможность сдать дома или в офисе. Нужна веб-камера, подготовленный компьютер и помещение, а так же, вам будет предоставлен специальный человек — проктор. Он будет с вами на протяжении всего экзамена.
Вне зависимости от выбранного способа, оформляетесь на сайте Pearson VUE, экзамен оплачиваете и применяете ваучер (если есть) там же. Место, где сдается экзамен, не должно с вас брать ни копейки.
Пара слов о регистрации на Pearson VUE, она там не совсем очевидна.
Создаем аккаунт на Pearson VUE
Заходит на сайт по ссылке выше и в указанном поле ищем Cisco Systems
Далее, Create account
Соглашаемся с политикой конфиденциальности и попадаем в следующее окно, далее следует пояснить пару важных моментов:
-
Пункты 1, 3, 5 можно не заполнять
-
Важно заполнить пункт 2 и 4 в точности как в вашем втором документе, который планируете брать (подробнее об этом ниже)
-
Пункт 6 просто указываете и подтверждаете свою почту. Небольшое НО для тех, у кого будет в наличии ваучер со скидкой. В пункт 6 вы должны указать ту почту, на которую привязан аккаунт Cisco с ваучером.
Дальше не должно быть каких-то нюансов, просто завершаем процедуру регистрации.
Регистрируемся на экзамен
Все в том же окне, где создавали аккаунт, теперь нажимаем Sign in и заходим в, созданный выше, аккаунт.
Попадаем в Dashboard, выбираем View exams
Выбираем Proctored Exams -> CCNA -> 200-301
Далее процедура простая, выбираем где сдавать (в центре или дома/офисе), выбираем ближайший центр (в моем случае), выбираем день и время экзамена, не забываем применить ваучер (если есть) и оплачиваем. Там же попутно можно почитать, что можно брать с собой на экзамен, если у вас есть что-то по здоровью (например очки или ингалятор).
Пара слов о документах, в авторизованном центре с вас потребуют два документа, удостоверяющих личность. Паспорт РФ и водительские права — самый распространенный вариант. Можно использовать загран. паспорт, главное, чтобы на втором документе было продублировано ваше ФИО на английском языке.
Экзамен я сдал, поэтому могу поделиться парой советов, который помогли мне, чтобы все прошло максимально спокойно.
-
В день перед экзаменом постарайтесь себя вообще ничем не грузить. (я после работы сел проходить ремастер Medievil, расслабляет)
-
Обязательно выспитесь, 7-ми часового сна должно хватить.
-
Далее зависит от того, на какое время у вас экзамен, я сдавал утром, поэтому хороший завтрак перед 2-х часовым экзаменом — хорошее решение.
-
Берите с собой по минимуму личных вещей, рюкзак может не влезть в ячейку для личных вещей.
-
Приезжайте не за 15 минут, а хотя бы за 30, этого с головой достаточно, чтобы найти нужный этаж, кабинет и пройти формальности.
-
Туалет. Тут все понятно, сидеть 2.5 часа, лучше этот вопрос сразу закрыть.
-
Вам дадут черновик, советую сразу сделать шаблон по двоичной системе и маскам подсети. Для понимания, рекомендую ознакомиться с этим плейлистом.
-
В экзамене нет возможности вернуться к предыдущим вопросам, поэтому внимательно читайте вопрос и все варианты ответов.
-
Времени много, на все вопросы точно хватит, используете его правильно, у вас оно будет перед глазами. (я сдал ~1ч 30мин)
-
И самое банальное, не нервничайте, важно, какие навыки вы приобрели за время подготовки, сертификат это всего лишь электронная бумажка.
После сертификации
После того как Вы сдали экзамен и получили распечатку с процентами по блокам от экзаменатора, можно попробовать угадать, где Вы были не так сильны. После этого останется решить еще один вопрос — где взять сам сертификат?
Вообще, Cisco дает всю информацию о том, что делать после сдачи. (где регистрироваться, как проверить сертификат, как получить pdf сертификата и т.д), но если вдруг потерялись, то Вам пригодится эта справка с сайта Cisco.
Там ничего сложного, в течении 24 часов Вам на почту (которую указывали при регистрации на экзамен) придет инструкция как зарегистрироваться на CiscoMetrics. Там вы найдете свой сертификат (Cisco просит еще несколько дней, чтобы закончить все формальности, сразу его может там не оказаться, не пугайтесь).
Проверить сертификат можно по ссылке, она ведет на оф. сайт Cisco с формой верификации.
Повторная сертификация
Сертификаты Cisco имеют срок годности. Для CCNA/CCNP — 3 года. Для повторной сертификации необходимо сдать один из следующих экзаменов до истечения срока действия сертификата:
-
повторный экзамен CCNA
-
любой один экзамен Professional
-
один из линейки Core экзаменов по технологиям
-
один лабораторный экзамен CCIE
-
также можно пройти ресертификацию, заработав 30 кредитов CE (Continuing Education). Вы можете получать кредиты CE, посещая учебные сессии Cisco Live или проходя онлайн-курсы.
Реалии РФ
Что касается отечественного рынка, со стороны государственных структур уже не только прослеживаются тревожные звоночки по импортозамещению но и предпринимаются активные действия.
Что имею на это сказать. Основным регулятором у нас выступает ФСТЭК, на их сайте есть список оборудования, которое получило сертификат соответствия. Cisco там еще присутствует. Линейка коммутаторов 9300 туда тоже попала. Государственным компаниям рекомендуется ориентироваться на данный список при планировании закупок. С коммерческими структурами все проще, на сколько мне известно. О чем это нам говорит как специалистам? Тут я нагло использую цитату из комментариев:
vvpoloskin
Тут много факторов. Раньше сертификация на ту же циску требовалась рынку. Сейчас требования по импортозамещению, регулирование безопасности (та же сертифицированная криптография и файрволлы) и санкционное давление убирают ее оборудование из российского энтерпрайза, а «долларовые» цены убирают из операторов. Раньше было множество интеграторов, которым нужны были сертифицированные кадры для приобретения партнёрских статусов для продажи оборудования, сейчас их скупили и объединили в рамках крупных закупочных альянсов. Опять же раньше был бум автоматизации, множество организаций подключали компьютеры и телефоны к сети, для этого требовались поставки огромного количества коммутаторов, VoIP телефонов и другого сетевого оборудования. Нужны были люди, которые могут это продавать и обслуживать. Сейчас же оборудование есть у всех.
Не всегда будет так, что вы придете в компанию и там вас будет ждать Cisco инфраструктура. Важно после CCNA попробовать поработать и с другими вендорами. Развернуть RouterOS например, от mikrotik или на том же сайте Network Education посмотреть ознакомительный курс по Juniper.
Другие вендоры так же имеют свои сертификации и материалы для подготовки. На хабре точно найдется пара тройка статей на эти темы.
Итоги и размышления
Важно понимать, привязка к конкретному вендору на ранних этапах вашего развития — не лучший путь, если хотите стать востребованным специалистом в будущем. Важно разобраться в технологиях. CCNA был для меня хорош тем, что Cisco, хоть и делает упор на свои протоколы, но так же подробно рассказывает про аналогичные, на базе открытых стандартов.
Karroplan
Но не забывайте, что ccna это только первая ступенька и лестница растет не только вверх, но и в стороны (в смысле, стоит и смежные темы изучать — сторейдж, виртуализацию, операционки, автоматизацию, программирование).
Что касается изучения темы в горизонтальной плоскости. Тут три основных момента с которых можно начать
-
Освоить linux, сетевику без него никак. Хороший канал от автора книги Внутренне устройство Linux, Дмитрия Кетова, и плейлист по подготовке к сертификации Red Hat RHCSA, так же много моментов объясняется достаточно подробно и последовательно.
-
Виртуализация. Virtual BOX, VMWare Player, Hyper V — это то, что можно потрогать бесплатно.
-
Программирование и автоматизация. Это то, чем сейчас живет мир сетевых технологий. В CCNA затрагивается данная тема, советую ее не обходить, а попробовать погрузиться чуть глубже, чем это есть на уровне CCNA.
В дополнение приведу статью на хабре, которая, возможно, уже начинает потихоньку устаревать, но там достаточно подробно расписаны пункты по всестороннему развитию сетевого инженера. Рекомендую ознакомиться.
Отвечая на поставленный в начале вопрос, нет, не каждому нужно сдавать CCNA. Можно расти и развиваться вне рамок сертификаций. Как верно написал в своей заметке Дмитрий, если вы не хотите все это сдавать, просто прочитайте книжки и поделайте лабораторные + сети для самых маленьких. Если вы встали на путь сетевика, это даст вам первоначальный запал.
Сертификация, на мой взгляд, дело личного вызова. Увы, в современных реалиях сертификатом CCNA вы не сможете впечатлить работодателя. Главная идея — получить от этого процесса максимум. Все остальное, это опыт и практика. И точно не стоит останавливаться на темах, представленных в CCNA.
Успехов в подготовке и на экзамене! Дорогу осилит идущий.
Обновления
upd1: Причесал текст, добавил информацию по баллам и типам вопросов. Добавил ссылку на получение Packet Tracer, добавил раздел Реалии РФ, добавил бонус-ссылку на цикл подкастов «Собес»
upd2: Спасибо vvpoloskin за наводку на тему импортозамещения и использования Cisco в РФ
upd3: Спасибо Karroplan за совет раскрыть тему становления сетевого инженера не только в рамках CCNA.
upd4: Добавил таблицу по сертификациям с пояснениями
upd5: Добавил подраздел Как поднять лабораторию
upd6: Сдал CCNA, дополнил раздел Как сдаваться и добавил раздел Повторная сертификация»
upd7: Добавил в раздел Как поднять лабораторию информацию по материалам для подготовки лабораторного стенда. Добавил оглавление в начале статьи с «кликабельными» заголовками
upd8: Добавил подраздел Как учиться, идею подсмотрел на курсе Наташи Самойленко, вспомнил, как это помогло мне. Так же добавил подраздел Как попробовать экзамен, спасибо за наводку @zipo
upd9: Добавил ссылки на посты в блоге про тайм-менеджмент, поправил ссылку на материалы.
upd10: Добавил мини-раздел После сертификации, где искать сертификат после сдачи
Благодарности
Сказать «спасибы» я обязан следующим людям, значительно повлиявшим на мое восприятие профессии сетевика и всего, что с ней связано.
Иннокентий, если Вы это прочитали, спасибо Вам большое за труды. Лучшие материалы в .ру сегменте.
Марат aka @eucariot, не хочется повторяться за Дмитрием, но аналогично, лови мои восхищения за вклад становления сетевиков. Ждем еще линкмитапов в Москве!
Всей команде подкастов linkmeup.ru за мотивацию в трудные минуты.
Огромные спасибы любимой девушке, за терпение и поддержку. Тебе еще со мной CCNP проходить
И, конечно, спасибы начальнику моего отдела, за поддержку в начинаниях и помощи в понимании технологий.
If you seek a career in IT, you can get a leg up on the competition by earning your Cisco Certified Networking Associate (CCNA) certification. To earn your CCNA certification, you must pass an exam that covers a range of fundamental knowledge and skills specific to IT. The CCNA exam questions are based on networking technologies, software development skills, and IT job roles.
The Cisco Certified Network Associate (CCNA) exam (200-301) is a 120-minute, 100 question assessment associated with the CCNA certification. This exam tests your knowledge and skills on topics such as:
- Network fundamentals
- Network access
- IP connectivity
- IP services
- Security fundamentals
- Automation and programmability
To ensure you will be ready to earn your CCNA certification, you can set yourself up for success by taking a CCNA practice test.
Benefits of taking a CCNA Practice Test
While some companies may charge fees to take practice tests, there are also free resources available to you. Whether you opt for paid or free access, the right CCNA practice test strategies offer some important benefits.
For one, if you put your full effort into taking the CCNA practice test, you will have a better idea of how you may perform on the CCNA exam. You can identify the areas that are your strengths and opportunities. If you find you are struggling with certain concepts, you can beef up your knowledge and take the practice test again. Either way, you are likely to feel more confident about your ability to pass the CCNA exam.
Taking the CCNA practice test also helps you ensure that your knowledge aligns with the current CCNA exam version. Did you know that Cisco has released two updated versions of the CCNA Routing and Switching exam in less than five years? This means that you need to make sure you are studying for the right version. This is important because, with each updated version, Cisco changes some of the focus areas of the CCNA exam.
Evolution of CCNA exams
This section explains how CCNA exams have evolved over the years. It will give you a better idea of previous exam topics and how they update with each version. This also highlights what you can expect on the 200-301 CCNA.
Retired CCNA exams
The first CCNA certification was the 640-507 CCNA. Cisco retired it in late June 2007 and replaced it with CCNA 640-802. At this point, CCNA certification was extremely popular because it was a prerequisite for several other Cisco CCNA certifications. These certifications included other Cisco CCNA Concentration certifications and Cisco professional level certifications such as CCNP.
During this time, candidates had two testing options to achieve the CCNA certification:
- Pass one exam (CCNA 640-802)
- Pass two exams (ICND1 640-822 and ICND2 640-816)
These CCNA tests covered several topics, including:
- TCP/IP
- LAN Switching
- IP Routing
- IP Addressing (including VLSM)
- Cisco router and switch Command Line Interface (CLI)
- WANs (point-to-point and Frame Relay)
- VLANs and VLAN trunking
- Spanning Tree Protocol (STP)
- Routing Protocols (RIP, EIGRP, OSPF)
- Network Address Translation (NAT)
Cisco retired the 640-802 CCNA exam in late September 2013 and replaced it with the 200-120 CCNA. The 200-120 composite CCNA v2 exam was associated with the CCNA Routing and Switching certification. It consisted of approximately 50 – 60 questions and included topics such as:
- Operation of IP Data Networks
- LAN Switching Technologies
- IP Addressing (IPv4/IPv6)
- IP Routing Technologies
- IP Services
- Network Device Security
- Troubleshooting
- WAN Technologies
In 2016, Cisco launched the 200-125 CCNA Routing and Switching exam. In this version, the exam focused on modernized routing and switching technologies. This included exam material on:
- Cloud computing
- DNS
- Dynamic Host Configuration Protocol (DHCP)
- Network Time Protocol (NTP)
- Dynamic multipoint VPN
- Site-to-site VPN connectivity
200-301 CCNA exam
In late February 2020, Cisco launched the 200-301 CCNA exam, which replaced the previous exam version (200-125). The 200-301 CCNA exam is a 120-minute, 100 question assessment that tests your knowledge and skills related to:
- Network fundamentals
- Network access
- IP connectivity
- IP services
- Security fundamentals
- Automation and programmability
The format of the exam may vary to include single and multiple-choice questions, as well as drag and drop questions. To learn more about the 200-301 CCNA exam, you can also check out our blog post: How to Get Your CCNA Certification with the 200-301 Exam.
Using our CCNA Practice Test
Our CCNA practice test will help you prepare for getting certified on the 200-301 CCNA exam. We consider these questions to reflect realistic examples of content that you can expect on this version. Note that we have not listed the CCNA practice test questions in any particular order. However, we have put them together to highlight a range of topics that you should know.
Remember, these CCNA practice test questions do not reflect the actual questions you will receive on the live certification exam. However, we selected some core questions and topics that will supplement your learning experience.
CCNA Practice Test Questions from all sections
To help you isolate different categories of exam questions, this section is broken down by topic.
Network Fundamentals
This section includes four questions.
- When installing Cisco AnyConnect modules on a PC, which module must you install first?
A. Telemetry
B. VPN
C. DART
D. Posture
E. CSSC
F. Web Security
G. NAM
Correct answer: B
- Which three statements about MAC addresses are correct?
A. To communicate with other devices on a network, a network device must have a unique MAC address.
B. The MAC address is also referred to as the IP address.
C. The MAC address of a device must be configured in the Cisco IOS CLI by a user with administrative privileges.
D. A MAC address contains two main components, the first of which identifies the manufacturer of the hardware and the second of which uniquely identifies the hardware.
E. An example of a MAC address is 0A:26:B8:D6:65:90.
F. A MAC address contains two main components, the first of which identifies the network on which the host resides and the second of which uniquely identifies the host on the network.
Correct answer: A, D, and E
- Which three statements about network characteristics are true?
A. Speed measures the data rate in bits per second of a given link in the network.
B. Scalability indicates how many nodes are currently on the network.
C. The logical topology is the arrangement of cables, network devices, and end systems.
D. Availability is a measure of the probability that the network will be available for use when it is required.
E. Reliability indicates the dependability of the components that make up the network.
Correct answer: A, D, and E
- Which two statements about the purpose of the OSI model are accurate?
A. It defines the network functions that occur at each layer.
B. It facilitates an understanding of how information travels throughout a network.
C. Changes in one layer do not impact another layer.
Correct answer: A and B
Network access
This section includes four questions.
- What is the maximum number of lightweight APs that a single Cisco WCS Navigator management console can support with Cisco WCS and Cisco WLC running version 7.0 code?
A. 6,000
B. 60,000
C. 1,000
D. 10,000
E. 3,000
F. 30,000
Correct answer: F
- How can the Cisco Discovery Protocol be used?
A. To allow a switch to discover the devices connected to its ports
B. To determine the hardware platform of the device
C. To determine the IP addresses of connected Cisco devices
D. All of the above
Correct answer: D
- How does STP prevent forwarding loops at OSI Layer 2?
A. TTL
B. MAC address forwarding
C. Collision avoidance
D. Port blocking
Correct answer: D
- Which two statements about EtherChannel technology are true?
A. EtherChannel provides increased bandwidth by bundling existing FastEthernet or Gigabit Ethernet interfaces into a single EtherChannel.
B. STP does not block EtherChannel links.
C. You can configure multiple EtherChannel links between two switches, using up to a limit of 16 physical ports.
D. EtherChannel does not allow load sharing of traffic among the physical links within the EtherChannel.
E. EtherChannel allows redundancy in case one or more links in the EtherChannel fail.
Correct answer: A and D
IP connectivity
This section includes three questions.
- Which command should you use to configure an IPv6 static default route?
A. ipv6 route ::/0 interface next-hop
B. ipv6 route default interface next-hop
C. ipv6 route 0.0.0.0/0 interface next-hop
D. ip route 0.0.0.0/0 interface next-hop
Correct answer: A
- Which statement about static and dynamic routes is true?
A. Dynamic routes are manually configured by a network administrator, while static routes are automatically learned and adjusted by a routing protocol.
B. Static routes are manually configured by a network administrator, while dynamic routes are automatically learned and adjusted by a routing protocol.
C. Static routes tell the router how to forward packets to networks that are not directly connected, while dynamic routes tell the router how to forward packets to networks that are directly connected.
D. Dynamic routes tell the router how to forward packets to networks that are not directly connected, while static routes tell the router how to forward packets to networks that are directly connected.
Correct answer: B
- What is the purpose of the show ip ospf interface command?
A. Displaying OSPF-related interface information
B. Displaying general information about OSPF routing processes
C. Displaying OSPF neighbor information on a per-interface basis
D. Displaying OSPF neighbor information on a per-interface-type basis
Correct answer: A
IP services
This section includes three questions.
- What will happen if you configure the logging trap debug command on a router?
A. It causes the router to send messages with lower severity levels to the syslog server.
B. It causes the router to send all messages with the severity levels Warning, Error, Critical, and Emergency to the syslog server.
C. It causes the router to send all messages to the syslog server.
D. It causes the router to stop sending all messages to the syslog server.
Correct answer: C
- Which Cisco IOS command will indicate that interface GigabitEthernet 0/0 configures via DHCP?
A. show ip interface GigabitEthernet 0/0 dhcp
B. show interface GigabitEthernet 0/0
C. show ip interface dhcp
D. show ip interface GigabitEthernet 0/0
E. show ip interface GigabitEthernet 0/0 brief
Correct answer: D
- Which statement about the nature of NAT overload is true?
A. It applies a one-to-many relationship to internal IP addresses
B. It applies a one-to-one relationship to internal IP addresses
C. It applies a many-to-many relationship to internal IP addresses
D. It can configure only on Gigabit interface
Correct answer: A
Security fundamentals
This section includes seven questions.
- Which command verifies whether any IPv6 ACLs configure on a router?
A. show ipv6 interface
B. show access-list
C. show ipv6 access-list
D. show ipv6 route
Correct answer: C
- Which command can you enter to allow support for Telnet in addition to SSH?
A. transport input telnet ssh
B. transport input telnet
C. no transport input telnet
D. privilege level 15
Correct answer: A
- AAA stands for authentication, authorization, and accounting.
A. False
B. True
Correct answer: B
- You have several operating groups in your enterprise that require differing access restrictions to the routers to perform their job roles. These groups range from Help Desk personnel to advanced troubleshooters. What is one methodology for controlling access rights to the routers in these situations?
A. Configure multiple privilege level access.
B. Configure ACLs to control access for the different groups.
C. Implement syslogging to monitor the activities of the groups.
D. Configure TACACS+ to perform scalable authentication.
Correct answer: A
- Which option is the term for the likelihood that a particular threat using a specific attack will exploit a particular vulnerability of a system that results in an undesirable consequence?
A. An exploit.
B. An attack.
C. A risk.
D. A vulnerability.
Correct answer: C
- Which statement is true when using zone-based firewalls on a Cisco router?
A. Interface ACLs are applied before zone-based policy firewalls when they are applied outbound.
B. Policies are applied to traffic moving between zones, not between interfaces.
C. When configured with the “PASS” action, stateful inspection applies to all traffic passing between the configured zones.
D. The firewalls can be configured simultaneously on the same interface as classic CBAC using the IP inspect CLI command.
Correct answer: B
- Which option is the term for what happens when you develop computer code to take advantage of a vulnerability? (For example, a vulnerability exists in a piece of software, but nobody knows about this vulnerability).
A. A vulnerability.
B. An attack.
C. An exploit.
D. A risk.
Correct answer: C
Automation and Programmability
This section includes three questions.
- Which option about JSON is true?
A. It uses predefined tags or angle brackets (<>) to delimit markup text.
B. It is used to describe structured data that includes arrays.
C. It is used for storing information.
D. Similar to HTML, it is more verbose than XML.
Correct answer: B
- Which of the following is the JSON encoding of a dictionary or hash?
A. { “key”: “value”}
B. [“key”, “value”]
C. {“key”, “value”}
D. (“key”: “value”)
Correct answer: A
- Which option best describes an API?
A. A contract that describes how various components communicate and exchange data with each other.
B. An architectural style (versus a protocol) for designing applications.
C. A stateless, client-server model.
D. A request for a certain type of data by specifying the URL path that models the data.
Correct answer: A
Other useful CCNA tips
Now that you have completed some practice questions, you probably have a better idea of your strengths and opportunities. If you feel like you need to grow your knowledge more, Udemy has a ton of great resources available for you on the website. For those who feel ready to take on the CCNA test, we wish you the best of luck!
If you seek a career in IT, you can get a leg up on the competition by earning your Cisco Certified Networking Associate (CCNA) certification. To earn your CCNA certification, you must pass an exam that covers a range of fundamental knowledge and skills specific to IT. The CCNA exam questions are based on networking technologies, software development skills, and IT job roles.
The Cisco Certified Network Associate (CCNA) exam (200-301) is a 120-minute, 100 question assessment associated with the CCNA certification. This exam tests your knowledge and skills on topics such as:
- Network fundamentals
- Network access
- IP connectivity
- IP services
- Security fundamentals
- Automation and programmability
To ensure you will be ready to earn your CCNA certification, you can set yourself up for success by taking a CCNA practice test.
Benefits of taking a CCNA Practice Test
While some companies may charge fees to take practice tests, there are also free resources available to you. Whether you opt for paid or free access, the right CCNA practice test strategies offer some important benefits.
For one, if you put your full effort into taking the CCNA practice test, you will have a better idea of how you may perform on the CCNA exam. You can identify the areas that are your strengths and opportunities. If you find you are struggling with certain concepts, you can beef up your knowledge and take the practice test again. Either way, you are likely to feel more confident about your ability to pass the CCNA exam.
Taking the CCNA practice test also helps you ensure that your knowledge aligns with the current CCNA exam version. Did you know that Cisco has released two updated versions of the CCNA Routing and Switching exam in less than five years? This means that you need to make sure you are studying for the right version. This is important because, with each updated version, Cisco changes some of the focus areas of the CCNA exam.
Evolution of CCNA exams
This section explains how CCNA exams have evolved over the years. It will give you a better idea of previous exam topics and how they update with each version. This also highlights what you can expect on the 200-301 CCNA.
Retired CCNA exams
The first CCNA certification was the 640-507 CCNA. Cisco retired it in late June 2007 and replaced it with CCNA 640-802. At this point, CCNA certification was extremely popular because it was a prerequisite for several other Cisco CCNA certifications. These certifications included other Cisco CCNA Concentration certifications and Cisco professional level certifications such as CCNP.
During this time, candidates had two testing options to achieve the CCNA certification:
- Pass one exam (CCNA 640-802)
- Pass two exams (ICND1 640-822 and ICND2 640-816)
These CCNA tests covered several topics, including:
- TCP/IP
- LAN Switching
- IP Routing
- IP Addressing (including VLSM)
- Cisco router and switch Command Line Interface (CLI)
- WANs (point-to-point and Frame Relay)
- VLANs and VLAN trunking
- Spanning Tree Protocol (STP)
- Routing Protocols (RIP, EIGRP, OSPF)
- Network Address Translation (NAT)
Cisco retired the 640-802 CCNA exam in late September 2013 and replaced it with the 200-120 CCNA. The 200-120 composite CCNA v2 exam was associated with the CCNA Routing and Switching certification. It consisted of approximately 50 – 60 questions and included topics such as:
- Operation of IP Data Networks
- LAN Switching Technologies
- IP Addressing (IPv4/IPv6)
- IP Routing Technologies
- IP Services
- Network Device Security
- Troubleshooting
- WAN Technologies
In 2016, Cisco launched the 200-125 CCNA Routing and Switching exam. In this version, the exam focused on modernized routing and switching technologies. This included exam material on:
- Cloud computing
- DNS
- Dynamic Host Configuration Protocol (DHCP)
- Network Time Protocol (NTP)
- Dynamic multipoint VPN
- Site-to-site VPN connectivity
200-301 CCNA exam
In late February 2020, Cisco launched the 200-301 CCNA exam, which replaced the previous exam version (200-125). The 200-301 CCNA exam is a 120-minute, 100 question assessment that tests your knowledge and skills related to:
- Network fundamentals
- Network access
- IP connectivity
- IP services
- Security fundamentals
- Automation and programmability
The format of the exam may vary to include single and multiple-choice questions, as well as drag and drop questions. To learn more about the 200-301 CCNA exam, you can also check out our blog post: How to Get Your CCNA Certification with the 200-301 Exam.
Using our CCNA Practice Test
Our CCNA practice test will help you prepare for getting certified on the 200-301 CCNA exam. We consider these questions to reflect realistic examples of content that you can expect on this version. Note that we have not listed the CCNA practice test questions in any particular order. However, we have put them together to highlight a range of topics that you should know.
Remember, these CCNA practice test questions do not reflect the actual questions you will receive on the live certification exam. However, we selected some core questions and topics that will supplement your learning experience.
CCNA Practice Test Questions from all sections
To help you isolate different categories of exam questions, this section is broken down by topic.
Network Fundamentals
This section includes four questions.
- When installing Cisco AnyConnect modules on a PC, which module must you install first?
A. Telemetry
B. VPN
C. DART
D. Posture
E. CSSC
F. Web Security
G. NAM
Correct answer: B
- Which three statements about MAC addresses are correct?
A. To communicate with other devices on a network, a network device must have a unique MAC address.
B. The MAC address is also referred to as the IP address.
C. The MAC address of a device must be configured in the Cisco IOS CLI by a user with administrative privileges.
D. A MAC address contains two main components, the first of which identifies the manufacturer of the hardware and the second of which uniquely identifies the hardware.
E. An example of a MAC address is 0A:26:B8:D6:65:90.
F. A MAC address contains two main components, the first of which identifies the network on which the host resides and the second of which uniquely identifies the host on the network.
Correct answer: A, D, and E
- Which three statements about network characteristics are true?
A. Speed measures the data rate in bits per second of a given link in the network.
B. Scalability indicates how many nodes are currently on the network.
C. The logical topology is the arrangement of cables, network devices, and end systems.
D. Availability is a measure of the probability that the network will be available for use when it is required.
E. Reliability indicates the dependability of the components that make up the network.
Correct answer: A, D, and E
- Which two statements about the purpose of the OSI model are accurate?
A. It defines the network functions that occur at each layer.
B. It facilitates an understanding of how information travels throughout a network.
C. Changes in one layer do not impact another layer.
Correct answer: A and B
Network access
This section includes four questions.
- What is the maximum number of lightweight APs that a single Cisco WCS Navigator management console can support with Cisco WCS and Cisco WLC running version 7.0 code?
A. 6,000
B. 60,000
C. 1,000
D. 10,000
E. 3,000
F. 30,000
Correct answer: F
- How can the Cisco Discovery Protocol be used?
A. To allow a switch to discover the devices connected to its ports
B. To determine the hardware platform of the device
C. To determine the IP addresses of connected Cisco devices
D. All of the above
Correct answer: D
- How does STP prevent forwarding loops at OSI Layer 2?
A. TTL
B. MAC address forwarding
C. Collision avoidance
D. Port blocking
Correct answer: D
- Which two statements about EtherChannel technology are true?
A. EtherChannel provides increased bandwidth by bundling existing FastEthernet or Gigabit Ethernet interfaces into a single EtherChannel.
B. STP does not block EtherChannel links.
C. You can configure multiple EtherChannel links between two switches, using up to a limit of 16 physical ports.
D. EtherChannel does not allow load sharing of traffic among the physical links within the EtherChannel.
E. EtherChannel allows redundancy in case one or more links in the EtherChannel fail.
Correct answer: A and D
IP connectivity
This section includes three questions.
- Which command should you use to configure an IPv6 static default route?
A. ipv6 route ::/0 interface next-hop
B. ipv6 route default interface next-hop
C. ipv6 route 0.0.0.0/0 interface next-hop
D. ip route 0.0.0.0/0 interface next-hop
Correct answer: A
- Which statement about static and dynamic routes is true?
A. Dynamic routes are manually configured by a network administrator, while static routes are automatically learned and adjusted by a routing protocol.
B. Static routes are manually configured by a network administrator, while dynamic routes are automatically learned and adjusted by a routing protocol.
C. Static routes tell the router how to forward packets to networks that are not directly connected, while dynamic routes tell the router how to forward packets to networks that are directly connected.
D. Dynamic routes tell the router how to forward packets to networks that are not directly connected, while static routes tell the router how to forward packets to networks that are directly connected.
Correct answer: B
- What is the purpose of the show ip ospf interface command?
A. Displaying OSPF-related interface information
B. Displaying general information about OSPF routing processes
C. Displaying OSPF neighbor information on a per-interface basis
D. Displaying OSPF neighbor information on a per-interface-type basis
Correct answer: A
IP services
This section includes three questions.
- What will happen if you configure the logging trap debug command on a router?
A. It causes the router to send messages with lower severity levels to the syslog server.
B. It causes the router to send all messages with the severity levels Warning, Error, Critical, and Emergency to the syslog server.
C. It causes the router to send all messages to the syslog server.
D. It causes the router to stop sending all messages to the syslog server.
Correct answer: C
- Which Cisco IOS command will indicate that interface GigabitEthernet 0/0 configures via DHCP?
A. show ip interface GigabitEthernet 0/0 dhcp
B. show interface GigabitEthernet 0/0
C. show ip interface dhcp
D. show ip interface GigabitEthernet 0/0
E. show ip interface GigabitEthernet 0/0 brief
Correct answer: D
- Which statement about the nature of NAT overload is true?
A. It applies a one-to-many relationship to internal IP addresses
B. It applies a one-to-one relationship to internal IP addresses
C. It applies a many-to-many relationship to internal IP addresses
D. It can configure only on Gigabit interface
Correct answer: A
Security fundamentals
This section includes seven questions.
- Which command verifies whether any IPv6 ACLs configure on a router?
A. show ipv6 interface
B. show access-list
C. show ipv6 access-list
D. show ipv6 route
Correct answer: C
- Which command can you enter to allow support for Telnet in addition to SSH?
A. transport input telnet ssh
B. transport input telnet
C. no transport input telnet
D. privilege level 15
Correct answer: A
- AAA stands for authentication, authorization, and accounting.
A. False
B. True
Correct answer: B
- You have several operating groups in your enterprise that require differing access restrictions to the routers to perform their job roles. These groups range from Help Desk personnel to advanced troubleshooters. What is one methodology for controlling access rights to the routers in these situations?
A. Configure multiple privilege level access.
B. Configure ACLs to control access for the different groups.
C. Implement syslogging to monitor the activities of the groups.
D. Configure TACACS+ to perform scalable authentication.
Correct answer: A
- Which option is the term for the likelihood that a particular threat using a specific attack will exploit a particular vulnerability of a system that results in an undesirable consequence?
A. An exploit.
B. An attack.
C. A risk.
D. A vulnerability.
Correct answer: C
- Which statement is true when using zone-based firewalls on a Cisco router?
A. Interface ACLs are applied before zone-based policy firewalls when they are applied outbound.
B. Policies are applied to traffic moving between zones, not between interfaces.
C. When configured with the “PASS” action, stateful inspection applies to all traffic passing between the configured zones.
D. The firewalls can be configured simultaneously on the same interface as classic CBAC using the IP inspect CLI command.
Correct answer: B
- Which option is the term for what happens when you develop computer code to take advantage of a vulnerability? (For example, a vulnerability exists in a piece of software, but nobody knows about this vulnerability).
A. A vulnerability.
B. An attack.
C. An exploit.
D. A risk.
Correct answer: C
Automation and Programmability
This section includes three questions.
- Which option about JSON is true?
A. It uses predefined tags or angle brackets (<>) to delimit markup text.
B. It is used to describe structured data that includes arrays.
C. It is used for storing information.
D. Similar to HTML, it is more verbose than XML.
Correct answer: B
- Which of the following is the JSON encoding of a dictionary or hash?
A. { “key”: “value”}
B. [“key”, “value”]
C. {“key”, “value”}
D. (“key”: “value”)
Correct answer: A
- Which option best describes an API?
A. A contract that describes how various components communicate and exchange data with each other.
B. An architectural style (versus a protocol) for designing applications.
C. A stateless, client-server model.
D. A request for a certain type of data by specifying the URL path that models the data.
Correct answer: A
Other useful CCNA tips
Now that you have completed some practice questions, you probably have a better idea of your strengths and opportunities. If you feel like you need to grow your knowledge more, Udemy has a ton of great resources available for you on the website. For those who feel ready to take on the CCNA test, we wish you the best of luck!
В данной статье мне хотелось бы немного осветить процесс самостоятельной подготовки к экзамену CCNA. Все ниже изложенные выводы и советы основываются сугубо на личном опыте и не являются абсолютной истиной.
Начать обсуждение хотелось бы в первую очередь с выбора языка для подготовки и сдачи экзамена CCNA. Рассмотрим плюсы и минусы английского и русского языка.
Русский (плюсы):
- лучшая усвояемость материала, т.к. не задумываешься о переводе текста
- книги на русском стоят дешевле
Русский (минусы):
- информации и литературы на русском языке гораздо меньше
- можно столкнуться с неправильным переводом в некоторых книгах и как следствие — неправильно усвоить материал
- все последующие экзамены (к примеру CCNP) сдаются только на английском, т.е. вам придется заново учить все термины на английском языке
Английский (плюсы):
- море книг, сообществ, блогов и сайтов именно на английском языке
- экзамен на английском языке длится на 30 минут дольше
- попутно изучаете технический английский
- упрощается подготовка к последующим экзаменам, т.к. большинство терминов вы уже будете знать
Английский (минусы):
- усложняется восприятие материала ввиду необходимости перевода незнакомых слов
Мое мнение, необходимо использовать оба варианта при подготовке к CCNA, но сам экзамен сдавать только на английском языке.
Я бы рекомендовал для начала прочитать курс CCNA на русском языке для общего усвоения материала. Для дальнейшей подготовки к экзамену воспользоваться ресурсом www.9tut.com,
где содержится примерный список вопросов с пояснениями на английском языке (по своему опыту могу сказать что после изучения данного сайта я не встретил ни одного нового вопроса в экзамене, т.е. на данный момент все вопросы и ответы — действительны). При необходимости можно вновь обращаться к русскоязычной литературе для лучшего понимания определенной темы, в которой вы явно «плаваете». Так же я рекомендую читать комментарии пользователей под каждой темой, иногда там находятся более вменяемые объяснения вопросов, которые могут вызвать у вас сомнения.
Ознакомившись с этими материалами можно проверить себя с помощью тестов. Скачать дампы вопросов с сайта www.examcollection.com.
Дамп вопросов открывается с помощью программы Visual CertExam Suite. Кстати, существуют версии программы для android и iphone/ipad, что позволит вам готовиться к экзамену более эффективно, в любое время, в любом удобном для вас месте (например в маршрутке или в метро, направляясь на работу). Но будьте осторожны, в дампах иногда встречаются неправильные ответы. Если вы сомневаетесь, то можете проверить эти вопросы на все том же сайте www.9tut.com или же в комментариях к дампу. Можно заметить что на сайте есть несколько дампов, отличающихся датой. Я рекомендую сначала ознакомиться с дампом, у которого больше всего голосов (votes), а затем уже можно пройти самый свежий по дате.
Таким образом, используя два языка при подготовке, мы лучше воспринимаем изучаемый материал и одновременно привыкаем к английским техническим терминам и вообще улучшаем свой английский в целом.
Что касается лабораторных работ и практики, то здесь нам помогут симуляторы и эмуляторы. По утверждению компании Cisco, функционала программы Cisco Packet Tracer вполне хватает для курса CCNA. Я с ними соглашусь и могу сказать, что при подготовке к CCNA, cisco packet tracer гораздо удобнее чем gns3. GNS3 мне пришлось использовать только в теме Frame Relay.
Каких-то конкретных рекомендаций по поводу книг для подготовки к CCNA давать не буду. В интернете их великое множество. На мой взгляд, при подготовке к экзамену главное использовать ресурсы www.9tut.com и www.examcollection.com, тогда никаких проблем возникнуть не должно. Так же еще существуют различные видео курсы по CCNA, которые можно скачать на torrent-ах. Их так же можно использовать для лучшего понимания материала.
Если у кого-то есть свои мысли или материалы по этой теме, буду рад видеть их в комментариях. Возможно это кому-то действительно поможет!
Сертификации R&S больше нет, но данная информация по-прежнему полезна.
Материалы Cisco CCNA — части 1 и 2 курса: для подготовки к CCENT ( первая и вторая части курса CISCO CCNA R&S ).
Тут записи идут вразнобой, а не по урокам. Маршрутизация вынесена в отдельную запись.
И конечно же ссылка на легендарную книжку Одом’a.
Часть 1
OSI vs TCI/IP
Существует классическая эталонная модель разложения стека сетевых протоколов на иерархию из 7 уровней. Это модель OSI (слева). Уровни пронумерованы снизу вверх от 1 до 7. Ей сопоставлена модель TCP/IP (справа). Она используется реже, допустим, Microsoft в своих курсах отсылает к модели TCP/IP.
Важное замечание. В разговоре об оборудовании уровни всегда рассматриваются с точки зрения эталонной модели OSI.
Пример. Коммутатор уровня 2 — Канальный уровень, коммутатор уровня 3 — Сетевой уровень.
Что тут надо знать? Передаваемая информация на компьютере отправителе проходит по стеку сетевых протоколов сверху вниз. На каждом уровне добавляется некоторая служебная информация. Такой процесс называется инкапсуляция.
На компьютере получателе информация проходит по стеку протоколов снизу вверх. Служебная информация убирается. Это процесс деинкапсуляции.
Служебная информация состоит из 2 частей:
- Заголовка — добавляется спереди и содержит информацию, которая непосредственно нужна для работы сетевых протоколов и передачи по сети;
- Концевика — добавляется сзади, обычно содержит контрольную сумму, которая нужна для проверки целостности.
Соответствие основных протоколов модели TCP/IP
PDU
Информация передаётся частями, для каждого уровня это PDU — Protocol Data Unit:
- Данные — PDU прикладного уровня;
- Сегмент — PDU транспортного уровня;
- Пакет — PDU сетевого уровня;
- Кадр — PDU уровня канала данных;
- Биты — PDU физического уровня.
Если вы в разговоре назовёте пакет кадром или наоборот, вас нормально поймут. Хотя формально это ошибка, но не страшная. Многие так делают и не парятся.
Протоколы
Протоколы или стандарты оперирования с данными существуют на всех уровнях.
Теперь рассмотрим как осуществляется инкапсуляция, но пойдём не сверху вниз, как она происходит, а «против шерсти» снизу вверх.
Физический уровень
Уровень 1. Не имеет адреса. Получает кадры от канального уровня, добавляет начальные биты и концевик, затем двоичный код переводится в последовательность сигналов в соответствии со стандартом для среды передачи и помещает эту последовательность сигналов в среду передачи.
Существуют 3 основных вида сред передачи данных:
- Медный кабель: сигналы представляют собой шаблоны электрических импульсов;
- Оптоволоконный кабель: сигналы представляют собой световые шаблоны;
- Беспроводная сеть: сигналы представляют собой шаблоны микроволновой передачи.
Основной стандарт проводных медных соединений Ethernet (802.3), беспроводных — семейство стандартов 802.11.
Канальный уровень
Уровень 2. На канальном уровне также используются различные стандарты передачи данных. Самый распространенный снова Ethernet (работает на 1 и 2 уровнях OSI). Для Ethernet на 2 уровне адресом является MAC-адрес — имеет локальное значение, то есть только в домене широковещания (MAC, media access control).
MAC-адрес имеет длину 48 бит и пишется обычно с помощью 16-ричных цифр (1 цифра = 4 бита). Получается 12 таких цифр. Стандартное написание (например, в компьютере Windows):
84-16-F9-05-8D-7C
Написание в командной строке CISCO:
8416.F905.8D7C
Есть и другие варианты написания на оборудовании различных вендоров. Смысл такой, что вводить нужно именно так, как ожидает данный вендор, иначе ошибка.
Первые 24 бита MAC-адреса однозначно определяют вендора и называются organizationally unique identifier (OUI). То есть другими словами для всех устройств данного вендора OUI будет одинаковым. Присваивается OUI подразделением IEEE. Это удобно, наглядно и всегда помогает в работе, когда приходится возиться с MAC-адресами.
Широковещательный домен — логический участок компьютерной сети, в котором все узлы могут передавать данные друг другу с помощью широковещания на канальном уровне сетевой модели OSI. Домены широковещания разделяются:
- Устройствами 3 уровня (маршрутизаторами);
- VLANs на коммутаторах.
Для того чтобы кадр широковещательной рассылки получали все хосты в локальной сети, коммутатор должны рассылать этот кадр через все свои порты (за исключением порта, откуда этот кадр был получен). Совокупность соединённых коммутаторов формирует единый широковещательный домен.
Домен коллизий — это часть сети Ethernet, все узлы которой конкурируют за общую разделяемую среду передачи и, следовательно, каждый узел которой может создать коллизию с любым другим узлом этой части сети. При применении устаревших концентраторов (наверное сейчас и не найти), домен коллизий это группа концентраторов вместе с конечными устройствами. При применении коммутаторов домен коллизий вырождается в каждый активный линк коммутатора.
Канальный уровень принимает пакеты от сетевого уровня инкапсулирует в кадры канального уровня и передаёт на физический уровень.
Канальный уровень делится на следующие два подуровня:
- Управление логическим каналом LLC: это верхний подуровень, который определяет программные процессы, предоставляющие службы протоколам сетевого уровня. Он помещает в кадре информацию, которая определяет, какой протокол сетевого уровня используется для данного кадра. Данная информация позволяет протоколам уровня 3, таким как IPv4 и IPv6, использовать один и тот же сетевой интерфейс и одно и то же средство передачи данных;
- Управление доступом к среде передачи данных MAC: это нижний подуровень, который определяет ключевые процессы доступа к среде передачи, выполняемые аппаратным обеспечением. Он обеспечивает адресацию на канальном уровне и разделение данных в соответствии с физическими требованиями к сигнализации, а также тип используемого протокола канального уровня.
ARP
Существует только для IPv4 адресации. Для того чтобы собрать кадр устройство отправитель должно знать MAC-адрес устройства получателя. Возможны 2 варианта:
- Компьютер получатель в том же сегменте сети;
Чтобы получить по IPv4 адресу MAC-адрес используется протокол ARP.
Запрос ARP содержит IPv4-адрес узла назначения и MAC-адрес широковещательной рассылки:
FFFF.FFFF.FFFF
- Компьютер получатель в другом сегменте сети.
Компьютер отправитель пересылает пакет на шлюз по умолчанию и в пакете указан MAC-адрес шлюза по умолчанию как MAC-адрес получателя.
Как кадр широковещательной рассылки, запрос ARP сначала получается, а затем обрабатывается всеми устройствами в домене широковещания.
Важное замечание
MAC-адрес получателя в кадре меняется каждый раз при переходе из одного домена широковещания в другой.
Таким образом, при пересылке данных куда-то в Интернет, MAC-адрес получателя поменяется много раз. Есть среды и стандарты передачи, где MAC-адрес не используется. Например, последовательное соединение роутеров CISCO по умолчанию использует на 2 уровне стандарт HDLC.
Это всегда (в отличие от Ethernet) соединение «точка-точка», MAC там просто не нужен (данные всё равно кроме роутера-соседа никуда попасть не могут). При прохождении через такую среду, MAC-адрес будет удалён, затем, при возвращении в среду Ethernet, будет снова добавлен.
Другой пример протокол 2 уровня Frame Relay. Адресом тут является DLCI (Data Link Connection Identifier). Хотя Frame Relay как и HDLC устаревшие стандарты и в продакшене их встретить крайне сложно, следует помнить что MAC-адрес не единственный способ адресации на 2 уровне.
С точки зрения CCNA работа 2 уровня сфокусирована на MAC-адресе, так как он используется и в Ethernet, и в рассматриваемых в курсе беспроводных соединениях.
Сетевой уровень
Уровень 3. Основное назначение сетевого уровня адресация и маршрутизация пакетов.
Сетевой уровень принимает сегменты с транспортного уровня инкапсулирует в пакеты сетевого уровня и передаёт на канальный уровень.
На сетевом уровне адресом является IP адрес. Он имеет глобальное значение, используется для маршрутизации. То есть IP адреса отправителя и получателя не меняются на всём протяжении пересылки данных.
Исключение: прохождение пакета через NAT/PAT. При трансляции сетевых адресов (NAT/PAT) адрес источника подменяется на адрес интерфейса устройства с настроенным NAT/PAT. Когда придёт пакет-ответ, трансляция будет применена в обратную сторону.
Характеристики:
- Без установления соединения: перед отправкой пакетов данных соединение с узлом назначения не устанавливается;
- Доставка с максимальными усилиями (ненадёжная): доставка пакетов не гарантируется;
- Независимость от среды;
- Максимальная длина пакета IPv4 65535 байт: теоретически, однако при передаче по сетям различного типа длина пакета выбирается с учетом поддерживаемого размера данных для протокола нижнего уровня, несущего IP-пакеты.
IPv4 адрес имеет длину 32 бита и (для удобства) записывается в виде 4 десятичных цифр (октетов, название «октет», потому что десятичную цифру формируют как раз 8 бит), где каждая цифра от 0 до 255. Для работы с IPv4 адресами нужно знать двоичную систему счисления.
IPv6 адрес имеет длину 128 бит и записывается в виде 32 16-ричных цифр (1 цифра = 4 бита). Цифры (для удобства) сгруппированы по 4 (хекстеты, hex значит шестнадцатеричный), всего 8 хекстетов. Для работы с IPv6 адресами нужно знать как двоичную, так и шестнадцатеричную системы счисления.
IPv6 вводится потому, что количество адресов IPv4 исчерпано и мешает дальнейшему развитию Интернета. Внутри крупных провайдеров давно используется IPv6 и MP-BGP (IPv6 BGP).
Многие ошибочно считают, что различие IPv4 и IPv6 только в длине адреса. Это не так. В IPv6 исправлены и убраны все «костыли» IPv4:
- В IPv6 нет фрагментации пакетов. Ширина канала проверяется сразу с помощью Path MTU Discovery и MTU выставляется таким, чтобы пакеты не фрагментировались;
- В IPv4 каждое устройство имеет обычно 1 IPv4 адрес, в IPv6 каждое устройство обычно имеет несколько IPv6 адресов. Эти адреса разных типов и используются для разных целей. В частности это влияет на механизм и условия для установления соседства в динамических протоколах маршрутизации IGP;
- В IPv6 нет широковещания и связанных с ним проблем, таких как снижение производительности сети при большом количестве широковещательных запросов;
- Широковещательный протокол ARP заменён на Neighbor Discovery Protocol (NDP), который является частью ICMPv6. Запрос MAC адреса происходит через через запрос соседа Neighbor Solicitation (NS). Запрос NS передаётся мультикастом, что значительно разгружает сеть;
- При проходе через оборудование IPv6 пакета, оборудованию не нужно тратить вычислительные мощности на просчёт сетевой части адреса (как в IPv4). В IPv6 сетевая часть адреса строго 64 бита. При переходе на IPv6 нагрузка на оборудование снижается примерно на 30% (и более);
- В IPv6 нет NAT (такого, как в IPv4), все адреса доступны напрямую из Интернет. С одной стороны это удобство, с другой стороны требует установки файрвола и его настройки;
- В IPv6 в общем случае не нужен DHCP. В качестве DHCP выступает роутер (да-да, роутер). Согласовываются все типы IPv6 адресов, включая «белый» адрес для интернета. При этом никой настройки роутера производить не нужно (независимо от модели, ПО и вендора), используется механизм SLAAC нативный для IPv6.
Широковещание
Термин «широковещание» относится как ко 2 (канальному), так и к 3 (сетевому) уровням. Для 2 уровня — это отправка кадров с MAC-адресом назначения FFFF.FFFF.FFFF (в двоичном формате такой MAC состоит из одних 1).
Примером широковещательного кадра является ARP, захватим его с помощью Wireshark. Поверх заголовка 2 уровня навешивается заголовок протокола ARP. MAC-адрес получателя неизвестен, поэтому там нули:
Ethernet II, Src: 50:81:f3:00:95:00 (50:81:f3:00:95:00), Dst: Broadcast (ff:ff:ff:ff:ff:ff) - информация удалена для краткости Address Resolution Protocol (request) Hardware type: Ethernet (1) Protocol type: IPv4 (0x0800) Hardware size: 6 Protocol size: 4 Opcode: request (1) Sender MAC address: 50:81:f3:00:95:00 (50:81:f3:00:95:00) Sender IP address: 192.168.100.2 Target MAC address: 00:00:00_00:00:00 (00:00:00:00:00:00) Target IP address: 192.168.100.1
Для 3 уровня:
- Выполняется на IPv4 адрес 255.255.255.255 (такой IP состоит в двоичном формате из одних 1) в локальной сети: «все компьютеры данной локальной сети». Называется — ограниченная широковещательная рассылка (MAC-адрес назначения при этом FFFF.FFFF.FFFF). Жестко ограничена доменом широковещания, как и для широковещания на 2 уровне. Маршрутизаторы не пересылают ограниченную широковещательную рассылку.
Как пример можно взять запрос DHCP Discover, привожу сокращённую информацию из Wireshark (только заголовки):
Ethernet II, Src: 50:5b:68:00:02:00 (50:5b:68:00:02:00), Dst: Broadcast (ff:ff:ff:ff:ff:ff) Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255 User Datagram Protocol, Src Port: 68, Dst Port: 67 Dynamic Host Configuration Protocol (Discover)
- Или выполняется на широковещательный адрес в удалённой сети, называется — прямая широковещательная рассылка. К примеру, если локальная подсеть 192.168.1.0/24, а удалённая 192.168.2.0/24, то широковещательный адрес в удалённой сети: 192.168.2.255, «все компьютеры в данной удалённой сети». То есть выделяется сетевая часть и оставшиеся биты заполняются 1.
По умолчанию маршрутизаторы не пересылают запросы прямой широковещательной рассылки через свои интерфейсы, но их можно для этого настроить. На практике такое применение встретил 1 раз, когда нужно было использовать Wake-on-LAN для компьютеров в удалённой сети.
Широковещание снижает производительность сети, так как все хосты домена должны принять и обработать такой широковещательный запрос. Таким образом широковещание необходимо ограничивать. Излишний широковещательный трафик называется широковещательным флудом (не путать с широковещательным штормом, который относится к STP).
Итого: пользуйтесь Wireshark, наглядно поможет разобрать что из чего состоит. А для этого установите EVE-NG, на моём сайте есть статья как это сделать.
Сегментация сети
Единственный путь снижения широковещательного трафика — уменьшение количества хостов в сети. Как уже говорил, достигается путём сегментации сети: разделения сети на логические сегменты с различной IPv4 адресацией:
- С помощью разделения сети на VLANs (коммутаторами);
- С помощью разделения сети устройствами 3 уровня (маршрутизаторами).
Негласным стандартом размера сегмента является сеть по 24 маске (254 хоста) и более мелкие сегменты (25-29 маска). Конечно можно использовать и более крупные сегменты, но только при отсутствии проблем с производительностью такого сегмента сети.
Любой хост генерирует какое-то количество широковещательного трафика. Обычно основные источники широковещательного флуда — сетевые принтеры. Если их много, лучше будет отделить эти принтеры в отдельный сегмент.
Второе правило — выделять в отдельный сегмент IP-телефоны. Такое разделение уменьшает количество хостов в пользовательской подсети вдвое: в одном сегменте остаются только рабочие станции сотрудников, в другом только принадлежащие им IP-телефоны.
При достаточном количестве серверов они также отделяются в отдельный сегмент или даже в несколько сегментов (по функционалу, безопасности и прочее). Хорошо спроектированная сеть всегда поделена на достаточное количество сегментов.
Кроме этого может присутствовать временная широковещательная нагрузка, например утром, когда включается большое количество хостов и с них идёт активное обращение к DHCP-серверу. В такие моменты сеть может испытывать кратковременное снижение производительности.
Что тут ещё? На самом деле при правильной архитектуре сети, сервера не просто выделены в отдельный VLAN, а находятся в серверной ферме. Она прицеплена к уровню ядра сети, об этом подробнее написано в следующих частях материалов CCNA.
Транспортный уровень
Уровень 4. Основное назначение транспортного уровня — принимать данные от приложений верхних уровней, сегментировать, то есть нарезать эти данные на куски, затем инкапсулировать в сегменты транспортного уровня и передавать на сетевой уровень.
На транспортном уровне адресом является номер порта имеет глобальное значение, так как однозначно определяет приложение.
На транспортном уровне находятся протоколы TCP и UDP. Главное их отличие в том, что TCP гарантирует доставку, а UDP нет. TCP более надёжный протокол, UDP — более быстрый.
Мультиплексирование — по 1 физическому каналу одновременно передаётся несколько логических потоков данных. Мультиплексирование доступно как раз благодаря сегментации:
Рукопожатие TCP
TCP при пересылке сегментов устанавливает соединение — сеанс связи (для UDP сеанса нет, сегменты просто отправляются). Установка соединения выполняется в 3 этапа и называется «рукопожатие TCP»:
Завершение сеанса TCP в 4 этапа:
Зачем используется 3 разных адреса?
Почему нельзя, допустим, сделать только 1 адрес — IP, а MAC адрес и номер порта убрать?
Допустим, мы убрали номер порта, пакет приходит на компьютер назначения, компьютер распаковывает пакет до заголовка транспортного уровня, номера порта в нём нет и значит непонятно для какого приложения или службы предназначается эта информация.
Что будет если мы убрали MAC-адреса? Допустим, нам нужно передать информацию на удалённый сервер в интернете. Наш компьютер успешно отправляет пакет на шлюз по умолчанию. Это наш роутер. Роутер получает пакет, в нём IP компьютера отправителя и IP сервера получателя. Как роутеру понять что этот пакет предназначен для него и этот пакет нужно обработать? На основании чего?
Для этого и нужен MAC-адрес. Роутер видит свой MAC в заголовке кадра и чужой IP в заголовке пакета и «понимает», что пакет нужно переслать дальше согласно своей таблицы маршрутизации. Примерно так это работает.
Принципы коммутации
Необходимо знать как коммутатор пересылает кадры. У коммутатора есть таблица MAC-адресов CAM table (Content Addressable Memory — разновидность оперативной памяти). В такой таблице может храниться несколько тысяч MAC-адресов (обычно 8-16K). При запуске коммутатора таблица пуста, по мере прохождения кадров таблица заполняется.
При поступлении кадра на порт, в CAM таблицу записывается пара: MAC-источника и порт. Через некоторое время коммутатор знает все MAC-адреса подключённых устройств для каждого порта и держит эту информацию в таблице САМ.
Пересылка кадра происходит следующим образом:
- При поступлении кадра на порт в таблице CAM ищется MAC-адрес назначения;
- Если адрес найден, то кадр отправляется через привязанный к MAC-адресу порт;
- Если адрес не найден, то кадр отправляется через все порты коммутатора, за исключением порта откуда кадр поступил.
IOS
IOS — проприетарная (собственность CISCO) операционная система для сетевых устройств. Со временем она стала стандартом в области интерфейса настройки. И многие другие вендоры используют CISCO-подобный интерфейс (Eltex, Qtech, Dionis, S-Terra..) с некоторыми собственными отличиями и наработками.
Выучив устройство и синтаксис IOS, сетевой инженер получает навык настраивать множество устройств разных производителей. Поэтому это так важно. Однако есть совсем непохожие на CISCO интерфейсы настройки, например, Huawei.
Общие сведения
Главная особенность — IOS иерархическая ОС. Разные функции настраиваются в разных по иерархии режимах. В иерархическом порядке режимов IOS основными режимами являются (от базового до наиболее специализированного):
- Пользовательский режим (Router>);
- Привилегированный режим (Router#);
- Режим глобальной конфигурации (Router(config)#);
- Другие специальные режимы конфигурации, которые являются вложенными по отношению к режиму глобальной конфигурации — такие, например, как режим конфигурации интерфейса (Router(config-if)#).
В каждом режиме доступны свои команды, при этом основное конфигурирование производится в режиме глобальной конфигурации. В привилегированном режиме выполняются команды просмотра настроек, управления запущенными процессами, команды для работы с файловой системой и конфигурацией устройства. В пользовательском режиме доступен ограниченный набор базовых команд. Специфические настройки выполняются из режима интерфейса, режима роутера или другого специального режима.
Переход между режимами
Изначально устройство загружается в пользовательский режим. Чтобы перейти в вышестоящие режимы:
Router>enable -> Router# Router#configure terminal -> Router(config)#
Если для привилегированного режима и режима глобальной конфигурации команды постоянны и их всего 2 — enable и configure terminal, то для перехода в специальный режим применяются различные команды:
Router(config)#interface f0/0 -> Router(config-if)#
Обратный переход выполняется командой:
exit
Переход с любого вышележащего уровня сразу в привилегированный режим осуществляется командой:
end
На вышележащем уровне возможно выполнение команд привилегированного режима с помощью добавления перед командой:
do
Команды и контекстная справка
Команды можно сокращать, если сокращение однозначно определяет команду configure terminal -> config t.
router ? - информация о протоколах маршрутизации
Ошибки команды в IOS
Три типа ошибок:
- Неоднозначная команда;
- Неполная команда;
- Неверная команда.
Горячие клавиши интерфейса IOS
- Стрелка вниз — позволяет пользователю пролистывать предыдущие команды вперед;
- Стрелка вверх — позволяет пользователю пролистывать предыдущие команды назад;
- Tab — завершает частично набранную команду или ключевое слово;
- Ctrl-А — перемещает в начало строки;
- Ctrl-Е — перемещает в конец строки;
- Ctrl-R — обновляет строку;
- Ctrl-Z — выходит из режима конфигурации и возвращает в пользовательский режим;
- Ctrl-C — выходит из режима конфигурации или прерывает текущую команду;
- Ctrl-Shift-6 — позволяет пользователю прервать процесс IOS, например, ping или traceroute.
Когда команда показывает больше выходных данных, чем может отобразить экран, внизу экрана появляется окно More. В случае появления запроса —More— нажмите Пробел для просмотра следующей части выходных данных. Чтобы просмотреть только следующую строку, нажмите клавишу Enter.
Первые полезные команды
Привилегированного режима:
show version
Показывает расширенную информацию о программном и аппаратном обеспечении.
- Software version — версия программного обеспечения IOS (хранится во флеш памяти);
- Bootstrap version — версия программы начальной загрузки (хранится в загрузочном ПЗУ);
- System up-time — время с момента последней перезагрузки;
- System restart info — способ перезапуска (например, цикл включения-выключения, сбой системы);
- Software image name — имя файла образа IOS, хранящегося во флеш памяти;
- Router type and processor type — номер модели и тип процессора;
- Memory type and allocation (shared/main) — ОЗУ главного процессора и буферизация ввода/вывода пакета;
- Software features — поддерживаемые протоколы/наборы функций;
- Hardware interfaces — доступные на устройстве интерфейсы;
- Configuration register — спецификации загрузки, настройка скорости консоли и других параметров.
Как видно приводится довольно большое количество информации. Иногда в ней сложно разобраться, поэтому есть команды фильтрации содержимого (будет далее).
Режима глобальной конфигурации:
hostname name
Задать имя устройства, где name должно:
- Начинаться с буквы;
- Не содержать пробелов;
- Оканчиваться на букву или цифру;
- Содержать только буквы, цифры и тире;
- Содержать не более 64 символов.
История команд
Команды, которые производят несколько экранов выходных данных, по умолчанию приостанавливаются после 24 строк.
terminal length число - количества отображаемых страниц, 0 позволяет просмотреть выходные данные без приостановки
Это для коммутаторов и маршрутизаторов, а для ASA синтаксис другой:
terminal pager число - количества отображаемых страниц, 0 позволяет просмотреть выходные данные без приостановки
Зачем надо смотреть без приостановки? Допустим, чтобы записать конфигурацию в файл. Сделать это можно разными способами. Пользуюсь SecureCTR: File — Log session
Система записывает последние десять командных строк в своём буфере.
terminal history size число - увеличить или уменьшить размер буфера show history - отобразить содержимое буфера
Базовые настройки
Из режима глобальной конфигурации:
- Отключите поиск DNS;
no ip domain-lookup
- Присвойте имена устройствам в соответствии с топологией;
hostname name
- Назначьте пароль привилегированного режима EXEC;
enable secret password1
- Назначьте пароля пароль консоли и VTY и активируйте вход для консоли и VTY каналов;
line vty 0 15 - или 0 4 для маршрутизатора password password2 login
- Настройте logging synchronous для консоли и каналов VTY.
line console 0 logging synchronous
Базовые настройки безопасности
Из режима глобальной конфигурации:
- Настройте баннер MOTD (сообщение дня) для предупреждения пользователей о запрете несанкционированного доступа;
banner motd $ warning - само сообщение, 1 строчка или несколько $
- Зашифруйте все пароли;
service password-encryption
- Отключите все неиспользуемые физические порты;
interface range f0/1-10 shutdown
- Отключите основной текущий веб-сервис;
no ip http server no ip http secure-server
- Сохраните текущую конфигурацию в загрузочную конфигурацию.
copy running-config startup-config
Настройка попыток логина:
login block-for 120 attempts 3 within 60 - блокировать на 120 секунд после 3 неправильных попыток ввода пароля в промежутке 60 секунд
Ограничение на минимальную длину пароля:
security passwords min-length number
Установка тайм-аута:
Router(config)# line vty 0 15 - количество линий VTY может отличаться, точно посмотреть можно в текущей конфигурации Router(config-vty)# exec-timeout 10 0 - 10 минут
Предлагаю ознакомиться с расширенными методами безопасности в этой статье.
Работа с конфигурацией
Есть 2 конфигурации — начальная (startup-config) и текущая (running-config). Все изменения вносятся в текущую конфигурацию. Посмотреть текущую конфигурацию:
show running-config
Если текущую конфигурацию не сохранить в начальную, то после перезагрузки устройства все сделанные настройки пропадут:
copy running-config startup-config
Доступна обратная команда:
copy startup-config running-config
Кроме этого конфигурацию можно сохранить на внутреннюю флеш устройства, на USB-флеш носитель и на внешний TFTP сервер:
copy runnning-config flash:name copy runnning-config usbflash0:name copy running-config tftp - будут последовательно выводится вопросы об имени файла, IP адресе сервера
Также конфигурацию можно стереть:
erase startup-config
Маршрутизатор может сам выступить в роли TFTP сервера и раздать нужный файл:
tftp-server flash:file - файл file будет доступен для скачивания через TFTP клиент
Работа с файловой системой
Зависит от версии IOS, на старых IOS какие-то команды могу не работать.
show file systems
Команды навигации и просмотра:
dir - вывод файлов текущего каталога pwd - вывод имени текущего каталога cd nvram: - перейти в каталог more flash:file - посмотреть содержимое file прям в IOS show flash: (или dir flash:) - просмотреть flash:
Удалить файл:
delete file
Удалить директорию:
delete /force /recursive
Загрузка устройства CISCO
- Коммутатор загружает программу самотестирования при включении питания (POST), хранящуюся в ПЗУ. POST проверяет ЦП подсистемы. Программа тестирует ЦП, оперативную динамическую память (DRAM) и часть флеш-устройств, составляющих файловую систему флеш-памяти.
- На коммутаторе запускается программное обеспечение начального загрузчика — это небольшая программа, которая хранится в ПЗУ и запускается сразу после успешного завершения проверки POST.
- Начальный загрузчик выполняет низкоуровневую инициализацию ЦП. Он инициализирует регистры ЦП, которые контролируют физическую память, количество памяти и скорость.
- Программа запускает файловую систему флеш-памяти на материнской плате.
- Начальный загрузчик находит и загружает образ операционной системы IOS по умолчанию и передаёт ей управление коммутатором.
Указание места для загрузки IOS:
boot system расположение/имя
Виды памяти:
Если команда boot system не задана, то загрузчик загрузит 1 образ IOS, который он найдет на флеш.
Просмотр источника загрузки IOS:
show bootvar - чтобы увидеть, как настроена текущая загрузка IOS, show boot в предыдущих версиях IOS
Просмотр соседних устройств CISCO
Для просмотра используется проприетарный протокол CDP:
show cdp neighbors - упрощенный просмотр show cdp neighbors detail - показывает также IP и версию IOS
Просмотр информации на устройстве CISCO
Информация о текущих настройках и состояниях на устройствах CISCO просматривается в привилегированном режиме с помощью команд show. Этих команд очень много.
Пример.
show flash - просмотр флеш show file systems - просмотр файловой системы show protocols - просмотр протокола маршрутизации show version - просмотр информации об устройстве show history - просмотр истории команд show interfaces - просмотр информации об интерфейсах начиная со 2 уровня show ip interfaces - просмотр информации об интерфейсах начиная с 3 уровня show mac address-table - для коммутатора show arp - для маршрутизатора show ip route static - просмотр статических маршрутов show ip route rip - просмотр маршрутов RIP show ip route ospf - просмотр маршрутов OSPF
Кроме самих команд вывода, их вывод можно фильтровать с помощью выборки { section | include | exclude | begin }. Выборка указывается после вертикальной черты.
Параметры фильтрации:
- section — показать целый раздел, который начинается с заданного фильтра;
- include — включить все строки выходных данных, которые соответствуют заданному фильтру;
- exclude — исключить все строки выходных данных, которые соответствуют заданному фильтру;
- begin — показать все строки выходных данных от конкретного места, начиная с линии, которая соответствует заданному фильтру.
show controllers f0/0 | include Port Status
Команды, которые производят несколько экранов выходных данных, по умолчанию приостанавливаются после 24 строк. В конце приостановленных выходных данных отображается текст —More—. Для вывода следующей строки нажмите ВВОД, а для отображения набора строк нажмите ПРОБЕЛ. Для указания количества отображаемых страниц используйте команду:
terminal length число
Значение 0 позволяет просмотреть выходные данные без приостановки в процессе вывода данных на экран.
Второй способ получения информации — команды отладки привилегированного режима debug. Этих команд тоже очень много. В отличии от show, команды debug выводят информацию в реальном времени. Команды debug используют много ресурсов CPU устройства, поэтому после получения информации отладку нужно остановить:
undebug all
Классы сетей IPv4
Хотя классы сетей и являются устаревшими, но они долго использовались и на них завязано много разной информации, поэтому знать их надо. Например, мультикаст IPv4 это отдельный класс, таблица маршрутизации (по крайней мере CISCO) тоже использует классическую классовую систему до сих пор. Чтобы нормально разобраться с классами подсетей нужно знать двоичную систему счисления, а для маршрутизации она просто необходима. Обязательно нужно выучить.
CIDR и VLSM
Бесклассовая адресация (Classless Inter-Domain Routing, CIDR) — метод IP адресации, позволяющий гибко управлять пространством IP-адресов, не используя жёсткие рамки классовой адресации.
Бесклассовая адресация основывается на переменной длине маски подсети (variable length subnet mask, VLSM), в то время, как в классовой (традиционной) адресации длина маски строго фиксирована.
Зачем была введена? Разбиение сети на классы оказалось неудобным и негибким. При выделении организации адресного пространства на основе классов, выделялось много лишних адресов из-за фиксированной маски. Адреса стали быстро истощаться. Чтобы выделять организации произвольный кусок адресного пространства (точно соответствующий её потребностям), нужно было отвязаться от классов (A, B и C).
Почему сразу не внедрили VLSM? На заре интернета никто и подумать не мог, что интернет будет расти подобно взрыву и 4 миллионов IPv4 адресов может не хватить. Поэтому в VLSM по началу просто не было необходимости.
Пример. Разбиение сети класса C (/24) на 8 подсетей (/27):
Теперь вместо того чтобы предложить 1 подсеть класса C 1 организации, можно предложить эту же подсеть сразу 8 разным организациям.
IPv6 адресация
Улучшения по сравнению с IPv4
К улучшениям, которые предлагает протокол IPv6, относятся следующие.
- Расширенное адресное пространство: IPv6-адреса используют 128-битную иерархическую адресацию, в отличие от протокола IPv4, использующего 32 бита. Это существенно увеличивает количество доступных IP-адресов;
- Улучшенная обработка пакетов: структура заголовка IPv6 была упрощена благодаря уменьшению количества полей. Это повышает обработку пакетов промежуточными маршрутизаторами, а также предоставляет поддержку расширений и дополнительных параметров, обеспечивая повышенную масштабируемость и долговечность;
- Отсутствие необходимости в использовании NAT: благодаря большому количеству общедоступных IPv6-адресов трансляция сетевых адресов (NAT) не требуется. Клиентские узлы, от самых крупных предприятий до жилых домов, могут получить общедоступный сетевой IPv6-адрес. Это позволяет устранить некоторые проблемы, связанные с преобразованием сетевых адресов, которые возникают при работе приложений, требующих наличия сквозного подключения;
- Интегрированная безопасность: протокол IPv6 изначально обладает средствами для аутентификации и обеспечения конфиденциальности. При использовании протокола IPv4 для этого требовалось реализовать дополнительные функции.
В IPv6 нет широковещания — используется мультикаст. Нет фрагментации — размер MTU высчитывается предварительно с помощью MTU Path Discovery. Нет ARP — используется Neighbor Discovery Protocol (NDP или nd).
Общие сведения
В отличие от IPv4-адресов, которые выражены в десятичном формате с разделительными точками, IPv6-адреса представлены с помощью шестнадцатеричных значений. Длина IPv6-адресов составляет 128 бит, написанных в виде строки шестнадцатеричных значений. Каждые 4 бита представлены одной шестнадцатеричной цифрой, причём общее количество шестнадцатеричных значений равно 32. IPv6-адреса не чувствительны к регистру, их можно записывать как строчными, так и прописными буквами. Предпочтительный формат для записи IPv6-адреса: X: X: X: X: X: X: X: X, где каждый X называется хекстет и состоит из четырёх шестнадцатеричных значений.
Правила сокращения адреса
Первое правило: для сокращения записи IPv6-адресов — пропуск всех ведущих нулей в шестнадцатеричной записи. Например:
- 01AB можно представить как 1AB
- 09F0 можно представить как 9F
Это правило применяется только к ведущим нулям, а не к последующим, иначе адрес будет записан неясно.
Второе правило: для сокращения записи адресов IPv6 заключается в том, что двойное двоеточие (::) может заменить любую единую, смежную строку одного или нескольких 16-битных сегментов (хекстетов), состоящих из нулей.
Двойное двоеточие (::) может использоваться в адресе только 1 раз, в противном случае в результате может возникнуть несколько адресов.
Типы адресов
Существует 3 типа IPv6-адресов:
- Uincast (Индивидуальный): служит для определения интерфейса на устройстве под управлением протокола IPv6. Как показано на рисунке, IPv6-адрес источника должен быть индивидуальным;
- Multicast (Групповой): используется для отправки IPv6-пакетов по нескольким адресам назначения;
- Anycast (Произвольный): любой индивидуальный IPv6-адрес, который может быть назначен нескольким устройствам. Пакет, отправляемый на адрес произвольной рассылки, направляется к ближайшему устройству с этим адресом.
В отличие от протокола IPv4, IPv6 не использует адрес широковещательной рассылки. Однако есть групповой IPv6-адрес для всех узлов, который даёт аналогичный результат.
Префикс
Префикс, или сетевая часть адреса IPv4, может быть обозначен маской подсети в десятичном формате с разделительными точками или длиной префикса (запись с наклонной чертой). Например, IP-адрес 192.168.1.10 с маской подсети в десятичном формате с разделительными точками 255.255.255.0 эквивалентен записи 192.168.1.10/24.
Протокол IPv6 использует длину префикса для обозначения части префикса адреса. IPv6 не использует для маски подсети десятичное представление с разделительными точками. Длина префикса обозначает сетевую часть IPv6-адреса.
Диапазон длины префикса может составлять от 0 до 128. Традиционная длина IPv6-префикса для локальных и других типов сетей — /64. Это означает, что длина префикса, или сетевая часть адреса, составляет 64 бита, а оставшиеся 64 бита остаются для идентификатора узловой части адреса.
Индивидуальные IPv6 адреса
Индивидуальный адрес служит для определения интерфейса устройства под управлением протокола IPv6. Пакет, который отправляется на индивидуальный адрес, будет получен интерфейсом, присвоенным для этого адреса. Как и в случае с протоколом IPv4, IPv6-адрес источника должен быть индивидуальным. IPv6-адрес назначения может быть как индивидуальным, так и групповым.
Существует шесть типов индивидуальных IPv6-адресов:
Глобальный индивидуальный адрес
Глобальный индивидуальный адрес мало чем отличается от публичного IPv4-адреса. Эти адреса, к которым можно проложить маршрут по Интернету, являются уникальными по всему миру. Глобальные индивидуальные адреса могут быть настроены статически или присвоены динамически. В динамическом назначении IPv6-адреса устройством имеются некоторые важные отличия по сравнению с динамическим назначением IPv4-адреса.
Локальный адрес канала
Локальные адреса канала используются для обмена данными с другими устройствами по одному локальному каналу. В протоколе IPv6 термин «канал» означает подсеть. Локальные адреса каналов ограничены одним каналом. Они должны быть уникальны только в рамках этого канала, поскольку вне канала к ним нельзя проложить маршрут. Другими словами, маршрутизаторы не смогут пересылать пакеты, имея локальный адрес канала источника или назначения.
Логический интерфейс Loopback
Loopback адрес используется узлом для отправки пакета самому себе и не может быть назначен физическому интерфейсу. Как и на loopback-адрес IPv4, для проверки настроек TCP/IP на локальном узле можно послать эхо-запрос на loopback-адрес IPv6. Loopback-адрес IPv6 состоит из нулей, за исключением последнего бита, который выглядит как ::1/128 или просто ::1 в сжатом формате.
Неопределённый адрес
Неопределённый адрес состоит из нулей и в сжатом формате представлен как ::/128 или просто :: Он не может быть назначен интерфейсу и используется только в качестве адреса источника в IPv6-пакете. Неопределённый адрес используется в качестве адреса источника, когда устройству еще не назначен постоянный IPv6-адрес или когда источник пакета не относится к месту назначения.
Уникальный локальный адрес
Уникальные локальные адреса используются для локальной адресации в пределах узла или между ограниченным количеством узлов. Эти адреса не следует маршрутизировать в глобальном протоколе IPv6. Уникальные локальные адреса находятся в диапазоне от FC00::/7 до FDFF::/7.
Встроенный IPv4
Последними из рассматриваемых типов индивидуальных адресов являются встроенные IPv4-адреса. Использование этих адресов способствует переходу с протокола IPv4 на IPv6.
Сводная таблица
Адрес | Маска | Роль | Описание |
---|---|---|---|
::/128 | 128 | Неопределённый | — |
::/0 | 0 | Вся сеть | Аналог 0.0.0.0 в IPv4. |
::1 | 128 | Loopback | Аналог 127.0.0.1 в IPv4. |
::X.X.X.X | 96 | Встроенный IPv4 | IPv4 совместимый. Устарел, не используется. X.X.X.X — 32 бита (IPv4 адрес). |
::ffff:X.X.X.X | 96 | IPv4, отображённый на IPv6 | Одновременная обработка и IPv4, и IPv6 соединений. |
2000:: — 3FFF:: | 3 | Global Unicast | Аналог публичного IPv4-адреса — 1/8 от всего доступного адресного пространства IPv6. |
2001:db8:: | 32 | Тестовый | Зарезервирован для примеров. |
fe80:: — febf:: | 10 | Link-local | Аналог 169.254.0.0/16 в IPv4. |
fc00:: — fdff:: | 7 | Unique Local Unicast | Пришёл на смену Site-Local. |
ff00:: | 8 | Multicast | — |
Локальные индивидуальные IPv6 адреса канала
Локальный IPv6-адрес канала позволяет устройству обмениваться данными с другими устройствами под управлением IPv6 по одному и тому же каналу и только по данному каналу (подсети). Пакеты с локальным адресом канала источника или назначения не могут быть направлены за пределы того канала, в котором пакет создаётся.
В отличие от локальных IPv4-адресов канала, локальные адреса канала IPv6 играют важную роль в различных аспектах сети. Глобальный индивидуальный адрес не обязателен. Однако для содержания локального адреса канала необходим сетевой интерфейс под управлением протокола IPv6.
Если локальный адрес канала не настроен вручную на интерфейсе, устройство автоматически создаёт собственный адрес, не обращаясь к DHCP-серверу. Узлы под управлением IPv6 создают локальный IPv6-адрес канала даже в том случае, если устройству не был назначен глобальный IPv6-адрес. Это позволяет устройствам под управлением IPv6 обмениваться данными с другими устройствами под управлением IPv6 в одной подсети, в том числе со шлюзом по умолчанию (маршрутизатором).
Локальные IPv6-адреса канала находятся в диапазоне FE80::/10. Первый хекстет имеет диапазон от FE80 до FEBF.
Локальные IPv6-адреса также используются IPv6-протоколами маршрутизации для обмена сообщениями, а также в качестве следующего адреса пересылки в IPv6-таблице маршрутизации.
Примечание. Как правило, в качестве шлюза по умолчанию для других устройств в канале используется локальный адрес маршрутизатора, а не глобальный индивидуальный адрес.
Глобальный индивидуальный IPv6 адрес
Администрации адресного пространства Интернет (IANA), выделяет блоки IPv6-адресов пяти региональным интернет-регистраторам (RIR). В настоящее время назначаются только глобальные индивидуальные адреса с первыми тремя битами 001 или 2000::/3. Это лишь 1/8 от всего доступного адресного пространства IPv6, за исключением очень незначительного количества других типов адресов индивидуальных и групповых адресов.
Примечание. Адрес 2001:0DB8::/32 был зарезервирован для документации, в том числе для использования в примерах.
Глобальный индивидуальный адрес состоит из трёх частей:
- Префикс глобальной маршрутизации;
- Идентификатор подсети;
- Идентификатор интерфейса.
Префикс глобальной маршрутизации
Префикс глобальной маршрутизации — это префиксальная или сетевая часть адреса, назначаемая интернет-провайдером заказчику или узлу. В настоящее время /48 является префиксом глобальной маршрутизации, который в настоящее время интернет-регистраторы назначают своим заказчикам — корпоративным сетям и индивидуальным пользователям. Этого адресного пространства более чем достаточно для большинства заказчиков.
Пример. IPv6-адрес 2001:0DB8:ACAD::/48 обладает префиксом, который обозначает, что первые 48 бит (3 хекстета) (2001:0DB8:ACAD) — это префиксальная или сетевая часть адреса. Двойное двоеточие (::) перед длиной префикса /48 означает, что остальные адреса состоят из нулей.
Идентификатор подсети
Идентификатор подсети используется организациями для обозначения подсетей в каждом узле.
Идентификатор интерфейса
Идентификатор IPv6-интерфейса эквивалентен узловой части адреса IPv4-адреса. Термин идентификатор интерфейса используется в том случае, когда один узел может иметь несколько интерфейсов, каждый из которых обладает одним или более IPv6-адресами.
Примечание. В отличие от IPv4, при использовании протокола IPv6 устройству можно назначить адрес узла, состоящий из одних 0 или из одних 1. Адрес из одних 1 можно использовать по той причине, что в протоколе IPv6 не используются широковещательные адреса. Можно также использовать адрес из одних 0, но он зарезервирован в качестве адреса произвольной рассылки Subnet-Router, и его следует назначать только маршрутизаторам.
Групповые адреса
Групповой адрес используется для отправки одного пакета по одному или нескольким назначениям (группе мультивещания). Групповые IPv6-адреса имеют префикс FF00::/8.
Примечание. Групповые адреса могут быть только адресами назначения, а не адресами источника.
Существует два типа групповых IPv6-адресов:
- Присвоенный групповой адрес;
- Групповой адрес запрошенного узла.
Присвоенный групповой адрес
Присвоенные групповые адреса зарезервированы для заданных групп устройств. Присвоенный групповой адрес — это один адрес, используемый для осуществления связи с группой устройств, работающих на одном протоколе или сервисе. Присвоенные групповые адреса используются вместе с конкретными протоколами, например с протоколом DHCPv6.
Рассмотрим две распространённые группы присвоенных групповых IPv6-адресов.
- Группа мультивещания для всех узлов FF02::1. Это группа мультивещания, к которой подключены все устройства под управлением протокола IPv6. Пакет, отправленный этой группе, получается и обрабатывается всеми IPv6-интерфейсами в канале или сети;
- Группа мультивещания для всех маршрутизаторов FF02::2. Это группа мультивещания, к которой подключены все IPv6 маршрутизаторы. Маршрутизатор становится частью этой группы, когда переходит под управление протоколом IPv6 с помощью команды глобальной конфигурации ipv6 unicast-routing. Пакет, отправленный этой группе, получается и обрабатывается всеми IPv6-маршрутизаторами в канале или сети.
Устройства под управлением протокола IPv6 отправляют сообщения с запросом маршрутизатора групповому адресу для всех маршрутизаторов. Такие сообщения запрашивают у IPv6-маршрутизатора объявление маршрутизатора, чтобы помочь устройству в процессе адресной конфигурации.
Групповой адрес запрашиваемого узла
Все устройства в сети должны обрабатывать трафик, отправляемый на адрес всех узлов. Для уменьшения количества устройств, которым необходимо обрабатывать трафик, используйте групповой адрес запрашиваемого узла.
Групповой адрес запрашиваемого узла — это адрес, который соответствует только 24 битам глобального индивидуального IPv6-адреса устройства. Обрабатывать эти пакеты должны только те устройства, которые имеют аналогичные 24 бита в наименее значащей, крайней правой части идентификатора интерфейса.
Групповой IPv6-адрес запрашиваемого узла создаётся автоматически при назначении глобального индивидуального адреса или локального адреса канала. Групповой IPv6-адрес запрашиваемого узла создаётся посредством объединения специального префикса FF02:0:0:0:0:1:FF00::/104 с крайними правыми 24 битами его индивидуального адреса.
Групповой адрес запрашиваемого узла состоит из 2 частей.
- Групповой префикс FF02:0:0:0:0:1:FF00::/104: первые 104 бита группового адреса запрашиваемого узла;
- Наименее значимые 24 бита: последние или крайние правые 24 бита группового адреса запрашиваемого узла. Эти биты копируются из крайних правых 24 битов глобального индивидуального адреса или локального адреса канала устройства.
Существует вероятность того, что у нескольких устройств будет один и тот же групповой адрес запрашиваемого узла, но это не является проблемой.
Настройка интерфейсов CISCO
Коммутатор
Auto MDIX может определять типа кабеля и с наличием этой функции можно соединить 2 устройства по витой паре и прямым, и кроссовым кабелем. Если такой функции нет, то выполняется правило:
- Для устройств одного уровня — кросс;
- Для устройств разных уровней — прямой.
Пример. Два компьютера кросс, два коммутатора кросс, коммутатор/компьютер прямой, коммутатор/маршрутизатор прямой.
Дуплекс и скорость:
duplex auto - настройка по умолчанию, speed auto - настройка по умолчанию, mdix auto - настройка по умолчанию, только если duplex и speed - auto, работает на 2960, на 2950 такой настройки нет
Работа с интерфейсом:
interface interface - вход в режим настройки интерфейса description строка - добавление описания к интерфейсу, описание видно при просмотре текущей конфигурации no shutdown - включение интерфейса shutdown - отключение интерфейса switchport параметры - основная команда работы с интерфейсом на уровне 2 exit - выход из режима настройки интерфейса
По умолчанию интерфейс коммутатора является интерфейсом уровня 2, чтобы перевести порт в режим маршрутизируемого порта:
no switchport - перевод порта в режим уровня 3, работает только для коммутаторов уровня 3
Интерфейс SVI
VLAN-интерфейс SVI (Switch Virtual Interface) — это виртуальный интерфейс на коммутаторе. Служит 2 основным целям:
- Доступ к коммутатору по протоколу SSH или Telnet;
- Маршрутизация между VLAN, где SVI выступает в роли шлюза по умолчанию для данной VLAN.
interface vlan number - вход в режим настройки интерфейса vlan ip address ip-address mask - установка IP адреса no ip address - удаление IP адреса exit - выход из режима настройки интерфейса vlan
Маршрутизатор
Настройка IP адреса:
IPv4
interface interface - вход в режим настройки интерфейса ip address ip-address mask - установка IP адреса no ip address - удаление IP адреса exit - выход из режима настройки интерфейса
IPv6
Для работы с IPv6 должна быть включена IPv6 маршрутизация:
ipv6 unicast-routing
interface interface - вход в режим настройки интерфейса ipv6 address ipv6-address/prefix-length { eui-64 } - eui-64: 64 бита для идентификатора интерфейса формируются на основании MAC адреса устройства. MAC адрес состоит из 48 бит. MAC адрес делится на две части по 24 бита каждая. Между этими частями вставляются шестнадцатеричные цифры FFFE. Седьмой по порядку бит полученного адреса меняется на противоположный. ipv6 address link-local-address link-local no ipv6 address - удаление IP адреса exit - выход из режима настройки интерфейса
Интерфейс может сгенерировать собственный локальный IPv6-адрес канала после введения глобального индивидуального адреса, но для удобства восприятия адреса лучше ввести его вручную, например fe80::1.
Поскольку link-local имеет локальное значение, то удобнее вводить его одинаковым на всех интерфейсах маршрутизатора.
Интерфейс может сгенерировать собственный локальный IPv6-адрес канала без введения глобального индивидуального адреса с помощью команды конфигурации интерфейса:
ipv6 enable
Логические интерфейсы маршрутизатора
На маршрутизаторе можно активировать несколько логических интерфейсов Loopback. Такой интерфейс всегда включён. Это преимущество по сравнению с физическим интерфейсом. Оно используется когда к интерфейсу Loopback привязываются различные функции маршрутизатора: DHCP, динамические протоколы маршрутизации. Так что интерфейс Loopback довольно таки полезная и нужная вещь.
IP адрес для каждого интерфейса Loopback должен быть уникальным и не должен быть задействован другим интерфейсом
interface loopback number ip address ip-address mask exit
Существует множество других логических интерфейсов: Dialer для PPPoE, Tunnel для GRE и так далее.
Просмотр настроек интерфейса
Команды одинаковы для коммутатора и для маршрутизатора:
show interfaces interface - просмотр настроек 2 уровня show ip interface interface - просмотр настроек 3 уровня show ip interface brief - обобщенные настройки 3 уровня для всех интерфейсов
Небольшое отличие для коммутатора
show interfaces interface [switchport] - просмотр настроек уровня 2
Дополнительные интерфейсы CISCO
Это физические порты Console и AUX. Предназначены они для начальной настройки устройств и для аварийной перенастройки, когда удалённый доступ потерян.
Повсеместно для этих целей используется консольный порт. Консольный порт CISCO выделен голубым цветом и кабель к нему голубого цвета.
Консольный кабель подключается в COM-порт компьютера. На более современных моделях (как на картинке выше) есть консольный USB-порт. В качестве программы для подключения обычно используется Putty/SuperPutty, но лучший выбор SecureCRT.
Устаревший порт AUX может также использоваться локально, как и консольный порт, с прямым подключением к компьютеру, на котором работает программа эмуляции терминала. При этом консольный порт предпочтительнее порта AUX для поиска и устранения неполадок, так как он по умолчанию отображает сообщения о запуске, устранении неполадок и ошибках.
Настройка SSH
Для настройки SSH устройство должно поддерживать криптографию. Обычно для современных прошивок (версия больше 12.2) поддержка криптографии обозначается как k9 в названии прошивки.
c2800nm-ipbasek9-mz.124-8.bin
Порядок настройки состоит из 3 частей. Первая часть настройка в режиме глобальной конфигурации:
hostname name - имя устройства должно отличаться от имени по умолчанию ip domain-name name - необходимо задание доменного имени username name privelege 15 secret secret - настройка имени и пароля, уровень 15 даёт привилегии администратора на устройстве crypto key generate rsa - дальше нужно выбрать длину ключа 1024, по умолчанию 512 и нажать Enter. На основании имени и доменного имени устройства будет сгенерирован ключ SSH
После генерации ключа настройка в режиме конфигурирования линий VTY:
line vty 0 15 - обычно 0 15 для коммутатора и 0 4 для маршрутизатора, точно посмотреть можно выполнив show running-config transport input ssh - или ssh telnet, но telnet небезопасен login local - использовать локальные настройки для проверки входа exit - выход из режима настройки VTY
Настройка непосредственно SSH:
ip ssh version 2 - по умолчанию 1.99 ip ssh time-out 75 - от 1 до 120 секунд, по умолчанию 120 ip ssh authentication-retries 2 - от 0 до 5, по умолчанию 3
Просмотр настроек SSH:
show ssh - просмотр сессий SSH show ip ssh - просмотр непосредственно настроек - версия, тайм-аут и прочее
Удаление сгенерированного ключа:
crypto key zeroize rsa - удалить пару ключей
Часть 2
Вланы (VLANs, Virtual Local Area Network) основа основ коммутации, помимо прочтения необходима тренировка в Packet Tracer (PT). Рекомендую ознакомиться со статьёй по установке PT.
Вланы (VLANs)
Вланы придуманы чтобы поделить один физический коммутатор на несколько логических. Причины:
- Безопасность, компьютеры с ограниченным доступом выделяются в отдельный VLAN;
- Снижение широковещания, широковещание не выходит за пределы каждого VLAN;
- Разделение устройств по задачам и функциям, это просто удобно.
Вланы делят коммутатор так, что из одной VLAN другая VLAN недоступна. Для того чтобы связать VLANs между собой, каждую VLAN надо физически (кабелем) соединить с устройством 3 уровня и настроить маршрутизацию между VLANs. Или же использовать маршрутизацию на коммутаторе 3 уровня. При маршрутизации между VLANs удобно настроить списки доступа (ACL), чтобы задать правила, по которым конкретные компьютеры из одной VLAN получат доступ к компьютерам из другой VLAN (будет далее).
Тут надо отметить, что можно воткнуть патч-корд из порта одной VLAN в порт другой VLAN и эти VLANs будут соединены. Так никто не делает для продакшена, но может помочь, допустим, при траблшутинге.
Порты
Порты коммутатора могут быть в трёх состояниях:
- порт доступа (access);
- транковый порт (trunk);
- динамический порт (dynamic desirable или dynamic auto)
Порт доступа используется для конечных устройств (компьютеров). Транковый порт используется для соединения коммутаторов или коммутатора с маршрутизатором. Он переносит информацию сразу для нескольких VLANs. И иногда используется для серверов (например, для хоста виртуализации, на таком хосте может быть много виртуальных машин и каждая должна работать в своём влане).
Транковый порт был придуман чтобы не использовать отдельный физический кабель для каждой VLAN. На транке по умолчанию разрешены все существующие VLANs. Можно разрешить ограниченный набор VLANs через транк.
Динамический порт работает в режиме доступа, он готов сформировать транк через протокол DTP. Все порты на новом коммутаторе CISCO динамические (будет далее).
Подробнее VLANs
VLANs используются для сегментации коммутируемых сетей. Всего их может быть 4096 (0 — 4095). Почему так? Потому что есть стандарт 802.1Q и он описывает VLANs. В этом стандарте в кадре выделяется определённое количество бит (12) для указания принадлежности кадра к VLAN, максимально 2^12 = 4096.
- Все порты коммутатора принадлежат VLAN 1 по умолчанию после первоначальной загрузки нового коммутатора;
- Управляющая VLAN — это любая сеть VLAN, настроенная для доступа к функциям управления коммутатора.
vlan number - создание VLAN ( доступный диапазон 2-1001, 1006-4094) name name - присвоение имени (необязательно) exit - выход из режима конфигурирования VLAN
Замечание. VLAN непосредственно создаётся не в момент ввода команды vlan number, а в момент возврата в глобальную конфигурацию, то есть с командой exit.
VLAN 1 и 1002-1005 существуют всегда, их невозможно удалить, VLAN 4095 зарезервирована. Доступно создание VLAN из стандартного диапазона 2-1001 и из расширенного 1006-4094.
no vlan number - удаление VLAN delete flash:vlan.dat - удаление информации обо всех VLAN, обычно производится при сброса коммутатора на дефолтные настройки совместно с командой erase startup-config
Следует помнить, что при удалении VLAN, принадлежащие ей порты не возвращаются автоматически во VLAN1 (на самом деле зависит от IOS), а становятся «осиротевшими» (orphaned). Поэтому перед удалением VLAN нужно переназначить принадлежащие её порты другой VLAN.
Назначение VLAN для одиночного интерфейса:
interface interface - вход в режим настройки интерфейса switchport mode access - необязательно, но желательно в целях безопасности, порт переходит в режим постоянного доступа и не может формировать транковый канал через DTP (switchport trunk encapsulation dot1q - возможно необходим ввод этой команды для перевода в транк, зависит от версии IOS) switchport mode trunk - необязательно, но желательно в целях безопасности, порт переходит в режим постоянного транка switchport access vlan number - принадлежность порта доступа к VLAN exit - выход из режима настройки интерфейса
Назначение VLAN для группы интерфейсов:
interface range f0/1 – 24 switchport mode access switchport access vlan number exit - выход из режима настройки интерфейса
Порт в режиме доступа может принадлежать только одной VLAN. Исключение это ассиметричные VLANs (в курсе CCNA не изучаются, да и вообще используются редко, в основном на оборудовании D-Link).
Каждой VLAN должна соответствовать уникальная IP подсеть. Можно сделать несколько VLANs с одинаковой IP адресацией, но тогда они должны существовать изолированно (без маршрутизации между друг-другом).
switchport access vlan new_number - перевод порта в другую VLAN no switchport access vlan - перейдет во VLAN 1
Просмотр информации о VLAN:
show interfaces { interface | vlan number } | switchport show vlan { brief | id number | name name | summary }
Пример:
show vlan name student - информация о VLAN для учащихся show vlan summary- краткая информация по VLAN show interfaces vlan 20 - информация по интерфейсам vlan 20 show interfaces f0/18 switchport - информация об интерфейсе f0/18
Native VLAN
Тут рассказан сильно упрощённый вариант работы транка и Native VLAN. Для понимания и создания картинки в голове. Более подробно и жизненно в этой статье.
Все VLANs в транке передаются с тегом 802.1Q (набором бит, однозначно определяющим к какой VLAN принадлежит кадр).
- Тег существует только внутри транка;
Внутри VLAN кадр перемещается без тега 802.1Q и не знает что он принадлежит какой-то VLAN. При попадании в транк на одном коммутаторе кадру «навешивается» тег. Делается это чтобы кадры из разных VLANs в транке не перепутались. Когда кадр приходит по транку на другой коммутатор, тег «отрывается» от кадра и кадр передается в нужную влан, там он путешествует опять без тега.
- Сеть native VLAN назначена транковому порту 802.1Q
Есть единственная VLAN в транке, где кадры передаются без тега. Это Native VLAN (NV). Если коммутатор получает кадр без тега он передаёт его в NV. По умолчанию NV на всех транках это VLAN1. При изменении NV (для безопасности, так как существуют атаки на NV) важно следить чтобы NV на разных концах транка совпадала (иначе ошибка).
NV всегда неявно разрешена на танковом порту CISCO.
Рекомендации по VLANs
- Нужно настроить все неиспользуемые порты в сеть VLAN «чёрной дыры», которая никогда не используется в сети;
- Рекомендуется отключать неиспользуемые порты коммутатора;
- Управляющую VLAN, установленная по умолчанию сетью VLAN 1, следует заменить на другую VLAN;
- Весь управляющий трафик тегируется на транковых каналах идентификатором VLAN 1, поэтому рекомендуется изменить NV на сеть, отличную от VLAN 1;
- NV также должна отличаться от всех пользовательских сетей VLAN;
- Не используйте динамический автоматический (dynamic auto) или динамический рекомендуемый (dynamic desirable) режимы портов коммутатора;
- рекомендуется использовать отдельные VLAN для IP-телефонии и трафика данных чтобы не было конкуренции за полосу пропускания.
Типичная схема VLAN
- VLAN по умолчанию VLAN1 — без портов;
- Управляющая VLAN — с IP адресом (и прописан шлюз по умолчанию);
- Native VLAN для транковых портов сменена с VLAN1;
- Несколько VLAN для данных — все пользовательские порты;
- VLAN «чёрной дыры» — все неиспользуемые порты;
- Голосовая сеть VLAN.
Типичная схема подключения IP-телефона
Для экономии розеток (и что важнее портов коммутатора) компьютер подключается к IP-телефону, а тот к порту коммутатора. При этом на порту коммутатора используется транковый порт:
- NV = VLAN, которому принадлежит пользовательский компьютер;
- Разрешён только трафик для голосовой VLAN (NV добавится автоматом);
- На самом телефоне настроен голосовой VLAN (или же требуется настройка опций на DHCP, например, опции 242 для AVAYA)
Пример. Пользовательский VLAN 10, Voice VLAN 5
vlan 5 vlan 10 exit interface f0/1 switchport trunk encapsulation dot1q switchport mode trunk switchport trunk native vlan 10 switchport trunk allowed vlan 5
PVLAN
PVLAN (Private VLAN) — защищённая частная VLAN. У CISCO существует 2 концепции PVLAN:
- PVLAN Edge — более простая реализация для коммутаторов 2 уровня;
- PVLANs — расширенная реализация для коммутаторов 3 уровня
В курсе CCNA подробно рассматривается только PVLAN Edge.
PVLAN Edge
PVLAN Edge известен как защищённый (protected) порт.
Для функции сети PVLAN Edge характерны следующие свойства:
- Защищённый порт не пересылает никакой трафик одноадресный, многоадресный или широковещательный на какой-либо другой защищённый порт, кроме управляющего трафика. Трафик данных нельзя пересылать между защищёнными портами на 2 уровне;
- Если нужно пересылать какой-либо вид трафика данных между защищёнными портами, то это делается с помощью устройства 3 уровня;
- Пересылка между защищёнными портами запрещена только в пределах 1 коммутатора;
- Пересылка между защищённым и незащищённым портом происходит в обычном режиме;
- Защищённые порты необходимо настраивать вручную.
Настройка защищённого порта:
interface interface - вход в режим настройки интерфейса switchport mode access - необязательно, но желательно в целях безопасности, порт переходит в режим постоянного доступа и не может формировать транковый канал switchport protected - настройка защищённого порта exit - выход из режима настройки интерфейса
Удаление защищённого порта:
no switchport protected
Область применения: PVLAN Edge используется в простой сети в основном для изоляции физических серверов друг от друга, например веб-серверов. Если 1 из веб-серверов был скомпрометирован и злоумышленник получил к нему доступ, он не сможет атаковать остальные сервера, используя трафик 2 уровня между серверами.
PVLANs
Некоторые модели CISCO Catalyst Series не поддерживают PVLANs
Виды портов PVLANs:
- Isolated — это порты доступа, назначенные Isolated VLAN. Полностью отделены на 2 уровне от других портов, исключая promiscuous порты. Трафик из изолированного порта форвардится только в promiscuous порт;
- Promiscuous — это порты доступа, ассоциированные с Primary VLAN и обычно подключены к маршрутизатору или файрволу. Могут взаимодействовать со всеми портами в PVLANs, включая community и isolated. Шлюз по умолчанию обычно размещён на этом порту. Может обслуживать 1 Primary VLAN, 1 Isolated VLAN и несколько Community VLANs;
- Community — это порты доступа, назначенные Community VLAN. Community порты взаимодействуют между собой внутри своей VLAN и с promiscuous портами.
Порты PVLANs ассоциированы с набором поддерживаемых VLANs, которые необходимы для создания структуры PVLANs:
- Primary VLAN — несёт трафик от promiscuous портов к isolated, community и другим promiscuous портам;
- Isolated VLAN — несёт трафик от изолированных к promiscuous портам;
- Community VLAN — несёт трафик между community и promiscuous портами. Может быть несколько таких VLAN в PVLANs.
Isolated и Community VLANs называют secondary VLANs. Можно расширить PVLANs с помощью транков на другие устройства с поддержкой PVLANs.
Область применения: провайдер ISP изолирует клиентов друг от друга без потери адресного пространства и без дополнительных сложностей в настройке.
Типичная схема внедрения без использования PVLANs:
- Использование раздельных VLAN для пользователей;
- Разбиение используемого ISP приватного адресного пространства на подсети, выделение каждому пользователю своей подсети;
- Блокировка трафика между пользовательскими VLANs с помощью ACL.
Настройка PVLANs не рассматривается в этом курсе.
Подробно о Trunk’е
Транковый порт передаёт информацию для сразу нескольких VLAN.
Кадры в Native VLAN транка передаются нетегированными.
Когда транковый порт коммутатора CISCO получает нетегированные кадры, которые редко встречаются в хорошо спроектированной сети (за исключением пользовательских портов, где воткнут IP-телефон, рассказано выше), он пересылает эти кадры в сеть Native VLAN.
Размер кадра ETHERNET
Существует 2 стандартных размера кадра:
- Оба «старых» стандарта Ethernet II и IEEE 802.3 определяют минимальный размер кадра как 64 байта, а максимальный — 1518 байт. К этому количеству относятся все байты, начиная с поля «MAC-адрес назначения» и заканчивая полем «Контрольная последовательность кадра (FCS)». Поля «Преамбула» и «Начало разделителя кадра (SFD)» при описании размера кадра не включаются;
- Более «новый» стандарт IEEE 802.3ac, позволил увеличить максимальный допустимый размер кадра до 1522 байт кадр для транкового канала.
Кадр в транковом канале длиннее на 4 байта:
- Тип — это 2-байтовое значение, которое называется значением идентификатора протокола тегирования (TPID). Значение для Ethernet имеет вид шестнадцатеричного числа 0x8100;
- Приоритет пользователя (PRI) — это 3-битовое значение, которое поддерживает реализацию QoS;
- Идентификатор канонического формата (CFI) — это 1-битовый идентификатор, который обеспечивает передачу кадров Token Ring по каналам Ethernet (так написано в курсе, но сейчас этот бит переназначен для управления заторами);
- VLAN-идентификатор (VID) — это 12-битный идентификационный номер VLAN, который поддерживает до 4096 идентификаторов VLAN.
После того как коммутатор добавит поля типа и управляющей информации тега, он пересчитывает значения FCS и добавляет в кадр новое значение FCS.
Настройка транкового порта на коммутаторе:
interface interface - вход в режим настройки интерфейса (switchport trunk encapsulation dot1q - возможно необходим ввод этой команды для перевода в транк, зависит от версии IOS) switchport mode trunk - настройка в режиме транка, при просмотре транкового порта, режим транка будет - on switchport trunk native vlan number - задание Native VLAN для транка switchport trunk allowed vlan vlan-list - для задания разрешенных на транке VLAN, по умолчанию - все exit - выход из режима настройки интерфейса
Всегда должна быть одна и та же Native VLAN с обоих сторон транка. Если включен CDP он информирует о несовпадении Native VLAN на портах транкового канала.
Пример:
*Mar 1 06:45:26.232: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/1 (2), with S2 FastEthernet0/1 (99)
Настройка транкового порта на маршрутизаторе рассказана в части о маршрутизации — Router on a stick
Протокол DTP
DTP — протокол динамического создания транкового канала для коммутатора. Маршрутизатор не поддерживает протокол DTP. Порты DTP обмениваются кадрами DTP для автоматического формирования транкового канала.
Возможные 4 состояния порта для DTP:
- Access — не формирует транковый канал;
- Dynamic auto — пассивно формирует транковый канал;
- Dynamic desirable — активно формирует транковый канал;
- Trunk — активно формирует транковый канал с транком и динамическими портами
По умолчанию для всех портов коммутатора стоит режим Dynamic auto (для некоторых версий IOS Dynamic desirable). На рисунке показан результат для различных комбинаций на разных концах линка:
Если с одной стороны линка порт в режиме access, а с другой стороны порт в режиме транка, то линк переходит в ограниченный режим. В таком режиме возможен обмен сообщениями через линк только если NV транка совпадает с VLAN для порта доступа на другом конце линка. Данные будут передаваться только для этой VLAN (не противоречит режиму работы транка с данными без тега).
Примечание. Порт в режиме Trunk формирует транковый канал с портом в любом режиме, кроме Access. Не следует путать ситуацию с формированием EtherChannel, где Port-Channel в режиме On формирует связь только если у Port-Channel с другой стороны также режим On.
Настройка DTP для порта производится в режиме конфигурирования интерфейса:
switchport mode access switchport mode dynamic auto switchport mode dynamic desirable switchport mode trunk switchport nonegotiate - запрещает обмен пакетами DTP (только если порт в режиме access или trunk)
Маршрутизатор не поддерживает протокол динамического создания транкового канала (DTP), который используется коммутаторами, поэтому эти команды на нём использовать нельзя.
Примечание. Для того чтобы включить транковую связь от коммутатора CISCO к устройству, которое не поддерживает DTP, используйте команды режима конфигурации интерфейса:
switchport mode trunk switchport nonegotiate
Команда преобразует интерфейс в транковый канал, но не позволяет ему создавать кадры DTP.
Сброс транка, разрешены все VLAN, Native — VLAN 1:
no switchport trunk allowed vlan no switchport trunk native vlan
Удаление транкового канала:
switchport mode access
Просмотр информации:
show interfaces trunk show dtp interface interface
Самые типичные проблемы транков:
- Несовпадение NV на концах транка;
- Несовпадение режимов DTP на концах транка;
- Несовпадение разрешенных VLAN на концах транка.
Ошибки интерфейсов
Основные ошибки интерфейсов и их причины:
- Ошибки CRC — причинами являются электрические наводки, плохо закреплённые или повреждённые разъемы, а также неверно выбранный тип кабеля.
- Коллизии — коллизии в полудуплексном режиме являются нормой.
- Карликовые кадры, Гигантские кадры — чаще всего бывают вызваны неисправностью сетевой платы, но могут быть обусловлены и другими причинами, например чрезмерно высоким числом коллизий.
- Поздние коллизии — причина поздних коллизий превышение допустимой длины кабеля и неправильная настройка дуплексной связи.
Индикация порта:
Безопасность
Основная концепция сетевой безопасности предприятия включает 2 стратегии:
- Разработка политики безопасности на предприятии ;
- Периодический аудит средств защиты и тестирование сети предприятия на взлом.
Практические рекомендации:
- Разработайте политику обеспечения безопасности для компании;
- Отключите неиспользуемые сервисы и порты;
- Используйте надёжные пароли и регулярно меняйте их;
- Ограничьте физический доступ к устройствам;
- Избегайте использования Telnet, используйте SSH.
- Избегайте использования стандартных ненадёжных веб-сайтов HTTP, особенно для экранов входа в систему. Вместо них используйте более безопасные HTTPS;
- Регулярно выполняйте резервное копирование данных и проверяйте резервные файлы;
- Расскажите сотрудникам о технологии социальной инженерии и разработайте политику проверки идентификации людей по телефону, через электронную почту и лично;
- Зашифровывайте и защищайте паролем важные данные;
- Обеспечьте безопасность на программном и аппаратном уровнях, например установите брандмауэры;
- Регулярно обновляйте ПО, ежедневно или еженедельно устанавливая исправления безопасности.
Безопасность коммутатора
- Переведите порты из VLAN 1 в рабочие VLAN:
vlan 10 name Sales exit interface range f0/1-12 switchport access vlan 10
- Неиспользуемые порты переведите во VLAN чёрной дыры;
vlan 99 name Black hole exit interface range f0/13-24 switchport access vlan 99
- Отключите неиспользуемые порты:
interface range f0/13-24 shutdown
Поменяйте Native VLAN для транковых портов на отличную от VLAN 1 (с обоих сторон транка):
interface g0/1 switchport mode trunk switchport trunk native vlan 5
- Включите DHCP Snooping;
- Включите безопасность портов.
DHCP Snooping
DHCP Snooping — защита коммутатора от атаки с внедрением пиратского DHCP (DHCP spoofing).
Для DHCP Snooping порты определяются как надёжные и ненадёжные. Надёжные порты могут получать все сообщения DHCP, включая предложение DHCP (OFFER) и подтверждение DHCP (ACK), а ненадёжные порты могут получать только запросы (DISCOVER, REQUEST).
Надёжными настраиваются все порты ведущие к DHCP-серверу (от пользовательских компьютеров).
Для ненадёжных портов создается таблица привязок DHCP. Каждая запись содержит MAC-адрес клиента, IP адрес, срок аренды, тип привязки, номер VLAN и идентификатор порта, записанный при создании клиентами DHCP-запросов. В дальнейшем таблица используется для фильтрации последующего трафика DHCP.
С точки зрения функции отслеживания DHCP, через ненадежные порты доступа не должны отправляться никакие сообщения DHCP-сервера (OFFER, ACK). Частота запросов (DISCOVER, REQUEST) также ограничивается.
Шаг 1. Включите отслеживание DHCP с помощью команды режима глобальной конфигурации:
ip dhcp snooping
Шаг 2. Включите отслеживание DHCP для определённых сетей VLAN с помощью команды:
ip dhcp snooping vlan number
Шаг 3. Определите порты в качестве надёжных на уровне интерфейса с помощью команды:
ip dhcp snooping trust
Шаг 4. (Дополнительно) Ограничьте частоту, с которой злоумышленник может непрерывно рассылать ложные DHCP-запросы через ненадёжные порты на DHCP-сервер с помощью команды:
ip dhcp snooping limit rate number
Port Security
Очень важная тема. Большинство проблем когда порты коммутатора неожиданно отключаются (или не включаются) при подключении нового оборудования связаны обычно с неправильно настроенным Port Security.
Port Security — защищает коммутатор от подключения несанкционированного оборудования.
По умолчанию выключен для всех портов. Включается для порта или диапазона портов командой:
interface interface switchport port-security
Существует 3 режима безопасности порта коммутатора:
- protect — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. Оповещения о нарушении безопасности нет.
- restrict — когда количество безопасных MAC-адресов достигает максимального ограничения настроенного на порту, пакеты с неизвестным MAC-адресом отправителя отбрасываются до тех пор, пока не будет удалено достаточное количество безопасных MAC-адресов, чтобы их количество было меньше максимального значения, или увеличено максимальное количество разрешенных адресов. В этом режиме при нарушении безопасности отправляется оповещение SNMP trap, сообщение Syslog и увеличивается счетчик нарушений (violation counter).
- shutdown — нарушение безопасности приводит к тому, что интерфейс переводится в состояние error-disabled и выключается немедленно, и выключается LED порта. Отправляется SNMP trap, сообщение Syslog и увеличивается счетчик нарушений (violation counter). Когда порт в состоянии error-disabled, вывести из этого состояния его можно введя команду errdisable recovery cause psecure-violation или вручную включить интерфейс введя в режиме настройки интерфейса shutdown и no shutdown. Это режим по умолчанию.
Настройка режима:
switchport port-security violation { shutdown | protect | restrict } - выбор режима безопасности порта
Настройка максимального количества безопасных MAC-адресов:
switchport port-security maximun number - число безопасных mac-адресов для порта
В зависимости от конфигурации различают следующие типы защищённых адресов:
- Статическая защита МАС-адреса — МАС-адреса, которые настроены на порте вручную с помощью команды режима конфигурации интерфейса. Требуется вручную указать MAC адреса;
switchport port-security mac-address mac-address - статический разрешить mac-адреса
- Динамическая защита МАС-адреса — МАС-адреса, которые получены динамически и хранятся в таблице адресов. MAC-адреса, настроенные таким образом, удаляются при перезагрузке коммутатора. Дополнительная настройка не требуется;
- Защита МАС-адреса на основе привязки — МАС-адреса, которые могут быть получены динамически или настроены вручную. Они хранятся в таблице адресов и добавляются в текущую конфигурацию:
switchport port-security mac-address sticky - если привязка динамическая достаточно указать команду привязки switchport port-security mac-address sticky mac-address - если привязка ручная, нужно указать mac-адрес
Если только включить Port Security для порта на коммутаторе Cisco и не вводить дополнительные настройки, то:
- Запоминание sticky-адресов — выключено;
- Максимальное количество безопасных MAC-адресов на порту — 1;
- Режим реагирования на нарушения — shutdown.
Когда настроена функция безопасности порта по умолчанию, нарушение безопасности может привести к отключению порта в результате ошибки. В случае если порт выключен в результате ошибки, он не функционирует и не может отправлять или получать трафик.
Индикатор порта должен загореться оранжевым. Команда show interfaces показывает состояние порта как выключен в результате ошибки err-disabled.
Для включения порта его сначала нужно погасить административно, а затем включить:
shutdown no shutdown
Существует возможность очищать состояние порта err-disabled автоматически по таймауту. Для очистки нарушений port security нужно из режима глобальной конфигурации ввести команду:
errdisable recovery cause psecure-violation
Состояние будет очищено автоматически через 300 секунд, посмотреть можно:
sh errdisable recovery ... Timer interval: 300 seconds Interfaces that will be enabled at the next timeout: Interface Errdisable reason Time left(sec) --------- ----------------- -------------- Gi0/2 psecure-violation 157
Настройки по умолчанию, это довольно строгие настройки, поэтому они обычно не применяются в продакшене. По-крайней мере режим переводится из shutdown в restrict.
Посмотреть безопасность порта
show port-security interface interface-id show run | begin f0/1 show port-security address - для всех безопасных портов просмотр mac-адресов show port-security interface [interface] - просмотр настроек port security show port-security - для всех безопасных портов
ACLs
ACLs очень большая и центровая тема для CCNA. При изучении CCNP отличное знание ACLs обязательно.
- Первичная цель ACLs — фильтровать трафик, пропуская разрешённый и отбрасывая запрещённый от источника трафика к назначению трафика;
- Вторичная цель ACLs — фильтровать трафик в различных аспектах настройки оборудования для отбора нужного трафика.
ACL-список — это ряд команд IOS, определяющих, пересылает ли маршрутизатор пакеты или сбрасывает их, исходя из информации в заголовке пакета ( это последовательный список разрешающих или запрещающих операторов, называемых записями контроля доступа (ACE). Записи контроля доступа также часто называют правилами ACL-списка.
Последняя запись любого ACL-списка — это всегда «косвенный отказ» — эта строчка не видна при выводе ACL на просмотр. Это правило автоматически вставляется в конец каждого ACL-списка, хотя и не присутствует в нём физически. Косвенный отказ блокирует весь трафик. По причине этого неявного запрета ACL-список, не содержащий хотя бы одного разрешающего правила, блокирует весь трафик.
Чтобы отслеживать блокируемый трафик, нужно вставлять запрещающую строку в конце списка в явном виде.
Входящие ACL-списки являются оптимальным решением для фильтрации пакетов, когда сеть, подключенная к входящему интерфейсу, является единственным источником пакетов, требующих анализа. Исходящие ACL-списки лучше всего использовать, когда одинаковые фильтры применяются к пакетам, поступающим с множества входящих интерфейсов, перед выходом на тот же исходящий интерфейс.
ACL-списки являются одной из наиболее используемых функций операционной системы Cisco IOS. Например, при помощи ACL-списков классифицируется трафик для включения обработки данных в соответствии с приоритетом (QoS).
По умолчанию ACL-списки не сконфигурированы на маршрутизаторе, поэтому маршрутизатор не фильтрует трафик.
Списки контроля доступа не применяются к пакетам, созданным самим маршрутизатором.
Создание ACL
Создание ACL-списка состоит из 2 этапов:
- Непосредственно создание ACL-списка;
- Применение ACL-списка на интерфейсе.
ACL-список извлекает следующую информацию из заголовка пакета уровня 3:
- IP-адрес источника;
- IP-адрес назначения;
- Тип сообщения протокола ICMP.
либо из заголовка уровня 4:
- Порт источника TCP/UDP;
- Порт назначения TCP/UDP.
Алгоритм работы ACL-списка
- При прохождении сетевого трафика через интерфейс, настроенный с ACL-списком, маршрутизатор последовательно сверху-вниз сопоставляет информацию внутри пакета с каждой записью ACE, определяя, соответствует ли пакет одному из правил;
- Если совпадение найдено, пакет сразу обрабатывается в соответствии с совпавшей записью ACE;
- Если совпадений нет ни с 1 ACE — пакет отбрасывается.
Задачи ACL
- Ограничение сетевого трафика для повышения производительности сети;
- Вторая задача ACL-списков — управление потоком трафика. ACL-списки могут ограничивать доставку обновлений маршрутизации. Настройка сети, устраняющая необходимость в обновлениях маршрутизации, позволяет избежать лишнего использования полосы пропускания;
- Списки контроля доступа обеспечивают базовый уровень безопасности в отношении доступа к сети. ACL-списки могут открыть доступ к части сети одному узлу и закрыть его для других узлов;
- ACL-списки осуществляют фильтрацию трафика на основе типа трафика. Например, ACL-список может разрешать трафик электронной почты, но при этом блокировать весь трафик протокола Telnet;
- Списки контроля доступа осуществляют сортировку узлов в целях разрешения или запрета доступа к сетевым службам;
- ACL-списки можно использовать для анализа, пересылки или обработки отдельных видов трафика. Например, при помощи ACL-списков можно классифицировать трафик для включения обработки данных в соответствии с приоритетом.
Три ДЛЯ
- Один ACL-список для одного протокола — для управления потоком трафика на интерфейсе ACL-список должен быть определён для каждого протокола, действующего на интерфейсе;
- Один ACL-список для одного направления —ACL-списки одновременно контролируют трафик на одном направлении одного интерфейса. Для управления исходящим и входящим трафиком должны быть созданы два отдельных ACL-списка;
- Один ACL-список для одного интерфейса — ACL-списки управляют трафиком на одном интерфейсе, например, GigabitEthernet 0/0.
Рекомендации по созданию ACL
Примечание. Общее правило в рамках сертификации CCNA заключается в том, что расширенные ACL-списки размещаются как можно ближе к источнику, а стандартные ACL-списки — как можно ближе к месту назначения.
ACL IPv4
ACL-списки для IPv4 могут быть:
- Стандартные;
- Расширенные.
и также:
- Нумерованные;
- Именованные.
Для нумерованных ACL-списков используется команда глобальной конфигурации access-list, в то время как к именованным ACL-спискам IPv4 применяется команда ip access-list.
Нумерованные ACL могут иметь следующие номера:
- Стандартные нумерованные: 1-99, 1300-1999;
- Расширенные нумерованные: 100-199, 2000-2699.
Именованные ACL имеют вместо номера имя, которое рекомендуется вводить заглавными буквами.
Применение именованных списков
- Присвоение имён ACL-спискам упрощает понимание функции того или иного списка;
- При присвоении ACL-списку имени вместо номера, режим конфигурации и синтаксис команд немного меняются:
Шаблонные маски и ключевые слова
ACL-списки IPv4 используют шаблонные маски, в протоколе IPv6 для указания того, какая часть IPv6-адреса источника или назначения должна совпадать, используется длина префикса:
- Бит 0 в шаблонной маске означает, что бит в изначальном адресе должен совпадать с битом в адресе результата.
- Бит 1 шаблонной маски означает, что соответствующее значение бита в адресе может быть проигнорировано.
- Ключевое слово host применяется для маски 0.0.0.0;
- Ключевое слово any применяется для IP-адреса и маски 255.255.255.255;
- Ключевые слова host и any также можно использовать при конфигурации ACL-списка IPv6.
Добавление комментария для стандартного или расширенного списка
- Добавление remark, удаление no remark;
- Длина комментария ограничена 100 символами;
- Можно добавлять до или после команды permit или deny;
- При добавлении комментариев следует использовать систематичный подход, чтобы пользователь всегда мог понять, к какой команде permit или deny относится тот или иной комментарий.
Стандартные IPv4 ACL-списки
Стандартные ACL-списки можно использовать для разрешения или отклонения прохождения трафика только на основе IPv4 адресов источника, в IPv6 подобия стандартных ACL-списков не существует.
Стандартные списки нужно размещать как можно ближе к точке назначения.
Порядок, в котором вводятся стандартные ACE-записи, может не совпадать с порядком, в котором они сохраняются, отображаются или обрабатываются маршрутизатором.
Создание стандартного нумерованного ACL-списка
Синтаксис каждого ACE для стандартного нумерованного списка следующий:
- Все ACE вводятся одно за другим;
- 1 строчка — 1 ACE;
- ACE содержит только адрес источника;
- Нумерация строчек производится автоматически, вручную номер вводить не нужно.
access-list number {deny | permit | remark } source [ source-wildcard ][log]
В результате получается ряд строчек с одинаковой начальной частью access-list number. Это и есть стандартный нумерованный ACL-список.
- Номер списка: 1-99, 1300-1999;
- Поддерживается до 798 возможных стандартных ACL-списков.
Создание стандартного именованного ACL-списка
Сначала вводится название списка:
ip access-list standard NAME
Как видно впереди появилось слово ip. Имя не обязательно, но рекомендовано вводить заглавными. Имя может быть буквенно-цифровым, но должно быть уникальным и не может начинаться с цифры.
Указывать имена ACL-списков заглавными буквами не обязательно, но это делает их более заметными при просмотре выходных данных текущей конфигурации. Это также снижает вероятность случайного создания двух разных ACL-списков с одинаковыми именами, но различающимися использованием заглавных и строчных букв.
Имя лучше короткое, иначе можно ошибиться в написании и не будет работать список.
После введения строки названия списка переходим в режим списка — это тоже отличие от нумерованного списка. В этом режиме вводятся ACE:
{deny | permit | remark } source [ source-wildcard ][log]
- Все ACE вводятся одно за другим;
- 1 строчка — 1 ACE;
- ACE содержит только адрес источника;
- Нумерация строчек производится автоматически, вручную номер вводить не нужно.
Внутренний алгоритм работы стандартного списка
- Записи ACE обрабатываются последовательно сверху-вниз (важно соблюдать определённый порядок);
- Если нужно запретить (разрешить) диапазон адресов и разрешить (запретить) хост из диапазона, то ACE для хоста должна идти первой — иначе высветится ошибка;
- Если хост не попадает в диапазон, то порядок неважен;
- По умолчанию каждая ACE в списке имеет номер +10 к номеру предыдущей ACE (номера выводятся только в информационных сообщениях).
Расширенные ACL-списки не выдают аналогичных ошибок.
Внутренняя логика работы стандартного списка
- Частью этой логики является предотвращение операторов узла от конфигурации после операторов диапазона, если узел является участником этого диапазона, смотри картинку;
- Другой частью внутренней логики IOS является внутреннее упорядочение стандартных ACE;
- IOS располагает операторы узлов с помощью специальной функции расстановки (hash function);
- Операторы диапазона отображаются после операторов узла и располагаются в том порядке, в котором они были введены;
- При добавлении новой записи в ACL-список порядковый номер будет влиять только на местоположение в списке оператора диапазона. Операторы узла всегда будут располагаться в определённом порядке благодаря функции расстановки;
- После сохранения конфигурации и перезагрузки маршрутизатора номера будут изменены в соответствии с положением записи в списке.
Функция расстановки применяется только к операторам узла в стандартном списке контроля доступа IPv4. Алгоритм не применяется для расширенных ACL-списков IPv4 или IPv6.
Защита VTY с помощью стандартного ACL-списка
- Если образ Cisco IOS на маршрутизаторе не поддерживает протокол SSH, можно повысить безопасность административных каналов путем ограничения доступа к VTY;
- Стандартные и расширенные списки контроля доступа применяются на интерфейсах к пакетам данных, передающимся через эти интерфейсы. Они не предназначены для блокировки пакетов, создающихся внутри маршрутизатора;
- Команда access-class, установленная в режиме конфигурации канала, ограничивает входящие и исходящие соединения между указанным VTY (в устройстве Cisco) и адресами в списке доступа;
- Можно применять стандартный ACL-список.
Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
Замечания:
- Только стандартные нумерованные списки доступа могут применяться к VTY;
- Одинаковые ограничения должны быть установлены на все каналы VTY, поскольку пользователь может попытаться подключиться к любому из них.
Также можно использовать этот метод с протоколом SSH для дальнейшего улучшения безопасности административного доступа.
Расширенные IPv4 ACL-списки
Расширенные ACL-списки фильтруют IPv4-пакеты, исходя из следующих признаков:
- Тип протокола;
- IPv4-адрес источника;
- IPv4-адрес назначения;
- TCP или UDP порты источника;
- TCP или UDP порты назначения;
- Дополнительная информация о типе протокола для оптимизированного контроля.
Расширенные ACL-списки не реализуют ту же внутреннюю логику и функцию расстановки что и стандартные. Записи узла не перечисляются автоматически перед записями диапазона.
Внутренний алгоритм применяется для упорядочения записей стандартного списка контроля доступа и не применяется для расширенных ACL-списков. Записи отображаются и обрабатываются в том порядке, в котором они вводились в процессе настройки.
Можно определять номера портов TCP или UDP, помещая его в конец ACE. Можно применить логические действия, такие как «равно» (eq), «не равно» (neq), «более чем» (gt) и «менее чем» (lt).
Пример.
access-list 101 permit tcp any any eq ? - отобразить список возможных комбинаций
Параметр established разрешает возврат в сеть только того трафика, который изначально исходил из этой сети. Пакет удовлетворяет условиям, если обратный сегмент протокола TCP имеет биты ACK и RST, которые указывают, что пакет принадлежит существующему подключению. Без параметра established записи ACL-списка клиент может послать трафик, но не получить обратный трафик, established можно указать только если в ACE указан протокол TCP в явном виде.
Создание расширенного нумерованного ACL-списка
Синтаксис каждого ACE расширенного нумерованного списка похож на синтаксис стандартного нумерованного:
- Все ACE вводятся одно за другим;
- Все ACE начинаются с access-list number;
- 1 строчка — 1 ACE;
- Нумерация строчек производится автоматически, вручную номер вводить не нужно.
access-list number ..
- Идентификационный номер в диапазоне 100—199 или 2000—2699;
- Номера с 200 до 1299 опущены, поскольку они используются другими протоколами, многие из которых являются унаследованными или устаревшими;
- Номера с 1300 до 1999 — стандартные списки;
- 799 возможных расширенных нумерованных ACL-списков.
В результате получается ряд строчек с одинаковой начальной частью access-list number. Синтаксис ACE отличается от ACE стандартного нумерованного ACL-список — чтобы ACL-список соответствовал требованиям расширенного списка, в каждое ACE нужно включить следующие элементы:
- Параметр разрешения (permit) или запрета (deny) — обязательно;
- Протокол — обязательно;
- Адрес источника — обязательно и групповую маску — необязательно;
- Адрес назначения — обязательно и групповую маску — необязательно;
- Номер или имя порта — необязательно.
Синтаксис нумерованных расширенных списков:
Пример. Блокирования FTP-трафика:
Создание расширенного именованного ACL-списка
Сначала вводится название списка:
ip access-list extended NAME
Имя не обязательно, но рекомендовано вводить заглавными. Имя может быть буквенно-цифровым, но должно быть уникальным и не может начинаться с цифры.
Указывать имена ACL-списков заглавными буквами не обязательно, но это делает их более заметными при просмотре выходных данных текущей конфигурации. Это также снижает вероятность случайного создания двух разных ACL-списков с одинаковыми именами, но различающимися использованием заглавных и строчных букв.
Имя лучше короткое, иначе можно ошибиться в написании и не будет работать список.
После введения строки названия списка переходим в режим списка. В этом режиме вводятся ACE.
Чтобы ACL-список соответствовал требованиям расширенного списка, в каждое ACE нужно включить следующие элементы:
- Параметр разрешения (permit) или запрета (deny) — обязательно;
- Протокол — обязательно;
- Адрес источника — обязательно и групповую маску — необязательно;
- Адрес назначения — обязательно и групповую маску — необязательно;
- Номер или имя порта — необязательно.
Синтаксис аналогичен нумерованным расширенным спискам.
Применение IPv4 ACL-списка на интерфейсе
После создания ACL- списка его нужно применить на интерфейсе в нужном направлении:
Router(config-if)# ip access-group { number | NAME } { in | out }
Направление In — если трафик проходит снаружи через интерфейс внутрь устройства, направление Out — если трафик идёт изнутри устройства через интерфейс наружу.
Наиболее общие ошибки ACL
- Неверный порядок ACE;
- Выбран неверный интерфейс (смотри правило размещения ACL);
- Перепутано направление применения на интерфейсе
Отдельно для расширенных списков:
- Неверно указан порт;
- Не указан параметр established
Проверка, статистика, редактирование, удаление
Проверка IPv4 ACL-списка
show ip interface interface
show running-config
show access-lists - выводит все списки
show access-lists { number | NAME } - выводит конкретный список
Статистика IPv4 ACL-списка
- После применения ACL-списка на интерфейсе и завершения проверки с помощью команды show access-lists отображается статистика для каждой совпадающей записи;
- Для просмотра статистики по косвенной записи deny any, запись нужно сконфигурировать вручную в явном виде, после чего статистика для неё появится в выходных данных;
- Счётчики можно обнулить, выполнив команду:
clear access-list counters
Данную команду можно применять отдельно или с указанием номера или имени конкретного ACL-списка.
Редактирование стандартного ACL-списка
Методы подходят как нумерованного, так и для именованного списков.
Метод 1
- Убить список на интерфейсе;
- Выполнить show run, найти список и скопировать в блокнот;
- Отредактировать список в блокноте;
- Пересоздать список через удаление.
Метод 2
- Выполнить show access-list number — список выведется, каждая строчка будет пронумерована;
- Введите команду ip access-lists standard number, используемую для конфигурации именованного ACL-списка (номер будет использоваться как имя);
- Удалить некорректно сконфигурированную запись с помощью команды no номер_строки, где номер_строки — строка, требующая редактирования;
- Добавьте новую запись с нужным номером строки;
- Добавить еще записи по необходимости с промежуточными номерами строки.
Записи нельзя перезаписать с теми же порядковыми номерами, что и у существующих записей. Сначала необходимо удалить текущую запись, а затем можно создавать новую.
Редактирование расширенного ACL-списка
Осуществляется по аналогии с внесением изменений в стандартный ACL-список:
- Метод 1. Текстовый редактор;
- Метод 2. Порядковые номера.
Удаление IPv4 ACL-списка
Удаления всего ACL-списка также происходит в 2 этапа как и создание:
Сначала следует на интерфейсе ввести команду:
no ip access-group { number | NAME }
Затем ввести глобальную команду:
no access-list number или no ip access-list standard NAME
Если ACL-список, который был удалён, всё ещё применяется на интерфейсе, некоторые версии IOS действуют, как будто его нет, в то время как другие версии блокируют весь трафик. По этой причине рекомендуется сначала удалить ACL-список с интерфейса перед внесением изменений в список доступа.
ACL IPv6
Об ACL-списках для IPv6 можно сказать следующее:
- Представлены только в виде именованных ACL-списков;
- По функциональности эквивалентны расширенным ACL-спискам для IPv4.
Примечание. ACL-список для IPv4 и ACL-список для IPv6 не могут иметь одно и то же имя.
Отличия от IPv4
- Первым отличием является команда выполняемая на интерфейсе — для IPv6 это:
ipv6 traffic-filter
- Отсутствуют шаблонные маски — используется длина префикса;
- В конце каждого ACL-списка для IPv6 находится похожее правило — deny ipv6 any any. Различие заключается в том, что перед ним идут 2 разрешающих правила по умолчанию:
permit icmp any any nd-na
permit icmp any any nd-ns
Эти правила позволяют маршрутизатору пользоваться IPv6 эквивалентом протокола ARP для IPv4. Сообщения ND инкапсулируются в пакеты IPv6 и требуют служб IPv6 сетевого уровня, в то время как протокол ARP для IPv4 не использует уровень 3. Поскольку IPv6 использует службу уровня 3 для обнаружения соседей, ACL-списки IPv6 нуждаются в косвенном разрешении, чтобы отправлять и получать ND пакеты на интерфейсе. Главным образом, разрешены сообщения обнаружения соседей — сообщения объявления соседей (nd-na) и сообщения обнаружения соседей — сообщения запроса соседей (nd-ns).
Примечание. IPv4 и IPv6 используют команду access-class для применения списка доступа к портам VTY.
Настройка ACL IPv6
Для настройки списка IPv6 ACL требуется выполнение трёх действий:
- Для создания ACL-списка IPv6 выполните команду режима глобальной конфигурации:
ipv6 access-list NAME
- Как и в случае с именованными ACL-списками для IPv4, имена списков для IPv6 состоят из буквенно-цифровых символов, они чувствительны к регистру и должны быть уникальными. В отличие от IPv4, стандартная или расширенная опция не требуются;
- В режиме настройки списка ACL примените команды permit или deny для указания одного или более правил ACE, согласно которым пакет будет отправлен или отклонён;
- Вернитесь в привилегированный режим EXEC с помощью команды end.
Применение списка на интерфейсе
Router(config-if)# ipv6 traffic-filter NAME { in | out }
Проверка ACL IPv6
Для просмотра применения на интерфейсе:
show ipv6 interface interface
Основная команда просмотра:
show access-lists
Порядковые номера ACL-списков IPv6 помещаются в конце строки, а не в начале, как в ACL-списках IPv4. Хотя записи появляются в том порядке, в каком они вводятся, они не всегда возрастают на 10. Это связано с тем, что комментарии к записям добавляются при помощи порядковых номеров, но они не отображаются в выходных данных команды.
Просмотр в текущей конфигурации:
show running-config
Включают все записи ACE и комментарии к ним. Комментарии к записям могут идти до или после разрешающего или запрещающего правила permit или deny, но располагать их следует однообразно.
Примечание. Поскольку IPv6-списки это расширенные ACL-списки, они размещаются как можно ближе к источнику.
Удаления ACL IPv6
Из режима настройки интерфейса сначала следует ввести команду:
no ipv6 traffic-filter
Затем глобальную команду:
no ipv6 access-list NAME
NAT
Существует 5 видов NAT:
- Статический NAT;
- Динамический NAT;
- NAT с перегрузкой — PAT;
- Переадресация портов;
- NAT для IPv6.
Преимущества NAT
Недостатки NAT
Терминология NAT
Выделяют 4 вида адресов для NAT:
- Внутренний локальный адрес — это адрес источника, видимый из внутренней локальной сети;
- Внутренний глобальный адрес — это адрес источника, видимый из внешней сети;
- Внешний локальный адрес — это адрес назначения, видимый из внутренней сети назначения;
- Внешний глобальный адрес — это адрес назначения, видимый из внешней сети.
Локальная сеть здесь — это сеть, где производится настройка NAT.
Статический NAT
Однозначно связывает внутренний локальный адрес с внутренним глобальным адресом.
Настройка статического NAT
Производится в 3 этапа:
- Настройка соответствия IP адресов;
ip nat inside source static ip_внутренний_локальный ip_внутренний_глобальный
- Указание внутреннего интерфейса;
interface interface ip nat inside
- Указание внешнего интерфейса.
interface interface ip nat outside
Проверка статического NAT
Чтобы убедиться в правильности работы преобразования NAT,
перед тестированием рекомендуется очистить статистику всех предыдущих преобразований:
clear ip nat statistics
Состоит из 2 основных команд, первая выдаёт статистику:
show ip nat statistics
И вторая команда выдаёт соответствие адресов:
show ip nat translations
Динамический NAT
Динамически связывает внутренний локальный адрес с внутренним глобальным адресом.
Динамический NAT использует пул публичных адресов, которые присваиваются в порядке живой очереди. Когда внутреннее устройство запрашивает доступ к внешней сети, динамический NAT присваивает доступный публичный IPv4 адрес из пула.
Если использованы все адреса пула, устройство должно дождаться доступного адреса, чтобы получить доступ к внешней сети. В данном случае при исчерпании пула публичных адресов новое внутреннее устройство не сможет получить сопоставления. Когда число внутренних устройств больше числа публичных адресов или публичный адрес единственный — используется PAT.
Настройка динамического NAT
Производится в 5 этапов:
- Настройка пула:
ip nat pool Pool_name Start_IP End_IP netmask mask - Start_IP End_IP это диапазон внутренних глобальных адресов
- Настройка списка доступа:
access-list number permit network wild_mask - network wild_mask это диапазон локальных адресов разрешённых для NAT
Нужно помнить, что в конце каждого ACL-списка находится неявная строка deny all.
- Связывание пула со списком-доступа:
ip nat inside source list number pool Pool-name
- Указание внутреннего интерфейса;
interface interface ip nat inside
- Указание внешнего интерфейса.
interface interface ip nat outside
ip nat translation timeout timeout-seconds - время жизни назначенного преобразования адресов (по умолчанию 24 часа)
Проверка динамического NAT
Основная команда:
show ip nat statistics
Чтобы убедиться в правильности работы преобразования NAT,
перед тестированием рекомендуется очистить статистику всех предыдущих преобразований:
clear ip nat translation *
Из таблицы соответствий адресов удаляются только динамические преобразования.
show ip nat translations [verbose] - verbose выводит дополнительную информацию о каждом преобразовании, включая время, прошедшее после создания и использования записи
PAT
Преобразование адресов портов PAT, также называемое NAT с перегрузкой, сопоставляет множество частных IPv4 адресов одному или нескольким публичным IPv4 адресам. PAT — это наиболее распространенный метод преобразования сетевых адресов.
Принцип работы
Если устройство начинает сеанс TCP/IP, оно создаёт значение порта TCP или UDP для источника, чтобы уникальным образом определить сеанс. Когда маршрутизатор NAT получает пакет от клиента, он использует номер порта источника, чтобы уникальным образом определить конкретное преобразование NAT.
PAT гарантирует, что устройства будут использовать разные номера портов TCP для каждого сеанса взаимодействия с сервером в Интернете.
Если порт уже используется другим запросом от другого компьютера, то берется следующий свободный порт.
Данные, не являющиеся сегментом TCP или UDP обрабатываются PAT по-разному. Например, сообщения запросов ICMPv4, эхо-запросы и эхо-ответы содержат идентификатор запроса (Query ID).
PAT может быть настроен на пул публичных адресов или на 1 публичный адрес.
Настраивается почти так же как и динамический NAT.
Пул
Отличается от настройки динамического NAT только параметром overload при связывании списка с пулом:
Один адрес
Отличается от настройки динамического NAT тем, что вместо пула адресов используется ключевое слово interface и параметром overload при связывании пула:
Суммарное число внутренних адресов, которые могут быть преобразованы в один внешний адрес, теоретически может достигать 65 536 на один внешний IP адрес, но практически число внутренних адресов, которым можно назначить один IP адрес, приблизительно составляет 4000.
Проверка PAT
Проверка аналогична проверке динамического сопоставления.
Переадресация портов
NAT не разрешает инициировать запросы снаружи, для этого служит переадресация портов.
Настройка переадресации портов
Всё как в статическом NAT, но добавляются:
- Протокол — TCP или UDP;
- Local-port;
- Global-port.
NAT для IPv6
Поскольку IPv6 не испытывает недостатка в публичных адресах, то NAT для IPv6 используется совсем для других целей.
Разнообразные варианты NAT для IPv6 используются с целью предоставления прозрачного доступа между сетями, в которых используется только протокол IPv6, и сетями, в которых используется только протокол IPv4.
NAT для IPv6 не применяется для преобразования частных IPv6 адресов в глобальные IPv6 адреса.
NAT для IPv6 следует использовать не как долгосрочную стратегию, а как временный механизм, помогающий перейти с IPv4 на IPv6. Со временем появилось несколько типов NAT для IPv6:
- NAT-PT (Network Address Translation-Protocol Translation) —преобразование сетевых адресов/преобразование протоколов (является устаревшей);
- NAT64 — замена для NAT-PT.
Примечание. NAT64 не рассматривается в рамках данного учебного курса.
Отладка NAT
- В зависимости от конфигурации четко определите цели и задачи NAT. На данном этапе вы можете выявить проблему, связанную с конфигурацией;
- С помощью команды show ip nat translations убедитесь, что таблица преобразований содержит правильные преобразования;
- Используйте команды clear и debug, чтобы убедиться, что NAT работает должным образом. Проверьте, создаются ли динамические записи снова после их удаления;
- Подробно изучите, что происходит с преобразованным пакетом, и убедитесь, что маршрутизаторы используют правильные данные маршрутизации для передачи пакета.
show access-lists
Убедитесь, что ACL-список, указываемый в команде NAT, разрешает все необходимые сети.
debug ip nat [detailed]
- * (звездочка) — символ звездочки рядом с NAT показывает, что преобразование выполняется по пути с быстрой коммутацией. Коммутация первого пакета диалога всегда является программным процессом и поэтому выполняется медленнее. После появления в кэше соответствующей записи, остальные пакеты проходят по пути с быстрой коммутацией.
- s= — этот символ обозначает IP-адрес источника.
- a.b.c.d—>w.x.y.z — это значение показывает, что адрес источника a.b.c.d преобразуется в w.x.y.z.
- d= — этот символ обозначает IP-адрес назначения.
- [xxxx] — значение в скобках показывает идентификационный номер IP. Приведённая выше информация может быть полезна для отладки, так как она позволяет осуществить корреляцию с другими данными трассировки от анализаторов протоколов.
В конце отладки не забудьте выполнить команду:
undebug all
DHCP
DHCP IPv4
Набор функций IOS Easy IP представляет собой опциональный, полнофункциональный DHCPv4-сервер.
Общая информация о DHCPv4
DHCPv4 имеет 3 различных механизма назначения адреса:
- Ручное распределение — администратор присваивает устройству-клиенту предварительно выделенный IPv4-адрес, в то время как DHCPv4 только передаёт IPv4-адрес к устройству;
- Автоматическое распределение — DHCPv4 автоматически присваивает устройству постоянный статический IPv4-адрес, выбирая его из пула доступных адресов. При автоматическом распределении отсутствует понятие аренды, и устройству выделяется адрес на постоянное использование;
- Динамическое распределение — DHCPv4 динамически присваивает или выдаёт в аренду IPv4-адрес из пула адресов на ограниченный период времени — по выбору сервера или до тех пор, пока у клиента есть необходимость в адресе.
Прежде чем будет назначен адрес, сервер DHCP и клиент должны обменяться сообщениями:
- DHCPDISCOVER — клиент ищет сервер DHCP;
- DHCPOFFER — DHCP получает запрос и предлагает клиенту IP адрес;
- DHCPREQUEST — клиент запрашивает данный адрес;
- DHCPACK — DHCP подтверждает о аренде адреса;
- DHCPNACK — DHCP отклоняет запрос адреса.
Сообщения, исходящие от клиента (DHCPDISCOVER, DHCPREQUEST), являются сообщениями широковещательной рассылки, что позволяет всем DHCPv4 серверам в сети узнать о запросе клиента и приёме клиентом информации об адресации.
Сообщения, исходящие от сервера DHCPv4 (DHCPOFFER, DHCPACK), посылаются как одноадресная рассылка непосредственно клиенту, запрашивающему эту информацию.
При продлении аренды и от клиента, и от сервера — одноадресная рассылка.
Сообщения DHCPv4
Сообщения DHCPv4 отправляются от клиента через протокол UDP из порта источника 68 в порт назначения 67. Сообщения DHCPv4 отправляются с сервера через протокол UDP из порта источника 67 в порт назначения 68.
Настройка DHCPv4 на маршрутизаторе
Должен быть включён сервис DHCP с помощью команды:
service dhcp
Настройка непосредственно сервера DHCP в режиме глобальной конфигурации:
ip dhcp excluded-address low_IP High_IP - исключение адресов из пула, как минимум здесь должен быть адрес шлюза по умолчанию ip dhcp pool Pool-name
После введения имени пула происходит переход в режим конфигурирования DHCP, обязательные команды:
Router(dhcp-config)#network network mask Router(dhcp-config)#default-router IP
Необязательные команды:
Router(dhcp-config)#dns-server IP Router(dhcp-config)#domain-name Domain Router(dhcp-config)#lease number - аренда в днях, по умолчанию продолжительность аренды равна одному дню Router(dhcp-config)#netbios-name-server IP
Клиент DHCPv4
Настройка интерфейса маршрутизатора CISCO в качестве клиента DHCP:
interface interface ip address dhcp
Настройка агента ретрансляции
После введения команды включения сервиса DHCP происходит также включение агента ретрансляции (relay agent).
Это позволяет переадресовывать запросы DHCP из другой подсети. Настройка производится на интерфейсе маршрутизатора без настроенной службы DHCP:
ip helper-address IP - где IP это IPv4 адрес интерфейса маршрутизатора с настроенной службой DHCP
Агент ретрансляции переадресует не только запросы DHCP, а также умеет переадресовывать следующие восемь служб UDP:
- Порт 37: Time;
- Порт 49: TACACS;
- Порт 53: DNS;
- Порт 67: DHCP/BOOTP client;
- Порт 68: DHCP/BOOTP server;
- Порт 69: TFTP;
- Порт 137: NetBIOS name service;
- Порт 138: NetBIOS datagram service).
Просмотр информации DHCPv4
Просмотр общей информации:
show running-config | section dhcp
Просмотр информации по аренде адресов:
show ip dhcp binding show ip dhcp server statistics show ip dhcp pool
DHCPv4 на коммутаторе
Настраивается аналогично DHCP на маршрутизаторе. Чтобы раздавались адреса DHCP:
- Порт коммутатора, на котором находится компьютер, получающий от DHCP адрес, находится в некоторой VLAN, интерфейс этой VLAN должен быть активным, SVI адрес этой VLAN и пул DHCP должны быть в 1 подсети.
Отладка DHCPv4
Всю отладку можно свести к 5 основным задачам:
Задача 1. Разрешение конфликтов IPv4-адресов:
show ip dhcp conflict - для обнаружения клиента сервером используется команда ping, клиент использует протокол разрешения адресов (ARP)
При обнаружении конфликта адрес удаляется из пула и не присваивается до устранения конфликта администратором.
Задача 2. Проверка физического соединения, статус порта должен быть up:
debug ip packet number debug ip dhcp server events undebug all
Задача 3 — тут всё ясно.
Задача 4. Проверка настройки порта коммутатора:
Если между клиентом и DHCPv4 сервером есть коммутатор и клиент не может получить настройки DHCP, причиной этому могут служить неполадки в настройке порта коммутатора. Причиной могут быть проблемы, связанные с созданием транковых и логических каналов, а также с протоколами STP и RSTP. Решением наиболее часто возникающих проблем DHCPv4 клиента при первоначальной установке коммутатора может стать настройка расширения PortFast и пограничного порта.
Задача 5. Проверка работы протокола в той же подсети или VLAN:
Удаление DHCPv4
Сначала нужно убрать команды из конфигурации, продублировав их с предваряющим словом no.
Затем отключить службу:
no service dhcp
DHCP IPv6
Если DHCPv4 можно настроить как на маршрутизаторе, так и на компьютере и тогда участие маршрутизатора не требуется. Для IPv6 маршрутизатор всегда выступает или посредником для DHCPv6 или непосредственно DHCPv6 сервером. Дублирующей функции при этом нет.
Клиент IPv6 посылает сообщение Router Solicitation (RS) на адрес FF02::2 — всем маршрутизаторам IPv6 в сети, маршрутизатор IPv6 в свою очередь посылает сообщение Router Advertisement (RA) FF02::1 — всем устройствам IPv6 в сети. Сообщения посылаются каждые 200 секунд.
Общая информация о DHCPv6
IPv6 имеет 3 различных механизма назначения адреса:
- SLAAC — Автоматическая Plug-n-Play настройка адреса (без отслеживания состояния);
- DHCPv6 без отслеживания состояния;
- DHCPv6 с отслеживанием состояния.
Сначала нужно включить IPv6 маршрутизацию:
ipv6 unicast-routing - включение IPv6 маршрутизации - для отправки маршрутизатором сообщений RA.
Выполнение этой команды не является необходимостью для настройки маршрутизатора в качестве DHCPv6 сервера без отслеживания состояния, но требуется для отправки сообщений RA по протоколу ICMPv6.
Сообщение RA имеет 2 флага — M и O. Комбинация этих флагов сообщает клиенту как нужно получать IPv6 адрес:
- SLAAC (M flag=0, O flag=0)
- DHCPv6 без отслеживания состояния (M flag=0, O flag=1) Router(config-if)# ipv6 nd other-config-flag
- DHCPv6 с отслеживанием состояния (M flag=1) Router(config-if)# ipv6 nd managed-config-flag
Настройка флагов производится на интерфейсе маршрутизатора:
Router(config-if)# ipv6 nd managed-config-flag - M flag=1 Router(config-if)# ipv6 nd other-config-flag - M flag=0, O flag=1
Сброс флагов (M flag=0, O flag=0) производится на интерфейсе маршрутизатора командой:
Router(config-if)# no ipv6 nd managed-config-flag Router(config-if)# no ipv6 nd other-config-flag)
SLAAC
Если клиент получил RA с M=0 и O=0, то он переходит к автонастройке адреса.
Существует 2 способа создания собственного уникального IID (идентификатор интерфейса):
- EUI-64 — при помощи процесса EUI-64 создаётся IID, используется 48-битный MAC-адрес;
- Генерация случайным образом — 64-битный IID может быть случайным числом, сгенерированным операционной системой клиента.
Настройка DHCPv6 без отслеживания состояния
В этом режиме маршрутизатор выступает сам в роли DHCPv6.
Шлюз по-умолчанию не нужен, поскольку маршрутизатор автоматически посылает собственный адрес link-local в качестве шлюза по умолчанию.
Пример.
Настройка DHCPv6 с отслеживанием состояния
В этом режиме маршрутизатор передаёт клиенту ограниченные настройки — DNS и Domain Name, за остальными настройками клиент должен обратиться непосредственно к DHCPv6 серверу, настроенному на компьютере в подсети.
Пример.
После того как клиент получил от маршрутизатора адрес DHPv6 в подсети, начинается уже процесс аренды адреса похожий на процесс в DHCPv4:
Клиент передаёт сообщение DHCPv6 SOLICIT на зарезервированный IPv6 адрес многоадресной рассылки FF02::1:2, используемый всеми DHCPv6 серверами (All_DHCPv6_Relay_Agents_and_Servers).
Сообщения DHCPv6 от сервера к клиенту используют UDP порт назначения 546. Клиент отправляет сообщения на сервер DHCPv6 через UDP порт назначения 547.
Все сообщения между клиентом и DHCP IPv6 — одноадресная рассылка.
Пример.
Настройка интерфейса маршрутизатора как клиента без отслеживания
Производится на интерфейсе маршрутизатора:
ipv6 enable ipv6 address autoconfig
Настройка интерфейса маршрутизатора как клиента с отслеживанием
Производится на интерфейсе маршрутизатора:
ipv6 enable ipv6 address dhcp
Настройка агента ретрансляции
Агент ретрансляции IPv6 работает иначе, чем
агент ретрансляции в IPv4:
ipv6 dhcp relay destination IPv6
Просмотр информации DHCPv6
Сервера без отслеживания
show ipv6 dhcp pool - количество активных клиентов всегда равно 0 show running-config
Сервера с отслеживанием
show ipv6 dhcp pool show ipv6 dhcp binding
Клиента
show ipv6 interface interface
Агента
show ipv6 dhcp interface
Отладка DHCPv6
Всю отладку можно свести к 5 основным задачам:
Задача 1. Разрешение конфликтов:
При обнаружении конфликта IPv6 адресов клиент обычно удаляет адрес и создаёт новый адрес с помощью SLAAC или сервера DHCPv6 с отслеживанием состояния
Для сервера с отслеживанием:
show ipv6 dhcp conflict
Если клиент не получает информацию об IPv6 адресе от сервера DHCPv6 с отслеживанием состояния,
причиной могут быть неверные флаги М и О в сообщении RA.
Задача 2. Проверка метода распределения:
show ipv6 interface interface
Задача 3. — всё ясно.
Задача 4. Проверка конфигурации порта коммутатора:
Причиной могут быть проблемы, связанные с созданием транковых и логических каналов, а также с протоколами STP и RSTP.
Задача 5. Проверка работы протокола DHCPv6 в той же подсети или VLAN:
Соответствующий клиенту интерфейс на маршрутизаторе должен быть обязательно сконфигурирован при помощи команды ipv6 dhcp relay destination.
Команда debug применяется как на сервере, так и на клиенте:
debug ipv6 dhcp detail
По окончании работы нужно обязательно выключить отладку:
undebug all
Сброс пароля
Подсоединиться через консольный порт.
Маршрутизатор
Переводим маршрутизатор в режим ROMMON. Для разных приложений разные способы, например для Putty: при начале загрузки прошивки «..#########..» нажать Ctrl-Break, загрузка прошивки прервётся и будет выведено приглашение:
rommon1>
Далее:
rommon1>confreg 0x2142 rommon1>reset
Коммутатор
Зажимаем кнопку Mode на коммутаторе при его включении, коммутатор переходит в режим:
switch>
Далее:
switch>flash_init switch>load_helper switch>dir flash: switch>delete flash:config.text switch>reset
Беспроводные стандарты
Основные беспроводные стандарты приведены в таблице:
Обновлено 09.06.2016
начал готовиться к Cisco CCNA экзамен 200-120 CCNA
Всем привет сегодня в данном посте я расскажу и в последствии буду дописывать как я готовился к сдаче сертифицированного экзамена Cisco CCNA экзамен 200-120 CCNA. Сертификация CCNA (CCNA ROUTING AND SWITCHING) подтверждает базовые знания специалиста в области сетевых технологий. Сертифицированные специалисты CCNA могут устанавливать, настраивать и управлять локальными (LAN) и глобальными (WAN) сетями, а также организовывать удаленный доступ для небольших сетей (до 100 подключений), включая использование таких протоколов как: IP, IGRP, Serial, Frame Relay, IP RIP, VLANs, RIP, Ethernet, Access Lists.
Профессионалы, имеющие сертификат CCNA, сертифицированы для установки, настройки и поддержания работоспособности сетевых устройств в сетях масштабом до 100 устройств и обладают глубокими знаниями и устойчивыми навыками в следующих областях:
- Локальные сети (LAN)
- Глобальные (WAN) сети, соединения с провайдерами Интернет
- Беспроводные сети WiFi
- Сервисы удаленного доступа
- Обеспечение базовой безопасности сетевой инфраструктуры
- Виртуальные частные сети
- Устранение неисправностей в сетях
Подготовка к Cisco CCNA экзамен 200-120 CCNA-01
Первое что я вам советую это Скачать книгу Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 100-101 (2015), для понимания базовых вещей. Далее советую Скачать книгу CISCO Официальное руководство по подготовке к сертификационным экзаменам CCENTCCNA ICND2 — 2011. 2-е издание, не смущайтесь что она 2011 года, большая часть информации из нее актуально и по сей день.
Пока я читаю книги представленные выше, параллельно советую вам Скачать Cisco packet tracer 6.2, для того, чтобы создать у себя тестовую лабораторию, в которой вы будите оттачивать полученные знания при изучении и подготовке к сертифицированному экзамену.
Я для себя выделил вот такой график, в день читаю и разбираю страниц по 20 из книги и параллельно смотрю записи авторизованных курсов, благо которых у меня целый вагон, список предоставлю ниже, кому будет что интересно могу поделиться за небольшую денежку.
Еще если вы сможете раскрутить свое руководство и обосновать нужду, то вас могут отправить на авторизованные курсы, где безусловно полезно, то что вы поработаете с реальным оборудование и можете по задавать вопросы преподавателю, так же на курсах он может вам рассказать больше о нюансах, чем это сделает книга, но так как у меня куча записей от 2014-2015 года все это меня мало интересует.
Список видеоуроков
- ICND2 2.0 – Основы работы с оборудованием Cisco (2012)
- Cisco ICND1 1.1 Использование сетевого оборудования Cisco [2011]
- Cisco ICND1 1.0 Использование сетевого оборудования Cisco 2012
- Cisco ICND1 1.0 Использование сетевого оборудования Cisco 2012 (1 версия)
- Cisco ICND1 1.1 Использование сетевого оборудования Cisco 2012 (at)
- Cisco ICND2 1.1 Использование сетевого оборудования Cisco часть 2 (специалист)
- Cisco ICND2 2.0 Использование сетевого оборудования Cisco часть 2 (at июль 2013)
- Cisco ICND2 2.0 Использование сетевого оборудования Cisco часть 2 (at май 2013)
- Cisco ICND2 2.0 Использование сетевого оборудования Cisco часть 2 (at сентябрь 2013)
- Cisco ICND2 2.0 Использование сетевого оборудования Cisco часть 2 (at 2014)
- Подготовка к экзамену CCNA
- Cisco ROUTE 2.0 – Маршрутизация в сетях Cisco (2014 и 2015)
Источник
Как получить скидку 60 процентов на экзамен Cisco.
Можно пройти подготовку в Cisco CCNA Academy. В академии читают два курса: CCNA Exploration 4 (продвинутый) и CCNA Discovery 4(начальный уровень)
Продвинутого курса я ждал полгода, пока мне не открыли его в университете бесплатно. А так этот курс также стоит денег. Академия состоит из 4х семестров, которые очень полно описывают и рассказывают про Cisco и сетевые технологии на примерах и на лабораторных работах. Сам курс из себя представляет флэш-презентации с тестами и интерактивным содержимым.На торентах имеется весь курс в локальном виде =) После каждой главы надо сдавать тест. В случае успешного прохождения академии вам могут выдать ваучер на скидку 60% на сам экзамен CCNA.
Сдача экзамена
Вы, разумеется, должны оплатить экзамены. В большинстве случаев это требуется от Вас за 48 часов до сдачи экзамена. Дело в том, что обычная активизация экзаменов должна быть произведена не менее чем за 2 рабочих дня до самого экзамена. Кстати, отказаться от экзамена можно тоже не позднее, чем за 48 часов до сдачи. Если Вы по каким-либо причинам решили отказаться от экзамена за меньший срок, то деньги Вам возвращены не будут.
Сама стоимость экзамена официально фиксирована для всего региона (страны). И формально, тестирующие центры не имеют право ее повышать, за исключением явных налогов. Однако, цены все-таки отличаются в разных тестирующих центрах, причем разница может составлять до 20%. Дело в том, что у центров с одной стороны различаются финансовые модели из-за чего они могут попадать под те или иные налоговые льготы, а с другой стороны — центры могут получать скидки за определенные объемы тестирования по вендорам. И, разумеется, центры могут просто самовольно включать в стоимость экзамена свои накладные расходы. Не пугайтесь, если через месяц после сдачи экзамена
По правилам работы сертификационных центров Pearson VUE плата за сертификационный экзамен строго фиксирована и не может быть увеличена для получения коммерческой выгоды. Увеличение платежа допускается только в случае отчисления обязательных налогов. Именно такой налог – НДС в размере 18% – обязан уплатить любой предприниматель, занимающийся предоставлением услуг, в том числе и владелец сертификационного центра. Некоторые сертификационные центры в России не соблюдают требования Pearson VUE о недопустимости извлечения коммерческой выгоды из процедуры тестирования, увеличивая стоимость процедуры сертификации под разными предлогами. Например, предлагают оплатить 1-дневный курс обучения в комплекте с сертификацией. Поэтому, если обратиться в сертификационный центр для регистрации на экзамен, то оплата за него будет выше. Если же зарегистрироваться на экзамен самостоятельно через сайт Pearson VUE, то оплатить его можно сразу с помощью пластиковой карты. В этом случае стоимость экзамена оказывается такой, как установил вендор, то есть компания Cisco. По правилам его функционирования, сертификационный центр не имеет права отказать самостоятельно зарегистрировавшемуся на экзамен кандидату в предоставлении возможности сдать экзамен.
На экзамен следует приходить несколько заранее, минут за 15. Вы успеете отдохнуть с дороги и собраться мыслями. На самом деле, хоть это и не афишируется, сдавать экзамен можно и раньше и позже указанного времени. Главное — чтобы в тот же день. Так что, не нарушайте правила дорожного движения, чтобы успеть вовремя. Однако, если тестирующий центр сильно загружен, то Вам может просто не достаться места, приди Вы раньше или позже.
Перед началом тестирования Вас попросят предъявить удостоверение личности с фотографией (проще говоря — паспорт) и платежку. В помещение, где проводится тестирование нельзя брать никаких сумок, карманных и других компьютеров, сотовых телефонов, пейджеров, книг, блокнотов и т.д (мне пришлось выгрести все, даже ключи). Для большинства тестов Вы не имеете право пользоваться даже калькулятором. Не удивляйтесь, что за Вами будут наблюдать в процессе тестирования. Скорее всего, наблюдение будет вестись администратором лично, хотя возможен вариант с использованием видеокамер (в моем случае я сидел в стеклянной комнате, откуда за мной наблюдали).
Для записей, Вам будет выдан специальный лист с маркером. После окончания тестирования этот лист у Вас заберут и очистят от всех пометок.
После сдачи экзамена Вам выдадут Score Report со специальной печатью на нем. Это официальный документ, но совсем не сертификат. Сертификат Вам высылает вендор, который будет автоматически уведомлен о Вашей сдаче в течение 10 рабочих дней. На практике, бывали случаи, когда информация о сданном экзамене шла 21 день, хотя обычно срок составляет 2-3 дня. Остальные бумаги, которые напечатает принтер, имеют намного меньшую ценность. Скорее всего, это Agreement с вендором, согласно которому Вы не имеете право рассказывать кому-либо о вопросах экзамена и т.д. Это соглашение Вы должны подписать и выслать по указанному адресу, только если Вы не имеете возможности подписать его on-line. Я таких случаев не встречал.
Сам сертификат от вендора идет почтой (традиционной, а не e-mail). Иногда — идет очень долго — до 3-х месяцев. Если вендор предоставляет возможность контроля сданных экзаменов через web- интерфейс, надо обязательно проконтролировать факт сдачи и убедиться, что сертификат выслан. Вполне возможно, что Вам потребуется совершить ряд действий на сайте для заказа сертификата.
В процессе тестирования, сам тест, запускаемый в специальной программной оболочке, изредка может «глючить». Как правило, это проявляется в несоразмерности шрифтов, уходу изображений за пределы видимости и т.д. Такое случается, несмотря на жестко прописанную конфигурацию компьютеров для тестирования во всех центрах мира. Однако, как правило, эти мелкие сбои не мешают правильно ответить на вопрос. Если Вас что-то смущает — зовите администратора.
Структура теста зависит от того, каким его сделал вендор. В одних тестах можно возвращаться назад, в других — нельзя. Оценка может быть как бинарной: сдал — не сдал (у Microsoft); так и в диапазоне от 300 до 1000 очков с описанием результатов по темам теста (у Cisco, что у меня и было). Проходной балл зависит от теста, система его сообщит при начале тестирования. Вес вопросов может отличаться внутри теста, однако эта информация скрыта. По моим сведениям, во всех тестах можно оставлять комментарии для головного тестирующего центра, хотя увлекаться этим не стоит — на результат Ваши комментарии вряд ли повлияют.
В верхнем правом углу в процессе тестирования идут часы, показывающие, сколько времени у Вас осталось. Для некоторых тестов добавляется дополнительное время, если экзамен сдается не на родном языке. Обычно, это делается автоматически, но иногда приходится привлекать администратора.
До начала самого тестирования, Вас могут попросить ответить на анкету. Обратите внимание — Ваши ответы никак не повлияют на вопросы самого теста и на оценку! По окончании тестирования, возможно, Вам предложат ответить также на вопросы о самом центе тестирования. Можете отвечать, а можете — и нет. Экзамен уже все равно сдан.
Вопросы в экзамене выбираются из банка вопросов. Обычно, размер банка где-то в 3-4 раза больше числа вопросов в тесте.
Да, и еще, сертификат действителен всего 3 года. После окончания данного срока нужно или проходить заново тестирование или повышать уровень (например уже на CCNP сдавать)
Вы всегда можете отследить состояние своей сертификации через онлайн-систему Certification Tracking System, вход в которую расположен по этой ссылке.
Полезно http://habrahabr.ru/post/241933/
Материал сайта pyatilistnik.org
В самом начале, когда уже принято решения готовиться к сертификационному экзамену Cisco CCNA, еще очень мало ясности в том как готовиться и к чему готовиться. Тема подготовки и самого экзамена регулярно обсуждается на тематических форумах и конференциях. В данной публикации собрана основная информация, которую удалось почерпнуть из подобных источников и собрана в некое подобие FAQ.
Подготовка к экзамену. Что выбрать специализированные курсы или самостоятельную подготовку?
На этот вопрос придется отвечать каждому самостоятельно. Дело в том, что не каждый может организоваться для самостоятельной подготовки. В то время как каждое занятие на специализированных курсах оплачено и имеет четкое расписание. Это дисциплинирует. В то же время, подобная дисциплинированность может дорого стоить. В любом случае, самостоятельная подготовка дешевле, но требует организованности; подготовка на специализированных курсах имеет внешний организующий фактор, но стоит дорого. Все остальные факторы для меня были вторичны, так как все что нужно для подготовки можно без проблем найти: книги, эмуляторы, симуляторы, недорогое оборудование б/у и т.д. Моим ответом на данный вопрос была самостоятельная подготовка. Из-за моего графика работы у меня нет возможности регулярно посещать специализированные курсы. Остается только самостоятельно готовится в небольшие промежутки свободного времени.
Какой язык выбрать для подготовки и прохождения самого теста? Русский или английский?
Это не просто вопрос, а целая тема для дискуссии. И тот и другой вариант имею свои преимущества и недостатки. При подготовке и сдаче экзамена на русском проще усваивать теорию на родном языке и меньше вероятность допустить нелепую ошибку связанную с незнание языка на самом экзамене В тоже время, нет полной гарантии того, что вопросы и ответы изначально английской версии экзамена будут достаточно корректно и понятно переведены. Продолжительность экзамена на родном языке будет 90 минут, на английском 120 минут. Дальнейшие тесты в сертификационной линейке Cisco пока не переведены и имеют только английские версии тестов. Я выбрал английский, так как давно уже хотел подтянуть свой технический английский, а также не планирую останавливаться на CCNA.
Можно ли сдать экзамен CCNA он-лайн?
Экзамен Cisco CCNA сдается только в специлизированных сертификационных центрах Pearson VUE. Упоминание CCNA в сочетании с «он-лайн» применимо только для подготовки к экзамену. Видео лекции ( уроки ), вебинары, доступ к лаборатории оборудования Cisco и учебные материалы академии Cisco — это то, к чему можно получить доступ он-лайн. Сдать экзамен CCNA он-лайн нельзя.
Сколько стоит попытка сдать экзамен CCNA?
Попытка сдать экзамен/тест CCNA стоит 295 USD ( если сдавать одним экзаменом ). В тоже время, некоторые сертификационные центры могут добавить к этой сумме что-то еще. Это, так сказать, надбавка за престижность сертификационного центра. Не более. Но. в любом случае, это будет не менее 295 USD.
Сколько вопросов в экзамене и сколько времени на них отведено?
В экзамене 45-55 вопросов на которые дается 90 минут, если экзамен сдается на русском и 120 минут — если на английском. При регистрации обязательно указать язык, на котором будет сдаваться тест, и уточнить о возможности получения дополнительных 30 минут.
Как еще можно получить сертификат Cisco CCNA, кроме как сдав экзамен Cisco CCNA 640-802?
Есть два официальных способа получить сертификат Cisco CCNA:
- сдать экзамен Cisco CCNA 640-802;
- сдать два экзамена ICND-1 640-822 и ICND-2 640-816;
Какой из двух возможных путей получения сертификата избрать — выбирать придется самостоятельно.
Имеет ли сертификат Cisco CCNA срок действия?
Срок действия сертификата 3 года. Для продления этого срока можно сдать экзамен ICND-2 640-816, Cisco CCNA 640-802, любой из линейки CCNA (CCNA Security, CCNA Voice, CCNA Wireless, CCNA SP Ops) или Design (CCDA). Также продлевают срок действия сертификаты Cisco более высокой ступени, такие как CCNP и т.д.
Если во время экзамена нажать Next ( Далее ), можно ли вернуться к пропущенным вопросам?
К сожалению, нет. Только вперед. Нельзя ответить сначала, то что знаешь наверняка, а потом вернуться к тем вопросам, над которыми надо подумать. Это очень важно помнить.
Что является самым важным для успешного прохождении теста CCNA?
Это очень сложный вопрос, так как данный экзамен включается в себя базовые знания большого количества аспектов сетевых технологий. С некоторыми из них никогда не приходится встречаться в реальной жизни, но на вопросы по этим темам все равно придется отвечать. Одной из самых важных тем является расчет сетей и масок. Это то чему во всех курсах уделяют особое внимание. Эта тема, которую нужно знать. Правильный ответ не получится угадать. Здесь или знаешь или нет. Остальные темы не менее важны и их нельзя игнорировать.
Можно ли использовать сокращения команд и Tab?
На этот вопрос нет однозначного ответа. Дело в том, что часть людей сдавших экзамен говорит о том, можно было без проблем использовать сокращения и пользоваться Tab, другие говорили о том что это не работало. В любом случае, лучше в процессе подготовки запоминать команды полностью. В таком случае не возникнет проблем на экзамене.
Что предоставляется экзаменующимся в сертификационном центре?
В сертификационном центре перед экзаменом выдают ручку и лист бумаги или маркер и пластиковый планшет. Записи, который велись во время экзамена потом забирают. Это все. Никаких словарей и калькуляторов. Только личные знания и устный счет. Мобильные телефоны, КПК или любые другие электронные устройства запрещено проносить с собой в комнату в которой проходит экзамен. Обыскивать не будут, но если заметят — просто аннулируют попытку, естественно не вернув заплаченных за нее денег. С этим очень строго.
Если не сдать экзамен, увижу я те же вопросы в следующий раз?
Для экзамена CCNA приготовлено около 1000 вопросов, которые случайным образом выбираются из пула во время теста. Нет никакой гарантии того, что в следующий раз будут те же самые вопросы. С большей вероятностью, при следующей попытке, будут совсем другие вопросы.
Что лучше всего использовать при подготовке к экзамену?
Для подготовки к экзамену в сети доступно очень много различного материала.
Книги на русском языке
- Официальное руководство по подготовке к сертификационным экзаменам CCENT/CCNA ICND1
- Официальное руководство по подготовке к сертификационным экзаменам CCNA ICND2
- Программа сетевой академии Cisco CCNA с 1 по 4 семестры.
- Cisco CCNA Exploration и Cisco CCNA Discovery
Книги на английском
- Sybex CCNA 6th edition by Todd Lammle
- Sybex CCNA IOS Commands Survival Guide by Todd Lammle
- Cisco 640-802 CCNA Portable Command Guide
- Cisco Press ICND1 & ICND2 Certification Guide
- CCNA Networking Academy 1-4
- Cisco CCNA Discovery and Cisco CCNA Exploration study guide
Различия между курсами Cisco CCNA Discovery и Cisco CCNA Exploration заключается в том, что курс Discovery рассчитан на абитуриентов с базовыми компьютерными знаниями, в то время как курс Exploration рассчитан на более подготовленных студентов. CCNA Exploration, в отличии от CCNA Discovery, никогда не переводился на русский язык. Искать CCNA Exploartion на русском языке бесполезно.
Видео тренинги ( только на английском языке):
- CBT Nuggets
- Train Signal
- CCNA Video Mentor
Симуляторы
- GNS3
- Packet Tracer
Оба симулятора бесплатные. GNS3 позволяет использовать реальные образы IOS для эмулируемого оборудования, но не поддерживает эмуляцию коммутаторов 2-го уровня. «Рабочая лошадка» под GNS3 должна быть очень «выносливой», иначе сложные топологи не получится «завести». Packet Tracer менее требователен к ресурсам, но не поддерживает некоторых команд. С подобными ограничениями Packet Tracer не придется столкнуться, если готовится по Cisco CCNA Discovery или Cisco CCNA Exploration.
Дампы
- Pass4Sure
- Testking
- ActualTest
Использование дампов является объектом нескончаемых споров. Нет единого мнения на счет правильности или неправильности использования этого вида учебного материала при подготовке к экзамену. В моем понимании, вопросы из этих дампов являются отличным материалом для проверки своих знаний, а также источником английской лексики. Использование только заученных дампов при подготовке к экзамену ведет к появлению так называемых Paper CCNA. Эта та категория «специалистов» которая снижает ценность сертификата CCNA для работодателей.