9 шагов по настройке маршрутизатора Cisco. Работа с маршрутизатором Cisco и операционной системой Internetworking Operating System (IOS) — отличный способ поэкспериментировать с сетевыми концепциями и оборудованием с пользой для карьерного роста. Таким образом можно получить практический опыт использования IOS, установив маршрутизатор Cisco на границе с Internet в тестовой лаборатории или в домашнем офисе.
Повышенная гибкость маршрутизатора Cisco (с более детальным управлением, чем устройства Linksys и NETGEAR, обычно используемые дома) полезна, если впоследствии потребуется расширить инфраструктуру, например подключить внутренний брандмауэр Microsoft ISA Server. В данной статье представлены основные этапы установки маршрутизатора Cisco для организации доступа к малой сети через Internet. Предполагается, что читатели обладают необходимыми минимальными знаниями об операционной системе IOS, в том числе о процедуре регистрации и способах сохранения и сброса конфигурации. Важно хорошо понимать принципы организации сетей, в частности преобразования сетевых адресов Network Address Translation (NAT).
- Работа с маршрутизатором Cisco и операционной системой Internetworking Наконец, вводится собственно инструкция NAT (в одной строке).
- On the Cisco 2911, 2921, and 2951, an optional DC power supply is available that extends deployment into central offices and industrial environments.
- В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей.
- Описание : Маршрутизатор, 3 порта 10/100/1000BaseT Ethernet, 4 слота EHWIC. В будущем для моделей Cisco 2911, 2921 и 2951 будет доступен.
В статье не описываются способы организации доступа SSH и защиты списков доступа. Желающие могут самостоятельно получить более подробную информацию, если это требуется для дальнейших экспериментов. Требуется маршрутизатор Cisco, располагающий, по крайней мере, двумя интерфейсами Ethernet. Модели 806, 836, 851 и 871 удобно применять дома или в малом офисе, они на это и рассчитаны. Модель 851 можно купить в Internet-магазине за несколько сотен долларов. Однако модель 2610 столь же эффективна и, возможно, уже установлена в шкафу для оборудования в офисе, и ее можно попросить на время.
Необходим маршрутизатор с операционной системой IOS 12. 2 или более новой. Данная статья написана на примере маршрутизатора Cisco 851W и IOS 12.
Маршрутизатор Cisco2911 k9 с интегрированными сервисами, оснащенный 3 портами WAN Gigabit Описание маршрутизаторов Cisco ISR G2 2900. Описание сisco 2911 k9. Роутер имеет 512 Mb оперативной памяти. При необходимости ее можно расширить до 2 Gb. Базовая RAM составляет 256 Mb.
4, с активным брандмауэром IOS. Также необходим кабель консоли Cisco (rollover cable). На одном его конце находится восьмипозиционный, восьмипроводниковый модульный разъем для подключения к маршрутизатору; на другом — последовательный разъем DB-9.
В последние годы кабели консоли, поставляемые вместе с оборудованием Cisco, окрашивались в голубой цвет. Необходим компьютер с последовательным портом DB-9. По опыту, преобразователи между USB и последовательным портом вполне пригодны для такого применения. Кроме того, на компьютере должна быть установлена программа эмуляции терминала. Для Windows XP применялась HyperTerminal компании Hilgraeve, но программа была удалена из Windows Vista. Пользователи Vista могут загрузить HyperTerminal Private Edition 6.
3 по адресу www. hilgraeve. com/htpe/download.
html. Пользователи Mac OS X могут выполнить поиск ZTerm с помощью Google, а пользователи Linux — поиск с ключевым словом minicom. Подключение маршрутизатора к компьютеру и запуск программы эмуляции терминала. Подключите маршрутизатор к компьютеру через кабель консоли и запустите программу эмуляции терминала. Параметры порта — 9600,8,N,1.
Если нет опыта подключения устройства непосредственно через асинхронное последовательное соединение, полезно попросить о помощи специалиста, имеющего опыт работы с продуктами Cisco. Начните с команды enable для перехода в привилегированный режим EXEC. Затем введите команду erase startup-config, чтобы получить пустую конфигурацию. Перезапустите маршрутизатор с помощью команды reload. Дайте отрицательный ответ на приглашение IOS войти в диалоговое окно начальной настройки. Эти шаги могут показаться непонятными тем, кому ранее приходилось работать только с устройствами Cisco, функционирующими в производственной среде. Некоторым администраторам привычнее использовать для настройки оборудования Telnet, а еще лучше SSH.
Такой вариант не подходит, если нужно начать с чистой конфигурации, поскольку в этом случае доступ через Telnet или SSH поначалу невозможен. Идентификация интерфейсов маршрутизатора.
Взгляните на заднюю панель маршрутизатора и определите, какие порты Ethernet будут использоваться для каких целей. Один порт будет применяться для подключения к устройству доступа в глобальную сеть WAN, такому как кабельный модем; другой будет подключаться к локальной сети. Если используется устройство 851W, обратите внимание на маркировку: FastEthernet4 — интерфейс WAN, а порты с FastEthernet0 до FastEthernet3 — интерфейсы локальной сети. Если маркировка на интерфейсах маршрутизатора отсутствует, можно ввести команду.
show ip interface brief. из привилегированного режима EXEC, чтобы выяснить имена. Настройка IP-адресов. Теперь можно начинать собственно установку.
Из привилегированного режима EXEC (если он не активен, введите команду enable) запустите режим настройки терминала с помощью команды. Введите команду. no ip domain lookup.
чтобы предотвратить попытки IOS преобразовать имена доменов, введенные с опечатками. Пользователи, уверенные в безошибочности вводимых данных, могут пропустить этот шаг. Также полезно ввести команду. no logging console. чтобы IOS не выводила сообщения syslog в консоль во время работы. Они очень мешают в процессе ввода данных с клавиатуры.
Теперь все готово, чтобы назначить IP-адрес для интерфейса локальной сети. В модели 851W, на которой основана данная статья, это делается на виртуальном интерфейсе BVI1, соответствующем физическим интерфейсам локальной сети. В других маршрутизаторах, возможно, придется обратиться к физическим интерфейсам. Введите. interface <interface_name>. Я использую 192. 168.
100. 1 с маской класса C, поэтому команда выглядит следующим образом:.
ip address 192. 168. 100.
Команда показана на двух строках, но в действительности ее нужно вводить одной строкой. При желании можно использовать представление Classless Inter-Domain Routing (CIDR), тогда команда будет выглядеть следующим образом:. interface FastEthernet4.
а следом команду. ip address dhcp. затем используйте команду exit для выхода из режима настройки интерфейса.
Настройка списков доступа. Затем требуется настроить два списка доступа, применяемые к входящим соединениям. Обратите внимание, что в остальной части статьи часто используются термины «входящий» и «исходящий». Как показано на рисунке, «входящим» именуется трафик, поступающий на интерфейс; «исходящим» именуется трафик, покидающий его. В листинге 1 показаны два списка доступа: первый применяется к интерфейсу локальной сети (в данном случае, BVI1), а второй — к интерфейсу WAN (в данном случае FastEthernet4). Список доступа 100 будет применяться к интерфейсу локальной сети.
В первой строке назначается список доступа, а маршрутизатор переводится в режим настройки списка доступа. В следующей строке разрешается прохождение в интерфейс любого IP-трафика, соответствующего сети (192. 168. 100. 0/24). Маска подсети может выглядеть странно, но это не опечатка. В списках доступа IOS используются инверсные маски подсети.
Их несложно вычислить вручную, вычитая каждый октет обычной маски из 255. Таким образом, маска 255. 255. 252. 0 превращается в 0.
255, 255. 252. 0 превращается в 0.
255. 255 и т.
д. В третьей строке запрещается вход в интерфейс локальной сети любого другого трафика. В конце всех списков доступа неявно содержится deny all, но имеет смысл явно ввести строку deny, чтобы знать, где кончается список доступа, и упростить чтение конфигурации. Последняя строка выводит маршрутизатор из режима настройки списка доступа. Список доступа 101 будет применяться к интерфейсу WAN. В первой строке назначается список доступа, а маршрутизатор переводится в режим его настройки. В данном примере используется кабельный модем, поэтому в следующей строке трафику DHCP (bootps и bootpc) разрешается вход в интерфейс WAN.
Без этой записи интерфейс WAN никогда бы не принял публичный IP-адрес, и доступ в Internet был бы невозможен. Такую же конфигурацию можно использовать в тестовой лаборатории, если установлен DHCP-сервер и администраторы сети не возражают против эксперимента. В третьей и четвертой строках разрешается прохождение в интерфейс WAN любого трафика TCP и UDP из любого источника, направляемого в любое место назначения. В пятой, шестой и седьмой строках разрешается любой трафик ICMP, который исходит из любого источника; направляется в любое место назначения; является ответом ping, сообщением об истечении времени или недоступности, поступающим в интерфейс WAN. Осторожно выбирайте типы ICMP-трафика, разрешенного в сети, так как протокол ICMP уязвим для различных атак, особенно с отказом в обслуживании (DoS).
Однако эти три строки необходимы для применения команд ping и traceroute в целях диагностики. Две последние строки — такие же, как в списке доступа локальной сети. Настройка базовой проверки TCP/UDP/ICMP. Воспользуйтесь встроенными функциями брандмауэра, если они есть в версии IOS.
Брандмауэр IOS не обеспечивает глубокой инспекции на прикладном уровне, как, например, в брандмауэре ISA Server, но задействовать его стоит по двум причинам. Во-первых, дабы убедиться, что трафик, заявленный как TCP, UDP или ICMP, действительно принадлежит протоколам TCP, UDP или ICMP.
Во-вторых, проверка позволяет управлять доступом на основе контекста Context-Based Access Control (CBAC). С помощью CBAC операционная система IOS может создавать динамические записи в списке доступа, разрешая прохождение обратного трафика через маршрутизатор. Приведенные выше списки доступа очень общие (например, разрешен весь трафик TCP), поэтому после того, как будет получена работоспособная конфигурация, наверняка потребуется применить более строгие условия, назначить внутренние серверы, доступные из Internet, и т. д. После того как это будет сделано, CBAC обеспечит прохождение обратного трафика через маршрутизатор.
Например, при просмотре Amazon. com CBAC динамически помещает записи в исходящий список доступа, применяемый к внешнему (WAN) интерфейсу, чтобы разрешить поступление в маршрутизатор обратного трафика из Amazon. com. Когда соединение разрывается, эти записи автоматически удаляются.
Обязательно установите порог тайм-аута TCP SYN, чтобы предотвратить flood-атаки SYN с отказом в обслуживании:. ip tcp synwait-time 30. Эта команда указывает IOS на необходимость закрыть любой TCP-сеанс, не установленный в течение 30 секунд. Затем назначьте отдельные правила проверки для ICMP, TCP и UDP:. ip inspect name InspectRule icmp. ip inspect name InspectRule tcp. ip inspect name InspectRule udp.
Применение списков доступа и правил проверки. Примените как списки доступа, так и правила проверки к соответствующим интерфейсам во входящем направлении. Для интерфейса WAN (в данном случае FastEthernet4) нужно сначала войти в режим настройки интерфейса:.