9 кроків з налаштування маршрутизатора Cisco

Таким чином можна отримати практичний досвід використання IOS, встановивши маршрутизатор Cisco на кордоні з Internet в тестовій лабораторії або в домашньому офісі Таким чином можна отримати практичний досвід використання IOS, встановивши маршрутизатор Cisco на кордоні з Internet в тестовій лабораторії або в домашньому офісі. Підвищена гнучкість маршрутизатора Cisco (з більш детальним управлінням, ніж пристрої Linksys і NETGEAR, як правило, використовується будинку) корисна, якщо згодом буде потрібно розширити інфраструктуру, наприклад підключити внутрішній брандмауер Microsoft ISA Server.

У даній статті представлені основні етапи установки маршрутизатора Cisco для організації доступу до малої мережі через Internet. Передбачається, що читачі мають необхідні мінімальні знання про операційну систему IOS, в тому числі про процедуру реєстрації та способи збереження і скидання конфігурації. Важливо добре розуміти принципи організації мереж, зокрема перетворення мережевих адрес Network Address Translation (NAT). У статті не описуються способи організації доступу SSH і захисту списків доступу. Бажаючі можуть самостійно отримати більш детальну інформацію, якщо це потрібно для подальших експериментів.

необхідні ресурси

Потрібно маршрутизатор Cisco, який володіє, принаймні, двома інтерфейсами Ethernet. Моделі 806, 836, 851 і 871 зручно застосовувати вдома або в малому офісі, вони на це і розраховані. Модель 851 можна купити в Internet-магазині за кілька сотень доларів. Однак модель 2610 настільки ж ефективна і, можливо, вже встановлена ​​в шафі для обладнання в офісі, і її можна попросити на час.

Необхідний маршрутизатор з операційною системою IOS 12.2 або більш нової. Дана стаття написана на прикладі маршрутизатора Cisco 851W і IOS 12.4, з активним брандмауером IOS.

Також необхідний кабель консолі Cisco (rollover cable). На одному його кінці знаходиться восьмипозиційний, восьміпроводніковий модульний роз'єм для підключення до маршрутизатора; на іншому - послідовний роз'єм DB-9. В останні роки кабелі консолі, що поставляються разом з обладнанням Cisco, забарвлювалися в блакитний колір.

Необхідний комп'ютер з послідовним портом DB-9. З досвіду, перетворювачі між USB і послідовним портом цілком придатні для такого застосування. Крім того, на комп'ютері повинна бути встановлена ​​програма емуляції терміналу. Для Windows XP застосовувалася HyperTerminal компанії Hilgraeve, але програма була видалена з Windows Vista. Користувачі Vista можуть завантажити HyperTerminal Private Edition 6.3 за адресою www.hilgraeve.com/htpe/download.html. Користувачі Mac OS X можуть виконати пошук ZTerm за допомогою Google, а користувачі Linux - пошук з ключовим словом minicom.

Підключення маршрутизатора до комп'ютера і запуск програми емуляції терміналу

Підключіть маршрутизатор до комп'ютера через кабель консолі і запустіть програму емуляції терміналу. Параметри порту - 9600,8, N, 1. Якщо немає досвіду підключення пристрою безпосередньо через асинхронне послідовне з'єднання, корисно попросити про допомогу фахівця, який має досвід роботи з продуктами Cisco.

Почніть з команди enable для переходу в привілейований режим EXEC. Потім введіть команду erase startup-config, щоб отримати порожню конфігурацію. Перезапустіть маршрутизатор за допомогою команди reload. Дайте негативну відповідь на запрошення IOS увійти в діалогове вікно початкової настройки.

Ці кроки можуть здатися незрозумілими тим, кому раніше доводилося працювати тільки з пристроями Cisco, що функціонують у виробничому середовищі. Деяким адміністраторам звичніше використовувати для настройки обладнання Telnet, а ще краще SSH. Такий варіант не підходить, якщо потрібно почати з чистої конфігурації, оскільки в цьому випадку доступ через Telnet або SSH спочатку неможливий.

Ідентифікація інтерфейсів маршрутизатора

Погляньте на задню панель маршрутизатора і визначте, які порти Ethernet будуть використовуватися для яких цілей. Один порт буде застосовуватися для підключення до пристрою доступу в глобальну мережу WAN, такому як кабельний модем; інший буде підключатися до локальної мережі. Якщо Ви використовуєте 851W, зверніть увагу на маркування: FastEthernet4 - інтерфейс WAN, а порти з FastEthernet0 до FastEthernet3 - інтерфейси локальної мережі.

Якщо маркування на інтерфейсах маршрутизатора відсутній, можна ввести команду

show ip interface brief

з привілейованого режиму EXEC, щоб з'ясувати імена.

Налаштування IP-адрес

Тепер можна починати власне установку. З привілейованого режиму EXEC (якщо він не активний, введіть команду enable) запустіть режим настройки терміналу за допомогою команди

configure terminal

Введіть команду

no ip domain lookup

щоб запобігти спробам IOS перетворити імена доменів, введені з помилками. Користувачі, впевнені в безпомилковості вводяться, можуть пропустити цей крок.

Також корисно ввести команду

no logging console

щоб IOS не виводиться повідомлення syslog в консоль під час роботи. Вони дуже заважають в процесі введення даних з клавіатури.

Тепер все готово, щоб призначити IP-адреса для інтерфейсу локальної мережі. У моделі 851W, на якій заснована дана стаття, це робиться на віртуальному інтерфейсі BVI1, відповідному фізичним інтерфейсів локальної мережі. В інших маршрутизаторах, можливо, доведеться звернутися до фізичних інтерфейсів. Введіть

interface

щоб перейти в режим конфігурації для цього інтерфейсу. Команда для моделі 851W:

interface BVI1

Тепер потрібно призначити інтерфейсу IP-адреса:

ip address

Я використовую 192.168.100.1 з маскою класу C, тому команда виглядає наступним чином:

ip address 192.168.100.1
255.255.255.0

Команда показана на двох рядках, але в дійсності її потрібно вводити одним рядком. При бажанні можна використовувати уявлення Classless Inter-Domain Routing (CIDR), тоді команда буде виглядати наступним чином:

ip address 192.168.100.1/24

Потрібно також налаштувати інтерфейс WAN на використання протоколу DHCP, щоб отримати для нього IP-адресу. Для цього введіть

interface FastEthernet4

а слідом команду

ip address dhcp

потім використовуйте команду exit для виходу з режиму настройки інтерфейсу.

Налаштування списків доступу

Потім потрібно налаштувати два списки доступу, що застосовуються до вхідних з'єднань Потім потрібно налаштувати два списки доступу, що застосовуються до вхідних з'єднань. Зверніть увагу, що в іншій частині статті часто використовуються терміни «вхідний» і «вихідний». Як показано на малюнку, «вхідним» іменується трафік, що надходить на інтерфейс; «Вихідним» іменується трафік, який залишає його. У лістингу 1 показані два списки доступу: перший застосовується до інтерфейсу локальної мережі (в даному випадку, BVI1), а другий - до інтерфейсу WAN (в даному випадку FastEthernet4).

Список доступу 100 буде застосовуватися до інтерфейсу локальної мережі. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим настройки списку доступу. У наступному рядку дозволяється проходження в інтерфейс будь-якого IP-трафіку, відповідного мережі (192.168.100.0/24). Маска підмережі може виглядати дивно, але це не помилка. У списках доступу IOS використовуються інверсні маски підмережі. Їх нескладно вирахувати вручну, віднімаючи кожен октет звичайної маски з 255. Таким чином, маска 255.255.252.0 перетворюється в 0.0.3.255, 255.252.0.0 перетворюється в 0.3.255.255 і т. Д.

У третьому рядку забороняється вхід в інтерфейс локальної мережі будь-якого іншого трафіку. В кінці всіх списків доступу неявно міститься deny all, але має сенс явно ввести рядок deny, щоб знати, де закінчується список доступу, і спростити читання конфігурації. Останній рядок виводить маршрутизатор з режиму настройки списку доступу.

Список доступу 101 буде застосовуватися до інтерфейсу WAN. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим його налаштування. В даному прикладі використовується кабельний модем, тому в наступному рядку трафіку DHCP (bootps і bootpc) дозволяється вхід в інтерфейс WAN. Без цього запису інтерфейс WAN ніколи б не прийняв публічний IP-адресу, і доступ в Internet був би неможливий. Таку ж конфігурацію можна використовувати в тестовій лабораторії, якщо встановлено DHCP-сервер і адміністратори мережі не заперечують проти експерименту. У третій і четвертій рядках дозволяється проходження в інтерфейс WAN будь-якого трафіку TCP і UDP з будь-якого джерела, що направляється в будь-яке місце призначення.

У п'ятій, шостій і сьомій рядках дозволяється будь-який трафік ICMP, який виходить з будь-якого джерела; направляється в будь-яке місце призначення; є відповіддю ping, повідомленням про закінчення часу або недоступності, що надходять в інтерфейс WAN. Обережно вибирайте типи ICMP-трафіку, дозволеного в мережі, так як протокол ICMP вразливий для різних атак, особливо з відмовою в обслуговуванні (DoS). Однак ці три рядки необхідні для застосування команд ping і traceroute з метою діагностики. Дві останні рядки - такі ж, як в списку доступу локальної мережі.

Налаштування базової перевірки TCP / UDP / ICMP

Скористайтеся вбудованими функціями брандмауера, якщо вони є в версії IOS. Брандмауер IOS не забезпечує глибокої інспекції на прикладному рівні, як, наприклад, в брандмауері ISA Server, але задіяти його варто з двох причин. По-перше, щоб переконатися, що трафік, заявлений як TCP, UDP або ICMP, дійсно належить протоколам TCP, UDP або ICMP. По-друге, перевірка дозволяє управляти доступом на основі контексту Context-Based Access Control (CBAC). За допомогою CBAC операційна система IOS може створювати динамічні записи в списку доступу, дозволяючи проходження зворотного трафіку через маршрутизатор. Наведені вище списки доступу дуже загальні (наприклад, дозволений весь трафік TCP), тому після того, як буде отримана працездатна конфігурація, напевно буде потрібно застосувати більш суворі умови, призначити внутрішні сервери, доступні з Internet, і т. Д. Після того як це буде зроблено, CBAC забезпечить проходження зворотного трафіку через маршрутизатор. Наприклад, при перегляді Amazon.com CBAC динамічно поміщає записи в вихідний список доступу, застосовуваний до зовнішнього (WAN) інтерфейсу, щоб дозволити надходження в маршрутизатор зворотного трафіку з Amazon.com. Коли з'єднання розривається, ці записи автоматично видаляються.

Обов'язково встановіть поріг тайм-ауту TCP SYN, щоб запобігти flood-атаки SYN з відмовою в обслуговуванні:

ip tcp synwait-time 30

Ця команда вказує IOS на необхідність закрити будь-який TCP-сеанс, чи не встановлений протягом 30 секунд.

Потім призначте окремі правила перевірки для ICMP, TCP і UDP:

ip inspect name InspectRule icmp
ip inspect name InspectRule tcp
ip inspect name InspectRule udp
InspectRule можна замінити іншим ім'ям.

Застосування списків доступу і правил перевірки

Застосуйте як списки доступу, так і правила перевірки до відповідних інтерфейсів у вхідному напрямку. Для інтерфейсу WAN (в даному випадку FastEthernet4) потрібно спочатку увійти в режим настройки інтерфейсу:

interface FastEthernet4

Потім застосуєте список доступу:

ip access-group 101 in

Зверніть увагу, що використовується access-group, а не access-list. Застосуйте правило перевірки:

ip inspect InspectRule in

Нарешті, вийдіть з режиму настройки інтерфейсу:

exit

Введіть для інтерфейсу локальної мережі (в даному прикладі BVI1):

interface BVI1
ip access-group 100 in
ip inspect InspectRule in
exit

Варто відзначити, що правило перевірки IP в вихідному напрямі можна застосувати поряд або замість вхідного напрямки.

Налаштування NAT

Тепер необхідно налаштувати NAT на перетворення адрес між внутрішньою мережею 192.168.100.0/24 і загальнодоступним Internet. Підготуйте список доступу, який використовується тільки для NAT:

ip access-list standard 10
permit 192.168.100.0?0.0.0.255
deny any exit

Як і раніше, перший рядок переводить маршрутизатор в режим настройки списку доступу. Зверніть увагу, що список доступу - звичайний, а не розширений. За допомогою звичайних списків доступу дозволяється або забороняється тільки трафік з зазначених IP-адрес і мереж. У них не можна вказати місце призначення або тип трафіку, як в розширених списках доступу. У другому рядку зазначається трафік, який потрібно перетворити. Наведений вище код дозволяє перетворення трафіку внутрішньої локальної мережі для Internet. У третьому рядку забороняється перетворення будь-якого іншого трафіку, а в четвертій маршрутизатор виводиться з режиму настройки списку доступу.

Потім для операційної системи IOS вказуються інтерфейси, які будуть брати участь в перетворенні мережевих адрес:

interface BVI1
ip nat inside
exit
interface FastEthernet4
ip nat outside
exit

Ці рядки вказують операційній системі, що інтерфейс локальної мережі, BVI1, буде містити адреси, які потрібно перетворити, а інтерфейс WAN, FastEthernet4, містить адреси, в які будуть перетворені внутрішні адреси.

Нарешті, вводиться власне інструкція NAT (в одному рядку):

ip nat inside source list 10
interface FastEthernet4 overload

Команда вказує IOS, що потрібно перетворити всі адреси в списку доступу 10 в адреси, призначені інтерфейсу FastEthernet4. Ключове слово overload дозволяє розділяти один публічний адресу між декількома внутрішніми приватними адресами.

Активізація інтерфейсів і відключення STP

Для тестування конфігурації майже все готово. Але спочатку потрібно переконатися, що жоден з інтерфейсів не перебуває у закритому стані. Для FastEthernet4 введіть:

interface FastEthernet4
no shutdown
exit

Процедуру слід повторити для кожного фізичного інтерфейсу маршрутизатора.

На даному етапі можна відключити кабель консолі і підключити комп'ютер до порту локальної мережі на маршрутизаторі з кабелем Ethernet. Потім можна звертатися до маршрутизатора, відкриваючи з'єднання Telnet (переважно захищене SSH) з IP-адресою локальної мережі маршрутизатора. Однак тримайте кабель консолі під рукою на випадок, якщо буде потрібно внести в конфігурацію зміна без доступу через Telnet. Клієнт Telnet входить до складу більшості операційних систем.

Іноді корисно відключити протокол STP на внутрішніх інтерфейсах локальної мережі, якщо такий захід передбачена в маршрутизаторі. Якщо планується організувати складну мережу комутаторів, то відключати STP не слід; але в малій мережі завдяки відключенню STP час з'єднання внутрішніх пристроїв локальної мережі з маршрутизатором може скоротитися на інтервал до 30 секунд. Для кожного інтерфейсу локальної мережі (в даному випадку від FastEthernet0 до FastEthernet3), введіть

interface FastEthernet0
spanning-tree portfast
exit

тестування конфігурації

Настав час зберегти конфігурацію. Введіть команду

copy running-config startup-config

щоб зберегти виконані настройки в незалежній пам'яті і забезпечити відновлення конфігурації після перезапуску маршрутизатора, збою електроживлення і в інших ситуаціях.

Слід також ввести команду

show running-config

для виведення копії щойно створеної конфігурації на екран. Конфігурацію можна скопіювати і вставити в текстовий редактор для звернень до неї в майбутньому. Можна також змінити конфігурацію в текстовому редакторі і вставити її в сеанс терміналу, щоб внести зміни в маршрутизатор. На даному етапі конфігурація повинна виглядати приблизно так, як показано в лістингу 2. Зверніть увагу, що в лістингу 2 пропущені багато рядки, які автоматично вставляються або включені за замовчуванням. Основа лістингу 2 - команди, введені вище.

Основа лістингу 2 - команди, введені вище

Тепер можна підключити кабель Ethernet до WAN-порту маршрутизатора і спробувати підключитися до Internet. Зверніть увагу, що під час відсутності DHCP-сервера вузлів внутрішньої локальної мережі будуть потрібні статичні IP-адреси.

Що далі?

Подальші перспективи безмежні. Для доступу до маршрутизатора, безсумнівно, будуть призначені імена користувачів і паролі, організований доступ Telnet і / або SSH (якщо це не зроблено раніше), а доступ обмежений певними IP-адресами. Слід подумати про зміну списків доступу, щоб заборонити доступ до мережі компанії з приватних, немаршрутізіруемих діапазонів IP-адрес.

Можна перетворити маршрутизатор в DHCP-сервер, організувати VPN-доступ до маршрутизатора в якості кінцевої точки, додати інструкції NAT і записи списку доступу для доступу до Web-серверу внутрішньої мережі з Internet або розмістити брандмауер ISA Server між маршрутизатором і клієнтами локальної мережі. З плином часу я вносив зміни в свою конфігурацію, і вона стала набагато складніше описаної в даній статті. Читайте додаткову документацію (настійно рекомендується серія Cisco Field Manual, опублікована видавництвом Cisco Press), задавайте питання знайомим фахівцям з обладнання Cisco і експериментуйте!

Майкл Дрегон ( [email protected] ) - редактор Windows IT Pro і системний інженер в Нью-Йорку. Має сертифікати MCDST і MCSE: Messaging

Проблема: Необхідно підвищити свою кваліфікацію в мережевих технологіях в тестовому середовищі.
Рішення: Потренироваться з настройками маршрутизатора Cisco в тестовій лабораторії або будинку.
Що потрібно: Маршрутизатор Cisco з двома Ethernet портами, що має IOS версії 12.2 або новіше, консольний кабель Cisco (крос-кабель), комп'ютер з послідовним портом, програма емуляції терміналу, і два кабелі Ethernet.

кроки рішення

  1. Підключіть маршрутизатор до комп'ютера і запустіть програму емуляції терміналу.

  2. Визначте інтерфейси маршрутизатора

  3. Налаштуйте адреси IPю

  4. Складіть списки доступу.

  5. Налаштуйте базову перевірку TCP / UDP / ICMP.

  6. Застосуйте списки доступу і правила перевірки.

  7. Налаштуйте NAT.

  8. Увімкніть інтерфейси і закрийте STP.

  9. Перевірте настройки, здійснюючи підключення до Internet.

Труднощі: 3,5 / 5

Що далі?

Уважаемые партнеры, если Вас заинтересовала наша продукция, мы готовы с Вами сотрудничать. Вам необходимо заполнить эту форму и отправить нам. Наши менеджеры в оперативном режиме обработают Вашу заявку, свяжутся с Вами и ответят на все интересующее Вас вопросы.

Или позвоните нам по телефонам: (048) 823-25-64

Организация (обязательно) *

Адрес доставки

Объем

Как с вами связаться:

Имя

Телефон (обязательно) *

Мобильный телефон

Ваш E-Mail

Дополнительная информация: