Базовая настройка маршрутизатора cisco putty

Обновлено: 05.07.2024

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

В этом документе описано использование Cisco Configuration Professional (CP ) для настройки базовой конфигурации маршрутизатора. Базовая конфигурация маршрутизатора включает в себя конфигурацию IP-адреса, маршрутизацию по умолчанию, статическую и динамическую маршрутизацию, статическое и динамическое преобразование NAT, имя хоста, баннера, секретный пароль, учетные записи пользователей и другие параметры. Cisco CP позволяет настроить маршрутизатор в нескольких сетевых средах, таких как Small Office Home Office (SOHO), филиал компании (BO), региональное отделение и центральный узел или главный офис предприятия, используя простой веб-интерфейс управления.

Предварительные условия

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизатор Cisco 2811 с выпуском 12.4 (9) программного обеспечения Cisco IOS

Версия Cisco CP 2.5

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Установка Cisco Configuration Professional

Выполните следующие шаги для установки CCP:

Запустите Cisco CP с локального компьютера из меню Start > Programs > Cisco Configuration Professional и выберите Community (Сообщество), содержащее маршрутизатор, который нужно настроить.

Для обнаружения устройства, которое следует настроить, выделите маршрутизатор и нажмите кнопку Discover (Обнаружить).

Примечание. Для получения информации о моделях маршрутизаторов Cisco и выпусках IOS, которые совместимы с CCP версии 2.5, см. Совместимые выпуски Cisco IOS.

Примечание. Для получения информации о требованиях к ПК для запуска CCP версии 2.5 см. Системные требования

Конфигурация маршрутизатора для запуска Cisco CP

Выполните следующие действия по настройке, чтобы запустить Cisco CP на маршрутизаторе Cisco:

Подключитесь к маршрутизатору с помощью Telnet, SSH или консоли.

Войдите в режим глобальной конфигурации с помощью следующей команды:

Создайте пользователя с уровнем привилегий 15:

Примечание. Замените <username> и <password> на имя пользователя и пароль, которое следует настроить. Не используйте один и тот же пароль для пользователя и параметра enable password.

Настройте SSH и Telnet для локального входа и уровня привилегий 15.

(Необязательно) Включите локальное ведение журнала для поддержки функции мониторинга журнала:

Требования

В этом документе предполагается, что маршрутизатор Cisco полностью в рабочем состоянии и настроен с разрешением Cisco CP изменять конфигурацию.

Условные обозначения

Настройка

В этом разделе содержатся сведения по настройке базовых параметров для маршрутизатора в сети.

Схема сети

В настоящем документе используется следующая схема сети:

Примечание. Схемы IP-адресации, используемые в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918, используемые в лабораторной среде.

Interface Configuration

Выполните следующие шаги для настройки интерфейсов маршрутизатора Cisco:

Нажмите Home (Главная), чтобы перейти на главную страницу Cisco CP.

На главной странице Cisco CP содержатся такие сведения, как программное и аппаратное обеспечение маршрутизатора, доступность функций и сводка по конфигурации.

Выберите Configure (Настроить) > Interface Management (Управление интерфейсами) > Interfaces and Connections (Интерфейсы и подключения) > Create Connection (Создать подключение), чтобы настроить подключение к глобальной сети (WAN) для интерфейса.

Например, для FastEthernet 0/1 выберите опцию Ethernet и нажмите Create New Connection (Создать новое подключение).

Примечание. Для других типов интерфейсов, таких как Ethernet, выберите соответствующий тип интерфейса и нажмите Create New Connection (Создать новое подключение), чтобы продолжить.

Нажмите Next, чтобы продолжить настройку после появления нужного интерфейса:

Выберите FastEthernet 0/1 (желаемый) в опции Available Interfaces (Доступные интерфейсы) и нажмите Next (Далее).

Укажите статический IP-адрес интерфейса с соответствующей маской подсети нажмите Next.

Настройте маршрутизацию по умолчанию с дополнительными параметрами, такими как IP-адрес следующего перехода (172.16.1.2 согласно схеме сети), предоставленный интернет-провайдером, и нажмите Next (Далее).

Примечание. Возможность подключения конфигурации можно проверить, установив флажок рядом с полем Test the connectivity after configuring (Проверить подключение после настройки). Это доступная дополнительная функция.

Появится следующее окно, отображающее состояние доставки команды в маршрутизатор. Кроме того, оно отображает ошибки, если доставка команды не удалась, из-за несовместимых команд или неподдерживаемых функций.

Выберите Configure (Настроить) > Interface Management (Управление интерфейсами) > Interfaces and Connections (Интерфейсы и подключения) > Edit Interfaces/Connections (Изменить интерфейсы/подключения), чтобы добавить, изменить или удалить различные интерфейсы.

Выделите интерфейс, в который необходимо внести изменения и нажмите Edit, чтобы изменить или отредактировать конфигурацию интерфейса. Здесь можно изменить ранее установленные статические IP-адреса.

Конфигурация статического преобразования сетевых адресов (NAT)

Конфигурация динамического NAT

Выполните следующие шаги для настройки динамического NAT в маршрутизаторе Cisco:

Выберите Configure (Настроить) > Router (Маршрутизатор) > NAT > Basic NAT (Базовое NAT) и нажмите Launch the selected task (Запустить выбранную задачу), чтобы настроить базовое преобразование NAT.

Выберите интерфейс, который подключается к Интернету или интернет-провайдеру, а также выберите диапазон IP-адресов, которому следует предоставить доступ в Интернет. После выбора этой информации нажмите Next (Далее), как показано здесь:

В окне "Edit NAT Configuration" отображается готовая конфигурация динамического преобразования сетевых адресов (NAT) с перегруженными преобразованными IP-адресами (PAT). Чтобы настроить динамическое преобразование сетевых адресов (NAT) для пула адресов, выберите Address Pool.

Нажмите Add.

Нажмите Add.

Нажмите Edit.

Выберите Address Pool (Пул адресов) в поле Type (Тип), укажите имя для пула адресов как pool и нажмите OK.

Используйте это окно для назначения внутренних и внешних интерфейсов, которые следует использовать в преобразованиях NAT. NAT использует внешние и внутренние назначения во время интерпретации правил трансляции, поскольку трансляция может выполняться как из внутренней сети во внешнюю, так и из внешней во внутреннюю.

После назначения эти интерфейсы используются во всех правилах трансляции NAT. Назначенные интерфейсы отображаются над списком правил преобразования (Translation Rules) в главном окне NAT.

Статическая конфигурация NAT

Выполните следующие шаги для настройки статического NAT в маршрутизаторе Cisco:

Выберите Configure (Настроить) > Router (Маршрутизатор) > NAT > Edit NAT Configuration (Изменить конфигурацию NAT) и нажмите Add (Добавить), чтобы настроить статическое преобразование NAT.

Выберите Direction (Направление) от внутреннего интерфейса к внешнему или наоборот, а также укажите внутренний IP-адрес, который будет преобразован, в поле Translate from Interface (Преобразовать из интерфейса). В области Translate to Interface (Преобразовать в интерфейс) выберите Type (Тип):

Выберите IP Address, если необходимо использовать преобразование для IP-адреса, введенного в поле "IP Address".

Выберите Interface, если необходимо, чтобы функция Translate from Address использовала интерфейс маршрутизатора. Адрес, указанный в окне Translate from Address, преобразуется в IP-адрес, который назначен интерфейсу, указанному в поле "Interface".

Установите флажок Redirect Port, если необходимо включить в преобразование данные о порте внутреннего устройства. Это позволяет использовать один общедоступный IP-адрес для нескольких устройств. При этом номера портов, назначенные устройствам, должны быть разными. Для этого адреса преобразования необходимо создать по одной записи на каждое сопоставление порта. Выберите TCP, если используется TCP-порт или UDP для UDP-порта. В поле "Original Port" введите номер порта внутреннего устройства. В поле "Translated Port" введите номер порта, который маршрутизатор должен использовать для этого преобразования. См. раздел Разрешение доступа к внутренним устройствам из Интернета документа Настройка преобразования сетевых адресов: Начало работы.

В этом окне отображается конфигурация статического преобразования сетевых адресов (NAT) с включенным перенаправлением портов:

Конфигурация маршрутизации

Настройка статической маршрутизации

Выполните следующие шаги для настройки статичной маршрутизации в маршрутизаторе Cisco:

Выберите Configure (Настроить) > Router (Маршрутизатор) > Static and Dynamic Routing (Статическая и динамическая маршрутизация) и нажмите Add (Добавить), чтобы настроить статическую маршрутизацию.

Введите целевой сетевой адрес с маской и выберите либо исходящий интерфейс, либо IP-адрес следующего перехода.

В этом окне отображается статический маршрут, настроенный для сети 10.1.1.0 с IP-адресом следующего перехода 172.16.1.2:

Настройка динамической маршрутизации

Выполните следующие шаги для настройки динамической маршрутизации в маршрутизаторе Cisco:

Выберите Configure (Настроить) > Router (Маршрутизатор) > Static and Dynamic Routing (Статическая и динамическая маршрутизация).

Выберите RIP, а затем щелкните Edit.

Установите флажок Enable RIP (Включить RIP), выберите версию RIP и нажмите Add (Добавить).

Укажите сетевой адрес для объявления.

Нажмите Deliver, чтобы передать команды маршрутизатору.

В этом окне отображается конфигурация динамической маршрутизации RIP:

Другие параметры

Выполните следующие шаги для настройки других базовых параметров в маршрутизаторе Cisco:

Выберите Configure (Настроить) > Router (Маршрутизатор) > Router Options (Параметры маршрутизатора) и нажмите Edit (Изменить), если нужно изменить свойства Hostname (Имя хоста), Domain Name (Имя домена), Banner (Баннер) и Enable Secret Password (Включить секретный пароль) для маршрутизатора.

Выберите Configure (Настроить) > Router Access (Доступ к маршрутизатору) > User Accounts/View (Учетные записи пользователей/представление) для добавления/редактирования/удаления учетных записей пользователей на маршрутизаторе.

Выберите Configure > Utilities > Save Running Config to PC (Настроить > Утилиты > Сохранить текущую конфигурацию на ПК) для сохранения конфигурации в память NVRAM маршрутизатора, а также на ПК, и сброса текущей конфигурации до заводских настроек по умолчанию.

Примечание. Для того чтобы использовать CCP для восстановления файла конфигурации, сохраненного на компьютере, на маршрутизатор или для резервного копирования файла конфигурации с маршрутизатора на компьютер, откройте Configuration Editor (Редактор конфигурации) и нажмите I agree (Соглашаюсь). В окне Configure (Настроить) выберите Import configuration from PC (Импортировать конфигурацию с ПК), а затем нажмите кнопку replace running configuration (Заменить текущую конфигурацию).

Конфигурация интерфейса командой строки CLI

Проверка

Выберите Configure > Interface & Connections > Edit Interface Connections > Test Connection (Настроить > Интерфейс и подключения > Изменить подключения интерфейса > Проверить подключение), чтобы протестировать сквозное подключение. Можно указать IP-адрес удаленной стороны, щелкнув переключатель User-specified.

Устранение неполадок

Примечание. Дополнительные сведения о командах debug см. в документе Важные сведения о командах debug.

Для устранения неполадок используются следующие параметры:

Выберите Help (Справка) > About this Router (Об этом маршрутизатора), чтобы просмотреть подробные сведения об аппаратном и программном обеспечении маршрутизатора.

Опция Help (Справка) предоставляет сведения о различных доступных параметрах в Cisco CP для конфигурации маршрутизаторов.

Как можно изменить имя пользователя и пароль для маршрутизатора?

Имя и пароль пользователя маршрутизатора можно изменить с помощью Cisco CP. Выполните следующие шаги для изменения имени пользователя и пароля:

Создайте новую учетную запись временного пользователя, затем войдите в нее.

Измените имя пользователя и пароль учетной записи основного пользователя (т. е. учетной записи пользователя маршрутизатора, в которой следует изменить имя пользователя и пароль) в программе Cisco CP.

Выйдите из временной учетной записи и войдите в основную.

Удалите учетную запись временного пользователя после изменения пароля для основной учетной записи.

При использовании Internet Explorer 8 для доступа к Cisco CP возникает внутренняя ошибка. Как решить этот вопрос?

Вы могли получить следующую внутреннюю ошибку при использовании Internet Explorer 8 для настройки маршрутизатора серии 2800 с помощью Cisco CP:

Понижение версии Java не устраняет эту неполадку.

Эта ошибка может возникнуть из-за проблемы совместимости браузеров. Internet Explorer 8 изменяет многие базовые аспекты разработки приложений для IE. Cisco рекомендует понизить Internet Explorer до версии 7. Необходимо также удалить и повторно установить Cisco CP.

При загрузке установочного файла приложения и попытке установить Cisco CP может наблюдаться следующая ошибка:

Попробуйте решить эту проблему следующим способом.

Удалите все экземпляры Cisco CP с ПК и выполните загрузку и установку заново.

Если предыдущий шаг не помог, попытайтесь загрузить другую версию Cisco CP.

Примечание. Для связи с Центром технической поддержки Cisco требуются действующие учетные данные пользователя Cisco.

Как получить доступ к техническим журналам Cisco CP?

Примечание. Закройте все экземпляры Cisco CP, чтобы избавиться от любых других проблем с архивацией журналов.

Обнаружение маршрутизатора занимает больше времени, чем обычно. Как решить этот вопрос?

Как только Cisco CP запущен и сообщество настроено, обнаружение маршрутизатора занимает больше времени, чем обычно. Вот журналы Cisco CP, которые описывают истекшее время:

Эта проблема происходит со всеми маршрутизаторами, независимо от их модели и платформы. Кроме того, на маршрутизаторах нет никаких проблем с памятью или ЦП.

Проверьте режим аутентификации. Если аутентификация не происходит локально, то проверьте, существует ли проблема с сервером аутентификации. Устраните проблему с сервером аутентификации для решения этого вопроса.

Мне не удается просмотреть страницу конфигурации IPS на Cisco CP. Как решить этот вопрос?

Когда определенная функция в окне конфигурации не показывает ничего, кроме пустой страницы, возможны проблемы с несовместимостью.

Проверьте следующие элементы для решения этого вопроса:

Проверьте, поддерживается ли конкретная функция и включена ли она на вашей модели маршрутизатора.

Проверьте, поддерживает ли ваша версия маршрутизатора эту функцию. Проблемы несовместимости версий маршрутизатора могут быть решены с обновлением версии.

Начальная настройка cisco через COM-порт

Всем привет сегодня хочу освежить в памяти как производится начальная настройка cisco через COM-порт. Когда вы получаете новое оборудование, оно как правило имеет заводские настройки, которые врят ли кому подходят, в том числе и Cisco. Единственным способом осуществить первоначальную настройку, хотя бы назначить ip адрес и включить ssh для удаленного доступа, является подключение через COM-порт, в комплекте всегда идет специальный голубой провод.

Схема подключения и оборудование Cisco

И так базовая настройка cisco начинается, вот как выглядит схема подключения COM-портом к нашему сетевому оборудованию.

С одной стороны на сетевом оборудовании есть консольный порт вида мини USB либо формата RJ45.

Console port cisco

Вот как выглядят фирменные провода для подключения через console port cisco. Кстати новый оригинальный голубой провод стоит 15 баксов.

Провода подключения к коммутатору

Если у вас например ноутбук или стационарный компьютер не имеют разъема на материнской плате для COM-порт, то есть переходники COM-порт to USB.

COM-порт to USB

Настройки COM-порта

Настройки COM-порта для подключения к Cisco можете посмотреть по данной ссылке, я ранее делал себе заметку из них самое главное это:

  • Speed > скорость передачи данных в секунду
  • Data bits
  • Stop bits

Подключаться я буду через терминал в Cisco packet tracer 6.4, но и покажу как это происходит и через всем известную putty.

Cisco packet tracer 6.4

В putty базовая настройка cisco, начинается с вкладки Serial, тут нужно убедиться, что все настройки выставлены как я показывал вам выше.

базовая настройка cisco-1

Далее идем на вкладку Session и выбирем Serial, в поле Serial Line укажите нужный Com port.

базовая настройка cisco-2

Если не знаете какой у вас Com порт используется, то делаете следующее, нажимаете Win+R и вводите devmgmt.msc, у вас откроется диспетчер устройств.

базовая настройка cisco-3

И в пункте Порты (COM и LPT) смотрим ваши номера.

базовая настройка cisco-4

Вы попадаете в терминальную сессию, первым делом нужно удалить стартовый конфиг, делается это просто:

настройка cisco с нуля

Все теперь ваше устройство не содержит ни каких настроек и при первой загрузке вы получаете стандартный мастер настройки System Configuration Dialog, я если честно всегда говорю нет и привык делать все в ручную, на мой взгляд это нужно уметь делать, если вам вдруг нужно вызвать меню мастера первоначальных настроек, то это делается командой setup.

настройка cisco с нуля-2

Команды в терминале Cisco

Настройка cisco осуществляется с помощью списка команд, посмотреть который можно введя ?

список команд cisco

Такое малое количество команд означает,ч то мы находимся в обычном режиме терминала, попасть в привилегированный режим вводим

как видите, список команд существенно увеличился.

привилегированный режим

Зададим время clock set 13:53:00 28 nov 2016, у вас конечно оно будет своим, более детально как делается настройка времени cisco читайте по ссылке. Зададим dns имя вашему устройству, для этого заходим в режим настройки:

hostname и пишите нужное вам имя

и зададим домен ip domain-name и нужное имя домена

Следующим шагом нужно установить пароль на привилегированный режим в Cisco, а так же создать нового пользователя с возможностью логиниться из локальной базы. Далее настраиваем статический IP адрес и ssh или telnet доступ. После чего можно открывать у себя Putty и спокойно цепляться по удаленке, чтобы продолжить настройку Cisco так как вам это нужно. Надеюсь вы не уснули)))

При первоначальной настройки маршрутизатор cisco необходимо подключить к COM порту компьютера, посредством специального консольного кабеля.

Кабель представляет собой с одной стороны разъём DB9 (female/мама) для подключения к COM порту компьютера, а с другой RJ-45 для подключения к консольному порту маршрутизатора (порт обведён в голубой цвет и имеет надпись Console, либо просто надпись Console на голубом фоне).

Консольный кабель Cisco

Консольные порты Cisco

Новые модели маршрутизаторов, например Cisco 2900 Series Integrated Services Routers (ISR), имеют как RJ-45 консольный порт, так и консольный порт mini-USB Type B.

Mini-USB порт позволяет подключаться к консоли через USB кабель, если вдруг в компьютере отсутствует COM порт. Если настройка роутера производится через USB кабель на компьютере с Microsoft Windows, на компьютер необходимо установить драйвер Cisco Microsoft Windows USB Device Driver.

Кабель Mini USB

Консольный порт USB имеет приоритет над RJ-45. При настройке одновременное использование консольных портов не допускается.

Для настройки устройства через консольный кабель на компьютере с Microsoft Windows можно использовать встроенную программу Hyper Terminal, для меня она не очень удобна, поэтому я использую Putty (возможно это просто дело привычки). В программе, будь то Putty, Hyper terminal или ещё какая-либо, необходимо настроить параметры порта (COM) следующим образом:

Скорость (бит/с): 9600

Стоповые биты: 1

Управление потоком: нет

Пример настройки в Putty:

Настройка COM порта в Putty

Настройка COM порта в Putty

Окно запуска консоли в Putty

После чего, если маршрутизатор включен и соединен с компьютером консольным кабелем, в окне терминала (по нажатию на Enter) появится интерфейс командной строки. Так же здесь можно наблюдать и процесс загрузки устройства.

Можно приступать к настройке устройства.

Логин/пароль по умолчанию обычно либо cisco/cisco либо пустой пароль на вход в привилегированный режим.

*Mar 1 00:14:52.907: %SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload command.

Так как мы стерли конфигурационный файл startup-config, то после перезагрузки предлагается пройти мастер начальной настройки системы, в котором предлагается вести имя маршрутизатора, пароли для различных режимов, IP адрес на интерфейсе управления и прочее. Я обычно на запрос запуска мастера отвечаю: no , а все необходимые параметры ввожу вручную.

Мастер настройки Cisco

Пишем no и жмём Enter.

Прописываем время, дату и часовой пояс. Задать время и дату можно просто в привилегированном режиме, не переходя в режим глобального конфигурирования системы, а вот часовой пояс только в режиме конфигурации.

Включаем аутентификацию и заводим пользователя.

После ввода этих команд, нужно создать пользователя, иначе нельзя будет зайти на маршрутизатор ни по ssh/telnet, ни через консоль.

Создаём пользователя petya с паролем password123:

Настраиваем сетевой интерфейс. Что бы настроить сетевой интерфейс, нужно перейти из режима глобального конфигурирования в режим конфигурирования интерфейса.

Разрешаем удаленный доступ к устройству по telnet или ssh. Не все версии IOS поддерживают ssh (необходима поддержка шифрования). Поэтому в некоторых случаях приходится настраивать удаленный доступ и для telnet. Для настройки ssh необходимо сперва сгенерировать ключи.

How many bits in the modulus [512]:
% Generating 512 bit RSA keys . [OK]

Разрешаем ssh и telnet на линиях виртуальных терминалов:

В данном случае разрешён удаленный доступ с любых IP адресов, что бы ограничить, необходимо создавать ACL и вешать их на линии.

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности - мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа - межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) - сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования - Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования - NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас - Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия - 2 месяца!


Данная серия устройств отлично подходит для малого и среднего бизнеса с различной инфраструктурой. Множество дополнительных функций позволяет развернуть сеть под конкретные нужды, а в будущем - увеличить её, не меняя оборудование. Голосовой шлюз - один из примеров широкого функционирования маршрутизатора за счет дополнительной гибкости устройства.

IP-телефония - ещё один бонус в копилку данных устройств, поскольку также открывает широкие возможности по обустройству офиса или компании.
Интеграция сервисов как раз и рассчитана на уменьшение расходов на построение инфраструктуры, предоставляя большие возможности для функционирования определенной сети. Высокая производительность Cisco 2911 создает комфортные условия для его использования.

Для обновленных версий устройства появились возможности по обеспечению информационной безопасности, стали доступны упомянутые выше голосовые шлюзы. Также удобными инновациями стали IP- маршрутизация, групповая адресация, обеспечение качества обслуживания (QoS), мобильность IP-адресов, поддержка технологий MPLS, VPN и встроенные средства управления.

Настройка SSH

Прежде чем приступить непосредственно к настройке оборудования, необходимо обеспечить к нему доступ по протоколу SSH. Это защищенный протокол, который обеспечивает безопасность при работе с маршрутизатором. При первом подключении к Cisco 2911 необходимо произвести базовую настройку оборудования. К ней относится настройка подключения по протоколу Telnet (устаревший протокол, передающий все пароли в открытом виде и открывающий широкие возможности для различных атак).

Для настройки необходимо использовать программу Putty, выбрав в ней тип подключения Serial и COM-порт. В консольном окне прописать следующее:

Настройка интерфейсов внутренней сети выглядит следующим образом:

Теперь устройство доступно для подключения по протоколу Telnet по адресу 192.168.0.1.

Далее производим настройку SSH:

Активируем протокол ААА

Далее необходимо выйти из конфигурационного режима командой Ctrl+Z

Теперь оборудование доступно через защищенный канал SSH.

Настройка USB

Если вернуться к началу статьи, то стоит обратить внимание на то, что подключение к консоли возможно не только через COM-порт, но и через USB. Для этого необходимо скачать и установить специальный драйвер (cisco usb console driver). Происходит распаковка, установка, перезагрузка системы.


Далее в диспетчере устройств необходимо посмотреть, какой COM-порт присвоен Cisco USB Console. После этого в Putty необходимо выбрать Serial - подключение и выбрать тот самый COM-порт (см.рис.1).

Теперь можно перейти к полноценной настройке. Первым этапом будет рассмотрен процесс маршрутизации.

Прежде чем к нему приступить, стоит ознакомиться с таким понятием как «таблица маршрутизации». Визуально это можно представить как граф, соединенный между собой точками. Из пункта «А»в пункт «Б», и т.п. Таких маршрутов может быть несколько, но в данном случае будет рассмотрена статическая маршрутизация – это один конкретный путь, который, как правило, прописывается самим пользователем.

Данный этап необходим для того, чтобы маршрутизатор «знал» путь из одной точки в другую. Это знание поможет ему выбрать наилучший маршрут в зависимости от ситуации.

Процесс назначения маршрута на роутере выглядит следующим образом:

enable
configure terminal
ip route 172.16.0.0 255.255.255.128 Serial0/0/0// Используем команду для ввода статического маршрута

Данная команда указывает на то, что далее будет прописан маршрут. В конкретном случае, адрес 172.16.0.0 – та самая неизвестная роутеру сеть, 255.255.255.128 – маска неизвестной удаленной сети. Serial0/0/0 – интерфейс, на который будут поступать пакеты данных, предназначенные для той самой удаленной сети.

Вместе интерфейса можно указать IP-адрес шлюза.

ip route 0.0.0.0 0.0.0.0 Serial0/0/0
означает маршрут по умолчанию.
end// Выход из режима глобальной конфигурации
show running-config// Проверка введенных данных.
copy running-config startup-config// Сохранение настроек

Настройка VLAN

По правилам хорошего тона, прежде чем настраивать маршруты, стоило прописать VLAN. VLAN – virtual local area network – функция, которая позволяет на одном физическом интерфейсе создать несколько виртуальных сетей. К примеру, можно представить офис, в котором к одному роутеру подключено несколько ПК. Необходимо, чтобы ПК-1 и ПК-2 – общались между собой, ПК-3 и ПК-4 тоже только между собой. Как раз для этого и нужно создание VLAN.


Прописывать статические маршруты также намного удобнее до VLAN, чем до каждого ПК в отдельности. Можно указать один шлюз сети и IP-адрес конкретного VLAN – сэкономить время и упростить себе задачу.

Разобравшись в необходимости и полезности VLAN, можно переходить к их настройке.

VLAN находится непосредственно на коммутаторе. Маршрутизатор подключается к коммутатору посредством trunk-порта и позволяет VLAN-ам общаться между собой при необходимости. Трафик передается через этот порт и помечается номером VLAN-а. Далее на интерфейсе необходимо настроить sub-интерфейсы с соответствующими для каждого VLAN IP-адресами. За счет этого происходит корректное перенаправление пакетов.

Визуально можно представить так: между коммутатором и маршрутизатором есть некий «мост» - trunk-порт, проходя через который, всем присваивается определенный номер (VLAN-ы, как правило, обозначаются цифрами). И в зависимости от номера трафик на выходе «моста» идет в конкретном направлении.

Первым делом настраивается интерфейс для управления оборудованием. Номер VLAN в данном случае не указывается, он равен 1 по умолчанию.

conf t
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0

Предварительно рекомендуется очистить используемый интерфейс, выполнив команды:

interface FastEthernet0/0
no shut
no ip address

Далее происходит настройка sub-интерфейсов:

interface FastEthernet0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
description NoName

Стоит обратить внимание, после указания интерфейса через точку, а также после указания инкапсуляции стоит номера VLAN (в данном случае 10). Порядковый номер sub-интерфейса при этом может быть любым. В строчке с указанием инкапсуляции обязательно должен стоять номер того VLAN-а, которому принадлежит сеть.

Теперь для взаимодействия устройств из разных VLAN необходимо прописать:

switchport access vlan Х
Где Х – номер VLAN. Это указывается на портах, к которым подключаются рабочие станции.

Также не стоит забывать о том, что на каждом устройстве в качестве шлюза по умолчанию должен быть указан IP-адрес sub-интерфейса маршрутизатора того же VLAN, что и само устройство.

Итак, теперь рабочие станции способны общаться друг с другом в пределах подключения к одному коммутатору/роутеру, а также в пределах одного VLAN. Что же делать, если необходимо связаться с устройством вне локальной сети?

Настройка NAT


Для доступа в Интернет из локальной сети необходимо динамически переводить все внутренние адреса в определенный внешний IP-адрес.

Указываем внутренний интерфейс для процедуры трансляции

Interface Vlan 1
ip nat inside

Указываем внешний интерфейс для процедуры трансляции

Interface Fa 4
ip nat outside

Создаем правило трансляции (NAT)

ip nat inside source list ACL_NAT interface fa4

В результате должен появиться доступ с любого устройства локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес маршрутизатора (192.168.0.1).

Сохраняем все настройки:

Настройка VPN

Теперь можно познакомиться с таким понятием, как VPN. VPN - virtual private network, виртуальная частная сеть. То есть, поверх существующей сети создается некая виртуальная сеть, которая объединяет в себя несколько устройств. Первой задачей VPN является маркировка участников данной сети, чтобы она не смешивалась с чужой. Второй (и одной из главных) задачей является защита информации, передаваемой между участниками сети.


Такая сеть абстрагирована от физической составляющей. То есть, совсем неважно, каким образом будет установлено соединение, и проходить оно может через публичные сети.

Для маршрутизаторов VPN представляет собой туннель - допустим, между сетями двух офисов одной компании. Это довольно удобно, поскольку данные защищены от посторонних глаз, а работать можно без привязки к физическим интерфейсам. VPN способен объединять географически удаленные объекты в одну сеть.

К рассмотрению предлагается настройка VPN-туннеля между двумя маршрутизаторами с заданными параметрами:

crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac

crypto ipsec df-bit clear

crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2

Ключ шифрования должен быть одинаковым на обоих роутерах.

Для главного офиса:

В каждом офисе необходимо указать внешний адрес соседней площадки.
На каждом маршрутизаторе создаем виртуальный туннельный интерфейс.
В главном офисе:

Если все этапы выполнены правильно, то состояние интерфейса перейдет из состояния up/down в состояние up/up. Посмотреть это можно следующей командой:

В удаленном офисе:

После всех этапов настройки все устройства настроенных сетей должны быть доступны друг другу, а связь должна быть защищенной.

Настройка PPPoE

Теперь стоит познакомиться с протоколом PPPoE, который, по факту, и предоставляет доступ в Интернет через Cisco 2911.

Суть протокола в том, что в локальной сети Ethernet, где все устройства обладают своим MAC-адресом, наличие IP-адреса устройства необязательно. Он назначается только тогда, когда устройству необходимо соединение с сервером.

Дополнительно протокол выполняет такие функции как аутентификация, сжатие данных и контроль качества данных.

Роутер может выступать как PPPoE-сервер, так и PPPoE-клиент, в зависимости от ситуации. Ниже будет приведена настройка именно клиента, поскольку он рассчитан больше на домашнее использование, когда маршрутизатор берет на себя все необходимые задачи по предоставлению доступа к сети Интернет.
Чтобы создать PPP-тунель, необходимо настроить интерфейс dialer. Он представляет собой специальный тип виртуального интерфейса и именно на нём задаются все параметры PPP. В качестве параметров PPP необходимо задать имя пользователя и пароль, метод аутентификации (PAP или CHAP), размер MTU в байтах. Далее интерфейс включается в dialer pool. Этот номер указывается на физическом интерфейсе и с него будет осуществляться «дозвон».

Рассмотрим пример настройки PPPoE подключения на маршрутизаторах Cisco.

vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default

ip route 0.0.0.0 0.0.0.0 Dialer1
Где:
- GigabitEthernet0/0 - физический интерфейс провайдера.
-Dialer1- Виртуальный интерфейс
- 77896040263 - имя пользователя от провайдера
- bzBdfVpAWU8 - пароль от провайдера
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1, например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка осуществляется следующим образом:
show pppoe session
show pppoe summary
show interface dialer 1

В данной статье были описаны общие принципы по настройке cisco 2911. Каждый этап описан с точки зрения наглядности процесса (в какой ситуации чаще применяется тот или иной функционал). На основе данных пояснений по каждому этапу и описания принципов настройки можно построить собственную сеть под конкретные потребности. А поскольку рассматриваемый маршрутизатор отличается своей масштабируемостью, открываются широкие возможности по его функционалу.

Читайте также: