Как можно охарактеризовать аппаратную часть маршрутизатора cisco 1941 в стандартной конфигурации

Обновлено: 05.07.2024

Cisco 1941 создан на основе Cisco 1841. Все Cisco 1900 серии включают аппаратное ускорение шифрования, опциональный брандмауэр, средства предотвращения вторжения и современные услуги безопасности. Кроме того, платформа поддерживает широкий спектр проводной и беспроводной связи: Serial, T1/E1, XDSL, Gigabit Ethernet, 3G и беспроводной. Cisco предлагает версии 1941 и 1941W. В 1941W встроен модуль (точка доступа) с поддежкой 802.11n и обратной совместимостью с 802.11a/b/g. 1941W поставляется без поддержки ISM модулей.

Технические характеристики Cisco 1941

Аппаратные особенности

Размеры

8.9 см x 34.3 см x 29.2 см (Глубина x Ширина x Высота) 2RU

Вес

5.4 кг (без модулей)

Флеш-память

Внешняя съемная флеш-память формата Compact Flash

Объем флеш-памяти

DRAM

Объем DRAM

Порты WAN

Два порта 10/100/1000BASE-T для соединения с Интернет, поддерживает DSL и кабельные модемы,3G и службы доступа Ethernet

Порты LAN

Ставятся через EHWIC LAN модули

Порты USB

Два порта USB 2.0

Консольный порт

Скорость до 115.2 Кбит/с

AUX-порт

Скорость до 115.2 Кбит/с

Сетевая безопасность

Cisco IOS Firewall, Cisco IOS Zone-Based Firewall, Cisco IOS IPS, Cisco IOS Content Filtering и Flexible Packet Matching (FPM).

Group Encrypted Transport VPN, Dynamic Multipoint VPN (DMVPN), Enhanced Easy VPN.

ААА и публичные ключи PKI.

3G - High-Speed Packet Access (HSPA) and Evolution Data Only/Evolution Data Optimized (EVDO).

IPSec и VPN

Аппаратная поддержка шифрования

DES, 3DES, AES 128, AES 192, AES 256 Включается с IPSec лицензией.

Программная поддержка

Версия Cisco IOS

Образ Cisco IOS по умолчанию

Продвинутые IP-сервисы (без голосовых служб)

Cisco Router and Security Device Manager (SDM)
Enhanced Setup
Поддержка CiscoWorks, CiscoWorks VPN/Security Management Solution (VMS), и Cisco IP Solution Center (ISC)
Cisco Configuration Engine
Cisco AutoInstall

Особенности маршрутизации

Протоколы

IPv4, IPv6, static routes, Open Shortest Path First (OSPF), Enhanced IGRP (EIGRP), Border Gateway Protocol (BGP), BGP Router Reflector, Intermediate System-to-Intermediate System (IS-IS), Multicast Internet Group Management Protocol (IGMPv3) Protocol Independent Multicast sparse mode (PIM SM), PIM Source-Specific Multicast (SSM), Distance Vector Multicast Routing Protocol (DVMRP), IPsec, generic routing encapsulation (GRE), Bidirectional Forwarding Detection (BVD), IPv4-to-IPv6 Multicast, MPLS, Layer 2 Tunneling Protocol Version 3 (L2TPv3), 802.1ag, 802.3ah, and Layer 2 and Layer 3 VPN

Инкапсуляция

Ethernet, 802.1q VLAN, Point-to-Point Protocol (PPP), Multilink Point-to-Point Protocol (MLPPP), Frame Relay, Multilink Frame Relay (MLFR) (FR.15 and FR.16), High-Level Data Link Control (HDLC), Serial (RS-232, RS-449, X.21, V.35, and EIA-530), Point-to-Point Protocol over Ethernet (PPPoE), and ATM

Управление трафиком

QoS, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Hierarchical QoS, Policy-Based Routing (PBR), Performance Routing (PfR), and Network-Based Advanced Routing (NBAR)

Особенности PoE

Поддержка PoE

Поддержка на портах коммутатора 10/100/1000 Ethernet с помощью опционального набора PoE

• 2 встроенных порта 10/100/1000 Ethernet
• 2 слота расширения WAN Interface Card (EHWIC)
• Полностью интегрированное распределение мощности в модули, поддерживающие 802.3af Power Over Ethernet (PoE) и Cisco Enhanced PoE
• Безопасность:

Встроенное аппаратное ускорение шифрования VPN
Высокая безопасность связи с Group Encrypted Transport VPN, Dynamic Multipoint VPN, or Enhanced Easy VPN
Встроенное управление угрозами используя Cisco IOS Firewall, Cisco IOS Zone-брандмауэр, Cisco IOS IPS и Cisco IOS Content Filtering
Управление идентификацией с аутентификацией, авторизацией и учета (AAA) и инфраструктурой открытых ключей

Тип устройства

Тип установки

Настольный, в стойку 1U

Настольный, в стойку 2 U

Настольный, в стойку 2U

Протоколы передачи данных

Ethernet, Fast Ethernet, Gigabit Ethernet

Ethernet, Fast Ethernet, Gigabit Ethernet, IEEE 802.11b, IEEE 802.11a, IEEE 802.11g, IEEE 802.11n (draft 2.0)

Network/Transport Protocol

IPSec, PPPoE, L2TPv3

Routing Protocol

OSPF, IS-IS, BGP, EIGRP, DVMRP, PIM-SM, static IP routing, IGMPv3, GRE, PIM-SSM, static IPv4 routing, static IPv6 routing, policy-based routing (PBR), MPLS

OSPF, IS-IS, BGP, EIGRP, DVMRP, PIM-SM, IGMPv3, GRE, PIM-SSM, static IPv4 routing, static IPv6 routing, policy-based routing (PBR), MPLS, Bidirectional Forwarding Detection (BFD), IPv4-to-IPv6 Multicast

Remote Management Protocol

Аутентификация

RADIUS, Extensible Authentication Protocol (EAP), EAP-FAST

Особенности

Firewall protection, VPN support, MPLS support, VLAN support, Syslog support, IPv6 support, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Quality of Service (QoS), Web Services Management Agent (WSMA), TR-069 Agent, NetFlow

Firewall protection, VPN support, MPLS support, Syslog support, content filtering, IPv6 support, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED), Dynamic Multipoint VPN (DMVPN), Web Services Management Agent (WSMA), NetFlow

Firewall protection, hardware encryption, VPN support, MPLS support, Syslog support, IPv6 support, Class-Based Weighted Fair Queuing (CBWFQ), Weighted Random Early Detection (WRED)

Соответствие стандартам

IEEE 802.1Q, IEEE 802.3ah, IEEE 802.1ah, IEEE 802.1ag

IEEE 802.3, IEEE 802.1Q, IEEE 802.3af, IEEE 802.3ah, IEEE 802.1ah, IEEE 802.1ag, ANSI T1.101, ITU-T G.823, ITU-T G.824

IEEE 802.11b, IEEE 802.11a, IEEE 802.11g, IEEE 802.3ah, IEEE 802.1ah, IEEE 802.1ag, IEEE 802.11n (draft 2.0)

512 MB (installed) / 512 MB (max)

512 MB (installed) / 2 GB (max)

256 MB (installed) / 256 MB (max)

256 MB (installed) / 8 GB (max)

Индикаторы состояния

Link activity, power

2 x 10Base-T/100Base-TX/1000Base-T - RJ-45; Serial: 1 x console; Management: 1 x console - mini-USB Type B; Serial: 1 x auxiliary; Hi-Speed USB: 1 x 4 pin USB Type A

2 x 10Base-T/100Base-TX/1000Base-T - RJ-45; Management: 1 x console - RJ-45; Management: 1 x console - mini-USB Type B; Serial: 1 x auxiliary - RJ-45; USB: 2 x 4 pin USB Type A

2 x 10Base-T/100Base-TX/1000Base-T - RJ-45; Management : 1 x console - RJ-45; Management: 1 x console - mini-USB Type B; Serial: 1 x auxiliary - RJ-45; USB: 2 x 4 pin USB Type A

Слоты расширения

2 (total) / 2 (free) x EHWIC

2 (total)/2 (free)x EHWIC; 2 (total)/1 (free)xCompactFlash Card; 1 (total) / 1 (free) x ISM

Как правило, маршрутизаторы и коммутаторы Cisco соединяют друг с другом множество устройств. Поэтому эти устройства имеют несколько типов портов и интерфейсов, которые используются для подключения кабелей к устройству. Например, на задней панели маршрутизатора Cisco 1941 находятся разъемы и порты, описанные на рисунке.

Задняя панель маршрутизатора Cisco 1941.

1. Разъемы расширенной высокоскоростной интерфейсной платы WAN (eHWIC): два разъема, помеченные как eHWIC 0 и eHWIC 1, обеспечивающие модульность и адаптивность маршрутизатора благодаря поддержке различных типов интерфейсных модулей, включая последовательный интерфейс, интерфейс цифровой абонентской линии (DSL), порт коммутации и беспроводное подключение.

2. Разъем Compact Flash: разъемы, помеченные как CF0 и CF1, могут быть использованы для установки карты флеш-памяти 4 ГБ в каждый из них, что позволит увеличить объем запоминающего устройства. По умолчанию в разъем CF0 установлена карта Compact Flash объемом 256 МБ, которая используется для загрузки системы.

3. Порты консоли предназначены для начальной настройки и административного доступа к интерфейсу командной строки (CLI). Как правило, используется два порта: стандартный порт RJ-45 и новый разъем USB типа B (mini-B USB). Однако доступ к консоли возможен одновременно только через один порт.

6. USB порты, помеченные как USB 0 и USB 1, предназначены для предоставления дополнительного пространства хранения, аналогичного флеш-памяти.

Как и во многих других сетевых устройствах, в устройствах Cisco используются светодиоды, которые предоставляют информацию об их состоянии. Светодиодный индикатор обозначает активность соответствующего интерфейса. Если при активном правильно подключенном интерфейсе индикатор не горит, это может означать, что с этим интерфейсом возникла проблема. Если интерфейс выполняет значительное количество операций, его индикатор горит постоянно.

Итак, допустим, ты представитель местечкового провайдера, уже знающий, как настроить какой-нибудь ASUS, но волею судьбы ещё не получивший сертификат CCNA. Рядом с тобой стоит местный админ, тоже без сертификата, глазами молящий ничего не "сбрасывать в ноль", ибо "всё работает, я просто не знаю пароль, только вы никому не говорите".

Подобные ситуации не редкость в наше ковидном мире, когда отделы со своей инфраструктурой тасуюся ежеквартально, директора направлений таинственно исчезают, а очередной управленец, дабы продемонстрировать собственную эффективность, ссорится с единственным цискарём в округе и заключает договора обслуживания при помощи сайта объявлений.

Проведём же вместе сеанс чёрной айтишной магии с последующим её разоблачением. А именно : сбросим пароль, настроим интерфейсы (локальный и внешний), соединим эти сети маршрутами и трансляцией адресов и прикроем(нет) фаерволом. Кирпич с фирменным шильдиком волшебным образом превратится в полезное сетевое устройство.

Устройство и нужные нам интерфейсы

Вот она, наша девочка. Как опытные ребята, подходим с правильной стороны:

Нас интересует её правая часть, где все порты. Голубым помечены консольные, жёлтым -- Ethernet

Если подключаться в Ethernet порты, которые жёлтые, то нужно знать IP адреса на этих интерфейсах и пароли на вход -- основной и "повышенный" (под которым, собственно и надо всё настраивать). Если чего-то из этого нет, то добро пожаловать в консоль. Её порты помечены нежно-голубым цветом. Такой же цвет у фирменного консольного кабеля Cisco, который обычно к этому времени потерялся.

Кабель "специальный" Cisco. Распайки есть везде.

По нынешним временам COM-порт есть далеко не в каждом ноуте, поэтому придётся к этому шнурку брать стандартный COM-USB переходник. Но можно присмотреться и увидеть, что рядом со "старым" консольным портом есть mini-usb порт с тем же назначением. Переходник в данном случае встроен в циску, и, да, на него нужны драйвера. Устанавливаем их, ребутимся и подключаемся снова. После подключения Cisco через кабель miniusb в списке оборудования в разделе Порты (COM и LPT) появился Cisco Serial (COM14) (не обязательно именно 14, ну что поделать). Для дальнейшей работы рекомендую терминальную программку Putty, ибо в ней есть всё, что необходимо, и она проста, как полено. На сегодня нам от неё нужно будет подключение по интерфейсу Serial (Com14) и впоследствии Telnet (TCP23).

Сбрасываем пароли

Выключаем, и не разрывая консольный сеанс, Включаем Cisco 1941 и нажимаем клавишу Break (она же клавиша Pause) или комбинацию Ctrl+Break на клавиатуре (если в ноуте этого нет, в Putty по правой кнопке мыши можно вызвать special command – break). Полная таблица с сигналами прерывания для разных терминалов находится здесь.

Видим приглашение в режим rommon (ROM monitor) :

Вводим команду изменения конфигурации регистра командой confreg и после перезапускаем роутер командой reset

rommon 1 > confreg 0x2142

rommon 2 > reset

Повышаем привилегии командой enable или просто en И пароль она тут не просит :)

Копируем «запароленный» конфиг в память роутера:

После этого применится старый конфиг, который был запаролен, но при этом мы уже находимся в привилегированном режиме, откуда можем выставить новые пароли для привилегированного режима, telnet и консоли.

Главное, в конце не забыть вернуть значения регистров по умолчанию. Если этого не сделать, то наш новый конфиг снова будет проигнорирован после перезагрузки роутера.

Копируем загруженный конфиг в стартовый и перезагружаемся:

Роутер теперь с новым паролем для консоли, телнета и привилегированного режима. Ура. Можно отдать циску просиявшему админу вместе с настройками "нового интернета" (мы же от провайдера приехали, помните?). Если во взгляде местного системного администратора затаились нерешительность и страх, то поможем бедолаге.

Настройка интерфейсов

Чтоб два раза не приезжать, пробежимся по всем нужным настройкам "чтоб взлетело". У циски два "жёлтых" интерфейса: GigabitEthernet0/0 и GigabitEthernet0/1. Обычно они должны смотреть в сторону WAN и LAN соответственно, да будет так.

Адресация в WAN, допустим 100.200.100.202/30 со шлюзом провайдера 100.200.100.201

Адресация в LAN, как водится, 192.168.1.1/24 с локальным интерфейсом циски 192.168.1.1

Всё делаем из под рута:

Для конфигурации используем команду configure terminal, для выхода - exit:

Настраиваем локальный интерфейс:

Настраиваем DHCP (на всю подсеть кроме .1-.50 и .200-.254).

Всё, после этой настройки можно подключаться телнетом из локалки при желании (удобно для проверок)

При подключении должен примениться адрес из DHCP пула и пинговаться циска. Советую запустить ping -t чтоб мониторить на всякий случай.

Настраиваем внешний интерфейс:

Тут должен начать пинговаться шлюз прова - 100.200.100.201 - но только от самой циски, не с ноута (между сетями-то пакеты пока не ходят)

Тут от самой циски должен начать пинговаться 8.8.8.8

В итоге мы настроили на циске две сети, в которых она будет жить и трудиться. Далее надо будет их соединить.

Его величество межсетевой экран

Собственно, его величество фаер. В ипостасях NAT и списков доступа (ACL)

Тут много построено на этих самых списках, ссылки на них вбиваются как в правила интерфейсов (access-group), так и в правилах NAT, поэтому заносить надо аккуратно. Списки работают строго сверху вниз. Поэтому правила для any обычно последние (и они не нужны -- по дефолту для any всё запрещено). Список доступа может быть стандантным (access-list standard) , либо расширенным (access-list extended). Отличаются детализацией -- у стандартного только действие и источник пакетов, например.

Настройка NAT

Собираем локальную область для маскарадинга (да, я знаю, что это термин для iptables, но суть та же):

Назначаем стороны маскарадинга (интерфейсы):

Cамое важное: включаем собственно правило (одной строкой):

Закрываемся от атаки по TCPSYN:

Пишем список (особое внимание – протоколу icmp)

Вешаем список на вход во внешний интерфейс:

Так то список только базовую "защиту" обеспечивает, но это головная боль админа уже. После поднятия всех сервисов и их проверки, можно написать построже и применить.

У нас пингуется всё изнутри и циска снаружи. Интернет работает, почта ходит. Все счастливы, танцуют, обнимаются, деньги в карманы засовывают. Твой социальный рейтинг растёт на глазах.

P.S. Полезные команды

Почти весь мониторинг -- это команда show. У неё есть короткая форма sh , которую я не рекомендую, ибо такая же короткая форма есть у команды shutdown

Собственно, включение чего-либо, например, интерфейса выглядит вот так:

Выведем на почитать/скопировать весь конфиг:

Можно посмотреть возможности команды show:

Просмотр сводной информации по интерфейсам:

Просмотр информации по интерфейсам L2:

Просмотр адресов, выданных по DHCP:

Удаление строк конфига:

Например, удалим шлюз по умолчанию:

Удаляем ВЕСЬ список доступа:

Удаление статического маршрута:

Что-ж для первого визита вполне достаточно. При помощи этой нехитрой магии ты заведёшь себе много друзей, юный падаван :) И не забудь предупредить местного админа о том, что если он как следует не настроит ACL, их сетку могут в скором времени ждать крупные неприятности. Но это уже совсем другая история.

У нас быстрые серверы для любых экспериментов.

Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!

Читайте также: