Настройка cisco 871
Рис.1 Схематическое изображение аршрутизатора Cisco ISR 871.
У маршрутизатора ISR 871 есть встроенный коммутатор на 4 порта (fa0-fa3) и 1 интерфейс 3го уровня (fa4). Настройки 3го уровня, например, задание IP-адреса, для портов fa0-fa3 применяются к интерфейсу vlan 1. Также возможно создать несколько vlan и назначить их на порты fa0-fa3. Таким образом, на каждом порту может быть свой ip адрес.
Шаблон базовой настройки маршрутизатора Cisco
Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH
! включаем шифрование паролей service password-encryption ! используем новую модель ААА и локальную базу пользователей aaa new-model aaa authentication login default local ! заводим пользователя с максимальными правами username admin privilege 15 secret PASSWORD ! даем имя роутеру hostname <...> ip domain-name router.domain ! генерируем ключик для SSH crypto key generate rsa modulus 1024 ! тюнингуем SSH ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! и разрешаем его на удаленной консоли line vty 0 4 transport input telnet ssh privilege level 15 Настройка роутинга ! включаем ускоренную коммутацию пакетов ip cef
Настройка времени
! временная зона GMT+2 clock timezone Ukraine 2 clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00 ! обновление системных часов по NTP ntp update-calendar ! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают… ntp server NTP.SERVER.1.IP ntp server NTP.SERVER.2.IP
Архивирование конфигов
! включаем архивирование всех изменений конфига, скрывая пароли в логах archive log config logging enable hidekeys ! историю изменения конфига можно посмотреть командой show archive log config all
Настройка DNS
! включить разрешение имен ip domain-lookup ! включаем внутренний DNS сервер ip dns server ! прописываем DNS провайдера ip name-server XXX.XXX.XXX.XXX ! на всякий случай добавляем несколько публичных DNS серверов ip name-server 4.2.2.2 ip name-server 208.67.222.222 ip name-server 208.67.220.220
Настройка локальной сети
! обычно порты внутреннего свитча на роутере объединены в Vlan1 interface Vlan1 description === LAN === ip address 192.168.???.1 ! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик ip accounting output-packets ! посмотреть статистику можно командой show ip accounting ! очистить clear ip accounting
Настройка DHCP сервера
! исключаем некоторые адреса из пула ip dhcp excluded-address 192.168.???.1 192.168.???.99 ! и настраиваем пул адресов ip dhcp pool LAN network 192.168.???.0 255.255.255.0 default-router 192.168.???.1 dns-server 192.168.???.1
Настройка Internet и Firewall
! настраиваем фильтр входящего трафика (по умолчанию все запрещено) ip access-list extended FIREWALL permit tcp any any eq 22 ! включаем инспектирование трафика между локальной сетью и Интернетом ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic ip inspect name INSPECT_OUT icmp router-traffic ! настраиваем порт в Интернет и вешаем на него некоторую защиту interface FastEthernet0/0 description === Internet === ip address ???.???.???.??? 255.255.255.??? ip virtual-reassembly ip verify unicast reverse-path no ip redirects no ip directed-broadcast no ip proxy-arp no cdp enable ip inspect INSPECT_OUT out ip access-group FIREWALL in ! ну и напоследок шлюз по умолчанию ip route 0.0.0.0 0.0.0.0 ???.???.???.???
Настройка NAT
! на Интернет интерфейсе interface FastEthernet0/0 ip nat outside ! на локальном интерфейсе interface Vlan1 ip nat inside ! создаем список IP имеющих доступ к NAT ip access-list extended NAT permit ip host 192.168.???.??? any ! включаем NAT на внешнем интерфейсе ip nat inside source list NAT interface FastEthernet0/0 overload ! добавляем инспекцию популярных протоколов ip inspect name INSPECT_OUT http ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp
Отключение ненужных сервисов
no service tcp-small-servers no service udp-small-servers no service finger no service config no service pad no ip finger no ip source-route no ip http server no ip http secure-server no ip bootp server
Команды Cisco IOS
show running-config !Команда show running-config показывает текущую конфигурацию устройства. Running-configuration – это конфигурация, загруженная в данный момент в оперативную память роутера. Когда вы вносите изменения в оборудование, как раз эта конфигурация изменяется. Важно помнить, что конфигурация не сохраняется пока не выполнить copy running-configuration startup-configuration. Команду show running-config можно сокращать до sh run. show interface !Команда show interface отображает состояние интерфейсов маршрутизатора. Вот некоторые выводимые параметры: Состояние интерфейса (вкл./выкл.); cостояние протокола на интерфейсе использование; ошибки; MTU. Эта команда играет важную роль для диагностики роутера или свитча. Её также можно использовать с указанием конкретного интерфейса, например, sh int fa0/0. show ip route !Команда show ip route выводит таблицу маршрутизации роутера. Она состоит из списка всех сетей, которые доступны роутеру, их метрике (приоритет маршрутов) и шлюза. Команду можно сократить до sh ip ro. Также после неё могут быть параметры, например sh ip ro ospf (показывает всю маршрутизацию OSPF). !Для очистки всей таблицы маршрутизации необходимо выполнить clear ip route *. Для удаления конкретного маршрута необходимо указать адрес сети после команды, например clear ip route 1.1.1.1.
Включение маршрутизации
Внимание!!!
При включении маршрутизации каманда ip default-gateway будет игнорироваться и необходимо заранее прописать маршрут ip route
После перезагрузки (в случае если настраиваем коммутатор удаленно из другой сети) прописываем статический маршрут на маршрутизатор.
switch#sh run | i gateway
ip default-gateway 192.168.73.1
switch#conf t
switch(config)#ip route 0.0.0.0 0.0.0.0 1 192.168.73.1
И после этого включаем маршрутизацию.
switch(config)#ip routing
switch(config)#exit
Далее создаем нужные Vlan и прописываем IP адреса на vlan и необходимые статические маршруты.
switch(config)#vlan 79
switsh(config-vlan)#name Sales
switsh(config-vlan)#exit
switch(config)#int vl 79
switch(config-if)#ip addr 192.168.79.0 255.255.255.0
switch(config-if)#descr Sales
switch(config-if)exit
switch(config)#vlan 80
switsh(config-vlan)#name Market
switsh(config-vlan)#exit
switch(config)#int vl 80
switch(config-if)#ip addr 192.168.80.0 255.255.255.0
switch(config-if)#descr Market
switch(config-if)exit
switch(config)#ip route 10.0.0.0 255.0.0.0 192.168.1.44
Пример задачи для настройки Cisco ISR 871
Клиенты из локальной сети должны получать адреса по DHCP и иметь возможность выходить в Интернет.
На маршрутизаторе необходимо настроить:
- NAT
- Адрес на внешнем интерфейсе (fa4) выдается динамически
- Транслироваться должны любые адреса из локальной сети
- Брандмауэр ip inspect
- DHCP-сервер
- Сервер должен выдавать адреса из диапазона 192.168.1.211-192.168.1.254
- Выдавать адрес маршрута по умолчанию и DNS-сервера
Конфигурация маршрутизатора Cisco ISR 871
! version 12.4 ! hostname Router ! ! ip subnet-zero ip cef no ip dhcp use vrf connected ip dhcp excluded-address 192.168.1.1 192.168.1.210 ! ip dhcp pool LOCAL network 192.168.1.0 255.255.255.0 dns-server 62.80.160.130 193.193.193.100 default-router 192.168.1.100 ! ! ip inspect name Internet http timeout 3600 ip inspect name Internet icmp ip inspect name Internet ftp timeout 3600 ip inspect name Internet tcp timeout 3600 ip inspect name Internet h323 timeout 3600 ip inspect name Internet smtp timeout 3600 ip inspect name Internet udp timeout 15 ! ! crypto pki trustpoint TP-self-signed-2657071675 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-2657071675 revocation-check none rsakeypair TP-self-signed-2657071675 ! ! crypto pki certificate chain TP-self-signed-2657071675 certificate self-signed 01 nvram:IOS-Self-Sig#3503.cer username Admin privilege 15 password 0 p@$$w0rd ! ! ! ! ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address dhcp ip nat outside ip inspect Internet out ip virtual-reassembly duplex auto speed auto ! interface Vlan1 ip address 192.168.1.100 255.255.255.0 ip nat inside ip virtual-reassembly ! ip classless ! ip http server ip http authentication local ip http secure-server ip nat inside source list 1 interface FastEthernet4 overload ! access-list 1 permit 192.168.1.0 0.0.0.255
Использованная литература:
http://stornet.ru/articles/10_samyh_populyarnyh_komand_cisco_ios/
https://habrahabr.ru/post/87680/
http://www.lanberry.ru/cisco/nastroika-cisco-871
http://nettips.ru/article/cisco%20c2960%20routing.html