Настройка маршрутизатора cisco

Параметры загрузки

Содержание

Введение

В данном документе описана настройка маршрутизатора Cisco для аутентификации с TACACS+, выполняющемся на UNIX. TACACS+ предоставляет меньше возможностей, чем доступные для приобретения Cisco Secure ACS для Windows или Cisco Secure ACS UNIX.

ПО TACACS+ ранее предлагаемое Cisco Systems больше не распространяется и не поддерживается компанией Cisco Systems.

В настоящее время можно найти много версий бесплатного ПО TACACS+, для этого достаточно ввести «TACACS+ freeware» в строке поиска любой поисковой системы в Интернете. Компания Cisco не дает специальных рекомендаций по использованию какой-либо конкретной версии бесплатного ПО TACACS+.

Cisco Secure Access Control Server (ACS) можно приобрести по обычным международным каналам распределения и продаж Cisco. Cisco Secure ACS для Windows содержит все обязательные компоненты, необходимые для независимой установки на рабочую станцию Microsoft Windows. Cisco Secure ACS Solution Engine поставляется с предустановленной лицензией на ПО Cisco Secure ACS. Разместить заказ можно на главной странице размещения заказов Cisco Ordering Home Page ( только для зарегистрированных пользователей ).

Примечание. Для получения пробной 90-дневной версии Cisco Secure ACS для Windows необходима учетная запись CCO и связанный с ней контракт на обслуживание.

Конфигурация маршрутизатора в данном документе создана на маршрутизаторе работающем под управлением ПО Cisco IOS® версии 11.3.3. ПО Cisco IOS версии 12.0.5.T и более поздние использует group tacacs+ вместо tacacs+, поэтому инструкции, например aaa authentication login default tacacs+ enable будут иметь вид aaa authentication login default group tacacs+ enable.

Дополнительные сведения о командах маршрутизатора см. в документации на ПО Cisco IOS.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в данном документе получены при использовании ПО Cisco IOS версии 11.3.3 и ПО Cisco IOS версии 12.0.5.T и более поздних.

Сведения, представленные в данном документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Аутентификация

Выполните следующие действия.

Обязательно скомпилируйте код TACACS+ (TAC+) на сервере UNIX.

Приведенные здесь конфигурации сервера подразумевают использование серверной программы Cisco TAC+. Конфигурации маршрутизатора должны функционировать независимо от разработчика серверной программы (Cisco или др.). TAC+ должен функционировать в качестве корневого.

Скопируйте тестовый_файл, приведенный в конце настоящего документа, разместите его на сервере TAC+ и присвойте имя test_file.

Убедитесь, что демон tac_plus_executable запущен с test_file. В этой команде параметр -P задает проверку наличия ошибок компиляции, но не запускает демон:

Чтобы увидеть содержимое файла test_file воспользуйтесь прокруткой, не должно быть сообщений подобных cannot find file, cleartext expected--found cleartext или unexpected> (не удалось найти, ожидается незашифрованный текст—найден незашифрованный текст или непредвиденный). В случае ошибок проверьте путь к файлу test_file, перепроверьте ввод и повторно проведите тестирование прежде чем продолжать.

Начало настройки TAC+ на маршрутизаторе.

Войдите в режим enable и введите configure terminal перед набором команд. Этот синтаксис команды предотвращает блокировку доступа к маршрутизатору на начальном этапе, если не выполняется tac_plus_executable:

Прежде чем продолжать убедитесь в наличии доступа к маршрутизатору через порт консоли и по протоколу Telnet. Поскольку tac_plus_executable не выполняется пароль enable password должен приниматься.

Примечание. Не разрывайте соединение с маршрутизатором через порт консоли и оставайтесь в режиме enable. Этот сеанс связи не должен прерываться по тайм-ауту. На этом этапе доступ к маршрутизатору ограничен, необходимо иметь возможность внести изменения в конфигурацию без блокировки самого пользователя.

Выполните эти команды, чтобы на маршрутизаторе увидеть взаимодействие между маршрутизатором и сервером.

В качестве корневого запустите TAC+ на сервере:

Убедитесь, что TAC+ запущен:

Если TAC+ не запускается, вероятно ошибка в синтаксисе файла test_file. Вернитесь к шагу 1, чтобы исправить это.

Введите tail -f /var/tmp/tac_plus.log, чтобы на сервере увидеть взаимодействие между маршрутизатором и сервером.

Примечание. Параметр -d 16 на шаге 5 разрешает отправку вывода всех транзакций в журнал /var/tmp/tac_plus.log.

Теперь для пользователей Telnet (VTY) должна действовать аутентификация через TAC+.

При выполнении отладки на маршрутизаторе и сервере (шаги 4 и 7) подключитесь по протоколу Telnet к маршрутизатору из другой части сети.

На маршрутизаторе появится приглашение ввести имя пользователя и пароль, на которое необходимо ответить:

Пользователь authenuser входит в группу admin с паролем admin.

Наблюдайте за сервером и маршрутизатором, где можно видеть взаимодействие TAC+ — какие данные куда отправляются, ответы, запросы и т.д. Прежде чем продолжать устраните все неполадки.

Если необходимо, чтобы пользователи проходили аутентификацию через TAC+ для входа в режим enable, убедитесь в активности сеанса связи через порт консоли и добавьте следующую команду в маршрутизатор:

Теперь пользователи должны входить в режим enable через TAC+.

При выполнении отладки на маршрутизаторе и сервере (шаги 4 и 7) подключитесь по протоколу Telnet к маршрутизатору из другой части сети. На маршрутизаторе появится приглашение ввести имя пользователя и пароль, на которое необходимо ответить:

При входе в режим enable, маршрутизатор запрашивает пароль, на что нужно ответить:

Наблюдайте за сервером и маршрутизатором, где можно видеть взаимодействие TAC+ — какие данные куда отправляются, ответы, запросы и т.д. Прежде чем продолжать устраните все неполадки.

Остановите процесс TAC+ на сервере, оставаясь подключенным через порт консоли, с целью убедиться, что пользователям по-прежнему доступен маршрутизатор даже при отказе TAC+:

Повторите действия предыдущего шага для установления сеанса Telnet и режима enable. Затем маршрутизатор определяет, что процесс TAC+ не отвечает, и разрешает пользователям выполнить вход и войти в режим enable, используя пароли по умолчанию.

Проверьте аутентификацию пользователей, подключающихся через порт консоли, через TAC+. Для этого возобновите работу сервера TAC+ (шаги 5 и 6) и установите сеанс Telnet с маршрутизатором (который должен пройти аутентификацию через TAC+).

Оставайтесь подключенным к маршрутизатору по протоколу Telnet в режиме enable пока не убедитесь, что вы можете войти в маршрутизатор через порт консоли.

Разорвите исходное соединение с маршрутизатором через порт консоли, затем вновь подключитесь к порту консоли. Теперь, при подключении через порт консоли, аутентификация пользователей при входе в систему и режим enable, используя пароли и идентификаторы (см. шаг 10), должна осуществляться через TAC+.

При выполнении отладки на маршрутизаторе и сервере (шаги 4 и 7), оставаясь подключенным по протоколу Telnet или через порт консоли, подключитесь через модем к каналу 1.

Теперь пользователи канала должны входить в систему и режим enable через TAC+.

На маршрутизаторе появляется приглашение ввести имя пользователя и пароль, на которое необходимо ответить:

При входе в режим enable, маршрутизатор запрашивает пароль.

Наблюдайте за сервером и маршрутизатором, где можно видеть взаимодействие TAC+ — какие данные куда отправляются, ответы, запросы и т.д. Прежде чем продолжать устраните все неполадки.

Теперь пользователи должны входить в режим enable через TAC+.

Добавление авторизации

Добавление авторизации необязательно.

По умолчанию на маршрутизаторе имеются три уровня команд:

уровень привилегий 0 содержит: disable, enable, exit, help и logout

уровень привилегий 1 — обычный уровень сеанса Telnet — приглашение: router>

уровень привилегий 15 — уровень enable — приглашение: router#

Поскольку набор доступных команд зависит от набора функций IOS, версии Cisco IOS, модели маршрутизатора и др., отсутствует полный список всех команд для уровней 1 и 15. Например, show ipx route отсутствует в наборе функций только IP, show ip nat trans отсутствует в ПО Cisco IOS версии 10.2.x, поскольку NAT не было внедрено на тот момент и show environment отсутствует в моделях маршрутизаторов без блока питания и контроля температуры. Чтобы определить команды, доступные в конкретном маршрутизаторе на определенном уровне, введите ? в командной строке маршрутизатора на этом уровне привилегий.

Авторизация для порта консоли не была добавлена как функция до исправления ошибки с идентификатором Cisco CSCdi82030 ( только длязарегистрированных пользователей ). Авторизация для порта консоли отключена по умолчанию, чтобы уменьшить вероятность случайной блокировки доступа к маршрутизатору. Если пользователь имеет физический доступ к маршрутизатору через консоль, то авторизация для порта консоли не очень эффективна. Однако, авторизацию для порта консоли можно включить на канале con 0 в образе, в котором исправлена ошибка с идентификатором Cisco CSCdi82030 ( только длязарегистрированных пользователей ), командой:

Маршрутизатор можно настроить для авторизации команд через TAC+ на всех или только некоторых уровнях.

Эта конфигурация маршрутизатора позволяет всем пользователям иметь настроенную на сервере аутентификацию каждой команды. В данном примере выполняется авторизация всех команд через TAC+, но в случае отказа сервера, авторизация не требуется.

Во время работы сервера TAC+, установите сеанс Telnet с маршрутизатором, используя authenuser в качестве имени пользователя.

Поскольку пользователю authenuser установлен атрибут default service = permit в test_file, этот пользователь может выполнять все функции.

Выполнив вход в маршрутизатор, войдите в режим enable и включите отладку авторизации:

Установите сеанс Telnet с маршрутизатором, используя имя пользователя authoruser и пароль operator.

Этот пользователь не может выполнять две команды show: traceroute и logout (см. тестовый_файл).

Наблюдайте за сервером и маршрутизатором, где можно видеть взаимодействие TAC+ (какие данные куда отправляются, ответы, запросы и т.д.). Прежде чем продолжать устраните все неполадки.

Если нужно настроить пользователя для автоматического перенаправления (autocommand), удалите знаки комментария в строках для пользователя transient в тестовом_файле и укажите действительный IP-адрес назначения вместо #.#.#.#.

Остановите и запустите вновь сервер TAC+.

Установите сеанс Telnet с маршрутизатором, используя имя пользователя transient и пароль transient. Выполняется команда telnet #.#.#.# и пользователь transient перенаправляется в другой пункт назначения.

Добавление учета

Добавление учета необязательно.

Ссылка на файл учета в тестовом файле: accounting file = /var/log/tac.log. Но учет не выполняется, если не настроен в маршрутизаторе (при условии, что на маршрутизаторе выполняется ПО Cisco IOS версии старше 11.0).

Включите учет в маршрутизаторе:

Примечание. Учет AAA не осуществляет учет каждой команды в некоторых версиях. Выходом из этой ситуации является использование авторизации каждой команды и протоколирование событий в журнале учета. (См. ошибку с идентификатором Cisco CSCdi44140.) Если используется образ, в котором эта ошибка исправлена [ПО Cisco IOS версии 11.2(1.3)F, 11.2(1.2), 11.1(6.3), 11.1(6.3)AA01, 11.1(6.3)CA на 24 сентября 1997 г.], также можно включить учет для команд.

Во время выполнения TAC+ на сервере введите эту команду на сервере, чтобы увидеть записи, вносимые в файл учета:

Затем выполните вход в маршрутизатор и выход, завершите сеанс Telnet с маршрутизатором и т.д. Если требуется, введите на маршрутизаторе:

Тестовый файл

Примечание. Это сообщение об ошибке формируется, если сервер TACACS недоступен: %AAAA-3-DROPACCTSNDFAIL: accounting record dropped,send to server failed: system-start (%AAAA-3-DROPACCTSNDFAIL: запись учета отброшена, не удалось отправить серверу:система-старт). Убедитесь в работоспособном состоянии сервера TACACS+.


Начальная настройка маршрутизатора Cisco. Доступ в Интернет.

Read the article BASIC CONFIGURATION OF THE CISCO ROUTER. ACCESS TO THE INTERNET in Read in EnglishEnglish

Рассмотрим схему подключения офиса к сети Интернет с помощью маршрутизатора Cisco. Для примера возьмем модель Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) будут аналогичными Различия могут быть в настройке интерфейсов, вернее в их названиях и нумерации.

В схеме присутствуют:

Задача: обеспечить доступ компьютеров локальной сети в Интернет.

Начальная настройка маршрутизатора Cisco. Доступ в Интернет.

Шаг 0. Очистка конфигурации

Первое, с чего стоит начать настройку нового маршрутизатора – полностью очистить стартовую конфигурацию устройства. ( Выполнять только на новом или тестовом оборудовании! ) Для этого нужно подключиться с помощью специального кабеля к консольному порту маршрутизатора, зайти в командную строку и выполнить следующее:

deltaconfig - cisco аутсорсинг

Войти в привилегированный режим(#), возможно потребуется ввести логин/пароль.
router> enable
Удалить стартовую конфигурацию
router# write erase
/подтверждение/
Перезагрузить маршрутизатор
router# reload
/подтверждение/
После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no
В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.

Шаг 1. Имя устройства

Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства»
router# conf t
router (config)# hostname R-DELTACONFIG
R-DELTACONFIG (config)#

Шаг 2. Настройка интерфейсов

Необходимо настроить 2 интерфейса: внешний и внутренний.
Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые предоставил Интернет провайдер.
Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24

Предположим, что оператор связи предоставил нам следующие адреса:

Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut
R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252
no shutdown
После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч корда и далее проверяем его доступность командой ping.

Сначала собственный интерфейс
R-DELTACONFIG# ping 200.150.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms
Затем соседний адрес — шлюз провайдера
R-DELTACONFIG# ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 2/4/10 ms
Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.

В локальной сети будет использоваться следующая адресация

Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).
R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
Для наглядности:

ip address => interface Vlan X => interface Fastethernet Y
Ip адрес присваивается виртуальному интерфейсу Vlan X, а он привязывается к физическому интерфейсу Fastethernet Y.

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Шаг 3 Настройка удаленного доступа к маршрутизатору

Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet(данные передаются в открытом виде) или SSH(защищенное соединение).
Рассмотрим настройку безопасного подключения.
Включаем протокол SSH 2 версии и задаем произвольное имя домена
R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru
Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Задаем имя пользователя с правами администратора и его пароль (*****)
username admin privilege 15 secret 0 *****
Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)
line vty 0 4
login local
Задаем пароль на привилегированный режим
enable secret 0 *****
После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были задан. Подробнее про доступ на устройство по протоколу SSH написано в этой статье.

Шаг 4. Шлюз по умолчанию

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).
R-DELTACONFIG (config)#
ip route 0.0.0.0 0.0.0.0 200.150.100.1
После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме(DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3)
R-DELTACONFIG#ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/5/10 ms

Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только(!) будучи запущенным из консоли управления маршрутизатором. Рабочие станции локальной сети все еще не имеют доступа в Интернет.

Шаг 5 Настройка трансляции адресов (NAT)

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.

Важно!
В указанном примере меняется собственный адрес источника. Если в процессе работы необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.

Важно!
Не стоит оставлять полный доступ в Интернет со всех адресов локальной сети. Советую после проверки работоспособности соединения для безопасности ограничить доступ в Интернет и разрешить его только с конкретных адресов — например с прокси сервера и рабочих станций администратора и/или директора. О том как это сделать можно прочитать в статье «немного об access lists«.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG# write
Building configuration.
[OK]


Как настроить маршрутизатор

Если вы уделили должное внимание выбору маршрутизаторов, то скорее всего, остановились на модели с удобными инструментами для настройки, например через мобильное приложение или веб-панель. Поскольку все маршрутизаторы различаются, различаются и процедуры их настройки. Ниже описаны основные этапы настройки, которые применимы практически ко всем маршрутизаторам.

Связаться с Cisco

Диалог с представителем Cisco

  • Добро пожаловать в Cisco!
  • Позвольте помочь подобрать решение, оптимально подходящее под ваши требования.
  • Нет, cпасибо
  • Начать чат

Прежде чем начать

Проверьте подключение к Интернету

При нестабильном подключении к Интернету вы можете столкнуться с трудностями при настройке маршрутизатора. Самый простой способ — подключить компьютер к модему или шлюзу, предоставленному вашим Интернет-провайдером. Если компьютер обнаружит подключение к Интернету, можно приступать к настройке маршрутизатора.

Подготовьте инструкции

Хотя это и очевидно, но именно так вы можете избежать сложностей в ходе настройки. Следуйте инструкциям на наклейках и в бумажных руководствах, где может содержаться важная информация по настройке (например, имя пользователя и пароль маршрутизатора по умолчанию).

Проверьте наличие приложения

Многие производители маршрутизаторов предлагают мобильные приложения или веб-панель для настройки и управления. Если вы используете приложение на смартфоне, возможно, для настройки маршрутизатора вам даже не придется подключать его к компьютеру. Проверьте в документации к компьютеру, есть ли в наличии такое приложение.

Прикрепите и раздвиньте антенны

Если у маршрутизатора есть антенны, которые не закреплены на его корпусе, их нужно установить. Кроме того, прежде чем начать настройку, следует раздвинуть эти антенны.

Начните с бесплатной пробной версии облачной сети Cisco

Вам также может пригодиться следующая информация:

  • Как работает маршрутизатор?
  • Чем коммутатор отличается от маршрутизатора?
  • Как настроить сеть

Видео

Инструкция по настройке маршрутизатора

Шаг 1. Выберите место размещения маршрутизатора

Для установки беспроводного корпоративного маршрутизатора лучше всего подходит открытое пространство в офисе — так вы обеспечите равномерное покрытие. Но иногда найти открытое пространство бывает непросто, потому что маршрутизатор нужно подключить к широкополосному шлюзу от интернет-провайдера, обычно соединенному с кабелем возле наружной стены.

Шаг 2. Установите подключение к Интернету

Подключите маршрутизатор к кабелю или выберите маршрутизатор с поддержкой ячеистой сети.

Если маршрутизатор установлен далеко, используйте кабель CAT5e или CAT6 для его подключения к порту Ethernet на шлюзе от Интернет-провайдера. Также можно протянуть кабели Ethernet по стенам в офисе к выбранному центральному месту расположения маршрутизатора.

Еще один вариант — создать ячеистую сеть с помощью маршрутизатора. В ячеистой сети вы можете разместить в офисе или дома несколько передатчиков Wi-Fi, которые связаны в одной сети. В отличие от ретрансляторов, которые можно использовать с любым беспроводным маршрутизатором, для ячеистых сетей нужен маршрутизатор со встроенной поддержкой этой возможности.

Какой бы вариант вы ни выбрали, вам понадобится обычный кабель Ethernet, подключенный к порту WAN или интернет-порту на маршрутизаторе. Обычно интернет-порт выделен другим цветом, чтобы его было легко отличить от других портов.

Проверьте индикаторы маршрутизатора

С помощью индикаторов на маршрутизаторе можно определить, удалось ли установить подключение к Интернету. Если индикаторы не светятся, убедитесь, что подключили кабель в соответствующий порт.

Проверьте подключение с помощью устройства.

Чтобы проверить, установлено ли подключение на маршрутизаторе, подключите ноутбук к одному из портов для устройств на задней стороне маршрутизатора. Если все в порядке, вы сможете установить проводное подключение как при проверке успешного подключения к Интернету.

Шаг 3. Настройте шлюз беспроводного маршрутизатора

Иногда интернет-провайдеры предоставляют клиентам шлюзы со встроенными маршрутизаторами. В большинстве случаев эти комбинированные устройства не созданы для корпоративного использования, и при этом у них нет дополнительных портов, функций обеспечения безопасности и других возможностей, которые позволяют добавлять услуги и расширять сети по мере развития компании.

Если у вас есть шлюз со встроенным маршрутизатором, отключите маршрутизатор на шлюзе и настройте передачу IP-адреса интерфейса WAN — уникального IP-адреса, который интернет-провайдер назначает вашей учетной записи и всему сетевому трафику, проходящему через ваш новый маршрутизатор.

Если этот шаг не выполнить, могут возникнуть конфликты, из-за которых устройства не смогут корректно работать. Если вам понадобится помощь с выполнением этих действий, обратитесь к своему интернет-провайдеру.

Шаг 4. Подключите шлюз к маршрутизатору

Сначала отключите шлюз. Если кабель Ethernet уже подключен к порту LAN на шлюзе, отсоедините этот кабель и подключите его к порту WAN на маршрутизаторе. Снова включите шлюз и подождите несколько минут, пока он загрузится. Подключите источник питания маршрутизатора, включите его и подождите — это тоже займет несколько минут.

Шаг 5. Выполните настройку через приложение или веб-панель

Самый простой способ дальнейшей настройки маршрутизатора — через мобильное приложение, если его предоставляет производитель маршрутизатора. Если такого приложения нет, лучше использовать веб-панель маршрутизатора для его подключения к компьютеру с помощью кабеля Ethernet.

IP-адрес маршрутизатора обычно напечатан на задней панели самого устройства. Если там его нет, на панели поиска в браузере введите 192.168.1.1 — стандартный адрес маршрутизатора.

Шаг 6. Создайте имя пользователя и пароль

Чтобы настроить маршрутизатор, нужно войти в систему, указав имя администратора и пароль по умолчанию. Как правило, эта информация размещена на самом маршрутизаторе или в руководстве, которое к нему прилагается.

Затем введите нужные учетные данные. После входа в учетную запись сразу измените имя пользователя и пароль. По умолчанию установлены часто используемые сочетания (например, admin и password1234), поэтому сохранять их небезопасно. При первой возможности измените эти учетные данные.

Шаг 7. Обновите микропрограммное обеспечение маршрутизатора

Для маршрутизатора может потребоваться обновление микропрограммного или программного обеспечения, под управлением которых он работает. Проведите обновление как можно скорее, поскольку в новой версии микропрограммного обеспечения, возможно, устранены ошибки или добавлены новые способы защиты.

Некоторые маршрутизаторы загружают новые версии микропрограммного обеспечения автоматически, но большинство маршрутизаторов такую возможность не поддерживает. Наличие обновлений нужно проверять через приложение или веб-интерфейс.

Шаг 8. Укажите пароль для сети Wi-Fi

На многих маршрутизаторах уже заданы имя пользователя и пароль не только для администратора, но и для сети Wi-Fi. Возможно, вы уведите запрос на изменение имени пользователя и пароля для сети Wi-Fi. Если этого не произойдет, постарайтесь их сменить в скором времени.

Шаг 9. По возможности используйте инструменты автоматической конфигурации

Если маршрутизатор поддерживает функции автоматической установки, используйте их при выполнении настройки. Например, вы можете применить автоматическую конфигурацию для управления IP-адресами по протоколу DHCP: он автоматически назначает IP-адреса устройствам. Эти адреса вы можете в любой момент изменить.

Шаг 10. Установите настройки безопасности

Многие производители маршрутизаторов предлагают функции обеспечения безопасности для защиты сети и конфиденциальности пользователей. Вы можете выполнить вход в веб-панель и включить дополнительные функции обеспечения безопасности, например межсетевой экран, фильтрацию веб-содержимого и управление доступом, чтобы защититься от вредоносного трафика. А для обеспечения конфиденциальности вы можете настроить сети VPN.


Настройка DNS на маршрутизаторах Cisco

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.

Предварительные условия

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

Интерфейс командной строки (CLI) Cisco IOS®

Общая модель поведения DNS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизаторы Cisco серии 2500

ПО Cisco IOS 12.2(24a)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Настройка маршрутизатора на использование поиска DNS

Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:

Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name.

Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:

Пример основной конфигурации поиска в DNS

Устранение неисправностей

Довольно редко можно увидеть одну из следующих ошибок:

Для того чтобы устранить эту проблему, выполните следующие шаги:

Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.

Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:

Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:

Используйте команду debug ip packet 101.

Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.

Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.

Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются

В редких случаях доступ к определенным веб-сайтам по имени невозможен. Обычно проблема возникает из-за недоступных сайтов, выполняющих обратный поиск DNS на исходном IP адресе с целью проверки того, что адрес не имитируется. При возврате неверной записи или отсутствии записей (иными словами, при отсутствии cвязанного названия для диапазона IP-адресов) запрос HTTP будет заблокирован.

Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.

Давайте Давайте Рассмотрим пример, в котором используется www.cisco.com. Приведенные ниже выходные данные были получены от рабочей станции UNIX. Использовались программы nslookup и dig. Обратите внимание на различия в выходных данных:

Программа dig дает более детальную информацию о DNS пакетах:

Маршрутизатор запрашивает несколько серверов преобразования имен

В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:

Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.


Настройка маршрутизатора cisco

Как настроить маршрутизатор cisco

Как настроить маршрутизатор cisco

Всем привет сегодня хочу рассказать вам, как настроить маршрутизатор ciscoили организовать сеть для небольшого офиса. Поговорим об отличиях коммутатора 3 уровня и маршрутизатора, и разберем схему организации малого офиса и среднего, с использованием роутера Cisco. Думаю это интересная тема и весьма часто встречающаяся.

Отличия роутера Cisco от коммутатора 3 уровня

Напомню в предыдущей статье мы настроили коммутатор cisco в качестве ядра, работающего на 3 уровне модели OSI, и разобрали, что он производительнее и дешевле, чем router cisco. Так, что же тогда заставляет покупать маршрутизаторы Cisco, все дело в мозгах, которые дают функционал, такой как:

  • ip маршрутизация
  • NAT
  • VPN
  • Межсетевой экран

Без которого сложно представить как связывать удаленные офисы с центральным. Такая вот хитрая политика партии у Cisco.

Схема для малого офиса

Схема филиала такая: 1 роутер Router0 модели Cisco 1841 для примера, один коммутатор Cisco 2960 и три компьютера. Как видите у нас есть 3 сегмента, для которых мы настроим vlan. Предполагается, что у вас уже произведена базовая настройка коммутатора Cisco.

схема небольшого офиса филиала

Создаем VLAN2, VLAN3, VLAN4. Логинимся на ваш cisco 2960 и переходим в режим конфигурирования/

настраиваем vlan cisco 2960

теперь определим каждый компьютер в нужный vlan. PC0 в vlan 2, PC1 в vlan 3, PC2 в vlan 4. У меня это порты fa0/1, fa0/2 и fa0/3.

настройка vlan cisco

Следующим шагом будет настроить trunk порт до нашего роутера Cisco 1841. Вводим следующие команды

Выбираем нужный интерфейс

Выставляем режим trunk

разрешаем определенные vlan

настраиваем trunk cisco

Все работы на коммутаторе Cisco 2960 закончены, переходим к нашему роутеру.

Настройка маршрутизатор cisco 1841

Начнем настраивать маршрутизатор cisco 1841, для того чтобы он маршрутизировал трафик между vlan и был в качестве интернет шлюза. По умолчанию все порты на маршрутизаторе находятся в выключенном состоянии, включим порт куда воткнут патчкорд от коммутатора cisco 2960, у меня это fa 0/0.

У вас появится нечто подобное, сообщая вам что порт стал быть активным.

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

настройка порта роутера cisco-1

Порт стал зеленым

настройка порта роутера cisco-2

Следующим шагом нужно создать сабъинтерфейсы по количеству vlan. У роутеров просто нет vlan и их роль выполняют сабъинтерфейсы, где определенному vlan соответствует subinerface.

Создаем subinterface для vlan 2

указываем что он относится и случает пакеты vlan 2

настраиваем ip адрес

и сохраняем настройки командой

настройка subinterfase cisco

Настроим подобный образом subinterface для vlan 3,4

ip routing
do wr mem

Пробуем пропинговать с компьютера PC0 компьютер PC3 и PC2. Как видим на скриншоте все ок.

ping cisco

Вот так вот просто организовать локальную сеть в очень небольшом филиале и где быстро производится настройка маршрутизатора cisco. настройку NAT мы произведем в другой статье.

Схема для среднего офиса

Вот как выглядит схема локальной сети среднего офиса. Есть маршрутизатор cisco 2911, выступающий в роли интернет шлюза. Есть ядро сети коммутатор 3 уровня Cisco 3560. Он будет маршрутизировать локальный трафик между vlan сети. В Cisco 3560 воткнуты 3 коммутатора второго уровня Cisco 2960, которые уже подключают в себя конечные устройства. В сети есть 3 vlan 2,3,4.

схема среднего офиса

Настройка Switch1

Начнем с настройки Switch1, сегмента серверов. Логинимся в режим глобальной конфигурации.

Закинем порты fa 0/1-2 в VLAN4

Настроим trunk порт fa 0/3, разрешать будем только трафик vlan4

Настройка Switch2

Все с сегментом серверов мы закончили. Переходим к такой же настройке на Switch2 и 3. И так Switch2 Cisco 2960.

Первым делом создаем vlan 2 и vlan3.

Теперь определим наши порты в которые подключены компьютеры в нужные vlan

Настроим trunk порт на интерфейсе fa 0/3

Настройка Switch3

Тот же фокус проводим с настройкой Switch3 Cisco 2960

Первым делом создаем vlan 2 и vlan3.

Теперь определим наши порты в которые подключены компьютеры в нужные vlan

Настроим trunk порт на интерфейсе fa 0/3

Настройка ядра сети

Приступаем к настройке маршрутизации, на ядре Cisco 3560, все три его порта нужно настроить как trunk, создать vlan и назначить им ip.

создаем vlan 2,3,4
vlan 2
name VLAN2
exit
vlan 3
name VLAN3
exit
vlan 4
name VLAN4
exit

Задаем статический ip адрес vlan2,3,4

int vlan 2
ip address 192.168.1.251 255.255.255.0
no shutdown
exit
int vlan 3
ip address 192.168.2.251 255.255.255.0
no shutdown
exit
int vlan 4
ip address 192.168.3.251 255.255.255.0
no shutdown
exit

Настраиваем trunk порты

int fa 0/1
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,3
exit
int fa 0/2
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,3
exit
int fa 0/3
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 2,3
exit

Включаем маршрутизацию и сохраняем конфигурацию
ip routing
do wr mem

Ping будет производиться с компьютера PC3. Как видим, сервера и обычные компьютеры разделены.

проверка пинга

О настройке интернета и NAT поговорим в следующих статьях на данную тему. Как видите конфигурирование маршрутизаторов cisco, не такое уж и сложное дело.


Начальная настройка маршрутизатора Cisco. Доступ в Интернет.

Read the article BASIC CONFIGURATION OF THE CISCO ROUTER. ACCESS TO THE INTERNET in Read in EnglishEnglish

Рассмотрим схему подключения офиса к сети Интернет с помощью маршрутизатора Cisco. Для примера возьмем модель Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) будут аналогичными Различия могут быть в настройке интерфейсов, вернее в их названиях и нумерации.

В схеме присутствуют:

Задача: обеспечить доступ компьютеров локальной сети в Интернет.

Начальная настройка маршрутизатора Cisco. Доступ в Интернет.

Шаг 0. Очистка конфигурации

Первое, с чего стоит начать настройку нового маршрутизатора – полностью очистить стартовую конфигурацию устройства. ( Выполнять только на новом или тестовом оборудовании! ) Для этого нужно подключиться с помощью специального кабеля к консольному порту маршрутизатора, зайти в командную строку и выполнить следующее:

deltaconfig - cisco аутсорсинг

Войти в привилегированный режим(#), возможно потребуется ввести логин/пароль.
router> enable
Удалить стартовую конфигурацию
router# write erase
/подтверждение/
Перезагрузить маршрутизатор
router# reload
/подтверждение/
После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no
В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.

Шаг 1. Имя устройства

Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства»
router# conf t
router (config)# hostname R-DELTACONFIG
R-DELTACONFIG (config)#

Шаг 2. Настройка интерфейсов

Необходимо настроить 2 интерфейса: внешний и внутренний.
Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые предоставил Интернет провайдер.
Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24

Предположим, что оператор связи предоставил нам следующие адреса:

Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut
R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252
no shutdown
После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч корда и далее проверяем его доступность командой ping.

Сначала собственный интерфейс
R-DELTACONFIG# ping 200.150.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms
Затем соседний адрес — шлюз провайдера
R-DELTACONFIG# ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 2/4/10 ms
Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.

В локальной сети будет использоваться следующая адресация

Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).
R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
Для наглядности:

ip address => interface Vlan X => interface Fastethernet Y
Ip адрес присваивается виртуальному интерфейсу Vlan X, а он привязывается к физическому интерфейсу Fastethernet Y.

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Шаг 3 Настройка удаленного доступа к маршрутизатору

Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet(данные передаются в открытом виде) или SSH(защищенное соединение).
Рассмотрим настройку безопасного подключения.
Включаем протокол SSH 2 версии и задаем произвольное имя домена
R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru
Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Задаем имя пользователя с правами администратора и его пароль (*****)
username admin privilege 15 secret 0 *****
Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)
line vty 0 4
login local
Задаем пароль на привилегированный режим
enable secret 0 *****
После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были задан. Подробнее про доступ на устройство по протоколу SSH написано в этой статье.

Шаг 4. Шлюз по умолчанию

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).
R-DELTACONFIG (config)#
ip route 0.0.0.0 0.0.0.0 200.150.100.1
После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме(DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3)
R-DELTACONFIG#ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/5/10 ms

Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только(!) будучи запущенным из консоли управления маршрутизатором. Рабочие станции локальной сети все еще не имеют доступа в Интернет.

Шаг 5 Настройка трансляции адресов (NAT)

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.

Важно!
В указанном примере меняется собственный адрес источника. Если в процессе работы необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.

Важно!
Не стоит оставлять полный доступ в Интернет со всех адресов локальной сети. Советую после проверки работоспособности соединения для безопасности ограничить доступ в Интернет и разрешить его только с конкретных адресов — например с прокси сервера и рабочих станций администратора и/или директора. О том как это сделать можно прочитать в статье «немного об access lists«.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG# write
Building configuration.
[OK]

Adblock
detector