AllInfo
Main: Info Blog Temp Mail


unix 2011-12-31 22-44-31

Маршрутизатор Cisco 2901 рассчитан на средний офис, примерно 50-70 NAT - клиентов. При необходимости его можно дополнить следующими модулями: порты Ethernet, модуль ISDN, модуль потока E1, платы DSP ресурсов(данный маршрутызатор может быть использован как Voip-шлюз).

Я выбрал самую простую конфигурацию без дополнительных модулей и всяких там наворотов, ибо чем проще железка, тем проще её настраивать.


Внешний вид маршрутизатора Cisco 2901

Подключение оборудования и выбор ПО
Первоначальная настройка маршрутизатора Cisco осушествляется через консольный порт, специальным, консольным кабелем(с одного конца разьем rj-45, а с другой RS-232). После подключения кабеля, использую терминальную программу, можно подключиться к Cisco-роутеру. Рекомендую использовать программу Putty, так как она бесплатная и в ней довольно таки удобно работать.
Базовая настройка маршрутизатора Cisco(настройка интерфейсов)
Запускаем программу Putty, выбираем тип соединения Serial, выбираем COM-порт к которому подключен консольный кабель и нажимаем кнопку Open. Появился черный экран терминала. Если на черном экране маршрутизатор не подает признаков жизни, нажмите несколько раз Enter и Вы увидите приветствие и запрос логина и пароля. По умолчанию логин - cisco, пароль - cisco.
После ввода логина и пароля роутер готов к настройке и на экране вы должны видеть следующее:
Router#
Решетка означает что роутер в привилегированном режиме и готов к настройке. Если по какой то причине вместо символа # вы видите >, то для входа в данный режим надо ввести команду enable. Router> enable //привилегированный режим
Router# configure terminal //режим конфигурации
Router(config)# hostname Router //задаем имя
Router(config)# enable secret cr1ny5ho //устанавливаем пароль на вход в привилегированный режим
Router(config)# interface gigabitethernet 0/0 //конфигурируем интерфейс gigabitethernet 0/0(я использую его как WAN-интерфейс)
Router(config-if)# ip address 192.168.12.2 255.255.255.0 //указываем IP-адрес провайдера и маску подсети
Router(config-if)# no shutdown //активизируем(включаем) порт
Router(config-if)# exit // выходим из режима настройки интерфейса, так же можно использовать комбинацию Ctrl+Z
Router# wr // команда записывает конфигурацию. Если не выполнить данную команду, то настройки будут сброшены на предыдущие, а в данном случае на первоначальные.
После сохранения настроек можно посмотреть конфигурацию:
Router# show run // просмотр конфигурации
Building configuration...
Current configuration : 5402 bytes ! !
Last configuration change at 06:39:37 UTC Fri May 13 2011
! version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
! hostname Router
! interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 192.168.12.2 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
Мы видим информацию об интерфейсе g0/0...
Те же самые действия производим с интерфейсом g0/1. Хочу заметить что, в консоли можно сокращать команды, маршрутизатор их понимает абсолютно нормально.
Перейдем к настройке второго интерфейса. Все команды буду указывать с сокращениями:
Router> en
Password: //мы установили пароль на привелегированный режим, вводим пароль
Router# conf t
Router(config)# int g0/1 //конфигурируем интерфейс gigabitethernet 0/1(я использую его как LAN-интерфейс)
Router(config-if)# ip address 192.168.1.1 255.255.255.0 //указываем IP-адрес интерфейса внутренней сети и маску
Router(config-if)# no shutdown
Router(config-if)# exit
Router# wr
Проверяем настройки:
Router# sh run
!

! interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 192.168.12.2 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
!
! interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto !
Конфигурация NAT-маршрутизации и ACL(access list)
Обычно разделяют внутреннюю (inside) и внешнюю (outside) трансляции. Внутренняя трансляция подменяет адрес источника при выходе «наружу» маршрутизатора, а внешняя трансляция подменяет адрес источника при проходе «внутрь». Направление определяется при помощи меток, написанных на интерфейсе
ip nat (inside|outside)
Если мы написали на интерфейсе или подинтерфейсе такую команду, значит мы явно указали, что данный интерфейс будет принимать участие в трансляциях и какую роль будет играть. Маршрутизатор Cisco поступает так: если пакет пришёл на интерфейс, помеченный как внутренний (ip nat inside), а следуя таблице маршрутизации должен выйти через интерфейс, помеченный как внешний (ip nat outside), то это значит, что надо искать в конфигурации правила, описывающие статические или динамические внутренние (inside) трансляции.

Router# conf t
Router(config)# int g0/0
Router(config-if)# ip address 192.168.12.2 255.255.255.0
Router(config-if)#
ip nat outside // внешняя трансляция
Router(config-if)# exit
Router(config)# int g0/1
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)#
ip nat inside // внутренняя трансляция
Router(config-if)# exit
Осталось описать правила и маршруты. Так как это самый простой вариан конфигурации маршрутизатора Cisco, то мы выпусаем в интернет все адреса из нашей сети. Я настоятельно не рекомендую держать канал полностью открытым, так как это может повлиять на целостность вашей информации!!!
Router# conf t
Router(config)# ip route 0.0.0.0 0.0.0.0 82.25.25.1 //шлюз по умолчанию (все обращения направляются на адрес шлюза провайдера)
Router(config)# ip access-list extended NAT
Router(config-ext-nacl)# permit ip 192.168.1.0 0.0.0.255 any //правило, которое выпускает всех из сети 192.168.1.0 в интернет
Router(config)# ip nat inside source list NAT interface g0/0 overload //применяем вышеописанное правило к интерфейсу g0/0, т.е. который смотрит в интернет
Всё, маршрутизатор готов к работе. Вам осталось только подключить кабели и настроить ip-адреса на клиентских машинах. Изначально может показаться, что настройка оборудования Cisco, довольно таки не легкое дело. Действительно, не все просто и не все понятно, но используя оборудование Cisco, Вы можете быть уверены, что ваша локальная сеть действительно защищена.

44.222.134.250 / 2024-10-15_12-44-46 UTC.