Робота з маршрутизатором Cisco і операційною системою Internetworking Operating System (IOS) - відмінний спосіб поекспериментувати з мережевими концепціями і обладнанням з користю для кар'єрного зростання.
ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Потрібно маршрутизатор Cisco, який володіє, принаймні, двома інтерфейсами Ethernet. Моделі 806, 836, 851 і 871 зручно застосовувати вдома або в малому офісі, вони на це і розраховані. Модель 851 можна купити в Internet-магазині за кілька сотень доларів. Однак модель 2610 настільки ж ефективна і, можливо, вже встановлена в шафі для обладнання в офісі, і її можна попросити на час.
Також необхідний кабель консолі Cisco (rollover cable). На одному його кінці знаходиться восьмипозиційний, восьміпроводніковий модульний роз'єм для підключення до маршрутизатора; на іншому - послідовний роз'єм DB-9. В останні роки кабелі консолі, що поставляються разом з обладнанням Cisco, забарвлювалися в блакитний колір.
Підключення маршрутизатора до комп'ютера і запуск програми емуляції терміналу
Підключіть маршрутизатор до комп'ютера через кабель консолі і запустіть програму емуляції терміналу. Параметри порту - 9600,8, N, 1. Якщо немає досвіду підключення пристрою безпосередньо через асинхронне послідовне з'єднання, корисно попросити про допомогу фахівця, який має досвід роботи з продуктами Cisco.
Почніть з команди enable для переходу в привілейований режим EXEC. Потім введіть команду erase startup-config, щоб отримати порожню конфігурацію. Перезапустіть маршрутизатор за допомогою команди reload. Дайте негативну відповідь на запрошення IOS увійти в діалогове вікно початкової настройки.
Ці кроки можуть здатися незрозумілими тим, кому раніше доводилося працювати тільки з пристроями Cisco, що функціонують у виробничому середовищі. Деяким адміністраторам звичніше використовувати для настройки обладнання Telnet, а ще краще SSH. Такий варіант не підходить, якщо потрібно почати з чистої конфігурації, оскільки в цьому випадку доступ через Telnet або SSH спочатку неможливий.
Ідентифікація інтерфейсів маршрутизатора
Погляньте на задню панель маршрутизатора і визначте, які порти Ethernet будуть використовуватися для яких цілей. Один порт буде застосовуватися для підключення до пристрою доступу в глобальну мережу WAN, такому як кабельний модем; інший буде підключатися до локальної мережі. Якщо Ви використовуєте 851W, зверніть увагу на маркування: FastEthernet4 - інтерфейс WAN, а порти з FastEthernet0 до FastEthernet3 - інтерфейси локальної мережі.
Якщо маркування на інтерфейсах маршрутизатора відсутній, можна ввести команду
show ip interface brief
з привілейованого режиму EXEC, щоб з'ясувати імена.
Тепер можна починати власне установку. З привілейованого режиму EXEC (якщо він не активний, введіть команду enable) запустіть режим настройки терміналу за допомогою команди
no ip domain lookup
щоб запобігти спробам IOS перетворити імена доменів, введені з помилками. Користувачі, впевнені в безпомилковості вводяться, можуть пропустити цей крок.
Також корисно ввести команду
no logging console
щоб IOS не виводиться повідомлення syslog в консоль під час роботи. Вони дуже заважають в процесі введення даних з клавіатури.
щоб перейти в режим конфігурації для цього інтерфейсу. Команда для моделі 851W:
Я використовую 192.168.100.1 з маскою класу C, тому команда виглядає наступним чином:
ip address 192.168.100.1
255.255.255.0
Команда показана на двох рядках, але в дійсності її потрібно вводити одним рядком. При бажанні можна використовувати уявлення Classless Inter-Domain Routing (CIDR), тоді команда буде виглядати наступним чином:
ip address 192.168.100.1/24
а слідом команду
ip address dhcp
потім використовуйте команду exit для виходу з режиму настройки інтерфейсу.
Список доступу 100 буде застосовуватися до інтерфейсу локальної мережі. У першому рядку призначається список доступу, а маршрутизатор переводиться в режим настройки списку доступу. У наступному рядку дозволяється проходження в інтерфейс будь-якого IP-трафіку, відповідного мережі (192.168.100.0/24). Маска підмережі може виглядати дивно, але це не помилка. У списках доступу IOS використовуються інверсні маски підмережі. Їх нескладно вирахувати вручну, віднімаючи кожен октет звичайної маски з 255. Таким чином, маска 255.255.252.0 перетворюється в 0.0.3.255, 255.252.0.0 перетворюється в 0.3.255.255 і т. Д.
У п'ятій, шостій і сьомій рядках дозволяється будь-який трафік ICMP, який виходить з будь-якого джерела; направляється в будь-яке місце призначення; є відповіддю ping, повідомленням про закінчення часу або недоступності, що надходять в інтерфейс WAN. Обережно вибирайте типи ICMP-трафіку, дозволеного в мережі, так як протокол ICMP вразливий для різних атак, особливо з відмовою в обслуговуванні (DoS). Однак ці три рядки необхідні для застосування команд ping і traceroute з метою діагностики. Дві останні рядки - такі ж, як в списку доступу локальної мережі.
Налаштування базової перевірки TCP / UDP / ICMP
Обов'язково встановіть поріг тайм-ауту TCP SYN, щоб запобігти flood-атаки SYN з відмовою в обслуговуванні:
ip tcp synwait-time 30
Ця команда вказує IOS на необхідність закрити будь-який TCP-сеанс, чи не встановлений протягом 30 секунд.
Потім призначте окремі правила перевірки для ICMP, TCP і UDP:
ip inspect name InspectRule icmp
ip inspect name InspectRule tcp
ip inspect name InspectRule udp
InspectRule можна замінити іншим ім'ям.
Застосування списків доступу і правил перевірки
Застосуйте як списки доступу, так і правила перевірки до відповідних інтерфейсів у вхідному напрямку. Для інтерфейсу WAN (в даному випадку FastEthernet4) потрібно спочатку увійти в режим настройки інтерфейсу:
Потім застосуєте список доступу:
ip access-group 101 in
Зверніть увагу, що використовується access-group, а не access-list. Застосуйте правило перевірки:
ip inspect InspectRule in
Нарешті, вийдіть з режиму настройки інтерфейсу:
Введіть для інтерфейсу локальної мережі (в даному прикладі BVI1):
interface BVI1
ip access-group 100 in
ip inspect InspectRule in
exit
Варто відзначити, що правило перевірки IP в вихідному напрямі можна застосувати поряд або замість вхідного напрямки.
ip access-list standard 10
permit 192.168.100.0?0.0.0.255
deny any exit
interface BVI1
ip nat inside
exit
interface FastEthernet4
ip nat outside
exit
Нарешті, вводиться власне інструкція NAT (в одному рядку):
ip nat inside source list 10
interface FastEthernet4 overload
Активізація інтерфейсів і відключення STP
Для тестування конфігурації майже все готово. Але спочатку потрібно переконатися, що жоден з інтерфейсів не перебуває у закритому стані. Для FastEthernet4 введіть:
interface FastEthernet4
no shutdown
exit
Процедуру слід повторити для кожного фізичного інтерфейсу маршрутизатора.
Іноді корисно відключити протокол STP на внутрішніх інтерфейсах локальної мережі, якщо такий захід передбачена в маршрутизаторі. Якщо планується організувати складну мережу комутаторів, то відключати STP не слід; але в малій мережі завдяки відключенню STP час з'єднання внутрішніх пристроїв локальної мережі з маршрутизатором може скоротитися на інтервал до 30 секунд. Для кожного інтерфейсу локальної мережі (в даному випадку від FastEthernet0 до FastEthernet3), введіть
interface FastEthernet0
spanning-tree portfast
exit
Настав час зберегти конфігурацію. Введіть команду
щоб зберегти виконані настройки в незалежній пам'яті і забезпечити відновлення конфігурації після перезапуску маршрутизатора, збою електроживлення і в інших ситуаціях.
Слід також ввести команду
Проблема: Необхідно підвищити свою кваліфікацію в мережевих технологіях в тестовому середовищі.
Рішення: Потренироваться з настройками маршрутизатора Cisco в тестовій лабораторії або будинку.
Що потрібно: Маршрутизатор Cisco з двома Ethernet портами, що має IOS версії 12.2 або новіше, консольний кабель Cisco (крос-кабель), комп'ютер з послідовним портом, програма емуляції терміналу, і два кабелі Ethernet.
Підключіть маршрутизатор до комп'ютера і запустіть програму емуляції терміналу.
Визначте інтерфейси маршрутизатора
Складіть списки доступу.
Налаштуйте базову перевірку TCP / UDP / ICMP.