Настройка SSH

Прежде чем приступить непосредственно к настройке оборудования, необходимо

обеспечить к нему доступ по протоколу SSH. Это защищенный протокол, который
обеспечивает безопасность при работе с маршрутизатором. При первом подключении
к Cisco 2911 необходимо произвести базовую настройку оборудования. К ней
относится настройка подключения по протоколу Telnet (устаревший протокол,
передающий все пароли в открытом виде и открывающий широкие возможности для
различных атак).

Для настройки необходимо использовать программу Putty, выбрав в ней тип

подключения Serial и COM-порт. В консольном окне прописать следующее:

Router>enable // Вход в привилегированный режим

Router#erase startup-config // Необходимо сбросить пароль, удалить старые
конфигурации и перезагрузить устройство
Router#reload
Router>enable
Router#configure terminal // Использование конфигурационного режима
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0 // Имя устройства
Gw0(config)#
Gw0(config)#service password-encryption // Данная команда включает режим хранения
паролей в конфигурационном файле устройства в зашифрованном виде. 
Gw0(config)#no ip http server // Отключение управления маршрутизатором через http,
https, CDP
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Gw0(config)#line con 0
Gw0(config-line)#password пароль // Необходимо задать пароль на подключение через
консоль
Gw0(config-line)#login
Gw0(config-line)#exit
Gw0(config)#line vty ? 
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Gw0(config) enable secret пароль_enable_режима // Необходимо задать пароль для
привилегированного режима

Настройка интерфейсов внутренней сети выглядит следующим образом: 

Gw0(config) #interface Gi 0/0

Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Gw0(config)# ip name-server 192.168.0.2 // DNS-сервер
 Теперь устройство доступно для подключения по протоколу Telnet по адресу
192.168.0.1.

Gw0# copy running-config startup config  // сохранение конфигурации

 Далее производим настройку SSH:

Gw0>enable// 
Gw0#clock set 20:10:00 23 May 2012 // Необходимо установить точное время для
генерации ключа
Gw0#configure terminal // 
Gw0# ip domain name iamroot.ru // Для генерации ключа необходимо указать имя
домена
Gw0(config)# crypto key generate rsa // Генерация RSA-ключа
Gw0(config)# username user privilege 15 secret пароль // Создание пользователя с
расширенными правами

 Активируем протокол ААА 

Gw0(config)# aaa new-model // Активация AAA (авторизация, аутентификация и учет

данных. Протокол используется для предоставления пользовательского доступа и
контроля над ним).
Gw0(config)#line vty 0 1441 // Переход в режим конфигурирования терминальных
сессий
Gw0(config-line)# transport input ssh // Указание на то, что средой доступа через сеть
по умолчанию будет протокол SSH
Gw0(config-line)# logging synchronous //Автоматическое поднятие строки
Gw0(config-line)#exec-timeout 30 0 // Время тайм-аута до автоматического закрытия
SSH-сессии в 30 минут

 Далее необходимо выйти из конфигурационного режима командой Ctrl+Z

Gw0# wr // Сохранение настроек.

Теперь оборудование доступно через защищенный канал SSH.

Настройка USB

Если вернуться к началу статьи, то стоит обратить внимание на то, что подключение к
консоли возможно не только через COM-порт, но и через USB. Для этого необходимо
скачать и установить специальный драйвер (cisco usb console driver). Происходит
распаковка, установка, перезагрузка системы.
 
Рис. 2.

Далее в диспетчере устройств необходимо посмотреть, какой COM-порт присвоен

Cisco USB Console. После этого в Putty необходимо выбрать Serial - подключение и
выбрать тот самый COM-порт (см.рис.1).

Настройка маршрутизации

Теперь можно перейти к полноценной настройке. Первым этапом будет рассмотрен

процесс маршрутизации.

Прежде чем к нему приступить, стоит ознакомиться с таким понятием как «таблица
маршрутизации». Визуально это можно представить как граф, соединенный между
собой точками. Из пункта «А»в пункт «Б», и т.п. Таких маршрутов может быть
несколько, но в данном случае будет рассмотрена статическая маршрутизация – это
один конкретный путь, который, как правило, прописывается самим пользователем. 

Данный этап необходим для того, чтобы маршрутизатор «знал» путь из одной точки в
другую. Это знание поможет ему выбрать наилучший маршрут в зависимости от
ситуации.

Процесс назначения маршрута на роутере выглядит следующим образом:

enable 
configure terminal
ip route 172.16.0.0 255.255.255.128 Serial0/0/0// Используем команду для ввода
статического маршрута

Данная команда указывает на то, что далее будет прописан маршрут. В конкретном
случае, адрес 172.16.0.0 – та самая неизвестная роутеру сеть, 255.255.255.128 –
маска неизвестной удаленной сети. Serial0/0/0 – интерфейс, на который будут
поступать пакеты данных, предназначенные для той самой удаленной сети.

Вместе интерфейса можно указать IP-адрес шлюза. 

Команда: 

ip route 0.0.0.0 0.0.0.0 Serial0/0/0 

означает маршрут по умолчанию.
end// Выход из режима глобальной конфигурации
show running-config// Проверка введенных данных.
copy running-config startup-config// Сохранение настроек

Настройка VLAN

По правилам хорошего тона, прежде чем настраивать маршруты, стоило прописать

VLAN. VLAN – virtual local area network – функция, которая позволяет на одном
физическом интерфейсе создать несколько виртуальных сетей. К примеру, можно
представить офис, в котором к одному роутеру подключено несколько ПК.
Необходимо, чтобы ПК-1 и ПК-2 – общались между собой, ПК-3 и ПК-4 тоже только
между собой. Как раз для этого и нужно создание VLAN.

 
Рис.3.

Прописывать статические маршруты также намного удобнее до VLAN, чем до каждого

ПК в отдельности. Можно указать один шлюз сети и IP-адрес конкретного VLAN –
сэкономить время и упростить себе задачу.

Разобравшись в необходимости и полезности VLAN, можно переходить к их

настройке.

VLAN находится непосредственно на коммутаторе. Маршрутизатор подключается к

коммутатору посредством trunk-порта и позволяет VLAN-ам общаться между собой
при необходимости. Трафик передается через этот порт и помечается номером
VLAN-а.  Далее на интерфейсе необходимо настроить sub-интерфейсы с
соответствующими для каждого VLAN IP-адресами. За счет этого происходит
корректное перенаправление пакетов.

Визуально можно представить так: между коммутатором и маршрутизатором есть

некий «мост» - trunk-порт, проходя через который, всем присваивается определенный
номер (VLAN-ы, как правило, обозначаются цифрами). И в зависимости от номера
трафик на выходе «моста» идет в конкретном направлении.

Первым делом настраивается интерфейс для управления оборудованием. Номер

VLAN в данном случае не указывается, он равен 1 по умолчанию.

conf t
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0

 Предварительно рекомендуется очистить используемый интерфейс, выполнив

команды:

interface FastEthernet0/0
no shut
no ip address

Далее происходит настройка sub-интерфейсов:

interface FastEthernet0/0.10
encapsulation dot1q 10
ip address 192.168.10.1 255.255.255.0
description NoName

Стоит обратить внимание, после указания интерфейса через точку, а также после
указания инкапсуляции стоит номера VLAN (в данном случае 10). Порядковый номер
sub-интерфейса при этом может быть любым. В строчке с указанием инкапсуляции
обязательно должен стоять номер того VLAN-а, которому принадлежит сеть.

Теперь для взаимодействия устройств из разных VLAN необходимо прописать:

switchport access vlan Х

Где Х – номер VLAN. Это указывается на портах, к которым подключаются рабочие
станции.

Также не стоит забывать о том, что на каждом устройстве в качестве шлюза по

умолчанию должен быть указан IP-адрес sub-интерфейса маршрутизатора того же
VLAN, что и само устройство.

 Итак, теперь рабочие станции способны общаться друг с другом в пределах

подключения к одному коммутатору/роутеру, а также в пределах одного VLAN. Что же
делать, если необходимо связаться с устройством вне локальной сети?

Настройка NAT

NAT – механизм преобразования транзитных IP-адресов. Также NAT отвечает за

проброс портов - использование одного внешнего интерфейса несколькими
устройствами в локальной сети. То есть, существует некоторое устройство, которое
пытается отправить трафик вне локальной сети. Маршрутизатор его, конечно,
отправит, но обратный адрес состоит из локального адреса устройства. Роутер
мгновенно подменяет его адрес на свой внешний IP-адрес и меняет номер порта
(чтобы различать локальные устройства между собой). Все данные маршрутизатор
временно хранит в таблице, чтобы все данные достигли получателя. 

 
Рис.4.

Для доступа в Интернет из локальной сети необходимо динамически переводить все

внутренние адреса в определенный внешний IP-адрес. 

R-DELTACONFIG (config)#
ip access-list standard ACL_NAT // Создание Access-листа NAT
permit 192.168.0.0 0.0.0.255

 Указываем внутренний интерфейс для процедуры трансляции

Interface Vlan 1
ip nat inside

 Указываем внешний интерфейс для процедуры трансляции

Interface Fa 4
ip nat outside

 Создаем правило трансляции (NAT)

ip nat inside source list ACL_NAT interface fa4

 В результате должен появиться доступ с любого устройства локальной сети в

Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес
маршрутизатора (192.168.0.1). 

 Сохраняем все настройки:

R-DELTACONFIG#write

Настройка VPN

Теперь можно познакомиться с таким понятием, как VPN. VPN - virtual private network,
виртуальная частная сеть. То есть, поверх существующей сети создается некая
виртуальная сеть, которая объединяет в себя несколько устройств. Первой задачей
VPN является маркировка участников данной сети, чтобы она не смешивалась с
чужой. Второй (и одной из главных) задачей является защита информации,
передаваемой между участниками сети. 

 
Рис.5.

Такая сеть абстрагирована от физической составляющей. То есть, совсем неважно,

каким образом будет установлено соединение, и проходить оно может через
публичные сети.

Для маршрутизаторов VPN представляет собой туннель - допустим, между сетями

двух офисов одной компании. Это довольно удобно, поскольку данные защищены от
посторонних глаз, а работать можно без привязки к физическим интерфейсам. VPN
способен объединять географически удаленные объекты в одну сеть.

К рассмотрению предлагается настройка VPN-туннеля между двумя

маршрутизаторами с заданными параметрами:

Маршрутизатор Cisco в главном офисе (R-MAIN)

Пользовательская сеть 192.168.10.0 /24
Внешний статический IP-адрес 1.1.1.2 /30
Шлюз провайдера 1.1.1.1 /30
Маршрутизатор Cisco в удаленном офисе (R-BRANCH)
Пользовательская сеть 192.168.20.0 /24
Внешний статический адрес 2.2.2.2 /30
Шлюз провайдера 2.2.2.1 /30
Для начала необходимо выбрать параметры шифрования:
R-MAIN(config)#
crypto isakmp policy 1
encr 3des // Алгоритм шифрования
authentication pre-share
group 2
 
crypto ipsec transform-set ESP_3DES_SHA_HMAC esp-3des esp-sha-hmac
 
crypto ipsec df-bit clear
 
crypto ipsec profile VTI_PROF
set transform-set ESP_3DES_SHA_HMAC
set pfs group2

Ключ шифрования должен быть одинаковым на обоих роутерах.

Для главного офиса:

R-MAIN(config)#
crypto isakmp key 0 12345 address 2.2.2.2
Для удаленного офиса:

R-BRANCH(config)#
crypto isakmp key 0 12345 address 1.1.1.2

В каждом офисе необходимо указать внешний адрес соседней площадки.

На каждом маршрутизаторе создаем виртуальный туннельный интерфейс.
В главном офисе:

R-MAIN(config)#
interface Tunnel1
description Link to R-BRANCH
ip address 10.0.0.1 255.255.255.252 // Собственный адрес виртуального туннеля
tunnel source FastEthernet 0/0 // Собственный внешний интерфейс маршрутизатора
tunnel destination 2.2.2.2 // Внешний адрес маршрутизатора дополнительного офиса
tunnel mode ipsec ipv4 // Вид шифрования
tunnel protection ipsec profile VTI_PROF // Способ шифрования
В удаленном офисе:

R-BRANCH(config)#
interface Tunnel1
description Link to R-MAIN
ip address 10.0.0.2 255.255.255.252 
tunnel source FastEthernet 4
tunnel destination 1.1.1.2
tunnel mode ipsec ipv4
tunnel protection ipsec profile VTI_PROF

Если все этапы выполнены правильно, то состояние интерфейса перейдет из

состояния up/down в состояние up/up. Посмотреть это можно следующей командой:

R-MAIN# sh inter tun 1

Tunnel1 is up, line protocol is up
Проверяем работоспособность туннеля, запустив ping до соседнего адреса туннеля.
Например, из головного офиса:
R-MAIN#ping 10.0.0.2
Для того, чтобы обе площадки были доступны друг другу, следует добавить
соответствующие строчки маршрутизации на каждом устройстве.
В головном офисе:

R-MAIN(config)#
ip route 192.168.20.0 255.255.255.0 10.0.0.2

В удаленном офисе:

R-BRANCH(config)#
ip route 192.168.10.0 255.255.255.0 10.0.0.1

После всех этапов настройки все устройства настроенных сетей должны быть
доступны друг другу, а связь должна быть защищенной.

Настройка PPPoE

Теперь стоит познакомиться с протоколом PPPoE, который, по факту, и

предоставляет доступ в Интернет через Cisco 2911.

Суть протокола в том, что в локальной сети Ethernet, где все устройства обладают
своим MAC-адресом, наличие IP-адреса устройства необязательно. Он назначается
только тогда, когда устройству необходимо соединение с сервером. 

Дополнительно протокол выполняет такие функции как аутентификация, сжатие

данных и контроль качества данных.

Роутер может выступать как PPPoE-сервер, так и PPPoE-клиент, в зависимости от

ситуации. Ниже будет приведена настройка именно клиента, поскольку он рассчитан
больше на домашнее использование, когда маршрутизатор берет на себя все
необходимые задачи по предоставлению доступа к сети Интернет.
Чтобы создать PPP-тунель, необходимо настроить интерфейс dialer. Он представляет
собой специальный тип виртуального интерфейса и именно на нём задаются все
параметры PPP. В качестве параметров PPP необходимо задать имя пользователя и
пароль, метод аутентификации (PAP или CHAP), размер MTU в байтах. Далее
интерфейс включается в dialer pool. Этот номер указывается на физическом
интерфейсе и с него будет осуществляться «дозвон».
 Рассмотрим пример настройки PPPoE подключения на маршрутизаторах Cisco.

vpdn enable
vpdn-group 1
request-dialin
protocol pppoe
interface GigabitEthernet0/0
no ip address
pppoe enable
pppoe-client dial-pool-number 1
no shu
interface Dialer1
description Logical ADSL Interface
ip address negotiated
ip mtu 1492
encapsulation ppp
ip tcp adjust-mss 1452
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication chap pap callin
ppp chap hostname 77896040263
ppp chap password 0 bzBdfVpAWU8
ppp pap sent-username 77896040263 password 0 bzBdfVpAWU8
ppp ipcp route default

ip route 0.0.0.0 0.0.0.0 Dialer1

Где:
- GigabitEthernet0/0 - физический интерфейс провайдера.
-Dialer1- Виртуальный интерфейс
- 77896040263 - имя пользователя от провайдера
- bzBdfVpAWU8 - пароль от провайдера
Дальнейшие настройки и службы следует настраивать с интерфейсом Dialer1,
например настройка NAT будет выглядеть:
ip nat inside source list acl_nat_rules interface Dialer1 overload
Проверка осуществляется следующим образом:
show pppoe session
show pppoe summary
show interface dialer 1

...и напоследок