Cisco 881 настройка с нуля

Роутер Cisco 881-й модели пришел на смену популярной серии Cisco 871, которая предназначена для создания сетей класса SOHO. Из важных опций, имеющих наличие, можно отметить встроенный DNS-сервер, серьезный фаервол, и некоторые другие. Их совокупность позволяет сказать, что Cisco 881 – самый современный роутер Циско, подходящий для офисного и домашнего использования.

В наименовании моделей со встроенным Wi-Fi модулем – есть буква «W». Чаще всего, к проводному маршрутизатору Cisco WiFi роутер – подключают кабелем LAN. Это может быть просто «точка доступа». Поэтому, настройку беспроводного интерфейса Cisco – мы рассматривать не будем. Вместо этого, проведем шаг за шагом конфигурацию соединения с Интернет, настройку локальной сети, фаервола, отмечая отличия, характерные именно для Cisco 8XX. Приступим.

Настройка основных функций роутера «881-й» модели

Предварительные действия перед настройкой

Настраивать роутер мы будем через консоль. Любой Cisco router – имеет набор аппаратных портов (они расположены на задней панели):

1. Порты Ethernet (цвет – желтый). Они разделены на порты для внутренней сети (eth0.. eth3 в рассматриваемой модели), и, как правило, один порт для Интернет-соединения.
2. Один порт Console/Terminal (цвет – голубой). Подсоедините к нему консольный кабель, подключите терминал (компьютер с COM-портом и программой HyperTerminal).

Включать питание роутера можно, если все аппаратные подключения на 100% выполнены. Перед настройкой роутера, запустите терминальную программу. В ней при создании подключения необходимо выбрать номер используемого COM-порта (установите следующие значения):

Скорость можно выбрать «9600» или меньше, 8-битный режим без проверки четности (стоповый бит – 1). Собственно, если настроено правильно, то роутер при загрузке – должен выдавать в терминал сообщения:

Первый этап настройки

Запустив настроенную программу терминала и включив питание роутера, необходимо дождаться сообщения «Press RETURN…». Нажмите «Enter». Роутер потребует логин с паролем (используйте пару «cisco»). В серии 8XX, дополнительно предусмотрен «мастер настройки» (от его услуг – откажемся, нажав «N», затем «Enter»).

После приведенных здесь действий, в терминале можно выполнить команду «?» (вопрос), и увидеть ее результат:

Если после слова «Router» сейчас – значок «больше» (а не «решетка»), выполните команду «enable».

Что нужно сделать в первую очередь? Даже если подошли логин и пароль «cisco», все равно, лучше сбросить настройки в заводские значения. Команда «erase startup-config» поможет в этом (останется только перезагрузить роутер).

Зайдя в консоль еще раз, перейдите в режим с повышенными привилегиями («enable»), а затем – в режим настройки («conf t»). Выход из последнего режима – выполняется командой «exit».

Находясь в режиме настройки, создайте пользователя с максимальными правами:

username Логин privilege 15 secret Новый Пароль

Конечно, вместо слов «Логин» и «Новый Пароль» подставляют необходимые значения. Но это – еще не все. Сделайте выход из режима настройки («exit»), и подайте команду «wr mem». Последняя команда – важная, ее нужно запомнить. Она «сохраняет» выполненные настройки.

При следующем входе в терминал, можно будет использовать новые значения пароля/логина.

Настроим локальную сеть

Что мы должны сделать здесь? Присвоить нашему роутеру локальный адрес IP, задать диапазон адресов для DHCP-сервера. Ну, и включить сервер. Все команды – будут выполняться в режиме настройки (выполните «enable», затем «conf t»). В завершение, не забудьте сохранить изменения.

Настройка роутера Cisco 8XX-серии – подразумевает следующее. «Порт 4» может быть подключен к разъему провайдера. Все остальные порты – доступны, как один виртуальный «сетевой интерфейс» (он имеет название «Vlan1»).

Из «режима настройки» перейдем в режим, где конфигурируется только интерфейс Vlan1:

Далее, присвоим этому «порту» адрес:

ip address 192.168.N.1 ///подставьте любое число вместо «N»

Настроим сервер DHCP:

ip dhcp excluded-address 192.168.N.16 192.168.N.100 ///адреса будут 101-255

ip dhcp pool LAN1 ///пул адресов, мы назвали его «LAN1», далее – его и настраиваем:

network 192.168.N.0/16 ///та подсеть, из которой выдаются IP;

default-router 192.168.N.1 ///задали шлюз по умолчанию

dns-server Адрес ///вместо «Адрес» – указать реальный IP DNS, либо (внимание!) локальный адрес роутера, другие варианты – исключены.

Заметим, что DHCP-сервер по умолчанию включен. Команды включения и выключения сервера DHCP: «service dhcp» / «no service dhcp». Когда основные настройки – выполнены, можно включить сборку фрагментных пакетов (команда «ip virtual-reassembly»).

Дополнительно, отметим: все изменения, выполняемые в режиме «conf t», вступают в силу немедленно.

Настройка DNS-сервиса

Все команды, приведенные здесь, выполняются в режиме настройки («conf-t»). Две первые из них – можно считать выполненными (что верно для роутеров «8XX»):

ip domain-lookup ///включить в сети сервис DNS

Зачем это нужно? Если сервис активен, при настройке локальной сети в качестве сервера DNS – можно указывать роутер (в параметре команды «dns-server»).

ip dns server ///включить «встроенный» кэширующий сервер DNS (отключить можно командой с префиксом «no»)

Далее, надо добавить «внешние» DNS. Например, так:

ip name-server Адрес ///на месте «Адрес», укажите реальный IP DNS

ip name-server Адрес1 Адрес2 … ///первый параметр – будет адресом «первичного» DNS, и так далее.

Скажем, что нужно на самом деле. Если при конфигурировании Vlan1 выполнить «dns-server 192.168.N.1» (то есть, указать адрес роутера), то дополнительно, останется выполнить «ip name-server» с правильными параметрами.

Настройка соединения (вариант «DHCP»)

В предыдущей главе мы рассмотрели, как поступить с адресами DNS-серверов. Чтобы настроить соединение с провайдером, работающим по DHCP-протоколу, достаточно указать, что «порт 4» получает IP автоматически:

Interface FastEthernet4 ///выполните команду в режиме «настройки» (конфигурируется Eth4)

ip address dhcp ///теперь, порт «4» будет получать IP от DHCP провайдера

Все. «Под DHCP» – соединение должно работать. Как настроить роутер Cisco в качестве VPN-клиента (либо, для соединения PPPoE), мы здесь не рассматриваем. Приведем еще несколько полезных команд, выполняемых при настройке соединения:

ip virtual-reassembly ///сборка фрагментных IP-пакетов

speed auto ///надеемся, понятно (10/100 Мбит/с)

duplex auto ///тоже, понятно

Не забывайте сохранять выполненные изменения. Успешной настройки!

Дополнительные возможности роутера

Возможности встроенного фаервола: URL-фильтрация

На роутер «881» по умолчанию установлена ОС IOS, наделенная встроенным фаерволом. По-другому, его называют «Cisco IOS Firewall».

Мы будем настраивать фильтрацию по URL. Точнее, запретим исходящий трафик на сайт, названный в нашем примере cite.ru. Доступ будет полностью ограничен не только на главную страницу (http://cite.ru), но и любую другую, URL которой заканчивается, как «.cite.ru».

Находясь в режиме «настройки» («conf t») – пишем:

ip inspect name cite urlfilter

ip urlfilter allow-mode on

ip urlfilter cache 0 ///если так не отключить кэш, cisco 881 ethernet sec router запомнит IP данного сайта и начнет «фильтровать» по IP (не по URL)

ip urlfilter exclusive-domain deny .cite.ru ///вот мы и запретили доступ к «*.cite.ru»

Если хотите, можно включить «лог» всех запросов к данному сайту (не обязательно):

ip urlfilter audit-trail

Остался ровно один шаг. В настройке интерфейса, организующего соединение (Eth4), надо кое-что добавить:

Interface FastEthernet4 ///конфигурируется Eth4

ip inspect cite out ///проверка исходящего с Eth4 трафика

Работа с «файлами настроек» оборудования Cisco, их сохранение, архивирование и т.д. – рассматривается здесь (на примере роутера «1841»):

Read this article in English

Рассмотрим схему подключения офиса к сети Интернет с помощью маршрутизатора Cisco. Для примера возьмем модель Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) будут аналогичными Различия могут быть в настройке интерфейсов, вернее в их названиях и нумерации.

В схеме присутствуют:

• канал в Интернет со статическим адресом
• несколько компьютеров в локальной сети офиса
• маршрутизатор
• коммутатор, который используется для организации локальной сети офиса

Задача: обеспечить доступ компьютеров локальной сети в Интернет.

Шаг 0. Очистка конфигурации

Первое, с чего стоит начать настройку нового маршрутизатора – полностью очистить стартовую конфигурацию устройства. ( Выполнять только на новом или тестовом оборудовании! ) Для этого нужно подключиться с помощью специального кабеля к консольному порту маршрутизатора, зайти в командную строку и выполнить следующее:

Войти в привилегированный режим(#), возможно потребуется ввести логин/пароль.
router> enable
Удалить стартовую конфигурацию
router# write erase
/подтверждение/
Перезагрузить маршрутизатор
router# reload
/подтверждение/
После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no
В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.

Шаг 1. Имя устройства

Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства»
router# conf t
router (config)# hostname R-DELTACONFIG
R-DELTACONFIG (config)#

Шаг 2. Настройка интерфейсов

Необходимо настроить 2 интерфейса: внешний и внутренний.
Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые предоставил Интернет провайдер.
Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24

Предположим, что оператор связи предоставил нам следующие адреса:

• Сеть 200.150.100.0
• Маска подсети 255.255.255.252 или /30
• Шлюз по умолчанию 200.150.100.1

Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut
R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252
no shutdown
После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч корда и далее проверяем его доступность командой ping.

Сначала собственный интерфейс
R-DELTACONFIG# ping 200.150.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms
Затем соседний адрес — шлюз провайдера
R-DELTACONFIG# ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 2/4/10 ms
Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.

В локальной сети будет использоваться следующая адресация

• Сеть 192.168.0.0
• Маска подсети 255.255.255.0
• Внутренний адрес маршрутизатора, который выполняет роль шлюза в Интернет для всех хостов в сети, 192.168.0.1
• Диапазон внутренних адресов сети (пользователи, принтеры, серверы и.т.д.) советую начинать с адреса 192.168.0.5
• Максимально возможный доступный для использования адрес в этой сети будет 192.168.0.254
• Адреса с 192.168.0.2 до 192.168.0.4 оставим про запас для непредвиденных технологических нужд

Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).
R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
Для наглядности:

ip address => interface Vlan X => interface Fastethernet Y
Ip адрес присваивается виртуальному интерфейсу Vlan X, а он привязывается к физическому интерфейсу Fastethernet Y.

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Шаг 3 Настройка удаленного доступа к маршрутизатору

Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet(данные передаются в открытом виде) или SSH(защищенное соединение).
Рассмотрим настройку безопасного подключения.
Включаем протокол SSH 2 версии и задаем произвольное имя домена
R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru
Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Задаем имя пользователя с правами администратора и его пароль (*****)
username admin privilege 15 secret 0 *****
Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)
line vty 0 4
login local
Задаем пароль на привилегированный режим
enable secret 0 *****
После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были задан. Подробнее про доступ на устройство по протоколу SSH написано в этой статье.

Шаг 4. Шлюз по умолчанию

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).
R-DELTACONFIG (config)#
ip route 0.0.0.0 0.0.0.0 200.150.100.1
После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме(DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3)
R-DELTACONFIG#ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/5/10 ms

Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только(!) будучи запущенным из консоли управления маршрутизатором. Рабочие станции локальной сети все еще не имеют доступа в Интернет.

Шаг 5 Настройка трансляции адресов (NAT)

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.

Важно!
В указанном примере меняется собственный адрес источника. Если в процессе работы необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.

Важно!
Не стоит оставлять полный доступ в Интернет со всех адресов локальной сети. Советую после проверки работоспособности соединения для безопасности ограничить доступ в Интернет и разрешить его только с конкретных адресов — например с прокси сервера и рабочих станций администратора и/или директора. О том как это сделать можно прочитать в статье «немного об access lists«.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG# write
Building configuration.
[OK]

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности — мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа — межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

• Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
• Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) — сетевые системы защиты данных, в том числе на уровне конечных устройств:

• VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
• Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
• WAF: Barracuda WAF;
• DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

• Системы резервного копирования — Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
• Системы хранения данных с функциями зеркалирования, резервирования — NetApp (25xx, 85xx, 9xxx);
• Реализация любых других решений: AlienVault (SIEM).

Только сейчас — Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия — 2 месяца!

Почта для вопросов и заявок — info@lincas.ru, sales@lincas.ru

Горячая линия — Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Маршрутизаторы Cisco 881 отличаются расширенной поддержкой беспроводных стандартов сети, что позволит использовать их для малых и средних офисов.

Повышенные функции безопасности за счет присутствия различных протоколов также гарантируют надежную работу при эксплуатации данной серии устройств. Это может происходить как при помощи VPN (IPSec, SSL, DMVPN), так и при помощи протокола SRST.

Дополнительные возможности маршрутизатора способствуют снижению операционных издержек и удовлетворению различных потребностей организации.

Настройка через Web-интерфейс

Первым делом для обеспечения комфортной работы предлагается настроить удаленный доступ роутером через Web-интерфейс.

В режиме конфигурирования (conf t) создаем access-list 1, который в дальнейшем будет использоваться для доступа с определенного ip-адреса.

Router(config)# access-list 1 permit 172.16.1.1

Создаем пользователя user с паролем PassWord.

Router(config)# username user privilege 15 secret PassWord

Включаем http сервер с локальной аутентификацией.

Router(config)# ip http server
Router(config)# ip http authentication local

Разрешаем доступ с определенного IP-адреса, используя для этого созданный ранее access-list 1.

Router(config)# ip http access-class 1

Для включения https сервера необходимо повторить предыдущие шаги с некоторыми коррективами.

Определяем доменное имя — cisco.com

mycisco(config)# ip domain-name cisco.com

Создание access-листа и пользователя с расширенными правами — идентично предыдущим настройкам.

Выключаем http сервер и включаем https сервер с локальной аутентификацией.

mycisco(config)# no ip http server
mycisco(config)# ip http secure-server
mycisco(config)# ip http authentication local

Разрешаем доступ с определенного ip адреса, используя для этого созданный ранее access-list 1.

mycisco(config)# ip http access-class 1

Теперь можно управлять устройством через веб-интерфейс, что довольно-таки удобно. Такая возможность, реализованная в Cisco 881, делает его более современным для любого использования. К тому же, веб-интерфейс упрощает настройку оборудования, нежели управление через консоль.

Настройка Интернет

Ранее была проведена первоначальная настройка оборудования в целях комфортного администрирования. Далее необходимо настроить оборудование по назначению — он непременно должен предоставлять доступ пользователям в сеть интернет.
Первым делом необходимо настроить интерфейсы. Роутер, грубо говоря, имеет всего 2 интерфейса. Один из них общается с внутренней сетью, а второй "видит" внешнюю. Посредством внешнего интерфейса (порта) и будет происходит соединение с сетью Интернет. IP-адрес и маска сети предоставляются интернет-провайдером сети. Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24.

Настроим внешний интерфейс: зададим IP-адрес и сетевую маску.

R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252 // Адрес сети с маской
no shutdown // Включение интерфейса

Далее соединяем этот интерфейс маршрутизатора с портом оборудования провайдера напрямую. Пингуем. Убеждаемся, что все работает, и идем дальше.

Настройка VLAN

Прежде чем приступить к настройке внутреннего интерфейса, стоит рассмотреть такое понятие как VLAN — виртуальная локальная сеть. VLAN позволяет объединить несколько устройств в одной сети с набором одних и тех же требований. Это упрощает работу с большим количеством устройств в одной локальной сети.

Итак, первым делом следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем IP-адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).

R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0 // Адрес маршрутизатора
no shutdown

Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan

interface Fa 0
switchport access vlan 1
no shutdown

Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.

Настройка SSH

Ранее был рассмотрен способ управления роутером через веб-интерфейс. Но куда более знакомым способом является удаленный доступ через консоль. И как правило, доступ к консоли осуществляется либо через устаревший протокол Telnet, либо через более современный и защищенный SSH.

Протокол SSH передает ключи в зашифрованном виде. То есть, даже если злоумышленник каким-либо образом их получит, воспользоваться он ими не сможет. А поскольку роутер может обслуживать офис вполне себе средних размеров с конфиденциальными данными, то даже малейший шанс атаки на управление маршрутизатором может быть крайне опасен.

Рассмотрим настройку безопасного подключения.

Включаем протокол SSH 2 версии и задаем произвольное имя домена

R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru

Генерируем ключи rsa, необходимые для подключения. При запросе указываем длину ключа 1024.

crypto key generate rsa
How many bits in the modulus [512]: 1024

Задаем имя пользователя с правами администратора и его пароль (*****)

username admin privilege 15 secret 0 *****

Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)

line vty 0 4
login local

Задаем пароль на привилегированный режим

enable secret 0 *****

Настройка NAT

С виду все необходимые настройки были произведены, и по-хорошему, роутер уже должен выходить в сеть и передавать/получать необходимые данные. Но поскольку сеть Интернет достаточно обширна, а адреса в локальных сетях могут совпадать, роутер должен уметь "транслировать" локальный адрес устройства в публичный.

Для упрощения, можно представить такую ситуацию. У человека есть паспорт в своей стране. Но когда он получает заграничный документ, его ФИО переводят на алфавит того государства, куда собирается человек. Пример достаточно грубый, но в случае с сетью происходит то же самое. Есть локальный адрес устройства. Пользователь посылает запрос на адрес, который находится вне данной сети. Но обратным адресом будет указан локальный адрес устройства, который недоступен из сети Интернет (как и иностранцу будет сложно прочитать российский паспорт). И чтобы понять, какому конкретно устройству предназначаются данные, необходимо настроить NAT — механизм преобразования IP-адреса транзитных пакетов.

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний IP-адрес.

Указываем список внутренних адресов, которые будем "переводить" во внешний адрес.

R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255

Указываем внутренний интерфейс для процедуры трансляции

Interface Vlan 1
ip nat inside

Указываем внешний интерфейс для процедуры трансляции

Interface Fa 4
ip nat outside

Создаем правило трансляции (NAT)

ip nat inside source list ACL_NAT interface fa4

В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний IP-адрес маршрутизатора (192.168.0.1).

Настройка DHCP

Есть еще одна вещь, которая упрощает работу с большим количеством устройств в одной сети. Поскольку у каждого устройства должен быть свой IP-адрес, его необходимо прописывать вручную. Если в сети более ста устройств, то нужно обратиться к каждому и прописать необходимые конфигурации. Часть задач в дальнейшем можно передать VLAN-ам, но они предназначены для устройств, которые уже обладают своим адресом.

Поэтому для экономии времени предлагается настроить DHCP — протокол динамической настройки узла. То есть, с ним роутер будет динамически распределять адреса в указанном пользователем диапазоне. Администратору в данном случае необходимо лишь выбрать диапазон и маску под все используемые устройства. А устройство (DHCP-клиент) будет общаться уже с сервером, который выдаст все необходимые конфигурации в автоматическом режиме.

Настройка достаточно проста:

ROUTER#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
ROUTER(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10 // Исключение адреса, который выдается роутеру (шлюзу)

Также, если в сети есть сервера, к которым часто обращаются, их адрес лучше определить статически (таких адресов вряд ли будет много).

ROUTER(config)#ip dhcp pool MY-POOL
ROUTER(dhcp-config)#network 192.168.1.0 255.255.255.0
ROUTER(dhcp-config)#default-router 192.168.1.1
ROUTER(dhcp-config)#domain-name my-domain.com
ROUTER(dhcp-config)#dns-server 192.168.1.5
ROUTER(dhcp-config)#exit

И настройка самого шлюза:

ROUTER(config)#interface fa0/0
ROUTER(config-if)#ip address 192.168.1.1 255.255.255.0
ROUTER(config-if)#no shutdown
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
ROUTER(config-if)#exit
ROUTER(config)#exit
ROUTER#
%SYS-5-CONFIG_I: Configured from console by console

Теперь все "локальные" настройки более-менее учтены. Благодаря ним сетевой администратор может удаленно подключаться к маршрутизатору, автоматически раздавать IP-адреса новым устройствам, выходить в Интернет, объединять устройства в отделы и т.п. Но поскольку Cisco 881 обладает достаточно обширным функционалом, есть еще несколько интересных вещей, которые обязательно пригодятся при работе в офисе.

Настройка PPPoE

Есть небольшая поправка. Благодаря NAT роутер лишь транслирует IP-адреса. Для полноценного выхода в Интернет через провайдера необходимо также настроить PPPoE — протокол передачи данных.

В роли PPPoE-клиента может выступать и маршрутизатор Cisco, этапы настройки следующие:

1. Создать и настроить интерфейс Dialer:

ROUTER(config)#interface Dialer1
ROUTER(config-if)# ip address negotiated
ROUTER(config-if)# ip mtu 1492
ROUTER(config-if)# ip nat outside
ROUTER(config-if)# encapsulation ppp
ROUTER(config-if)# dialer pool 1
ROUTER(config-if)# ppp authentication chap callin
ROUTER(config-if)#ppp chap hostname pppoe_user1
ROUTER(config-if)#ppp chap password 0 cisco
ROUTER(config-if)#exit
ROUTER(config)#

2. На интерфейсе, который подключен к сети провайдера, задать pppoe-client, сопоставленный с созданным выше dialer pool ( его мы указали в интерфейсе Dialer1):

ROUTER(config)#interface FastEthernet0/1
ROUTER(config-if)#pppoe-client dial-pool-number 1
ROUTER(config-if)#exit
ROUTER(config)#

3. Задать маршрут по умолчанию через интерфейс Dialer:

ROUTER(config)#ip route 0.0.0.0 0.0.0.0 dialer 1
ROUTER(config)#

Теперь благодаря данной настройке роутер может выходить в сеть Интернет через провайдера. Настроенный ранее NAT этому также поспособствует.

Настройка VPN

VPN — виртуальная приватная сеть. Её наличие предполагает создание защищенного туннеля для передачи данных. Доступ третьих лиц к данной сети ограничен, поэтому это гарантирует безопасное соединение и целостность передаваемых данных.

К примеру, через данный туннель можно настроить надежное удаленное подключение к устройству, что и предлагается рассмотреть далее.

Первым делом необходимо активировать лицензию на роутере. Вводим команду в привилегированном режиме:

license modify priority SSL_VPN high

Далее копируем дистрибутив any connect на роутер любым удобным способом и устанавливаем его:

mkdir flash:/webvpn
copy tftp: flash:/webvpn/
crypto vpn anyconnect flash:/webvpn/anyconnect-win-4.4.00243-k9.pkg

Включаем aaa (авторизация, аутентификация и учет данных), создаем локальных пользователей и активируем https сервер:

aaa new-model
aaa authentication login SSL_USERS local
username admin secret ***************
ip http secure-server

Генерируем RSA ключи с размером 1024, создаем trustpoint и затем генерируем самоподписанный сертификат:

crypto key generate rsa label SSLKEY modulus 1024
crypto pki trustpoint HELLO_TRUSTPOINT
enrollment selfsigned
serial-number
subject-name CN=firewallcx-certificate
revocation-check crl
rsakeypair SSLKEY
crypto pki enroll HELLO_TRUSTPOINT

Настраиваем пул адресов, который будет выдаваться клиентам, и создаем WebVPN Шлюз.

ip local pool WEBVPN_POOL 10.0.0.11 10.0.0.15
webvpn gateway WEBVPN_GW
ip interface Dialer1 port 443 // Команда на использование порта 443
ssl trustpoint HELLO_TRUSTPOINT
inservice

Далее создаем и привязываем к нашему шлюзу так называемый webvpn context.

webvpn context WEBVPN_CON
title "Welcome" // Приветствие при входе через браузер
login-message "Hello" // Приветственное сообщение
aaa authentication list SSL_USERS
gateway WEBVPN_GW
max-users 5 // Максимальное количество подключаемых пользователей
inservice // Активация

Далее необходимо создать группу политик. В ней будет находиться пул адресов, где прописано, какой пользовательский трафик пойдет в туннель.

policy group WEBVPN_POLICY
functions svc-enabled // Данная команда говорит о том, что удаленный клиент может подключаться самостоятельно посредством предустановленного клиента anyconnect
svc address-pool "WEBVPN_POOL" netmask 255.255.255.0
svc split include 192.168.1.0 255.255.255.0
svc split include 172.16.1.0 255.255.255.0
default-group-policy WEBVPN_POLICY

Если у нас на внешнем интерфейсе висит ACL, то необходимо дописать правило:

permit tcp any host «внешний адрес роутера» eq 443

И осталось внести некоторые коррективы для NAT:

ip nat inside source list NAT_POOL interface Dialer1 overload

ip access-list extended NAT_POOL
permit ip 192.168.1.0 0.0.0.255 any
ip access-list extended NAT_POOL 1 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255

Настройка Wi-Fi

Ранее не раз было упомянуто о беспроводных возможностях cisco 881. И после того, как была проведена полная настройка доступа из локальной сети в сеть Интернет, а также были решены все вопросы в локалке, настала пора воспользоваться данным преимуществом.

ip dhcp pool sdm-pool
import all
network 10.10.10.0 255.255.255.248
default-router 10.10.10.1
lease 0 2
ip dhcp excluded-address 10.10.10.1 // Исключаем адрес маршрутизатора

Команды, относящиеся непосредственно к настройкам беспроводного интерфейса:

interface Dot11Radio0
no ip address
!
encryption vlan 1 mode ciphers aes-ccm
!
ssid telecombook
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0
54.0
station-role root
!
interface Dot11Radio0.1
encapsulation dot1Q 1 native
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
Здесь используется такое понятие как BVI — интерфейс для "общения" беспроводной сети с маршрутизатором.

Теперь настроим параметры беспроводного подключения:

dot11 ssid telecombook
vlan 1
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 0 telecombook123

Далее привяжем интерфейс Vlan1 к бриджу:

interface Vlan1
no ip address
ip tcp adjust-mss 1452
bridge-group 1
bridge-group 1 spanning-disabled

Затем создадим BVI интерфейс:

bridge irb
interface BVI1
ip address 10.10.10.1 255.255.255.248

Примечание: в сети BVI нельзя использовать IP-адрес, использованный на Vlan 1. Его заранее необходимо удалить при помощи команды

И только потом перенести на BVI. Таким образом, шлюз по умолчанию будет доступен как беспроводным, так и проводным пользователям.

Данная статья наиболее полно раскрывает список возможностей маршрутизатора Cisco 881. Этапы настройки могут пригодиться как для домашнего, так и офисного использования. Каждый этап раскрывает подтему для более глубокого понимания всех процессов в зависимости от ситуации. Для более простой настройки можно было бы убрать часть этапов, к примеру, если оборудование используется исключительно дома. Но понимание всех функций Cisco 881 открывает широкие возможности для его дальнейшего использования в любых других условиях работы.