для чего нужен cisco 1841

Будни администратора

Для начала разберемся с локальной сетью, объединим всё локальное в единую сеть, создадим dhcp сервер, по которому домашние клиенты будут получать настройки.
Проконсультировавшись с opennet сообществом, нарисовалось решение в объединении wi-fi и кабельных клиентов через бриджевание интерфейсов. В двух словах: создаем dhcp пул, конфигурируем точку доступа wi-fi, объединяем интерфейсы 4-HWIC во vlan, создаем виртуальный интерфейс vlan, создаем виртуальный бриджевый интерфейс BVI, объединяем в бридж группу vlan и radio интерфейсы, и объявляем BVI внутренним интерфейсом, смотрящим в локальную сеть и делающим «всю работу».
К FastEthernet0/1/0 я подключил catalyst, который встроен в наш домашний компьютерный стол. Для своего компьютера решил сделать резервирование на постоянный ip-адрес (пригодится для проброса портов снаружи, например для торрента). Локальная сеть будет 192.168.11.0/24. В качестве внешних dns-резолверов зарядил 85.21.192.5 от Beeline, 192.168.100.1 от МГТС и «вечно живой» 8.8.8.8 от Google.

no aaa new-model
ip cef
no ip dhcp use vrf connected

ip dhcp pool rawyanwireless
import all
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
dns-server 213.234.192.7 192.168.100.1 8.8.8.8
lease 8

ip dhcp pool raw-wired-static
host 192.168.11.2 255.255.255.0
client-identifier 011c.6f65.c493.4с

no ip bootp server
ip name-server 85.21.192.5
ip name-server 192.168.100.1
ip name-server 8.8.8.8
bridge irb

interface FastEthernet0/1/0
description WIRED-LAN
switchport access vlan 2

interface FastEthernet0/1/1
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface FastEthernet0/1/2
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface FastEthernet0/1/3
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface Dot11Radio0/0/0
description WIRELESS-LAN
no ip address
ip virtual-reassembly
encryption mode ciphers tkip
ssid rawyan
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 mypresharedkey
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
rts threshold 2312
channel 2462
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding

interface Vlan2
description WIRED-LAN-ROUTED-REPRESENTER
no ip address
ip virtual-reassembly
bridge-group 1

interface BVI1
description BRIDGE-LAN-ROUTED-REPRESENTER
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map inetaccess

bridge 1 protocol ieee
bridge 1 route ip

После этого, локальная аппаратура подключенная к роутеру получает настройки по dhcp и видит друг друга в сетевом окружении, в общем все прекрасно.

Теперь займемся внешними каналами. Изначально, имеем следующие параметры внешних для 1841 сетей:
WAN сеть Beeline 10.195.48.0/21 в которой Fe0/0 получает все параметры по dhcp провайдера
LAN сеть МГТС 192.168.100.0/24 в которой Fe0/1 тоже получает все параметры по dhcp Huaiwei.

С интерфейсом Fe0/1 на МГТС все просто, он сразу маршрутизируется в интернет. Заодно на внешних интерфейсах подниму сбор статистики.

interface FastEthernet0/1
description MGTS-WAN
ip address dhcp
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
load-interval 30
duplex auto
speed auto

А вот на Fe0/0 на Beeline нужно дополнительно поднимать l2tp тунель, чтобы получить доступ в интернет. Дополнительно поднял статические маршруты в обход интернета на подсети, принадлежащие WAN сетям Beeline.
Как поднять l2tp в Beeline на cisco 1841 в интернете встречается несколько подробных гайдов, имеющих некоторые отличия. В общем для себя построил следующее:

interface FastEthernet0/0
description BEELINE-WAN
ip address dhcp
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
load-interval 30
duplex auto
speed auto

pseudowire-class beeline-pseudowire-class
encapsulation l2tpv2
protocol l2tpv2 beeline-l2tp-class
ip local interface FastEthernet0/0

interface Virtual-PPP1
description L2TPVPN-WAN
ip address negotiated
ip mtu 1400
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1400
load-interval 30
no peer neighbor-route
no cdp enable
ppp chap hostname 0892651535
ppp chap password 7 myclientpassword
pseudowire 85.21.0.255 10 pw-class beeline-pseudowire-class
pseudowire 85.21.0.201 20 pw-class beeline-pseudowire-class
pseudowire 85.21.0.211 30 pw-class beeline-pseudowire-class

ip route 10.0.0.0 255.0.0.0 dhcp
ip route 85.21.0.0 255.255.255.0 dhcp
ip route 78.107.0.0 255.255.252.0 dhcp
ip route 85.21.192.0 255.255.255.248 dhcp
ip route 213.234.192.0 255.255.255.240 dhcp

ip access-list extended permitinternet
permit ip 192.168.11.0 0.0.0.255 any

После этого, осталось поднять sla для организации резервирования каналов и настроить nat. sla настроил по измерению jitter на все тот же бессменный 8.8.8.8 (не хотел мерять по серверам провайдеров, так как 8.8.8.8 работает стабильнее. Хотя если он все таки упадет, то я это пойму по метаниям каналов и перенастрою)

ip sla 10
icmp-jitter 8.8.8.8 source-ip 93.81.251.161 num-packets 5
timeout 100
frequency 5
ip sla schedule 10 life forever start-time now
ip sla 20
icmp-jitter 8.8.8.8 source-ip 192.168.100.5 num-packets 5
timeout 100
frequency 5
ip sla schedule 20 life forever start-time now

route-map MGTS permit 10
match ip address permitinternet
match interface FastEthernet0/1

route-map inetaccess permit 10
match ip address permitinternet
set ip next-hop verify-availability 8.8.8.8 1 track 10
set ip next-hop verify-availability 8.8.8.8 2 track 20

route-map BEELINE permit 10
match ip address permitinternet
match interface Virtual-PPP1

ip nat inside source route-map BEELINE interface Virtual-PPP1 overload
ip nat inside source route-map MGTS interface FastEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 50 track 10
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 100 track 20
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 250

Сам роутмап inetaccess я привязал к BVI, что отписано выше.

Сделал проброс torrent порта со своего компьютера наружу (но только для канала Beeline, так как он основной и самый толстый, и качается все при случае через него).

ip nat inside source static tcp 192.168.11.2 36136 interface Virtual-PPP1 36136

В качестве бонуса, поднял на 1841 NTP сервер и заставил все домашнее железо сверять время по нему.

clock timezone MSK 4
ntp clock-period 17178334
ntp peer 94.242.49.220
ntp peer 89.111.168.177
ntp peer 95.140.150.140
ntp peer 217.70.19.12

Источник

Для чего нужен cisco 1841

вторник, октября 02, 2012

Если ты впервые увидел циску (cisco)

Внешний вид консольного порта Cisco

Внешний вид COM порта компьютера

49 коммент.:

спасибо клевая статья!

Мда.. что можно сказать. Текст не вычитан, местами бредовый. А главное для кого.

Например для меня! А вы,видимо,все знаете.

Спасибо тем, кому понравилось. Лично мне бы такая статья сильно пригодилась в мой первый день работы.

Спасибо Вам за то что читаете. Рад что Вам пригодилась статья.

Спасибо, мужик! Надо впервые для меня настраивать cisco, уже есть какая-то инфа Очень благодарен!

Спасибо!
Так же могу посоветовать почитать следующие книги:

Если времени совсем мало: Лукас Майкл В. Маршрутизаторы CISCO для отчаявшихся администраторов

Если времени вагон, то пожалуй лучший вариант:
1. Уэнделл Одом Официальное руководство Cisco по подготовке к сертификационным экзаменам CCENT/CCNA ICND1 640-822
2. Уэнделл Одом Официальное руководство Cisco по подготовке к сертификационным экзаменам CCNA ICND2 640-816

Спасибо за вводную статью, столкнулся с проблемой: на новом месте работы в серверной стойке лежит не зацепленная ОНА, а провода вроди бы нет, нашел какой то, напрягают 2 момента, обычно цыско провода синие и красивые, а тут на самопал похож, тоесть один конец то обжат по нормальному (серийный), а вот с комом напряг-сам шнур тож вроди фирма (черный, скрученный как от телефонной трубки) из другого конца провода просто торчат все 8 жил, 5 из которых идут на ком ж, кор, кр, с, з, а остальные после перетяжки тросиком просто отсечены под корень. Напрягает как то, что провод неизвестного происхождения, так и количество обжатых проводков, и схема обжимки не вяжется с приведенной в статье.

Добрый день. Возможно тот кабель, который вы описываете, предназначен для подключения к UPS. Лучше не стоит его использовать для подключения к устройствам Cisco Systems.

Источник

Cisco 1841

Настройка CISCO 1841

Есть локальная сеть 192.168.1.0/255.255.255.0 и подключение к провайдеру x.x.x.x.

Имеется Cisco 1841.

Захожу через консоль, дошло до запроса Username. Попробовал cisco/ciscovty. Не получилось.

При загрузке нажимаем Ctrl-Break.

Потом даем команду

Произвел начальную настройку, настроил для начала один внутренний интерфейс. Залогинился через телнет, отключился от консоли.

После первоначальной настройки надо проделать тоже самое, вернуть регистра на место

SDM скачал здесь ftp://ftp.cisco.com/pub/web/sdm

Настроил остальные интерфейсы.

ip nat inside на внутренний интерфейс. ip nat outside на внешний.

и включить роутинг.

Закрыть доступ к циске со всех адресов кроме разрешенных, сделать акссес-лист, там указать только твой адрес и на vty прописать его
access-group

access-list 3 permit твой_ip

line vty 0 4
access-class 3 in
тут пропиши транспорт, желательно только ssh
и добавить такой же line vty 5 15

желательно после изменений не закрывать текущую сессию, открыть паралельную и если вход выполнен уже сохранять

snmp-server community сменить надо

поднимаешь сервер авторизации (такакс, радиус) и настраиваешь учетки доступа к оборудованию
потом по уровню доступа ограничиваешь доступ
эммм… доступ к оборудованию всмысле

Вот что по сути получилось, окончательный конфиг (естественно надо доработать напильником):

Первоначальная настройка

Cisco 1841 (revision 6.0) with 115712K/15360K bytes of memory.
Processor board ID FCZ101410AN
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)

— System Configuration Dialog —

Would you like to enter the initial configuration dialog? [yes/no]: y

At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]’.

Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system

Would you like to enter basic management setup? [yes/no]: y
Configuring global parameters:

Enter host name [Router]: xxxx

The enable secret is a password used to protect access to
privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret:

The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password:
% Please choose a password that is different from the enable secret
Enter enable password:

The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password:
Configure SNMP Network Management? [yes]: y
Community string [public]:

Current interface summary

Any interface listed with OK? value «NO» does not have a valid configuration

Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned NO unset up down
FastEthernet0/1 unassigned NO unset up down

Enter interface name used to connect to the
management network from the above interface summary: FastEthernet0/0

Configuring interface FastEthernet0/0:
Use the 100 Base-TX (RJ-45) connector? [yes]: y
Operate in full-duplex mode? [no]: y
Configure IP on this interface? [yes]: y
IP address for this interface: 192.168.146.254
Subnet mask for this interface [255.255.255.0] : 255.255.255.0
Class C network is 192.168.146.0, 24 subnet bits; mask is /24

The following configuration command script was created:

hostname ph
enable secret 5 ************************************
enable password **********************
line vty 0 4
password ******************
snmp-server community public
!
no ip routing

!
interface FastEthernet0/0
no shutdown
media-type 100BaseX
full-duplex
ip address 192.168.1.254 255.255.255.0
no mop enabled
!
interface FastEthernet0/1
shutdown
no ip address
!
end

[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.

Enter your selection [2]: 2
media-type 100BaseX
^
% Invalid input detected at ‘^’ marker.

Building configuration…
Use the enabled mode ‘configure’ command to modify this configuration.

Press RETURN to get started!

*Sep 23 07:00:58.927: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized
*Sep 23 07:00:58.927: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Enabled
*Sep 23 07:01:06.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Sep 23 07:01:06.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Sep 23 07:20:39.999: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
*Sep 23 07:20:44.567: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Sep 23 07:20:44.691: %SYS-5-RESTART: System restarted —

Загрузка примерно выглядит так:
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Mar-06 16:41 by pwade
*Sep 23 07:20:44.691: %SNMP-5-COLDSTART: SNMP agent on host ph is undergoing a cold start
*Sep 23 07:20:45.003: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
ph>show interface
FastEthernet0/0 is up, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5a (bia 0017.5a0c.9b5a)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
52 packets output, 3401 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5b (bia 0017.5a0c.9b5b)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
ph>show interface
FastEthernet0/0 is up, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5a (bia 0017.5a0c.9b5a)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
90 packets output, 5681 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5b (bia 0017.5a0c.9b5b)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
ph>show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.1.254 YES manual up down
FastEthernet0/1 unassigned YES manual administratively down down
ph>

Завести привелигированного пользователя

Начинающим:

Помимо пользовательского режима существует привилегированный режим.
Для доступа к нему необходимо ввести команду enable и пароль

Для просмотра текущей конфигурации маршрутизатора выполните команду
show config (или сокращённо sh conf).
Рассмотрим пример настройки:
1) Сетевых интерфейсов:
В привилегированном режиме просматриваем доступные интерфейсы
Router#sh conf | include interface (не забывайте поставить пробел после знака |)
Получаем примерно следующие результаты

где Ethernet – это физические интерфейсы, которым можно присваивать ip адреса,
FastEthernet это так называемые линки («ссылки»)на внутренний интерфейс,
ip адреса данным линкам присваивать нельзя.
Заходим в режим конфигурирования и настраиваем интерфейсы:

Конфигурация маршрутизатора хранится в двух файлах :
running-config — текущая конфигурация маршрутизатора
startup-config – конфигурация, применяемая при загрузке

После внесения изменений в конфигурацию
Вы так же можете выполнить команду copy run start (copy running-config startup-config)

Так же будет полезным сохранять конфигурацию на внешний tftp (Trivial File Transfer Protocol) сервер (к примеру этот http://tftpd32.jounin.net/).

Выполняем следующие команды:

– выбираем копируемую конфигурацию
Address or name of remote host []?192.168.5.1
– вводим ip адрес tftp сервераSource
filename []?cisco871-strat-config
– задаём имя сохраняемого файла

2) Смена стандартного пароля и настройка telnet
По умолчанию telnet отключён на маршрутизаторах cisco.
В пункте 1) мы настроили внутренний интерфейс на использование
ip адреса 192.168.5.3 и при попытке подключения посредством telnet
увидим следующее сообщение:

Заходим в режим конфигурирования и выполняем следующие команды:

Пробуем подключиться к маршрутизатору:

Изменяем пароль для доступа к привилегированному режиму (enable):

Создаём пользователя user с паролем samaguser

Пробуем подключиться к маршрутизатору:

3) Настраиваем доступ в интернет для внутренних пользователей
при помощи NAT (network address translation – трансляция сетевых адресов):
Создаём пул с публичными IP адресами или адресом
(на эти адреса будут отвечать внешние устройства сети – отправленные пакеты
данных должны возвращаться к источнику отправки)
Предположим что провайдер выделил Вашей организации внешний
пул ip адресов 1.2.3.4 – 1.2.3.6 с маской 255.255.255.248,
тогда пул с название Internet, будет выглядеть так:

(используем 1 внешний адрес)

(используем несколько внешних адресов)
Теперь создаём список доступа (ACL – access control list) с перечислением
адресов подсетей, которым разрешён выход в интернет.

Более подробно списки доступа рассмотрены ниже.

Настраиваем правила трансляции для ip адресов внутренней подсети, используя ACL

Определяем, на каких интерфейсах будет входящий/исходящий NAT
Router(config)#int et 0

Настраиваем шлюз по умолчанию

4) ACL – списки доступа:
Стандартные списки доступа
Расширенные списки доступа
Расширенные 48-битные списки доступа по MAC адресам
Стандартные список доступа (дополнительные номера)
Cписки доступа основанные на типах протоколов
Расширенные списки доступа (дополнительные номера)
48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитовРассмотрим наиболее часто используемые:

5) Перенаправляем входящий трафик на внутренние сервера.
К примеру, мы хотим опубликовать 25 tcp порт (электронная почта).
Делается это следующей командой
Router(config)#ip nat inside source static tcp 192.168.5.2 25 a.b.c.d 25 extendable
(где 192.168.5.2 адрес почтового сервера, a.b.c.d внешний ip адрес нашего маршрутизатора)

6) Реализуем поддержку раздачи динамических ip адресов для локальной подсети (DHCP):
Создаём пул DHCP сервера:
Router(config)# ip dhcp pool Office
(где Office имя создаваемого пула)
Определяем, какую подсеть будет обслуживать DHCP сервер:
Router(config-dhcp)# network 192.168.5.0 255.255.255.0

Задаём имя домена для клиентов DHCP:
Router(config-dhcp)# domain-name samag.ru

Назначаем шлюз по умолчанию:
Router(config-dhcp)#default-router 192.168.5.3
(адрес шлюза должен быть из подсети клиентов, в нашем случае это подсеть 192.168.5.0)

Настраиваем список DNS серверов для выдачи клиентам локальной подсети:
Router(config-dhcp)# dns-server 192.168.5.2
(где 192.168.5.2 адрес внутреннего DNS сервера)

Устанавливаем срок аренды выданных ip адресов на 7 дней
Router(config-dhcp)#lease 7

Исключаем адреса из пула, для предотвращения конфликтов (серверам присваиваем статические ip адреса)
Router(config)# ip dhcp excluded-address 192.168.5.3 192.168.5.4
Router(config)#^Z
Router#wr mem

Теперь наш маршрутизатор способен предоставлять ПК внутренней подсети доступ в интернет, сервис DHCP, почтовый сервер способен принимать почту с внешних адресов на 25 порт.

Набор полезных команд маршрутизаторов Cisco

В данной статье рассматриваются наиболее часто употребляемые команды маршрутизаторов Cisco.

Установка пароля для консоли
· router>enable
· router#configure terminal
· router(config)#line console 0
· router(config-line)#login
· router(config-line)#password submask
· router(config-line)#exit
· router(config)#exit

Удаление консольного пароля
· router>enable
· router#configure terminal
· router(config)#line console 0
· router(config-line)#no login
· router(config-line)#no password
· router(config-line)#exit
· router(config)#exit

Удаление пароля Secret
· router>enable
· router#configure terminal
· router(config)#no enable secret
· router(config)#exit

Проверка параметра Register
· router>enable
· router#show version

Административное выключение интерфейса маршрутизатора
· router>enable
· router#configure terminal
· router(config)#int s0/0
· router(config-if)#shutdown

Включение интерфейса Serial
· router#configure terminal
· router(config)#int s0/0
· router(config-if)#no shutdown

Проверка интерфейса Serial
· router>enable
· router(config)#show interfaces s0/0

Установка тактовой частоты для интерфейса Serial
· router>enable
· router#configure terminal
· router(config)#interface s0/0
· router(config-if)#clock rate 64000
Статус DTE/DCE
· router>enable
· router#show controllers s0/0

Сохранение конфигурации
· router#copy running-config startup-config

Загрузка IOS с TFTP сервера
· router#copy flash: tftp

Резервное копирование Startup конфига на TFTP
· router#copy startup-config tftp

Сохранение Running конфига
· router#write memory

Удаление конфигурации NVRAM
· router#write erase

Проверка конфигурации NVRAM
· router#show staratup-config

БЕЗОПАСНОСТЬ

5 советов по обеспечению безопасности Cisco

Есть вещи, о которых вы можете не знать, но это не означает, что безопасностью можно пренебрегать.

1. Задействуйте Reverse Path Forwarding
Когда вы задействуете Reverse Path Forwarding (RPF) на интерфейсе, маршрутизатор сверяется с таблицей FIB/CEF, для проверки существования обратного пути исходного адреса на интерфейсе, который получил пакет. Это позволяет избежать спуфинга пакетов.
Reverse path forwarding можно конфигурировать следующим образом:

2. Заставьте порты «молчать»
В большинстве сетей утечка информации происходит на switchports, но это можно исправить, отключив следующие опции:

Данными командами мы отключаем CDP(http://en.wikipedia.org/wiki/Cisco_Discovery_Protocol),spanning-tree bpdu и ethernet keepalives на интерфейсе.

3. Настраивайте AAA и ACL для безопасного доступа по VTY
VTY используются к примеру при подключения по telnet на Cisco, безопасность которых настраивается следующим образом:

Данными командами мы ограничиваем доступ на VTY подсетям 10.0.1.0/8 и 192.168.1.0/16. Если у вас есть трудности с определением wildcard для сетевых масок Cisco, то вы можете ознакомиться с следующей статьёй http://www.opennet.ru/base/cisco/mk_nets.txt.html
Если вы хотите разграничивать доступ по определённым логинам, то нужно задействовать AAA:

4. Шифруйте пароли в конфигурации.
Что покажет вам следующая команда?

Switch#show run | include ^username

username admin password 0 faqciscosecret

Для включения шифрования паролей в конфигурации выполните следующие команды:

Последняя команда показывает, что пароль, в конфигурации Cisco зашифрован. Так же не рекомендуется использовать распространённые пароли, такие как secret или password.

5. Используйте команду passive-interface default для большей безопасности протокол маршрутизации
Пассивный интерфейс – это интерфейс, который не передаёт и не принимает информацию роутинга. Команда passive-interface default поддерживается всеми протоколами маршрутизации, а её настройка не вызывает каких-либо трудностей:

Команда passive-interface default устанавливает все интерфейсы пассивными, в то время как команда no passive-interface активирует один интерфейс. Рассмотрим пример:

Данной командой мы ограничили обмен OSPF трафика только на интерфейсе fastEthernet 0/3.

ПОЛЕЗНЫЕ ССЫЛКИ

Список паролей умолчанию для сетевого оборудования: http://www.phenoelit-us.org/dpl/dpl.html

Хороший сайт про Cisco http://faq-cisco.ru/component/option,com_frontpage/Itemid,1/

Cisco 1800 Series Integrated Services Routers (Fixed) Software Configuration Guide http://www.cisco.com/en/US/docs/routers/access/1800/1801/software/configuration/guide/1800sg.pdf

conf t
access-list 102 permit ip 192.168.146.0 0.0.0.255 any

crypto isakmp client configuration group vpn
acl 102

Первоначальная настройка Cisco (Cisco 1841)

Источник