Подключаем офис к сети на примере Cisco 881
Задача – подключить офис к глобальной сети. Осуществим конфигурацию сети на примере маршрутизатора Cisco 881.
Задача – подключить офис к глобальной сети. Осуществим конфигурацию сети на примере маршрутизатора Cisco 881. Набор команд для других маршрутизаторов Cisco аналогичен, может отличаться внешний вид пользовательского интерфейса.
У нас есть:
Выход в интернет со статическим IP
1) Сброс конфигурации к заводским настройкам
Перед тем, как начало работы, нам необходимо сбросить конфигурацию маршрутизатора к значениям по умолчанию. Это можно сделать, подключившись к консольному порту при помощи специального кабеля.
Первым делом вам необходимо повысить уровень прав до привилегированного пользователя. Для этого введите в терминале:
router> enable
Терминал запросит данные для авторизации, введите их.
Далее удалим стартовую конфигурацию
router# write erase
Перезагрузим маршрутизатор
router# reload
Подождите ~3 минуты, пока маршрутизатор перезагрузиться. После перезагрузки он выведет запрос на запуск диалога по конфигурации.
«Would you like to enter the basic configuration dialog (yes/no):»
Откажитесь no
2) Зададим имя устройству
Имя стоит задать понятным и говорящим, т.к. это напрямую влияет на удобство последующего администрирования.
router#conf t
router (config)#hostname OUR-ROUTER
OUR-ROUTER(config)#
3) Настроим интерфейсы
Нам необходимо настроить внешний (WAN) и внутренний (LAN) интерфейсы.
На внешнем интерфесе наш маршрутизатор будет иметь тот адрес, что предоставляет нам интернет-провайдер. На внутреннем интерфейсе назначим адрес 192.168.1.0 /24
Предположим, провайдер предоставил следующий адрес:
Затем зададим настройки внешнему интерфейсу, включим его командой no shut
OUR-ROUTER#conf t
OUR-ROUTER (config)#
interface Fa 4
ip address 81.200.118.2 255.255.255.252
no shutdown
С помощью прямого патч-корда соединим оборудование провайдера с интерфейсом маршрутизатора, проверим доступность порта командой ping.
Сначала интерфейс маршрутизатора:
OUR-ROUTER#ping 81.200.118.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 81.200.118.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Потом пропингуем шлюз провайдера:
R-DELTACONFIG#ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 81.200.118.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/10 ms
Проверив доступность порта шлюза провайдера, приступим к настройке внутреннего интерфейса.
Во внутренней сети используем следующую адресацию:
Чтобы настроить внутренний интерфейс, надо переключится в режим конфигурации виртуального интерфейса VLAN 1, присвоить ему адрес и назначить физический порт. Пусть это будет “Fa 0”.
OUR-ROUTER#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Зададим физический порт маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
ip address => interface Vlan X => interface Fastethernet Y
Ip адрес связывается с виртуальным интерфейсом Vlan X, а он , в свою очередь, привязывается к физическому интерфейсу Fastethernet Y.
Интерфейс маршрутизатора Fa 0 необходимо соединить с коммутатором, к которому подключены компьютеры и прочие сетевые устройства локальной сети или напрямую с рабочей станцией администратора. Затем проверить доступность интерфейса маршрутизатора с помощью ping из командной строки.
4) Настроим удаленный доступ к маршрутизатору
Удаленный доступ можно настроить как при помощи протокола Telnet (без шифрования), так и по защищенному протоколу SSH. Мы остановимся на протоколе SSH 2.
Выберем протокол и зададим доменное имя:
OUR-ROUTER (config)#
ip ssh ver 2
ip domain-name xxx.ru
Сгенерируем ключи rsa, необходимые для подключения, укажем длину в 1024 бит.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Создадим пользователя с правами администратора и зададим пароль.
username admin privilege 15 secret 0 *****
Для хранения реквизитов выберем локальную память маршрутизатора:
line vty 0 4
login local
Придумаем пароль для привилегированного режима:
enable secret 0 *****
Теперь при помощи любого SSH клиента, мы можем удаленно администрировать наш маршрутизатор с любой машины локальной сети.
5) Шлюз по умолчанию
Для успешной пересылки пакетов во внешнюю сеть на маршрутизаторе
OUR-ROUTER (config)#
ip route 0.0.0.0 0.0.0.0 81.200.118.1
После проделанный манипуляций стоит проверить любой произвольный узел в интернете. Например, пропингуем, как это принято обычно, DNS сервер компании Google с адресом 8.8.8.8
OUR-ROUTER#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/10 ms
Обратите внимание, сейчас ping внешних адресов работает только (!) будучи запущенным из консоли управления маршрутизатором. Оборудование локальной сети пока не имеет доступ во вне.
6) Настройка трансляции адресов (NAT)
Чтобы предоставить доступ рабочим станциям внутренней сети в Интернет, необходимо транслировать все адреса локальной сети во внешний IP адрес. В нашем случае это будет адрес 81.200.118.1
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
OUR-ROUTER (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Назначаем внутренний интерфейс для трансляции
Interface Vlan 1
ip nat inside
Назначаем внешний интерфейс для трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
После чего у рабочих станций внутренней сети должен появится доступ вовне, но необходимо указать шлюз, через устройства будут выходить в Интернет – 192.168.0.1 Проверить доступ можно пропинговав любой узел в Интернете, допустим, 8.8.8.8, как и в предыдущей проверке.
Послесловие.
Предоставлять доступ в интернет всем локальным машинам сети – плохая практика. Стоит ограничить доступ рабочим станциям, предоставив его только тем, кому он необходим, например, прокси-серверам, администраторам, сотрудникам, которым по должностным инструкциям необходим доступ в сеть. После настройки, сохраните конфигурацию на всех устройствах командами write или copy run start.
У нас есть:
Выход в интернет со статическим IP
- Несколько рабочих офисных ПК
- Неуправляемый коммутатор
- Собственно маршрутизатор
1) Сброс конфигурации к заводским настройкам
Перед тем, как начало работы, нам необходимо сбросить конфигурацию маршрутизатора к значениям по умолчанию. Это можно сделать, подключившись к консольному порту при помощи специального кабеля.
Первым делом вам необходимо повысить уровень прав до привилегированного пользователя. Для этого введите в терминале:
router> enable
Терминал запросит данные для авторизации, введите их.
Далее удалим стартовую конфигурацию
router# write erase
Перезагрузим маршрутизатор
router# reload
Подождите ~3 минуты, пока маршрутизатор перезагрузиться. После перезагрузки он выведет запрос на запуск диалога по конфигурации.
«Would you like to enter the basic configuration dialog (yes/no):»
Откажитесь no
2) Зададим имя устройству
Имя стоит задать понятным и говорящим, т.к. это напрямую влияет на удобство последующего администрирования.
router#conf t
router (config)#hostname OUR-ROUTER
OUR-ROUTER(config)#
3) Настроим интерфейсы
Нам необходимо настроить внешний (WAN) и внутренний (LAN) интерфейсы.
На внешнем интерфесе наш маршрутизатор будет иметь тот адрес, что предоставляет нам интернет-провайдер. На внутреннем интерфейсе назначим адрес 192.168.1.0 /24
Предположим, провайдер предоставил следующий адрес:
- Сеть 81.200.118.0
- Маска подсети 255.255.255.252
- Шлюз по умолчанию 81.200.118.1
Затем зададим настройки внешнему интерфейсу, включим его командой no shut
OUR-ROUTER#conf t
OUR-ROUTER (config)#
interface Fa 4
ip address 81.200.118.2 255.255.255.252
no shutdown
С помощью прямого патч-корда соединим оборудование провайдера с интерфейсом маршрутизатора, проверим доступность порта командой ping.
Сначала интерфейс маршрутизатора:
OUR-ROUTER#ping 81.200.118.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 81.200.118.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
Потом пропингуем шлюз провайдера:
R-DELTACONFIG#ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 81.200.118.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/10 ms
Проверив доступность порта шлюза провайдера, приступим к настройке внутреннего интерфейса.
Во внутренней сети используем следующую адресацию:
- Сеть: 192.168.0.0
- Маска подсети: 255.255.255.0
- Внутренний шлюза: 192.168.0.1
- Оставим первый десяток адресов как резерв, начав адресацию с 192.168.0.11
- Последний доступный адрес будет 192.168.0.254
Чтобы настроить внутренний интерфейс, надо переключится в режим конфигурации виртуального интерфейса VLAN 1, присвоить ему адрес и назначить физический порт. Пусть это будет “Fa 0”.
OUR-ROUTER#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Зададим физический порт маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
ip address => interface Vlan X => interface Fastethernet Y
Ip адрес связывается с виртуальным интерфейсом Vlan X, а он , в свою очередь, привязывается к физическому интерфейсу Fastethernet Y.
Интерфейс маршрутизатора Fa 0 необходимо соединить с коммутатором, к которому подключены компьютеры и прочие сетевые устройства локальной сети или напрямую с рабочей станцией администратора. Затем проверить доступность интерфейса маршрутизатора с помощью ping из командной строки.
4) Настроим удаленный доступ к маршрутизатору
Удаленный доступ можно настроить как при помощи протокола Telnet (без шифрования), так и по защищенному протоколу SSH. Мы остановимся на протоколе SSH 2.
Выберем протокол и зададим доменное имя:
OUR-ROUTER (config)#
ip ssh ver 2
ip domain-name xxx.ru
Сгенерируем ключи rsa, необходимые для подключения, укажем длину в 1024 бит.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Создадим пользователя с правами администратора и зададим пароль.
username admin privilege 15 secret 0 *****
Для хранения реквизитов выберем локальную память маршрутизатора:
line vty 0 4
login local
Придумаем пароль для привилегированного режима:
enable secret 0 *****
Теперь при помощи любого SSH клиента, мы можем удаленно администрировать наш маршрутизатор с любой машины локальной сети.
5) Шлюз по умолчанию
Для успешной пересылки пакетов во внешнюю сеть на маршрутизаторе
OUR-ROUTER (config)#
ip route 0.0.0.0 0.0.0.0 81.200.118.1
После проделанный манипуляций стоит проверить любой произвольный узел в интернете. Например, пропингуем, как это принято обычно, DNS сервер компании Google с адресом 8.8.8.8
OUR-ROUTER#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/10 ms
Обратите внимание, сейчас ping внешних адресов работает только (!) будучи запущенным из консоли управления маршрутизатором. Оборудование локальной сети пока не имеет доступ во вне.
6) Настройка трансляции адресов (NAT)
Чтобы предоставить доступ рабочим станциям внутренней сети в Интернет, необходимо транслировать все адреса локальной сети во внешний IP адрес. В нашем случае это будет адрес 81.200.118.1
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
OUR-ROUTER (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Назначаем внутренний интерфейс для трансляции
Interface Vlan 1
ip nat inside
Назначаем внешний интерфейс для трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
После чего у рабочих станций внутренней сети должен появится доступ вовне, но необходимо указать шлюз, через устройства будут выходить в Интернет – 192.168.0.1 Проверить доступ можно пропинговав любой узел в Интернете, допустим, 8.8.8.8, как и в предыдущей проверке.
Послесловие.
Предоставлять доступ в интернет всем локальным машинам сети – плохая практика. Стоит ограничить доступ рабочим станциям, предоставив его только тем, кому он необходим, например, прокси-серверам, администраторам, сотрудникам, которым по должностным инструкциям необходим доступ в сеть. После настройки, сохраните конфигурацию на всех устройствах командами write или copy run start.