Базовая настройка маршрутизатора для CCNA и ICND. Назначение IP-адресов на интерфейсы маршрутизатора. Первоначальная настройка маршрутизаторов Cisco

После того как мы научились делить сеть тремя способами ( , ), логичное продолжение, это настройка роутера. Давайте выполним базовую настройку роутера (которую Вам придется выполнять ооочень часто) и назначим IP-адреса интерфейсам маршрутизатора.

Предположим, что после деления сети 192.168.0.0/24 на 3 подсети A, B и C (по 100, 50, 2 хоста соответственно) мы получили такие подсети: A - 192.168.0.0/25, B - 192.168.0.128/26, C - 192.168.0.192/30.

Первый адрес подсети A надо назначить на интерфейс маршрутизатора fastethernet 0/0.

Первый адрес подсети B надо назначить на интерфейс маршрутизатора fastethernet 0/1.

Первый адрес подсети C надо назначить на интерфейс маршрутизатора serial 0/0/0. Причем на один конец кабеля (DCE) для интерфейса serial необходимо назначить clock rate (задать время для синхронизации сигнала), а для другого (DTE) этого делать не надо.

// Так я буду обозначать комментарии.

Скачать выполненное задание настройки роутера

Предлагаю скачать файл с выполненным заданием для программы эмулятора PacketTracer, открыть его и посмотреть на реализацию (пароль на консольный вход - cisco, на привилегированный режим - class).

Заметьте, что компьютер PC1 может нормально пинговать компьютер PC2, но не может пинговать PC3. Это происходит из-за не настроенной маршрутизации. А настроим мы её в следующей шпаргалке;)

Настройка роутера копированием конфигурации

Для автоматической базовой настройки (всё, что выше) маршрутизатора выполните следующие действия:
• 1. Скопируйте текст ниже в буфер обмена: веделите всё, кликните правой кнопкой по выделенному и выберите "Копировать".
• 2. При необходимости очистите роутер от всех настроек и перезагрузите его.
• 3. Войдите в режим глобальной конфигурации и вызовите меню Гипер Терминала "Правка", а в нём "Передать главному компьютеру".
• 4. Обязательно проверьте настройки с помощью команды show running-config
• 5. При необходимости включите интерфейсы командой no shutdown из режима каждого интерфейса

Итак распаковываем роутер и подключаемся к нему Телнетом через com-портовый шнур.

Дабы избавится от преднастроеного мусора набираем:
erase startup-config
! и перегружаемся

reload

Настройка авторизации и доступа по SSH

Включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

Включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

Временная зона GMT+3
clock timezone MSK 3 0
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

Включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

Включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 8.8.8.8

Настройка локальной сети

Обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам - удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

Исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1

Настройка Internet и Firewall

Настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects // отключает отправку сообщений перенаправления, когда средства Cisco IOS пересылают пакет в рамках интерфейса, по которому этот пакет получен. Ограничивает информацию, посылаемую маршрутизатором в случае сканирования порта

no ip directed-broadcast // отключает управляемую групповую рассылку IP, что обеспечивает невозможность применения маршрутизатора в качестве широковещательного усилителя в распределённых атаках блокирования сервиса (DoS, Denial of Service атаках)

no ip proxy-arp // отключает прокси-сервис ARP

no ip unreachables // отключает генерирование сообщений ICMP Unreachable

no ip mask-reply // отключает генерирование сообщений ICMP Mask Reply

no cdp enable // отключает CDP протокол на интерфейсе

ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

На Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers // запрещает доступ к ряду сервисов TCP

no service udp-small-servers // запрещает доступ к ряду сервисов UDP

no service finger // запрещает запросы по протоколу finger

no service config // запрещает загрузку конфига по TFTP

no service pad // запрещает PAD

no ip finger
no ip source-route // отбрасывает пакеты с явно указанным маршрутом

no ip http server // отключает встроенный HTTP сервер

no ip http secure-server // отключает встроенный HTTPS сервер

no ip bootp server // отключает сервер BOOTP

no cdp run // глобально отключает CDP протокол

Практически любой роутер Cisco прекрасно подойдет не только для домашнего использования, но и в качестве офисного роутера, в образовательном, медицинском или любом другом учреждении. Однако мало приобрести хорошую и многофункциональную модель, нужно еще уметь правильно настроить ее.

Моделей от этой компании существует несколько, но наиболее ходовая на сегодняшний день - роутер Cisco Linksys e1200, так что имеет смысл рассмотреть особенности настроек именно на ее примере. Для других моделей принцип действия будет аналогичным, важно лишь понять суть. Однако нужно иметь в виду, что в зависимости от той или иной модели могут присутствовать различия в программном интерфейсе и в пунктах меню.

Основные спецификации

Данный роутер Cisco имеет следующие технические характеристики:

1. WAN-порт - стандартный Ethernet (RJ-45). Поддерживаемые протоколы: L2TP, PPPoE, PPTP.
2. LAN-порты (4 штуки) для соединения на скорости 100 Мбит/с.
3. Поддержка Wi-Fi с рабочей частотой 2,4 ГГц и максимальной скоростью соединения 300 Мбит/с.
4. Роутер Cisco имеет две встроенные антенны.
5. Имеется поддержка IPTV и некоторых других второстепенных функций.

Достоинства роутера Cisco Linksys e1200:

• Доступная для большинства пользователей цена.
• Несмотря на бюджетность, роутер применяет все наиболее популярные на сегодняшний день технологии для интернет-соединения.
• CiscoLinksys e1200 надежен и неприхотлив в работе. Если его эксплуатировать в надлежащих условиях, то он наверняка прослужит верой и правдой не один год.
• Стильный и привлекательный дизайн.
• Хорошая эргономика. Все элементы управления и разъемы находятся на своих местах. Можно сказать, что они выполнены в «классическом» варианте. После подключения провода не будут друг другу мешать и загораживать доступ к остальным элементам устройства.
• Многофункциональность. Роутер может не только получать и раздавать интернет по традиционному LAN, но и через беспроводную сеть Wi-Fi.
• Простота использования. Не нужно обладать никакими знаниями и навыками профессионала, чтобы начать использовать роутер. Конечно, запуск «из коробки» провести нельзя, для этого потребуется настроить роутер согласно имеющемуся интернет-соединению, однако и сам процесс настроек реализован весьма внятно и интуитивно.
• Cisco Linksys e1200 позволяет выполнять массу «второстепенных» функций. Например: открывать и закрывать дополнительные порты, осуществлять вход в гостевом режиме и многое другое, что, впрочем, в повседневном использовании вряд ли пригодится. Тем не менее иметь весь этот функционал весьма приятно.

Сброс предустановленных настроек

В случае если был приобретен подержанный роутер или предыдущие настройки были выполнены неправильно, их нужно сбросить. Для этого потребуется включить само устройство и на нижней его части найти кнопку Reset. Ее нужно нажать и удерживать не менее 10 секунд, после чего роутер перезапустится вновь, но уже со сброшенными настройками.

Подключение к компьютеру

Роутер Cisco e1200 подключается к компьютеру не сложнее, чем любой другой аналогичный маршрутизатор. Для начала, конечно, потребуется подключить его к источнику питания и включить. На тыльной стороне устройства имеется вход Ethernet, он помечен желтым цветом. В него нужно вставить кабель от провайдера, а любой из четырех LAN-портов нужно занять компьютером.

Настройка сетевой карты

Чтобы сетевая карта автоматически получала IP-адрес, назначенный маршрутизатору, может потребоваться произвести начальные настройки карты. Для этого нужно:

• открыть Панель управления и выбрать пункт «Центр управления сетями и общим доступом»;
• в левой части окна нажать на «Изменение параметров адаптера»;
• в открывшемся окне нужно отыскать и два раза левой кнопкой кликнуть на пункте «Подключение по локальной сети»;
• в открывшемся диалоговом окне нужно нажать на экранную кнопку «Свойства»;
• в новом списке следует найти пункт «Протокол интернета версия 4 (TCP/IP v4)» и снова нажать на «Свойства»;
• находясь во вкладке «Общие», отметить флажком пункты, относящиеся к автоматическому получению IP-адреса и DNS сервера и нажать на кнопку ОК.

Вход в программу настроек

Чтобы запустить встроенный инструмент для настроек, нужно открыть любой интернет-браузер и в его адресной строке набрать: 192.168.1.1 - после этого откроется вшитая в роутер программа.

Нужно выбрать пункт «Работать с открытой незащищенной сетью», чтобы иметь возможность максимально гибко настроить роутер Cisco.

• имя пользователя: admin;
• пароль: admin.

После этого появится окно технических настроек.

Тонкие соединения

Первое, что нужно сделать, это указать своего провайдера. Для этого следует в стартовом окне выбрать пункты: «Настройка» - «Основные настройки». Далее потребуется выбрать из выпадающего меню тот тип соединения, который использует провайдер. Это могут быть: PPPoE, L2TP, PPTP - самые распространенные типы.

Если провайдер применяет то нужно указать: автоматическая конфигурация - DHCP, и больше ничего не изменять. Интернет уже должен заработать на роутере.

В противном случае потребуется заполнить такие поля, как IP-адрес, имя хоста, пароль, логин и прочую информацию, которую выдает провайдер при заключении контракта.

Осталось лишь перезагрузить роутер - и Cisco Linksys на этом завершена. Можно начинать пользоваться проводным интернетом на любом подключенном через LAN-порт устройстве.

Настройка Wi-Fi

В современных семьях, как правило, у каждого имеется персональный гаджет, посредством которого осуществляется выход во Всемирную паутину, поэтому зачастую дома появляется необходимость организовать собственную Wi-Fi-сеть и раздавать Интернет на всевозможные устройства - для этих целей можно также использовать данный роутер.

Для того чтобы настроить Wi-Fi, потребуется в стартовом окне программы установок выбрать пункт «Беспроводная сеть». В параметрах настроек работы отметить пункт «Вручную», в пункте «Режимы работы» отметить «Смешанный».

В поле «Сетевое имя (SSID)» можно набрать абсолютно любое имя - это будет наименование сети, которое увидит подключенное к вай-фаю устройство.

А вот пароль лучше выбрать как можно сложнее, чтобы никто посторонний не мог подключиться за чужой счет к раздаваемому интернету. Рекомендуется придумать пароль, состоящий из 8 символов на латинице, которые включают в себя как строчные, так и прописные буквы, а также цифры. Главное - самому не забыть придуманный пароль. Если параметры аутентификации стали известны сторонним лицам, вы можете изменить пароль, для этого нужно выбрать пункт «Безопасность беспроводной сети» и «Смешанный режим WPA2\WPA».

Текстовое поле под названием «Идентификационная фраза» и отвечает за пароль. Остальные параметры нужно оставить без изменений и затем нажать на кнопку «Сохранить изменения».

Защита роутера

Чтобы запретить к изменению нужно выбрать вкладку «Настройки» и раздел «Администрирование» - в верхней части окна. После этого в подразделе «Управление» в поле «Пароль маршрутизатора» нужно набрать придуманный пароль (не тот, что использовался для подключения к сети Wi-Fi) и подтвердить его в поле «Повторный ввод для подтверждения».

Если планируется использовать роутер Cisco для дома, то непременно нужно изменить параметры входа, чтобы, например, соседи через стену не могли по Wi-Fi изменить параметры работы устройства и начать пользоваться чужим соединением бесплатно.

Если что-то не работает

Впрочем, несмотря на все усилия, может случиться и так, что роутер все равно откажется раздавать интернет по устройствам. Конечно, причин для этого может быть довольно много - начиная от программных и заканчивая аппаратными неполадками, но основные заключаются в том, что:

• Неверно введены параметры подключения. Например, может быть ошибочно введен IP-адрес, указан динамический IP вместо назначенного провайдером статического, параметры DNS и т. д. «Лечение» в данном случае напрашивается само собой: нужно еще раз внимательно перепроверить все введенные параметры, а в случае необходимости уточнить их у провайдера.
• Поврежден или не слишком прочно закреплен в разъеме кабель. Нужно проверить целостность кабелей LAN и Ethernet. В случае если найдено повреждение, соответственно, устранить его или купить новый. Также не лишним будет проверить, не расшаталось ли гнездо как внутри самого роутера, так и внутри компьютера.
• Нужно также проверить, верно ли указан тип соединения. Новички обычно не видят никакой разницы в том, что применяется тип PPPoE, L2TP или PPTP. Если имеются какие-либо затруднения, нужно позвонить в службу поддержки провайдера и уточнить информацию.

Если же все настройки произведены верно, проверка на целостность кабеля также не выявила повреждений, то вполне вероятно, что причина кроется во внутренних неполадках самого устройства. Возможно, следует обратиться в сервисный центр.

Как видно, произвести настройку роутера достаточно легко даже в домашних условиях, необязательно обладать навыками системного администратора. Если подробно ознакомиться со всеми приведенными в статье инструкциями и рекомендациями, настройка роутера Cisco не покажется вам таким уж сложным процессом.

Компания Cisco - одна из ведущих транснациональных корпораций на рынке телекоммуникационного оборудования. Продукция компании Cisco получила признание во всем мире из-за своей надежности и неприхотливости.

Настройка Cisco 2960: в этой статье мы выполним базовую настройку коммутатора. Статья будет полезна всем, начинающим работать с продукцией компании Cisco.

Шаг 1. Подключение оборудования Cisco

Настройка оборудования Cisco весьма специфична и несколько отличается от оборудования .

Например, для выполнения первичных настроек коммутаторов компании Cisco , нам потребуется фирменный плоский кабель RJ -45 – RS -232 голубого цвета (идет в комплекте с оборудованием) и наличие COM -порта на компьютере, с которого будет производиться настройка.

Для запуска программы используется файл hypertrm .exe , который можно найти в той же папке. Либо использовать программу Putty , которую помимо подключения к Cisco -оборудованию можно использовать для подключения к серверам, пр. с помощью SSH -подключения.

Переходим к подключению. На передней панели коммутатора ищем разъем RJ -45 с подписью «Console », и подключаем кабель.

Включаем питание коммутатора. Заходим на компьютере в HyperTerminal, выбираем интерфейс разъема (COM1), скорость порта – 9600 Б/с, на все дальнейшие вопросы даем отрицательный ответ («No »).

Шаг 3. Общие принципы настройки оборудования Cisco

В целях безопасности на коммутаторах Cisco доступно 2 режима ввода команд: пользовательский режим для проверки состояния коммутатора и привилегированный режим (аналог пользователя root в UNIX или администратора в Windows) для изменения конфигурации коммутатора.

Для пользователей, привыкших работать в UNIX-системах, понять в каком режиме они работают не составит труда.

Для пользователей, работающих в Windows дадим пояснение, - если строка перед командной начинается с символа «#», вы в привилегированном режиме. То же самое касается ввода пароля, как и в UNIX-системах, пароль, который вводит пользователь не отображается на экране.

Для перехода в привилегированный режим служит команда «enable», без кавычек, а для выхода «disable».

Приступим к первичной настройке коммутатора. При первой загрузке устройства мастер установки предложит выполнить пошаговую настройку, отказываемся от этого шага:

Continue with configuration dialog? : no

После чего оказываемся в пользовательский режиме:

Переходим в привилегированный режим, пароль по умолчанию, как правило, отсутствует, поэтому ничего не вводим, а нажимаем «Enter».

Switch> enable

Для задания настроек, касающихся всего коммутатора (задание имени коммутатора, IP-адреса , указание сервера синхронизации времени, пр), используется режим глобальной конфигурации, для настройки отдельных интерфейсов существует режим конфигурации интерфейса.

Шаг 4. Базовая настройка Cisco 2960

1. Изменим имя нашего коммутатора (по умолчанию имя Switch):

Switch# configure terminal

Switch(config)# hostname Switch01 (Задаем имя коммутатора – Switch01)

Switch01(config)#

Также обращаем ваше внимание на то, что вместо длинных команд как, например, «configure terminal» существуют их короткие аналоги «conf t».

2. Зададим IP-адрес для интерфейса управления коммутатором.

Switch01(config)# interface fa0/0 (указываем интерфейс для настройки)

Switch01(config-if)# no shutdown (включаем интерфейс)

Switch01(config-if)# ip address 255.255.255.0 (задаем IP- адрес и маску)

Switch01(config-if)# exit (выходим из режима конфигурации интерфейса)

Switch01(config)#

3. Установим пароль для привилегированного режима:

Switch01(config)# enable secret pass1234 (пароль pass1234)

Switch01(config)# exit

Switch 01#

Важно! Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password , необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды «service password-encryption» в режиме глобальной конфигурации.

4. Поскольку данные при telnet соединении передаются в открытом виде, для удаленного подключения к коммутатору будем использовать SSH -соединение позволяющее шифровать весь трафик.

Switch01# conf t

Switch 01(config )# ip domain name geek -nose .com (Указываем домен, если домена нет пишем любой)

Switch01(config)# crypto key generate rsa (Выполняем генерацию RSA- ключа для ssh)

Switch01(config)# ip ssh version 2 (Указываем версию ssh- протокола)

Switch01(config)# ip ssh autentification-retries 3 (Задаем кол- во попыток подключения по ssh)

Switch01(config)# service password-encryption (Сохраняем пароли в зашифрованном виде)

Switch01(config-line)# transport input ssh (Разрешаем подключение только по ssh)

Switch01(config-line)# exec timeout 20 0 (Активируем автоматическое разъединение ssh- сессии через 20 минут)

Сохраняем настройки)

Важно! Для выхода из подменю конфигурирования на 1 уровень выше, например, из «config -line » в «config » используется команда «exit ». Для полного выхода из режима конфигурирования используйте команду «end ».

Выше была описана базовая настройка ssh , с более продвинутой настройкой можно ознакомиться ниже:

Switch01# conf t

Switch01(config)# aaa new-model (Включаем ААА- протокол )

Switch 01(config )# username root privilege 15 secret pass 1234 (Создаем пользователя root , с максимальным уровнем привилегий – 15, пароль pass 1234)

Switch 01(config )# access -list 01 permit 192.168.0 0.0.0.255 (Создаем правило доступа с названием 01 регламентирующие право заходить по ssh всем хостам сети 192.168.0.0/24 ; вместо адреса сети можно указать конкретный IP -адрес.

Внимательно подумайте есть ли необходимость в такой настройке для ваших задач.)

Switch 01(config )# line vty 0 2 (Переходим в режим конф-и терминальных линий)

Switch 01(config -line )# privilege level 15 (Разрешаем вход сразу в привилегированный режим)

Switch 01(config -line )# access -class 23 in (Привязываем созданное правило доступа по ssh к терминальной линии)

Switch 01(config -line )# logging synchronous (Очень неудобно когда лог-сообщения коммутатора прерывают ввод команд.

Отключая журнальные сообщения данной командой, коммутатор ждет завершение вводимой команды, а также вывода отчета о ее исполнении, после чего в случае необходимости выводит лог)

Switch 01(config -line )# end (Выходим из режима конфигурирования)

Switch01# copy running-config startup-config (Сохраняем настройки)

На этом базовая настройка коммутатора Cisco 2960 завершена.

Настройка Cisco за 30 минут с нуля

Настройка Cisco 2960: устанавливаем коммутатор

Если вы в первый раз сталкнулись с оборудование cisco, то совершенно очевидно, что необходимо понять как с ним обращаться, создать своего первого пользователя, задать имя вашего устройства, задать время, настроить возможность удаленного подключения и т.д.

Данную статью я решил посвятить ряду подобных вопросов и как результат решил назвать ее "Первоначальная настройка маршрутизаторов Cisco". Сразу хочу заметить, что мы не будем вдаваться в настройки детально, а просто пройдемся по ряду опций, что бы иметь необходимое представление по теме.

Итак, хватит лирики, давайте перейдем непосредственно к делу.

Допустим к нам в руки попал маршрутизатор cisco.

Задачи, которые мы будем выполнять:

1) Ознакомимся с интерфейсом.

2) Определим какие бывают уровни доступа.

3) Посмотрим, что такое режим конфигурации.

4) Настроим такие параметры как имя устройства, имя домена, время.

5) Зайдем в режим настройки портов устройства и зададим на них ip адреса.

6) Зададим пароль на привилегированный режим и создадим пользователя в локальной базе данных.

7) Настроим возможность удаленного подключения по telnet

8) Настроим возможность удаленного подключения по ssh

1. Подключаемся к устройству посредством консольного кабеля и видим приблизительно следующее

Press RETURN to get started.

Жмем Enter попадаем в нашу консоль:

Router>

Чтож, давайте попробуем посмотреть как оно работает. Нажимаем "?" и видим приблизительно следующее:

Router>?
Exec commands:
disable Turn off privileged commands
enable Turn on privileged commands
exit Exit from the EXEC
help Description of the interactive help system
logout Exit from the EXEC

Я думаю вы уже поняли что мы воспользовались подсказкой и увидили все доступные нам на данном этапе команды. Более того, давайте попробуем сделать так:

Router>enable ?
<0-15> Enable level
view Set into the existing view

Cisco подсказывает нам какие варианты дальнейшего написание команды у нас есть. Опция действительно очень полезная, а главное, что доступна на любом этапе написания команды.

Давайте попробуем сделать еще вот так:

Router>e?
enable exit

То есть мы можем поставить знак "?" абсолютно в любом месте и cisco предложит нам все возможные пути продолжения. В данном случае мы видим, что за счет символа "е" cisco говорит, что есть две команды соответствующие данному критерию и показывает что это за команды.

Должен отметить, что не обязательно набирать команды целиком, т.е. что бы разлогиниться с cisco не надо набирать команду exit полностью. Достаточно будет набрать "ex". При наборе команд "не полностью" нужно понимать что у системы не должно быть выбора и можно было идентифицировать одну команду подходящую заданному критерию.

2. Всего в системе существует 16 возможных уровней доступа от 0 до 15. Нам для понимания нужно будет только 3

Privilege level 0 - режим в котором мы оказались, когда подключились к маршрутизатору

Privilege level 1 - пользовательский режим, который включает в себя пользовательские команды

Privilege level 15 - привелигированный режим, который включает в себя все команды. Что бы попасть в него нужно набрать команду enable, после чего вместо "Router>" мы увидим "Router#". Знак "#" собственно и означает, что мы находимся в привилигированном режиме.

Итак получаем

Router> - обычный режим

Router>enable - набираем команду перехода в привилегированный режим

Router# - привилигированный режим

3. В пункте 2 мы попали в привилигированный режим. Теперь, если мы хоти производить на роутере какие-либо настройки нам нужно будет перейти в режим конфигурации. Для этого воспользуемся командой configure terminal, или же можно набрать сокращенно conf t

Router#conf t

Router(config)# - режим конфигурации, где можно производить необходимые настройки

4. Теперь можно попробовать произвести ряд настроек. Должен сказать, что прямой необходимости в настройке имени устройства, домена и времени нет. Но если это не последняя статья, которую вы читаете, вероятность того что настройка этих параметров еще пригодится очень высока.

Что бы настроить имя устройства воспользуемся командой hostname

Router(config)#hostname TEST

TEST(config)# - новое имя устройства TEST, что мы можем прекрасно видеть

Для настройки имени домена воспользуемся командой ip domain-name

TEST(config)#ip domain-name test.ru - теперь наше доменное имя test.ru

Настройка времени чуть сложнее, т.к. состоит из настройки часового пояса и непосредственно времени. Для задания часового пояса воспользуемся командой clock timezone.

TEST(config)# clock timezone MSK +4 - я нахожусь в Москве, так что часовой пояс +4

Для настройки времени необходимо выйти из режима конфигурации и воспользовать командой clock set, то есть "время установить" если перевести дословно.

TEST(config)#exit - выходим из режима конфигурации

Проверить наши настройки можно посредством команды show.

TEST#show clock
16:03:28.183 MSK Thu Feb 21 2013 - результат проведенных нами настроек

Так же, для вывода всей конфигурации можно воспользоваться командой show run

TEST#show run

Вывод результата данной команды довольно объемный и я не буду постить его. Скажу только, что результат содержит информацию обо всех параметрах, которые есть на маршрутизаторе.

5. Давайте разберем настройки портов на маршрутизаторе и зададим ip адреса.

Порт в сетевом оборудовании cisco называется interface. Что бы вывести список доступных интерфейсов можно воспользоваться командой show interfaces. Однако вывод будет довольно объемным. Для более компактного вывода можно воспользоваться командой show ip int brief

TEST#show ip int bri
Interface IP-Address OK? Method Status Protocol
Embedded-Service-Engine0/0 unassigned YES NVRAM administratively down down
GigabitEthernet0/0 unassigned YES NVRAM down down
GigabitEthernet0/1 unassigned YES NVRAM down down

Теперь мы можем видеть список доступных физических портов. Предположен что порт GigabitEthernet0/0 подключен к подсети 192.168.0.0 с маской подсети 255.255.255.0, а порт GigabitEthernet0/1 подключен к подсети 192.168.1.0 с маской подсети 255.255.255.0. Соответственно мы решили задать на GigabitEthernet0/0 ip адрес 192.168.0.1, а на GigabitEthernet0/1 ip адрес 192.168.1.1. Все это нужно для того что бы компьютеры первой сети могли обращаться к компьютерам второй сети и наоборот. Можем приступить к конфигурации.

TEST#conf t - идем в режим конфигурации

TEST(config)#interface gigabitethernet0/0 - команда interface позволяет нам перейти в режим настройки нужного нам порта на маршрутизаторе

TEST(config-if)#ip address 192.168.0.1 255.255.255.0 - задаем ip адрес для подсети 192.168.0.0

TEST(config-if)#no shutdown - команда включения порта на маршрутизаторе

TEST(config-if)#exit - выходим из настройки порта

TEST(config)#int gi0/1 - заходим в настройки второго порта. Название портов можно сокращать как показано в данном случае

TEST(config-if)#ip address 192.168.1.1 255.255.255.0 - задаем ip адрес для подсети 192.168.1.0

TEST(config-if)#exit

Все ip адреса настроены и связь между сетями 192.168.0.0 и 192.168.1.0 налажена.

Допустим если мы ошиблись и задали неверный ip адрес (пусть будет 192.168.0.2) или неправильно указали маску, тогда отменить изменения можно будет посредством команды "no". К примеру:

TEST(config-if)#no ip address 192.168.0.2 255.255.255.0 - данная команда снимет ip адрес 192.168.0.2 на интерфейсе.

Команда "no" применима не только к параметру ip адрес. Ей можно пользоваться для отмены и других параметров маршрутизатора.

6. Мы уже знаем как попасть в привилигированный режим, причем мы это делали без какой-либо авторизации. Предлагаю, для повышения безопасности, задать пароль на привилегированный режим. Сделать это можно посредством команды enable secret

TEST#conf t

TEST(config)#enable secret 0 cisco - теперь наш пароль на привилегированный режим будет cisco. Должен отметить, что 0 означает, что мы вводим пароль просто текстом. Если у нас есть пароль в зашифрованном виде мы можем выбрать другую опцию. Посмотреть возможные опции можно посредством enable secret ?

TEST(config)#enable secret ?
0 Specifies an UNENCRYPTED password will follow
4 Specifies an SHA256 ENCRYPTED secret will follow
5 Specifies an MD5 ENCRYPTED secret will follow
LINE The UNENCRYPTED (cleartext) "enable" secret
level Set exec level password

Чтож, пароль на привилегированный режим мы задали. Предлагаю создать своего собственного пользователя в системе, которого мы в дальнейшем будем использовать для подключения к устройству удаленно через telnet или ssh.

Для этого дадим вот такую команду:

TEST(config)#username user1 privilege 15 secret password1

В результате ее выполнения система создаст пользователя с именем user1, паролем password1 и уровнем доступа 15 (привилегированный режим)

7. У нас есть подсети, есть пользователь в локальное базе данных. Теперь можно настроить подключение к устройству через telnet. Для этого нам нужно будет зайти в настройки line vty (виртуальная терминальная линия). Перейдем к конфигурирования и все станет ясно.

TEST#conf t - заходим в режим конфигурации

TEST(config)#line vty 0 4 - заходим в настройку терминальных линий. На разных устройствах может быть разное количество терминальных линий. В нашем случае их 5, т.е. от 0 до 4, что отражено в команде. Количество терминальных линий говорит о количестве возможных одновременных подклюений к маршрутизатору. Когда кто-то подключается, то ему присваивается первая свободная линия vty.

TEST(config-line)#transport input telnet - мы говорим, что к нашему устройству можно подключаться удаленно посредством telnet

TEST(config-line)#login local - данная команда говорит, залогиниться по vty можно использую локальную базу данных пользователей. Соответственно мы сможем зайти под пользователем, которого создали в пункте 6.

Теперь можно подключиться к устройству удаленно посредством telnet, с какого-нибудь компьютера из ранее созданных подсетей 192.168.0.0 или 192.168.1.0

8. Использовать telnet достаточно удобно, но не безопасно, т.к. он передает логин и пароль по сети в открытом виде. Т.е. если кто-нибудь отловит нужные пакеты, то сможет увидеть пароль. Поэтому я рекоммендую настраивать подключение через протокол ssh. Для этого необходимо выполнение ряда требований. Должны быть заданы параметры hostname (см. пункт 4), domain-name (см. пункт 4), так как исходя из этих параметров происходит шифрование, а так же необходимо сгенерировать пару ключей шифрования, посредством команды:

TEST(config)#crypto key generate rsa modulus 1024 - где 1024 разрядность шифрования наших ключей.

Теперь нужно разрешить подключение через ssh на наших vty линиях.

TEST(config)#line vty 0 4 - заходим в настройку терминальных линий

TEST(config-line)#transport input telnet ssh - мы говорим нашему устройству, что можно подключиться как через telnet так и через ssh. На самом деле можно указать только ssh, но тогда подключиться по telnet уже не получится.

TEST(config-line)login local - говорим маршрутизатору использовать локальную базу данных пользователей. Если вы уже давали эту команду из пункта 7, то она не обязательна.

Все. Теперь можно подключиться к нашему устройству удаленно и главное безопасно посредством ssh.

В конце предлагаю сохранить все сделанные нами настройки командой write. Таким образом после перезагрузки устройства все параметры сохранятся. Если не произвести сохранение, тогда после перезагрузки устройство будет "девственно" чистым как будто на нем ничего не меняли.

TEST#write
Building configuration...

Итог: базовая настройка нашего маршрутизатора закончена. Теперь мы немного знаем о маршрутизаторах cisco и как с ними работать. Надеюсь данная статья была вам полезна.

До скорых встреч и новых постов;)

Редактировалось Дата: Вторник, 17 Декабрь 2013