Интернет подключение через cisco

Шаблон базовой настройки маршрутизатора Cisco

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

Источник

Интернет подключение через cisco

admin

28-07-2017 03:55

6 мин на чтение

19 883

1

Рубрики

Свежие записи

Одной из главных задач при настройке сетевого оборудование Cisco является обеспечение пользователей доступом в Интернет. Провайдер, как правило, выдает один или несколько «белых» IP-адресов. Внутри сети используются «серые» IP, которые не маршрутизируются в Интернет. Необходимо выполнить трансляцию внутренних IP-адресов во внешний глобальный Ip-адрес. Иными словами, необходима настройка NAT на маршрутизаторе Cisco.

Без лишних слов перейдем к нашей схеме.

В данной сети используется три группы: компьютеры пользователей, компьютер админа, сервер. Каждый хост находится в своем VLAN. Необходимо обеспечить доступ в интернет для всех хостов. Для настройки схемы используется эмулятор GNS3. Виртуальный маршрутизатор testR по сути подключен к реальному маршрутизатору TP-Link, находящемуся у меня дома. Виртуальный маршрутизатор будет получать параметры IP автоматически посредством DHCP-запроса. Маршрутизатор TP-Link выдаст IP-адрес из пула внутренних адресов: 192.168.0.100 — 192.168.0.200.

Первым делом покажу предварительные настройки, а именно настройку VLAN. Конфигурация для testSW:

testSW>enable - переходим в расширенный режим testSW#vlan database - создадим VLAN на коммутаторе testSW(vlan)#vlan 2 - создаем VLAN для управления (административный) testSW(vlan)#vlan 3 - создаем VLAN для серверов testSW(vlan)#vlan 10 - создаем VLAN для пользователей testSW(vlan)#apply - применяем настройки testSW(vlan)#exit testSW#configure terminal - переходим в режим конфигурации testSW(config)#interface fa1/0 - настраиваем порт в сторону админа testSW(config-if)#switchport mode access - переводим порт в тегированный режим testSW(config-if)#switchport access vlan 2 - тегируем кадры 2 VLAN'ом testSW(config-if)#no shutdown - включаем интерфейс физически testSW(config-if)#exit testSW(config)#interface fa1/1 - настраиваем порт в сторону сервера testSW(config-if)#switchport mode access - переводим порт в тегированный режим testSW(config-if)#switchport access vlan 3 - тегируем кадры 3 VLAN'ом testSW(config-if)#no shutdown - включаем интерфейс физически testSW(config-if)#exit testSW(config)#interface range fa1/2 - 9 - настраиваем порт в сторону пользователей testSW(config-if)#switchport mode access - переводим порт в тегированный режим testSW(config-if)#switchport access vlan 10 - тегируем кадры 10 VLAN'ом testSW(config-if)#no shutdown - включаем интерфейс физически testSW(config-if)#exit testSW(config)#interface range fa1/15 - настраиваем порт в сторону testR testSW(config-if)#switchport mode trunk - переводим порт в нетегированный режим testSW(config-if)#switchport trunk allowed vlan add 2,3,10 - тегируем кадры 10 VLAN'ом testSW(config-if)#no shutdown - включаем интерфейс физически testSW(config-if)#exit testSW(config)#do write - сохраняем конфигурацию

testR>enable - переходим в расширенный режим testR#configure terminal - переходим в режим конфигурации testR(config)#interface fa0/0 - настраиваем порт в сторону testSW testR(config-if)#description testSW - описание интерфейса testR(config-if)#no shutdown - включаем интерфейс физически testR(config-if)#exit testR(config)#interface fa0/0.2 - настраиваем сабинтерфейс для сети управления testR(config-if)#description ADMIN_VLAN - описание интерфейса testR(config-if)#encapsulation dot1q 2 - тегируем кадры 2 VLAN'ом testR(config-if)#ip address 172.16.0.1 255.255.255.0 - задаем IP-адрес шлюза по-умолчанию testR(config-if)#exit testR(config)#interface fa0/0.3 - настраиваем сабинтерфейс для сети серверов testR(config-if)#description SERVER_VLAN - описание интерфейса testR(config-if)#encapsulation dot1q 3 - тегируем кадры 3 VLAN'ом testR(config-if)#ip address 172.16.1.1 255.255.255.0 - задаем IP-адрес шлюза по-умолчанию testR(config-if)#exit testR(config)#interface fa0/0.10 - настраиваем сабинтерфейс для сети пользователей testR(config-if)#description USER_VLAN - описание интерфейса testR(config-if)#encapsulation dot1q 10 - тегируем кадры 10 VLAN'ом testR(config-if)#ip address 172.16.2.1 255.255.255.0 - задаем IP-адрес шлюза по-умолчанию testR(config-if)#exit testR(config)#do write - сохраняем конфигурацию 

Следующий этап настройка NAT на маршрутизаторе testR. Так как внешний Ip-адрес всего один, будем использовать трансляцию адресов портов PAT (Port Address Translation). Ключом к пониманию принципа является способ использования хостами портов TCP и UDP. Трансляция NAT использует в своих интересах тот факт, что с точки зрения транспортного уровня сервер не заботит, имеет ли он по одному соединению с каждым из нескольких хостов или же несколько соединений с одним хостом. Перезагрузка NAT (PAT) преобразует не только адрес, но и при необходимости номер порта, делая многие потоки TCP и UDP от разных хостов похожими на то же количество потоков от одного хоста.

При создании динамического сопоставления PAT выбирает не только внутренний глобальный адрес, но и уникальный номер порта, который будет использоваться вместе с этим адресом. Маршрутизатор поддерживает запись в таблице NAT для каждой уникальной комбинации внутреннего локального адреса и порта; при этом поддерживается трансляция во внутренний глобальный адрес и уникальный номер порта, связанный с внутренним уникальным адресом. Поскольку поле номера порта состоит из 16 бит, перезагрузка NAT позволяет использовать более 65 тысяч номеров, портов, что позволяет ей выполнить масштабирование без необходимости иметь много зарегистрированных IP-адресов (во многих случаях требуется лишь один глобальный IP-адрес).

Алгоритм настройки PAT и использованием IP-адреса внешнего интерфейса:

1. Настроить внутренние интерфейсы с помощью команды ip nat inside
2. Настроить внешние интерфейсы с помощью команды ip nat outside
3. Настроить список доступа ACL, которому должны соответствовать пакеты, поступающие на внутренние интерфейсы
4. Задать в конфигурации команду глобального конфигурирования ip nat inside source list номер-acl interface тип/номер overload

Приступим к настройке PAT на маршрутизаторе testR:

testR>enable - переходим в расширенный режим testR#configure terminal - переходим в режим конфигурации testR(config)#interface fa0/1 - настраиваем интерфейс в сторону Интернета testR(config-if)#description INTERNET - описание интерфейса testR(config-if)#ip address dhcp - получаем IP-адрес автоматически testR(config-if)#no shutdown - включаем интерфейс testR(config-if)#exit testR(config)#ping 8.8.8.8 - проверяем доступ в Интернет по IP . Success rate is 100 percent (5/5) testR(config)#ip name-server 192.168.0.1 - указываем адрес DNS-сервера testR(config)#ip domain lookup - включаем определение доменных имен testR(config)#ping ya.ru - проверяем доступ в Интернет по домену . Success rate is 100 percent (5/5) testR(config)#interface fa0/0.2 - настраиваем сабинтерфейс для сети управления testR(config-if)#ip nat inside - указываем внутренний интерфейс testR(config-if)#exit testR(config)#interface fa0/0.3 - настраиваем сабинтерфейс для сети серверов testR(config-if)#ip nat inside - указываем внутренний интерфейс testR(config-if)#exit testR(config)#interface fa0/0.10 - настраиваем сабинтерфейс для сети пользователей testR(config-if)#ip nat inside - указываем внутренний интерфейс testR(config-if)#exit testR(config)#interface fa0/1 - настраиваем интерфейс в сторону Интернета testR(config-if)#ip nat outside - указываем внешний интерфейс testR(config-if)#exit testR(config)#ip access-list standart test_NAT - настраиваем список доступа для всех групп testR(config-std-nacl)#permit 172.16.0.0 0.0.0.255 - разрешаем доступ в интернет админу testR(config-std-nacl)#permit 172.16.1.0 0.0.0.255 - разрешаем доступ в интернет серверам testR(config-std-nacl)#permit 172.16.2.0 0.0.0.255 - разрешаем доступ в интернет пользователям testR(config-std-nacl)#exit testR(config)#ip nat inside source list test_NAT interface fa0/1 overload

Последняя команда означает преобразование внутренних адресов из списка доступа test_NAT в IP-адрес внешнего интерфейса.

Проверяем доступ в Интернет с компьютера админа:

Пинг до Яндекса идет. В качестве DNS-сервера указан IP адрес маршрутизатора TP-Link 192.168.0.1.

Для просмотра таблицы NAT служит команда show ip nat translations

192.168.0.104 — это IP-адрес внешнего интерфейса маршрутизатора testR.

Источник