Для развертывания ИТ-инфраструктуры в небольших и средних компаниях часто выбирают маршрутизаторы Cisco. И это естественно, ведь надежность и производительность этих устройств превосходит все существующие аналоги.
Однако, даже простое подключение маршрутизатора в сеть сопряжено с трудностями. Возьмем для примера маршрутизатор Cisco 2911/k9, как недорогой, но довольно производительный и функциональный.
Кроме полноценного шифрования с ключом длинной более 56 бит, маршрутизатор поддерживает как стандартные, так и расширенные функции. Слоты DSP (voice digital-signal-processor), IP-маршрутизация, межсетевой экран, групповая адресация, поддержка функций QoS, система предотвращения вторжений (IPS) и автоматическая выдача IP-адресов, реализация технологий MPLS, VPN с защищенными средствами управления предоставляют широкие возможности для сисадмина.
В большинстве случаев для стабильной работы устройства необходимо настроить в нем защищенный административный доступ с шифрованием по протоколу SSH, маршрутизацию для обмена данными внутри сети, NAT для возможности обращения к внешним сетям.
Настройка SSH
В первую очередь необходимо обеспечить защищенный доступ к устройству по протоколу SSH. Чтобы включить его в настройках, подключаемся к устройству по стандартному протоколу Telnet. Для этого можно использовать стандартную программу Putty, подключив Cisco 2911/k9 через COM-порт. При появлении консольного окна вводим:
В данных командах K8qq7t1q обозначает пароль для обычного доступа, Rpp7k12z – пароль для привилегированного доступа, а RoutFirm1 – новое имя устройства.
затем прописываем интерфейсы внутренней локальной сети:
В данном случае устройству присвоен IP-адрес 192.168.0.1 с DNS-сервером 192.168.0.17 и оно становится доступным по локальной сети.
Установим настроенную конфигурацию по умолчанию командой
RoutFirm1#copy running-config startup config
Затем настраиваем SSH, генерируем RSA-ключ и создаем пользователя с привилегированными правами, активируем протокол ААА:
Завершаем настройку командой Ctrl+Z.
Конечно, устройство допускает подключение и по USB, однако использование защищенного канала SSH выглядит предпочтительнее и надежнее.
Настройка маршрутизации
Настройка маршрутизации позволит Cisco 2911/k9 обмениваться данными с известными сетями с максимальным быстродействием, без посылки широковещательных пакетов и самостоятельного определения маршрутов. Данный способ пригоден только в сетях с небольшим числом активных устройств, для средних и больших сетей рекомендуется включать автоматическое построение таблицы маршрутизации.
Для этого вводим следующие команды:
enable configure terminal ip route 141.17.8.0 255.255.255.0 Serial0/0/0//
Данная команда обозначает статический маршрут от сети 141.17.8.0 с маской 255.255.255.0, данные с которой будут поступать через интерфейс Serial0/0/0. В качестве интерфейса допустимо указание шлюза.
Не забываем сохранять конфигурацию командой
copy running-config startup-config//
Настройка VLAN
Для упрощения создания маршрутов рекомендуется прописать VLAN – виртуальные сети, в которых может содержаться произвольное число сетевых устройств. Используя их, можно одной командой связать десятки и сотни компьютеров и серверов либо разрешить общаться между собой только указанным рабочим станциям.
Так, для создания VLAN и подчиненных ему sub-интерфейсов необходимо ввести:
Следует понимать, что под цифрой 10 здесь понимается номер порта, по которому будут поступать входящие пакеты. Последняя строка активирует режим перенавления пакетов.
В принципе, теперь ваш маршрутизатор готов к работе в пределах локальной сети. Если необходимо обеспечить ему выход в интернет и взаимодействие с удаленными устройствами, требуется настроить NAT.
Настройка NAT
Фактически, NAT отвечает за преобразование внешних IP-адресов в формат локальной сети. Также он обеспечивает возможность работы нескольких компьютеров одновременно с внешними сетями.
Для этого коммутатор на лету преобразовывает внутренний локальный IP-адрес во внешний, а внутренний адрес сохраняет в своей памяти. Когда удаленный сервер ответит, он автоматически вновь подменит адрес и отправит поступившую информацию получателю. Условно NAT можно представить так:
Наш Cisco 2911/k9 поддерживает такие преобразования IP-адресов. Для этого требуется указать:
Этим мы создаем таблицу доступов NAT с указанием внутреннего и внешнего интерфейса и создаем правило трансляции.
После перезагрузки маршрутизатора обеспечивается доступ в интернет с любого сетевого устройства с IP-адресом маршрутизатора 192.168.0.17.
В результате настройки маршрутизатора Cisco 2911/k9 мы получили работоспособное устройство, способное связать все компьютеры в нашей сети с поддержкой внешних сетей и интернета.