Cisco 2811 настройка: маршрутизации, SSH, USB, VLAN, NAT и VPN

Содержание

Шаблон базовой настройки маршрутизатора Cisco / Хабр

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…


Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем


#erase startup-config

дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами

username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
 transport input telnet ssh
 privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP


ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
 log config
  logging enable
  hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
 description === LAN ===
 ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик

 ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
   network 192.168.???.0 255.255.255.0
   default-router 192.168.???.1
   dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
 permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic

ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
 description === Internet ===
 ip address ???.???.???.??? 255.255.255.???
 ip virtual-reassembly
 ip verify unicast reverse-path
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
 no cdp enable
 ip inspect INSPECT_OUT out
 ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
 ip nat outside

! на локальном интерфейсе
interface Vlan1
 ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT

 permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

Настройка CUCME с нуля: основные настройки (Часть 1)

Какие настройки необходимо сделать на маршрутизаторе, чтобы у вас зазвонил первый IP телефон? Данная статья приводит краткую теорию, и приводит практические шаги, необходимые для построения телефонной сети на основе Cisco Call Manager Express.

В первой части мы рассматриваем самые основные настройки CUCME.
Рассматриваются шаги загрузки телефона и методы диагностики проблем в среде CUCME.

Очевидно, как минимум, мы должны дать возможность телефону нормально загрузиться, поэтому рассмотрим шаги его загрузки.
(1). Cisco IP Phone подключается к порту коммутатора. Если телефон и коммутатор поддерживают стандарт PoE, IP телефон получает питание от кабеля Ethernet. Если нет, то телефон нужно запитать от розетки.
(2). При включении коммутатор Cisco по CDP отдает телефону информацию о voice VLAN.
(3). Телефон шлет DHCP-запрос на его voice VLAN. Сервер DHCP отдает информацию адресации, включая IP address, subnet mask, default gateway, DNS server и т.д. Тут следует отметить что телефон также получает от DHCP так называемую option 150. Это особая опция, которая включает в себя адреса TFTP серверов.

(4). После того как телефон получил информацию о сервере TFTP, он к нему подключается и загружает конфигурационный файл. Конфигурационный файл в себя включает список серверов Call Processing Agents или попросту CUCME, которых может быть несколько.
(5). IP телефон подключается к Call Processing Server или к CUCME.


В данном примере мы настроим маршрутизатор c2951 и коммутатор c2950 так, чтобы у нас зазвонили IP телефоны.

В нашей сети имеются как компьютеры, так и телефоны.
Мы создадим два VLAN-a:
VLAN 10 для компьюетров
VLAN 20 для телефонов
Собственно VLAN 20 и будет называться как Voice VLAN.

Т.к. у коммутатора кофигурация отсутствовала, минимальные настройки:
hostname c2950
vtp mode transparent

Создадим VLAN-ы
vlan10
name comp

vlan 20

name voip

Настроим порты коммутатора для телефонов:
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
switchport voice vlan 20
spanning-tree portfast
!
interface FastEthernet0/2
switchport access vlan 10
switchport mode access
switchport voice vlan 20
spanning-tree portfast

По сути при такой настройке между портом и телефоном поднимается транк, т.е. через одно соединение идет трафик обоих VLAN-ов.

На рисунке видно, что трафик компьтера, т.е. VLAN 10 никак не тагируется и передается компьютеру, при этом телефон работает как обычный коммутатор.
Трафик VLAN 20 же тагируется. Это позволяет в одном линке пересылать фреймы обих VLAN-ов.

Маршрутизатор в данной схеме является шлюзом по умолчанию для обоих подсетей. Поэтому соединение маршрутизатора и коммутатора будет транковым

Настройки коммутатора:
interface FastEthernet0/24
switchport mode trunk

Настройки порта маршрутизатора:
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.10
description Comp
encapsulation dot1Q 10
ip address 10.0.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
description voip
encapsulation dot1Q 20
ip address 10.0.20.1 255.255.255.0

Прочие настройки: настроим на коммутаторе IP адрес и доступ
interface Vlan10
ip address 10.0.10.5 255.255.255.0

aaa new-model

username admin privilege 15 password 0 adm

line vty 0 4
privilege level 15

enable secret 0 adm

service password-encryption

Аналогичные настройки дадим на c2951
aaa new-model

username admin privilege 15 password 0 adm

ip http secure-server
ip http authentication local

line vty 0 4
privilege level 15

enable secret 0 adm

service password-encryption

Таким образом, на данном этапе маршрутизатор уже должен успешно пинговать адрес коммутатора:

Если подключить телефон, то он конечно включится, но будет отображать «Phone not Registered».
У него еще нет IP настроек, которые он должен получить от сервера DHCP.

Мы в этом кстати можем убедиться, заглянув в сам телефон и выбрав Phone Information — там поле IP адреса будет пустым.
Также можно на коммутаторе дать команды:
show cdp neighbors
show cdp entry

В качестве DHCP сервера сделаем маршрутизатор.
Мы создадим два пула на маршрутизаторе.

ip dhcp excluded-address 10.0.10.1 10.0.10.10
ip dhcp excluded-address 10.0.20.1 10.0.20.10
!
ip dhcp pool VOIP_SCOPE
network 10.0.20.0 255.255.255.0
default-router 10.0.20.1
option 150 ip 10.0.20.1
dns-server 10.0.10.1
!
ip dhcp pool COMP_SCOPE
network 10.0.10.0 255.255.255.0
default-router 10.0.10.1

dns-server 10.0.10.1

Отметим здесь наличие опции 150 в настройках VOIP_SCOPE. Эта опция указывает телефону на TFTP сервер, откуда будет подгружаться конфигурация телефона.
Также в обоих скопах мы исключили адреса 1 — 10, зарезервировав их для тех нужд (сервера, коммутаторы и т.д.)

На этом этапе уже можно включить телефон. Он загрузится, но будет отображать Phone not Registered, т.к. мы еще не настроили ни TFTP сервер, ни CUCME.

Тем не менее телефон и компьютер уже получат свои IP адреса.
На телефоне это можно посмотреть нажав:
* -> Phone Information -> Ip Address

На коммутаторе телефон будет виден по CDP:

Указанный ip адрес телефона должен пинговаться и также мы можем зайти на http-страницу телефона:
Выберем там network setup

Тут следует выделить поля Unified CM 1 и 2 это собственно есть список Call Processing Agents, который телефон должен подгрузить из сервера TFTP. Сервер TFTP-то у нас получен (через опцию 150), но сам сервер еще не настроен.

DNS сервер необходим телефону для разрешения имени CUCME в IP адрес. Вообще с именами лучше не связываться и везде прописывать именно IP адрес, но DNS сервис нужно все же настроить в любом случае. Им могут пользоваться не только телефоны но и компьютеры.
Настроим маршрутизатор в качестве кеширующего DNS сервера:
ip domain lookup
ip domain timeout 2
ip domain name office.local
ip host c2951 10.0.20.1
ip host c2951.office.local 10.0.20.1
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip dns server

ip domain lookup — включает трансляцию имён в ip адреса основанную на dns. Этот параметр включен по умолчанию. Часто его выключают чтобы маршрутизатор не «зависал» при вводе ошибочной команды, но для нашей цели его необходимо включить.
ip name-server — этот параметр задаёт адрес одного или нескольких серверов имён (dns). Приоритет определяется сверху вниз.
Автор тут включил общедоступные сервера (8.8.8.8 и 8.8.4.4), вы же можете сюда добавить сервера предоставляемые местным провайдером.
ip domain name — задаёт имя домена по умолчанию для пользователей Cisco IOS software для разрешения «неопознаных» доменных имён (имена без суффикса.
ip dns server — включаем собственно кеширующий DNS сервер на циске
Конструкция ip host c2951 10.0.20.1 работает подобно файлу hosts в windows.
Мы прописали имена c2951 и c2951.office.local как раз на случай если кто-то полезет на это имя. Такое бывает иногда с MGCP или в настройках CUCM.
Настройка DNS server подразумевает подключение маршрутизатора к интернет тем или иным способом, что выходит за рамки данной статьи.

Настройка точного времени необходима в работе множества сетевых сервисов.
К примеру точные значения времени играют важную роль в различных сервисах безопасности, в отображении логов.
При использовании CUCME время отображается на телефонах, во временных метках голосовой почты или записях CDR.
В большой сети и при большом количестве устройств имеет смысл синхронизировать одно или два «главных» устройства с источниками извне, а все остальные в свою очередь синхронизировать с мастерами.

На маршрутизаторе вводим команды и сделаем его «главным»:
service timestamps log datetime
clock timezone MSK 4
ntp master 2
ntp update-calendar
ntp server 64.90.182.55
ntp server 62.117.76.138
ntp server 81.2.117.228
ntp server 88.147.254.228

Настройка NTP подразумевает подключение маршрутизатора к интернет тем или иным способом, что выходит за рамки данной статьи.

Во время загрузки IP телефону необходимо связаться с сервером TFTP.

В общем случае TFTP сервер не обязательно совпадает с CUCME, т.к. маршрутизатор не спроектирован на обслуживание большого количества телефонов, да и объем Flash не бесконечен. Но в нашем случае мы запустим TFTP на все том же маршрутизаторе.

По сути, сервер TFTP играет роль файлового сервера в сети телефонии. Телефоны загружают с него файлы конфигурации, а также файлы прошивок.

Файлы конфигурации включают в себя такую информацию как IP адреса и порты серверов CUCME, а также имена файлов прошивки, которые должен загрузить телефон.
Файлы конфигурации индивидуальны для каждого телефона, но при первом подключении таковой отсутствует. В этом случае телефон загружает файл по умолчанию: XMLDefault.cnf.xml. Затем в процессе регистрации CUCME создает уже индивидуальный файл, которым телефон уже будет пользоваться в штатном режиме.

Файлы прошивки необходимо загрузить с сайта Cisco.
Например для телефона 6961 файлы будут:
SCCP69xx.9-0-3-b.loads
BOOT69xx.0-0-0-14.zz.sgn
DSP69xx.0-0-0-3.zz.sgn
SCCP69xx.9-0-3-0-b.zz.sgn

Их необходимо скопировать на Flash
затем дать команды на маршрутизаторе :
tftp-server flash:SCCP69xx.9-0-3-b.loads
tftp-server flash:BOOT69xx.0-0-0-14.zz.sgn
tftp-server flash:DSP69xx.0-0-0-3.zz.sgn
tftp-server flash:SCCP69xx.9-0-3-0-b.zz.sgn

Активируем сервис CUCME, поочередно даём следующие команды:
telephony-service
max-ephones 24
max-dn 48
ip source-address 10.0.20.1 port 2000
cnf-file location flash:
load 6921 SCCP69xx.9-0-3-b.loads
load 6941 SCCP69xx.9-0-3-b.loads
load 6961 SCCP69xx.9-0-3-b.loads
create cnf-files

Поочерёдно потому, что некоторые команды будут требовать подтверждения лицензионного соглашения.
Отметим смысл некоторых команд:
max-ephones 24 — максимальное количество телефонов которое маршрутизатор будет поддерживать.
max-dn 48 — максимальное количество номеров.
max-ephones и max-dn влияют на количество выделяемой памяти; также параметр не должен быть больше количества приобретенных feature licenses.
ip source-address — определяет на каком адресе маршрутизатор будет ожидать регистраций.
cnf-file location flash: — определяет местоположение конфигурационных файлов

create cnf-files — после этой команды будут созданы конфигурационные файлы
load — команда определяет какая модель телефона будет использовать какую прошивку. Без этой команды телефон будет использовать имеющуюся прошивку и не будет пытаться обновиться.

После выполнения данных команд телефон может начать загрузку прошивки (если его локальная не совпадает с той что на CUCME), после этого телефон должен зарегистрироваться на CUCME.
На консоли мы увидим следующие сообщения

На самом телефоне мы увидим:

Телефон зарегистрировался, но мы еще не настроили номер, поэтому на экране он не отображается, а только дата и время. Если поднять трубку — она не загудит.

Проверить состояние зарегистрированных телефонов мы можем командой:
show ephone summary

В среде CUCME есть понятия Ephone и Ephone-DN.
Ephone — это объект в системе CUCME имеющий отношение к физическому телефону. Система различает Ephone друг от друга их MAC адресами.
Ephone-DN — представляет номер линии, или Directory Number. Физический телефон в общем случае может иметь несколько линий, т.е. до него можно дозвониться по нескольким номерам.

Настроим ephone-dn для нашего телефона:
ephone-dn 1 dual-line
number 101
description Natalia Askarova
name Natalia Askarova

Настроим ephone для нашего телефона:
ephone 1
mac-address C84C.759C.B7A7
type 6961
button 1:1

Здесь мы привязали физический телефон к объекту ephone 1 через его MAC адрес.
MAC адрес можно посмотреть в меню телефона Settings.
button: — данная команда привязывает номер ephone-dn к физической кнопке телефона. Т.е. при входящем звонке эта кнопка будет мигать. В нашем случае команда button 1:1 привязывает к первой кнопке ephone-dn 1.

После подобных изменений телефон необходимо перезагрузить, это можно сделать двумя способами:
— Телефон по питанию
— Зайти conf t > ephone 1 > restart

После перезагрузки телефон уже будет отображать свой номер.

Теперь мы можем проверить настройку нашего телефона:
show ephone

Аналогично мы можем настроить второй телефон. И теперь телефоны смогут осуществлять звонки друг другу.

Cisco Configuration Professional (CCP) — это графическая оснастка, позволяющая конфигурировать маршрутизатор вне командной строки.

Для доступа к глобальным установкам CUCME идем по пути:
Configure — Unified Comunications — Telephony settings

Для настройки номера телефона идем:
Configure — Unified Comunications — Users, Phones and Extensions > Extension > Create

После этого настраиваем физический телефон:
Configure — Unified Comunications — Users, Phones and Extensions > Phones and Users

DHCP сервер на маршрутизаторе cisco

Протокол DHCP – позволяет производить автоматическую настройку сети на компьютерах и других устройствах. DHCP может быть настроен на маршрутизаторах Cisco или на базе любого сервера. Данная статья описывает настройку DHCP сервера на маршрутизаторе Cisco. Однако, маршрутизатор может работать и как DHCP клиент – получая адрес на один из своих интерфейсов. Об этом можно прочесть подробнее здесь. Настройка DHCP сервера на маршрутизаторе это удобно в том плане, что если уже есть работающий маршрутизатор, то проще повесить на него максимальное количество функционала (интернет, NAT, DHCP и т.п.) чтобы каждое устройство занималось своим делом. DCHP позволяет автоматически настраивать на клиенте следующие основные параметры:

  1. IP адрес
  2. Основной шлюз
  3. Маска подсети
  4. DNS сервера
  5. Имя домена

Это наиболее частое использование DHCP, но можно передавать и огромное количество других параметров. Например, можно передавать дополнительные маршруты, чтобы в разные сети компьютер ходил через разные шлюзы. Или, с помощью DHCP можно организовывать загрузку устройств по сети. В этом случае клиент получает помимо основных параметров, адрес TFTP сервера и имя файла на нём (я имею в виду имя файла – загрузчика ОС, которую необходимо загрузить по сети).

Когда клиент, например, обычный компьютер, запускается, ОС видит, что для некой сетевой карты стоит «Получить параметры по DHCP». Такой компьютер не имеет пока IP адреса и происходит следующая процедура получения:

  1. Компьютер отправляет широковещательный запрос. При этом на втором уровне в фрейме стоит мак адрес отправителя – адрес компьютера, мак адрес получателя – ffff.ffff.ffff, а на третьем уровне – в пакете адрес отправителя отсутствует, адрес получателя стоит 255.255.255.255. Такое DHCP сообщение называется «DHCP discover».
  2. Далее все устройства в сети получают это широковещательное сообщение. DHCP сервера (а их теоретически может быть несколько) отвечают клиенту. Сервер резервирует в своём пуле адресов какой-то адрес (если не было резервации до этого для данного mac-адреса клиента) и выделяет этот ip клиенту на какое-то время (lease time). Берутся другие настройки и всё вместе высылается. При этом в качестве адресов получателя используется уже новый выделенный клиентский ip и клиентский mac. Это называется «DHCP offer».
  3. Клиент выбирает понравившийся ему сервер (обычно он всего один) либо выбирается тот кто ответил первым. И отправляет со своего mac и нового ip на mac и ip уже конкретного сервера «DHCP request» – согласие с полученными параметрами.
  4. Сервер резервирует за клиентом выделенный адрес на какое-то время (lease time). До этого момента адрес был выделен, но не зарезервирован. Теперь же он окончательно закреплён за клиентом. Сервер вносит так же строчку в свою ARP таблицу и высылает клиенту, сообщение, что он успешно зарегистрирован – «DCHP Acknowledge».
  5. Клиент начинает работать.

Давайте перейдём к настройке DHCP на маршрутизаторе. Есть одна странная, на первый взгляд вещь, на цисках DHCP как бы не привязан к конкретному интерфейсу, то есть просто создаётся пул и маршрутизатор раздаёт адреса где хочет. На самом деле, адреса раздаются не всем, а только на том интерфейсе, на котором Ip адрес из той же сети, что упоминается в пуле: действительно, какой смысл выдавать компьютеру адрес шлюза, который находится не в его сети.

Настроим маршрутизатор, который будет выдавать по DHCP сеть 192.168.1.0/24 начиная с 192.168.1.11.

R1#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10

Мы просим маршрутизатор не выдавать адреса с 192.168.1.1 по 192.168.1.10. Так как первый адрес будет использоваться самим маршрутизатором (шлюз), а остальные девять имеет смысл зарезервировать под различные сервера в этой сети. Серверам не стоит выдавать адреса по DHCP – к ним часто обращаются, поэтому адрес должен быть вбит статически и никогда не меняться. В нашем примере, например, присутствует DNS сервер с адресом 192.168.1.5, который вбит статикой. Теперь создаём пул:

R1(config)#ip dhcp pool MY-POOL
R1(dhcp-config)#network 192.168.1.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.1.1
R1(dhcp-config)#domain-name my-domain.com
R1(dhcp-config)#dns-server 192.168.1.5
R1(dhcp-config)#exit

Выдаваться адреса будут из сети 192.168.1.0/24 (кроме тех что мы исключили ранее), в качестве шлюза будем выдавать 192.168.1.1 – наш маршрутизатор. Сам этот адрес надо ещё настроить:

R1(config)#interface fa0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown 
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#exit
R1(config)#exit
R1#
%SYS-5-CONFIG_I: Configured from console by console

После того, как компьютер получил адрес, можно проверить список выданных адресов:

R1#show ip dhcp binding 
IP address       Client-ID/              Lease expiration        Type
                 Hardware address
192.168.1.11     000A.F337.2447           --                     Automatic

К статье прилагаю пример данной конфигурации в Packet Tracer: DHCP сервер на cisco.

Настройка взаимодействия агента RADIUS с Cisco 2811 (PPPoE)

В данной инструкции приведен пример настройки сетевого агента RADIUS(LBarcd) и маршрутизатора Cisco 2811.

Ниже, приведен пример конфигурационного файла Cisco 2811:

aaa new-model
    aaa authentication ppp default group radius
    aaa authorization exec default local
    aaa authorization network default group radius
    aaa accounting delay-start
    aaa accounting update periodic 1
    aaa accounting exec default start-stop group radius
    aaa accounting network default start-stop group radius

bba-group pppoe global
    virtual-template 1
    sessions max limit 10
    sessions per-mac limit 1
    sessions auto cleanup

interface Loopback1
    ip address 10.10.10.10 255.255.255.255

interface FastEthernet0/0
    description --To local--
    ip address 192.168.11.241 255.255.254.0
    ip broadcast-address 192.168.11.255
    no ip redirects
    no ip unreachables
    ip virtual-reassembly
    no ip mroute-cache
    duplex auto
    speed auto
    pppoe enable group global
    no cdp enable
    arp timeout 240

interface Virtual-Template1
description LocalPPPoE
mtu 1492
ip unnumbered Loopback1
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly max-fragments 64 max-reassemblies 128
no logging event link-status
ppp authentication chap ms-chap callin
ppp ipcp dns 192.168.11.1 8.8.8.8

ip radius source-interface FastEthernet0/0

radius-server attribute 44 include-in-access-req
radius-server attribute 44 extend-with-addr
radius-server attribute 6 on-for-login-auth
radius-server attribute 8 include-in-access-req
radius-server attribute 32 include-in-access-req
radius-server attribute nas-port format d
radius-server dead-criteria time 120
radius-server host 192.168.10.138 auth-port 1812 acct-port 1813 key 7 04490A0206345F5D0C1A17120653545C72
radius-server retransmit 5

radius-server timeout 10
radius-server deadtime 1
radius-server vsa send accounting
radius-server vsa send authentication

На рисунке 1 показаны настройки агента RADIUS.

192.168.10.138:1812 – порт авторизации.

192.168.10.138:1813 – порт аккаунтинга.


Рисунок 1

Далее необходимо добавить сервер доступа с IP-адресом 192.168.11.241, с ключом доступа PASSword$ и добавить сети для динамической выдачи (Рис. 2).


Рисунок 2

В словаре RADIUS-атрибутов произвести следующие настройки — к NAS-серверу привязать дополнительный RADIUS-атрибут — Cisco-AVPair (Рис. 3).


Рисунок 3

Далее атрибуты необходимо привязать к сопоставимой скорости (Рис.4 и Рис. 5).

Исходящий шейпер:


Рисунок 4

Входящий шейпер:


Рисунок 5

Логи RADIUS-агента в момент авторизации:

20.06.2012 17:14:27 VERBOSE     0x454ee940      [PreProcessPacket:152]  >=>=>=>=>=>=>=> Auth Packet received from 192.168.11.241, size: 175 >=>=>=>=>=>=>=>
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:30]  Authenticator: 1717f4d1ded0df9ff5248deb738cd6d6
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Unknown VSA 1, vendor Cisco, value: "client-mac-address=0001.020a.1a3b"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'Framed-Protocol', value: "1"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'User-Name', value: "01021970"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'CHAP-Password', value: "01f891453767f4c948b627de2f8f4833ac"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'NAS-Port-Type', value: "5"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'NAS-Port', value: "0"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'NAS-Port-Id', value: "808398895"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'Service-Type', value: "2"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'NAS-IP-Address', value: "192.168.11.241"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'Acct-Session-Id', value: "0/0/0/0_C0A80BF100000019"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [ParseBody:37]  Attribute 'NAS-Identifier', value: "R2811.netsol.local"
20.06.2012 17:14:27 DEBUG       0x454ee940      [RunAuthRequest:481]    check second [], [192.168.11.241]
20.06.2012 17:14:27 DEBUG       0x454ee940      [AuthenticateFromDB:429]        Start authenticate from database for login '01021970'
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT v.vg_id, v.pass FROM vgroups v JOIN tarifs t ON t.tar_id=v.tar_id JOIN agreements a ON a.agrm_id=v.agrm_id WHERE v.archive=0 AND  v.template=0 AND v.id='1' AND v.login=BINARY('01021970')
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT t.tar_id, t.dynamic_rent, t.traff_type FROM tarifs t JOIN vgroups v USING (tar_id) WHERE v.vg_id = '468'
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT c.cat_idx, c.uuid, c.enabled, c.includes, c.above, u.cat_idx, l.c_limit_in, l.c_limit_out FROM categories c LEFT JOIN climits l ON l.vg_id = '468' AND c_date = GET_C_DATE( 0, NOW() ) AND l.tar_id = c.tar_id AND l.cat_idx = c.cat_idx LEFT JOIN custom_services u ON u.vg_id = '468' AND u.tar_id = '140' AND u.cat_idx = c.cat_idx WHERE c.tar_id = '140' AND c.archive = '0'
20.06.2012 17:14:27 DEBUG       0x454ee940      [AddService:227]        Service cat_idx=0 enabled=1 service= includes=1 above=0.000000 user_cat=<> lim_in=0 lim_out=0
20.06.2012 17:14:27 VERBOSE     0x454ee940      [AddService:240]        User vg_id = 468 spend traffic 0 of 1048576 (service 1162708544)
20.06.2012 17:14:27 DEBUG       0x454ee940      [AuthenticateFromDB:435]        Auth ISG ok
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT v.blocked, v.login, v.pass, v.current_shape, t.type, t.act_block, t.tar_id, a.balance+a.credit, if(v.max_sessions > 1, v.max_sessions, 1) max_sessions FROM vgroups v JOIN tarifs t ON t.tar_id=v.tar_id JOIN agreements a ON a.agrm_id=v.agrm_id WHERE v.archive=0 AND v.template=0 AND v.vg_id='468'
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT `ani_id` FROM `radblacklog` `r` LEFT JOIN `gr_staff` `g` ON `g`.`group_id`=`r`.`group_id` LEFT JOIN `vgroups` `v` ON `v`.`vg_id`=r.`vg_id` OR `v`.`tar_id`=`r`.`tar_id`WHERE `r`.`nas_id`='3' AND (`r`.`ani`='__empty__' OR `r`.`ani` IS NULL) AND (`r`.`vg_id`='468' OR `r`.`vg_id` IS NULL) AND (`g`.`vg_id`='468' OR `g`.`vg_id` IS NULL) AND (`v`.`tar_id`=`r`.`tar_id` OR `r`.`tar_id` IS NULL) LIMIT 1
20.06.2012 17:14:27 VERBOSE     0x454ee940      [CheckBlackList:659]    ANI '' (User '01021970') is clean
20.06.2012 17:14:27 VERBOSE     0x454ee940      [AuthenticateFromDB:544]        User '01021970' (vg_id = 468)
20.06.2012 17:14:27 VERBOSE     0x454ee940      [AuthenticateFromDB:590]        User: '01021970', Remulate mode, unlimited session timeout (864000)
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT sess_ani, direction FROM sessionsradius WHERE vg_id=468
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT t.segment, t.mask, m.record_id FROM staff t JOIN segments s ON t.segment_id = s.record_id LEFT JOIN mac_staff m ON m.record_id = t.record_id WHERE t.vg_id=468 AND s.guest=0 AND s.nas_id IN (-1,0,3) AND (m.mac = '' OR m.mac IS NULL) ORDER BY (m.mac IS NULL), t.segment = '0' DESC, s.nas_id DESC
20.06.2012 17:14:27 VERBOSE     0x454ee940      [GetClientIPAddr:1396]  Client IP/Netmask: 172.16.3.102/255.255.255.255, ANI: ""
20.06.2012 17:14:27 INFO        0x454ee940      [RunAuthRequest:674]    Access-Accept, <01021970> [468], Session-Id 0/0/0/0_C0A80BF100000019
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:677]    =============== Output attributes dump: ===============
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:741]    Attribute 'Session-Timeout', value: "864000"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:747]    Attribute 'Service-Type', value: "2"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:753]    Attribute 'Framed-Protocol', value: "1"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:762]    Attribute 'Framed-IP-Address', value: "172.16.3.102"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:764]    Attribute 'Framed-IP-Netmask', value: "255.255.255.255"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:770]    Attribute 'Class', value: "00000468"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [RunAuthRequest:823]    Attribute 'Acct-Interim-Interval', value: "60"
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT group_id FROM rnas r JOIN device_groups_members m USING (device_id) WHERE r.nas_id = 3
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT `d`.`radius_type`, `d`.`vendor`, `d`.`tagged`, `d`.`name`, `d`.`value_type`, `a`.`tag`, `a`.`value` FROM `radius_attrs` `a` JOIN  `dictionary` `d` ON `a`.`attr_id` = `d`.`record_id` JOIN ((SELECT `a`.`record_id` FROM `radius_attrs` `a` WHERE `a`.`shape` = '8888' OR `a`.`vg_id` = '468') UNION (SELECT `a`.`record_id` FROM `radius_attrs`  `a` JOIN `gr_staff` `g` USING (`group_id`) WHERE `g`.`vg_id` = '468') UNION (SELECT `a`.`record_id` FROM `radius_attrs` `a` WHERE `a`.`tar_id` = '140' AND `a`.`cat_idx` IS NULL) UNION (SELECT record_id FROM  radius_attrs WHERE id = 2 AND ( (nas_id = 3) OR (nas_id IS NULL) ) AND group_id IS NULL AND vg_id IS NULL AND tar_id IS NULL AND cat_idx IS NULL AND shape IS NULL AND service IS NULL)) `t` ON `t`.`record_id ` = `a`.`record_id`WHERE `a`.`radius_code` = '2' AND `a`.`id` = '2' AND (`a`.`nas_id` = '3' OR (`a`.`nas_id` IS NULL))
20.06.2012 17:14:27 VERBOSE     0x454ee940      [AddAttrs:566]  Unknown VSA 1, vendor Cisco, value: "lcp:interface-config=rate-limit input 256000 48000 96000 conform-action transmit exceed-action drop"
20.06.2012 17:14:27 VERBOSE     0x454ee940      [AddAttrs:566]  Unknown VSA 1, vendor Cisco, value: "lcp:interface-config=rate-limit input 256000 48000 96000 conform-action transmit exceed-action drop"
20.06.2012 17:14:27 DEBUG       0x454ee940      [do_sql_query:350]      SELECT `d`.`radius_type`, `d`.`vendor`, `d`.`tagged`, `d`.`name`, `d`.`value_type`, `a`.`tag`, `a`.`value` FROM `radius_attrs` `a` JOIN  `dictionary` `d` ON `a`.`attr_id` = `d`.`record_id` JOIN categories c ON c.tar_id = '140' AND c.cat_idx = '0' AND c.uuid = a.service AND a.service_for_list = '1' WHERE `a`.`radius_code` = '2' AND `a`.`id` = '2' AND (`a`.`nas_id` = '3' OR `a`.`nas_id` IS NULL)

После проведенных настроек, со стороны Cisco на виртуальном интерфейсе будет назначен rate-limit:

R2811#sh interface Virtual-Access3 rate-limit
Virtual-Access3
  Input
    matches: all traffic
      params:  256000 bps, 48000 limit, 96000 extended limit
      conformed 22 packets, 1696 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 292ms ago, current burst: 0 bytes
      last cleared 00:00:21 ago, conformed 0 bps, exceeded 0 bps

  Output
    matches: all traffic
      params:  256000 bps, 48000 limit, 96000 extended limit
      conformed 0 packets, 0 bytes; action: transmit
      exceeded 0 packets, 0 bytes; action: drop
      last packet: 368338648ms ago, current burst: 0 bytes
      last cleared 00:00:21 ago, conformed 0 bps, exceeded 0 bps

Cisco коммутатор 3 уровня настройка

Как настроить коммутаторы cisco 3 уровня, на примере cisco 3560

Как настроить коммутаторы cisco 3 уровня, на примере cisco 3560

настроить cisco 3560

Всем привет, сегодня хочу рассмотреть вопрос, о том как настроить коммутаторы cisco 3 уровня модели OSI, на примере cisco 3560. Напомню, что коммутаторы cisco 3 уровня не используются для выхода в интернет в качестве шлюза, а только маршрутизируют трафик между vlan в локальной сети. Для выхода в интернет cisco как и все вендоры предоставляет маршрутизатор? ниже представлена самая распространенная схема подключения.

Оборудование и схема сети

Предположим, что у меня коммутатор 3 уровня cisco 3560 24 порта, он выглядит как то вот так.

Он будет маршрутизировать трафик между vlan в моей локальной сети, и к нему допустим будут подключены 3 коммутатора 2 уровня модели OSI, уровня доступа, коммутаторы cisco 2960, а сам cisco 3560 будет выступать в качестве коммутатора уровня распределения. Напомню, что на втором уровне коммутируется трафик на основе mac адресов. Уровень доступа это куда подключаются конечные устройства, в нашем случае компьютеры, сервера или принтеры.. Ниже схема.

Что такое коммутатор второго уровня

Коммутатор второго уровня это железка работающая на втором уровне сетевой модели OSI

  • Коммутирует трафик на основе мак адресов
  • Используется в качестве уровня доступа
  • Служит для первичного сегментирования локальных сетей
  • Самая маленькая стоимость за порт/пользователь

В технической документации коммутатор второго уровня обозначает в виде вот такого значка

Что такое коммутатор третьего уровня

Коммутатор третьего уровня это железка работающая на третьем уровне модели OSI умеющая:

  • IP маршрутизация
  • Агрегирование коммутаторов уровня доступа
  • Использование в качестве коммутаторов уровня распределения
  • Высокая производительность

В технической документации коммутатор третьего уровня обозначает в виде вот такого значка

Помогать мне будет в создании тестового стенда программа симулятор сети, Cisco packet tracer 6.2. Скачать Cisco packet tracer 6.2, можно тут. Вот более детальная схема моего тестового полигона. В качестве ядра у меня cisco catalyst 3560, на нем два vlan: 2 и 3, со статическими ip адресами VLAN2 192.168.1.251 и VLAN3 192.168.2.251. Ниже два коммутатора уровня доступа, используются для организации VLAN и как аплинки. В локальной сети есть 4 компьютера, по два в каждом vlan. Нужно чтобы компьютер PC3 из vlan2 мог пинговать компьютер PC5 из vlan3.

С целью мы определились можно приступать. Напоминать, про то что такое vlan я не буду можете почитать тут.

Настройка cisco коммутатора 2 уровня

Настройка коммутатора второго уровня очень простая. Начнем настройку cisco catalyst 2960, как вы видите у меня компьютеры PC03 и PC04 подключены к Switch0, портам fa0/1 и fa0/2. По плану наш Switch0 должен иметь два vlan. Приступим к их созданию. Переходим в привилегированный режим и вводим команду

теперь в режим конфигурации

Создаем VLAN2 и VLAN3. Для этого пишем команду

задаем имя пусть так и будет VLAN2

Выходим из него

Аналогичным образом создаем VLAN3.

Теперь добавим интерфейс fa0/1 в vlan 2, а интерфейс fa0/2 в vlan 3. Пишем команду.

Говорим что порт будет работать в режиме доступа

switchport mode access

закидываем его в VLAN2

switchport access vlan 2

Теперь добавим fa0/2 в vlan 3.

switchport mode access

switchport access vlan 3

Теперь сохраним это все в памяти коммутатора командой

Настроим теперь trunk порт. В качестве trunk порта у меня будет гигабитный порт gig 0/1. Вводим команду для настройки порта gig 0/1.

Сделаем его режим trunk

И разрешим через транк нужные вланы

Сохраняем настройки. Все настройка коммутатора второго уровня почти закончена.

Теперь таким же методом настраивает коммутатор Switch2 и компьютеры PC5 в VLAN2 и PC6 в VLAN3. Все на втором уровне модели OSI мы закончили, переходим к 3 уровню.

Настройка cisco 3560

Настройка cisco 3560, будет производится следующим образом. так как наше ядро должно маршрутизировать внутренний локальный трафик, то мы должны создать такие же vlan, задать им ip адреса, так как они будут выступать в роли шлюзов по умолчанию, а так же trunk порты.

Начнем с транк портов, у нас это gig 0/1 и gig 0/2.

заходим в настройку интерфейса gig 0/1 и gig 0/2

int range gig 0/1-2

Попытаемся включить режим транка

switchport mode trunk

но в итоге вы получите вот такую подсказку: Command rejected: An interface whose trunk encapsulation is «Auto» can not be configured to «trunk» mode. Смысл ее в том, что вам сначала предлагают включить инкапсуляцию пакетов. Давайте настроим инкапсуляцию на cisco 3560.

Теперь укажем режим и разрешенные vlan

switchport mode trunk

switchport trunk allowed vlan 2,3

Сохраним настройки Cisco

Далее создадим vlan и назначим им ip адреса, которые будут выступать в роли шлюзов.

Назначим ip адреса для каждого из них, напомню для vlan 2 это 192.168.1.251/24, а для vlan 3 192.168.2.251/24

ip address 192.168.1.251 255.255.255.0

ip address 192.168.2.251 255.255.255.0

Теперь включим маршрутизацию между vlan, делается это командой

Проверка доступности

Открываем командную строку на PC3 и пробуем пропинговать его самого, шлюз и PC5. Вводим по очереди

Видим, что все отлично пингуется, значит связь есть.

Проверим теперь с PC3 соседа из VLAN3 PC6

Как видим, первый запрос потерялся, это происходит по тому, что перестроилась arp таблица, а дальше видим пакеты доходят до адресата.

Как видите настройка коммутатора второго уровня и третьего закончена. Задача выполнена. Вот как можно использовать коммутаторы cisco 3 уровня, и создать отличное ядро локальной сети. Если у вас есть вопросы и пожелания пишите в комментариях.

Read this article in English

Рассмотрим случай, когда требуется подключить несколько отделов фирмы в разные логические сети Vlan и обеспечить их связность, используя один коммутатор 3 уровня Cisco 3560. Все команды будут актуальны также для модели Cisco 3850 и для других коммутаторов Cisco.

Требуется организовать следующие сети (Vlan):

— Сеть отдела продаж ( 192.168.10.0 255.255.255.0)
— Сеть бухгалтерии ( 192.168.20.0 255.255.255.0)
— Сеть администраторов ( 192.168.100.0 255.255.255.0)
— Сеть для управления сетевым оборудованием ( 192.168.1.0 255.255.255.0)

Важно!
Устройства 2го уровня способны передавать данные только внутри одной сети и осуществляют передачу на основе информации о MAC адресах. Устройства 3го уровня используются для передачи данных между различными сетями и руководствуются информацией об ip адресах.

Коммутатор 3его уровня (Например Cisco 3560 или Cisco 3850) представляет собой совмещенные в одном устройстве коммутатор 2ого уровня модели OSI (или уровня доступа) и маршрутизатор (устройство 3го уровня).

Важно!
Один коммутатор Cisco 3560 фактически заменяет собой связку коммутатора Cisco 2960 и маршрутизатора Cisco 2811. Однако использовать такой коммутатор для внешних соединений крайне не рекомендуется. Интернет и любые внешние каналы следует подключать вначале к отдельному маршрутизатору или межсетевому экрану, а коммутаторы 3го уровня использовать только для организации внутренней сети.

(Решение аналогичной задачи организации нескольких Vlan на коммутаторе уровня доступа Cisco 2960 (2го уровня) и маршрутизатора Cisco 2811 рассмотрено в этой статье)

Шаг 0. Очистка конфигурации

(Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)

После извлечения коммутатора из коробки, подключаемся к нему с помощью консольного кабеля и очищаем текущую конфигурацию, зайдя в привилегированный режим и выполнив команду write erase. (Подробнее о режимах конфигурирования оборудования Cisco можно прочитать в этой статье)
Switch > enable
Switch# write erase
/подтверждение очистки конфигурации/
Switch# reload
/подтверждение перезагрузки/

После выполнения коммутатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no

Шаг 1. Имя устройства

Присвоим коммутатору имя SWR-DELTACONFIG-1. (SWR – сокращение названия SWitch Router) Для этого зайдем в режим конфигурирования(conf t) и введем следующие команды:
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# hostname SWR-DELTACONFIG-1
SWR-DELTACONFIG-1 (config)#

Название устройства изменится со «Switch» на заданное значение.

Шаг 2. Интерфейс для удаленного управления

Для удаленного управления устройством зададим ip адрес на интерфейсе Vlan 1. После не забудьте включить его командой no shutdown
SWR-DELTACONFIG-1(config)#
interface vlan 1
ip address 192.168.1.1 255.255.255.0
no shutdown

Шаг 3. Авторизация пользователей

Настраиваем авторизацию для доступа к коммутатору. Для этого:

  • Задаем пароль доступа к привилегированному режиму (знак # рядом с названием устройства) командой enable secret
  • Создаем учетную запись пользователя и пароль для удаленного подключения командой username … secret …

SWR-DELTACONFIG-1(config)#
enable secret *****
username admin secret *****

Включаем авторизацию, с использованием локальной базы данных пользователей и паролей
SWR-DELTACONFIG-1(config)#
line vty 0 4
login local

Для проверки доступности enable режима (#) после ввода этих команд выходим из всех режимов конфигурирования (командой exit в каждом из режимов или сочетанием клавиш Ctrl+Z), оказываемся в первоначальном режиме (обозначается знаком «>«) и пробуем вновь зайти в привилегированный режим (#). На запрос пароля вводим тот, что мы задали.

Если ничего не напутали, то видим примерно следующее:
SWR-DELTACONFIG-1 >enable
Password: *****
SWR-DELTACONFIG-1 #

Проверку удаленного доступа можно осуществить , запустив из командной строки рабочей станции команду C:>telnet 192.168.1.1. Должно открыться окно приветствия и запрошен логин и пароль администратора.

После того, как убедитесь, что устройство доступно по протоколу Telnet (TCP порт 23) рекомендую настроить защищенный доступ по протоколу SSH (TCP порт 22). Подробные инструкции приведены в этой статье.

Шаг 4. Создание Vlan

Создаем Vlan для каждого из отделов и присваиваем им порядковые номера и названия.
SWR-DELTACONFIG-1(config)#
vlan 10
name NET_SALES
vlan 20
name NET_ACCOUNT
vlan 100
name NET_ADMIN
Сеть Vlan 1, которая будет использована для управления сетевым устройством, всегда присутствует на коммутаторе по умолчанию.
Проверить текущие настройки Vlan можно, выполнив команду show vlan:
SWR-DELTACONFIG-1# show vlan
VLAN Name Status Ports
—- ——————————— ——— ——————————-
1 default active Gi0/1, Gi0/2 , /. вырезано. /
10 NET_SALES active
20 NET_ACCOUNT active
100 NET_ADMIN active
/. вырезано. /

Убеждаемся, что все созданные нами сети присутствуют в списке.

Шаг 5. Привязка портов

Соотносим порты коммутатора созданным сетям Vlan. На коммутаторе в примере 24 порта Gigabit Ethernet.. Выделим первые 6 портов в сеть администраторов (Admin Vlan 100), 12 портов в сеть отдела продаж (Sales Vlan 10) и 6 портов в сеть для бухгалтерии (Account Vlan 20). На каждом интерфейсе коммутатора для удобства дальнейшего администрирования добавим примечания командой description. Это обычное текстовое поле, которое никак не влияет на другие настройки.
SWR-DELTACONFIG-1(config)#
interface range gi 0/1 – 6
switchport access vlan 100
description NET_ADMIN
interface range gi 0/7 – 18
switchport access vlan 10
description NET_SALES
interface range gi 0/19 – 24
switchport access vlan 20
description NET_ACCOUNT
После этого рядом с каждым Vlan в выводе команды sh vlan будут указаны принадлежащие ему порты

SWR-DELTACONFIG-1# show vlan
VLAN Name Status Ports
1 default active
10 NET_SALES active Gi0/7, Gi0/8, Gi0/9, Gi0/10, Gi0/11, Gi0/12, Gi0/13, Gi0/14,
Gi0/15, Gi0/16, Gi0/17, Gi0/18
20 NET_ACCOUNT active Gi0/19, Gi0/20, Gi0/21, Gi0/22, Gi0/23, Gi0/24
100 NET_ADMIN active Gi0/1, Gi0/2, Gi0/3, Gi0/4, Gi0/5, Gi0/6
/…вырезано. /
Важно!
Введенными командами мы разделили один физический коммутатор на 4 логических (Vlan 1, Vlan 10, Vlan 20 и Vlan 100). Сразу после этого взаимодействие будет осуществляться только(!) между портами, принадлежащими одному и тому же Vlan.

Важно!
На данный момент рабочие станции, подключенные в порты, принадлежащие разным Vlan, не смогут(!) взаимодействовать друг с другом даже если будет настроена адресация из одной сети.

Шаг 6. Маршрутизация

Для взаимодействия между сетями следует создать виртуальные интерфейсы 3его уровня для каждого Vlan.
SWR-DELTACONFIG-1 (config)#
inter vlan 10
ip address 192.168.10.1 255.255.255.0
description Sales
no shut
inter vlan 20
ip address 192.168.20.1 255.255.255.0
description Account
no shut
inter vlan 100
ip address 192.168.100.1 255.255.255.0
description Admins
no shut
SWR-DELTACONFIG-1 (config)# ip routing
Важно!
Ввод команды ip routing не является обязательным на большинстве современных версиях операционной системы IOS, так как маршрутизация пакетов включена по умолчанию.

Для сравнения: на коммутаторе 2ого уровня из указанной ранее инструкции возможно использование лишь одного интерфейса 3его уровня Vlan 1 и только для управления устройством. Именно поэтому в той статье для организации взаимодействия между сетями дополнительно используется маршрутизатор Cisco 2811.

В итоге все рабочие станции сети должны быть доступны друг другу после подключения их в соответствующие порты коммутатора. Проверять следует командой ping, выполнив ее из командной строки на рабочих станциях.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
SWR-DELTACONFIG-1# write
Building configuration.
[OK]

пятница, 22 января 2016 г.

Настройка топологии сети организации Cisco L2 и L3 уровня + Mikrotik

Будем строить вот такую сеть на устройствах cisco

Описание сети:
VLAN1(default-IT) – 192.168.1.0/24
VLAN2(SHD) – 10.8.2.0/27
VLAN3(SERV) – 192.168.3.0/24
VLAN4(LAN) – 192.168.4.0/24
VLAN5(BUH) – 192.168.5.0/24
VLAN6(PHONE) – 192.168.6.0/24
VLAN7(CAMERS) – 192.168.7.0/24

Устройства:
Коммутаторы cisco с2960 L2-уровня – 3шт
Коммутатор cisco с3560 L2 и L3-уровня – 1шт
Все коммутаторы будут в VLAN1 и имеют сеть 192.168.1.0/24

Маршрутизатор любой(у меня Mikrotik RB750) – 1шт

Сервер Win2008 (DHCP) – для раздачи ip адресов
В каждом VLAN по 2 компьютера как оконечные устройства.

Для начала настроим коммутатор cisco L2 уровня sw1
По умолчанию все порты находятся в VLAN1 так что его создавать не будем.

  1. Подключаемся к консоли: telnet 192.168.1.1
  2. Вводим пароль
  3. sw1>enable (Переходим в привилегированный режим для ввода команд)
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# vlan 2 (Создаем VLAN)
  3. sw(config-vlan)# name SHD (присваиваем имя этому VLAN2)
  4. sw(config-vlan)# exit (выход)
  5. Повторяем действия если необходимо добавить VLAN
  6. sw# show vlan brief (смотрим какие VLAN создали)
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int fa0/3 (для одного порта Выбираем интерфейс)
  3. sw(config)# int fa0/3-4 (для нескольких сразу портов Выбираем интерфейс)
  4. sw(config-if)# switchport mode access (Указываем что этот порт будет для устройств)
  5. sw(config-if)# switchport access vlan 2 (назначаем этому порту VLAN2)
  6. sw(config-if)# no shutdown (включаем интерфейс)
  7. sw(config-if)# exit
  8. Повторяем действия для необходимых портов
  9. sw# show run (смотрим какие настройки устройства)
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int gi0/1 (для одного порта Выбираем интерфейс)
  3. sw(config)# int gi0/1-2 (для нескольких сразу портов Выбираем интерфейс)
  4. sw(config-if)# switchport mode trunk (Указываем что этот порт будет для VLAN)
  5. sw(config-if)# switchport trank allowed vlan 2,3, (указываем какой VLAN будет проходить)
  6. sw(config-if)# no shutdown (включаем интерфейс)
  7. sw(config-if)# exit
  8. Повторяем действия для необходимых портов
  1. Так как данное устройство у нас L2, он не понимает что такое ip-адреса.
  2. Компьютеры подключенные к этим портам могут видеть друг друга в пределах своего заданного VLAN. Тоесть из VLAN1 я не попаду в VLAN2 и наоборот.
  3. Настроили гигабитный порт для передачи VLAN коммутатору sw2 -cisco 3560-L2L3.

Добавляем к уже созданной нами сети на L2 коммутаторе(sw1), коммутатор(sw2) cisco-3560 L2L3

Настроим наше устройство 3560 L3(понимает ip адреса и делает маршрутизацию между VLAN)


1. Необходимо создать все VLAN которые будут описывать вашу топологию сети, так как данный коммутатор L3 будет маршрутизировать трафик между VLAN.

  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# vlan 4 (Создаем VLAN)
  3. sw(config-if)# name LAN (присваиваем имя этому VLAN2)
  4. sw(config-if)# exit (выход)
  5. Повторяем действия если необходимо добавить VLAN
  6. sw# show vlan brief (смотрим какие VLAN создали)

2. Определяем порты для подключения компьютеров.

  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int fa0/1 (для одного порта Выбираем интерфейс)
  3. sw(config)# int fa0/3-7 (для нескольких сразу портов Выбираем интерфейс)
  4. sw(config-if)# switchport mode access (Указываем что этот порт будет для устройств)
  5. sw(config-if)# switchport access vlan 9 (назначаем этому порту VLAN9)
  6. sw(config-if)# no shutdown (включаем интерфейс)
  7. sw(config-if)# exit
  8. Повторяем действия для необходимых портов
  9. sw# show run (смотрим какие настройки устройства)
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int gi0/1 (для одного порта Выбираем интерфейс)
  3. sw(config)# int gi0/1-2 (для нескольких сразу портов Выбираем интерфейс)
  4. Так как мы настраиваем L3 нам необходимо перебрасывать из физ.порта в виртуальный порт ip-адреса и наоборот (инкапсуляция)
  5. sw(config-if)# switchport trunk encapsulation dot1q (Указываем инкапсуляцию)
  6. sw(config-if)# switchport mode trunk (Указываем что этот порт будет для VLAN)
  7. sw(config-if)# switchport trank allowed vlan 1-7, (указываем какой VLAN будет проходить)
  8. sw(config-if)# no shutdown (включаем интерфейс)
  9. sw(config-if)# exit
  10. Повторяем действия для необходимых портов

4. Переводим маршрутизатор в режим L3

  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# ip routing (включаем маршрутизацию)

5. Так как наш коммутатор L3 уровня, вешаем ip адреса на VLAN на порты для маршрутизации трафика.
Для межсетевого взаимодействия VLAN (чтобы можно было попасть из VLAN2 в VLAN3 и т.д)

Задаем всем виртуальным интерфейсам VLAN, ip адреса

  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int vlan 2 (на VLAN2 вешаем ip адрес)
  3. sw(config)# ip address 10.8.2.1 255.255.255.224 (этот адрес будет шлюзом для данной подсети)
  4. sw(config-if)# no shutdown (включаем интерфейс)
  5. sw(config-if)# exit
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int vlan 3 (на VLAN3 вешаем ip адрес)
  3. sw(config)# ip address 192.168.3.1 255.255.255.0 (этот адрес будет шлюзом для данной подсети)
  4. sw(config-if)# no shutdown (включаем интерфейс)
  5. sw(config-if)# exit
  6. Повторяем действия для необходимых интерфейсов
  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# int vlan 9 (на VLAN9 вешаем ip адрес)
  3. sw(config)# ip address 192.168.9.2 255.255.255.0 (этот адрес будет шлюзом для данной подсети)
  4. sw(config-if)# no shutdown (включаем интерфейс)
  5. sw(config-if)# exit
  6. Повторяем действия для необходимых интерфейсов

6. Для выхода во внешнюю сеть(интернет) через наш маршрутизатор Mikrotik, необходимо прописать маршрут неизвестных запросов(внутренней сети) во внешнюю сеть. Для этого пропишем маршрут по умолчанию, т.к наш роутер один для выхода в интернет.

  1. sw# conf-t (переходим в режим настройки)
  2. sw(config)# ip route 0.0.0.0 0.0.0.0 192.168.9.1 (все внутренние неизвестные сети отправляем через маршрутизатор с ip адресом 192.168.9.1 )
  3. sw(config-if)# exit

Маршрутизация, на примере одного маршрутизатора ~ Сетевые заморочки

Сегодня, мы с вами, начнем знакомиться с азами маршрутизации. Вопросы маршрутизации будут рассматриваться как в общем плане, так и применительно к устройствам фирмы Cisco.  В данной статье мы поговорим о маршрутизации между  различными сетями, непосредственно подключенными к интерфейсам маршрутизатора.
И так, давайте представим с вами такую ситуацию. У нас есть всего один маршрутизатор (предположим фирмы Cisco), и к его интерфейсам подключены сети с различными адресациями. Что нужно сделать в такой ситуации, чтобы настроить маршрутизацию между ними? Правильный ответ: только задать интерфейсам маршрутизатора IP адреса, из диапазона адресов, подключенных к нему сетей. Прописывать какие либо маршруты на маршрутизаторе не нужно, он все сделает за вас.
Посмотрим, как это происходит на конкретном примере. Откроем горячо любимый нами Cisco Packet Tracer и соберем в нем следующую сеть:
Маршрутизатор связывает две сети между собой
Для этого добавим в рабочую область один маршрутизатор (например, Cisco 2811). Зададим его интерфейсам IP адреса из диапазонов, приведенных выше сетей. Интерфейсу FastEthernet 0/0 присвоим IP адрес 192.168.1.1  с маской 24, а интерфейсу  FastEthernet 0/1 IP адрес             10.10.10.1 с маской 8. Для этого на маршрутизаторе в режиме конфигурирования выполним следующие команды:  Router(config)#interface fastEthernet 0/0  Router(config-if)#ip address 192.168.1.1 255.255.255.0  Router(config-if)#no shutdown  Router(config-if)#exit  Router(config)#interface fastEthernet 0/1  Router(config-if)#ip address 10.10.10.1 255.0.0.0

  Router(config-if)#no shutdown

Немного поясним значение данных команд. Команда  interface fastEthernet 0/0 служит для того чтобы перейти к конфигурированию интерфейса fastEthernet 0/0 маршрутизатора (в тот момент когда вы ее выполняете указатель ввода Router(config) меняется на Router(config-if), это свидетельствует о том, что вы конфигурируете уже не весь маршрутизатор, а лишь один отдельно выбранный интерфейс). Команда ip address 192.168.1.1 255.255.255.0 позволяет задать указанному выше интерфейсу, ip адрес 192.168.1.1 с маской 255.255.255.0.  Команда no shutdown включает выбранный интерфейс (По умолчанию все интерфейсы маршрутизатора находятся в отключенном состоянии).






После того как вы применили данные команды команды, выйдите из режима конфигурации и выполните команду  show ip route. Данная команда отобразит вам содержимое таблицы маршрутизации маршрутизатора.

Совершенно пустая таблица маршрутизации

Как видно из рисунка. Таблица маршрутизации на данный момент пуста. На экране отобразилась лишь справочная информация о сокращениях, используемых для обозначения маршрутов. Можете почитать ее, в будущем она  нам пригодиться.

Теперь подключим к нашему маршрутизатору сети, с указанными на самом первом рисунке статьи адресациями. «Сети» это конечно громко сказано, просто подключим к интерфейсам маршрутизатора по одному компьютеру. Сначала, подключим к интерфейсу FastEthernet 0/0 компьютер с IP адресом 192.168.1.100, маска 24 , в качестве основного шлюза укажите ему 192.168.1.1. Для подключения используйте тип соединения Copper Cross-Over. В Cisco Packet Tracer это будет выглядеть следующим образом:

Постепенно собираем нашу сеть

После этого не подключайте сразу второй компьютер, а перейдите на маршрутизатор и посмотрите содержимое его таблицы маршрутизации. Оно будет иметь следующий вид:

Содержимое таблицы маршрутизации

Как можно заметить в нашей таблице по умолчанию появился один маршрут, а точнее информация о подключенной непосредственно к маршрутизатору сети, выглядящая как «C    192.168.1.0/24 is directly connected, FastEthernet0/0». Что обозначает данная запись. Буква C обозначает, что данная сеть подключена непосредственно к данному маршрутизатору, 192.168.1.0/24 – это адрес данной сети, а FastEthernet0/0 – это интерфейс через который она подключена.

Теперь подключим в Packet Tracer к маршрутизатору второй компьютер. Компьютеру зададим IP адрес 10.10.10.100, маска 24, в качестве основного шлюза укажем 10.10.10.1.

Сеть в сборе

После этого снова просмотрим содержимое таблицы маршрутизации маршрутизатора:

Еще раз заглянули в таблицу маршрутизации
Как легко заметить, в ней появилась информация и о второй, подключенной к маршрутизатору сети. Проверим доступность компьютеров одной сети из другой. Для этого перейдите в консоль компьютера с адресом 10.10.10.100 и выполните в ней команду ping 192.168.1.100. Если пинги проходят, то все ок – маршрутизация работает. Для интереса так же можете выполнить tracert  192.168.1.100.
Выполнение трассировки

Как видно из рисунка, на пути к 192.168.1.100 пакеты сначала попадают на интерфейс маршрутизатора с IP адресом 10.10.10.1,  маршрутизируются и потом поступают на компьютер с адресом 192.168.1.100 в  другой сети.

Вот так не сложно настраивается маршрутизация между сетями, подключенными к одному маршрутизатору.  Если же в вашей сети имеется несколько маршрутизаторов, то процесс настройки будет немного сложнее. Об этом мы поговорим в следующей статье. 

Конфигурация и настройка DHCP на оборудовании Cisco

Сегодня расскажем о том, чем интересна настройка DHCP. Представляем вашему вниманию краткое учебное пособие, описывающее, как настроить маршрутизатор Cisco как DHCP-сервер. Мы расскажем о исключении, резервировании IP-адресов. DHCP-сервер динамически назначает IP-адреса узлам (хостам) в сети, создавая исключения ip адресов в DHCP пуле, также мы можем статически выдавать IP-адрес хосту на основе его MAC-адреса.

Исключение IP-адреса предотвращает конфликты между устройствами. При настройке, исключение DHCP должно быть выполнено по-разному для клиентов Windows и клиентов Linux, потому что эти ОС выполняют DHCP-запросы по-разному.

 

Настройка пула DHCP на Cisco

На маршрутизаторе Cisco используйте следующие команды для создания пула IP-адресов со шлюзом по умолчанию, DNS-сервером и временем аренды.

R1>enable
R1#configure terminal
R1(config)#ip dhcp pool sedicomm1
R1(dhcp-config)#network 192.168.0.0 255.255.255.0
R1(dhcp-config)#default-router 192.168.0.1
R1(dhcp-config)#dns-server 8.8.8.8 8.8.4.4
R1(dhcp-config)#lease 4 6 30

 

Имя пула — sedicomm1 (может быть любым), оно содержит адреса от 192.168.0.1 до 192.168.0.254, шлюз по умолчанию — 192.168.0.1, DNS-серверы – 8.8.8.8 и 8.8.4.4. Вы можете добавить больше IP-адресов разделяя их пробелами. Наконец, время аренды указывает, как долго IP-адреса будут действительны до того, как клиент сможет их обновить. В нашем случае — 4 дня, 6 часов и 30 минут.

 

Исключение IP-адреса в пуле DHCP

Определенные IP-адреса, такие как IP-адрес шлюза по умолчанию (маршрутизатора ) и самого DHCP-сервера, назначаются вручную. Поскольку пул DHCP охватывает всю подсеть, содержащую назначенные вручную IP-адреса, то могут возникать конфликты. Следующая команда исключает только один IP-адрес из пула DHCP:

R1(config)#ip dhcp excluded-address 192.168.0.1

 

Чтобы исключить диапазон IP-адресов из пула DHCP, используйте следующую команду:

R1(config)#ip dhcp excluded-address 192.168.0.1 192.168.0.5

 

Настройка резервирования DHCP

Резервирование DHCP настраивается на основе MAC-адресов, IP статически назначается хосту с указанным MAC-адресом. Как говорилось ранее, резервирование DHCP должно быть настроено по-разному на основе клиента DHCP (хост, которому назначается IP) в зависимости от операционной системы.

 

Резервирование DHCP для клиентов Windows

Следуйте этим командам, если вы настраиваете резервирование для хоста Windows:

R1(config)#ip dhcp pool iisserver1
R1(dhcp-config)#client-identifier 0108.0027.d4e0.72
R1(dhcp-config)#host 192.168.0.20 255.255.255.0

 

Вам необходимо создать отдельный пул для каждого резервирования DHCP. Идентификатор клиента — это MAC-адрес хоста, добавленный с 01 в начале, поэтому в этом примере MAC-адрес хоста составляет 080027d4e072, добавив 01 в начале, получится 01080027d4e072, разделите четыре символа точками для более удобного восприятия — 0108.0027.d4e0.72.

 

Резервирование DHCP для клиентов Linux

Это процесс для статического назначения IP-адресов хостам Linux. Следуйте приведенным ниже командам:

R1(config)#ip dhcp pool apachesever1
R1(dhcp-config)#hardware-address 0800.270a.fe5d
R1(dhcp-config)#host 192.168.0.30 255.255.255.0

 

Аппаратный адрес — это MAC-адрес хоста Linux, просто введите его как есть. Создайте отдельный пул для каждого резервирования DHCP.

 

Полезные команды отладки Cisco DHCP
Для отображения IP-адресов, которые выданные хостам, используйте:

 

Отображение конфликтов IP в сети:

 

Отображение событий DHCP по мере их возникновения:
R1#debug ip dhcp server events

 

Отключение отладки:
R1#undebug ip dhcp server events

 

Установите интервал для очистки устаревших DHCP-привязок:
R1(config)#ip binding cleanup interval dhcp <10-600 секунд>

 

Очистка привязки вручную:
R1#clear ip dhcp binding <ip address>

 

 

Спасибо за уделенное время на прочтение статьи!

Если возникли вопросы, задавайте их в комментариях.

Подписывайтесь на обновления нашего блога и оставайтесь в курсе новостей мира инфокоммуникаций!

Чтобы знать больше и выделяться знаниями среди толпы IT-шников, записывайтесь на курсы Cisco, курсы по кибербезопасности,  полный курс по кибербезопасности, курсы DevNet (программируемые сети) от Академии Cisco, курсы Linux от Linux Professional Institute на платформе SEDICOMM University (Университет СЭДИКОММ).

Курсы Cisco, Linux, кибербезопасность, DevOps / DevNet, Python с трудоустройством!

Спешите подать заявку! Группы стартуют 25 января, 26 февраля, 22 марта, 26 апреля, 24 мая, 21 июня, 26 июля, 23 августа, 20 сентября, 25 октября, 22 ноября, 20 декабря.

Что Вы получите?

  • Поможем стать экспертом по сетевой инженерии, кибербезопасности, программируемым сетям и системам и получить международные сертификаты Cisco, Linux LPI, Python Institute.
  • Предлагаем проверенную программу с лучшими учебниками от экспертов из Cisco Networking Academy, Linux Professional Institute и Python Institute, помощь сертифицированных инструкторов и личного куратора.
  • Поможем с трудоустройством и стартом карьеры в сфере IT — 100% наших выпускников трудоустраиваются.

Как проходит обучение?

  • Проведем вечерние онлайн-лекции на нашей платформе.
  • Согласуем с вами удобное время для практик.
  • Если хотите индивидуальный график — обсудим и реализуем.
  • Личный куратор будет на связи, чтобы ответить на вопросы, проконсультировать и мотивировать придерживаться сроков сдачи экзаменов.
  • Всем, кто боится потерять мотивацию и не закончить обучение, предложим общение с профессиональным коучем.

А еще поможем Вам:

  • отредактировать или создать с нуля резюме;
  • подготовиться к техническим интервью;
  • подготовиться к конкурсу на понравившуюся вакансию;
  • устроиться на работу в Cisco по специальной программе. Наши студенты, которые уже работают там: жмите на #НашиВCisco Вконтакте, #НашиВCisco Facebook.
Чтобы учиться на курсах Cisco, Linux LPI, кибербезопасность, DevOps / DevNet, Python, подайте заявку или получите бесплатную консультацию.

Больше похожих постов

Маршрутизаторы с интегрированными сервисами Cisco 2811 и Cisco 2821. Руководство

.

Маршрутизатор интегрированных служб Cisco 2811 является элементом последовательности Маршрутизатор интегрированных служб Cisco 2800 , которая гармонизирует набор маршрутизаторов интегрированных служб. Интегрированный сервисный маршрутизатор 2811 обеспечивает поддержку скорости проводного соединения для синхронизированных услуг, таких как безопасность и голосовая связь, а также для более высоких скоростей T1/E1/DSL WAN. Этот интегрированный маршрутизатор также обеспечивает улучшенную защиту инвестиций за счет улучшенного представления и модульности, а также повышенной концентрации благодаря высокоскоростным слотам для карт WAN.Этот интегрированный сервисный маршрутизатор поддерживает расширенный сетевой слот модуля и вмещает более 90 доступных и инновационных компонентов. Его вспомогательные функции также включают в себя удержание превосходства доступных AIM, NM, VIC и VWIC. Он поддерживает два встроенных порта Fast Ethernet 10/100. Он имеет 2 задержки переключения в качестве дополнительного уровня с PoE.

Функции безопасности Cisco 2811 включают встроенное шифрование; поддерживать до 1500 каналов VPN с модулем AIM-EPI-PLUS.Он обеспечивает защиту от вирусов за счет контроля системного администрирования. Он обеспечивает ожидание прерывания, а также удержание брандмауэра cisco IOS с отслеживанием состояния и многие другие необходимые характеристики безопасности. Его голосовые функции и спецификации включают поддержку аналоговых и цифровых голосовых вызовов и выборочную поддержку голосовой почты. Он обеспечивает выборочную поддержку для диспетчера вызовов Cisco (Cisco CME) в ограниченном количестве вызовов, обрабатывающих до 36 IP-телефонов. Руководство по настройке маршрутизатора Cisco 2811 подробно описывает все функции и преимущества маршрутизатора cisco 2811 .

Руководство по маршрутизаторам с интегрированными сервисами Cisco 2811 и Cisco 2821 в формате PDF

Руководство по эксплуатации маршрутизатора Cisco 2811 похоже на справочник, в котором содержится полная информация о продукте и его использовании, а также информация об оборудовании, установке и подключении. Cisco 2811 окончание срока службы означает, что когда срок службы маршрутизатора заканчивается, вы можете подать заявку на новый продукт взамен неисправного, и вам уже назначена дата окончания срока службы.

cisco 2811 ,руководство по маршрутизатору cisco 2811 ,руководство по настройке cisco 2811 ,маршрутизатор Cisco 2811 ,руководство по маршрутизатору cisco 2821 ,CISCO 2821 ,конец срока службы cisco 2811 ,замена конца срока службы cisco 2821 ,руководство маршрутизатора с интегрированными сервисами Cisco 2821

Опубликовано в: Руководства Cisco, Маршрутизаторы Cisco | Tagged: Преимущества Cisco 2811, Серия Cisco 2800, Cisco 2811, Конец жизни cisco 2811, Руководство по настройке маршрутизатора cisco 2811, Руководство по маршрутизатору cisco 2811, Cisco 2821, Руководство по маршрутизаторам Cisco 2821, VPN-каналы

Внутри: Маршрутизатор Cisco 2811 | ИТ-образование

Это будет захватывающий блог, ребята.Мы собираемся разобрать маршрутизатор Cisco первого поколения серии 2800 и посмотреть на все внутренние компоненты. Давайте углубимся, так что это Cisco 2800, а точнее 2811. Это немного более старый маршрутизатор; Я полагаю, что Cisco прекратила их поддержку в 2016 году. Этот маршрутизатор был рабочей лошадкой предприятия и видел так много разных установок. Это невероятная рабочая лошадка для Cisco, это точно. Мы собираемся погрузиться в этот маршрутизатор и посмотреть на все внутренние компоненты. Для начала хочу описать, что здесь снаружи.Все маршрутизаторы выглядят немного по-разному, но, как правило, они имеют схожие компоненты. Это даст вам действительно хорошее представление о том, чего ожидать, когда вы видите какой-либо маршрутизатор в поле. Маршрутизатор Cisco 2811 — это маршрутизатор бизнес- или корпоративного уровня. Глядя сюда спереди, мы видим, что у нас есть только передняя панель и несколько важных портов на передней панели.

 

Консольный порт — у нас есть консольный порт, к которому мы подключаемся для фактической настройки маршрутизатора.

 

Вспомогательный порт — у нас есть вспомогательный порт, который является чем-то вроде нашей задней двери, если мы когда-нибудь потеряем доступ к консольному порту.

USB-порт — у нас также есть пара USB-портов. Мы можем подключить любой USB-накопитель, чтобы использовать его как дополнительный источник памяти.

 

Compact Flash — наша флэш-карта, на которой мы можем хранить вещи на маршрутизаторе внутри. На самом деле мы можем просто вытащить эту штуку и использовать ее в новом маршрутизаторе, если нам когда-нибудь понадобится заменить маршрутизатор.Хорошо иметь съемную компактную флэш-память, и она есть во всех современных маршрутизаторах.

Источник питания – У нас есть источник питания. Теперь эти маршрутизаторы серии 2800 фактически поставлялись из коробки без блока питания POE, он не мог поддерживать телефоны на коммутаторах. На блоке питания спереди написано IP, и на нем есть изображение телефона, что означает, что этот блок питания может включать телефоны, подключенные к этому маршрутизатору или к коммутатору, который мы подключили к маршрутизатору.Этот блок питания представляет собой блок питания Power over Ethernet. Может быть, вы думаете, зачем вам блок питания Power over Ethernet в роутере? Ну, ответ в том, что этот маршрутизатор поставляется с коммутатором Ethernet. Блок питания Power over Ethernet, который у нас есть, имеет дополнительную мощность, поэтому мы можем фактически питать этот Ethernet-коммутатор, а также любые телефоны или точки беспроводного доступа, подключенные к коммутатору. Это целый коммутатор Ethernet, подключенный к этому маршрутизатору. Зачем нам коммутатор как часть маршрутизатора? Что ж, этот маршрутизатор на самом деле является маршрутизатором филиала.

Допустим, у вас есть банк, например, и у вас есть филиал в одном из филиалов банка. Что ж, в этом филиале вам понадобится устройство для обработки всех сетевых подключений, и в этом случае у нас есть маршрутизатор филиала, который может обрабатывать маршрутизацию. Мы также хотели вставить переключатель здесь, потому что мы можем легко поддерживать хосты, как обычный коммутатор на одном устройстве. Так что в основном это экономит нам оборудование. Мы могли бы сделать ту же работу с полностью отдельным переключателем.Во всяком случае, просто чтобы объяснить вам, ребята, что у нас есть полный модуль.

Линейные карты – У нас также есть наши линейные карты здесь, сзади. Назначение этих линейных карт состоит в том, чтобы мы могли изменить тип интерфейса, который у нас есть для подключения к глобальной сети, или любой тип соединения, которое у нас есть в нашей сети. В данном случае у нас есть линейная карта T1. Должно быть, он был подключен через канал T1, потому что это карта T1 DSU CSU старой школы T1. Теперь, если бы мы подключались к чему-то другому, скажем, к Fast Ethernet, мы могли бы вставить карту Fast Ethernet сюда, или мы могли бы также вставить сюда голосовую карту.Мы можем использовать эти слоты расширения для настройки и добавления любого типа подключения к этому маршрутизатору. Вот чем так хороши маршрутизаторы корпоративного уровня.

 

Ethernet-коммутатор . Вы можете видеть, что это буквально целый коммутатор сам по себе, и это интерфейс, через который он фактически подключается к материнской плате маршрутизатора.

 

Встроенные интерфейсы — У нас также есть пара встроенных интерфейсов, которые независимо от того, что используется на этом маршрутизаторе.Таким образом, если бы вы купили этот маршрутизатор полностью «с нуля», у него было бы как минимум два интерфейса Ethernet. В случае с этим маршрутизатором это интерфейсы Fast Ethernet или 100 мегабит в секунду Ethernet. На более современных маршрутизаторах, таких как ASR G2 или даже маршрутизаторы Cisco серии 4000, это будут встроенные гигабитные порты. Это один недостаток, если у людей все еще есть эти серии 2000 в их сети, хотя эти маршрутизаторы будут работать довольно хорошо. Итак, это наши бортовые интерфейсы.

 

Ленточный кабель — Ленточный кабель — это то, что передает все данные из любого из наших слотов или любого из портов, включая флэш-плату, и передает их на основную плату.Поэтому я просто отключил все это от основной платы.

 

Внутренние компоненты

У нас есть вентилятор для нашего компонента воздушного потока, и у меня здесь много классических вещей. Например, это маршрутизатор, поэтому он будет иметь процессор, микросхему ПЗУ, а также NVRAM. Теперь эти три элемента: ЦП, который является процессором, постоянная память, ПЗУ, в котором хранится наш монитор ПЗУ, загрузочное ПЗУ и загрузочные файлы. У нас также есть энергонезависимая память NVRAM, которая также является частью материнской платы.Эти три элемента встроены в доску. Кроме того, у нас также есть оперативная память и RPM, а также наш расширенный модуль интеграции.

СВЯЗАННЫЙ: Хотите выделиться среди других кандидатов в ИТ? FSNA и FSNP могут быть вашим ответом

Итак, начиная с карты оперативной памяти, это точно так же, как в персональном компьютере. Мы можем просто потянуть за язычки и вытащить чип RAM. Это более старый маршрутизатор с 256 мегабайтами оперативной памяти. На современных картах вы увидите как минимум один гигабайт.Этот следующий чип, который выглядит точно так же, как чип RAM, на самом деле называется PVDM. Целью PVDM является размещение DSP или процессоров цифровых сигналов. Это необходимо для таких вещей, как транскодирование голосовых вызовов, а также просто обработка голосовых вызовов. Если у вас есть традиционный PRI или канал T1 с голосовым PRI, вам понадобится PDM, чтобы иметь возможность обрабатывать эти вызовы. В зависимости от объема памяти, который у вас есть на вашем PBM, определяется, сколько вызовов может фактически пройти через маршрутизатор.Теперь, если вы работаете с более новой технологией передачи голоса по IP, такой как, например, SIP, вам не нужен PVDF только для обработки вызовов. Что вам все еще нужно, так это такие вещи, как транскодирование. В любом случае, я хочу сказать, что это дополнительная карта только для вашего голосового трафика, и это похоже на чип RAM для голоса. Ваш PVDF, который также находится в маршрутизаторе. Итак, это компоненты нашей памяти. Следующее, на что я хотел бы обратить внимание, это модуль прицеливания. Это расширенный модуль интеграции для этой серии маршрутизаторов. У нас был дополнительный модуль, необходимый для выполнения таких операций, как шифрование.Если бы мы хотели, чтобы VPN-трафик проходил через этот маршрутизатор, нам пришлось бы создать VPN на этом маршрутизаторе, и нам потребовался бы этот дополнительный расширенный модуль интеграции. У этого модуля есть собственная память, собственный процессор и все такое.

Вы можете подумать, почему у него нет антистатического браслета? Ну, я действительно не беспокоюсь об этом маршрутизаторе, он очень старый. Для более новых вещей вам понадобится антистатический ремешок, если вы хотите убедиться, что у вас нет статического электричества, проходящего через ваше тело и выжигающего компонент печатной платы.Существуют различные типы модулей и функциональных карт, которые мы можем установить в наши маршрутизаторы. Одна из замечательных особенностей Cisco Systems, занимающих передовые позиции в области маршрутизации на протяжении стольких лет, заключается в том, что они действительно лидируют в универсальности маршрутизаторов, и вы можете видеть, что мы действительно можем настраивать эти вещи так же, как вы можете настраивать домашний компьютер или ПК. Хорошо, у нас есть маршрутизатор почти до его материнской платы, и вы можете видеть, что это точно так же, как если бы вы разобрали компьютер, отключили все компоненты и остались только с материнской платой.Это в значительной степени то, что мы только что сделали для этого маршрутизатора.

Заключение

Итак, теперь, ребята, я собираюсь собрать наш маршрутизатор. Разве это не было круто, ребята, я знаю, что мне это очень понравилось. [a]  Надеюсь, вы много узнали о том, что находится внутри маршрутизатора Cisco. Как я уже говорил, он проделал для нас большую работу. Это отличные маршрутизаторы, и если вы еще не приобрели маршрутизатор для своей лаборатории, это действительно хороший вариант. Вы можете разобрать его. Загляните внутрь себя, и вы можете найти этих парней на eBay относительно дешево в наши дни.

Для получения информации о программах обучения ИТ на полный рабочий день посетите сайт NexGenT.com.

Пошаговое руководство по настройке маршрутизатора Cisco

В этом руководстве объясняется, как шаг за шагом настроить маршрутизатор Cisco. Узнайте, как защитить (Enable & Privilege Exec Mode), стереть (Running Configuration), включить (Telnet-доступ), установить (имя хоста, баннер входа в систему и часовой пояс), настроить (FastEthernet и последовательный интерфейс) и несколько других важных задач в деталях с помощью Примеры.

Чтобы объяснить основные команды настройки маршрутизатора, я буду использовать программное обеспечение моделирования сети трассировщика пакетов. Вы можете использовать любое программное обеспечение симулятора сети или настоящий маршрутизатор Cisco, чтобы следовать этому руководству. В выводе нет никакой разницы, если выбранное вами программное обеспечение содержит команды, описанные в этом руководстве.

Создайте учебную лабораторию, как показано на следующем рисунке, или загрузите эту предварительно созданную учебную лабораторию и загрузите в средство трассировки пакетов

Загрузка практической топологии для базовой конфигурации маршрутизатора

Это практическое занятие является лишь рекомендацией для более четкого понимания основных команд настройки маршрутизатора, следование этому руководству не является обязательным.Вы можете следовать этому руководству с одним маршрутизатором или даже без маршрутизатора.

Доступ к командной строке маршрутизатора

Cisco IOS поддерживает различные режимы команд, среди которых перечислены основные режимы команд.

  • Пользовательский режим EXEC
  • Привилегированный режим EXEC
  • Глобальный режим конфигурации
  • Режим конфигурации интерфейса
  • Режим конфигурации подинтерфейса
  • Режим настройки
  • Режим мониторинга ПЗУ

В следующей таблице перечислены основные команды для перехода между различными режимами IOS.

0 Конфигурация интерфейса
Режим Подсказка Команда для входа Команда для выхода
Пользователь EXEC Маршрутизатор >
Режим по умолчанию после загрузки. Войти с паролем, если настроено. Использование Выход Команда
Privileged Exec Использование Включить Команда Включить Команда Используйте Выход Команда
Глобальная конфигурация Маршрутизатор (Config) # Используйте Configure Terminal Команда Privileged Mode Exec Использование Выход Команда
Маршрутизатор Маршрутизатор (Config-if) # Использование Тип интерфейса Номер Команда из глобальной настройки выход команда для возврата в режим глобальной конфигурации
конфигурация подинтерфейса маршрутизатор (config-subif) использовать тип интерфейса номер подинтерфейса команда из режима глобальной конфигурации или режима настройки интерфейса 0 0 использовать выйти вернуться назад режим нас.Используйте команду end , чтобы вернуться в привилегированный режим выполнения.
Настройка Параметр[Значение параметра]: Маршрутизатор автоматически перейдет в этот режим, если текущая конфигурация отсутствует Нажмите CTRL+C для отмены. Введите yes , чтобы сохранить конфигурацию, или no , чтобы выйти без сохранения, когда появится запрос в конце настройки.
ROMMON ROMMON > Введите команду reload из привилегированного режима выполнения.Нажмите комбинацию клавиш CTRL + C в течение первых 60 секунд процесса загрузки Используйте команду exit .
  • Команды IOS не чувствительны к регистру; вы можете вводить их в верхнем, нижнем или смешанном регистре.
  • Пароль чувствителен к регистру. Убедитесь, что вы вводите его в правильном регистре.
  • В любом режиме вы можете получить список команд, доступных в этом режиме, введя вопросительный знак (?).
  • Стандартный порядок доступа к режиму:
    . Режим User Exec => Режим Privileged Exec => Режим глобальной конфигурации => Режим конфигурации интерфейса => Режим конфигурации вспомогательного интерфейса
  • Маршрутизатор перейдет в режим настройки только в том случае, если ему не удастся загрузить допустимую текущую конфигурацию.
  • Маршрутизатор перейдет в режим ROMMON, только если ему не удастся загрузить действительный файл образа IOS.
  • Вы можете вручную войти в режим ROMMON для диагностики.

Войдите в режим глобальной конфигурации для выполнения следующих команд.

Изменить имя маршрутизатора по умолчанию

По умолчанию Маршрутизатор Имя настроено на маршрутизаторах. Мы можем настроить любое желаемое имя на маршрутизаторе. Команда hostname изменит имя маршрутизатора.Например, следующая команда будет присвойте маршрутизатору имя LAB1 .

Настройка пароля на маршрутизаторе Cisco

Маршрутизатор

является важным устройством сети. Он поддерживает несколько линий для подключения. Нам нужно защитить каждую линию [порт].

Безопасный консольный порт

Команда Описание Описание
Маршрутизатор (Config) # Prine Console 0 Перемещение в Console Line Mode
Маршрутизатор (Config-line) # Passowword Console Установка пароля консоли в CNN
Router(config-line)#login Включить аутентификацию по паролю для линии консоли

Безопасный дополнительный порт

Вспомогательный порт обеспечивает удаленный доступ к маршрутизатору.Вы можете подключить модем к этому порту. Не все устройства поддерживают этот порт. Если ваш маршрутизатор поддерживает этот порт, используйте следующие команды для его защиты.

Команда Описание
Маршрутизатор (CONFIG) # PRINE AUX 0 Перейти в режим вспомогательной линии
Маршрутизатор (конфигурация) #Passworce AUXCNN Установите пароль вспомогательной линии
Router(config-line)#login Включить пароль режима вспомогательной линии

Включить доступ через telnet на маршрутизаторе cisco

В зависимости от номера модели и версии программного обеспечения IOS маршрутизатор может поддерживать различное количество подключений VTY в диапазоне от 5 до 1000.VTY — это стандартное имя для подключения по telnet и SSH. По умолчанию включены только первые пять соединений VTY. Но подключить их нельзя. Когда вы попытаетесь подключить их удаленно, вы получите следующее сообщение

.
Требуется пароль, но он не установлен
 

Это сообщение указывает на то, что на линиях VTY не установлен пароль. Для подключения VTY требуется пароль. Следующие команды устанавливают пароль TELCNN на линии VTY.

Command Описание Описание
Маршрутизатор (CONFIG) # VTLE 0 4 Переместить во все пять линейки VTLES
Маршрутизатор (конфигурация) #Password Telcnn Установите пароль для Telcnn на все пять lines
Router(config-line)#login Настроить VTY для приема telnet-соединения

В приведенном выше примере мы устанавливаем пароль на все пять строк вместе, но вы можете это отдельно, если вам нужны разные пароли для разных линий.Шаги будут такими же.

  • строка vty [ номер строки ] Команда переместится в эту конкретную строку.
  • пароль [ пароль ] команда назначит желаемый пароль.
  • Команда
  • login позволит этой линии принять соединение.

Безопасный режим выполнения привилегий с паролем

Наряду с линиями доступа мы также можем защитить привилегированный режим exec с помощью пароля.У нас есть две команды для настройки пароля.

  • Switch(config)# включить пароль Privilege_EXEC_password
  • Switch(config)# enable secret Privilege_EXEC_password

Обе команды установят пароль в режиме привилегированного выполнения. Разница между этими командами заключается в способе хранения паролей. enable password Команда сохранит пароль в виде обычного текста, а enable secret команда сохранит пароль в зашифрованном формате.

Баннер входа

Мы можем настроить два типа баннеров на маршрутизаторах; Баннер MOTD и баннер Exec.

команда баннера exec недоступна в трассировщике пакетов. Вы можете потренироваться с командой banner motd . Обе команды работают одинаково. Только разница между этими командами заключается в месте отображения. Баннер MOTD будет отображаться перед входом в систему. Баннер EXEC будет отображаться после процесса аутентификации и перед режимом exec.

Обе команды используют символ-разделитель для указания начала и окончания сообщения. Это означает, что синтаксический анализатор команд завершит сообщение по символу-разделителю, а не по клавише Enter. Эта функция позволяет нам разделить сообщение на несколько строк.

Настройка часового пояса часов

Маршрутизатор

позволяет локализовать часовой пояс. Следующая команда установит часовой пояс на +5 часов EST [восточное стандартное время].

Маршрутизатор (конфигурация) # часы часовой пояс EST 05
 

Назначить имя хоста IP-адресу

Имя хоста легко запомнить.Мы можем использовать имя хоста вместо их IP-адреса при подключении с удаленного адреса. Маршрутизатор преобразует IP-адрес в имя хоста двумя способами: статическим и динамическим.

В статическом методе мы должны присвоить имя хоста IP-адресу.

В динамическом методе нам нужно настроить внешний DNS-сервер и настроить его IP-адрес на маршрутизаторе.

Команда show hosts отобразит сконфигурированные в данный момент хосты с их IP-адресами. На следующем рисунке показан пример статической записи для имени хоста.

Отключить автоматический поиск домена

По умолчанию маршрутизаторы настроены на разрешение каждого слова, кроме команды. Сначала он будет искать запись в статической таблице DNS. Если ему не удастся найти запись в статической таблице DNS, он попытается использовать DNS-сервер. по адресу 255.255.255.255. Если вы не собираетесь использовать DNS-сервер или имя хоста, это лучше отключить. Это сэкономит ваше время, потому что каждая неправильно набранная команда будет стоить вам минуты или двух ожидания.

Для отключения этой функции не используется команда ip domain-lookup .

Включить синхронное ведение журнала

Всякий раз, когда IOS имеет какое-либо уведомление, оно будет отображаться в командной строке. Это штрафы, пока подсказка не будет бесплатной. Что делать, если вы вводите команду, а в середине команды появляется строка уведомления? Это действительно раздражает. К счастью, мы можем остановить это поведение. команда logging sync включит синхронизацию в командной строке.

После этого, если IOS будет что-то отображать, она переместит подсказку и введенную вами команду в следующую строку. Уведомление не будет вставляться в середине команды. Если вы продолжите печатать, команда будет выполнена правильно, даже если в приглашении она выглядит неправильно.

Отключить автоматический выход из линии консоли

Cisco IOS имеет отличную функцию безопасности для защиты линии консоли. Он автоматически выходит из идеального соединения через 10 минут. Вы можете отключить эту функцию в лабораторной среде. exec-timeout 0 0 команда отключит это.

Никогда не используйте эту команду в реальном мире. Это может создать угрозу безопасности вашей сети.

Настройка последовательного интерфейса в маршрутизаторе

Последовательный интерфейс используется для подключения к глобальной сети. Следующая команда настроит последовательный интерфейс 0/0/0.

Подключено к bhilwara
Команда Описание
Router(config)#interface serial 0/0/0 Войдите в режим настройки последовательного интерфейса 0/0/0
Необязательная команда.Он устанавливает локально значимое описание интерфейса
Router(config-if)#ip address 10.0.0.1 255.0.0.0 Назначает интерфейсу адрес и маску подсети
Router(config-if)#clock rate 64000 Команда только со стороны DCE. Назначает тактовую частоту для интерфейса
Router(config-if)#bandwidth 64 Команда только на стороне DCE. Установите пропускную способность для интерфейса.
Router(config-if)#no shutdown Включает интерфейс

Последовательный кабель используется для подключения последовательных интерфейсов.Один конец последовательного кабеля — DCE, а другой конец — DTE. Вам нужно только указать тактовую частоту и пропускную способность на стороне DCE.

Настройка интерфейса FastEthernet в маршрутизаторе

Обычно FastEthernet соединяет локальную сеть с маршрутизатором. Следующие команды настроят интерфейс FastEhternet 0/0.

Команда Описание
Router(config)#interface fastethernet 0/0 Войдите в интерфейс FastEthernet 0/0.
Маршрутизатор(config-if)#description Отдел разработки Эта команда является необязательной. Это установит описание на интерфейсе.
Router(config-if)#ip address 192.168.0.1 255.255.255.0 Назначает интерфейсу адрес и маску подсети
Router(config-if)#no Turn interface on Все интерфейсы отключены при запуске.

Отключить интерфейс маршрутизатора

По умолчанию все интерфейсы административно отключены при запуске.Мы тоже должны следовать этому правилу.

В целях безопасности мы всегда должны отключать неиспользуемый интерфейс на маршрутизаторе. Команда shutdown используется для отключения интерфейса.

Сохранение текущей конфигурации в маршрутизаторе cisco

Маршрутизатор хранит конфигурацию в оперативной памяти. Все настройки, которые мы сделали в этой статье, будут удалены после перезагрузки маршрутизатора. Чтобы сохранить эту конфигурацию после перезагрузки, мы должны ее сохранить. Следующая команда сохранит текущую конфигурацию в NVRAM.

Стирание конфигурации в маршрутизаторе cisco

Мы выполнили нашу практику, теперь сделайте ее доступной для следующего раунда практики. Как мы знаем, маршрутизаторы загружают файл конфигурации из NVRAM при запуске.

В конце запуска берет файл конфигурации из NVRAM и анализирует его в RAM. Нам нужно стереть этот файл конфигурации из NVRAM, чтобы удалить конфигурацию. Следующая команда удалит файл конфигурации из NVRAM.

Это все для этого урока.

Настройка маршрутизатора Cisco 2811 для Site-to-site VPN с устройством серии MX с использованием интерфейса командной строки

  1. Последнее обновление
  2. Сохранить как PDF
Без заголовков

В этой статье описан процесс настройки Site-to-site VPN между устройством безопасности MX и маршрутизатором Cisco серии 2800 с использованием интерфейса командной строки.

На приведенной ниже диаграмме показано соединение между двумя сайтами, участвующими в VPN-соединении между сайтами

.

 

Конфигурация

  • Настройте сторону MX, как описано здесь
  • Настройте маршрутизатор Cisco 2811, как показано ниже

 

Настройка политики ISKAMP

   крипто политика isakmp 10

   энкр 3дес

   аутентификация перед отправкой

   хэш ша

   срок службы 28800

   группа 2

 

Настройка набора преобразований IPsec

  криптографический набор преобразований ipsec ESP-3DES-SHA esp-3des esp-sha-hmac

 

Указывает интересующий трафик для шифрования

    IP-список доступа расширенный outgoing_to_MX

   разрешить IP 192.168.10.0 0.0.0.255 192.168.11.0 0.0.0.255

   

Указывает предварительно общий ключ «secretkey», который должен быть идентичен на обоих узлах

  crypto isakmp key secretkey address 1.1.1.1

 

Настройка IPsec-isakmp

криптокарта 2800-isakmp 1 ipsec-isakmp

  установить одноранговый узел 1.1.1.1

 установить преобразование-набор ESP-3DES-SHA

  соответствует адресу outgoing_to_MX

 

Применение Ipsec-isakmp к интерфейсу

  интерфейс FastEthernet0/1

  IP-адрес 2.2.2.2 255.255.255.248

  IP-адрес снаружи

  дуплекс автоматический

  скорость авто

криптокарта 2800-isakmp

 

После успешной настройки MX и ASA сеть, настроенная для доступа к VPN, сможет получить доступ к ресурсам друг друга. Чтобы инициализировать VPN-туннель, необходимо сгенерировать интересный трафик и отправить его VPN-узлу. Это можно сделать, инициировав эхо-запрос через туннель.

 

Устранение неполадок 3 rd party VPN на MX можно найти здесь

 

   

[РЕШЕНО] Настройте порт FE/0 маршрутизатора Cisco 2811 для подключения Fast Ethernet

это конфигурация t-1 на том же маршрутизаторе, который теперь использует карту WIC

показ

Конфигурация здания…

Текущая конфигурация: 2733 байта

!

версия 12.4

сервисные метки времени отладки безотказной работы

временные метки службы, журнал безотказной работы

нет сервисного пароля-шифрование

!

имя хоста BNG-Hatfield-ISP

!

маркер начала загрузки

маркер окончания загрузки

!

журналирование буферизовано 4096 отладка

включить секрет 5 $1$dUp3$ykzflUPOnYRvghs.UKsBB.

включить пароль ****

!

нет aaa новая модель

!

ресурсная политика

!

mmi интервал опроса 60

нет автоматической настройки mmi

 —Подробнее—        без мми пвх

mmi snmp-timeout 180

IP-подсеть-ноль

IP-адрес

!

!

ip dhcp не подключен к vrf

!

!

нет поиска IP домена

!

имя пользователя права администратора 15 пароль 0 *****

имя пользователя права администратора 15 пароль 0 *****

!

!

!

интерфейс FastEthernet0/0

 описание подключено к брандмауэру Pix

IP-адрес 65.246.25.33 255.255.255.240

 нет кеша IP-маршрутов cef

 нет кэша IP-маршрутов

 нет ip mroute-cache

скорость 100

 —Подробнее—         полный дуплекс

!

интерфейс FastEthernet0/1

 нет IP-адреса

выключение

 автоматическая двусторонняя печать

скорость авто

!

Интерфейс

Последовательный 0/2/0

 описание подключено к Интернету

пропускная способность 1544

 нет IP-адреса

 инкапсуляция Frame Relay IETF

сервисный модуль t1, временные интервалы 1–24

 frame-relay lmi-типа ansi

!

Интерфейс

Serial0/2/0.СС

С

!

строка кон 0

вспомогательная линия 0

линия vty 0 4

какова будет конфигурация нового быстрого соединения Ethernet

еще раз спасибо за ваше время и помощь

Был ли этот пост полезен? палец вверх thumb_down

Как настроить VLAN на маршрутизаторе cisco с использованием протокола инкапсуляции 802.1q

Всем привет! Сегодня давайте узнаем, как настроить Vlan на коммутаторах Cisco и настроить 802.1q на маршрутизаторе, чтобы включить маршрутизацию между vlan.

В этом упражнении я буду использовать маршрутизатор cisco 2811 и коммутатор Catalyst 2960. Прежде чем мы перейдем непосредственно к настройке, нам нужно знать, почему мы хотим создать виртуальные локальные сети на нашем коммутаторе. Обычно все порты коммутатора принадлежат одной сети и, таким образом, образуют большой широковещательный домен. Создавая вланы, мы разбиваем этот широковещательный домен на более мелкие, тем самым повышая безопасность сети, изолируя конфиденциальный трафик от остального, а также предоставляя пользователям возможность доступа к сетевым ресурсам на основе логической группировки, а не физического местоположения.

Чтобы создать VLAN, мы должны сначала настроить коммутатор. Ниже то, что мы будем делать на коммутаторе:

1 создать вланы на коммутаторе
2 назначить порты коммутатора вланам

 

Вам также может понравиться: Первоначальная конфигурация брандмауэра Cisco ASA: назначение IP-адреса, NAT и маршруты по умолчанию.

 

Итак, давайте. Мы собираемся создать три vlan следующим образом:
Vlan 10….name IT
Vlan 20….name sales
Vlan 30….наименование Машиностроение

Switch>en
Switch#conf t
Введите команды конфигурации, по одной на строку. Конец с CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#name IT
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name Sales
Switch(config-vlan)#vlan 30
Switch (config-vlan)#name Engineering
Switch(config-vlan)#exit
Switch(config)#int range f0/2 -6
Switch(config-if-range)#sw access vlan 10
Switch(config-if -range)#int range f0/7 -13
Switch(config-if-range)#sw access vlan 20
Switch(config-if-range)#int range f0/14 -21
Switch(config-if-range )#sw access vlan 30
Switch(config-if-range)#exit
Switch(config)#exit
Switch#
%SYS-5-CONFIG_I: настроено из консоли с помощью консоли

Switch#copy run start
Имя файла назначения [startup-config]?
Конфигурация здания…
[OK]
Переключатель №

Это все, что вам нужно для создания vlan на коммутаторе.Не забудьте настроить порт, соединяющий коммутатор с маршрутизатором, как магистральный порт, а также настроить остальные порты на коммутаторе как порты доступа. Теперь, чтобы включить маршрутизацию между vlan на маршрутизаторе 2811, мы вводим конфигурации ниже.

Router>en
Router#conf t
Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
Router(config)#int f0/0
Router(config-if)#no ip add
Router(config-if)#no Shut
Router(config-if)#int f0/0.10
Router(config-subif) #en dot1q 10
Router(config-subif)#ip add 192.168.1.1 255.255.255.224
Router(config-subif)#int f0/0.20
Router(config-subif)#
%LINK-5-CHANGED: Интерфейс FastEthernet0/0.20, состояние изменено на up

Router(config-subif)#en dot1q 20
Router(config-subif)#ip add 192.168.1.33 255.255.255.224
Router(config-subif)#int f0/0.30
Router(config-subif)#
%LINK -5-CHANGED: интерфейс FastEthernet0/0.30, состояние изменено на up
Router(config-subif)#en dot1q 30
Router(config-subif)#ip add 192.168.1.65 255.255.255.224
Router(config-subif)#exit
Router(config)#exit
Router#
%SYS-5-CONFIG_I: настроено из консоли с помощью консоли
copy run start
Имя файла назначения [startup-config]?
Конфигурация здания…
[OK]
Маршрутизатор №

См. также: Конфигурация преобразования сетевых адресов (NAT) на маршрутизаторе Cisco, от начала до конца.

Это все, что вам нужно, чтобы включить маршрутизацию между Vlan на маршрутизаторе cisco. Важно, чтобы номер инкапсуляции совпадал с идентификатором vlan, для которого создается этот подинтерфейс.
Примечание: блок в сети 192.168.1.0 был разбит на три подсети с использованием маски подсети /27, что дало нам подсети 192.168.1.0, 192.168.1.32, 192.168.1.64 и т. д. Эти подсети могут предоставить только 30 действительных IP-адресов, и, поскольку мы дали первый IP-адрес в каждой подсети подинтерфейсу маршрутизатора, у нас осталось 29 IP-адресов. Если вам нужно больше IP-адресов, используйте другую маску подсети.
Вы можете настроить DHCP и NAT для каждой виртуальной локальной сети, чтобы это работало правильно.
Не забудьте оставить комментарий или отправить письмо, если вам нужна помощь по этой и любой другой теме.Спасибо!

Родственные

Cisco 2811 в качестве пограничного маршрутизатора

Это простая настройка для маршрутизатора Cisco 2811.

Предположим, что у нас есть ADSL/кабельный модем, подключенный к нашему fa 0/0 в качестве порта WAN. И мы собираемся использовать fa 0/1 в качестве порта LAN.

Прежде чем мы начнем, я предполагаю, что вы знаете, как подключиться к маршрутизатору Cisco с помощью последовательного кабеля.

В этом уроке мы сделаем следующее:

  • Назовите свой маршрутизатор
  • Настройте сообщения журнала, чтобы они не прерывали нас, пока мы набираем команду.
  • Настройка DHCP для локальной сети
  • Настройте NAT, чтобы мы не распространяли адреса нашей локальной сети по всему миру.
  • Настройка DNS-серверов для DHCP

После включения маршрутизатора у вас будет возможность выполнить автоматическую настройку. Обычно в этот момент я рекомендую выбирать нет.

При следующем запросе введите en , чтобы войти в привилегированный режим. В этом режиме вы можете увидеть много информации о маршрутизаторе и сети.
Давайте выполним базовую настройку коммутатора/маршрутизатора, набрав conf t (это означает настройку терминала).

Измените имя хоста, введя следующую команду:

имя хоста EdgeRouter, затем

Далее я хотел бы убедиться, что сообщения маршрутизатора не прерывают ввод текста, и это достигается путем изменения параметров ведения журнала для консоли 0.

 консольная строка 0 <ввод>
ведение журнала синхронно
выход
 

Имя маршрутизатора установлено, и сообщения журнала не мешают мне печатать.

Самое время сохранить базовую конфигурацию с помощью команды wr.

Тем самым мы обеспечили сохранение текущих изменений в стартовой конфигурации. Чтобы проверить это, введите show start

Вы увидите свою стартовую конфигурацию с именем хоста и изменениями в журнале.

Настройка DHCP

Прежде чем мы начнем настройку DHCP, давайте удостоверимся, что наша локальная сеть подключена к Fa 0/1, а наша глобальная сеть (ADSL или кабельный модем) подключена к Fa 0/0.

Войдите в режим конфигурации, введя conf t

Первая настройка интерфейса WAN

int fa 0/0
no close
ip address dhcp
end

На простом английском языке:

  • Выбор интерфейса 0/0
  • отсутствие команды закрытия включает порт (без выключения),
  •  добавить IP-адрес к порту с помощью DHCP.Если ваш провайдер не поддерживает DHCP, вы всегда можете настроить IP-адрес вручную, введя следующую команду:
    ip-адрес aaa.bbb.ccc.ddd nnn.nnn.nnn.nnn, где abcd — ваш сетевой адрес, а nnnn — маска сети.
Настройка интерфейса LAN:

int fa 0/1
no close
ip address 10.10.0.1 255.255.255.0
end
Это установит интерфейс fa 0/1 с 1 IP-адресом .10.0.1 и сетевую маску 255.255.255.0, если вам нужно более 254 доступных адресов, измените сетевую маску.

Самое время проверить изменения.

Есть 2 способа сделать это:

1.)  Это долгий путь:

  • выйдите в привилегированный режим, набрав exit
  • введите show ip int bri (покажите краткое описание IP-интерфейсов)
  • , затем войдите в режим конфигурации, набрав config t

2.) или просто введите do sh ip int bri (слово do указывает маршрутизатору выполнить команду в привилегированном режиме)

Сохраните работу, набрав do wr.

Настройка DHCP-сервера для локальной сети

ip dhcp pool local (вы можете назвать свой пул как хотите, я называю этот локальным)
сеть 10.10.0.0 255.255.255.0 маршрутизатор по умолчанию 10.10.0.1 (мой интерфейс fa 0/1)
dns -server aaa.bbb.ccc.ddd YYY.YYY.YYY.YYY (abcd — первичный, а YYY — вторичный DNS-сервер)
ip dhcp exclude-address 10.10.0.1 10.10.0.10
(первые 10 адресов я резервирую для оборудования)
конец

вот пошагово как все это сделать:

 ru
конф т
имя хоста EdgeRouter
консольная строка 0
ведение журнала синхронно
выход
#### на данный момент мы выполнили следующее:
Назвал наш роутер
Настройте журналирование сообщений.Это должно быть вашей базовой настройкой для всех маршрутизаторов или коммутаторов cisco.
На этом этапе вы можете добавить пользователя, пароль и шифрование. Но мы не будем делать этого для этой лаборатории.
Теперь настроим порты Fast Ethernet
Порт 0/0 будет использоваться как порт WAN (этот порт подключен к вашему интернет-устройству)
Порт 0/1 будет использоваться как порт LAN
интервал fa0/0
не закрывай
IP-адрес DHCP
Если ваше интернет-устройство не поддерживает DHCP, вы можете настроить IP-адрес вручную, используя следующую команду
IP-адрес XXX.XXX.XXX.XXX 255.255.255.0 (или любая ваша сетевая маска)
конец
интерфейс fa0/1
айпи адрес 10.10.0.1 255.255.255.0
не закрывай
конец
делай краткий бриф (всегда проверяй свою работу)
Теперь настраиваем DHCP-сервер
ip dhcp exclude-address 10.10.0.1 10.10.0.10 (мы собираемся зарезервировать первые 10 адресов для нашего оборудования)
ip dhcp pool local (вы можете назвать свой пул как хотите)
сеть 10.10.0.0 255.255.255.0
маршрутизатор по умолчанию 10.10.0.1
DNS-сервер aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb (aaa — первичный bbb — вторичный DNS-сервер по вашему выбору)
конец
######## DHCP-сервер готов. Мы можем проверить это, подключив компьютер к порту fa0/1.
## Теперь нам нужно настроить NAT
список доступа 1 разрешение 10.10.0.0 0.0.0.255 (это обратная сетевая маска от dhcp)
ip nat внутри источника 1 интерфейс fa0/0
# это принесет NVI0
интерфейс fa0/1
IP физ внутри
конец
интерфейс fa0/0
ip nat снаружи
конец
### и теперь нам нужно добавить маршрут по умолчанию в интернет
ip route 0.0.0.0 0.0.0.0 XXX.	

Добавить комментарий

Ваш адрес email не будет опубликован.