TOP 5 лучших роутеров Cisco для малого и среднего бизнеса
Рассмотрим пять самых продаваемых маршрутизаторов Cisco. Любой из этих замечательных маршрутизаторов Cisco и продуктов для маршрутизации может преобразовать вашу сеть и обеспечить высокий уровень безопасности и надежную работу сети на кампусе, в центре обработки данных или же в филиалах.
Итак, роутеры-бестселлеры Cisco в порядке возрастания их стоимости:
5. Cisco 1921
Модель построена на основе лучшего в своем классе устройства с интегрированными сервисами — Cisco 1841.
Особенности:
- улучшенные слоты высокоскоростной интерфейсной карты WAN (EHWIC), в которых можно разместить одинарные модули EHWIC или 1 двойной
- интегрированное распределение питания на модули с поддержкой стандарта 802.3af PoE и Enhanced PoE
4. Cisco RV320
VPN роутер с четырьмя портами GE и двойным гигабитным WAN разъемом
Особенности:
- спаренный WAN GE обеспечивает сбалансированную нагрузку и стабильность работы сети
- четыре порта GE
- повышенная безопасность благодаря проверенному межсетевому экрану с проверкой состояния пакетов и технологией аппаратного шифрования
- SSL и IP Security возможности
- простой мастер настройки и web-интерфейс
3. Cisco RV215W
Брандмауэр Cisco RV215W Wireless-N VPN обеспечивает простое и безопасное подключение бизнес-класса к глобальной сети из небольших или домашних офисов.
Особенности:
- высокоскоростная беспроводная точка доступа с поддержкой 802.11n
- Fast Ethernet свитч на четыре порта
- интуитивный интерфейс
- поддержка утилиты Cisco FindIT Network Discovery
2. Cisco RV042
Роутер Циско RV042 Dual WAN VPN способен обеспечить высокопроизводительный и бесперебойный выход в сеть, соединение с удаленными офисами и сотрудниками.
Преимущества:
- два WAN порта FE
- встроенный свитч на 4 порта
- надежный межсетевой экран с поддержкой SPI и аппаратного шифрования
- широкие функции VPN IPsec
- доступный web-интерфейс и мастер настройки
1. Cisco RV042G
VPN-маршрутизатор Cisco RV042G с двойным гигабитным WAN-портом обеспечивает высоконадежное и производительное подключение к глобальной сети, к другим офисам и удаленным сотрудникам.
Особенности:
- порты WAN Dual GE
- встроенный свитч на 4 порта GE
- проверенный межсетевой экран с контролем пакетов (SPI), а также аппаратное шифрование
- мощные возможности VPN IPsec
- интуитивный интерфейс и мастер настройки
Как видите, мы по праву гордимся нашей связью с Cisco и их постоянными инновациями.
Характеристики | Описание |
Тип устройства | Маршрутизатор |
Форм-фактор | Внешний — modular — 1U |
Ширина | 34.3 cm |
Глубина | 27.4 cm |
Высота | 4.75 cm |
Память | |
RAM | 128 MB (Установлено) / 384 MB (максимально) — SDRAM |
Флэш-память | 32 MB (Установлено) / 128 MB (максимально) |
Параметры сети | |
Технология подключения | Wired |
Канальный протокол | Ethernet, Fast Ethernet |
Сетевой / Транспортный протокол | IPSec |
Протокол удалённого администрирования | SNMP |
Индикаторы состояния | Link activity, Питание |
Характеристики | Firewall protection, 128-bit кодирование, аппаратное кодирование, поддержка VPN, поддержка VLAN, Intrusion Prevention System (IPS), 256-bit кодирование |
Communications | |
Тип | DSL modem |
Digital Signaling Protocol | ADSL over ISDN |
Слоты расширения / Интерфейсы связи | |
Слоты расширения Слотов всего (Свободно) | 2 Память ¦ 1 CompactFlash Card ¦ 1 ( 1 ) x AIM ¦ 2 ( 1 ) x HWIC |
Интерфейсы | 2 x network — Ethernet 10Base-T/100Base-TX — RJ-45 ¦ 1 x USB ¦ 1 x management — console ¦ 1 x network — auxiliary ¦ 1 x modem — ADSL |
Разное | |
Алгоритм шифрования | DES, Triple DES, AES |
Поддерживаемые стандарты | CSA, CTR 21, CISPR 22 Class A, CISPR 24, EN 60950, EN 61000-3-2, IEC 61000-4-11, IEC 61000-4-2, IEC 61000-4-3, IEC 61000-4-4, IEC 61000-4-5, IEC 61000-4-6, EN 61000-3-3, EN55024, EN55022 Class A, UL 60950, EN50082-1, CS-03 |
Питание | |
Устройство питания | Блок питания — Встроенный |
Требуемое напряжение | AC 120/230 V ( 50/60 Hz ) |
Программное обеспечение / Системные требования | |
Предустановленая операционная система | Cisco IOS IP Broadband |
OS Required | Microsoft Windows 98 Second Edition |
Параметры окружающей среды | |
Минимальная рабочая температура | 0 °C |
Максимальная рабочая температура | 40 °C |
Рабочий диапазон влажности | 10 — 85% |
Маршрутизатор Cisco 871 Цена
Маршрутизатор (роутер) Cisco 871
Возможности роутера Cisco 871:
- Доступ на широкополостной скорости при стабильной защите сети;
- Создание VPN;
- Интегрированная система контроля;
- Доступное постоянное обновление;
- Предоставление персонализированных масштабированных услуг IP;
- Высокий уровень отказоустойчивости;
- Скорость до 720 Гбит/с.
В качестве корпоративных маршрутизаторов Cisco 871 зарекомендовали себя с наилучшей стороны, демонстрируя оптимальное сочетание производительности, удобной эсплуатации и полную безопасность информации. Таким образом, благодаря использованию роутеров Cisco достигается максимальная оптимизация рабочих процессов и энергоэкономичность.
Cisco 871: цена и условия покупки
В нашем интернет-магазине представлены различные серии и модели Cisco – всемирно известного производителя IT-оборудования. Удобные фильтры поиска, фотографии и подробная техническая информация и инструкции к каждому устройству помогают определиться с выбором любому пользователю. Помимо этого, у нас вы можете получить исчерпывающие консультации, и выбрать маршрутизатор или другие адаптивные устройства, отвечающие вашим требованиям.
Приобретая в нашей компании Cisco 871, вы можете быть уверены в качестве и удобств его работы. На всю продукцию имеются сертификаты. Все модели имеются в наличии или под заказ.
Почему оборудование для локальных сетей покупают у нас:
- Гарантия соответствия заявленным характеристикам;
- Широкий модельный ряд;
Доставка в сжатые сроки.
Базовая настройка маршрутизатора для CCNA и ICND. Назначение IP-адресов на интерфейсы маршрутизатора.
Предположим, что после деления сети 192.168.0.0/24 на 3 подсети A, B и C (по 100, 50, 2 хоста соответственно) мы получили такие подсети: A — 192.168.0.0/25, B — 192.168.0.128/26, C — 192.168.0.192/30.
Первый адрес подсети A надо назначить на интерфейс маршрутизатора fastethernet 0/0.
Первый адрес подсети B надо назначить на интерфейс маршрутизатора fastethernet 0/1.
Первый адрес подсети C надо назначить на интерфейс маршрутизатора serial 0/0/0. Причем на один конец кабеля (DCE) для интерфейса serial необходимо назначить clock rate (задать время для синхронизации сигнала), а для другого (DTE) этого делать не надо.
// Так я буду обозначать комментарии.
- Устанавливаем консольное соединение через гипертерминал со следующими настройками:
- Скорость: 9600; Биты данных: 8; Четность: Нет; Стоповые биты: 1; Управление потоком: Нет;
- Router>enable//Входим в привилегированный режим.
- Router#
- Router#erase startup-config//Очищаем маршрутизатор от предыдущих настроек.
- Router#reload//Перезагружаем маршрутизатор.
- Would you like to enter the initial configuration dialog? [yes/no]: no//После перезагрузки маршрутизатора IOS спросит, надо ли настраивать маршрутизатор в режиме диалога. Откажитесь.
- Router>enable//Снова входим в привилегированный режим.
- Router#
- Router#configure terminal//входим в режим глобальной конфигурации
- Router(config)#hostname R1//даём имя маршрутизатору, в данном случае R1
- R1(config)#no ip domain-lookup//выключаем поиск DNS
- R1(config)#enable secret class//включаем пароль на вход привилегированного режима
- R1(config)#banner motd #//Настраиваем сообщение дня (message of the day). Между знаками «#» пишем сообщение.
!!!ACCESS DENIED!!!
# - R1(config)#line console 0//Входим в режим настройки консоли.
- R1(config-line)#password cisco//Назначаем пароль на вход.
- R1(config-line)#login//Включаем запрос пароля перед входом в консоль.
- R1(config-line)#exit
- R1(config)#line vty 0 4//Входим в режим настройки телнета.
- R1(config-line)#password cisco//Назначаем пароль на вход.
- R1(config-line)#login//Включаем запрос пароля перед входом с помощью телнета.
- R1(config-line)#end
- R1#show running-config//Проверяем введенные данные.
- R1#copy running-config startup-config//Сохраняем произведенную настройку в энерго-независимую память. Сейвы помогают не только геймерам 😉 Были случаи когда ПакетТрейсер вис и приходилось всё делать заново.
- R1#configure terminal//снова заходим в режим глобальной конфигурации
- R1(config)#interface fastethernet 0/0//заходим в режим конфигурации интерфейса
- R1(config-if)#ip address 192.168.0.1 255.255.255.128//назначаем IP-адрес интерфейсу и маску 255.255.255.128 (эта маска является расшифровкой префикса /25)
- R1(config-if)#des Subnet A//краткое описание интерфейса
- R1(config-if)#no shutdown//включаем интерфейс
- R1(config)#interface fastethernet 0/1//заходим в режим конфигурации интерфейса
- R1(config-if)#ip address 192.168.0.129 255.255.255.192//назначаем IP-адрес интерфейсу и маску 255.255.255.128 (эта маска является расшифровкой префикса /25)
- R1(config-if)#des Subnet B//краткое описание интерфейса
- R1(config-if)#no shutdown//включаем интерфейс
- R1(config)#interface serial 0/0/0//заходим в режим конфигурации интерфейса
- R1(config-if)#ip address 192.168.0.193 255.255.255.252//назначаем IP-адрес интерфейсу и маску 255.255.255.128 (эта маска является расшифровкой префикса /25)
- R1(config-if)#des Link to R2//краткое описание интерфейса
- R1(config-if)#clock rate 64000//задаем время сигнала для синхронизации со вторым роутером. На втором роутере этого делать не надо!
- R1(config-if)#no shutdown//включаем интерфейс
- R1(config-line)#end//выходим в привилегированный режим EXEC Mode
- R1#show running-config//Проверяем введенные данные.
- R1#copy running-config startup-config//Сохраняем произведенную настройку в энерго-независимую память.
Скачать выполненное задание настройки роутера
Предлагаю скачать файл с выполненным заданием для программы эмулятора PacketTracer, открыть его и посмотреть на реализацию (пароль на консольный вход — cisco, на привилегированный режим — class).
Заметьте, что компьютер PC1 может нормально пинговать компьютер PC2, но не может пинговать PC3. Это происходит из-за не настроенной маршрутизации. А настроим мы её в следующей шпаргалке 😉
Настройка роутера копированием конфигурации
- Для автоматической базовой настройки (всё, что выше) маршрутизатора выполните следующие действия:
- 1. Скопируйте текст ниже в буфер обмена: веделите всё, кликните правой кнопкой по выделенному и выберите «Копировать».
- 2. При необходимости очистите роутер от всех настроек и перезагрузите его.
- 3. Войдите в режим глобальной конфигурации и вызовите меню Гипер Терминала «Правка», а в нём «Передать главному компьютеру».
- 4. Обязательно проверьте настройки с помощью команды
show running-config
- 5. При необходимости включите интерфейсы командой no shutdown из режима каждого интерфейса
hostname R1 ! enable secret class ! no ip domain-lookup ! spanning-tree mode pvst ! interface FastEthernet0/0 description Subnet A ip address 192.168.0.1 255.255.255.128 duplex auto speed auto no shutdown ! interface FastEthernet0/1 description Subnet B ip address 192.168.0.129 255.255.255.192 duplex auto speed auto no shutdown ! interface Serial0/0/0 description Link to R2 ip address 192.168.0.193 255.255.255.252 clock rate 64000 no shutdown ! interface Vlan1 no ip address shutdown ! banner motd ^C !!!ACCESS DENIED!!! ^C ! line con 0 password cisco login line vty 0 4 password cisco login ! end
Скачайте заодно (для сравнения) файл с настроуками для роутера R2: basic_configure_router_R2.txt.Настройка маршрутизатора Cisco
Предварительные работы
Есть два основных действия, которые требуется осуществить перед переходом к непосредственной настройке маршрутизатора от компании Cisco. В первую очередь выполняется подключение сетевого устройства к компьютеру, поскольку только после этого можно будет открыть веб-интерфейс и заняться изменением параметров. Более детальную информацию об этом вы найдете в универсальной инструкции на нашем сайте по ссылке ниже.
Подробнее: Подключение роутера к компьютеру
Дополнительно отметим, что при выборе расположения роутера учитывайте длину имеющегося LAN-кабеля, а также то, откуда идет провод от провайдера. При этом толстые стены между комнатами и наличие рядом работающих электроприборов может стать причиной плохого и прерывистого сигнала Wi-Fi. Возьмите во внимание эти факторы во время организации соединения маршрутизатора с компьютером.
Второй этап предварительных работ — просмотр сетевой настройки операционной системы, отвечающей за получение IP-адресов и DNS-серверов. Эти параметры можно вписать самостоятельно, но это касается только исключений, а в большинстве случаев значения получаются от роутера. Поэтому во избежание конфликтов потребуется выставить автоматическое получение данных параметров, о чем детальнее читайте в отдельном материале на нашем сайте.
Подробнее: Сетевые настройки Windows
Авторизация в веб-интерфейсе
Отдельным шагом выделим вход в веб-интерфейс роутера, ведь именно там производятся дальнейшие настройки. Для этого следует открыть браузер и перейти по адресу 192.168.0.1 или 192.168.1.1. Иногда этот адрес бывает и другим, поэтому обратите внимание на наклейку сзади маршрутизатора, чтобы определить его. Там же вы найдете стандартный логин и пароль, которые требуется ввести при появлении соответствующей формы. Общие инструкции по выполнению поставленной задачи ищите далее, если самостоятельно не получилось разобраться с авторизацией.
Подробнее: Вход в веб-интерфейс роутеров
Процесс настройки маршрутизатора Cisco
Теперь можно перейти к непосредственному конфигурированию роутеров от Cisco. В рамках этой статьи будет рассмотрен только ручной режим, поскольку доступ к Мастеру настройки есть не у всех пользователей. Для удобства мы разделили весь процесс на шаги, начав с обязательных и заканчивая рекомендованными и необязательными. Первые три этапа выполняются всеми пользователями, а далее можете просто ознакомиться с параметрами, чтобы отыскать те, которые бы хотелось поменять.
Шаг 1: Параметры WAN
В первую очередь лучше заняться настройкой WAN, поскольку именно протоколы этой технологии отвечают за получение сигнала от провайдера и за доступ к сети. Перед началом конфигурирования вам следует узнать у поставщика интернет-услуг, какие значения надо выставлять. Часто информация есть в открытом доступе на официальном сайте или на карточке, которая была выдана при покупке тарифа. После этого переходите к веб-интерфейсу и следуйте инструкции.
- Через меню слева разверните раздел «Networking» и перейдите в «WAN».
- Присутствующие настройки будут зависеть от того, какой протокол выбран в выпадающем меню «Internet Connection Type». Если необходимо указать динамический IP-адрес, в этом меню выберите «Automatic Configuration — DHCP» и сохраните изменения. В этом случае никакие дополнительные параметры меня не нужно.
- В случае с PPPoE в соответствующих полях впишите полученные от провайдера данные об имени пользователя и пароле. Чаще всего поставщик интернет-услуг выдает карточку, на которой все и написано.
- Последний распространенный тип подключения — «Static IP», для которого вписывается полученный IP-адрес, маска подсети, шлюз по умолчанию и DNS-сервера. Внимательно следите за тем, какие цифры указываете в полях, поскольку даже одна ошибка может привести к проблемам с доступом к сети.
По завершении в обязательном порядке примените все изменения, поскольку в противном случае они могут быть сброшены сразу же при переходе в другое меню. Роутер должен отправиться на перезагрузку, а после повторного включения интернет появится при подключении через LAN-кабель. Если сеть еще отсутствует, подождите немного или обратитесь к технической поддержке провайдера для получения помощи.
Шаг 2: Настройки локальной сети
Стандартные параметры локальной сети изменять не нужно, если к маршрутизатору будет подключено только одно устройство. Однако чаще всего их больше, поэтому рекомендуется проверить несколько значений, о чем и пойдет речь далее.
- Через то же меню слева перейдите в раздел «LAN», чтобы открыть все присутствующие там категории.
- В первую очередь убедитесь в том, что локальный IP-адрес имеет значение 192.168.1.1 или 192.168.0.1, а маска подсети — 255.255.255.0. Дополнительно включите DHCP-сервер, если он находится в отключенном состоянии.
- Следом перемещайтесь в «VLAN Membership». Настройкой этой технологии виртуальной локальной сети интересуются только опытные юзеры или системные администраторы. Обычному же пользователю достаточно будет проверить, что в таблице присутствует только один параметр. Удалите лишние, оставив тот, который имеет ID 1.
- Тем, кто в будущем будет интересоваться настройкой контроля доступа или правил фильтрации, может потребоваться выполнить резервирование IP-адреса, получаемого через DHCP для конкретного устройства, чтобы он не сбивался при каждом повторном подключении. Для этого откройте меню «Static DHCP» и нажмите «Add Row».
- В появившейся форме введите описание для настройки, задайте требуемый IP и укажите MAC-адрес того устройства, к которому будут применены правила.
- Если физический адрес неизвестен, но пользователь при этом подключен к маршрутизатору, перейдите в «DHCP Leased Clients», чтобы определить этот параметр.
Остальные настройки локальной сети изменяются крайне редко и только опытными пользователями, поэтому мы пропустим их и предлагаем перейти к следующему этапу общего конфигурирования маршрутизатора от Cisco.
Шаг 3: Параметры Wi-Fi
Практически в каждом доме есть устройство, подключаемое к роутеру через беспроводную сеть, то есть Wi-Fi. По умолчанию этот режим в сетевом оборудовании от Cicso не настроен, поэтому отредактируйте его параметры под личные требования. Этот процесс отличается от привычного из-за внешнего вида веб-интерфейса, в связи с чем внимательно следите за каждым действием в инструкции.
- Сначала откройте раздел «Wireless» через меню слева.
- Выберите em>»Basic Settings», где включите вещание беспроводной сети, а также по необходимости поменяйте канал и герцовку.
- Большинство актуальных моделей поддерживают работу сразу нескольких точек доступа, однако не всем пользователям это надо. Поэтому в таблице активируйте требуемое количество сетей и измените их названия под себя, щелкнув на «Edit».
- В обязательном порядке настраивается и безопасность сети, поскольку практически никогда не нужно, чтобы она была открытой. Для этого выделите активную точку и кликните по кнопке «Edit Security Mode».
- Разверните появившееся выпадающее меню, где вас интересует стандартный протокол защиты «WPA2-Personal».
- Введите пароль, состоящий минимум из восьми символов, который будет использоваться для подключения к Wi-Fi. Не беспокойтесь о том, что забудете этот ключ, ведь всегда можно зайти в веб-интерфейс, посмотреть его или изменить.
- Вернитесь к главному меню и для настройки правил доступа к Wi-Fi перейдите в «Edit MAC Filtering».
- Тут задайте действие правила — разрешающее или запрещающее подключение, а также создайте таблицу из MAC-адресов, которые будут к нему относиться. Такая настройка окажется полезна, если сеть остается открытой, например, чтобы добавить туда все разрешающие устройства, а подключение остальных будет автоматически блокироваться.
- Последний блок базовых настроек беспроводной сети — «Time to Day Access». По его названию уже можно понять, что он отвечает за расписание доступа к Wi-Fi. Для настройки расписания нажмите по соответствующей кнопке справа, предварительно выбрав необходимый SSID.
- Активируйте ограничение по времени и установите начало и конец доступа. Недостатком этой настройки является то, что нет возможности создать расписание на всю неделю, поэтому такой подход будет оптимальным не для всех пользователей.
- Дополнительно отметим наличие расширенных настроек. Все из них предназначены только для опытных пользователей, поэтому обычным юзерам не следует менять здесь ничего, ведь это может напрямую сказаться на функционировании беспроводной сети.
- Практически все маршрутизаторы от Cisco поддерживают режим WDS, который позволяет подключить два сетевых устройства между собой для расширения зоны покрытия Wi-Fi. В этом разделе для настройки повторителя следует только активировать режим и ввести MAC-адрес целевого маршрутизатора.
- Осталось разобраться с WPS. Эта технология предназначена для быстрого подключения к беспроводной сети роутера без ввода пароля. В меню конфигурирования выбирается точка доступа для WPS, тут же есть кнопка для отключения этой опции, если она не нужна.
Шаг 4: Безопасность
Компания Cisco подошла уникально к реализации параметров безопасности для маршрутизатора, не обойдя при этом и стандартные настройки, полезные опытным юзерам. Рассмотрим их сжато, чтобы у каждого было общее представление о доступных опциях в актуальных версиях роутеров.
- Перейдите в раздел «Firewall», где разверните «Basic Settings». В ней присутствуют кнопки для отключения или активации стандартных правил защиты. По умолчанию все они включены и их не рекомендуется отключать.
- Параметры расписания, доступа и блокировки конкретных сайтов выставляются через учетную запись официального сайта Cisco, который будет открыт при переходе к соответствующим категориям. Используйте инструкции от разработчиков, если впервые сталкиваетесь с подобными настройками или во время этого процесса возникли другие трудности.
- Завершают меню безопасности правила проброса портов. Таблица уже создана заранее, а вам лишь надо вписать названия приложений, которые будут использовать порты, ввести сам протокол, начальный, конечный порт и IP-адрес.
Если изменения в разделе безопасности были произведены через учетную запись на официальном сайте, можете не беспокоиться о том, что они будут сброшены при возвращении роутера к заводским настройкам. В противном случае желательно создать файл резервной копии через раздел, о котором речь пойдет в следующем этапе.
Шаг 5: Администрирование
С основными и дополнительными параметрами маршрутизаторов мы разобрались выше. Осталось обратиться к разделу с системными инструментами, который может пригодиться даже после того, как все конфигурационные действия завершены.
- Для отображения всех доступных меню нажмите «Administration».
- Первая же категория является особенной, поскольку позволяет выбрать длину паролей, используемых для доступа к роутеру и подключению к Wi-Fi. Вы можете включить этот параметр и вручную задать ограничения, однако чаще всего это просто не нужно.
- К маршрутизатору можно подключиться только путем ввода имени пользователя и пароля, а управление учетными данными осуществляется через «Users». Поменяйте стандартный пароль или добавьте нового пользователя, если это требуется.
- Обратите внимание на инструменты диагностики: они позволяют без открытия браузера убедиться в том, что есть доступ к определенному сайту или IP-адресу.
- Если вы ранее настраивали правила безопасности и расписание доступа к сети, обязательно убедитесь в том, что в категории настройки времени все значения выбраны правильно, иначе расписание будет работать некорректно.
- Что касается резервного копирования, создание файла осуществляется через отдельное меню, где можно даже путем переключения маркеров менять конфигурации маршрутизатора и скачивать их отдельно.
- Cisco поддерживает автоматическое обновление прошивки, но для этого понадобится нажать на «Download» и дождаться завершения операции.
- В конце перезагрузите роутер или сбросьте его параметры, если что-то пошло не так и вы желаете выполнить конфигурирование заново.
Современные маршрутизаторы от Cisco поддерживают настройку через мобильное приложение, но с определенными ограничениями. Общую информацию по использованию таких решений вы найдете в отдельной статье на нашем сайте по ссылке ниже.
Читайте также: Настройка роутеров через телефон
Мы рады, что смогли помочь Вам в решении проблемы.Опишите, что у вас не получилось. Наши специалисты постараются ответить максимально быстро.
Помогла ли вам эта статья?
ДА НЕТ
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
| |||||
Как зайти на роутер cisco
Практически любой роутер Cisco прекрасно подойдет не только для домашнего использования, но и в качестве офисного роутера, в образовательном, медицинском или любом другом учреждении. Однако мало приобрести хорошую и многофункциональную модель, нужно еще уметь правильно настроить ее.
Моделей от этой компании существует несколько, но наиболее ходовая на сегодняшний день — роутер Cisco Linksys e1200, так что имеет смысл рассмотреть особенности настроек именно на ее примере. Для других моделей принцип действия будет аналогичным, важно лишь понять суть. Однако нужно иметь в виду, что в зависимости от той или иной модели могут присутствовать различия в программном интерфейсе и в пунктах меню.
Основные спецификации
Данный роутер Cisco имеет следующие технические характеристики:
- WAN-порт – стандартный Ethernet (RJ-45). Поддерживаемые протоколы: L2TP, PPPoE, PPTP.
- LAN-порты (4 штуки) для соединения на скорости 100 Мбит/с.
- Поддержка Wi-Fi с рабочей частотой 2,4 ГГц и максимальной скоростью соединения 300 Мбит/с.
- Роутер Cisco имеет две встроенные антенны.
- Имеется поддержка IPTV и некоторых других второстепенных функций.
Достоинства роутера Cisco Linksys e1200:
- Доступная для большинства пользователей цена.
- Несмотря на бюджетность, роутер применяет все наиболее популярные на сегодняшний день технологии для интернет-соединения.
- CiscoLinksys e1200 надежен и неприхотлив в работе. Если его эксплуатировать в надлежащих условиях, то он наверняка прослужит верой и правдой не один год.
- Стильный и привлекательный дизайн.
- Хорошая эргономика. Все элементы управления и разъемы находятся на своих местах. Можно сказать, что они выполнены в «классическом» варианте. После подключения провода не будут друг другу мешать и загораживать доступ к остальным элементам устройства.
- Многофункциональность. Роутер может не только получать и раздавать интернет по традиционному LAN, но и через беспроводную сеть Wi-Fi.
- Простота использования. Не нужно обладать никакими знаниями и навыками профессионала, чтобы начать использовать роутер. Конечно, запуск «из коробки» провести нельзя, для этого потребуется настроить роутер согласно имеющемуся интернет-соединению, однако и сам процесс настроек реализован весьма внятно и интуитивно.
- Cisco Linksys e1200 позволяет выполнять массу «второстепенных» функций. Например: открывать и закрывать дополнительные порты, осуществлять вход в гостевом режиме и многое другое, что, впрочем, в повседневном использовании вряд ли пригодится. Тем не менее иметь весь этот функционал весьма приятно.
Сброс предустановленных настроек
В случае если был приобретен подержанный роутер или предыдущие настройки были выполнены неправильно, их нужно сбросить. Для этого потребуется включить само устройство и на нижней его части найти кнопку Reset. Ее нужно нажать и удерживать не менее 10 секунд, после чего роутер перезапустится вновь, но уже со сброшенными настройками.
Подключение к компьютеру
Роутер Cisco e1200 подключается к компьютеру не сложнее, чем любой другой аналогичный маршрутизатор. Для начала, конечно, потребуется подключить его к источнику питания и включить. На тыльной стороне устройства имеется вход Ethernet, он помечен желтым цветом. В него нужно вставить кабель от провайдера, а любой из четырех LAN-портов нужно занять компьютером.
Настройка сетевой карты
Чтобы сетевая карта автоматически получала IP-адрес, назначенный маршрутизатору, может потребоваться произвести начальные настройки карты. Для этого нужно:
- открыть Панель управления и выбрать пункт «Центр управления сетями и общим доступом»;
- в левой части окна нажать на «Изменение параметров адаптера»;
- в открывшемся окне нужно отыскать и два раза левой кнопкой кликнуть на пункте «Подключение по локальной сети»;
- в открывшемся диалоговом окне нужно нажать на экранную кнопку «Свойства»;
- в новом списке следует найти пункт «Протокол интернета версия 4 (TCP/IP v4)» и снова нажать на «Свойства»;
- находясь во вкладке «Общие», отметить флажком пункты, относящиеся к автоматическому получению IP-адреса и DNS сервера и нажать на кнопку ОК.
Настройка сетевой карты на этом завершена, теперь можно рассматривать вопрос о том, как настроить роутер Cisco.
Вход в программу настроек
Чтобы запустить встроенный инструмент для настроек, нужно открыть любой интернет-браузер и в его адресной строке набрать: 192.168.1.1 – после этого откроется вшитая в роутер программа.
Нужно выбрать пункт «Работать с открытой незащищенной сетью», чтобы иметь возможность максимально гибко настроить роутер Cisco.
Далее нужно будет ввести параметры авторизации. Здесь вводится по умолчанию:
- имя пользователя: admin;
- пароль: admin.
После этого появится окно технических настроек.
Тонкие соединения
Первое, что нужно сделать, это указать своего провайдера. Для этого следует в стартовом окне выбрать пункты: «Настройка» – «Основные настройки». Далее потребуется выбрать из выпадающего меню тот тип соединения, который использует провайдер. Это могут быть: PPPoE, L2TP, PPTP – самые распространенные типы.
Если провайдер применяет динамический IP, то нужно указать: автоматическая конфигурация – DHCP, и больше ничего не изменять. Интернет уже должен заработать на роутере.
В противном случае потребуется заполнить такие поля, как IP-адрес, имя хоста, пароль, логин и прочую информацию, которую выдает провайдер при заключении контракта.
Осталось лишь перезагрузить роутер – и настройка роутера Cisco Linksys на этом завершена. Можно начинать пользоваться проводным интернетом на любом подключенном через LAN-порт устройстве.
Настройка Wi-Fi
В современных семьях, как правило, у каждого имеется персональный гаджет, посредством которого осуществляется выход во Всемирную паутину, поэтому зачастую дома появляется необходимость организовать собственную Wi-Fi-сеть и раздавать Интернет на всевозможные устройства — для этих целей можно также использовать данный роутер.
Для того чтобы настроить Wi-Fi, потребуется в стартовом окне программы установок выбрать пункт «Беспроводная сеть». В параметрах настроек работы отметить пункт «Вручную», в пункте «Режимы работы» отметить «Смешанный».
В поле «Сетевое имя (SSID)» можно набрать абсолютно любое имя – это будет наименование сети, которое увидит подключенное к вай-фаю устройство.
А вот пароль лучше выбрать как можно сложнее, чтобы никто посторонний не мог подключиться за чужой счет к раздаваемому интернету. Рекомендуется придумать пароль, состоящий из 8 символов на латинице, которые включают в себя как строчные, так и прописные буквы, а также цифры. Главное — самому не забыть придуманный пароль. Если параметры аутентификации стали известны сторонним лицам, вы можете изменить пароль, для этого нужно выбрать пункт «Безопасность беспроводной сети» и «Смешанный режим WPA2WPA».
Текстовое поле под названием «Идентификационная фраза» и отвечает за пароль. Остальные параметры нужно оставить без изменений и затем нажать на кнопку «Сохранить изменения».
На этом Cisco WiFi-роутер можно считать настроенным на работу.
Защита роутера
Чтобы запретить несанкционированный доступ к изменению настроек роутера, нужно выбрать вкладку «Настройки» и раздел «Администрирование» — в верхней части окна. После этого в подразделе «Управление» в поле «Пароль маршрутизатора» нужно набрать придуманный пароль (не тот, что использовался для подключения к сети Wi-Fi) и подтвердить его в поле «Повторный ввод для подтверждения».
Затем нажать на нижний пункт «Сохранить настройки».
Если планируется использовать роутер Cisco для дома, то непременно нужно изменить параметры входа, чтобы, например, соседи через стену не могли по Wi-Fi изменить параметры работы устройства и начать пользоваться чужим соединением бесплатно.
Если что-то не работает
Впрочем, несмотря на все усилия, может случиться и так, что роутер все равно откажется раздавать интернет по устройствам. Конечно, причин для этого может быть довольно много – начиная от программных и заканчивая аппаратными неполадками, но основные заключаются в том, что:
- Неверно введены параметры подключения. Например, может быть ошибочно введен IP-адрес, указан динамический IP вместо назначенного провайдером статического, параметры DNS и т. д. «Лечение» в данном случае напрашивается само собой: нужно еще раз внимательно перепроверить все введенные параметры, а в случае необходимости уточнить их у провайдера.
- Поврежден или не слишком прочно закреплен в разъеме кабель. Нужно проверить целостность кабелей LAN и Ethernet. В случае если найдено повреждение, соответственно, устранить его или купить новый. Также не лишним будет проверить, не расшаталось ли гнездо как внутри самого роутера, так и внутри компьютера.
- Нужно также проверить, верно ли указан тип соединения. Новички обычно не видят никакой разницы в том, что применяется тип PPPoE, L2TP или PPTP. Если имеются какие-либо затруднения, нужно позвонить в службу поддержки провайдера и уточнить информацию.
Если же все настройки произведены верно, проверка на целостность кабеля также не выявила повреждений, то вполне вероятно, что причина кроется во внутренних неполадках самого устройства. Возможно, следует обратиться в сервисный центр.
Как видно, произвести настройку роутера достаточно легко даже в домашних условиях, необязательно обладать навыками системного администратора. Если подробно ознакомиться со всеми приведенными в статье инструкциями и рекомендациями, настройка роутера Cisco не покажется вам таким уж сложным процессом.
Начинаем курс статей под кодовым названием Cisco для новичков
Собственно сабжект говорит о том что я постараюсь описать в данной статье…
Имеем Cisco 2911… поехали
начну с того, что на 18XX 28XX и почих маршрутизаторах 8 серии подключение и первоначальная настройка оборудования осуществляется через консольный порт с разъемом RJ-45, обычно, кабель для настройки идет в комплекте, представляет из себя RJ-45 на RS-232 голубого цвета. Оборудование 19XX 29XX серий помимо консольного порта RJ 45 имеет консольный порт MiniUSB (Что значительно удобнее при настройке оборудования имея под рукой ноутбук с отсутствующим COM портом). Для настройки оборудования через MiniUSB нам понадобится драйвер эмуляции
Далее в Device Manager появится Cisco Serial где можно настроить номер порта.
Установка соединения осуществляется со стандартными значениями – 9600 бод/8 бит данных/1 стоп бит/без проверки четности и контроля прохождения. В Windows – системах вы можете использовать putty, в Linux cu или minicom. В дальнейшем, когда маршрутизатору будет присвоен IP-адрес для настроек будем использовать ssh, но первый раз без консольного подключения не обойтись.
Открываем Putty, выбираем тип подключения Serial порт COM7 ( У меня он COM7) нажимаем 2 раза [Enter] и видим меред собой командную строку с приглашением роутера
Router>
Переходим в превелегированный режим командой enable
Router>enable
Router#
удаляем имеющуюся конфигурацию, находящуюся во флэш-памяти, и перезагружаем маршрутизатор:
Router#erase startup-config
Router#reload
Ждем пока роутер перезагрузится, наблюдая за процессом загрузки в окне консоли, после чего снова переходим в превилигированный режим
Router>enable
Переходим в конфигурационный режим и даем команду hostname:
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Gw0
Gw0(config)#
Включим режим хранения паролей в файле конфигурации устройства в зашифрованном виде:
Gw0(config)#service password-encryption
Отключим управление маршрутизатором через http и https и CDP
Gw0(config)#no ip http server
Gw0(config)#no ip http secure-server
Gw0(config)#no cdp run
Зададим пароли на подключения через консольный порт
Gw0(config)#line con 0
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
И Telnet
Gw0(config)#line vty ? О, сколько он там сказал доступно? 0-1441 значит line vty 0 1441 ))
Gw0(config-line)#password пароль
Gw0(config-line)#login
Gw0(config-line)#exit
Зададим пароль на Enable режим
Gw0(config) enable secret пароль_enable_режима
Перейдем к настройке интерфейса внутренней сети. Если маршрутизатор имеет гигабитные порты то названия портов можно сократить как Gi 0/0 (Gigabit ethernet) , если 100 Мбитные то скорее всего это будут Fa (fast ethernet)
В принципе, если вы сомневаетесь в команде, нажмите TAB — в командной строке команда дописалась? значит норма, не помните что вводить? введите знак вопроса… IOS выдаст вам все доступные команды в данном контексте.
Gw0(config) #interface Gi 0/0
Gw0(config-if)#ip address 192.168.0.1 255.255.255.0
Gw0(config-if)#description LAN
Gw0(config-if)#no shutdown
Gw0(config-if)#exit
Задаем dns-сервера
Gw0(config)# ip name-server 192.168.0.2
Все, маршрутизатор доступен телнетом по 192.168.0.1
Записываем конфигурацию в память командой
Gw0# copy running-config startup config или командой wr
В следующей статье,собственно, мы отключим доступ на маршрутизатор через telnet (Ибо не секюрно ) и настроим доступ к нему используя SSH.
Read this article in English
Рассмотрим схему подключения офиса к сети Интернет с помощью маршрутизатора Cisco. Для примера возьмем модель Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) будут аналогичными Различия могут быть в настройке интерфейсов, вернее в их названиях и нумерации.
В схеме присутствуют:
- канал в Интернет со статическим адресом
- несколько компьютеров в локальной сети офиса
- маршрутизатор
- коммутатор, который используется для организации локальной сети офиса
Задача: обеспечить доступ компьютеров локальной сети в Интернет.
Шаг 0. Очистка конфигурации
Первое, с чего стоит начать настройку нового маршрутизатора – полностью очистить стартовую конфигурацию устройства. ( Выполнять только на новом или тестовом оборудовании! ) Для этого нужно подключиться с помощью специального кабеля к консольному порту маршрутизатора, зайти в командную строку и выполнить следующее:
Войти в привилегированный режим(#), возможно потребуется ввести логин/пароль.
router> enable
Удалить стартовую конфигурацию
router# write erase
/подтверждение/
Перезагрузить маршрутизатор
router# reload
/подтверждение/
После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.
Would you like to enter the basic configuration dialog (yes/no): no
В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.
Шаг 1. Имя устройства
Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства»
router# conf t
router (config)# hostname R-DELTACONFIG
R-DELTACONFIG (config)#
Шаг 2. Настройка интерфейсов
Необходимо настроить 2 интерфейса: внешний и внутренний.
Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те ip адрес и маска сети, которые предоставил Интернет провайдер.
Внутренний интерфейс будет настроен для локальной сети 192.168.0.0 /24
Предположим, что оператор связи предоставил нам следующие адреса:
- Сеть 200.150.100.0
- Маска подсети 255.255.255.252 или /30
- Шлюз по умолчанию 200.150.100.1
Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut
R-DELTACONFIG#conf t
R-DELTACONFIG (config)#
interface Fa 4
ip address 200.150.100.2 255.255.255.252
no shutdown
После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч корда и далее проверяем его доступность командой ping.
Сначала собственный интерфейс
R-DELTACONFIG# ping 200.150.100.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/1/4 ms
Затем соседний адрес — шлюз провайдера
R-DELTACONFIG# ping 200.150.100.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 2/4/10 ms
Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.
В локальной сети будет использоваться следующая адресация
- Сеть 192.168.0.0
- Маска подсети 255.255.255.0
- Внутренний адрес маршрутизатора, который выполняет роль шлюза в Интернет для всех хостов в сети, 192.168.0.1
- Диапазон внутренних адресов сети (пользователи, принтеры, серверы и.т.д.) советую начинать с адреса 192.168.0.5
- Максимально возможный доступный для использования адрес в этой сети будет 192.168.0.254
- Адреса с 192.168.0.2 до 192.168.0.4 оставим про запас для непредвиденных технологических нужд
Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).
R-DELTACONFIG#conf t
interface Vlan 1
Ip address 192.168.0.1 255.255.255.0
no shutdown
Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan
interface Fa 0
switchport access vlan 1
no shutdown
Для наглядности:
ip address => interface Vlan X => interface Fastethernet Y
Ip адрес присваивается виртуальному интерфейсу Vlan X, а он привязывается к физическому интерфейсу Fastethernet Y.
Интерфейс маршрутизатора Fa 0 нужно соединить с коммутатором, где располагаются рабочие станции локальной сети или напрямую с рабочей станцией администратора. После этого проверить доступность этого интерфейса маршрутизатора с помощью ping из командной строки.
Шаг 3 Настройка удаленного доступа к маршрутизатору
Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet(данные передаются в открытом виде) или SSH(защищенное соединение).
Рассмотрим настройку безопасного подключения.
Включаем протокол SSH 2 версии и задаем произвольное имя домена
R-DELTACONFIG (config)#
ip ssh ver 2
ip domain-name xxx.ru
Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024.
crypto key generate rsa
How many bits in the modulus [512]: 1024
Задаем имя пользователя с правами администратора и его пароль (*****)
username admin privilege 15 secret 0 *****
Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)
line vty 0 4
login local
Задаем пароль на привилегированный режим
enable secret 0 *****
После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были задан. Подробнее про доступ на устройство по протоколу SSH написано в этой статье.
Шаг 4. Шлюз по умолчанию
Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).
R-DELTACONFIG (config)#
ip route 0.0.0.0 0.0.0.0 200.150.100.1
После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме(DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3)
R-DELTACONFIG#ping 93.158.134.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:
.
Success rate is 100 percent (5/5) , round-trip min/avg/max = 1/5/10 ms
Важно!
Обратите внимание, что на данный момент ping внешних адресов работает только(!) будучи запущенным из консоли управления маршрутизатором. Рабочие станции локальной сети все еще не имеют доступа в Интернет.
Шаг 5 Настройка трансляции адресов (NAT)
Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.
Указываем список внутренних адресов, которые будем транслировать во внешний адрес.
R-DELTACONFIG (config)#
ip access-list standard ACL_NAT
permit 192.168.0.0 0.0.0.255
Указываем внутренний интерфейс для процедуры трансляции
Interface Vlan 1
ip nat inside
Указываем внешний интерфейс для процедуры трансляции
Interface Fa 4
ip nat outside
Создаем правило трансляции (NAT)
ip nat inside source list ACL_NAT interface fa4
В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.
Важно!
В указанном примере меняется собственный адрес источника. Если в процессе работы необходимо транслировать адрес назначения — пускать траффик на вымышленный адрес, чтобы попасть на некий настоящий, то прочитайте статью ip nat outside.
Важно!
Не стоит оставлять полный доступ в Интернет со всех адресов локальной сети. Советую после проверки работоспособности соединения для безопасности ограничить доступ в Интернет и разрешить его только с конкретных адресов — например с прокси сервера и рабочих станций администратора и/или директора. О том как это сделать можно прочитать в статье «немного об access lists«.
Важно!
Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG# write
Building configuration.
[OK]
Селектор корпоративных маршрутизаторов Cisco — Cisco
Серия ASR 1002-HX- Край
- Филиал крупного предприятия, поставщик управляемых услуг (MSP)
- 2 стойки
- Встроенный RP, ESP, до 1 EPA
Эти пограничные интернет-маршрутизаторы предлагают встроенные службы для филиалов крупных предприятий и высокопроизводительных частных глобальных сетей.Работая на ПО Cisco IOS XE, Cisco ASR 1002-HX поддерживает программную избыточность без избыточного оборудования.
Серия ISR 4331- Модульный
- Филиал предприятия
- 1 стойка
- 2 слота NIM, 1 слот SM
Революционная конвергентная платформа для филиалов с лучшими в отрасли сетевыми, вычислительными и глобальными сервисами.ISR 4331 поставляется со встроенной системой безопасности IOS, включая межсетевой экран на основе зон, службы NAT, аналитику зашифрованного трафика и Cisco Umbrella.
Серия ISR 1100- Фиксированный
- Филиал предприятия, поставщик управляемых услуг (MSP), малый бизнес (SMB)
- Cisco IOS XE
- Интегрированная безопасность и беспроводная локальная и глобальная сеть
Подключение к глобальной сети, всесторонняя безопасность, проводной и беспроводной доступ на единой платформе филиала.Эти мощные маршрутизаторы на базе Cisco IOS® XE с поддержкой SD-WAN обеспечивают безопасное и гибкое подключение через LTE Advanced, Ethernet, G.fast и Wi-Fi 802.11ac.
Серия CSR 1000V- Виртуальный
- Безопасное расширение частной сети до общедоступных облаков
- Cisco IOS XE
Расширьте свою корпоративную сеть до общедоступных и частных облаков.Маршрутизация, безопасность и управление сетью предоставляются в виде облачных сервисов на этой независимой от инфраструктуры виртуальной платформе.
Серия ISR 4221- Модульный
- Филиал предприятия, малый бизнес (SMB)
- Встроенная безопасность
Созданные специально для малого и среднего бизнеса, экономичные маршрутизаторы поставляются со встроенными функциями безопасности IOS, включая межсетевой экран на основе зон, службы NAT, Snort IPS и Cisco Umbrella.
ИСР 4331- Modular, Enterprise Branch, 1 стойка, 2 слота NIM, 1 слот SM, программное обеспечение Cisco SD-WAN
Внедрите Cisco SD-WAN с революционной конвергентной платформой для филиалов, предлагающей лучшие в отрасли сетевые, вычислительные и глобальные сервисы. ISR 4331 поставляется со встроенной системой безопасности IOS, включая межсетевой экран на основе зон, службы NAT, аналитику зашифрованного трафика и Cisco Umbrella.
ASR 1002-НХ- Edge, филиал крупного предприятия, поставщик управляемых услуг (MSP), 2 стойки, интегрированный RP, ESP, до 1 EPA, ПО Cisco SD-WAN
Edge Филиал крупного предприятия, поставщик управляемых услуг (MSP) 2 стойки Интегрированный RP, ESP, до 1 EPA Cisco SD-WAN
ИСР 4221- Модульный, корпоративный филиал, малый бизнес (SMB), интегрированная безопасность, программное обеспечение Cisco SD-WAN
Созданные специально для малого и среднего бизнеса, экономичные маршрутизаторы поставляются со встроенными функциями безопасности IOS, включая межсетевой экран на основе зон, службы NAT, Snort IPS и Cisco Umbrella.
КСР 1000В- Виртуальный, безопасное расширение частной сети до общедоступных облаков, Cisco IOS XE, программное обеспечение Cisco SD-WAN
Virtual Безопасное расширение частной сети до общедоступных облаков Cisco IOS XE Cisco SD-WAN
Маршрутизаторы для малого бизнеса— Cisco
Маршрутизаторы Meraki GoМаршрутизатор шлюза безопасности Meraki Go GX20Для малых предприятий с ограниченным временем или техническими ноу-хау.Это самый простой способ управлять сетевым оборудованием, обеспечивая при этом безопасность корпоративного уровня с помощью брандмауэра и маршрутизатора с отслеживанием состояния — и все это с помощью интуитивно понятного мобильного приложения. Посмотреть сведения о продукте | До 50 лет | Легкий | Идеально подходит для небольших гостиниц, розничной торговли и небольших офисов |
Мераки МХ64Интегрированный маршрутизатор и брандмауэр начального уровня с функциями безопасности и SD-WAN для небольших филиалов.Предлагает формирование трафика, приоритизацию приложений, поддержку Auto VPN, VLAN и DHCP, а также расширенные службы безопасности. Посмотреть сведения о продукте | старше 50 лет | Легкий | Упрощенный |
Мераки MX64WУниверсальное решение для беспроводной связи, безопасности и SD-WAN для небольших филиалов.Встроенный маршрутизатор, обеспечивающий формирование трафика, беспроводную связь с двухдиапазонным и двойным одновременным подключением на частотах 2,4 и 5 ГГц, автоматический VPN и расширенные службы безопасности. Посмотреть сведения о продукте | старше 50 лет | Легкий | Упрощенный |
Мераки MX67Маршрутизатор, полностью управляемый облаком, безопасность и SD-WAN, идеально подходит для небольших и удаленных местоположений, требующих высокой доступности.Предлагает формирование трафика, поддержку Auto VPN, VLAN и DHCP, а также расширенные службы безопасности. Посмотреть сведения о продукте | старше 50 лет | От легкого до среднего | Упрощенный до среднего |
Мераки MX68Маршрутизатор, полностью управляемый облаком, безопасность и SD-WAN, идеально подходит для небольших и удаленных местоположений, требующих высокой доступности.Предлагает встроенные возможности PoE+, формирование трафика, поддержку Auto VPN, VLAN и DHCP, а также расширенные службы безопасности. Посмотреть сведения о продукте | старше 50 лет | От легкого до среднего | Упрощенный до индивидуального |
Мераки MX68W и MX68CWБеспроводная связь, безопасность и SD-WAN «все в одном» для небольших и удаленных офисов.Предлагает беспроводную связь с двухдиапазонным и двойным одновременным подключением на частотах 2,4 и 5 ГГц, формирование трафика, автоматический VPN и расширенные службы безопасности. Встроенный восходящий канал сотовой связи CAT 6 LTE (только MX68CW). Посмотреть сведения о продукте | старше 50 лет | От легкого до среднего | Упрощенный до индивидуального |
*Окончательная цена может варьироваться.Окончательная цена устанавливается продавцом. Для получения информации о вариантах за пределами США обратитесь в отдел продаж Cisco.
Ошибка маршрутизатора Cisco имеет серьезные глобальные последствия
Маршрутизатор Cisco серии 1001-X не очень похож на тот, который есть у вас дома. Он больше и намного дороже, отвечает за надежную связь на фондовых биржах, в корпоративных офисах, в местном торговом центре и так далее. Другими словами, устройства играют ключевую роль в учреждениях, включая те, которые имеют дело с конфиденциальной информацией.Теперь исследователи раскрывают удаленную атаку, которая потенциально позволит хакеру захватить любой маршрутизатор 1001-X и скомпрометировать все данные и команды, которые проходят через него.
Дальше будет только хуже.
Чтобы скомпрометировать маршрутизаторы, исследователи из охранной фирмы Red Balloon воспользовались двумя уязвимостями. Во-первых, это ошибка в операционной системе Cisco IOS (не путать с iOS от Apple), которая позволяет хакеру удаленно получить root-доступ к устройствам.Это серьезная уязвимость, но она не является необычной, особенно для маршрутизаторов. Это также может быть относительно легко исправлено с помощью исправления программного обеспечения.
Однако вторая уязвимость куда опаснее. Как только исследователи получат root-доступ, они смогут обойти самую фундаментальную защиту маршрутизатора. Эта функция безопасности Cisco, известная как Trust Anchor, была реализована почти во всех корпоративных устройствах компании с 2013 года. Тот факт, что исследователи продемонстрировали способ ее обхода на одном устройстве, указывает на то, что это может быть возможно с учетом конкретных особенностей устройства. модификаций, чтобы обойти якорь доверия на сотнях миллионов устройств Cisco по всему миру.Это включает в себя все, от корпоративных маршрутизаторов до сетевых коммутаторов и брандмауэров.
На практике это означает, что злоумышленник может использовать эти методы для полной компрометации сетей, в которых находятся эти устройства. Учитывая вездесущность Cisco, потенциальные последствия будут огромными.
«Мы показали, что можем незаметно и постоянно отключать якорь доверия», — говорит Анг Цуй, основатель и генеральный директор Red Balloon, который имеет опыт выявления основных уязвимостей Cisco. «Это означает, что мы можем вносить произвольные изменения в маршрутизатор Cisco, и якорь доверия по-прежнему будет сообщать, что устройство заслуживает доверия.Что страшно и плохо, потому что это есть в каждом важном продукте Cisco. Все.»
Сбрасывая якорь
В последние годы компании, заботящиеся о безопасности, все чаще добавляют «безопасные анклавы» к материнским платам. У разных решений разные названия: у Intel — SGX, у Arm — TrustZone, у Apple — безопасный анклав. И у Cisco есть якорь доверия.
Они по-разному представляют собой либо защищенную часть обычной памяти компьютера, либо отдельный чип — безопасный, уединенный оазис вдали от бедлама главного процессора компьютера.Ни пользователь, ни администратор не могут изменять безопасный анклав, независимо от того, насколько они контролируют систему. Благодаря своей неизменной природе безопасный анклав может контролировать и проверять целостность всего остального.
Инженеры по безопасным вычислениям обычно рассматривают эти схемы как надежные в теории и продуктивные для развертывания. Но на практике может быть опасно полагаться на один элемент, который будет контролировать всю систему. Нарушение этой защиты, что оказалось возможным во многих компаниях, лишает устройство критически важных средств защиты.Что еще хуже, манипулирование анклавом может создать впечатление, что все в порядке, даже если это совсем не так.
Основные сведения о маршрутизаторе Cisco
Cisco хорошо известна своими маршрутизаторами и коммутаторами. Я должен признать, что это продукты очень хорошего качества, и как только они будут запущены и запущены, вы можете в значительной степени забыть о них, потому что они редко выходят из строя.
Здесь мы сосредоточимся на маршрутизаторах, поскольку именно по этой причине вы нажали на эту страницу!
Cisco предлагает несколько различных маршрутизаторов, среди которых популярные серии 880, 2900 и 3900.
Ниже приведены изображения нескольких упомянутых маршрутизаторов (серии 880 и 2900):
Все вышеперечисленное оборудование работает под управлением специального программного обеспечения, которое называется Cisco Internetwork Operating System или IOS. Это ядро маршрутизаторов Cisco и большинства коммутаторов. Cisco создала то, что они называют Cisco Fusion, что должно заставить все устройства Cisco работать под одной и той же операционной системой.
Мы начнем с основных компонентов, из которых состоит маршрутизатор (и коммутаторы) Cisco, и я объясню, для чего они используются, так что берите чай или кофе и вперед!
Основные компоненты любого маршрутизатора Cisco:
- Интерфейсы
- Процессор (ЦП)
- Межсетевая операционная система (IOS)
- Загрузочный образ RX
- ОЗУ
- NVRAM
- ПЗУ
- Флэш-память
- Регистр конфигурации
Теперь я просто надеюсь, что вы не посмотрели на список и не подумали: «Чушь это, это выглядит сложно и сложно», потому что, уверяю вас, это менее болезненно, чем вы думаете! На самом деле, как только вы прочитаете его пару раз, вы обнаружите, что все это легко запомнить и понять.
Интерфейсы
Это позволяет нам использовать маршрутизатор! Интерфейсы — это различные последовательные порты или порты Ethernet, которые мы используем для подключения маршрутизатора к нашей локальной сети. Существует множество различных интерфейсов, но мы собираемся коснуться только основных вещей.
Вот некоторые имена, которые Cisco дала некоторым интерфейсам: E0 (первый интерфейс Ethernet), E1 (второй интерфейс Ethernet). S0 (первый последовательный интерфейс), S1 (второй последовательный интерфейс), BRI 0 (первый канал B для базовой ISDN) и BRI 1 (второй канал B для базовой ISDN).
На изображении ниже вы можете видеть вид маршрутизатора Cisco сзади, вы можете ясно видеть различные интерфейсы, которые он имеет: (мы рассматриваем только маршрутизаторы ISDN)
Вы видите, что у него даже есть телефонные розетки! Да, это нормально, так как вам нужно подключить цифровой телефон к линии ISDN, а поскольку это маршрутизатор ISDN, у него есть эта опция с маршрутизатором. Однако я должен объяснить, что обычно вы не получаете маршрутизаторы с интерфейсами ISDN S/T и ISDN U вместе. Для любой линии ISDN требуется сетевой терминатор (NT), установленный на территории заказчика, и вы подключаете свое оборудование после этого терминатора.Интерфейс ISDN S/T не имеет встроенного устройства NT, поэтому для использования маршрутизатора вам потребуется устройство NT. С другой стороны, интерфейс ISDN U имеет устройство NT, встроенное в маршрутизатор.
На рисунке ниже показано, как подключить маршрутизатор с помощью различных интерфейсов ISDN:
Помимо интерфейсов ISDN, у нас также есть интерфейс Ethernet, который подключается к устройству в вашей локальной сети, обычно к концентратору или компьютеру. При подключении к порту восходящей связи концентратора вы устанавливаете небольшой переключатель в положение «Концентратор», но при подключении к ПК вам необходимо установить его в положение «Узел».Этот коммутатор просто преобразует кабель из прямого (концентратор) в перекрестный (узел):
Конфигурационный или консольный порт представляет собой гнездовой разъем DB9, который вы подключаете с помощью специального кабеля к последовательному порту вашего компьютера и позволяет напрямую настраивать маршрутизатор.
Процессор (ЦП)
Все маршрутизаторы Cisco имеют главный процессор, который выполняет основные функции маршрутизатора. ЦП генерирует прерывания (IRQ) для связи с другими электронными компонентами маршрутизатора.Маршрутизаторы Cisco используют процессоры Motorola RISC. Обычно загрузка процессора на обычном маршрутизаторе не превышает 20%.
IOS
IOS — это основная операционная система, на которой работает маршрутизатор. IOS загружается при загрузке маршрутизатора. Обычно он составляет от 2 до 5 МБ, но может быть намного больше в зависимости от серии маршрутизатора. В настоящее время IOS имеет версию 12, и Cisco периодически выпускает второстепенные версии каждые пару месяцев, например, 12.1, 12.3 и т. д., чтобы исправить небольшие ошибки, а также добавить дополнительные функции.
IOS предоставляет маршрутизатору различные возможности, а также может быть обновлена или загружена с маршрутизатора в целях резервного копирования. В серии 1600 и выше вы получаете IOS на флэш-карте PCMCIA. Затем эта флэш-карта вставляется в слот, расположенный на задней панели маршрутизатора, и маршрутизатор загружает «образ» IOS (как они его называют). Обычно этот образ операционной системы сжат, поэтому маршрутизатор должен распаковать образ в своей памяти, чтобы использовать его.
IOS — одна из наиболее важных частей маршрутизатора, без нее маршрутизатор практически бесполезен.Только имейте в виду, что необязательно иметь флешку (как описано выше с роутером серии 1600), чтобы загрузить IOS. На самом деле вы можете настроить большинство маршрутизаторов Cisco для загрузки образа с сетевого tftp-сервера или с другого маршрутизатора, который может содержать несколько образов IOS для разных маршрутизаторов, и в этом случае он будет иметь флэш-карту большой емкости для хранения этих изображений.
Образ RXBoot
Образ RXBoot (он же Bootloader) — не что иное, как «урезанная» версия IOS, находящаяся в ПЗУ роутера (Read Only Memory).Если у вас не было флэш-карты для загрузки IOS, вы можете настроить маршрутизатор для загрузки образа RXBoot, что даст вам возможность выполнять незначительные операции по обслуживанию и включать или отключать различные интерфейсы.
ОЗУ
ОЗУ или оперативная память — это место, куда маршрутизатор загружает IOS и файл конфигурации. Она работает точно так же, как память вашего компьютера, где операционная система загружается вместе со всеми различными программами. Объем оперативной памяти, необходимой вашему маршрутизатору, зависит от размера образа IOS и имеющегося у вас файла конфигурации.Чтобы дать вам представление об объемах ОЗУ, о которых мы говорим, в большинстве случаев маршрутизаторы меньшего размера (до серии 1600) довольны от 12 до 16 МБ, в то время как более крупным маршрутизаторам с большими образами IOS потребуется от 32 до 64 МБ. памяти. Таблицы маршрутизации также хранятся в оперативной памяти системы, поэтому, если у вас большие и сложные таблицы маршрутизации, вам, очевидно, потребуется больше оперативной памяти!
Когда я попытался обновить ОЗУ на маршрутизаторе Cisco 1600, я отвинтил корпус, открыл его и был поражен, обнаружив 72-контактный слот SIMM, к которому нужно было подключить дополнительную ОЗУ.Для тех, кто не знает, что такое 72-контактный SIMM, это в основном тип оперативной памяти, которую использовали старые процессоры Pentium с сокетом 7 еще в 1995 году. Этот тип памяти был заменен современными стандартными 168-контактными модулями DIMM или SDRAM.
NVRAM (энергонезависимая память)
NVRAM — это специальное место в памяти, где маршрутизатор хранит свою конфигурацию. Когда вы настраиваете маршрутизатор, а затем сохраняете конфигурацию, она сохраняется в NVRAM. Эта память совсем невелика по сравнению с оперативной памятью системы. В серии Cisco 1600 это всего 8 КБ, а в более крупных маршрутизаторах, таких как серия 2600, — 32 КБ.Обычно, когда маршрутизатор запускается, после загрузки образа IOS он просматривает NVRAM и загружает файл конфигурации для настройки маршрутизатора. NVRAM не стирается при перезагрузке или даже выключении маршрутизатора.
ПЗУ (только для чтения)
ПЗУ используется для запуска и обслуживания маршрутизатора. Он содержит некоторый код, такой как Bootstrap и POST, который помогает маршрутизатору выполнять некоторые базовые тесты и загружаться при включении или перезагрузке. Вы не можете изменить какой-либо код в этой памяти, так как он был установлен на заводе и доступен только для чтения.
Флэш-память
Флэш-память — это та карта, о которой я говорил в разделе IOS. Все, что это такое, это карта EEPROM (электрически стираемая программируемая память только для чтения). Он помещается в специальный слот, обычно расположенный на задней панели маршрутизатора, и не содержит ничего, кроме образов IOS. Вы можете написать в него или удалить его содержимое из консоли роутера. Обычно он имеет размер 4 МБ для небольших маршрутизаторов (серия 1600) и увеличивается в зависимости от модели маршрутизатора.
Регистр конфигурации
Если упростить, регистр конфигурации определяет, будет ли маршрутизатор загружать образ IOS со своей флэш-памяти, tftp-сервера или просто загружать образ RXBoot. Этот регистр является 16-битным регистром, другими словами, имеет 16 нулей или единиц. Образец этого в шестнадцатеричном виде будет следующим: 0x2102 и в двоичном виде: 0010 0001 0000 0010 .
Назад к разделу маршрутизаторов Cisco
Как войти в систему маршрутизатора Cisco
Если вы не слышали о Cisco, вот статья о ней.С 1984 года по настоящее время Cisco работает в отрасли, и их качественные услуги и продукты по-прежнему предоставляются. По данным Amazon Best Sellers, большинство покупателей предпочитают маршрутизаторы Cisco. Итак, если вы один из тех, кто использует этот модем, вам может быть интересно узнать, как получить доступ к входу в систему маршрутизатора Cisco. Если вы используете другую модель, не волнуйтесь! Дополнительные сведения см. в списке входа в систему маршрутизатора .
В этой статье подробно объясняется, как вы можете войти в свой маршрутизатор Cisco.Он также покажет вам шаги по изменению учетных данных для входа по умолчанию. Кроме того, это поможет вам найти свой IP-адрес. Прокрутите вниз, чтобы узнать больше.
Ваш логин маршрутизатора Cisco по умолчанию
Вход в систему маршрутизатора Cisco позволит вам настроить параметры и изменить пароль или имя пользователя по умолчанию. Вы также можете проверить некоторую другую основную информацию о вашем модеме. Посмотрите, как.
- Подключите свое устройство, компьютер или мобильное устройство, к Интернету.
- Откройте веб-браузер и введите IP-адрес вашего маршрутизатора. IP-адрес, используемый для большинства маршрутизаторов Cisco, — 192.168.15.1 .
- На странице входа введите имя пользователя и пароль. Если вы не меняли настройки по умолчанию, введите admin в качестве имени пользователя и Password в качестве кода. (Примечание: не все маршрутизаторы Cisco использовали эту комбинацию.)
- Нажмите кнопку Ok для доступа к веб-интерфейсу.
Ваш маршрутизатор поставляется с именем пользователя и паролем по умолчанию.Это понадобится вам, если вы собираетесь получить доступ к настройкам вашего модема в первый раз. Это действительно важно, потому что вам это понадобится для изменения настроек маршрутизатора.
Имя пользователя по умолчанию, обычно используемое маршрутизаторами Cisco, — admin или cisco. Это зависит от модели и устройства вашего модема. В качестве пароля они использовали имя пользователя или оставили его пустым. Если вам трудно определить имя пользователя и пароль по умолчанию, вы можете ознакомиться с остальной частью этого руководства.
Узнайте данные входа по умолчанию для других маршрутизаторов. Ознакомьтесь с нашими руководствами по Xfinity, Comcast Business, Linksys и NetGear.
Изменить имя пользователя и пароль для входа в системуВ целях безопасности рекомендуется изменить ваше имя пользователя и пароль по умолчанию. Не изменив его, вы станете более подвержены взлому и могут поставить под угрозу вашу безопасность. Итак, возьмите необходимые меры предосторожности, следуя приведенным ниже инструкциям.
- Подключите компьютер к модему через локальную сеть или по беспроводной сети.
- Запустите веб-браузер и введите IP-адрес вашего маршрутизатора. После этого появится страница авторизации.
- Введите данные для входа в систему и нажмите Войти.
- Теперь выберите Настройка на вкладке Меню и перейдите к Быстрая настройка .
- Введите новый пароль в поле рядом с общим ключом . Чтобы применить внесенные изменения, нажмите Сохранить настройки .
Сброс настроек модема может помочь решить проблемы, с которыми вы столкнулись при подключении к сети.На самом деле, есть два типа сброса, которые вы можете выполнить. Один из них — мягкий сброс, а другой — жесткий сброс.
Первое выполняется, когда вы отключаете устройство от сети и через некоторое время снова подключаете его. Это рекомендуется, потому что это быстро и не меняет ваши настройки. Если это не решило вашу проблему, попробуйте другую настройку — аппаратный сброс. Это подходит, если вы забыли назначенный пароль и имя пользователя. Сделав это, вы сможете восстановить настройки по умолчанию.Вот как:
- Найти кнопку сброса на задней панели маршрутизатора.
- Пресс кнопку и удерживайте ее в течение 30 секунд. Вы можете использовать заостренный конец ручки или клип.
- тогда модем перезагрузится автоматически.
После перезагрузки маршрутизатора ваши настройки будут восстановлены в режиме по умолчанию. Поэтому рекомендуется сразу же сменить имя пользователя и пароль.
Узнайте, как сбросить пароль для других маршрутизаторов. Прочтите наши руководства по Ubee, Orbi, Windstream и Cox.
Найти IP-адрес для входа в маршрутизатор
Большинство маршрутизаторов CISCO использовали один уникальный IP-адрес, однако не все устройства одинаковы. Так как таким образом, вам нужно получить правильный IP-адрес для доступа к сети вашего маршрутизатора. интерфейс. Узнать свой IP очень просто. Взгляните на руководство ниже.
Для пользователей Windows- Открыть Командная строка на вашем компьютере. Вы можете сделать это, перейдя в строку поиска и введите cmd .Нажмите кнопку Введите , чтобы открыть приложение.
- Один раз готово, введите ipconfig , затем нажмите Введите .
- От В появившемся списке найдите Default Gateway . Указанный адрес ваш IP.
Если вы являетесь пользователем Windows 10, вы также можете подписаться эти шаги.
- Пресс значок окна на экране компьютера и нажмите Настройки или переключатель значок.
- При нажатии, Появится новое окно.Выберите «Сеть и Интернет » > «Состояние» > «Просмотр». свойства вашей сети .
- Сейчас, прокрутите вниз, пока не увидите Шлюз по умолчанию .
Если у вас есть компьютер Mac, следуйте этому вместо:
- Запуск окно терминала на вашем компьютере. Перейдите в Finder > Приложения > Коммунальные услуги .
- От здесь выберите Терминал .
- Тип нетстат номер | grep default и подождите, пока он обработает вашу команду.
- Ваш Затем на экране отобразится ваш IP.
- Нажмите Ctrl + Alt + T , чтобы открыть окно терминала.
- После этого введите IP route | grep по умолчанию и нажмите Введите .
- Ваш IP-адрес будет показан на вашем экране.
1. Подключите свое устройство, компьютер или мобильное устройство, к Интернету.
2. Откройте веб-браузер и введите IP-адрес вашего маршрутизатора. IP-адрес, используемый для большинства маршрутизаторов CISCO, — 192.168.15.1 .
3. На странице входа введите свое имя пользователя и пароль. Если вы не меняли настройки по умолчанию, введите admin в качестве имени пользователя и Password в качестве кода. (Примечание: не все маршрутизаторы CISCO использовали эту комбинацию.)
4. Нажмите кнопку Ok для доступа к веб-интерфейсу!
Имя пользователя по умолчанию, обычно используемое маршрутизаторами CISCO: admin или cisco .Это зависит от модели и устройства вашего модема. Для паролей они использовали имя пользователя или оставили его пустым.
Как сбросить вход в систему маршрутизатора Cisco? 1. Найдите кнопку сброса на задней панели маршрутизатора.
2. Нажмите кнопку и удерживайте ее в течение 30 секунд. Вы можете использовать заостренный конец ручки или скрепку.
3. После этого модем автоматически перезагрузится.
В заключение, маршрутизаторы Cisco обычно используют имя пользователя admin или cisco в качестве имени пользователя по умолчанию.Он меняется в зависимости от модели и устройства модема. Сброс модема может помочь вам решить проблемы с подключением к сети.
Вам понравилась эта статья? Подводя итог этой статье, скажем, что понять, как подключиться к маршрутизатору Cisco, несложно. Для этого не требуется никакого технологического опыта или знаний. Даже новичок в технике может справиться с задачей, если он будет следовать приведенным выше инструкциям. Вам не нужны никакие дополнительные инструменты для сброса маршрутизатора к заводским настройкам.IP-адреса по умолчанию включают cisco cisco 192.168.10.2, cisco cisco 192.168.1.254 и т. д.
Хотя большинство маршрутизаторов Cisco имеют один IP-адрес, не все устройства одинаковы. В результате, чтобы получить доступ к веб-интерфейсу вашего маршрутизатора, вы должны получить правильный IP-адрес.
Вы можете оставить комментарий, если у вас есть какие-либо вопросы о поддержке Cisco, подключении к Wi-Fi, Cisco FTD, электронной почте Cisco ESA, проверке отказов Cisco ESA, изменении имени пользователя адреса или любых других темах, не затронутых в этом сообщении.
бэкдоров продолжают появляться в маршрутизаторах Cisco
За последние несколько месяцев к списку недостатков безопасности маршрутизаторов Cisco присоединился не один и не два, а целых пять различных бэкдоров.
Архитектура Cisco для законного перехвата
Еще в 2004 году Cisco написала предложение IETF по лазейке для «законного перехвата» для маршрутизаторов, которую правоохранительные органы могли бы использовать для удаленного входа в маршрутизаторы. Спустя годы, в 2010 году, исследователь безопасности из IBM показал, как этот протокол может быть использован злоумышленниками для захвата маршрутизаторов Cisco IOS, которые обычно продаются интернет-провайдерам и другим крупным предприятиям.
Злоумышленники могут использовать эти бэкдоры, не оставляя никакого контрольного следа. Вот как был разработан законный протокол перехвата, чтобы сотрудники интернет-провайдера не могли определить, когда агент правоохранительных органов входит в маршрутизаторы интернет-провайдера (даже если правоохранительные органы должны получить этот доступ по решению суда или другому законному запросу на доступ).
Кроме того, сотрудники интернет-провайдера могли злоупотреблять этим протоколом, потому что никто из других сотрудников интернет-провайдера не мог сказать, когда кто-то получил доступ к маршрутизаторам через архитектуру Cisco для законного перехвата.
Появление новых «незадокументированных лазеек»
В 2013 году немецкая газета Der Spiegel опубликовала разоблачения, показавшие, что АНБ использует определенные лазейки в маршрутизаторах Cisco. Cisco отвергла обвинения в том, что она работала с АНБ над внедрением этих бэкдоров.
В 2014 году в маршрутизаторах Cisco для малого бизнеса был обнаружен новый незадокументированный бэкдор, который мог позволить злоумышленникам получить доступ к учетным данным пользователя и выполнять произвольные команды с повышенными привилегиями.
В 2015 году группа злоумышленников, спонсируемых государством, начала устанавливать вредоносный бэкдор на маршрутизаторы Cisco, воспользовавшись преимуществами многих маршрутизаторов, которые сохранили учетные данные администратора по умолчанию, вместо того, чтобы изменить их на что-то другое.
В 2017 году Cisco с помощью утечки данных Wikileaks обнаружила уязвимость в своих собственных маршрутизаторах, которая позволила ЦРУ удаленно управлять более чем 300 моделями коммутаторов Cisco через аппаратную уязвимость.
Пять новых бэкдоров за пять месяцев
В этом году в маршрутизаторах Cisco появилось пять незарегистрированных бэкдоров, и это еще не конец. В марте была обнаружена жестко запрограммированная учетная запись с именем пользователя «cisco». Бэкдор позволил бы злоумышленникам получить доступ к более чем 8.5 миллионов маршрутизаторов и коммутаторов Cisco удаленно.
В том же месяце был найден еще один жестко закодированный пароль для программного обеспечения Cisco Prime Collaboration Provisioning (PCP), которое используется для удаленной установки видео- и голосовых продуктов Cisco.
Позже в мае этого года Cisco обнаружила еще одну незадокументированную учетную запись бэкдора в Центре цифровой сетевой архитектуры (DNA) Cisco, используемом предприятиями для инициализации устройств в сети.
В июне была обнаружена еще одна бэкдор-учетная запись в Cisco Wide Area Application Services (WAAS), программном инструменте для оптимизации трафика глобальной сети (WAN).
Самый последний бэкдор был обнаружен в Cisco Policy Suite, программном пакете для интернет-провайдеров и крупных компаний, который может управлять политиками пропускной способности сети. Бэкдор дает злоумышленнику корневой доступ к сети, и против него нет никаких мер, кроме исправления программного обеспечения с помощью обновления Cisco.
Независимо от того, были ли бэкдор-аккаунты созданы по ошибке, Cisco необходимо положить им конец, прежде чем отсутствие заботы о безопасности начнет сказываться на ее бизнесе.
SYNful Knock — имплантат маршрутизатора Cisco — часть I
Обзор
Имплантаты маршрутизатораот любого поставщика в корпоративной сфере в значительной степени считались теоретическими по своей природе и особенно при использовании. Однако недавние рекомендации поставщиков указывают на то, что они были замечены в дикой природе. Mandiant может подтвердить наличие по крайней мере 14 таких имплантатов-маршрутизаторов в четырех разных странах: Украине, Филиппинах, Мексике и Индии.
SYNful Knock — это скрытая модификация образа прошивки маршрутизатора, которую можно использовать для поддержания устойчивости в сети жертвы.Он настраиваемый и модульный по своей природе, поэтому его можно обновлять после имплантации. Даже наличие бэкдора может быть трудно обнаружить, поскольку он использует нестандартные пакеты в качестве формы псевдоаутентификации.
Первоначальный вектор заражения не использует уязвимость нулевого дня. Считается, что учетные данные либо заданы по умолчанию, либо обнаружены злоумышленником для установки бэкдора. Однако положение маршрутизатора в сети делает его идеальной мишенью для повторного входа или дальнейшего заражения.
Поиск бэкдоров в вашей сети может быть сложной задачей; найти имплантат маршрутизатора, тем более. В этой статье не только анализируется имплантат, но также предлагаются практические методы и инструменты для обнаружения компрометации SYNful Knock.
Последствия обнаружения этого имплантата в вашей сети очень серьезны и, скорее всего, указывают на наличие других плацдармов или скомпрометированных систем. Этот бэкдор предоставляет злоумышленнику широкие возможности для распространения и компрометации других хостов и важных данных, используя его как очень незаметный плацдарм.
Краткое описание имплантатов
Имплантат состоит из модифицированного образа Cisco IOS, который позволяет злоумышленнику загружать различные функциональные модули анонимно из Интернета. Имплантат также обеспечивает неограниченный доступ с использованием секретного пароля. Каждый из модулей активируется через протокол HTTP (не HTTPS) с использованием специально созданных TCP-пакетов, отправляемых на интерфейс маршрутизатора. Пакеты имеют нестандартную последовательность и соответствующие номера подтверждений. Модули могут проявлять себя как независимый исполняемый код или хуки в IOS маршрутизаторов, которые обеспечивают функциональность, аналогичную паролю бэкдора.Бэкдор-пароль обеспечивает доступ к роутеру через консоль и Telnet.
Известное уязвимое оборудование
- Маршрутизатор Cisco 1841
- Маршрутизатор Cisco 2811
- Маршрутизатор Cisco 3825
Примечание. Наша первоначальная идентификация показала, что другие модели, вероятно, затронуты из-за схожести основных функций и базы кода IOS.
Стойкость
Имплантат находится в модифицированном образе Cisco IOS и после загрузки сохраняет свою устойчивость в среде даже после перезагрузки системы.Однако любые дополнительные модули, загруженные злоумышленником, будут существовать только в энергозависимой памяти маршрутизатора и не будут доступны для использования после перезагрузки. С криминалистической точки зрения, если модули загружены в энергозависимую память, их можно проанализировать, получив дамп ядра образа маршрутизатора[1].
Детали
Модификации двоичного файла IOS можно разбить на следующие четыре функции:
- Изменить резервный буфер трансляции (TLB) Атрибуты чтения/записи
- Изменить законную функцию IOS для вызова и инициализации вредоносного ПО
- Перезаписать законные функции обработки протоколов вредоносным кодом
- Перезаписать строки, на которые ссылаются законные функции, строками, используемыми вредоносной программой
TLB Чтение/запись атрибутов
Вредоносная программа переводит все атрибуты чтения и записи TLB в режим чтения-записи (RW).Мы считаем, что это изменение сделано для поддержки перехвата функций IOS загруженными модулями. Если для атрибутов TLB не задано значение RW, то изменения кэшированных страниц могут не распространяться на исходную страницу в памяти.
Это достигается с помощью двух однобайтовых модификаций, внесенных в функцию IOS, которая, как предполагается, отвечает за настройку TLB. Немодифицированная функция устанавливает первые два бита регистра в 1, а модифицированная функция устанавливает первые три бита в 1. Mandiant считает, что третий бит управляет разрешениями на запись в записи TLB.На рис. 3 показаны модифицированные инструкции.
Рисунок 3: Модификация атрибутов TLBЭто подводит нас к одному из индикаторов на основе хоста, обсуждавшихся выше. Атрибуты TLB можно просмотреть с помощью команды режима включения «show platform». Вывод TLB немодифицированного образа IOS показан ниже на рис. 4.
Рисунок 4: Записи TLB для легитимного образа IOSЕсли в маршрутизатор был имплантирован модифицированный образ IOS, атрибуты RW должны быть:
Рисунок 5: Записи TLB для измененного образа IOSВ зависимости от аппаратного обеспечения маршрутизатора определенные диапазоны адресов памяти обычно являются разделами исполняемого кода только для чтения.Самый простой способ определить, был ли изменен маршрутизатор, — использовать команду «show platform | include RO, Valid». Образ IOS мог быть изменен, чтобы разрешить модификацию исполняемого кода, если результаты не отображаются.
Инициализировать вредоносное ПО
Mandiant считает, что для выполнения вредоносного ПО во время загрузки образа IOS была изменена функция, связанная с планированием процессов. Это было выбрано потому, что измененная функция вызывается на ранней стадии во время последовательности загрузки IOS и всегда вызывается до тех пор, пока IOS загружается правильно.Целевой адрес вызова функции изменяется, чтобы указать на функцию обработки перехватчика вредоносного ПО. Наше исследование показало, что вредоносное ПО инициализируется после того, как функция обработки ловушек проверяет допустимость вызывающей функции в модифицированной IOS. Теперь, когда вредоносная программа запущена и работает, она выполняет исходную функцию IOS, так что никто не заметит.
Mandiant считает, что измененная функция связана с задачей планирования процесса, поведение таково, что после вызова она входит в бесконечный цикл.Кроме того, некоторые из подфункций ссылаются на строки, связанные с планированием процессов, такие как «Порог: %s Загрузка ЦП (Всего/Intr):…».
Размещение исполняемого кода вредоносного ПО
Чтобы предотвратить изменение размера образа, вредоносное ПО перезаписывает несколько легитимных функций IOS собственным исполняемым кодом. Злоумышленники изучат текущую функциональность маршрутизатора и определят функции, которые можно перезаписать, не вызывая проблем на маршрутизаторе.Таким образом, перезаписанные функции будут меняться при развертывании.
Строки и конфигурация вредоносных программ
В соответствии с темой, упомянутой выше, поскольку размер изображения не может измениться, имплантат также перезаписал некоторые строки отчетов своей собственной конфигурацией. Это еще один индикатор компрометации, который можно использовать для целей обнаружения. Верные строки, которые были перезаписаны, показаны на рис. 6.
Рисунок 6: Строки, связанные с допустимой функцией, перезаписаны вредоносным ПО. Содержимое, показанное на рисунке 6, было заменено содержимым, показанным ниже на рисунке 7.Отчетливо видны строки вредоносного ПО, включенные в HTTP-заголовок, используемый в Command and Control, вместе с паролем по умолчанию, который мы намеренно удалили. Это даст потенциальным жертвам время для поиска компрометации в своих сетях и устранения проблемы. Не стесняйтесь обращаться к нам по электронной почте по адресу synfulknock-at-fireeye.com, и мы можем предоставить пароль, если вы подозреваете, что вас взломали.
Рисунок 7: Строки вредоносных программСнова мы приходим к другому индикатору на основе хоста, который потенциально можно использовать для определения наличия импланта; однако расположение строк конфигурации может различаться в зависимости от развертывания и должно быть предварительно обнаружено.
Модифицированный образ IOS будет давать совершенно другой и подозрительный результат при выполнении, казалось бы, обычной команды IOS.
Пароль бэкдора
Злоумышленник может использовать секретный пароль бэкдора в трех различных сценариях аутентификации. Имплантат сначала проверит, является ли введенный пользователем пароль бэкдором. Если да, то доступ предоставляется. В противном случае внедренный код передаст учетные данные для проверки потенциально действительных учетных данных.Это гарантирует, что наименьшее количество подозрений будет поднято. Следующие три экземпляра были проверены на предмет включения доступа с использованием пароля бэкдора:
. Таблица 1: Функции аутентификации, в которых можно использовать секретный пароль бэкдораИсследования показали, что сеансы SSH или HTTPS не обеспечивают доступа для пароля бэкдора. Это может быть проблемой конфигурации и может варьироваться в зависимости от компрометации.
Рис. 8. Тонкая разница между аутентификацией с использованием легитимного пароля и бэкдор-пароляNetwork Command and Control (CnC)
Командно-управляющая часть имплантата является модульной и позволяет загружать дополнительные функции в IOS.Функциональность CnC является скрытой, поскольку для нее требуется серия триггерных TCP-пакетов, которые вредоносное ПО отслеживает на предмет определенных значений и содержимого заголовков TCP. Даже если на маршрутизаторе включены фильтры, триггер TCP обрабатывается вредоносной программой. Вредоносная программа будет реагировать на триггерные пакеты, отправленные на три разных адреса: интерфейс маршрутизатора, широковещательный IP-адрес и сетевой адрес (первый IP-адрес в подсети).
1. Чтобы инициировать процесс, на порт 80 «имплантированного» маршрутизатора отправляется уникально созданный пакет TCP SYN.Важно отметить, что разница между порядковым номером и номером подтверждения должна быть установлена на 0xC123D. Также номер ACK не обязательно должен быть равен нулю.
Рис. 9. TCP SYN с последовательностью и смещением подтверждения 0xC123D1. Как обычно при трехстороннем рукопожатии, вредоносное ПО отвечает сообщением TCP SYN-ACK, подтверждающим первое сообщение SYN. Однако будут присутствовать следующие условия:
- Разница между номерами подтверждения и порядковыми номерами теперь равна 0xC123E
- Установлены следующие жестко заданные параметры TCP: «02 04 05 b4 01 01 04 02 01 03 03 05»
- Указатель срочности также установлен на 0x0001, но флаг срочности не установлен
- Вредоносная программа также копирует номер подтверждения из пакета SYN для порядкового номера.Типичный сервер обычно генерирует случайный порядковый номер, поэтому это не стандартное рукопожатие TCP.
Эти уникальные условия являются аномалиями, которые Mandiant использовала для написания сигнатур и инструментов обнаружения сети.
Рис. 10. TCP SYN-ACK с последовательностью и смещением подтверждения 0xC123E1. После окончательного ACK для завершения трехэтапного рукопожатия контроллер отправляет следующее TCP-сообщение:
- Установлены флаги PUSH и ACK
- С начала заголовка TCP по смещению 0x62 записывается строка «текст»
- Показанная ниже команда находится по смещению 0x67 от заголовка TCP
Команда имеет следующий формат:
[Данные CMD] закодированы XOR со статическим ключом.Существует алгоритм контрольной суммы, который представляет собой четырехбайтовое XOR декодированных [данных CMD].
Рис. 11. Пакет команд контроллера1. Ответ вредоносного ПО инкапсулирован в следующий статический ответ HTTP/HTML-сервера. К счастью, ответ вредоносной программы не закодирован XOR, и его будет легко расшифровать.
Рисунок 12: Ответ жертвыПоддерживаемые команды
Ранее мы упоминали, что этот имплантат является модульным. Пять команд, показанных в таблице ниже, используются для загрузки дополнительных модулей и функций на маршрутизаторе-жертве.Всего можно загрузить 100 дополнительных модулей, однако эти модули являются резидентными и не сохраняются после перезагрузки или повторной загрузки.
Командные сообщения устанавливают первое СЛОВО (4-байтовый порядок байтов) равным нулю. Второе СЛОВО идентифицирует тип сообщения (значения от нуля до четырех). Все типы сообщений будут начинаться со следующих восьми байтов:
.ID | Описание |
---|---|
0 | Список загруженных модулей и их текущее состояние.Ответ содержит слово, представляющее идентификационный номер, за которым следует слово, представляющее состояние каждого загруженного модуля. Допустимые состояния: Тогда в сообщении будет указано, что модуль 03 находится в активированном состоянии (02). Список загруженных модулей и их текущее состояние.Ответ содержит слово, представляющее идентификационный номер, за которым следует слово, представляющее состояние каждого загруженного модуля. Допустимые состояния: Тогда в сообщении будет указано, что модуль 03 находится в активированном состоянии (02). |
1 | Выделить место для загрузки дополнительного модуля.Команда предоставляет размер модуля для двух необходимых буферов. Вредонос выделяет память для двух буферов и возвращает адреса в ответе. Первый буфер — это исполняемый код, и мы подозреваем, что второй буфер предназначен для конфигурации и хранения. Синтаксис этого сообщения имеет следующий формат: [WORD ID][WORD длина первого буфера][WORD длина второго буфера] Пример команды, которая указывает вредоносной программе выделить 0x0C байтов для первого буфера и 0x90 байтов для второго буфера. идентификатора модуля 0x02: 00 00 00 02 00 00 00 0C 00 00 00 90 Пример ответа сервера показывает, что первый буфер находится по адресу памяти 0x66012C4C, а второй — по адресу 0x650DCD20: 60D CD 20 После выполнения этой команды состояние модуля устанавливается на ноль. Выделить место для загрузки дополнительного модуля. Команда предоставляет размер модуля для двух необходимых буферов. Вредонос выделяет память для двух буферов и возвращает адреса в ответе. Первый буфер — это исполняемый код, и мы подозреваем, что второй буфер предназначен для конфигурации и хранения. Синтаксис этого сообщения имеет следующий формат:[WORD ID][WORD длина первого буфера][WORD длина второго буфера] Пример команды, которая указывает вредоносной программе выделить 0x0C байтов для первого буфера и 0x90 байтов для второго буфера. идентификатора модуля 0x02: 00 00 00 02 00 00 00 0C 00 00 00 90 Пример ответа сервера показывает, что первый буфер находится по адресу памяти 0x66012C4C, а второй — по адресу 0x650DCD20: 60D CD 20 После выполнения этой команды состояние модуля устанавливается на ноль. |
2 | Заполнить память, выделенную для модуля. Эта команда используется для заполнения исполняемого кода и предполагаемых данных конфигурации. [0x80 Bytes данные ловушки][WORD длина первого буфера][WORD длина второго буфера] [Первый буфер…][Второй буфер…] Подобно тому, как работает ловушка пароля по умолчанию, используется буфер данных ловушки для внедрения дополнительных хуков в IOS. Буфер ловушек предоставляет адреса внутри IOS, где должны быть установлены ловушки, и код, который должен выполняться при выполнении ловушек. После выполнения этой команды состояние модуля устанавливается в единицу. Заполнить память, выделенную для модуля. Эта команда используется для заполнения исполняемого кода и предполагаемых данных конфигурации. [0x80 Bytes данные ловушки][WORD длина первого буфера][WORD длина второго буфера] [Первый буфер…][Второй буфер…] Подобно тому, как работает ловушка пароля по умолчанию, используется буфер данных ловушки для внедрения дополнительных хуков в IOS. Буфер ловушек предоставляет адреса внутри IOS, где должны быть установлены ловушки, и код, который должен выполняться при выполнении ловушек. После выполнения этой команды состояние модуля устанавливается в единицу. |
3 | Активировать загруженный модуль. Вредоносная программа анализирует буфер данных хуков и создает необходимые хуки в ОС для выполнения модуля. Единственным аргументом является WORD, представляющий идентификатор модуля. После выполнения этой команды состояние модуля устанавливается на два. Активировать загруженный модуль. Вредоносная программа анализирует буфер данных хуков и создает необходимые хуки в ОС для выполнения модуля.Единственным аргументом является WORD, представляющий идентификатор модуля. После выполнения этой команды состояние модуля устанавливается на два. |
4 | Удалить модуль. Память, выделенная для модуля, освобождается, и состояние устанавливается в ноль. Модуль больше не будет отображаться в команде активных модулей. Удалить модуль. Память, выделенная для модуля, освобождается, и состояние устанавливается в ноль. Модуль больше не будет отображаться в команде активных модулей. |
Таблица 2: Поддерживаемые команды
Если первое СЛОВО сообщения не равно нулю, выполняется код, связанный с идентификатором модуля первого СЛОВА. Это позволяет выполнять код, не связанный с функцией IOS.
ЗаключениеМы надеемся, что этот пост помог лучше понять этот гибкий и незаметный имплантат-маршрутизатор. Теперь должно быть очевидно, что этот вектор атаки вполне реален и, скорее всего, будет расти в популярности и распространенности.