2.3.Начальная настройка маршрутизатора

Произведём базовую настройку маршрутизатора периметра, схожая настройка актуальна и для остальных маршрутизаторов. Попав в интерфейс IOS необходимо войти в привилегированный режим.

router> enable

Очистить стартовую конфигурация

router# write erase /подтверждение/

Перезагрузить маршрутизатор

router# reload /подтверждение/

После выполнения маршрутизатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.

Would you like to enter the basic configuration dialog (yes/no): no

В текущей конфигурации маршрутизатора будут только технологические строки по умолчанию, и можно приступать к основной настройке.

Задание имени маршрутизатора для удобства последующего администрирования выполняется командой hostname «название устройства».

router#conf t

router(config)#hostname r-perimeter

r-perimeter(config)#

Необходимо настроить 2 интерфейса: внешний и внутренний. Через внешний интерфейс будет осуществляться связь с Интернет. На нем будут те IP адрес и маска сети, которые предоставил Интернет провайдер. Внутренний интерфейс будет настроен для локальной сети 172.20.0.5/27

Настроим внешний интерфейс: зададим ip адрес и сетевую маску, и включим его командой no shut. 

Предположим провайдер задал IP адрес 200.150.100.0/30 и шлюз по умолчанию 200.150.100.1. Конфигурация будет выглядить следующим образом:

r-perimeter#conf t

r-perimeter(config)#

interface Fa 4

ip address 200.150.100.2 255.255.255.252

no shutdown

После этого соединяем этот интерфейс маршрутизатора с портом оборудования провайдера при помощи прямого патч-корда и далее проверяем его доступность командой ping.

Собственный интерфейс:

r-perimeter #ping 200.150.100.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.150.100.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

Шлюз провайдера:

r-perimeter #ping 200.150.100.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 200.150.100.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 2/4/10 ms

Убедившись в доступности шлюза Провайдера, переходим к настройке внутреннего интерфейса.

В локальной сети будет использоваться следующая адресация (см. п. 2.1.):

- Сеть 172.20.0.0

- Маска подсети 255.255.255.0

- Внутренний адрес маршрутизатора, который выполняет роль шлюза в Интернет для всех хостов в сети, 172.20.0.5

- Диапазон внутренних адресов сети (пользователи, принтеры, серверы и.т.д.) советую начинать с адреса 172.20.0.1

- Максимально возможный доступный для использования адрес в этой сети будет 172.20.0.254

Для настройки внутреннего интерфейса локальной сети следует зайти в режим конфигурирования виртуального интерфейса Vlan 1, задать на нем ip адрес и соотнести ему один из физических интерфейсов маршрутизатора (Fa 0).

r-perimeter#conf t

interface Vlan 1

Ip address 172.20.0.5 255.255.255.224

no shutdown

Выбираем физический интерфейс маршрутизатора и соотносим его с виртуальным Vlan.

interface Fa 0

switchport access vlan 1

no shutdown

Получить доступ к консоли маршрутизатора можно не только с помощью консольного кабеля, но и удаленно с помощью протоколов Telnet (данные передаются в открытом виде) или SSH(защищенное соединение).

Рассмотрим настройку безопасного подключения.

Включаем протокол SSH 2 версии и задаем произвольное имя домена

r-perimeter(config)#

ip ssh ver 2

ip domain-name xxx.ru

Генерируем ключи rsa, необходимые для подключения. При запросе указываем 1024:

crypto key generate rsa

How many bits in the modulus [512]: 1024

Задаем имя пользователя с правами администратора и его пароль (*****):

username admin privilege 15 secret 0 *****

Включаем авторизацию через локальную базу устройства (тот пользователь, которого создали строчкой выше)

line vty 0 4

login local

Задаем пароль на привилегированный режим:

enable secret 0 *****

После этого при помощи специальной программы, поддерживающей протокол SSH можно зайти в командную строку маршрутизатора удаленно с любой из рабочих станций локальной сети. При авторизации следует ввести логин и пароль, которые были задан.

Для маршрутизации пакетов в сеть Интернет на устройстве необходимо указать шлюз по умолчанию(default gateway).

r-perimeter (config)#

ip route 0.0.0.0 0.0.0.0 200.150.100.1

После этого можно проверить не только доступность оборудования провайдера, но и полностью канала в Интернет. Для этого необходимо запустить ping до любого адреса во внешней сети в цифровой форме (DNS для локальной сети лучше настраивать после настройки маршрутизатора). Для примера возьмем адрес лидера на рынке ping – www.yandex.ru (93.158.134.3):

r-perimeter #ping 93.158.134.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 93.158.134.3, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/5/10 ms

На данный момент ping внешних адресов работает только будучи запущенным из консоли управления маршрутизатором. Хосты в локальной сети все еще не имеют доступа в Интернет.

Для доступа в Интернет из локальной сети необходимо динамически транслировать все внутренние адреса в определенный внешний ip адрес. В нашем случае, так как провайдер предоставляет только один внешний адрес 200.150.100.2 (определяется маской подсети /30 в условиях примера), то все адреса локальной сети должны транслироваться в него.

Указываем список внутренних адресов, которые будем транслировать во внешний адрес:

r-perimeter (config)#

ip access-list standard ACL_NAT

permit ip 172.20.0.0 0.0.0.224

Указываем внутренний интерфейс для процедуры трансляции:

Interface Vlan 1

ip nat inside

Указываем внешний интерфейс для процедуры трансляции:

Interface Fa 4

ip nat outside

Создаем правило трансляции (NAT):

ip nat inside source list ACL_NAT interface fa4

В результате должен появиться доступ с любой рабочей станции локальной сети в Интернет при условии, что шлюзом по умолчанию указан внутренний ip адрес маршрутизатора (192.168.0.1). Проверить можно с помощью команды ping до адреса в Интернет из командной строки. Желательно, чтобы проверяемый адрес был в цифровом виде, чтобы исключить потенциальные проблемы с DNS именами.

Сохраним конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.

r-perimeter#write

Building configuration...

[OK]