Базовая настройка «офисных» роутеров компании Cisco (8XX-серия)
Роутер Cisco 881-й модели пришел на смену популярной серии Cisco 871, которая предназначена для создания сетей класса SOHO. Из важных опций, имеющих наличие, можно отметить встроенный DNS-сервер, серьезный фаервол, и некоторые другие. Их совокупность позволяет сказать, что Cisco 881 – самый современный роутер Циско, подходящий для офисного и домашнего использования.
В наименовании моделей со встроенным Wi-Fi модулем – есть буква «W». Чаще всего, к проводному маршрутизатору Cisco WiFi роутер – подключают кабелем LAN. Это может быть просто «точка доступа». Поэтому, настройку беспроводного интерфейса Cisco – мы рассматривать не будем. Вместо этого, проведем шаг за шагом конфигурацию соединения с Интернет, настройку локальной сети, фаервола, отмечая отличия, характерные именно для Cisco 8XX. Приступим.
Настройка основных функций роутера «881-й» модели
Предварительные действия перед настройкой
Настраивать роутер мы будем через консоль. Любой Cisco router – имеет набор аппаратных портов (они расположены на задней панели):
- Порты Ethernet (цвет – желтый). Они разделены на порты для внутренней сети (eth0.. eth3 в рассматриваемой модели), и, как правило, один порт для Интернет-соединения.
- Один порт Console/Terminal (цвет – голубой). Подсоедините к нему консольный кабель, подключите терминал (компьютер с COM-портом и программой HyperTerminal).
Включать питание роутера можно, если все аппаратные подключения на 100% выполнены. Перед настройкой роутера, запустите терминальную программу. В ней при создании подключения необходимо выбрать номер используемого COM-порта (установите следующие значения):
Скорость можно выбрать «9600» или меньше, 8-битный режим без проверки четности (стоповый бит – 1). Собственно, если настроено правильно, то роутер при загрузке – должен выдавать в терминал сообщения:
Первый этап настройки
Запустив настроенную программу терминала и включив питание роутера, необходимо дождаться сообщения «Press RETURN…». Нажмите «Enter». Роутер потребует логин с паролем (используйте пару «cisco»). В серии 8XX, дополнительно предусмотрен «мастер настройки» (от его услуг – откажемся, нажав «N», затем «Enter»).
После приведенных здесь действий, в терминале можно выполнить команду «?» (вопрос), и увидеть ее результат:
Если после слова «Router» сейчас – значок «больше» (а не «решетка»), выполните команду «enable».
Что нужно сделать в первую очередь? Даже если подошли логин и пароль «cisco», все равно, лучше сбросить настройки в заводские значения. Команда «erase startup-config» поможет в этом (останется только перезагрузить роутер).
Зайдя в консоль еще раз, перейдите в режим с повышенными привилегиями («enable»), а затем – в режим настройки («conf t»). Выход из последнего режима – выполняется командой «exit».
Находясь в режиме настройки, создайте пользователя с максимальными правами:
username Логин privilege 15 secret Новый Пароль
Конечно, вместо слов «Логин» и «Новый Пароль» подставляют необходимые значения. Но это – еще не все. Сделайте выход из режима настройки («exit»), и подайте команду «wr mem». Последняя команда – важная, ее нужно запомнить. Она «сохраняет» выполненные настройки.
При следующем входе в терминал, можно будет использовать новые значения пароля/логина.
Настроим локальную сеть
Что мы должны сделать здесь? Присвоить нашему роутеру локальный адрес IP, задать диапазон адресов для DHCP-сервера. Ну, и включить сервер. Все команды – будут выполняться в режиме настройки (выполните «enable», затем «conf t»). В завершение, не забудьте сохранить изменения.
Настройка роутера Cisco 8XX-серии – подразумевает следующее. «Порт 4» может быть подключен к разъему провайдера. Все остальные порты – доступны, как один виртуальный «сетевой интерфейс» (он имеет название «Vlan1»).
Из «режима настройки» перейдем в режим, где конфигурируется только интерфейс Vlan1:
interface Vlan1
Далее, присвоим этому «порту» адрес:
ip address 192.168.N.1 ///подставьте любое число вместо «N»
Настроим сервер DHCP:
ip dhcp excluded-address 192.168.N.16 192.168.N.100 ///адреса будут 101-255
ip dhcp pool LAN1 ///пул адресов, мы назвали его «LAN1», далее – его и настраиваем:
network 192.168.N.0/16 ///та подсеть, из которой выдаются IP;
default-router 192.168.N.1 ///задали шлюз по умолчанию
dns-server Адрес ///вместо «Адрес» – указать реальный IP DNS, либо (внимание!) локальный адрес роутера, другие варианты – исключены.
Заметим, что DHCP-сервер по умолчанию включен. Команды включения и выключения сервера DHCP: «service dhcp» / «no service dhcp». Когда основные настройки – выполнены, можно включить сборку фрагментных пакетов (команда «ip virtual-reassembly»).
Дополнительно, отметим: все изменения, выполняемые в режиме «conf t», вступают в силу немедленно.
Настройка DNS-сервиса
Все команды, приведенные здесь, выполняются в режиме настройки («conf-t»). Две первые из них – можно считать выполненными (что верно для роутеров «8XX»):
ip domain-lookup ///включить в сети сервис DNS
Зачем это нужно? Если сервис активен, при настройке локальной сети в качестве сервера DNS – можно указывать роутер (в параметре команды «dns-server»).
ip dns server ///включить «встроенный» кэширующий сервер DNS (отключить можно командой с префиксом «no»)
Далее, надо добавить «внешние» DNS. Например, так:
ip name-server Адрес ///на месте «Адрес», укажите реальный IP DNS
либо
ip name-server Адрес1 Адрес2 … ///первый параметр – будет адресом «первичного» DNS, и так далее.
Скажем, что нужно на самом деле. Если при конфигурировании Vlan1 выполнить «dns-server 192.168.N.1» (то есть, указать адрес роутера), то дополнительно, останется выполнить «ip name-server» с правильными параметрами.
Настройка соединения (вариант «DHCP»)
В предыдущей главе мы рассмотрели, как поступить с адресами DNS-серверов. Чтобы настроить соединение с провайдером, работающим по DHCP-протоколу, достаточно указать, что «порт 4» получает IP автоматически:
Interface FastEthernet4 ///выполните команду в режиме «настройки» (конфигурируется Eth4)
ip address dhcp ///теперь, порт «4» будет получать IP от DHCP провайдера
Все. «Под DHCP» – соединение должно работать. Как настроить роутер Cisco в качестве VPN-клиента (либо, для соединения PPPoE), мы здесь не рассматриваем. Приведем еще несколько полезных команд, выполняемых при настройке соединения:
ip virtual-reassembly ///сборка фрагментных IP-пакетов
speed auto ///надеемся, понятно (10/100 Мбит/с)
duplex auto ///тоже, понятно
Не забывайте сохранять выполненные изменения. Успешной настройки!
Дополнительные возможности роутера
Возможности встроенного фаервола: URL-фильтрация
На роутер «881» по умолчанию установлена ОС IOS, наделенная встроенным фаерволом. По-другому, его называют «Cisco IOS Firewall».
Мы будем настраивать фильтрацию по URL. Точнее, запретим исходящий трафик на сайт, названный в нашем примере cite.ru. Доступ будет полностью ограничен не только на главную страницу (http://cite.ru), но и любую другую, URL которой заканчивается, как «.cite.ru».
Находясь в режиме «настройки» («conf t») – пишем:
ip inspect name cite urlfilter
ip urlfilter allow-mode on
ip urlfilter cache 0 ///если так не отключить кэш, cisco 881 ethernet sec router запомнит IP данного сайта и начнет «фильтровать» по IP (не по URL)
ip urlfilter exclusive-domain deny .cite.ru ///вот мы и запретили доступ к «*.cite.ru»
Если хотите, можно включить «лог» всех запросов к данному сайту (не обязательно):
ip urlfilter audit-trail
Остался ровно один шаг. В настройке интерфейса, организующего соединение (Eth4), надо кое-что добавить:
Interface FastEthernet4 ///конфигурируется Eth4
ip inspect cite out ///проверка исходящего с Eth4 трафика
Настройка завершена.