Маршрутизаторы Cisco: настройка, модели. Сетевое оборудование. Роутеры cisco


Маршрутизаторы Cisco: настройка, модели. Сетевое оборудование

Маршрутизаторы Cisco давно и по праву завоевали доверие со стороны многих пользователей. Верой и правдой много лет они передают трафик на различные устройства между самыми разными типами сетей. Слово "cisco" сегодня стало синонимом таких понятий, как качество и надежность. Тем более что и на маршрутизатор Cisco цена всегда держится в рамках приемлемого.

Характеристика маршрутизаторов и коммутаторов Cisco

В настоящее время получили широкое распространение различные серии коммутаторов и маршрутизаторов Cisco. Серия включает в себя несколько моделей, которые отличаются по ряду характеристик. Однако все их можно условно разделить на следующие большие группы:

  • Портативные роутеры. Они предназначены для организации сетей малого и среднего масштабов.

  • Устройства с приставкой ISR – такие Ethernet коммутаторы характеризуются очень гибкой архитектурой. Устанавливая различного рода приложения, можно практически неограниченно расширять их возможности.

  • Модульные устройства. Возможности таких устройств можно расширять через подключение всевозможных модулей, таким образом можно гибко управлять архитектурой оборудования. Рекомендуются к приобретению предприятиями малого и среднего масштабов.

Все представленные устройства работают на прием и передачу пакетов информации на третьем уровне OSI. С их помощью можно строить сети самого разного масштаба и назначения. Устройства Cisco VPN-тоннели поддерживают следующие: L2TP, DMVPN, IPsec, GRE и PPTP. Настройка VPN на маршрутизаторе Cisco позволит передавать данные по зашифрованному частному каналу.

Коммутаторы серии Cisco 2960 также имеют ряд моделей, однако общими характеристиками для них являются:

  • уровень L2;
  • число поддерживаемых портов – 8, 24 или 48;
  • питание PoE, PoE+;
  • поддержка безопасности соединения;
  • скорость портов может быть различной, в зависимости от модели маршрутизатора – на 100 мегабит и 1 гигабит;
  • возможность образования стеков также в одних моделях имеется, а в других – нет.

Особенностью маршрутизаторов от Cisco можно считать то, что они часто узко специализированы. Нет в их линейке неких универсальных моделей, которые могли бы одинаково послужить как в квартире для образования домашней локальной сети, так и на предприятии или в офисе. Каждая линейка отвечает за что-то свое и имеет порой очень узкую специализацию. Так что при выборе сетевого оборудования от компании Cisco этот момент нужно учитывать: даже самый дорогой и продвинутый роутер или маршрутизатор может оказаться бесполезным набором плат и проводов в одном месте и совершенно незаменимым устройством – в другом.

Направления настроек оборудования Cisco

Настройка оборудования проходит обычно по следующим направлениям:

  1. Наладка Wi-Fi масштабируемых сетей. Именно масштабированные сети позволяют впоследствии гибко реагировать на все необходимые изменения и обходиться малыми затратами при реорганизации сети.
  2. Работы по настройке Интернет-телефонии на базе Cisco. Под этим может подразумеваться обустройство локальной сети как в пределах одного офиса или предприятия, так и более глобальной – объединяющей сразу несколько локальных сетей в одну. Существуют варианты с объединением от 350 пользователей до 30 000 при кластеризации.
  3. Cisco-настройка Firewall и IPS. Это настройка безопасности сети – важнейший пункт в отладочных работах, пренебрегать которым нельзя ни в коем случае.
  4. Настройка средств мониторинга сетей. Рекомендуется применять специализированное ПО от Cisco. Благодаря этому не возникнет никаких проблем с совместимостью программной и аппаратной составляющих, а администратор сможет в любое время получить объективную информацию относительно работы сети и вовремя среагировать на возможные неполадки.
  5. Настройка Cisco VPN. Под этим подразумевается объединение нескольких локальных сетей в одну, в том числе разнесенных территориально на достаточно большие расстояния. Также может потребоваться подключение рабочих станций отдельных сотрудников к общим ресурсам предприятия.

Как подключить маршрутизатор к компьютеру

Само собой, настройка сетевого оборудования начинается с подключения его к компьютеру. Маршрутизатор подключается к ПК при помощи специального кабеля консоли. Затем запускается эмулятор терминала. С него и нужно будет вводить все команды в дальнейшем.

Многие роутеры и маршрутизаторы используют до сих пор COM-порт для соединения с компьютером. Однако далеко не у всех современных машин такой порт имеется. В этом случае помогут специальные переходники на USB-COM. В зависимости от комплектации, они могут как поставляться в комплекте с сетевым оборудованием, так и не поставляться. Но лучше выбирать модель, которая уже изначально поддерживает способ соединения через USB.

В качестве порта указывается: 9600/8-N-1. Если требуется перегрузить маршрутизатор с пустой стартовой конфигурацией, нужно подать команду: enable. Тем самым загружается режим EXEC. Чтобы начать с чистого листа, нужно ввести команду: erase startup-config. И перезагрузить оборудование командой: reload. На вопрос операционной системы о том, войти ли в окно настроек, нужно ответить отрицательно.

Впрочем, все вышеупомянутое можно не совершать, если нет нужды в получении пустого конфига.

Общие сведения о синтаксисе консольных команд в маршрутизаторах и роутерах Cisco

Что касается оборудования Cisco, Windows не предлагает привычного многим пользователям оконного интерфейса. Все команды вводятся через консольный терминал. И при этом следует придерживаться следующих правил:

  • если ввести знак вопроса, то Cisco выведет полный список доступных команд и операндов;
  • имя либо необходимое ключевое слово рекомендуется сократить до минимального предела;
  • допустимо редактирование командной строки в консоли терминала, как это делается в системах Linux или Unix;
  • если оператор передумал выполнять ту или иную команду, то он может прервать ее исполнение, введя с клавиатуры слово NO;
  • чтобы перейти на уровень доступа от 0 (новичок) до 15 (администратор), нужно вводить команду: enable Номер_уровня_доступа.

Включение SSH

Установка маршрутизатора может начинаться и с того, что SSH будет назначаться для всех подключений по умолчанию. При помощи SSH можно передавать какие-либо данные с удаленного компьютера через зашифрованные каналы. Чтобы задействовать SSH в Cisco, нужно:

  • Включить расширенный режим работы с привилегиями командой enable.
  • Указать точное текущее время.
  • Чтобы начать непосредственно конфигурировать систему, надо подать команду: router# configure terminal.
  • Далее следует указывать доменное имя, а делается это при помощи команды: router(config)# ip domain name mydomain.ru.
  • Ключ для шифрования генерируется командой: router(config)# crypto key generate rsa.
  • Чтобы завести нового пользователя, нужна команда в консоли: router(config)# username Имя_Пользователя privilege 11 password 7 my_passwd. Здесь для аппарата Cisco предполагается настройка с пользователем 11-го уровня, которому не доступны абсолютно все команды. Но можно создать и полностью привилегированного юзера, для этого нужно указать уровень доступа не 11, а максимальный - 15.
  • С помощью команд: router(config)# aaa new-model <Enter> route (config)# line vty 0 4 запускается протокол ааа и включается конфигурирование для линий терминала. В приведенном здесь случае – с 0 по 4.
  • При помощи команд: router(config-line)# transport input ssh <Enter> router(config-line)# logging synchronous назначается SSH в качестве дефолтного.
  • Осталось лишь выйти изо всех режимов, а затем сохранить изменения. Делается это при помощи следующего набора команд: router(config-line)#exit <Enter> router(config)# exit <Enter> router# write.

Как настроить порты Cisco

Чтобы войти в режим конфигурирования глобальных настроек для портов в Cisco, нужно набрать команду такого вида:

conf t

interface fa0/2.

Настраивать можно следующие порты Cisco:

  • Access Port. Этот оконечный порт выводится непосредственно на устройство клиента – модем, роутер или непосредственно ПК, куда будет поступать нетегированный трафик. Если набрать в консоли switchport mode access, то выбранный порт переводится в режим работы access, а весь трафик начнет поступать по vlan 1. Но если подать команду switchport access vlan 310, данные перейдут на vlan 310.
  • Trunk port. Этот порт рекомендуется задействовать, если на другом конце стоит сетевое устройство – Ethernet коммутаторы, маршрутизаторы и т. д. Чтобы задействовать этот порт, нужно прописать в консоли: switchport mode trunk – работает на модели 2950. Но на 2960 эта команда вводится несколько иначе:

switchport mode trunk

switchport trunk encapsulation dot1q.

Если требуется задействовать лишь некоторые vlan, то в консоли нужно вводить: switchport trunk alloved vlan 310, 555 – то есть запятыми разделяются номера vlan;

  • Hybrid port. Для портов Cisco настройка не предусматривает работу с гибридным портом, однако назначить какой-нибудь порт в качестве гибридного можно, если выделить транковому порту собственный nativ vlan. Можно рассмотреть это на примере синтаксиса следующих команд в консоли:

switchport mode trunk (создается транковый порт)

switchport trunk alloved vlan 310,555 (задействуются такие порты, как vlan 310 и 555)

switchport trunk native vlan 310 (весь нетегированный трафик перекидывается на vlan 310, а остальной – на 555).

Процесс настройки портов был рассмотрен на примере модели Cisco 2960 – одной из самых распространенных сегодня. Однако для устройств других серий действия будут аналогичными.

Как сбросить настройки

После того как настройки сбрасываются, очищается файл конфигурации, все тонкие настройки нужно будет проводить заново, а потому сброс часто рассматривается как крайняя мера.

Выполнить его нетрудно. Для этого нужно лишь подсоединить маршрутизатор кабелем к консоли и ввести команду в консоли управления: Router#erase startup-config. А затем: Reload. Маршрутизатор сбрасывается, после перезагрузки конфиг будет абсолютно чист.

Стоит отметить, что сброс настроек Cisco требуется довольно редко. Однако по тем или иным причинам это все-таки сделать нужно. Также надо не забыть после восстановления настроек вернуть значение регистра командой: config-register 0x2102.

Как сохранить конфигурацию

Для любого сетевого оборудования, в том числе для Cisco, настройка – это еще не все. Нужно еще суметь сберечь то, что было настроено, то есть сохранить произведенные изменения.

В маршрутизаторах от Cisco существует два вида сохранений:

  • в оперативной памяти устройства;
  • в энергонезависимой, стартовой памяти.

В первый тип записываются все произведенные по ходу изменения, но при перезапуске оборудования они теряются, и загрузка будет происходить с настройками из стартовой памяти. Однако оборудование Cisco сконструировано так, что напрямую внести изменения в стартовый конфиг невозможно. Чтобы сохранить все изменения в постоянную память, нужно проделать следующее:

  1. Скопировать текущие настройки в стартовые командой: #copy running-config startup-config.
  2. Скопировать текущие настройки на FTP-сервер командой: #copy running-config tftp://имя_сервера.

Сторонние программы для настройки Cisco

Для оборудования Cisco настройка может проходить гораздо легче и быстрее, если использовать для этих целей специализированные программы. Впрочем, это скорее дело вкуса: матерые сисадмины намертво приросли к своему консольному интерфейсу, и нет никаких сил в природе, чтобы оторвать их от него.

Остальным же, особенно новичкам, можно рекомендовать скачать некоторые приложения, которые могут облегчить задачу по настройке оборудования Cisco:

  1. В первую очередь это штатный инструмент Windows – программа Hyper Terminal. Однако в последних версиях Windows она не поставляется в стандартную комплектацию. Чтобы установить Hyper Terminal, нужно выбрать «Установка компонентов Windows», затем найти пункт «Стандартные и служебные приложения» и нажать на экранную кнопку «Состав». Далее потребуется найти пункт «Связь» и снова нажать на «Состав» и отметить флажком программу Hyper Terminal.
  2. Putty – это свободно распространяемое приложение для Windows и Linux, представляет собой довольно неплохой эмулятор терминала. Ему отдают предпочтение многие системные администраторы.
  3. Cisco Device Connections Program – специализированная программа для настройки и формирования сетей Cisco, характеристики ее впечатляют. Соответственно, у нее имеется полная стопроцентная совместимость со всем оборудованием Cisco. В первую очередь Cisco Device Connections Program позиционируется как приложение, адаптированное под начинающего пользователя, которому нужно построить сеть малых размеров внутри небольшого предприятия или домашнего масштаба.
  4. Неплохой программой – аналогом Putty – в ОС Linux можно считать пакет Minicom.

Графический интерфейс настройки

Конечно, задание команд с терминала - занятие, которое придется по душе далеко не каждому пользователю. А сторонние программы нужно скачивать, порой не бесплатно. Однако существует возможность включить графический интерфейс прямо в Интернет-браузере. Для этого для начала потребуется установить специальный модуль Java, который можно скачать с официального сайта Java. Модуль носит название Jre. Кроме того, потребуется приложение SDM – его можно инсталлировать как на сам роутер, так и на операционную систему.

Далее потребуется в браузере установить разрешения на показ всплывающих окон и на запуск активного содержимого.

Как только запустится SDM, нужно будет вбить выбранный заранее IP-адрес для порта vlan1. Также рекомендуется убрать флажок рядом с параметром HTTPS.

После нажатия на кнопку запуска появится диалоговое окно, куда потребуется ввести связку пароль-логин. Если все введено верно – появится рабочее окно программы SDM, запущенной прямо в браузере.

Настройка модельной линейки Linksys

В случае если пользователю достался роутер из модельной линейки Linksys, то задача по настройке в графическом окружении упрощается в разы. После подключения будет достаточно набрать в адресной строке браузера: 192.168.1.1. И после этого загрузится окно настроек в графическом режиме.

Для начала нужно сразу же сменить пароль и логин, которые по умолчанию выдаются как: admin – admin. Это делается после перехода во вкладку Administration. В этой же вкладке можно сделать резервный бэкап настроек.

Далее нужно перейти на Wireless – Basic Wireless Setup, в этой вкладке установить параметры настройки на ручные (Manual). В качестве секретного ключа обычно используется серийный номер самого устройства.

Осталось только выбрать тип используемого Интернет-подключения и в соответствующие графы вбить настройки, которые выдает провайдер.

Тонкости настройки паролей

В заключение стоит отметить, что многие сисадмины не относятся к секретности своих паролей с должным уважением. И совершенно напрасно, ведь если ограничиваться одним только параметром «password» во время создания пароля, то его можно успешно «слить» по snmp и поставить под угрозу безопасность всей системы. А потому рекомендуется для режима работы с привилегиями применять параметр «secret». Дело именно в том, что если применять параметр «password», то пароль будет храниться в открытом виде в файле конфига, а если набирать параметр «secret», то пароль будет шифроваться.

В последнем случае команда для задания пароля с шифрованием должна выглядеть примерно таким образом: Router(config)#enable secret <i>PASS</i>, где PASS и есть заданный пароль. Так устанавливается пароль для работы в расширенном режиме с привилегиями.

В зависимости от той или иной модели оборудования Cisco, настройка аппаратной и программной частей может изменяться, однако в общем виде картина выглядит именно так, как было описано выше.

fb.ru

обзор возможностей / Блог компании МУК / Хабрахабр

Общее состояние угроз безопасности в мире цифровых технологий достаточно хорошо исследовано и документировано. Нарушения и повреждения данных в крупных публичных и приватных организациях описываются достаточно часто, и они, что называется, на слуху у руководителей бизнесов и специалистов-безопасников. Однако тысячи таких событий незаметно для широкой аудитории ежедневно происходят на уровне предприятий малого бизнеса и индивидуальных пользователей. В данной статье приводится один из вариантов решения проблемы.

Symantec: атак на малый бизнес становится все больше

Не является секретом, что уровень киберпреступности постоянно повышается, и предприятия малого и среднего бизнеса (Small and Middle Business, SMB) все чаще становятся целью хакеров. Последние данные из отчета «Symantec’s 2016 Internet Security Threat Report» показывают, что сектор SMB становится привлекательной целью также для фишинга.

В 2015 г. фишинговые атаки на предприятия SMB заняли 43% времени от атак всех типов. Это на 9% больше, чем в 2014 г. и очень контрастно по сравнению с 18% нападений на SMB, которые были зафиксированы в 2011 г.

Отчет Symantec показывает, что пока приблизительно 1 из 40 (2,5%) предприятий SMB подвергается риску стать жертвой «cybercrime». На первый взгляд это кажется незначительным по сравнению со статистикой для крупных предприятий, где соотношение составляет 1:2, т.е., в этом сегменте атакам подвергается каждое второе предприятие.

Важно другое. Отчет отмечает, что хакеры нападают на свои жертвы без особого разбора. Формулировка достаточна проста, и, вместе с тем, проясняет смысл нападений.

Это не вопрос того, на кого именно они нацеливаются. Это вопрос того, что все они нацелены на ваши деньги. Фишинговые атаки производятся на конкретных сотрудников, в основном ответственных за финансы малого бизнеса.

Злонамеренные (malicious) электронные письма, посылаемые таким сотрудникам, могут «угнать» финансовую информацию всей компании и открыть доступ к корпоративным фондам и личной информации.

Symantec отмечает, что участились также нападения типа «ransomware». Они нацелены не только на сотрудников, но и на любые устройства, находящиеся во взламываемой сети. (Смысл использования ransomware − в блокировании или нарушении работы устройства. Оно будет снова доступно пользователю только после некоторой оплаты нападавшему). В 2015 г. Symantec зафиксировала достаточно много атак на IoT, смартфоны, и даже на smart watches и smart television.

Symantec также показывает 55%-ное увеличение с 2014 г. до 2015 г. количества целевых фишинговых атак, которые направлены на конкретных сотрудников, независимо от размера компании. Для справки следует отметить, что Symantec классифицирует предприятия малого бизнеса как имеющие до 250 сотрудников.

Будьте готовы к защите

Что владельцы малого бизнеса должны сделать с изложенной выше информацией? Простой совет − готовиться к отражению атак. Совершенно ясно, что хакеры продолжат увеличивать фишинговое давление на предприятия SMB.

Поскольку такие атаки нацелены главным образом на определенных сотрудников, разумным представлялось бы осуществление надлежащей учебной и информационной программы внутри компании по схемам фишинга.

Однако для компании сектора SMB часто затруднительно организовать такое обучение, а сотрудники часто поверхностно относятся к знаниям, которые они должны получить. Кроме того, они в первую очередь должны заниматься своими прямыми обязанностями.

Очевидно также, что лучше ограничивать количество смартфонов сотрудников и устройств IoT, − однако для SMB соблюдение такой политики также связано с определенными трудностями. В итоге предприятия SMB предпочитают, чтобы защита осуществлялась автоматически и с возможно высоким качеством. Один из вариантов решения проблемы − использование специализированных маршрутизаторов (роутеров).

Роутеры Cisco RV320 и Cisco RV325

Роутеры Сisco для предприятий малого бизнеса (Cisco Small Business Routers, SBR) моделей RV320 и RV325 с фильтрацией Web-трафика добавляют слой надежной защиты, предотвращая в том числе доступ к потенциально опасным ресурсам в сети.

Для небольших компаний с ограниченными бюджетами, где недостаточно ресурсов на содержание штатных экспертов по безопасности, хорошо подходят специализированные маршрутизаторы для малого бизнеса, − такие, как Cisco SBR.

Cisco SBR оснащены средствами Web-фильтрации, которые закрывают доступ для хакерских атак. Имеется почти бесконечное число веб-сайтов, которые сотрудники малых компаний могут посещать без ведома руководства. При этом едва ли не любое соединение может быть средством получения доступа к внутренним системам и данным малого предприятия.

Применяя не так давно появившиеся специализированные маршрутизаторы Cisco, можно установить соответствующую Web-политику для своей компании в течение нескольких минут, − и быть вполне уверенными, что она выполняется без дополнительных дорогих мер по безопасности и привлечения дополнительного IT-персонала.

Почему предприятия SMB должны использовать Web-фильтрацию? Очевидный ответ − прежде всего потому, что их сотрудникам, как правило, открыт доступ онлайн, и без фильтрации они могут обратиться к любому сайту.

В этом отношении маршрутизаторы Cisco моделей RV320 и RV325 являются одними из лучших для предприятий SMB, позволяя поддерживать хорошее «здоровье» сети. Они держат пользователей вдали от опасных веб-сайтов с их вредоносными приложениями и сомнительным контентом, не снижая при этом производительности работы.

Всего несколько настроек в Web Filtering позволяют категоризировать сайты, установить соответствующие уровни защиты, указать репутацию определенных сайтов и составить расписание работы сервиса безопасности (см. скриншот в разделе «Программное обеспечение).

Опрос Kaspersky Lab, результаты которого были обнародованы в конце 2015 г., показал, что предприятия SMB тратят в среднем $38 тыс., чтобы «прийти в себя» после единственного случая нарушения данных, − и эта сумма не включает косвенные издержки и ухудшение репутации компании. Тот же опрос также показал, что наибольшее количество нападений было связано с malware и фишингом.

Используя Web-фильтр, малый бизнес может существенно сократить нападения этих типов и повреждения от них. Важно отметить, что Web-фильтрация отличается от антивирусного ПО, и использование одного подхода не избавляет от необходимости другого.

Модели Cisco RV320 и RV325 выделяются среди маршрутизаторов семейства Cisco RVxxx как наиболее высокоуровневые и имеющие наиболее высокую пропускную способность IPsec. Основное различие между этими моделями − RV320 имеет четыре порта LAN по сравнению с четырнадцатью портами LAN у RV325.

Cisco RV320 Dual Gigabit WAN VPN Router

Cisco RV320 определяется как «PPTP / IPsec /SSL VPN router with Gigabit ports and USB WAN failover». К его основным преимуществам относятся наличие GUI Администратора, автоматическая балансировка нагрузки WAN, наличие простого в использовании брандмауэра (firewall), а также поддержка модемов 3G/4G USB.

RV320 − настольный маршрутизатор, имеющий размеры 8,1 x 1,7 х 5,2 дюймов (ширина, высота и глубина соответственно). Устройство имеет металлический корпус и внешнее электропитание. Не создает шума, поскольку использует пассивное охлаждение. Контрольные индикаторы расположены на передней панели, порты RJ45 − на задней.

Внешний вид передней панели и сравнительные размеры Cisco RV320

Устройство имеет два порта 10/100/1000 WAN и четыре 10/100/1000 LAN. Один из WAN портов может быть сконфигурирован или как WAN, или как DMZ.

Имеется также два порта USB 2.0, один передней панели, другой − на задней. Они предназначены для подключения 3G/4G модемов и/или загрузки ПО с флеш-диска. Нужно иметь в виду, что маршрутизатор не поддерживает устройства хранения данных USB и принтеры.

Внешний вид задней панели Cisco RV320

Корпус RV320 несколько выше, чем у других устройств семейства RVxxx, что обеспечивает хорошую циркуляцию воздуха. Согласно отзывам пользователей, при непрерывной работе RV320 не более, чем «немного теплый».

Вид на материнскую плату Cisco RV320

Под достаточно большим радиатором находится двухъядерный центральный процессор Cavium CN5020, работающий на частоте 300 МГц. «На борту» у RV320 находится также 256 MB DDR2 RAM и 64 MB флеш-памяти.

Технические характеристики Cisco RV320

Router — (4) 10/100/1000 LAN, (1) 10/100/1000 WAN, (1) 10/100/1000 DMZ/WAN — (2) USB 2.0 ports — 3G/4G WWAN Support — Пропускная способность 900 Mbps NAT — Dual WAN failover and load balancing — Protocol based load balancing — RIPv1/v2, RIPng — 802.1Q VLAN — Support for 7 VLAN IDs — IPv6 — Средства управления QoS

SPI Firewall — DoS, ping of death, SYN flood, land attack, IP spoofing protection — 50 Schedule-based access rules — 30 Port Forwarding rules — 30 Port Triggering rules — Static URL or keyword blocking (content filtering) — DMZ port and DMZ host functionality

VPN — IPsec — DES, 3DES, AES Encryption; MD5, SHA1 Authentication — 50 IPsec Site to Site tunnels — 10 SSL tunnels — 10 PPTP tunnels — 100 Mbps IPsec throughput — 20 Mbps SSL throughput

Прочее — SNMP — LLDP — 802.1X Authentication

Cisco RV325

Cisco RV325 классифицируется как «Dual Gigabit WAN VPN Router». Это − старшая модель в линейке маршрутизаторов Cisco RV VPN для малого бизнеса. Если выделять его основные черты, то это − высокая скорость работы, поддержка VPN и VLAN, а также простая настройка параметров, характерных для роутеров высокого уровня.

Устройство поддерживает до 50 туннелей IPSec, в соединениях site-to-site или client-to-site, с заявленной пропускной способностью IPSec около 100 Mbps. PPTP и SSL VPN серверы поддерживают до 10 одновременно работающих туннелей client-to-site.

В комплект поставки входит кабель Ethernet, внешний источник питания, руководство по быстрому старту и CD с полной документацией. Также прилагаются направляющие для монтажа в стандартной 19-дюймовой стойке.

Габаритные размеры устройства − 9,5 х 2 х 7 дюймов (ширина, высота и глубина соответственно. Типичная окраска корпуса − «gray metal».

На задней панели Cisco RV325 находятся только разъем питания и выключатель. На нижней стороне корпуса типично установлены нескользкие ножки для размещения на столе или полке, наряду с отверстиями для настенного монтажа.

На передней панели размещены индикаторы состояния, 14 стандартных LAN портов, два WAN порта и кнопка перезагрузки. Также имеется один порт USB на передней панели и еще один − на правой боковой стороне. Они оба могут использоваться для 3G Internet, или для обслуживания.

Отзывы пользователей

В целом ресурс www.networkworld.com характеризует этот роутер как «солидное изделие» с наиболее распространенными возможностями маршрутизатора VPN и соответствующей функциональностью. Интересно также привести некоторые отзывы пользователей по RV325 с сайта www.newegg.com. Большинство из них категорически положительны:

— Имеет больше возможностей, чем можно было бы ожидать от маршрутизатора в этом ценовом диапазоне.

— Отлично подходит для малого офиса или домашнего использования с различными устройствами − несколькими десктопами или ноутбуками, другими сетевыми устройствами, принтерами, TV и др.

— Устойчивый, удобный и идеально подходящий для малого бизнеса.

— Я не «сетевой парень», но этот маршрутизатор достаточно легок для пользователей со средним знанием IT.

Тем не менее, на что следует обратить внимание:

— Если у вас есть понимание принципов организации сети и установки маршрутизатора, то это − хороший выбор.

— В то время, как этот маршрутизатор очень легок к установке, он является устройством профессионального уровня и требует некоторого знания организации сети и того, как использовать его особенности в своих интересах.

Программное обеспечение

Подробное описание ПО роутеров Cisco RV320 и Cisco RV325 выходит за рамки данного обзора. Отметим только некоторые его характеристики.

После входа в Web GUI пользователь попадает на страницу Getting Started с линками к Setup Wizard и другим общим страницам. Setup Wizard позволяет конфигурировать WAN порты и дает доступ к настройке брандмаура. ПО поддерживает Cisco Easy VPN, которое упрощает конфигурирование удаленных пользователей VPN.

Для того, чтобы можно было получить общее представление о GUI этих устройств, приведем скриншот экрана. В целом GUI роутеров Cisco RV320/325 хорошо развит, подробен и вместе с тем достаточно понятен для тех, кто имеет представление о работе с сетевыми устройствами.

Конфигурирование DHCP

Имеется также эмулятор Web-интерфейса Cisco RV320. Ниже приведен его скриншот из раздела «Web Filtering».

Настройка уровня фильтрации по категориям контента

Как заключение данного обзора приведем еще одно мнение пользователя с сайта www.newegg.com:

— Я работал с оборудованием Cisco долгое время, и должен сказать, что это − один из лучших продуктов. Превосходная скорость, легкое конфигурирование. Если вы работаете в малом бизнесе, я рекомендую его.

habrahabr.ru

Роутер cisco 881 ethernet sec: самостоятельная настройка

Роутер Cisco 881-й модели пришел на смену популярной серии Cisco 871, которая предназначена для создания сетей класса SOHO. Из важных опций, имеющих наличие, можно отметить встроенный DNS-сервер, серьезный фаервол, и некоторые другие. Их совокупность позволяет сказать, что Cisco 881 – самый современный роутер Циско, подходящий для офисного и домашнего использования.

Роутеры Cisco 800-й серии

В наименовании моделей со встроенным Wi-Fi модулем – есть буква «W». Чаще всего, к проводному маршрутизатору Cisco WiFi роутер – подключают кабелем LAN. Это может быть просто «точка доступа». Поэтому, настройку беспроводного интерфейса Cisco – мы рассматривать не будем. Вместо этого, проведем шаг за шагом конфигурацию соединения с Интернет, настройку локальной сети, фаервола, отмечая отличия, характерные именно для Cisco 8XX. Приступим.

Настройка основных функций роутера «881-й» модели

Предварительные действия перед настройкой

Настраивать роутер мы будем через консоль. Любой Cisco router – имеет набор аппаратных портов (они расположены на задней панели):

Предварительные действия перед настройкой

  1. Порты Ethernet (цвет – желтый). Они разделены на порты для внутренней сети (eth0.. eth4 в рассматриваемой модели), и, как правило, один порт для Интернет-соединения.
  2. Один порт Console/Terminal (цвет — голубой). Подсоедините к нему консольный кабель, подключите терминал (компьютер с COM-портом и программой HyperTerminal).

Включать питание роутера можно, если все аппаратные подключения на 100% выполнены. Перед настройкой роутера, запустите терминальную программу. В ней при создании подключения необходимо выбрать номер используемого COM-порта (установите следующие значения):

Установка параметров терминала

Скорость можно выбрать «9600» или меньше, 8-битный режим без проверки четности (стоповый бит – 1). Собственно, если настроено правильно, то роутер при загрузке – должен выдавать в терминал сообщения:

Терминальные сообщения Cisco 2691 (загрузка устройства)

Первый этап настройки

Запустив настроенную программу терминала и включив питание роутера, необходимо дождаться сообщения «Press RETURN…». Нажмите «Enter». Роутер потребует логин с паролем (используйте пару «cisco»). В серии 8XX, дополнительно предусмотрен «мастер настройки» (от его услуг – откажемся, нажав «N», затем «Enter»).

После приведенных здесь действий, в терминале можно выполнить команду «?» (вопрос), и увидеть ее результат:

Список доступных в данный момент команд

Если после слова «Router» сейчас – значок «больше» (а не «решетка»), выполните команду «enable».

Что нужно сделать в первую очередь? Даже если подошли логин и пароль «cisco», все равно, лучше сбросить настройки в заводские значения. Команда «erase startup-config» поможет в этом (останется только перезагрузить роутер).

Зайдя в консоль еще раз, перейдите в режим с повышенными привилегиями («enable»), а затем – в режим настройки («conf t»). Выход из последнего режима – выполняется командой «exit».

Находясь в режиме настройки, создайте пользователя с максимальными правами:

username Логин privilege 15 secret Новый Пароль

Конечно, вместо слов «Логин» и «Новый Пароль» подставляют необходимые значения. Но это – еще не все. Сделайте выход из режима настройки («exit»), и подайте команду «wr mem». Последняя команда – важная, ее нужно запомнить. Она «сохраняет» выполненные настройки.

При следующем входе в терминал, можно будет использовать новые значения пароля/логина.

Настроим локальную сеть

Что мы должны сделать здесь? Присвоить нашему роутеру локальный адрес IP, задать диапазон адресов для DHCP-сервера. Ну, и включить сервер. Все команды – будут выполняться в режиме настройки (выполните «enable», затем «conf t»). В завершение, не забудьте сохранить изменения.

Ethernet-порты роутеров серии 8XX

Настройка роутера Cisco 8XX-серии – подразумевает следующее. «Порт 4» может быть подключен к разъему провайдера. Все остальные порты – доступны, как один виртуальный «сетевой интерфейс» (он имеет название «Vlan1»).

Из «режима настройки» перейдем в режим, где конфигурируется только интерфейс Vlan1:

interface Vlan1

Далее, присвоим этому «порту» адрес:

ip address 192.168.N.1 ///подставьте любое число вместо «N»

Настроим сервер DHCP:

ip dhcp excluded-address 192.168.N.16 192.168.N.100 ///адреса будут 101-255

ip dhcp pool LAN1 ///пул адресов, мы назвали его «LAN1», далее – его и настраиваем:

network 192.168.N.0/16 ///та подсеть, из которой выдаются IP;

default-router 192.168.N.1 ///задали шлюз по умолчанию

dns-server Адрес ///вместо «Адрес» — указать реальный IP DNS, либо (внимание!) локальный адрес роутера, другие варианты – исключены.

Заметим, что DHCP-сервер по умолчанию включен. Команды включения и выключения сервера DHCP: «service dhcp» / «no service dhcp». Когда основные настройки – выполнены, можно включить сборку фрагментных пакетов (команда «ip virtual-reassembly»).

Дополнительно, отметим: все изменения, выполняемые в режиме «conf t», вступают в силу немедленно.

Настройка DNS-сервиса

Все команды, приведенные здесь, выполняются в режиме настройки («conf-t»). Две первые из них – можно считать выполненными (что верно для роутеров «8XX»):

ip domain-lookup ///включить в сети сервис DNS

Зачем это нужно? Если сервис активен, при настройке локальной сети в качестве сервера DNS – можно указывать роутер (в параметре команды «dns-server»).

ip dns server ///включить «встроенный» кэширующий сервер DNS (отключить можно командой с префиксом «no»)

Далее, надо добавить «внешние» DNS. Например, так:

ip name-server Адрес ///на месте «Адрес», укажите реальный IP DNS

либо

ip name-server Адрес1 Адрес2 … ///первый параметр – будет адресом «первичного» DNS, и так далее.

Скажем, что нужно на самом деле. Если при конфигурировании Vlan1 выполнить «dns-server 192.168.N.1» (то есть, указать адрес роутера), то дополнительно, останется выполнить «ip name-server» с правильными параметрами.

Настройка соединения (вариант «DHCP»)

В предыдущей главе мы рассмотрели, как поступить с адресами DNS-серверов. Чтобы настроить соединение с провайдером, работающим по DHCP-протоколу, достаточно указать, что «порт 4» получает IP автоматически:

Interface FastEthernet4 ///выполните команду в режиме «настройки» (конфигурируется Eth5)

ip address dhcp ///теперь, порт «4» будет получать IP от DHCP провайдера

Все. «Под DHCP» — соединение должно работать. Как настроить роутер Cisco в качестве VPN-клиента (либо, для соединения PPPoE), мы здесь не рассматриваем. Приведем еще несколько полезных команд, выполняемых при настройке соединения:

ip virtual-reassembly ///сборка фрагментных IP-пакетов

speed auto ///надеемся, понятно (10/100 Мбит/с)

duplex auto ///тоже, понятно

Не забывайте сохранять выполненные изменения. Успешной настройки!

Дополнительные возможности роутера

Возможности встроенного фаервола: URL-фильтрация

Встроенный Firewall

На роутер «881» по умолчанию установлена ОС IOS, наделенная встроенным фаерволом. По-другому, его называют «Cisco IOS Firewall».

Мы будем настраивать фильтрацию по URL. Точнее, запретим исходящий трафик на сайт, названный в нашем примере cite.ru. Доступ будет полностью ограничен не только на главную страницу (http://cite.ru), но и любую другую, URL которой заканчивается, как «.cite.ru».

Находясь в режиме «настройки» («conf t») – пишем:

ip inspect name cite urlfilter

ip urlfilter allow-mode on

ip urlfilter cache 0 ///если так не отключить кэш, cisco 881 ethernet sec router запомнит IP данного сайта и начнет «фильтровать» по IP (не по URL)

ip urlfilter exclusive-domain deny .cite.ru ///вот мы и запретили доступ к «*.cite.ru»

Если хотите, можно включить «лог» всех запросов к данному сайту (не обязательно):

ip urlfilter audit-trail

Остался ровно один шаг. В настройке интерфейса, организующего соединение (Eth5), надо кое-что добавить:

Interface FastEthernet4 ///конфигурируется Eth5

ip inspect cite out ///проверка исходящего с Eth5 трафика

Настройка завершена.

Работа с «файлами настроек» оборудования Cisco, их сохранение, архивирование и т.д. – рассматривается здесь (на примере роутера «1841»):

27sysday.ru

Шаблон базовой настройки маршрутизатора Cisco / Хабрахабр

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов… Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем#erase startup-config дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH

! включаем шифрование паролейservice password-encryption ! используем новую модель ААА и локальную базу пользователейaaa new-modelaaa authentication login default local ! заводим пользователя с максимальными правамиusername admin privilege 15 secret PASSWORD

! даем имя роутеруhostname <...>ip domain-name router.domain ! генерируем ключик для SSHcrypto key generate rsa modulus 1024 ! тюнингуем SSHip ssh time-out 60ip ssh authentication-retries 2ip ssh version 2 ! и разрешаем его на удаленной консолиline vty 0 4  transport input telnet ssh  privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетовip cef

Настройка времени

! временная зона GMT+2clock timezone Ukraine 2clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00 ! обновление системных часов по NTPntp update-calendar ! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…ntp server NTP.SERVER.1.IPntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логахarchive  log config   logging enable   hidekeys

! историю изменения конфига можно посмотреть командойshow archive log config all

Настройка DNS

! включить разрешение именip domain-lookup ! включаем внутренний DNS серверip dns server ! прописываем DNS провайдераip name-server XXX.XXX.XXX.XXX ! на всякий случай добавляем несколько публичных DNS серверовip name-server 4.2.2.2 ip name-server 208.67.222.222 ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1interface Vlan1  description === LAN ===  ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик ip accounting output-packets

! посмотреть статистику можно командойshow ip accounting ! очиститьclear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пулаip dhcp excluded-address 192.168.???.1 192.168.???.99 ! и настраиваем пул адресовip dhcp pool LAN    network 192.168.???.0 255.255.255.0    default-router 192.168.???.1    dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)ip access-list extended FIREWALL  permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетомip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защитуinterface FastEthernet0/0  description === Internet ===  ip address ???.???.???.??? 255.255.255.???  ip virtual-reassembly  ip verify unicast reverse-path  no ip redirects  no ip directed-broadcast  no ip proxy-arp  no cdp enable  ip inspect INSPECT_OUT out  ip access-group FIREWALL in

! ну и напоследок шлюз по умолчаниюip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсеinterface FastEthernet0/0  ip nat outside

! на локальном интерфейсеinterface Vlan1  ip nat inside

! создаем список IP имеющих доступ к NATip access-list extended NAT  permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсеip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколовip inspect name INSPECT_OUT httpip inspect name INSPECT_OUT httpsip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-serversno service udp-small-serversno service fingerno service configno service padno ip fingerno ip source-routeno ip http serverno ip http secure-serverno ip bootp server

UPD. Убрал лишнее по советам хаброюзеров UPD2. Добавил отключение ненужных сервисов UPD3. Изменил настройка файрвола (спасибо Fedia)

habrahabr.ru


Смотрите также