Ази конфігурування маршрутизаторів CISCO, Локальні мережі, статті

Комп’ютерна газета

Вступ № 1 (editorial)

Що таке маршрутизатор, сподіваюся, все знають? “Все!” – Хором відповіли читачі. Добре … Що характерно, ще зовсім недавно спостерігалася така тенденція, що слово маршрутизатор (або по свійськи, не по русски – Рутер) в побуті витіснявся назвою найбільш популярної торгової марки виробника цього воістину необхідного мережевого пристрою. За аналогією з парами “копіювальний апарат” = “ксерокс”, “загарбник і аналізатор пакетів “=” сніффер “, у маршрутизатора були всі шанси отримати горду назву” циска “. Лінгвістичні очікування не виправдали себе, але, тим не менш, жарт – за оцінкою Cisco Systems, порядку 90% інтернет-мереж по всьому світу побудовані на їх маршрутизаторах. Вже не знаю, як вони це підрахували, але виходячи з того, що до цих пір більшість мережевих інженерів свято впевнені, що в такому тривіальному справі, як підключення до Інтернет по виділеній лінії до синхронного порту маршрутизатора без “цискі” не обійдешся … все може бути 🙂
… В ті часи, коли ваша покірна слуга була ще зовсім юним сетевіком, кращим визнанням “крутості” фахівця з IP-мереж могла служити характеристика, що він “без мануала з закритими очима цискі налаштовує “. Бачили той мануал? Їм, до речі, людину можна вбити без особливого напряга ;).
Це я все до чого … Раз вже ми беремо за аксіому, що 90% Світового Інтернету працює на “цисках”, кожен поважаючий себе сетевик повинен мати хоча б загальне уявлення, на якій кобилі до цього мудрому девайсу під’їжджати. От уявіть собі: приходите ви на нове місце роботи, а там як раз реорганізація в мережевому відділі, і ви ну буквально з першого дня “потрапляєте під роздачу”. Начальник плюх вам Cisco router на стіл: зміркуй, мовляв, по-швидкому, щоб пакети вже через пів-годинки зашелестіли. І що робити, якщо читати мануал, який можна порівняти за обсягом з томиком “Війна і Мир”, немає часу? Правильно, треба скористатися шпаргалкою 😉 От саме таку шпаргалку я вам і відшукала на просторах павутини всесвітньої. Хтось з вельми оригінальним ніком Neo в абсолютно стислому і дохідливо (a-la “натисни на кнопку – отримаєш результат”) стилі ділиться досвідом, як по-швиденькому, не вдаючись в подробиці, змусити нещасливий агрегат більш-менш задовільно функціонувати. Тому якщо ви ще не стикалися у своїй професійній діяльності з “цискамі”, але відчуваєте, що може статися така оказія – збережіть цей номер “СР”, авось згодиться 😉

Вступ № 2 (авторське)

Роутери фірми Cisco є досить надійним обладнанням і по зручності конфігруірованія, на думку автора, перевершують своїх конкурентів, правда, і вартість їх на 20% перевищує аналоги інших виробників в класі комутаторів і роутерів для компаній середньої ланки. У статті ми розглянемо логічне поділ блоку адрес виділеного ISP на підмережі, що повторюють структуру компанії по відділах, конфігурування роутера серії Cisco 2500 для організації доступу невеликої компанії в Інтернет з підключенням по сіхронному каналу 256K до ISP і фільтрацією IP пакетів. Наш роутер буде мати один задіяний серійний порт для підключення до ISP (Serial 0) і один Ethernet порт (е0), що дивиться в локальну мережу компанії, під яку ISP виділив мережу на 254 хоста.

Початкове конфігурування роутера

На маршрутизаторах Cisco працює високопродуктивна і створена з нуля операційна система IOS, що знаходиться в незалежній пам’яті (flash). Типова модель серії 2500 має 1 Ethernet порт підключається до хабу або комутатора в локальній мережі через трансивер AUI-> UTP і два серійних порту для підключення до глобальних каналах (Seriаl 0, Serial 1). Імена інтерфейсів можна вказувати як Ethernet0 або e 0. Якщо це модульний комутатор Catalyst, то вказується спочатку тип інтерфейсу, потім слот, а потім порт.
Наприклад третій ethernet плата і 2 порт на платі вказується як “e 3/2”. Крім цього є консольний порт для конфігурування роутера (включається в серійний порт комп’ютера) і додатково AUX-порт для підключення модему. Конфігурування роутера можна робити через консольний порт, AUX порт і через сесію telnet.
Більш нові версії IOS дозволяють працювати з роутером по SSH-сеансу. Але при першому завантаженні роутер потрібно конфігурувати через консольний порт. Для цього, встановивши швидкість порту Serial в 9600 на UNIX-хості, починаємо конфігурування в термінальній програмі. Наприклад це може бути tip, cu, minicom. Для tip останні два рядки конфіга / etc / remote повинні виглядати так:

# Hardwired line

cuaa0:dv=/dev/cuaa0:br#9600:

cuaa1:dv=/dev/cuaa1:br#9600:

Приєднавши консольний кабель (йде в поставці) до роутера (порт CON) і інший кінець через прехідником до ПК заходимо на консоль Cisco роутера:

bash-2.04#tip cuaa0

Потім включаємо роутер і бачимо, що спочатку завантажується початковий завантажувач bootstrap:

System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE

Copyright (c) 1986-1995 by cisco Systems

2500 processor with 16384 Kbytes of main memory

F3: 3268680+81304+204996 at 0x3000060

Restricted Rights Legend

Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph

(c) of the Commercial Computer Software — Restricted

Rights clause at FAR sec. 52.227-19 and subparagraph

(c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.

cisco Systems, Inc.

170 West Tasman Drive

San Jose, California 95134-1706

Далі початковий завантажувач завантажує саму операційну систему IOS з флеша (flash):

Cisco Internetwork Operating System Software 

IOS ™ 3000 Software (IGS-I-L), Version 11.0(4), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1995 by cisco Systems, Inc.

Compiled Mon 18-Dec-95 17:49 by alanyu

Image text-base: 0x0301C8DC, data-base: 0x00001000

cisco 2500 (68030) processor (revision D) with 16380K/2048K bytes of memory.

Processor board ID 02413443, with hardware revision 00000000

Bridging software.

X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.

1 Ethernet/IEEE 802.3 interface.

2 Serial network interfaces.

32K bytes of non-volatile configuration memory.

4096K bytes of processor board System flash (Read ONLY)

Press RETURN to get started!

Cisco Internetwork Operating System Software 

IOS ™ 3000 Software (IGS-I-L), Version 11.0(4), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1995 by cisco Systems, Inc.

Compiled Mon 18-Dec-95 17:49 by alanyu 

Треба сказати, що IOS можна завантажити не тільки з флеша, а й з ОЗУ роутера, а також з TFTP сервера. Оскільки це перша завантаження роутера, нам пропонують пройти етапи конфігурування роутера (ця програма запускається як setup). Як видно нижче, процес конфігурування досить прозорий і простий. Після того, як ви відповісте на питання, програма побудує конфіг і запише його в NVRAM і почне перезавантажуватися. Отже, починаємо конфігурування інтерфейсів у програмі setup:

— System Configuration Dialog —

At any point you may enter a question mark ‘?’ for help.

Refer to the ‘Getting Started’ Guide for additional help.

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets ‘[]’.

Would you like to enter the initial configuration dialog? [yes]: yes

Переглядаємо список інтерфейсів на нашому роутере:

First, would you like to see the current interface summary? [yes]: 

Any interface listed with OK? value “NO” does not have a valid configuration

Interface IP-Address OK? Method Status Protocol

Ethernet0 unassigned NO not set up up

Serial0 unassigned NO not set down down

Serial1 unassigned NO not set down down

Configuring global parameters:

Ім’я роутера:

Enter host name [Router]: 
Вводимо так enable-secret для доступу до конфігурації роутера:

The enable secret is a one-way cryptographic secret used instead of the enable password when it exists.

Enter enable secret: s1

Потім вводимо enable-password (залишеної для сумісності зі старими версіями IOS):

The enable password is used when there is no enable secret and when using older software and some boot images.

Enter enable password: s2

Вводимо пароль на Віртуальне термінал:

Enter virtual terminal password: s2

Дозволяємо SNMP (для того, щоб ми могли отримати статистику):

Configure SNMP Network Management? [yes]: yes

Community string [public]: public1

Наш роутер має тільки поддежку IP (без IPX), його ми і конфігуруємо:

Configure IP? [yes]: yes

Оскільки з ISP у нас роутинг буде статичний, ми не включаємо протоколи маршрутизації:

Configure IGRP routing? [yes]: no

Configure RIP routing? [no]: 

Задаємо IP адресс на Ethernet інтерфейсі, залишаючи інтерфейс Serial 0 as unnumbered (що це таке розберемо пізніше):

Configuring interface parameters:

Configuring interface Ethernet0:

Is this interface in use? [yes]: 

Configure IP on this interface? [yes]: 

IP address for this interface: 1 200.1 200.200.1

Number of bits in subnet field [0]: 

Class C network is 200.200.200.0, 0 subnet bits; mask is 255.255.255.0

Configuring interface Serial0:

Is this interface in use? [yes]: 

Configure IP on this interface? [yes]: no

Відключаємо Serial1:

Configuring interface Serial1:

Is this interface in use? [yes]: no

The following configuration command script was created:

І ось в результаті ми отримуємо такий файл конфігурації:

hostname Router

enable secret 5 $1$FE5i$sIvZuXxqJWjFllqA5heFn1

enable password s2

line vty 0 4

password s2

snmp-server community public1

!

ip routing

!

interface Ethernet0

ip address 200.200.200.1 255.255.255.0

!

interface Serial0

no ip address

!

interface Serial1

shutdown

no ip address

!

end

Потім відповідаємо позитивно на питання про запис цієї конфігурації в NVRAM і запуску її:

Use this configuration? [yes/no]: yes

Building configuration…

[OK]Use the enabled mode ‘configure’ command to modify this configuration.

Press RETURN to get started!

%SYS-5-RESTART: System restarted —

Cisco Internetwork Operating System Software 

IOS ™ 3000 Software (IGS-I-L), Version 11.0(4), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1995 by cisco Systems, Inc.

Compiled Mon 18-Dec-95 17:49 by alanyu

Router>

Звикайте до того, що вам доведеться 90% часу працювати з тектових конфіг, хоча в природі є такий програмний продукт, як CiscoWorks, але він гарний тільки при наявності величезного числа роутерів (peers). Отже, ми знаходимося в консолі роутера. Всі наші дії виконуються інтерпретатором команд EXEC. Виконання команд ведеться в одному з двох режимів – користувальницькому або привілейованому. Користувальницький режим дозволяє збирати загальну інформацію про роутере при введенні команд на консолі, наприклад наш роутер має запрошення:

Router>

ввівши команду show version ми побачимо з чим ми працюємо:

Router>show version

Cisco Internetwork Operating System Software 

IOS ™ 3000 Software (IGS-I-L), Version 11.0(4), RELEASE SOFTWARE (fc1)

Copyright (c) 1986-1995 by cisco Systems, Inc.

Compiled Mon 18-Dec-95 17:49 by alanyu

Image text-base: 0x0301C8DC, data-base: 0x00001000

ROM: System Bootstrap, Version 5.2(8a), RELEASE SOFTWARE

ROM: 3000 Bootstrap Software (IGS-RXBOOT), Version 10.2(8a), RELEASE SOFTWARE (fc1)

Router uptime is 3 days, 1 hour, 20 minutes

System restarted by error — Software forced crash, PC 0x311B808

System image file is “flash:igs-in-l.110-4”, booted via flash

cisco 2500 (68030) processor (revision D) with 16380K/2048K bytes of memory.

Processor board ID 02413443, with hardware revision 00000000

Bridging software.

X.25 software, Version 2.0, NET2, BFE and GOSIP compliant.

1 Ethernet/IEEE 802.3 interface.

2 Serial network interfaces.

32K bytes of non-volatile configuration memory.

4096K bytes of processor board System flash (Read ONLY)

Configuration register is 0x2102

Стан усіх інтерфейсів можна переглянути командою:

Router>show int

Ethernet0 is up, line protocol is up 

Hardware is Lance, address is 0000.0c5d.8231 (bia 0000.0c5d.8231)

Internet address is 200.200.200.1 255.255.255.0

MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, rely 255/255, load 1/255

Encapsulation ARPA, loopback not set, keepalive set (10 sec)

ARP type: ARPA, ARP Timeout 4:00:00

Last input 0:00:10, output 0:00:09, output hang never

Last clearing of “show interface” counters never

Output queue 0/40, 0 drops; input queue 0/75, 0 drops

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

16094 packets input, 1867191 bytes, 0 no buffer

Received 16094 broadcasts, 0 runts, 0 giants

16 input errors, 16 CRC, 16 frame, 0 overrun, 0 ignored, 0 abort

0 input packets with dribble condition detected

30833 packets output, 2896155 bytes, 0 underruns

3 output errors, 416 collisions, 1 interface resets, 0 restarts

0 output buffer failures, 0 output buffers swapped out Serial0 is down, line protocol is down

Hardware is HD64570

MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255

Encapsulation HDLC, loopback not set, keepalive set (10 sec)

Last input never, output never, output hang never

Last clearing of “show interface” counters never

Output queue 0/40, 0 drops; input queue 0/75, 0 drops

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 8805 interface resets, 0 restarts

0 output buffer failures, 0 output buffers swapped out

0 carrier transitions

DCD=up DSR=up DTR=down RTS=down CTS=up

Serial1 is administratively down, line protocol is down 

Hardware is HD64570

MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec, rely 255/255, load 1/255

Encapsulation HDLC, loopback not set, keepalive set (10 sec)

Last input never, output never, output hang never

Last clearing of “show interface” counters never

Input queue: 0/75/0 (size/max/drops); Total output drops: 0

Output queue: 0/64/0 (size/threshold/drops) 

Conversations 0/0 (active/max active)

Reserved Conversations 0/0 (allocated/max allocated)

5 minute input rate 0 bits/sec, 0 packets/sec

5 minute output rate 0 bits/sec, 0 packets/sec

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 4 interface resets, 0 restarts

0 output buffer failures, 0 output buffers swapped out

0 carrier transitions

DCD=down DSR=down DTR=down RTS=down CTS=down

Якщо ввести скорочено команду sh int e0, то ви побачите інформацію тільки по Ethernet-інтерфейсу. Як ви бачите, цієї інформації часто вистачає, щоб визначити причину несправності будь-якого інтерфейсу або кабельного з’єднання. За командою show prot ви побачите, які протоколи активізовані на інтерфейсах. Напрмер зараз у нас немає з’єднання з ISP і на серійних інтерфейсах у нас суцільні down. Зауважте, що Serial1 у нас administratively down як невживаний. Докладний список команд в режимі користувача можна отримати ввівши команду “?”.
Більша частина робіт, такі, як конфігурування маршрутизації, програмне вимикання інтерфейсів і створення ACL (списків доступу), измение глобального конфіга здійснюються в прівелігерованное режимі. Для цього потрібно знати прівелігерованное пароль. Перейшовши в цей режим командою enable і ввівши пароль який ми ввели на етапі кофігурірованія роутера програмою setup ми побачимо, що список команд тут ширше.
В цьому режимі можна переглянути файл конфігурації і редагувати його:

Router#sh conf

Using 465 out of 32762 bytes

!

version 11.0

service config

service udp-small-servers

service tcp-small-servers

!

hostname Router

!

enable secret 5 $1$FE5i$sIvZuXxqJWjFllqA5heFn1

enable password s2

!

!

interface Ethernet0

ip address 200.200.200.1 255.255.255.0

!

interface Serial0

no ip address

no fair-queue

snmp-server community public1 RO

!

interface Serial1

no ip address

shutdown

!

line con 0

exec-timeout 0 0

line aux 0

transport input all

line vty 0 4

password s2

login

!

end

Увійдемо в режим редагування глобального файлу командою configure terminal і заборонимо, напрмер, використання small serivices, оскільки наш роутер повинен буде виконувати роль шлюзу в інтернет і одночасно firewall-a. Спочатку подивимося чи включені ці сервіси командою sh conf і побачимо рядки:

service udp-small-servers

service tcp-small-servers

Заходимо в режим редагування:

Router#config terminal

Відключаємо ці сервіси введенням префікса “no” і повного написання команди:

Router(config)#no service udp-small-servers 

Router(config)#no service tcp-small-servers 
Потім виходимо з режиму редагування:

Router(config)#exit

Таким же чином можна швидко відключити який або інтерфейс, зайшовши в режим конфігурування інтерфейсу:

Router#configure terminal

Router(config)#interface ethernet 0

Router(config-if)#shutdown

Router(config-if)#exit

Router(config)#exit

Router#write memory

Building configuration …

Якщо ви введете no shutdown, то інтерфейс буде активізований. У більш нових версіях IOS команда write memory замінена на copy-runing config startup-config, тобто поточний файл конфігурації записується в енергонезалежну пам’ять (NVRAM). Інша команда – write terminal – показиват діючу конфігурацію (в нових версія IOS – show running config).
На цьому етапі нам треба переконатися, що мережевий інтерфейс Ethernet 0 у нас активований і його IP-адреса – 200.200.200.1 – пінгуєтся з локальної мережі.
Тепер перейдемо до розгляду Serail-інтерфейсів. У більшості випадків підключення синхронних інтерфесом клієнта і провайдера проводиться по V.35-інтерфейсу і серійні порти конфігуруються як unnunbered. Це дає можливість вести політику доступу в межах одного адресного простору, маніпулюючи трафіком на одному Ethernet-інтерфейсі. Для цього нам необхідно конфігурувати інтерфейс Serial 0 наступним чином, без присвоєння йому IP адреси:

Router#conf t

Router(config)#int s0

Router(config-if)#ip unnumbered Ethernet 0

Router(config-if)#exit

Router(config)#exit

Router#wr mem

IP-адреса Ethernet-інтерфейсу нашого ISP – 200.200.199.1 (а ми домовилися, що у ISP Serial скофігрурен як непронумеровані). Для того, щоб ми могли працювати з ресурсами Інтернету, ми пропишемо статичний роутинг на цей IP через интерфес Serial 0:

Router(config)#ip route 0.0.0.0 0.0.0.0 200.200.200.199.1 Serial0

Router#wr mem

Провайдер зі свого боку прописує роутинг на своєму маршрутизаторі на всю нашу мережу через IP-адресу нашого роутера (200.200.200.1). Відповідно, на всіх хостах локальної мережі ми повинні поставити IP-адресу нашого роутера як адреса шлюзу в Інтернет. Маска ж повинна відповідати тій підмережі, в якій знаходиться даних хост, згідно логічної структурі мережі компанії.
При надходженні пакета з внутреней мережі наш роутер буде перевіряє, не адресований він у локальну мережу, по заголовку IP пакета. Якщо це не так, він адресує це пакет в зовнішню мережу через IP-адреса роутера ISP.

Створення списків доступу (ACL)

Списки доступу на роутері Сisco працюють і будуються так само, як правила фільтрації в популярному IPFW або IPF на базі FreeBSD. Правила читаються в пордке прямування, і як тільки знаходиться відповідність шаблону, маршрут пакета визначається цим правилом. Ви можете створювати списки доступу в глобальному конфіги (командою access list), а потім закріпити який або список за будь-яким інтерфейсом. Можна створити такі списки доступу:

Router#configure terminal 

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#access-list ?

<1-99> IP standard access list

<100-199> IP extended access list

<1100-1199> Extended 48-bit MAC address access list

<200-299> Protocol type-code access list

<700-799> 48-bit MAC address access list

Ось повний сінтактіс команди: access-list номер_спіска permit / deny протокол ісходний_адрес порт целевой_адрес порт

Сінтактіс розширеного списку ми розглянемо на прикладі рядки списку, роздільною працювати по протоколу SMTP всім співробітникам компанії. Номер розширеного списку беремо довільний, 110:

Router(config)#access-list 110 ?

deny Specify packets to reject

permit Specify packets to forward

Дозволяємо проходження пакетів:

Router(config)#access-list 110 permit ?

<0-255> An IP protocol number

eigrp Cisco’s EIGRP routing protocol

gre Cisco’s GRE tunneling

icmp Internet Control Message Protocol

igmp Internet Gateway Message Protocol

igrp Cisco’s IGRP routing protocol

ip Any Internet Protocol

ipinip IP in IP tunneling

nos KA9Q NOS compatible IP over IP tunneling

ospf OSPF routing protocol

tcp Transmission Control Protocol

udp User Datagram Protocol

Вводимо протокол:

Router(config)#access-list 110 permit tcp ?

A.B.C.D Source address

any Any source host

host A single source host

Вводимо вихідний адресу (в нашому прикладі “any” означає будь-який хост чи мережу):

Router(config)#access-list 110 permit tcp any ?

A.B.C.D Destination address

any Any destination host

eq Match only packets on a given port number

gt Match only packets with a greater port number

host A single destination host

lt Match only packets with a lower port number

neq Match only packets not on a given port number

range Match only packets in the range of port numbers

Вводимо цільової адресу:

Router(config)#access-list 110 permit tcp any any ?

eq Match only packets on a given port number

established Match established connections

gt Match only packets with a greater port number

log Log matches against this entry

lt Match only packets with a lower port number

neq Match only packets not on a given port number

precedence Match packets with given precedence value

range Match only packets in the range of port numbers

tos Match packets with given TOS value

<cr>

Зазначаємо, що ми хочемо тільки один критерій – номер порта рівний smtp (eq):

Router(config)#access-list 110 permit tcp any any eq ?

<0-65535> Port number

bgp Border Gateway Protocol (179)

chargen Character generator (19)

cmd Remote commands (rcmd, 514)

daytime Daytime (13)

discard Discard (9)

domain Domain Name Service (53)

echo Echo (7)

exec Exec (rsh, 512)

finger Finger (79)

ftp File Transfer Protocol (21)

ftp-data FTP data connections (used infrequently, 20)

gopher Gopher (70)

hostname NIC hostname server (101)

irc Internet Relay Chat (194)

klogin Kerberos login (543)

kshell Kerberos shell (544)

login Login (rlogin, 513)

lpd Printer service (515)

nntp Network News Transport Protocol (119)

pop2 Post Office Protocol v2 (109)

pop3 Post Office Protocol v3 (110)

smtp Simple Mail Transport Protocol (25)

sunrpc Sun Remote Procedure Call (111)

syslog Syslog (514)

tacacs TAC Access Control System (49)

talk Talk (517)

telnet Telnet (23)

time Time (37)

uucp Unix-to-Unix Copy Program (540)

whois Nicname (43)

www World Wide Web (HTTP, 80)

І вводимо порт smtp (можна було ввести і “25):

Router(config)#access-list 110 permit tcp any any eq smtp

Тепер вводимо інші рядки списку доступу під наші завдання. Дозволяємо роботу з POP3-серверами співробітникам компанії:

access-list 110 permit tcp any any eq pop3

Включаємо доступ на наш проксі-сервер (200.200.200.2) на 8080 порту:

access-list 120 permit tcp 200.200.200.0 0.0.0.255 host 200.200.200.2 eq 8080

access-list 110 permit tcp host 200.200.200.2 any

На нашому проксі-сервер ми налаштовуємо Squid на кешування запитів від співробітників по FTP-і HTТP-протоколах, але не даємо співробітникам доступ безпосередньо до WWW-cервера. Дозволяємо весь трафік в локальній мережі (По стандартному списку доступу):

access-list 10 permit ip 200.200.200.0 0.0.0.255 200.200.200.0 0.0.0.255 
Якщо вам необхідно розділити доступ по відділах компанії, то ви можете, застосовуючи маску підмережі, оперувати трафіком в локальній мережі.
Напрмер: доступ до сервера бухгалтерії 200.200.200.50 повинні мати тільки відділ бухгалтерії (200.200.200.48 255.255.255.240) і керівництво компанії (200.200.200.224 255.255.255.240):

access-list 110 permit ip 200.200.200.48 0.0.0.240 200.200.200.224 0.0.0.240

Якщо ви плануєте обмеження трафіку засобами серверів, то ви повинні вирішити весь IP-трафік в локальній мережі (застосовуючи стандартний список доступу):

access-list 10 permit 200.200.200.0 0.0.0.255 200.200.200.0 0.0.0.255

Після того, як ви розберетеся з доступом і складете повний список access-list’ов, ви повинні зробити їх прив’язку до інтерфейсу, в нашому випадку до Ethernet 0:

Router#configure terminal

Router(config)#int e0
! Дозволяємо вхідний трафік на проксі сервер

Router(config)#access-group 120 in
! Дозволяємо вихідний трайік від проксі сервера та

Router(config)#access-group 110 in
! Дозволяємо весь локальний трафік

Router(config)#access-group 10 in

Router(config)#exit

Router#wr mem

Як ви помітили, ми вказуємо правилами фільтрації виконуватися на e0-інтерфейсі для всіх вхідних пакетів.

Захист доступу до роутеру

Зараз ми займемося захистом паролем доступу до трьох зовнішніх джерел конфігрірованія роутера:
– Консолі роутера;
– Додаткового порту для подлкюченія модему (AUX);
– Доступу по telnet сеансу.

Для того, щоб закрити доступ по консолі роутера, увійдіть в режим конфігурування:

Router#config terminal

і введіть команду завдання паролю:

Router(config)#line console 0

Router(config)#password your_password

Router(config)#login

Router(config)#exit

Router#wr mem

Завдання пароля на AUX порту відбувається так же:

Router(config)#line aux 0

Router(config)#password your_password

Router(config)#login

Router(config)#exit

Router#wr mem

І нарешті пароль для telnet сесій:

Router(config)#line vty 0 4

Router(config)#password your_password

Router(config)#login

Router(config)#exit

Router#wr mem

Зверніть вніменіе, що при завданні пароля для telnet-сеансу ви вказуєте число дозволених сесій рівне 4-м. При спробі отримати доступ до роутера з будь-якого з перерахованих способів ви отримаєте запрошення такого роду: “Enter password:” При великій кількості роутерів використовуйте AAA-acounting для завдання механізму єдиної авторизації на всіх пристроях, Створений користувача командою:

Router(config)#username vasya password pipkin_password

Router(config)#exit

Router#wr term

За комапнде snow config ми побачимо, що наш пароль зашифрований і розгадати його досить складно:

username vasya password 7 737192826282927612

Потім включаємо в глобальному конфіги AAA-accounting:

aaa new-model

aaa authentication login default local

aaa authentication login CONSOLE none

aaa authorization exec local if-authenticated

Далі сконфігуріруем AUX, Console, telnet сесію, щоб отримати в результаті в конфіги:

line con 0

login authentication CONSOLE

line aux 0

transport input none

line vty 0 4

!

Тепер при спробі залогінитися отримаємо наступне запрошення (пароль не відображається):

User Access Verification

Username:vasya

Password: 

Router>

збір статистики з роутера
Для цього вам знадобиться будь UNIX-хост з встановленим на ньому пакетом MRTG і створити файл конфігурації з помошью програми cfgmaker:

cfgmaker community_name@name_your_router,

де SNMP community_name (в режимі тольо читання) ви задаєте на роутері командою:

Router(config)#snmp-server community community_name RO

а на UNI-хості ви задаєте на обробку перлові скриптом файл конфігурації:

Workdir: /usr/local/www/docs

Interval: 5

Refresh: 60

WriteExpires: Yes

Background[router.victim.com.1]:#CFCFCF

Options[router.victim.com.1]: bits, growright

Target[router.victim.com.1]: 1:community_name@victim.com

MaxBytes[router.victim.com.1]: 1250000

Title[router.victim.com.1]: router.victim.com : Ethernet0

PageTop[router.victim.com.1]: <H1>Traffic Analysis for Ethernet0

</H1>

<TABLE>

<TR><TD>System:</TD><TD>router.victim.com in </TD></TR>

<TR><TD>Maintainer:</TD><TD></TD></TR>

<TR><TD>Interface:</TD><TD>Ethernet0 (1)</TD></TR>

<TR><TD>IP:</TD><TD>router.victim.com (200.200.200.1)</TD></TR>

<TR><TD>Max Speed:</TD>

<TD>1250.0 kBytes/s (ethernetCsmacd)</TD></TR>

</TABLE>

### Serial 0 ###

Background[router.victim.com.2]:#CFCFCF

Options[community_name@victim.com.2]: bits, growright

Target[community_name@victim.com.2]: 2:community_name@victim.com

MaxBytes[community_name@victim.com.2]: 8000

Title[community_name@victim.com.2]: MTO 64K : Serial0

PageTop[community_name@victim.com.2]: <H1>Traffic Analysis for Serial0

</H1>

<TABLE>

<TR><TD>System:</TD><TD>router.victim.com </TD></TR>

<TR><TD>Maintainer:</TD><TD></TD></TR>

<TR><TD>Interface:</TD><TD>Serial0 (2)</TD></TR>

<TR><TD>IP:</TD><TD> ()</TD></TR>

<TR><TD>Max Speed:</TD>

<TD>8000.0 Bytes/s (propPointToPointSerial)</TD></TR>

</TABLE>

кожні п’ять хвилин (з помошью crond), який буде генерувати звіти по трафіку в катаген / usr / local / www / data у вигляді HTML-сторінок з графіками. Вам необхідно запустити на цьому хості WWW-сервер для публікації статистики по внутрішньому трафіку (router.victim.com.html) на Ethernet-інтерфейсі і трафіку на Serail 0 (router.victim.com.2.html) інтерфейсу.

Висновок

Незважаючи на гадану простоту команд в EXEC-режимі, роутери Cisco є потужним средст для діагностики несправностей в глобальних і локальних мережах.
Використовуючи режим налагодження (допомога доступна по команді “debug?”), Ви можете прослуховувати трафік в локальній мережі з будь-якого підтримуваного вашої версією IOS протоколу (IPX, IP, Appletalk) або з допомогою cdp отримувати інформацію про сусідні роутерах Cisco.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*