Настройка Cisco-871 с получением динамического IP-адреса от провайдера и раздачей интернета в локальную сеть на статические IP-адреса.
- Подключаем Cisco синим шнуром к COM-порту компьютера, в Cisco этот шнур вставляется в разъём Console.
- Запускаем на компьютере программу:
Пуск -> Программы -> Стандартные -> Служебные -> Связь-> HyperTerminal
(если её нет, то скачиваем из интернета) - При запуске программа предложит дать название новому соединению, назовём его Cisco.
- Далее необходимо указать параметры соединения. Указываем:
Порт: COM1, скорость: 9600, биты: 8, чётность: нет, стоповые: 1, управление потоком: нет. - Сохраняем настройки и в дальнейшем можно будет не вводить каждый раз все эти настройки после запуска HyperTerminal, а выбирать готовые настройки из сохранённого файла *.ht.
- Далее включаем Cisco.
- Если необходимо стереть предыдущую конфигурацию Cisco, то включаем её со вставленной сзади спичкой в отверстие для сброса настроек и держим спичку.
Спичку держать до тех пор, пока на гипертерминале не пройдут такие строки:
Erasing the nvram filesystem will remove all files! Continue? [OK]
Erase of nvram: complete
Router IOS Configuration Recovery is unsuccessful - После загрузки циски на вопрос:
Would you like to enter the initial configuration dialog? [yes/no]:
Нужно ответь n и нажать энтэр. - Ждём когда маршрутизатор загрузится.
- Если в окне HyperTerminal появился курсор, то можно вводить команды, если нет – нажать Enter.
- Если необходимо ввести логин и пароль, то вводим стандартные: cisco/cisco.
- Входим в расширенные настройки:
enable
(в Cisco работает автозавершение команд. Можно не набирать команду целиком, набрать только первые несколько букв, например en и нажать клавишу TAB на клавиатуре, после этого команда enable)
- После срабатывания команды enable слева от курсора появится символ решётки.
- conf t (входим в режим конфигурирования)
(у команд есть сокращённый вариант, например вместо configure terminal можно набирать conf t) - После входа в режим конфигурирования появится предупреждение (вводить по одной команде в строке) и слева от курсора появится слово (conf).
Далее можно вводить по одной команде для настройки Cisco, а можно загрузить готовый конфиг, который будет приложен в конце статьи. В готовый конфиг нужно внести свои данные (адрес своей сети, Cisco, шлюз провайдера).
Вставлять строки и весь конфиг можно через буфер обмена: Edit -> Paste to Host (комбинация клавиш Ctrl + V у меня не катит).
- Настраиваем IP-адрес Cisco со стороны локальной сети.
- Входим в настройки виртуального порта VLAN1, к которому обычно относятся реальные порты FE0-FE3:
- interface Vlan1 (или сокращённо int Vlan1)
Слева от курсора появится текст (config-if). - Вводим IP-адрес:
ip address 192.168.220.10 255.255.255.0 (здесь 192.168.220.10 – IP-адрес Cisco внутри вашей локальной сети, 255.255.255.0 маска сети).
Обычно IP-адрес Cisco назначают самым маленьким, последняя цифра 1 или 10, но если в маске последняя цифра не ноль, то следите, чтобы последняя цифра адреса Cisco соответствовала маске). - ip nat inside (включаем на этом же порту NAT: траснляцию адресов внутренней сети во внешнюю)
- ip virtual-reassembly (команда «собирать фрагментированные пакеты»)
- exit (выходим из настроек порта Vlan1)
- Направляем все адреса по любой маске на шлюз провайдера:
- ip route 0.0.0.0 0.0.0.0 10.124.62.1 (справа шлюз провайдера, в середине маска, её не менять)
- Создаём список для NAT, какие IP-адреса должны транслироваться в интернет:
access-list 1 permit 192.168.220.0 0.0.0.255
(здесь 192.168.220.0 – ваша локальная сеть, 255.255.255.0 маска сети, изменив маску, можно указать другой промежуток адресов, которым будет доступна Cisco). - Входим в настройки порта FastEthernet4, к которому подключен интернет-кабель от провайдера:
- interface FastEthernet4 (или сокращённо int Fa4)
- no shutdown (включаем порт)
- ip address dhcp (IP-адрес интернет динамический, будет получен автоматически от провайдера через DHCP)
- ip nat outside (подключаем NAT к наружному порту)
- exit (выходим из настроек порта FastEthernet4)
- exit (выходим из режима конфигурирования)
- ip nat inside source list 1 int fa4 overload (подключаем NAT к списку – разрешённых IP-адресов)
- wr mem (записываем все настройки в память)
- Настраиваем логин и пароль:
- conf t
- hostname MyCisco
- aaa new-model
- aaa authentication login default local
- username ваш_логин privilege 15 secret ваш_пароль
- ip domain name mycisco.local
- crypto key generate rsa modulus 1024
- Настраиваем SSH, доступ через локальную сеть:
- ip ssh version 2
- line vty 0 4
- transport input telnet ssh
- privilege level 15
Это позволит в следующий раз заходить в настройки Cisco не через com-порт, а через локальную сеть, для этого нужно набрать в командной строке: telnet 192.168.220.10 (адрес вашей Cisco).
- Настраиваем блокировки социальных сетей:
ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .vk.com
ip urlfilter exclusive-domain deny .vk.me
ip urlfilter exclusive-domain deny .ok.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter exclusive-domain deny .217.20.156.131
ip urlfilter exclusive-domain deny .facebook.com
ip urlfilter exclusive-domain deny .yotube.com
ip urlfilter exclusive-domain deny .twitter.com
ip urlfilter exclusive-domain deny .fotostrana.ru
ip urlfilter exclusive-domain deny .my.mail.ru
ip urlfilter exclusive-domain deny .love.mail.ru
ip urlfilter exclusive-domain deny .mirtesen.ru
ip urlfilter exclusive-domain deny .exe
ip urlfilter exclusive-domain deny .msi
ip urlfilter audit-trail
int Vlan1 (входим в настройки внутреннего интерфейса)
ip inspect Protect in (и вешаем на него наш фильтр)
exit (выходим из настроек интерфейса)
exit (выходим из режима конфигурирования)
wr mem (записываем все все настройки в память)
Есть другие способы блокирования сайтов.
Но блокировка с помощью списков-листов сильно тормозит те страницы, на которых есть ссылки на заблокированные ресурсы.
А блокировка с помощью классов не блокирует протокол http.
- Отключаем вывод на экране протоколов, которые мешают набирать команды:
- conf tno logg con
- Можно настроить дату и время:
- сlock set hh:mm:ss Oct 26 2016
- clock timezone MSK 3
- Включим сверку времени (указываем IP-адреса для серверов 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org):
- ntp server 85.21.78.8
- ntp server 46.254.216.9
- ntp server 91.207.136.50
- Можно превратить Cisco в сервер времени:
- ntp master
- exit
- wr mem
Вот готовый полный конфиг (строки переставлены для оптимизации):
conf t
no logg con
ip nat inside source list 1 int fa4 overload
interface FastEthernet4
no shutdown
ip address dhcp
ip nat outside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 10.124.62.1
access-list 1 permit 192.168.220.0 0.0.0.255
ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .vk.com
ip urlfilter exclusive-domain deny .vk.me
ip urlfilter exclusive-domain deny .ok.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter exclusive-domain deny .217.20.156.131
ip urlfilter exclusive-domain deny .facebook.com
ip urlfilter exclusive-domain deny .yotube.com
ip urlfilter exclusive-domain deny .twitter.com
ip urlfilter exclusive-domain deny .fotostrana.ru
ip urlfilter exclusive-domain deny .my.mail.ru
ip urlfilter exclusive-domain deny .love.mail.ru
ip urlfilter exclusive-domain deny .mirtesen.ru
ip urlfilter exclusive-domain deny .exe
ip urlfilter exclusive-domain deny .msi
ip urlfilter audit-trail
interface Vlan1
ip address 192.168.220.10 255.255.255.0
ip nat inside
ip virtual-reassembly
ip inspect Protect in
interface Vlan2
ip address 192.168.221.10 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet3
switchport mode access
switchport access vlan 2
access-list 1 permit 192.168.221.0 0.0.0.255
hostname MyCisco
aaa new-model
aaa authentication login default local
username ваш_логин privilege 15 secret ваш_пароль
ip domain name mycisco.local
crypto key generate rsa modulus 1024
ip ssh version 2
line vty 0 4
transport input telnet ssh
privilege level 15
clock timezone MSK 3
ntp server 85.21.78.8
ntp server 46.254.216.9
ntp server 91.207.136.50
ntp master
exit
wr mem
Порт Vlan2 с гнездом FE3 выделен отдельно, на нём нет фильтров, на всякий случай.