Cisco – снаружи с DHCP, внутри без DHCP

Posted on by

Настройка Cisco-871 с получением динамического IP-адреса от провайдера и раздачей интернета в локальную сеть на статические IP-адреса.

  • Подключаем Cisco синим шнуром к COM-порту компьютера, в Cisco этот шнур вставляется в разъём Console.
  • Запускаем на компьютере программу:
    Пуск -> Программы -> Стандартные -> Служебные -> Связь-> HyperTerminal
    (если её нет, то скачиваем из интернета)
  • При запуске программа предложит дать название новому соединению, назовём его Cisco.
  • Далее необходимо указать параметры соединения. Указываем:
    Порт: COM1, скорость: 9600, биты: 8, чётность: нет, стоповые: 1, управление потоком: нет.
  • Сохраняем настройки и в дальнейшем можно будет не вводить каждый раз все эти настройки после запуска HyperTerminal, а выбирать готовые настройки из сохранённого файла *.ht.
  • Далее включаем Cisco.
  • Если необходимо стереть предыдущую конфигурацию Cisco, то включаем её со вставленной сзади спичкой в отверстие для сброса настроек и держим спичку.
    Спичку держать до тех пор, пока на гипертерминале не пройдут такие строки:
    Erasing the nvram filesystem will remove all files! Continue? [OK]
    Erase of nvram: complete
    Router IOS Configuration Recovery is unsuccessful
  • После загрузки циски на вопрос:
    Would you like to enter the initial configuration dialog? [yes/no]:
    Нужно ответь n и нажать энтэр.
  • Ждём когда маршрутизатор загрузится.
  • Если в окне HyperTerminal появился курсор, то можно вводить команды, если нет – нажать Enter.
  • Если необходимо ввести логин и пароль, то вводим стандартные: cisco/cisco.
  • Входим в расширенные настройки:
    enable
    (в Cisco работает автозавершение команд. Можно не набирать команду целиком, набрать только первые несколько букв, например en и нажать клавишу TAB на клавиатуре, после этого команда enable)
  • После срабатывания команды enable слева от курсора появится символ решётки.
  • conf t (входим в режим конфигурирования)
    (у команд есть сокращённый вариант, например вместо configure terminal можно набирать conf t)
  • После входа в режим конфигурирования появится предупреждение (вводить по одной команде в строке) и слева от курсора появится слово (conf).

Далее можно вводить по одной команде для настройки Cisco, а можно загрузить готовый конфиг, который будет приложен в конце статьи. В готовый конфиг нужно внести свои данные (адрес своей сети, Cisco, шлюз провайдера).
Вставлять строки и весь конфиг можно через буфер обмена: Edit -> Paste to Host (комбинация клавиш Ctrl + V у меня не катит).

  • Настраиваем IP-адрес Cisco со стороны локальной сети.
  • Входим в настройки виртуального порта VLAN1, к которому обычно относятся реальные порты FE0-FE3:
  • interface Vlan1 (или сокращённо int Vlan1)
    Слева от курсора появится текст (config-if).
  • Вводим IP-адрес:
    ip address 192.168.220.10 255.255.255.0 (здесь 192.168.220.10 – IP-адрес Cisco внутри вашей локальной сети, 255.255.255.0 маска сети).
    Обычно IP-адрес Cisco назначают самым маленьким, последняя цифра 1 или 10, но если в маске последняя цифра не ноль, то следите, чтобы последняя цифра адреса Cisco соответствовала маске).
  • ip nat inside (включаем на этом же порту NAT: траснляцию адресов внутренней сети во внешнюю)
  • ip virtual-reassembly (команда «собирать фрагментированные пакеты»)
  • exit (выходим из настроек порта Vlan1)
  • Направляем все адреса по любой маске на шлюз провайдера:
  • ip route 0.0.0.0 0.0.0.0 10.124.62.1 (справа шлюз провайдера, в середине маска, её не менять)
  • Создаём список для NAT, какие IP-адреса должны транслироваться в интернет:
    access-list 1 permit 192.168.220.0 0.0.0.255
    (здесь 192.168.220.0 – ваша локальная сеть, 255.255.255.0 маска сети, изменив маску, можно указать другой промежуток адресов, которым будет доступна Cisco).
  • Входим в настройки порта FastEthernet4, к которому подключен интернет-кабель от провайдера:
  • interface FastEthernet4 (или сокращённо int Fa4)
  • no shutdown (включаем порт)
  • ip address dhcp (IP-адрес интернет динамический, будет получен автоматически от провайдера через DHCP)
  • ip nat outside (подключаем NAT к наружному порту)
  • exit (выходим из настроек порта FastEthernet4)
  • exit (выходим из режима конфигурирования)
  • ip nat inside source list 1 int fa4 overload (подключаем NAT к списку – разрешённых IP-адресов)
  • wr mem (записываем все настройки в память)
  • Настраиваем логин и пароль:
  • conf t
  • hostname MyCisco
  • aaa new-model
  • aaa authentication login default local
  • username ваш_логин privilege 15 secret ваш_пароль
  • ip domain name mycisco.local
  • crypto key generate rsa modulus 1024
  • Настраиваем SSH, доступ через локальную сеть:
  • ip ssh version 2
  • line vty 0 4
  • transport input telnet ssh
  • privilege level 15

Это позволит в следующий раз заходить в настройки Cisco не через com-порт, а через локальную сеть, для этого нужно набрать в командной строке: telnet 192.168.220.10 (адрес вашей Cisco).

  • Настраиваем блокировки социальных сетей:

ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .vk.com
ip urlfilter exclusive-domain deny .vk.me
ip urlfilter exclusive-domain deny .ok.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter exclusive-domain deny .217.20.156.131
ip urlfilter exclusive-domain deny .facebook.com
ip urlfilter exclusive-domain deny .yotube.com
ip urlfilter exclusive-domain deny .twitter.com
ip urlfilter exclusive-domain deny .fotostrana.ru
ip urlfilter exclusive-domain deny .my.mail.ru
ip urlfilter exclusive-domain deny .love.mail.ru
ip urlfilter exclusive-domain deny .mirtesen.ru
ip urlfilter exclusive-domain deny .exe
ip urlfilter exclusive-domain deny .msi
ip urlfilter audit-trail
int Vlan1 (входим в настройки внутреннего интерфейса)
ip inspect Protect in (и вешаем на него наш фильтр)
exit (выходим из настроек интерфейса)
exit (выходим из режима конфигурирования)
wr mem (записываем все все настройки в память)

Есть другие способы блокирования сайтов.
Но блокировка с помощью списков-листов сильно тормозит те страницы, на которых есть ссылки на заблокированные ресурсы.
А блокировка с помощью классов не блокирует протокол http.

  • Отключаем вывод на экране протоколов, которые мешают набирать команды:
  • conf tno logg con
  • Можно настроить дату и время:
  • сlock set hh:mm:ss Oct 26 2016
  • clock timezone MSK 3
  • Включим сверку времени (указываем IP-адреса для серверов 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org):
  • ntp server 85.21.78.8
  • ntp server 46.254.216.9
  • ntp server 91.207.136.50
  • Можно превратить Cisco в сервер времени:
  • ntp master
  • exit
  • wr mem

Вот готовый полный конфиг (строки переставлены для оптимизации):

conf t
no logg con
ip nat inside source list 1 int fa4 overload
interface FastEthernet4
no shutdown
ip address dhcp
ip nat outside
ip virtual-reassembly
ip route 0.0.0.0 0.0.0.0 10.124.62.1
access-list 1 permit 192.168.220.0 0.0.0.255
ip inspect name Protect http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .vk.com
ip urlfilter exclusive-domain deny .vk.me
ip urlfilter exclusive-domain deny .ok.ru
ip urlfilter exclusive-domain deny .odnoklassniki.ru
ip urlfilter exclusive-domain deny .217.20.156.131
ip urlfilter exclusive-domain deny .facebook.com
ip urlfilter exclusive-domain deny .yotube.com
ip urlfilter exclusive-domain deny .twitter.com
ip urlfilter exclusive-domain deny .fotostrana.ru
ip urlfilter exclusive-domain deny .my.mail.ru
ip urlfilter exclusive-domain deny .love.mail.ru
ip urlfilter exclusive-domain deny .mirtesen.ru
ip urlfilter exclusive-domain deny .exe
ip urlfilter exclusive-domain deny .msi
ip urlfilter audit-trail
interface Vlan1
ip address 192.168.220.10 255.255.255.0
ip nat inside
ip virtual-reassembly
ip inspect Protect in
interface Vlan2
ip address 192.168.221.10 255.255.255.0
ip nat inside
ip virtual-reassembly
interface FastEthernet3
switchport mode access
switchport access vlan 2
access-list 1 permit 192.168.221.0 0.0.0.255
hostname MyCisco
aaa new-model
aaa authentication login default local
username ваш_логин privilege 15 secret ваш_пароль
ip domain name mycisco.local
crypto key generate rsa modulus 1024
ip ssh version 2
line vty 0 4
transport input telnet ssh
privilege level 15
clock timezone MSK 3
ntp server 85.21.78.8
ntp server 46.254.216.9
ntp server 91.207.136.50
ntp master
exit
wr mem

Порт Vlan2 с гнездом FE3 выделен отдельно, на нём нет фильтров, на всякий случай.

Leave a Reply