Сброс пароля и базовая настройка Cisco 1941
Бывает так, что приходится сталкиваться с задачами, к решению которых ты вроде бы и не готов, а получить результат надо здесь и сейчас. Знакомо, да? Добро пожаловать в мир восточноевропейского менеджмента с соответствующей культурой управления.
Итак, допустим, ты представитель местечкового провайдера, уже знающий, как настроить какой-нибудь ASUS, но волею судьбы ещё не получивший сертификат CCNA. Рядом с тобой стоит местный админ, тоже без сертификата, глазами молящий ничего не «сбрасывать в ноль», ибо «всё работает, я просто не знаю пароль, только вы никому не говорите».
Подобные ситуации не редкость в наше ковидном мире, когда отделы со своей инфраструктурой тасуюся ежеквартально, директора направлений таинственно исчезают, а очередной управленец, дабы продемонстрировать собственную эффективность, ссорится с единственным цискарём в округе и заключает договора обслуживания при помощи сайта объявлений.
Проведём же вместе сеанс чёрной айтишной магии с последующим её разоблачением. А именно : сбросим пароль, настроим интерфейсы (локальный и внешний), соединим эти сети маршрутами и трансляцией адресов и прикроем(нет) фаерволом. Кирпич с фирменным шильдиком волшебным образом превратится в полезное сетевое устройство.
Устройство и нужные нам интерфейсы
Вот она, наша девочка. Как опытные ребята, подходим с правильной стороны:
Кабель «специальный» Cisco. Распайки есть везде.
По нынешним временам COM-порт есть далеко не в каждом ноуте, поэтому придётся к этому шнурку брать стандартный COM-USB переходник. Но можно присмотреться и увидеть, что рядом со «старым» консольным портом есть mini-usb порт с тем же назначением. Переходник в данном случае встроен в циску, и, да, на него нужны драйвера. Устанавливаем их, ребутимся и подключаемся снова. После подключения Cisco через кабель miniusb в списке оборудования в разделе Порты (COM и LPT) появился Cisco Serial (COM14) (не обязательно именно 14, ну что поделать). Для дальнейшей работы рекомендую терминальную программку Putty, ибо в ней есть всё, что необходимо, и она проста, как полено. На сегодня нам от неё нужно будет подключение по интерфейсу Serial (Com14) и впоследствии Telnet (TCP23).
Сбрасываем пароли
Включаем циску и подключаемся в Putty к порту Serial (название COM14, Baud Rate 9600). Убеждаемся, что коннект есть. Далее надо перезагрузить маршрутизатор в ROMMON – начальный загрузчик – совсем урезанную версию операционной системы, которая загружается до cisco IOS и используется для сервисных целей (обновление IOS, восстановление пароля). Чтобы перезагрузить маршрутизатор в ROMMON, нужно прервать обычный процесс загрузки в IOS – для этого в самом начале загрузки надо отправить сигнал прерывания.
Выключаем, и не разрывая консольный сеанс, Включаем Cisco 1941 и нажимаем клавишу Break (она же клавиша Pause) или комбинацию Ctrl+Break на клавиатуре (если в ноуте этого нет, в Putty по правой кнопке мыши можно вызвать special command – break). Полная таблица с сигналами прерывания для разных терминалов находится здесь.
Видим приглашение в режим rommon (ROM monitor) :
Вводим команду изменения конфигурации регистра командой confreg и после перезапускаем роутер командой reset
rommon 1 > confreg 0x2142
Повышаем привилегии командой enable или просто en И пароль она тут не просит 🙂
Копируем «запароленный» конфиг в память роутера:
Router1#copy startup-config running-config
После этого применится старый конфиг, который был запаролен, но при этом мы уже находимся в привилегированном режиме, откуда можем выставить новые пароли для привилегированного режима, telnet и консоли.
Router1(config)#line vty 0 4
Router1(config)#line console 0
Главное, в конце не забыть вернуть значения регистров по умолчанию. Если этого не сделать, то наш новый конфиг снова будет проигнорирован после перезагрузки роутера.
Router1(config)# config-register 0x2102
Копируем загруженный конфиг в стартовый и перезагружаемся:
Router1# copy running-config startup-config
Роутер теперь с новым паролем для консоли, телнета и привилегированного режима. Ура. Можно отдать циску просиявшему админу вместе с настройками «нового интернета» (мы же от провайдера приехали, помните?). Если во взгляде местного системного администратора затаились нерешительность и страх, то поможем бедолаге.
Настройка интерфейсов
Чтоб два раза не приезжать, пробежимся по всем нужным настройкам «чтоб взлетело». У циски два «жёлтых» интерфейса: GigabitEthernet0/0 и GigabitEthernet0/1. Обычно они должны смотреть в сторону WAN и LAN соответственно, да будет так.
Адресация в WAN, допустим 100.200.100.202/30 со шлюзом провайдера 100.200.100.201
Адресация в LAN, как водится, 192.168.1.1/24 с локальным интерфейсом циски 192.168.1.1
Всё делаем из под рута:
Настраиваем локальный интерфейс:
#ip address 192.168.1.1 255.255.255.0
#ip dhcp excluded-address 192.168.1.200 192.168.1.254
#ip dhcp excluded-address 192.168.1.1 192.168.1.50
#ip dhcp ping packets 4
#ip dhcp pool MY_DHCP_POOL_1
#network 192.168.1.0 255.255.255.0
Всё, после этой настройки можно подключаться телнетом из локалки при желании (удобно для проверок)
Настраиваем внешний интерфейс:
#ip address 100.200.100.202 255.255.255.252
#ip forward-protocol nd
#ip route 0.0.0.0 0.0.0.0 100.200.100.201
Тут от самой циски должен начать пинговаться 8.8.8.8
#ip domain timeout 2
#ip name-server 8.8.8.8
#ip name-server 77.88.8.8
Тут от самой циски должен начать пинговаться ya.ru
#copy running-config startup-config (или просто #wr )
В итоге мы настроили на циске две сети, в которых она будет жить и трудиться. Далее надо будет их соединить.
Его величество межсетевой экран
Собственно, его величество фаер. В ипостасях NAT и списков доступа (ACL)
Настройка NAT
Собираем локальную область для маскарадинга (да, я знаю, что это термин для iptables, но суть та же):
#ip access-list standard 10
#permit 192.168.1.0 0.0.0.255
Назначаем стороны маскарадинга (интерфейсы):
Cамое важное: включаем собственно правило (одной строкой):
#ip nat inside source list 10 interface gigabitethernet0/0 overload
Закрываемся от атаки по TCPSYN:
#ip tcp synwait-time 30
Пишем список (особое внимание – протоколу icmp)
#ip access-list extended 101
#deny tcp any any eq 23
#permit tcp any any
#permit udp any any
#permit icmp any any echo-reply
#permit icmp any any time-exceeded
#permit icmp any any unreachable
Вешаем список на вход во внешний интерфейс:
#ip access-group 101 in
#copy running-config startup-config (или просто #wr )
Так то список только базовую «защиту» обеспечивает, но это головная боль админа уже. После поднятия всех сервисов и их проверки, можно написать построже и применить.
У нас пингуется всё изнутри и циска снаружи. Интернет работает, почта ходит. Все счастливы, танцуют, обнимаются, деньги в карманы засовывают. Твой социальный рейтинг растёт на глазах.
P.S. Полезные команды
Собственно, включение чего-либо, например, интерфейса выглядит вот так:
Выведем на почитать/скопировать весь конфиг:
Можно посмотреть возможности команды show:
Просмотр сводной информации по интерфейсам:
#show ip interface brief
Просмотр информации по интерфейсам L2:
#show interface summary
Просмотр адресов, выданных по DHCP:
Удаление строк конфига:
Например, удалим шлюз по умолчанию:
#no ip default-gateway
Удаляем ВЕСЬ список доступа:
#no ip access-list extended 101
Удаление статического маршрута:
#no ip route [маршрут]
Что-ж для первого визита вполне достаточно. При помощи этой нехитрой магии ты заведёшь себе много друзей, юный падаван 🙂 И не забудь предупредить местного админа о том, что если он как следует не настроит ACL, их сетку могут в скором времени ждать крупные неприятности. Но это уже совсем другая история.
У нас быстрые серверы для любых экспериментов.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
Введение в управление трафиком и доступом
Введение в управление трафиком и доступом
Вопросы, рассматриваемые в этой главе, важны для понимания того, как именно возможности маршрутизаторов Cisco применяются в реальном мире. На экзамене ACRC вы должны продемонстрировать хороший уровень знания данного материала.
Многие вопросы экзамена требуют, чтобы вы написали ответ, а не выбрали верный вариант из нескольких предлагаемых. Обратите внимание на то, что ответ будет считаться неверным, если вы допустите описку.
Причины перегруженности сети
• Передача графики и изображений
• Передача файлов объемом в несколько гигабайтов
• Высокая интенсивность сетевого трафика
Для удовлетворения этим требованиям компьютерный отдел фирмы должен обеспечить:
• Увеличение полосы пропускания
• Предоставление полосы пропускания по требованию
Кроме того, современные сети должны быть гибкими, готовыми к появлению приложений завтрашнего дня. В самом ближайшем будущем компьютерные сети будут использоваться для передачи таких видов информации, как:
• Графика высокого разрешения
Другими словами, для того чтобы сетевой комплекс соответствовал своему назначению, он должен эффективно связывать между собой большое количество различных сетей, обслуживающих разные организации. Соединение не должно зависеть от типа используемого физического носителя. Компании, расширяющие свои сетевые комплексы, обязаны успешно преодолевать физические и географические ограничения по примеру всемирной сети Интернет.
Методы устранения перегруженности сети
Как правило, при перегрузке сети пользователи начинают требовать увеличения полосы пропускания. Но дело в том, что простое увеличение полосы не всегда дает нужный результат. Одним из способов решения проблемы перегруженности и повышения производительности локальной сети является разбиение одного сегмента Ethernet на несколько сегментов. При этом доступная ширина полосы пропускания достигает максимума.
К методам борьбы с перегруженностью сети относятся:
• Технология коммутации сетей
• Применение дуплексных устройств Ethernet
• Использование Fast Ethernet
Используя мосты, можно разбить сеть на мелкие, легко управляемые компоненты. Это позволит снизить уровень загруженности сети. Однако следует учитывать, что неправильно размещенный мост может принести больше вреда, чем пользы.
Мосты анализируют адреса MAC или аппаратные адреса всех кадров и затем пересылают кадры в соответствующие физические сегменты (только если это действительно нужно). Мосты динамически формируют таблицу пересылки путем сопоставления адресов MAC и сегментов, в которых находятся эти адреса.
Мост может пересылать любые пакеты во все другие сегменты, к которым он подключен. По умолчанию исходные адреса широковещательных пакетов не анализируются мостом, т. е. фильтрация не выполняется, при этом возможен так называемый широковещательный шторм, когда поток широковещательных пакетов превращается в потоп. Та же проблема может возникнуть и при использовании коммутаторов, так как с теоретической точки зрения порты коммутаторов являются портами мостов. Коммутатор фирмы Cisco на самом деле представляет собой мост с несколькими портами, работающий под управлением Cisco IOS и выполняющий те же функции, что и мост.
Важно помнить, что мосты создают маленькие коллизионные домены, в то время как вся сеть по-прежнему остается одним большим широковещательным доменом.
Применение маршрутизаторов дает следующие преимущества:
Управляемость Возможность работы с несколькими протоколами маршрутизации предоставляет проектировщику большую гибкость при разработке сети.
Расширенный объем функций Маршрутизаторы Cisco могут выполнять такие функции, как адресация выхода потока, контроль ошибок и загруженности, фрагментация, повторная сборка пакетов и управление временем существования пакета.
Сегментация с помощью коммутаторов LAN
Различают три метода коммутации:
Коммутация с конфигурацией портов ( port — configuration switching )
Позволяет сопоставлять порты физическим сегментам сети под программным управлением. Простейшая форма коммутации.
Коммутаторы LAN предоставляют большую плотность портов с меньшей стоимостью по сравнению со стандартными мостами. Поскольку коммутаторы LAN позволяют работать с сегментами, состоящими из небольшого числа пользователей, увеличивается средняя ширина полосы пропускания, приходящаяся на каждого пользователя. Тенденция к сокращению числа пользователей на сегмент получила название микросегментации; при таком подходе можно создавать выделенные сегменты.
Если на сегмент приходится по одному пользователю, каждому из них предоставляется полная полоса пропускания, которую не нужно ни с кем делить. Поэтому конфликты, столь частые в общих сетях среднего размера, где применяются концентраторы, при такой сегментации исключены.
Технология коммутации сетей
• Выполнение нескольких передач одновременно
• Высокоскоростной обмен данными
• Выделенная связь между устройствами
• Низкая величина задержки и высокая скорость пересылки кадров
• Адаптация к характеристикам носителей (в одной и той же сети могут работать одновременно хосты на 10 Мбит/с и на 100 Мбит/с)
• Поддержка существующих сетевых карт и кабелей, совместимых со стандартом 802.3
Благодаря выделенной сегментации, исключающей возникновение конфликтов между сетевыми устройствами, повышается скорость передачи файлов. Одновременно могут осуществляться несколько процессов обмена данными, т. е. одновременно могут пересылаться или коммутироваться несколько пакетов, следовательно, пропускная способность сети увеличивается в соответствующее число раз.
Переход к дуплексной связи повышает пропускную способность сети ровно вдвое, а адаптация к характеристикам носителей позволяет коммутаторам LAN выполнять обмен данными между устройствами, рассчитанными на 10 и 100 Мбит/с, и перераспределять полосу пропускания по мере необходимости. Еще одно преимущество данного метода заключается в том, что переход на коммутаторы LAN не требует замены уже установленных концентраторов, сетевых карт и кабелей.
Дуплексные устройства Ethernet
Применение дуплексных устройств вместо полудуплексных теоретически увеличивает полосу пропускания вдвое. Подключение к дуплексным портам концентраторов позволяет устройствам вести прием и передачу одновременно. Передаваемые и принимаемые сигналы идут по разным проводам, поэтому не должно быть конфликтов и фрагментации.
Fast Ethernet
Управление трафиком и доступом
Фирма Cisco разработала собственную трехуровневую иерархическую модель, которой можно руководствоваться при проектировании и создании масштабируемых сетевых комплексов. Использование этой модели упрощает адресацию и управление устройствами, поскольку преобразование сетевых адресов в иерархическую структуру сокращает объем работ по перенастройке сети при ее расширении. Кроме того, если вы точно знаете, где именно в иерархии расположены устройства, выполняющие сходные задачи, проще избежать ошибок и конфликтов при настройке маршрутизаторов на том или ином уровне. Для эффективного управления трафиком и доступом администратор должен быть знаком с иерархической моделью Cisco.
Понимание трехуровневой иерархической модели Cisco позволит вам проектировать и внедрять более протяженные сети, ориентированные на постоянное расширение; видеть достоинства и недостатки готовых сетевых разработок; приобретать именно те устройства, которые в точности соответствуют поставленной задаче, и не тратить на них ни копейки сверх необходимого.
Теоретический курс
Иерархическая модель Cisco (см. рис. 2.1) включает в себя следующие уровни:
• Уровень ядра ( Core layer )
• Уровень распространения ( Distribution layer )
• Уровень доступа ( Access layer )
Рис. 2.1. Трехуровневая иерархическая модель Cisco
Уровень доступа
Уровень доступа обеспечивает рабочей группе или отдельным пользователям доступ к общим ресурсам локального сегмента. Маршрутизаторы уровня доступа управляют трафиком, ограничивая область действия запросов к службам и широковещательных рассылок средствами доступа. Маршрутизаторы данного уровня должны обеспечивать связь, а также поддерживать целостность сети. Маршрутизатор, к которому поступил запрос, обязан проверить его правомочность, запросив у пользователя идентификационную информацию так, чтобы от него требовался минимум действий.
Настройка стандартных списков доступа IP
Используются два типа списков доступа: стандартные и расширенные. (Расширенные списки доступа рассматриваются ниже.) Возможности стандартных списков доступа довольно ограничены. Они способны выполнять отбор только по исходному адресу входящего или исходящего пакета. Стандартные списки доступа должны иметь номера в диапазоне от 1 до 99. Стандартные списки широко распространены и легко настраиваются. Хорошее знание списков доступа позволит сэкономить массу времени при настройке фильтрации на маршрутизаторе Cisco.
Как стандартные, так и расширенные списки доступа могут быть весьма сложными. Для полного понимания того, что именно делает тот или иной список доступа, необходимо тщательно изучить теорию и как можно больше попрактиковаться в работе с маршрутизаторами.
Таблица 2.1. Сетевые адреса и маски шаблонов
Маска шаблона (двоичная) (десятичная)
Использование BGP при наличии двух каналов в Интернет для выборочного анонсирования
Использование BGP при наличии двух каналов в Интернет для выборочного анонсирования
Вводные данные
При наличии двух собственных подсетей /24, столкнулся с необходимостью стандартной работы BGP, и погуглив, обнаружил минимальное количество информации по этой теме. На просторах рунета, в основном рассматриваются случаи, когда имеется одна сетка /24, и 2 провайдера, один из которых используется, как резервный. Да даже и этот случай рассмотрен некорректно, либо разрознено, нормально встретил описания только на англоязычных ресурсах.
Сразу же оговорюсь — рассматриваемые фичи CiscoOS: EXIST-MAP и NON-EXIST-MAP не поддерживаются UNIX-аналогами (типа Quagga).
Т.е в если в кратце: фичи EXIST-MAP и NON-EXIST-MAP — это условия проверки наличия в таблице маршрутов, описанного в роут-мапах префикса. Это триггер, срабатывающий, когда какой-то маршрут исчезает из таблицы (NON-EXIST-MAP) или наоборот появляется (EXIST-MAP)
Случай №1: все сети отдаются одному провайдеру (основной канал), анонсирование в резервный канал начинается только в случае падения основного канала
Данный случай является самым простым, разнообразные его решения Вы можете найти где угодно, но почти всегда через «Ж», т.е через увеличение path-prepend.
Стандартно, как для Cisco, так и для решений на UNIX-системах (при использовании Quagga), является одновременный анонс в оба канала. Просто в резервный канал идёт анонс с более длинным path prepend, но на мой взгляд это не самое удачное решение. Некоторые провайдеры препенды обрезают (так у меня было, например с ростелекомом) и вместо резервного канала — получаем балансировку между двумя каналами.
Следующее решение является более гибким, но есть два ньюанса:
1. Его нельзя реализовать на Quagga — она не умеет работать с EXIST-MAP
2. Необходимо, чтобы один из провайдеров помимо дефолта отдавал ещё какой-нибудь (любой) свой префикс, по которму будет отрабатывать EXIST-MAP, NON-EXIST-MAP. Для этого, о дополнительном префиксе легко договорится с провайдером — просто скажите NOC’у, что доп.префикс от него необходим, т.к Вы будете использовать EXIST-MAP, и свой доп. префикс провайдер добавит для Вас в анонс, без проблем.
Что при этом происходит.
Вроде бы всё, и на этом, с первым вариантом закончим.
Случай №2: каждому провайдеру отдаётся по одной подсети. В случае падения одного из линков — анонс подсети /24, с упавшего линка, переносится на оставшийся в живых, а при восстановлении канала — анонсы возвращаются к начальному состоянию — по одному в каждый канал
Что при этом происходит.
Повторюсь — оба этих варианта можно решить с помощью увеличения препендов и анонсировать все всети во все каналы, но можно попасть на обрезание этих самых препендов, либо на провайдера, который их игнорирует — и тогда получится, что трафик побежит по каналу, который мы не хотим использовать.
Оба эти конфига являются рабочими и благополучно отработали на стендовой виртуалке GNS3.
Один ньюанс — если не использовать vrf-lite, то при текущей настройке трафик будет бегать по дефолтному маршруту.
Т.е на примере второго варианта — сеть 88.88.10.0/24 анонсируется первому провайдеру, 88.88.11.0/24 — второму. Дефолт принимается от первого провайдера. Входящий сигнал в сеть 88.88.11.0/24 пойдёт через второй канал (как и надо), а вот ответ (исходящий трафик) — пойдёт по дефолтному маршруту, через первый канал, что приведёт к ассинхронизации трафика. Чтобы избежать этого, настраивается фича vrf-lite. Возможно рассмотрю примеры в следующей статье, если дозрею.
Кстати, буду весьма благодарен, если кто-то поможет с примерами vrf для второго варианта.
Ip forward protocol nd что за команда
Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:
3. Контроль доступности данных:
Данная серия также обеспечивает работу с шифрованием, что гарантирует надежность при построении любой сети. Поддержка стандарта 802.1Q позволяет работать с VLAN. За счет этого обеспечивается удобство при обращении с большим количеством устройств.
Мультисервисная архитектура устройства поможет при создании удаленных филиалов и комфортной работы с ними.
В данной статье будут рассмотрены только ключевые моменты по настройке данного устройства. В частности, будет приведена настройка NAT, VPN, VLAN и DHCP. Эти механизмы позволят создать среднюю по размерам сеть со всеми необходимыми функциями: шифрование, разделение трафика, автоматическая настройка устройств и т.п. Итак, приступим.
Настройка VPN
Теперь стоит немного усложнить задачу пользователю Cisco 1841 и предложить ему настройку VPN.
VPN представляет собой виртуальную частную сеть, которая позволяет образовать некий туннель для передачи данных без доступа к ним третьим лицам. Такая сеть может стать корпоративной, к ней можно подключаться в любом месте без привязки к физическому интерфейсу. Дополнительно гарантируется защита данных, передающихся по данной сети.
Итак, для настройки VPN-сервера на маршрутизаторе Cisco необходимо выполнить следующие команды. Настраивать будем VPN на основе PPTP:
Для начала создаем пул адресов, которые будут выдаваться пользователям, подключающимся по VPN (похожая картина была при настройке DHCP):
Включаем сервис VPN-сервера:
Далее настраиваем VPDN-группу. Здесь мы должны разрешить маршрутизатору отвечать на входящие запросы PPTP, и указать специально созданный виртуальный шаблон (virtual template), необходимый для клонирования интерфейса и использования его в качестве основного шлюза для подключающихся клиентов:
Переходим к последнему этапу настройки: необходимо создать виртуальный шаблон, который позволит клонировать интерфейс, а так же укажет, какие параметры для подключения необходимо использовать:
Осталось создать локальную базу данных пользователей, которые могли бы подключаться к нашему серверу, используя внешний IP-адрес в качестве адреса сервера, и логины и пароли из локальной базы на Cisco-маршрутизаторе.
Команда выглядит следующим образом:
При использовании SECRET возникают проблемы с работой всех видов аутентификации, кроме PAP. Поэтому, если используется PAP, можно ставить секретный пароль. Но если используются другие виды аутентификации, то необходимо выбирать пункт PASSWORD.
Настройка DHCP
Схема получения параметров проста: устройство обращается для начала к DHCP серверу, а он в свою очередь передает устройству необходимые параметры. Сервер может также и отказать устройству при условии, что тот не входит в заданный администратор диапазон, к примеру.
Настройка выглядит еще проще:
1. Необходимо исключить те устройства, которым адреса выдаются в ручном режиме. К ним относятся серверы, маршрутизаторы и т.п.
ip dhcp excluded-address 10.10.10.245 10.10.10.254
ip dhcp excluded-address 10.10.10.1 10.10.10.10
ip dhcp ping packets 4
2. Необходимо создать пул адресов, выдаваемых устройствам
Все, теперь часть работы будет выполнять маршрутизатор. Довольно удобно, когда в сети много устройств. Здесь задача администратора только в том, чтобы правильно рассчитать диапазон адресов в расчете на количество устройств.
Понимание конфигурации
Эта конфигурация была показана в моей конфигурации show run в маршрутизаторе Cisco серии 2900.
1 ответ
Ни одна из этих команд не должна влиять на ваши сети.
Команда ip forward-protocol nd просто означает, что маршрутизатор будет пересылать ND-пакеты для бездисковых рабочих станций. Это довольно устарело.
Настройка VLAN
Небольшая помарка: у роутеров нет VLAN-ов, их роль выполняют sub-интерфейсы.
Настройка выглядит следующим образом:
int fa 0/0.2 // Sub-интерфейс для VLAN 2
encapsulation dot1Q 2
ip address 192.168.1.251 255.255.255.0
no shutdown
exit
do wr mem
Также происходит настройка и для других VLAN-ов.
Немного дополню первую часть, т.к. у нас все-таки маршрутизатор, то рассмотрим еще некоторые возможности. Начнем пожалуй со списков доступа.
Итак, что такое список доступа? Образно выражаясь, это набор правил по которым маршрутизатор отбирает маршрут или пакет.
Стандартные списки доступа.
Пример запрещает доступ для сетей 10.10.10.0 и 10.10.20.0 и разрешает для всех остальных.
Будьте внимательней, при составлении правил маршрутизатор обрабатывает правила последовательно и если поставить строку access-list permit any первый, то остальные два отрабатывать не будут.
То бишь мы запрещаем исходящий трафик на интерфейсе FastEthernet0/1 для вышеперечисленных сетей.
Списки доступа также можно применять для доступа по ssh (см. первую часть)-
Расширенные списки доступа:
3. Заключение
Для правильной работы данного примера важно учесть следующий момент: маршрутизатор R3 получает пакеты от R1 с адресом источника 192.168.1.1, поэтому на R3 сеть 192.168.1.0 должна быть в таблице маршрутизации, я настроил EIGRP между маршрутизаторами для решения этой проблемы. Смотрим таблицу:
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 2 subnets
C 10.1.2.0 is directly connected, FastEthernet0/0
C 10.1.1.0 is directly connected, FastEthernet0/1
D 192.168.1.0/24 [90/307200] via 10.1.1.1, 00:00:16, FastEthernet0/1
D 192.168.2.0/24 [90/307200] via 10.1.2.1, 00:02:17, FastEthernet0/0
Сброс пароля и базовая настройка Cisco 1941
Итак, допустим, ты представитель местечкового провайдера, уже знающий, как настроить какой-нибудь ASUS, но волею судьбы ещё не получивший сертификат CCNA. Рядом с тобой стоит местный админ, тоже без сертификата, глазами молящий ничего не «сбрасывать в ноль», ибо «всё работает, я просто не знаю пароль, только вы никому не говорите».
Подобные ситуации не редкость в наше ковидном мире, когда отделы со своей инфраструктурой тасуюся ежеквартально, директора направлений таинственно исчезают, а очередной управленец, дабы продемонстрировать собственную эффективность, ссорится с единственным цискарём в округе и заключает договора обслуживания при помощи сайта объявлений.
Проведём же вместе сеанс чёрной айтишной магии с последующим её разоблачением. А именно : сбросим пароль, настроим интерфейсы (локальный и внешний), соединим эти сети маршрутами и трансляцией адресов и прикроем(нет) фаерволом. Кирпич с фирменным шильдиком волшебным образом превратится в полезное сетевое устройство.
Устройство и нужные нам интерфейсы
Вот она, наша девочка. Как опытные ребята, подходим с правильной стороны:
Кабель «специальный» Cisco. Распайки есть везде.
По нынешним временам COM-порт есть далеко не в каждом ноуте, поэтому придётся к этому шнурку брать стандартный COM-USB переходник. Но можно присмотреться и увидеть, что рядом со «старым» консольным портом есть mini-usb порт с тем же назначением. Переходник в данном случае встроен в циску, и, да, на него нужны драйвера. Устанавливаем их, ребутимся и подключаемся снова. После подключения Cisco через кабель miniusb в списке оборудования в разделе Порты (COM и LPT) появился Cisco Serial (COM14) (не обязательно именно 14, ну что поделать). Для дальнейшей работы рекомендую терминальную программку Putty, ибо в ней есть всё, что необходимо, и она проста, как полено. На сегодня нам от неё нужно будет подключение по интерфейсу Serial (Com14) и впоследствии Telnet (TCP23).
Сбрасываем пароли
Выключаем, и не разрывая консольный сеанс, Включаем Cisco 1941 и нажимаем клавишу Break (она же клавиша Pause) или комбинацию Ctrl+Break на клавиатуре (если в ноуте этого нет, в Putty по правой кнопке мыши можно вызвать special command – break). Полная таблица с сигналами прерывания для разных терминалов находится здесь.
Видим приглашение в режим rommon (ROM monitor) :
Вводим команду изменения конфигурации регистра командой confreg и после перезапускаем роутер командой reset
rommon 1 > confreg 0x2142
Повышаем привилегии командой enable или просто en И пароль она тут не просит 🙂
Копируем «запароленный» конфиг в память роутера:
После этого применится старый конфиг, который был запаролен, но при этом мы уже находимся в привилегированном режиме, откуда можем выставить новые пароли для привилегированного режима, telnet и консоли.
Главное, в конце не забыть вернуть значения регистров по умолчанию. Если этого не сделать, то наш новый конфиг снова будет проигнорирован после перезагрузки роутера.
Копируем загруженный конфиг в стартовый и перезагружаемся:
Роутер теперь с новым паролем для консоли, телнета и привилегированного режима. Ура. Можно отдать циску просиявшему админу вместе с настройками «нового интернета» (мы же от провайдера приехали, помните?). Если во взгляде местного системного администратора затаились нерешительность и страх, то поможем бедолаге.
Настройка интерфейсов
Чтоб два раза не приезжать, пробежимся по всем нужным настройкам «чтоб взлетело». У циски два «жёлтых» интерфейса: GigabitEthernet0/0 и GigabitEthernet0/1. Обычно они должны смотреть в сторону WAN и LAN соответственно, да будет так.
Адресация в WAN, допустим 100.200.100.202/30 со шлюзом провайдера 100.200.100.201
Адресация в LAN, как водится, 192.168.1.1/24 с локальным интерфейсом циски 192.168.1.1
Всё делаем из под рута:
Настраиваем локальный интерфейс:
Всё, после этой настройки можно подключаться телнетом из локалки при желании (удобно для проверок)
Настраиваем внешний интерфейс:
Тут от самой циски должен начать пинговаться 8.8.8.8
В итоге мы настроили на циске две сети, в которых она будет жить и трудиться. Далее надо будет их соединить.
Его величество межсетевой экран
Собственно, его величество фаер. В ипостасях NAT и списков доступа (ACL)
Собираем локальную область для маскарадинга (да, я знаю, что это термин для iptables, но суть та же):
Назначаем стороны маскарадинга (интерфейсы):
Cамое важное: включаем собственно правило (одной строкой):
Закрываемся от атаки по TCPSYN:
Пишем список (особое внимание – протоколу icmp)
Вешаем список на вход во внешний интерфейс:
Так то список только базовую «защиту» обеспечивает, но это головная боль админа уже. После поднятия всех сервисов и их проверки, можно написать построже и применить.
У нас пингуется всё изнутри и циска снаружи. Интернет работает, почта ходит. Все счастливы, танцуют, обнимаются, деньги в карманы засовывают. Твой социальный рейтинг растёт на глазах.
P.S. Полезные команды
Собственно, включение чего-либо, например, интерфейса выглядит вот так:
Выведем на почитать/скопировать весь конфиг:
Можно посмотреть возможности команды show:
Просмотр сводной информации по интерфейсам:
Просмотр информации по интерфейсам L2:
Просмотр адресов, выданных по DHCP:
Удаление строк конфига:
Например, удалим шлюз по умолчанию:
Удаляем ВЕСЬ список доступа:
Удаление статического маршрута:
Что-ж для первого визита вполне достаточно. При помощи этой нехитрой магии ты заведёшь себе много друзей, юный падаван 🙂 И не забудь предупредить местного админа о том, что если он как следует не настроит ACL, их сетку могут в скором времени ждать крупные неприятности. Но это уже совсем другая история.
У нас быстрые серверы для любых экспериментов.
Зарегистрируйтесь по ссылке выше или кликнув на баннер и получите 10% скидку на первый месяц аренды сервера любой конфигурации!
Особенности работы и настройки DHCP на маршрутизаторах Cisco (Часть 2)
В качестве примера возьмем следующую схему:
На маршрутизаторе R3 расположен DHCP-сервер, который централизованно выдает адреса в сети LAN_1 и LAN_2. Маршрутизаторы R1 и R2 в данной схеме являются DHCP-Relay агентами
Сконфигурируем на R3 два пула адресов для каждой локальной сети:
!в режиме глобальной конфигурации определим адреса, которые будут исключены из пула (это адреса интерфейсов R1 и R2
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.2.1
!создадим пул адресов с именем LAN_1
ip dhcp pool LAN1
network 192.168.1.0 255.255.255.0
ip default-router 192.168.1.1
!создадим пул адресов с именем LAN_2
ip dhcp pool LAN2
network 192.168.2.0 255.255.255.0
ip default-router 192.168.2.1
Естественно, при необходимости можно добавить в пул дополнительные опции.
Следующий этап — конфигурация агентов DHCP-Relay на маршрутизаторах R1 и R2. Суть DHCP-Relay заключается в пересылке широковещательного пакета от клиента одноадресатным пакетом DHCP-серверу.
Конфигурация агентов выполняется следующей командой:
!выбираем интерфейс, на который будет приходить широковещательный запрос от клиентов, в данном случае это интерфейс f0/0 маршрутизатора, который подключен к сегменту сети
interface fa0/0
ip helper-address 10.1.1.2
no ip forward-protocol udp 37
no ip forward-protocol udp 53
2. Как это работает?
Клиент шлет стандартный DISCOVERY:
который пересылается Relay-агентом в направлении DHCP-сервера (измененные поля отмечены красным):
Предложение OFFER от R3 к R1 выглядит следующим образом:
R1 пересылает его клиенту меняя только адреса источника на 192.168.1.1 и получателя на 192.168.1.2 (ссылка на скриншот)
Настройка NAT.
Вроде бы все хорошо. Внутри есть и локальная, и виртуальная сеть, устройства все под адресами, да еще и в защищенном туннеле. Но при попытке выйти на какой-то либо сайт роутер выдает ошибку.
И действительно, представьте, сколько таких локальных сетей вообще существует. И адреса во многих могут совпадать.
Для этого есть механизм NAT. Он транслирует внутренний адрес устройства во внешний, соответственно, устройство может выйти в сеть уж под внешним адресом, а потом еще и получить данные. Только уже на свой личный адрес. Удобно, правда? Стоит разобраться детальнее.
1. Задаем шлюз по умолчанию
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 125.12.232.15
ip route 192.168.1.0 255.255.255.0 125.12.232.15
2. Включаем скоростную передачу от Cisco для IPv4
ip cef
. и отключаем для IPv6
no ipv6 cef
3. Настраиваем непосредственно NAT
на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
на локальном интерфейсе (который привязан к VLAN)
interface Vlan1
ip nat inside
создаем список IP-адресов, которые имеют доступ к NAT
ip access-list extended NAT
permit ip host 10.10.10.10 any
включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
Перед тем, как выполнить эти действия, необходимо также проверить доступность интерфейсов (портов).
