Настройка защищенного NTP сервера на маршрутизаторе Cisco

Рано или поздно, практически в любой сети, возникает вопрос о том, что некоторые серверы или сервисы работают, как то, не точно - как будто по своим часам. Для того чтобы все устройства в Вашей сети работали одинаково - секунда в секунду необходимы 2 вещи: 1 - NTP клиент, 2 - NTP сервер. В данной заметке речь пойдет о втором. В случае если у Вас есть хотя бы одно устройство Cisco, смотрящее в интернет, возможно сделать так чтобы оно синхронизировало свое время с внешних источников и давало возможность синхронизировать время внутренним устройствам уже при помощи своего NTP сервера. На мой взгляд довольно безопасная модель. Сам процесс настройки можно прочитать на странице вики.

Переход на летнее и зимнее время в маршрутизаторах Cisco

Для того чтобы заставить маршрутизатор Cisco автоматически переходить на зимнее и летнее время, необходимо, в режиме глобального конфигурирования, выполнить следующую команду:


router(config)# clock summer-time UA recurring last Sun Mar 1:00 last Sun Oct 1:00

Этой командой мы говорим маршрутизатору, что для временной зоны UA, переход на летнее время происходит в час ночи последнего воскресенья марта, а на зимнее - в час ночи последнего воскресенья октября

Linksys WRT54G2

Посчастливилось заиметь данный девайс. Впечатление - позитивное. Настройки просты и, самое главное, понятны... Чего нельзя сказать о многих устройствах великой и ужасной Cisco и ее подразделений... Итог: Отличное решение для дома. Относительно недорого и со вкусом...

Настройка SSH в Cisco

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable
2. cisco# clock set 17:10:00 28 Aug 2009
3. cisco# configure terminal
4. cisco(config)# ip domain name test.dom
5. cisco(config)# crypto key generate rsa
6. cisco(config)# service password-encryption
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
8. cisco(config)# aaa new-model
9. cisco(config)# line vty 0 4
10. cisco(config-line)# transport input ssh
11. cisco(config-line)# logging synchronous
12. cisco(config-line)# exec-timeout 60 0
13. cisco(config-line)# exit
14. cisco(config)# exit
15. cisco# copy running-config startup-config

Пояснение:

1. Входим в привилегированный режим
2. Устанавливаем точное время для генерации ключа
3. Входим в режим конфигурирования
4. Указываем имя домена (необходимо для генерации ключа)
5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
6. Активируем шифрование паролей в конфигурационном файле
7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
9. Входим в режим конфигурирования терминальных линий с 0 по 4
10. Указываем средой доступа через сеть по умолчанию SSH
11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. Выходим из режима конфигурирования терминальных линий
14. Выходим из режима конфигурирования
15. Сохраняем конфигурационный файл в энергонезависимую память

Настройка OSPF между маршрутизаторами Cisco

Задача:

Настроить динамическое обновление маршрутов между двумя маршрутизаторами при помощи OSPF на базе маршрутизаторов Cisco. Маршрутизатор №1 при OSPF анонсирует маршрутизатору №2 маршрут по умолчанию (0.0.0.0/0) и принимает по OSPF от маршрутизатора №2 все маршруты из сети 192.168.0.0/24. Маршрутизатор №2 соответственно наоборот.

Дано:

Маршрутизатор №1

Интерфейс в внешнюю сеть (FastEthernet0/0) - 10.10.10.2/32
Интерфейс к маршрутизатору №2 (FastEthernet0/1) - 192.168.0.1/32

Маршрутизатор №2

Интерфейсы к внутренним ресурсам (FastEthernet0/0) - 192.168.0.4/29
Интерфейс к маршрутизатору №1 (FastEthernet0/1) - 192.168.0.2/32

Решение:

1. На маршрутизаторе №1 проводим следующие настройки:

1. router#configure terminal
2. router(config)#interface FastEthernet0/0
3. router(config-if)#no shutdown
4. router(config-if)#description --==EXTERNAL==--
5. router(config-if)#ip address 10.10.10.2 255.255.255.252
6. router(config-if)#exit
7. router(config)#interface FastEthernet0/1
8. router(config-if)#no shutdown
9. router(config-if)#description --==TO ROUTER 2==--
10. router(config-if)#ip address 192.168.0.1 255.255.255.252
11. router(config-if)#ip ospf message-digest-key 1 md5 Pa$$w0rd
12. router(config-if)#ip ospf network point-to-point
13. router(config-if)#exit
14. router(config)#ip routing
15. router(config)#ip cef
16. router(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/0
17. router(config)#router ospf 1
18. router(config-router)#router-id 192.168.0.1
19. router(config-router)#log-adjacency-changes detail
20. router(config-router)#passive-interface default
21. router(config-router)#no passive-interface FastEthernet0/1
22. router(config-router)#network 192.168.0.0 0.0.0.3 area 0.0.0.0
23. router(config-router)#default-information originate always
24. router(config-router)#exit
25. router(config)#exit
26. router#copy running-config startup-config

где:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования интерфейса в внешнюю сеть
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Выходим из режима конфигурирования интерфейса в внешнюю сеть
7. Входим режим конфигурирования интерфейса к маршрутизатору №2
8. Включаем интерфейс
9. Назначаем описание интерфейса
10. Назначаем IP адрес и маску подсети
11. Назначаем ключ аутентификации OSPF на данном интерфейсе (Ключи на обоих сторонах должны быть одинаковы)
12. Так как планируется построение OSPF только между 2 маршрутизаторами, явно указываем среду передачи
13. Выходим из режима конфигурирования внешнего интерфейса
14. Включаем маршрутизацию между интерфейсами
15. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
16. Устанавливаем маршрут по умолчанию. (Без него не будет работать)
17. Входим в режим конфигурирования протокола OSPF с номером 1
18. Назначаем идентификатор маршрутизатора
19. Включаем журналирование протокола и выставляем его уровень
20. Включаем принудительное подавление OSPF обновлений на всех интерфейсах
21. Разрешаем обмен OSPF обновлениями через интерфейс FastEthernet0/1
22. Анонсируем по OSPF сеть 192.168.0.0/32 в области 0 (BACKBONE) (Будут проаносированы все подсети попадающие под маску /32)
23. Включаем постоянную генерацию маршрута по умолчанию
24. Выходим из режима конфигурирования протокола OSPF
25. Выходим из режима конфигурирования маршрутизатора
26. Сохраняем конфигурацию в энергонезависимую память

2. На маршрутизаторе №2 проводим следующие настройки:

1. router#configure terminal
2. router(config)#interface FastEthernet0/0
3. router(config-if)#no shutdown
4. router(config-if)#description --==CLIENTS==--
5. router(config-if)#ip address 192.168.0.4 255.255.255.252
6. router(config-if)#exit
7. router(config)#interface FastEthernet0/1
8. router(config-if)#no shutdown
9. router(config-if)#description --==TO ROUTER 1==--
10. router(config-if)#ip address 192.168.0.2 255.255.255.252
11. router(config-if)#ip ospf message-digest-key 1 md5 Pa$$w0rd
12. router(config-if)#ip ospf network point-to-point
13. router(config-if)#exit
14. router(config)#ip routing
15. router(config)#ip cef
16. router(config)#router ospf 1
17. router(config-router)#router-id 192.168.0.2
18. router(config-router)#log-adjacency-changes detail
19. router(config-router)#passive-interface default
20. router(config-router)#no passive-interface FastEthernet0/1
21. router(config-router)#network 192.168.0.0 0.0.0.255 area 0.0.0.0
22. router(config-router)#exit
23. router(config)#exit
24. router#copy running-config startup-config

где:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования интерфейса к внутренним ресурсам
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Выходим из режима конфигурирования интерфейса к внутренним ресурсам
7. Входим режим конфигурирования интерфейса к маршрутизатору №1
8. Включаем интерфейс
9. Назначаем описание интерфейса
10. Назначаем IP адрес и маску подсети
11. Назначаем ключ аутентификации OSPF на данном интерфейсе (Ключи на обоих сторонах должны быть одинаковы)
12. Так как планируется построение OSPF только между 2 маршрутизаторами, явно указываем среду передачи
13. Выходим из режима конфигурирования внешнего интерфейса
14. Включаем маршрутизацию между интерфейсами
15. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
16. Входим в режим конфигурирования протокола OSPF с номером 1
17. Назначаем идентификатор маршрутизатора
18. Включаем журналирование протокола и выставляем его уровень
19. Включаем принудительное подавление OSPF обновлений на всех интерфейсах
20. Разрешаем обмен OSPF обновлениями через интерфейс FastEthernet0/1
21. Анонсируем по OSPF сеть 192.168.0.0/24 в области 0 (BACKBONE) (Будут проаносированы все подсети попадающие под маску /24)
22. Выходим из режима конфигурирования протокола OSPF
23. Выходим из режима конфигурирования маршрутизатора
24. Сохраняем конфигурацию в энергонезависимую память

Примечание:

Управление процессом OSPF происходит при помощи следующих команд:

1. router#clear ip ospf process
2. router#show ip ospf
3. router#show ip ospf neighbor
4. router#show ip route ospf

Где:

1. Перезапуск OSPF процесса
2. Просмотр информации о состоянии OSPF процесса
3. Просмотр информации о OSPF соседях
4. Просмотр маршрутов полученных по OSPF

Настройка NAT и шейпера на маршрутизаторе Cisco

Задача:

Настроить NAT для локальной сети 192.168.0.0/24 на новом маршрутизаторе и обрезать скорость на даунлоад 10 Мегабит на аплоад 1 Мегабит.

Дано:

Внутренний интерфейс (FastEthernet 0/0) - 192.168.0.1/24
Внешний интерфейс (FastEthernet 0/1) - 10.10.10.2/32

Решение:

1. router#configure terminal
2. router(config)#interface FastEthernet 0/0
3. router(config)#no shutdown
4. router(config-if)#description --==Internal==--
5. router(config-if)#ip address 192.168.0.1 255.255.255.0
6. router(config-if)#ip nat inside
7. router(config-if)#rate-limit input 1024000 192000 384000 conform-action transmit exceed-action drop
8. router(config-if)#rate-limit output 10240000 1920000 3840000 conform-action transmit exceed-action drop
9. router(config-if)#exit
10. router(config)#interface FastEthernet 0/1
11. router(config)#no shutdown
12. router(config-if)#description --==External==--
13. router(config-if)#ip address 10.10.10.2 255.255.255.252
14. router(config-if)#ip nat outside
15. router(config-if)#exit
16. router(config)#ip routing
17. router(config)#ip cef
18. router(config)#ip route 0.0.0.0 0.0.0.0 FastEthernet 0/1
19. router(config)#access-list 10 permit 192.168.0.0 0.0.0.255
20. router(config)#ip nat inside source list 10 interface FastEthernet0/0 overload
21. router(config)#exit
22. router#copy running-config startup-config

Пояснение:

1. Входим в режим конфигурирования маршрутизатора
2. Входим режим конфигурирования внутреннего интерфейса
3. Включаем интерфейс
4. Назначаем описание интерфейса
5. Назначаем IP адрес и маску подсети
6. Указываем, что это внутренний интерфейс для NAT
7. Задаем ограничение скорости на вход интерфейса (Аплоад для клиентов)
8. Задаем ограничение скорости на выход интерфейса (Даунлоад для клиентов)
9. Выходим из режима конфигурирования внешнего интерфейса
10. Входим режим конфигурирования внутреннего интерфейса
11. Включаем интерфейс
12. Назначаем описание интерфейса
13. Назначаем IP адрес и маску подсети
14. Указываем, что это внешний интерфейс для NAT
15. Выходим из режима конфигурирования внешнего интерфейса
16. Включаем маршрутизацию между интерфейсами
17. Включаем режим Cisco Express Forwarding (При включенном режиме уменьшается нагрузка на процессор маршрутизатора)
18. Устанавливаем маршрут по умолчанию. (Без него не будет работать)
19. Создаем список доступа с номер 10, в котором разрешаем подсеть 192.168.0.0 с обратной маской 0.0.0.255
20. Включаем NAT и разрешаем доступ из списка номер 10 через интерфейс FastEthernet 0/0 в режиме трансляции всех внутренних адресов в один внешний
21. Выходим из режима конфигурирования маршрутизатора
22. Сохраняем конфигурацию в энергонезависимую память

Примечания:

1. Для расчета данных по рекомендациям Cisco для ограничения скорости используются 3 числа, которые расчитываются по следующей формуле:

Число 1 = Количество бит в секунду задается пользователем
Число 2 = Число 1 / 8 * 1,5
Число 3 = Число 2 * 2

2. Информацию о работе NAT можно просмотреть командами:

router#show ip nat statistics (Общее состояние)
router#show ip nat translations (Активные NAT трансляции)

Сброс пароля в маршрутизаторах Cisco

Для того чтобы сбросить забытый пароль в маршрутизаторе Cisco, необходимо:

1. При включении питания маршрутизатора в терминальной программе например Putty выполнить комбинацию Ctrl+Break
2. Войти в режим Rommon (Режим восстановления)
3. Набрать команду confreg 0x2142
4. Набрать команду reload
5. После перезагрузки (Маршрутизатор будет загружен со сброшеными параметрами) пропустить инициализационный диалог ответив [NO]
6. Выполнить команду enable
7. Выполнить команду copy runnig-config startup-config
8. Выполнить команду configure terminal
9. Выполнить команду config-register 0x2102
10. Выполнить команду exit
11. Выполнить команду reload

После этих манипуляций маршрутизатор будет восстановлен к заводским установкам.

Cisco

Вот и свершилось. Наконец то я познакомился с маршрутизаторами компании cisco. Было интересно просто жуть... А самое интересное что за один день пришлось познакомится как с программной так и аппаратной частью устройства в связи с тем, что мой самый главный инженер неправильно перепрошил железку и сразу же приговорил ее к сдаче на утилизацию. Я же все таки прыгая с бубном вокруг да около нее умудрился вдохнуть в нее вторую жизнь. Так что могу за сегодня себе поставить 5+ за упорство и волю к победе...