Настройка маршрутизатора с помощью SDM.
В этой статье приводятся инструкции по базовой настройке маршрутизатора с помощью Cisco Security Device Manager (SDM). Сюда входит настройка IP-адреса, маршрутизации по умолчанию, статической и динамической маршрутизации, статического и динамического преобразования сетевых адресов (NAT), имени хоста, баннера, секретного пароля, учетных записей пользователя и т. п. Cisco SDM позволяет настраивать маршрутизаторы во всех типах сетевых сред, в том числе "малый офис, домашний офис", внутренний офис, региональный офис и центральный узел или штаб-квартира корпорации, с помощью простого в использовании управляющего веб-интерфейса.
Используемые компоненты
Сведения, представленные в этом документе, относятся к следующим версиям программного и аппаратного обеспечения.
- Маршрутизатор Cisco 3640 с программным обеспечением Cisco IOS® версии 12.4(8)
- ПО Cisco Security Device Manager (SDM) версии 2.3.1.
Настройка
В этом разделе представлены сведения о настройке базовых параметров маршрутизатора в сети.
Схема сети
Использована следующая конфигурация сети:
Конфигурация интерфейсов с помощью SDM
Чтобы настроить интерфейсы маршрутизатора Cisco, выполните следующие действия.
1. Выберите Home, чтобы открыть главную страницу SDM.
На главной странице SDM отображаются сведения о программном и аппаратном обеспечении маршрутизатора, доступности функций, а также сводные данные о конфигурации и другая сведения. Зеленые круги обозначают функции, которые поддерживаются в маршрутизаторе, красные круги обозначают неподдерживаемые функции.
2. Выберите Configure > Interfaces and Connections > Create Connection, чтобы настроить соединение с глобальной сетью (WAN) для интерфейса.
Например, для последовательного интерфейса 2/0 выберите параметр Serial и нажмите Create New Connection.
Примечание: Для интерфейсов других типов, таких как Ethernet, выберите соответствующий тип и продолжите настройку, нажав кнопку Create New Connection.
3. Нажмите Next, чтобы продолжить настройку после появления нужного интерфейса.
4. Выберите Serial interface 2/0 (нужный) в списке "Available Interfaces" и нажмите Next.
5. Выберите тип инкапсуляции последовательного интерфейса и нажмите Next.
6. Укажите статический IP-адрес интерфейса с соответствующей маской подсети нажмите Next.
7. Настройте параметры маршрутизации по умолчанию и дополнительные параметры, такие как IP-адрес следующего перехода (192.168.1.2, в соответствии со схемой сети), предоставленные поставщиком услуг Интернета (ISP) и нажмите Next.
Откроется окно со сводной информацией об изменениях, которые пользователь внес в конфигурацию. Нажмите кнопку Finish.
Появится следующее окно, отображающее состояние доставки команды в маршрутизатор. Кроме того, оно отображает ошибки, если доставка команды не удалась, из-за несовместимых команд или неподдерживаемых функций.
8. Выберите Configure > Interfaces and Connections > Edit Interfaces/Connections, чтобы добавить, изменить или удалить интерфейсы.
Выделите интерфейс, в который необходимо внести изменения и нажмите Edit, чтобы изменить или отредактировать конфигурацию интерфейса. Здесь можно изменить статические IP-адреса.
Конфигурация преобразования сетевых адресов (NAT)
Конфигурация динамического преобразования сетевых адресов (NAT)
Чтобы настроить динамическое преобразование сетевых адресов (NAT) в маршрутизаторе Cisco, выполните следующие действия.
1. Выберите Configure > NAT > Basic NAT и нажмите Launch the selected task, чтобы настроить базовое преобразование сетевых адресов.
2. Нажмите Next.
3. Выберите интерфейс, который подключается к Интернету, или поставщика услуг Интернета и задайте диапазон IP-адресов, которые смогут использовать доступ в Интернет.
4. Откроется окно со сводной информацией об изменениях, которые пользователь внес в конфигурацию. Нажмите кнопку Finish.
5. В окне "Edit NAT Configuration" отображается готовая конфигурация динамического преобразования сетевых адресов (NAT) с перегруженными преобразованными IP-адресами (PAT). Чтобы настроить динамическое преобразование сетевых адресов (NAT) для пула адресов, выберите Address Pool.
6. Нажмите Add.
На экран будут выведены сведения, такие как имя пула и диапазон IP-адресов с маской сети. Бывают ситуации, когда большая часть адресов пула назначена и в нем практически не остается IP-адресов. В этом случае для отдельного адреса можно использовать преобразование адресов портов (PAT). Оно позволяет удовлетворять дополнительные запросы выделение IP-адресов. Установите флажок Port Address Translation (PAT), если вы хотите, чтобы маршрутизатор использовал функцию PAT, когда в пуле заканчиваются IP-адреса.
7. Нажмите Add.
8. Нажмите Edit.
9. Выберите Address Pool в поле "Type", введите имя пула адресов (pool1) и нажмите OK.
10. В открывшемся окне будет отображаться конфигурация динамического преобразования адресов (NAT) для пула адресов. Нажмите кнопку Designate NAT Interfaces.
С помощью этого окна назначьте внутренние и внешние интерфейсы, которые вы хотите использовать для преобразования NAT. NAT использует внешние и внутренние назначения во время интерпретации правил преобразования, поскольку преобразование может выполняться как из внутренней сети во внешнюю, так и из внешней во внутреннюю.После назначения эти интерфейсы используются во всех правилах преобразования NAT. Назначенные интерфейсы отображаются над списком правил преобразования (Translation Rules) в главном окне NAT.
Конфигурация статического преобразования сетевых адресов (NAT)
Для настройки статического преобразования адресов на маршрутизаторе Cisco, выполните следующие действия.
1. Выберите Configure > NAT > Edit NAT Configuration и нажмите кнопку Add, чтобы настроить статическое преобразование адресов (NAT).
2. Выберите направление (Direction) — из внутренней сети во внешнюю (from inside to outside) или из внешней сети во внутреннюю (from outside to inside), укажите внутренний IP-адрес, для которого необходимо выполнить преобразование, в поле Translate from Interface. В области Translate to Interface выберите тип (Type).
- Выберите IP Address, если необходимо использовать преобразование для IP-адреса, введенного в поле "IP Address".
- Выберите Interface, если необходимо, чтобы функция Translate from Address использовала интерфейс маршрутизатора. Адрес, указанный в окне Translate from Address, преобразуется в IP-адрес, который назначен интерфейсу, указанному в поле "Interface".
Установите флажок Redirect Port, если необходимо включить в преобразование данные о порте внутреннего устройства. Это позволяет использовать один публичный IP-адрес для нескольких устройств. При этом номера портов, назначенные устройствам, должны быть разными. Для этого адреса преобразования необходимо создать по одной записи на каждое сопоставление порта. Выберите TCP, если используется TCP-порт или UDP для UDP-порта. В поле "Original Port" введите номер порта внутреннего устройства. В поле "Translated Port" введите номер порта, который маршрутизатор должен использовать для этого преобразования.
В этом окне отображается конфигурация статического преобразования сетевых адресов (NAT) с включенным перенаправлением портов.
Конфигурация маршрутизации
Настройка маршрутизации
Чтобы настроить статическую маршрутизацию в маршрутизаторе Cisco, выполните следующие действия.
1. Выберите Configure > Routing > Static Routing и нажмите кнопку Add, чтобы настроить статическую маршрутизацию.
2. Введите адрес сети назначения (Destination Network address) с маской и выберите исходящий интерфейс или IP-адрес следующего перехода.
В этом окне отображается статический маршрут, настроенный для сети 10.1.1.0, IP-адрес следующего перехода — 192.168.1.2.
Конфигурация динамической маршрутизации
Чтобы настроить динамическую маршрутизацию в маршрутизаторе Cisco, выполните следующие действия.
1. Выберите Configure > Routing > Dynamic Routing.
2. Выберите RIP, а затем щелкните Edit.
3. Установите флажок Enable RIP, выберите версию RIP и нажмите кнопку Add.
4. Укажите сетевой адрес для объявления.
5. Нажмите OK.
6. Нажмите Deliver, чтобы передать команды маршрутизатору.
В этом окне отображается конфигурация динамической маршрутизации RIP.
Другие параметры
Для настройки других базовых параметров маршрутизатора Cisco выполните следующие действия.
1. Выберите Configure > Additional Tasks > Router Properties и нажмите Edit, чтобы изменить свойства Hostname (имя хоста), Domain Name (имя домена), Banner (баннер) и Enable Secret Password (включить секретный пароль) для маршрутизатора.
2. Выберите Configure > Additional Tasks > Router Access > User Accounts/View, чтобы добавить, удалить или изменить учетные записи пользователей маршрутизатора.
3. Выберите File > Save Running Config to PC..., чтобы сохранить текущую конфигурацию в энергонезависимую память (NVRAM) маршрутизатора или на ПК, а также чтобы сбросить текущую конфигурацию к заводским параметрам по умолчанию.
4. На панели задач выберите Edit > Preferences, чтобы включить следующие пользовательские настройки.
- Предварительный просмотр команд перед их доставкой в маршрутизатор.
- Сохранение подписи на Flash-диск.
- Запрос подтверждения перед выходом из SDM.
- Продолжение мониторинга состояния интерфейса при переключении режима или задачи.
5. Выберите View на панели задач, чтобы:
- открыть страницы "Home", "Configure" или "Monitor".
- отобразить рабочую конфигурацию маршрутизатора.
- отобразить различные команды show.
- отобразить правила SDM по умолчанию.
- Выберите Refresh, чтобы синхронизировать конфигурацию маршрутизатора, отображаемую в SDM, с изменениями, сделанными из интерфейса командной строки (CLI).
Конфигурация CLI
Конфигурация маршрутизатора
Router#show run
Building configuration...
Building configuration...
Current configuration : 2525 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable password cisco
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable password cisco
!
no aaa new-model
!
resource policy
!
!
!
ip cef
!
!
!
!--- Сертификат RSA, созданный после ввода команды
!--- ip http secure-server.
!--- ip http secure-server.
crypto pki trustpoint TP-self-signed-392370502
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-392370502
revocation-check none
rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657
69666963 6174652D 33393233 37303530 32301E17 0D303530 39323330 34333
375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 13254
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333
35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818
C86C0F42 84656325 70922027 EF314C2F 17C8BBE1 B478AFA3 FE2BC2F2 3C272
A3B5E13A 1392A158 73D8FE0D 20BFD952 6B22890C 38776830 241BE259 EE2AA
CF4124EA 37E41B46 A2076586 2F0F9A74 FDB72B3B 6159EEF7 0DEC7D44 BE489
9E351BF7 F5C808D9 2706C8B7 F5CE4B73 39ED8A61 508F455A 68245A6B D072F
02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 06035
11040A30 08820652 6F757465 72301F06 03551D23 04183016 80148943 F2369
ACD8CCA6 CA04EC47 C68B8179 E205301D 0603551D 0E041604 148943F2 36910
D8CCA6CA 04EC47C6 8B8179E2 05300D06 092A8648 86F70D01 01040500 03818
3B93B9DC 7DA78DF5 6D1D0D68 6CE075F3 FFDAD0FB 9C58E269 FE360329 2CEE3
D8661EB4 041DEFEF E14AA79D F33661FC 2E667519 E185D586 13FBD678 F52E1
E3C92ACD 52741FA4 4429D0B7 EB3DF979 0EB9D563 51C950E0 11504B41 4AE79
0DD0BE16 856B688C B727B3DB 30A9A91E 10236FA7 63BAEACB 5F7E8602 0C33D
quit
!
!
!
!
!
!
!
!
!
!
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-392370502
revocation-check none
rsakeypair TP-self-signed-392370502
!
!
crypto pki certificate chain TP-self-signed-392370502
certificate self-signed 01
3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657
69666963 6174652D 33393233 37303530 32301E17 0D303530 39323330 34333
375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 13254
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333
35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818
C86C0F42 84656325 70922027 EF314C2F 17C8BBE1 B478AFA3 FE2BC2F2 3C272
A3B5E13A 1392A158 73D8FE0D 20BFD952 6B22890C 38776830 241BE259 EE2AA
CF4124EA 37E41B46 A2076586 2F0F9A74 FDB72B3B 6159EEF7 0DEC7D44 BE489
9E351BF7 F5C808D9 2706C8B7 F5CE4B73 39ED8A61 508F455A 68245A6B D072F
02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 06035
11040A30 08820652 6F757465 72301F06 03551D23 04183016 80148943 F2369
ACD8CCA6 CA04EC47 C68B8179 E205301D 0603551D 0E041604 148943F2 36910
D8CCA6CA 04EC47C6 8B8179E2 05300D06 092A8648 86F70D01 01040500 03818
3B93B9DC 7DA78DF5 6D1D0D68 6CE075F3 FFDAD0FB 9C58E269 FE360329 2CEE3
D8661EB4 041DEFEF E14AA79D F33661FC 2E667519 E185D586 13FBD678 F52E1
E3C92ACD 52741FA4 4429D0B7 EB3DF979 0EB9D563 51C950E0 11504B41 4AE79
0DD0BE16 856B688C B727B3DB 30A9A91E 10236FA7 63BAEACB 5F7E8602 0C33D
quit
!
!
!
!
!
!
!
!
!
!
!--- Создание учетной записи с именем sdmsdm и всеми привилегиями.
username sdmsdm privilege 15 password 0 sdmsdm
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
!
!
!
!
!
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
!--- Интерфейс локальной сети, настроенный с закрытым IP-адресом.
interface FastEthernet1/0
ip address 172.16.1.2 255.255.255.0
interface FastEthernet1/0
ip address 172.16.1.2 255.255.255.0
!--- Назначение преобразования сетевых адресов (NAT) для трафика,
!--- который поступает от указанного интерфейса.
!--- который поступает от указанного интерфейса.
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip virtual-reassembly
duplex auto
speed auto
!
!--- Это интерфейс WAN, настроенный с маршрутизируемым (публичным) IP-адресом.
interface Serial2/0
ip address 192.168.1.1 255.255.255.0
ip address 192.168.1.1 255.255.255.0
!--- Настройка интерфейса в качестве
!--- места назначения для трафика, прошедшего через NAT.
!--- места назначения для трафика, прошедшего через NAT.
ip nat outside
ip virtual-reassembly
!
interface Serial2/1
no ip address
shutdown
! interface Serial2/2
no ip address
shutdown
!
interface Serial2/3
no ip address
shutdown
!
ip virtual-reassembly
!
interface Serial2/1
no ip address
shutdown
! interface Serial2/2
no ip address
shutdown
!
interface Serial2/3
no ip address
shutdown
!
!--- Включена маршрутизация RIP версии 2.
router rip
version 2
network 172.1.0.0
no auto-summary
version 2
network 172.1.0.0
no auto-summary
!--- Здесь настраиваются команды, которые включают протоколы HTTP и HTTPS.
ip http server
ip http secure-server
!
ip http secure-server
!
!--- Это конфигурация динамического преобразования сетевых адресов (NAT).
!
!--- Определение пула внешних IP-адресов для преобразования сетевых адресов.
ip nat pool pool1 192.168.1.3 192.168.1.10 netmask 255.255.255.0
!--- Чтобы включить NAT для внутреннего адреса источника,
!--- укажите, что трафик от узлов, которые соответствуют списку доступа 1,
!--- преобразуются в пул адресов с именем "pool1".
!--- укажите, что трафик от узлов, которые соответствуют списку доступа 1,
!--- преобразуются в пул адресов с именем "pool1".
ip nat inside source list 1 pool pool1
!
!
!--- Список доступа 1 разрешает преобразование сетевых адресов только для сети 172.16.1.0.
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 172.16.1.0 0.0.0.255
!
access-list 1 permit 172.16.1.0 0.0.0.255
!
!--- Это конфигурация статического преобразования сетевых адресов (NAT).
!--- Для преобразования пакетов между фактическим IP-адресом 172.16.1.1 с TCP-портом
!--- 80 и сопоставленным IP-адресом 192.168.1.1 с TCP-портом 500.
!--- 80 и сопоставленным IP-адресом 192.168.1.1 с TCP-портом 500.
ip nat inside source static tcp 172.16.1.1 80 192.168.1.3 500 extendable
!
!
!
!
!
!
!
!--- Маршрут по умолчанию настроен и направлен по адресу 192.168.1.2.
ip route 0.0.0.0 0.0.0.0 192.168.1.2
!
!
!
!
!--- Статический маршрут настроен и направлен по адресу 192.168.1.2.
ip route 10.1.1.0 255.255.255.0 192.168.1.2
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
!--- Протокол Telnet включен с паролем sdmsdm.
line vty 0 4
password sdmsdm
login
!
!
end
password sdmsdm
login
!
!
end
Проверка
Выберите Configure > Interface & Connections > Edit Interface Connections > Test Connection, чтобы проверить подключение для всех компонентов тракта. Можно указать IP-адрес удаленной стороны, щелкнув переключатель User-specified.
Устранение неполадок
Для устранения неполадок используются следующие параметры:
• Выберите Tools > Update SDM на панели инструментов, чтобы отправить эхо-запрос, создать Telnet-подключение и обновить SDM до последней версии. Это можно сделать с веб-узла Cisco.com, с локального компьютера или с компакт-диска.
• Выберите Help > About this Router для отображения информации об аппаратной конфигурации маршрутизатора.
В этом окне отображается информация об образе IOS маршрутизатора.
Параметр Help предоставляет сведения о различных параметрах конфигурации, доступных в SDM.
Источник: blogsvazista.ru/nastroika-s-pomoshyu-sdm/
Комментариев нет:
Отправить комментарий