9 A Cisco router konfigurálásának lépései, Windows pro
A Cisco routerrel és az Internetworking operációs rendszerrel (IOS) való együttműködés remek módja annak, hogy kísérletezzenek a hálózati koncepciók és berendezések terén a karrierfejlesztés előnyeivel.
ARUBA INSTANT WI-FI: EGYSZERŰ, KIADHATÓ, ELÉRHETŐ
Cisco router szükséges, amely legalább két Ethernet interfészt tartalmaz. A 806, 836, 851 és 871 modellek otthoni használatra vagy kis irodában kényelmesek, ezért erre tervezték. A 851-es modell az internetes áruházban több száz dollárért vásárolható meg. Azonban a 2610-es modell ugyanolyan hatékony, és talán már telepítve van az irodai berendezések szekrényében, és felkérhető egy darabig.
Szükség van egy Cisco-kábelre is. Az egyik végén egy nyolcpozíciós, nyolcvezetékes moduláris jack csatlakozó az útválasztóhoz; másrészt - soros DB-9 csatlakozó. Az elmúlt években a Cisco felszereléssel ellátott konzolkábeleket kékre festették.
Csatlakoztassa az útválasztót a számítógéphez és indítsa el a terminál emulációs programot
Csatlakoztassa az útválasztót a számítógéphez a konzolkábellel és indítsa el a terminál emulációs programot. A port paraméterei 9600,8, N, 1. Ha nincs tapasztalata az eszköz közvetlen aszinkron soros csatlakozáson keresztül történő csatlakoztatásával kapcsolatban, érdemes segítséget kérni egy olyan szakembertől, aki tapasztalattal rendelkezik a Cisco termékekkel kapcsolatban.
Indítsa el a bekapcsolási parancsot, hogy a kívánt EXEC módra váltson. Ezután írja be a törlés indítás-config parancsot, hogy üres konfigurációt kapjon. Indítsa újra az útválasztót a reload paranccsal. Adja meg a negatív választ az IOS promptra a kezdeti beállítási párbeszédpanel megadásához.
Ezek a lépések felfoghatatlanok lehetnek azok számára, akik korábban csak a termelési környezetben működő Cisco eszközökön dolgoztak. Néhány rendszergazda nagyobb valószínűséggel használja a Telnetet a hardverkonfigurációhoz, vagy még jobb SSH-hoz. Ez az opció nem alkalmas arra, hogy tiszta konfigurációval induljon el, mivel ebben az esetben a Telnet vagy az SSH segítségével történő hozzáférés kezdetben nem lehetséges.
Az útválasztó interfészeinek azonosítása
Nézze meg az útválasztó hátlapját, és határozza meg, mely Ethernet portokat fogja használni. Egy port fog csatlakozni egy olyan eszközhöz, amely hozzáfér a WAN globális hálózathoz, például egy kábelmodemhez; a másik csatlakozni fog a helyi hálózathoz. Ha 851W-os készüléket használ, figyelj a címkére: FastEthernet4 a WAN interfész, a FastEthernet0 és a FastEthernet3 portok LAN interfészek.
Ha az útválasztó interfészén nincs jelölés, beírhatja a parancsot
mutatjuk be az ip felület rövid leírását
az EXEC privilegizált módból, hogy megtudja a neveket.
Most már el is indíthatja a telepítést. Kiválasztott EXEC módból (ha nem aktív, írja be a engedélyező parancsot), indítsa el a terminálkonfigurációs módot a parancs használatával
nincs ip domainkeresés
hogy megakadályozza az IOS megpróbálja átváltani a helytelenül beírt domainneveket. Azok a felhasználók, akik biztosak a bemeneti adatok megalapozhatatlanságában, kihagyhatják ezt a lépést.
Szintén hasznos a parancs beírása
nincs naplózó konzol
így az IOS nem fut ki syslog üzeneteket a konzolhoz, amíg fut. Nagyon zavaróak a billentyűzet adatainak bevitelében.
A kezelőfelület konfigurációs módjának megadásához. Parancs a 851W modellhez:
192.168.100.1-et használok egy C osztályú maszkkal, így a parancs így néz ki:
IP cím 192.168.100.1
255.255.255.0
A parancs két sorban látható, de valójában egy sorba kell beírni. Ha szeretné, használhatja a Classless Inter-Domain Routing (CIDR) nézetet, akkor a parancs így fog kinézni:
IP cím 192.168.100.1/24
majd a csapatot
ip cím dhcp
majd a kilépés parancs segítségével lépjen ki a felület beállítási módjából.
A 100 hozzáférési lista a LAN interfészre kerül alkalmazásra. Az első sor egy hozzáférési listát kap, és az útválasztó átkerül a hozzáférési lista konfigurációs módjába. A következő sor lehetővé teszi a hálózatnak megfelelő bármely IP-forgalom interfészének átjárását (192.168.100.0/24). Az alhálózati maszk furcsának tűnhet, de ez nem hiba. Az IOS hozzáférési listák inverz alhálózati maszkokat használnak. Ezek könnyű kiszámítani kézzel, kivonva minden egyes oktett a hagyományos maszk 255. Így, a maszk 255.255.252.0 alakítjuk 0.0.3.255, 255.252.0.0 és alakítjuk 0.3.255.255 t. D.
Az ötödik, a hatodik és a hetedik vonal bármely ICMP forgalom bármely forrásból származik; minden rendeltetési helyre; egy ping válasz, egy időtúllépési vagy elérhetetlenségi üzenet, amely a WAN interfészhez érkezik. Óvatosan válassza ki a hálózaton engedélyezett ICMP forgalom típusát, mivel az ICMP protokoll különböző támadások, különösen a szolgáltatás megtagadása (DoS) sérülékeny. Ez a három sor azonban szükséges a ping és a traceroute parancsok diagnosztikai célokra történő használatához. Az utolsó két sor megegyezik a LAN hozzáférési listájával.
Az alap TCP / UDP / ICMP ellenőrzés beállítása
Mindenképpen állítsa be a TCP SYN időtúllépés küszöbértékét, hogy megakadályozza a SYN áradások megtagadását:
ip tcp synwait-time 30
Ez a parancs megmondja az IOS-nak, hogy állítsa le a 30 másodpercig nem telepített TCP-munkamenetet.
Ezután hozzon létre külön ellenőrzési szabályokat az ICMP, a TCP és az UDP számára:
ellenőrizze az InspectRule icmp nevét
ellenőrizze az InspectRule tcp nevet
ellenőrizze az InspectRule udp nevet
Az InspectRule helyettesítheti egy másik nevet.
Hozzáférési listák és érvényesítési szabályok alkalmazása
Mindkét hozzáférési listát és érvényesítési szabályt alkalmazza a bejövő irányba tartozó megfelelő interfészekre. A WAN interfész (ebben az esetben a FastEthernet4) esetében először meg kell adnia az interfészbeállítási módot:
Ezután alkalmazza a hozzáférési listát:
IP hozzáférési csoport 101-ben
Ne feledje, hogy a hozzáférési csoportot használja, nem pedig a hozzáférési listát. Alkalmazza az ellenőrzési szabályt:
ellenőrizze az InspectRule be
Végül lépjen ki az interfészbeállítási módból:
Adja meg a LAN interfészt (ebben a BVI1 példában):
interfész BVI1
IP hozzáférési csoport 100 in
ellenőrizze az InspectRule be
kijárat
Érdemes megjegyezni, hogy a kimenő irányú IP ellenőrzésének szabályát a bejövő irány mellett vagy helyett használhatjuk.
IP hozzáférési lista szabvány 10
engedélyezze a 192.168.100.0.0.0.0.255-et
tagadja a kilépést
interfész BVI1
ip nat belül
kijárat
interfész FastEthernet4
kívül
kijárat
Végül a tényleges NAT utasítás (egy sorban) be van írva:
ip nat belső forrás listája 10
interfész FastEthernet4 túlterhelés
Az interfészek engedélyezése és az STP letiltása
Majdnem minden készen áll a konfiguráció tesztelésére. De először meg kell győződnie arról, hogy egyik interfész sem zárt állapotban van. A FastEthernet4 esetében írja be:
interfész FastEthernet4
nincs leállítás
kijárat
Az eljárást meg kell ismételni az útválasztó minden egyes fizikai interfészén.
Néha hasznos lehet az STP protokoll letiltása a helyi hálózat belső interfészein, ha ilyen mértékű a routerben. Ha összetett kapcsolók hálózatát kívánja megszervezni, akkor ne kapcsolja ki az STP-t; de egy kis hálózatban az STP letiltásával a helyi hálózat belső eszközeinek az útválasztóhoz való csatlakozási ideje legfeljebb 30 másodpercen belül csökkenthető. Minden egyes LAN interfészhez (ebben az esetben FastEthernet0-től FastEthernet3-be) írja be
FastEthernet0 interfész
átfedő fa portfast
kijárat
Itt az ideje, hogy mentse a konfigurációt. Adja meg a parancsot
a nem felejtő memóriában tárolt beállítások mentése és a konfiguráció helyreállítása a forgalomirányító újraindítása, áramkimaradás és más helyzetek után.
Adja meg a parancsot is
Probléma: Javítani kell a hálózati technológiák készségeit egy tesztkörnyezetben.
Megoldás: A Cisco router beállításainak elvégzése tesztlaboratóriumban vagy otthon.
Mire van szüksége: Cisco router két Ethernet port IOS 12.2 vagy újabb, a Cisco konzol kábel (crossover kábel), egy számítógépet egy soros port, egy terminál emulációs program, és két Ethernet-kábel.
Csatlakoztassa az útválasztót a számítógéphez és indítsa el a terminál emulációs programot.
Határozza meg az útválasztó interfészeit
Hozzon létre hozzáférési listákat.
Állítsa be az alapvető TCP / UDP / ICMP ellenőrzést.