Cisco роутер cisco 2801

Cisco 2801: Первоначальная настройка маршрутизатора

Наша компания специализируется на оказании профессиональных услуг по обеспечению информационной безопасности — мелкого, среднего и крупного бизнеса. Мы предлагаем современные и надежные ИТ-решения, которые позволяют осуществлять управление доступом к сети Интернет и осуществлять защиту сети от внешних угроз.

Портфель компетенций включает в себя внедрение, настройку и последующую поддержку следующих направлений:

1. Сетевые системы контроля доступа — межсетевые экраны Firewall и системы обнаружения/предотвращения вторжений (IPS/IDS):

  • Cisco (ASA, FirePower, FTD), Juniper (SRX), Checkpoint, Palo-Alto; FortiNet, Barracuda (F-серия, X-серия), VMware (NSX);
  • Cisco ISE, Windows RADIUS, Windows AD (NTLM, Kerberos, Смарт-карты, Windows PKI).

2. Безопасность данных (Data Secreсy) — сетевые системы защиты данных, в том числе на уровне конечных устройств:

  • VPN: Cisco (ISR, ASR, CSR, ASA, FirePower), Juniper (SRX), Checkpoint;
  • Anti-spam, anti-malware, proxy: Cisco (Ironport), Barracuda anti-spam;
  • WAF: Barracuda WAF;
  • DLP: IPS, SearchInform DLP, Cisco ISE (профилирование).

3. Контроль доступности данных:

  • Системы резервного копирования — Veeam, HP dataProtector, VMwre SRM (Site Recovery Manager);
  • Системы хранения данных с функциями зеркалирования, резервирования — NetApp (25xx, 85xx, 9xxx);
  • Реализация любых других решений: AlienVault (SIEM).

Только сейчас — Бесплатная диагностика, расчёт сметы, техническая поддержка, гарантия — 2 месяца!

Почта для вопросов и заявок — info@lincas.ru, sales@lincas.ru

Горячая линия — Москва, Санкт-Петербург: +7 (499) 703-43-50, +7 (812) 309-84-39

Высокопроизводительный маршрутизатор Cisco 2801 представляет собой устройство, объединяющие в себе весь необходимый функционал для работы в офисе: поддержка безопасности, интегрированные услуги, самозащита, IPS, фильтрация по URL, а также многое другое.

Работа с web-интерфейсом позволяет легко управлять устройством на интуитивно-понятном уровне. Поддержка IP-телефонии способствует снижению операционных издержек в целом, а также открывает широкий спектр возможностей для корпоративных сетей.

Межсетевой экран обеспечивает надежность при работе с данными, а поддержка VPN и шифрования — позволяет создать защищенную удаленную сеть. С помощью Cisco 2801 становится возможной поддержка отдаленно расположенных филиалов и объединения их в одну работоспособную сеть.

Прежде чем приступить к основной настройке оборудования, стоит выделить две части: настройка локальной сети и выхода в Интернет, а также настройка IP-телефонии.

Настройка DNS

Для начала, конечно же, стоит настроить локальную сеть. И начать следует с DNS — системы доменных имен. Суть данной системы в следующем. Каждый адрес в сети Интернет имеет свой домен (например, google.com). Но устройства не могут общаться по такому принципу, и у каждого домена также есть свой IP-адрес. Конечному пользователю, несомненно, удобнее помнить некоторые слова, нежели цифры IP-адреса, а маршрутизаторам — наоборот.

И задача DNS состоит как раз в том, чтобы понять, какой у данного домена IP-адрес, и общаться уже непосредственно по адресу.

Для этого используется DNS-сервер, который, грубо говоря, хранит таблицу с данными — домен = IP-адрес. При обращении пользователя по домену сервер проводит сопоставление с таблицей и устанавливает необходимое соединение.

Настройка выглядит довольно просто:

1) Включаем режим сервера — Router(config)# ip dns server
2) Включаем перевод (трансляцию) доменных имен в IP-адреса — Router(config)# ip domain-lookup
3) Добавляем DNS сервера, к которым будет обращаться маршрутизатор. Всего можно настроить до 6 серверов — Router(config)# ip name-server IP адрес сервера

Теперь на устройствах этой сети достаточно в качестве DNS сервера указать адрес маршрутизатора. Это можно сделать с помощью DHCP (динамическая настройка узла)

Если локальная сеть довольно большая, то устанавливают отдельный DNS сервер, который также содержит записи о внутренних хостах и ресурсах, поскольку в локальной сети могут быть свои серверы.

Для настройки локального DNS сервера в маленькой сети достаточно выполнить команду:

Router(config)# ip host имя_хоста IP_адрес

Читайте также:  Что можно настроить на маршрутизаторе

Теперь «транслятор» работает так, как нужно.

Настройка VLAN

При настройке локальной сети стоит обратить внимание на VLAN — виртуальную локальную сеть. Её наличие позволяет объединять хосты в группу с одинаковыми параметрами. К примеру, если в офисе есть несколько отделов, которые передают друг другу разные данные, а также имеют разный доступ к сети — можно объединить VLAN «Бухгалтерия», VLAN «Руководство» и т.п. Это значительно упрощает работу, поскольку все настройки проводятся не для каждого устройства в сети, а для целой группы.

Как правило, VLAN настраиваются на коммутаторе. Машрутизатор в данном случае при помощи sub-интерфейса «привязывается» к VLAN-у.

Стоит изучить на примере.

Порт на коммутаторе, к которому подключен Cisco 2801, должен работать в режиме trunk. Далее настройка:

1. Настройка для VLAN 1
interface FastEthernet0/1.1
encapsulation dot1Q 1
ip address 10.10.0.1 255.255.255.0 // Пул адресов VLAN
2. Настройка для VLAN 2
interface FastEthernet0/1.2
encapsulation dot1Q 2
ip address 192.168.15.9 255.255.255.0

То есть, что произошло — к коммутатору подключили роутер через интерфейс fa0/1. Уже через сам маршрутизатор определили sub-интерфейсы, которые совпадают с VLAN-ами, настроенными на коммутаторе.
Теперь можно задавать определенные политики безопасности для разных VLAN, экономя время и силы.

Настройка VPN

Про безопасность — поближе.

VPN — это туннель виртуальной частной сети. Соединяет между собой устройства, которые обмениваются данными в зашифрованном виде между собой. Данная сеть не имеет привязки к физическим интерфейсам, что позволяет создать удаленную корпоративную сеть без доступа к ней третьих лиц.

Предлагается к рассмотрению настройка EasyVPN с использованием VPN-клиента. Здесь доступны функции шифрования, набор протоколов IPSec, упрощенная настройка и подключение к сети.

Настройка AAA (аутентификация, авторизация и учет данных)
aaa new-model
!
aaa authentication login vpn_xauth_1 local
aaa authorization network vpn_group_1 local
username cisco password cisco // Создание пользователя
crypto isakmp policy 1 // Настройка шифрования и обмена ключами
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration group remote-clients
key megakey123
dns 192.168.1.10
domain domain.local
pool POOL_1
acl 100
crypto isakmp profile ike-profile-1
match identity group remote-clients
client authentication list vpn_xauth_1
isakmp authorization list vpn_group_1
client configuration address respond
virtual-template 1
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac
crypto ipsec profile Cisco_Profile1
set transform-set transform-1
set isakmp-profile ike-profile-1
Настройка виртуального туннеля interface Virtual-Template1 type tunnel
ip unnumbered GigabitEthernet0/1
tunnel mode ipsec ipv4
tunnel protection ipsec profile Cisco_Profile1
ip local pool POOL_1 192.168.7.1 192.168.7.100
access-list 100 permit ip 192.168.0.0 0.0.255.255 any

Теперь можно перейти к настройке программного клиента VPN. Это программа, которая позволяет подключаться к сети VPN по заданному логину и паролю.

Скачать можно любую программу, этапы везде примерно схожи:

1. Создание нового подключения с заданными настройками

— Host – Внешний адрес маршрутизатора;
— name – имя группы;
— password – указанный ранее в настройках pre shared key для этой группы.

Если настройка проведена успешно, то далее необходимо ввести логин и пароль созданного в самом начале пользователя. Теперь данное устройство может подключаться к VPN-сети и передавать все необходимые данные в зашифрованном виде.

Настройка NAT

Теперь самое основное — как выйти в сеть Интернет? Локальная сеть изучена вдоль и поперек, но устройство почему-то не понимает, что ему делать дальше. Выход прост.

NAT — это механизм трансляции IP-адресов. То есть, локальное устройство отправляет трафик на интерфейс маршрутизатора, чтобы тот далее связался с Интернетом. Роутер меняет IP-адрес локального устройства на свой внешний и под ним уже высылает данные в сеть, и таким же образом отправляет их обратно.

Рассмотреть стоит на примере динамического NAT, который предназначен для создания «пула» выдаваемых внешних адресов.

Router>en
Router#conf t

Первым делом необходимо создать access-list (список адресов, которые могут выходить в сеть)

Читайте также:  Перезагрузка роутера dir 320

Router(config)#access-list 15 permit 192.168.0.0 0.0.0.255

Далее — создание пула адресов, которые будут выдаваться устройствам на выходе в сеть Интернет

Router(config)#ip nat pool MY_NAT 10.0.0.11 10.0.0.15 netmask 255.255.255.0

Применение пула на список доступа

Router(config)#ip nat inside source list 15 pool MY_NAT

Router(config)#int fa0/0 // Интерфейс, на который поступают данные из локальной сети

Router(config-if)#ip nat inside
Router(config-if)#exit
Router(config)#int fa0/1 // Внешний интерфейс
Router(config-if)#ip nat outside
Router(config-if)#exit

На этом настройку можно считать завершенной.

Локальная сеть настроена таким образом, чтобы обеспечить безопасный выход в сеть, даже если офис состоит из нескольких удаленных филиалов. Теперь можно поближе познакомиться с дополнительным функционалом Cisco 2801 — IP-телефония.

Настройка IP-телефонии

Для настройки телефонии на Cisco 2801 стоит учесть тот факт, что он не может в принципе выступать сервером IP-телефонии. Поэтому сервер приходится поднимать любым другим способом, к примеру, на базе Asterisk.
На роутере при этом создается отдельная сеть. Есть другой вариант — использование продукта CME (Cisco CallManager Express).

Но все по порядку. Для первого случая визуально это выглядит грубо говоря так: создается отдельная сеть для IP-телефонии, порты с подключенными телефонами выделяются в Voice VLAN. Далее, как было расписано в начале статьи, на роутере создаются соответствующие sub-интерфейсы. Между коммутатором с подключенными телефонами и роутером настраивается trunk порт, а потом все настройки «поднимаются» на обоих устройствах. Также настраивается DHCP.

interface FastEthernet0/0.777
encapsulation dot1Q 777
ip address 7.xx.yy.1 255.255.255.0
ip helper-address 7.xx.0.7 // Для DHCP relay, где 7.xx.0.7 – адрес Asterisk, раздающего DHCP для сети телефонии
no cdp enable
arp timeout 60

порты для телефонов:

Int fa0/2
switchport port-security
switchport port-security maximum 5
switchport voice vlan 777

# conf t
Int fa0/1
switchport mode trunk

Все же, для полноценной настройки стоит привести разобранный конфигурационный файл без использования платформы Asterisk.

Исходные данные: Cisco 2801, IP Phone 7912 и IP Phone 2960G. При этом соединение с ТФОП осуществляется через 2FXO.

Нам будут необходимы следующие файлы:

• c2801-spservicesk9-mz.124-8.bin IOS с поддержкой CME
• cme-124-9T.zip Файлы CME 4.0 для IOS 12.4(9)T

Настройка TFTP, NTP и DHCP сервера:

clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 3:00

Настройка DHCP немного отличается от той, которая была описана ранее:

ip dhcp excluded-address 10.255.100.1
ip dhcp excluded-address 10.255.100.2
!
ip dhcp pool Test_Pool
network 10.255.100.0 255.255.255.0
default-router 10.255.100.1
domain-name home.dreamcatcher.ru
dns-server 10.255.100.2
option 150 ip 10.255.100.1
!
tftp-server flash:P00307020200.bin
tftp-server flash:P00307020200.loads
tftp-server flash:P00307020200.sbn
tftp-server flash:P00307020200.sb2
!
ntp clock-period 17178241
ntp server 10.1.1.100
!

Теперь — главное. Настройка службы telephony-service:

1) Указываем имя прошивки для IP Phone 7960
2) Задаем максимальное количество IP Phone. Для маршрутизатора Cisco 2801 = 30 штук.
3) Задаем максимальное количество номеров, присваиваемых IP Phone и обычным телефонам, подключенным с помощью ATA 186/ATA 188.
4) Указываем адрес голосового шлюза.
5) Указываем таймаут звонка.
6) Системное сообщение, отображаемое на телефоне.
7) Задаем local.
8) Формат времени и даты. Рекомендуется наличие NTP сервера.
9) create cnf-files — Эта команда создает XML файлы конфигурации IP Phone, ее формат.
10) Задаем максимальное количество одновременных конференций.
11) Music on Hold — музыка на удержание.
12) Задаем возможность перенаправления звонков.

telephony-service
load 7960-7940 P00307020200
max-ephones 10
max-dn 150
ip source-address 10.255.100.1 port 2000
timeouts ringing 60
system message Dreamcatcher IP PHONE
user-locale RU
time-format 24
date-format dd-mm-yy
create cnf-files version-stamp 7960 Jul 18 2006 12:38:44
max-conferences 4 gain -6
call-forward pattern .T
moh music-on-hold.au
transfer-system full-consult
transfer-pattern .T
!
Указываем выход в ТФОП через FXO (в данном случае, в ТФОП пойдут все номера, начинающиеся на 9):
!
voice-port 0/0/0
description — To PSTN —
!
!
dial-peer voice 100 pots
destination-pattern 9T
port 0/0/0
!
Создаем образцово-показательный телефон 7960, с двумя линиями, номером 8888, переадресацией звонков при «абонент не отвечает» и «абонент занят» на номер 8887.
!
ephone-dn 1
number 8888
label Last Name
description Last Name
name Last Name
preference 1
call-forward busy 8887
call-forward noan 8887 timeout 10
no huntstop
!
!
ephone-dn 2
number 8888
label Last Name
description Last Name
name Last Name
preference 1
!
Задаем для этого телефона два номера быстрого набора (автоматически они прикрепятся к третьей и четвертым кнопкам) и вешаем входящие линии на первую и вторую кнопки соответственно.
!
ephone 1
mac-address 0017.0E94.79A7
speed-dial 1 8887
speed-dial 2 8889
type 7960
button 1:1 2:2
!
С телефоном 7912 все аналогично просто:
!
ephone-dn 6
number 8886
label Last Name Home
description Last Name Home
name Last Name Home
call-forward noan 8888 timeout 25
!
!
ephone 4
mac-address 0017.E0B2.8962
speed-dial 1 8887
speed-dial 2 8888
speed-dial 3 8889
type 7912
button 1:6
!
Теперь привяжем один из телефонов прямым транком ко второму порту FXO:
!
voice-port 0/0/1
description — Trunk —
connection plar opx 8887
!
!
dial-peer voice 110 pots
destination-pattern 82
port 0/0/1
!
!
ephone-dn 4
number 8889
label ForLast Name
description ForLast Name
name ForLast Name
no huntstop
trunk 82
!
!
ephone-dn 5
number 8889
label ForLast Name
description ForLast Name
name ForLast Name
preference 1
!
!
!
ephone 3
mac-address 0017.5987.8614
speed-dial 1 8888
speed-dial 2 8887
type 7960
button 1:4 2:5
!
Основные настройки приведены. Были рассмотрены два случая поднятия IP-телефонии при помощи Cisco 2801 — с использованием Asterisk, а также с использованием CME. Какой способ выбрать — дело пользователя, поскольку каждый из них требует определенных навыков для работы.

Читайте также:  Мини wifi роутер для ноутбука

Настройка SIP

Как правило, для определения «языка» общения между IP-телефонами и сервером требуется применение какого-либо протокола. Для устройств Cisco используют SCCP — протокол, определяющий набор сообщений между клиентом и сервером IP-телефонии.
Но также может использоваться протокол SIP — протокол установления сеанса. То есть, его задача в том, чтобы установить соединение между клиентом и сервером.

Суть в том, что есть устройства, работающие только с SIP, либо только с SCCP. Разберем случай с SIP-устройствами.

SIP, как правило, поднимается на сервере IP-телефонии (тот же самый Asterisk). На роутере при этом применяются следующие настройки:

!
voice service voip
allow connections sip to sip
sip
registrar server expires max 3600 min 3600
!
voice register dn 1
number 202
!
voice register pool 1
id mac 5CDA.D46C.9686
number 1 dn 1
username 202 password 123
codec g711ulaw
Чтобы связать между собой устройства с разными протоколами (SCCP устройства привязаны к Cisco, SIP — к серверу) на Asterisk необходимо использовать следующие настройки:
[cisco]
type=peer
context=voiplab
host=192.168.15.9
insecure=port
dissalow=all
allow=ulaw
allow=alaw
secret=cisco
[voiplab]
exten => 301,1,Dial(SIP/301,,tT)
exten => 302,1,Dial(SIP/302,,tT)
exten => 303,1,Dial(SIP/303,,tT)
exten => 201,1,Dial(SIP/$@cisco)
И еще немного настроек на роутере. Часть из нижеприведенных конфигураций была приведена выше — настройка telephony-service, прописывание адресов, шлюзов и т.п.
!
telephony-service
max-ephones 2
max-dn 4
ip source-address 192.168.15.9 port 2000
!
ephone-dn 1 dual-line
number 201
label CIPC
!
!
ephone 1
mac-address 001D.9251.84F2
type CIPC
button 1:1
!
dial-peer voice 300 voip
destination-pattern 3..
session protocol sipv2
session target sip-server
session transport udp
codec g711ulaw
!
sip-ua
authentication username cisco password cisco
sip-server ipv4:192.168.15.6
!

На этом основные этапы можно считать завершенными. Cisco 2801 теперь можно использовать для создания IP-телефонии в среднем офисе. Также можно подключить к маршрутизатору несколько устройств, поддерживающих IP-телефонию по протоколу SIP. Возможна реализация данного функционала без использования дополнительных серверов, с использованием продуктов линейки Cisco.

Кажется, маршрутизатор Cisco 2801 отлично справился с поставленными задачами и помог создать защищенную и широко функционирующую корпоративную сеть. Надеемся, что наша статья помогла Вам в этом.

Источник

Adblock
detector