Процедура настройки маршрутизатора при первом включении состоит из следующих этапов:
Изменение пароля пользователя «admin»
Создание новых пользователей
Назначение имени устройства
Установка параметров подключения к публичной сети (WAN) и локальной сети (LAN)
Настройка проверки связности через ICMP
Настройка удаленного доступа к маршрутизатору по SSH
Изменение пароля пользователя «admin»
Стандартный (заводской) профиль:
log: admin
pass: password
Для смены пароля пользователя admin — можно воспользоваться следующими командами:
Для применения настроек:
Создание новых пользователей
Для создания нового пользователя системы или настройки любого из параметров: имени пользователя, пароля, уровня привилегий, – используются команды:
где:
- <name> — имя нового пользователя;
- <password> — пароль для нового пользователя
- <privilege> — № от 1 до 15
-
Уровни привилегий 1-9 разрешают доступ к устройству и просмотр его оперативного состояния, но запрещают настройку. Уровни привилегий 10-14 разрешают как доступ, так и настройку большей части функций устройства. Уровень привилегий 15 разрешает как доступ, так и настройку всех функций устройства.
-
Пример:
- создание пользователя «network-admin» с паролем «P@ssw0rd» и максимальными привилегиями (15)
Для применения настроек:
Проверка входа из под пользователя «network-admin»:
Назначение имени устройства
Для назначения имени устройства используются следующие команды:
где:
- <net-name> — имя устройства
Например:
Установка параметров подключения к публичной сети (WAN) и локальной сети (LAN)
Для настройки сетевого интерфейса маршрутизатора в публичной сети (WAN) необходимо назначить устройству параметры, определённые провайдером сети – IP-адрес, маска подсети и адрес шлюза по умолчанию.
Например:
Параметры интерфейса — gi1/0/1 (WAN):
- IP-адрес: 192.168.222.222/24
- Gateway: 192.168.222.2
Параметры интерфейса — gi1/0/2 (LAN):
- IP-адрес: 172.16.1.1/24
Проверка назначения сетевых параметров:
Настройка проверки связности через ICMP
Firewall – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Из коробки firewall — включён, но не содержит никаких правил, а значит ничего и не разрешает
Порядок обработки трафика терминируемого (направленного непосредственно на сам маршрутизатор, но не через его интерфейсы) на маршрутизаторе:
- Трафик проверяется правилами zone-pair any self. Если трафик не попал ни под одно из правил текущей zone-pair, переходим к следующему шагу
- Трафик проверяется правилами zone-pair src-zone-name self. Если трафик не попал ни под одно из правил текущей zone-pair, он отбрасывается.
Каждая команда «match» может содержать ключ «not». При использовании данного ключа под правило будут подпадать пакеты, не удовлетворяющие заданному критерию.
На маршрутизаторе всегда существует зона безопасности с именем «self». Если в качестве получателя трафика выступает сам маршрутизатор, то есть трафик не является транзитным, то в качестве параметра указывается зона «self»
Для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «LAN»:
Создание зоны безопасности:
Добавление интерфейса в зону безопасности:
Например:
- Создадим две зоны «trusted» для интерфейса смотрязего в LAN, и зону «untrusted» для интерфейса смотрящего в WAN
-
поместим соответствующие интерфейсы в зоны:
-
Для применения настроек:
Проверка:
Для настройки правил зон безопасности потребуется создать профиль адресов сети «LAN», включающий адреса, которым разрешен доступ к маршрутизатору:
Создание профиля адресов сети:
где:
- <NAME_PROFILE> — имя профиля адресов сети
- <IP_RANGE | IP_ADDRESS> — диапазон IP-адресов записаный через «-» (дефис) или IP-адрес
Например:
- создадим профиль «LAN» в котором укажем IP-адрес маршрутизатора интерфейса, который смотрит в LAN;
- создадим профиль «LAN_GATEWAY» в котором укажем диапазон IP-адресов из сети LAN
Добавим правило, разрешающее проходить ICMP-трафику между маршрутизатором и клиентами, для того чтобы маршрутизатор начал отвечать на ICMP-запросы из зоны «trusted» — т.е. из локальной сети (LAN)
- Создадим пару зон для трафика, идущего из зоны «trusted» в зону «self»
- Действие правил разрешается командой enable
где:
- <destination-address> — ссылается на профиль адресов сети «LAN», в котором указан IP-адрес маршрутизатора;
- <source-address> — ссылается на профиль адресов сети «LAN_GATEWAY», в котором указан диапазон IP-адресов сети LAN;
Для применения настроек:
Проверка:
Проверка связности с клиента из сети LAN с маршрутизатором:
Настройка удаленного доступа к маршрутизатору по SSH
При конфигурировании доступа к маршрутизатору правила создаются для пары зон:
- source-zone – зона, из которой будет осуществляться удаленный доступ;
- self – зона, в которой находится интерфейс управления маршрутизатором
Для создания разрешающего правила используются следующие команды:
Например:
В качестве source-zone – зона, из которой будет осуществляться удаленный доступ будем использовать ранее созданную зону «trusted»
- необходимо создать профиль для сервиса SSH — в котором укажем стандатрный порт (22)
- создадим в паре зон «trusted» и «self» правило с номером 2
-
т.к. правило с номером 1 — там для ICMP;
-
где:
- <destination-address> — ссылается на профиль адресов сети «LAN», в котором указан IP-адрес маршрутизатора;
- <source-address> — ссылается на профиль адресов сети «LAN_GATEWAY», в котором указан диапазон IP-адресов сети LAN;
- <destination-port> — ссылается на профиль сервиса «ssh», где указан 22 порт;
Проверка:
Проверка доступа по SSH с клиента из сети LAN:
show running-config
В целом show running-config выполненной базовой настройки маршрутизатора vESR — выглядит следующим образом:
