Технологии управления сетью

В данной статье рассматривается базовая конфигурация маршрутизатора Сisco на использование NAT.

NAT – Network Adress Translation (трансляция сетевых адресов)

Конфигурация тестировалась на следующих компонентах:

*Cisco 2500 Series Routers
*Cisco IOS® Software Release 12.2 (10b)

Несколько базовых шагов по конфигурированию и разворачиванию NAT.

1. Определение inside (внутреннего) и outside (внешнего) NAT на интерфейсах.

a – сколько существует интерфейсов ?
b – сколько интерфейсов подключено к Internet ?

2. Для каких целей будет использоваться NAT ?

a – доступ локальных пользователей в Internet ?
b – доступ Internet пользователей к дополнительным внутренним службам (почтовый или веб сервер)
c – перенаправление TCP трафика на другие TCP порты или адреса.

3. Какие виды NAT Вы будете использовать ?

a – Статический NAT (Static NAT)
b – Динамический NAT (Dynamic NAT)
с – Overload (PAT)
d – иное назначение NAT

4. Проверка работоспособности NAT.

Пример: доступ локальных пользователей в Internet

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.

interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!— Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.

interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.

ip nat pool no-overload 172.16.10.1 172.16.10.63 prefix 24
!

!— Конфигурирование именованного пула NAT с рядом адресов
!— 172.16.10.1 – 172.16.10.63.

ip nat inside source list 7 pool no-overload
!
!

!— Указание какие пакеты могут «проходить» через внутренний интерфейс
!— разрешение следующим acl – access-list 7
!— транслирование исходного адреса «наружу»
!— NAT pool «no-overload».

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!— Access-list 7 разрешает пакеты от следующих сетей
!— 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.

Пример: доступ локальных пользователей в Internet используя Overload (PAT)

PAT (Port Address Translation) – трансляция адресов портов.

interface ethernet 0
ip address 10.10.10.1 255.255.255.0
ip nat inside

!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.

interface ethernet 1
ip address 10.10.20.1 255.255.255.0
ip nat inside

!— Настройка IP адреса для Ethernet 1 и использование в качестве внутреннего NAT интерфейса.

interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside

!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!

!— Конфигурирование NAT пула с именем ovrld с единственным IP
!— адресом, 172.16.10.1.

ip nat inside source list 7 pool ovrld overload
!
!
!
!

!— Указание какие пакеты могут «проходить» через внутренний интерфейс
!— разрешающий акл access-list 7 исходного адреса
!— транслируется на внешний NAT пул с именем ovrld.
!— Трансляции overloaded с разрешением нескольких внутренних
!— устройств транслирующихся на определённый IP адрес.

access-list 7 permit 10.10.10.0 0.0.0.31
access-list 7 permit 10.10.20.0 0.0.0.31

!— Access-list 7 разрешает пакеты с исходными адресами в диапазоне от
!— 10.10.10.0 через 10.10.10.31 и 10.10.20.0 через 10.10.20.31.

Пример: доступ Internet пользователей к дополнительным внутренним службам (почтовый или веб сервер)

1) Сконфигурируйте NAT на внешнем и внутреннем интерфейсах.

2) Определите к каким службам необходимо предоставить доступ. К примеру – только к внутреннему почтовому серверу.

3) Смотрите пример на сайте производителя

Пример: перенаправление TCP трафика на другие TCP порты или адреса.

interface ethernet 0
ip address 172.16.10.1 255.255.255.0
ip nat inside

!— Настройка IP адреса для Ethernet 0 и использование в качестве внутреннего NAT интерфейса.

interface serial 0
ip address 200.200.200.5 255.255.255.252
ip nat outside

!— Настройка IP адреса для serial 0 и использование в качестве внешнего NAT интерфейса.

ip nat inside source static tcp 172.16.10.8 8080 172.16.10.8 80

!—Команда Static для NAT определяет перенаправление любых пакетов с внутреннего
!— интерфейса с IP адресом и портом 172.16.10.8:8080 трансилование на
!— 172.16.10.8:80

искатьБазовая настройка на CISCO на сайте

автор: Gozar

Статья для начинающих.
1. У вас нет резервной копии вашего cisco router.

Картина такая: ваш маршрутизатор Cisco умирает, вы получаете взамен ночь и босса, который в восторге, а backupa нет. Всегда по умолчанию делайте backup.

Router# copy running-configuration tftp

Резервное копирование конфигурации IOS встроено в маршрутизатор новых версий IOS, оно автоматически копирует изменённые конфигурации роутера. В разделе статей, есть более детальная информация по настройке backup.

Существует также много сторонних GUI-приложений, которые будут в определённое время для вас архивировать. Например, Kiwi CatTools, ManageEngine OpUtils и PacketTrap pt360 Pro.

Для более подробной информации почитайте статью BackUP Cisco конфигов

2. У вас нет backup операционной системы IOS вашего cisco router.

Cisco маршрутизатор абсолютно бесполезен при неправильной настройке.

Вы можете копировать надлежащее IOS обратно на маршрутизатор Cisco, который отправлен к вам от Cisco или перенастроить другой маршрутизатор Cisco (скажем старый маршрутизатор), который может занять место сломанному маршрутизатору Cisco, ситуации могут быть разными.

Резервное копирование на IOS очень простое. Просто скопируйте TFTP на свой сервер, с командой, как эта:

Router# copy flash tftp

Для более подробной информации почитайте статью Восстановление конфигурации маршрутизаторов cisco

3. Нет запасного аппаратного маршрутизатора.

Cisco оборудование чрезвычайно надежно. Тем не менее, в ходе работы, когда происходят ошибки и оборудование выходит из строя, вы должны быть готовы мгновенно заменить аппарат.

Замена аппаратных средств должна быть одной и той же конфигурации (или конфигурации, которая обеспечивает той же сети для конечных пользователей) и IOS также должны быть одинаковыми (или предлагают одни и те же функции, как необходимой конфигурации).

4. Не ведётся журнал событий на вашем маршрутизаторе.

В первую очередь для выявления вопросов требуется проверять журнал событий. Вы также должны иметь в центральном syslog хранилище логов Cisco маршрутизатора.

Cisco IOS logging легко настроить, вы можете использовать бесплатно Linux syslog server или купить программу для Windows такую как Kiwi Syslog.

Для более подробной информации почитайте статью Логи Cisco

5. Давно не обновляли Cisco IOS.

Как и любая другая операционная система, Cisco IOS периодически имеет ошибки. Помните, что получая оборудование с новыми версиями IOS, надо сохранять совместимость с действующим оборудованием. Старайтесь, чтобы ваш Cisco IOS оставался актуальным.

Для более подробной информации почитайте статью Обновление CISCO IOS

6. Незнаю, где искать документацию и советов по устранению неполадок.

Используйте поисковые системы, например, Google. Но лучше всего для поиска статей и ключевых слов использовать официальный сайт www.cisco.com

7. Забыли пароль и не знаете как сбросить его.

В какой-то момент может случиться так, что вы забыли пароль на ваш маршрутизатор. Вам необходимо сбросить старый пароль, как это сделать:

Статья Восстановление паролей продуктов CISCO

8. Не стоит защита на Cisco маршрутизаторе.

Безопасность? У кого есть время для этого, правда?
Если не позаботится о безопасности маршрутизатора и сети, это может привести в одни момент к потерям данных для компании.

9. Не документируете данные.

Большинство из нас не любит создавать документации, но ведь о многих вещах со временем мы забываем и многие из нас профессионально растут. Документация – удобный способ пошагового объяснения более младшим администраторам, да и служит порой шпаргалкой в работе для нас самих.

искатьситуаций которые можно предвидеть вашим роутером Cisco на сайте

автор: Gozar

В данной статье рассматривается, как настроить snmp на Cisco.

1) Задействуйте режим «только чтение» для community string:

Router(config)#snmp-server community public RO – где «public» значение «только чтение» community

2) Задействуйте режим «запись» для community string:
Router(config)#snmp-server community private RW – где «private» значение «запись» community

3) Выйдете из режима конфигурирования и сохраните конфигурацию:

Router(config)#exit
Router#
Router#write memory
Building configuration…
[OK]

4) Проверьте доступность вашего маршрутизатора:

C:>ping 172.16.99.20

Pinging 172.16.99.20 with 32 bytes of data:
Reply from 172.16.99.20: bytes=32 time

искатьНастройка snmp на Cisco на сайте

автор: Gozar