Настройка маршрутизатора Cisco для ID-Phone

В данный момент, довольно просто купить б/у. маршрутизатор Cisco для дома. К примеру, Cisco 857W, очень привлекателен, на ebay, его можно купить примерно за 100$. В данной статье я настрою маршрутизатор с нуля. Наша сеть выглядит следующим образом:

Подключение выполняется через ADSL, провайдер предоставляет два виртуальных канала. Один для доступа в интернет, второй для доступа в приватную сеть провайдера, где расположен его SIP сервер. В нашей локально сети есть SIP клиент, на котором настроено две учетные записи, одна для доступа к SIP серверу нашего провайдера, вторая для доступа к другому SIP серверу в интернете. Приступим к настройкам.
Подключаемся к маршрутизатору через консольный порт, сбрасываем настройки на заводские. Если на роутере установлен пароль, то его можно сбросить, описано тут. Для удаления всей конфигурации вводим команду erase nvram: и перезагружаем маршрутизатор
Router>enable
Router#erase nvram:
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete

Router#reload
Proceed with reload? [confirm]

Теперь приступаем к настройке, для начала отказываемся от конфигурационного диалога
— System Configuration Dialog —
Would you like to enter the initial configuration dialog? [yes/no]: no

Настраиваем имя роутера, таймзону, доменное имя и настраиваем время

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname Home-R857
Home-R857(config)#clock timezone ALA 6
Home-R857(config)#ip domain name home.kz
Home-R857(config)#exit
Home-R857#clock set 13:30:00 25 NOV 2015
Nov 25 07:30:00.000: %SYS-6-CLOCKUPDATE: System clock has been updated from 03:59:12 UTC Wed Aug 14 2013 to 13:30:00 ALA Wed Nov 25 2015, configured from console by console.
Home-R857#

Теперь нужно настроить логирование. Размер буфера для сообщений, и отображение локального времени в логах. Это очень пригодится при поиске неисправностей.

Home-R857(config)#service timestamps debug datetime msec
Home-R857(config)#service timestamps log datetime msec
Home-R857(config)#logging on
Home-R857(config)#service timestamps log datetime msec localtime
Home-R857(config)#logging buffered 32000 informational

Создаем пользователя для управления устройством, включаем сервис шифрования. Прошу обратить внимание, что не желательно создавать пользователя с именем root или admin. Позже в log сообщениях вы увидите, что каждый день будут десятки попыток, подключится к устройству используя данных имен. Так же, сервис шифрования паролей, просто скрывает пароль, поэтому при создании пользователя используем не password а secret.

Home-R857(config)#username Anatoliy privilege 15 secret Wy$fGxVA2M1NvXpdv
Home-R857(config)#service password-encryption

Включаем сервис авторизации AAA, генерируем ключ для ssh и включаем версию протокола 2. Так же разрешаем подключение к устройству только с помощью протокола ssh.

Home-R857(config)#aaa new-model
Home-R857(config)#aaa authentication login local-base local
Home-R857(config)#aaa authorization exec local-base local
Home-R857(config)#crypto key generate rsa modulus 1024
The name for the keys will be: Home-R857.home.kz

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]

Nov 25 14:26:37.177: %SSH-5-ENABLED: SSH 1.99 has been enabled

Home-R857(config)#ip ssh version 2
Home-R857(config)#line vty 0 4
Home-R857(config-line)#transport input ssh
Home-R857(config-line)#login authentication local-base
Home-R857(config-line)#exit

Указываем что наш роутер будет DNS сервером для локальной сети, настраиваем DNS сервера и разрешение dns имен.

Home-R857(config)#ip dns server
Home-R857(config)#ip name-server 85.29.137.251
Home-R857(config)#ip name-server 212.19.149.178
Home-R857(config)#ip name-server 8.8.8.8
Home-R857(config)#ip domain-lookup

Настраиваем DHCP сервер, клиентам в локальной сети будут выдаваться ip адреса с сети 192.168.1.0, с адреса 100 по 200.

Home-R857(config)#ip dhcp pool LAN
Home-R857(dhcp-config)#network 192.168.1.0 255.255.255.0
Home-R857(dhcp-config)#domain-name home.kz
Home-R857(dhcp-config)#default-router 192.168.1.1
Home-R857(dhcp-config)#dns-server 192.168.1.1 8.8.8.8

Home-R857(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.99
Home-R857(config)#ip dhcp excluded-address 192.168.1.201 192.168.1.255

Настроим локальную сеть, на роутере есть четыре интерфейса локальной сети. Все они по умолчанию находятся в VLAN 1. Поэтому, все настройки мы будем выполнять на интерфейсе vlan 1

Home-R857(config)#vtp mode transparent
Setting device to VTP TRANSPARENT mode.

Home-R857(config)#interface vlan 1
Home-R857(config-if)#description ## LAN ##
Home-R857(config-if)#ip address 192.168.1.1 255.255.255.0
Home-R857(config-if)#exit

Теперь настроим WAN интерфейс. Для подключения к сети интернет наш роутер использует ADSL. Так же, вместе с интернет нам провайдер поставляет сервис ip телефонии.

Home-R857(config)#interface ATM0.1 point-to-point
Home-R857(config-subif)#pvc 0/40
Home-R857(config-if-atm-vc)#pppoe-client dial-pool-number 1
Home-R857(config-if-atm-vc)#exit

Home-R857(config-subif)#interface ATM0.2 point-to-point
Home-R857(config-subif)#bridge-group 1
Home-R857(config-subif)# pvc 0/41
Home-R857(config-if-atm-vc)#exit
Home-R857(config-subif)#exit

Home-R857(config)#interface Dialer 1
Home-R857(config-if)#description ## WAN ##
Home-R857(config-if)#ip address negotiated
Home-R857(config-if)# ip mtu 1400
Home-R857(config-if)#encapsulation ppp
Home-R857(config-if)# dialer pool 1
Home-R857(config-if)# dialer-group 1
Home-R857(config-if)#ppp authentication chap pap callin
Home-R857(config-if)# ppp chap hostname megaline
Home-R857(config-if)# ppp chap password megaline
Home-R857(config-if)# ppp ipcp dns request
Home-R857(config-if)# no cdp enable
Home-R857(config-if)#exit

Home-R857(config)#bridge irb

Home-R857(config)#interface BVI1
Home-R857(config-if)#description «Kazaktelekom ID-Phone»
Home-R857(config-if)#ip address dhcp
Home-R857(config-if)#ip mtu 1400
Home-R857(config-if)#exit

Home-R857(config)#bridge 1 protocol ieee
Home-R857(config)#bridge 1 route ip

Home-R857(config)#ip route 0.0.0.0 0.0.0.0 Dialer 1
Home-R857(config)#ip route 10.0.0.12 255.255.255.255 10.20.191.254

Далее настроим NAT, для этого создадим список доступа, в котором укажем над какими сетями выполнять NAT. Укажем какие интерфейсы будут использоваться для этого.

Home-R857(config)#ip access-list extended NAT
Home-R857(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
Home-R857(config-ext-nacl)#exit

Home-R857(config)# route-map NAT-INT permit 1
Home-R857(config-route-map)#description ## NAT for INTERNET ##
Home-R857(config-route-map)#match ip address NAT
Home-R857(config-route-map)#match interface Dialer 1
Home-R857(config-route-map)#exit

Home-R857(config)# route-map NAT-IDP permit 1
Home-R857(config-route-map)#description ## NAT for ID-Phone ##
Home-R857(config-route-map)#match ip address NAT
Home-R857(config-route-map)#match interface BVI 2
Home-R857(config-route-map)#exit

Home-R857(config)#ip nat inside source route-map NAT-INT interface Dialer 1 overload
Home-R857(config)#ip nat inside source route-map NAT-IDP interface BVI 2 overload

Home-R857(config)#interface BVI 1
Home-R857(config-if)#ip nat inside
Home-R857(config-if)#exit

Home-R857(config)#interface BVI 2
Home-R857(config-if)#ip nat outside
Home-R857(config-if)#exit

Home-R857(config)#interface Dialer 1
Home-R857(config-if)#ip nat outside
Home-R857(config-if)#exit

Включаем доступ только по https

Home-R857(config)#ip http secure-server
Home-R857(config)#ip http authentication local

Теперь нужно защитить наше устройство, для этого сделаем два списка доступа. В первом мы запретим все сервисы, которые мы не используем, такие как telnet, http, https.

Home-R857(config)#ip access-list extended FIREWALL
Home-R857(config-ext-nacl)# remark deny any not used services
Home-R857(config-ext-nacl)# deny tcp any any eq telnet
Home-R857(config-ext-nacl)# deny tcp any any eq www
Home-R857(config-ext-nacl)# deny tcp any any eq 443
Home-R857(config-ext-nacl)# remark permit any other traffic
Home-R857(config-ext-nacl)# permit ip any any
Home-R857(config-ext-nacl)#exit

Home-R857(config)#interface dialer 1
Home-R857(config-if)#ip access-group FIREWALL in
Home-R857(config-if)#exit

И создадим второй список доступа, который ограничит доступ к устройству. Например, если будет выполнено три попытки подключения за тридцать секунд с неверными учетными данными, то доступ к роутеру будет заблокирован на две минут минуты. Время можете править как вам будет удобно.

Home-R857(config)#login block-for 120 attempts 3 within 30

Далее настроим Wi-Fi, наша беспроводная сеть будет называть Configurator, шифрование wpa2, ключ сети MyWi-FiKey

Home-R857(config)#dot11 ssid Configurator
Home-R857(config-ssid)#authentication open
Home-R857(config-ssid)#authentication key-management wpa
Home-R857(config-ssid)#guest-mode
Home-R857(config-ssid)#wpa-psk ascii MyWi-FiPass
Home-R857(config-ssid)#exit

Home-R857(config)#interface Dot11Radio0
Home-R857(config-if)#encryption mode ciphers tkip
Home-R857(config-if)#ssid Configurator
Home-R857(config-if)#bridge-group 1
Home-R857(config-if)#bridge-group 1 spanning-disabled
Home-R857(config-if)#no shutdown
Home-R857(config-if)#exit
Home-R857(config)#exit

На этом настройки завершены, сохраняем конфигурацию в качестве стартовой. Так же копируем её на flash память

Home-R857#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]

Home-R857#copy running-config flash:
Destination filename [running-config]? RUN_25.NOV.2015

5193 bytes copied in 1.012 secs (5131 bytes/sec)
Home-R857#

На этом настройку можно считать завершенной. Но это далеко не предел, можно настроить еще очень много интересного. К примеру, VPN сервер, а что бы решить проблему с динамическим ip адресом, можно использовать сервис DDNS.

About the author