1. Початкова конфігурація роутера
На маршрутизаторах Cisco працює високопродуктивна і створена з нуля операційна система IOS, яка перебуває в незалежній пам'яті (flash). Типова модель серії 2500 має 1 Ethernet порт підключається до HUB-у або комутатор в локальній мережі через трансивер AUI-> UTP і два серійних порту для підключення до глобальних каналах (Seriаl 0, Serial 1). Імена інтерфейсів можна вказувати як Ethernet0 або e 0. Якщо це модульний комутатор Catalyst то вказується спочатку тип інтерфейсу, потім слот а потім порт.
Наприклад 3-тя ethernet плата і 2 порт на платі вказується як "e 3/2". Крім цього є консольний порт для конфігурації роутера (включається в серійний порт комп'ютера) і додатково AUX порт для підключення модему. Конфігурації роутера можна робити як через консольний порт, AUX порт і через сесію telnet.
Динамічна маршрутизація досить складна тема і вона буде висвітлюватися на void.ru в окремій статті. Тепер перейдемо до розуміння прінціппа поділу підмереж на мережі, що необхідно нам для організоваціі списки доступу по подсетям згідно відділам компанії.
Ще приклад. Є маска мережі 255.255.224.0 і її треба уявити в двійковому вигляді. Згадавши що 255 в двійковій системі числення є 8 одиниць ми записуємо. 11111111 11111111. 00000000 Число 224 розкладається за шаблоном на наступні множники.
Значить першу підмережа ми можемо виділити секретаріат відділу де кожен хост повинен мати маску підмережі 255.255.255.240. При роботі з маршрутизатором Вам слід врахувати що використовувати нульову підмережа, c маскою 255.255.255.128 в RFC не рекомендується. але Ви можете вирішити цю проблему ввівши команду ip classless в глобальну кофігурація роутера.
3. Створення списків доступу (ACL)
Якщо вам необхідно розділити доступ по відділам компанії то ви можете застосовуючи маску підмережі оперувати трафіком в локальній мережі, напрмер доступ до сервера бухгалтерії 200.200.200.50 повинні мати тільки відділ бухгалтерії (200.200.200.48 255.255.255.240) і керівництво компанії (200.200.200.224 255.255. 255.240). access-list 110 permi ip 200.200.200.48 0.0.0.240 200.200.200.224 0.0.0.240 Якщо ви плануєте обмеження трафіку засобами серверів то ви повинні дозволити весь IP трафік в локальній мережі (застосовуючи стандартний список доступу). access-list 10 permit 200.200.200.0 0.0.0.255 200.200.200.0 0.0.0.255 Після того як ви розберетеся з доступом і складете повний список access-list -ів ви повинні зробити їх прив'язку до интерфес, в нашому випадку Ethernet 0. Router # configure terminal Router (config) #int e0. Дозволяємо вхідний трафік на проксі сервер Router (config) # access-group 120 in. Дозволяємо вихідний трайік від проксі сервера і Router (config) # access-group 110 in. Дозволяємо весь локальний трафік Router (config) # access-group 10 in Router (config) #exit Router # wr mem Як ви помітили, ми вказуємо правилами фільтрації виконуватися на e0 інтерфейсі для всіх вхідних пакетів.
4. Захист доступу до роутера
Для цього Вам знадобиться будь-який UNIX хост з встановленим на ньому пакетом MRTG і створити файл конфігурації з допомогою програми cfgmaker. cfgmaker community_name @ name_your_router, де SNMP community_name (в режимі тольо читання) ви задаєте на роутері командою. Routet (config) # snmp-server community community_name RO а на UNIX хості ви задаєте на обробку перлової скриптом файл конфігурації. Workdir: / usr / local / www / docs Interval: 5 Refresh: 60 WriteExpires: Yes Background [router.victim.com.1]: # CFCFCF Options [router.victim.com.1]: bits, growright Target [router. victim.com.1]: 1: [email protected] MaxBytes [router.victim.com.1]: 1250000 Title [router.victim.com.1]: router.victim.com. Ethernet0 PageTop [router.victim.com.1]: