Практическое применение маршрутизатора Cisco для организации канала по протоколу v.35
Постановка задачи.
В жизни каждого развивающегося банка возникает задача организации канала «он-лайн» связи с подразделениями находящимися в других городах. То есть необходимо выбрать и настроить маршрутизатор, обеспечивающий пересылку пакетов между локальными сетями подразделений через глобальные сети. При этом, на первом этапе, когда до конца не ясен будущий трафик, с целью минимизации бюджета, зачастую, рассматриваются экономичные варианты. Рассмотрим задачу организации 512 К канала передачи данных между локальными сетями по протоколу V.35.
Решение
Выбор фирмы-производителя маршрутизатора был прост. Конечно это Cisco, само название которой стало нарицательным и фактически используется как название маршрутизаторов. Да стоимость продукции фирмы Cisco выше чем у ее конкурентов, но в данном случае, когда надежность канала очень важна, не имеет смысла рисковать проверяя, насколько качественно стали производить маршрутизаторы менее известные компании, так как стоимость потерь в случае отказа элемента банковской сети очень высока и первый же отказ оборудования приведет к потерям намного превышающим сэкономленную сумму.
Среди линейки маршрутизаторов Cisco мы выбирали уже по финансовым показателям и выбрали самый дешевый, поддерживающий требуемую пропускную способность канала в 512К – Cisco 505, который был в два раза дешевле следующего в данной линейке маршрутизатора.
Теперь нарисуем схему нашего канала. Пусть нам необходимо соединить сеть центрального офиса 192.170.227.0 и регионального подразделения 192.170.228.0. Произвольно выберем адреса для сети работающей по протоколу v.35. Это наше внутреннее дело и мы можем выбрать любую подсетку номеров, отличающихся от номеров сетей в связываемых подразделениях. Пусть это будет 192.170.270.0. Тогда схема канала будет выглядеть так:
Начнем настройку маршрутизатора. На первом этапе доберемся до самой операционной системы. Для этого в комплекте с маршрутизатором поставляется голубой консольный кабель, которым следует соединить консольный разъем CISCO с COM портом ПК. Далее запускается входящая в стандартную поставку WINDOWS программа HyperTerminal (меню «Пуск» — «Программы» — «Стандартные» — «Связь»), через которую и осуществляется доступ.
Главное здесь не забыть установить скорость – 9600 бит в секунду.
Если после запуска программы HyperTerminal на мониторе появится пустой экран, следует нажать Enter и в ответ на появившееся приглашение ввести имя
В большинстве случаев именем по умолчанию является cisco. Затем можно ввести пароль (чаще всего по умолчанию его тоже ставят cisco), который будет использоваться при входе в операционную систему маршрутизатора.
При первом обращении к маршрутизатору появляется сообщение
Would you like to enter the initial configuration dialog <yes>:
Можно, конечно, попробовать настроить его и с помощью этого приглашения, но проще ответить «no», так как все равно полученную конфигурацию придется подстраивать. Хотя, возможно, и из полученного «полуфабриката» это будет сделать легче.
Маршутизатор настраивается на нескольких уровнях. Сейчас мы находимся на самом верхнем и нам доступно лишь несколько команд, посмотреть список которых мы можем запросив помощь (команда ?)
Username: cisco805
Password: ****************
Type help or ‘?’ for a list of available commands.
Cisco805> ?
enable Turn on privileged commands
exit Exit from the EXEC
help Interactive help for commands
login Log in as a particular user
logout Exit from the EXEC
ping Send echo messages
quit Exit from the EXEC
show Show running system information
traceroute Trace route to destination
cisco805>
Более подробную помощь можно получить, набрав имя команды и знак ?, что справедливо и далее – на всех уровнях настройки. Это очень удобно.
Самые полезные команды — «enable» — переход на более низкий уровень и «exit» — возврат на более верхний. Наберем команду — «enable» и введем пароль для перехода в режим настройки общих параметров.
Получаем следующее приглашение –
Cisco805#
Набрав «?» получим большой список доступных команд.
Посмотрим заводские настройки маршрутизатора командой «show running». Пролистывать экраны удобно, нажимая клавишу пробел.
Проанализировав конфигурацию устройства, напишем на его основе требуемую конфигурацию. В нашем случае она будет выглядеть так
—————— show running-config ——————
Building configuration…
Current configuration : 1093 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname bank
!
boot-start-marker
boot-end-marker
!
enable secret 5 <removed>
!
no aaa new-model
ip subnet-zero
no ip source-route
!
username bank1 password 7 <removed>
!
!
!
interface Ethernet0
ip address 192.170.227.32 255.255.255.0
ip access-group 121 in
no ip proxy-arp
!
interface Serial0
description RCN
ip address 192.170.270.1 255.255.255.0
no ip proxy-arp
encapsulation ppp
!
router rip
network 192.170.270.0
network 192.170.227.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
ip http server
!
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any
no cdp run
!
line con 0
exec-timeout 0 0
stopbits 1
line vty 0 4
exec-timeout 0 0
password 7 <removed>
login
!
end
То есть нам нужно изменить ip адреса порта Ethernet – к которому будет подключаться наша внутренняя сеть (192.170.227.32), порта (192.170.270.1) к которому будет подключен кабель V35 соединяющий маршрутизатор с SHDSL модемом, настроить роутер, связывающий эти две сети
router rip
network 192.170.270.0
network 192.170.227.0
и прописать список доступа (access-list) описывающий кто и по каким протоколам может обращаться к порту из внутренней сети
Для настройки портов перейдем на более низкий уровень командой «configure terminal»
Cisco805# configure terminal
Cisco805(config)#
Далее настроим порт Ethernet0, войдя в режим настройки командой
Cisco805(config)# interface Ethernet 0
Старые команды настройки убираем с помощью команды «no» поставленной перед скопированной в командную строку или введенную вручную в командную строку старую команду, например
no ip address 10.1.1.1 255.255.255.
Затем вводим новую настройку
ip address 192.170.227.32 255.255.255.0
Затем поднимаем порт командой «no shutdown» и выходим из режима настройки этого интерфейса командой «exit»
Аналогично настраиваем второй порт
(Cisco805(config)# int s0 или (cisco805(config)# interface Serial0)
Передаваемые из Etherne сети пакеты нужно подготовить к параллельной передаче по протоколу V.35, то есть инкапсулировать протокол TCP/IP в V.35. Зададим это командой
encapsulation ppp
где ррр – (Point to Point Protocol) протокол обмена данными «точка – точка»
Затем опишем роутер для связи сетей
cisco805(config)# router rip
cisco805(config)# network 192.170.270.0
cisco805(config)# network 192.170.227.0
Здесь же нам будет доступна команда
cisco805(config)# access-list
Описывающая с каких ip адресов и по каким протоколам разрешается обмен информацией по этому каналу
Кроме этого поясним еще некоторые строчки конфигурации :
no service pad
Отключает возможность настройки таких протоколов как X.25
Если нет такой необходимости в PAD сервисах, строчку лучше оставить в таком же виде
no aaa new-model
Строчка отключает систему авторизацию, аутентификации и логирования.
С точки зрения безопасности, лучше в дальнейшем включить данный сервис, вводом команды aaa new-model
no ip source-route
Отключает возможность маршрутизации пакетов по полям в заголовке дейтаграммы отправителя.
no ip proxy-arp
Эта строчка отменяет proxy-arp — функцию ARP протокола, которая работает с широковещательными ARP пакетами, направляемыми между сетями. У нас нет необходимости включать эту функцию.
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
Эти строчки закрывают порты используемые netbios’ом. В принципе их можно и не ставить, это не сильно скажется на работе сети.
no cdp run
Строчка выключает Cisco Discovery Protocol. Если Вы собираетесь использовать команды вроде show cdp neighbors, то она не нужна.
Затем возвращаемся на более высокий уровень и проверяем полученную конфигурацию («show running» или можно сокращенно «sh run».
Если все нормально – сохраняем настройки в маршрутизаторе
Cisco805#copy running-config startup-config
В противном случае, при выключении питания на маршрутизаторе все сделанные нами настройки сбросятся.
Аналогично был настроен маршрутизатор CISCO 805 на втором конце канала. В качестве ip адреса для порта под V35 выбрали 192.170.270.2
Building configuration…
Current configuration : 1093 bytes
!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname bank2
!
boot-start-marker
boot-end-marker
!
enable secret 5 <removed>
!
no aaa new-model
ip subnet-zero
no ip source-route
!
username bank1 password 7 <removed>
!
!
!
interface Ethernet0
ip address 192.170.228.32 255.255.255.0
ip access-group 121 in
no ip proxy-arp
!
interface Serial0
description RCN
ip address 192.170.270.2 255.255.255.0
no ip proxy-arp
encapsulation ppp
!
router rip
network 192.170.270.0
network 192.170.228.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
ip http server
!
access-list 121 deny udp any eq netbios-dgm any
access-list 121 deny udp any eq netbios-ns any
access-list 121 deny udp any eq netbios-ss any
access-list 121 deny tcp any eq 137 any
access-list 121 deny tcp any eq 138 any
access-list 121 deny tcp any eq 139 any
access-list 121 permit ip any any
no cdp run
!
line con 0
exec-timeout 0 0
stopbits 1
line vty 0 4
exec-timeout 0 0
password 7 <removed>
login
!
end
В результате мы получили простейший канал, связывающий две Ethernet сети по протоколу ip через канал V.35. Так же возможно добавить строчки, относящиеся к протоколу IPX и связать сети по этому протоколу, но этого нам не требовалось.
Опыт эксплуатации.
Годовой опыт эксплуатации показал высокую надежность выбранного маршрутизатора. За это время не было ни одного сбоя вызванного его отказом. В то же время были выявлены и недостатки – реальная скорость передачи данных не превышала 300К, так как остальную часть 512К канала занимал служебный трафик производимый непосредственно маршрутизаторами. Впрочем, для решения поставленной задачи хватило и такого канала
Носов Николай Владимирович, кандидат технических наук, администратор информационной безопасности коммерческого банка.
Журнал CISCO для профессионалов. 1997 г.
Добавить комментарий