Предварительный список команд и примерная визуализация Планирую команды разделить на блоки 1. Настройка самого маршрутизатора (базовая настройка) 2. Настройка защиты маршрутизатора (пароли?) 3. Настройка правил фильтрации (ACL) 4. Настройка статической маршрутизации 5. Настройка динамической маршрутизации (BGP)* 6. Настройка трансляции NAT/PAT 7. Настройка правил качества обслуживания (QoS) 8. Настройка межсетевого экрана 9. Настройка правил IPS* 10. Настрока правил логгирования* 1. Настройка маршрутизатора (базовая) Команда Описание Визуализация 1 (config)# hostname {ИМЯ} Задает имя хоста Табличка на башне 2 (config)# interface {INT} Переход в режим настройки интерфейса 3 (config-if)# ip address {NET} {MASK} Задает адрес интерфейсов 4 (config-if)# bandwidth {ПОЛОСА} Задает скорость для расчета QoS 5 (config-if)# shutdown «опускает» интерфейс 6 # write Сохраняет текущий конфиг в файл начальной загрузки 7 # copy running-config startup-config Сохраняет текущий конфиг в файл начальной загрузки 8 # show interface [{INT}] Показать состояние интерфейса и количество ошибок Примечание Не визуализируется Нужна ли? Зарываются ворота Открыть — no shut Только из консоли Показать текущую конфигурацию Только из консоли 10 # show startup-config Показать начальную конфигурацию Только из консоли 11 # show ip interface brief Показать все адреса всех интерфейсов Только из консоли 9 # show running-config 2. Настройка защиты маршрутизатора Команда Описание Визуализация Примечание 1 (config)# enable secret {PASSWORD} Пароль на вход в привилегированный ЗамОк? режим 2 (config)# line vty {#}-{#} Вход в режим настройки терминальных линий (удаленного доступа) Не визуализир. 3 (config-line)# password {PASS} Задает пароль на доступ по telnet Для удаленного доступа 4 (config-line)# login Разрешает входить удаленно Для удаленного доступа 5 (config-line)# login local Задает использование локального пользователя для аутентификации Для удаленного доступа 6 (config)# username {ИМЯ} password {ПАРОЛЬ} Задает локального пользователя Для удаленного доступа 3. Настройка правил фильтрации 1 Команда Описание (config)# access-list # Стандартный список доступа с Визуализация Примечание Проверяется только {permit|deny|remark} {SNET} {SMASK} номером # адрес источника 2 (config)# access-list # {permit|deny|remark} {PROT} {SNET} {SMASK} [{eq|neq} {SPORT}] {DNET} {DMASK} [{eq|neq} {DPORT}] Расширенный список доступа с номером # Любой ACL проверяется построчно сверху вниз до первого совпадения 3 (config)# ip access-list standard {ИМЯ} Задает поименованный стандартный список доступа {ИМЯ} Поименованные и нумерованные листы работают одинаково 4 (config)# ip access-list extended {ИМЯ} Задает поименованный расширенный список доступа {ИМЯ} 5 (config-std-nacl)# {permit|deny|remark} {SNET} {SMASK} Задает строку поименованного стандартного списка доступа 6 (config-ext-nacl)# {permit|deny|remark} {PROT} {SNET} {SMASK} [{eq|neq} {SPORT}] {DNET} {DMASK} [{eq|neq} {DPORT}] Задает строку поименованного расширенного списка доступа 7 (config-if)# ip access-group {ИМЯ} {in|out} Применение списка доступа на интерфейс 8 # show access-list Посмотреть списки доступа 9 4. Настройка статической маршрутизации Проверяются: протокол (TCP/UDP), адреса источника и назначения, а также могут проверяться порты источника и назначения Табличка на входе Наверно, out не нужен, если у нас в башне всего 2 интерфейса. Применение несуществующего списка доступа не влияет на трафик Только из консоли? Команда Описание Визуализация Примечание 1 (config)# ip routing Включить маршрутизацию IPv4 Появляется башня. До этого — Без маршрутизации — прямая дорожка от ратуши? глобальный адрес на ратуше и шлюз — адрес провайдера 2 (config)# ip route {NET} {MASK} {next-hop} Задает маршрут в сеть NET/MASK с адресом пересылки next-hop Появляется указатель? Маршрут по умолчанию пишется ip route 0.0.0.0 0.0.0.0 {next-hop} 3 # show ip route Посмотреть таблицу маршрутизации Визуализация Примечание 5. Настройка динамической маршрутизации (BGP)* Пока пропустим. Это на будущее 6. Настройка NAT/PAT Команда Описание 1 (config-if)# ip nat {inside|outside} Указать, что интерфейс работает с трансляциями и в каком направлении Inside – внутренний outside - внешний 2 (config)# ip nat inside source static {LOC_IP} {GLOB_IP} Связывает LOC_IP с GLOB_IP. Анонс сервиса: РЕКЛАМА? Позволяет подменять как адрес источника при выходе наружу, так и адрес назначения при проходе внутрь Используется для анонсирования сервисов наружу, т.к. Можно обратиться на GLOB_IP и попасть на LOC_IP 3 (config)# ip nat pool {ИМЯ} {start_ip} {end_ip} Пул адресов для выдачи клиентам 4 (config)# ip nat inside source list {ACL} Задает динамическую трансляцию Если пул исчерпан, то pool {ИМЯ} NAT (адрес в адрес) новые ждут 5 (config)# ip nat inside source list {ACL} Задает динамическую трансляцию pool {ИМЯ} overload PAT (запоминает порты) Позволяет выпустить наружу очень много клиентов 6 (config)# ip nat inside source list {ACL} NAT в адрес интерфейса interface {INT} Очень коварная команда: наружу выйдет только 1 комп 7 (config)# ip nat inside source list {ACL} РАТ в адрес интерфейса interface {INT} overload Можно выпустить много 8 # show ip nat translations Показать трансляции В течение часа покажет то, что было сделано на предыдущем шаге? 7. Настройка правил качества обслуживания (QoS) Команда Описание 1 (config)# class-map {CLASSNAME} Создает класс трафика 2 (config-cmap)# match {ACL} Описывает, что попадает в этот класс 3 (config)# policy-map {POLICYNAME} Создает политику обработки трафика 4 (config-pmap)# class {CLASSNAME} Задает действие для выбранного класса 5 (config-pmap-с)# priority Указывает на приоритетную обработку пакетов класса 6 (config-pmap-с)# police {SPEED} Указывает максимальную скорость для передачи пакетов этого класса 7 (config-if)# service-policy {input|output} Применяет политику на интерфейс {POLICYNAME} Визуализация Примечание Дорога делится на полосы Наверно, достаточно только политики на output, т.к. у нас все линки точка-точка 8 # show policy-map Покажет настройки политики 9 # show policy-map interface {INT} Покажет статистику Только из консоли 8. Настройка межсетевого экрана Команда Описание 1 (config)# ip inspect name {INS} {PROTOCOL} Описывает правило, по которому будем запоминать сессии 2 (config)# ip inspect name maxincomplete {high|low} Позволяет задать максимальное (high) кол-во полуоткрытых сессий (будет рубить до low) 3 (config-if)# ip inspect {INS} {in|out} Применяет правило МСЭ на интерфейс 4 # show ip inspect sessions Покажет кэш сессий, созданных в предыдущем часе. 9,10,11 в процессе доработки (дополнительное) ЗЫ Надо будет обсудить мозговым штурмом визуализации. Думайте, коллеги. Визуализация Примечание Если ответный пакет не прибежал на следующей итерации, убираем все записи о ней (NAT, FW). Если не применять эту технологию, пусть будут эти записи виеть долго и тратить кэш NAT и FW Какая-нибудь хрень должна быть консоль