Что бы маршрутизировать или терминировать трафик из разных подсетей, разделенных vlan-ами, нужно произвести соответствующую настройку на порту маршрутизатора. Со стороны коммутатора также нужна настройка порта, он должен быть настроен в режиме передающем и тегирующем все необходимые VLAN, в коммутаторах cisco такой порт называется транковым (trunk), в коммутаторах D-Link, 3Com и пр. такой порт называется tagged.
На маршрутизаторе Cisco настройка VLAN может быть произведена либо на отдельном физическом интерфейсе для каждого VLAN, либо на одном физическом интерфейсе для всех необходимых VLAN.
Использовать отдельный физический порт для каждого номера VLAN нецелесообразно, не выгодно и не логично, так как тратится много физических портов.
В случае использования одного физического интерфейса, настраивается отдельный логический подинтерфейс для каждого номера VLAN. В подинтерфейсе задаются необходимые параметры (номер VLAN, IP адрес, маска сети, acl и пр.)
Подинтерфейс на Cisco роутере можно создать в режиме глобальной конфигурации командой: «interface IFName IFNum.SubIfNum» (IFName — имя физического интерфейса, IFNum — номер физического интерфейса, SubIfNum — номер логического интерфейса/подинтерфейса)
Номер VLAN в режиме конфигурации подинтерфейса задаётся командой: «encapsulation dot1Q VlanNum» (VlanNum — номер VLAN)
Пример настройки подинтерфейсов для VLAN 100 и VLAN 200 на Cisco маршрутизаторе:
interface FastEthernet0/0
ip address 192.168.0.254 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 192.168.100.254 255.255.255.0
!
interface FastEthernet0/0.200
encapsulation dot1Q 200
ip address 192.168.200.254 255.255.255.0
!
В данном примере трафик с тегами 100 и 200 (vlan100 и vlan200) будет попадать на подинтерфейсы FastEthernet0/0.100 и FastEthernet0/0.200 соответственно. Не тегированный трафик (native), по умолчанию VLAN 1, в данном случае будет обрабатываться на физическом интерфейсе FastEthernet0/0 с заданным ip адресом 192.168.0.254
Номер подинтерфейса не обязательно должен совпадать с номером VLAN, так просто нагляднее.
Как настраивать VLAN на коммутаторах Cisco Catalyst и на фаерволе Cisco ASA, рассмотрим в следующих статьях.
Не редко провайдеры предоставляют доступ в сеть Интернет по протоколу PPPoE. При таком типе подключения пользователю выдаётся логин и пароль.
В роли PPPoE клиента может выступать и маршрутизатор Cisco, что бы его настроить нужно:
1. Создать и настроить интерфейс Dialer:
R1(config)#interface Dialer1
R1(config-if)# ip address negotiated
R1(config-if)# ip mtu 1492
R1(config-if)# ip nat outside
R1(config-if)# encapsulation ppp
R1(config-if)# dialer pool 1
R1(config-if)# ppp authentication chap callin
R1(config-if)#ppp chap hostname pppoe_user1
R1(config-if)#ppp chap password 0 cisco
R1(config-if)#exit
R1(config)#
NAT (Network Address Translation) — трансляция сетевых адресов, технология, которая позволяет преобразовывать (изменять) IP адреса и порты в сетевых пакетах.
NAT используется чаще всего для осуществления доступа устройств из сети предприятия(дома) в Интернет, либо наоборот для доступа из Интернет на какой-либо ресурс внутри сети.
Сеть предприятия обычно строится на частных IP адресах. Согласно RFC 1918 под частные адреса выделено три блока:
10.0.0.0 — 10.255.255.255 (10.0.0.0/255.0.0.0 (/8))
172.16.0.0 — 172.31.255.255 (172.16.0.0/255.240.0.0 (/12))
192.168.0.0 — 192.168.255.255 (192.168.0.0/255.255.0.0 (/16))
Эти адреса не маршрутизируются в Интернете, и провайдеры должны отбрасывать пакеты с такими IP адресами отправителей или получателей.
Для преобразования частных адресов в Глобальные (маршрутизируемые в Интернете) применяют NAT.
Помимо возможности доступа во внешнюю сеть (Интернет), NAT имеет ещё несколько положительных сторон. Так, например, трансляция сетевых адресов позволяет скрыть внутреннюю структуру сети и ограничить к ней доступ, что повышает безопасность. А ещё эта технология позволяет экономить Глобальные IP адреса, так как под одним глобальным адресом в Интернет может выходить множество хостов.
При первоначальной настройки маршрутизатор cisco необходимо подключить к COM порту компьютера, посредством специального консольного кабеля.
Кабель представляет собой с одной стороны разъём DB9 (female/мама) для подключения к COM порту компьютера, а с другой RJ-45 для подключения к консольному порту маршрутизатора (порт обведён в голубой цвет и имеет надпись Console, либо просто надпись Console на голубом фоне).
Консольный кабель Cisco
По умолчанию командный интерфейс CISCO имеет два уровня доступа:
1. User EXEC mode – 1-й уровень. Есть доступ к некоторой информации об устройстве, например, можно посмотреть статус сетевых интерфейсов, маршруты в таблице маршрутизации и т.д. Но изменить конфигурацию нельзя.
2. Privileged EXEC mode – 15-й уровень. Самый высокий. Все права.
Можно сконфигурировать права на выполнение определённых команд для каждого уровня от 0-го (самого ограниченного) до 15 (самого высокого). Таким образом, можно предоставить определённому пользователю ограниченные права на изменение конфигурации устройства (например, менять только настройки access-list, или настройки сетевого интерфейса), либо только на просмотр конфигурации и т.д.