Настройка Cisco 800 Series для подключения к провайдеру по средствам ADSL

  ИНТРО

Частенько на форумах встречаются вопросы «какой выбрать ADSL маршрутизатор, что бы в нем было все и в работе не было проблем?» В ответ как правило начинают засыпать разнообразными модельками от ZyXEL, D-Link и т.д. Но ведь ни для кого не секрет, что лучшим телекоммуникационным оборудованием  являются железки от Cisco! В не каждый домашний бюджет они вписываются, но вот для предприятия, пусть даже очень маленького простейшие модели вполне по карману.



ЗАДАЧА

Настройка с помощью CLI (CDM рассматриваться не будет) Cisco 800 Series для подключения к ADSL провайдеру.



РЕШЕНИЕ

Для начала необходимо произвести базовые настройка маршрутизатора. Для этого подключаемся через консольный кабель, запускаем putty и подключаемся к serial порту к которому подключён кабель (скорее всего будет COM1). Не забываем произвести правильные настройки putty:

Speed:		9600
Data bits:	8
Stop bits:	1
Parity:		None
Flow control:	None

После включения маршрутизатора на экране должен отображаться процесс загрузки. Увидев приглашение, нажимаем Enter и вводим дефолтные логин (cisco) и пароль (cisco). В ответ получаем приглашение командной строки:

Router>

Переходим в привилегированный режим, в котором выполняются все основные операции,  следующей командой:

Router>enable
Router#

Далее можно сразу приступить к конфигурированию маршрутизатора, но я предпочитаю очищать дефолтный конфиг и настраивать с ноля. Для этого выполняем следующую команду и перегружаем роутер:

Router#erase startup-config
Router#reload

Далее подтверждаем желание перегрузиться и ждем…

В процессе загрузки маршрутизатор предложит войти в меню автоматической конфигурации, но мы вежливо отказываемся, ответив на вопрос no и дождавшись полной загрузки снова входим в привилегированный режим  (на это раз вводить логин и пароль не нужно). Для входа в меню конфигурации роутера вводим команду:

Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#

Задаем имя роутера и доменное имя и добавляем пользователя:

Router(config)#hostname R1
R1(config)#ip domain-name mydomain
R1(config)#username user privilege 15 password mypass

Теперь необходимо обеспечить элементарную безопасность роутера включив шифрование паролей, установив пароли на терминальное подключение и привилегированный режим а также включив ssh, который понадобиться в дальнейшем для управления маршрутизатором через сеть.

R1(config)#service password-encryption
R1(config)#line con 0
R1(config-line)#password mypassword
R1(config-line)#login
R1(config-line)#exit
R1(config)#enable secret mysecretpass
R1(config)#crypto key generate rsa 1024
R1(config)#ip ssh time-out 120
R1(config)#ip ssh authentication-retries 3
R1(config)#line vty 0 4 
R1(config-line)#transport input ssh
R1(config-line)#login local

В результате у нас будет установлен пароль на терминальное подключение mypassword, установлен пароль на привилегированный режим mysecretpass, сгенерирован 1024-битный rsa ключ для аутентификации через ssh и разрешено удалённое подключение только через ssh (телнет выключен) для которого создан пользователь user с наивысшими правами и паролем mypass.

Также за ненадобностью отключаем возможность управление роутером через SDM а так же протокол CDP:

R1(config)#no ip http server
R1(config)#no ip http secure-server
R1(config)#no cdp run

Теперь нужно назначить ip адрес маршрутизаторы, дабы им можно было управлять не только через консоль, но и через сеть. Для этого назначаем vlan'у номер 1 ip адрес (можно создать и новый vlan, но тогда нужно будет порту, который смотрит в локальную сеть назначать новый vlan, т.к. по умолчанию всем 4 портам назначен первый vlan).

R1(config)#interface vlan1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#ip nat inside
R1(config-if)#no shutdown
R1(config-if)#interface fastethernet 0
R1(config-if)#no shutdown
R1(config-if)#exit

Все, теперь можно управлять маршрутизатором через ssh указав ip 192.168.1.1, подключив первый порт роутера (Fa0) к сети. Этот же адрес будет адресом шлюза по умолчанию в локальной сети.

Теперь переходим к настройке подключения к провайдеру.

R1(config)#interface atm0
R1(config-if)#description Connectet to Ukrtelecom's DSLAM
R1(config-if)#no ip address
R1(config-if)#logging event atm pvc state
R1(config-if)#pvc 1/32
R1(config-if-atm-vc)#encapsulation aal5snap
R1(config-if-atm-vc)#pppoe-client dial-pool-number 1
R1(config-if-atm-vc)#exit
R1(config-if)#interface Dialer0
R1(config-if)#description ISP PPPoE
R1(config-if)#ip address negotiated
R1(config-if)#ip nat outside
R1(config-if)#ip mtu 1492
R1(config-if)#encapsulation ppp
R1(config-if)#dialer pool 1
R1(config-if)#ppp authentication pap callin
R1(config-if)#ppp pap sent-username ppplogin@dsl.ukrtel.net password ppppass
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 Dialer0

А теперь по-подробней: дня начала конфигурируем atm интерфейс, задав нужные параметры pvc и указываем тип инкапсуляции, далее настраиваем виртуальный интерфейс Dialer0, указав что ip получаем по DHCP от провайдера (ip address negotiated), включаем нат, указываем размер mtu, тип инкапсуляции (ppp), авторизации (ppp authentication pap callin) ну и задаем сами параметры авторизации - логин и пароль (ppplogin@dsl.ukrtel.net и ppppass соответственно). Напоследок назначаем маршрут по умолчанию.

Теперь настраиваем NAT и если необходимо, пробрасываем порт на внутреннюю машинку:

R1(config)#ip nat inside source list 1 interface Dialer0 overload
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80

Также необходимо на локальном интерфейсе (в нашем случае Fa0) указать размер mtu, выполнив команду:

R1(config-if)#ip tcp adjust-mss 1452

Все, настройка закончена... можно приступать к тестированию.

Для этого на компьютере, подключённом к локальной сети настраиваем параметры сети, указав шлюз по умолчанию - ip маршрутизатора, а днс - ip адреса OpenDNS (давненько пользуюсь, удобный сервис) либо DNS своего провайдера.

На этом все. На самом деле настроек гораздо больше, но в большинстве случаев должно хватить и этого.

Надеюсь кому-то эта статейка будет полезна. Комментарии, критика и пожелания приветствуются :)



P.S. Писал по памяти глядя на рабочие конфиги, так что могут быть неточности. Все настройки производились на Cisco 857, но по идее должны работать и на остальных 800-й серии, которые поддерживают ADSL. Для включения ssh необходим IOS advsecurityk9

smersh, 2008-10-11 в 15:05:37

Интересно написано, я бы к настройкам линий добавил бы еще аслы

le, 2008-10-14 в 11:59:24

параньше бы статейку эту...:) недавно сам этот велосипед изобретал..:)

Александр, 2008-11-10 в 5:19:27

А можно статейку по настройке Cisco PIX 506E настройку на работу фаерволом.

m0ps, 2008-11-11 в 10:53:54

пиксов в глаза и не видал...

А.С., 2009-01-06 в 23:03:41

хахах... 1. кто это сказал,что дороже,значит лучше? 2. D-Link давно обставили Cisco(это давно не секрет)

m0ps, 2009-01-06 в 23:20:52

А.С., lol :))))))

areon, 2009-02-12 в 16:11:13

Эх добавили бы еще про типы соединений ADSL,типа как настроить если у провайдер тип аунтификации PPPoA. И каким образом правильно включить фаервол. А так все супер.

camelot, 2009-02-15 в 11:19:13

Для SSH необходимо чтоб в названии имиджа было k9 (он может быть и адвансед ипи сервисез, но обязательно с к9). Также для ssh необходимо чтоб был указан домен (ip domain-name mydomain).

m0ps, 2009-02-15 в 21:05:21

эт ты к чему?

camelot, 2009-02-21 в 20:27:55

к PS: ... Для включения ssh необходим IOS advsecurityk9...

Mauzer, 2009-03-17 в 19:59:22

D-Link отстой )))) Cisco не сахар конечно но надежней будет.

Мимо ходом, 2009-09-29 в 14:10:59

Зюхели конечно попса но вполне сносная, у д-линков и элементная база хреновая и разводка плат (в модеме 2640, конденсаторы меняли раз в полгода...) Щас зюк стоит, почти не греется, прошивка правда иногда глючит =) Асусы тоже не плохие, местами даже исходники прошивки можно скачать =D

gh0st, 2010-01-31 в 19:11:05

незнаю как для укртелекома но для голдена пришлось добавить на dialer0 ppp ipcp dns request ppp ipcp address accept ну и ip dns server и сменить на chap аутентификацию

nik, 2010-06-16 в 19:56:30

вырезается дырка в корпусе д-линка, ставится винтилятор от проца на пень 1 и все окей нифига не греется

Horse, 2010-07-26 в 23:03:36

Статья правильная попробую 831 по аналогии настроить. ADSL у провайдера нет но присутствует PPP wan динамический логин и пароль.

camelot, 2010-08-03 в 10:23:14

У меня работает в такой конфигурации : interface FastEthernet0/0 mac-address 0002.a54c.2ac6 ip address dhcp ip flow ingress ip flow egress ip policy route-map LAN duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 no cdp enable ! interface FastEthernet0/1 no ip address duplex auto speed auto ! interface FastEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.0.1 255.255.255.0 ip flow ingress ip flow egress ip nat inside ip virtual-reassembly ! interface Dialer0 ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp ip policy route-map INET dialer pool 1 dialer-group 1 ppp chap hostname "vpnuser" ppp chap password "vpnpassword" ppp ipcp dns request ppp ipcp route default ppp ipcp address accept ! ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 10.1.21.254 250 ip route 10.0.0.0 255.0.0.0 FastEthernet0/0 10.1.21.254 ip nat inside source route-map INET interface Dialer0 overload ip nat inside source route-map LAN interface FastEthernet0/0 overload ! access-list 1 permit 192.168.0.0 0.0.0.255 ! route-map INET permit 10 match ip address 1 match interface Dialer0 ! route-map LAN permit 10 match ip address 1 match interface FastEthernet0/0 в данной конфигурации работает и локалка (10.0.0.0/8) и весь остальной интернет. полиси мапы на интерфейсе нужны для того чтоб натить в разные адреса пакеты которые идут в локалку и в инет.

Воткин, 2010-09-29 в 21:36:39

Как хорошо что я нашел эту статью! Сразу все заработало. Не помешало бы dhcp добавить. А то как-то не солидно руками ипшник писать

Liss, 2010-11-08 в 23:34:00

Очень полезное и хорошее пособие! Хочу отметить, по своему опыту знаю, что, не смотря на свою надежность, у Cisco не очень надежный ADSL порт, особенно в этой серии (800). Хочу отметить, что D-Link и Cisco работают в разных сферах, поэтому сравнивать их было бы не профессионально. Если сравнивать D-Link с кем-то, то с LinkSys (дочь Cisco)

Salimk, 2011-04-05 в 8:20:23

ADSL модемы мне кажется надо брать на свой вкус, хотя я эксплуатирую Dlink хорошие девайсы, модемы хорошо работают с нашим оператором Алматытелеком (Megaline), LinkSys тоже хороший девайс, а вот zyxel-ями намучался больше я их не ставлю, Мимо ходом на счет 2640 первый раз слышу, мне кажется очень удачная модель не греется и не ломается я их уже с десяток поставил никто пока не жаловался

goodman, 2011-04-18 в 17:52:28

статья супер спасибо огромное. получилось не сразу помогло interface atm0 no shutdown т.к. делал первый раз искал долго(

Aidar, 2011-07-08 в 10:59:59

здесь http://www.techrepublic.com/search?q=template+cisco есть Excel шаблоны для настройки рутеров, может кому поможет. сам воспользовался этим шаблоном http://www.techrepublic.com/downloads/use-this-template-to-create-your-own-ready-to-use-cisco-851w-or-871w-configuration-dhcp-or-cable-modem-internet-connections/258359

Mauzer, 2011-07-18 в 19:32:06

Нормально Zyxel работает в Алматытелеком (Megaline), быстро подымает DSL:))) + Cisco1721 , Zyxel бриджом настраивается, ppp-сессию подымает уже Cisco.

Mauzer, 2011-07-18 в 19:36:21

Если кому нужен конфиг для Megaline, напишите здесь.

tata_tt, 2011-09-21 в 12:30:19

Спасибо за очень подробную статью. ИМХО, для начинающих идеальная форма подачи материала. Только при выполнении команды R1(config)#crypto key generate rsa 1024 у меня IOS не приняла 1024, не прошло и modulus 1024. Разве generat-keys или usage-keys не обязательны? Откуда берется крипто ключ у Вас?

m0ps, 2011-09-21 в 12:32:00

надо crypto key generate rsa а потом он спросит сколько бит

tata_tt, 2011-09-21 в 12:53:01

m0ps, и больше по crypto ничего настраивать не надо?

Никто, 2012-04-28 в 11:00:13

Что ж никто не сказал, что список доступа надо отредактировать, если меняем адрес циски с дефолтного?

Шайтан, 2014-07-22 в 23:39:25

Серия статей про cisco 831. подключение к byfly, настройка NAT и многое другое. http://nettips.ru/article/cisco_800_pppoe_byfly.html

`Оставьте свой комментарий:`
`Ваше имя: *`
`e-mail:`
`жирный` `наклонный` `подчёркнутый` `ссылка` `цвет`	Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!
`Нынешний год: *`