9 Steps to Setting Up a Cisco Router

Downloads

98740.zip

Executive Summary:

Lavorare con un router Cisco e il sistema operativo Cisco Internetworking (IOS) è un ottimo modo per sperimentare i concetti di networking e l’attrezzatura e potrebbe essere buono per il tuo sviluppo professionale. Impara i passi di base dell’impostazione di un router Cisco per fornire l’accesso a Internet a una piccola rete.

Lavorare con un router Cisco e il sistema operativo Cisco Internetworking (IOS) è un ottimo modo per sperimentare i concetti di networking e l’attrezzatura e potrebbe essere un buon modo per la tua carriera. Puoi fare un po’ di esperienza pratica con IOS impostando un router Cisco sul bordo di Internet nel tuo laboratorio di prova al lavoro o nel tuo ufficio a casa. Un router Cisco vi permette una maggiore flessibilità (con controlli più granulari rispetto all’hardware Linksys o NETGEAR comunemente usato negli uffici domestici) se in seguito vorrete espandere la vostra configurazione per includere, ad esempio, un firewall Microsoft ISA Server sul back-end.

Passiamo attraverso i passi di base della configurazione di un router Cisco per fornire accesso a Internet a una piccola rete. Presumo che abbiate qualche conoscenza di base di IOS, incluso come accedere e come salvare e cancellare le configurazioni. Presumo anche che abbiate una solida conoscenza del networking, incluso cosa sia il Network Address Translation (NAT). Non coprirò elementi come l’impostazione dell’accesso Secure Shell (SSH) e l’irrigidimento delle liste di accesso. Puoi espandere queste aree quando ti sentirai a tuo agio e vorrai sperimentare di più.

Di cosa avrai bisogno

Ti serve un router Cisco con almeno due interfacce Ethernet. Un 806, 836, 851 o 871 è l’ideale per una configurazione domestica o per un piccolo ufficio – infatti, questi modelli sono orientati a questo. Puoi comprare un 851 per poche centinaia di dollari da vari rivenditori online. Tuttavia, un 2610 funziona altrettanto bene, e potreste averne uno nel cestino delle attrezzature del vostro ufficio che potete chiedere in prestito.

Il vostro router dovrebbe avere IOS 12.2 o successivo. Questo articolo è basato su un Cisco 851W con IOS 12.4, incluso il set di funzioni del firewall IOS.

Avete anche bisogno di un cavo console Cisco (a volte chiamato cavo rollover). Un’estremità ha un jack modulare a otto posizioni e otto conduttori da collegare al router; l’altra estremità ha un connettore seriale DB-9. Negli ultimi anni, i cavi della console che Cisco ha fornito con le sue apparecchiature sono di colore blu chiaro.

Hai bisogno di un computer con una porta seriale DB-9. Nella mia esperienza, i convertitori USB-seriale funzionano bene per questa applicazione. Avete anche bisogno di un computer con un programma di emulazione di terminale. HyperTerminal di Hilgraeve è disponibile con Windows XP, ma è stato rimosso da Windows Vista. Gli utenti di Vista possono scaricare Hyper- Terminal Private Edition 6.3 da www.hilgraeve.com/htpe/download.html. Gli utenti Mac OS X possono cercare su Google ZTerm, e gli utenti Linux, per minicom.

Connetti il router al PC, e avvia un programma di emulazione terminale

Connetti il router al tuo PC con il cavo della console, e avvia il tuo programma di emulazione terminale. Le impostazioni della porta sono 9600,8,N,1. Se non avete mai avuto accesso a un dispositivo direttamente tramite una connessione seriale asincrona, potreste chiedere assistenza a un veterano di Cisco.

Iniziate con il comando enable per entrare in modalità EXEC privilegiata. Poi digitate il comando erase startup-config per ottenere una configurazione vuota. Successivamente, riavviate il router con il comando reload. Assicuratevi di dire di no a un prompt di IOS che chiede se volete entrare nella finestra di dialogo della configurazione iniziale.

Questi passi potrebbero sembrare confusi se avete lavorato solo con dispositivi Cisco che sono in funzione in produzione. In questo caso, siete probabilmente più abituati a usare Telnet, o preferibilmente SSH, per configurare le apparecchiature. Questa non è un’opzione quando vuoi iniziare con una configurazione vuota, che impedirà qualsiasi accesso Telnet o SSH all’apparecchiatura per il momento.

Identificare le interfacce del router

Dai un’occhiata al retro del tuo router e identifica quali porte Ethernet userai per cosa. Una si collegherà al tuo dispositivo WAN, come un modem via cavo; un’altra si collegherà alla tua LAN. Se state usando un 851W, come me, noterete che le porte sono etichettate per voi: FastEthernet4 è l’interfaccia WAN e da FastEthernet0 a FastEthernet3 sono le interfacce LAN. L’851 include uno switch integrato a quattro porte, da cui le quattro interfacce LAN.

Se le interfacce del vostro router non sono etichettate, potete digitare il comando

show ip interface brief

dalla modalità EXEC privilegiata per trovare i nomi.

Configurare gli indirizzi IP

Ora potete iniziare la configurazione effettiva. Dovresti essere ancora in modalità EXEC privilegiata (se non lo sei, inserisci il comando enable), e inizia la modalità di configurazione del terminale inserendo

configure terminal

Tipa il comando

no ip domain lookup

per evitare che IOS cerchi di convertire qualsiasi errore di ortografia che fai in nomi di dominio. Puoi saltare questo passo se sei un perfetto dattilografo, suppongo.

Potresti anche voler inserire il comando

no logging console

per evitare che IOS emetta messaggi syslog sulla console mentre stai lavorando. Questi possono interferire notevolmente con la vostra digitazione.

Ora siete pronti per impostare un indirizzo IP per l’interfaccia LAN. Nel caso dell’851W su cui si basa questo articolo, si fa questo su un’interfaccia virtuale chiamata BVI1 che si riferisce alle interfacce LAN fisiche. Su altri router, potreste farlo sull’interfaccia fisica effettiva. Digitate

interface 

per entrare nella modalità di configurazione di quell’interfaccia. Per l’851W, il comando era

interface BVI1

Ora, assegnate all’interfaccia un indirizzo IP:

ip address 

Io sto usando 192.168.100.1 con una maschera di classe C, quindi il mio comando era come questo:

ip address 192.168.100.1 255.255.255.0

(Il comando è su due righe per scopi di pubblicazione, ma assicuratevi di inserirlo tutto su una riga). Potete anche usare la notazione Classless Inter-Domain Routing (CIDR) se preferite, che sarebbe come questa:

ip address 192.168.100.1/24

Avrete anche bisogno di impostare l’interfaccia WAN per usare il DHCP per ottenere il suo indirizzo IP. Per farlo, digitate

interface FastEthernet4

seguito dal comando

ip address dhcp

seguito dal comando exit per lasciare la modalità di configurazione dell’interfaccia.

Impostare le liste di accesso

In seguito, è necessario configurare due liste di accesso, entrambe applicate nella direzione in entrata. Notate che nel resto di questo articolo, uso frequentemente i termini in entrata e in uscita. Come mostra la Figura 1, in entrata si riferisce al traffico che entra nell’interfaccia; in uscita si riferisce al traffico che lascia l’interfaccia.

Figura 1: Traffico del router in entrata e in uscita

L’elenco 1 mostra le due liste di accesso: La prima sarà applicata all’interfaccia LAN (nel mio caso, BVI1), e la seconda sarà applicata all’interfaccia WAN (nel mio caso, FastEthernet4).

La lista d’accesso 100 sarà applicata all’interfaccia LAN. La prima linea imposta la lista di accesso e pone il router in modalità di configurazione della lista di accesso. La linea successiva permette a qualsiasi traffico IP corrispondente alla rete (192.168.100.0/24) di passare nell’interfaccia. Se la subnet mask vi sembra strana, non è un errore di battitura. IOS usa maschere di sottorete inverse nelle sue liste di accesso. Potete calcolarle manualmente abbastanza facilmente sottraendo ogni ottetto della vostra maschera standard da 255. Così la maschera 255.255.252.0 diventa 0.0.3.255, 255.252.0.0 diventa 0.3.255.255, e così via.

La terza linea nega qualsiasi altro traffico di entrare nell’interfaccia LAN. Anche se tutte le liste di accesso hanno un implicito “deny all” alla fine, includere una linea esplicita di “deny” è una buona pratica per sapere dove finisce la tua lista di accesso e per aiutare la leggibilità della tua configurazione. L’ultima linea porta il router fuori dalla modalità di configurazione dell’elenco di accesso.

L’elenco di accesso 101 sarà applicato all’interfaccia WAN. La prima linea imposta l’elenco di accesso e pone il router nella modalità di configurazione dell’elenco di accesso. Io uso un modem via cavo, quindi la linea successiva permette al traffico DHCP (bootps e bootpc) di entrare nell’interfaccia WAN. Senza questa voce, la mia interfaccia WAN non riceverebbe mai un indirizzo IP pubblico, e non potrei mai andare su Internet. Puoi usare la stessa configurazione in un laboratorio di prova se hai un server DHCP impostato e se il tuo team di rete è d’accordo con quello che stai facendo. La terza e la quarta linea permettono a qualsiasi traffico TCP e UDP da qualsiasi fonte destinato a qualsiasi luogo di entrare nell’interfaccia WAN.

La quinta, sesta e settima linea permettono a qualsiasi traffico Internet Control Message Protocol (ICMP) che proviene da qualsiasi fonte; è diretto a qualsiasi destinazione; ed è un messaggio echo-reply, time-exceeded, o unreachable di entrare nell’interfaccia WAN. Dovresti essere cauto su quali tipi di traffico ICMP permetti alla tua rete perché ICMP può essere usato per vari exploit, specialmente attacchi Denial of Service (DoS). Comunque, hai bisogno di queste tre linee per usare ping e traceroute per la risoluzione dei problemi. Le ultime due linee sono le stesse della lista di accesso LAN.

Configura l’ispezione di base TCP/UDP/ ICMP

La mia versione di IOS include il set di funzioni del firewall IOS. Se lo fa anche la vostra, vorrete sicuramente usarla. Anche se il firewall IOS non offre la profonda ispezione del livello delle applicazioni che, per esempio, fa un firewall ISA Server, abilitarlo è una buona idea per due motivi. Il primo è quello di garantire che il traffico che pretende di essere TCP, UDP o ICMP sia effettivamente TCP, UDP o ICMP. La seconda è che abilitare questa ispezione abilita anche il Context-Based Access Control. CBAC permette a IOS di creare voci di liste di accesso dinamiche che permettono al traffico di ritorno di fluire attraverso il router. Anche se le nostre liste di accesso di cui sopra sono molto generiche (ad esempio, tutto il TCP è permesso), una volta che la vostra configurazione funziona, vorrete certamente renderle più rigide, impostare server interni raggiungibili da Internet, e così via. Dopo aver fatto questo, CBAC permetterà al traffico di ritorno di passare attraverso il router. Per esempio, se navighi su Amazon.com, CBAC metterà dinamicamente delle voci nella lista di accesso in entrata applicata alla tua interfaccia esterna (WAN) per permettere al traffico di ritorno da Amazon.com di entrare nel router. Quando la connessione viene chiusa, queste voci vengono rimosse dinamicamente.

Prima di tutto, impostate una soglia di timeout TCP SYN per aiutare a mitigare gli attacchi DoS SYN flood:

ip tcp synwait-time 30

Questo comando dice a IOS di eliminare qualsiasi sessione TCP che non viene stabilita entro 30 secondi.

Prossimo, impostate una regola di ispezione per ICMP, TCP e UDP:

ip inspect name InspectRule icmp ip inspect name InspectRule tcp ip inspect name InspectRule udp

(Potete sostituire InspectRule con un nome che preferite.)

Applicate le liste di accesso e le regole di ispezione

Ora, applicate sia le liste di accesso che le regole di ispezione alle interfacce appropriate in entrata. Per l’interfaccia WAN – nel mio caso, FastEthernet4 – prima entrate nella modalità di configurazione dell’interfaccia:

interface FastEthernet4

Poi applicate la lista di accesso:

ip access-group 101 in

(Notate che qui usate access-group, non access-list.) Poi applicate la regola di ispezione:

ip inspect InspectRule in

E infine, uscite dalla modalità di configurazione dell’interfaccia:

exit

In seguito, per l’interfaccia LAN (BVI1, in questo esempio), digitate:

interface BVI1 ip access-group 100 in ip inspect InspectRule in exit

Qualcuno di voi si starà chiedendo se è possibile applicare la regola di ispezione IP nella direzione in uscita così come o al posto di quella in entrata. La risposta è sì, è possibile.

Impostare il NAT

Ora è necessario impostare il NAT per tradurre gli indirizzi tra la rete interna 192.168.100.0/24 e l’Internet pubblica. Per prima cosa, impostate una lista di accesso da usare solo per il NAT:

ip access-list standard 10 permit 192.168.100.0 0.0.0.255 deny any exit

Come prima, la prima linea pone il router in modalità di configurazione della lista di accesso. Si noti che la lista di accesso qui è standard e non estesa. Le liste di accesso standard permettono di permettere o negare solo il traffico da specifici indirizzi IP o reti. Non permettono di specificare la destinazione o il tipo di traffico come fanno le liste di accesso estese. La seconda linea identifica il traffico che volete tradurre. Il codice qui sopra permette a qualsiasi traffico sulla LAN interna di essere tradotto per Internet. La terza linea impedisce a qualsiasi altro traffico di essere tradotto, e la quarta linea porta il router fuori dalla modalità di configurazione della lista d’accesso.

In seguito, si identifica a IOS quali interfacce parteciperanno al NAT:

interface BVI1 ip nat inside exit interface FastEthernet4 ip nat outside exit

Queste linee dicono a IOS che l’interfaccia LAN, BVI1, conterrà gli indirizzi che devono essere tradotti, mentre l’interfaccia WAN, FastEthernet4, contiene gli indirizzi esterni a cui gli indirizzi interni saranno tradotti.

Infine, inserite la dichiarazione NAT vera e propria (tutta su una linea):

ip nat inside source list 10 interface FastEthernet4 overload

Questo comando dice a IOS di tradurre qualsiasi indirizzo identificato nella lista di accesso 10 all’indirizzo assegnato a FastEthernet4. La parola chiave overload permette ad un indirizzo pubblico di essere condiviso tra diversi indirizzi privati interni.

Abilita le interfacce e disabilita STP

Sei quasi pronto per testare la tua configurazione. Prima, però, devi assicurarti che ogni interfaccia non sia in stato di spegnimento. Per farlo per FastEthernet4, digitate:

interface FastEthernet4 no shutdown exit

Vorrete fare questo per ogni interfaccia fisica del vostro router.

A questo punto, potete disconnettere il cavo della console e collegare il PC ad una porta LAN del router con un cavo Ethernet. Puoi quindi accedere al router aprendo una connessione Telnet (preferibilmente protetta con SSH) all’indirizzo IP LAN del router. Tieni il cavo della console a portata di mano, però, nel caso in cui tu faccia un cambiamento di configurazione che proibisca l’accesso Telnet. Un client Telnet è incluso nella maggior parte dei sistemi operativi.

Potresti anche voler disabilitare lo Spanning Tree Protocol (STP) sulla tua interfaccia interna LAN se il tuo router lo permette. Se hai intenzione di impostare una complessa rete di switch sulla tua rete, allora non disabilitare STP; ma per una piccola rete, disabilitare STP permette ai tuoi dispositivi LAN interni di connettersi al router fino a 30 secondi più velocemente. Per ogni interfaccia LAN (nel mio caso, da FastEthernet0 a FastEthernet3), inserite

interface FastEthernet0 spanning-tree portfast exit

Testate la vostra configurazione

Ora è un buon momento per salvare la vostra configurazione. Digitate

copy running-config startup-config

per salvare il vostro lavoro nella memoria non volatile e assicurarvi che la vostra configurazione sia conservata attraverso il riavvio del router, le interruzioni di corrente, e così via.

Dovreste anche inserire il comando

show running-config

per emettere una copia della configurazione appena creata sul vostro schermo. Puoi copiare e incollare questa configurazione in un editor di testo per un riferimento successivo. Si può anche modificare la configurazione in un editor di testo e incollarla in una sessione terminale per apportare modifiche al router. A questo punto la vostra configurazione dovrebbe essere simile al listato 2. Nota che il listato 2 omette molte linee di configurazione che sono automaticamente inserite o incluse per default. Il listato 2 si concentra sui comandi che hai inserito sopra.

Puoi ora collegare un cavo Ethernet alla porta WAN del router, e provare ad andare su Internet. Nota che i tuoi host interni della LAN dovranno usare l’indirizzamento IP statico se non hai un server DHCP presente.

Cosa c’è dopo?

Le possibilità da qui sono infinite. Sicuramente vorrete impostare nomi utente e password per l’accesso al vostro router, impostare l’accesso Telnet e/o SSH (se non l’avete già fatto), e limitare l’accesso a vari indirizzi IP. Dovresti anche considerare di modificare le tue liste di accesso per negare gli intervalli IP privati e non instradabili (detti bogon) dalla possibilità di raggiungere la tua rete.

Puoi anche rendere il tuo router un server DHCP, impostare l’accesso VPN con il router come endpoint, aggiungere dichiarazioni NAT e voci di liste di accesso per accedere a un server Web sulla tua rete interna da Internet, o mettere un firewall ISA Server tra il router e i tuoi client LAN. Nel corso del tempo, ho modificato la mia configurazione per diventare molto più complessa di quella presentata in questo articolo. Non abbiate paura di leggere della documentazione aggiuntiva (consiglio vivamente la serie Cisco Field Manual pubblicata da Cisco Press), fate domande ai vostri guru Cisco e sperimentate!