маршрутизатор Nateks Networks 1601V
введение
Многие организации зачастую сталкиваются с проблемами, когда массовое потребительское оборудование не в силах удовлетворить их требования. Тогда приходится прибегать к использованию устройств, ориентированных на корпоративный рынок. И дело тут не только и не столько в производительности, сколько в функциональности, стабильности и надежности.
Маршрутизатор Nateks 1601V прекрасно подойдет для некоторых сценариев. Например, для организации доступа в Интернет малых организаций (базовая возможность практически любого подобного устройства), для подключения удаленных офисов к корпоративной сети по защищенному каналу, при этом используется аппаратное решение для шифрования трафика. Поддерживается также технология динамического GRE-туннелирования с выделением адресов и интеллектуальным распознаванием удаленных маршрутизаторов. Одной из особенностей маршрутизатора, расширяющих возможные варианты применения, является наличие слота для установки WIC-модулей для разных типов подключения к внешней сети.
Рис. 1. Маршрутизатор Nateks 1601V: вид спереди.
внешний вид и комплект поставки
Комплект поставки, кроме самого маршрутизатора, содержит блок питания, комплект кабелей и документацию.
Маршрутизатор имеет настольное исполнение и по ширине соответствует 19-дюймовому форм-фактору. Корпус сделан из серого пластика, поэтому устанавливать его в стойку можно лишь с использованием полки - монтаж при помощи петель выполнить не удастся в связи с недостаточно прочным для такой нагрузки корпусом.
Верхняя часть маршрутизатора имеет вентиляционные щели. Отметим, что в маршрутизаторе используется лишь пассивное охлаждение и нет ни одного вентилятора.
Рис. 2. Маршрутизатор Nateks 1601V: внутри.
На передней панели маршрутизатора расположены индикаторы, отображающие его работу. Всего индикаторов восемь. Слева направо: "Питание/Power", "System" и по два индикатора ("Слот/Slot" и "Активность/Activity") для каждого из трех интерфейсов: слот расширения, WAN и LAN.
Задняя панель более интересна. Маршрутизатор имеет внешний источник питания, что положительно сказывается на тепловом режиме работы. Для подачи питания используется небольшой разъем (напряжение 12 В, ток 1,5 А). Рядом с ним расположен выключатель питания. Порт LAN тоже располагается на задней панели - это стандартный порт Ethernet. Рядом с ним расположен порт WAN.
Рядом с этими портами находится слот, поддерживающий различные WIC-модули расширения. В него можно установить один из четырех модулей, выпускаемых Nateks-Networks. Например, можно установить однопортовый модуль Ethernet 10 Base-T, однопортовый ADSL-модуль, однопортовый ISDN- модуль с интерфейсом S/T или модуль однопортового аналогового модема. В принципе, этого достаточно для большинства сценариев. В остальных случаях можно воспользоваться дополнительным оборудованием, например, модемом SHDSL при работе на линиях SHDSL или беспроводным маршрутизатором при работе в беспроводной сети.
Рис. 3. Маршрутизатор Nateks 1601V: вид сзади.
На задней панели есть еще два разъема: AUX и CONSOLE, а также заземляющий контакт.
Для настройки маршрутизатора нужно использовать консольное подключение. Поскольку кабель поставляется в комплекте, то проблем с подключением не возникнет. Конечно, если у вас на компьютере есть последовательный порт. Производитель позаботился о пользователях, и консольный кабель имеет два разъема для подключения к компьютеру: 9-контактный и 25-контактный. Отметим, что со стороны маршрутизатора используется стандартный разъем RJ-45.
Настройкой маршрутизатора мы занимались из операционной системы Windows XP, используя стандартную утилиту HyperTerminal. Подключение почти не требует настройки, разве что нужно изменить скорость с 2400 бит/с на 9600 бит/с. После этого подключение начнет работать. Мы решили идти по порядку и начать с экрана загрузки маршрутизатора. Во время загрузки в консоли отображаются некоторые системные параметры, которые были нам интересны. Так, система использует загрузчик версии 2.6 и операционную систему NXOS, больше, к сожалению, здесь ничего не видно. По завершении загрузки мы получаем интерфейс командной строки маршрутизатора.
Конечно, если вы ожидали увидеть привычный сегодня веб-интерфейс, то будете разочарованы. Но следует иметь в виду, что это не домашнее устройство, а серьезная модель, способная справиться с такими задачами, которые не под силу простым потребительским моделям. Есть и приятные новости. Особенно это касается тех, кто уже знаком с маршрутизаторами Cisco, - язык настройки если и не полностью идентичен, то, как минимум, очень похож на IOS.
интерфейс настройки
Для отображения доступных команд можно ввести знак вопроса, после чего, на экране появится список.
router>
enable Turn on privileged mode command
exit Exit current mode and down to previous mode
help Description of the interactive help system
ping Ping command to test if the net is correct
quit Exit current mode and down to previous mode
rlogin Open a rlogin connection
show Show running system information
telnet telnet
terminal Set terminal line parameters
traceroute Trace route to destination
Конечно, это не все, на что способен маршрутизатор. Гораздо больше можно увидеть, войдя в привилегированный режим. Что касается обычного режима, то его вполне достаточно для проверки работоспособности устройства. Кстати, здесь же можно посмотреть и более подробную информацию о системе. Вполне понятно, что для этого нужно воспользоваться командой "show", она имеет параметры, список которых можно получить, набрав "show ?". Нам интересна версия системы, поэтому мы набираем "show ver", полностью набирать "show version" не имеет смысла - достаточно лишь написать начало команды для однозначного ее распознавания.
router> show ver
NXOS (version 2.1 Release02.26.00)
Compile time : Jun 28 2005 16:28:16 .
BootRom Version: 2.6
Product Serial Number: 01010152H14104C000317
Manufacture Date: 2005-06-27
LAN0's MAC address: 00:0F:D9:00:41:49
RT-1601V MainBoard Hardware Version: 1.41
Memory size: 32M
1ETH(slot1): Hardware Version: 1.10 Mac address: 00:0F:D9:00:41:BF
VPN Card(slot0): Hardware Version: 1.10
Посмотрев информацию о системе, перейдем к наиболее интересному для нас - к настройке. Для этого переключаемся в привилегированный режим, используя команду "enable". Смена режима сказалась и на строке приглашения - после названия устройства появился символ решетки. Посмотрим, какие команды доступны здесь.
router#
clear Reset functions
configure Configuration from vty interface
copy copy image with tftp protcol
debug Debug information
diagnosis Enter diagnosis configuration
disable Turn off privileged mode command
erase release config in flash
exit Exit current mode and down to previous mode
help Description of the interactive help system
ip setting ip address
logging Logging messages
no Negate a command or set its defaults
ping Ping command to test if the net is correct
quit Exit current mode and down to previous mode
reboot Reboot system
rlogin Open a rlogin connection
sdlc Send SDLC test frames
show Show running system information
start-chat Start a chat-script on a line
telnet telnet
terminal Set terminal line parameters
time system time
traceroute Trace route to destination
write Write running configuration to flash
Все эти команды можно использовать для настройки маршрутизатора. Нам наиболее интересно настроить те параметры, которые нужны для начала работы маршрутизатора. Для этого перейдем в режим настройки VTY. Этот режим, в свою очередь, позволяет задать все необходимые параметры маршрутизатора.
router(config)#
aaa-enable Authentication, Authorization and Accounting
access-list Add an access list entry
arp ARP entry
banner Set banner string
bridge Bridge Group
chat-script Define a modem chat script
class-map Configure Qos class map
clear Clear ip prefix-lists
com-server Com server
crypto Crypto setting
custom-list Config custom queue list
dhcp Dhcp server configuration
dialer-list Create a dialer list en
dlsw Data Link Switching global configuration commands
enable Modify enable password parameters
encrypt-card Encrypt card option
exit Exit current mode and down to previous mode
flow-interval Set time interval of rate statistic
frame-relay Frame-relay protocol
gratuitous Send gratuitous arp when interface up
help Description of the interactive help system
hostname Set system's network name
interface Interface infomation
ip IP information
ipsec IP security setting
key Authentication key management
line Configure a terminal line
logging Modify message logging facilities
map-class Create map-class or enter map-class command mode
modemcap Modem Capabilities database
multilink PPP multilink global configuration
multilink-user Set multi-link bind interface by username
no Negate a command or set its defaults
ntp Start NTP
policy-map Configure QoS policy map
pppoe PPPOE global configuration
priority-list Config priority queue list
proxy Set proxy function
quit Exit current mode and down to previous mode
rate-limit rate-limit
route-map Create route-map or enter route-map command mode
router Enable a routing process
service Modify use of network based services
set Set Time Zone
show Show running system information
snmp-server Modify SNMP parameters
standby Global HSRP configuration commands
tcp TCP information
tftp-server enable tftp server
time-range Command time-range
tty-server Terminal application
username Establish User Name Authentication
vpdn Configure VPDN
vpdn-group Configure VPDN Group
watchdog Enable or disable the watchdog
x25 X.25 Packet Layer Protocol
Здесь нам наиболее интересна команда interface, которая позволяет настроить сетевые интерфейсы, что позволит выполнить дальнейшую настройку по сети, без использования специального кабеля. Для настройки интерфейса команда выполняется с соответствующим параметром. В случае интерфейса LAN параметр - eth0/0, WAN - eth1/0. Тогда задание адресов 192.168.10.1/24 и 192.168.11.1/24 для интерфейсов LAN и WAN будет выглядеть следующим образом:
router(config)# interface eth0/0
router(config-if-eth0/0)# ip address 192.168.10.1/24
router(config-if-eth0/0)# interface eth1/0
router(config-if-eth1/0)# ip address 192.168.11.1/24
После выполнения этих команд портам маршрутизатора будут присвоены соответствующие адреса. Однако этого недостаточно для работы с
маршрутизатором по сети. Конечно, он уже будет отвечать по установленным адресам, но управлять им все еще будет невозможно: при попытке подключения вы увидите сообщение о том, что пароль VTY не задан. Конечно, если маршрутизатор всегда находится у вас под рукой, то, возможно, не стоит озадачиваться доступом к интерфейсу настройки по сети, однако чаще бывает так, что маршрутизатор установлен в другом помещении, офисе, городе, или даже в другой части света. При этом не всегда есть возможность оказаться не только в другой части света, но и попасть в соседнее помещение. Тогда и осознается польза от удаленного доступа к интерфейсу настройки. В нашем случае для того, чтобы получить к нему доступ по сети, осталось сделать всего один шаг - задать пароль VTY. Для этого нужно воспользоваться все тем же разделом настройки router(config)#. Выполняем команду line с параметром VTY, который позволит задать необходимый нам пароль. Команда переключит интерфейс на настройку режима vty. Кстати, здесь доступны следующие команды:
router(config)# line vty 0
router(config-line-vty0)#
access-class Filter connections based on an IP access list
application Tty server application
autocommand Automatically execute an EXEC command
com-service Com service
exec Configure EXEC
exec-banner Enable the display of the EXEC banner
exec-timeout Set the EXEC timeout
exit Exit current mode and down to previous mode
help Description of the interactive help system
history Enable and control the command history function
length Set number of lines on a screen
login Enable password checking
no Negate a command or set its defaults
password Set a password
privilege Change privilege level for line
quit Exit current mode and down to previous mode
show Show running system information
Из них нам более всего интересна команда задания пароля - password. Мы выбрали скрытый пароль, для чего указали соответствующий параметр (7) и набрали новый пароль, в нашем случае - password.
router(config)# line vty 0
router(config-line-vty0)# password 7 password
После выполнения всех указанных выше команд маршрутизатор получил IP-адреса для своих интерфейсов, а администратор - возможность удаленной настройки.
дополнительные настройки
После задания всех основных настроек, думаем, не лишним будет еще немного обезопасить маршрутизатор от чужих рук. Так, можно ограничить использование привилегированного режима, когда для переключения в него потребуется ввести пароль.
В этом и во всех описанных ниже случаях, предполагается, что мы уже находимся в привилегированном режиме настройки маршрутизатора и выполнили команду configure terminal для входа в режим настройки устройства.
Как и прежде, мы будем использовать пароль - password. Тогда для задания такого пароля на переход в привилегированный режим потребуется выполнить следующую команду (7 - режим скрытого ввода пароля):
router(config)# enable password 7 password
Такая настройка достаточно гуманна, то есть к консольному интерфейсу настройки доступ ничем не ограничен, и любой, кто может подключиться кабелем непосредственно к маршрутизатору, может получить доступ в непривилегированный режим и выполнить диагностические команды. Однако, это уместно не во всех случаях. Поэтому покажем, как можно ограничить доступ и к этой части интерфейса настройки.
router(config)# line console 0
router(config-line-console0)#
router(config-line-console0)# password 7 password
Теперь и для этого подключения придется ввести пароль. Вообще, рекомендуем ограничить доступ ко всем возможным интерфейсам, иначе смысл установки всех ограничений сводится на нет.
Для некоторых функций маршрутизатора не обойтись без создания собственных ключей. Для этого используется команда crypto. Мы решили показать, как можно сгенерировать новые ключи на маршрутизаторе, воспользовавшись этой командой. Мы остановились на параметрах ключей по умолчанию, то есть длинной 512 бит.
router(config)# crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your General
Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 512
Generating RSA keys ...
[OK]
списки доступа
Подробно остановимся на так называемых списках доступа. Списки доступа (или access-lists) представляют собой правила, на основании которых маршрутизатор принимает решение о том или ином действии над пакетом данных. В общем случае списки доступа имеют уникальные идентификаторы, которые могут состоять как из цифр, так и из букв. Однако традиционным считается использование нумерованных списков доступа, причем нумерация имеет определенный смысл. Так, стандартные списки IP имеют номера от 1 до 99 (проверяют только адрес источника), расширенные списки IP - от 100 до 199 (проверяют адреса источника и назначения, порты и прочее). Списки доступа могут работать с такими критериями, как адреса отправителя и получателя, протокол и его особенности. Важно отметить, что для каждого элемента списка доступа выделяется отдельная строка, при этом в каждом списке может быть как одна, так и несколько строк. Если вы знакомы с технологиями работы межсетевых экранов, то знаете, что при прохождении через них пакеты проверяются набором правил, которые расположены в определенном порядке, причем проверка происходит до первого соответствия. Таким образом, порядок правил имеет огромное значение. То же самое и со списками доступа. Из особенностей реализации списков доступа на маршрутизаторах отметим, что при добавлении нового критерия, он помещается в самый низ. Кстати, все, что можно делать со списком, - это добавлять критерии, удалять и менять порядок нельзя. Последним критерием каждого списка является запрет всего.
Но мало только создать список, его нужно еще и применить к нужному интерфейсу, причем здесь тоже есть свои особенности, которые сначала могут показаться немного странными, однако в дальнейшем - вполне разумными. Так, интерфейс "е" может работать более чем с одним списком доступа для какого-то конкретного протокола (это вполне логично - после проверки одного списка во второй не попадет ничего, кроме явно разрешенного на первом).
Router(config)#access-list 1 permit 192.168.10.0/24
router(config)#access-list 102 permit icmp any any
router(config)#interface eth0/0
router(config-if-eth0/0)# ip access-group 102 in
На этом, думаем, можно закончить знакомство с языком маршрутизатора Nateks Networks 1601V, который очень близок к языку Cisco. Именно благодаря такому близкому синтаксису, можно без труда разобраться в любом продукте, имеющем подобный язык, если вы когда-либо уже имели дело с родственными решениями.
тестирование безопасности
Выполнив настройку маршрутизатора как указано выше, мы решили протестировать его на предмет наличия открытых портов и уязвимостей. Для проведения тестов мы выбрали систему Xspider Build 1549 с профилем ScanCisco для сетей с Cisco-антисканерами. В результате достаточно продолжительного тестирования был обнаружен только один открытый порт - 23/TCP, сервис на котором определить не удалось.
заключение
Маршрутизатор Nateks Networks 1601V предлагает достаточный для любого применения набор возможностей, среди которых отметим установку WIC- модулей. Маршрутизатор оснащен встроенной схемой шифрации данных, что позволит работать с потоком VPN на аппаратном уровне. Такая конфигурация позволит решить задачи не только обеспечения доступа в Интернет для небольших офисов и организаций, но и объединить сети нескольких территориально разделенных офисов одной организации, используя в качестве транспорта Интернет. Что касается интерфейса настройки, то он выполнен на профессиональном уровне. Администраторы, знакомые с оборудованием Cisco, смогут настроить такой маршрутизатор за считанные минуты, без необходимости изучать новые команды. Приятно, что компания Nateks Networks не стала изобретать велосипед, а воспользовалась известным, проверенным временем языком настройки.
Маршрутизатор оставил самые приятные впечатления и в отношении энергопотребления и, соответственно, тепловыделения. Так, после нескольких часов работы его корпус оставался лишь чуть теплым, и это при том, что в системе охлаждения нет ни одного вентилятора.
Преимущества:
- поддержка VPN;
- поддержка различных протоколов маршрутизации;
- поддержка различных интерфейсов;
- язык, близкий к Cisco IOS;
- низкое энергопотребление.
Недостатки:
- высокая цена;
- отсутствие веб-интерфейса.
технические характеристики маршрутизатора Nateks 1601V
Количество WAN-слотов 1
Возможность передачи 12 KPPS
Встроенные порты 1 порт AUX, 1 консольный порт и 1 порт 10BaseT
BOOT ROM 512 Kб
FLASH RAM 4 Mб
SDRAM 32 Mб
Протоколы 2- го уровня PPP X .25, Frame Relay, РРРОЕ, HDLC, SDLC, SUP VLAN, STR LPAB
Безопасность ACL , NAT/PAT, аутентификация маршрутов, AAA, RADIUS, фильтрация IP-пакетов, инспектирование IP-пакетов, CallBack , шифрование данных
Протоколы маршрутизации RIP, IGRP, EIGRP, BGP, OSPF, IS - IS, статическая маршрутизация, маршрутизация по приоритетам
Групповая передача IGMP, PIM
Функции IP ProxyARP, маршрутизация по приоритетам, балансировка нагрузки (multilink L 3 traffic), Unnumbered IP, transparent NetBIOS, NTP, компрессия заголовков TCP и IP-трафика
Приложения ping, traceroute, telnet, static DNS, TFTP, DHCP Relay, DHCP Client, DHCP Server, Rlogin
VPN DVPN, MPLS VPN, VPDN, GRE, L2TP, IPSEC (аппаратное шифрование в 1601V), IKE (поддержка траверса NAT)
Функции системы конфигурирование через Telnet/Console, удаленный доступ через модем, dump terminal, syslog, COMSERVER и reverseTelnet Управление CLI, SNMP и RMON
Размеры (ШхГхВ) 192,5х350,8х45 мм
Вес 1,5 кг
Энергопитание внешний адаптер напряжения (~220 В на -12 В /1,5 А)
Максимальная потребляемая мощность 18 Вт
Андрей Пировских, Tom’s Hardware Guide
Многие организации зачастую сталкиваются с проблемами, когда массовое потребительское оборудование не в силах удовлетворить их требования. Тогда приходится прибегать к использованию устройств, ориентированных на корпоративный рынок. И дело тут не только и не столько в производительности, сколько в функциональности, стабильности и надежности.
Маршрутизатор Nateks 1601V прекрасно подойдет для некоторых сценариев. Например, для организации доступа в Интернет малых организаций (базовая возможность практически любого подобного устройства), для подключения удаленных офисов к корпоративной сети по защищенному каналу, при этом используется аппаратное решение для шифрования трафика. Поддерживается также технология динамического GRE-туннелирования с выделением адресов и интеллектуальным распознаванием удаленных маршрутизаторов. Одной из особенностей маршрутизатора, расширяющих возможные варианты применения, является наличие слота для установки WIC-модулей для разных типов подключения к внешней сети.
Рис. 1. Маршрутизатор Nateks 1601V: вид спереди.
внешний вид и комплект поставки
Комплект поставки, кроме самого маршрутизатора, содержит блок питания, комплект кабелей и документацию.
Маршрутизатор имеет настольное исполнение и по ширине соответствует 19-дюймовому форм-фактору. Корпус сделан из серого пластика, поэтому устанавливать его в стойку можно лишь с использованием полки - монтаж при помощи петель выполнить не удастся в связи с недостаточно прочным для такой нагрузки корпусом.
Верхняя часть маршрутизатора имеет вентиляционные щели. Отметим, что в маршрутизаторе используется лишь пассивное охлаждение и нет ни одного вентилятора.
Рис. 2. Маршрутизатор Nateks 1601V: внутри.
На передней панели маршрутизатора расположены индикаторы, отображающие его работу. Всего индикаторов восемь. Слева направо: "Питание/Power", "System" и по два индикатора ("Слот/Slot" и "Активность/Activity") для каждого из трех интерфейсов: слот расширения, WAN и LAN.
Задняя панель более интересна. Маршрутизатор имеет внешний источник питания, что положительно сказывается на тепловом режиме работы. Для подачи питания используется небольшой разъем (напряжение 12 В, ток 1,5 А). Рядом с ним расположен выключатель питания. Порт LAN тоже располагается на задней панели - это стандартный порт Ethernet. Рядом с ним расположен порт WAN.
Рядом с этими портами находится слот, поддерживающий различные WIC-модули расширения. В него можно установить один из четырех модулей, выпускаемых Nateks-Networks. Например, можно установить однопортовый модуль Ethernet 10 Base-T, однопортовый ADSL-модуль, однопортовый ISDN- модуль с интерфейсом S/T или модуль однопортового аналогового модема. В принципе, этого достаточно для большинства сценариев. В остальных случаях можно воспользоваться дополнительным оборудованием, например, модемом SHDSL при работе на линиях SHDSL или беспроводным маршрутизатором при работе в беспроводной сети.
Рис. 3. Маршрутизатор Nateks 1601V: вид сзади.
На задней панели есть еще два разъема: AUX и CONSOLE, а также заземляющий контакт.
Для настройки маршрутизатора нужно использовать консольное подключение. Поскольку кабель поставляется в комплекте, то проблем с подключением не возникнет. Конечно, если у вас на компьютере есть последовательный порт. Производитель позаботился о пользователях, и консольный кабель имеет два разъема для подключения к компьютеру: 9-контактный и 25-контактный. Отметим, что со стороны маршрутизатора используется стандартный разъем RJ-45.
Настройкой маршрутизатора мы занимались из операционной системы Windows XP, используя стандартную утилиту HyperTerminal. Подключение почти не требует настройки, разве что нужно изменить скорость с 2400 бит/с на 9600 бит/с. После этого подключение начнет работать. Мы решили идти по порядку и начать с экрана загрузки маршрутизатора. Во время загрузки в консоли отображаются некоторые системные параметры, которые были нам интересны. Так, система использует загрузчик версии 2.6 и операционную систему NXOS, больше, к сожалению, здесь ничего не видно. По завершении загрузки мы получаем интерфейс командной строки маршрутизатора.
Конечно, если вы ожидали увидеть привычный сегодня веб-интерфейс, то будете разочарованы. Но следует иметь в виду, что это не домашнее устройство, а серьезная модель, способная справиться с такими задачами, которые не под силу простым потребительским моделям. Есть и приятные новости. Особенно это касается тех, кто уже знаком с маршрутизаторами Cisco, - язык настройки если и не полностью идентичен, то, как минимум, очень похож на IOS.
интерфейс настройки
Для отображения доступных команд можно ввести знак вопроса, после чего, на экране появится список.
router>
enable Turn on privileged mode command
exit Exit current mode and down to previous mode
help Description of the interactive help system
ping Ping command to test if the net is correct
quit Exit current mode and down to previous mode
rlogin Open a rlogin connection
show Show running system information
telnet telnet
terminal Set terminal line parameters
traceroute Trace route to destination
Конечно, это не все, на что способен маршрутизатор. Гораздо больше можно увидеть, войдя в привилегированный режим. Что касается обычного режима, то его вполне достаточно для проверки работоспособности устройства. Кстати, здесь же можно посмотреть и более подробную информацию о системе. Вполне понятно, что для этого нужно воспользоваться командой "show", она имеет параметры, список которых можно получить, набрав "show ?". Нам интересна версия системы, поэтому мы набираем "show ver", полностью набирать "show version" не имеет смысла - достаточно лишь написать начало команды для однозначного ее распознавания.
router> show ver
NXOS (version 2.1 Release02.26.00)
Compile time : Jun 28 2005 16:28:16 .
BootRom Version: 2.6
Product Serial Number: 01010152H14104C000317
Manufacture Date: 2005-06-27
LAN0's MAC address: 00:0F:D9:00:41:49
RT-1601V MainBoard Hardware Version: 1.41
Memory size: 32M
1ETH(slot1): Hardware Version: 1.10 Mac address: 00:0F:D9:00:41:BF
VPN Card(slot0): Hardware Version: 1.10
Посмотрев информацию о системе, перейдем к наиболее интересному для нас - к настройке. Для этого переключаемся в привилегированный режим, используя команду "enable". Смена режима сказалась и на строке приглашения - после названия устройства появился символ решетки. Посмотрим, какие команды доступны здесь.
router#
clear Reset functions
configure Configuration from vty interface
copy copy image with tftp protcol
debug Debug information
diagnosis Enter diagnosis configuration
disable Turn off privileged mode command
erase release config in flash
exit Exit current mode and down to previous mode
help Description of the interactive help system
ip setting ip address
logging Logging messages
no Negate a command or set its defaults
ping Ping command to test if the net is correct
quit Exit current mode and down to previous mode
reboot Reboot system
rlogin Open a rlogin connection
sdlc Send SDLC test frames
show Show running system information
start-chat Start a chat-script on a line
telnet telnet
terminal Set terminal line parameters
time system time
traceroute Trace route to destination
write Write running configuration to flash
Все эти команды можно использовать для настройки маршрутизатора. Нам наиболее интересно настроить те параметры, которые нужны для начала работы маршрутизатора. Для этого перейдем в режим настройки VTY. Этот режим, в свою очередь, позволяет задать все необходимые параметры маршрутизатора.
router(config)#
aaa-enable Authentication, Authorization and Accounting
access-list Add an access list entry
arp ARP entry
banner Set banner string
bridge Bridge Group
chat-script Define a modem chat script
class-map Configure Qos class map
clear Clear ip prefix-lists
com-server Com server
crypto Crypto setting
custom-list Config custom queue list
dhcp Dhcp server configuration
dialer-list Create a dialer list en
dlsw Data Link Switching global configuration commands
enable Modify enable password parameters
encrypt-card Encrypt card option
exit Exit current mode and down to previous mode
flow-interval Set time interval of rate statistic
frame-relay Frame-relay protocol
gratuitous Send gratuitous arp when interface up
help Description of the interactive help system
hostname Set system's network name
interface Interface infomation
ip IP information
ipsec IP security setting
key Authentication key management
line Configure a terminal line
logging Modify message logging facilities
map-class Create map-class or enter map-class command mode
modemcap Modem Capabilities database
multilink PPP multilink global configuration
multilink-user Set multi-link bind interface by username
no Negate a command or set its defaults
ntp Start NTP
policy-map Configure QoS policy map
pppoe PPPOE global configuration
priority-list Config priority queue list
proxy Set proxy function
quit Exit current mode and down to previous mode
rate-limit rate-limit
route-map Create route-map or enter route-map command mode
router Enable a routing process
service Modify use of network based services
set Set Time Zone
show Show running system information
snmp-server Modify SNMP parameters
standby Global HSRP configuration commands
tcp TCP information
tftp-server enable tftp server
time-range Command time-range
tty-server Terminal application
username Establish User Name Authentication
vpdn Configure VPDN
vpdn-group Configure VPDN Group
watchdog Enable or disable the watchdog
x25 X.25 Packet Layer Protocol
Здесь нам наиболее интересна команда interface, которая позволяет настроить сетевые интерфейсы, что позволит выполнить дальнейшую настройку по сети, без использования специального кабеля. Для настройки интерфейса команда выполняется с соответствующим параметром. В случае интерфейса LAN параметр - eth0/0, WAN - eth1/0. Тогда задание адресов 192.168.10.1/24 и 192.168.11.1/24 для интерфейсов LAN и WAN будет выглядеть следующим образом:
router(config)# interface eth0/0
router(config-if-eth0/0)# ip address 192.168.10.1/24
router(config-if-eth0/0)# interface eth1/0
router(config-if-eth1/0)# ip address 192.168.11.1/24
После выполнения этих команд портам маршрутизатора будут присвоены соответствующие адреса. Однако этого недостаточно для работы с
маршрутизатором по сети. Конечно, он уже будет отвечать по установленным адресам, но управлять им все еще будет невозможно: при попытке подключения вы увидите сообщение о том, что пароль VTY не задан. Конечно, если маршрутизатор всегда находится у вас под рукой, то, возможно, не стоит озадачиваться доступом к интерфейсу настройки по сети, однако чаще бывает так, что маршрутизатор установлен в другом помещении, офисе, городе, или даже в другой части света. При этом не всегда есть возможность оказаться не только в другой части света, но и попасть в соседнее помещение. Тогда и осознается польза от удаленного доступа к интерфейсу настройки. В нашем случае для того, чтобы получить к нему доступ по сети, осталось сделать всего один шаг - задать пароль VTY. Для этого нужно воспользоваться все тем же разделом настройки router(config)#. Выполняем команду line с параметром VTY, который позволит задать необходимый нам пароль. Команда переключит интерфейс на настройку режима vty. Кстати, здесь доступны следующие команды:
router(config)# line vty 0
router(config-line-vty0)#
access-class Filter connections based on an IP access list
application Tty server application
autocommand Automatically execute an EXEC command
com-service Com service
exec Configure EXEC
exec-banner Enable the display of the EXEC banner
exec-timeout Set the EXEC timeout
exit Exit current mode and down to previous mode
help Description of the interactive help system
history Enable and control the command history function
length Set number of lines on a screen
login Enable password checking
no Negate a command or set its defaults
password Set a password
privilege Change privilege level for line
quit Exit current mode and down to previous mode
show Show running system information
Из них нам более всего интересна команда задания пароля - password. Мы выбрали скрытый пароль, для чего указали соответствующий параметр (7) и набрали новый пароль, в нашем случае - password.
router(config)# line vty 0
router(config-line-vty0)# password 7 password
После выполнения всех указанных выше команд маршрутизатор получил IP-адреса для своих интерфейсов, а администратор - возможность удаленной настройки.
дополнительные настройки
После задания всех основных настроек, думаем, не лишним будет еще немного обезопасить маршрутизатор от чужих рук. Так, можно ограничить использование привилегированного режима, когда для переключения в него потребуется ввести пароль.
В этом и во всех описанных ниже случаях, предполагается, что мы уже находимся в привилегированном режиме настройки маршрутизатора и выполнили команду configure terminal для входа в режим настройки устройства.
Как и прежде, мы будем использовать пароль - password. Тогда для задания такого пароля на переход в привилегированный режим потребуется выполнить следующую команду (7 - режим скрытого ввода пароля):
router(config)# enable password 7 password
Такая настройка достаточно гуманна, то есть к консольному интерфейсу настройки доступ ничем не ограничен, и любой, кто может подключиться кабелем непосредственно к маршрутизатору, может получить доступ в непривилегированный режим и выполнить диагностические команды. Однако, это уместно не во всех случаях. Поэтому покажем, как можно ограничить доступ и к этой части интерфейса настройки.
router(config)# line console 0
router(config-line-console0)#
router(config-line-console0)# password 7 password
Теперь и для этого подключения придется ввести пароль. Вообще, рекомендуем ограничить доступ ко всем возможным интерфейсам, иначе смысл установки всех ограничений сводится на нет.
Для некоторых функций маршрутизатора не обойтись без создания собственных ключей. Для этого используется команда crypto. Мы решили показать, как можно сгенерировать новые ключи на маршрутизаторе, воспользовавшись этой командой. Мы остановились на параметрах ключей по умолчанию, то есть длинной 512 бит.
router(config)# crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your General
Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus [512]: 512
Generating RSA keys ...
[OK]
списки доступа
Подробно остановимся на так называемых списках доступа. Списки доступа (или access-lists) представляют собой правила, на основании которых маршрутизатор принимает решение о том или ином действии над пакетом данных. В общем случае списки доступа имеют уникальные идентификаторы, которые могут состоять как из цифр, так и из букв. Однако традиционным считается использование нумерованных списков доступа, причем нумерация имеет определенный смысл. Так, стандартные списки IP имеют номера от 1 до 99 (проверяют только адрес источника), расширенные списки IP - от 100 до 199 (проверяют адреса источника и назначения, порты и прочее). Списки доступа могут работать с такими критериями, как адреса отправителя и получателя, протокол и его особенности. Важно отметить, что для каждого элемента списка доступа выделяется отдельная строка, при этом в каждом списке может быть как одна, так и несколько строк. Если вы знакомы с технологиями работы межсетевых экранов, то знаете, что при прохождении через них пакеты проверяются набором правил, которые расположены в определенном порядке, причем проверка происходит до первого соответствия. Таким образом, порядок правил имеет огромное значение. То же самое и со списками доступа. Из особенностей реализации списков доступа на маршрутизаторах отметим, что при добавлении нового критерия, он помещается в самый низ. Кстати, все, что можно делать со списком, - это добавлять критерии, удалять и менять порядок нельзя. Последним критерием каждого списка является запрет всего.
Но мало только создать список, его нужно еще и применить к нужному интерфейсу, причем здесь тоже есть свои особенности, которые сначала могут показаться немного странными, однако в дальнейшем - вполне разумными. Так, интерфейс "е" может работать более чем с одним списком доступа для какого-то конкретного протокола (это вполне логично - после проверки одного списка во второй не попадет ничего, кроме явно разрешенного на первом).
Router(config)#access-list 1 permit 192.168.10.0/24
router(config)#access-list 102 permit icmp any any
router(config)#interface eth0/0
router(config-if-eth0/0)# ip access-group 102 in
На этом, думаем, можно закончить знакомство с языком маршрутизатора Nateks Networks 1601V, который очень близок к языку Cisco. Именно благодаря такому близкому синтаксису, можно без труда разобраться в любом продукте, имеющем подобный язык, если вы когда-либо уже имели дело с родственными решениями.
тестирование безопасности
Выполнив настройку маршрутизатора как указано выше, мы решили протестировать его на предмет наличия открытых портов и уязвимостей. Для проведения тестов мы выбрали систему Xspider Build 1549 с профилем ScanCisco для сетей с Cisco-антисканерами. В результате достаточно продолжительного тестирования был обнаружен только один открытый порт - 23/TCP, сервис на котором определить не удалось.
заключение
Маршрутизатор Nateks Networks 1601V предлагает достаточный для любого применения набор возможностей, среди которых отметим установку WIC- модулей. Маршрутизатор оснащен встроенной схемой шифрации данных, что позволит работать с потоком VPN на аппаратном уровне. Такая конфигурация позволит решить задачи не только обеспечения доступа в Интернет для небольших офисов и организаций, но и объединить сети нескольких территориально разделенных офисов одной организации, используя в качестве транспорта Интернет. Что касается интерфейса настройки, то он выполнен на профессиональном уровне. Администраторы, знакомые с оборудованием Cisco, смогут настроить такой маршрутизатор за считанные минуты, без необходимости изучать новые команды. Приятно, что компания Nateks Networks не стала изобретать велосипед, а воспользовалась известным, проверенным временем языком настройки.
Маршрутизатор оставил самые приятные впечатления и в отношении энергопотребления и, соответственно, тепловыделения. Так, после нескольких часов работы его корпус оставался лишь чуть теплым, и это при том, что в системе охлаждения нет ни одного вентилятора.
Преимущества:
- поддержка VPN;
- поддержка различных протоколов маршрутизации;
- поддержка различных интерфейсов;
- язык, близкий к Cisco IOS;
- низкое энергопотребление.
Недостатки:
- высокая цена;
- отсутствие веб-интерфейса.
технические характеристики маршрутизатора Nateks 1601V
Количество WAN-слотов 1
Возможность передачи 12 KPPS
Встроенные порты 1 порт AUX, 1 консольный порт и 1 порт 10BaseT
BOOT ROM 512 Kб
FLASH RAM 4 Mб
SDRAM 32 Mб
Протоколы 2- го уровня PPP X .25, Frame Relay, РРРОЕ, HDLC, SDLC, SUP VLAN, STR LPAB
Безопасность ACL , NAT/PAT, аутентификация маршрутов, AAA, RADIUS, фильтрация IP-пакетов, инспектирование IP-пакетов, CallBack , шифрование данных
Протоколы маршрутизации RIP, IGRP, EIGRP, BGP, OSPF, IS - IS, статическая маршрутизация, маршрутизация по приоритетам
Групповая передача IGMP, PIM
Функции IP ProxyARP, маршрутизация по приоритетам, балансировка нагрузки (multilink L 3 traffic), Unnumbered IP, transparent NetBIOS, NTP, компрессия заголовков TCP и IP-трафика
Приложения ping, traceroute, telnet, static DNS, TFTP, DHCP Relay, DHCP Client, DHCP Server, Rlogin
VPN DVPN, MPLS VPN, VPDN, GRE, L2TP, IPSEC (аппаратное шифрование в 1601V), IKE (поддержка траверса NAT)
Функции системы конфигурирование через Telnet/Console, удаленный доступ через модем, dump terminal, syslog, COMSERVER и reverseTelnet Управление CLI, SNMP и RMON
Размеры (ШхГхВ) 192,5х350,8х45 мм
Вес 1,5 кг
Энергопитание внешний адаптер напряжения (~220 В на -12 В /1,5 А)
Максимальная потребляемая мощность 18 Вт
Андрей Пировских, Tom’s Hardware Guide
Сетевые решения. Статья была опубликована в номере 05 за 2006 год в рубрике hardware