PPTP server на Cisco ISR

Чтобы обеспечить безопасное подключения к сети офиса из дома, рассмотрим вариант поднятия на роутере простенького pptp сервера.

# Включаем использование виртуальных частных коммутируемых сетей

vpdn enable

# создаем группу

vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1

# Создаем пользователя для клиента

username <user> password <password>

# Настраиваем виртуальный интерфейс

interface Virtual-Template1
ip address 192.168.10.254 255.255.255.248

# указываем пул из которого клиенту будет выдаваться адрес

peer default ip address pool VPN
no keepalive

# включаем шифрование

ppp encrypt mppe auto

# указываем протокол аутентификации

ppp authentication ms-chap-v2

# Создаем пул адресов для клиентов

ip local pool VPN 192.168.10.249 192.168.10.253

# Указываем роутеру аутентифицировать pptp клиентов по локальной базе (нужно, если включен aaa new model)

aaa authentication ppp default local
aaa authorization network default local

# Настраиваем клиента, подключаемся к сети и проверяем.

show vpdn session pptp

PS использование username <user> secret <password> может вызвать проблемы с аутентификацией.

Cisco ISR как PPPoe Client

Предположим, что наш провайдер выдает доступ по pppoe, что довольно часто встречается. Не нервничаем, берем железяку и настраиваем.

# Интерфейс идущий в локалку

interface FastEthernet0/0
description $LAN$
ip address 172.16.1.1 255.255.255.128
ip nat inside

# Интерфейс идущий к провайдеру

interface FastEthernet0/1
description $WAN$
no ip address
pppoe enable group global
pppoe-client dial-pool-number 1

# Виртуальный интерфейс ppp

interface Dialer0
description $OUTSIDE$
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname <login>
ppp chap password <password>
ppp ipcp dns request

# Указываем лист доступа для NAT

access-list 1 permit 172.16.1.0 0.0.0.127

# Указываем маршрут по умолчанию

ip route 0.0.0.0 0.0.0.0 Dialer0

# Включаем NAT с перегрузкой

ip nat inside source list 1 interface Dialer0 overload

# Проверить работоспособность сессии можно командой

Router# sh pppoe session interface fa 0/1

PS Конфиг проверен на Cisco ISR 2801 (c2801-advsecurityk9-mz.124-15.t9.bin). У счастливых обладателей роутеров cisco с ios 15.0 наблюдаются проблемы с pppoe client. Рекомендуется либо откатиться на 12.4, либо обновиться на 15.1. Я выбрал первое.

Лабораторка на PAT

Пример настройки NAT overloading (PAT) на маршрутизаторах Cisco.

Настройка:

Router:

Router(config)# interface fastethernet 0/0
Router(config-if)# ip address 192.168.2.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown

Router(config)# interface fastethernet 0/1
Router(config-if)# ip address 209.165.200.225 255.255.255.252
Router(config-if)# ip nat outside
Router(config-if)# no shutdown

Router(config)# access-list 1 permit 192.168.2.0 0.0.0.255
Router(config)# ip nat inside source list 1 interface FastEthernet0/1 overload

Router# copy running-config startup-config

Проверяем конфигурацию:

Лабораторка на Dynamic NAT

Пример настройки динамического NAT на маршрутизаторах Cisco.

Настройка:

GW:

GW(config)# interface fastethernet 0/0
GW(config-if)# ip address 209.165.200.2 255.255.255.252
GW(config-if)# ip nat outside
GW(config-if)# no shutdown

GW(config)# interface fastethernet 0/1
GW(config-if)# ip address 192.168.0.1 255.255.255.0
GW(config-if)# ip nat inside
GW(config-if)# no shutdown

Router(config)# access-list permit 192.168.0.0 0.0.0.255

GW(config)# ip nat pool CISCO 209.165.200.9 209.165.200.14 netmask 255.255.255.248
GW(config)# ip nat inside source list 1 pool CISCO
GW(config)# ip route 0.0.0.0 0.0.0.0 209.165.200.1

GW(config)# ip nat inside source list NAT pool NAT

GW# copy running-config startup-config

Проверяем конфигурацию:

Скачать: pkt-файл

Лабораторка Extended ACL

Расширенные листы доступа, позволяют фильтровать трафик основываясь на ip-адресах источника, назначения; портах приложений; типу протокола.

Простое правило, расширенный лист лучше всего применять как можно ближе к месту назначения.
Сценарий:

Компьютеры получают адреса по dhcp от сервера. На маршрутизаторах прописаны статические маршруты. На маршрутизаторах настроен доступ по telnet.

Требуется:

• разрешить из сети 192.168.2.0/24 доступ к веб-серверу и серверу электронной почты, dhcp и dns. Запретить остальные tcp-соединения.
• разрешить из сети 192.168.3.0/24 доступ к ftp-серверу, telnet, dhcp и dns. Запретить остальные tcp-соединения.

Топология:

Настройка:
R1:
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq www
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq pop3
R1(config)# access-list 100 permit tcp 192.168.2.0 0.0.0.255 any eq smtp
R1(config)# access-list 100 deny tcp any any
R1(config)# access-list 100 permit ip any any
R1(config)# interface fastethernet 0/0
R1(config-if)# ip access-group 100 in


R3:
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq ftp
R3(config)# access-list 100 permit tcp 192.168.3.0 0.0.0.255 any eq telnet
R3(config)# access-list 100 deny tcp any any
R3(config)# access-list 100 permit ip any any
R3(config)# interface fastethernet 0/1
R3(config-if)# ip access-group 100 in

Проверяем конфигурацию:

Скачать: pkt-файл

PS отличие pkt в том что сеть 192.168.3.0/24 получает адреса от маршрутизатора R2. Что сути лабораторной работы не меняет.

Лабораторка Frame Relay Point-to-Point

Frame Relay, протокол канального уровня использующийся провайдерами для предоставления услуги по объединению удаленных офисов предприятия в единую сеть.

Рассмотрим пример настройки оборудования для работы с протоколом frame relay с использованием логических point-to-point интерфейсов:

Топология:

Настройка: 
HQ:

interface Serial0/0/0
 no ip address
 encapsulation frame-relay
!
interface Serial0/0/0.100 point-to-point
 ip address 192.168.254.1 255.255.255.252
 frame-relay interface-dlci 100
!
interface Serial0/0/0.200 point-to-point
 ip address 192.168.254.5 255.255.255.252
 frame-relay interface-dlci 200
!
interface Serial0/0/0.300 point-to-point
 ip address 192.168.254.9 255.255.255.252
 frame-relay interface-dlci 300

ROf1:

interface Serial0/0/0
 no ip address
 encapsulation frame-relay
!
interface Serial0/0/0.100 point-to-point
 ip address 192.168.254.2 255.255.255.252
 frame-relay interface-dlci 100
!
interface Serial0/0/0.400 point-to-point
 ip address 192.168.254.13 255.255.255.252
 frame-relay interface-dlci 400
!
interface Serial0/0/0.500 point-to-point
 ip address 192.168.254.17 255.255.255.252
 frame-relay interface-dlci 500

ROf3:

interface Serial0/0/0
 no ip address
 encapsulation frame-relay
!
interface Serial0/0/0.200 point-to-point
 ip address 192.168.254.6 255.255.255.252
 frame-relay interface-dlci 200
!
interface Serial0/0/0.500 point-to-point
 ip address 192.168.254.18 255.255.255.252
 frame-relay interface-dlci 500
!
interface Serial0/0/0.600 point-to-point
 ip address 192.168.254.21 255.255.255.252
 frame-relay interface-dlci 600

ROf4:

interface Serial0/0/0
 no ip address
 encapsulation frame-relay
!
interface Serial0/0/0.300 point-to-point
 ip address 192.168.254.10 255.255.255.252
 frame-relay interface-dlci 300
!
interface Serial0/0/0.400 point-to-point
 ip address 192.168.254.14 255.255.255.252
 frame-relay interface-dlci 400
!
interface Serial0/0/0.600 point-to-point
 ip address 192.168.254.22 255.255.255.252
 frame-relay interface-dlci 600

Проверяем:
Вывод show frame-relay map показывает имеющиеся маршруты

Вывод show frame-relay pvc показывает состояние каналов

Послесловие: 

• В данной лабораторке настроена логическая топология full mesh, т.е. каждый с каждым, итого 6 каналов.
• Для маршрутизации пакетов используются статические маршруты.

Скачать: pkt-файл
Ссылки: 

• Comprehensive Guide to Configuring and Troubleshooting Frame Relay