Как правило, маршрутизатор используется в сети в качестве DHCP сервера и раздаёт адреса компьютерам и другим устройствам. Однако, иногда требуется настроить маршрутизатор в качестве DHCP клиента: например, у нас дома или в маленьком офисе появилась циска 800-ой серии, она должна работать как полноценный маршрутизатор, но тот её интерфейс, который смотрит в сторону провайдера должен получать по DHCP адрес динамически.

Протокол DHCP – позволяет производить автоматическую настройку сети на компьютерах и других устройствах. DHCP может быть настроен на маршрутизаторах Cisco или на базе любого сервера. Данная статья описывает настройку DHCP сервера на маршрутизаторе Cisco. Однако, маршрутизатор может работать и как DHCP клиент – получая адрес на один из своих интерфейсов. Об этом можно прочесть подробнее здесь.

Зеркальные (reflexive) ACL – это расширение технологии extended ACL, которое позволяет организовать пропуск трафика из интернета в локальную сеть только в ответ на предварительно сделанный запрос из локальной сети в интернет.

Рекомендуется начать знакомство с ACL c этой статьи, чтобы было понятно, о чём идёт речь.

Ключевое слово established используется в расширенных ACL, для определения, принадлежит ли трафик к открытой TCP сессии. Маршрутизатор проверяет, соответствующий бит в заголовке TCP и принимает решение относительно того, относится ли трафик к уже установленному соединению.

Типичное использование established – организация доступа к интернету для сотрудников, чтобы извне нельзя было обращаться ко внутренней сети, но при этом ответы от веб серверов проходили вовнутрь нормально.

Расширенный ACL позволяют фильтровать трафик по большому количеству критериев. В этой статье поговорим о настройке расширенного ACL. Рекомендую сначала почитать общую статью об ACL и статью о стандартном ACL, если вы этого ещё не сделали.

Итак, расширенный ACL может быть именованный и нумерованный. В любом случае, он позволяет фильтровать трафик по следующим параметрам:

Стандартный ACL позволяют фильтровать трафик по одному признаку – адресу отправителя (в CCNA конкретно рассматривается только ip адрес отправителя). В этой статье поговорим о настройке стандартного ACL. Рекомендую сначала почитать общую статью об ACL, если вы этого ещё не сделали.

Итак, стандартный ACL может быть именованный и нумерованный.

Давайте разберёмся, как ограничить доступ к маршрутизатору. Для начала рекомендую прочитать статью об ACL, если вы этого ещё не сделали.

Итак, есть маршрутизатор, мы, как администраторы хотим иметь возможность удалённо к нему подключаться по ssh либо telnet, но не хотим, чтобы к нему удалённо подключались злоумышленники и брутфорсили наши пароли. Задача достаточно сложная, если пытаться решить её применением расширенных ACL на интерфейсы маршрутизатора.

В этой статье речь пойдёт об списках аксес листах (списки листов доступа, ACL, NACL, access lists, access control list — все эти слова — синонимы, пусть вас не пугает их разнообразие). Далее в статье, для краткости я буду пользоваться термином ACL.

LAN (Local Area Network) – локальная сеть. WAN (Wide Area Network) – глобальная сеть. В основном, локальные сети отличаются от глобальных по следующим признакам:

Для сброса пароля на маршрутизаторе cisco, потребуется физический доступ к нему (подключение через консольный порт). Здесь вы можете прочесть о том, какие виды паролей бывают на маршрутизаторе. В маршрутизаторе есть так называемый конфигурационный регистр – это переменная, хранящаяся в энергонезависимой памяти и управляющая процессом загрузки. Стандартное значение конфигурационного регистра для большинства маршрутизаторов «0x2102».

В некоторых случаях, например, для обновления IOS, или сброса забытого пароля, загрузку IOS на маршрутизаторе нужно прерывать. В этом случае маршрутизатор запустится в режиме rommon — это маленькая операционная система, которая позволяет выполнить основные сервисные функции. Для того чтобы попасть в rommon, необходимо подключиться к маршрутизатору по консольному порту и в терминале отправить break sequence — прерывающую последовательность.

Frame Relay – WAN-протокол, работающий на втором уровне модели OSI, то есть, там же, где работают Ethernet, PPP, HDLC и др. Frame Relay пришёл на смену протокола X.25, в России сравнительно широкого распространения не получил, а сейчас – и вовсе его время давно прошло. Знания этого протокола могут потребоваться, если вы работаете у провайдера, у которого по старой памяти остались какие-то абоненты, работающие по FR. Кроме того, знание Frame Relay помогает в понимании MPLS.

PAP и CHAP – протоколы аутентификации, использующиеся в протоколе PPP. PAP расшифровывается банально – Password Authentication Protocol. Возможно такая простая расшифровка связана с тем, что протокол был одним из первых. CHAP расшифровывается как Challenge Handshake Authentication Protocol. В курсе CCNA затрагиваются оба этих протокола.

PPP (Point-to-Point-Protocol) – протокол второго уровня модели OSI, использующийся на WAN линках. PPP – открытый протокол, что позволяет его использовать при необходимости соединения устройств Cisco с устройствами других производителей (в отличие от HDLC, в отношении спецификации которого у циски своё мнение).

Сразу стоит сделать важное замечание: протокол PPP – многофункциональный и широко распространённый, в то же время, в рамках курса CCNA рассматривается только один способ его применения: подключение двух маршрутизаторов друг к другу через serial кабель. На самом деле, сфера применения протокола не ограничивается этими случаями.

Протокол HDLC (High-Level Data Link Control) – протокол второго уровня модели OSI, разработанный организацией ISO. Этот протокол обеспечивает передачу данных между устройствами в режиме точка-точка или точка-многоточка. В лабораторных работах курса CCNA часто встречаются топологии, где маршрутизаторы соединяются serial кабелем чтобы имитировать работу в глобальных сетях (WAN). В курсе CCNA HDLC используется только в режиме точка-точка, поэтому дальнейшее описание будем делать исходя из этого. Протокол HDLC является стандартным для serial интерфейсов на маршрутизаторах Cisco, таким образом, нет необходимости писать команду encapsulation hdlc.