Routery Cisco to serce wielu firmowych sieci – kierują ruchem, łączą LAN z Internetem i wzmacniają bezpieczeństwo. Skuteczna konfiguracja wymaga znajomości CLI, poprawnego ustawienia interfejsów, routingu i zasad weryfikacji, a w środowiskach zaawansowanych – integracji z zaporą Cisco ASA.
Podstawy konfiguracji routerów Cisco
Tryby poleceń CLI
Konfiguracja routerów Cisco odbywa się w interfejsie wiersza poleceń (CLI). Aby wprowadzać zmiany, należy przejść do uprzywilejowanego trybu EXEC, a następnie do trybu konfiguracji globalnej:
Router# configure terminal
Router(config)#
Symbol zachęty zmienia się na (config)#, co oznacza aktywny tryb konfiguracyjny; z tego poziomu można wejść do trybów szczegółowych, np. (config-if)# dla interfejsów. Pracuj w trybie właściwym dla danej czynności (globalny, interfejsu, routingu), aby uniknąć błędów składni i zakresu zmian.
Architektura sieci firmowej
Typowa sieć firmowa oparta na routerze Cisco składa się z kluczowych elementów:
- kanał do Internetu – zazwyczaj ze statycznym adresem IP dostarczonym przez dostawcę usług internetowych;
- Router Cisco – urządzenie centralne kierujące ruchem sieciowym;
- przełącznik sieciowy – organizujący lokalną sieć komputerów biurowych;
- komputery w sieci lokalnej – poszczególne stacje robocze wymagające dostępu do Internetu.
Głównym celem konfiguracji jest zapewnienie dostępu komputerom w sieci lokalnej do zasobów Internetu.
Konfiguracja interfejsów
Interfejsy zewnętrzne i wewnętrzne
Podstawowym krokiem jest ustawienie dwóch interfejsów – zewnętrznego (WAN) do komunikacji z Internetem oraz wewnętrznego (LAN) dla sieci prywatnej. Interfejs WAN otrzymuje adresację od ISP, natomiast interfejs LAN zwykle konfiguruje się w prywatnym zakresie, np. 192.168.0.0/24. Prawidłowa adresacja i aktywacja interfejsów (no shutdown) to warunek niezbędny dla łączności.
Konfiguracja interfejsu Ethernet
Aby skonfigurować interfejs Ethernet, wykonaj:
- przejście do trybu konfiguracji globalnej,
- wejście do trybu wybranego interfejsu,
- przypisanie adresu IP i maski podsieci oraz aktywację interfejsu.
Przykładowe parametry dla sieci LAN:
- sieć – 192.168.0.0;
- maska podsieci – 255.255.255.0;
- adres wewnętrzny routera (brama) – 192.168.0.1.
Przykładowa konfiguracja interfejsów WAN i LAN na routerze (adresy w celach demonstracyjnych):
Router# configure terminal
Router(config)# interface GigabitEthernet0/0
Router(config-if)# description WAN do ISP
Router(config-if)# ip address 203.0.113.2 255.255.255.252
Router(config-if)# no shutdown
Router(config)# interface GigabitEthernet0/1
Router(config-if)# description LAN biurowy
Router(config-if)# ip address 192.168.0.1 255.255.255.0
Router(config-if)# no shutdown
W niektórych modelach z wbudowanym przełącznikiem wykorzystuje się interfejs wirtualny VLAN (SVI), np. interface Vlan1, powiązany z portami przełącznika.
Konfiguracja interfejsu szeregowego
Interfejsy szeregowe (np. Serial0/0/0) obsługują łącza WAN. Każdy aktywny interfejs musi mieć skonfigurowany adres IP i maskę, aby przesyłać pakiety IP. Jeśli łącze wymaga zegara po stronie DCE, należy ustawić clock rate zgodnie z wytycznymi operatora.
Routing i brama domyślna
Trasy statyczne i brama domyślna
Aby kierować ruch do Internetu, konfigurujemy trasę domyślną (default route), wskazującą następny skok (next-hop) lub interfejs wyjściowy. Najprostsza trasa obejmująca wszystkie sieci wygląda tak:
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Trasa domyślna zapewnia domyślny kierunek dla nieznanych prefiksów i jest fundamentem łączności z zasobami zewnętrznymi.
Zasada najdłuższego dopasowania
Gdy istnieje wiele tras do tego samego celu, router wybiera tę z najdłuższym dopasowaniem prefiksu (bardziej szczegółową), nawet przy wyższej odległości administracyjnej. Zrozumienie tej zasady jest kluczowe w złożonych topologiach i podczas migracji tras.
NAT/PAT na wyjściu do Internetu
Aby stacje w sieci prywatnej mogły korzystać z publicznego łącza, zazwyczaj stosuje się NAT z przeciążeniem (PAT/overload) na interfejsie WAN:
Router(config)# access-list 1 permit 192.168.0.0 0.0.0.255
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip nat outside
Router(config)# interface GigabitEthernet0/1
Router(config-if)# ip nat inside
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overload
Poprawna konfiguracja NAT jest niezbędna, gdy dostawca przydziela pojedynczy publiczny adres IP.
Weryfikacja konfiguracji
Po zakończonej konfiguracji sprawdź poprawność kluczowych elementów:
- sprawdź dostęp do bramy ISP (np. ping do next-hop);
- upewnij się, że interfejs wewnętrzny routera odpowiada z komputerów w LAN;
- zweryfikuj dostępność wybranych, wiarygodnych adresów zewnętrznych (np. publiczne DNS).
Do testów łączności używaj ping i – w razie potrzeby – traceroute dla diagnozy ścieżki.
Zaawansowana konfiguracja – firewall Cisco ASA
Segmentacja sieci
W większych środowiskach stosuje się firewall Cisco ASA do segmentacji i egzekwowania polityk bezpieczeństwa. Najczęściej wyróżnia się trzy strefy:
- Internet – strefa połączenia zewnętrznego;
- DMZ (Demilitarized Zone) – strefa buforowa dla serwerów dostępnych z Internetu;
- sieć LAN – strefa chroniona dla wewnętrznych komputerów biurowych.
Ruch między strefami kontrolują precyzyjnie zdefiniowane reguły bezpieczeństwa.
Mechanizmy bezpieczeństwa
Cisco ASA udostępnia zaawansowane mechanizmy ochrony i dostępu:
- Firewall (zapora ogniowa) – obejmuje konfigurację NAT (Network Address Translation), listy dostępu ACL (Access Control Lists) oraz zarządzanie certyfikatami;
- Remote Access VPN – bezpieczny dostęp zdalny użytkowników przez tunele VPN;
- Site-to-site VPN – łączenie dwóch oddalonych lokalizacji zaszyfrowanym tunelem VPN.
Dostęp administratorski
Aby ograniczyć administrację HTTP/ASDM do zaufanych sieci, użyj polecenia:
http <adres_sieci> <maska_sieci> <nazwa_interfejsu>
Przykład: każdy host z sieci 10.0.0.0/24 uzyska dostęp do interfejsu administracyjnego przypisanego do danej strefy.
Praktyczne wskazówki dla administratorów
Zapisanie konfiguracji
Po wprowadzeniu zmian bezwzględnie zapisz konfigurację, aby przetrwała restart urządzenia:
Router# write memory
-- lub --
Router# copy running-config startup-config
Transfer plików konfiguracyjnych
Do tworzenia kopii zapasowych oraz przenoszenia ustawień między urządzeniami użyj serwera TFTP. Zapis bieżącej konfiguracji na TFTP wykonasz poleceniem: copy running-config tftp. Aby wczytać wcześniej zachowaną konfigurację, użyj: copy tftp running-config. Regularne kopie zapasowe minimalizują ryzyko przestoju po awarii lub błędnej zmianie.
Zastosowanie w sieciach firmowych
Zgodność modeli
Polecenia są w dużej mierze wspólne dla różnych modeli (np. Cisco 881, 1841, seria 2800, 3825), choć mogą występować różnice w nazewnictwie i liczbie interfejsów. Poniższe zestawienie ułatwia orientację:
| Model | Klasa urządzenia | Przykładowe interfejsy | Uwagi konfiguracyjne |
|---|---|---|---|
| Cisco 881 | SOHO/SMB | FastEthernet/GigabitEthernet, VLAN (SVI) | Często wbudowany switch; konfiguracja VLAN1 jako interfejsu LAN. |
| Cisco 1841 | Oddział/Branch | FastEthernet, moduły WIC/Serial | Elastyczne moduły WAN; zróżnicowane oznaczenia slotów. |
| Cisco 2800 (np. 2811) | Oddział/Enterprise | GigabitEthernet, Serial, dodatkowe moduły | Większa liczba interfejsów; uwaga na numerację 0/0/x. |
| Cisco 3825 | Enterprise | GigabitEthernet, Serial, rozszerzenia | Wysoka wydajność; możliwe różnice w nazewnictwie względem serii 2800. |
Przed wdrożeniem zawsze sprawdź dokumentację konkretnego modelu, aby dobrać właściwe interfejsy i składnię poleceń.
Zaawansowana konfiguracja sieci
Routery Cisco sprawdzają się w złożonych środowiskach IP, oferując szerokie możliwości:
- efektywne zarządzanie sieciami LAN i WAN,
- implementację protokołów routingu,
- konfigurację Quality of Service (QoS),
- zarządzanie bezpieczeństwem na poziomie warstwy sieciowej.
