Создаём сессию мониторинга для vlan

monitor session 1 source vlan 1

И указываем на какой интерфейс зеркалировать

monitor session 1 destination interface Gi1/0/1

Соединяем этот интерфейс с устройством на котором установлен Wireshark и получаем профит.

Удачи!

Настройка маршрутизатора:

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#archive
Router(config-archive)#path tftp://10.10.10.10/OBJ-NAME/$H
Router(config-archive)#write-memory
Router(config-archive)#^Z
Router#write

1. OBJ-NAME - папка с именем агрегата\помещения\т.п (должна уже быть на TFTP сервере) для удобства поиска т.к это все потом будет съедать другая программа
2. $H - имя устройства (устройство знает этот макрос как и $T - время создания архива)
3. write-memory - создание архива происходит при изменении (записи в nvram) конфигурации

Можно сделать автоматическое создание архивов раз в день или как душе угодно

Router(config-archive)#time-period 1440

Просмотр созданных архивов

Router#show archive

Сравнение архивов

Router#show archive config differences tftp://10.10.10.10/router-1  tftp://10.10.10.10/router-2

Восстановление конфигурации из множества источников

Router#configure replace ?
  archive:    URL of config file that will replace running-config
  cns:        URL of config file that will replace running-config
  flash:      URL of config file that will replace running-config
  ftp:        URL of config file that will replace running-config
  http:       URL of config file that will replace running-config
  https:      URL of config file that will replace running-config
  null:       URL of config file that will replace running-config
  nvram:      URL of config file that will replace running-config
  rcp:        URL of config file that will replace running-config
  scp:        URL of config file that will replace running-config
  system:     URL of config file that will replace running-config
  tar:        URL of config file that will replace running-config
  tftp:       URL of config file that will replace running-config
  usbflash0:  URL of config file that will replace running-config
  xmodem:     URL of config file that will replace running-config
  ymodem:     URL of config file that will replace running-config

TFTP

Router#configure replace tftp://10.10.10.10/router-1

USB

Router#configure replace usbflash0:router-1

Что же, сейчас посмотрим  кто там усиленно старается что-то скачать.

Заходим в интерфейс с которого будем снимать статистику

home-cisco#conf t
home-cisco(config)#int fa0/0
home-cisco(config-if)#ip flow ingress
home-cisco(config-if)#ip flow egress
home-cisco(config-if)#exit
home-cisco(config)#

Ну а потом в режиме глобальной конфигурации настраиваем параметры отображения
 

home-cisco(config)#ip flow-top-talkers
home-cisco(config-flow-top-talkers)#top 20
home-cisco(config-flow-top-talkers)#sort-by bytes
home-cisco(config-flow-top-talkers)#cache-timeout 100
home-cisco(config-flow-top-talkers)#end
home-cisco#wr
Building configuration...
[OK]
home-cisco#

И смотрим кто там у нас, командой sh ip flow top-talkers .

Удачи!

Начнём.

Подготовим интерфейс

home-cisco#conf t
home-cisco(config)#int Fa0/1
home-cisco(config-if)#no ip address
home-cisco(config-if)#pppoe enable
home-cisco(config-if)#pppoe-client dial-pool-number 1
home-cisco(config-if)#exit
home-cisco(config)#

Создадим новый интерфейс

home-cisco(config)#interface Dialer1
home-cisco(vonfig-if)#ip address negotiated
home-cisco(vonfig-if)#ip mtu 1492
home-cisco(vonfig-if)#encapsulation ppp
home-cisco(vonfig-if)#dialer pool 1
home-cisco(vonfig-if)#no cdp enable
home-cisco(vonfig-if)#ppp authentication chap callin
home-cisco(vonfig-if)#ppp chap hostname ВАШ-ЛОГИН
home-cisco(vonfig-if)#ppp chap password ВАШ-ПАРОЛЬ
home-cisco(vonfig-if)#exit
home-cisco(config)#

Пропишем маршрут по умолчанию

home-cisco(config)#ip route 0.0.0.0 0.0.0.0 Dialer1
home-cisco(config)#

Проверим соединение

home-cisco(config)#end
home-cisco#ping 8.8.8.8

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/13/16 ms
home-cisco#

Если всё нормально, то мы получим ответ от адреса который пинговали.

Итак, на устройстве интернет у нас появился, но надо раздать нам его во внутреннюю сеть, приступим.

Идём на локальный интерфейс который мы настраивали ранее тут

home-cisco#conf t
home-cisco(config)#int fa0/0
home-cisco(config-if)#ip nat inside
home-cisco(config-if)#exit
home-cisco(config)#

Далее на интерфейс который создали

home-cisco(config)#int Dialer1
home-cisco(config-if)#ip nat outside
home-cisco(config-if)#exit
home-cisco(config)#

Создадим список доступа (по желанию)

home-cisco(config)#ip access-list extended НАЗВАНИЕ-СПИСКА-ДОСТУПА
home-cisco(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any
home-cisco(config-ext-nacl)#deny ip any any
home-cisco(config-ext-nacl)#exit
home-cisco(config)#

И конечный штрих

ip nat inside source list НАЗВАНИЕ-СПИСКА-ДОСТУПА interface Dialer1 overload

Всё, всем устройствам в вашей сети стал доступен интернет.

Естественно, как я уже повторял, в некоторых случаях нужно производить другие настройки. Пишите.

Если у нас не PPPOE соединение, так называемый прямой интернет  то всё намного проще.

На внешнем интерфейсе, у нас это fa0/1 прописываем:

home-cisco#conf t
home-cisco(config)#int fa0/1
home-cisco(config-if)#ip nat inside
home-cisco(config-if)#ip add DHCP (если провайдер нам не предоставил статический адрес или статика по DHCP) 
home-cisco(config-if)#ip add ИП-АДРЕС МАСКА-СЕТИ (если провайдер нам дал статику без DHCP)
home-cisco(config-if)#exit
home-cisco(config)#

Меняем строку с правилом. А так-же Шлюз по умочанию.

home-cisco(config)#ip nat inside source list НАЗВАНИЕ-СПИСКА-ДОСТУПА interface fa0/1 overload
home-cisco(config)#ip route 0.0.0.0 0.0.0.0 ШЛЮЗ-ПРОВАЙДЕРА
home-cisco(config)#exit
home-cisco#

Из всего остального оставляем только список доступа, ну и естественно ip nat inside на внутреннем, у нас это fa0/0.

Вообще с PPPOE от провайдера бывают частенько танцы с бубном.

Возможно я что-то упустил, у меня бывает. Если так, то поправьте.

Enjoy.

Итак наше устройство является центральным маршрутизатором для нашей сети, ещё не полноценным но мы идём к этому, для этого следующим шагом поднимем на нём сервер динамической настройки узла.

Поехали.

Исключаем, на всякий случай несколько сетевых адресов из пула:

home-cisco#conf t
home-cisco(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.10
home-cisco(config)#

И поднимаем свой пул адресов

home-cisco(config)#ip dhcp pool LAN
home-cisco(dhcp-config)#network 192.168.1.0 255.255.255.0
home-cisco(dhcp-config)#default-router 192.168.1.1
home-cisco(dhcp-config)#dns-server 8.8.8.8
home-cisco(dhcp-config)#end
home-cisco#wr
Building configuration...
[OK]
home-cisco#

Вот в принципе и всё, адресочки начнут выдаваться в диапазоне параметра network исключая первые десять адресов. Шлюз будет присваиваться исходя из параметра default-router, а DNS сервер исходя из параметра dns-server. Ваш Кэп.

Мы закончили настройку простейшего DHCP на cisco.

 Просто включив в электрическую сеть и воткнув в оборудование сетевой кабель вашей домашней информационной сети, бесполезное дело. Работать оно будет, но толку как от вазы в доме, и то меньше.

Значит, что нам надо: Непосредственно само оборудование, консольный кабель и устройство с которого мы будем выполнять первоначальную настройку, в данном случае это компьютер под управлением OS Windows.

Подготовились, помещаем консольный кабель в разъём на маршрутизаторе специально для этого предназначеный, выглядят они примерно так:

Далее подключаем второй конец кабеля к системному блоку в подходящий COM порт, естественно он должен быть на устройстве.

Если у вас вдруг оказался USB консольный кабель, то подключайте его к разъёму на маршрутизаторе, там тоже написано "CONSOLE" зачастую ещё и выделено  светло голубым цветом, и в порт USB на системном блоке. Устанавливайте драйвера в систему, благо Cisco Systems побеспокоились о них.

Перегружаем OS Windows и включаем маршрутизатор. Теперь нам нужна программа для подключения по COM, она неизменна уже много лет, по крайней мере у меня, благодаря своему чёрному экрану. Это Putty, качаем её с официального сайта устанавливаем или сразу запускаем, смотря какой дистрибутив скачали.

В итоге у нас появляется окно похожее на это:

Если у вас не по умолчанию отмечено "Serial"  то отмечайте смело, "Speed" 9600, Serial Line нужно посмотреть в диспетчере устройств Порты (COM и LPT) ----> Cisco Serial (COM №) если вы присоеденились USB консольным кабелем, или просто Последовательный порт (COM1) если вы присоеденились обычным консольным кабелем и у вас этот порт один.

Нажимаем смело Open, открывается консоль и мы почти рядом с моментом истины, нажимаем Enter.

Должно появиться приглашение на ввод команд, как то так:

Router>

Тут конечно всё зависит от состояния программного обеспечения и конфигурации на маршрутизаторе, варианты разные есть, но это уже другая песня. Задавайте вопросы в теме.

Итак, даём имя нашему новому жителю.

Router>en
Router#conf t
Router(config)#hostname home-cisco
home-cisco(config)#

Мы не хотим чтоб она болтала всем пароли на лево и на право, значит будем хранить их в зашифрованном виде

home-cisco(config)#service password-encryption
home-cisco(config)#

Мы учимся управлять маршрутизатором из консоли, значит отрубаем ненужные сервисы

home-cisco(config)#no ip http server
home-cisco(config)#no cdp run

Назначаем управляющего всем этим хозяйством и под каким логином и паролем он будет заходить в систему хозяйничать.

home-cisco(config)#username vasyaPupkin privilege 15 secret ParolVasiPupkina
home-cisco(config)#

Врубаем протокол защиты доступа

home-cisco(config)#aaa new-model
home-cisco(config)#

Ограничим доступ на устройство частными адресами домашней сети написав табличку на листике, при условии что у вас сеть 192.168.1.0/24. И повесим листик с табличкой на удалённый вход, кому можно сюда заходить.

home-cisco(config)#access-list 23 permit 192.168.1.0 0.0.0.255
home-cisco(config)#line vty 0 4
home-cisco(config-line)#access-class 23 in
home-cisco(config-line)#privilege level 15
home-cisco(config-line)#logging synchronous
home-cisco(config-line)#transport input ssh telnet
home-cisco(config-line)#exit
home-cisco(config)#

Если мы не хотим стольким адресам разрешать доступ, то листик будет выглядеть попроще, при условии что ваш компьютер с которого вы будете заходить имеет сетевой адрес 192.168.1.10. Вот так:

home-cisco(config)#access-list 23 permit 192.168.1.10
home-cisco(config)#

На остальных точках входа можно написать "no exec", кроме line con 0, это консоль ;-).

Просмотреть какие есть можно командой "sh run" не входя в режим конфигурации. Начинаются они с  "line"

Начнём настраивать и самому устройству сетевой адрес. Для этого просматриваем конфиг:

home-cisco(config)#end
home-cisco#sh run

Там будет много всего, нам нужны интерфейсы, выглядеть они в конфигурации на данный момент будут примерно так:

!
interface FastEthernet0/0
	no ip address
	shutdown
	speed auto
!

Если гигабитный интерфейс то  имя его будет "GigabitEthernet0/0".

Но можно посмотреть доступные интерфейсы и командой "sh ip int br". Вывод будет выглядеть примерно так:

Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0         unassigned		YES NVRAM  down                  down      
FastEthernet0/1         unassigned		YES NVRAM  down                  down      
FastEthernet0/2         unassigned		YES NVRAM  down                  down

Заходим в его настройку и назначаем ему адрес в сети:

home-cisco#conf t
home-cisco(config)#int fa0/0
home-cisco(config-if)#ip add 192.168.1.1 255.255.255.0
home-cisco(config-if)#no shut
home-cisco(config-if)#end
home-cisco#

Адрес мы назначили, теперь можно настроить и ssh для порядку.

home-cisco#conf t
home-cisco(config)#ip domain name myhome.local
home-cisco(config)#crypto key generate rsa label DLYASSH mod 2048
home-cisco(config)#ip ssh version 2
home-cisco(config)#ip ssh time-out 60
home-cisco(config)#ip ssh authentication-retries 2
home-cisco(config)#ip ssh dh min size 4096
home-cisco(config)#end
home-cisco#

На заметку, если у вас есть сомнения в наборе команд то нажимайте TAB чтоб команда дописалась полностью потом ? и вам выведет список доступных для продолжения символов.

Заходить на устройство по SSH можно с помощью Putty, жмякнув соответсвующую галочку в программе и набрав сетевой адрес устройства. Далее вводим логин и пароль какой мы назначили и мы на устройстве.

Ну в принципе всё, на первый раз хватит.

Сохраняем конфигурацию и отдыхаем.

home-cisco#wr
Building configuration...
[OK]
home-cisco#

Данный пост является следствием воспитательных мероприятий направленных в сторону моего любимого сына, дабы защитить его не окрепший разум от великой силы интернета которую не способен подавить даже крептонит.

Время идёт, ребёнок начинает без контрольно посещать глобальную паутину, у нас есть "кошка" в качестве центрального маршрутизатора, вот её мы и приготовим на эту тему.

Как настроить DHCP написано тут.

Попробуем его ограничить хоть чем-то, опишу тут пока одно устройство, начнём.

Описываем пул для устройства. В отличии от нормального DHCP-сервера, в cisco чтоб привязать сетевой адрес к маку надо создавать новый пул, да-да, как-то так.

Цитата

ip dhcp pool СУПЕРНАЗВАНИЕ
  host СУПЕРИП 255.255.255.0
  client-identifier МАКАДРЕС
  default-router ИМБАШЛЮЗ
  dns-server СЕРВЕРИМЁН
  client-name КЛИЧКАКЛИЕНТА
  lease 60

Примечательно, что мак адрес пишется с добавлением 01 для windows или 00 для unix в переди вот таким методом примерно: 01ХХ.ХХХХ.ХХХХ.ХХ

Вообще, лучше всего сначала посмотреть в каком виде приходит мак:

Цитата

sh ip dhcp bind

Зачастую с мак-адресами бываю пляски с бубном и если у вас что-то не так в этом плане, пишите.

Так, статику мы дали, пошли дальше.

Дадим тырнет за NAT через список доступа и создадим его для заNATированной сети

Цитата

ip nat inside source list ЛИСТДОСТУПАВТЫРНЕТ interface FastEthernet4 overload

Цитата

 ip access-list extended ЛИСТДОСТУПАВТЫРНЕТ
  deny   ip host СУПЕРИП any time-range ИМЯВРЕМЕННОГОДИАПАЗОНА
  permit ip any any

Оттак, ну осталось задать временной диапазон когда вырубать интернет на устройстве

Цитата

time-range ИМЯВРЕМЕННОГОДИАПАЗОНА
 periodic weekdays 7:30 to 17:00

Вот так в будни мы вырубаем, ибо нех. Вообще можно побаловаться со временем, всё довольно гибко. Предложения с примерами в комменты! Enjoy!

cisco-test#show access-lists
Standard IP access list SNMP_ACCESS_RO
    10 permit 10.10.10.100
Extended IP access list 101
    10 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.100
    20 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.101
    30 permit ip 192.168.0.0 0.0.0.255 host 10.10.10.102

В данном случае в ACL 101 имеются три записи с порядковыми номерами 10, 20, 30. Эти уникальные идентификаторы и позволят нам совершить акт вандализма.

cisco-test#configure t
Enter configuration commands, one per line.  End with CNTL/Z.
cisco-test(config)#ip access-list e 101
cisco-test(config-ext-nacl)#no 30

В конфигурационном терминале мы выбрали для редактирования ACL 101 и указали какую запись необходимо удалить ссылаясь на её порядковый номер (в данном случае 30).