Модем cisco epc3928ad настройка

Обновлено: 15.01.2025

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

Отключение ненужных сервисов

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

Настройка ADSL и модема (HWIC-1ADSL и WIC-1AM-V2) на Cisco

Основная особенность настройки заключается в том, что присутствует разделение физического соединения (физического интерфейса) и интерфейса-дозвонщика Dialer. Но при это внутри Циска создаст ещё дополнительный интерфейс Virtual-access на который смаппирует Dialer… Короче, проще не заморачиваться. В физическом интерфейсе указываем физические параметры линии, в дозвонщике – логику: PPP, NAT и т.п.

Второй засадой является то, что стандартный размер фрейма (MTU) Ethernet в 1500 байт, на туннеле уменьшается до 1492. При этом на Dialer нужно указать ip mtu 1492, а на внутренних интерфейсах, где включена команда ip nat inside, прописать ip tcp adjust-mss 1452/1492. Это уменьшит размер TCP сегмента до меньшего или равного размера MTU в туннеле. Иначе вы столкнётесь с ситуацией, что Ping идет, DNS отвечает, а больше половины сайтов напрочь рвут соединения. Но лучший способ – это подкорректировать MTU на клиентских ПК. У себя дома это сделать не сложно. На работе - невозможно в принципе. Ещё отличие может заключаться в протоколах аутентификации: попробуйте PAP, CHAP или оба протокола.

Настройка ADSL модема HWIC-1ADSL:

no atm ilmi-keepalive

dsl operating-mode adsl2+ - физический режим работы

pvc 1/50 - vpi/vci от провайдера

pppoe-client dial-pool-number 13

ip address negotiated

no ip redirects

no ip unreachables

ip virtual-reassembly in max-fragments 24 max-reassemblies 20

ip verify unicast reverse-path

ppp authentication chap callin

ppp chap password 0 Cisco - Ваш пароль

ppp ipcp dns request – Получать DNS от провайдера

ip tcp adjust-mss 1452

access-list 13 permit any - ACL для NAT

ip nat inside source list 13 interface Dialer13 overload

ip route 0.0.0.0 0.0.0.0 Dialer13

!
!
Про поднятии PPP туннеля, в таблице маршрутизации должны появиться записи вида:

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

S* 0.0.0.0/0 is directly connected, Dialer13

1.0.0.0/8 is variably subnetted, 2 subnets, 2 masks

C 1.1.1.0/24 is directly connected, GigabitEthernet0/1

L 1.1.1.254/32 is directly connected, GigabitEthernet0/1

8.0.0.0/32 is subnetted, 1 subnets

S 8.8.8.8 is directly connected, Dialer13

89.0.0.0/32 is subnetted, 1 subnets

C 89.222.223.2 is directly connected, Dialer13

192.168.22.0/32 is subnetted, 1 subnets

C 192.168.22.1 is directly connected, Dialer13

!
%DIALER-6-BIND: Interface Vi1 bound to profile Di13

%LINK-3-UPDOWN: Interface Virtual-Access1, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up

!
!
!
Настройка аналогового модема WIC-1AM-V2 на примере провайдера Zebra Telecom:
!
На всякий случай привожу IP адреса DNS и WEB сервера, для гостевого доступа в провайдер. И имейте ввиду, что по умолчанию все Dial-Up провайдеры, разрывают сессии через пять минут. Помню я индусу целую неделю парил мозг по поводу разрывов. Оказалось, это провайдер сам рвал.

ip host zebra-dns1 213.145.43.50

ip host zebra-dns2 213.145.47.147

ip host zebra-web 213.146.47.179

ip route 0.0.0.0 0.0.0.0 Dialer2

dialer-list 2 protocol ip permit

chat-script TEST ABORT ERROR ABORT BUSY "" "AT" OK "ATDT \T" TIMEOUT 45 CONNECT \c
- стандартный модемный скрипт

В порядке рабочей необходимости решили завести резервный канал связи, не зависимый от местной УК БЦ. Выбор пал на мобильного оператора Yota, ввиду предварительных замеров уровня сигнала и скорости приема\передачи он нас более чем устроил.

Все ниже описанные действия производились на Cisco 2911 (c2900-universalk9-mz.SPA.155-3.M9) + EHWIC-4G-LTE-G (Sierra AirPrime MC7710).

Сразу сделаю помарку для тех кто захочет реализовать такой же метод в рамках ограниченного бюджета. Сам по себе модуль EHWIC-4G-LTE-G стоит довольно дорого, ввиду того что на борту имеет модем Sierra AirPrime MC7710, поддерживающий РФ частоты. Но можно схитрить и не тратить большие деньги. Для этого покупаете EHWIC-4G-LTE-V на борту которого стоит модем MC7750 (заточенный на работу с мобильным оператором Verizon), затем отдельно покупаете MC7710 и просто меняете модемы в модуле. Модуль будет так же успешно работать с замененным модемом, правда и будет ругаться единожды при загрузке\перезагрузке модема на то что модуль ожидал другой модем.

Итак приступим к настройке. Я рассмотрю два варианта конфигурации, это когда модем всегда активен и когда ожидает запроса (если не требуется постоянного интернет соединения по данному каналу связи).

Переходим в режим глобальной конфигурации (conf t) и создаем скрипт дозвона:

Настраиваем мобильный интерфейс модуля:

Хочу обратить внимание что в зависимости в какой слот расширения будет установлен модуль, имя интерфейса будет меняться. У меня модуль установлен в slot 1, поэтому интерфейс имеется имя 0/1/0.

Для того чтобы мобильный интерфейс всегда был в активном состоянии добавляем следующие параметры:

ПОЯСНЕНИЯ. В watch-list указывается заведомо несуществующий маршрут, чтобы в ходе периодической проверки данный маршрут не обнаруживался в таблице маршрутизации и интерфейс не уходил в режим ожидания. В противном случае интерфейс уйдет в режим ожидания трафика.

Для терминальной линии указываем следующие параметры:

Настраиваем мобильный интерфейс модуля:

Указываем что всем разрешено инициировать соединение по мобильному интерфейсу:

В терминальную линию добавляем следующие параметры:

Для проверки соединения добавляем маршрут по-умолчанию через мобильный интерфейс:

После добавления выше описанных параметров, в случае если конфигурация выполнялась в режиме всегда активного соединения, то произойдет соединение с сетью мобильного оператора и будет присвоен IP-адрес. В случае если настройка была выполнена в режиме ожидания, то соединение с сетью произойдет в момент посыла запроса на мобильный интерфейс.

Посмотреть все параметры мобильного интерфейса можно командой:

Пример успешного соединения с мобильным оператором:

Data Transmitted = 242467619 bytes, Received = 761880030 bytes

Настройка модема

Далее для того чтобы интернет трафик пошел по настроенному мобильному интерфейсу, необходимо выполнить настройку непосредственно самого модема MC7710 на используемый канал связи.