Odhliadnuc od faktov, ktoré väčšinu malých a stredných firiem odradia od profesionálneho riešenia svojej sieťovej infraštruktúry, ako je hlavne vysoká cena nákupu podobných zariadení a neskoršie náklady na správu siete sieťovými profesionálmi, začnem trošku netradične. Hneď na začiatku tohto článku zhodnotím nasadené riešenie. Zákazník dostal "plechovú škatuľu za veľa peňazí", ktorá zrazu vie toho neúmerne viac ako low-end adsl modem.

Cisco 1841: Obrázok zpredu
Súčasná situácia je taká, že Cisco 1841, osadené adsl2-over-isdn kartou, im zrazu robí spoľahlivo DHCP, VPN, Firewall, systém prevencie útokov IPS, štatistiky. Navyše, nemusia sa starať o svoje internetové pripojenie, v prípade zvýšených výpadkov je otázka pár minút zapojiť na router záložné internetové pripojenie napr. od nemenovaného UMTS operátora a dá sa dosiahnuť dostupnosť internetu na vyšších métach.

Cisco 1841: aDSL karta

Teraz rozoberiem jednotlivé služby.

DHCP

V globále sú nadefinované 2 DHCP pooly, teda adresné priestory.

192.168.1.10 - 192.168.1.199 je pool pre lokálne PC vo firme

192.168.1.200 - 192.168.1.240 je pool pre jednotlivé pripojené VPN klienty.

Zvyšné IP adresy sú rezerva pre ostatné pevné zariadenia (kopírka, ethernet disk).

Cisco EasyVPN

Šifrovanie: 168bit 3DES, prihlasovanie pomocou mena/hesla do skupiny a pomocou ďalšieho mena/hesla užívateľa. Je to možné pomocou sprievodcu v SDM:

Cisco 1841: VPN sprievodca

Firewall

Povolené pripojenia zvnútra smerom von spôsobom keep-state, zvonku na určité porty (smtps, pop3s, imaps, vpn), zakázané P2P siete

IPS

Intrusion Prevention System, viac-menej bez konfigurácie, naloaduje sa definičný súbor a správa sa to automaticky.

Cisco 1841: IPS nastavenia aktívnych filtrov
Cisco 1841: IPS štatistiky

Štatistiky

Veľmi pekná a využiteľná vec, kedy môžete pomocou pribalenej utility SDM kontrolovať stav siete, zobrazovať rôzne grafy a tabuľky a podobne. Ku spomínanému softvéru sa ešte dostanem.

Cisco 1841: Štatistiky - hlavná obrazovka

Cisco 1841: Štatistika rozhraní


Ešte štastie, že som držiteľom certifikátov CCNA, ináč by som asi mal riadne problémy router nakonfigurovať. SDM, ktorý slúži aj na konfiguráciu routra, je síce pekná vec, ale nie vždy vám spraví to, čo chcete, ako si to predstavujete. Jednoducho do konfugurácie treba vždy ísť a povedzme si na rovinu, je to spoľahlivejšie a v prípade cviku aj oveľa, oveľa rýchlejšie.

V routri sa dá veľmi dobre nakonfigurovať QOS, čo môže byť využiteľné pri časovo náročných internetových aplikáciách (VoIP)

Cisco 1841: QOS štatistiky
Určite by som neodporúčal nejaké experimenty s konfigurovaním iba cez SDM, v prípade zložitejšej situácie sa to môže vypomstiť. Osobne by som bez problémov úplne zakázal SDM podporu na routri, nakoľko to z môjho paranoidného hľadiska môže predstavovať potencionálny bezpečnostný problém. Minimálne by som povolil prístup iba z niektorých ipčiek, alebo púzdroval prístup do nejakej VLany (virtuálnej podsiete).


Dosť zaujímavou vlastnosťou je možnosť po skončení konfigurácie prebehnúť router tzv. security auditom, teda otestuje konfiguráciu na rôzne známe bezpečnostné chyby:

Cisco 1841: Security audit

Celkovo, môžem zhodnotiť, že konečne u daného zákazníka je riešenie, s ktorým bude spokojný a nebude mu robiť vrásky :)



Linky:

• http://www.cisco.com/en/US/products/ps5875/

Príloha	Veľkosť
startup-config.txt	11.88 KB