Сброс и настройка маршрутизатора Cisco 2911

Cisco 2911

Данные маршрутизаторы поставлялись в 2010-2012 годах по проекту “Универсальный порт” в 2 этапа. С приходом МЭШ их могли интегрировать в инфраструктуру (и организовать так называемый мост) или вообще выключить.

В инфраструктуре мэш их использование бессмысленно — у нас отличные «головы» во главе сети.

Вариант использования: Маршрутизатор для школ без инфраструктуры мэш, новостроек (так же без мэш), детские сады и т.д.

Подготовительные действия: 

• Подключите маршрутизатор консольным кабелем к компьютеру. Консольный порт расположен на “морде” устройства. Для примера я буду использовать консольный кабель cisco и usb<->com адаптер Aten UC232A (дешманские с алика не все работают, проверяйте).
• Так же потребуется программа Putty (ссылка на официальный сайт)

Сброс маршрутизатора: 

По умолчанию на маршрутизаторах пароль пользователя root: jp2rgETC

Проверьте, если он подходит — сбрасывать маршрутизатор не обязательно! Для очистки конфига просто выполните erase startup-config и перезагрузитесь, используя reload

Далее будет описан способ сброса маршрутизатора если вы не знаете пароль!

1. Так как нет доступа к “админке” маршрутизатора – сбрасываем его! Перезагрузите маршрутизатор и нажмите комбинацию клавиш прерывания загрузки (CTRL + BREACK). Появится строка приглашения ROMMON:
2. Выполните смену конфигурационного регистра с помощью команды confreg 0x2142, после чего сбросьте устройство командой reset Перезапуск маршрутизатора с конфигурационным регистром 0х2142 приведет к тому, что он загрузится в конфигурации по умолчанию, т.е. с заводскими настройками. Строка приглашения CLI будет выглядеть так:
3. Далее 2 пути:
   1. Если нужно восстановить доступ к коммутатору, то входим в режим enable и копируем старый конфиг, набрав в консоле copy startup-config running-config Сразу по завершении операции копирования, устройство установит в качестве действующей загрузочную конфигурацию. Остается только сменить пароль. Для этого войдите в режим конфигурирования терминала командой conf t и установите новый пароль командой enable secret НОВЫЙ-ПАРОЛЬ . После изменения пароль скопируйте новую конфигурацию (отличающуюся от старой только паролем) в startup-config с помощью команды copy running-config startup-config .
   2. Либо второй путь: Сразу настраивайте маршрутизатор конфигурацией, которую вы найдете далее в статье с новыми паролями и настройками и так же сохраните его командой copy running-config startup-config — этот вариант мы и будем использовать!
4. После копирования настроенной конфигурации выполните команду config-register 0x2102 чтобы роутер загружался с конфигурацией startup-config
5. Теперь выполняйте reload и наслаждайтесь возвращенным доступом к маршрутизатору.

Конфигурация маршрутизатора Cisco 2911:

После получения доступа к маршрутизатору очищаем конфиг командой erase startup-config

Далее если вы нашли такие устройства у себя в оо, то их есть 2 типа: с модулем HWIC и без! Конфигурация ниже представлена для маршрутизатора БЕЗ модуля HWIC. Там, где был модуль — просто вытаскивал его и все.

Немного пояснений: В конфигурации использую разделение 1 физического порта на 3 подсети: vlan10 — управление, vlan40 — обычная сеть и vlan100 — кмс сеть (мост). Подключается все у меня следующим образом: в порт gi0/0 подключается модем мгтс, а в порт gi0/1 подключается коммутатор Cisco 2960 используя trunk — порт. На 2960 уже раскидываются порты по vlan’ам: транки идут на точки доступа cisco 1142, порты доступа — в vlan40, а камеры на охране — в vlan100 для доступа из кмс сети.

Пример наполнения шкафа в дошкольном отделении:

Далее приведу пример того, как я настраивал 2911 для дошкольных отделений:

enable
conf t 
no logging console
!
service password-encryption
aaa new-model
aaa authentication login default local
!
username root privilege 15 secret ПАРОЛЬ_ROOT
crypto key generate rsa modulus 1024
!
hostname DO-0000-00-GW
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
line vty 0 4
 transport input ssh
 privilege level 15
exit
!
clock timezone Moscow 3 0
!
archive
 log config
  logging enable
  hidekeys
exit
!
no cdp run
no ip domain-lookup
no ip dns server
no ipv6 cef
!
ip source-route
ip cef
!
ip dhcp excluded-address 192.168.216.1 192.168.216.100
ip dhcp excluded-address 192.168.217.1 192.168.217.20
!
ip dhcp pool private-eth
 import all
 network 192.168.216.0 255.255.255.0
 default-router 192.168.216.1
 dns-server 10.128.1.22 10.128.1.23 8.8.8.8
exit
!
ip dhcp pool public-eth
 import all
 network 192.168.217.0 255.255.255.0
 default-router 192.168.217.1
 dns-server 10.128.1.22 10.128.1.23 8.8.8.8
exit
!
ip name-server 10.128.1.22
ip name-server 10.128.1.23
!
bridge irb
!
interface Embedded-Service-Engine0/0
 no ip address
 shutdown
exit
!
interface GigabitEthernet0/0
 description Internet-IN
 no ip address
 ip access-group Inet-in in
 ip virtual-reassembly in
 duplex full
 speed auto
 bridge-group 100
 bridge-group 100 spanning-disabled
 no shutdown
exit
interface GigabitEthernet0/1
 no ip address
 duplex full
 speed auto
 no shutdown
exit
interface GigabitEthernet0/2
 no ip address
 shutdown
 duplex auto
 speed auto
exit
!
interface GigabitEthernet0/1.10
 description private_lan
 encapsulation dot1Q 10 native
 ip address 192.168.216.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
exit
interface GigabitEthernet0/1.40
 description public_lan
 encapsulation dot1Q 40
 ip address 192.168.217.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
exit
interface GigabitEthernet0/1.100
 description KMS_BRIDGE_LAN
 encapsulation dot1Q 100
 bridge-group 100
 bridge-group 100 spanning-disabled
exit

interface BVI100
 bandwidth 10000
 ip address 10.***.***.*** 255.255.255.***
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly in
exit
!

bridge 100 protocol ieee
bridge 100 route ip
!
ip forward-protocol nd
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list PAT interface BVI100 overload
ip route 0.0.0.0 0.0.0.0 10.***.***.***
ip route 0.0.0.0 0.0.0.0 Null0 255

ip access-list extended Inet-in
 permit icmp any any
 permit ip any any
 remark ------------------------ to do -----------------------
 permit udp any eq domain any
 permit tcp any any established
 deny ip any any
exit
ip access-list extended PAT
 permit ip 192.168.216.0 0.0.0.255 any
 permit ip 192.168.217.0 0.0.0.255 any
 permit ip any any
exit
ip sla responder
ip sla server twamp
exit
!
snmp-server community school-ro RO
snmp-server location DO-000-00 gorod Moskva, ulitca Latexnaya, dom 100500
snmp-server enable traps envmon
snmp-server enable traps flash insertion removal
snmp-server enable traps config
snmp-server enable traps cpu threshold
!
ntp server 10.143.255.42
ntp server 10.143.255.58
exit
wr

Примечание к конфигурации:

5