Установка виртуального роутера Cisco CSR 1000v
Примечание
В регионе Казахстан доступна только зона доступности kz1-a.
В Yandex Cloud можно развернуть виртуальный роутер Cisco Cloud Services Router (CSR) 1000v из готового образа виртуальной машины.
Чтобы установить CSR 1000v и настроить к нему доступ по SSH:
- Подготовьте облако к работе.
- Создайте пару ключей SSH.
- Создайте виртуальную машину с Cisco Cloud Services Router.
- Задайте роутеру имя хоста.
- Создайте пользователя с правами администратора.
- Настройте аутентификацию с помощью SSH-ключей.
- Проверьте SSH-подключение к роутеру.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
- На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе
ACTIVEилиTRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
Внимание
Пропускная способность роутера при использовании образа Cisco CSR 1000v без лицензии ограничена 100 Кбит/с. Чтобы снять ограничение, установите лицензию.
В стоимость использования виртуального роутера входят:
- плата за диск и постоянно запущенную ВМ (см. тарифы Yandex Compute Cloud);
- плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).
Создайте пару ключей SSH
Чтобы подключаться к виртуальной машине по SSH, нужна пара ключей: открытый ключ размещается на ВМ, а закрытый ключ хранится у пользователя. Такой способ более безопасен, чем подключение по логину и паролю.
Примечание
В публичных образах Linux, предоставляемых Yandex Cloud, возможность подключения по протоколу SSH с использованием логина и пароля по умолчанию отключена.
Роутер Cisco Cloud Services Router (CSR) 1000v поддерживает только ключи, сгенерированные по алгоритму RSA.
Чтобы создать пару ключей:
-
Откройте терминал.
-
Создайте новый ключ с помощью команды
ssh-keygen:ssh-keygen -t rsa -b 2048После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя
id_rsa, ключи создаются в директории~/.ssh.Публичная часть ключа будет сохранена в файле
<имя_ключа>.pub.
-
Запустите
cmd.exeилиpowershell.exe. -
Создайте новый ключ с помощью команды
ssh-keygen:ssh-keygen -t rsa -b 2048После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя
id_rsa. Ключи создаются в директорииC:\Users\<имя_пользователя>\.ssh\илиC:\Users\<имя_пользователя>\в зависимости от интерфейса командной строки.Публичная часть ключа будет сохранена в файле с названием
<имя_ключа>.pub.
Создайте ключи с помощью приложения PuTTY:
-
Скачайте и установите PuTTY.
-
Добавьте папку с PuTTY в переменную
PATH:- Нажмите кнопку Пуск и в строке поиска Windows введите Изменение системных переменных среды.
- Справа снизу нажмите кнопку Переменные среды....
- В открывшемся окне найдите параметр
PATHи нажмите Изменить. - Добавьте путь к папке в список.
- Нажмите кнопку ОК.
-
Запустите приложение PuTTYgen.
-
В качестве типа генерируемой пары выберите RSA и укажите длину 2048. Нажмите Generate и поводите курсором в поле выше до тех пор, пока не закончится создание ключа.
-
В поле Key passphrase введите надежный пароль. Повторно введите его в поле ниже.
-
Нажмите кнопку Save private key и сохраните закрытый ключ. Никому не сообщайте ключевую фразу от него.
-
Сохраните ключ в текстовом файле. Для этого скопируйте открытый ключ из текстового поля в текстовый файл с названием
id_rsa.pub. Обратите внимание, что ключ должен быть записан одной строкой (не должно быть переносов и разрывов строки).
Важно
Надежно сохраните закрытый ключ: без него подключиться к виртуальной машине будет невозможно.
Создайте виртуальную машину с Cisco Cloud Services Router
-
На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите
Виртуальная машина. -
Выберите вариант Расширенная настройка.
-
В блоке Образ загрузочного диска в поле Поиск продукта введите
Cisco CSRи выберите публичный образ Cisco CSR. -
В блоке Расположение выберите зону доступности, в которой будет создана ВМ. Если вы не знаете, какая зона доступности вам нужна, оставьте выбранную по умолчанию.
-
В блоке Вычислительные ресурсы перейдите на вкладку
Своя конфигурацияи укажите необходимую платформу, количество vCPU и объем RAM:- Платформа —
Intel Ice Lake. - vCPU —
2. - Гарантированная доля vCPU —
100%. - RAM —
4 ГБ.
- Платформа —
-
В блоке Сетевые настройки:
- В поле Подсеть выберите сеть и подсеть, к которым нужно подключить ВМ. Если нужной сети или подсети еще нет, создайте их.
- В поле Публичный IP-адрес оставьте значение
Автоматически, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.
-
В блоке Доступ выберите вариант SSH-ключ и укажите данные для доступа на ВМ:
- В поле Логин введите имя пользователя. Не используйте имя
rootили другие имена, зарезервированные ОС. Для выполнения операций, требующих прав суперпользователя, используйте командуsudo. -
В поле SSH-ключ выберите SSH-ключ, сохраненный в вашем профиле пользователя организации.
Если в вашем профиле нет сохраненных SSH-ключей или вы хотите добавить новый ключ:
-
Нажмите кнопку Добавить ключ.
-
Задайте имя SSH-ключа.
-
Выберите вариант:
-
Ввести вручную— вставьте содержимое открытого SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно. -
Загрузить из файла— загрузите открытую часть SSH-ключа. Пару SSH-ключей необходимо создать самостоятельно. -
Сгенерировать ключ— автоматическое создание пары SSH-ключей.При добавлении сгенерированного SSH-ключа будет создан и загружен архив с парой ключей. В ОС на базе Linux или macOS распакуйте архив в папку
/home/<имя_пользователя>/.ssh. В ОС Windows распакуйте архив в папкуC:\Users\<имя_пользователя>/.ssh. Дополнительно вводить открытый ключ в консоли управления не требуется.
-
-
Нажмите кнопку Добавить.
SSH-ключ будет добавлен в ваш профиль пользователя организации. Если в организации отключена возможность добавления пользователями SSH-ключей в свои профили, добавленный открытый SSH-ключ будет сохранен только в профиле пользователя внутри создаваемого ресурса.
-
- В поле Логин введите имя пользователя. Не используйте имя
-
В блоке Общая информация задайте имя ВМ:
cisco-router. -
В блоке Дополнительно выключите опцию
Доступ к серийной консоли. -
Нажмите кнопку Создать ВМ.
Создание ВМ может занять несколько минут. Когда ВМ перейдет в статус RUNNING, вы сможете пользоваться серийной консолью.
Задайте роутеру имя хоста
-
В консоли управления перейдите в каталог с созданной ВМ.
-
Выберите сервис Compute Cloud.
-
В списке ВМ выберите
cisco-router. -
Перейдите на вкладку Серийная консоль и нажмите кнопку Подключиться.
-
Дождитесь полной загрузки операционной системы.
-
Чтобы перейти в привилегированный режим, выполните в серийной консоли команду
enable:cisco-router.kz1.internal>enable -
Перейдите в режим конфигурирования и задайте роутеру имя хоста:
cisco-router.kz1.internal#configure terminal Enter configuration commands, one per line. End with CNTL/Z. cisco-router.ru-cent(config)#hostname cisco-routerИмя роутера в начале командной строки должно измениться на
cisco-router.
Создайте пользователя с правами администратора
Создайте пользователя с правами администратора без возможности входа по паролю:
В серийной консоли выполните команду:
cisco-router(config)#username test-user privilege 15
Настройте аутентификацию с помощью SSH-ключей
-
Если ваш публичный SSH-ключ длиннее 72 символов, разбейте ключ на части по 72 символа. Для этого на своем компьютере в терминале выполните команду:
fold -bw 72 <путь_к_файлу_с_публичным_ключом>В результате будет выведен публичный SSH-ключ, разбитый на строки по 72 символа.
-
В серийной консоли включите доступ на ВМ по SSH:
cisco-router(config)#aaa new-model cisco-router(config)#ip ssh server algorithm authentication publickey cisco-router(config)#ip ssh pubkey-chain -
Создайте пользователя
test-userи передайте в режимеconf-ssh-pubkey-dataсвой публичный SSH-ключ частями не длиннее 72 символов, начиная сssh-rsaи заканчивая логином:cisco-router(conf-ssh-pubkey)#username test-user cisco-router(conf-ssh-pubkey-user)#key-string cisco-router(conf-ssh-pubkey-data)#<строка_публичного_ключа> ... cisco-router(conf-ssh-pubkey-data)#<строка_публичного_ключа> cisco-router(conf-ssh-pubkey-data)#exit cisco-router(conf-ssh-pubkey-user)#exit cisco-router(conf-ssh-pubkey)#exit cisco-router(config)#exit -
Убедитесь, что ключ добавлен:
cisco-router#show run | beg ip ssh ip ssh pubkey-chain username test-user key-hash ssh-rsa <хэш_ключа> <логин_связанный_с_этим_ключом> ! ! ... -
Сравните хэш SSH-ключа на роутере с хэшем ключа на вашем компьютере:
ssh-keygen -E md5 -lf <путь_к_файлу_с_публичным_ключом> -
В серийной консоли задайте пароль для включения привилегированного режима:
cisco-router#configure terminal cisco-router(config)#enable secret <пароль>
Проверьте SSH-подключение к роутеру
-
Выполните вход по SSH на роутер. Для этого на своем компьютере в терминале выполните команду:
ssh -i <путь_к_файлу_с_закрытым_ключом> test-user@<публичный_IP-адрес_роутера>Если все настроено верно, вы зайдете на роутер под именем
test-user. Если соединение не устанавливается, убедитесь, что настройка роутера в серийной консоли выполнена верно: выполнена командаaaa new-model, хэши ключей на вашем компьютере и роутере совпадают, авторизация по паролю у тестового пользователя выключена. Если обнаружить проблему не получается, повторите шаги из предыдущих пунктов. -
Введите команду
enableи пароль. Если все настроено верно, вы сможете конфигурировать роутер.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы: