Установка виртуального роутера Cisco CSR 1000v
В Yandex Cloud можно развернуть виртуальный роутер Cisco Cloud Services Router (CSR) 1000v из готового образа виртуальной машины.
Чтобы установить CSR 1000v и настроить к нему доступ по SSH:
- Подготовьте облако к работе.
- Создайте пару ключей SSH.
- Создайте виртуальную машину с Cisco Cloud Services Router.
- Задайте роутеру имя хоста.
- Создайте пользователя с правами администратора.
- Настройте аутентификацию с помощью SSH-ключей.
- Проверьте SSH-подключение к роутеру.
Если созданные ресурсы вам больше не нужны, удалите их.
Перед началом работы
Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:
- Перейдите в консоль управления
, затем войдите в Yandex Cloud или зарегистрируйтесь. - На странице Yandex Cloud Billing
убедитесь, что у вас подключен платежный аккаунт, и он находится в статусеACTIVE
илиTRIAL_ACTIVE
. Если платежного аккаунта нет, создайте его.
Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака
Подробнее об облаках и каталогах.
Необходимые платные ресурсы
Внимание
Пропускная способность роутера при использовании образа Cisco CSR 1000v без лицензии ограничена 100 Кбит/с. Чтобы снять ограничение, установите лицензию
В стоимость использования виртуального роутера входят:
- плата за диск и постоянно запущенную ВМ (см. тарифы Yandex Compute Cloud);
- плата за использование динамического или статического внешнего IP-адреса (см. тарифы Yandex Virtual Private Cloud).
Создайте пару ключей SSH
Чтобы подключаться к виртуальной машине по SSH, нужна пара ключей: открытый ключ размещается на ВМ, а закрытый ключ хранится у пользователя. Такой способ более безопасен, чем подключение по логину и паролю.
Примечание
В публичных образах Linux, предоставляемых Yandex Cloud, возможность подключения по протоколу SSH с использованием логина и пароля по умолчанию отключена.
Роутер Cisco Cloud Services Router (CSR) 1000v поддерживает только ключи, сгенерированные по алгоритму RSA.
Чтобы создать пару ключей:
-
Откройте терминал.
-
Создайте новый ключ с помощью команды
ssh-keygen
:ssh-keygen -t rsa -b 2048
После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя
id_rsa
, ключи создаются в директории~/.ssh
.Публичная часть ключа будет сохранена в файле
<имя_ключа>.pub
.
-
Запустите
cmd.exe
илиpowershell.exe
. -
Создайте новый ключ с помощью команды
ssh-keygen
:ssh-keygen -t rsa -b 2048
После выполнения команды вам будет предложено указать имена файлов, в которые будут сохранены ключи, и ввести пароль для закрытого ключа. По умолчанию используется имя
id_rsa
. Ключи создаются в директорииC:\Users\<имя_пользователя>\.ssh\
илиC:\Users\<имя_пользователя>\
в зависимости от интерфейса командной строки.Публичная часть ключа будет сохранена в файле с названием
<имя_ключа>.pub
.
Создайте ключи с помощью приложения PuTTY:
-
Скачайте
и установите PuTTY. -
Убедитесь, что директория, куда вы установили PuTTY, присутствует в
PATH
:- Нажмите правой кнопкой на Мой компьютер. Выберите пункт Свойства.
- В открывшемся окне выберите Дополнительные параметры системы, затем Переменные среды (находится в нижней части окна).
- В разделе Системные переменные найдите
PATH
и нажмите Изменить. - В поле Значение переменной допишите путь к директории, куда вы установили PuTTY.
-
Запустите приложение PuTTYgen.
-
В качестве типа генерируемой пары выберите RSA и укажите длину 2048. Нажмите Generate и поводите курсором в поле выше до тех пор, пока не закончится создание ключа.
-
В поле Key passphrase введите надежный пароль. Повторно введите его в поле ниже.
-
Нажмите кнопку Save private key и сохраните закрытый ключ. Никому не сообщайте ключевую фразу от него.
-
Сохраните ключ в текстовом файле. Для этого скопируйте открытый ключ из текстового поля в текстовый файл с названием
id_rsa.pub
. Обратите внимание, что ключ должен быть записан одной строкой (не должно быть переносов и разрывов строки).
Важно
Надежно сохраните закрытый ключ: без него подключиться к виртуальной машине будет невозможно.
Создайте виртуальную машину с Cisco Cloud Services Router
- В консоли управления
выберите каталог, в котором хотите создать ВМ с Cisco Cloud Services Router. - Нажмите кнопку Создать ресурс и выберите пункт Виртуальная машина.
- Укажите имя ВМ, например
cisco-router
. - Выберите зону доступности, в которой будет находиться ВМ. Если вы не знаете, какая зона доступности вам нужна, оставьте выбранную по умолчанию.
- В блоке Выбор образа/загрузочного диска перейдите на вкладку Marketplace и выберите образ Cisco CSR.
- В блоке Вычислительные ресурсы:
- Выберите платформу ВМ.
- Укажите необходимое количество vCPU и объем RAM:
- Платформа —
Intel Ice Lake
. - vCPU —
2
. - Гарантированная доля vCPU —
100%
. - RAM —
4 ГБ
.
- Платформа —
- В блоке Сетевые настройки выберите сеть и подсеть, к которым нужно подключить ВМ. Если сети нет, создайте ее:
-
Выберите пункт
Создать сеть. -
В открывшемся окне укажите имя сети и каталог, в котором будет находиться ВМ.
-
(Опционально) Для автоматического создания подсетей выберите опцию Создать подсети.
-
Нажмите кнопку Создать сеть.
У каждой сети должна быть как минимум одна подсеть. Если подсети нет, создайте ее, выбрав пункт
Создать подсеть. -
В поле Публичный адрес оставьте значение ̀
Автоматически
, чтобы назначить ВМ случайный внешний IP-адрес из пула Yandex Cloud, или выберите статический адрес из списка, если вы зарезервировали его заранее.
-
- В блоке Доступ укажите данные для доступа на ВМ:
- В поле Логин введите имя пользователя.
- В поле SSH-ключ вставьте содержимое файла открытого ключа, созданного ранее.
- В поле Дополнительно выберите опцию Доступ к серийной консоли.
- Нажмите кнопку Создать ВМ.
Создание ВМ может занять несколько минут. Когда ВМ перейдет в статус RUNNING
, вы сможете пользоваться серийной консолью.
Задайте роутеру имя хоста
-
В консоли управления
перейдите в каталог с созданной ВМ. -
Выберите сервис Compute Cloud.
-
В списке ВМ выберите
cisco-router
. -
Перейдите на вкладку
Серийная консоль и нажмите кнопку Подключиться. -
Дождитесь полной загрузки операционной системы.
-
Чтобы перейти в привилегированный режим, выполните в серийной консоли команду
enable
:cisco-router.ru-central1.internal>enable
-
Перейдите в режим конфигурирования и задайте роутеру имя хоста:
cisco-router.ru-central1.internal#configure terminal Enter configuration commands, one per line. End with CNTL/Z. cisco-router.ru-cent(config)#hostname cisco-router
Имя роутера в начале командной строки должно измениться на
cisco-router
.
Создайте пользователя с правами администратора
Создайте пользователя с правами администратора без возможности входа по паролю:
В серийной консоли выполните команду:
cisco-router(config)#username test-user privilege 15
Настройте аутентификацию с помощью SSH-ключей
-
Если ваш публичный SSH-ключ длиннее 72 символов, разбейте ключ на части по 72 символа. Для этого на своем компьютере в терминале выполните команду:
fold -bw 72 <путь_к_файлу_с_публичным_ключом>
В результате будет выведен публичный SSH-ключ, разбитый на строки по 72 символа.
-
В серийной консоли включите доступ на ВМ по SSH:
cisco-router(config)#aaa new-model cisco-router(config)#ip ssh server algorithm authentication publickey cisco-router(config)#ip ssh pubkey-chain
-
Создайте пользователя
test-user
и передайте в режимеconf-ssh-pubkey-data
свой публичный SSH-ключ частями не длиннее 72 символов, начиная сssh-rsa
и заканчивая логином:cisco-router(conf-ssh-pubkey)#username test-user cisco-router(conf-ssh-pubkey-user)#key-string cisco-router(conf-ssh-pubkey-data)#<строка_публичного_ключа> ... cisco-router(conf-ssh-pubkey-data)#<строка_публичного_ключа> cisco-router(conf-ssh-pubkey-data)#exit cisco-router(conf-ssh-pubkey-user)#exit cisco-router(conf-ssh-pubkey)#exit cisco-router(config)#exit
-
Убедитесь, что ключ добавлен:
cisco-router#show run | beg ip ssh ip ssh pubkey-chain username test-user key-hash ssh-rsa <хэш_ключа> <логин_связанный_с_этим_ключом> ! ! ...
-
Сравните хэш SSH-ключа на роутере с хэшем ключа на вашем компьютере:
ssh-keygen -E md5 -lf <путь_к_файлу_с_публичным_ключом>
-
В серийной консоли задайте пароль для включения привилегированного режима:
cisco-router#configure terminal cisco-router(config)#enable secret <пароль>
Проверьте SSH-подключение к роутеру
-
Выполните вход по SSH на роутер. Для этого на своем компьютере в терминале выполните команду:
ssh -i <путь_к_файлу_с_закрытым_ключом> test-user@<публичный_IP-адрес_роутера>
Если все настроено верно, вы зайдете на роутер под именем
test-user
. Если соединение не устанавливается, убедитесь, что настройка роутера в серийной консоли выполнена верно: выполнена командаaaa new-model
, хэши ключей на вашем компьютере и роутере совпадают, авторизация по паролю у тестового пользователя выключена. Если обнаружить проблему не получается, повторите шаги из предыдущих пунктов. -
Введите команду
enable
и пароль. Если все настроено верно, вы сможете конфигурировать роутер.
Как удалить созданные ресурсы
Чтобы перестать платить за созданные ресурсы: