Постала необхідність в одній з філій в якості маршрутизатора встановити Cisco, тому що передбачалося ВПН-з'єднання із закордонним філією (а їх вимогу наявність Cisco), то була обрана модель Cisco один тисяча вісімсот сорок одна SEC / K9. Якщо хтось буде купувати подібну модель (c SEC / K9) зверніть увагу, що за нинішнім законодавством, її використання вимагає наявності реєстрації в ФСБ.
Але зараз не про це, тому що в настройках цісок я нічого не розумів, довелося сідати і курити мануали. Що накурив, судити Вам =). Тут буде розглянута тільки первісна настройка, без настройки маршрутизації, dhcp та інших принад.
Отже у мене в руках циска, з консольним кабелем, питання, де в даний час знайти com-порт. Сам працюю на ноут, в серверну шафу лізти лінь, користувачів зганяти з місць теж не хочеться, в результаті в потайничках знайшов стару машину з Арчем, то що треба.
Як терміналу будемо використовувати minicom -
pacman -S minicom
Конфігуріруем
minicom -s
де виставляємо -
Serial Device: / dev / ttyS0
Bps / Par / Bits: 9600 8N1
Видаляємо все з рядків modem Init and Reset strings, зберігаємо save setup as dfl і виходимо Exit from Minicom.
Запускаємо без ключа -s, включаємо циского, коннект є.
Любителі дрібном'який з таким же успіхом можуть використовувати HyperTerminal.
Ім'я та пароль за замовчуванням - cisco. Отже, ми в консолі, з чого почати?
Можна почати з команди -
setup
яка допоможе нам налаштувати основні параметри, але ми обійдемося без неї.
Створимо користувача для подальших входів.
Входимо в привілейований режим -
Router> enable
Router #
# - знак привілейованого режиму.
Далі входимо в режим конфігурації -
Router # configure terminal
Router (config) #
можна просто conf t, циска сама підбере необхідне. Якщо ви забули написання команд, то можна використовувати довідку -?
Отже створюємо користувача:
Router (config) # username vash_user privilege 15 super_puper_password
де,
vash_user - ім'я користувача
super_puper_password - Ваш супер складний пароль.
Задаємо ім'я хоста:
Router (config) # hostname Cisco
Cisco (config) #
Для фанатів Дениса Попова, вид системного запрошення можливо змінити:
Cisco (config) # prompt% h:% n% p
Cisco (config) # exit
Cisco: 5 #
Можливі символи:
%% - знак відсотка
% H - Ім'я хоста
% N - Номер TTY-порту для даного сеансу.
% P - Символ запрошення:> для призначеного для користувача режиму і # для привілейованого режиму
% S - Пропуск
% T - Табуляция
Далі для простоти написання буде використано ім'я хоста Router.
Задаємо пароль на привілейований режим -
Router (config) # enable password vash_password
Змушуємо маршрутизатор зберігати пароль в зашифрованому вигляді -
Router (config) # service password-encryption
Налаштовуємо інтерфейси:
Router> enable
Router # conf t
Router (config) # interface FastEthernet0 / 1
Router (config-if) # ip address 192.168.1.1 255.255.255.0
Router (config-if) # description LAN
Router (config-if) # no shutdown
Router (config-if) #exit
Router (config) #
Таким же чином налаштовується другий інтерфейс
Задаємо dns-сервера -
Router (config) # ip name-server 192.168.1.5
Router (config) # ip name-server 192.168.1.6
Задаємо ім'я для неуточнених доменів
Router (config) # ip domain-name your-domain.ru
Відключаємо пошук в системі ДНС
Router (config) # no ip domain-lookup
Задаємо шлюз -
ip default-gateway 107.23.128.13
Тимчасову зону -
Router (config) # clock timezone MSK +3
Задаємо сервер ntp -
Router (config) # ntp server 192.168.1.6
до активації ААА в системі обов'язково повинен бути заведений хоча б один користувач
Генеруємо ключ для ssh
Router (config) # crypto key generate RSA
І переходимо до налаштування віртуального терміналу -
Router (config) # line vty 1
Router (config-line) # login
Router (config-line) # exec-timeout 30 0
Router (config-line) # transport input ssh
Router (config-line) # privilege level 15
Router (config-line) # exit
Router (config) #
Ми налаштували ssh тільки для одного вітртуального терміналу, щоб налаштувати для декількох віртуальних ліній, необхідно вказувати наприклад:
line vty 0 5
Якщо наша циска не підтримує ssh, то можна використовувати telnet для підключення, тоді необхідно буде замінити транспорт соотвественно на telnet (transport input telnet)
Для тих хто не може жити без веб-морди, включаємо веб-сервер -
ip http server
ip http authentication local
Для більш надійного з'єднання включаємо https (не всі циского це вміють)
ip http secure-server
Якщо Ви цього не зробите, то при наступній завантаженні Ви не побачите змін, які так довго вносили.
Ну і не забуваємо про -
show?
Стандартні списки доступу.
ip http server
ip http access-class 25
ip http authentication aaa
ip http port 8080
Розширені списки доступу:
Коментарі в списках доступу (remark) -
access-list 110 remark Блокувати директору все, дістав!
acces-list 110 deny ip 10.10.10.5 0.0.0.255 any
Налаштування часу в списках доступу (time-range - глобальна команда) -
Робочий час в будні дні:
time-range block-http
periodic weekdays 8:00 to 17:00
Приклад використання:
ip access-list extended list1
deny tcp any any eq www time-range block-http
permit any any
Тут перше правило блокує HTTP-трафік в робочий час і дозволяє інший трафік.
За замовчуванням доступ по протоколу SNMP відключений. Щоб включити його,
необхідно виконати -
snmp-server community ім'я режим спісок_доступа
Нижче перераховані параметри команди:
ім'я - Рядок спільноти (community string),
режим - доступні два режими: R0 - доступ (непривілейований) тільки для
читання і RW - доступ (привілейований) для читання і запису.
спісок_доступа - Ім'я або номер стандартного списку управління доступом.
snmp-server community not-public R0 1
! Включення привілейованого доступу і застосування списку доступу 2
snmp-server community highly-secure RW 2
snmp-server location Servernaya
snmp-server contact [email protected]
snmp-server host 10.10.10.2 highly-secure traps
! списки доступу
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 permit 10.10.10.35
Налаштування DHCP
Задаємо шлюз (замість default-gateway) описаному в першій частині і статичні маршрути-
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 125.12.232.15
ip route 192.168.1.0 255.255.255.0 125.12.232.15
Включаємо швидкісну передачу від Cisco для IPv4
ip cef
і відключаємо для IPv6
no ipv6 cef
налаштовуємо NAT
! на Інтернет інтерфейсі
interface FastEthernet0 / 0
ip nat outside
! на локальному інтерфейсі
interface Vlan1
ip nat inside
! створюємо список IP мають доступ до NAT
ip access-list extended NAT
permit ip host 10.10.10.10 any
! включаємо NAT на зовнішньому інтерфейсі
ip nat inside source list NAT interface FastEthernet0 / 0 overload