Первичная настройка Cisco 800 серии

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <...>
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
 transport input telnet ssh
 privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Russia3
clock summer-time Russia recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
 log config
  logging enable
  hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
 description === LAN ===
 ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
 ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов
ip dhcp pool LAN
   network 192.168.???.0 255.255.255.0
   default-router 192.168.???.1 
   dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
 permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet 4
 description === Internet ===
 ip address ???.???.???.??? 255.255.255.???
 ip virtual-reassembly
 ip verify unicast reverse-path
 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
 no cdp enable
 ip inspect INSPECT_OUT out
 ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet 4
 ip nat outside

! на локальном интерфейсе
interface Vlan1
 ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list standard ACL_NAT
permit 10.10.10.0 0.0.0.255

! включаем NAT на внешнем интерфейсе
ip nat inside source list ACL_NAT interface FastEthernet4 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

Пример конфига:


no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname c851-test
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$AkGd$d9gr6eA2Nr1UF8hwHjNDP.
!
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
clock timezone Russia 3
!
!
dot11 syslog
no ip dhcp use vrf connected
!
ip dhcp pool LAN
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1 255.255.255.0
dns-server 10.10.10.1 255.255.255.0
!
!
ip cef
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip domain name c851-test.domain.test
ip name-server 8.8.8.8
!
!
!
username admin privilege 15 secret 5 $1$w431$5gNuhGexZGnmghstz1D1U0
!
!
archive
log config
logging enable
hidekeys
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
description === Inet =======
ip address 172.16.28.2 255.255.255.0
ip access-group FIREWALL in
ip verify unicast reverse-path
no ip redirects
no ip proxy-arp
ip inspect INSPECT_OUT out
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Dot11Radio0
no ip address
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 172.16.28.1
!
no ip http server
no ip http secure-server
ip dns server
ip nat inside source list ACL_NAT interface FastEthernet4 overload
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list standard ACL_NAT
permit 10.10.10.0 0.0.0.255
!
ip access-list extended FIREWALL
permit tcp any any eq 22
permit icmp any any
ip access-list extended NAT
permit ip host 10.10.10.0 any
!
no cdp run
!
control-plane
!
!
line con 0
password 7 110A1016141D
no modem enable
line aux 0
line vty 0
privilege level 15
password 7 045802150C2E
transport input ssh
line vty 1 4
privilege level 15
transport input ssh
!
scheduler max-task-time 5000
end

Запись опубликована в рубрике Cisco, Новости. Добавьте в закладки постоянную ссылку.