Страницы

2015-02-22

Настройка Cisco (Cisco 1841)

Встала необходимость в одном из филиалов в качестве маршрутизатора установить Cisco, т.к. предполагалось впн-соединение с зарубежным филиалом (а их требование наличие Cisco), то была выбрана модель Cisco 1841 SEC/K9. Если кто-то будет закупать подобную модель (c SEC/K9) обратите внимание, что по нынешнему законодательству, ее использование требует наличия регистрации в ФСБ.
Но сейчас не об этом, т.к. в настройках цисок я ничего не понимал, пришлось садиться и курить мануалы. Что накурил, судить Вам =). Здесь будет рассмотрена только первоначальная настройка, без настройки маршрутизаций, dhcp и других прелестей.
Итак у меня в руках циска, с консольным кабелем, вопрос, где в нынешнее время найти com-порт?! Сам работаю на ноуте, в серверный шкаф лезть лень, юзеров сгонять с мест тоже неохота, в итоге в загашниках нашел старую машину с Арчем, то что надо.
В качестве терминала будем использовать minicom -
pacman -S minicom
Конфигурируем
minicom -s
где выставляем -
Serial Device: /dev/ttyS0
Bps/Par/Bits: 9600 8N1
Удаляем все из строк modem Init and Reset strings, сохраняем save setup as dfl и выходим Exit from Minicom.
Запускаем без ключа -s, включаем циску, коннект есть.
Любители мелкомягких с таким же успехом могут использовать HyperTerminal.
Имя и пароль по умолчанию - cisco. Итак, мы в консоли, с чего начать?
Можно начать с команды -
setup
которая поможет нам настроить основные параметры, но мы обойдемся без нее.
Создадим пользователя для последующих входов.
Входим в привилегированный режим -
Router>enable
Router#
# - знак привилегированного режима.
Далее входим в режим конфигурирования -
Router# configure terminal
Router(config)#
можно просто conf t, циска сама подберет необходимое. Если вы забыли написания команд, то можно использовать справку - ?
Например:
show ?
или
sh?
Итак создаем пользователя:
Router(config)# username vash_user privilege 15 super_puper_password
где,
vash_user - имя пользователя
super_puper_password - Ваш супер сложный пароль.
Задаем имя хоста:
Router(config)# hostname Cisco
Cisco(config)#
Для фанатов Дениса Попова, вид системного приглашения возможно изменить:
Cisco(config)# prompt %h:%n%p
Cisco(config)# exit
Cisco:5#
Возможные символы:
%% - знак процента
%h - Имя хоста
%n - Номер TTY-порта для данного сеанса.
%p - Символ приглашения: > для пользовательского режима и # для привилегированного режима
%s - Пробел
%t - Табуляция
Далее для простоты написания будет использовано имя хоста Router.
Комментарии в конфигурационных файлах cisco также полезны, как и в других системах. Комментарии начинаются со знака !. Единственное что комментарии лучше вносить когда вы редактируете файл конигурации не на самой циске, а где-нибудь на сервере. Если вносить комментарии с командной строки, то при сохранении конигурации они не сохранются.
Задаем пароль на привилегированный режим -
Router(config)# enable password vash_password
Заставляем маршрутизатор хранить пароль в зашифрованном виде -
Router(config)# service password-encryption
Настраиваем интерфейсы:
Router>enable
Router# conf t
Router(config)# interface FastEthernet0/1
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# description LAN
Router(config-if)# no shutdown
Router(config-if)#exit
Router(config)#
Таким же образом настраивается второй интерфейс
Задаем dns-сервера -
Router(config)# ip name-server 192.168.1.5
Router(config)# ip name-server 192.168.1.6
Задаем имя для неуточненных доменов
Router(config)# ip domain-name your-domain.ru
Отключаем поиск в системе ДНС
Router(config)# no ip domain-lookup
Задаем шлюз по умолчанию -
ip default-gateway 107.23.128.13
Устанавливаем время на маршрутизаторе -
Router(config)# clock set 15:00:00 11 oct 2011
Временную зону -
Router(config)# clock timezone MSK +3
Задаем сервер ntp -
Router(config)# ntp server 192.168.1.6
Т.к. наша циска поддерживает шифрование, то включим ssh для доступа к ней.
Включаем службу AAA (Authentication, Authorization, Accounting)и указываем тип авторизации:
aaa new-model
aaa authentication login default local
aaa authorization exec default local
до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь
Генерируем ключ для ssh
Router(config)# crypto key generate RSA
И переходим к настройке виртуального терминала -
Router(config)# line vty 1
Router(config-line)# login
Router(config-line)# exec-timeout 30 0
Router(config-line)# transport input ssh
Router(config-line)# privilege level 15
Router(config-line)# exit
Router(config)#
Мы настроили ssh только для одного витртуального терминала, чтобы настроить для нескольких виртуальных линий, необходимо указывать например:
line vty 0 5
Если наша циска не поддерживает ssh, то можно использовать telnet для подключения, тогда необходимо будет заменить транспорт соотвественно на telnet (transport input telnet)
Для тех кто не может жить без вэб-морды, включаем вэб-сервер -
ip http server
ip http authentication local
Для более надежного соединения включаем https (не все циски это умеют)
ip http secure-server
И заходим по нашему айпи-адресу через вэб-браузер. Без острой необходимости не советую включать http сервер, а тем более выставлять его на внешний интерфейс.
После всех возможных настроек и проверки конфига сохраняем его как загрузочный -
Router# copy running-config startup-config
Если Вы этого не сделаете, то при следущей загрузке Вы не увидите изменений, которые так долго вносили.
Полезная информация -
Копирование конфига на tftp -
copy running-config tftp
Просмотр версии -
show version
Просмотр содержимого flash -
show flash
Просмотр загруженного конфига -
show running-config
Ну и не забываем про -
show ?
Стандартные списки доступа.
Общий вид правила:
access-list номер действие источник
где -
номер - число идентифицирующее список (1-99 стандартные списки доступа для IP, 100-199 расширенные списки доступа для протокола IP)
действие - permit или deny (разрешить, запретить), в комментариях не нуждается.
источник - адрес источника пакетов
Пример:
access-list 5 deny 10.10.10.0 0.0.0.255
access-list 5 deny 10.10.20.0 0.0.0.255
access-list permit any
Пример запрещает доступ для сетей 10.10.10.0 и 10.10.20.0 и разрешает для всех остальных.
Будьте внимательней, при составлении правил маршрутизатор обрабатывает правила последовательно и если поставить строку access-list permit any первый, то остальные два отрабатывать не будут.
Применение списка доступа к интерфейсу -
interface FastEthernet0/1
ip access-group out
То бишь мы запрещаем исходящий трафик на интерфейсе FastEthernet0/1 для вышеперечисленных сетей.
Списки доступа также можно применять для доступа по ssh (см. первую часть)-
transport input ssh
access-class 10 in
access-list 10 permit host 10.10.10.45
или для доступа к web-серверу маршрутизатора -
ip http server
ip http access-class 25
ip http authentication aaa
ip http port 8080
Расширенные списки доступа:
access-list номер действие протокол источник исх_порт приемник цел_порт дополнительные_аргументы
где -
номер - аналогично обычному списку доступа только в диапазоне от 100 до 199
протокол -ip,tcp, udp или icmp, к которому применяется правило
источник - адрес источника
исх_порт - Исходящий порт для TCP и UDP
приемник - адрес приемника
цел_порт - порт назначения пакетов для UDP и TCP
дополнительные_аргументы - необязательные аргументы, такие как established (все параметры можно найти в документации, здесь на них мы останавливаться не будем.)
Коментарии в списках доступа (remark)-
access-list 110 remark Блокировать директору все, достал!
acces-list 110 deny ip 10.10.10.5 0.0.0.255 any
Настройка времени в списках доступа (time-range - глобальная команда) -
Рабочее время в будние дни:
time-range block-http
periodic weekdays 8:00 to 17:00
Пример использования:
ip access-list extended list1
deny tcp any any eq www time-range block-http
permit any any
Здесь первое правило блокирует HTTP-трафик в рабочее время и разрешает прочий трафик.
Пример списка доступа -
! Блокировать подделку наших IP-адресов (spoofing)
access-list 110 deny ip 10.10.10.0 0.0.0.255 any
! Разрешить возвращение обратно в сеть любых исходящих ТСР-соединений
access-list 110 permit tcp any any established
! Разрешить передачу электронной почты (порт SMTP 25) на наш SMTP-сервер
access-list 110 permit tcp any host 10.10.10.5 eq smtp
! Разрешить веб-трафик (порт 80) только на наш веб-сервер
access-list 110 permit tcp any host 10.10.10.6 eq www
! Разрешить DNS-трафик на наш DNS-сервер; разрешить TCP и UDP
access-list 110 permit tcp any host 10.10.10.8 eq domain
access-list 110 permit udp any host 10.10.10.8 eq domain
! Разрешить внутренним узлам обращаться
! к внешнему DNS-серверу (192.168.1.100)
access-list ПО permit upd host 192.168.1.100 eq domain any gt 1023
! Разрешить FTP-трафик на наш FTP-сервер
access-list 110 permit tcp any host 10.10.10.6 eq ftp
access-list 110 permit tcp any host 10.10.1.25 eq ftp-data
! Разрешить передачу новостей внутреннему NNTP-клиенту
! только с легитимных NNTP-серверов
access-list 110 permit tcp host 198.168.1.98 host 10.10.10.200 eq nntp
access-list 110 permit tcp host 192.168.1.99 host 10.10.10.200 eq nntp
! Разрешить telnet-соединения (порт 23) только с одним узлом!
access-list 110 permit tcp any host 10.10.10.237 eq telnet
! Некоторые вещи необходимо запретить: Xwindows, NFS
access-list 110 deny tcp any any range 6000 6003
access-list 110 deny tcp any any range 2000 2003
access-list 110 deny tcp any any eq 2049
access-list 110 deny udp any any eq 2049
! Так как мы применяем непассивное FTP-соединение на наших FTP-клиентах,
! следующая строка необходима, чтобы разрешить возвращение этих FTP-сеансов
! обратно в сеть. Если у вас есть FTP-сервер. для него следует создать
! отдельный пункт,
access-list 110 permit tcp any eq ftp-data any gt 1024
! Разрешить ICMP-трафик в нашу сеть
! Внимание! ICMP - это больше, чем просто эхо-запрос. Если вы решите
! запретить его. то следует явно запретить определенные типы ICMP-команд
! (echo, echo-reply и т. п.).
! Механизмы выбора маршрутов для MTU и подавления источника работают
! благодаря протоколу ICMP и очень важны для некоторых соединений.
! Сначала запрещаем перенаправление широковещательных ICMP-рассылок
access-list 110 deny icmp any any redirect
! Затем разрешаем все остальное
access-list 110 permit icmp any any
! Разрешить NTP-сообщения времени на все внутренние машины
access-list 110 permit udp any any eq ntp
! Неявное запрещение
! Оно задано по умолчанию, но мы включаем его сюда, чтобы команда
! show access-list выводила число пакетов, заблокированных
! из-за неявного запрещения.
access-list 110 deny ip any any
Примените этот список к нашему интерфейсу:
interface FastEthernet 0/1
ip access-group 110 in
Настройка snmp
По умолчанию доступ по протоколу SNMP отключен. Чтобы включить его,
необходимо выполнить -
snmp-server community имя режим список_доступа
Ниже перечислены параметры команды:
имя - Строка сообщества (community string),
режим - доступны два режима: R0 — доступ (непривилегированный) только для
чтения и RW — доступ (привилегированный) для чтения и записи.
список_доступа - Имя или номер стандартного списка управления доступом.
snmp-server community not-public R0 1
! Включение привилегированного доступа и применение списка доступа 2
snmp-server community highly-secure RW 2
snmp-server location Servernaya
snmp-server contact admin@my-domain.ru
snmp-server host 10.10.10.2 highly-secure traps
! Списки доступа
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 2 permit 10.10.10.35
Настройка DHCP
! Исключаемые адреса
ip dhcp excluded-address 10.10.10.245 10.10.10.254
ip dhcp excluded-address 10.10.10.1 10.10.10.10
ip dhcp ping packets 4
! Описываем область
ip dhcp pool MY_POOL
import all
network 10.10.10.0 255.255.255.0
domain-name dbschenker.ru
default-router 10.10.10.1
dns-server 10.10.10.2
lease 3
Настройка маршрутизации и NAT
Задаем шлюз по умолчанию (вместо default-gateway) описанном в первой части и статические маршруты-
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 125.12.232.15
ip route 192.168.1.0 255.255.255.0 125.12.232.15
Включаем скоростную передачу от Cisco для IPv4
ip cef
и отключаем для IPv6
no ipv6 cef
Настраиваем NAT
! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
! на локальном интерфейсе
interface Vlan1
ip nat inside
! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 10.10.10.10 any
! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

Комментариев нет:

Отправить комментарий