Имеется в наличии маршрутизатор Cisco 3825 Version 12.4(25), необходимо настроить ее для нужд малого офиса
Задаем имя устройства
hostname cisco-office
hostname cisco-office
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname cisco-office cisco-office(config)#
Далее устанавливаем пароли на доступ к консоли
line console 0 - устанавливаем доступ к первой консольной линии
password 12345 - устанавливаем пароль 12345 на доступ к консоли
login - команда необходима, что бы перед тем как получить доступ к CLI интерфейсу устройства, пользователь вводил пароль
exec-timeout 0 0 - настройка времени не консольного или vty порта.
logging synchronous - запрещает вывод консольных сообщений, которые прерывают ввод команд в консольном режиме, это упростит чтение и ввод сообщений на устройств Cisco
line console 0 - устанавливаем доступ к первой консольной линии
password 12345 - устанавливаем пароль 12345 на доступ к консоли
login - команда необходима, что бы перед тем как получить доступ к CLI интерфейсу устройства, пользователь вводил пароль
exec-timeout 0 0 - настройка времени не консольного или vty порта.
logging synchronous - запрещает вывод консольных сообщений, которые прерывают ввод команд в консольном режиме, это упростит чтение и ввод сообщений на устройств Cisco
cisco-office(config)#line console 0 cisco-office(config-line)#password 12345 cisco-office(config-line)#login cisco-office(config-line)#exec-timeout 0 0 cisco-office(config-line)#logging synchronous cisco-office(config-line)#
Таким же образом настраивается и доступ к vty (virtual terminal line) с небольшим отличием, можно настроить доступ до 16 vty линий (0-15)
line vty 0 4 - настроили доступ для 5 vty линий login local - говорит брать логин и пароль из локальной базы
line vty 0 4 - настроили доступ для 5 vty линий login local - говорит брать логин и пароль из локальной базы
cisco-office(config)#line vty 0 4 cisco-office(config-line)#login local cisco-office(config-line)#exec-timeout 0 0 cisco-office(config-line)#logging synchronous cisco-office(config-line)#
Настроим блокировку хоста при вводе неправильного пароля определенное количество раз
Настройка исключений из правила блокировки (исключим хост 192.168.0.98)
Логируем неудавшиеся попытки подключения
cisco-office(config)#login block-for 61 attempts 3 within 10* блокировать хост на 60 секунд при неправильно вводе пароля 3 раза в течении 10 секунд
Настройка исключений из правила блокировки (исключим хост 192.168.0.98)
cisco-office(config)# access-list 10 permit 192.0.1.2 cisco-office(config)# login quiet-mode access-class 10
Логируем неудавшиеся попытки подключения
cisco-office(config)#login on-failure log
Для безопасного подключения к оборудованию настроим SSH
ip domain-name other-office.com - в качестве доменного имени можно указать любое доменное имя
crypto key generate rsa - включает SSH сервер на оборудовании и генерирует пару RSA ключей
или так crypto key generate rsa general-keys modulus 1024 (сгенерированный ключи длиной 1024 бит)
* crypto key zeroize rsa - используется для удаления ключей RSA
Аутентификацию на Cisco можно производить двумя способами: используя сервер аутентификации или использовать локальные имя пользователя и пароль.
username admin password 12345 - создает пару логин/пароль для доступа
Можно также указать максимальное количество сессий (ip ssh maxstartups 2) и максимальное время сессии при бездействии (ip ssh time-out 90)
Далее необходимо указать vty линии, на которых будит применяться SSH (вводятся в режиме конфигурирования линии)
transport input ssh - предотвращает доступ к устройству неSSH соединений (таких как telnet) и позволят доступиться до устройства только по SSH
login local - говорит, что для аутентификации брать пару логин/пароль из локальной базы
ip domain-name other-office.com - в качестве доменного имени можно указать любое доменное имя
crypto key generate rsa - включает SSH сервер на оборудовании и генерирует пару RSA ключей
или так crypto key generate rsa general-keys modulus 1024 (сгенерированный ключи длиной 1024 бит)
* crypto key zeroize rsa - используется для удаления ключей RSA
Аутентификацию на Cisco можно производить двумя способами: используя сервер аутентификации или использовать локальные имя пользователя и пароль.
username admin password 12345 - создает пару логин/пароль для доступа
Можно также указать максимальное количество сессий (ip ssh maxstartups 2) и максимальное время сессии при бездействии (ip ssh time-out 90)
Далее необходимо указать vty линии, на которых будит применяться SSH (вводятся в режиме конфигурирования линии)
transport input ssh - предотвращает доступ к устройству неSSH соединений (таких как telnet) и позволят доступиться до устройства только по SSH
login local - говорит, что для аутентификации брать пару логин/пароль из локальной базы
cisco-office(config)#ip domain-name other-office.com cisco-office(config)#crypto key generate rsa The name for the keys will be: cisco-office.other-office.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] cisco-office(config)#username admin password 12345 *??? 1 0:48:11.809: %SSH-5-ENABLED: SSH 1.99 has been enabled cisco-office(config)#line vty 0 4 cisco-office(config-line)#transport input ssh cisco-office(config-line)#login local
Еще немного настроек безопасности
service password-encryption - чтобы пароли не хранились в открытом виде
enable secret - для безопасного доступа к привилегированному режиму
enable secret - для безопасного доступа к привилегированному режиму
Настраиваем "внешний" интерфейс
cisco-office(config)#int g0/0 cisco-office(config-if)#ip address 185.*.*.13 255.255.255.0 cisco-office(config-if)#no shutdown
Настроим "внутренний" интерфейс
cisco-office(config)#int g0/1 cisco-office(config-if)#ip address 192.168.0.254 255.255.255.0 cisco-office(config-if)#ip address 10.1.1.254 255.255.255.0 secondary
Настроим DNS
ip dns server - говорим, что наше устройство будит являться DNS сервером
ip host name1 192.168.0.254 - чтобы компьютеры из локальной сети могли использовать Cisco в качестве DNS сервера
ip name-server 8.8.8.8 - собственно адрес DNS сервера (в данном случае это DNS google)
ip dns server - говорим, что наше устройство будит являться DNS сервером
ip host name1 192.168.0.254 - чтобы компьютеры из локальной сети могли использовать Cisco в качестве DNS сервера
ip name-server 8.8.8.8 - собственно адрес DNS сервера (в данном случае это DNS google)
cisco-office(config)#ip dns server cisco-office(config)#ip host name1 192.168.0.254 cisco-office(config)#ip name-server 8.8.8.8
Настроим DHCP
ip dhcp pool OFFICE - задаем имя для DHCP пула
network 192.168.0.0 255.255.255.0 - указываем IP адреса, которые будут раздаваться по DHCP
dns-server 192.168.0.254 - указываем адрес DNS сервера, который будут получать клиенты
default-router 192.168.0.254 - определяет шлюз по умолчанию для клиентов
lease 1 1 1 - определяет время "жизни" выданного адреса 1 день 1 час 1 минута
ip dhcp excluded-address 192.168.0.210 192.168.0.253 - исключаем из выдачи диапазон адресов (к примеру IP телефоны)
ip dhcp excluded-address 192.168.0.222 - исключаем из выдачи один адрес (к примеру адрес принтера)
ip dhcp pool OFFICE - задаем имя для DHCP пула
network 192.168.0.0 255.255.255.0 - указываем IP адреса, которые будут раздаваться по DHCP
dns-server 192.168.0.254 - указываем адрес DNS сервера, который будут получать клиенты
default-router 192.168.0.254 - определяет шлюз по умолчанию для клиентов
lease 1 1 1 - определяет время "жизни" выданного адреса 1 день 1 час 1 минута
ip dhcp excluded-address 192.168.0.210 192.168.0.253 - исключаем из выдачи диапазон адресов (к примеру IP телефоны)
ip dhcp excluded-address 192.168.0.222 - исключаем из выдачи один адрес (к примеру адрес принтера)
cisco-office(config)#ip dhcp pool OFFICE cisco-office(dhcp-config)#network 192.168.0.0 255.255.255.0 cisco-office(dhcp-config)#dns-server 192.168.0.254 cisco-office(dhcp-config)#default-router 192.168.0.254 cisco-office(dhcp-config)#lease 1 1 1 cisco-office(dhcp-config)#exit cisco-office(config)#ip dhcp excluded-address 192.168.0.210 192.168.0.253 cisco-office(config)#ip dhcp excluded-address 192.168.0.222
Настраиваем NAT, точнее будим настраивать один из его типов - PAT, который позволяет транслировать пул внутренних адресов, используя для этого один глобальный адрес
access-list 1 permit 192.168.0.0 0.0.0.255 - создаем стандартный ACL и нем указываем адреса, которые будут транслироваться
ip nat inside source list 1 interface GigabitEthernet0/0 overload - в качестве источника будит использоваться ACL 1 и в данном случае трансляция будит проходить через интерфейс GigabitEthernet0/0 (но можно узакать и IP адрес), параметр overload как и говорит использовать PAT и включает отображение один-к-одному
ip nat inside - определяет внутренний интерфейс
ip nat outside - определяет внешний интерфейс
access-list 1 permit 192.168.0.0 0.0.0.255 - создаем стандартный ACL и нем указываем адреса, которые будут транслироваться
ip nat inside source list 1 interface GigabitEthernet0/0 overload - в качестве источника будит использоваться ACL 1 и в данном случае трансляция будит проходить через интерфейс GigabitEthernet0/0 (но можно узакать и IP адрес), параметр overload как и говорит использовать PAT и включает отображение один-к-одному
ip nat inside - определяет внутренний интерфейс
ip nat outside - определяет внешний интерфейс
cisco-office(config)#access-list 1 permit 192.168.0.0 0.0.0.255 cisco-office(config)#ip nat inside source list 1 interface GigabitEthernet0/0 overload cisco-office(config)#int g0/1 cisco-office(config-if)#ip nat inside cisco-office(config)#int g0/0 cisco-office(config-if)#ip nat outside
Настроим маршрут по умолчанию
cisco-office(config)#ip route 0.0.0.0 0.0.0.0 185.40.77.1
Ну и настраиваем логирование, чтобы знать, что и когда происходит на нашем устройстве
logging trap debugging - устанавливаем уровень логирования (debugging самый высокий, обычно используется warnings)
logging source-interface GigabitEthernet0/1 - указываем интерфейс, который будит отправлять наши лог сообщения
logging 192.168.0.98 - указываем адрес syslog сервера
logging trap debugging - устанавливаем уровень логирования (debugging самый высокий, обычно используется warnings)
logging source-interface GigabitEthernet0/1 - указываем интерфейс, который будит отправлять наши лог сообщения
logging 192.168.0.98 - указываем адрес syslog сервера
cisco-office(config)#logging trap debugging cisco-office(config)#logging source-interface GigabitEthernet0/1 cisco-office(config)#logging 192.168.0.98* в качестве syslog и tftp сервера можно использовать tftpd
Ну вот вроде бы и все, самое необходимое для маршрутизатора Cisco, используемого в небольшом офисе настроено. Данный материал не претендует на полноту изложения и раскрытия всех аспектов настройки маршрутизаторов Cisco. Оставляем комментарии и полезные фичи, которые могут быть полезны
Комментариев нет:
Отправить комментарий