Твой Сетевичок. Настройка роутера cisco 2811 с нуля


базовая настройка коммутатора cisco | Твой сетевичок

Продолжая цикл статей про создание корпоративной сети, более подробно остановимся на первичной настройке активного сетевого оборудования. В предыдущих статьях мы рассматривали как подключиться к Сisco через Сisco и настройку маршрутизации между VLAN на примере Сisco 2960. А в рамках данной статьи представлена базовая настройка коммутатора cisco, а также рассмотерен весьма актуальный для начинающих сисадминов вопрос «как подключиться через консоль к cisco»

Как подключиться к Сisco через консоль

Для того чтобы выполнить первоначальную конфигурацию коммутатора Cisco 2960, вам потребуется подключиться к нему с помощью консольного кабеля. Обычно он поставляется вместе с оборудованием Cisco и окрашен в голубой цвет (может быть и другой расцветки). Данный тип провода известен как rollover. С одного конца кабеля обычно находится разъем DB9 для подключения к последовательному порту компьютера, с другого – разъем RJ45 для подключения к консольному порту на Cisco. Типичный консольный провод показан на иллюстрации:

 подключиться к консоли cisco

Следующее, что вам понадобиться, это наличие на вашем ПК терминальной программы для установки консольного соединения с коммутатором. Можно использовать стандартный HyperTerminal, поставляемый с ОС Windows XP, SecureCRT, Putty или же любую другую терминальную программу – на любителя.

Итак, подключившись консольным проводом к коммутатору, откройте окно терминальной программы и выставите параметры подключения, как показано на скриншоте:

как подключиться к cisco через putty

Далее чтобы подключиться к Сisco через консоль нажмите кнопку Open — для установки консольного соединения. Если вы включили электропитание коммутатора одновременно с запуском консоли, придется дождаться загрузки оборудования – до этого Cisco не будет реагировать на нажатие клавиш. Когда устройство загружено, должно появиться приветствие:

как подключиться к маршрутизатору cisco 1921

Вам нужно нажать клавишу <y> и <Enter>.

Базовая настройка коммутатора Сisco

После входа в режим начальной настройки коммутатора вы можете использовать знак вопроса (?) для получения контекстной помощи. Использование комбинации <Ctrl>+<C> приведет к выходу из режима начальной настройки на любом этапе. Значения по умолчанию предлагаются в квадратных скобках [ ]. Начальная конфигурация позволяет установить необходимый минимум настроек для возможности дальнейшего управления коммутатором. Соглашаемся продолжить конфигурацию:

команды для настройки cisco

Пошаговая инструкция по настройке маршрутизатора cisco с нуля

— первым делом устройство попросит назначить имя коммутатора (hostname). Вы можете выбрать любое понравившееся название, однако рекомендуется следовать общему правилу наименований, принятому на вашем предприятии. По умолчанию название будет «Switch»;

— далее нужно установить пароль на вход в привилегированный режим «enable secret». Этот зашифрованный пароль является необходимой частью конфигурации любого оборудования Cisco. Несмотря на то, что в начальной конфигурации он пустой, впоследствии все равно придется его назначить. Установите любой пароль высокой степени надежности, чтобы исключить в дальнейшем неавторизованный доступ к коммутатору:

настройка cisco с нуля

— следующим шагом коммутатор попросит установить пароль «enable password», который хранится в конфигурации в незашифрованном виде и легко может быть украден. Данный пароль не может совпадать с «enable secret». Обычно данный вид пароля никто не использует:

cisco asa 5505 настройка

— далее необходимо установить пароль на терминальные подключения к коммутатору, хотя в настоящее время для этих целей обычно используется связка логин-пароль соответственно с системой AAA (Authentication, authorization, accounting). Но это делается уже с помощью расширенной конфигурации. А пока что:

настройка интерфейса cisco

— диалоговое окно предложит ввести параметры для протокола SNMP: пропустите этот шаг, выбрав «no»

— после этого вам будет показана общая информация о всех сетевых интерфейсах коммутатора и предложено выбрать интерфейс, который будет использован для целей управления по сети. Выберите интерфейс Vlan1:

начальная конфигурация cisco 2960

Далее коммутатор Cisco спросит, хотите ли вы установить ip-адрес на интерфейсе Vlan1:

построение сетей cisco с нуля

Нужно будет указать запрашиваемую информацию соответственно с адресацией, установленной для целей управления устройствами на вашем предприятии. Например:

cisco привилегированный режим по умолчанию

— на следующий вопрос ответьте «нет»:

cisco 2950 настройка

Далее вам будет показана вся конфигурация коммутатора на основе диалога, заполненного вашими ответами, и предложено одно из действий. Если все в порядке, выберите 2-й вариант:

как настроить cisco

На этом базовая настройка коммутатор Cisco закончена: ваша конфигурация будет записана в startup-config и коммутатор готов к работе:

как подключиться к cisco через консоль

В дальнейшем нет необходимости подключаться к нему локально с помощью консольного провода, т.к. теперь он будет доступен удаленно через Telnet или SSH.

Оцените статью: Поделитесь с друзьями!

tvoi-setevichok.ru

Настройка коммутатора Cisco 3560 | Deltaconfig.ru

Read this article in Read in EnglishEnglish

Рассмотрим случай, когда требуется подключить несколько отделов фирмы в разные логические сети Vlan и обеспечить их связность, используя один коммутатор 3 уровня Cisco 3560 .

Требуется организовать следующие сети (Vlan):

— Сеть отдела продаж (192.168.10.0 255.255.255.0)— Сеть бухгалтерии (192.168.20.0 255.255.255.0)— Сеть администраторов (192.168.100.0 255.255.255.0)— Сеть для управления сетевым оборудованием (192.168.1.0 255.255.255.0)

 cisco-switch-3560

Важно!Устройства 2го уровня способны передавать данные только внутри одной сети и осуществляют передачу на основе информации о MAC адресах. Устройства 3го уровня используются для передачи данных между различными сетями и руководствуются информацией об ip адресах.

Коммутатор 3его уровня (Например Cisco 3560) представляет собой совмещенные в одном устройстве коммутатор 2ого уровня модели OSI (или уровня доступа) и маршрутизатор (устройство 3го уровня).

Важно!Один коммутатор Cisco 3560 фактически заменяет собой связку коммутатора Cisco 2960 и маршрутизатора Cisco 2811. Однако использовать такой коммутатор для внешних соединений крайне не рекомендуется. Интернет и любые внешние каналы следует подключать вначале к отдельному маршрутизатору или межсетевому экрану, а коммутаторы 3го уровня использовать только для организации внутренней сети.

(Решение аналогичной задачи организации нескольких Vlan на коммутаторе уровня доступа Cisco 2960  (2го уровня) и маршрутизатора Cisco 2811 рассмотрено в этой статье)

Шаг 0. Очистка конфигурации

(Выполняется только с новым или тестовым оборудованием, так как ведет к полному удалению существующей конфигурации)

После извлечения коммутатора из коробки, подключаемся к нему с помощью консольного кабеля и очищаем текущую конфигурацию, зайдя в привилегированный режим и выполнив команду write erase. (Подробнее о режимах конфигурирования оборудования Cisco можно прочитать в этой статье)Switch > enableSwitch# write erase/подтверждение очистки конфигурации/Switch# reload/подтверждение перезагрузки/

После выполнения коммутатор должен перезагрузиться в течение 3ех минут, а при старте вывести запрос о начале базовой настройки. Следует отказаться.Would you like to enter the basic configuration dialog (yes/no): no

 Шаг 1. Имя устройства

Присвоим коммутатору имя SWR-DELTACONFIG-1. (SWR – сокращение названия SWitch Router) Для этого зайдем в режим конфигурирования(conf t) и введем следующие команды:Switch#conf tEnter configuration commands, one per line.  End with CNTL/Z.Switch(config)# hostname SWR-DELTACONFIG-1SWR-DELTACONFIG-1(config)#

Название устройства изменится со «Switch» на заданное значение.

Шаг 2. Интерфейс для удаленного управления

Для удаленного управления устройством зададим ip адрес на интерфейсе Vlan 1. После не забудьте включить его командой  no shutdownSWR-DELTACONFIG-1(config)#interface vlan 1ip address 192.168.1.1 255.255.255.0no shutdown

Шаг 3. Авторизация пользователей

Настраиваем авторизацию для доступа к коммутатору. Для этого:

  • Задаем пароль доступа к привилегированному режиму (знак # рядом с названием устройства) командой enable secret
  • Создаем учетную запись пользователя и пароль для удаленного подключения командой username … secret …
SWR-DELTACONFIG-1(config)#enable secret *****username admin secret *****

Включаем авторизацию, с использованием локальной базы данных пользователей и паролейSWR-DELTACONFIG-1(config)#line vty 0 4login local

Для проверки доступности enable режима (#) после ввода этих команд выходим из всех режимов конфигурирования (командой exit в каждом из режимов или сочетанием клавиш Ctrl+Z), оказываемся в первоначальном режиме (обозначается знаком «>«) и пробуем вновь зайти в привилегированный режим (#). На запрос пароля вводим тот, что мы задали.

Если ничего не напутали, то видим примерно следующее:SWR-DELTACONFIG-1>enablePassword:  *****SWR-DELTACONFIG-1#

Проверку удаленного доступа можно осуществить , запустив из командной строки рабочей станции команду C:>telnet 192.168.1.1. Должно открыться окно приветствия и запрошен логин и пароль администратора.

После того, как убедитесь, что устройство доступно по протоколу Telnet (TCP порт 23) рекомендую настроить защищенный доступ по протоколу SSH (TCP порт 22). Подробные инструкции приведены в этой статье.

 Шаг 4. Создание Vlan

Создаем Vlan для каждого из отделов и присваиваем им порядковые номера и названия.SWR-DELTACONFIG-1(config)#vlan 10name NET_SALESvlan 20name NET_ACCOUNTvlan 100name NET_ADMINСеть Vlan 1, которая будет использована для управления сетевым устройством, всегда присутствует на коммутаторе по умолчанию.Проверить текущие настройки Vlan можно, выполнив команду show vlan:SWR-DELTACONFIG-1# show vlanVLAN Name                             Status    Ports—- ——————————— ——— ——————————-1    default               active    Gi0/1, Gi0/2, /...вырезано.../10  NET_SALES              active20  NET_ACCOUNT            active100  NET_ADMIN             active/...вырезано.../

Убеждаемся, что все созданные нами сети присутствуют в списке.

Шаг 5. Привязка портов

Соотносим порты коммутатора созданным сетям Vlan. На коммутаторе в примере 24  порта Gigabit Ethernet.. Выделим первые 6 портов в сеть администраторов (Admin Vlan 100), 12 портов в сеть отдела продаж (Sales Vlan 10) и 6 портов в сеть для бухгалтерии (Account Vlan 20).  На каждом интерфейсе коммутатора  для удобства дальнейшего администрирования добавим примечания командой description. Это обычное текстовое поле, которое никак не влияет на другие настройки.SWR-DELTACONFIG-1(config)#interface range gi 0/1 – 6switchport access vlan 100description NET_ADMINinterface range gi 0/7 – 18switchport access vlan 10description NET_SALESinterface range gi 0/19 – 24switchport access vlan 20description NET_ACCOUNTПосле этого  рядом с каждым Vlan в выводе команды sh vlan будут указаны принадлежащие ему портыSWR-DELTACONFIG-1# show vlanVLAN Name              Status    Ports1    default           active10  NET_SALES          active    Gi0/7, Gi0/8, Gi0/9, Gi0/10, Gi0/11, Gi0/12, Gi0/13, Gi0/14,Gi0/15, Gi0/16, Gi0/17, Gi0/1820  NET_ACCOUNT        active    Gi0/19, Gi0/20, Gi0/21, Gi0/22, Gi0/23, Gi0/24100  NET_ADMIN         active    Gi0/1, Gi0/2, Gi0/3, Gi0/4, Gi0/5, Gi0/6/…вырезано.../Важно!Введенными командами мы разделили один физический коммутатор на 4 логических (Vlan 1, Vlan 10, Vlan 20 и Vlan 100). Сразу после этого взаимодействие будет осуществляться только(!) между портами, принадлежащими одному и тому же Vlan.

Важно!На данный момент рабочие станции, подключенные в порты, принадлежащие разным Vlan, не смогут(!) взаимодействовать друг с другом даже если будет настроена адресация из одной сети.

Шаг 6. Маршрутизация

Для взаимодействия между сетями следует создать виртуальные интерфейсы 3его уровня для каждого Vlan.SWR-DELTACONFIG-1 (config)#inter vlan 10ip address 192.168.10.1 255.255.255.0description Salesno shutinter vlan 20ip address 192.168.20.1 255.255.255.0description Accountno shutinter vlan 100ip address 192.168.100.1 255.255.255.0description Adminsno shutSWR-DELTACONFIG-1 (config)# ip routingВажно!Ввод команды ip routing не является обязательным на большинстве современных версиях операционной системы IOS, так как маршрутизация пакетов включена по умолчанию.

Для сравнения: на коммутаторе 2ого уровня из указанной ранее инструкции возможно использование лишь одного интерфейса 3его уровня Vlan 1 и только для управления устройством. Именно поэтому в той статье для организации взаимодействия между сетями дополнительно используется маршрутизатор Cisco 2811.

В итоге все рабочие станции сети должны быть доступны друг другу после подключения их в соответствующие порты коммутатора. Проверять следует командой ping, выполнив ее из командной строки на рабочих станциях.

Важно!

Не забудьте сохранить конфигурацию на всех устройствах командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.SWR-DELTACONFIG-1#writeBuilding configuration...[OK]

Перейти к оглавлению

 

deltaconfig.ru

Базовая настройка маршрутизатора Cisco

В статье рассматривается базовая настройка маршрутизаторов Cisco 800-2900 серии, т.е. то, что нужно изначально сделать практически во всех случаях

Итак распаковываем роутер и подключаемся к нему Телнетом через com-портовый шнур.

! дабы избавится от преднастроеного мусора набираем:erase startup-config! и перегружаемся

reload

Настройка авторизации и доступа по SSH

! включаем шифрование паролейservice password-encryption! используем новую модель ААА и локальную базу пользователейaaa new-modelaaa authentication login default local! заводим пользователя с максимальными правамиusername admin privilege 15 secret PASSWORD

! даем имя роутеруhostname <...>ip domain-name router.domain! генерируем ключик для SSHcrypto key generate rsa modulus 1024! тюнингуем SSHip ssh time-out 60ip ssh authentication-retries 2ip ssh version 2! и разрешаем его на удаленной консолиline vty 0 4 transport input telnet ssh privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетовip cef

Настройка времени

! временная зона GMT+3clock timezone MSK 3 0! обновление системных часов по NTPntp update-calendar! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…ntp server NTP.SERVER.1.IPntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логахarchive log config  logging enable  hidekeys

! историю изменения конфига можно посмотреть командойshow archive log config all

Настройка DNS

! включить разрешение именip domain-lookup! включаем внутренний DNS серверip dns server! прописываем DNS провайдераip name-server XXX.XXX.XXX.XXX! на всякий случай добавляем несколько публичных DNS серверовip name-server 4.2.2.2ip name-server 8.8.8.8

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1interface Vlan1 description === LAN === ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик ip accounting output-packets

! посмотреть статистику можно командойshow ip accounting! очиститьclear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пулаip dhcp excluded-address 192.168.???.1 192.168.???.99! и настраиваем пул адресовip dhcp pool LAN   network 192.168.???.0 255.255.255.0   default-router 192.168.???.1    dns-server 192.168.???.1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)ip access-list extended FIREWALL permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетомip inspect name INSPECT_OUT dnsip inspect name INSPECT_OUT icmpip inspect name INSPECT_OUT ntpip inspect name INSPECT_OUT tcp router-trafficip inspect name INSPECT_OUT udp router-trafficip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защитуinterface FastEthernet0/0 description === Internet === ip address ???.???.???.??? 255.255.255.??? ip virtual-reassembly ip verify unicast reverse-path no ip redirects // отключает отправку сообщений перенаправления, когда средства Cisco IOS пересылают пакет в рамках интерфейса, по которому этот пакет получен. Ограничивает информацию, посылаемую маршрутизатором в случае сканирования порта

 no ip directed-broadcast // отключает управляемую групповую рассылку IP, что обеспечивает невозможность применения маршрутизатора в качестве широковещательного усилителя в распределённых атаках блокирования сервиса (DoS, Denial of Service атаках)

 no ip proxy-arp // отключает прокси-сервис ARP

 no ip unreachables // отключает генерирование сообщений ICMP Unreachable

 no ip mask-reply // отключает генерирование сообщений ICMP Mask Reply

 no cdp enable // отключает CDP протокол на интерфейсе

 ip inspect INSPECT_OUT out ip access-group FIREWALL in

! ну и напоследок шлюз по умолчаниюip route 0.0.0.0 0.0.0.0 ???.???.???.???

Настройка NAT

! на Интернет интерфейсеinterface FastEthernet0/0 ip nat outside

! на локальном интерфейсеinterface Vlan1 ip nat inside

! создаем список IP имеющих доступ к NATip access-list extended NAT permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсеip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколовip inspect name INSPECT_OUT httpip inspect name INSPECT_OUT httpsip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers // запрещает доступ к ряду сервисов TCP

no service udp-small-servers // запрещает доступ к ряду сервисов UDP

no service finger // запрещает запросы по протоколу finger

no service config // запрещает загрузку конфига по TFTP

no service pad // запрещает PAD

no ip fingerno ip source-route // отбрасывает пакеты с явно указанным маршрутом

no ip http server // отключает встроенный HTTP сервер

no ip http secure-server // отключает встроенный HTTPS сервер

no ip bootp server // отключает сервер BOOTP

no cdp run // глобально отключает CDP протокол

xn--48-6kc0bzbi.xn--p1ai

Настройка Cisco 2811 для IP-телефонии с помощью Cisco CallManager Express

Взято: http://hypercomp.ru/articles/configuring-cisco-2811-with-callmanager-express/

Маршрутизатор Cisco 2811 может быть сервером IP-телефонии с помощью специального программного обеспечения – Cisco CallManager Express. При этом ему не нужен доступ к серверу с «большим» Cisco CallManager – то есть такой вариант вполне подходит для небольших офисов. Конечно, можно подключить маршрутизатор в качестве голосового шлюза (voice gateway) к серверу Cisco CallManager по протоколу MGCP – тогда все настройки выполняются на сервере, что облегчает задачу. Но представим (не такую уж невероятную ситуацию), что у нас есть только CallManager Express и Cisco 2811, настроим эту связку для IP-телефонии. В моем случае маршрутизатор, помимо 2 портов FastEthernet, имеет встроенный 16-портовый Ethernet-коммутатор с PoE-питанием для подключаемых устройств (модуль NM-ESW-16) и 2 модуля для сопряжения с аналоговой телефонией – VIC2-2FXS (2 FXS-разъема) и VIC2-4FXO (4 FXO-разъема).

На маршрутизатор Cisco 2811 необходимо загрузить (если они еще не там) файлы работы с Cisco CallManager Express – например, для версии 4.0.0.1 - cme-basic-4.0.0.1.tar и cme-gui-4.0.0.1.tar. Скопируем эти файлы во flash-память маршрутизатора:

#archive tar /xtract tftp://IP_адрес_tftp_сервера/ cme-basic-4.0.0.1.tar flash: #archive tar /xtract tftp://IP_адрес_tftp_сервера/ cme-gui-4.0.0.1.tar flash:

Настроим пул IP адресов для работы пользователей и IP телефонов. Разделим сеть на два сегмента – голосовую сети (TLAN) и сеть передачи данных (DLAN):

(config)# ip dhcp pool TLAN(config)# network (config)# option 150 ip      #TFTP-сервер тоже будет работать на маршрутизаторе(config)# default-router (config)# ip dhcp pool DLAN(config)# network (config)# default-router (config)# service dhcp

Настроим TFTP-сервер для того, чтобы IP-телефоны Cisco могли загружать прошивки (firmware) и конфигурации (файлы прошивок закачиваем для всех используемых IP-телефонов):

(config)# tftp-server flash:tftp-server flash:ATA030100SCCP040211A.zuptftp-server flash:CP7902040000SCCP040701A.sbintftp-server flash:CP7905040000SCCP040701A.sbintftp-server flash:P00403020214.bintftp-server flash:CP7912040000SCCP040701A.sbintftp-server flash:S00103020002.bintftp-server flash:P00503010100.bintftp-server flash:cmterm_7936.3-3-5-0.bintftp-server flash:P00303020214.bintftp-server flash:P00305000301.sbntftp-server flash:cmterm_7920.3.3-01-08.bintftp-server flash:TERM70.6-0-3SR1S.LOADStftp-server flash:TERM70.DEFAULT.loadstftp-server flash:TERM71.DEFAULT.loadstftp-server flash:cnu70.63-0-1-4.sbntftp-server flash:Jar70.63-0-1-4.sbntftp-server flash:jvm70.603ES1R4.sbn

Настроим сам CallManager Express:

(config)# telephony-service(config-telephony)# max-ephones 48                               # максимальное количество телефонов(config-telephony)# max-dn 96                                    # максимальное количество номеров – исходя из 2 линий на IP-телефон(config-telephony)# no auto-reg-ephone                           # отключим авто-регистрацию – для тестовой эксплуатации можно включить(config-telephony)# load 7960-7940              # загружаем прошивку для моделей IP-телефонов Cisco 7940-7960(config-telephony)# ip source-address # откуда IP-телефонам брать прошивку и конфигурацию(config-telephony)# user-locale ru                               # далее – настройки языка, даты и времени(config-telephony)# network-locale ru(config-telephony)# date-format dd-mm-yy(config-telephony)# time-format 24(config-telephony)# create cnf-files

Наконец, для каждого телефона настроим (повторяем для всех, меняя номер, пользователя (отображаемое имя), MAC-адрес и прошивку (если другая модель телефона)):

(config)# ephone-dn 1 (config-ephone-dn)# number 1001(config-ephone-dn)# name Ivan, Ivanov(config)# ephone 1(config-ephone)# mac-address (config-ephone)# type (config-ephone)# button 1:1(config-ephone)# keypad-normalize

www.mianet.ru

Настройка Cisco 800 серии с нуля

Попробуем настроить Cisco 851 (871) из консоли.

А вот сам испытуемый...

Вот последовательность действий:

1. Нужно подключить Cisco к компьютеру (желательно через консольный кабель)

2. Очистить заводские настройки по умолчанию (лучше все стереть и настроить с нуля)

3. Вбить свои настройки для интрефейсов, поднять NAT, создать листы доступа.

4. Сохранить конфигурацию и перзагрузить Cisco.

Приступим, имеем роутер Cisco 851 или 871 (их отличие в большей памяти и наличие usb портов у последнего)

Cisco 851 (871) используется в небольших офисных сетях или дома. Ну про все прелести рассказывать думаю нет смысла, можно почитать технические характеристики, скажу только что есть возможность создания VPN, есть Firewall. есть возможность инкапсуляции пактетов PPPoE протокола (т.е. возможность подключаться напрямую к adsl модему, котоорый в свою очередь настраивается в режиме моста).

Cisco 851 (871) уже имеют заводскую прошивку с предустановленными настройками маршрутизатора

Ip 10.10.10.1

mask 255.255.255.248

возможностью подключения по ssh (это очень хорошо, потому как вот лично на моем компе не оказалось com порта для подключения через консольный кабель)

логип/пароль cisco

Итак у нас есть консольный кабель и есть com порт на компе (если порт отсутствует то скачиваем программку putty и подключаемся по ssh)

Подключаем консольный кабель к cisco и к компу.

Создаем подключение (в win xp это Стандартные - Связь - Hyper Terminal, со следующими настройками 9600, 8, no, 1, no)

Запускаем его и сразу видим процесс загрузки (если Cisco только что включили)

далее видим приглашение ввести имя / пароль (cisco/cisco)

ну а дальше попадаем сразу в привлигированный режим (хочется заметить что необходмо сменить имя и пароль , в след.. раз вы уже не зайдете под ними!!!)username privilege 15 secret 0 Replace and with the username and password you want touse.

ниже показана последоваетльность действий с комментариями (///) в данном примере начинать нужно с третьей строки erase startup-config

при вопросе действительно ли мы это хотим сделать просто нажать enter

Кстати Cisco понимает такие комментарии ! и такие /

Router# erase startup-config ///очистим заводскую конфигурацию

Router# reload ///пергрузим роутер чтобы изменения вступили в силу

!при предложении пройти мастер настройки - отказываемся

!Would you like to enter the initial configuration dialog? [yes/no]: no

Router> ///это говорит о том что конфигурация чистая :)

Router> enable ///включаем првилигированный режим

Router#sh run ///можно посмотреть конфигурацию

Router# conf t ///заходим в режим конфигурации роутера

!(только тут можно менять основные настройки)

!Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#

Router(config)#hostname R1 ///даем свое имя для cisco

R1(config)#ip domain-name mydomain ///указываем имя домена

R1(config)#ip name-server 194.67.1.154 ///dns1

R1(config)#ip name-server 194.67.1.155 ///dns2

R1(config)#username user privilege 15 password mypass ///указываем имя привилигированного

!пользователя (админ) и пароль, режим 15 дает полные права

R1(config)#service password-encryption ///шифрование паролей

R1(config)#line con 0 ///конфигурируем консоль

R1(config-line)#password mypassword ///а это пароли на вход через консоль

R1(config-line)#login

R1(config-line)#exit

R1(config)#enable secret mysecretpass ///пароль на вход в привилигированный режим

R1(config)#crypto key generate rsa 1024 ///генирируем крипто ключи для ssh

R1(config)#ip ssh time-out 120 ///cnfdb предел тайм аута (в сек)

R1(config)#ip ssh authentication-retries 3

R1(config)#line vty 0 4 ///разрешаем подключаться по ssh

R1(config-line)#transport input ssh

R1(config-line)#login local

R1(config-if)#interface fa4 ///собственно конфигурим WAN интерфейс

R1(config-if)#ip address 194.186.190.100 255.255.255.0 ///даем ip и маску

R1(config-if)#ip nat outside ///включаем nat

R1(config-if)#ip access-group outside in ///привязываем к группе

R1(config-if)#ip inspect fw out ///включаем файерволл

R1(config-if)#no shutdown ///запрещаем административное выключение интерфейсов

R1(config-if)#exit

R1(config)#interface vlan1 ///собственно конфигурим LAN интерфейс

R1(config-if)#ip address 10.10.10.1 255.255.255.0

R1(config-if)# ip access-group inside in

R1(config-if)#ip nat inside

R1(config-if)#no shutdown

R1(config-if)#exit

R1(config)# ip forward-protocol nd

R1(config)#ip route 0.0.0.0 0.0.0.0 194.186.190.2 ///создаем маршрут по умолчанию

R1(config)# no ip http server ///поднимаем http сервер для графического управления

R1(config)#no ip http secure-server ///поднимаем https сервер для удаленного

!управления и подключения

R1(config)# no cdp run

R1(config)#no service dhcp ///отключаем dhcp сервер

R1(config)#ip nat inside source list 1 interface FastEthernet4 overload

!все входящие пакеты напрваляем на интерфейс WAN и привязываем их к листу 1

R1(config)# ip access-list extended inside ///конфигурируем исходящие пакеты

!R1(config)# permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 established.…Все всем

R1(config)# permit tcp host 10.10.10.10 host 10.10.10.1 eq 443 ///разрешаем порты между хостами

R1(config)# permit tcp host 10.10.10.10 host 10.10.10.1 eq 22

R1(config)# permit tcp host 10.10.10.10 host 10.10.10.1 eq www

R1(config)# permit tcp host 10.10.10.10 host 82.138.11.132 eq 9255

R1(config)# permit icmp host 10.10.10.10 host 82.138.11.132

R1(config)# permit icmp any any ///разрешаем пинги

R1(config)# deny ip any any log ///все остальное запрещаем

R1(config)# ip access-list extended outside ///конфигурируем входжящие пакеты

R1(config)# permit tcp any host 194.186.190.100 eq 22 ///открываем для ssh

R1(config)# permit icmp any host 194.186.190.100 ///разрешаем пинги

R1(config)# deny ip any any log ///все остальное запрещаем

R1(config)# access-list 1 permit 10.10.10.0 0.0.0.255

R1(config)# access-list 101 permit icmp any any

R1(config)# exit

R1# wr

R1# reload

911ua.blogspot.ru


Смотрите также