Базовая конфигурация маршрутизатора Cisco

Начнем с начала. Предлагаю найденный мной шаблон базовой конфигурации для роутеров Cisco. У нас имеется новенький (или не очень 🙁 ) маршрутизатор. Подключаем устройство через консольный кабель. Первым делом очистим его от ненужных вещей и перезагрузим:

#erase startup-config

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret Pa$$w0rD

! даем имя роутеру
hostname R0
ip domain-name r0.local
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Russia 2
clock summer-time Russia recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP0.SERVER.COM
ntp server NTP1.SERVER.COM

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS
ip name-server 8.8.8.8
! на всякий случай добавляем еще один DNS
ip name-server 8.8.4.4

Настройка локальной сети

! Вариант 1. Обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168.100.254

! Вариант 2. Когда есть второй физический интерфейс.
interface FastEthernet0/1
description === LAN ===
ip address 192.168.100.254

!

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
 ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168.100.1 192.168.100.50
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168.100.0 255.255.255.0
default-router 192.168.100.254
dns-server 192.168.100.254

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address 34.35.36.37 255.255.255.255
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 34.35.36.254

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! Вариант 1. на локальном интерфейсе
interface Vlan1
ip nat inside

! Вариант 2. на локальном интерфейсе
interface FastEthernet0/1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168.100.1 any
permit ip host 192.168.100.5 any
permit ip host 192.168.100.35 any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

Источник


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Unlix © Все права защищены 2023

Копирование материалов с сайта Unlix.ru без указания полной ссылки на источник ЗАПРЕЩЕНО!