Базовая настройка Cisco маршрутизатора.

alex Cisco & CCNP, Video


В этом видео я рассказываю как произвести первоначальную настройку маршрутизатора для того, чтобы к нему можно было подключиться удалённо тебе и не дать подключиться кому-то другому.

Содержание:

1 – aaa new model
2 – user
3 – ssh
4 – acl на vty
5 – line vty
6 – acl_in на WAN
7 – ip-addresses на WAN или LAN
8 – static routing / default
9 – ios and rommon upgrade (только ссылки)


Шаг 1.
# aaa new-model
!— The aaa new-model command causes the local username and password on the router to be used in the absence of other AAA statements.

Шаг 2.
# enable secret 5 $xxxxxxxxxx
!
# username MyUser password MyPassword
!
# aaa authentication login default local
!
! Желательно проверить, что всё работает и потом уже сохранить конфиг.

Шаг 3.
! Обязательные условия для генерании ssh ключей – задать имя роутеру и домен:
# hostname super_router_1
# ip domain-name it-inside.org

!— Generate an SSH key to be used with SSH.
! for ssh v2 must be at least 2048
! – ссылка (1) внизу
# crypto key generate rsa

! At this point, the show crypto key mypubkey rsa command must show the generated key.
# show crypto key mypubkey rsa

! доп.команды
# ip ssh version 2
# ip ssh time-out 60
# ip ssh authentication-retries 3

Шаг 4.
# access-list 10 permit 172.30.2.0 0.0.0.255 < локальные адреса ваших IT сетей # access-list 10 permit 172.30.3.0 0.0.0.255 #access-list 10 permit host 8.8.8.8 < публичный адрес вашего офиса

Шаг 5.
# line vty 0 4
transport input ssh
exec-timeout 180 0
logging synchronous
access-class 10 in

# line vty 5 15
transport input ssh
exec-timeout 180 0
logging synchronous
access-class 10 in

Шаг 6.
# ip access-list extended acl_fa0/0_in
remark ^access from Office___begin^
permit tcp 8.8.8.0 0.0.0.255 host 78.47.220.250 eq 22
permit icmp 8.8.8.0 0.0.0.255 host 78.47.220.250
remark ^access from Office___end^
deny ip any any

Шаг 7.
# interface FastEthernet0/0
description ^WAN^
ip address 78.47.220.250 255.255.255.0
ip access-group acl_fa0/0_in in
duplex auto
speed auto

Шаг 8.
# ip route 0.0.0.0 0.0.0.0 78.47.220.1 name ^route to ISP^

Шаг 9.
- ios and rommon upgrade

! Обновление ROMmon в устройствах Cisco
! Поместите файл с новой прошивкой на ваш tftp сервер и скопируйте его на устройство:
# copy tftp://192.168.20.12/C2800NM_RM2.srec.124-13r.T6 flash:/
# upgrade rom-monitor file flash:/C2800NM_RM2.srec.124-13r.T11

# sh rom-monitor
! Мы видим, что теперь у нас существует две версии микропрограммы: одна записана в область памяти “только для чтения”,
! другая (с которой осуществляется загрузка) расположена в области Upgrade.
! После успешного обновления сам файл можно будет удалить с flash-карточки командой
# delete /force flash:/C2800NM_RM2.srec.124-13r.T11

!!! >> rommon можно обновить из с usb-stick (FAT formatted)
! Cisco Update ROMMON / Bootstrap
! type, upgrade
# rom-monitor file usbflash0:C2800NM_RM2.srec.124-13r.T11

! Обновление ios...
# copy tftp: flash:
# verify flash:
# (conf t) boot system flash:....
----------------------
Итоговая конфигурация.

(+) crypto key generate rsa

super_router_1#sh run
!
service password-encryption
!
hostname super_router_1
!
enable secret 5 $xxxxxxxxxx
!
aaa new-model
!
aaa authentication login default local
!
ip domain name it-inside.org
!
username MyUser password MyPassword
!
ip ssh time-out 60
ip ssh version 2
!
interface FastEthernet0/0
description ^WAN^
ip address 78.47.220.250 255.255.255.0
ip access-group acl_fa0/0_in in
duplex auto
speed auto
!
ip access-list extended acl_fa0/0_in
remark ^access from Office___begin^
permit tcp 8.8.8.0 0.0.0.255 host 78.47.220.250 eq 22
permit icmp 8.8.8.0 0.0.0.255 host 78.47.220.250
remark ^access from Office___end^
deny ip any any
!
access-list 10 permit 172.30.2.0 0.0.0.255 < локальные адреса ваших IT сетей access-list 10 permit 172.30.3.0 0.0.0.255 access-list 10 permit host 8.8.8.8 < публичный адрес вашего офиса ! ip route 0.0.0.0 0.0.0.0 78.47.220.1 name ^route to ISP^ ! ! line con 0 line vty 0 4 access-class 10 in exec-timeout 180 0 logging synchronous transport input ssh line vty 5 15 access-class 10 in exec-timeout 180 0 logging synchronous transport input ssh ! end

Полезные ссылки:
(1)
Configuring Secure Shell on Routers and Switches Running Cisco IOS
----------------------
Requirements: k9(crypto) image
The Cisco IOS image used must be a k9(crypto) image in order to support SSH. For example c3750e-universalk9-tar.122-35.SE5.tar is a k9 (crypto) image.
----------------------