Cuprins
În acest tutorial vom dezvolta câteva configurații de bază și nu atât de simple; ținând cont că știm deja să îl accesăm cu privilegii ENABLE cu cunoștințe de comandă. Vom lua ca exemplu un echipament din seria Cisco 800, pentru a fi mai precis un router Cisco 831.- Parole
Router (config) #service criptare parolă
Router (config) #hostname ************ (numele pe care îl dorim)
Router (config) #enable secret ************ (activați parola)
- Parole Telnet
Router (config) #line cu 0
Router (linie de configurare) # parolă ************ (parola dorită)
Router (linie de configurare) #login local
Router (config) #line vty 0
Router (linie de configurare) # parolă ************ (parola dorită)
Router (linie de configurare) #login local
- Setare Server DHCP
intervalul de curățare a legării ip dhcp 10
IP dhcp adresă exclusă 10.17.10.1 10.17.10.50
adresa IP exclusă dhcp 10.17.10.151 10.17.10.254
pachete de ping ip dhcp 0
piscina IP dhcp BUENOS AIRES
reţea 10.17.10.0 255.255.255.0
dns-server 10.16.0.10 10.16.0.8
router-implicit 10.17.10.254
netbios-name-server 10.16.0.10 10.16.0.8
numele domeniului rquagliano.com
citiți 8
--Calitatea serviciului
class-map match-all citrix
meci acces-grup 110
clasă-hartă potrivire-toate vocea
precedenta meciului 5
clasă-hartă potrivire-toate prioritate redusă
potriviți orice
QOS de politică-hartă
voce de clasă
prioritatea 25
clasa citrix
clasa cu prioritate redusă
lățimea de bandă rămasă procent 10
detectare aleatorie
--Crypto (configurația unui tunel împotriva ASA)
politica crypto isakmp 1
encr 3des
autentificare pre-partajare
grupul 5
cheia crypto isakmp PASSWORS_DEL_TUNEL abordare 200.71.236.2 (PEER)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
harta crypto map 20 ipsec-isakmp
set peer 200.71.236.2
set transform-set trans1
adresa potrivirii Nume_LISTA DE ACCES
lista de acces ip extinsă Nume_LISTA DE ACCES
permis ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
permis ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permis ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
- Interfețe
interfață Ethernet0
adresa IP 10.17.10.254 255.255.255.0
nu există starea legăturii evenimentului de înregistrare
fără cdp jurnal duplex nepotrivit
fără oprire
interfață Ethernet1
adresa IP *********** 255.255.255.248
QOS de ieșire a politicii de servicii
mașină duplex
harta criptografică
fără oprire
interfață FastEthernet1
fără oprire
fără keepalive
interfață FastEthernet2
fără oprire
fără keepalive
interfață FastEthernet3
fără oprire
fără keepalive
interfață FastEthernet4
fără oprire
fără keepalive
ip fără clasă
ruta ip 0.0.0.0 0.0.0.0 ***. ***. ***. **** (gateway implicit)
server IP ip
autentificare ip http locală
ip http server securizat
ip http timeout-policy idle 600 life 86400 solicitări 10000
- Lista de acces
listă de acces IP administrare standard
permis 200.71.235.128 0.0.0.15
permis 200.71.238.128 0.0.0.15
permis 10.1.8.0 0.0.0.255
permis 200.71.236.0 0.0.0.7
permis 10.16.0.0 0.0.0.255
- Lista de acces pentru nateo și acces la internet
lista de acces ip extinsă nat-internet
refuza ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
refuza ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
refuza ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permis ip 10.0.1.0 0.0.0.255 oricare
permis IP 10.17.1.0 0.0.0.255 oricare
--Nat pentru a intra online
ip nat în lista de surse interfață nat-internet supraîncărcare FastEthernet4
**** NU UITAȚI CA, DACĂ VREM SĂ FACEM NAT, TREBUIE SĂ PUNEM URMĂTOARELE ****
Pe interfața externă
ip nat afară
Pe interfața internă
ip nat în interior
- Activarea SNMP
comunitatea snmp-server RO publică
snmp-server activează capcanele tty
Cu aceste comenzi vom putea rezolva configurația unui tunel împotriva unui ASA 5500. Într-un alt tutorial vom explica cealaltă parte a configurației, cea din partea ASA.