пятница, 20 марта 2015 г.

CISCO начальная настройка маршрутизатора + PPPOE + NAT+ ACL

Создаем пользователя:

Router(config)# username vash_user privilege 15 ​secret super_password

где, vash_user  - имя пользователя super_password - Ваш  пароль.

Задаем имя хоста:

Router(config)# hostname Cisco

Задаем пароль на привилегированный режим -

Cisco(config)# enable password vash_password

Активируем шифрование паролей в конфигурационном файле

Cisco(config)# service password-encryption

Устанавливаем время на маршрутизаторе
Cisco(config)# clock set 14:00:00 31 oct 2015

Временную зону
Cisco(config)# clock timezone MSK +3

Указываем имя домена (необходимо для генерации ключа)
Cisco(config)# ip domain name test.local

Активируем протокол ААА (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь) и указываем тип авторизации

Cisco(config)# aaa new-model
Cisco(config)# aaa authentication login default local
Cisco(config)# aaa authorization exec default local  

Задаем dns-сервера
Cisco(config)# no ip domain lookup
Cisco(config)# ip name-server 212.12.0.2
Cisco(config)# ip name-server 8.8.8.8

Задаем сервер ntp
Router(config)# ntp server 204.123.2.72

Генерируем RSA ключ (необходимо будет выбрать размер ключа)
Cisco(config)# crypto key generate rsa



(Иногдабывает глюк: включается ssh v.1 и никак не включить v.2, выглядит это примерно так:

cisco(config)#ip ssh version 2

Please create RSA keys (of atleast 768 bits size) to enable SSH v2

Обнуляем все имеющиеся ключи:

cisco(config)#crypto key zeroize rsa

Генерируем новые:

cisco(config)#crypto key generate rsa

Включаем долгожданный SSH v.2:

cisco(config)#ip ssh version 2)Разрешаем компьютерам внутренней сети заходить на Cisco по SSH

cisco(config)#access-list 23 permit 192.168.1.0 0.0.0.255

Входим в режим конфигурирования терминальных линий с 0 по 4

 cisco(config)# line vty 0 4

Указываем средой доступа через сеть по умолчанию SSH

cisco(config-line)# transport input ssh

Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
cisco(config-line)# logging synchronous

Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут

cisco(config-line)# exec-timeout 60 0

Привязываем группу доступа, созданную на шаге 9, к терминальной линии

cisco(config-line)# access-class 23 in

Выходим из режима конфигурирования терминальных линий

 cisco(config-line)# exit

Настройка порта, подключенного к локальной сети

Cisco(config)# interface    FastEthernet0/1
Cisco(config-if)#ip address 192.168.1.1 255.255.255.0
Cisco(config-if)#ip nat inside
Cisco(config-if)#no shutdown
Cisco(config-if)#exit

Настройка порта, подключенного к сети провайдера

interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1

Так как к провайдеру подключаемся черезе PPPOE настроим виртуальный интерфейс Dialer0,  ip получаем по DHCP от провайдера (ip address negotiated), включаем NAT, указываем размер mtu, тип инкапсуляции (ppp), авторизации (ppp authentication pap callin), задаем параметры авторизации - логин и пароль

Cisco(config-if)#interface Dialer0
Cisco(config-if)#ip address negotiated
Cisco(config-if)#ip nat outside
Cisco(config-if)#ip mtu 1492
Cisco(config-if)#encapsulation ppp
Cisco(config-if)#dialer pool 1
Cisco(config-if)#ppp authentication pap callin
Cisco(config-if)#ppp chap hostname xxxx

Cisco(config-if)#ppp chap password xxxx

Cisco(config-if)#ip tcp adjust-mss 1452
Cisco(config-if)#exit

Назначаем маршрут по умолчанию.
Cisco(config)#ip route 0.0.0.0 0.0.0.0 Dialer0
Настраиваем NAT

Cisco(config)#ip nat inside source list 100 interface Dialer0 overload
Cisco(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255
Пробросим порт на внутреннюю машину
Cisco(config)#ip nat inside source static tcp 192.168.1.50 1433 interface Dialer0 1433

Отключаем управление через SDM CDP для безопасности
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)#no ip redirects
Cisco(config)#no ip unreachables
Cisco(config)#no ip proxy-arp
Cisco(config)#no ip mrout-cache
Cisco(config)#no cdp run

no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.

Осталось навесить списки доступа ACL

четверг, 12 марта 2015 г.

Настройка SSH в Cisco.(взято с http://habrahabr.ru/ )

Входим в привилегированный режим
1. cisco> enable
Устанавливаем точное время для генерации ключа
2. cisco# clock set 07:20:00 28 Aug 2014
Входим в режим конфигурирования
3. cisco# configure terminal
Указываем имя домена (необходимо для генерации ключа)
4. cisco(config)# ip domain name test.local
Генерируем RSA ключ (необходимо будет выбрать размер ключа)
5. cisco(config)# crypto key generate rsa
Активируем шифрование паролей в конфигурационном файле
6. cisco(config)# service password-encryption
Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd
Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
8. cisco(config)# aaa new-model
Разрешаем компьютерам внутренней сети заходить на Cisco по SSH
9. cisco(config)#access-list 23 permit 192.168.0.0 0.0.0.255
Входим в режим конфигурирования терминальных линий с 0 по 4
10. cisco(config)# line vty 0 4
Указываем средой доступа через сеть по умолчанию SSH
11. cisco(config-line)# transport input ssh
Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. cisco(config-line)# logging synchronous
Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. cisco(config-line)# exec-timeout 60 0
Привязываем группу доступа, созданную на шаге 9, к терминальной линии
14.cisco(config-line)# access-class 23 in
Выходим из режима конфигурирования терминальных линий
15. cisco(config-line)# exit
Выходим из режима конфигурирования
16. cisco(config)# exit
Сохраняем конфигурационный файл в энергонезависимую память
17. cisco# copy running-config startup-config