Создаем пользователя:
Router(config)# username vash_user privilege 15 secret super_password
где, vash_user - имя пользователя super_password - Ваш пароль.
Задаем имя хоста:
Router(config)# hostname Cisco
Задаем пароль на привилегированный режим -
Cisco(config)# enable password vash_password
Активируем шифрование паролей в конфигурационном файле
Cisco(config)# service password-encryption
Устанавливаем время на маршрутизаторе
Cisco(config)# clock set 14:00:00 31 oct 2015
Временную зону
Cisco(config)# clock timezone MSK +3
Указываем имя домена (необходимо для генерации ключа)
Cisco(config)# ip domain name test.local
Активируем протокол ААА (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь) и указываем тип авторизации
Cisco(config)# aaa new-model
Cisco(config)# aaa authentication login default local
Cisco(config)# aaa authorization exec default local
Задаем dns-сервера
Cisco(config)# no ip domain lookup
Cisco(config)# ip name-server 212.12.0.2
Cisco(config)# ip name-server 8.8.8.8
Задаем сервер ntp
Router(config)# ntp server 204.123.2.72
Генерируем RSA ключ (необходимо будет выбрать размер ключа)
Cisco(config)# crypto key generate rsa
(Иногдабывает глюк: включается ssh v.1 и никак не включить v.2, выглядит это примерно так:
cisco(config)#ip ssh version 2
Please create RSA keys (of atleast 768 bits size) to enable SSH v2
Обнуляем все имеющиеся ключи:
cisco(config)#crypto key zeroize rsa
Генерируем новые:
cisco(config)#crypto key generate rsa
Включаем долгожданный SSH v.2:
cisco(config)#ip ssh version 2)Разрешаем компьютерам внутренней сети заходить на Cisco по SSH
cisco(config)#access-list 23 permit 192.168.1.0 0.0.0.255
Входим в режим конфигурирования терминальных линий с 0 по 4
cisco(config)# line vty 0 4
Указываем средой доступа через сеть по умолчанию SSH
cisco(config-line)# transport input ssh
Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
cisco(config-line)# logging synchronous
Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
cisco(config-line)# exec-timeout 60 0
Привязываем группу доступа, созданную на шаге 9, к терминальной линии
cisco(config-line)# access-class 23 in
Выходим из режима конфигурирования терминальных линий
cisco(config-line)# exit
Настройка порта, подключенного к локальной сети
Cisco(config-if)#ip nat inside
Cisco(config-if)#no shutdown
Cisco(config-if)#exit
Настройка порта, подключенного к сети провайдера
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
Так как к провайдеру подключаемся черезе PPPOE настроим виртуальный интерфейс Dialer0, ip получаем по DHCP от провайдера (ip address negotiated), включаем NAT, указываем размер mtu, тип инкапсуляции (ppp), авторизации (ppp authentication pap callin), задаем параметры авторизации - логин и пароль
Cisco(config-if)#interface Dialer0
Cisco(config-if)#ip address negotiated
Cisco(config-if)#ip nat outside
Cisco(config-if)#ip mtu 1492
Cisco(config-if)#encapsulation ppp
Cisco(config-if)#dialer pool 1
Cisco(config-if)#ppp authentication pap callin
Cisco(config-if)#ppp chap hostname xxxx
Cisco(config-if)#ppp chap password xxxx
Cisco(config-if)#ip tcp adjust-mss 1452
Cisco(config-if)#exit
Назначаем маршрут по умолчанию.
Cisco(config)#ip route 0.0.0.0 0.0.0.0 Dialer0
Настраиваем NAT
Cisco(config)#ip nat inside source list 100 interface Dialer0 overload
Cisco(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255
Пробросим порт на внутреннюю машину
Cisco(config)#ip nat inside source static tcp 192.168.1.50 1433 interface Dialer0 1433
Отключаем управление через SDM CDP для безопасности
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)#no ip redirects
Cisco(config)#no ip unreachables
Cisco(config)#no ip proxy-arp
Cisco(config)#no ip mrout-cache
Cisco(config)#no cdp run
no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.
Осталось навесить списки доступа ACL
Router(config)# username vash_user privilege 15 secret super_password
где, vash_user - имя пользователя super_password - Ваш пароль.
Задаем имя хоста:
Router(config)# hostname Cisco
Задаем пароль на привилегированный режим -
Cisco(config)# enable password vash_password
Активируем шифрование паролей в конфигурационном файле
Cisco(config)# service password-encryption
Устанавливаем время на маршрутизаторе
Cisco(config)# clock set 14:00:00 31 oct 2015
Временную зону
Cisco(config)# clock timezone MSK +3
Указываем имя домена (необходимо для генерации ключа)
Cisco(config)# ip domain name test.local
Активируем протокол ААА (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь) и указываем тип авторизации
Cisco(config)# aaa new-model
Cisco(config)# aaa authentication login default local
Cisco(config)# aaa authorization exec default local
Задаем dns-сервера
Cisco(config)# no ip domain lookup
Cisco(config)# ip name-server 212.12.0.2
Cisco(config)# ip name-server 8.8.8.8
Задаем сервер ntp
Router(config)# ntp server 204.123.2.72
Генерируем RSA ключ (необходимо будет выбрать размер ключа)
Cisco(config)# crypto key generate rsa
(Иногдабывает глюк: включается ssh v.1 и никак не включить v.2, выглядит это примерно так:
cisco(config)#ip ssh version 2
Please create RSA keys (of atleast 768 bits size) to enable SSH v2
Обнуляем все имеющиеся ключи:
cisco(config)#crypto key zeroize rsa
Генерируем новые:
cisco(config)#crypto key generate rsa
Включаем долгожданный SSH v.2:
cisco(config)#ip ssh version 2)Разрешаем компьютерам внутренней сети заходить на Cisco по SSH
Входим в режим конфигурирования терминальных линий с 0 по 4
cisco(config)# line vty 0 4
Указываем средой доступа через сеть по умолчанию SSH
cisco(config-line)# transport input ssh
Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
cisco(config-line)# logging synchronous
Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
cisco(config-line)# exec-timeout 60 0
Привязываем группу доступа, созданную на шаге 9, к терминальной линии
cisco(config-line)# access-class 23 in
Выходим из режима конфигурирования терминальных линий
cisco(config-line)# exit
Настройка порта, подключенного к локальной сети
Cisco(config)# interface FastEthernet0/1
Cisco(config-if)#ip address 192.168.1.1 255.255.255.0Cisco(config-if)#ip nat inside
Cisco(config-if)#no shutdown
Cisco(config-if)#exit
Настройка порта, подключенного к сети провайдера
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
Cisco(config-if)#interface Dialer0
Cisco(config-if)#ip address negotiated
Cisco(config-if)#ip nat outside
Cisco(config-if)#ip mtu 1492
Cisco(config-if)#encapsulation ppp
Cisco(config-if)#dialer pool 1
Cisco(config-if)#ppp authentication pap callin
Cisco(config-if)#ppp chap hostname xxxx
Cisco(config-if)#ppp chap password xxxx
Cisco(config-if)#ip tcp adjust-mss 1452
Cisco(config-if)#exit
Назначаем маршрут по умолчанию.
Cisco(config)#ip route 0.0.0.0 0.0.0.0 Dialer0
Настраиваем NAT
Cisco(config)#ip nat inside source list 100 interface Dialer0 overload
Cisco(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255
Пробросим порт на внутреннюю машину
Cisco(config)#ip nat inside source static tcp 192.168.1.50 1433 interface Dialer0 1433
Отключаем управление через SDM CDP для безопасности
Cisco(config)# no ip http server
Cisco(config)# no ip http secure-server
Cisco(config)#no ip redirects
Cisco(config)#no ip unreachables
Cisco(config)#no ip proxy-arp
Cisco(config)#no ip mrout-cache
Cisco(config)#no cdp run
no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».
no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.
no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.
Осталось навесить списки доступа ACL
