- Шаблон базовой настройки маршрутизатора Cisco
- Настройка авторизации и доступа по SSH
- Настройка роутинга
- Настройка времени
- Архивирование конфигов
- Настройка DNS
- Настройка локальной сети
- Настройка DHCP сервера
- Настройка Internet и Firewall
- Настройка NAT
- Отключение ненужных сервисов
- Настройка времени на Cisco: NTP и руками
- Ручная настройка
- Лучший путь: настройка NTP
- Cisco NTP
- [править] Статический клиент
- [править] Широковещательный клиент
- [править] Symmetric active mode
- [править] Аутентификация
- [править] Задание часового пояса
- [править] ACL для предотвращения получения информации об устройстве и IOS
- [править] Запрет сервиса на определенном интерфейсе
- [править] Просмотр настроек
Шаблон базовой настройки маршрутизатора Cisco
В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…
Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH
! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD
! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15
Настройка роутинга
! включаем ускоренную коммутацию пакетов
ip cef
Настройка времени
! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP
Архивирование конфигов
! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys
! историю изменения конфига можно посмотреть командой
show archive log config all
Настройка DNS
! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
Настройка локальной сети
! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1
! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets
! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting
Настройка DHCP сервера
! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1
Настройка Internet и Firewall
! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22
! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .
Настройка NAT
! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside
! на локальном интерфейсе
interface Vlan1
ip nat inside
! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any
! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload
! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
Отключение ненужных сервисов
no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server
UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)
Настройка времени на Cisco: NTP и руками
Если вы забудете корректно настроить системное время на маршрутизаторах или коммутаторах Cisco, это может сыграть злую шутку. Просмотр лог – файлов или аудит в рамках безопасности может быть не реализуем, по причине невозможности установить точную дату события. В статье расскажем, как настроить корректную дату и время вручную, а также, как подключить NTP сервер к L2/L3 устройствам Cisco.
Ручная настройка
Устройства на базе Cisco IOS имеют два источника времени – железное/хардварное (hardware) и софтовое (программное) время. Первое, зачастую, в документации вендора именуется как «calendar time». Программное время, при загрузке девайса (по питанию) тянет время из железного, ставя его важнее в приоритете. Давайте проверим этот момент с помощью Cisco Packet Tracer:
Обратите внимание, в нашем выводе, *0:3:55.103 UTC Mon Mar 1 1993 помечена звездочкой сначала. Она говорит о том, что это время не вызывает доверия. Причина этого проста – оно синхронизировано с хардварного времени, это можно проверить командой show clock detail :
С помощью команды clock set (в привилегированном режиме, не в режиме глобальной конфигурации) мы можем в ручном режиме модифицировать время и дату:
en conf t clock set 13:12:00 23 august 2018
Обратите внимание, что источник времени сменился на «user configuration». Дело в том, что если мы перезагрузим наш девайс, время снова подтянется из хардварного источника (его можно проверить командой show calendar ). Исправить это можно одной командой:
Лучший путь: настройка NTP
Дело в том, что бывают задачи, точность которых зависит от синхронизации сотых долей секунд на каждом из устройств в сети. В таком случае нам поможет синхронизация времени от единой точки по протоколу NTP (Network Time Protocol), а время они будут брать с NTP – сервера.
Перед настройкой, важно понять – откуда вы будете брать время. Есть некоторые публичные NTP, но конечно, гораздо безопаснее использовать сервер в собственном сетевом контуре. После того, как определитесь, приступаем к настройке NTP серверов:
en conf t ntp server 192.168.168.192 ntp server 192.168.168.193
Далее, мы уходим из среды Cisco Packet Tracer на железный маршрутизатор Cisco 2911, так как программный эмулятор ограничен в командах 🙂
Ждем, пока время не будет синхронизировано и проверяем:
Вы можете отслеживать этапы синхронизации командой show ntp associations — команда будет полезна для траблшутинга NTP;
У нас статус Clock is synchronized, stratum 2, reference is A.B.C.D. Значит все работает хорошо. Важно — настройка NTP, которую мы описали в статье, касается только софтового (программного) времени. Для того, чтобы синхронизировать хардварное (железное) время даем команду:
Cisco NTP
Настройка интерфейса для отправки широковещательных пакетов NTP:
dyn1(config)# int fa1/0 dyn1(config-if)# ntp broadcast
[править] Статический клиент
dyn3(config)# ntp server 192.168.2.1
[править] Широковещательный клиент
dyn3(config)# int fa1/0 dyn3(config-if)# ntp broadcast client
[править] Symmetric active mode
dyn5(config)# ntp peer 192.168.2.1
[править] Аутентификация
dyn1(config)# ntp authenticate #Включение dyn1(config)# ntp authentication-key 1 md5 xguru #Задаем значение ключа dyn1(config)# ntp trusted-key 1 #Тому, кто знает этот ключ, тот может нас синхронизировать
[править] Задание часового пояса
sm-c2821(config)#clock timezone EET 2 # в данном случае - +2 - Киев
Переход на летнее время задается так:
- clock summer-time имя(MSD) recurring
- first/last/номер-недели-начала
- день-недели месяц hh:mm
- first/last/номер-недели-окончания
- день-недели месяц hh:mm
- [смещение-в-минутах]
sm-c2821(config)#clock summer-time EET recurring last Sat Mar 3:00 last Sat Oct 3:00
[править] ACL для предотвращения получения информации об устройстве и IOS
! sm-sht-c2811(config)#access-list 4 permit 10.84.144.0 0.0.0.255 # кому отдавать время sm-sht-c2811(config)#access-list 5 permit 10.44.0.1 # с кого брать время ! sm-sht-c2811(config)#ntp access-group peer 5 sm-sht-c2811(config)#ntp access-group serve-only 4 sm-sht-c2811(config)#ntp server 10.44.0.1 prefer !
[править] Запрет сервиса на определенном интерфейсе
sm-c2821(config-if)#ntp disable
[править] Просмотр настроек
Ассоциации NTP на маршрутизаторе в роли сервера:
sm-c2821#show ntp associations address ref clock st when poll reach delay offset disp *~10.44.0.1 194.44.50.1 3 315 1024 377 8.2 -0.09 4.7 ~10.84.243.2 10.44.0.1 4 992 1024 0 1.6 2595.5 16000. +~10.84.242.101 10.44.0.1 4 251 1024 377 0.7 2.41 0.2 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Статус NTP на маршрутизаторе в роли сервера:
dyn1# show ntp status Clock is synchronized, stratum 7, reference is 127.127.7.1 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CE27D5B6.4ED89C3B (10:45:10.307 UTC Sat Aug 8 2009) clock offset is 0.0000 msec, root delay is 0.00 msec root dispersion is 0.02 msec, peer dispersion is 0.02 msec
Ассоциации NTP на маршрутизаторе в роли клиента:
dyn3# sh ntp associations address ref clock st when poll reach delay offset disp *~192.168.2.1 127.127.7.1 7 29 64 377 92.1 1335.5 33.3 * master (synced), # master (unsynced), + selected, - candidate, ~ configured
Статус NTP на маршрутизаторе в роли клиента:
dyn3# sh ntp status Clock is synchronized, stratum 8, reference is 192.168.2.1 nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CE2804A3.1C1FCDFB (14:05:23.109 UTC Sat Aug 8 2009) clock offset is 1335.5106 msec, root delay is 92.09 msec root dispersion is 1368.82 msec, peer dispersion is 33.28 msec
Cisco Systems, Inc. | |
---|---|
Устройства | Cisco 871 • Cisco Router • Cisco Switch • Сisco Сatalyst • Cisco IPS • Cisco ASA • PIX • Dynamips |
Безопасность (коммутаторы и маршрутизаторы) | Cisco Security • Port security • DHCP snooping • Dynamic ARP Protection • IP Source Guard • Аутентификация при доступе к сети • 802.1X в Cisco • Zone-Based Policy Firewall • Cisco NAT • NAT в Cisco • Cisco SSH |
Cisco ASA | Cisco ASA/NAT • Cisco ASA/Troubleshooting • Cisco ASA/IPS • Cisco ASA failover • Cisco ASA/Transparent firewall • Cisco ASA/Site-to-Site_VPN • Cisco ASA/Easy_VPN • Cisco ASA/WebVPN • Объединение OSPF-сетей туннелем между двумя системами ASA (без GRE) • Центр сертификатов на Cisco ASA |
VPN | IPsec в Cisco • Cisco IOS Site-to-Site VPN • DMVPN • Cisco Easy VPN • Cisco Web VPN • Cisco ipsec preshared |
Канальный уровень | CDP • VLAN в Cisco • ISL • VTP • STP в Cisco • Cisco Express Forwarding • Агрегирование каналов • Зеркалирование трафика • QinQ • Frame Relay |
Сетевой уровень | Маршрутизация в Cisco • RIP • EIGRP • IS-IS • OSPF • BGP • PIM • Multicast • GLBP • VRRP • HSRP • DHCP • IPv6 • IPv6 vs IPv4 • Резервирование Интернет-каналов без использования BGP • Использование BGP для резервирования Интернет-каналов |
Разное | Режим ROMMON в Cisco • Опция 82 DHCP • 802.1X и RADIUS • SNMP в Cisco • QoS в Cisco • EEM • Troubleshooting • Автоматизация работы устройств Cisco • Cisco NTP • Cisco IP SLA • Cisco Enhanced Object Tracking |