Настройка роутера cisco 2900

Настройка роутера cisco 2900

В статье рассматривается базовая настройка маршрутизаторов Cisco 800-2900 серии, т.е. то, что нужно изначально сделать практически во всех случаях

Итак распаковываем роутер и подключаемся к нему Телнетом через com-портовый шнур.

! дабы избавится от преднастроеного мусора набираем:
erase startup-config
! и перегружаемся

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname <. >
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

! включаем ускоренную коммутацию пакетов
ip cef

! временная зона GMT+3
clock timezone MSK 3 0
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 8.8.8.8

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

Читайте также:  Роутер huawei подключение телефона

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту
interface FastEthernet0/0
description === Internet ===
ip address . 255.255.255.
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects // отключает отправку сообщений перенаправления, когда средства Cisco IOS пересылают пакет в рамках интерфейса, по которому этот пакет получен. Ограничивает информацию, посылаемую маршрутизатором в случае сканирования порта

no ip directed-broadcast // отключает управляемую групповую рассылку IP, что обеспечивает невозможность применения маршрутизатора в качестве широковещательного усилителя в распределённых атаках блокирования сервиса (DoS, Denial of Service атаках)

no ip proxy-arp // отключает прокси-сервис ARP

no ip unreachables // отключает генерирование сообщений ICMP Unreachable

no ip mask-reply // отключает генерирование сообщений ICMP Mask Reply

no cdp enable // отключает CDP протокол на интерфейсе

ip inspect INSPECT_OUT out
ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию
ip route 0.0.0.0 0.0.0.0 .

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

Читайте также:  Настройка роутера beeline приставка

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers // запрещает доступ к ряду сервисов TCP

no service udp-small-servers // запрещает доступ к ряду сервисов UDP

no service finger // запрещает запросы по протоколу finger

no service config // запрещает загрузку конфига по TFTP

no service pad // запрещает PAD

no ip finger
no ip source-route // отбрасывает пакеты с явно указанным маршрутом

no ip http server // отключает встроенный HTTP сервер

no ip http secure-server // отключает встроенный HTTPS сервер

no ip bootp server // отключает сервер BOOTP

no cdp run // глобально отключает CDP протокол

Источник

Оцените статью
Adblock
detector