Cisco 1841

От AndrewCisco

Настройка  CISCO 1841

Есть локальная сеть 192.168.1.0/255.255.255.0 и подключение к провайдеру x.x.x.x.

Имеется Cisco 1841.

Захожу через консоль, дошло до запроса Username. Попробовал cisco/ciscovty. Не получилось.

При загрузке нажимаем Ctrl-Break.

Потом даем команду

>confreg 0x2142

Произвел начальную настройку, настроил для начала один внутренний интерфейс. Залогинился через телнет, отключился от консоли.

После первоначальной настройки надо проделать тоже самое, вернуть регистра на место

>confreg в 0x2102

Включил веб-интерфейс:

>ip http server

SDM скачал здесь ftp://ftp.cisco.com/pub/web/sdm

Настроил остальные интерфейсы.

ip nat inside  на внутренний интерфейс. ip nat outside на внешний.

и включить роутинг.

>conf t

>ip routing

Базопасность

Закрыть доступ к циске со всех адресов кроме разрешенных, сделать акссес-лист, там указать только твой адрес и на vty прописать его
access-group

access-list 3 permit твой_ip

line vty 0 4
access-class 3 in
тут пропиши транспорт, желательно только ssh
и добавить такой же line vty 5 15

желательно после изменений не закрывать текущую сессию, открыть паралельную и если вход выполнен уже сохранять

snmp-server community сменить надо

поднимаешь сервер авторизации (такакс, радиус) и настраиваешь учетки доступа к оборудованию
потом по уровню доступа ограничиваешь доступ
эммм… доступ к оборудованию всмысле

Вот что по сути получилось, окончательный конфиг (естественно надо доработать напильником):

Current configuration : 1351 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ph
!
boot-start-marker
boot-end-marker
!
enable secret 5 *
enable password
!
no aaa new-model
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
ip name-server x.x.x.x
!
no ftp-server write-enable
!
!
!
!
!
no crypto isakmp ccm
!
!
!
interface FastEthernet0/0
description $ETH-LAN$
ip address 192.168.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description $ETH-WAN$
ip address x.x.x.x 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 x.x.x.x
!
ip http server
no ip http secure-server
ip nat inside source list 2 interface FastEthernet0/1 overload
ip dns server
!
access-list 1 remark SDM_ACL Category=2
access-list 1 permit x.x.x.x 0.0.0.3
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.1.0 0.0.0.255
snmp-server community public RO
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password
login
!
end

Первоначальная настройка

Cisco 1841 (revision 6.0) with 115712K/15360K bytes of memory.
Processor board ID FCZ101410AN
2 FastEthernet interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
31360K bytes of ATA CompactFlash (Read/Write)

— System Configuration Dialog —

Would you like to enter the initial configuration dialog? [yes/no]: y

At any point you may enter a question mark ‘?’ for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets ‘[]’.

Basic management setup configures only enough connectivity
for management of the system, extended setup will ask you
to configure each interface on the system

Would you like to enter basic management setup? [yes/no]: y
Configuring global parameters:

Enter host name [Router]: xxxx

The enable secret is a password used to protect access to
privileged EXEC and configuration modes. This password, after
entered, becomes encrypted in the configuration.
Enter enable secret: <вводим пароль1>

The enable password is used when you do not specify an
enable secret password, with some older software versions, and
some boot images.
Enter enable password: <ввел пароль1 он ругнулся>
% Please choose a password that is different from the enable secret
Enter enable password: <ввеел пароль2>

The virtual terminal password is used to protect
access to the router over a network interface.
Enter virtual terminal password: <ввел пароль3>
Configure SNMP Network Management? [yes]: y
Community string [public]:

Current interface summary

Any interface listed with OK? value «NO» does not have a valid configuration

Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned NO unset up down
FastEthernet0/1 unassigned NO unset up down

Enter interface name used to connect to the
management network from the above interface summary: FastEthernet0/0

Configuring interface FastEthernet0/0:
Use the 100 Base-TX (RJ-45) connector? [yes]: y
Operate in full-duplex mode? [no]: y
Configure IP on this interface? [yes]: y
IP address for this interface: 192.168.146.254
Subnet mask for this interface [255.255.255.0] : 255.255.255.0
Class C network is 192.168.146.0, 24 subnet bits; mask is /24

The following configuration command script was created:

hostname ph
enable secret 5 ************************************
enable password **********************
line vty 0 4
password ******************
snmp-server community public
!
no ip routing

!
interface FastEthernet0/0
no shutdown
media-type 100BaseX
full-duplex
ip address 192.168.1.254 255.255.255.0
no mop enabled
!
interface FastEthernet0/1
shutdown
no ip address
!
end

[0] Go to the IOS command prompt without saving this config.
[1] Return back to the setup without saving this config.
[2] Save this configuration to nvram and exit.

Enter your selection [2]: 2
media-type 100BaseX
^
% Invalid input detected at ‘^’ marker.

Building configuration…
Use the enabled mode ‘configure’ command to modify this configuration.

Press RETURN to get started!

sslinit fn

*Sep 23 07:00:58.927: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Initialized
*Sep 23 07:00:58.927: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0 State changed to: Enabled
*Sep 23 07:01:06.419: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down
*Sep 23 07:01:06.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
*Sep 23 07:20:39.999: %LINK-5-CHANGED: Interface FastEthernet0/1, changed state to administratively down
*Sep 23 07:20:44.567: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Sep 23 07:20:44.691: %SYS-5-RESTART: System restarted —

Загрузка примерно выглядит так:
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Compiled Wed 22-Mar-06 16:41 by pwade
*Sep 23 07:20:44.691: %SNMP-5-COLDSTART: SNMP agent on host ph is undergoing a cold start
*Sep 23 07:20:45.003: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is OFF
ph>show interface
FastEthernet0/0 is up, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5a (bia 0017.5a0c.9b5a)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
52 packets output, 3401 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5b (bia 0017.5a0c.9b5b)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255

Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
ph>show interface
FastEthernet0/0 is up, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5a (bia 0017.5a0c.9b5a)
Internet address is 192.168.1.254/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
90 packets output, 5681 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is administratively down, line protocol is down
Hardware is Gt96k FE, address is 0017.5a0c.9b5b (bia 0017.5a0c.9b5b)
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Auto-duplex, Auto Speed, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of «show interface» counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
0 packets input, 0 bytes
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
ph>show ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.1.254 YES manual up down
FastEthernet0/1 unassigned YES manual administratively down down
ph>

Завести привелигированного пользователя

>conf t
>username sas priv 15 pass <пароль>
>line vty 0 4
>login local
>no password

Начинающим:

Помимо пользовательского режима существует привилегированный режим.
Для доступа к нему необходимо ввести команду enable и пароль

Для просмотра текущей конфигурации маршрутизатора выполните команду
show config (или сокращённо sh conf).
Рассмотрим пример настройки:
1) Сетевых интерфейсов:
В привилегированном режиме просматриваем доступные интерфейсы
Router#sh conf | include interface (не забывайте поставить пробел после знака |)
Получаем примерно следующие результаты

Router#sh conf | include interface
interface Ethernet0
interface Ethernet1
interface FastEthernet1
interface FastEthernet2

где Ethernet – это физические интерфейсы, которым можно присваивать ip адреса,
FastEthernet это так называемые линки («ссылки»)на внутренний интерфейс,
ip адреса данным линкам присваивать нельзя.
Заходим в режим конфигурирования и настраиваем интерфейсы:

Router#
Router#conf t (зашли в режим конфигурирования)
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int et 0 (это сокращённый вид команды выбора интерфейса interface Ethernet 0)
Router(config-if)#ip address 192.168.5.3 255.255.255.0 (присваиваем интерфейсу ip адрес и маску подсети)
Router(config-if)#^Z (нажимаем CTRL+Z для выхода из режима конфигурирования)
Router#4d01h: %SYS-5-CONFIG_I: Configured from console by console
Router#wr mem (сохраняем конфигурацию write memory)

Конфигурация маршрутизатора хранится в двух файлах :
running-config — текущая конфигурация маршрутизатора
startup-config – конфигурация, применяемая при загрузке

После внесения изменений в конфигурацию
Вы так же можете выполнить команду copy run start (copy running-config startup-config)

Так же будет полезным сохранять конфигурацию на внешний tftp (Trivial File Transfer Protocol) сервер (к примеру этот http://tftpd32.jounin.net/).

Выполняем следующие команды:

Router#copy tftp: startup-config или (Router#copy tftp: running-config)

– выбираем копируемую конфигурацию
Address or name of remote host []?192.168.5.1
– вводим ip адрес tftp сервераSource
filename []?cisco871-strat-config
– задаём имя сохраняемого файла

2) Смена стандартного пароля и настройка telnet
По умолчанию telnet отключён на маршрутизаторах cisco.
В пункте 1) мы настроили внутренний интерфейс на использование
ip адреса 192.168.5.3 и при попытке подключения посредством telnet
увидим следующее сообщение:

C:\>telnet 192.168.5.3
Trying 192.168.5.3 … Open
Password required, but none set
[Connection to 192.168.5.3 closed by foreign host]

Заходим в режим конфигурирования и выполняем следующие команды:

Router#
Router#conf t
Router(config)#line vty 0 4
Router(config−line)#login
% Login disabled on line 66, until ‘password’ is set
% Login disabled on line 67, until ‘password’ is set
% Login disabled on line 68, until ‘password’ is set
% Login disabled on line 69, until ‘password’ is set
% Login disabled on line 70, until ‘password’ is set
Router(config−line)#password samag (устанавливаем пароль samag)

Пробуем подключиться к маршрутизатору:

C:\>telnet 192.168.5.3
User Access Verification
Password:samag
Router>

Изменяем пароль для доступа к привилегированному режиму (enable):

Router#
Router#conf t
Router(config)#enable secret samagsecret (устанавливаем пароль samagsecret)

Создаём пользователя user с паролем samaguser

Router(config)#username user secret samaguser
Router(config)#^Z
Router#wr mem

Пробуем подключиться к маршрутизатору:

C:\>telnet 192.168.5.3
User Access Verification
Username: user
Password:samaguser
Router>enable
Password:samagsecret

3) Настраиваем доступ в интернет для внутренних пользователей
при помощи NAT (network address translation – трансляция сетевых адресов):
Создаём пул с публичными IP адресами или адресом
(на эти адреса будут отвечать внешние устройства сети – отправленные пакеты
данных должны возвращаться к источнику отправки)
Предположим что провайдер выделил Вашей организации внешний
пул ip адресов 1.2.3.4 – 1.2.3.6 с маской 255.255.255.248,
тогда пул с название Internet, будет выглядеть так:

Router#

Router#conf tRouter(config)#ip nat pool Internet 1.2.3.4 1.2.3.4 netmask 255.255.255.248

(используем 1 внешний адрес)

Либо так

Router(config)#ip nat pool Internet 1.2.3.4 1.2.3.6 netmask 255.255.255.248

(используем несколько внешних адресов)
Теперь создаём список доступа (ACL – access control list) с перечислением
адресов подсетей, которым разрешён выход в интернет.

Более подробно списки доступа рассмотрены ниже.

Router(config)#ip access-list 10 permit 192.168.5.0 0.0.0.255

Настраиваем правила трансляции для ip адресов внутренней подсети,   используя ACL

Router(config)#ip nat inside source list 10 pool Internet overload

Определяем, на каких интерфейсах будет входящий/исходящий NAT
Router(config)#int et 0

Router(config-if)#in nat inside
Router(config-if)#int et 1
Router(config-if)#in nat outside

Настраиваем шлюз по умолчанию

Router(config)#ip route 0.0.0.0 0.0.0.0 et 1 (ip route 0.0.0.0 0.0.0.0 Ethernet 1)
Или Router(config)#ip route 0.0.0.0 0.0.0.0 внешний.ip.адрес.шлюза_провайдера
(ip route 0.0.0.0 0.0.0.0 a.b.c.d)
Router(config-if)#^Z
Router#wr mem

4) ACL – списки доступа:
<1-99> Стандартные списки доступа
<100-199> Расширенные списки доступа
<1100-1199> Расширенные 48-битные списки доступа по MAC адресам
<1300-1999> Стандартные список доступа (дополнительные номера)
<200-299> Cписки доступа основанные на типах протоколов
<2000-2699> Расширенные списки доступа (дополнительные номера)
<700-799> 48-битные списки доступа по MAC адресам
dynamic-extended Расширенные ACL зависящие от времени
rate-limit Специфические ACL построенные на оценке лимитовРассмотрим наиболее часто используемые:

  • Стандартный список доступа (присваиваем 10 номер списку и разрешаем доступ пятой подсети)
    Router(config)#ip access-list 10 permit 192.168.5.0 0.0.0.255
  • Создаём список доступа с определением протокола,  в частности TCP (рекомендуется создавать «зеркальные» списки доступа).
    Разрешаем обмен трафиком между хостами a.b.c.d и w.x.y.z
    Router(config)#ip access-list 101 permit tcp host a.b.c.d host w.x.y.z
    Router(config)#ip access-list 101 permit tcp host w.x.y.z host a.b.c.d
    Примечание: нельзя удалять в режиме конфигурирования одну из строчек ACL, при выполнении команды
    Router(config)# no ip access-list 101 permit tcp host a.b.c.d host w.x.y.z
    мы удалим список доступа под номером 101.
  • Создаём расширенный список доступа с именем SamagACL:
    Router(config)# ip access-list extended SamagACL
    Разрешаем прохождение tcp трафика между хостами a.b.c.d и w.x.y.z
    Router(config-ext-nacl)# permit tcp host a.b.c.d host w.x.y.z
    Для удаления одного из правил в списке доступа выполняем команду
    Router(config-ext-nacl)# no permit tcp host a.b.c.d host w.x.y.z
  • Список доступа по определённым портам.
    Разрешаем прохождение входящего/исходящего трафика на 80 tcp порт
    Router(config)#access-list 111 permit tcp any any eq 80
    (где eq – определение номера порта)
    Так же можно вместо цифр вводить имена для распространенных портов,  к примеру
    Router(config)#access-list 111 permit tcp any any eq WWW
    Полный список доступных имён смотрите в справке данной команды
    Router(config)#access-list 111 permit tcp any any eq ?

5) Перенаправляем входящий трафик на внутренние сервера.
К примеру, мы хотим опубликовать 25 tcp порт (электронная почта).
Делается это следующей командой
Router(config)#ip nat inside source static tcp 192.168.5.2 25 a.b.c.d 25 extendable
(где 192.168.5.2 адрес почтового сервера, a.b.c.d внешний ip адрес нашего маршрутизатора)

6) Реализуем поддержку раздачи динамических ip адресов для локальной подсети (DHCP):
Создаём пул DHCP сервера:
Router(config)# ip dhcp pool Office
(где Office имя создаваемого пула)
Определяем, какую подсеть будет обслуживать DHCP сервер:
Router(config-dhcp)# network 192.168.5.0 255.255.255.0

Задаём имя домена для клиентов DHCP:
Router(config-dhcp)# domain-name samag.ru

Назначаем шлюз по умолчанию:
Router(config-dhcp)#default-router 192.168.5.3
(адрес шлюза должен быть из подсети клиентов, в нашем случае это подсеть 192.168.5.0)

Настраиваем список DNS серверов для выдачи клиентам локальной подсети:
Router(config-dhcp)# dns-server 192.168.5.2
(где 192.168.5.2 адрес внутреннего DNS сервера)

Устанавливаем срок аренды выданных ip адресов на 7 дней
Router(config-dhcp)#lease 7

Исключаем адреса из пула, для предотвращения конфликтов (серверам присваиваем статические ip адреса)
Router(config)# ip dhcp excluded-address 192.168.5.3 192.168.5.4
Router(config)#^Z
Router#wr mem

Теперь наш маршрутизатор способен предоставлять ПК внутренней подсети доступ в интернет, сервис DHCP, почтовый сервер способен принимать почту с внешних адресов на 25 порт.

Набор полезных команд маршрутизаторов Cisco

В данной статье рассматриваются наиболее часто употребляемые команды маршрутизаторов Cisco.

Установка пароля для консоли
· router>enable
· router#configure terminal
· router(config)#line console 0
· router(config-line)#login
· router(config-line)#password submask
· router(config-line)#exit
· router(config)#exit

Удаление консольного пароля
· router>enable
· router#configure terminal
· router(config)#line console 0
· router(config-line)#no login
· router(config-line)#no password
· router(config-line)#exit
· router(config)#exit

Удаление пароля Secret
· router>enable
· router#configure terminal
· router(config)#no enable secret
· router(config)#exit

Проверка параметра Register
· router>enable
· router#show version

Административное выключение интерфейса маршрутизатора
· router>enable
· router#configure terminal
· router(config)#int s0/0
· router(config-if)#shutdown

Включение интерфейса Serial
· router#configure terminal
· router(config)#int s0/0
· router(config-if)#no shutdown

Проверка интерфейса Serial
· router>enable
· router(config)#show interfaces s0/0

Установка тактовой частоты для интерфейса Serial
· router>enable
· router#configure terminal
· router(config)#interface s0/0
· router(config-if)#clock rate 64000
Статус DTE/DCE
· router>enable
· router#show controllers s0/0

Сохранение конфигурации
· router#copy running-config startup-config

Загрузка IOS с TFTP сервера
· router#copy flash: tftp

Резервное копирование Startup конфига на TFTP
· router#copy startup-config tftp

Сохранение Running конфига
· router#write memory

Удаление конфигурации NVRAM
· router#write erase

Проверка конфигурации NVRAM
· router#show staratup-config

БЕЗОПАСНОСТЬ

5 советов по обеспечению безопасности Cisco

Есть вещи, о которых вы можете не знать, но это не означает, что безопасностью можно пренебрегать.

1. Задействуйте Reverse Path Forwarding
Когда вы задействуете Reverse Path Forwarding (RPF) на интерфейсе, маршрутизатор сверяется с таблицей FIB/CEF, для проверки существования обратного пути исходного адреса на интерфейсе, который получил пакет. Это позволяет избежать спуфинга пакетов.
Reverse path forwarding можно конфигурировать следующим образом:

Router#configure terminal
Router(config)#interface GigabitEthernet 2/1
Router(config-if)#ip verify unicast reverse-path

2. Заставьте порты «молчать»
В большинстве сетей утечка информации происходит на switchports, но это можно исправить, отключив следующие опции:

Switch#configure terminal
Switch(config)#interface GigabitEthernet0/14
Switch(config-if)#no cdp enable
Switch(config-if)#spanning-tree bpdufilter enable
Switch(config-if)#no keepalive

Данными командами мы отключаем CDP(http://en.wikipedia.org/wiki/Cisco_Discovery_Protocol),spanning-tree bpdu и ethernet keepalives на интерфейсе.

3. Настраивайте AAA и ACL для безопасного доступа по VTY
VTY используются к примеру при подключения по telnet на Cisco, безопасность которых настраивается следующим образом:

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#access-list 10 permit 10.0.1.0 0.0.0.255
Switch(config)#access-list 10 permit 192.168.1.0 0.0.255.255
Switch(config)#line vty 0 14
Switch(config-line)#access-class 10 in
Switch(config-line)#end
Switch#

Данными командами мы ограничиваем доступ на VTY подсетям 10.0.1.0/8 и 192.168.1.0/16. Если у вас есть трудности с определением wildcard для сетевых масок Cisco, то вы можете ознакомиться с следующей статьёй http://www.opennet.ru/base/cisco/mk_nets.txt.html
Если вы хотите разграничивать доступ по определённым логинам, то нужно задействовать AAA:

Switch#configure terminal
Switch(config)#username cisco secret mypassword
Switch(config)#aaa new-model
Switch(config)#aaa authentication login default local
Switch(config)#line vty 0 15
Switch(config-line)#login authentication default
Switch(config-line)#^Z
Switch#

4. Шифруйте пароли в конфигурации.
Что покажет вам следующая команда?

Switch#show run | include ^username

username admin password 0 faqciscosecret

Для включения шифрования паролей в конфигурации выполните следующие команды:

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#service password-encryption
Switch(config)#end
*Mar 31 14:27:12.227: %SYS-5-CONFIG_I: Configured from console by console
Switch#show run | include ^username
username admin password 7 060B1632494D1B1C11

Последняя команда показывает, что пароль, в конфигурации Cisco зашифрован. Так же не рекомендуется использовать распространённые пароли, такие как secret или password.

5. Используйте команду passive-interface default для большей безопасности протокол маршрутизации
Пассивный интерфейс – это интерфейс, который не передаёт и не принимает информацию роутинга. Команда passive-interface default поддерживается всеми протоколами маршрутизации, а её настройка не вызывает каких-либо трудностей:

router routing-protocol
passive-interface default
no passive-interface interface

Команда passive-interface default устанавливает все интерфейсы пассивными, в то время как команда no passive-interface активирует один интерфейс. Рассмотрим пример:

Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#router ospf 1
Router(config-router)#passive-interface default
Router(config-router)#no passive-interface fastEthernet 0/2
Router(config-router)#^Z
Router#
*Mar 31 14:47:32.812: %SYS-5-CONFIG_I: Configured from console by console

Данной командой мы ограничили обмен OSPF трафика только на интерфейсе fastEthernet 0/3.

ПОЛЕЗНЫЕ ССЫЛКИ

Список паролей умолчанию для сетевого оборудования: http://www.phenoelit-us.org/dpl/dpl.html

Хороший сайт про Cisco http://faq-cisco.ru/component/option,com_frontpage/Itemid,1/

Cisco 1800 Series Integrated Services Routers (Fixed) Software Configuration Guide http://www.cisco.com/en/US/docs/routers/access/1800/1801/software/configuration/guide/1800sg.pdf

ТУННЕЛИРОВАНИЕ

conf t
access-list 102 permit ip 192.168.146.0 0.0.0.255 any

crypto isakmp client configuration group vpn
acl 102

TFTP http://tftpd32.jounin.net/

 

Первоначальная настройка Cisco (Cisco 1841)

Опубликовано вт, 10/11/2011 — 15:35 пользователем alex1812

Встала необходимость в одном из филиалов в качестве маршрутизатора установить Cisco,  т.к. предполагалось впн-соединение с зарубежным филиалом (а их требование наличие Cisco), то была выбрана модель Cisco 1841 SEC/K9. Если кто-то будет закупать подобную модель (c SEC/K9) обратите внимание, что по нынешнему законодательству, ее использование требует наличия регистрации в  ФСБ.

Но сейчас не об этом, т.к. в настройках цисок я ничего не понимал, пришлось садиться и курить мануалы. Что накурил, судить Вам =). Здесь будет рассмотрена только первоначальная настройка, без настройки маршрутизаций, dhcp и других прелестей.
Итак у меня в руках циска, с консольным кабелем, вопрос, где в нынешнее время найти com-порт?! Сам работаю на ноуте, в серверный шкаф лезть лень, юзеров сгонять с мест тоже неохота, в итоге в загашниках нашел старую машину с Арчем, то что надо.
В качестве терминала будем использовать minicom —
pacman -S minicom
Конфигурируем
minicom -s
где выставляем —
Serial Device: /dev/ttyS0
Bps/Par/Bits: 9600 8N1
Удаляем все из строк modem Init and Reset strings, сохраняем save setup as dfl и выходим Exit from Minicom.
Запускаем без ключа -s, включаем циску, коннект есть.
Любители мелкомягких с таким же успехом могут использовать HyperTerminal.
Имя и пароль по умолчанию — cisco. Итак, мы в консоли, с чего начать?
Можно начать с команды —
setup
которая поможет нам настроить основные параметры, но мы обойдемся без нее.
Создадим пользователя для последующих входов.
Входим в привилегированный режим —
Router>enable
Router#
# —  знак привилегированного режима.
Далее входим в режим конфигурирования —
Router# configure terminal
Router(config)#
можно просто conf t, циска сама подберет необходимое. Если вы забыли написания команд, то можно использовать справку — ?
Например:
show ?
или
sh?
Итак создаем пользователя:
Router(config)# username vash_user privilege 15 ?secret super_puper_password
где,
vash_user  — имя пользователя
super_puper_password — Ваш супер сложный пароль.
Задаем имя хоста:
Router(config)# hostname Cisco
Cisco(config)#
Для фанатов Дениса Попова, вид системного приглашения возможно изменить:
Cisco(config)# prompt %h:%n%p
Cisco(config)# exit
Cisco:5#
Возможные символы:
%% — знак процента
%h — Имя хоста
%n — Номер TTY-порта для данного сеанса.
%p — Символ приглашения: > для пользовательского режима и # для привилегированного режима
%s — Пробел
%t — Табуляция
Далее для простоты написания будет использовано имя хоста Router.
Комментарии в конфигурационных файлах cisco также полезны, как и в других системах. Комментарии начинаются со знака !. Единственное что комментарии лучше вносить когда вы редактируете файл конигурации не на самой циске, а где-нибудь на сервере. Если вносить комментарии с командной строки, то при сохранении конигурации они не сохранются.
Задаем пароль на привилегированный режим —
Router(config)# enable password vash_password
Заставляем маршрутизатор хранить пароль в зашифрованном виде —
Router(config)# service password-encryption
Настраиваем интерфейсы:
Router>enable
Router# conf t
Router(config)# interface FastEthernet0/1
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)#  description LAN
Router(config-if)# no shutdown
Router(config-if)#exit
Router(config)# 
Таким же образом настраивается второй интерфейс
Задаем dns-сервера —
Router(config)# ip name-server 192.168.1.5
Router(config)# ip name-server 192.168.1.6
Задаем имя для неуточненных доменов
Router(config)# ip domain-name your-domain.ru
Отключаем поиск в системе ДНС
Router(config)# no ip domain-lookup
Задаем шлюз по умолчанию —
ip default-gateway 107.23.128.13
Устанавливаем время на маршрутизаторе —
Router(config)# clock set 15:00:00 11 oct 2011
Временную зону —
Router(config)# clock timezone MSK +3
Задаем сервер ntp —
Router(config)# ntp server 192.168.1.6
Т.к. наша циска поддерживает шифрование, то включим ssh для доступа к ней.
Включаем службу AAA (Authentication, Authorization, Accounting)и указываем тип авторизации:
aaa new-model 
aaa authentication login default local 
aaa authorization exec default local
до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь
Генерируем ключ для ssh
Router(config)# crypto key generate RSA
И переходим к настройке виртуального терминала —
Router(config)# line vty 1
Router(config-line)# login
Router(config-line)# exec-timeout 30 0
Router(config-line)# transport input ssh
Router(config-line)# privilege level 15
Router(config-line)# exit
Router(config)#
Мы настроили ssh только для одного витртуального терминала, чтобы настроить для нескольких виртуальных линий, необходимо указывать например:
line vty 0 5
Если наша циска не поддерживает ssh, то можно использовать telnet для подключения, тогда необходимо будет заменить транспорт соотвественно на telnet (transport input telnet)
Для тех кто не может жить без вэб-морды, включаем вэб-сервер —
ip http server
ip http authentication local
Для более надежного соединения включаем https (не все циски это умеют)
ip http secure-server
И заходим по нашему айпи-адресу через вэб-браузер. Без острой необходимости не советую включать http сервер, а тем более выставлять его на внешний интерфейс.
После всех возможных настроек и проверки конфига сохраняем его как загрузочный —
Router# copy running-config startup-config
Если Вы этого не сделаете, то при следущей загрузке Вы не увидите изменений, которые так долго вносили.
Полезная информация —
Копирование конфига на tftp —
copy running-config tftp
Просмотр версии —
show version
Просмотр содержимого flash —
show flash
Просмотр загруженного конфига —
show running-config
Ну и не забываем про —
show ?
На этом первую часть заканчиваю, в следущей части рассмотрим простейшую маршрутизацию, списки доступа, логи, возможно процесс обновления IOS, настройку dhcp и пр.
Выражаю благодарность pizza и MiC за помощь в освоении материала.