Шаблон базового налаштування маршрутизатора Cisco - Unix4Me
Останнім часом доводиться часто налаштовувати з нуля маршрутизатори Cisco (в основному 800-1800 серії) для філій моєї компанії і щоб не набирати одні й самі команди третій десяток разів склав для себе невеликий шаблон налаштувань на різні випадки життя. Відразу скажу що сертифікати від Cisco не отримував, книжок за цими роутерами особливо не читав, весь свій досвід набув методом наукового тику, курінням мануалів на cisco.com і якимось вдумливим запозиченням шматків чужих конфігів ... Отже, розпаковуємо роутер, заливаємо останню прошивку (для SSH необхідний мінімум Advanced Security), робимо щоб позбутися передналаштованого сміття і перевантажуємося.
! включаємо шифрування паролів service password-encryption ! використовуємо нову модель ААА та локальну базу користувачів aaa new-model aaa authentication login default local ! заводимо користувача з максимальними правами username admin privilege 15 secret PASSWORD
! даємо ім'я роутеру hostname ip domain-name router.domain ! генеруємо ключик для SSH crypto key generate rsa modulus 1024 ! тюнінгуємо SSH ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! і дозволяємо його на віддаленій консолі line vty 0 4 transport input telnet ssh privilege level 15
! включаємо прискорену комутацію пакетів ip cef
! тимчасова зона GMT+3 clock timezone MSK 3 clock summer-time MSD recurring last Sun Mar 2:00 last Sun Oct 2:00 ! оновлення системного годинника за NTP ntp update-calendar ! ntp сервера краще задавати по айпі, бо якщо при перевантаженні DNS-сервера не доступні то налаштування за іменами злітають… ntp server NTP.SERVER.1.IP ntp serverNTP.SERVER.2.IP
! включаємо архівування всіх змін конфіга, приховуючи паролі в логах log config logging enable hidekeys
! історію зміни конфігу можна переглянути командою show archive log config all
! увімкнути роздільну здатність імен ip domain-lookup ! включаємо внутрішній DNS сервер ip dns server ! прописуємо DNS провайдера ip name-server XXX.XXX.XXX.XXX ! Про всяк випадок додаємо кілька публічних DNS серверів ip name-server 4.2.2.2 ip name-server 208.67.222.222 ip name-server 208.67.220.220
Налаштування локальної мережі
! зазвичай порти внутрішнього освітлення на роутері об'єднані в Vlan1 interface Vlan1 description === LAN === ip address 192.168. 1
! включаємо на інтерфейсі підрахунок пакетів, що передаються клієнтам — зручно переглядати хто з'їдає трафік ip accounting output-packets
! подивитися статистику можна командою show ip accounting ! очистити clear ip accounting
Налаштування сервера DHCP
Налаштування Internet та Firewall
! налаштовуємо фільтр вхідного трафіку ip access-list extended FIREWALL permit tcp any any eq 22
! включаємо інспектування трафіку між локальною мережею та Інтернетом ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp ip inspect name INSPECT_OUT ntp ip inspect name INSPECT_OUT tcp router-traffic ip inspect name udp router-traffic ip inspect name INSPECT_OUT icmp router-traffic
! налаштовуємо порт в Інтернет і вішаємо на нього деякий захист interface FastEthernet0/0 description === Internet === ip address . 255.255.255. ip virtual-reassembly ip verify unicast reverse-path no ip redirects no ip directed-broadcast no ip proxy-arp no cdp enable ip inspect INSPECT_OUT out ip access-group FIREWALL in
! ну і насамкінець шлюз за умовчанням ip route 0.0.0.0 0.0.0.0 .
! на Інтернет-інтерфейсі interface FastEthernet0/0 ip nat outside
! на локальному інтерфейсі interface Vlan1 ip nat inside
! створюємо список IP, які мають доступ до NAT ip access-list extended NAT permit ip host 192.168. any
! включаємо NAT на зовнішньому інтерфейсі ip nat inside source list NAT interface FastEthernet0/0 overload
! додаємо інспекцію популярних протоколів ip inspect name INSPECT_OUT http ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp
Вимкнення непотрібних сервісів
no service tcp-small-servers no service udp-small-servers no service finger no service config no service pad no ip finger no ip source-route no ip http server no ip http secure-server no ip bootp server