Cisco: Базовая настройка

Cisco: Базовая настройка

Представлю базовый конфигурационный файл для маршрутизатора #Cisco. При помощи него можно быстро запустить маршрутизатор, предварительно подставив свои значения.

Параметры конфигурации

  • Пароль администратора (enable): qwerty-en.
  • Пользователи:
    • admin:qwerty-admin.
  • Интерфейсы:
    • FastEthernet0/0:
      • IP: DHCP.
    • FastEthernet0/1:
      • IP: 10.88.0.1/16.
    • Loopback0:
      • IP: 10.90.10.1/32.
    • Loopback1:
      • IP: 10.90.20.1/32.
  • Локальная сеть:
    • Маска: 10.88.0.0/16.
    • Домен: home.lan.

Сервисы

  • service password-encryption - включить шифрования паролей в консоли, терминале и конфигурации.
  • service timestamps debug datetime msec localtime show-timezone - установить местное время в режиме отладки.
  • service timestamps log datetime msec localtime show-timezone - установить местное время в режиме логирования.
  • service tcp-keepalives-in и service tcp-keepalives-out - включить поддержку активности сеансов TCP для входящих и исходящих подключений. Эти параметры позволяют проверять доступность удалённого устройства при помощи специальных keepalive-пакетов, а полуоткрытые и потерянные соединения убудут удалены с локального устройства Cisco.
  • service sequence-numbers - включить нумерование сообщений при логировании событий. Параметр позволяет выяснить потерянные сообщения из-за rate-limit на Cisco или когда эти сообщения передаются по сети с использованием syslog по протоколу UDP.
  • no service pad - отключить сервис PAD (X.25).
  • no service udp-small-servers и no service tcp-small-servers - отключить использование небольших TCP & UDP серверов.
  • no service finger - отключить протокол Finger.

Основные настройки

  • clock timezone UTC 3 и clock update-calendar - установить часовой пояс +3 и обновить встроенные часы Cisco согласно пользовательским настройкам.
  • hostname gw1 - установить имя хоста в Cisco.
  • logging buffered 4096 - зарезервировать в оперативной памяти 4096 КБ для записи логов. При заполнении буфера, старые сообщения будут перезаписаны новыми.
  • logging console critical - включить отображение в консоли (RS-232) только критических сообщений.
  • ip cef - включить Cisco Express Forwarding (CEF). Cisco Express Forwarding (CEF) - технология высокоскоростной маршрутизации/коммутации пакетов, использующаяся в маршрутизаторах и коммутаторах третьего уровня фирмы Cisco Systems, и позволяющая добиться более быстрой и эффективной обработки транзитного трафика.
  • ip multicast-routing - включить пересылку multicast-пакетов.
  • ip tcp path-mtu-discovery - включить функцию обнаружения пути TCP MTU для соединений TCP, инициированных маршрутизаторами (например, BGP и Telnet).
  • ip tcp selective-ack - повысить производительность TCP на каналах, где есть потери пакетов. Если в пределах окна было потеряно несколько пакетов, SACK позволяет повторно отправить только потерянные пакеты, а не все пакеты. RFC2018.
  • ip tcp timestamp - включить более точное измерение RTT для повышения производительности TCP. RFC1323.
  • no ip source-route - отключить функцию указания отдельными пакетами маршрута. В современных сетях эта функция не используется и является небезопасной.
  • no ip bootp server - отключить Bootstrap Protocol (BOOTP). BootP это сетевой протокол прикладного уровня, используемый для автоматического получения клиентом IP-адреса.
  • memory reserve critical 4096 - зарезервировать в оперативной памяти 4096 КБ для отображения критических уведомлений. Этот объём памяти не может превышать 25% от общего объёма оперативной памяти. По умолчанию: 100 КБ.
  • memory reserve console 512 - зарезервировать в оперативной памяти 512 КБ для доступа к консоли. Увеличение памяти обеспечивает доступ к консоли для устранения неполадок или других административных задач и поддерживает оптимальный уровень производительности. По умолчанию: 256 КБ.

Аккаунты

  • aaa new-model - включение новой модели системы аутентификации авторизации и учета событий, встроенная в операционную систему #Cisco IOS.
  • aaa authentication login default local - база логинов и паролей хранится на устройстве #Cisco.
  • aaa authentication ppp default local - локальная аутентификация для сеансов PPP.
  • enable password qwerty-en - пароль для режима enable.
  • username admin privilege 15 password qwerty-admin - добавление нового пользователя admin.
    • admin - имя нового пользователя.
    • privilege 15 - уровень привилегий (15 - максимальный).
    • qwerty-admin - пароль нового пользователя.

Терминал

  • line con 0
    • logging synchronous
    • exec-timeout 60 0
  • line vty 0 4
    • access-class ACL_VTY in
    • logging synchronous
    • privilege level 15
    • transport input telnet ssh
    • exec-timeout 60 0
  • line aux 0
    • transport input none
    • transport output none
    • no exec
    • exec-timeout 0 1
    • no password

SSH

  • ip ssh authentication-retries 5 - установить 5 попыток аутентификации на локальном SSH-сервере Cisco.
  • ip ssh version 2 - явно указать использование SSH версии 2.

SNMP

  • snmp-server community CISCO_ID ro ACL_SNMP_RO - разрешить хостам из ACL_SNMP_RO получать информацию от SNMP-сервера Cisco с идентификатором CISCO_ID.
    • CISCO_ID - идентификатор SNMP Cisco.
    • ro - доступ только на чтение.
    • ACL_SNMP_RO - лист доступа для подключения к SNMP Cisco.
  • snmp-server location Petrovka 37, 2 floor, room 220 - указать информацию по местонахождению устройства в SNMP-сервере Cisco.
    • Petrovka 37, 2 floor, room 220 - адрес устройства Cisco.
  • snmp-server contact mail@example.org - указать контактную информацию в SNMP-сервере Cisco.
    • mail@example.org - контактный адрес электронной почты.

Интерфейсы

  • interface FastEthernet0/0 - внешний интерфейс FastEthernet0/0.
    • ip address dhcp - включение получения IP-адреса от DHCP-сервера.
    • ip nat outside - определение интерфейса в качестве внешнего.
  • interface FastEthernet0/1 - внутренний интерфейс FastEthernet0/1.
    • ip address 10.88.0.1 255.255.0.0 - IP-адрес интерфейса и маска подсети.
    • ip nat inside - определение интерфейса в качестве внутреннего.
  • interface Loopback0 - loopback-интерфейс Loopback0.
    • ip address 10.90.10.1 255.255.255.255 - IP-адрес интерфейса и маска подсети.
  • interface Loopback1 - loopback-интерфейс Loopback1.
    • ip address 10.90.20.1 255.255.255.255 - IP-адрес интерфейса и маска подсети.
  • no ip http server - отключить встроенный HTTP-сервер.
  • no ip http secure-server - отключить встроенный HTTPS-сервер.

NTP

  • ntp update-calendar - обновить встроенные часы Cisco согласно настройкам NTP.
  • ntp server 194.190.168.1 - сервер NTP.
    • 194.190.168.1 - IP-адрес сервера NTP.

DNS

  • ip domain timeout 2 - число попыток отрезолвить хост.
  • ip domain name home.lan - имя домена по умолчанию. Используется для определения имени домена, которое будет использоваться для дополнения неполных имен хостов (имен, состоящих только из имени хоста).
  • ip name-server 1.1.1.1 - внешний DNS-сервер #1.
    • 1.1.1.1 - IP-адрес внешнего DNS-сервера #1.
  • ip name-server 8.8.8.8 - внешний DNS-сервер #1.
    • 8.8.8.8 - IP-адрес внешнего DNS-сервера #2.
  • ip dns server - включить локальный DNS-сервер Cisco.

DHCP

  • service dhcp FastEthernet0/1 - включить локальный DHCP-сервер только на интерфейсе FastEthernet0/1.
  • ip dhcp excluded-address 10.88.0.1 - исключить адрес 10.88.0.1 из пула адресов локального DHCP-сервера.
  • ip dhcp excluded-address 10.88.0.2 10.88.200.0 - исключить диапазон от 10.88.0.2 до 10.88.200.0 из пула адресов локального DHCP-сервера.
  • ip dhcp pool LAN - конфигурация локального DHCP-сервера.
    • network 10.88.0.0 255.255.0.0 - адрес локальной сети.
    • default-router 10.88.0.1 - шлюз по умолчанию.
    • domain-name home.lan - домен локальной сети.
    • dns-server 10.88.0.1 - DNS-сервер локальной сети.

NAT

  • ip nat inside source route-map MAP_ETH_00 interface FastEthernet0/0 overload

Листы доступа

  • ip access-list standard ACL_VTY - список хостов для доступа к терминалу.
  • ip access-list standard ACL_NAT - список хостов за NAT. Разрешить эти адреса из локальной сети транслировать во внешний мир.

Скрипт конфигурации

cisco.router.ios
  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180

! @package    Cisco / IOS
! @author     Kai Kimera <mail@kai.kim>
! @copyright  2024 Library Online
! @license    MIT
! @version    0.1.0
! @link       https://lib.onl/ru/2024/04/8caf49e3-8f13-5145-90ab-8ba1f2cb1c37/
! -------------------------------------------------------------------------------------------------------------------- !
!
! -------------------------------------------------------------------------------------------------------------------- !
! SERVICES.
! -------------------------------------------------------------------------------------------------------------------- !
service password-encryption
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service tcp-keepalives-in
service tcp-keepalives-out
service sequence-numbers
no service pad
no service udp-small-servers
no service tcp-small-servers
no service finger
! -------------------------------------------------------------------------------------------------------------------- !
! GENERAL.
! -------------------------------------------------------------------------------------------------------------------- !
clock timezone UTC 3
!clock update-calendar
hostname gw1
logging buffered 4096
logging console critical
ip cef
ip multicast-routing
ip tcp path-mtu-discovery
ip tcp selective-ack
ip tcp timestamp
no ip source-route
no ip bootp server
memory reserve critical 4096
!memory reserve console 512
! -------------------------------------------------------------------------------------------------------------------- !
! Authentication, Authorization, and Accounting (AAA).
! -------------------------------------------------------------------------------------------------------------------- !
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
enable password qwerty-en
username admin privilege 15 password qwerty-admin
! -------------------------------------------------------------------------------------------------------------------- !
! LOGIN.
! -------------------------------------------------------------------------------------------------------------------- !
!login block-for 60 attempts 3 within 10
!login delay 5
!login quiet-mode access-class 10
!login on-failure log every 5
!login on-success log every 3
! -------------------------------------------------------------------------------------------------------------------- !
! TERMINAL.
! -------------------------------------------------------------------------------------------------------------------- !
line con 0
  logging synchronous
  exec-timeout 60 0
line vty 0 4
  access-class ACL_VTY in
  logging synchronous
  privilege level 15
  transport input telnet ssh
  exec-timeout 60 0
line aux 0
  transport input none
  transport output none
  no exec
  exec-timeout 0 1
  no password
! -------------------------------------------------------------------------------------------------------------------- !
! SSH.
! Generate RSA key pairs for SSH Public-Key Authentication:
! - crypto key generate rsa modulus 2048
! -------------------------------------------------------------------------------------------------------------------- !
ip ssh authentication-retries 5
ip ssh version 2
! -------------------------------------------------------------------------------------------------------------------- !
! SNMP server.
! -------------------------------------------------------------------------------------------------------------------- !
snmp-server community CISCO_ID ro ACL_SNMP_RO
snmp-server location Petrovka 37, 2 floor, room 220
snmp-server contact mail@example.org
!
ip access-list standard ACL_SNMP_RO
  remark Hosts permitted to read SNMP MIBs.
  permit host 10.88.10.22
! -------------------------------------------------------------------------------------------------------------------- !
! INTERFACES.
! -------------------------------------------------------------------------------------------------------------------- !
interface FastEthernet0/0
  ip address dhcp
  ip nat outside
interface FastEthernet0/1
  ip address 10.88.0.1 255.255.0.0
  ip nat inside
interface Loopback0
  ip address 10.90.10.1 255.255.255.255
interface Loopback1
  ip address 10.90.20.1 255.255.255.255
no ip http server
no ip http secure-server
! -------------------------------------------------------------------------------------------------------------------- !
! NTP.
! -------------------------------------------------------------------------------------------------------------------- !
ntp update-calendar
ntp server 194.190.168.1
! -------------------------------------------------------------------------------------------------------------------- !
! DNS.
! -------------------------------------------------------------------------------------------------------------------- !
ip domain timeout 2
ip domain name home.lan
ip name-server 1.1.1.1
ip name-server 8.8.8.8
ip dns server
! -------------------------------------------------------------------------------------------------------------------- !
! DHCP.
! -------------------------------------------------------------------------------------------------------------------- !
service dhcp FastEthernet0/1
ip dhcp excluded-address 10.88.0.1
ip dhcp excluded-address 10.88.0.2 10.88.200.0
ip dhcp pool LAN
  network 10.88.0.0 255.255.0.0
  default-router 10.88.0.1
  domain-name home.lan
  dns-server 10.88.0.1
! -------------------------------------------------------------------------------------------------------------------- !
! NAT.
! -------------------------------------------------------------------------------------------------------------------- !
ip nat inside source route-map RM_NAT_ISP0 interface FastEthernet0/0 overload
!ip nat inside source route-map RM_NAT_ISP1 interface FastEthernet0/1 overload
! -------------------------------------------------------------------------------------------------------------------- !
! ACL.
! -------------------------------------------------------------------------------------------------------------------- !
ip access-list standard ACL_VTY
  remark Hosts permitted to VTY.
  permit 10.0.0.0 0.255.255.255
  permit 172.16.0.0 0.15.255.255
  permit 192.168.0.0 0.0.255.255
ip access-list standard ACL_NAT
  remark Hosts permitted to NAT.
  permit 10.88.0.0 0.0.255.255
! -------------------------------------------------------------------------------------------------------------------- !
! ROUTE MAPS.
! -------------------------------------------------------------------------------------------------------------------- !
! Internet Service Provider #0.
route-map RM_NAT_ISP0 permit 10
  match ip address ACL_NAT
  match interface FastEthernet0/0
! Internet Service Provider #1.
!route-map RM_NAT_ISP1 permit 20
!  match ip address ACL_NAT
!  match interface FastEthernet0/1
! -------------------------------------------------------------------------------------------------------------------- !
! SLA.
! -------------------------------------------------------------------------------------------------------------------- !
ip sla 100
  icmp-echo 8.8.8.8 source-interface FastEthernet0/0
  threshold 1000
  timeout 1000
  frequency 10
ip sla schedule 100 life forever start-time now
ip sla 101
  icmp-echo 77.88.8.8 source-interface FastEthernet0/0
  threshold 1000
  timeout 1000
  frequency 10
ip sla schedule 101 life forever start-time now
! -------------------------------------------------------------------------------------------------------------------- !
! TRACKs.
! -------------------------------------------------------------------------------------------------------------------- !
track 100 ip sla 100 reachability
track 101 ip sla 101 reachability
track 105 list boolean or
  object 100
  object 101
!
end

Источники:

Категории
Теги
Авторы
Смотрите также
Мета
Лицензия
ID файла
UUID
Системный путь
Тип
Статистика
Количество слов
Время чтения
мин.