Вот тут хорошая статейка http://habrahabr.ru/post/87680/
Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем #erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.
Настройка авторизации и доступа по SSH
! включаем шифрование паролей service password-encryption
! используем новую модель ААА и локальную базу пользователей aaa new-model aaa authentication login default local
! заводим пользователя с максимальными правами username admin privilege 15 secret PASSWORD
! даем имя роутеру hostname <...> ip domain-name router.domain
! генерируем ключик для SSH crypto key generate rsa modulus 1024
! тюнингуем SSH ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2
! и разрешаем его на удаленной консоли line vty 0 4
transport input telnet ssh
privilege level 15
Настройка роутинга
! включаем ускоренную коммутацию пакетов ip cef
Настройка времени
! временная зона GMT+2 clock timezone Ukraine 2 clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают… ntp server NTP.SERVER.1.IP ntp server NTP.SERVER.2.IP
Архивирование конфигов
! включаем архивирование всех изменений конфига, скрывая пароли в логах archive
log config
logging enable
hidekeys
! историю изменения конфига можно посмотреть командой show archive log config all
Настройка DNS
! включить разрешение имен ip domain-lookup
! включаем внутренний DNS сервер ip dns server
! прописываем DNS провайдера ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
Настройка локальной сети
! обычно порты внутреннего свитча на роутере объединены в Vlan1 interface Vlan1
description === LAN ===
ip address 192.168.???.1
! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик ip accounting output-packets
! посмотреть статистику можно командой show ip accounting
! очистить clear ip accounting
Настройка DHCP сервера
! исключаем некоторые адреса из пула ip dhcp excluded-address 192.168.???.1 192.168.???.99
! и настраиваем пул адресов ip dhcp pool LAN
network 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1
Настройка Internet и Firewall
! настраиваем фильтр входящего трафика (по умолчанию все запрещено) ip access-list extended FIREWALL
permit tcp any any eq 22
! включаем инспектирование трафика между локальной сетью и Интернетом ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
! настраиваем порт в Интернет и вешаем на него некоторую защиту interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
! ну и напоследок шлюз по умолчанию ip route 0.0.0.0 0.0.0.0 ???.???.???.???
Настройка NAT
! на Интернет интерфейсе interface FastEthernet0/0
ip nat outside
! на локальном интерфейсе interface Vlan1
ip nat inside
! создаем список IP имеющих доступ к NAT ip access-list extended NAT
permit ip host 192.168.???.??? any
! включаем NAT на внешнем интерфейсе ip nat inside source list NAT interface FastEthernet0/0 overload
! добавляем инспекцию популярных протоколов ip inspect name INSPECT_OUT http ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp
Отключение ненужных сервисов
no service tcp-small-servers no service udp-small-servers no service finger no service config no service pad no ip finger no ip source-route no ip http server no ip http secure-server no ip bootp server
________
И еще немножко
Чтобы прервать выполнение команды, нужно послать символ "^", т.е. нажать Ctrl + Shift + 6
Комментариев нет:
Отправить комментарий