Obsah
V tomto tutoriálu vyvineme některé základní a ne tak základní konfigurace; vezmeme -li v úvahu, že již víme, jak k němu přistupovat pomocí POVOLITELNÝCH oprávnění s znalostmi příkazů. Vezmeme si jako příklad zařízení řady Cisco 800, přesněji router Cisco 831.--Hesla
Router (config) #service šifrování hesla
Router (config) #hostname ************ (jméno chceme)
Router (config) #enable secret ************* (povolit heslo)
--Telnetová hesla
Router (config) #line s 0
Směrovač (konfigurační řádek) #heslo ************ (požadované heslo)
Router (konfigurační řádek) #přihlášení místní
Router (config) #line vty 0
Směrovač (konfigurační řádek) #heslo ************ (požadované heslo)
Router (konfigurační řádek) #přihlášení místní
--Nastavení Server DHCP
Interval vyčištění vazby ip dhcp 10
ip dhcp vyloučená adresa 10.17.10.1 10.17.10.50
ip dhcp vyloučená adresa 10.17.10.151 10.17.10.254
ip dhcp ping pakety 0
ip dhcp pool BUENOS AIRES
síť 10.17.10.0 255.255.255.0
dns-server 10.16.0.10 10.16.0.8
výchozí router 10.17.10.254
netbios-name-server 10.16.0.10 10.16.0.8
doménové jméno rquagliano.com
číst 8
--Kvalita služeb
třída-mapa shody-všechny citrix
zápas přístupová skupina 110
hlas třídní mapy-vše
přednost zápasu 5
třída s mapou-nízká priorita
odpovídat jakémukoli
policy-map QOS
třídní hlas
priorita 25
třída citrix
třída s nízkou prioritou
zbývající šířka pásma v procentech 10
náhodně detekovat
--Crypto (konfigurace tunelu proti ASA)
zásady krypto isakmpu 1
příloha 3des
předběžné sdílení ověřování
skupina 5
krypto isakmp klíč PASSWORS_DEL_TUNEL adresa 200.71.236.2 (PEER)
transformační sada krypto ipsec trans1 esp-3des esp-sha-hmac
mapa krypto map 20 ipsec-isakmp
nastavit peer 200.71.236.2
set transform-set trans1
adresa zápasu Název_ACCESSLIST
ip access-list rozšířen Název_ACCESSLIST
povolit ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
povolit ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
povolit ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
- Rozhraní
rozhraní Ethernet0
IP adresa 10.17.10.254 255.255.255.0
žádný stav odkazu na událost protokolování
duplex neodpovídající logu cdp
žádné vypnutí
rozhraní ethernet 1
ip adresa *********** 255.255.255.248
výstup služby-politika QOS
duplexní auto
mapa krypto map
žádné vypnutí
rozhraní FastEthernet1
žádné vypnutí
žádné udržovací
rozhraní FastEthernet2
žádné vypnutí
žádné udržovací
rozhraní FastEthernet3
žádné vypnutí
žádné udržovací
rozhraní FastEthernet4
žádné vypnutí
žádné udržovací
ip beztřídní
ip route 0,0.0.0 0,0.0.0 ***. ***. ***. **** (výchozí brána)
ip http server
místní autentizace ip http
zabezpečený server ip http
ip http timeout-policy idle 600 life 86400 požadavků 10000
--Přístupový seznam
ip access-list standardní administrace
povolení 200,71,235,128 0,0.0,15
povolení 200,71,238,128 0,0.0,15
povolení 10.1.8.0 0.0.0.255
povolení 200,71,236,0 0,0,0,7
povolení 10.16.0.0 0.0.0.255
--Přístupový seznam pro přístup k internetu a nateo
ip access-list rozšířený nat-internet
odmítnout ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
odmítnout ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
odmítnout ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
povolit ip 10.0.1.0 0.0.0.255 libovolný
povolit ip 10.17.1.0 0.0.0.255 libovolný
--Nat, abyste mohli být online
ip nat uvnitř seznamu zdrojů nat-internetové rozhraní přetížení FastEthernet4
**** NEZAPOMEŇTE, ŽE KDYŽ CHCEME NATU DĚLAT, MĚLI BYME UMÍSTĚT TYTO ****
Na externím rozhraní
ip nat venku
Na interním rozhraní
ip nat uvnitř
--Povolení SNMP
komunita snmp-server veřejná RO
snmp-server povolit pasti tty
Pomocí těchto příkazů budeme schopni vyřešit konfiguraci tunelu proti ASA 5500. V dalším tutoriálu vysvětlíme druhou část konfigurace, tu na straně ASA.