Turinys
Šioje pamokoje mes sukursime keletą pagrindinių ir ne tokių pagrindinių konfigūracijų; atsižvelgdami į tai, kad mes jau žinome, kaip prie jo prieiti turėdami ENABLE privilegijas, turėdami komandų žinių. Kaip pavyzdį paimkime „Cisco 800“ serijos įrangą, tiksliau „Cisco 831“ maršrutizatorių.-Slaptažodžiai
Maršrutizatorius (konfigūracija) #paslaugos slaptažodžio šifravimas
Maršrutizatorius (konfigūracija) #hostname ************ (vardas, kurio norime)
Maršrutizatorius (konfigūracija) #enable secret ************ (įgalinti slaptažodį)
-„Telnet“ slaptažodžiai
Maršrutizatorius (konfigūracija) #eilutė su 0
Maršrutizatorius (konfigūracijos eilutė) #slaptažodis ************ (norimas slaptažodis)
Maršrutizatorius (konfigūracijos eilutė) #login local
Maršrutizatorius (konfigūracija) #line vty 0
Maršrutizatorius (konfigūracijos eilutė) #slaptažodis ************ (norimas slaptažodis)
Maršrutizatorius (konfigūracijos eilutė) #login local
-Nustatymas DHCP serveris
ip dhcp įrišimo valymo intervalas 10
ip dhcp neįtrauktas-adresas 10.17.10.1 10.17.10.50
ip dhcp neįtrauktas-adresas 10.17.10.151 10.17.10.254
ip dhcp ping paketai 0
ip dhcp baseinas BUENOS AIRĖS
tinklas 10.17.10.0 255.255.255.0
dns-serveris 10.16.0.10 10.16.0.8
numatytasis maršrutizatorius 10.17.10.254
„netbios-name-server“ 10.16.0.10 10.16.0.8
domeno vardas rquagliano.com
skaityti 8
-Paslaugų kokybė
klasės žemėlapis atitinka visas citricas
110
klasės žemėlapis atitinka visus balsus
rungtynių pirmenybė 5
klasės ir žemėlapio atitiktis-visi žemi prioritetai
atitikti bet kurį
politikos žemėlapio QOS
klasės balsas
25 prioritetas
klasės citrina
klasės žemas prioritetas
likęs pralaidumo procentas 10
atsitiktinai aptikti
--Crypto (tunelio konfigūracija prieš ASA)
šifravimo isakmp politika 1
encr 3des
autentifikavimo išankstinis bendrinimas
5 grupė
šifravimo isakmp raktas PASSWORS_DEL_TUNEL adresu 200.71.236.2 (PEER)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
šifravimo žemėlapio žemėlapis 20 ipsec-isakmp
nustatyti bendraamžius 200.71.236.2
rinkinys transform-set trans1
atitikimo adresą Name_ACCESSLIST
ip prieigos sąrašas išplėstas Name_ACCESSLIST
leisti ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
leisti ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
leisti ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
- Sąsajos
sąsaja Ethernet0
IP adresas 10.17.10.254 255.255.255.0
nėra registravimo įvykio nuorodos būsenos
nėra cdp žurnalo neatitikimo dvipusis
jokio išjungimo
sąsaja Ethernet1
IP adresas *********** 255.255.255.248
paslaugų politikos išvesties QOS
dvipusis automobilis
kriptografinis žemėlapio žemėlapis
jokio išjungimo
„FastEthernet“ sąsaja1
jokio išjungimo
jokio saugojimo
„FastEthernet2“ sąsaja
jokio išjungimo
jokio saugojimo
„FastEthernet3“ sąsaja
jokio išjungimo
jokio saugojimo
„FastEthernet“ sąsaja 4
jokio išjungimo
jokio saugojimo
ip be klasių
ip maršrutas 0.0.0.0 0.0.0.0 ***. ***. ***. **** (numatytasis šliuzas)
ip http serveris
ip http autentifikavimas vietinis
ip http saugus serveris
ip http timeout-policy idle 600 life 86400 užklausų 10000
-Prieigos sąrašas
ip prieigos sąrašo standartinis administravimas
leidimas 200.71.235.128 0.0.0.15
leidimas 200.71.238.128 0.0.0.15
leidimas 10.1.8.0 0.0.0.255
leidimas 200.71.236.0 0.0.0.7
leidimas 10.16.0.0 0.0.0.255
-Prieigos prie „Nateo“ ir interneto prieigos sąrašas
ip prieigos sąrašas išplėstas nat-internetas
paneigti ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
paneigti ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
paneigti ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
leisti ip 10.0.1.0 0.0.0.255 bet
leisti ip 10.17.1.0 0.0.0.255 bet
-Nereikia prisijungti prie interneto
„ip nat“ šaltinių sąraše „nat-internet“ sąsaja „FastEthernet4“ perkrova
**** NEPAMIRŠKITE, KAD NORIME NĖRA, KAD TURIME ĮDĖTI ŠIĄ ****
Išorinėje sąsajoje
ip nat lauke
Apie vidinę sąsają
ip nat viduje
-SNMP įgalinimas
snmp-server bendruomenės viešas RO
snmp-server įgalinti spąstus tty
Šiomis komandomis galėsime išspręsti tunelio konfigūraciją prieš ASA 5500. Kitoje pamokoje paaiškinsime kitą konfigūracijos dalį, tą, kuri yra ASA pusėje.
