Cisco IOS. Часть 1. Самое начало.


Постигаем Cisco IOS. Часть 1. Самое начало.

Cisco IOS (от англ. Internetwork Operating System — Межсетевая Операционная Система) — программное обеспечение, используемое в маршрутизаторах Cisco, и некоторых сетевых коммутаторах.
cisco

Общие сведения о командах:

1. help — в любой момент можно ввести «?» и циска ответит списком возможных для данного уровня управления команд.
2. Любую команду можно сокращать до минимально возможного варианта.
3. Если необходимо деактивировать настройку — просто предваряем строку оператором «no»

Примечание от Ben-Ja: Все внесенные изменения будут считаться текущими.
Т.е. для того чтобы изменения сохранились после перезагрузки циски, понадобиться скопировать текущий конфиг в стартовый:
copy running-config startup-config (или просто copy run sta). (это правильнее, чем write или wr)
Не забудьте об этом по окончании конфигурирования. =)
Также, советую не забывать разлогиниваться командой logout, особенно если вы в enable.

Примечание 2: Даже если вы пишите сложносоставную команду и забыли какой-то параметр, то поставив в конце «?» вы получите полный список вариантов продолжения.

Примечание 3: С сокращениями команд тоже надо быть аккуратнее.
Некоторые сокращенные команды например sh — в корне означает — show, а при конфигурировании интерфейса/сабинтерфейса — означает shut, т.е. shutdown

Подключение к маршрутизатору и начало работы

(рассматриваем вариант необъезженной циски, без telnet/ssh доступа, все настройки с нуля)

1. Подключаем циску консольным кабелем (обычно идет в комплекте) к COM-порту компьютера.
2. Для управления через COM-порт в Windows системах можно использовать HyperTerminal, а в Linux, например minicom. Для COM-порта важно выставить скорость 9600 kb/s).
3. Включаем маршрутизатор
4. Если хотим удалить прежнюю конфигурацию, выполняем команды:

#Вход в привилегированный режим
#Трем конфигурацию
#Делаем релоад

Router>enable
Router#erase startup-config
Router#reload

5. Отказываемся от автоматической настройки:

Would you like to enter the initial dialog?[yes]:no

6. Спустя некоторое время появится приглашение к вводу команд:

Router>

У циски есть несколько режимов конфигурирования и для того чтобы увидеть доступные команды для данного режима — нажимаем знак вопроса:
cisco config
Из описания на примере enable видно, что команда включает привелигированный режим управления маршрутизатором

enable Turn on privileged commands

Всё следующее в этой статье стырено с хабра. И выложено здесь для себя.

Шаблон базовой настройки маршрутизатора Cisco

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов.

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем

#erase startup-config

дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей

service password-encryption

! используем новую модель ААА и локальную базу пользователей

aaa new-model
aaa authentication login default local

! заводим пользователя с максимальными правами

username admin privilege 15 secret PASSWORD

! даем имя роутеру

hostname <...>
ip domain-name router.domain

! генерируем ключик для SSH

crypto key generate rsa modulus 1024

! тюнингуем SSH

ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2

! и разрешаем его на удаленной консоли

line vty 0 4
 transport input telnet ssh
 privilege level 15

 

Настройка роутинга

! включаем ускоренную коммутацию пакетов

ip cef

 

Настройка времени

! временная зона GMT+2

clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00

! обновление системных часов по NTP

ntp update-calendar

! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают.

ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

 

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах

archive

 log config
  logging enable
  hidekeys

! историю изменения конфига можно посмотреть командой

show archive log config all

 

Настройка DNS

! включить разрешение имен

ip domain-lookup

! включаем внутренний DNS сервер

ip dns server

! прописываем DNS провайдера

ip name-server XXX.XXX.XXX.XXX

! на всякий случай добавляем несколько публичных DNS серверов

ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

 

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1

interface Vlan1
 description === LAN ===
 ip address 192.168.???.1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик

 ip accounting output-packets

! посмотреть статистику можно командой

show ip accounting

! очистить

clear ip accounting

 

Настройка DHCP сервера

! исключаем некоторые адреса из пула

ip dhcp excluded-address 192.168.???.1 192.168.???.99

! и настраиваем пул адресов

ip dhcp pool LAN
   network 192.168.???.0 255.255.255.0
   default-router 192.168.???.1 
   dns-server 192.168.???.1

 

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)

ip access-list extended FIREWALL
 permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом

ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic

ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

! настраиваем порт в Интернет и вешаем на него некоторую защиту

interface FastEthernet0/0
 description === Internet ===
 ip address ???.???.???.??? 255.255.255.???
 ip virtual-reassembly
 ip verify unicast reverse-path

 no ip redirects
 no ip directed-broadcast
 no ip proxy-arp
 no cdp enable
 ip inspect INSPECT_OUT out
 ip access-group FIREWALL in

! ну и напоследок шлюз по умолчанию

ip route 0.0.0.0 0.0.0.0 ???.???.???.???

 

Настройка NAT

! на Интернет интерфейсе

interface FastEthernet0/0
 ip nat outside

! на локальном интерфейсе

interface Vlan1
 ip nat inside

! создаем список IP имеющих доступ к NAT

ip access-list extended NAT
 permit ip host 192.168.???.??? any

! включаем NAT на внешнем интерфейсе

ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов

ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

 

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

Шаблон блочный, если что то не нужно — просто пропусти эти команды.