Sommario
In questo tutorial svilupperemo alcune configurazioni di base e non così basilari; tenendo conto che sappiamo già come accedervi con i privilegi di ENABLE con conoscenza dei comandi. Prenderemo ad esempio un apparato della serie Cisco 800, per essere più precisi un Router Cisco 831.--Le password
Router (config) #service password-crittografia
Router (config) #hostname ************ (nome che vogliamo)
Router (config) #enable secret ************ (abilita password)
--Password Telnet
Router (config) #line con 0
Router (riga di configurazione) #password ************ (password desiderata)
Router (riga di configurazione) #login local
Router (config) #line vty 0
Router (riga di configurazione) #password ************ (password desiderata)
Router (riga di configurazione) #login local
--Ambientazione Server DHCP
intervallo di pulizia dell'associazione ip dhcp 10
indirizzo-escluso ip dhcp 10.17.10.1 10.17.10.50
indirizzo-escluso ip dhcp 10.17.10.151 10.17.10.254
pacchetti ping ip dhcp 0
ip dhcp pool BUENOS AIRES
Rete 10.17.10.0 255.255.255.0
dns-server 10.16.0.10 10.16.0.8
router predefinito 10.17.10.254
netbios-name-server 10.16.0.10 10.16.0.8
nome del dominio rquagliano.com
leggi 8
--Qualità del servizio
citrix
abbinare il gruppo di accesso 110
voce di corrispondenza della mappa di classe
precedenza partita 5
priorità bassa di corrispondenza della mappa delle classi
corrisponde a qualsiasi
policy-map QOS
voce di classe
priorità 25
classe citrix
classe a bassa priorità
percentuale di larghezza di banda rimanente 10
rilevamento casuale
--Crypto (configurazione di un tunnel contro l'ASA)
crittografica isakmp politica 1
encr 3des
autenticazione pre-condivisione
gruppo 5
chiave crittografica isakmp PASSWORS_DEL_TUNEL indirizzo 200.71.236.2 (PARI)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
mappa crittografica mappa 20 ipsec-isakmp
imposta il peer 200.71.236.2
set transform-set trans1
corrispondere all'indirizzo Nome_ACCESSLIST
ip access-list esteso Nome_ACCESSLIST
permesso ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
permesso ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permesso ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
- Interfacce
interfaccia Ethernet0
indirizzo IP 10.17.10.254 255.255.255.0
nessuna registrazione dello stato del collegamento dell'evento
nessuna mancata corrispondenza del registro cdp duplex
nessun arresto
interfaccia Ethernet1
indirizzo IP *********** 255.255.255.248
output della politica di servizio QOS
auto duplex
mappa della mappa crittografica
nessun arresto
interfaccia FastEthernet1
nessun arresto
niente keepalive
interfaccia FastEthernet2
nessun arresto
niente keepalive
interfaccia FastEthernet3
nessun arresto
niente keepalive
interfaccia FastEthernet4
nessun arresto
niente keepalive
ip senza classe
ip route 0.0.0.0 0.0.0.0 ***.***.***.**** (gateway predefinito)
ip server http
ip http autenticazione locale
ip http server sicuro
ip http timeout-policy idle 600 life 86400 richieste 10000
--Un elenco di accesso
amministrazione standard dell'elenco di accesso ip
permesso 200.71.235.128 0.0.0.15
permesso 200.71.238.128 0.0.0.15
permesso 10.1.8.0 0.0.0.255
permesso 200.71.236.0 0.0.0.7
permesso 10.16.0.0 0.0.0.255
--Elenco di accesso per nateo e accesso a Internet
ip access-list esteso nat-internet
nega ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
nega ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
nega ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
consenti ip 10.0.1.0 0.0.0.255 qualsiasi
permesso ip 10.17.1.0 0.0.0.255 qualsiasi
--Nat per andare online
ip nat all'interno dell'elenco dei sorgenti interfaccia nat-internet sovraccarico FastEthernet4
**** NON DIMENTICARE CHE SE VOGLIAMO FARE NAT DOBBIAMO FARE QUANTO SEGUE ****
Sull'interfaccia esterna
ip nat fuori
Sull'interfaccia interna
ip nat dentro
--Abilitazione SNMP
SNMP-server community RO . pubblico
snmp-server abilita trap tty
Con questi comandi potremo risolvere la configurazione di un tunnel contro un ASA 5500. In un altro tutorial spiegheremo l'altra parte della configurazione, quella lato ASA.
