В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое-каким вдумчивым заимствованием кусков чужих конфигов…

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем

#erase startup-config 

дабы избавится от преднастроеного мусора и перегружаемся.

 

 

Настройка авторизации и доступа по SSH

! включаем шифрование паролей 
service password-encryption 
! используем новую модель ААА и локальную базу пользователей 
aaa new-model aaa authentication login default local 
! заводим пользователя с максимальными правами 
username admin privilege 15 secret PASSWORD 
! даем имя роутеру 
hostname <…> 
ip domain-name router.domain 
! генерируем ключик для SSH 
crypto key generate rsa modulus 1024 
! тюнингуем SSH 
ip ssh time-out 60 
ip ssh authentication-retries 2 
ip ssh version 2 
! и разрешаем его на удаленной консоли 
line vty 0 4 
transport input telnet 
ssh privilege level 15 

 

 

Настройка роутинга

! включаем ускоренную коммутацию пакетов 
ip cef 

 

 

Настройка времени

! временная зона GMT+2 
clock timezone Ukraine 2 
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00 
! обновление системных часов по NTP 
ntp update-calendar 
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают… 
ntp server NTP.SERVER.1.IP 
ntp server NTP.SERVER.2.IP 

 

 

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах 
archive 
log config 
logging enable 
hidekeys 
! историю изменения конфига можно посмотреть командой 
show archive log config all 

 

 

Настройка DNS

! включить разрешение имен 
ip domain-lookup 
! включаем внутренний DNS сервер 
ip dns server 
! прописываем DNS провайдера 
ip name-server XXX.XXX.XXX.XXX 
! на всякий случай добавляем несколько публичных DNS серверов 
ip name-server 4.2.2.2 
 ip name-server 208.67.222.222 
 ip name-server 208.67.220.220 

 

 

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1 
interface Vlan1 
description === LAN === 
ip address 192.168.???.1 
! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик 
ip accounting output-packets 
! посмотреть статистику можно командой 
show ip accounting 
! очистить 
clear ip accounting 

 

 

Настройка DHCP сервера

! исключаем некоторые адреса из пула 
ip dhcp excluded-address 192.168.???.1 192.168.???.99 
! и настраиваем пул адресов 
ip dhcp pool LAN 
network 192.168.???.0 255.255.255.0 
default-router 192.168.???.1 
dns-server 192.168.???.1 

 

 

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика  (по умолчанию все запрещено) 
ip access-list extended FIREWALL 
permit tcp any any eq 22 
! включаем инспектирование трафика между локальной сетью и Интернетом 
ip inspect name INSPECT_OUT dns 
ip inspect name INSPECT_OUT icmp 
ip inspect name INSPECT_OUT ntp 
ip inspect name INSPECT_OUT tcp router-traffic 
ip inspect name INSPECT_OUT udp router-traffic 
ip inspect name INSPECT_OUT icmp router-traffic 
! настраиваем порт в Интернет и вешаем на него некоторую защиту 
interface FastEthernet0/0 
description === Internet === 
ip address???.???.???.?? ? 255.255.255.??? 
ip virtual-reassembly 
ip verify unicast reverse-path 
no ip redirects 
no ip directed-broadcast 
no ip proxy-arp 
no cdp enable 
ip inspect INSPECT_OUT out 
ip access-group FIREWALL in 
! ну и напоследок шлюз по умолчанию 
ip route 0.0.0.0 0.0.0.0???.???.???.?? ? 

 

 

Настройка NAT

! на Интернет интерфейсе 
interface FastEthernet0/0 ip nat outside 
! на локальном интерфейсе 
interface Vlan1 ip nat inside 
! создаем список IP имеющих доступ к NAT 
ip access-list extended NAT 
permit ip host 192.168.???.??? any 
! включаем NAT на внешнем интерфейсе 
ip nat inside source list NAT interface FastEthernet0/0 overload 
! добавляем инспекцию популярных протоколов 
ip inspect name INSPECT_OUT http 
ip inspect name INSPECT_OUT https 
ip inspect name INSPECT_OUT ftp 

 

 

Отключение ненужных сервисов

no service tcp-small-servers 
no service udp-small-servers 
no service finger 
no service config 
no service pad 
no ip finger 
no ip source-route 
no ip http server 
no ip http secure-server 
no ip bootp server