Задача: базовая конфигурация маршрутизаторов Cisco в качестве подготовки для последующей индивидуальной настройки.
Подключаемся к маршрутизатору:
Router> enable
Настраиваем подсистему времени (очень желательно проделать это в первую очередь, хотя бы для корректной генерации ключей доступа SSH):
!* Устанавливаем текущее время вручную в том случае, если NTP серверы недоступны
Router# clock set 12:37:30 2 Feb 2010
Router# configure terminal
!* Отключаем переход между зимним и летним временем
Router(config)# no clock summer-time
!* Указываем на наши NTP серверы
Router(config)# ntp server ip.ntp0.server prefer
Router(config)# ntp server ip.ntp1.server
!* Приправляем конфигурацию опциями
Router(config)# service timestamps debug datetime localtime
Router(config)# exit
Router# clock set 12:37:30 2 Feb 2010
Router# configure terminal
!* Отключаем переход между зимним и летним временем
Router(config)# no clock summer-time
!* Указываем на наши NTP серверы
Router(config)# ntp server ip.ntp0.server prefer
Router(config)# ntp server ip.ntp1.server
!* Приправляем конфигурацию опциями
Router(config)# service timestamps debug datetime localtime
Router(config)# exit
Настраиваем подсистему журналирования событий для отправки сведений на удалённый сервер Unix Syslog:
Router(config)# service sequence-numbers
Router(config)# service timestamps log datetime msec localtime show-timezone
Router(config)# logging rate-limit all 10
Router(config)# logging facility local1
Router(config)# logging trap debugging
Router(config)# logging ip.syslog0.server
Router(config)# logging ip.syslog1.server
Router(config)# logging on
Router(config)# service timestamps log datetime msec localtime show-timezone
Router(config)# logging rate-limit all 10
Router(config)# logging facility local1
Router(config)# logging trap debugging
Router(config)# logging ip.syslog0.server
Router(config)# logging ip.syslog1.server
Router(config)# logging on
Настраиваем SNMP для сбора статистики с устройства:
!* Создаем "лист доступа" для SNMP
Router(config)# access-list 11 permit host ip.snmp0.server
Router(config)# access-list 11 permit host ip.snmp1.server
!* Описываем базовые параметры (ключевое слово, уровень доступа, "лист доступа")
Router(config)# snmp-server community password ro 11
!* Описываем необязательные параметры
Router(config)# no snmp-server location
Router(config)# no snmp-server contact
Router(config)# access-list 11 permit host ip.snmp0.server
Router(config)# access-list 11 permit host ip.snmp1.server
!* Описываем базовые параметры (ключевое слово, уровень доступа, "лист доступа")
Router(config)# snmp-server community password ro 11
!* Описываем необязательные параметры
Router(config)# no snmp-server location
Router(config)# no snmp-server contact
Устанавливаем имя, доменное имя и параметры разрешения имен:
Router(config)# hostname rtr0
Router(config)# ip domain-name domain.name
Router(config)# ip name-server ip.ns0.server
Router(config)# ip name-server ip.ns1.server
Router(config)# ip domain-lookup
Router(config)# ip dns server
Router(config)# ip domain-name domain.name
Router(config)# ip name-server ip.ns0.server
Router(config)# ip name-server ip.ns1.server
Router(config)# ip domain-lookup
Router(config)# ip dns server
Генерируем RSA ключи для подключения к маршрутизатору по протоколу SSH и описываем параметры работы транспорта:
!* Проверяем, нет ли у нас уже ключей
Router# show crypto key mypubkey rsa
!* Удаляем ненужные ключи
Router(config)# crypto key zeroize rsa key.name
!* Генерируем RSA ключ с указанным именем, общий для всех функций маршрутизатора (в процессе указываем длину ключа, например: 1024 бит)
Router(config)# crypto key generate rsa label rtr0.domain.name
Router# show crypto key mypubkey rsa
!* Удаляем ненужные ключи
Router(config)# crypto key zeroize rsa key.name
!* Генерируем RSA ключ с указанным именем, общий для всех функций маршрутизатора (в процессе указываем длину ключа, например: 1024 бит)
Router(config)# crypto key generate rsa label rtr0.domain.name
!* Указываем применять только SSH второй версии
Router(config)# ip ssh version 2
!* Устанавливаем время отключения сессии
Router(config)# ip ssh time-out 120
!* Устанавливаем количество попыток аутентификации до блокировки сессии
Router(config)# ip ssh authentication-retries 5
Router(config)# ip ssh version 2
!* Устанавливаем время отключения сессии
Router(config)# ip ssh time-out 120
!* Устанавливаем количество попыток аутентификации до блокировки сессии
Router(config)# ip ssh authentication-retries 5
Устанавливаем параметры аутентификации:
!* Отключаем "продвинутую" модель аутентификации, оставляя, тем самым, простейший вариант с локальной аутентификацией по файлу паролей (Особое внимание следует уделить переключению между режимами аутентификации. Если некорректно переключится в режим "продвинутой" модели аутентификации "AAA", то запросто можно потерять доступ к устройству даже на консольном порту)
Router(config)# no aaa new-model
!* Активируем шифрование паролей
Router(config)# service password-encryption
!* Активируем доступ уровня "enable" по паролю "cisco"
Router(config)# enable secret cisco
!* Регистрируем пользователя "cisco" c паролем "cisco" c привелегиями, практически равным суперпользователю
Router(config)# username cisco privilege 15 password 0 cisco
!* Удалить, в случае необходимости, пользователя можно следующим образом
Router(config)# no username cisco
Router(config)# no aaa new-model
!* Активируем шифрование паролей
Router(config)# service password-encryption
!* Активируем доступ уровня "enable" по паролю "cisco"
Router(config)# enable secret cisco
!* Регистрируем пользователя "cisco" c паролем "cisco" c привелегиями, практически равным суперпользователю
Router(config)# username cisco privilege 15 password 0 cisco
!* Удалить, в случае необходимости, пользователя можно следующим образом
Router(config)# no username cisco
Описываем конфигурацию консольного последовательного терминального порта:
Router(config)# line console 0
!* Устанавливаем время отключения сессии в тридцать минут для неспешной работы
Router(config-line)# exec-timeout 30
Router(config-line)# logging synchronous
!* Устанавливаем режим аутентификации с локального файла паролей
Router(config-line)# login local
Router(config-line)# history size 100
Router(config-line)# speed 9600
Router(config-line)# exit
!* Устанавливаем время отключения сессии в тридцать минут для неспешной работы
Router(config-line)# exec-timeout 30
Router(config-line)# logging synchronous
!* Устанавливаем режим аутентификации с локального файла паролей
Router(config-line)# login local
Router(config-line)# history size 100
Router(config-line)# speed 9600
Router(config-line)# exit
Описываем конфигурации виртуальных терминалов:
Router(config)# line vty 0 15
Router(config-line)# exec-timeout 10
Router(config-line)# logging synchronous
Router(config-line)# login local
!* Указываем на применение только одного вида транспортного протокола из всех возможных
Router(config-line)# transport input ssh
Router(config-line)# history size 100
Router(config-line)# exit
Router(config-line)# exec-timeout 10
Router(config-line)# logging synchronous
Router(config-line)# login local
!* Указываем на применение только одного вида транспортного протокола из всех возможных
Router(config-line)# transport input ssh
Router(config-line)# history size 100
Router(config-line)# exit
Указываем маршрут "по умолчанию":
Router(config)# ip route 0.0.0.0 0.0.0.0 ip.gateway
Приправляем конфигурацию дополнительными опциями:
Router(config)# ip subnet-zero
Router(config)# ip classless
Router(config)# boot-start-marker
Router(config)# boot-end-marker
!* Отключаем совершенно ненужные нам сервисы
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# no ip tftp boot-interface
Router(config)# ip classless
Router(config)# boot-start-marker
Router(config)# boot-end-marker
!* Отключаем совершенно ненужные нам сервисы
Router(config)# no ip http server
Router(config)# no ip http secure-server
Router(config)# no ip tftp boot-interface
Сохраняем конфигурацию в файле в энергонезависимой памяти устройства:
Router(config)# exit
Router# copy running-config startup-config
Router# copy running-config startup-config
Перезагружаем устройство и, если все прошло успешно, то можно будет приступать к конфигурированию маршрутизатора:
Router# reload