Configurazione router Cisco 831 (Tunnel rispetto a ASA 5500, Access List, NAT)
In questo tutorial svilupperemo alcune configurazioni di base e meno; tenendo conto che sappiamo già come accedervi con i privilegi di ENABLE con comando conoscenza. Prendiamo come esempio un'apparecchiatura della serie Cisco 800, per essere più precisi un router Cisco 831. --Passwords Router (config) #service password-encryption Router (config) #hostname ************ (nome che vogliamo) Router (config) #enable secret ************ (abilita password) - password Telnet Router (config ) #line with 0 Router (config-line) #password ************ (password desiderata) Router (config-line) # login local Router (config) #line vty 0 Router (config-line) #password ************ (password desiderata) Router (config-line) #login local - Server DHCP Configurazione intervallo pulizia associazione dhcp ip 10 indirizzo escluso dhcp ip 10.17.10.1 10.17.10.50 ip dhcp escluso-address 10.17.10.151 10.17.10.254 ip dhcp ping pacchetti 0 ip dhcp pool GOOD_SAIRES rete 10.17.10.0 255.255.255.0 dns-server 10.16.0.10 10.16.0.8 router predefinito 10.17.10.254 netbios-name-server 10.16.0.10 10.16.0.8 dominio -name rquagliano.com leggi 8 --Qualità del servizio class-map match-all citrix match access-group 110 class-map match-all voice match precedence 5 class-map match-all a bassa priorità corrisponde a qualsiasi QOS policy-map class voice priorità 25 class citrix class low p riority percentuale di larghezza di banda rimanente 10 random-detect - Crypto (configurazione di un tunnel rispetto all'ASA) crypto isakmp policy 1 encr 3des pre-share authentication group 5 crypto isakmp key PASSWORS_DEL_TUNEL indirizzo 200.71.236.2 (PEER) crypto ipsec transform-set trans1 esp-3des esp-sha-hmac crypto map map 20 ipsec-isakmp set peer 200.71.236.2 set transform-set trans1 corrispondenza indirizzo Name_ACCESSLIST ip access-list esteso ACCESSLIST_name consenti ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255 consenti ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255 consenti ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255 - Interfacce Interfaccia Ethernet0 indirizzo ip 10.17.10.254 255.255.255.0 nessun evento di registrazione link-status nessun registro cdp non corrispondente duplex nessun arresto Interfaccia Ethernet1 indirizzo ip *********** 255.255.255.248 output del criterio di servizio QOS duplex automatico mappa crypto map nessun arresto Interfaccia FastEthernet1 nessun arresto nessun keepalive FastEthernet2 interface no shutdown no keepalive FastEthernet3 interface no shutdown no keepalive Interfaccia FastEthernet4 nessun arresto nessun keepalive ip classless ip route 0.0.0.0 0.0.0.0 ***. ***. ***. **** (gateway predefinito) ip http server ip http autenticazione locale ip http secure-server ip http timeout-policy idle 600 life 86400 richieste 10000 --Aaccess list ip access-list standard administration allow 200.71. 235.128 0.0.0.15 consenti 200.71.238.128 0.0.0.15 consenti 10.1.8.0 0.0.0.255 consenti 200.71.236.0 0.0.0.7 consenti 10.16.0.0 0.0.0.255 --Elenco di accesso per nateo e accesso a Internet elenco di accesso ip esteso nat-internet nega ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255 nega ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255 nega ip 10.17 .1.0 0.0.0.255 10.16.0.0 0.0.0.255 consenti ip 10.0.1.0 0.0.0.255 qualsiasi consenti ip 10.17.1.0 0.0.0.255 qualsiasi --Nat per andare online ip nat nella lista delle sorgenti interfaccia nat-internet FastEthernet 4 sovraccarico **** NON DIMENTICARE CHE SE VOGLIAMO FARE NAT, DOBBIAMO POSIZIONARE QUANTO SEGUE **** Nell'interfaccia esterna ip nat outside Nell'interfaccia interna ip nat inside - Abilitazione SNMP RO pubblico comunità snmp-server snmp-server abilita trap tty Con questi comandi noi può risolvere la configurazione di un tunnel contro un ASA 5500. In un altro tutorial spiegheremo l'altra gamba della configurazione, quella sul lato ASA.
