Inhoudsopgave
In deze tutorial zullen we enkele basis- en niet zo basisconfiguraties ontwikkelen; rekening houdend met het feit dat we al weten hoe we er toegang toe kunnen krijgen met ENABLE-rechten met commandokennis. Als voorbeeld nemen we apparatuur uit de Cisco 800-serie, om precies te zijn een Cisco 831-router.--Wachtwoorden
Router (config) #service wachtwoord-encryptie
Router (config) #hostname *********** (naam die we willen)
Router (config) #enable secret *********** (activeer wachtwoord)
--Telnet-wachtwoorden
Router (config) #line met 0
Router (configuratieregel) #password *********** (gewenst wachtwoord)
Router (configuratieregel) #login local
Router (configuratie) #line vty 0
Router (configuratieregel) #password *********** (gewenst wachtwoord)
Router (configuratieregel) #login local
--Instelling DHCP server
ip dhcp binding opschonen interval 10
ip dhcp uitgesloten-adres 10.17.10.1 10.17.10.50
ip dhcp uitgesloten-adres 10.17.10.151 10.17.10.254
ip dhcp ping-pakketten 0
ip dhcp-pool BUENOS AIRES
netwerk 10.17.10.0 255.255.255.0
DNS server 10.16.0.10 10.16.0.8
standaard-router 10.17.10.254
netbios-naam-server 10.16.0.10 10.16.0.8
domeinnaam rquagliano.com
lees 8
--Kwaliteit van de dienstverlening
class-map match-all citrix
match toegangsgroep 110
klasse-kaart match-all stem
wedstrijdvoorrang 5
klasse-kaart match-allemaal lage prioriteit
overeenkomen met elke
beleidskaart QOS
klas stem
prioriteit 25
klasse citrix
klasse lage prioriteit
bandbreedte resterende procent 10
willekeurig detecteren
--Crypto (configuratie van een tunnel tegen de ASA)
crypto isakmp-beleid
encr 3des
authenticatie vooraf delen
groep 5
crypto isakmp-sleutel PASSWORS_DEL_TUNEL adres 200.71.236.2 (GELIJKE)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
crypto kaart kaart 20 ipsec-isakmp
stel peer 200.71.236.2 in
set transformatie-set trans1
match adres Naam_ACCESSLIST
ip toegangslijst uitgebreid Naam_ACCESSLIST
ip . toestaan 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
ip . toestaan 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
ip . toestaan 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
- Interfaces
interface Ethernet0
IP adres 10.17.10.254 255.255.255.0
geen logging gebeurtenis link-status
geen cdp log komt niet overeen met duplex
geen uitschakeling
interface Ethernet1
ip-adres *********** 255.255.255.248
service-beleid output QOS
duplex auto
crypto kaart kaart
geen uitschakeling
interface FastEthernet1
geen uitschakeling
geen keepalive
interface FastEthernet2
geen uitschakeling
geen keepalive
interface FastEthernet3
geen uitschakeling
geen keepalive
interface FastEthernet4
geen uitschakeling
geen keepalive
ip klasseloos
ip route 0.0.0.0 0.0.0.0 ***. ***. ***. **** (standaard gateway)
ip http-server
ip http authenticatie lokaal
ip http beveiligde server
ip http time-outbeleid inactief 600 leven 86400 verzoeken 10000
--Een toegangslijst
ip toegangslijst standaard administratie
vergunning 200.71.235.128 0.0.0.15
vergunning 200.71.238.128 0.0.0.15
vergunning 10.1.8.0 0.0.0.255
vergunning 200.71.236.0 0.0.0.7
vergunning 10.16.0.0 0.0.0.255
--Toegangslijst voor nateo en internettoegang
ip toegangslijst uitgebreid nat-internet
ip weigeren 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
IP weigeren 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
IP weigeren 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
IP toestaan 10.0.1.0 0.0.0255 willekeurig
IP toestaan 10.17.1.0 0.0.0.255 willekeurig
--Nat om online te gaan
ip nat binnen bronlijst nat-internet interface FastEthernet4 overbelasting
**** VERGEET NIET DAT ALS WE NAT WILLEN DOEN WE DE VOLGENDE **** MOETEN PLAATSEN
Op de externe interface
ip nat buiten
Op de interne interface
ip nat binnen
-- SNMP inschakelen
snmp-server gemeenschap openbaar RO
snmp-server traps inschakelen tty
Met deze commando's zullen we in staat zijn om de configuratie van een tunnel tegen een ASA 5500 op te lossen. In een andere tutorial zullen we het andere deel van de configuratie uitleggen, dat aan de ASA-kant.
