The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Базовая настройка Cisco 2911"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 06-Июл-15, 17:23 
Доброго дня. Свалилась на голову 2911, а что с ней делать никто не знает. Нужно настроить выход в интернет через енту 2911 нескольких компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Базовая настройка Cisco 2911"  +/
Сообщение от цц on 06-Июл-15, 17:56 
> Доброго дня. Свалилась на голову 2911, а что с ней делать никто
> не знает. Нужно настроить выход в интернет через енту 2911 нескольких
> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!

Кажется я догадываюсь за что Вас забанили в Гугле... :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 07-Июл-15, 04:40 
> Доброго дня. Свалилась на голову 2911, а что с ней делать никто
> не знает. Нужно настроить выход в интернет через енту 2911 нескольких
> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!

https://yandex.ru/yandsearch?clid=2186618&text=%D0%...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 07-Июл-15, 09:38 
>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто
>> не знает. Нужно настроить выход в интернет через енту 2911 нескольких
>> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!
> https://yandex.ru/yandsearch?clid=2186618&text=%D0%...

Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос в надежде на то, что у кого-то есть готовый конфиг. Плюс минус небольшие изменения.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Базовая настройка Cisco 2911"  +1 +/
Сообщение от ShyLion (ok) on 07-Июл-15, 13:04 
>>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто
>>> не знает. Нужно настроить выход в интернет через енту 2911 нескольких
>>> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!
>> https://yandex.ru/yandsearch?clid=2186618&text=%D0%...
> Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос
> в надежде на то, что у кого-то есть готовый конфиг. Плюс
> минус небольшие изменения.


int Gi0/0
ip address x.x.x.x y.y.y.y
ip nat outside
!
int Gi0/1
ip address 10.123.124.1 255.255.255.0
ip nat inside
!
ip access-list extended nat
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip any 169.254.0.0 0.0.255.255
permit ip 10.123.124.0 0.0.0.255 any
!
ip nat inside source list nat interface Gi0/0 overload
!
ip route 0.0.0.0 0.0.0.0 x.x.x.z
!

Что такое "МЭ" ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 07-Июл-15, 15:28 
>[оверквотинг удален]
>  deny ip any 192.168.0.0 0.0.255.255
>  deny ip any 169.254.0.0 0.0.255.255
>  permit ip 10.123.124.0 0.0.0.255 any
> !
> ip nat inside source list nat interface Gi0/0 overload
> !
> ip route 0.0.0.0 0.0.0.0 x.x.x.z
> !
>
> Что такое "МЭ" ?

МЭ - межсетевой экран или фаервол

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 07-Июл-15, 15:31 
>[оверквотинг удален]
>  deny ip any 192.168.0.0 0.0.255.255
>  deny ip any 169.254.0.0 0.0.255.255
>  permit ip 10.123.124.0 0.0.0.255 any
> !
> ip nat inside source list nat interface Gi0/0 overload
> !
> ip route 0.0.0.0 0.0.0.0 x.x.x.z
> !
>
> Что такое "МЭ" ?

Хочу немного уточнить. Gi0/0 внешний?  x.x.x.z - default gateway?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 07-Июл-15, 19:59 
>[оверквотинг удален]
>>  deny ip any 169.254.0.0 0.0.255.255
>>  permit ip 10.123.124.0 0.0.0.255 any
>> !
>> ip nat inside source list nat interface Gi0/0 overload
>> !
>> ip route 0.0.0.0 0.0.0.0 x.x.x.z
>> !
>>
>> Что такое "МЭ" ?
> Хочу немного уточнить. Gi0/0 внешний?  x.x.x.z - default gateway?

да и да

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Базовая настройка Cisco 2911"  +/
Сообщение от eRIC (ok) on 07-Июл-15, 19:59 
> Хочу немного уточнить. Gi0/0 внешний?

Да

>x.x.x.z - default gateway?

Да


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 07-Июл-15, 19:58 
>>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто
>>> не знает. Нужно настроить выход в интернет через енту 2911 нескольких
>>> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!
>> https://yandex.ru/yandsearch?clid=2186618&text=%D0%...
> Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос
> в надежде на то, что у кого-то есть готовый конфиг. Плюс
> минус небольшие изменения.

так если умеете, то там как раз готовый конфиг плюс минус небольшие изменения

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 08-Июл-15, 16:59 
Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. Берите кому надо

version 15.2
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname xxxxxxx
!
boot-start-marker
boot-end-marker
!
!
security authentication failure rate 10 log
security passwords min-length 6
logging console critical
enable secret 5 xxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login local_auth local
!
!
!
!
!
aaa session-id common
!
no ip source-route
no ip gratuitous-arps
!
!
!
!
!
!
no ip bootp server
ip domain name local.dom
ip name-server 1.1.1.1
ip name-server 2.2.2.2
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp router-traffic
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
ip inspect name INSPECT_OUT imap
ip inspect name INSPECT_OUT pop3
ip inspect name INSPECT_OUT ldap
ip cef
login block-for 10 attempts 3 within 5
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2911/K9 sn xxxxxxx
license boot module c2900 technology-package securityk9_npe
!
!
archive
log config
  logging enable
username user password 7 xxxxxxxx
!
redundancy
!
!
ip ssh time-out 60
ip ssh authentication-retries 2
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
no mop enabled
!
interface GigabitEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 3.3.3.3 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect INSPECT_OUT out
ip virtual-reassembly in
ip verify unicast source reachable-via rx allow-default 100
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/2
ip address 192.168.x.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 4.4.4.4
!
ip access-list extended nat
permit ip 192.168.x.0 0.0.0.255 any
!
logging trap debugging
logging facility local2
access-list 100 permit udp any any eq bootpc
no cdp run
!
!
!
!
!
control-plane
!
!
banner motd ACHTUNG!!!
!
line con 0
exec-timeout 5 0
login authentication local_auth
transport output telnet
line aux 0
exec-timeout 15 0
login authentication local_auth
transport output telnet
line 2
exec-timeout 15 0
login authentication local_auth
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login authentication local_auth
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 09-Июл-15, 04:48 
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
> Берите кому надо

с вашим конфигом в инет никогда не попадешь.
Скрывать серую сетку это уже вообще как болезнь :)

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 09-Июл-15, 07:59 
>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
>> Берите кому надо
> с вашим конфигом в инет никогда не попадешь.
> Скрывать серую сетку это уже вообще как болезнь :)

Странно. А почему тогда у меня всё работает?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 10-Июл-15, 06:24 
>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
>>> Берите кому надо
>> с вашим конфигом в инет никогда не попадешь.
>> Скрывать серую сетку это уже вообще как болезнь :)
> Странно. А почему тогда у меня всё работает?

наверное потому что настроено правильно, а не как в примере

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Базовая настройка Cisco 2911"  +/
Сообщение от ShyLion (ok) on 10-Июл-15, 06:32 
>>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
>>>> Берите кому надо
>>> с вашим конфигом в инет никогда не попадешь.
>>> Скрывать серую сетку это уже вообще как болезнь :)
>> Странно. А почему тогда у меня всё работает?
> наверное потому что настроено правильно, а не как в примере

В котором месте в примере что-то в корне неправильно? Так чтоб прям не взлетело.
Кроме того что настройки inspect не до конца (нет запрещающего на вход снаружи правила и фаервол без этого бесполезен)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Базовая настройка Cisco 2911"  +/
Сообщение от crash (ok) on 10-Июл-15, 19:03 
>>>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
>>>>> Берите кому надо
>>>> с вашим конфигом в инет никогда не попадешь.
>>>> Скрывать серую сетку это уже вообще как болезнь :)
>>> Странно. А почему тогда у меня всё работает?
>> наверное потому что настроено правильно, а не как в примере
> В котором месте в примере что-то в корне неправильно? Так чтоб прям
> не взлетело.

это конечно придирка, но все же

interface GigabitEthernet0/1
ip address 3.3.3.3 255.255.255.0


ip route 0.0.0.0 0.0.0.0 4.4.4.4

Ведь даже в примерном шаблоне, надо хоть как-то достоверное писать, а не просто так. Да и автору не нравилось, то что гугл находит, при этом там написано хотя бы из одной подсети в примерах.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Базовая настройка Cisco 2911"  +/
Сообщение от ShyLion (ok) on 11-Июл-15, 14:49 
> это конечно придирка, но все же
> interface GigabitEthernet0/1
> ip address 3.3.3.3 255.255.255.0
> ip route 0.0.0.0 0.0.0.0 4.4.4.4

:)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

13. "Базовая настройка Cisco 2911"  +/
Сообщение от ShyLion (ok) on 09-Июл-15, 08:17 
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
> Берите кому надо

ip inspect - это уже устаревший метод, нынче модно zone-based firewall

авторизационный список проще default использовать если других не будет - меньше путаницы

enable password - не секьюрно

на линиях vty оставить transport input ssh и ssh ключи сгенерить, остальные сервисы - лишние дыры.

dns сервис на кисе лучше не использовать, он сильно грузит проц и если его завалят запросами - кисе поплохеет.

proxy arp отключается глобально "ip arp proxy disable"

если сеть построена на роутерах и свичах cisco, то CDP лучше включить - удобно для обнаружения соседних устройств.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Базовая настройка Cisco 2911"  +/
Сообщение от maximsaykin (ok) on 09-Июл-15, 09:58 
>[оверквотинг удален]
> ip inspect - это уже устаревший метод, нынче модно zone-based firewall
> авторизационный список проще default использовать если других не будет - меньше путаницы
> enable password - не секьюрно
> на линиях vty оставить transport input ssh и ssh ключи сгенерить, остальные
> сервисы - лишние дыры.
> dns сервис на кисе лучше не использовать, он сильно грузит проц и
> если его завалят запросами - кисе поплохеет.
> proxy arp отключается глобально "ip arp proxy disable"
> если сеть построена на роутерах и свичах cisco, то CDP лучше включить
> - удобно для обнаружения соседних устройств.

Благодарю за ценные комментарии, но не все так просто.
ZBFW настраивать не охота. За этой кошкой стоят всего два компа. Трафика минимум. VTY думаю вообще прикрыть, ибо не используются. Только console. Ну и соответственно больше кошек нет, поэтому cdp нет.

А по поводу ZBFW вообще надо подумать.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Базовая настройка Cisco 2911"  +1 +/
Сообщение от eRIC (ok) on 09-Июл-15, 08:59 
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось.
> Берите кому надо

потом какой нить зеленый школяр возьмет твой конфиг за основу и будем мозги трепать, почему у него не работает и что куда нужно подставлять чтобы заработало

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "Базовая настройка Cisco 2911"  +/
Сообщение от Наталья (??) on 21-Авг-17, 19:12 
Тема конечно устарела) Но у меня тот же вопрос.... Собстно, упростила до нельзя! Но все равно инета нема (
hostname Router
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
!
!
multilink bundle-name authenticated
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2911/K9 sn JTV1843TENK
!
!
vtp mode transparent
username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description === LAN ===
ip address 192.168.1.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description === Internet ===
ip address 192.168.0.254 255.255.255.0
no ip redirects
ip nat outside
ip virtual-reassembly in
ip verify unicast reverse-path
duplex auto
speed auto
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
access-list 1 permit any
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
login
transport input all
!
scheduler allocate 20000 1000
end
чо не так то мать его
не пингуется и все тут

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру