- Базовая настройка Cisco 2911, цц, 17:56 , 06-Июл-15 (1)
> Доброго дня. Свалилась на голову 2911, а что с ней делать никто > не знает. Нужно настроить выход в интернет через енту 2911 нескольких > компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!!Кажется я догадываюсь за что Вас забанили в Гугле... :)
- Базовая настройка Cisco 2911, crash, 04:40 , 07-Июл-15 (2)
- Базовая настройка Cisco 2911, maximsaykin, 09:38 , 07-Июл-15 (3)
>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто >> не знает. Нужно настроить выход в интернет через енту 2911 нескольких >> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!! > https://yandex.ru/yandsearch?clid=2186618&text=%D0%... Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос в надежде на то, что у кого-то есть готовый конфиг. Плюс минус небольшие изменения.
- Базовая настройка Cisco 2911, ShyLion, 13:04 , 07-Июл-15 (4) +1
>>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто >>> не знает. Нужно настроить выход в интернет через енту 2911 нескольких >>> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!! >> https://yandex.ru/yandsearch?clid=2186618&text=%D0%... > Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос > в надежде на то, что у кого-то есть готовый конфиг. Плюс > минус небольшие изменения. int Gi0/0 ip address x.x.x.x y.y.y.y ip nat outside ! int Gi0/1 ip address 10.123.124.1 255.255.255.0 ip nat inside ! ip access-list extended nat deny ip any 10.0.0.0 0.255.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 192.168.0.0 0.0.255.255 deny ip any 169.254.0.0 0.0.255.255 permit ip 10.123.124.0 0.0.0.255 any ! ip nat inside source list nat interface Gi0/0 overload ! ip route 0.0.0.0 0.0.0.0 x.x.x.z !
Что такое "МЭ" ?
- Базовая настройка Cisco 2911, maximsaykin, 15:28 , 07-Июл-15 (5)
>[оверквотинг удален] > deny ip any 192.168.0.0 0.0.255.255 > deny ip any 169.254.0.0 0.0.255.255 > permit ip 10.123.124.0 0.0.0.255 any > ! > ip nat inside source list nat interface Gi0/0 overload > ! > ip route 0.0.0.0 0.0.0.0 x.x.x.z > ! > > Что такое "МЭ" ?МЭ - межсетевой экран или фаервол
- Базовая настройка Cisco 2911, maximsaykin, 15:31 , 07-Июл-15 (6)
>[оверквотинг удален] > deny ip any 192.168.0.0 0.0.255.255 > deny ip any 169.254.0.0 0.0.255.255 > permit ip 10.123.124.0 0.0.0.255 any > ! > ip nat inside source list nat interface Gi0/0 overload > ! > ip route 0.0.0.0 0.0.0.0 x.x.x.z > ! > > Что такое "МЭ" ?Хочу немного уточнить. Gi0/0 внешний? x.x.x.z - default gateway?
- Базовая настройка Cisco 2911, crash, 19:59 , 07-Июл-15 (8)
>[оверквотинг удален] >> deny ip any 169.254.0.0 0.0.255.255 >> permit ip 10.123.124.0 0.0.0.255 any >> ! >> ip nat inside source list nat interface Gi0/0 overload >> ! >> ip route 0.0.0.0 0.0.0.0 x.x.x.z >> ! >> >> Что такое "МЭ" ? > Хочу немного уточнить. Gi0/0 внешний? x.x.x.z - default gateway?да и да
- Базовая настройка Cisco 2911, eRIC, 19:59 , 07-Июл-15 (9)
> Хочу немного уточнить. Gi0/0 внешний?Да >x.x.x.z - default gateway? Да
- Базовая настройка Cisco 2911, crash, 19:58 , 07-Июл-15 (7)
>>> Доброго дня. Свалилась на голову 2911, а что с ней делать никто >>> не знает. Нужно настроить выход в интернет через енту 2911 нескольких >>> компов. Имеется внешний статик IP. А затем настроить МЭ. Помогите!!! >> https://yandex.ru/yandsearch?clid=2186618&text=%D0%... > Спасибо большое. Но яндексами и прочими гуглами пользоваться умею. Задал здесь вопрос > в надежде на то, что у кого-то есть готовый конфиг. Плюс > минус небольшие изменения.так если умеете, то там как раз готовый конфиг плюс минус небольшие изменения
- Базовая настройка Cisco 2911, maximsaykin, 16:59 , 08-Июл-15 (10)
Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. Берите кому надоversion 15.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname xxxxxxx ! boot-start-marker boot-end-marker ! ! security authentication failure rate 10 log security passwords min-length 6 logging console critical enable secret 5 xxxxxxxxxxxxxxx enable password 7 xxxxxxxxxxxxxxxx ! aaa new-model ! ! aaa authentication login local_auth local ! ! ! ! ! aaa session-id common ! no ip source-route no ip gratuitous-arps ! ! ! ! ! ! no ip bootp server ip domain name local.dom ip name-server 1.1.1.1 ip name-server 2.2.2.2 ip inspect name INSPECT_OUT dns ip inspect name INSPECT_OUT icmp router-traffic ip inspect name INSPECT_OUT tcp router-traffic ip inspect name INSPECT_OUT udp router-traffic ip inspect name INSPECT_OUT http ip inspect name INSPECT_OUT https ip inspect name INSPECT_OUT ftp ip inspect name INSPECT_OUT imap ip inspect name INSPECT_OUT pop3 ip inspect name INSPECT_OUT ldap ip cef login block-for 10 attempts 3 within 5 no ipv6 cef ! multilink bundle-name authenticated ! ! ! ! license udi pid CISCO2911/K9 sn xxxxxxx license boot module c2900 technology-package securityk9_npe ! ! archive log config logging enable username user password 7 xxxxxxxx ! redundancy ! ! ip ssh time-out 60 ip ssh authentication-retries 2 ! ! ! ! interface Embedded-Service-Engine0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown no mop enabled ! interface GigabitEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp shutdown duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 ip address 3.3.3.3 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect INSPECT_OUT out ip virtual-reassembly in ip verify unicast source reachable-via rx allow-default 100 duplex auto speed auto no mop enabled ! interface GigabitEthernet0/2 ip address 192.168.x.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in duplex auto speed auto no mop enabled ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip nat inside source list nat interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 4.4.4.4 ! ip access-list extended nat permit ip 192.168.x.0 0.0.0.255 any ! logging trap debugging logging facility local2 access-list 100 permit udp any any eq bootpc no cdp run ! ! ! ! ! control-plane ! ! banner motd ACHTUNG!!! ! line con 0 exec-timeout 5 0 login authentication local_auth transport output telnet line aux 0 exec-timeout 15 0 login authentication local_auth transport output telnet line 2 exec-timeout 15 0 login authentication local_auth no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login authentication local_auth transport input telnet ssh ! scheduler allocate 20000 1000 ! end
- Базовая настройка Cisco 2911, crash, 04:48 , 09-Июл-15 (11)
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. > Берите кому надо с вашим конфигом в инет никогда не попадешь. Скрывать серую сетку это уже вообще как болезнь :)
- Базовая настройка Cisco 2911, maximsaykin, 07:59 , 09-Июл-15 (12)
>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. >> Берите кому надо > с вашим конфигом в инет никогда не попадешь. > Скрывать серую сетку это уже вообще как болезнь :) Странно. А почему тогда у меня всё работает?
- Базовая настройка Cisco 2911, crash, 06:24 , 10-Июл-15 (16)
>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. >>> Берите кому надо >> с вашим конфигом в инет никогда не попадешь. >> Скрывать серую сетку это уже вообще как болезнь :) > Странно. А почему тогда у меня всё работает?наверное потому что настроено правильно, а не как в примере
- Базовая настройка Cisco 2911, ShyLion, 06:32 , 10-Июл-15 (17)
>>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. >>>> Берите кому надо >>> с вашим конфигом в инет никогда не попадешь. >>> Скрывать серую сетку это уже вообще как болезнь :) >> Странно. А почему тогда у меня всё работает? > наверное потому что настроено правильно, а не как в примере В котором месте в примере что-то в корне неправильно? Так чтоб прям не взлетело. Кроме того что настройки inspect не до конца (нет запрещающего на вход снаружи правила и фаервол без этого бесполезен)
- Базовая настройка Cisco 2911, crash, 19:03 , 10-Июл-15 (18)
>>>>> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. >>>>> Берите кому надо >>>> с вашим конфигом в инет никогда не попадешь. >>>> Скрывать серую сетку это уже вообще как болезнь :) >>> Странно. А почему тогда у меня всё работает? >> наверное потому что настроено правильно, а не как в примере > В котором месте в примере что-то в корне неправильно? Так чтоб прям > не взлетело.это конечно придирка, но все же interface GigabitEthernet0/1 ip address 3.3.3.3 255.255.255.0 ip route 0.0.0.0 0.0.0.0 4.4.4.4
Ведь даже в примерном шаблоне, надо хоть как-то достоверное писать, а не просто так. Да и автору не нравилось, то что гугл находит, при этом там написано хотя бы из одной подсети в примерах.
- Базовая настройка Cisco 2911, ShyLion, 14:49 , 11-Июл-15 (19)
> это конечно придирка, но все же > interface GigabitEthernet0/1 > ip address 3.3.3.3 255.255.255.0 > ip route 0.0.0.0 0.0.0.0 4.4.4.4 :)
- Базовая настройка Cisco 2911, ShyLion, 08:17 , 09-Июл-15 (13)
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. > Берите кому надо ip inspect - это уже устаревший метод, нынче модно zone-based firewall авторизационный список проще default использовать если других не будет - меньше путаницы enable password - не секьюрно на линиях vty оставить transport input ssh и ssh ключи сгенерить, остальные сервисы - лишние дыры. dns сервис на кисе лучше не использовать, он сильно грузит проц и если его завалят запросами - кисе поплохеет. proxy arp отключается глобально "ip arp proxy disable" если сеть построена на роутерах и свичах cisco, то CDP лучше включить - удобно для обнаружения соседних устройств.
- Базовая настройка Cisco 2911, maximsaykin, 09:58 , 09-Июл-15 (15)
>[оверквотинг удален] > ip inspect - это уже устаревший метод, нынче модно zone-based firewall > авторизационный список проще default использовать если других не будет - меньше путаницы > enable password - не секьюрно > на линиях vty оставить transport input ssh и ssh ключи сгенерить, остальные > сервисы - лишние дыры. > dns сервис на кисе лучше не использовать, он сильно грузит проц и > если его завалят запросами - кисе поплохеет. > proxy arp отключается глобально "ip arp proxy disable" > если сеть построена на роутерах и свичах cisco, то CDP лучше включить > - удобно для обнаружения соседних устройств.Благодарю за ценные комментарии, но не все так просто. ZBFW настраивать не охота. За этой кошкой стоят всего два компа. Трафика минимум. VTY думаю вообще прикрыть, ибо не используются. Только console. Ну и соответственно больше кошек нет, поэтому cdp нет. А по поводу ZBFW вообще надо подумать.
- Базовая настройка Cisco 2911, eRIC, 08:59 , 09-Июл-15 (14) +1
> Всем спасибо. Кто помогал и не очень. Вот конфиг того что получилось. > Берите кому надо потом какой нить зеленый школяр возьмет твой конфиг за основу и будем мозги трепать, почему у него не работает и что куда нужно подставлять чтобы заработало
- Базовая настройка Cisco 2911, Наталья, 19:12 , 21-Авг-17 (20)
Тема конечно устарела) Но у меня тот же вопрос.... Собстно, упростила до нельзя! Но все равно инета нема ( hostname Router ! boot-start-marker boot-end-marker ! ! ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ! ! multilink bundle-name authenticated ! ! crypto pki token default removal timeout 0 ! ! license udi pid CISCO2911/K9 sn JTV1843TENK ! ! vtp mode transparent username cisco privilege 15 secret 4 vamdIKIiBV2LqIQVaEOJwBoFz6TK3UCPl8EwUHgHhK2 ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description === LAN === ip address 192.168.1.1 255.255.255.0 ip accounting output-packets ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description === Internet === ip address 192.168.0.254 255.255.255.0 no ip redirects ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex auto speed auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface GigabitEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 192.168.0.1 ! access-list 1 permit any ! ! ! control-plane ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all ! scheduler allocate 20000 1000 end чо не так то мать его не пингуется и все тут
|