Configuração do roteador Cisco 831 (túnel versus ASA 5500, lista de acesso, NAT)
Neste tutorial iremos desenvolver algumas configurações básicas e não tão básicas; levando em consideração que já sabemos como acessá-lo com os privilégios de ENABLE com o comando conhecimento. Tomaremos como exemplo um equipamento Cisco série 800, para ser mais preciso um Roteador Cisco 831. - Senhas Router (config) #service password-encryption Router (config) #hostname ************ (nome que desejamos) Router (config) #enable secret ************ (ativar senha) - senhas Telnet Roteador (config ) #line with 0 Router (config-line) #password ************ (senha desejada) Router (config-line) # login local Router (config) #line vty 0 Router (config-line) #password ************ (senha desejada) Roteador (config-line) #login local - Servidor DHCP Configuração ip dhcp binding cleanup interval 10 ip dhcp excluded-address 10.17.10.1 10.17.10.50 ip dhcp excluded-address 10.17.10.151 10.17.10.254 ip dhcp ping packets 0 ip dhcp pool GOOD_SAIRES rede 10.17.10.0 255.255.255.0 dns-server 10.16.0.10 10.16.0.8 default-router 10.17.10.254 netbios-name-server 10.16.0.10 10.16.0.8 domínio -name rquagliano.com ler 8 --Qualidade de serviço class-map match-all citrix match access-group 110 class-map match-all voice match precedence 5 class-map match-all low priority match any QOS policy-map class voice prioridade 25 classe citrix classe low p prioridade largura de banda restante por cento 10 detecção aleatória - Crypto (configuração de um túnel contra o ASA) política isakmp cripto 1 criptografar 3des autenticação pré-compartilhamento grupo 5 chave isakmp cripto PASSWORS_DEL_TUNEL endereço 200.71.236.2 (PEER) cripto ipsec transform-set trans1 esp-3des esp-sha-hmac mapa de criptografia 20 ipsec-isakmp set peer 200.71.236.2 set transform-set trans1 match address Name_ACCESSLIST lista de acesso ip estendida ACCESSLIST_name permitir ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255 permitir ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255 permitir ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255 - Interfaces interface Ethernet0 endereço IP 10.17.10.254 255.255.255.0 nenhum status de link de evento de registro nenhum duplex de incompatibilidade de log de cdp nenhum desligamento interface Ethernet1 endereço ip *********** 255.255.255.248 saída de política de serviço QOS auto duplex mapa criptográfico sem desligamento interface FastEthernet1 sem desligamento sem manutenção de atividade Interface FastEthernet2 sem desligamento sem keepalive interface FastEthernet3 sem desligamento sem keepalive interface FastEthernet4 sem desligamento sem keepalive ip classless ip route 0.0.0.0 0.0.0.0 ***. ***. ***. **** (gateway padrão) ip http server ip http autenticação local ip http secure-server ip http timeout-policy idle 600 life 86400 requisições 10.000 --Lista de acesso administração padrão da lista de acesso ip permitir 200,71. 235.128 0.0.0.15 permitir 200.71.238.128 0.0.0.15 permitir 10.1.8.0 0.0.0.255 permitir 200.71.236.0 0.0.0.7 permitir 10.16.0.0 0.0.0.255 --Lista de acesso para nateo e acesso à internet lista de acesso IP estendida nat-internet negar ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255 negar ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255 negar ip 10.17 .1.0 0.0.0.255 10.16.0.0 0.0.0.255 allow ip 10.0.1.0 0.0.0.255 any allow ip 10.17.1.0 0.0.0.255 any --Nat to go online ip nat dentro da lista de fontes interface nat-internet FastEthernet 4 sobrecarga **** NÃO ESQUEÇA QUE SE QUEREMOS FAZER NAT, DEVEMOS COLOCAR O SEGUINTE **** Na interface externa ip nat outside Na interface interna ip nat inside - Habilitando SNMP SNMP-server community RO público snmp-server enable tty traps Com esses comandos nós pode resolver a configuração de um túnel contra um ASA 5500. Em outro tutorial, explicaremos a outra perna da configuração, aquela no lado do ASA.
