Config "pronta" ADSL 20 Mbps su c857

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

router: Cisco 857
ios: c850-advsecurityk9-mz.124-15.T1.bin
Linea: Telecom Alice Business 20 Mbps
versione firmware adsl: 3.0.10

Config:

Codice: Seleziona tutto


service nagle
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers

hostname ***

boot-start-marker
boot-end-marker

logging exception 100000
logging count
logging userinfo
logging queue-limit 10000
logging buffered 150000 notifications
logging console critical
enable secret ***

no aaa new-model
clock timezone MET 1
clock summer-time MEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

no ip source-route
no ip gratuitous-arps
ip icmp rate-limit unreachable 1000

ip cef
ip inspect log drop-pkt
ip inspect max-incomplete low 300
ip inspect max-incomplete high 400
ip inspect one-minute low 300
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name IDS tcp
ip inspect name IDS udp
ip inspect name IDS ftp
no ip bootp server
ip domain name cisco.com
ip name-server 151.99.125.1
ip name-server 208.67.222.222
login block-for 1 attempts 3 within 30
login on-failure
login on-success

username admin password ***
archive
 log config
  hidekeys

ip tcp selective-ack
ip tcp window-size 2144
ip tcp synwait-time 10

interface Loopback0
 description INTERFACCIA VIRTUALE END-POINT VPN
 ip address *** 255.255.255.255

interface Null0
 no ip unreachables

interface ATM0
 description ALICE BUSINESS 20 Mbps - TGU: ***
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto (oppure adsl2 o adsl2+)

interface ATM0.1 point-to-point
 description INTERFACCIA PER ACCESSO AD INTERNET
 mtu 1500
 ip address *** 255.255.255.252
 ip access-group 131 in
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip inspect IDS out
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5snap

interface FastEthernet0

interface FastEthernet1

interface FastEthernet2

interface FastEthernet3

interface Vlan1
 description CONNESSIONE LAN ***
 ip address 192.168.0.254 255.255.255.0
 ip accounting output-packets
 ip nat inside
 ip virtual-reassembly
 ip route-cache flow
 no ip mroute-cache
 hold-queue 100 out

ip route 0.0.0.0 0.0.0.0 ATM0.1

no ip http server
no ip http secure-server

ip nat pool INTERNET *.*.*.* *.*.*.* netmask 255.255.255.248
ip nat inside source list 100 pool INTERNET overload

access-list 100 remark *************************************************************
access-list 100 remark *** ACL PER PAT E NAT0 ***
access-list 100 permit ip 192.168.0.0 0.0.0.255 any

access-list 131 remark *************************************************************
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *************************************************************
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny   ip any any log

control-plane

banner motd ^C
****************************************************************
----------------------------------------------------------------
* ***   ROUTER PERIMETRALE ----      ***   *
----------------------------------------------------------------
* WARNING: System is RESTRICTED to authorized personnel ONLY! *
* Unauthorized use of this system will be logged and *
* prosecuted to the fullest extent of the law. *
* *
* If you are NOT authorized to use this system, LOG OFF NOW! *
* *
****************************************************************
^C

line con 0
 exec-timeout 120 0
 login local
 no modem enable
 transport output ssh
 stopbits 1
line aux 0
 login local
 transport output ssh
 stopbits 1
line vty 0 4
 exec-timeout 0 0
 login local
 transport input telnet ssh
 transport output telnet ssh

scheduler max-task-time 5000
scheduler interval 500
sntp server 193.204.114.232
sntp server 193.204.114.233
sntp server 193.204.114.105
end
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

X l'admin, si può evidenziare questo topic?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
hatarez
n00b
Messaggi: 21
Iscritto il: mar 10 giu , 2008 8:57 am

Tanto per capire ma il numero dopo access-list "100" "131" "101" che sta ad indicare?
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

il numero dopo "access-list" indica l'access-group, è come se fosse un nome
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
giocomail
Cisco fan
Messaggi: 28
Iscritto il: mer 28 mag , 2008 9:28 am

Ciao Wizard,
non mandarmi a quel paese....... :cry: :cry: :cry: ........... ho provato ad adattare la tua conf al mio 877 ma...ovviamente non funziona. Dove devo configurare l'IP pubblico? Forse sulla int Loopback0? Poi ho scoperto che il router non carica le regole di firewall e mi dice service unavailable. Rules unsupported.
:shock: :shock: Mi sto esaurendo :shock: :shock:
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

giocomail, apri un topic in questa sezione e posta la attuale config!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
hatarez
n00b
Messaggi: 21
Iscritto il: mar 10 giu , 2008 8:57 am

A me la parte wireless non funziona, non ho nemmeno capito bene i comandi.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Ma questo nn è una 857w ma un 857 normale quindi la parte di configurazione del wireless non c'è...

Guarda qui:

http://www.ciscoforums.it/viewtopic.php?t=9006
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
[Dj][DMX]
Coamministratore
Messaggi: 428
Iscritto il: mer 24 nov , 2004 12:42 am
Località: Udine

Con un po' di ritardo ma adesso è segnalato come importante!
Io non so se Dio esiste, ma se esiste spero abbia una buona scusa!
Piergiorgio Welby
Avatar utente
Cisco$
Network Emperor
Messaggi: 360
Iscritto il: sab 19 apr , 2008 11:48 pm
Località: Battipaglia (Sa)

Ok

Bravo!
router cisco the best!!!!!!!!!!
linoxmandy
n00b
Messaggi: 22
Iscritto il: mar 09 gen , 2007 9:00 pm

postereste la configurazione che non prevede il nat?

Grazie mille
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

postereste la configurazione che non prevede il nat?
ASAP

Io ultimamente sono messo male...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
linoxmandy
n00b
Messaggi: 22
Iscritto il: mar 09 gen , 2007 9:00 pm

linoxmandy ha scritto:postereste la configurazione che non prevede il nat?

Grazie mille
please.... :roll: :roll:
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

La config senza nat è uguale tranne che nn devi mettere

ip nat inside sulla int interna
ip nat outside sulla int esterna
non ci vuole la riga di config x il pat
non ci vogliono le acl associate alla regola di nat
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Devo modificare qualcosa nella acl antispoofing se uso una sottorete per la lan di tipo 172.16.16.0 ? L'ho provata ma quando la metto non si naviga più...possibile che devo cambiare la riga in questo modo?

prima

access-list 131 deny ip 172.16.0.0 0.15.255.255 any log

dopo

access-list 131 deny ip 172.16.16.0 0.15.255.255 any log
A daje e daje le cipolle diventan'aje!!!
Rispondi