Alice business e router cisco
Inviato: mar 10 ott , 2006 11:28 am
Mi è stato chiesto di fare un post che spiega un po la situazione delle alice business e i router pirelli con smartcard. Vado un po di fretta quindi spero di essere chiaro al limite approfondirò a seguito di domande.
Allora le alice business sono di piu tipi e di piu velocità quelle che sono diciamo pericolose sono le 4 mega....ma non tutte. Di questo tipo di linea ne esiste una versione chiamata naked che permette l'utilizzo di tutti i router ma che purtroppo viene fornita solo se ce ne sono le disponibilità in centrale e ne esiste una che utilizza la famosa smartcard. Anche in questo ultimo caso però si può utilizzare un router cisco senza problemi (almeno io non ne ho avuti e i clienti che l'avevano attivata ancora vanno alla grande)
Non ho fatto altro che attaccare il pirellone fare l'autenticazione con la smart card controllare che la linea funzionasse andare nella pagina web vedere che indirizzo ip è stato assegnato dinamicamente (poi rimane sempre lo stesso) e inserirlo nell'atm del cisco; collegare a questo punto il cisco e gogogo via con internet. Se la linea che avete ha anche alcuni ip pubblici mettete sappiate che l'ultimo è sempre asseganto al router telecom (o il primo ora non ricordo ma è facile da controllare) quindi evitate di assegnarlo alle interfacce.
Questa di seguito è un esempio con range di ip poi l'altra è con ip secco
version 12.3
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname
!
boot-start-marker
boot-end-marker
!
enable secret
!
username admin password
aaa new-model
!
!
aaa authentication login auten-locale local
aaa authorization network autor-locale local
aaa session-id common
ip subnet-zero
no ip source-route
!
!
ip cef
ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti smtp
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tcp
ip inspect name conn-uscenti tftp
ip inspect name conn-entranti smtp
ip inspect name conn-entranti http
ip inspect name conn-entranti tcp
ip inspect name conn-entranti udp
no ip bootp server
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
!
!
interface Loopback0
ip address xxx.xxx.xxx.xxx 255.255.255.255
!
interface Loopback1
ip address xxx.xxx.xxx.xxx 255.255.255.255
!
interface ATM0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
no atm ilmi-keepalive
dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
ip address 87.xxx.xxx.xxx 255.255.255.252
ip access-group 111 in
ip inspect conn-entranti in
ip inspect conn-uscenti out
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface ATM0.1 overload
!
access-list 11 remark ************************************
access-list 11 remark ACL 11 PER CONTROLLO APLET JAVA
access-list 11 permit any
access-list 100 remark ********* ACL per NAT **************************
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 remark ************************************************
access-list 111 remark ANTI-SPOOFING
access-list 111 deny icmp any any redirect log
access-list 111 deny ip 10.0.0.0 0.255.255.255 any log
access-list 111 deny ip 172.16.0.0 0.15.255.255 any log
access-list 111 deny ip 192.168.0.0 0.0.255.255 any log
access-list 111 deny ip 127.0.0.0 0.255.255.255 any log
access-list 111 deny ip 224.0.0.0 31.255.255.255 any log
access-list 111 deny ip host 0.0.0.0 any log
access-list 111 deny ip any any log
!
control-plane
!
banner login ^C
********************************************************
Router d'accesso Internet
E' proibito qualsiasi accesso non autorizzato
Unauthorized access prohibited
********************************************************
^C
!
line con 0
exec-timeout 60 0
login authentication auten-locale
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
no exec
transport preferred all
transport output all
stopbits 1
line vty 0 4
exec-timeout 60 0
login authentication auten-locale
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
conf con ip secco:
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description TGU=
ip address 87.xxx.xxx.xxx 255.255.255.252
ip access-group acl-inbound in
ip verify unicast reverse-path
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
il resto non è importante
Allora le alice business sono di piu tipi e di piu velocità quelle che sono diciamo pericolose sono le 4 mega....ma non tutte. Di questo tipo di linea ne esiste una versione chiamata naked che permette l'utilizzo di tutti i router ma che purtroppo viene fornita solo se ce ne sono le disponibilità in centrale e ne esiste una che utilizza la famosa smartcard. Anche in questo ultimo caso però si può utilizzare un router cisco senza problemi (almeno io non ne ho avuti e i clienti che l'avevano attivata ancora vanno alla grande)
Non ho fatto altro che attaccare il pirellone fare l'autenticazione con la smart card controllare che la linea funzionasse andare nella pagina web vedere che indirizzo ip è stato assegnato dinamicamente (poi rimane sempre lo stesso) e inserirlo nell'atm del cisco; collegare a questo punto il cisco e gogogo via con internet. Se la linea che avete ha anche alcuni ip pubblici mettete sappiate che l'ultimo è sempre asseganto al router telecom (o il primo ora non ricordo ma è facile da controllare) quindi evitate di assegnarlo alle interfacce.
Questa di seguito è un esempio con range di ip poi l'altra è con ip secco
version 12.3
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname
!
boot-start-marker
boot-end-marker
!
enable secret
!
username admin password
aaa new-model
!
!
aaa authentication login auten-locale local
aaa authorization network autor-locale local
aaa session-id common
ip subnet-zero
no ip source-route
!
!
ip cef
ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti smtp
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tcp
ip inspect name conn-uscenti tftp
ip inspect name conn-entranti smtp
ip inspect name conn-entranti http
ip inspect name conn-entranti tcp
ip inspect name conn-entranti udp
no ip bootp server
no ip domain lookup
no ftp-server write-enable
!
!
!
!
!
!
!
interface Loopback0
ip address xxx.xxx.xxx.xxx 255.255.255.255
!
interface Loopback1
ip address xxx.xxx.xxx.xxx 255.255.255.255
!
interface ATM0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
load-interval 30
no atm ilmi-keepalive
dsl operating-mode ansi-dmt
!
interface ATM0.1 point-to-point
ip address 87.xxx.xxx.xxx 255.255.255.252
ip access-group 111 in
ip inspect conn-entranti in
ip inspect conn-uscenti out
ip nat outside
ip virtual-reassembly
no ip route-cache
no ip mroute-cache
pvc 8/35
encapsulation aal5snap
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
hold-queue 100 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface ATM0.1 overload
!
access-list 11 remark ************************************
access-list 11 remark ACL 11 PER CONTROLLO APLET JAVA
access-list 11 permit any
access-list 100 remark ********* ACL per NAT **************************
access-list 100 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 remark ************************************************
access-list 111 remark ANTI-SPOOFING
access-list 111 deny icmp any any redirect log
access-list 111 deny ip 10.0.0.0 0.255.255.255 any log
access-list 111 deny ip 172.16.0.0 0.15.255.255 any log
access-list 111 deny ip 192.168.0.0 0.0.255.255 any log
access-list 111 deny ip 127.0.0.0 0.255.255.255 any log
access-list 111 deny ip 224.0.0.0 31.255.255.255 any log
access-list 111 deny ip host 0.0.0.0 any log
access-list 111 deny ip any any log
!
control-plane
!
banner login ^C
********************************************************
Router d'accesso Internet
E' proibito qualsiasi accesso non autorizzato
Unauthorized access prohibited
********************************************************
^C
!
line con 0
exec-timeout 60 0
login authentication auten-locale
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
no exec
transport preferred all
transport output all
stopbits 1
line vty 0 4
exec-timeout 60 0
login authentication auten-locale
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
end
conf con ip secco:
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description TGU=
ip address 87.xxx.xxx.xxx 255.255.255.252
ip access-group acl-inbound in
ip verify unicast reverse-path
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
no snmp trap link-status
pvc 8/35
encapsulation aal5snap
il resto non è importante