Configurare router cisco 827

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
lcr
n00b
Messaggi: 7
Iscritto il: mar 05 apr , 2005 1:12 pm

Ciao a tutti, sono nuovo di questo forum, e avrei bisogno di una mano.
Prima di tutto qual'e' il comando per la cancellazione della configurazione? Oppure come posso caricare una nuova configurazione cancellando quella vecchia?

Nella mia azienda abbiamo un contratto ADSL telecom businness SMART 5, la seguente configurazione puo' andare bene, o si potrebbe ottimizzare/velocizzare? Infatti il router per riconnettersi alla portante impiega molto tempo:

Grazie a tutti per la collaborazione e per la pazienza in caso di c***a pronunciate dal sottoscritto :oops: :oops: :oops: :oops: :oops:
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Ultima modifica di lcr il mar 05 apr , 2005 2:21 pm, modificato 1 volta in totale.
Top
Roby
Cisco fan
Messaggi: 53
Iscritto il: gio 31 mar , 2005 10:30 am
Località: Trieste

Ciao Icr,
per cancellare la configurazione del router devi cancellare la configurazione dello startup config con il comando:

Router#erase startup-config

e riavviare. A questo punto puoi caricare una nuova.

Per quanto riguarda la config. del tuo router, mi sembra che vada bene,
farei a questo punto alcune modifiche:

Router(config)#no ip http server
(non per la veloocità ma per sicurezza)

Inoltre attenzione a quando inserisci un file di configurazione in un forum. La password di enable a un sistema di criptatura che è reversibile.

Ciao
Top
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:
Contatta TheIrish

Per quanto riguarda la riconnessione, non ho mai visto un router cisco veloce in questa fase, ma non dovrebbe essere un problema, visto che normalmente si opta per una situazione always-on.
Seconda cosa, c'è un elemento che secondo me potrebbe essere pensato diversamente, ovvero:
ip nat inside source list 101 interface ATM0.1 overload
access-list 101 permit udp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any any eq 443
access-list 101 permit tcp any any eq 1435
access-list 101 permit tcp any any eq 1436
access-list 101 permit tcp any any eq 143
access-list 101 permit udp any any eq isakmp
access-list 101 permit udp any any
access-list 101 permit tcp any any
Ecco, questi comandi assieme funzionano, ma non hanno altro risultato che appensantire l'operazione di nat.
Immagino tu volessi costruire una specie di firewall, ma non è quello che hai fatto, in quanto l'acl 101 permette tutto. In più, lo scopo di quella ACL non è quello di filtrare, ma di informare il NAT su cosa nattare e tra l'altro questa ACL non lo fa, gravando ulteriormente sul lavoro di NAT.
Ne consegue che io rivedrei la cosa, sostituendo le istruzioni qui sopra con:
ip nat inside source list 50 interface ATM0.1 overload
access-list 50 permit 10.0.0.0 0.0.0.255
Se poi vuoi creare delle ACL a scopo di sicurezza, questo è tutt'altro discorso e possiamo vederlo insieme con calma se ti va.
Top
lcr
n00b
Messaggi: 7
Iscritto il: mar 05 apr , 2005 1:12 pm

Grazie mille per la pronta risposta.
Ok come da tuo suggermento ho modificato la configurazione e ho tolto la password criptata. Non sapevo che l'argoritmo di criptazione fosse noto :shock: :shock: :shock:

Per il resto ti faccio un'altra domanda: perche' devo utilizzare 2 ATM? non posso fare cosi'?

....
interface Ethernet0
ip address 10.0.0.250 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface ATM0
ip address xx.xx.xx.xxx 255.255.255.0
no ip directed-broadcast
ip nat outside
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
!
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.xxx
!
ip nat pool test xx.xx.xx.xxx xx.xx.xx.xxx netmask 255.255.255.0
ip nat inside source list 101 pool test overload
ip classless
!
....

Comunque grazie mille ancora per la pronta risposta :D :D
Top
lcr
n00b
Messaggi: 7
Iscritto il: mar 05 apr , 2005 1:12 pm

TheIrish ha scritto:
ip nat inside source list 50 interface ATM0.1 overload access-list 50 permit 10.0.0.0 0.0.0.255
Pensi allora che sostituendo la mia ACL 101, semplicemente con quello che hai scritto tu, otterrei lo stesso risultato? Ho capito bene, oppure ho interpretato male qualcosa?
TheIrish ha scritto:Se poi vuoi creare delle ACL a scopo di sicurezza, questo è tutt'altro discorso e possiamo vederlo insieme con calma se ti va.
Allora prima di tutto mi piacerebbe creare una ACL abbastanza sicura in questo senso:

1) Esempio funzionante di ACL dove abbiamo tutte le porte chiuse e possiamo aprire solo quelle che ci interessano.

2) La possibilita' di fare dei port-fowarding ad un indirizzo ip residende all'interno della nostra rete (esempio: per fare un server ftp)

3) rendere tutte le porte invisibili ai ping esterni (so che nei router D-LINK questo si ottiene facendo un port-fowarding ad un indirizzo ip non utilizzato nella rete locale).

Grazie mille ancora per la pazienza concessa :roll: :roll: :roll: :roll: :roll:
Top
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:
Contatta TheIrish

Sì, il risultato è il medesimo, anzi, otterresti lo stesso risultato, solo + scattante.
Per quanto riguarda le ACL, premetto un po' di specifiche che renderanno il tutto più chiaro:
- Le ACL vanno applicate alle interfacce indicando il verso nel quale vengono eseguite, considerando la direzione come se si fosse dentro il router
- quando un pacchetto entra (o esce) viene esaminato secondo le regole descritte dall'acl relativa. Appena una riga dell'acl descrive il pacchetto che è in transito, viene presa la decisione e l'acl non prosegue. Esempio, se noi:
permit tcp any any
deny tcp any any eq www
che decisione viene presa se entra un dato verso la porta 80 (www)? Viene accettato anche se noi abbiamo esplicitato il contrario perché le acl vengono scrose con criterio posizionale, e il permit viene prima.
- Useremo la stateful inspection, uno strumento tanto potente quanto ignorato da molti.

Vediamo un esempio:

Codice: Seleziona tutto

access-list 150 permit udp host <dns_primario> eq domain any
access-list 150 permit udp host <dns_secondario> eq domain any
access-list 150 permit tcp any any established
Le prime due righe dicono di accettare le risposte dai 2 dns fornitici dall'isp, la terza dice di accettare il traffico tcp che è stato richiesto nel senso opposto (idealmente dalla LAN). Il resto viene negato!
Applicando questa ad una atm0.1, faresti i 3/4 del lavoro!
Se poi vogliamo rendere accesso ad un servizio particolare, sia un server ftp attivo, basterà aprire la porta così:

Codice: Seleziona tutto

access-list 150 permit tcp any any eq ftp
access-list 150 permit tcp any any eq ftp-data
Ricorda però che questo non basta. E' necessario anche creare una nat statica. Sempre con l'esempio di ftp, ammettendo che il server sia installato su 192.168.0.2

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.2 21 interface atm0.1 21
ip nat inside source static tcp 192.168.0.2 20 interface atm0.1 20
Per concludere, il motivo per cui è necessaria una subinterfaccia è legata alla polifunzionalità del router. ATM puro è una cosa, ATM utilizzata come point-to-point è un'altra
Top
Rispondi

Torna a “Configurazioni”