そのため、ルーターを開梱し、最新のファームウェアを入力します(SSHには少なくともAdvanced Securityが必要です)
#erase startup-config
事前に設定されたガベージとオーバーロードを取り除くため。
SSH認証とアクセスを構成する
! パスワード暗号化を有効にする
service password-encryption
! 新しいAAAモデルとローカルユーザーベースを使用する
aaa new-model
aaa authentication login default local
! 最大の権限を持つユーザーを取得します
username admin privilege 15 secret PASSWORD
! ルーターに名前を付けます
hostname <...>
ip domain-name router.domain
! SSHのキーを生成します
crypto key generate rsa modulus 1024
! SSHのチューニング
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! リモートコンソールで有効にします
line vty 0 4
transport input telnet ssh
privilege level 15
ルーティングのセットアップ
! 加速パケット交換を有効にする
ip cef
時間設定
! タイムゾーンGMT + 2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! NTPシステムクロックの更新
ntp update-calendar
! DNSサーバーが過負荷にならない場合、名前による設定が飛び去るので、IPでntpサーバーを設定することをお勧めします...
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP
構成アーカイブ
! すべての構成変更のアーカイブを有効にし、ログにパスワードを隠します
archive
log config
logging enable
hidekeys
! 構成変更履歴はコマンドで表示できます
show archive log config all
DNSセットアップ
! 名前解決を有効にする
ip domain-lookup
! 内部DNSサーバーをオンにします
ip dns server
! DNSプロバイダーを登録する
ip name-server XXX.XXX.XXX.XXX
! 念のため、いくつかのパブリックDNSサーバーを追加します
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220
LANセットアップ
! 通常、ルーターの内部スイッチのポートはVlan1で結合されます
interface Vlan1
description === LAN ===
ip address 192.168.???.1
! インターフェース上でクライアントに送信されたパケットのカウントを有効にします-誰がトラフィックを食べているかを見るのが便利です
ip accounting output-packets
! チームごとに統計を見ることができます
show ip accounting
! クリア
clear ip accounting
DHCPサーバーのセットアップ
! プールからいくつかのアドレスを除外する
ip dhcp excluded-address 192.168.???.1 192.168.???.99
! アドレスプールを構成します
ip dhcp pool LAN
network 192.168.???.0 255.255.255.0
default-router 192.168.???.1
dns-server 192.168.???.1
インターネットとファイアウォールを構成する
! 着信トラフィックのフィルターを構成します(デフォルトでは、すべてが禁止されています)
ip access-list extended FIREWALL
permit tcp any any eq 22
! ローカルネットワークとインターネット間のトラフィック検査を有効にします
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic
! インターネット上のポートを構成し、保護をかける
interface FastEthernet0/0
description === Internet ===
ip address ???.???.???.??? 255.255.255.???
ip virtual-reassembly
ip verify unicast reverse-path
no ip redirects
no ip directed-broadcast
no ip proxy-arp
no cdp enable
ip inspect INSPECT_OUT out
ip access-group FIREWALL in
! そして最後に、デフォルトゲートウェイ
ip route 0.0.0.0 0.0.0.0 ???.???.???.???
NATセットアップ
! インターネットインターフェース上
interface FastEthernet0/0
ip nat outside
! ローカルインターフェース上
interface Vlan1
ip nat inside
! NATにアクセスできるIPのリストを作成します
ip access-list extended NAT
permit ip host 192.168.???.??? any
! 外部インターフェイスでNATを有効にします
ip nat inside source list NAT interface FastEthernet0/0 overload
! 一般的なプロトコルの検査を追加
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp
不要なサービスを無効にする
no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server
UPD。 habroyuzerのアドバイスで不要なものを削除
UPD2。 不要なサービスを無効にする機能を追加しました
UPD3。 ファイアウォールの設定を変更しました( Fediaに感謝)