En este tutorial desarrollaremos algunas configuraciones básicas y no tan básicas; teniendo en cuenta que ya sabemos acceder al mismo con privilegios de ENABLE con conocimientos de comandos. Tomaremos como ejemplo un equipo Cisco de la serie 800, para ser más preciso un Router Cisco 831.
--Contraseñas
Router(config)#service password-encryption
Router(config)#hostname ************ (nombre que deseamos)
Router(config)#enable secret ************ (password de enable)
--Contraseñas de Telnet
Router(config)#line con 0
Router(config-line)#password ************ (contraseña deseada)
Router(config-line)#login local
Router(config)#line vty 0
Router(config-line)#password ************ (contraseña deseada)
Router(config-line)#login local
--Configuración de DHCP Server
ip dhcp binding cleanup interval 10
ip dhcp excluded-address 10.17.10.1 10.17.10.50
ip dhcp excluded-address 10.17.10.151 10.17.10.254
ip dhcp ping packets 0
ip dhcp pool BUENO_SAIRES
network 10.17.10.0 255.255.255.0
dns-server 10.16.0.10 10.16.0.8
default-router 10.17.10.254
netbios-name-server 10.16.0.10 10.16.0.8
domain-name rquagliano.com
lease 8
--Calidad de servicio
class-map match-all citrix
match access-group 110
class-map match-all voice
match precedence 5
class-map match-all bajaprioridad
match any
policy-map QOS
class voice
priority 25
class citrix
class bajaprioridad
bandwidth remaining percent 10
random-detect
--Crypto (configuracion de un tunel contra el ASA)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORS_DEL_TUNEL address 200.71.236.2 (PEER)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
crypto map mapa 20 ipsec-isakmp
set peer 200.71.236.2
set transform-set trans1
match address Nombre_ACCESSLIST
ip access-list extended Nombre_ACCESSLIST
permit ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
permit ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
-- Interfaces
interface Ethernet0
ip address 10.17.10.254 255.255.255.0
no logging event link-status
no cdp log mismatch duplex
no shutdown
interface Ethernet1
ip address *********** 255.255.255.248
service-policy output QOS
duplex auto
crypto map mapa
no shutdown
interface FastEthernet1
no shutdown
no keepalive
interface FastEthernet2
no shutdown
no keepalive
interface FastEthernet3
no shutdown
no keepalive
interface FastEthernet4
no shutdown
no keepalive
ip classless
ip route 0.0.0.0 0.0.0.0 ***.***.***.**** (default gateway)
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
--Aaccess list
ip access-list standard administracion
permit 200.71.235.128 0.0.0.15
permit 200.71.238.128 0.0.0.15
permit 10.1.8.0 0.0.0.255
permit 200.71.236.0 0.0.0.7
permit 10.16.0.0 0.0.0.255
--Access list para nateo y salida a internet
ip access-list extended nat-internet
deny ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
deny ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
deny ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 any
permit ip 10.17.1.0 0.0.0.255 any
--Nat para salir a internet
ip nat inside source list nat-internet interface FastEthernet4 overload
****NO OLVIDAR DE QUE SI QUEREMOS QUE HAGA NAT DEBEREMOS COLOCAR LO SIGUIENTE****
En la Interface Externa
ip nat outside
En la Interface Interna
ip nat inside
--Habilitando SNMP
snmp-server community public RO
snmp-server enable traps tty
Con estos comandos podremos resolver la configuración de un túnel contra un ASA 5500. En otro tutorial explicaremos la otra pata de la configuración, la del lado del ASA.
--Contraseñas
Router(config)#service password-encryption
Router(config)#hostname ************ (nombre que deseamos)
Router(config)#enable secret ************ (password de enable)
--Contraseñas de Telnet
Router(config)#line con 0
Router(config-line)#password ************ (contraseña deseada)
Router(config-line)#login local
Router(config)#line vty 0
Router(config-line)#password ************ (contraseña deseada)
Router(config-line)#login local
--Configuración de DHCP Server
ip dhcp binding cleanup interval 10
ip dhcp excluded-address 10.17.10.1 10.17.10.50
ip dhcp excluded-address 10.17.10.151 10.17.10.254
ip dhcp ping packets 0
ip dhcp pool BUENO_SAIRES
network 10.17.10.0 255.255.255.0
dns-server 10.16.0.10 10.16.0.8
default-router 10.17.10.254
netbios-name-server 10.16.0.10 10.16.0.8
domain-name rquagliano.com
lease 8
--Calidad de servicio
class-map match-all citrix
match access-group 110
class-map match-all voice
match precedence 5
class-map match-all bajaprioridad
match any
policy-map QOS
class voice
priority 25
class citrix
class bajaprioridad
bandwidth remaining percent 10
random-detect
--Crypto (configuracion de un tunel contra el ASA)
crypto isakmp policy 1
encr 3des
authentication pre-share
group 5
crypto isakmp key PASSWORS_DEL_TUNEL address 200.71.236.2 (PEER)
crypto ipsec transform-set trans1 esp-3des esp-sha-hmac
crypto map mapa 20 ipsec-isakmp
set peer 200.71.236.2
set transform-set trans1
match address Nombre_ACCESSLIST
ip access-list extended Nombre_ACCESSLIST
permit ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.255.255
permit ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
-- Interfaces
interface Ethernet0
ip address 10.17.10.254 255.255.255.0
no logging event link-status
no cdp log mismatch duplex
no shutdown
interface Ethernet1
ip address *********** 255.255.255.248
service-policy output QOS
duplex auto
crypto map mapa
no shutdown
interface FastEthernet1
no shutdown
no keepalive
interface FastEthernet2
no shutdown
no keepalive
interface FastEthernet3
no shutdown
no keepalive
interface FastEthernet4
no shutdown
no keepalive
ip classless
ip route 0.0.0.0 0.0.0.0 ***.***.***.**** (default gateway)
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
--Aaccess list
ip access-list standard administracion
permit 200.71.235.128 0.0.0.15
permit 200.71.238.128 0.0.0.15
permit 10.1.8.0 0.0.0.255
permit 200.71.236.0 0.0.0.7
permit 10.16.0.0 0.0.0.255
--Access list para nateo y salida a internet
ip access-list extended nat-internet
deny ip 10.0.1.0 0.0.0.255 10.16.0.0 0.0.0.255
deny ip 10.0.1.0 0.0.0.255 10.17.0.0 0.0.255.255
deny ip 10.17.1.0 0.0.0.255 10.16.0.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 any
permit ip 10.17.1.0 0.0.0.255 any
--Nat para salir a internet
ip nat inside source list nat-internet interface FastEthernet4 overload
****NO OLVIDAR DE QUE SI QUEREMOS QUE HAGA NAT DEBEREMOS COLOCAR LO SIGUIENTE****
En la Interface Externa
ip nat outside
En la Interface Interna
ip nat inside
--Habilitando SNMP
snmp-server community public RO
snmp-server enable traps tty
Con estos comandos podremos resolver la configuración de un túnel contra un ASA 5500. En otro tutorial explicaremos la otra pata de la configuración, la del lado del ASA.
