Предварительный список команд и примерная визуализация

реклама
Предварительный список команд и примерная визуализация
Планирую команды разделить на блоки
1. Настройка самого маршрутизатора (базовая настройка)
2. Настройка защиты маршрутизатора (пароли?)
3. Настройка правил фильтрации (ACL)
4. Настройка статической маршрутизации
5. Настройка динамической маршрутизации (BGP)*
6. Настройка трансляции NAT/PAT
7. Настройка правил качества обслуживания (QoS)
8. Настройка межсетевого экрана
9. Настройка правил IPS*
10. Настрока правил логгирования*
1. Настройка маршрутизатора (базовая)
Команда
Описание
Визуализация
1
(config)# hostname {ИМЯ}
Задает имя хоста
Табличка на башне
2
(config)# interface {INT}
Переход в режим настройки
интерфейса
3
(config-if)# ip address {NET} {MASK}
Задает адрес интерфейсов
4
(config-if)# bandwidth {ПОЛОСА}
Задает скорость для расчета QoS
5
(config-if)# shutdown
«опускает» интерфейс
6
# write
Сохраняет текущий конфиг в файл
начальной загрузки
7
# copy running-config startup-config
Сохраняет текущий конфиг в файл
начальной загрузки
8
# show interface [{INT}]
Показать состояние интерфейса и
количество ошибок
Примечание
Не визуализируется
Нужна ли?
Зарываются ворота
Открыть — no shut
Только из консоли
Показать текущую конфигурацию
Только из консоли
10 # show startup-config
Показать начальную конфигурацию
Только из консоли
11 # show ip interface brief
Показать все адреса всех
интерфейсов
Только из консоли
9
# show running-config
2. Настройка защиты маршрутизатора
Команда
Описание
Визуализация
Примечание
1
(config)# enable secret {PASSWORD}
Пароль на вход в привилегированный ЗамОк?
режим
2
(config)# line vty {#}-{#}
Вход в режим настройки
терминальных линий (удаленного
доступа)
Не визуализир.
3
(config-line)# password {PASS}
Задает пароль на доступ по telnet
Для удаленного доступа
4
(config-line)# login
Разрешает входить удаленно
Для удаленного доступа
5
(config-line)# login local
Задает использование локального
пользователя для аутентификации
Для удаленного доступа
6
(config)# username {ИМЯ} password
{ПАРОЛЬ}
Задает локального пользователя
Для удаленного доступа
3. Настройка правил фильтрации
1
Команда
Описание
(config)# access-list #
Стандартный список доступа с
Визуализация
Примечание
Проверяется только
{permit|deny|remark} {SNET}
{SMASK}
номером #
адрес источника
2
(config)# access-list #
{permit|deny|remark} {PROT} {SNET}
{SMASK} [{eq|neq} {SPORT}]
{DNET} {DMASK} [{eq|neq}
{DPORT}]
Расширенный список доступа с
номером #
Любой ACL
проверяется построчно
сверху вниз до первого
совпадения
3
(config)# ip access-list standard {ИМЯ}
Задает поименованный стандартный
список доступа {ИМЯ}
Поименованные и
нумерованные листы
работают одинаково
4
(config)# ip access-list extended {ИМЯ} Задает поименованный расширенный
список доступа {ИМЯ}
5
(config-std-nacl)# {permit|deny|remark}
{SNET} {SMASK}
Задает строку поименованного
стандартного списка доступа
6
(config-ext-nacl)# {permit|deny|remark}
{PROT} {SNET} {SMASK} [{eq|neq}
{SPORT}] {DNET} {DMASK}
[{eq|neq} {DPORT}]
Задает строку поименованного
расширенного списка доступа
7
(config-if)# ip access-group {ИМЯ}
{in|out}
Применение списка доступа на
интерфейс
8
# show access-list
Посмотреть списки доступа
9
4. Настройка статической маршрутизации
Проверяются: протокол
(TCP/UDP), адреса
источника и назначения,
а также могут
проверяться порты
источника и назначения
Табличка на входе
Наверно, out не нужен,
если у нас в башне всего
2 интерфейса.
Применение
несуществующего
списка доступа не
влияет на трафик
Только из консоли?
Команда
Описание
Визуализация
Примечание
1
(config)# ip routing
Включить маршрутизацию IPv4
Появляется башня. До этого — Без маршрутизации —
прямая дорожка от ратуши?
глобальный адрес на
ратуше и шлюз — адрес
провайдера
2
(config)# ip route {NET} {MASK}
{next-hop}
Задает маршрут в сеть NET/MASK с
адресом пересылки next-hop
Появляется указатель?
Маршрут по умолчанию
пишется
ip route 0.0.0.0 0.0.0.0
{next-hop}
3
# show ip route
Посмотреть таблицу маршрутизации
Визуализация
Примечание
5. Настройка динамической маршрутизации (BGP)*
Пока пропустим. Это на будущее
6. Настройка NAT/PAT
Команда
Описание
1
(config-if)# ip nat {inside|outside}
Указать, что интерфейс работает с
трансляциями и в каком направлении
Inside – внутренний
outside - внешний
2
(config)# ip nat inside source static
{LOC_IP} {GLOB_IP}
Связывает LOC_IP с GLOB_IP.
Анонс сервиса: РЕКЛАМА?
Позволяет подменять как адрес
источника при выходе наружу, так и
адрес назначения при проходе внутрь
Используется для
анонсирования сервисов
наружу, т.к. Можно
обратиться на GLOB_IP
и попасть на LOC_IP
3
(config)# ip nat pool {ИМЯ} {start_ip}
{end_ip}
Пул адресов для выдачи клиентам
4
(config)# ip nat inside source list {ACL} Задает динамическую трансляцию
Если пул исчерпан, то
pool {ИМЯ}
NAT (адрес в адрес)
новые ждут
5
(config)# ip nat inside source list {ACL} Задает динамическую трансляцию
pool {ИМЯ} overload
PAT (запоминает порты)
Позволяет выпустить
наружу очень много
клиентов
6
(config)# ip nat inside source list {ACL} NAT в адрес интерфейса
interface {INT}
Очень коварная
команда: наружу выйдет
только 1 комп
7
(config)# ip nat inside source list {ACL} РАТ в адрес интерфейса
interface {INT} overload
Можно выпустить
много
8
# show ip nat translations
Показать трансляции
В течение часа покажет
то, что было сделано на
предыдущем шаге?
7. Настройка правил качества обслуживания (QoS)
Команда
Описание
1
(config)# class-map {CLASSNAME}
Создает класс трафика
2
(config-cmap)# match {ACL}
Описывает, что попадает в этот класс
3
(config)# policy-map {POLICYNAME}
Создает политику обработки трафика
4
(config-pmap)# class {CLASSNAME}
Задает действие для выбранного
класса
5
(config-pmap-с)# priority
Указывает на приоритетную
обработку пакетов класса
6
(config-pmap-с)# police {SPEED}
Указывает максимальную скорость
для передачи пакетов этого класса
7
(config-if)# service-policy {input|output} Применяет политику на интерфейс
{POLICYNAME}
Визуализация
Примечание
Дорога делится на полосы
Наверно, достаточно
только политики на
output, т.к. у нас все
линки точка-точка
8
# show policy-map
Покажет настройки политики
9
# show policy-map interface {INT}
Покажет статистику
Только из консоли
8. Настройка межсетевого экрана
Команда
Описание
1
(config)# ip inspect name {INS}
{PROTOCOL}
Описывает правило, по которому
будем запоминать сессии
2
(config)# ip inspect name maxincomplete {high|low}
Позволяет задать максимальное
(high) кол-во полуоткрытых сессий
(будет рубить до low)
3
(config-if)# ip inspect {INS} {in|out}
Применяет правило МСЭ на
интерфейс
4
# show ip inspect sessions
Покажет кэш сессий, созданных в
предыдущем часе.
9,10,11 в процессе доработки (дополнительное)
ЗЫ Надо будет обсудить мозговым штурмом визуализации. Думайте, коллеги.
Визуализация
Примечание
Если ответный пакет не
прибежал на следующей
итерации, убираем все
записи о ней (NAT, FW).
Если не применять эту
технологию, пусть будут
эти записи виеть долго и
тратить кэш NAT и FW
Какая-нибудь хрень должна
быть
консоль
Скачать