Gå til innhold

[Løst] Cisco 1841 - ny ruter i heimen

toreae

Av toreae
i Hjemmenettverk

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
toreae

toreae

Skrevet
  • Forfatter
Skrevet (endret)

Skal / kan de nye DHCP pool ligge innenfor den gamle?

 

no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
lease 0 1

Altså kan jeg bruke 192.168.10.20, eller 192.168.10.5. Eller må jeg bruke noe som 192.168.11.10?

 

Holder meg borte fra IOS-oppgraderings-saken til den blir ett problem.

Eller ikke, fant denne på nettet:

 

 

config t

no boot system flash:c2800nm-advsecurityk9-mz.12.4-15.T3.bin

 

Var kanskje ikke så vanskelig, da. :) .Burde husket at noen nevnte noe om no foran kommandoer. :hmm: Blir kanskje testet i morgen...

Endret av toreae
Lenke til kommentar
j--

j--

Skrevet
Skrevet

Fjern det IOS-et du ikke skal bruke fra config, og reboot. No boot system flash [...]

 

Husk at du må sette opp flere pools, med forskjellige navn. Ett for det som skal deles ut dynamisk, og så ett til hver av de enhetene som skal ha statisk oppføring.

 

Det kan lønne seg å heller sette opp de enhetene med statisk IP, og heller definere en excluded-range til DHCP-en.

Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

Har nå fått til DHCP-biningen. SSH er neste:

 

carter(config)#crypto key zeroize rsa
carter(config)#hostname hostname Allerede gjort
carter(config)#ip domain-name domainname Allerede gjort
carter(config)#crypto key generate rsa Lager ny RSA key
carter(config)#ip ssh authentication-retries 3
carter(config)#ip ssh time-out 120
carter(config)#ip ssh version 2
carter(config)#transport input telnet ssh

 

cisco(config)#line vty 0 4
cisco(config-line)#password 12345678
cisco(config-line)#login
cisco(config-line)#exit
cisco(config)#exit
cisco#wri

 

Dette er det jeg prøver på. Bruker SSH Secure shell til pålogging (funker fint til shorewall og dreambox). Får forbindelse, jeg blir bedt om passord, og logging i konsol / hyperterminal viser at noe er på gang. Men etter passordet, blir jeg bare bedt om passord på nytt. Log:

 

Sep 14 15:52:01.852: %SSH-5-SSH2_SESSION: SSH2 Session request from 192.168.10.7
7 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-md5' Succeeded
Sep 14 15:52:29.670: %SSH-5-SSH2_USERAUTH: User 'Tore' authentication for SSH2 S
ession from 192.168.10.77 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac
-md5' Failed
Sep 14 15:52:29.674: %SSH-5-SSH2_CLOSE: SSH2 Session from 192.168.10.77 (tty = 0
) for user 'Tore' using crypto cipher 'aes128-cbc', hmac 'hmac-md5' closed

 

Har egentlig ikke anelse hvor jeg skal begynne.

Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

Finner forøvrig ikke den andre linjen i konfigurasjonen (men den første). Antagligvis noe med at ting må på plass i riktig rekkefølge.

 

Så er det to ting som gjenstår, bruke de 4 portene (interfacene) , og brannmur med mulighet for åpne porter og server.

Brannmur ser jeg at det er et wizard i GUI-et, som jeg ikke skjønner mye av, så det for ligge for nå. Men portene, med Vlan, her er jeg helt blank.

 

I shorewall har man mulighet for inntil 4 nettverkskort: Rød wan, grønn sikret sone - kablet, lilla for wifi, orange for servere. Meningen er at fra orange skal man ikke nå til lilla og grønn, og fra lilla skulle man ikke nå til grønn. I tillegg skulle man ved innstallasonen velg mellom åpent, halvåpent, og lukket brannmur. Fritt etter hukommelsen. Dette nevner jeg for det er det jeg kan (litt om).

 

Cisco skal jo kombineres med D-linken til slutt. Men igjen, portene og Vlan, hvordan fungerer dette?

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet (endret)

For å opprette VLANs (eller rettere sagt routing av VLAN), så må du opprette sub-interfaces.. Det gjøres ved å legge til .X etter interface betegnelsen - eks: fa0/1.1

 

Da vil du komme inn i sub-interface menyen - Router(config-subif)#

 

Tips: For å ha en enkel, logisk struktur på sub-interfaces mot VLAN ID, bruk samme sub-interface, subnet IP og VID...

 

Eks:

Int fa0/1.10 (ubetydelig hvilken .X nummer - kan være hva som helst)

IP: 192.168.10.1

VLAN 10

 

Legg inn:

 

encapsulation dot1Q X (X = VID)

IP address <IP adresse> <mask>

 

NB! Det fysiske interfacet, altså fa0/1, må ikke være konfigurert med IP info! Du må fjerne alt som er satt opp på det interfacet, ink NAT.. Du må "overføre" dette til sub-interfacet/sub-interfacene.. Du må også opprette DHCP pooler for hvert VLAN du oppretter..

 

Det fysiske interfacet skal kun være aktivt - altså i no shut tilstand

 

Husk å lagre (do wr) og ta backup til tftp serveren din...

Endret av ChrisCo
Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet

Lurer på om det er det samme på min og din cisco (eller om jeg har missforstått):

 

firewall(config)#interface FastEthernet 0/0/3 Fungerer
firewall(config-if)#exit
firewall(config)#interface FastEthernet 0/0/3.10 Fungerer ikke
^
% Invalid input detected at '^' marker.

firewall(config)#

Ikke alt som er like bra med copy-past i forumet,men markøren står under F. Hvorfor den står der skjønner jeg ikke. Forøvrig er det åpenbart at jeg nå har vært igjennom det som er lett!

 

 

Har slått på alle FastEthernet 0/0/X og gitt Vlan1 en IP. Kan nå pinge.

 

firewall#sh ip interface brief
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.2.128 YES DHCP up up
FastEthernet0/1 192.168.10.1 YES NVRAM up up
FastEthernet0/0/0 unassigned YES unset down down
FastEthernet0/0/1 unassigned YES unset down down
FastEthernet0/0/2 unassigned YES unset down down
FastEthernet0/0/3 unassigned YES unset down down
Vlan1 192.168.20.1 YES manual up down
NVI0 unassigned YES unset administratively down

down
firewall#

 

NVIO dukker opp som nytt interface ved oppstart.

Lenke til kommentar
ChrisCo

ChrisCo

Skrevet
Skrevet (endret)

Er akkurat det jeg skrev sist, det fysiske interfacet skal kun være i no shut tilstand, mens konfigen legger du på sub-interface (fa0/1.X). Det/de blir det/de nye interfacet/interfacene...

 

Fa0/0/0-3 er vel ekstra modul(er) som er satt inn? Glem dem... Du bruker fa0/0 (WAN) og fa0/1 (LAN) (under normale omstendigheter- du trenger ikke å bruke de andre til noe)

Endret av ChrisCo
Lenke til kommentar
power

power

Skrevet
Skrevet

Har nå fått til DHCP-biningen. SSH er neste:

 

carter(config)#crypto key zeroize rsa

carter(config)#hostname hostname Allerede gjort

carter(config)#ip domain-name domainname Allerede gjort

carter(config)#crypto key generate rsa Lager ny RSA key

carter(config)#ip ssh authentication-retries 3

carter(config)#ip ssh time-out 120

carter(config)#ip ssh version 2

carter(config)#transport input telnet ssh

 

cisco(config)#line vty 0 4

cisco(config-line)#password 12345678

cisco(config-line)#login

cisco(config-line)#exit

cisco(config)#exit

cisco#wri

 

Dette er det jeg prøver på. Bruker SSH Secure shell til pålogging (funker fint til shorewall og dreambox). Får forbindelse, jeg blir bedt om passord, og logging i konsol / hyperterminal viser at noe er på gang. Men etter passordet, blir jeg bare bedt om passord på nytt. Log:

 

Sep 14 15:52:01.852: %SSH-5-SSH2_SESSION: SSH2 Session request from 192.168.10.7

7 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-md5' Succeeded

Sep 14 15:52:29.670: %SSH-5-SSH2_USERAUTH: User 'Tore' authentication for SSH2 S

ession from 192.168.10.77 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac

-md5' Failed

Sep 14 15:52:29.674: %SSH-5-SSH2_CLOSE: SSH2 Session from 192.168.10.77 (tty = 0

) for user 'Tore' using crypto cipher 'aes128-cbc', hmac 'hmac-md5' closed

 

Har egentlig ikke anelse hvor jeg skal begynne.

 

Router# conf t

Router(config)# line vty 0 4

Router(config-line)# transport input ssh telnet

Router(config-line)# login local

 

dette er hvis du ikke kjører aaa new-model

 

Etter dette burde ssh funke.

Lenke til kommentar
toreae

toreae

Skrevet
  • Forfatter
Skrevet (endret)

Har nå fått til FastEthernet0/0/X (kan pinge vg.no)

 

 

firewall#conf t
Enter configuration commands, one per line. End with CNTL/Z.
firewall(config)#interface FastEthernet0/0/3
firewall(config-if)#description Server
firewall(config-if)#no shutdown
firewall(config-if)#exit
firewall(config)#exit
firewall#wr
Gjentaes for 3 andre

firewall(config)#interface Vlan1
firewall(config-if)#description Virtual_lan
firewall(config-if)#ip address 192.168.20.1 255.255.255.0
firewall(config-if)#no shutdown
firewall(config-if)#exit
firewall(config)#exit
firewall#wr


firewall#conf t
firewall(config)#interface Vlan1
firewall(config-if)#ip nat enable
firewall(config-if)#ip nat inside

ip nat pool Server 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 2 interface FastEthernet0/0 overload
access-list 2 permit 192.168.20.0 0.0.0.255

 

 

 

Nåværende sh run

 

 

firewall#sh run
Building configuration...

Current configuration : 6798 bytes
!
! Last configuration change at 16:19:55 Prague Mon Sep 15 2014 by Tore
! NVRAM config last updated at 16:24:31 Prague Mon Sep 15 2014 by Tore
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname firewall
!
boot-start-marker
boot system flash c1841-advsecurityk9-mz.124-15.T12.bin
boot-end-marker
!
no logging buffered
no logging console
enable secret 5 XXXXXXXXXXXXXXXXXXXXXXXXXXX
!
no aaa new-model
clock timezone Prague 1
clock summer-time Prague date Mar 30 2003 2:00 Oct 26 2003 3:00
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.10.1 192.168.10.10
!
ip dhcp pool dhcppool1
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 8.8.8.8
lease 0 1
!
ip dhcp pool Tore-kabel
host 192.168.10.77 255.255.255.0
client-identifier 0100.235a.51d6.c3
lease 0 1
!
*********************SNIP**********Mange dhcp pool
!
ip dhcp pool dhcppool2
network 192.168.20.0 255.255.255.0
default-router 192.168.20.1
dns-server 8.8.8.8
lease 0 6
!
!
no ip domain lookup
ip domain name hjem.local
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-1972925063
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1972925063
revocation-check none
rsakeypair TP-self-signed-1972925063
!
!
crypto pki certificate chain TP-self-signed-1972925063
certificate self-signed 01
3082024B 308201B4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31393732 39323530 3633301E 170D3134 30393134 31333337
30395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 39373239
32353036 3330819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100B505 86890221 AB0E9D9A 4E5D9AA1 C6032560 A0F46D23 50D9B8A1 56F78105
FABDCBBF 69AB864B CA69FA63 4DC77E97 C2A210C2 96406C14 5DB9D7CF F2E1AF1F
80C6FEE5 07138382 771D9BE4 C74B4BCD 0F2BEA62 F93BBED4 8E627117 6E3AEFE5
22804684 95EA6583 91CCBC81 466C3609 C3FDFB14 4CA98BB1 A86E2FF3 1ED1E8EA
8CD90203 010001A3 73307130 0F060355 1D130101 FF040530 030101FF 301E0603
551D1104 17301582 13666972 6577616C 6C2E686A 656D2E6C 6F63616C 301F0603
551D2304 18301680 143A783D 92189D05 521C4D0D ADFA8F21 D4BCD954 65301D06
03551D0E 04160414 3A783D92 189D0552 1C4D0DAD FA8F21D4 BCD95465 300D0609
2A864886 F70D0101 04050003 81810042 963777BC 7B8922E0 2FE93072 E8023ACF
EECF1AD6 8F564EB1 289E432C DB9ACB14 93D8B335 BD52EDAC 0B8ECF39 6F5EA965
B9E9E999 1C881A98 A400BDE0 783EF52A 8B7F2A64 8EEF402D 853B6FB0 363A98B1
71B82BCB 7A6C58C5 4A398559 0D54C8FD 60E4D489 250510EA 4D84ECAF D9D19DD5
01D9EA05 C8116BB4 299A013C 3BD8E9
quit
!
!
username Tore privilege 15 password 7 XXXXXXXXXXXXXXXXXXX
archive
log config
hidekeys
!
!
!
!
controller SHDSL 0/1/0
termination cpe
!
no ip ftp passive
ip ssh version 2
!
!
!
interface FastEthernet0/0
description WAN_LINK
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description INSIDE_LAN$ES_LAN$
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
description Server
!
interface FastEthernet0/0/1
description Server
!
interface FastEthernet0/0/2
description Server
!
interface FastEthernet0/0/3
description Server
!
interface Vlan1
description Virtual_lan
ip address 192.168.20.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
!
no ip forward-protocol nd
!
!
ip http server
ip http authentication local
ip http secure-server
ip nat pool INSIDE_LAN 192.168.10.1 192.168.10.254 netmask 255.255.255.0
ip nat pool Server 192.168.20.1 192.168.20.254 netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/0 overload
!
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 2 permit 192.168.20.0 0.0.0.255
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 XXXXXXXXXXXXXXXXXX
login local
transport input telnet ssh
line vty 5 15
login local
!
scheduler allocate 20000 1000
ntp clock-period 17178557
ntp update-calendar
ntp server 193.212.1.10 source FastEthernet0/0
end

firewall#exit

 

 

 

Er veldig usikker på hva jeg har her, men det virker. Kan ping vg.no fra FastEthernet0/1 og alle 4 FastEthernet0/0/X. Har dog ikke sjekket mellom. Hvor ender inngående trafikk opp? Ellers kommentarer til oppsettet så langt?

 

Edit: lagt til noe.

Endret av toreae
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...