Настроил два ESR-100 (master, backup) вот так:
Код: Выделить всё
hostname esr.master
boot host auto-config
object-group service ssh
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group service ntp
port-range 123
exit
object-group network nat_1
ip address-range 10.10.1.3
exit
object-group network nat_2
ip address-range 10.10.1.4
exit
syslog max-files 3
syslog file-size 512
syslog cli-commands
syslog sequence-numbers
syslog file tmpsys:syslog/default info
security zone trusted
exit
security zone untrusted
exit
interface gigabitethernet 1/0/1
description "local"
ip firewall disable
ip address 192.168.1.2/24
vrrp id 10
vrrp ip 192.168.1.1/24
vrrp group 10
vrrp
exit
interface gigabitethernet 1/0/2
description "network_1"
ip firewall disable
ip address 192.168.2.9/30
vrrp id 20
vrrp ip 10.10.1.11/29
vrrp group 10
vrrp
exit
interface gigabitethernet 1/0/3
description "network_2"
ip firewall disable
ip address 192.168.2.29/30
ip address 10.10.2.3/29
ip address 10.10.2.4/29
vrrp id 30
vrrp ip 10.10.2.5/29
vrrp group 10
vrrp
exit
interface gigabitethernet 1/0/4
security-zone trusted
exit
nat destination
pool 1
ip address 192.168.1.32
exit
pool 2
ip address 192.168.1.33
exit
ruleset dnat
from interface gigabitethernet 1/0/3
rule 1
match protocol tcp
match destination-address nat_1
action destination-nat pool 1
enable
exit
rule 2
match protocol tcp
match destination-address nat_2
action destination-nat pool 2
enable
exit
exit
exit
ip route 192.168.100.1/32 10.10.1.9
ip route 192.168.200/25 10.10.2.8
ip ssh server
Все работает.
Теперь нужно настроить безопасность и здесь у меня мозг сломался
Первое что бы хотелось сделать, это ограничить доступ к устройствам.
- Подключение по ssh разрешить только определенным пользователям, а admin запретить
- admin разрешить подключаться только через консольный порт
- Использовать локальную аутентификацию
- По ssh разрешить подключаться из сети (может даже только с определенных адресов) которая находиться за первым портом, с других портов и сетей доступ запретить.
- telnet вроде уже выключил...
далее в планах настроить firewall и Access Control List, больше не знаю что и для чего настраивать, но это все позже. С начала нужно разобраться с доступом к устройствам.