yuu_nkjm blog

[Cisco] ルータ(Cisco1801)の初期設定

大昔のログ(2008年3月頃)を今さらブログ記事化．

Ciscoルータへの接続

シスコルータにシリアルケーブル+シリアル-USBコンバータを繋いで，PuTTYで接続．したんだったかな…．

% Please answer 'yes' or 'no'.
Would you like to enter the initial configuration dialog? [yes/no]: yes
Press RETURN to get started!
Router> (Return)
Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

名前とパスワードの設定

Router(config)#hostname newcisco
newcisco(config)#
newcisco(config)#enable secret *****

newcisco(config)#line vty 0 4
newcisco(config-line)#
newcisco(config-line)#login
% Login disabled on line 194, until 'password' is set
% Login disabled on line 195, until 'password' is set
% Login disabled on line 196, until 'password' is set
% Login disabled on line 197, until 'password' is set
% Login disabled on line 198, until 'password' is set
newcisco(config-line)#password ****

次にパスワードの設定を行います。特権EXECモードに入るためのイネーブルパスワードを設定するには、
    * enable password
    * enable secret
の2つのコマンドがあります。enable secretコマンドで設定したパスワードは、 show running-configで設定を表示した時に暗号化されます。一方、enable password コマンドで設定したパスワードは、show running-configで設定を表示した時に暗号化されません。両方とも設定した場合は、enable secretコマンドで設定したパスワードが適用されます。パスワードが管理者以外に漏えいしてしまう可能性を小さくするために、enable secretコマンドでパスワードを設定します。

インタフェースの設定

newcisco#show running-config
 
Building configuration...
Current configuration : 606 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname newcisco
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$xxxxxxxxxxxxxxxxxx
!
no aaa new-model
ip cef
!
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto

show running-configでは物理アドレスがでないので，show intefaceを使う．

newcisco#show interface
FastEthernet0/0 is administratively down, line protocol is down
  Hardware is Gt96k FE, address is 00xx.xx33.xx4a (bia 00xx.xx33.xx4a)
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto Speed, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     9 packets output, 1656 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out
FastEthernet0/1 is administratively down, line protocol is down
  Hardware is Gt96k FE, address is 00xx.xx33.xx4b (bia 00xx.xx33.xx4b)
  MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Auto-duplex, Auto Speed, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes
     Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     9 packets output, 1656 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

IPアドレスを割り当てる．

newcisco#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line.  End with CNTL/Z.
newcisco(config)#interface FastEthernet0/0
newcisco(config-if)#ip address 1xx.xx.2x.1xx 255.255.255.224
newcisco(config-if)#no shutdown
newcisco(config-if)#exit

インタフェースのIPアドレスの設定と状態(up/down)を確認するには次のようないくつかのコマンドがあります。
* show ip interface brief
  インタフェースのIPアドレス、状態を一覧表示
* show interface
  インタフェースのレイヤ1、レイヤ2の情報を中心として表示
* show ip interface
  インタフェースのレイヤ3の情報を中心として表示

newcisco(config)#interface FastEthernet0/1
newcisco(config-if)#ip address 1xx.xx.xx.129 255.255.255.224
newcisco(config-if)#no shutdown
newcisco(config-if)#exit
newcisco(config)#exit
newcisco#write memory
Building configuration...
[OK]

newcisco(config)#interface FastEthernet0/0
newcisco(config-if)# ip access-group 110 in
newcisco(config-if)# ip access-group 100 out
newcisco(config-if)# no ip directed-broadcast
newcisco(config-if)#exit
newcisco(config)#interface FastEthernet0/1
newcisco(config-if)# ip access-group 120 out
newcisco(config-if)# no ip directed-broadcast
newcisco(config)#ip default-gateway 1xx.xx.x.190
newcisco(config)#service password-encryption
newcisco(config)#clock timezone JST 9
newcisco(config)#ip subnet-zero
newcisco(config)#ip classless
newcisco(config)#ip route 0.0.0.0 0.0.0.0 1xx.xx.xx.190
newcisco(config)#logging trap debugging
newcisco(config)#logging facility local0
newcisco(config)#logging source-interface FastEthernet0/1
newcisco(config)#logging 1xx.xx.xx.x32

access-list 100 permit tcp host 1xx.xx.xx.152 any eq smtp log
access-list 100 deny   ip any any log
access-list 110 deny   ip 1xx.xx.xx.64 0.0.0.63 any log
access-list 110 deny   ip any any log

CiscoのIOSでは、サブネット0を使うかどうかは、『ip subnet-zero』コマンドで指示するようになっています。
Rotuer(config)#ip subnet-zero
●デフォルトルートの設定
デフォルトルートを指定するには、特別なネットワークアドレスと特別なサブネットマスクを使って設定します。
Router(config)#ip route 0.0.0.0 0.0.0.0 {ネクストホップ}
　「ip classless」を設定がないと、デフォルトルートが使われないのかを検証してみるので、Cisco IOS 11.3以降を搭載しているルータを使う場合には、グローバル設定モードで「no ip classless」コマンドを入力ておいて下さい。
◆ip http server（ルータ）
ルータ上のHTTPサービスを起動するには、「ip http server」コマンドを使います。
●ルータ上のhttpサーバを起動する
Router(config)#ip http server
logging trap
    syslogのlevelを指定します。ログ出力先のホストはloggingコマンドで指定します。
［入力モード］
    config
［入力形式］
    情報の設定
        logging trap  
    情報の削除
        no logging trap 
［パラメータ］
    
        下記，キーワードまたは番号を指定します。
        7またはdebugging
            Debugging messagesが指定されます 
  []
    range   (オペレータを用いたポート番号・範囲の指定
established
    TCPコネクション確立の許可を設定します。

シリアルコンソールでリアルタイムログを出したくない

Router(config)#no logging console
Router(config)#no enable password
ip classless
line vty 0 4
 ! telnetとsshだけにする。sshは入らないバージョンもあり
 transport input telnet ssh
 access-class 120 in
 exec-time 5 0
 login
 password myPassword
! アクセスリストでtelnetできるホストを制限する
access-list 120 permit x.x.x.x

DNS 検索を無効にする方法

コマンド名をタイプミスしただけでDNSを検索されるのがツライ．

Router(config)#no ip domain-lookup

コンソールログが出てもプロンプトに自動復帰する

Router(config)#line con 0
Router(config-line)#logging synchronous