ho installato in un ced di un grosso provider un router 2811, un pix 501 e un catalyst 2950, così assemblati, il cisco 2811 ha la fa0/0 connessa con il ced e la fa0/1 divisa in 4 sotto interfacce in trunk con il catalyst 2950, che è diviso in 4 vlan, la vlan 11 è su una porta su cui è connesso il pix 501, la vlan 12 attiva su più porte con vari server di tipo web,mail,dns e la vlan 13 su altre porte con connessi server voip (asterisk) in realtà questi server arriveranno tra un pò.
Ora la security per i server dietro al pix se la fai lui direttamente mentre quella per vlan 12 e 13 la fà il 2811.
Ho pensato di appilcare alla fa0/0 un inspect tcp e udp in IN e non appilcare direttamente sulla fa0/0 le access-list come in realtà dice cisco, ma le ho applicate alle subinterface in out, così da poter diversificare le access-list in base a i server che stanno dietro alle varie subinterface, visto che sono state creati in basa a una tipologia di applicazione più o meno, inoltre sul 2811 ho attivato la possibilità di collegarmi in vpn tramite il client vpn per fare management di lui e del catalyst se non sono nel mio ufficio da dove invece è possibile direttamente il telnet.
Cmq vi posto la conf del 2811 che monta come ios la "c2800nm-advsecurityk9-mz.124-1b"
P.s. sulla fa0/0 c'è un pubblico in classe /30 solo per ptp con il ced che poi mi gira una rete da 64 indirizzi che io mi sono subnettato utilizzando le subinterface, anche se ora non li uso tutti.......
Ancora una cosa sulla fa0/1.2 ho applicato un inspect in "IN" più che per il controlle dei pachetti generati dal mio server ma per aprirmi le porte di rientro visto che un access-list in out sulla stessa subint......
Codice: Seleziona tutto
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname router2811
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$bQZL$cKuvgfrpshhXxuYSMGwwH.
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
ip inspect name myfw-global tcp
ip inspect name myfw-global udp
ip inspect name myfw-sty tcp
ip inspect name myfw-sty udp
ip inspect name myfw-sty ftp
ip inspect name myfw-sty telnet
ip inspect name myfw-sty ssh
ip inspect name myfw-sty smtp
ip inspect name myfw-sty imap
ip inspect name myfw-sty pop3
ip inspect name myfw-sty http
ip inspect name myfw-sty https
ip inspect name myfw-sty dns
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
!
!
!
username cisco password 0 cisco
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group vpnclient
key cisco123
domain test.it
pool vpnpool
acl vpn-match
!
!
crypto ipsec transform-set myset esp-3des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface FastEthernet0/0
ip address IP-PUBBLICO-PTP-CON-PROVIDER 255.255.255.252
ip inspect myfw-global in
duplex auto
speed 100
crypto map clientmap
!
interface FastEthernet0/1
no ip address
duplex full
speed 100
!
interface FastEthernet0/1.1
encapsulation dot1Q 11
ip address IP-PUBBLICO-VERSO-IL-PIX 255.255.255.252
no snmp trap link-status
!
interface FastEthernet0/1.2
encapsulation dot1Q 12
ip address IP-PUBBLICO-VERSO-SERVER-WEB-MAIL 255.255.255.248
ip access-group permit-sty out
ip inspect myfw-sty in
no snmp trap link-status
!
interface FastEthernet0/1.3
encapsulation dot1Q 13
ip address IP-PUBBLICO-VERSO-SERVER-VOIP 255.255.255.248
no snmp trap link-status
!
interface FastEthernet0/1.4
encapsulation dot1Q 1 native
ip address 192.168.90.1 255.255.255.0 **IP PRIVATO PER IL CONTROLLO**
no snmp trap link-status
!
ip local pool vpnpool 192.168.91.1 192.168.91.254
ip classless
ip route 0.0.0.0 0.0.0.0 DW-GATEWAY
!
ip http server
no ip http secure-server
!
ip access-list extended permit-sty
permit tcp any host IP-PUB-SERVE eq ftp-data
permit tcp any host IP-PUB-SERVE eq ftp
permit tcp any host IP-PUB-SERVE eq 22
permit tcp any host IP-PUB-SERVE eq telnet
permit tcp any host IP-PUB-SERVE eq smtp
permit udp any host IP-PUB-SERVE eq domain
permit tcp any host IP-PUB-SERVE eq www
permit tcp any host IP-PUB-SERVE eq pop3
permit tcp any host IP-PUB-SERVE eq 143
permit tcp any host IP-PUB-SERVE eq 443
permit tcp any host IP-PUB-SERVE eq 8443
ip access-list extended telnet-in
permit tcp host IP-PUBBLICO-MIO-UFFICIO any eq telnet
permit tcp 192.168.91.0 0.0.0.255 any eq telnet
ip access-list extended vpn-match
permit ip 192.168.90.0 0.0.0.255 192.168.91.0 0.0.0.255
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
access-class telnet-in in
password cisco
!
scheduler allocate 20000 1000
!
end
Saluti
Matteo