Differences

This shows you the differences between two versions of the page.

--- doc:appunti:hardware:cisco_router_2600 [2013/06/14 12:09] – [NAT dinamico (SNAT classico)] niccolo
+++ doc:appunti:hardware:cisco_router_2600 [2022/01/27 08:32] (current) – [Rimozione regola NAT in uso] niccolo
@@ Line 35: / Line 35: @@
 Per resettare completamente la configurazione del router ai valori di fabbrica e per impostare le password di accesso
-(rispettivamente la password per accesso da console, per la modalita' enable e per l'accesso via network):
+(rispettivamente la password per accesso da console, per la modalità enable e per l'accesso via network):
 <code>
@@ Line 96: / Line 96: @@
 ===== enable password =====
+Vedere anche il paragrafo [[#gestione_password|Gestione password]].
 Per impostare la password di //enable// (viene chiesta quando si usa tale comando per ottenere i permessi di amministratore):
@@ Line 284: / Line 286: @@
 <code>
 Router#configure terminal
-Router(config)#ip nat pool NAT-POOL E.F.G.H E.F.G.H netmask 255.255.255.252
+Router(config)#ip nat pool NAT-POOL E.F.G.H E.F.G.H prefix-length 1
 Router(config)#access-list 1 permit A.B.C.0 0.0.0.255
 Router(config)#ip nat inside source list 1 pool NAT-POOL overload
@@ Line 298: / Line 300: @@
 </code>
-FIXME La ''netmask'' del comando **''ip nat pool''** a cosa serve? Il valore minimo è 22 bit, impostarla a 24 bit cosa significa?
+Nel comando **''ip nat pool''** invece di ''prefix-length'' si può usare ''netmask'', che però va intesa alla rovescia, cioè per indicare un solo indirizzo IP si mette 0.0.0.0.
+Nel caso in cui l'IP pubblico sia dinamico, si può utilizzare il **nome dell'interfaccia** invece che definire un pool di indirizzi IP:
+<code>
+access-list 1 permit 10.11.12.0 0.0.0.255
+ip nat inside source list 1 interface Dialer1 overload
+</code>
 Per rimuovere la configurazione:
@@ Line 339: / Line 348: @@
 </code>
+==== Doppio PVC DSL con destination routing e NAT ====
+Scenario: router ADSL con **due canali PVC** (connessione PPP), il primo usato come rotta predefinita, senza NAT. Il secondo utilizzato solo per raggiungere uno specifico host (server VoIP), ma con SNAT usando l'indirizzo punto-punto; su questo PVC infatti solo l'indirizzo punto-punto è pubblicamente raggiungibile.
+Anzitutto la configurazione delle due interfacce dial-up:
+<file>
+interface Dialer1
+ ip address negotiated
+ ip virtual-reassembly
+ encapsulation ppp
+ dialer pool 1
+ no cdp enable
+ no ppp chap wait
+ ppp pap sent-username MyLogin password 0 MySecret
+ no ppp pap wait
+!
+interface Dialer2
+ description BANDA PER VOIP
+ ip address negotiated
+ ip nat outside
+ ip virtual-reassembly
+ encapsulation ppp
+ dialer pool 2
+ no cdp enable
+ no ppp chap wait
+ ppp pap sent-username MyLogin2 password 0 MySecret2
+!
+</file>
+Con le seguenti impostazioni si definisce il NAT quando la **destinazione** è il server VoIP (213.251.147.16) e l'**interfaccia d'uscita** è **Dialer2**
+<file>
+ip nat inside source route-map VOIP-MAP interface Dialer2 overload
+access-list 100 permit ip any host 213.251.147.16
+route-map VOIP-MAP permit 10
+ match ip address 100
+ match interface Dialer2
+!
+</file>
+Infine con una semplice **regola di routing** si instrada opportunamente il traffico verso il server VoIP:
+<file>
+ip route 213.251.147.16 255.255.255.255 Dialer2
+</file>
+===== Rimozione regola NAT in uso =====
+Non è possibile rimuovere una regola di NAT se questa è stata usata di recente, il router risponde **Static entry in use, cannot remove**. Si deve ripulire la lista delle //translations// in uso:
+<code>
+router# confgure terminal
+router(config)# no ip nat inside source static tcp 192.168.1.2 1196 interface Dialer1 1196
+%Static entry in use, cannot remove
+router(config)# exit
+router# show ip nat translations
+Pro Inside global         Inside local          Outside local         Outside global
+...
+tcp 185.21.72.66:1196     192.168.1.2:1196      213.182.68.98:35942   213.182.68.98:35942
+...
+router# clear ip nat translation forced
+router# confgure terminal
+router(config)# no ip nat inside source static tcp 192.168.1.2 1196 interface Dialer1 1196
+router(config)# exit
+router# write memory
+</code>
+Dovrebbe essere possibile rimuovere selettivamente solo le regole interessate, vedere l'help del comando **clear ip nat**.
+===== Aggiornamento Sistema Operativo IOS =====
+Installare sul PC un server TFTP e abilitarlo in scrittura (la document root in Debian è **''/srv/tftp/''**):
+<code>
+apt-get install tftpd-hpa
+</code>
+Per abilitare il server TFTP in scrittura mettere in **''/etc/default/tftpd-hpa''**:
+<file>
+TFTP_OPTIONS="--secure --create"
+</file>
+Il server sta in ascolto sulla porta **UDP/69**, ma il trasferimento di dati avviene su porte effimere. Bisogna essere sulla stessa rete oppure il firewall deve avere il connection tracking TFTP abilitato:
+<code>
+:55:39.494731 IP 77.239.141.26.55143 > 10.0.1.2.69:  31 WRQ "c2600-i-mz.122-12b.bin" octet
+...
+:08:09.448816 IP 10.0.1.2.48939 > 77.239.141.26.55143: UDP, length 4
+:08:09.495166 IP 77.239.141.26.55143 > 10.0.1.2.48939: UDP, length 516
+</code>
+Salvare l'immagine esistente nel router:
+<code>
+Router#show flash:
+System flash directory:
+File  Length   Name/status
+   5427564  c2600-i-mz.122-12b.bin
+   749      cisco2600_nat_config
+[5428444 bytes used, 27601700 available, 33030144 total]
+K bytes of processor board System flash (Read/Write)
+router#copy flash:c2600-i-mz.122-12b.bin tftp://62.48.51.8
+</code>
+Con la vecchia versione 11.3 la sintassi è leggermente diversa:
+<code>
+Router#copy flash tftp
+System flash directory:
+File  Length   Name/status
+   3119712  c2600-i-mz.113-10.T
+[3119776 bytes used, 5268832 available, 8388608 total]
+Address or name of remote host [255.255.255.255]? 192.168.10.46
+Source file name? c2600-i-mz.113-10.T
+Destination file name [c2600-i-mz.113-10.T]?
+Verifying checksum for 'c2600-i-mz.113-10.T' (file # 1)...  OK
+Copy 'c2600-i-mz.113-10.T' from Flash to server
+  as 'c2600-i-mz.113-10.T'? [yes/no]yes
+</code>
+Quindi si fa spazio nella memoria flash per caricare la nuova versione:
+<code>
+Router#erase flash
+</code>
+Infine è possibile caricare dal server TFTP la nuova immagine nella flash:
+<code>
+Router#copy tftp flash
+System flash directory:
+No files in System flash
+[0 bytes used, 8388608 available, 8388608 total]
+Address or name of remote host [192.168.7.46]?
+Source file name? c2600-i-mz.122-12b.bin
+Destination file name [c2600-i-mz.122-12b.bin]?
+Accessing file 'c2600-i-mz.122-12b.bin' on 192.168.7.46...
+Loading c2600-i-mz.122-12b.bin from 192.168.7.46 (via Ethernet0/0): ! [OK]
+Erase flash device before writing? [confirm]
+Copy 'c2600-i-mz.122-12b.bin' from server
+  as 'c2600-i-mz.122-12b.bin' into Flash WITH erase? [yes/no]
+</code>
+Al reboot successivo il router parte con la prima immagine IOS che trova.
+===== Gestione password =====
+==== Password su console ====
+<code>
+line console 0
+  login
+  password MySecret
+</code>
+==== Password su accesso telnet ====
+Con questa impostazione si attiva la richiesta di password per gli accessi telnet, si entra **senza privilegi di enable**:
+<code>
+line vty 0 4
+ access-class 23 in
+ password MySecret
+ login
+ transport input telnet ssh
+</code>
+La password di enable è impostata con:
+<code>
+enable secret MyEnableSecret
+</code>
+Con questa impostazione viene chiesto un **nome di login**, se i privilegi sono giusti si accede direttamente come **enable**, è richiesta la **password associata** al login, che va impostata a parte:
+<code>
+line vty 0 4
+ access-class 23 in
+ privilege level 15
+ login local
+ transport input telnet ssh
+</code>
+<code>
+username admin privilege 15 secret MyEnableSecret
+</code>