Differences

This shows you the differences between two versions of the page.

--- doc:appunti:hardware:cisco_router_2600 [2013/06/14 12:40] – [Port forward (DNAT)] niccolo
+++ doc:appunti:hardware:cisco_router_2600 [2022/01/27 08:32] (current) – [Rimozione regola NAT in uso] niccolo
@@ Line 35: / Line 35: @@
 Per resettare completamente la configurazione del router ai valori di fabbrica e per impostare le password di accesso
-(rispettivamente la password per accesso da console, per la modalita' enable e per l'accesso via network):
+(rispettivamente la password per accesso da console, per la modalità enable e per l'accesso via network):
 <code>
@@ Line 96: / Line 96: @@
 ===== enable password =====
+Vedere anche il paragrafo [[#gestione_password|Gestione password]].
 Per impostare la password di //enable// (viene chiesta quando si usa tale comando per ottenere i permessi di amministratore):
@@ Line 284: / Line 286: @@
 <code>
 Router#configure terminal
-Router(config)#ip nat pool NAT-POOL E.F.G.H E.F.G.H netmask 255.255.255.252
+Router(config)#ip nat pool NAT-POOL E.F.G.H E.F.G.H prefix-length 1
 Router(config)#access-list 1 permit A.B.C.0 0.0.0.255
 Router(config)#ip nat inside source list 1 pool NAT-POOL overload
@@ Line 298: / Line 300: @@
 </code>
-FIXME La ''netmask'' del comando **''ip nat pool''** a cosa serve? Il valore minimo è 22 bit, impostarla a 24 bit cosa significa?
+Nel comando **''ip nat pool''** invece di ''prefix-length'' si può usare ''netmask'', che però va intesa alla rovescia, cioè per indicare un solo indirizzo IP si mette 0.0.0.0.
+Nel caso in cui l'IP pubblico sia dinamico, si può utilizzare il **nome dell'interfaccia** invece che definire un pool di indirizzi IP:
+<code>
+access-list 1 permit 10.11.12.0 0.0.0.255
+ip nat inside source list 1 interface Dialer1 overload
+</code>
 Per rimuovere la configurazione:
@@ Line 339: / Line 348: @@
 </code>
-===== Aggiornamento immagine Sistema Operativo IOS =====
+==== Doppio PVC DSL con destination routing e NAT ====
-Installare sul PC un server TFTP e abilitarlo in scrittura:
+Scenario: router ADSL con **due canali PVC** (connessione PPP), il primo usato come rotta predefinita, senza NAT. Il secondo utilizzato solo per raggiungere uno specifico host (server VoIP), ma con SNAT usando l'indirizzo punto-punto; su questo PVC infatti solo l'indirizzo punto-punto è pubblicamente raggiungibile.
+Anzitutto la configurazione delle due interfacce dial-up:
+<file>
+interface Dialer1
+ ip address negotiated
+ ip virtual-reassembly
+ encapsulation ppp
+ dialer pool 1
+ no cdp enable
+ no ppp chap wait
+ ppp pap sent-username MyLogin password 0 MySecret
+ no ppp pap wait
+!
+interface Dialer2
+ description BANDA PER VOIP
+ ip address negotiated
+ ip nat outside
+ ip virtual-reassembly
+ encapsulation ppp
+ dialer pool 2
+ no cdp enable
+ no ppp chap wait
+ ppp pap sent-username MyLogin2 password 0 MySecret2
+!
+</file>
+Con le seguenti impostazioni si definisce il NAT quando la **destinazione** è il server VoIP (213.251.147.16) e l'**interfaccia d'uscita** è **Dialer2**
+<file>
+ip nat inside source route-map VOIP-MAP interface Dialer2 overload
+access-list 100 permit ip any host 213.251.147.16
+route-map VOIP-MAP permit 10
+ match ip address 100
+ match interface Dialer2
+!
+</file>
+Infine con una semplice **regola di routing** si instrada opportunamente il traffico verso il server VoIP:
+<file>
+ip route 213.251.147.16 255.255.255.255 Dialer2
+</file>
+===== Rimozione regola NAT in uso =====
+Non è possibile rimuovere una regola di NAT se questa è stata usata di recente, il router risponde **Static entry in use, cannot remove**. Si deve ripulire la lista delle //translations// in uso:
+<code>
+router# confgure terminal
+router(config)# no ip nat inside source static tcp 192.168.1.2 1196 interface Dialer1 1196
+%Static entry in use, cannot remove
+router(config)# exit
+router# show ip nat translations
+Pro Inside global         Inside local          Outside local         Outside global
+...
+tcp 185.21.72.66:1196     192.168.1.2:1196      213.182.68.98:35942   213.182.68.98:35942
+...
+router# clear ip nat translation forced
+router# confgure terminal
+router(config)# no ip nat inside source static tcp 192.168.1.2 1196 interface Dialer1 1196
+router(config)# exit
+router# write memory
+</code>
+Dovrebbe essere possibile rimuovere selettivamente solo le regole interessate, vedere l'help del comando **clear ip nat**.
+===== Aggiornamento Sistema Operativo IOS =====
+Installare sul PC un server TFTP e abilitarlo in scrittura (la document root in Debian è **''/srv/tftp/''**):
 <code>
@@ Line 374: / Line 454: @@
 K bytes of processor board System flash (Read/Write)
-socarpi#copy flash:c2600-i-mz.122-12b.bin tftp://62.48.51.8
+router#copy flash:c2600-i-mz.122-12b.bin tftp://62.48.51.8
 </code>
-Con la vecchia versione 11 la sintassi è leggermente diversa:
+Con la vecchia versione 11.3 la sintassi è leggermente diversa:
 <code>
@@ Line 400: / Line 480: @@
 </code>
+Infine è possibile caricare dal server TFTP la nuova immagine nella flash:
 <code>
@@ Line 420: / Line 501: @@
 Al reboot successivo il router parte con la prima immagine IOS che trova.
+===== Gestione password =====
+==== Password su console ====
+<code>
+line console 0
+  login
+  password MySecret
+</code>
+==== Password su accesso telnet ====
+Con questa impostazione si attiva la richiesta di password per gli accessi telnet, si entra **senza privilegi di enable**:
+<code>
+line vty 0 4
+ access-class 23 in
+ password MySecret
+ login
+ transport input telnet ssh
+</code>
+La password di enable è impostata con:
+<code>
+enable secret MyEnableSecret
+</code>
+Con questa impostazione viene chiesto un **nome di login**, se i privilegi sono giusti si accede direttamente come **enable**, è richiesta la **password associata** al login, che va impostata a parte:
+<code>
+line vty 0 4
+ access-class 23 in
+ privilege level 15
+ login local
+ transport input telnet ssh
+</code>
+<code>
+username admin privilege 15 secret MyEnableSecret
+</code>