Создание базового интерфейса:
config
interface gi0
ip address 192.168.10.2/30
port ge0
service-instance ge0/gi0
encapsulation untagged
connect ip interface gi0Создание vlan (подинтерфейса):
config
interface gi1.10
ip address 192.168.20.1/26
port ge1
service-instance ge1/gi1
encapsulation dot1q 10 exact
rewrite pop 1
connect ip interface gi1.10Указать шлюз по умолчанию:
config
ip route 0.0.0.0/0 192.168.10.1Настройка nat:
config
interface gi0
ip nat outside
interface gi1.10
ip nat inside
ex
ip nat pool LAN 192.168.100.0-192.168.101.254
ip nat source dynamic inside-to-outside pool LAN overload interface gi0Создание gre:
config
interface tunnel.1
ip address 10.10.10.1/24
ip tunnel 192.168.10.1 192.168.10.254 mode greНастройка ospf:
config
router ospf
network 192.168.20.0/26 area 1.1.1.1
passive-interface default
no passive-interface tunnel.1dhcp-relay
config
dhcp-profile 1
mode relay
server 192.168.20.10
ex
config
interface gi1.10
dhcp-profile 1 #Прописывать на тех интерфейсах, где нужен dhcp
.... Блокировать порт:
config
filter-map ipv4 map1 1
match udp any eq 22 any
set discard
config
interface gi0
set filter-map in map1Блокировать icmp (Блокируются все icmp пакеты)
config
filter-map ipv4 map_icmp 10 #Заблочить icmp приходящие на адрес 192.168.10.2
match icmp any host 192.168.10.2
set discard
config
filter-map ipv4 map_icmp 20 #Разрешить всё остальное
match any any any
set accept
config
interface gi0
set filter-map in map_icmpОтключить дефолтные политики безопасности:
config
no security defaultДобавление пользователя:
config
username sshuser
activate
password changemeПеренаправить ssh:
config
ip nat source static tcp 192.168.20.10 22 192.168.10.1 22 #Где 192.168.20.10 это адрес сервера в локальной сети, а 192.168.10.1 это адрес шлюза
ip nat destination static tcp 192.168.10.1 22 192.168.20.10 22 hairpin