Dit document beschrijft hoe u de Cisco Security Device Manager (SDM) moet gebruiken om de basisconfiguratie van de router in te stellen. Dit omvat configuratie van IP-adres, standaardrouting, statische en dynamische routing, statische en dynamische NAT, hostnaam, banner, geheim wachtwoord, gebruikersaccounts, enzovoort. Cisco SDM stelt u in staat uw router te configureren in allerlei netwerkomgevingen, zoals een klein kantoor thuis kantoor (SOHO), een filiaal (BO), een regionaal kantoor en een centrale locatie of ondernemingshoofdkwartier, met behulp van een gebruiksvriendelijke web-gebaseerde beheerinterface.
Dit document veronderstelt dat de Cisco-router volledig operationeel is en is geconfigureerd om Cisco SDM in staat te stellen configuratiewijzigingen door te voeren.
Opmerking: zie Toegang tot HTTPS voor SDM toestaan om de router te kunnen configureren door de SDM.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Cisco 3640 router met Cisco IOS? IOS-softwarerelease 12.4(8)T
Cisco Security Device Manager (SDM) versie 2.3.1
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
N.B.: Als u een Cisco geïntegreerde services router (ISR) gebruikt, raadpleegt u Basis routerconfiguratie met Cisco Configuration Professional voor soortgelijke configuratiedetails met krachtigere functies. Raadpleeg het gedeelte Ondersteunde routers van de Releaseopmerkingen voor Cisco Configuration Professional 2.5 voor informatie over welke routers worden ondersteund door Cisco CP.
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
In deze sectie, wordt u voorgesteld met de informatie om de basisinstellingen voor router in een netwerk te vormen.
Het netwerk in dit document is als volgt opgebouwd:
Opmerking: De in deze configuratie gebruikte schema’s voor IP-adressering zijn niet officieel routeerbaar op het internet. Dit zijn RFC 1918 adressen die in een laboratoriumomgeving zijn gebruikt.
Voltooi deze stappen om de interfaces van een Cisco-router te configureren.
Klik op Home om naar de SDM Home-pagina te gaan.
De SDM Home-pagina biedt informatie zoals hardware en software van de router, beschikbaarheid van functies en een configuratieoverzicht. De groene cirkels tonen de eigenschappen die in deze router worden ondersteund en de rode cirkels tonen de eigenschappen die niet worden ondersteund.
Kies Configureren > Interfaces en verbindingen > Verbinding maken om de WAN-verbinding voor de interface te configureren.
Als voorbeeld, voor seriële interface 2/0, kies de seriële optie en klik op Nieuwe verbinding maken.
Opmerking: voor andere typen interfaces zoals Ethernet, kies het betreffende interfacetype en ga verder door op de knop Nieuwe verbinding maken te klikken.
Klik op Volgende om verder te gaan zodra deze interface wordt weergegeven.
Selecteer Seriële interface 2/0 (gewenst) in de optie Beschikbare interfaces en klik op Volgende.
Kies het insluitingstype voor de seriële interface en klik op Volgende.
Geef het statische IP-adres met het bijbehorende subnetmasker voor de interface op en klik op Next (Volgende).
Configureer de standaardrouting met optionele parameters, zoals IP-adres van volgende hop (192.168.1.2 volgens netwerkdiagram), die zijn doorgegeven door de ISP, en klik op Next (Volgende).
Het volgende venster wordt geopend en bevat de configuratiesamenvatting. Klik op Finish (Voltooien).
Het volgende venster wordt geopend met daarin de leveringsstatus van de opdracht bij de router. Als de levering van de opdracht mislukt als gevolg van incompatibele opdrachten of niet-ondersteunde functies worden fouten weergegeven.
Kies Configureren > Interfaces en verbindingen > Interfaces/verbindingen bewerken om de verschillende interfaces toe te voegen/bewerken/verwijderen.
Markeer de interface waarmee u wijzigingen wilt doorvoeren en klik op Edit (Bewerken) als u de configuratie van de interface wilt bewerken of wijzigen. Hier kunt u het bestaande statische IP-adres wijzigen.
Voltooi deze stappen om de dynamische NAT in een Cisco-router te configureren.
Kies Configureren > NAT > Basis NAT en klik op Start de geselecteerde taak om basis NATing te configureren.
Klik op Next (Volgende).
Kies de interface die verbinding maakt met het internet of uw ISP en kies het IP-adresbereik waarmee internettoegang moet worden gedeeld.
Het volgende venster wordt geopend en bevat de configuratiesamenvatting. Klik op Finish (Voltooien).
Het venster Edit NAT Configuration (NAT-configuratie bewerken) toont de geconfigureerde dynamische NAT-configuratie met overloading van het omgezette IP-adres (PAT). Als u de dynamische NAT wilt configureren met een adresgroep, klikt u op Address Pool (Adresgroep).
Klik op Add (Toevoegen).
Hier worden informatie zoals de naam van de pool en het IP-adresbereik met netmasker verstrekt. Er kunnen momenten zijn waarop de meeste adressen in de pool zijn toegewezen en de IP-adresgroep bijna leeg is. In dat geval kan PAT met één IP adres worden gebruikt om aan extra aanvragen van IP-adressen te voldoen. Schakel Port Address Translation (PAT) in als u wilt dat de router PAT gebruikt als de IP-adresgroep bijna leeg is.
Klik op Add (Toevoegen).
Klik op Edit (Bewerken).
Kies Adresgroep in het veld Type, geef de naam aan de Adresgroep als pool1 en klik op OK.
Dit venster toont de configuratie van dynamische NAT met de adresgroep. Klik op Designate NAT Interfaces (NAT-interfaces aanwijzen).
Gebruik dit venster om de binnen- en buiteninterfaces aan te wijzen die u bij NAT wilt gebruiken. NAT gebruikt de binnen- en buiteninterfaces bij het interpreteren van omzettingsregels. Omzettingen worden toegepast van binnen naar buiten of omgekeerd.
Zodra deze interfaces zijn aangewezen worden ze in alle NAT-regels gebruikt. De aangewezen interfaces in het hoofdvenster van NAT weergegeven boven de lijst met omzettingsregels.
Voltooi deze stappen om statische NAT in een Cisco-router te configureren.
Kies Configureren > NAT > NAT-configuratie bewerken en klik op Toevoegen om statische NAT te configureren.
Kies de Richting van binnen naar buiten of van buiten naar binnen, geef het binnen IP-adres op dat moet worden vertaald onder Translate from Interface. Selecteer in het gebied Vertalen naar interface het gebied Type.
Selecteer IP Address (IP-adres) als u wilt dat het adres bij Translate from Address (Omzetten vanaf adres) wordt omgezet naar een IP-adres dat is gedefinieerd in het veld ‘IP Address’ (IP-adres).
Selecteer Interface als u wilt dat voor het adres bij Translate from Address (Omzetten vanaf adres) het adres van een interface op de router wordt gebruikt. Het adres bij Translate from Address (Omzetten vanaf adres) wordt omgezet naar het IP-adres dat is toegewezen aan de interface die u opgeeft in het veld ‘Interface’.
Schakel Redirect Port (Poort voor omleiden) in om in de omzetting poortinformatie op te nemen voor het interne apparaat. U kunt dan hetzelfde openbare IP-adres voor meerdere apparaten gebruiken zolang de poort die voor elk apparaat is opgegeven verschilt. U moet voor elke poorttoewijzing voor dit omgezette adres een vermelding opgeven. Klik op TCP voor een TCP-poortnummer en op UDP voor een UDP-poortnummer. Voer in het veld ‘Original Port’ (Oorspronkelijk poort) het poortnummer van het interne apparaat in. Voer in het veld ‘Translated Port’ (Omgezet poort) het poortnummer in dat de router voor deze omzetting moet gebruiken. Raadpleeg het gedeelte Internet toegang geven tot interne apparaten bij Netwerkadresomzetting configureren: aan de slag.
Dit venster toont de statische NAT-configuratie met ingeschakelde poortomleiding.
Voltooi deze stappen om statische routing in een Cisco-router te configureren.
Kies Configureren > Routing > Statische routing en klik op Add om statische routing te configureren.
Voer het doelnetwerkadres in met een masker en selecteer een uitgaande interface of het volgende IP-adres van de hop.
Dit venster toont de statische route die voor het netwerk 10.1.1.0 is geconfigureerd met 192.168.1.2 als IP-adres van volgende hop.
Voltooi deze stappen om de dynamische routing in een Cisco-router te configureren.
Kies Configureren > Routing > Dynamische routing.
Selecteer het RIP en klik op Edit (Bewerken).
Selecteer RIP inschakelen, selecteer de RIP-versie en klik op Toevoegen.
Geef het door te geven netwerkadres op.
Klik op OK.
Klik op Deliver (Leveren) om de opdrachten door te geven aan de router.
Dit venster toont de dynamische RIP-routingconfiguratie.
Voltooi deze stappen om de andere basisinstellingen in een Cisco-router te configureren.
Kies Configureren > Aanvullende taken > Routereigenschappen en klik op Bewerken als u de Hostname, Domain Name, Banner wilt wijzigen en de eigenschappen van het geheime wachtwoord voor een router wilt inschakelen.
Kies Configureren > Aanvullende taken > Routertoegang > Gebruikersaccounts/Weergave om de Gebruikersaccounts aan de router toe te voegen/bewerken/verwijderen.
Kies Bestand > Uitvoeren configuratie opslaan op pc... om de configuratie op te slaan op het NVRAM van de router en op de pc en de huidige configuratie te herstellen naar de standaardinstellingen (in de fabriek).
Ga naar de taakbalk en kies Bewerken > Voorkeuren om deze opties met gebruikersvoorkeuren in te schakelen:
Bekijk de voorbeeldopdrachten voordat u deze aan de router levert.
Handtekeningbestand opslaan in Flash.
Bevestig voordat u vertrekt uit SDM.
Blijf de interfacestatus controleren bij het schakelen tussen de modus en de taak.
Kies Beeld op de taakbalk als u wilt:
Bekijk de pagina's Home, Configureren of Monitoren.
Bekijk de lopende configuratie van de router.
Bekijk verschillende show commando's.
Standaardregels voor SDM bekijken.
Kies Vernieuwen om de routerconfiguratie te synchroniseren als er een configuratie is via de CLI met SDM.
Routerconfiguratie |
---|
Router#show run Building configuration... Current configuration : 2525 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! no logging buffered enable password cisco ! no aaa new-model ! resource policy ! ! ! ip cef ! ! ! !--- RSA certificate generated after you enable the !--- ip http secure-server command. crypto pki trustpoint TP-self-signed-392370502 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-392370502 revocation-check none rsakeypair TP-self-signed-392370502 ! ! crypto pki certificate chain TP-self-signed-392370502 certificate self-signed 01 3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050 30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657 69666963 6174652D 33393233 37303530 32301E17 0D303530 39323330 34333 375A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 13254 532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3339 32333 35303230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818 C86C0F42 84656325 70922027 EF314C2F 17C8BBE1 B478AFA3 FE2BC2F2 3C272 A3B5E13A 1392A158 73D8FE0D 20BFD952 6B22890C 38776830 241BE259 EE2AA CF4124EA 37E41B46 A2076586 2F0F9A74 FDB72B3B 6159EEF7 0DEC7D44 BE489 9E351BF7 F5C808D9 2706C8B7 F5CE4B73 39ED8A61 508F455A 68245A6B D072F 02030100 01A36630 64300F06 03551D13 0101FF04 05300301 01FF3011 06035 11040A30 08820652 6F757465 72301F06 03551D23 04183016 80148943 F2369 ACD8CCA6 CA04EC47 C68B8179 E205301D 0603551D 0E041604 148943F2 36910 D8CCA6CA 04EC47C6 8B8179E2 05300D06 092A8648 86F70D01 01040500 03818 3B93B9DC 7DA78DF5 6D1D0D68 6CE075F3 FFDAD0FB 9C58E269 FE360329 2CEE3 D8661EB4 041DEFEF E14AA79D F33661FC 2E667519 E185D586 13FBD678 F52E1 E3C92ACD 52741FA4 4429D0B7 EB3DF979 0EB9D563 51C950E0 11504B41 4AE79 0DD0BE16 856B688C B727B3DB 30A9A91E 10236FA7 63BAEACB 5F7E8602 0C33D quit ! ! ! ! ! ! ! ! ! ! !--- Create a user account named sdmsdm with all privileges. username sdmsdm privilege 15 password 0 sdmsdm ! ! ! ! ! ! interface Ethernet0/0 no ip address shutdown half-duplex ! !--- The LAN interface configured with a private IP address. interface FastEthernet1/0 ip address 172.16.1.2 255.255.255.0 !--- Designate that traffic that originates from behind !--- the interface is subject to Network Address Translation (NAT). ip nat inside ip virtual-reassembly duplex auto speed auto ! !--- This is the WAN interface configured with a routable (public) IP address. interface Serial2/0 ip address 192.168.1.1 255.255.255.0 !--- Designate that this interface is the !--- destination for traffic that has undergone NAT. ip nat outside ip virtual-reassembly ! interface Serial2/1 no ip address shutdown ! interface Serial2/2 no ip address shutdown ! interface Serial2/3 no ip address shutdown ! !--- RIP version 2 routing is enabled. router rip version 2 network 172.1.0.0 no auto-summary !--- This is where the commands to enable HTTP and HTTPS are configured. ip http server ip http secure-server ! !--- This configuration is for dynamic NAT. ! !--- Define a pool of outside IP addresses for NAT. ip nat pool pool1 192.168.1.3 192.168.1.10 netmask 255.255.255.0 !--- In order to enable NAT of the inside source address, !--- specify that traffic from hosts that match access list 1 !--- are NATed to the address pool named pool1. ip nat inside source list 1 pool pool1 ! !--- Access list 1 permits only 172.16.1.0 network to be NATed. access-list 1 remark SDM_ACL Category=2 access-list 1 permit 172.16.1.0 0.0.0.255 ! !--- This configuration is for static NAT !--- In order to translate the packets between the real IP address 172.16.1.1 with TCP !--- port 80 and the mapped IP address 192.168.1.1 with TCP port 500. ip nat inside source static tcp 172.16.1.1 80 192.168.1.3 500 extendable ! ! ! ! !--- The default route is configured and points to 192.168.1.2. ip route 0.0.0.0 0.0.0.0 192.168.1.2 ! ! !--- The static route is configured and points to 192.168.1.2. ip route 10.1.1.0 255.255.255.0 192.168.1.2 ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 !--- Telnet enabled with password as sdmsdm. line vty 0 4 password sdmsdm login ! ! end |
Selecteer Configure > Interface & Connections > Edit Interface Connections > Test Connection (Configureren > Interface en verbindingen > Interfaceverbindingen bewerken > Verbinding testen) om de end-to-end connectiviteit te testen. U kunt IP-adres aan de externe kant opgeven door het keuzerondje User-specified (Door gebruiker opgegeven) te selecteren.
De Output Interpreter Tool (OIT) (alleen voor geregistreerde klanten) ondersteunt bepaalde opdrachten met show. Gebruik de OIT om een analyse te bekijken van de output van de opdracht show.
Opmerking: Raadpleeg Important Information on Debug Commands (Belangrijke informatie over opdrachten met debug) voordat u debug -opdrachten opgeeft.
U kunt de volgende opties gebruiken om te troubleshooten:
Kies Gereedschappen > SDM bijwerken vanuit de taakbalk om SDM te pingen, Telnet en te upgraden naar de nieuwste versie. U kunt dit doen vanaf Cisco.com, vanaf de lokale pc of vanaf de cd.
Kies Help > Over deze router om informatie over de hardwareconfiguratie van de router te bekijken.
Dit venster toont informatie over het IOS beeld dat in de router wordt opgeslagen.
De Help-optie geeft informatie over de verschillende opties die in de SDM beschikbaar zijn voor de configuratie van routers.
SDM wordt niet ondersteund op machines met 64-bits OS. U zou SDM op de router moeten installeren en tot het door Webbrowser toegang hebben.
Raadpleeg Taak 4: Installeer de SDM-bestanden voor meer informatie over de installatie van SDM-bestanden op de router.
Probleem
Wanneer u SDM door Webbrowser gebruikt, verschijnt een SDM start-up foutmelding.
Oplossing 1
Het probleem zou kunnen liggen bij de versie van de Java. De Java-update is mogelijk niet compatibel met de SDM-versie. Als de versie van Java Java Java 6 update 12 is, verwijder dan die versie en installeer Java 6 update 3. Hiermee is het probleem opgelost. Raadpleeg het gedeelte Web Browser Versies en Java Runtime Environment Versies van SDM 2.5 Releaseopmerking voor meer informatie over de compatibiliteit. SDM versie 2.5 wordt uitgevoerd onder updates 2 en 3 van Java versie 6.
Oplossing 2
Toestaan dat actieve inhoud in bestanden op deze computer wordt uitgevoerd in de opties van Internet Explorer om het probleem op te lossen.
Open Internet Explorer en kies Gereedschappen > Internet-opties > Geavanceerd.
Onder het gedeelte Beveiliging moet u ervoor zorgen dat de selectievakjes naast de opties Actieve inhoud toestaan om in bestanden op mijn computer te draaien en Actieve inhoud toestaan om software te installeren, zelfs als de handtekening ongeldig is, ingeschakeld zijn.
Klik nu op OK en start de browser opnieuw zodat de wijzigingen worden doorgevoerd.
Probleem
Ik kan geen verbinding maken met de SDM en ik ontvang deze foutmelding:
java.bling stack over flow
Oplossing
Dit probleem doet zich meestal voor wanneer de Java-code versie 1.5.0_06 wordt gebruikt. Raadpleeg voor informatie over het oplossen van dit probleem De gebruiker kan geen verbinding maken met Security Device Manager (SDM) en ontvangt de foutmelding java.bling stack over flow.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
27-Jul-2011 |
Eerste vrijgave |