Solucionado: Configuracion de cisco 881

raul.garcia · ‎08-24-2012

Hola amigos antes que nada gracias por leer esto y si pueden ayudarme muchas gracias....

tengo un router cisco 881 con la configuracion basica pero no me da internet en la LAN asi que no si lo estoy configurando mal, como soy nuevo configurando equipo cisco...

tengo este router Cisco 881 pero no puedo configurarlo para que la WAN este conectada a un RV016 que me surte el internet y la LAN me de internet en mis equipos...

este es la configuracion que tiene...

!

ip dhcp excluded-address 192.168.100.254

!

ip dhcp pool ccp-pool1

import all

network 192.168.100.0 255.255.255.0

dns-server 192.168.4.1

default-router 192.168.100.254

!

ip cef

no ip bootp server

ip domain name cisco881.com

ip name-server 192.168.4.1

no ipv6 cef

!

license udi pid CISCO881-K9 sn FTX161284V1

!

username desiteg privilege 15 secret 5 $1$tGI8$2juLqAHE0oTusBsQMC.J.0

!

ip tcp synwait-time 10

ip ssh time-out 60

ip ssh authentication-retries 2

!

class-map type inspect match-any ccp-cls-insp-traffic

match protocol cuseeme

match protocol dns

match protocol ftp

match protocol h323

match protocol https

match protocol icmp

match protocol imap

match protocol pop3

match protocol netshow

match protocol shell

match protocol realmedia

match protocol rtsp

match protocol smtp

match protocol sql-net

match protocol streamworks

match protocol tftp

match protocol vdolive

match protocol tcp

match protocol udp

class-map type inspect match-all ccp-insp-traffic

match class-map ccp-cls-insp-traffic

class-map type inspect match-any ccp-cls-icmp-access

match protocol icmp

match protocol tcp

match protocol udp

class-map type inspect match-all ccp-invalid-src

match access-group 100

class-map type inspect match-all ccp-icmp-access

match class-map ccp-cls-icmp-access

class-map type inspect match-all ccp-protocol-http

match protocol http

!

policy-map type inspect ccp-permit-icmpreply

class type inspect ccp-icmp-access

inspect

class class-default

pass

policy-map type inspect ccp-inspect

class type inspect ccp-invalid-src

drop log

class type inspect ccp-protocol-http

inspect

class type inspect ccp-insp-traffic

inspect

class class-default

drop

policy-map type inspect ccp-permit

class class-default

drop

!

zone security out-zone

zone security in-zone

zone-pair security ccp-zp-self-out source self destination out-zone

service-policy type inspect ccp-permit-icmpreply

zone-pair security ccp-zp-in-out source in-zone destination out-zone

service-policy type inspect ccp-inspect

zone-pair security ccp-zp-out-self source out-zone destination self

service-policy type inspect ccp-permit

!

interface FastEthernet0

!

interface FastEthernet1

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

description $FW_OUTSIDE$$ES_WAN$

ip address 192.168.4.50 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

zone-member security out-zone

duplex auto

speed auto

!

interface Vlan1

description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$

ip address 192.168.100.254 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip flow ingress

zone-member security in-zone

ip tcp adjust-mss 1452

!

ip forward-protocol nd

ip http server

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

ip route 0.0.0.0 0.0.0.0 192.168.4.1

!

logging trap debugging

access-list 100 remark CCP_ACL Category=128

access-list 100 permit ip host 255.255.255.255 any

access-list 100 permit ip 127.0.0.0 0.255.255.255 any

access-list 100 permit ip 192.168.4.0 0.0.0.255 any

no cdp run

!

control-plane

!

banner exec ^C

% Password expiration warning.

-----------------------------------------------------------------------

Cisco Configuration Professional (Cisco CP) is installed on this device

and it provides the default username "cisco" for one-time use. If you have

already used the username "cisco" to login to the router and your IOS image

supports the "one-time" user option, then this username has already expired.

You will not be able to login to the router with this username after you exit

this session.

It is strongly suggested that you create a new username with a privilege level

of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you

want to use.

-----------------------------------------------------------------------

^C

banner login ^CAuthorized access only!

Disconnect IMMEDIATELY if you are not an authorized user!^C

!

line con 0

login local

no modem enable

transport output telnet

line aux 0

login local

transport output telnet

line vty 0 4

privilege level 15

login local

transport input telnet ssh

!

scheduler max-task-time 5000

scheduler allocate 4000 1000

scheduler interval 500

end

Julio Carvajal · ‎08-25-2012

Hola Raul,

Primero que todo saludarte, segundo el configurar ZBFW por medio del CCP causa muchos problemas ya que al hacerlo todo automatico el router va a restringuir el acceso de manera muy pero muy restringida.

Tercero sabe el RV016 como llegar a la red 192.168.100.0 /24 pq veo q no estas realizando NAT en este router.

Cuarto puedes pinguear internet desde el router?

Puedes pinguear el RV016 desde el router?

Saludos

Recuerda calificar las respuestas

Julio

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

Ver la solución en mensaje original publicado

Julio Carvajal · ‎08-25-2012

Hola Raul,

Primero que todo saludarte, segundo el configurar ZBFW por medio del CCP causa muchos problemas ya que al hacerlo todo automatico el router va a restringuir el acceso de manera muy pero muy restringida.

Tercero sabe el RV016 como llegar a la red 192.168.100.0 /24 pq veo q no estas realizando NAT en este router.

Cuarto puedes pinguear internet desde el router?

Puedes pinguear el RV016 desde el router?

Saludos

Recuerda calificar las respuestas

Julio

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

raul.garcia · ‎08-27-2012

ya lo esto haciendo asi como me dices... y ya puedo hacer ping desde el Router 881 al router RV016.... se me olvidava que el RV016 tambien es un router.. gracias...