Cisco SDM prepare

R1(config)#enable secret <password>
Настройка интерфейса для доступа SDM
R1(config)#interface fastethernet 0
R1(config-if)#ip address 192.168.0.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#exit


Включение http и https серверов 
R1(config)# ip http server
R1(config)# ip http secure-server
R1(config)# ip http authentication local

Добавим пользователя
R1(config)# username <username> privilege 15 secret <password>

И обозначим авторизацию
R1(config)# line vty 0 4
R1(config-line)# login local
 
R1(config-line)# transport input telnet 
R1(config-line)# transport input telnet ssh 
тут сами решайте, что вам по вкусу

R1(config-line)# exit

Securing the Cisco IOS and configuration files

R1(config)# secure boot-image

R1(config)# secure boot-config 

R1(config)# no service password recovery

Создаёт неудаляемую копию IOS'a и конфигурационного файла
И перекрывает доступ в ROMMON для особо страждущих ручек)

Restore procedures:
1. R1# reload 

2. Find filenames of saved IOS and configuration file:
a) In ROMmon mode use: dir
b) R1#show secure bootset

3. R1# boot <filename saved ios>
 
4. R1(config)# secure boot-config restore <filename configuration file>

Role-Based CLI Access

R1(config)#aaa new-model 

R1(config)#enable secret cisco

R1#enable view

 Password:
R1#%PARSER-6-VIEW_SWITCH: successfully set to view 'root'.

R1#conf t
R1(config)#parser view SHOWVIEW
 R1(config-view)#%PARSER-6-VIEW_CREATED: view 'SHOWVIEW' successfully created.
R1(config-view)#secret ciscoshowview
R1(config-view)#commands exec include all show
R1(config-view)#exit

R1(config)#parser view RELOADPINGVIEW
R1(config-view)#%PARSER-6-VIEW_CREATED: view 'RELOADPINGVIEW' successfully created.
R1(config-view)#secret pingreloadcisco
R1(config-view)#commands exec include all ping
R1(config-view)#commands exec include all reload
R1(config-view)#exit

R1(config)#parser view USERSHOW superview
R1(config-view)#secret ciscoshowsuperview
R1(config-view)#view SHOWVIEW
R1(config-view)#exit


R1(config)#parser view USERPINGRELOAD superview
R1(config-view)#secret ciscoreloadsuperview
R1(config-view)#view RELOADPINGVIEW 
R1(config-view)#exit

 
R1(config)#username adminshow view USERSHOW secret cisco1
R1(config)#username adminpingreload view RELOADPINGVIEW secret cisco2
R1(config)#aaa authentication login default local
R1(config)#aaa authorization exec default local
R1(config)#aaa authorization console
R1(config)#exit

Configure privilege levels (Конфигурирование уровня привиллегий)

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#username admin privilege 1 password cisco
 
R1(config)#privilege exec level 5 ping
R1(config)#enable secret level 5 cisco5
R1(config)#username admin5 privilege 5 secret cisco5
 
R1(config)#privilege exec level 10 reload
R1(config)#enable secret level 10 cisco10
R1(config)#username admin10 privilege 10 secret cisco10
 
R1(config)#username admintotal privilege 15 secret ciscototal
R1(config)#exit

Защита авторизации, логирование авторизации

R1(config)#login block-for 15 attempts 5 within 60
R1(config)#ip access-list standart PERMIT-ADMIN

• R1(config-std-nacl)#remark Permit only Administrative hosts
• R1(config-std-nacl)#permit 192.168.10.10
• R1(config-std-nacl)#permit 192.168.11.10 
• R1(config-std-nacl)#exit 

R1(config)#login quiet-mode access-class PERMIT-ADMIN 
R1(config)#login delay 10
R1(config)#login on-success log
R1(config)#login on-failure log