http://www.hypercomp.ru/articles/configuring-clock-and-ntp-on-cisco-router/ - Настройка NTP и времени
https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/interfaces/6_x/b_Cisco_n3k_Interfaces_Configuration_Guide_602_U11/configuring_ip_tunnels.pdf - Настройка тунелей

copy system:running-config tftp: 

Создаем ACL с ip которому разрешено «будить» компьютеры:

access-list 1 permit 192.168.10.161

Пробрасываем широковещательный трафик на внутренний интерфейс где стоят компьютеры с включенным WOL:

interface GigabitEthernet0/1.12
ip directed-broadcast 1

Для разрешения пробуждения локальных компьютеров (192.168.0.0/24) из интернета, добавляем проброс с внешней сетевой карты (GigabitEthernet0/0):

ip nat inside source static udp 192.168.0.255 7 interface GigabitEthernet0/0 7

http://shouldhavegonewithcisco.com/2009/02/04/wake-on-lan-is-actually-useful/ - проброс широковещательных пакетов WOL

Закачиваем прошивку по tftp:

copy tftp: flash:

Сравниваем md5:

verify /md5 flash:c1900-universalk9_npe-mz.SPA.155-3.M3.bin

Назначаем с какой прошивки загружаться и удаляем загрузку со старой прошивки:

conf t
boot system flash:c1900-universalk9_npe-mz.SPA.155-3.M3.bin
no boot system flash:c1900-universalk9_npe-mz.SPA.155-3.M.bin
exit
write

Проверяем конфигурацию:

show run | include boot

Перезагружаемся:

reload

Проверяем после перезагрузки:

sho ver | inc bin

Добавить порт 2222 для ssh (пример для line vty 0 4):

conf t
ip ssh port 2222 rotary 9
line vty 0 4
 rotary 9

Блокировать входящий tcp трафик на интерфейсе на порт 22 (пример для GigabitEthernet0/1.111):

conf t
ip access-list extended blockports
 deny   tcp any any eq 22
 permit ip any any
interface GigabitEthernet0/1.111
 ip access-group blockports in

Посмотреть наличие ключей:

sh crypto key mypubkey rsa

Удалить ключ:

conf t
cry key zeroize rsa [название ключа]
wr

Сгенерировать ключ:

conf t
crypto key generate rsa

Устанавливаем:

• задержку в 300 секунд, если было 3 неудачные попытки входа в течение 30 секунд
• задержку в 5 секунд между попытками входа
• записываем неудачные попытки входа в лог
• записываем удачные попытки входа в лог

!
login block-for 300 attempts 3 within 30
login delay 3
login on-failure log
login on-success log
!

Просмотреть попытки входа:

sh login fail

Исключение из правила блокировки на примере ip адреса 192.168.10.77:

!
access-list 22 permit 192.168.10.77
login quiet-mode access-class 22
!

Разрывать соединения если не было активности 5 минут в нужной нам line vty:

exec-timeout 5 0

Разрывать соединения независимо от активности через 30 минут нужной нам line vty:

absolute-timeout 30

Пример:

!
line vty 0 4
 exec-timeout 5 0
 absolute-timeout 30
 login local
 transport input ssh
!

Просмотр входящих сессий:

show users

или

who

Завершить входящую сессию:

clear line <номер>

Просмотр исходящих сессий:

show sessions

или

where

Вернуться в приостановленную сессию:

resume <номер>

или

<номер>

Завершить исходящую сессию:

disconnect <номер>

http://xgu.ru/wiki/Доступ_к_маршрутизатору_Cisco

%: Error: static entry still in use, cannot remove.

При удалении статического правила перенаправления портов, например:

no ip nat inside source static tcp 192.168.9.10 25 89.237.21.143 25 extendable

Необходимо перед удалением очистить все динамически созданные правила:

conf t
clear ip nat translation *