偶看新闻丰组词丰在后面的:思科 路由、交换、安全设置实战手册
来源:百度文库 编辑:偶看新闻 时间:2024/04/28 22:28:08
思科 路由、交换、安全设置实战手册
一、使网络能上网
配通步骤:
1、进入端口
内:(config-if)# ip add XXX.XXX.XXX.XXX 255.255.255.0 (可以是vlan)
(config-if)# ip nat inside
(config-if)# no sh
外:(config-if)# ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)# ip nat outside
(config-if)# no sh
2、设置DNS、网关、路由、DHCP、控制列表和地址转换
DNS:(config)# ip name-server 203.196.0.6 (可连续写6个)
网关:(config)# ip default-gateway XXX.XXX.XXX.XXX (可写可不写)
路由:(config)# ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX(IP 或者端口---静态路由)
(config)# router rip (动态)
(config-router)# network XXX.XXX.XXX.XXX
DHCP(动态分配IP):(可以为多个vlan做dhcp)
(config)#ip dhcp pool + 名字 (DHCP名)
(dhcp-config)# network 192.168.2.0 255.255.255.0(要分配的IP 池—注意:A、B类私网IP 一定要加子网掩码,C类不需要)
(dhcp-config)# dns-server 203.196.0.6 202.106.0.20(DNS)
(dhcp-config)# default-router 192.168.2.1 (网关)
(dhcp-config)# lease 3 (租用时间)
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.100(排除要分配的IP段)
(config)#ip dhcp excluded-address 192.168.2.199 192.168.2.255(排除要分配IP段)
3、控制列表: (config)# access-list 1 permit(deny) 192.168.0.0 0.0.255.255 (允许或者拒绝的IP 段)
4、地址转换:(config)# ip nat inside source list 1 interface FastEthernet4 overload (指定端口-根据实际情况来定)
5、如果用池的方式:
先建立一个动态池
(config)# ip nat pool 871 211.99.151.208 211.99.151.208 netmask 255.255.255.0
(config)# ip nat inside source list 1 pool 871 overload (指定要将转换主机的IP和池联系起来)
6、静态IP转换(主要应用于服务器)
(config)#ip nat inside source static 10.1.1.4 80.1.1.10 (内网主机IP 在前,公网IP在后)
(config)#ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable (如果要带协议的话---static tcp;内网主机后则必须要端口号;同样 外网主机也需要端口号;extendable—可选)
7、常用的清除配置命令:
2950#erase startup-config (和路由一样)
1900#delete nvram
#show processes cpu (查看CPU使用率)
测试端口是否丢包!
#ping
Protocol [ip]: (回车)
Target IP address: 211.99.151.193 (IP地址)
Repeat count [5]: 10000 (设置默认包是数量)
Datagram size [100]: 10000 (包的大小)
Timeout in seconds [2]: (回车)
Extended commands [n]: (回车)
Sweep range of sizes [n]: (回车)
Type escape sequence to abort.
ping 192.168.1.11 source 192.168.1.23 repeat 1000 size 1000
停止:
#ctrl+shift+6
交换机升级成E 的步骤:
Switch#archive download-sw/ imageonly /overwrite/ reload tftp: //10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar (此仅是IOS软件的升级,还需要改号、改E等)
trace命令提供路由器到目的地址的每一跳的信息
#trace 171.144.1.39(目的IP)
#ctrl+shift+6 停止
telnet 设置
(config)#line vty 0 4
(config-if-line)#password XXXXXX
(config-if-line)#login
enable 密码设置
(config)# enable password XXXXX(不加密密码)
(config)# enable set XXXXX(加密密码)
问题备注:
1、 现象: 从路由能ping 外网 ,也能ping 电脑。电脑也能ping路由,但电脑ping 不通下一跳(或者说上不了网)
原因:在路由的全局模式下加上网关即可。
(config)# ip default-gateway XXX.XXX.XXX.XXX
2、 思科路由恢复口令方法。
(1)在启动的60 s内按下中断键Ctrl+Break,,使设备进入rom monitor状态。
(2)在rom monitor中输入o命令:
>o (查看当前的Configuration register值)
configuration register=0X2102 (寄存器启动方式默认值)
at last boot
(3)输入“>o/r 0x0142” (修改寄存器启动方式,使其启动不运行配置)
>o/r 0x0142
(4)重新启动路由器:
>I
rommon 2>reset
(5)在“Setup”模式,对所有问题回答“No”
(6)进入特权模式:
router>enable
(7)下载NVRAM
Router>configure memory
(8)恢复原始配置寄存器值并激活所有端口:
#configure terminal
(config)#configregister 0X2102
(config)#interface xx
(config)#no shutdown
(9)查询并记录丢失的口令:
2509#show configuration (show startupconfig)
(10)修改口令:
Router #configure terminal
(config) #line console 0
(configline)#login
(configline)#password xxxxxxx
(config)#enable secret xxxxx
(11) 保存重起
Router #wr
Router# reload
3、 要在路由上ping www 网址
(config)#ip name-server 203.196.0.6
(config)#ip name-server 202.106.0.20
二、ADSL上网配置(用户端)
此设置是ADSL猫加+路由器,如果是WIC-1ADSL+路由略有不同
871配置
1、启用相关协议
(config)#vpdn enable
(config)#vpdn−group 1 (也可以取名PPPOE)
(config-vpdn)#rrequest-dialin
(config-vpdn-req-in)#protocol pppoe
config)#vpdn ip udp ignore checksum (也可不写这个)
2、配置内网口
(config)#interface Ethernet0/0
(config-if)#ip address 内网地址
(config-if)#ip nat inside
(config-if)# no sh
(config-if)#ip tcp adjust-mss 1452 (主要是针对MSN等程序起用此命令)
作用:需要注意的就是 ip tcp adjust-mss 1452 调整tcp最大分段大小以满足PPPOE下的MTU
因为pppoe下 实际的数据段只能为1500-8(ppp的头)=1492,1492再减去TCP和IP头各20等于1452,也就是说为了避免2层上不停的分割数据包,适应某些应用如MSN,同时加快传输
3、配置外网口及其启用协议
(config)#interface Ethernet0/0
(config-if)#no ip address
(config-if)#pppoe enable (启用PPPOE协议)
(config-if)#pppoe-client dial-pool-number 10 (建立客户端拨号表,10代表表名字)
4、配置ADSL接口
(config)#interface Dialer1 (如果是WIC-1ADSL+路由 则应该是interface ATM 0)
(config-if)#ip address negotiated (自动获得IP)
(config-if)#ip nat outside
(config-if)#mtu 1492 (修改MTU值)
(config-if)#encapsulation ppp (设置协议)
(config-if)#dialer pool 10 (拨号表名)
(config-if)#dialer−group 10 (起用拨号表)
(config-if)#ppp authentication pap chap callin (认证方式)
(config-if)#ppp chap hostname ****** (chap认证名字)
(config-if)#ppp chap password ****** (chap认证密码)
(config-if)#ppp pap sent-username ****** password ****** (pap认证名字和密码)
5、配置拨号列表和控制列表的关系和路由等
config)#dialer−list 10 protocol ip permit (感兴趣流—即引发拨号的设置)
(config)#dialer-list 10 protocol ip list 1 (绑定拨号列表和控制列表之间的关系)
config)#ip nat inside source list 1 interface Dialer1 overload (NAT设置)
config)#ip route 0.0.0.0 0.0.0.0 dialer1 (路由)
config)#access−list 1 permit any (控制列表)
6、动态DHCP
DHCP(动态分配IP):(可以为多个vlan做dhcp)
(config)#ip dhcp pool + 名字 (DHCP名)
(dhcp-config)# network 192.168.2.0 255.255.255.0 (要分配的IP 池—注意:A、B类私网IP 一定要加子网掩码,C类不需要)
(dhcp-config)# dns-server 203.196.0.6 202.106.0.20(DNS)
(dhcp-config)# default-router 192.168.2.1 (网关)
(dhcp-config)# lease 3 (租用时间)
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.100(排除要分配的IP段)
(config)#ip dhcp excluded-address 192.168.2.199 192.168.2.255(排除要分配的IP段)
2620配置(其他一样)
config)#vpdn enable
config)#vpdn ip udp ignore checksum
config)#vpdn-group pppoe (也可以用数字)
三、单背路由
如图所示:
(config)#int f0/0 (进入要分子接口的接口,注意:此接口必须是三层接口)
(config-if)#no ip add
(config-if)#no sh
(config-if)# no switchport
(config-if)#int f 0/0.2 (划分子接口)
(config-subif)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-subif)#encapsulation dot1Q 1--4094 (dot1Q 是协议,1—4094 是vlan 号,目的:传输什么协议和指定用来接收那个vlan的数据)
注意:和划子接口相连的端口必须为trunk
其他的和一的配置没有什么区别!
四、划分VLAN、VTP、trunk模式、交换机清除密码
1、VTP域设置:
1900(config)#vtp server | transparent | client] (分别是服务模式、透明模式和客户端模式)
1900(config)#vtp domain domain-name(设置VTP域的名字)
1900(config)#vtp password password (密码可选)
2950#vlan database
2950(vlan)#vtp [ server | client | transparent ]
2950(vlan)#vtp domain domain-name (VTP名字)
下面均可选
2950(vlan)#vtp password password (密码可选)
2950(vlan)#vtp pruning
2950(vlan)#snmp-server enable traps vtp
2950(vlan)#exit
设置trunk
(config-if)#switchport trunk encapsulation dot1q (协议在前,封装在后,设置trunk)
(config-if)#switchport mode trunk (设置trunk ,VTP域只能在设置trunk模式后才能学习)
划分VLAN:
1900(config)# vlan vlan#(VLAN号) [name vlan-name(名字—可选)
2950#vlan database
2950(vlan)# vlan vlan# [name vlan-name](名字可选)
将端口加入到VLAN中
将端口8加入到VLAN 9中
1900(config)#interface ethernet 0/8
1900(config-if)#vlan-membership static 9
将端口8加入到VLAN 9中
2950(config)#interface ethernet 0/8
2950(config-if)#switchport mode access (将端口指定为接入模式)
2950(config-if)#switchport access vlan 9
3500#show vlan brief (查看VLAN)
3500#show vlan (查看VLAN)
871#show vlan-switch brief (查看VLAN)
871#show vlan-switch (查看VLAN)
(vlan)#show changes (查看VLAN信息)
3500#show int trunk (查看trunk)
3500#show vtp status (查看VTP 模式)
3500#show vlan id 2 (单独查看VLAN信息)
镜像映射配置
通过交换机的第2号口监控第1号口的流量
端口镜像映射配置
(config)# monitor session 1 source interface fastEthernet 0/1
(config)# monitor session 1 destination interface fastEthernet 0/2
VLAN镜像映射配置
(config)#monitor session 1 source vlan 1
(config)# monitor session 1 destination interface fastEthernet 0/2
2、交换机恢复密码:
步骤1:把管理机连接到交换机的CONSOLE接口,然后拔掉电源.
步骤2:按住前面板的MODE按钮,然后插上交换机的电源线.过5秒钟左右松手,系统会有一些提示信息,表示进入监视模式switch:
步骤3:输入flash_init 或flash 初始化FLASH文件系统.
步骤4:输入load_helper 装载并初始化帮助映像,这是存储在ROM中的最小IOS映像,用于灾难恢复.
步骤5:输入dir flash: 显示FLASH的文件和目录列表.
步骤6:输入rename flash:config.text flash:config.old ,修改配置文件名.
步骤7:输入boot,重启系统.
步骤8:在提示符下键入N,跳过setup模式.
步骤9:在提示符下,键入enable进入特权模式.
步骤10:输入rename flash:config.old flash:config.text,将配置文件改回原来的名称.
步骤11:将配置文件拷贝到运行的配置中:
Switch#copy startup-config running-config
步骤12:改变口令.
步骤13:将改变的配置拷贝到配置文件中.
路由器清除密码
1、 在路由器启动后的60秒内请在终端上键入中断键(Break键或Ctrl_C键),您会看到一个前面没有路由器名字的>大于号)提示符。
2、 在>号提示符下键入 “o/r0x42”以便从Flash启动,注意第一个字母 “o”不是十进制数 “0”(该为不要配置启动)
3、 在>号提示符下键入 “i”,路由器便会忽视存储的配置文件进行重新启动。
4、 路由器启动后,对所有的setup的问题回答 “no”。
5、 在router> 提示符下键入 “enable”,您就不需要口令就进入到enable模式,并且看到router# 提示符。
6、 有两种方法可以改变enable口令:
a. 删除所有的配置,键入 “write erase”。(清除所有配置)
b. 不删除所有的配置,只删除enable的口令
①.在router#conf t
②. 在router(config)#提示符下键入 “enable secret xxxxxx”,其中 “xxxxxx”为您想所设定的口令。
③. router# wr (保存)
7、 在route(config)# 提示符下键入 “config-register 0x2102”,或者您在第二步所记录下来的值。(改为正常值启动)
8、 router# wr (保存)
9、 在router# 提示符下键入 “reload”。(重新启动)
五、控制列表
每接口、每协议、每方向只能有一个访问列表
1、标准控制列表
格式:
(config)#access-list access-list-number {permit | deny | remark} source [mask
说明:
access-list-number:是列表的号码名(1—99)
permit | deny 允许或者禁止
source [mask 源IP或者IP 段 和反掩码
例:(config)#access-list 1 permit any(允许所有通过) Access-list 1 deny 222.83.177.23 0.0.0.0.0
B、(config)#access-list access-list-number +(permit | deny )+ host +IP地址
例:(config)#access-list 1 permit host 211.99.151.208
2、扩展控制列表
access-class 12 in/out
2、扩展控制列表
A、格式:(config)# access-list +(名字—100-199)+ (permit | deny )+ 协议 +源IP(段)+ 反掩码+ 目的IP(段)+反掩码+ (eq\gt\lt\range)+端口号
说明:eq 就是等于 gt 就是大于 lt 就是小于 range 就是包括
Access-list 101 deny tcp 172.168.1.0 0.0.0.255 211.121.14.0 0.0.0.255 eq 8000
B、(config)# access-list +(名字—100-199)+ (permit | deny )+ 协议 +any (指所有) +any (指所有)+ (eq\gt\lt\range)+端口号
客户要求:
(config)#interface fastEthernet 0/0 (进入外网口)
(config-if)#ip access-group 100 out
帮我配置一下:
外网222.77.64.146 255.255.255.252 222.77.64.145
内网192.168.0.1 255.255.255.255.0 192.168.0.1
DNS 202.101.107.55 202.101.98.55
禁止dhcp
禁止192.168.0.160-192.168.0.230上外网 (tcp)
禁止192.168.0.3-192.168.0.254 8000(udp)
禁止192.168.0.3-192.168.0.254 443 (tcp)
禁止192.168.0.3-192.168.0.254访问 218.117.209.1 - 218.117.209.255 80 (tcp www)
禁止192.168.0.3-192.168.0.254访问tencent.com (ip)
配置如下:
暂时无配置
路由器通过以太网的子口建立与下连交换机TRUNK口相连。(下面未经过验证,故不能全信)
要求管理VLAN可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN,但是其它VLAN不可以访问管理VLAN。
下面把路由器上的配置附上:
ip access-list extended infilter
evaluate mppacket
deny ip 10.54.16.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.31.0 0.0.0.255
permit ip any any
exit
ip access-list extended outfilter
permit ip any any reflect mppacket
exit
interface fastethernet0
ip address 10.255.49.2 255.255.255.252
exit
interface fastethernet1
exit
interface fastethernet1.1
description Guanli
ip address 10.54.31.254 255.255.255.0
encapsulation dot1q 1
exit
interface fastethernet1.2
description Yewu
ip address 10.54.17.254 255.255.255.0
encapsulation dot1q 2
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.3
description Bangong
ip address 10.54.16.254 255.255.255.0
encapsulation dot1q 3
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.4
description Caiwu
ip address 10.54.18.254 255.255.255.0
encapsulation dot1q 4
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.5
description Jiating
ip address 10.54.19.254 255.255.255.0
encapsulation dot1q 5
ip access-group outfilter out
ip access-group infilter in
exit
ip route 0.0.0.0 0.0.0.0 10.255.49.1
六、防火墙配置
防火墙保存命令:(config)#wr mem
防火墙清除配置命令:(config)#wr erase
1、设置安全级别 (外网0最高,内网 100最高,其他可以任意选)
(config)#nameif ethernet0 outside security0
(config)#nameif ethernet1 inside security100
(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1
被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安
全级别越高。
若添加新的接口,语句可以这样写:
(config)#nameif pix/intf3 security40 (安全级别任取)
(config)#interface gb-ethernet0 1000auto (光口)
(config)#nameif gb-ethernet0 intf2 security40 (光口)
2. 配置以太口参数(interface)
(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
(config)#interface ethernet1 auto
3. 配置内外网卡的IP地址(ip address)
(config)#ip address outside 61.144.51.42 255.255.255.248
(config)#ip address inside 192.168.0.1 255.255.255.0
4、指定要进行转换的内部地址(nat)
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside.
Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,
local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网
例1. (config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2. (config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5. 指定外部地址范围(global)
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。
Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,
ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。
[netmark global_mask]表示全局ip地址的网络掩码。
例1. (config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2. (config)#global (outside) 1 61.144.51.42
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个
单一ip地址。
例2还可以表示成
(config)#global (outside) 1 interface (如果外网只有一个IP)
例3. (config)#no global (outside) 1 61.144.51.42
表示删除这个全局表项。
例4.如果是不连续的网络段。
(config)#global (outside) 1 220.172.104.211-220.172.104.213
(config)#global (outside) 1 220.172.104.204
(config)#global (outside) 1 220.172.104.217
6. 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip
[metric]
其中(if_name)表示接口名字,例如inside,outside。
Gateway_ip表示网关路由器的ip地址。
[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. (config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2. (config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网
络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静
态路由,静态路由的下一条路由器ip地址是172.16.0.1
例3、指向内部和外部的路由
A、动态路由
router ospf 1
network 172.16.2.0 255.255.255.0 area 0
network 192.168.0.0 255.255.0.0 area 0
network 218.106.194.16 255.255.255.240 area 0
B、静态路由
(config)#ip address inside 172.16.2.1 255.255.255.0
(config)#ip address outside 218.106.204.66 255.255.255.240
(config)#route outside 0.0.0.0 0.0.0.0 218.106.204.65 1 (IP为下一跳)
(config)#route inside 192.168.0.0 255.255.0.0 172.16.2.2 1 (此为内网下面的网络)
以上配置后就可以通了!下面是些高级的控制
7、
A、配置静态IP地址翻译(static)
static命令配置语法:static
(internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside.
external_if_name为外部网络接口,安全级别较低。如outside等。
outside_ip_address为正在访问的较低安全级别的接口上的ip地址。
inside_ ip_address为内部网络的本地ip地址。
例1. (config)#static (inside, outside) 61.144.51.62 192.168.0.8 (此为防火墙在最前端)
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2. (config)#static (inside, outside) 192.168.0.2 10.0.1.3 (此为防火墙在路由或者其他设备之后)
例3. (config)#static (dmz, outside) 211.48.16.2 172.16.10.8 (此为DMZ的转换)
B. 管道命令(conduit)
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址,
如果global_ip为0,就用any代替0;
如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。
如果foreign_ip是一台主机,就用host命令参数。
例1. (config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp
的访问。
例2. (config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. (config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. (config)#static (inside, outside) 61.144.51.62 192.168.0.3
(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的
端口是pix防火墙要侦听的服务。见下面例子:
例1. (config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
例2. (config)#fixup protocol http 80
(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
例3. (config)#no fixup protocol smtp 80
禁用smtp协议。
D. 设置telnet
telnet配置语法:telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
(config)# telnet 0.0.0.0 0.0.0.0 inside
(config)# telnet 0.0.0.0 0.0.0.0 outside (此命令没有通,上面的可以,思科默认的密码是:CISCO )
E.允许或拒绝ping
(config)#ICMP permit/deny any echo-reply outside
(config)#Icmp permit/deny any unreachable outside
8、DHCP服务
PIX配置DHCP Server (经过验证)
(config)#dhcpd address 192.168.1.4-192.168.1.254 inside (设置池)
(config)# dhcpd dns 203.196.0.6 202.106.0.20 (设置DNS)
(config)#dhcpd lease 3600 (设置时间)
(config)#dhcpd ping_timeout 750 (防止IP 冲突的时间)
(config)#dhcpd auto_config outside
(config)#dhcpd enable inside (在内网接口起用DHCP)
(config)#debug dhcpd // event/packet 两个参数,事件信息/数据包信息,no debug dhcpd 关闭—调试DHCP
(config)#dhcpd domain domain_name //可选的,分配客户端使用的域名
(config)#clear dhcpd //Bindings,statistics 绑定mac,ip,租期 ,统计信息
(config)#dhcpd auto_config client_ifx_name //自动将dhcp获得的dns,wins等参数传递给dhcp服务器。
PIX535(config)# dhcpd address 10.10.10.26-10.10.10.254 inside
PIX535(config)# dhcpd dns 203.196.0.6 202.106.0.20
PIX535(config)# dhcpd lease 3600
PIX535(config)# dhcpd ping_timeout 750
PIX535(config)# dhcpd enable inside
PIX配置DHCP Client (未经过验证,具体有环境了才能实验)
pix(config)#ip address if_name dhcp // 接口名称,获得dhcp,后面还有参数,可省略
PIX配置DHCP Relay、
pix(config)#dhcprelay server 10.1.1.1 outside
pix(config)#dhcprelay timeout 80
pix(config)#dhcprelay enable inside
pix(config)#show dhcprelay
下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
dhcp client 通过pix firewall
pix515e(config)#ip address dhcp
dhcp server配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn
在monitor> 模式下修复PIX IOS方法:(和电脑相连的必须是交叉线)
monitor> interface 1 (选择端口)
monitor> address 172.18.124.154 (设置端口IP)
monitor> server 172.18.125.3 (设置TFTP服务器IP)
monitor> file pix611.bin (设置要传输的IOS名字—一定要有.bin)
monitor> ping 172.18.125.3 (测试网络是否通)
monitor> tftp (传送—同时服务器的TFTP也要运行)
tftp pix611.bin@172.18.125.3.........................................................
Do you want to enter a new activation key? [n] n (此是问你是否要更改安全码,选择NO)
Writing 2469944 bytes image into flash...
注意:
在恢复后进入系统后(即正常模式下),必须做以下操作(以下是以701版本为基础)!
(config)# int ethernet 0 (此端口和PC 用交叉线连接)
(config-if)# ip add (后跟IP 地址)
(config-if)#nameif outside (设置成外网口)
(config-if)#security-level 0 (设置安全参数)
做了以上后,要开启下列端口
(config)#fixup protocol dns maximum-length 512
(config)#fixup protocol ftp 21
(config)#fixup protocol h323 h225 1720
(config)#fixup protocol h323 ras 1718-1719
(config)#fixup protocol http 80
(config)#fixup protocol rsh 514
(config)#fixup protocol rtsp 554
(config)#fixup protocol sip 5060
(config)#fixup protocol sip udp 5060
(config)#no fixup protocol skinny 2000
(config)#fixup protocol smtp 25
(config)#fixup protocol sqlnet 1521
(config)#fixup protocol tftp 69
(config)# fixup protocol icmp (此为ping 的端口)
然后
pixfirewall#copy tftp flash: (即重新在拷贝一遍)
根据提示填写server IP 地址
要传输的文件名(记得要带.bin后缀)
………
….. OK
下面为恢复口令
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_password_recovery09186a008009478b.shtml#sample
恢复PIX口令
此为无软驱的操作
步骤如下:
第一步,找一条控制台的专用线(rollover串口线)把PC与PIX连接起来。
第二步,用一条交叉线把控制台网卡与PIX的ehernet 0连接起来。
第三步,通过串口建立超级终端,开机检查是否能接入PIX。没问题,但是由于没有原来的口令,进不去特权模式。
第四步,在能够通过console口连通的情况下,重新启动PIX,在出现启动消息后,根据屏幕提示在9秒内按键盘BREAK或ESC键进入monitor模式。
第五步,在monitor>输入interface 0进入接口模式。
第六步,add 192.168.1.1 指定PIX端口的IP地址。
第七步,server 192.168.1.88 指定我的TFTP服务器的IP地址。
第八步,file np63.bin 指定预传送的口令恢复文件名(不知道就到TFTP目录下看一下)。
第九步,ping 192.168.1.88 测试到TFTP的三层连通性。不通的话,就得仔细检查一下网卡与PIX的连接了。
第十步,tftp 回车,开始传送文件。传送完成后,提示是否要删除口令,输入y,确认删除,系统删除口令成功后,会自动重启,enable口令默认为空了。
第十步,照样提示输入口令,不管它,回车,OK!~~大功告成!~~
第十一步,如果要改密码的话,按照上面说的用相关命令改就OK了。
此为有软驱操作:
首先我们来在一个带有软驱的PIX机子进行口令恢复
第一步,在一台PC机上用rawrite.exe程序,按照屏幕提示把np**.bin文件写到一张可用的软盘上。
第二步,找一条控制台的专用线(rollover线)把PC与PIX连接起来。
第三步,通过PC超级终端建立与PIX连接,确保串口线没有问题。(由于没有正确的enable口令,我们只能看到密码提示符)
第四步,把刚才我们用rawrite.exe写好的软盘插入PIX机子软驱。
第五步,接着按一下PIX机子的复位键,PIX这次从软盘引导,并在屏幕上显示下面一些消息:
Erasing Flash Password. Please eject diskette and reboot.
(口令恢复已经搞定,请把软盘拿出来再重启机子)
第六步,当拿出软盘,按下重启键后,我们就可以不用口令进入PIX的IOS了。如果出现提示要口令,不管它,直接按回车就对了。
第七步,当前面步骤完成之后,PIX的远程Telnet口令恢复成默认的"cisco",并且进入enable特权模式也不需要密码。要改口令的话,进入 configuration全局模式,用passwd your_password命令改远程telnet口令,用enable password your_enable_password命令建立enable特权模式口令。记着在改或创建完成保存配置,这就大功告成了。
9、配置控制列表。
A、 (config)#access-list acl_inside permit icmp any any
(config)#access-list acl_inside permit tcp any any
(config)#access-list acl_inside permit udp any any
(config)#access-list acl_inside permit ip any any
(config)#access-list acl_outside permit icmp any any
(config)#access-list acl_outside permit tcp any any
(config)#access-list acl_outside permit udp any any
(config)#access-list acl_outside permit ip any any
应用到端口
(config)#access-group acl_outside in interface outside
(config)#access-group acl_inside in interface inside
B、
(config)#access-list 101 permit icmp any any
(config)#access-list 101 permit tcp any any
(config)#access-list 101 permit udp any any
(config)#access-list 101 permit ip any any
应用到端口
(config)#access-group 101 in interface outside
(config)#access-group 101 in interface inside
作用主要是开通一些相应的协议,否则就有可能网络不通!
10、内部主机访问内部服务器
A、 服务器和PC机在同一个网段内
(config)#alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255 (注意:被访问内网IP地址在前,公网IP 在后)
(config)#static(inside,outside)99.99.99.99 10.10.10.10 netmask 255.255.255.255
此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换
用access list命令赋予访问权
(config)#access-list 101 permit tcp any host 99.99.99.99 eq www
(config)#access-group 101 in interface outside
或者
(config)#conduit permit tcp host 99.99.99.99 eq www any
B、 服务器和PC机不在同一网络内(inside 和dmz)
(config)#alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
注意: 此中IP地址与上面DNS Doctoring的顺序相反.(即外部地址在前,DMZ主机地址在后)
C、 服务器与PC同在DMZ区
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
注意:DMZ主机在前,公网IP 在后
七、思科无线路由配置
其他的配置和 路由 是一样的
A、需要密码验证(比较安排)。 (此配置通过验证)
(Config)#int dot11Radio 0
(config-if)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)#ip nat inside
(config-if)#ip tcp adjust-mss 1452 (此主要是用于PPPOE才写此命令)
(config-if)#encryption key 1 size 128bit 0 1234567890ABCDEF0987654321 transmit-key (起用加密位为128位,并且设置密码 1234567890ABCDEF0987654321 ---必须是26位,但其是16进制,因此字母不能有F以上的)
(config-if)# encryption mode wep mandatory (起用加密方式为WEP)
(config-if)# ssid yonghengxinyekj (设置SSID 号—即为无线网络取名字)
(config-if-ssid)#authentication open (在SSID里设置,开放系统)
(config-if-ssid)#guest-mode (在SSID里设置)
B、无须密码,开放式配置。(此配置通过验证)
interface Dot11Radio0
(config-if)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)#ip nat inside
(config-if)#ip tcp adjust-mss 1452 (此主要是用于PPPOE才写此命令)
(config-if)#ssid cisco (取个SSID名字)
(config-if-ssid)#authentication open (在SSID里设置,开放系统)
(config-if-ssid)#guest-mode (在SSID里设置)
DHCP和路由的做法一样
八、交换机双机备份配置方法
按照下面的模版进行配置
交换机一
(config)#interface Vlan x (两台备份交换机的VLAN需相同)
(config-if)# ip address x.x.x.x x.x.x.x (设置IP地址)
(config-if)#no ip redirects
(config-if)#standby timers 5 10 (设置启用时间)
(config-if)#no ip directed-broadcast
(config-if)#standby 1 priority 100 preempt (设置抢先)
(config-if)#standby 1 ip y.y.y.y (设置虚拟IP—及下级交换机网关)
交换机二
(config)#interface Vlan x
(config-if)#ip address x.x.x.x x.x.x.x
(config-if)#no ip redirects
(config-if)#standby timers 5 10
(config-if)#no ip directed-broadcast
(config-if)#standby 1 priority 110 preempt
(config-if)#standby 1 ip y.y.y.y
注:
1、 要让下级交换机的网关是虚拟的IP地址,需将ip dhcp pool +XX中的网关设置成虚拟的IP地址即可(路由也是一样)
2、 两台备份交换机的VLAN必须是相同的VLAN,如果是有很多VLAN,则需要做很多个备份的配置!路由则不需要,只要是内网端口处于同一网段即可!
如何配置HSRP?
你可以在路由器的接口配置模式使用standby命令完成几乎所有HSRP配置。让我们考虑在配置图表中显示的网络所采用的步骤。
对于路由器1:
1.配置以太网接口上的IP地址
2.配置备用IP地址
3.配置备用抢先(通过抢先,只要路由器1可用,将总是主路由器。)
对于路由器2:
1. 配置以太网接口上的IP地址
2. 配置备用IP地址 、
3. 配置备用优先小于100(在本例中,是99。)
命令查看HSRP状态。这条命令会告诉哪个路由器是活动的,哪个是备份的
show standby
华为交换机配置操作手册
一、华为DHCP 做法
[Router]dhcp enable
[Router]dchp server forbidden-ip 10.188.180.1 10.188.180.10 (排除要分配的IP地址)
[Router]dchp server forbidden-ip 10.188.182.1 10.188.182.10 (排除要分配的IP地址)
[Router]dhcp server ip-pool vlan2 (建立一个DHCP 名字)
[Router-dhcp-pool-vlan2]network 10.188.180.0 mask 255.255.255.0 (指定要分配的网段)
[Router-dhcp-pool-vlan2]dns-list XXX.XXX.XXX.XXX(设置DNS)
[Router-dhcp-pool-vlan2]gateway-list 10.188.180.1(指定网关)
[Router-dhcp-pool-vlan2]expired day 8 hour 8 minute 8 (租用时间)
二、设置OSPF
A、设置区域0
[Roter]interface Ethernet0/1
[Router-Ethernet0/1]ospf enable area 0
注意要在所有的接口上操作这个步骤(防火墙上)
[Roter]ospf enable
B、设置OSPF
[Roter]ospf
[Roter-ospf1-1]area 0
[Roter-ospf1-1-area-0.0.0.0]network 218.5.82.210.0 0.0.0.255
[Roter-ospf1-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
九、E1 线路
分时隙
Router(config)# controller E1 0/0
Router(config-controller)#clock source liness (配置线路时钟)
Router(config-controller)#channel-group 0 timeslots 31 (设置默认时隙)
Router(config-controller)#framing no-crc4 (设置为非成帧格式)
Router(config-controller)#
Router(config-controller)# no sh
Router(config)#int serial 0/0/0:0 (进入端口)
Router(config-if)# ip add (设置IP 地址)
Router(config-if)#no sh
Router (config-if)#encapsulation ppp (设置PPP协议)