A. 思科模擬器怎麼配置wan鏈路的地址
方法如下:
1.打開思科模擬器,找到路由器圖標,路由器對應的英文為Router。
2.在第一部找到的路由器中,模擬器提供多種路由器選擇,根據需要任意選擇一個路由器,拖動一個路由器到空白處即可新建一個路由器,路由器的形狀為圓柱形,上面有十字形花紋。
3.單擊空白處的路由器,顯示如下路由器配置界面,在此界面中可以配置路由器的IP地址、子網掩碼等信息,我們點擊config配置路由器。
4.點擊config,顯示如下界面,然後點擊FastEthernet,配置口的IP地址,點擊FastEthernet,配置口的IP地址。路由器的兩個埠對應兩個不同的IP地址。
5.在IPAddress中輸入要配置的IP地址,如192.168.0.1,在SubnetMask中配置子網掩碼,如255.255.255.0。最後單擊確認退出即可
B. CISCO路由器的簡單配置用使用方法
1.1 CISCO IOS操作環境。
有三種:
ROM monitor > Failure of password recovery
BootROM router(boot) > Flash image upgrade
Cisco IOS router > Normal operation
二、 配置前的准備工作
2.1 用終端或模擬終端接入CONSOLE口 。
終端或模擬終端配置信息如下:
9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2)
2.2 用TELNET命令在網上進行設置。
系統管理員可在網上用telnet address命令進行遠程配置。
三、 配置IP地址
3.1 config命令行方式進行設置
3.1.1 首先啟動ROUTER 進入router > 模式。
鍵入Enable 進入router # 模式
然後鍵入config 進入router(config)# 模式
3.1.2 選擇要配置的路由器埠
Router(config) # interface埠號
進入埠設置狀態 Router(config-if)
此時用命令IP address <掩碼>
設定路由器埠IP地址
四、 配置ip路由協議 (RIP ,OSPF ,BGP ,STATICS)
在圖中有路由器A和B,廣域網通過router A 的s0/0/0和router B的s2/0/0相連,IP如下:
router A:
E1:202.101.1.1/24
S0/0/0:202.101.3.1/30
router B:
E1:202.101.2.1/24
S2/0/0:202.101.3.2/30
當我們設置路由器協議時,可根據方案的規定設置一種或多種協議。以下動態協議都是按最簡單設置,復雜的配置可參考具體手冊。
4.1靜態路由
IP route 目的網路地址 子網掩碼 埠號
在router A上配router B的路由:
IP route 202.101.2.0 255.255.255.0 202.101.3.2
在router A上配router B的路由:
IP route 202.101.1.0 255.255.255.0 202.101.3.1
4.2 RIP2設置
router A進行如下設置:
router rip ;enable rip
version 2 ;選擇版本2
network 202.101.1.0 ;相關子網地址
network 202.101.3.0
router B進行如下設置:
router rip ;enable rip
version 2 ;選擇版本2
network 202.101.2.0 ;相關子網地址
network 202.101.3.04.3 OSPF設置
router A:
router ospf 200 ;enable ospf 進程號為200
network 202.101.1.0 0.0.0.255 area 0 ; 相關子網地址及區域號
network 202.101.3.0 0.0.0.3 area 0
router B:
router ospf 200 ;enable ospf 進程號為200
network 202.101.2.0 0.0.0.255 area 0 ; 相關子網地址及區域號
network 202.101.3.0 0.0.0.3 area 04.4 BGP設置
router A:
router bgp 100 ;enable bgp 設置自治域號
network 202.101.3.0 mask 255.255.255.252 ;相關子網地址及子網掩碼
network 202.101.1.0 mask 255.255.255.0 ; 這些地址由bgp發到鄰居路由器
neighbor 202.101.3.2 remote-as 200 ;設置遠程相連自治域邊界路由器埠
router B:
router bgp 100 ;enable bgp 設置自治域號
network 202.101.2.0 mask 255.255.255.252 ;相關子網地址及子網掩碼
network 202.101.1.0 mask 255.255.255.0 ; 這些地址由bgp發到鄰居路由器
neighbor 202.101.3.1 remote-as 200 ;設置遠程相連自治域邊界路由器埠五、 radius認證的設置
5.1 radius的簡述
RADIUS的全稱為(Remote Access Dail-In User Service),它是對遠程撥號用戶訪問進行認證的一種協議。主要進行Authentication Authorization Accounting (AAA) 三方面的工作。
5.2 radius的配置
具體配置如下:
aaa new-mode ;enable radius
radius-server host ;指明radius server在網上的地址
radius-server key ;建立一個網上傳輸密
aaa authentication login default radius local ;進行login認證,若radius server未找到從本地資料庫內查找
aaa authentication ppp default radius local
aaa authorization network radius local ;授權檢測
aaa accounting network start-stop radius ;計帳檢測
六、 路由器軟體升級方法
6.1 改變操作環境
在global config mode設置: config -reg 0x2101
reload 進入Boot Rom 模式:router(boot)>
6.2 運行tftp server
在網上運行tftp server,使升級文件可以傳輸。
6.3 升級版本
命令如下:
tftp flash ;將tftp server上的文件傳入路由器的flash memoy中
flash tftp ; 將flash中的文件備份到tftp server中
七、 路由器配置的其它事項
7.1撥號用戶的配置。
cisco 2509/2511的非同步串列通訊口在配置modem時,modem需設置成自動應答方式。具體方法如下:
用超級終端進入modem AT 命令方式,鍵入ats0=1 設置自動應答方式,然後鍵入at&w 將設置寫入寄存器。
7.2 RIP & BGP的設置
當一個運行RIP路由協議的子網,做為一個自治域,用BGP協議接入另一自治域時。此子網內所有路由器需添加參數: ip classless 。同時在與邊界路由器直接相連的路由器上需添加一個預設網關。
7.3 v.35電纜直連的設置
在相關的埠上設置時鍾速率:clock rate < speed> .
7.4 loopback埠的設置
loopback埠是一個虛擬埠,埠狀態始終處於UP。通過它可以使由BGP相連的AS之間始終保持連系,不會由於邊界路由器埠狀態的改變而發生變化。其具體配置如下:
interface loopback
ip address IP地址 子網掩碼
八、常見問題
8.1如何檢測網路是否通暢?
在網路主機上採用命令ping 來逐端檢測網端。
8.2如何查看路由器配置信息?
在EXEC模式下用show config命令。
8.3如何查看路由器路由信息?
在EXEC模式下用show ip route 命令。
8.4如何查看路由器埠信息?
EXEX模式下用show int <埠號> 命令。
8.5為什麼埠協議已經配置,狀態仍然是down?
在CONFIG模式下,選擇該埠,執行no shutdwon命令。
8.6 config模式有幾種狀態,對應那些操作?
config模式有以下幾種狀態:
· globle config 全局配置操作 exec模式鍵入config t
· interface config 埠配置操作 config模式鍵入int <埠號>
· line config 線路配置操作 config模式鍵入line <線路號>
· router config 路由配置操作 config模式鍵入router<路由協議>
C. 思科配置命令詳細介紹
思科配置命令詳細介紹
對於剛想學計算機網路技術的朋友,首先接觸的就是思科路由器,下面是我給大家帶來的最詳細的CISCO路由器配置命令及方法:
目 錄 :
第一章 路由器配置基礎
一、基本設置方式
二、命令狀態
三、設置對話過程
四、常用命令
五、配置IP定址
六、配置靜態路由
第二章 廣域網協議設置
一、HDLC
二、PPP
三、X.25
四、Frame Relay
五、ISDN
六、PSTN
第三章 路由協議設置
一、RIP協議
二、IGRP協議
三、OSPF協議
四、重新分配路由
五、IPX協議設置
第四章 服務質量及訪問控制
一、協議優先順序設置
二、隊列定製
三、訪問控制
第五章 虛擬區域網(VLAN)路由
一、虛擬區域網(VLAN)
二、交換機間鏈路(ISL)協議
三、虛擬區域網(VLAN)路由實例
第一章:路由器配置基礎
一、基本設置方式
一般來說,可以用5種方式來設置路由器:
1.Console口接終端或運行終端模擬軟體的微機;
2.AUX口接MODEM,通過電話線與遠方的終端或運行終端模擬軟體的微機相連;
3.通過Ethernet上的TFTP伺服器;
4.通過Ethernet上的TELNET程序;
5.通過Ethernet上的SNMP網管工作站。
但路由器的第一次設置必須通過第一種方式進行,此時終端的硬體設置如下:
波特率 :9600
數據位 :8
停止位 :1
奇偶校驗: 無
二、命令狀態
1. router>
路由器處於用戶命令狀態,這時用戶可以看路由器的連接狀態,訪問其它網路和主機,但不能看到和更改路由器的設置內容。
2. router#
在router>提示符下鍵入enable,路由器進入特權命令狀態router#,這時不但可以執行所有的用戶命令,還可以看到和更改路由器的設置內容。
3. router(config)#
在router#提示符下鍵入configure terminal,出現提示符router(config)#,此時路由器處於全局設置狀態,這時可以設置路由器的全局參數。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器處於局部設置狀態,這時可以設置路由器某個局部的參數。
5. >
路由器處於RXBOOT狀態,在開機後60秒內按ctrl-break可進入此狀態,這時路由器不能完成正常的功能,只能進行軟體升級和手工引導。
設置對話狀態
這是一台新路由器開機時自動進入的狀態,在特權命令狀態使用SETUP命令也可進入此狀態,這時可通過對話方式對路由器進行設置。
三、設置對話過程
顯示提示信息
全局參數的設置
介面參數的設置
顯示結果
利用設置對話過程可以避免手工輸入命令的煩瑣,但它還不能完全代替手工設置,一些特殊的設置還必須通過手工輸入的方式完成。
進入設置對話過程後,路由器首先會顯示一些提示信息:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
這是告訴你在設置對話過程中的任何地方都可以鍵入“?”得到系統的幫助,按ctrl-c可以退出設置過程,預設設置將顯示在‘[]’中。然後路由器會問是否進入設置對話:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回車,路由器就會進入設置對話過程。首先你可以看到各埠當前的狀況:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然後,路由器就開始全局參數的設置:
Configuring global parameters:
1.設置路由器名:
Enter host name [Router]:
2.設置進入特權狀態的密文(secret),此密文在設置以後不會以明文方式顯示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.設置進入特權狀態的密碼(password),此密碼只在沒有密文時起作用,並且在設置以後會以明文方式顯示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.設置虛擬終端訪問時的密碼:
Enter virtual terminal password: cisco
5.詢問是否要設置路由器支持的各種網路協議:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是撥號訪問伺服器,系統還會設置非同步口的參數:
Configure Async lines? [yes]:
1) 設置線路的最高速度:
Async line speed [9600]:
2) 是否使用硬體流控:
Configure for HW flow control? [yes]:
3) 是否設置modem:
Configure for modems? [yes/no]: yes
4) 是否使用默認的modem命令:
Configure for default chat s cript? [yes]:
5) 是否設置非同步口的PPP參數:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6) 是否使用動態IP地址:
Configure for Dynamic IP addresses? [yes]:
7) 是否使用預設IP地址:
Configure Default IP addresses? [no]: yes
8) 是否使用TCP頭壓縮:
Configure for TCP Header Compression? [yes]:
9) 是否在非同步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10) 是否設置非同步口上的其它協議。
接下來,系統會對每個介面進行參數的設置。
1.Configuring interface Ethernet0:
1) 是否使用此介面:
Is this interface in use? [yes]:
2) 是否設置此介面的IP參數:
Configure IP on this interface? [yes]:
3) 設置介面的IP地址:
IP address for this interface: 192.168.162.2
4) 設置介面的IP子網掩碼:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在設置完所有介面的參數後,系統會把整個設置對話過程的結果顯示出來:
The following configuration command s cript was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
請注意在enable secret後面顯示的是亂碼,而enable password後面顯示的是設置的內容。
顯示結束後,系統會問是否使用這個設置:
Use this configuration? [yes/no]: yes
如果回答yes,系統就會把設置的結果存入路由器的NVRAM中,然後結束設置對話過程,使路由器開始正常的工作。
四、常用命令
1. 幫助
在IOS操作中,無論任何狀態和位置,都可以鍵入“?”得到系統的幫助。
2. 改變命令狀態
任務 命令
進入特權命令狀態 enable
退出特權命令狀態 disable
進入設置對話狀態 setup
進入全局設置狀態 config terminal
退出全局設置狀態 end
進入埠設置狀態 interface type slot/number
進入子埠設置狀態 interface type number.subinterface [point-to-point | multipoint]
進入線路設置狀態 line type slot/number
進入路由設置狀態 router protocol
退出局部設置狀態 exit
3. 顯示命令
任務 命令
查看版本及引導信息 show version
查看運行設置 show running-config
查看開機設置 show startup-config
顯示埠信息 show interface type slot/number
顯示路由信息 show ip router
4. 拷貝命令
用於IOS及CONFIG的備份和升級
5. 網路命令
任務 命令
登錄遠程主機 telnet hostname|IP address
網路偵測 ping hostname|IP address
路由跟蹤 trace hostname|IP address
6. 基本設置命令
任務 命令
全局設置 config terminal
設置訪問用戶及密碼 username username password password
設置特權密碼 enable secret password
設置路由器名 hostname name
設置靜態路由 ip route destination subnet-mask next-hop
啟動IP路由 ip routing
啟動IPX路由 ipx routing
埠設置 interface type slot/number
設置IP地址 ip address address subnet-mask
設置IPX網路 ipx network network
激活埠 no shutdown
物理線路設置 line type number
啟動登錄進程 login [local|tacacs server]
設置登錄密碼 password password
五、配置IP定址
1. IP地址分類
IP地址分為網路地址和主機地址二個部分,A類地址前8位為網路地址,後24位為主機地址,B類地址16位為網路地址,後16位為主機地址,C類地址前24位為網路地址,後8位為主機地址,網路地址范圍如下表所示:
種類 網路地址范圍
A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留
C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留
D 224.0.0.0到239.255.255.255用於多點廣播
E 240.0.0.0到255.255.255.254保留 255.255.255.255用於廣播
2. 分配介面IP地址
任務 命令
介面設置 interface type slot/number
為介面設置IP地址 ip address ip-address mask
掩瑪(mask)用於識別IP地址中的網路地址位數,IP地址(ip-address)和掩碼(mask)相與即得到網路地址。
3. 使用可變長的子網掩碼
通過使用可變長的子網掩碼可以讓位於不同介面的同一網路編號的網路使用不同的掩碼,這樣可以節省IP地址,充分利用有效的IP地址空間。
如下圖所示:
Router1和Router2的E0埠均使用了C類地址192.1.0.0作為網路地址,Router1的E0的網路地址為192.1.0.128, 掩碼為255.255.255.192, Router2的E0的網路地址為192.1.0.64,掩碼為255.255.255.192,這樣就將一個C類網路地址分配給了二個網,既劃分了二個子網,起到了節約地址的作用。
4. 使用網路地址翻譯(NAT)
NAT(Network Address Translation)起到將內部私有地址翻譯成外部合法的全局地址的功能,它使得不具有合法IP地址的用戶可以通過NAT訪問到外部Internet.
當建立內部網的時候,建議使用以下地址組用於主機,這些地址是由Network Working Group(RFC 1918)保留用於私有網路地址分配的`.
?; Class A:10.1.1.1 to 10.254.254.254
?; Class B:172.16.1.1 to 172.31.254.254
?; Class C:192.168.1.1 to 192.168.254.254
命令描述如下:
任務 命令
定義一個標准訪問列表 access-list access-list-number permit source [source-wildcard]
定義一個全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
建立動態地址翻譯 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}
指定內部和外部埠 ip nat {inside | outside}
如下圖所示,
路由器的Ethernet 0埠為inside埠,即此埠連接內部網路,並且此埠所連接的網路應該被翻譯,Serial 0埠為outside埠,其擁有合法IP地址(由NIC或服務提供商所分配的合法的IP地址),來自網路10.1.1.0/24的主機將從IP地址池 c2501中選擇一個地址作為自己的合法地址,經由Serial 0口訪問Internet。命令ip nat inside source list 2 pool c2501 overload中的參數overload,將允許多個內部地址使用相同的全局地址(一個合法IP地址,它是由NIC或服務提供商所分配的地址)。命令 ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定義了全局地址的范圍。
設置如下:
ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192
interface Ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial 0
ip address 202.200.10.5 255.255.255.252
ip nat outside
!
ip route 0.0.0.0 0.0.0.0 Serial 0
access-list 2 permit 10.0.0.0 0.0.0.255
! Dynamic NAT
!
ip nat inside source list 2 pool c2501 overload
line console 0
exec-timeout 0 0
!
line vty 0 4
end
六、配置靜態路由
通過配置靜態路由,用戶可以人為地指定對某一網路訪問時所要經過的路徑,在網路結構比較簡單,且一般到達某一網路所經過的路徑唯一的情況下採用靜態路由。
任務 命令
建立靜態路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到達的目的網路
mask :子網掩碼
address :下一個跳的IP地址,即相鄰路由器的埠地址。
interface :本地網路介面
distance :管理距離(可選)
tag tag :tag值(可選)
permanent :指定此路由即使該埠關掉也不被移掉。
以下在Router1上設置了訪問192.1.0.64/26這個網下一跳地址為192.200.10.6,即當有目的地址屬於 192.1.0.64/26的網路范圍的數據報,應將其路由到地址為192.200.10.6的相鄰路由器。在Router3上設置了訪問 192.1.0.128/26及192.200.10.4/30這二個網下一跳地址為192.1.0.65。由於在Router1上埠Serial 0地址為192.200.10.5,192.200.10.4/30這個網屬於直連的網,已經存在訪問192.200.10.4/30的路徑,所以不需要在Router1上添加靜態路由。
Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同時由於路由器Router3除了與路由器Router2相連外,不再與其他路由器相連,所以也可以為它賦予一條默認路由以代替以上的二條靜態路由,
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要沒有在路由表裡找到去特定目的地址的路徑,則數據均被路由到地址為192.1.0.65的相鄰路由器。
;D. Cisco核心交換機如何配置
假設A段地址為:192.168.20.* ,B段地址為:192.168.21.*
若核心交換機之前有配置過IP地址,則可以Telnet方式連接,若沒有配置,則通過控制線的方式進入。
Switch>en
Switch#conf t
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.20.254 255.255.255.0 (說明:此處的IP地址可以自己定義)
Switch(config-if)#ip helper-address 192.168.20.1 (說明:此處的IP地址為DHCP伺服器的IP地址)
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip address 192.168.21.254 255.255.255.0 (說明:此處的IP地址可以自己定義)
Switch(config-if)#ip helper-address 192.168.20.1 (說明:此處的IP地址為DHCP伺服器的IP地址)
Switch(config-if)#exit
Switch(config)#int g0/1 (假設:B網段的PC接在交換機的1號埠)
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#user name username privilege 15 password yourpassword(username和yourpassword為自己定義的)
Switch(config)#service password-encryption
Switch(config)#line vty 0 4
Switch(config-line)#login local
Switch(config-line)#exit
Switch#wr
以上Cisco核心交換機配置完成,接下來需要配置DHCP伺服器
在DHCP伺服器上的IPV4中,新建作用域,根據向導完成作用域的新建。(說明:每個VLAN單獨新建一個作用域,步驟一致)
在新建作用域完成後,需要對作用域選項進行配置,
右鍵點擊作用域選項,選擇配置選項,在常規中,勾選路由器,在IP地址中輸入192.168.20.254(B網段輸入192.168.21.254)
勾選DNS伺服器,在IP地址中輸入內部DNS伺服器地址,然後確定
由於交換機埠默認為VLAN1,DHCP伺服器和A網段的PC所連接的埠不用進行VLAN的劃分。
A網段的PC及伺服器網關地址為192.168.20.254,B網段的PC網關地址為:192.168.21.254,客戶端PC通過默認路由向網關發送數據包,當核心交換機收到客戶端的IP地址請求後,通過核心交換機的設置匹配,將數據包請求發送至指定的DHCP伺服器,DHCP伺服器根據收到的請求,判斷所屬作用域,然後再分配實際的IP地址給客戶端。
E. CISCO防火牆配置及詳細介紹
在眾多的企業級主流防火牆中,cisco pix防火牆是所有同類產品性能最好的一種。cisco pix系列防火牆目前有5種型號pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最強大的一款。它可以提供運營商級別的處理能力,適用於大型的isp等服務提供商。但是pix特有的os操作系統,使得大多數管理是通過命令行來實現的,不象其他同類的防火牆通過web管理界面來進行網路管理,這樣會給初學者帶來不便。本文將通過實例介紹如何配置cisco pix防火牆。
在配置pix防火牆之前,先來介紹一下防火牆的物理特性。防火牆通常具有至少3個介面,但許多早期的防火牆只具有2個介面;當使用具有3個介面的防火牆時,就至少產生了3個網路,描述如下:
�0�3 內部區域(內網)。 內部區域通常就是指企業內部網路或者是企業內部網路的一部分。它是互連網路的信任區域,即受到了防火牆的保護。
�0�3 外部區域(外網)。 外部區域通常指internet或者非企業內部網路。它是互連網路中不被信任的區域,當外部區域想要訪問內部區域的主機和服務,通過防火牆,就可以實現有限制的訪問。
�0�3 停火區(dmz)。 停火區是一個隔離的網路,或幾個網路。位於停火區中的主機或伺服器被稱為堡壘主機。一般在停火區內可以放置web伺服器,mail伺服器等。停火區對於外部用戶通常是可以訪問的,這種方式讓外部用戶可以訪問企業的公開信息,但卻不允許他們訪問企業內部網路。注意:2個介面的防火牆是沒有停火區的。
由於pix535在企業級別不具有普遍性,因此下面主要說明pix525在企業網路中的應用。
pix防火牆提供4種管理訪問模式:
非特權模式。 pix防火牆開機自檢後,就是處於這種模式。系統顯示為pixfirewall>
特權模式。 輸入enable進入特權模式,可以改變當前配置。顯示為pixfirewall#
配置模式。 輸入configure terminal進入此模式,絕大部分的系統配置都在這里進行。顯示為pixfirewall(config)#
監視模式。 pix防火牆在開機或重啟過程中,按住escape鍵或發送一個「break」字元,進入監視模式。這里可以更新操作系統映象和口令恢復。顯示為monitor>
配置pix防火牆有6個基本命令:nameif,interface,ip address,nat,global,route.
這些命令在配置pix是必須的。以下是配置的基本步驟:
1. 配置防火牆介面的名字,並指定安全級別(nameif)。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示:在預設配置中,乙太網0被命名為外部介面(outside),安全級別是0;乙太網1被命名為內部介面(inside),安全級別是100.安全級別取值范圍為1~99,數字越大安全級別越高。若添加新的介面,語句可以這樣寫:
pix525(config)#nameif pix/intf3 security40 (安全級別任取)
2. 配置以太口參數(interface)
pix525(config)#interface ethernet0 auto(auto選項表明系統自適應網卡類型 )
pix525(config)#interface ethernet1 100full(100full選項表示100mbit/s乙太網全雙工通信 )
pix525(config)#interface ethernet1 100full shutdown (shutdown選項表示關閉這個介面,若啟用介面去掉shutdown )
3. 配置內外網卡的ip地址(ip address)
pix525(config)#ip address outside 61.144.51.42 255.255.255.248
pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明顯,pix525防火牆在外網的ip地址是61.144.51.42,內網ip地址是192.168.0.1
4. 指定要進行轉換的內部地址(nat)
網路地址翻譯(nat)作用是將內網的私有ip轉換為外網的公有ip.nat命令總是與global命令一起使用,這是因為nat命令可以指定一台主機或一段范圍的主機訪問外網,訪問外網時需要利用global所指定的地址池進行對外訪問。nat命令配置語法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示內網介面名字,例如inside. nat_id用來標識全局地址池,使它與其相應的global命令相匹配,local_ip表示內網被分配的ip地址。例如0.0.0.0表示內網所有主機可以對外訪問。[netmark]表示內網ip地址的子網掩碼。
例1.pix525(config)#nat (inside) 1 0 0
表示啟用nat,內網的所有主機都可以訪問外網,用0可以代表0.0.0.0
例2.pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0這個網段內的主機可以訪問外網。
5. 指定外部地址范圍(global)
global命令把內網的ip地址翻譯成外網的ip地址或一段地址范圍。global命令的配置語法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外網介面名字,例如outside.。nat_id用來標識全局地址池,使它與其相應的nat命令相匹配,ip_address-ip_address表示翻譯後的單個ip地址或一段ip地址范圍。[netmark global_mask]表示全局ip地址的網路掩碼。
例1. pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示內網的主機通過pix防火牆要訪問外網時,pix防火牆將使用61.144.51.42-61.144.51.48這段ip地址池為要訪問外網的主機分配一個全局ip地址。
例2. pix525(config)#global (outside) 1 61.144.51.42
表示內網要訪問外網時,pix防火牆將為訪問外網的所有主機統一使用61.144.51.42這個單一ip地址。
例3. pix525(config)#no global (outside) 1 61.144.51.42
表示刪除這個全局表項。
6. 設置指向內網和外網的靜態路由(route)
定義一條靜態路由。route命令配置語法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示介面名字,例如inside,outside。gateway_ip表示網關路由器的ip地址。[metric]表示到gateway_ip的跳數。通常預設是1。
例1. pix525(config)#route outside 0 0 61.144.51.168 1
表示一條指向邊界路由器(ip地址61.144.51.168)的預設路由。
例2. pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果內部網路只有一個網段,按照例1那樣設置一條預設路由即可;如果內部存在多個網路,需要配置一條以上的靜態路由。上面那條命令表示創建了一條到網路10.1.1.0的靜態路由,靜態路由的下一條路由器ip地址是172.16.0.1
這6個基本命令若理解了,就可以進入到pix防火牆的一些高級配置了。
a. 配置靜態ip地址翻譯(static)
如果從外網發起一個會話,會話的目的地址是一個內網的ip地址,static就把內部地址翻譯成一個指定的全局地址,允許這個會話建立。static命令配置語法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示內部網路介面,安全級別較高。如inside. external_if_name為外部網路介面,安全級別較低。如outside等。outside_ip_address為正在訪問的較低安全級別的介面上的ip地址。inside_ ip_address為內部網路的本地ip地址。
例1. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址為192.168.0.8的主機,對於通過pix防火牆建立的每個會話,都被翻譯成61.144.51.62這個全局地址,也可以理解成static命令創建了內部ip地址192.168.0.8和外部ip地址61.144.51.62之間的靜態映射。
例2. pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注釋同例1。通過以上幾個例子說明使用static命令可以讓我們為一個特定的內部ip地址設置一個永久的全局ip地址。這樣就能夠為具有較低安全級別的指定介面創建一個入口,使它們可以進入到具有較高安全級別的指定介面。
b. 管道命令(conit)
前面講過使用static命令可以在一個本地ip地址和一個全局ip地址之間創建了一個靜態映射,但從外部到內部介面的連接仍然會被pix防火牆的自適應安全演算法(asa)阻擋,conit命令用來允許數據流從具有較低安全級別的介面流向具有較高安全級別的介面,例如允許從外部到dmz或內部介面的入方向的會話。對於向內部介面的連接,static和conit命令將一起使用,來指定會話的建立。
conit命令配置語法:
conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允許 | 拒絕訪問
global_ip 指的是先前由global或static命令定義的全局ip地址,如果global_ip為0,就用any代替0;如果global_ip是一台主機,就用host命令參數。
port 指的是服務所作用的埠,例如www使用80,smtp使用25等等,我們可以通過服務名稱或埠數字來指定埠。
protocol 指的是連接協議,比如:tcp、udp、icmp等。
foreign_ip 表示可訪問global_ip的外部ip。對於任意主機,可以用any表示。如果foreign_ip是一台主機,就用host命令參數。
例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any
這個例子表示允許任何外部主機對全局地址192.168.0.8的這台主機進行http訪問。其中使用eq和一個埠來允許或拒絕對這個埠的訪問。eq ftp 就是指允許或拒絕只對ftp的訪問。
例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
表示不允許外部主機61.144.51.89對任何全局地址進行ftp訪問。
例3. pix525(config)#conit permit icmp any any
表示允許icmp消息向內部和外部通過。
例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
pix525(config)#conit permit tcp host 61.144.51.62 eq www any
這個例子說明static和conit的關系。192.168.0.3在內網是一台web伺服器,現在希望外網的用戶能夠通過pix防火牆得到web服務。所以先做static靜態映射:192.168.0.3->61.144.51.62(全局),然後利用conit命令允許任何外部主機對全局地址61.144.51.62進行http訪問。
c. 配置fixup協議
fixup命令作用是啟用,禁止,改變一個服務或協議通過pix防火牆,由fixup命令指定的埠是pix防火牆要偵聽的服務。見下面例子:
例1. pix525(config)#fixup protocol ftp 21
啟用ftp協議,並指定ftp的埠號為21
例2. pix525(config)#fixup protocol http 80
pix525(config)#fixup protocol http 1080
為http協議指定80和1080兩個埠。
例3. pix525(config)#no fixup protocol smtp 80
禁用smtp協議。
d. 設置telnet
telnet有一個版本的變化。在pix os 5.0(pix操作系統的版本號)之前,只能從內部網路上的主機通過telnet訪問pix。在pix os 5.0及後續版本中,可以在所有的介面上啟用telnet到pix的訪問。當從外部介面要telnet到pix防火牆時,telnet數據流需要用ipsec提供保護,也就是說用戶必須配置pix來建立一條到另外一台pix,路由器或vpn客戶端的ipsec隧道。另外就是在pix上配置ssh,然後用ssh client從外部telnet到pix防火牆,pix支持ssh1和ssh2,不過ssh1是免費軟體,ssh2是商業軟體。相比之下cisco路由器的telnet就作的不怎麼樣了。
telnet配置語法:telnet local_ip [netmask]
local_ip 表示被授權通過telnet訪問到pix的ip地址。如果不設此項,pix的配置方式只能由console進行。
說了這么多,下面給出一個配置實例供大家參考。
welcome to the pix firewall
type help or 』?』 for a list of available commands.
pix525> en
password:
pix525#sh config
: saved
:
pix version 6.0(1) ------ pix當前的操作系統版本為6.0
nameif ethernet0 outside security0
nameif ethernet1 inside security100 ------ 顯示目前pix只有2個介面
enable password 7y051hhccoirtsqz encrypted
passed 7y051hhccoirtsqz encrypted ------ pix防火牆密碼在默認狀態下已被加密,在配置文件中不會以明文顯示,telnet 密碼預設為cisco
hostname pix525 ------ 主機名稱為pix525
domain-name 123.com ------ 本地的一個域名伺服器123.com,通常用作為外部訪問
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 當前啟用的一些服務或協議,注意rsh服務是不能改變埠號
names ------ 解析本地主機名到ip地址,在配置中可以用名字代替ip地址,當前沒有設置,所以列表為空
pager lines 24 ------ 每24行一分頁
interface ethernet0 auto
interface ethernet1 auto ------ 設置兩個網卡的類型為自適應
mtu outside 1500
mtu inside 1500 ------ 乙太網標準的mtu長度為1500位元組
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外網的ip地址61.144.51.42,內網的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵檢測的2個命令。當有數據包具有攻擊或報告型特徵碼時,pix將採取報警動作(預設動作),向指定的日誌記錄主機產生系統日誌消息;此外還可以作出丟棄數據包和發出tcp連接復位信號等動作,需另外配置。
pdm history enable ------ pix設備管理器可以圖形化的監視pix
arp timeout 14400 ------ arp表的超時時間
global (outside) 1 61.144.51.46 ------ 如果你訪問外部論壇或用qq聊天等等,上面顯示的ip就是這個
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conit permit icmp any any
conit permit tcp host 61.144.51.43 eq www any
conit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43這個ip地址提供domain-name服務,而且只允許外部用戶訪問domain的udp埠
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部網關61.144.51.61
timeout xlate 3:00:00 ------ 某個內部設備向外部發出的ip包經過翻譯(global)後,在預設3個小時之後此數據包若沒有活動,此前創建的表項將從翻譯表中刪除,釋放該設備佔用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ aaa認證的超時時間,absolute表示連續運行uauth定時器,用戶超時後,將強制重新認證
aaa-server tacacs+ protocol tacacs+
aaa-server radius protocol radius ------ aaa伺服器的兩種協議。aaa是指認證,授權,審計。pix防火牆可以通過aaa伺服器增加內部網路的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由於沒有設置snmp工作站,也就沒有snmp工作站的位置和聯系人
no snmp-server enable traps ------ 發送snmp陷阱
floodguard enable ------ 防止有人偽造大量認證請求,將pix的aaa資源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh訪問pix的超時時間
terminal width 80
cryptochecksum:
pix525#
pix525#write memory ------ 將配置保存
上面這個配置實例需要說明一下,pix防火牆直接擺在了與internet介面處,此處網路環境有十幾個公有ip,可能會有朋友問如果我的公有ip很有限怎麼辦?你可以添加router放在pix的前面,或者global使用單一ip地址,和外部介面的ip地址相同即可。另外有幾個維護命令也很有用,show interface查看埠狀態,show static查看靜態地址映射,show ip查看介面ip地址,ping outside | inside ip_address確定連通性。
F. 思科路由交換的配置步驟,以及步驟中命令詳解
思科Cisco交換機、路由器設置命令
Lzshihj_tz2f_3550
交換機口令設置:
switch>enable ;進入特權模式
switch#config terminal ;進入全局配置模式
switch(config)#hostname <hostname> ;設置交換機的主機名
switch(config)#enable secret xxx ;設置特權加密口令為 xxx
switch(config)#enable password xxx ;設置特權非密口令為 xxx
switch(config)#line console 0 ;進控制台口(Rs232)初始化
switch(config-line)#line vty 0 4 ;進入虛擬終端virtual tty
switch(config-line)#login ;允輪喊態許登錄
switch(config-line)#password xx ;設置登錄口令xx
switch#exit ;返回命令
交換機VLAN設置:
switch#vlan database ;進入VLAN設置
switch(vlan)#vlan 2 ;滲游建VLAN 2
switch(vlan)#no vlan 2 ;刪vlan 2
switch(config)#int f0/1 ;進入埠1
switch(config-if)#switchport access vlan 2 ;當臘源前端口1加入VLAN 2
switch(config-if)#switchport mode trunk ;設置為干線
switch(config-if)#switchport trunk allowed vlan 1,2;設置允許的vlan
switch(config-if)#switchport trunk encap dot1q ;設置vlan中繼
switch(config)#vtp domain <name> ;設置發vtp域名
switch(config)#vtp password <word>
switch(config)#vtp mode server
switch(config)#vtp mode client
交換機設置IP地址:
switch(config)#interface vlan 1 ;進入vlan 1
switch(config-if)#ip address <IP> <mask> ;添加遠程登錄IP
switch(config)#ip default-gateway <IP> ;添加默認網關
switch#dir flash: ;查看內存
交換機顯示命令:
switch#write ;寫入保存
switch#show vtp
switch#show run ;查看當前配置信息
switch#show vlan ;看VLAN
switch#show interface ;顯示所有埠信息
switch#show int f0/0 ;顯示埠0的信息
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
路由器顯示命令:
router#show run ;顯示介面
router#show interface ;顯示介面
router#show ip route ;顯示路由
router#show cdp nei ;看鄰居
router#reload ;重新起動
設置口令:
router>enable ;進入特權模式
router#config terminal ;進入全局配置模式
router(config)#hostname <hostname> ;設置交換機的主機名
router(config)#enable secret xxx ;設置特權加密口令為 xxx
router(config)#enable password xxx ;設置特權非密口令為 xxx
router(config)#line console 0 ;進控制台口(Rs232)初始化
router(config-line)#line vty 0 4 ;進入虛擬終端virtual tty
router(config-line)#login ;允許登錄
router(config-line)#password xx ;設置登錄口令xx
router(config)# (Ctrl+z) ;返回特權模式
router#exit ;返回命令
配置IP地址:
router(config)#int s0/0 ;進行串Serail介面
router(config-if)#no shutdown ;起動介面
router(config-if)#clock rate 64000 ;設置時鍾
router(config-if)#ip address 10.1.1.1 255.255.0.0 ;設置IP地址和子網掩碼
router(config-if)#ip add 10.1.1.2 255.255.0.0 second;
router(config-if)#int f0/0.1 ;進入子介面
router(config-subif.1)#ip address <ip><netmask> ;
router(config-subif.1)#encapsulation dot1q <n> ;
router(config)#config-register 0x2142 ;跳過配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引導
復制操作:
router# running-config startup-config ;存配置
router# running-config tftp ;上載
router# startup-config tftp
router# tftp flash: ;特權模式下升級IOS
router# tftp startup-config ;下載配置文件到nvram
ROM狀態:
Ctrl+Break ;進入ROM監控狀態
rommon>confreg 0x2142 ;跳過配置,26 36 45xx
rommon>confreg 0x2102 ;使用配置,恢復工作狀態
rommon>reset ;重新引導,等效於重開機
rommon> xmodem:<sname> flash:<dname> ;從console升級IOS
rommon>IP_ADDRESS=10.65.1.2 ;設置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;設置路由器掩碼
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP伺服器IP
rommon>TFTP_FILE=c2600.bin ;所要下載的文件
rommon>tftpdnld ;ROM監控狀態下升級IOS
rommon>dir flash: ;查看快閃記憶體中的內容
rommon>boot ;引導IOS
靜態路由:
ip route <ip-address> <subnet-mask> <gateway> 例:
router(config)#ip route 10.1.0.0 255.255.0.0 10.2.1.1
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
動態路由:
router(config)#ip routing ;啟動路由
router(config)#router rip ;啟動RIP路由協議。
router(config-router)#network <netid> ;配置范圍,有的支持all。
router(config-router)#negihbor <ip-address> ;點對點幀中繼用。
幀中繼命令:
router(config)# frame-relay switching ;使能幀中繼交換
router(config-s0)# encapsulation frame-relay ;使能幀中繼
router(config-s0)# frame-relay intf-type DCE ;DCE端(需要配虛電路)
router(config-s0)# frame-relay local-dlci 20 ;配置虛電路號
基本訪問控制列表:
router(config)#access-list <number> permit|deny <source ip> <wild|any>
router(config)#interface <interface> ;default: deny any
router(config-if)#ip access-group <number> in|out ;default: out
例:
RB(config)#access-list 4 permit 10.8.1.1
RB(config)#access-list 4 deny 10.8.1.0 0.0.0.255
RB(config)#access-list 4 permit 10.8.0.0 0.0.255.255
RB(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RB(config)#access-list 4 permit any
RB(config)#int f0/0
RB(config-if)#ip access-group 4 in
擴展訪問控制列表:
access-list <number> permit|deny icmp <SourceIP wild> <destinationIP
wild>[type]
access-list <number> permit|deny tcp <SourceIP wild> <destinationIP
wild>[port]
例1:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
在路由器上設置 SNMP Community Strings
router(config) # snmp-server community read-community-string ro
router(config) # snmp-server community write-community-string rw
在交換機上設置 SNMP Community Strings
switch(config) # snmp-server community read-community-string ro
switch(config) # snmp-server community write-community-string rw
在路由器上配置日誌信息(Syslog Message Logging)
router(config) # logging on
router(config) # logging server-ip-address
router(config) # logging trap severity-level
路由器恢復出廠設置
erase start-config
或write erase
或erase NVROM