A. 思科模拟器怎么配置wan链路的地址
方法如下:
1.打开思科模拟器,找到路由器图标,路由器对应的英文为Router。
2.在第一部找到的路由器中,模拟器提供多种路由器选择,根据需要任意选择一个路由器,拖动一个路由器到空白处即可新建一个路由器,路由器的形状为圆柱形,上面有十字形花纹。
3.单击空白处的路由器,显示如下路由器配置界面,在此界面中可以配置路由器的IP地址、子网掩码等信息,我们点击config配置路由器。
4.点击config,显示如下界面,然后点击FastEthernet,配置口的IP地址,点击FastEthernet,配置口的IP地址。路由器的两个端口对应两个不同的IP地址。
5.在IPAddress中输入要配置的IP地址,如192.168.0.1,在SubnetMask中配置子网掩码,如255.255.255.0。最后单击确认退出即可
B. CISCO路由器的简单配置用使用方法
1.1 CISCO IOS操作环境。
有三种:
ROM monitor > Failure of password recovery
BootROM router(boot) > Flash image upgrade
Cisco IOS router > Normal operation
二、 配置前的准备工作
2.1 用终端或仿真终端接入CONSOLE口 。
终端或仿真终端配置信息如下:
9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2)
2.2 用TELNET命令在网上进行设置。
系统管理员可在网上用telnet address命令进行远程配置。
三、 配置IP地址
3.1 config命令行方式进行设置
3.1.1 首先启动ROUTER 进入router > 模式。
键入Enable 进入router # 模式
然后键入config 进入router(config)# 模式
3.1.2 选择要配置的路由器端口
Router(config) # interface端口号
进入端口设置状态 Router(config-if)
此时用命令IP address <掩码>
设定路由器端口IP地址
四、 配置ip路由协议 (RIP ,OSPF ,BGP ,STATICS)
在图中有路由器A和B,广域网通过router A 的s0/0/0和router B的s2/0/0相连,IP如下:
router A:
E1:202.101.1.1/24
S0/0/0:202.101.3.1/30
router B:
E1:202.101.2.1/24
S2/0/0:202.101.3.2/30
当我们设置路由器协议时,可根据方案的规定设置一种或多种协议。以下动态协议都是按最简单设置,复杂的配置可参考具体手册。
4.1静态路由
IP route 目的网络地址 子网掩码 端口号
在router A上配router B的路由:
IP route 202.101.2.0 255.255.255.0 202.101.3.2
在router A上配router B的路由:
IP route 202.101.1.0 255.255.255.0 202.101.3.1
4.2 RIP2设置
router A进行如下设置:
router rip ;enable rip
version 2 ;选择版本2
network 202.101.1.0 ;相关子网地址
network 202.101.3.0
router B进行如下设置:
router rip ;enable rip
version 2 ;选择版本2
network 202.101.2.0 ;相关子网地址
network 202.101.3.04.3 OSPF设置
router A:
router ospf 200 ;enable ospf 进程号为200
network 202.101.1.0 0.0.0.255 area 0 ; 相关子网地址及区域号
network 202.101.3.0 0.0.0.3 area 0
router B:
router ospf 200 ;enable ospf 进程号为200
network 202.101.2.0 0.0.0.255 area 0 ; 相关子网地址及区域号
network 202.101.3.0 0.0.0.3 area 04.4 BGP设置
router A:
router bgp 100 ;enable bgp 设置自治域号
network 202.101.3.0 mask 255.255.255.252 ;相关子网地址及子网掩码
network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器
neighbor 202.101.3.2 remote-as 200 ;设置远程相连自治域边界路由器端口
router B:
router bgp 100 ;enable bgp 设置自治域号
network 202.101.2.0 mask 255.255.255.252 ;相关子网地址及子网掩码
network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器
neighbor 202.101.3.1 remote-as 200 ;设置远程相连自治域边界路由器端口五、 radius认证的设置
5.1 radius的简述
RADIUS的全称为(Remote Access Dail-In User Service),它是对远程拨号用户访问进行认证的一种协议。主要进行Authentication Authorization Accounting (AAA) 三方面的工作。
5.2 radius的配置
具体配置如下:
aaa new-mode ;enable radius
radius-server host ;指明radius server在网上的地址
radius-server key ;建立一个网上传输密
aaa authentication login default radius local ;进行login认证,若radius server未找到从本地数据库内查找
aaa authentication ppp default radius local
aaa authorization network radius local ;授权检测
aaa accounting network start-stop radius ;计帐检测
六、 路由器软件升级方法
6.1 改变操作环境
在global config mode设置: config -reg 0x2101
reload 进入Boot Rom 模式:router(boot)>
6.2 运行tftp server
在网上运行tftp server,使升级文件可以传输。
6.3 升级版本
命令如下:
tftp flash ;将tftp server上的文件传入路由器的flash memoy中
flash tftp ; 将flash中的文件备份到tftp server中
七、 路由器配置的其它事项
7.1拨号用户的配置。
cisco 2509/2511的异步串行通讯口在配置modem时,modem需设置成自动应答方式。具体方法如下:
用超级终端进入modem AT 命令方式,键入ats0=1 设置自动应答方式,然后键入at&w 将设置写入寄存器。
7.2 RIP & BGP的设置
当一个运行RIP路由协议的子网,做为一个自治域,用BGP协议接入另一自治域时。此子网内所有路由器需添加参数: ip classless 。同时在与边界路由器直接相连的路由器上需添加一个缺省网关。
7.3 v.35电缆直连的设置
在相关的端口上设置时钟速率:clock rate < speed> .
7.4 loopback端口的设置
loopback端口是一个虚拟端口,端口状态始终处于UP。通过它可以使由BGP相连的AS之间始终保持连系,不会由于边界路由器端口状态的改变而发生变化。其具体配置如下:
interface loopback
ip address IP地址 子网掩码
八、常见问题
8.1如何检测网络是否通畅?
在网络主机上采用命令ping 来逐端检测网端。
8.2如何查看路由器配置信息?
在EXEC模式下用show config命令。
8.3如何查看路由器路由信息?
在EXEC模式下用show ip route 命令。
8.4如何查看路由器端口信息?
EXEX模式下用show int <端口号> 命令。
8.5为什么端口协议已经配置,状态仍然是down?
在CONFIG模式下,选择该端口,执行no shutdwon命令。
8.6 config模式有几种状态,对应那些操作?
config模式有以下几种状态:
· globle config 全局配置操作 exec模式键入config t
· interface config 端口配置操作 config模式键入int <端口号>
· line config 线路配置操作 config模式键入line <线路号>
· router config 路由配置操作 config模式键入router<路由协议>
C. 思科配置命令详细介绍
思科配置命令详细介绍
对于刚想学计算机网络技术的朋友,首先接触的就是思科路由器,下面是我给大家带来的最详细的CISCO路由器配置命令及方法:
目 录 :
第一章 路由器配置基础
一、基本设置方式
二、命令状态
三、设置对话过程
四、常用命令
五、配置IP寻址
六、配置静态路由
第二章 广域网协议设置
一、HDLC
二、PPP
三、X.25
四、Frame Relay
五、ISDN
六、PSTN
第三章 路由协议设置
一、RIP协议
二、IGRP协议
三、OSPF协议
四、重新分配路由
五、IPX协议设置
第四章 服务质量及访问控制
一、协议优先级设置
二、队列定制
三、访问控制
第五章 虚拟局域网(VLAN)路由
一、虚拟局域网(VLAN)
二、交换机间链路(ISL)协议
三、虚拟局域网(VLAN)路由实例
第一章:路由器配置基础
一、基本设置方式
一般来说,可以用5种方式来设置路由器:
1.Console口接终端或运行终端仿真软件的微机;
2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;
3.通过Ethernet上的TFTP服务器;
4.通过Ethernet上的TELNET程序;
5.通过Ethernet上的SNMP网管工作站。
但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下:
波特率 :9600
数据位 :8
停止位 :1
奇偶校验: 无
二、命令状态
1. router>
路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。
2. router#
在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。
3. router(config)#
在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。
4. router(config-if)#; router(config-line)#; router(config-router)#;…
路由器处于局部设置状态,这时可以设置路由器某个局部的参数。
5. >
路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。
设置对话状态
这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。
三、设置对话过程
显示提示信息
全局参数的设置
接口参数的设置
显示结果
利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。
进入设置对话过程后,路由器首先会显示一些提示信息:
--- System Configuration Dialog ---
At any point you may enter a question mark '?' for help.
Use ctrl-c to abort configuration dialog at any prompt.
Default settings are in square brackets '[]'.
这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:
Would you like to enter the initial configuration dialog? [yes]:
如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况:
First, would you like to see the current interface summary? [yes]:
Any interface listed with OK? value "NO" does not have a valid configuration
Interface IP-Address OK? Method Status Protocol
Ethernet0 unassigned NO unset up up
Serial0 unassigned NO unset up up
……… ……… … …… … …
然后,路由器就开始全局参数的设置:
Configuring global parameters:
1.设置路由器名:
Enter host name [Router]:
2.设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示:
The enable secret is a one-way cryptographic secret used
instead of the enable password when it exists.
Enter enable secret: cisco
3.设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示:
The enable password is used when there is no enable secret
and when using older software and some boot images.
Enter enable password: pass
4.设置虚拟终端访问时的密码:
Enter virtual terminal password: cisco
5.询问是否要设置路由器支持的各种网络协议:
Configure SNMP Network Management? [yes]:
Configure DECnet? [no]:
Configure AppleTalk? [no]:
Configure IPX? [no]:
Configure IP? [yes]:
Configure IGRP routing? [yes]:
Configure RIP routing? [no]:
………
6.如果配置的是拨号访问服务器,系统还会设置异步口的参数:
Configure Async lines? [yes]:
1) 设置线路的最高速度:
Async line speed [9600]:
2) 是否使用硬件流控:
Configure for HW flow control? [yes]:
3) 是否设置modem:
Configure for modems? [yes/no]: yes
4) 是否使用默认的modem命令:
Configure for default chat s cript? [yes]:
5) 是否设置异步口的PPP参数:
Configure for Dial-in IP SLIP/PPP access? [no]: yes
6) 是否使用动态IP地址:
Configure for Dynamic IP addresses? [yes]:
7) 是否使用缺省IP地址:
Configure Default IP addresses? [no]: yes
8) 是否使用TCP头压缩:
Configure for TCP Header Compression? [yes]:
9) 是否在异步口上使用路由表更新:
Configure for routing updates on async links? [no]: y
10) 是否设置异步口上的其它协议。
接下来,系统会对每个接口进行参数的设置。
1.Configuring interface Ethernet0:
1) 是否使用此接口:
Is this interface in use? [yes]:
2) 是否设置此接口的IP参数:
Configure IP on this interface? [yes]:
3) 设置接口的IP地址:
IP address for this interface: 192.168.162.2
4) 设置接口的IP子网掩码:
Number of bits in subnet field [0]:
Class C network is 192.168.162.0, 0 subnet bits; mask is /24
在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来:
The following configuration command s cript was created:
hostname Router
enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1
enable password pass
…………
请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。
显示结束后,系统会问是否使用这个设置:
Use this configuration? [yes/no]: yes
如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。
四、常用命令
1. 帮助
在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。
2. 改变命令状态
任务 命令
进入特权命令状态 enable
退出特权命令状态 disable
进入设置对话状态 setup
进入全局设置状态 config terminal
退出全局设置状态 end
进入端口设置状态 interface type slot/number
进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint]
进入线路设置状态 line type slot/number
进入路由设置状态 router protocol
退出局部设置状态 exit
3. 显示命令
任务 命令
查看版本及引导信息 show version
查看运行设置 show running-config
查看开机设置 show startup-config
显示端口信息 show interface type slot/number
显示路由信息 show ip router
4. 拷贝命令
用于IOS及CONFIG的备份和升级
5. 网络命令
任务 命令
登录远程主机 telnet hostname|IP address
网络侦测 ping hostname|IP address
路由跟踪 trace hostname|IP address
6. 基本设置命令
任务 命令
全局设置 config terminal
设置访问用户及密码 username username password password
设置特权密码 enable secret password
设置路由器名 hostname name
设置静态路由 ip route destination subnet-mask next-hop
启动IP路由 ip routing
启动IPX路由 ipx routing
端口设置 interface type slot/number
设置IP地址 ip address address subnet-mask
设置IPX网络 ipx network network
激活端口 no shutdown
物理线路设置 line type number
启动登录进程 login [local|tacacs server]
设置登录密码 password password
五、配置IP寻址
1. IP地址分类
IP地址分为网络地址和主机地址二个部分,A类地址前8位为网络地址,后24位为主机地址,B类地址16位为网络地址,后16位为主机地址,C类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:
种类 网络地址范围
A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留
B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留
C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留
D 224.0.0.0到239.255.255.255用于多点广播
E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播
2. 分配接口IP地址
任务 命令
接口设置 interface type slot/number
为接口设置IP地址 ip address ip-address mask
掩玛(mask)用于识别IP地址中的网络地址位数,IP地址(ip-address)和掩码(mask)相与即得到网络地址。
3. 使用可变长的子网掩码
通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利用有效的IP地址空间。
如下图所示:
Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址,Router1的E0的网络地址为192.1.0.128, 掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192,这样就将一个C类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。
4. 使用网络地址翻译(NAT)
NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.
当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的`.
?; Class A:10.1.1.1 to 10.254.254.254
?; Class B:172.16.1.1 to 172.31.254.254
?; Class C:192.168.1.1 to 192.168.254.254
命令描述如下:
任务 命令
定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]
定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}
指定内部和外部端口 ip nat {inside | outside}
如下图所示,
路由器的Ethernet 0端口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译,Serial 0端口为outside端口,其拥有合法IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池 c2501中选择一个地址作为自己的合法地址,经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法IP地址,它是由NIC或服务提供商所分配的地址)。命令 ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。
设置如下:
ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192
interface Ethernet 0
ip address 10.1.1.1 255.255.255.0
ip nat inside
!
interface Serial 0
ip address 202.200.10.5 255.255.255.252
ip nat outside
!
ip route 0.0.0.0 0.0.0.0 Serial 0
access-list 2 permit 10.0.0.0 0.0.0.255
! Dynamic NAT
!
ip nat inside source list 2 pool c2501 overload
line console 0
exec-timeout 0 0
!
line vty 0 4
end
六、配置静态路由
通过配置静态路由,用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络所经过的路径唯一的情况下采用静态路由。
任务 命令
建立静态路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]
Prefix :所要到达的目的网络
mask :子网掩码
address :下一个跳的IP地址,即相邻路由器的端口地址。
interface :本地网络接口
distance :管理距离(可选)
tag tag :tag值(可选)
permanent :指定此路由即使该端口关掉也不被移掉。
以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于 192.1.0.64/26的网络范围的数据报,应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问 192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5,192.200.10.4/30这个网属于直连的网,已经存在访问192.200.10.4/30的路径,所以不需要在Router1上添加静态路由。
Router1:
ip route 192.1.0.64 255.255.255.192 192.200.10.6
Router3:
ip route 192.1.0.128 255.255.255.192 192.1.0.65
ip route 192.200.10.4 255.255.255.252 192.1.0.65
同时由于路由器Router3除了与路由器Router2相连外,不再与其他路由器相连,所以也可以为它赋予一条默认路由以代替以上的二条静态路由,
ip route 0.0.0.0 0.0.0.0 192.1.0.65
即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。
;D. Cisco核心交换机如何配置
假设A段地址为:192.168.20.* ,B段地址为:192.168.21.*
若核心交换机之前有配置过IP地址,则可以Telnet方式连接,若没有配置,则通过控制线的方式进入。
Switch>en
Switch#conf t
Switch(config)#int vlan 1
Switch(config-if)#ip address 192.168.20.254 255.255.255.0 (说明:此处的IP地址可以自己定义)
Switch(config-if)#ip helper-address 192.168.20.1 (说明:此处的IP地址为DHCP服务器的IP地址)
Switch(config-if)#exit
Switch(config)#int vlan 2
Switch(config-if)#ip address 192.168.21.254 255.255.255.0 (说明:此处的IP地址可以自己定义)
Switch(config-if)#ip helper-address 192.168.20.1 (说明:此处的IP地址为DHCP服务器的IP地址)
Switch(config-if)#exit
Switch(config)#int g0/1 (假设:B网段的PC接在交换机的1号端口)
Switch(config-if)#switchport access vlan 2
Switch(config-if)#exit
Switch(config)#user name username privilege 15 password yourpassword(username和yourpassword为自己定义的)
Switch(config)#service password-encryption
Switch(config)#line vty 0 4
Switch(config-line)#login local
Switch(config-line)#exit
Switch#wr
以上Cisco核心交换机配置完成,接下来需要配置DHCP服务器
在DHCP服务器上的IPV4中,新建作用域,根据向导完成作用域的新建。(说明:每个VLAN单独新建一个作用域,步骤一致)
在新建作用域完成后,需要对作用域选项进行配置,
右键点击作用域选项,选择配置选项,在常规中,勾选路由器,在IP地址中输入192.168.20.254(B网段输入192.168.21.254)
勾选DNS服务器,在IP地址中输入内部DNS服务器地址,然后确定
由于交换机端口默认为VLAN1,DHCP服务器和A网段的PC所连接的端口不用进行VLAN的划分。
A网段的PC及服务器网关地址为192.168.20.254,B网段的PC网关地址为:192.168.21.254,客户端PC通过默认路由向网关发送数据包,当核心交换机收到客户端的IP地址请求后,通过核心交换机的设置匹配,将数据包请求发送至指定的DHCP服务器,DHCP服务器根据收到的请求,判断所属作用域,然后再分配实际的IP地址给客户端。
E. CISCO防火墙配置及详细介绍
在众多的企业级主流防火墙中,cisco pix防火墙是所有同类产品性能最好的一种。cisco pix系列防火墙目前有5种型号pix506,515,520,525,535。其中pix535是pix 500系列中最新,功能也是最强大的一款。它可以提供运营商级别的处理能力,适用于大型的isp等服务提供商。但是pix特有的os操作系统,使得大多数管理是通过命令行来实现的,不象其他同类的防火墙通过web管理界面来进行网络管理,这样会给初学者带来不便。本文将通过实例介绍如何配置cisco pix防火墙。
在配置pix防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:
�0�3 内部区域(内网)。 内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
�0�3 外部区域(外网)。 外部区域通常指internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
�0�3 停火区(dmz)。 停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置web服务器,mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。注意:2个接口的防火墙是没有停火区的。
由于pix535在企业级别不具有普遍性,因此下面主要说明pix525在企业网络中的应用。
pix防火墙提供4种管理访问模式:
非特权模式。 pix防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 pix防火墙在开机或重启过程中,按住escape键或发送一个“break”字符,进入监视模式。这里可以更新操作系统映象和口令恢复。显示为monitor>
配置pix防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
这些命令在配置pix是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
pix525(config)#nameif ethernet0 outside security0
pix525(config)#nameif ethernet1 inside security100
pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写:
pix525(config)#nameif pix/intf3 security40 (安全级别任取)
2. 配置以太口参数(interface)
pix525(config)#interface ethernet0 auto(auto选项表明系统自适应网卡类型 )
pix525(config)#interface ethernet1 100full(100full选项表示100mbit/s以太网全双工通信 )
pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
3. 配置内外网卡的ip地址(ip address)
pix525(config)#ip address outside 61.144.51.42 255.255.255.248
pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1
4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网时需要利用global所指定的地址池进行对外访问。nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside. nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。
例1.pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
例2.pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
5. 指定外部地址范围(global)
global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址范围。[netmark global_mask]表示全局ip地址的网络掩码。
例1. pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
例2. pix525(config)#global (outside) 1 61.144.51.42
表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。
例3. pix525(config)#no global (outside) 1 61.144.51.42
表示删除这个全局表项。
6. 设置指向内网和外网的静态路由(route)
定义一条静态路由。route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
例1. pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
例2. pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路由,静态路由的下一条路由器ip地址是172.16.0.1
这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。
a. 配置静态ip地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。static命令配置语法:static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中internal_if_name表示内部网络接口,安全级别较高。如inside. external_if_name为外部网络接口,安全级别较低。如outside等。outside_ip_address为正在访问的较低安全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。
例1. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip地址61.144.51.62之间的静态映射。
例2. pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3
例3. pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进入到具有较高安全级别的指定接口。
b. 管道命令(conit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(asa)阻挡,conit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到dmz或内部接口的入方向的会话。对于向内部接口的连接,static和conit命令将一起使用,来指定会话的建立。
conit命令配置语法:
conit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问
global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:tcp、udp、icmp等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
例1. pix525(config)#conit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。eq ftp 就是指允许或拒绝只对ftp的访问。
例2. pix525(config)#conit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
例3. pix525(config)#conit permit icmp any any
表示允许icmp消息向内部和外部通过。
例4. pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
pix525(config)#conit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3->61.144.51.62(全局),然后利用conit命令允许任何外部主机对全局地址61.144.51.62进行http访问。
c. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. pix525(config)#fixup protocol ftp 21
启用ftp协议,并指定ftp的端口号为21
例2. pix525(config)#fixup protocol http 80
pix525(config)#fixup protocol http 1080
为http协议指定80和1080两个端口。
例3. pix525(config)#no fixup protocol smtp 80
禁用smtp协议。
d. 设置telnet
telnet有一个版本的变化。在pix os 5.0(pix操作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix os 5.0及后续版本中,可以在所有的接口上启用telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。另外就是在pix上配置ssh,然后用ssh client从外部telnet到pix防火墙,pix支持ssh1和ssh2,不过ssh1是免费软件,ssh2是商业软件。相比之下cisco路由器的telnet就作的不怎么样了。
telnet配置语法:telnet local_ip [netmask]
local_ip 表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
说了这么多,下面给出一个配置实例供大家参考。
welcome to the pix firewall
type help or ’?’ for a list of available commands.
pix525> en
password:
pix525#sh config
: saved
:
pix version 6.0(1) ------ pix当前的操作系统版本为6.0
nameif ethernet0 outside security0
nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
enable password 7y051hhccoirtsqz encrypted
passed 7y051hhccoirtsqz encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
hostname pix525 ------ 主机名称为pix525
domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的mtu长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ pix设备管理器可以图形化的监视pix
arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用qq聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conit permit icmp any any
conit permit tcp host 61.144.51.43 eq www any
conit permit udp host 61.144.51.43 eq domain any
------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ aaa认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server tacacs+ protocol tacacs+
aaa-server radius protocol radius ------ aaa服务器的两种协议。aaa是指认证,授权,审计。pix防火墙可以通过aaa服务器增加内部网络的安全
no snmp-server location
no snmp-server contact
snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱
floodguard enable ------ 防止有人伪造大量认证请求,将pix的aaa资源用完
no sysopt route dnat
telnet timeout 5
ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80
cryptochecksum:
pix525#
pix525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip查看接口ip地址,ping outside | inside ip_address确定连通性。
F. 思科路由交换的配置步骤,以及步骤中命令详解
思科Cisco交换机、路由器设置命令
Lzshihj_tz2f_3550
交换机口令设置:
switch>enable ;进入特权模式
switch#config terminal ;进入全局配置模式
switch(config)#hostname <hostname> ;设置交换机的主机名
switch(config)#enable secret xxx ;设置特权加密口令为 xxx
switch(config)#enable password xxx ;设置特权非密口令为 xxx
switch(config)#line console 0 ;进控制台口(Rs232)初始化
switch(config-line)#line vty 0 4 ;进入虚拟终端virtual tty
switch(config-line)#login ;允轮喊态许登录
switch(config-line)#password xx ;设置登录口令xx
switch#exit ;返回命令
交换机VLAN设置:
switch#vlan database ;进入VLAN设置
switch(vlan)#vlan 2 ;渗游建VLAN 2
switch(vlan)#no vlan 2 ;删vlan 2
switch(config)#int f0/1 ;进入端口1
switch(config-if)#switchport access vlan 2 ;当腊源前端口1加入VLAN 2
switch(config-if)#switchport mode trunk ;设置为干线
switch(config-if)#switchport trunk allowed vlan 1,2;设置允许的vlan
switch(config-if)#switchport trunk encap dot1q ;设置vlan中继
switch(config)#vtp domain <name> ;设置发vtp域名
switch(config)#vtp password <word>
switch(config)#vtp mode server
switch(config)#vtp mode client
交换机设置IP地址:
switch(config)#interface vlan 1 ;进入vlan 1
switch(config-if)#ip address <IP> <mask> ;添加远程登录IP
switch(config)#ip default-gateway <IP> ;添加默认网关
switch#dir flash: ;查看内存
交换机显示命令:
switch#write ;写入保存
switch#show vtp
switch#show run ;查看当前配置信息
switch#show vlan ;看VLAN
switch#show interface ;显示所有端口信息
switch#show int f0/0 ;显示端口0的信息
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
路由器显示命令:
router#show run ;显示接口
router#show interface ;显示接口
router#show ip route ;显示路由
router#show cdp nei ;看邻居
router#reload ;重新起动
设置口令:
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname <hostname> ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令为 xxx
router(config)#enable password xxx ;设置特权非密口令为 xxx
router(config)#line console 0 ;进控制台口(Rs232)初始化
router(config-line)#line vty 0 4 ;进入虚拟终端virtual tty
router(config-line)#login ;允许登录
router(config-line)#password xx ;设置登录口令xx
router(config)# (Ctrl+z) ;返回特权模式
router#exit ;返回命令
配置IP地址:
router(config)#int s0/0 ;进行串Serail接口
router(config-if)#no shutdown ;起动接口
router(config-if)#clock rate 64000 ;设置时钟
router(config-if)#ip address 10.1.1.1 255.255.0.0 ;设置IP地址和子网掩码
router(config-if)#ip add 10.1.1.2 255.255.0.0 second;
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address <ip><netmask> ;
router(config-subif.1)#encapsulation dot1q <n> ;
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
复制操作:
router# running-config startup-config ;存配置
router# running-config tftp ;上载
router# startup-config tftp
router# tftp flash: ;特权模式下升级IOS
router# tftp startup-config ;下载配置文件到nvram
ROM状态:
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置,26 36 45xx
rommon>confreg 0x2102 ;使用配置,恢复工作状态
rommon>reset ;重新引导,等效于重开机
rommon> xmodem:<sname> flash:<dname> ;从console升级IOS
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;所要下载的文件
rommon>tftpdnld ;ROM监控状态下升级IOS
rommon>dir flash: ;查看闪存中的内容
rommon>boot ;引导IOS
静态路由:
ip route <ip-address> <subnet-mask> <gateway> 例:
router(config)#ip route 10.1.0.0 255.255.0.0 10.2.1.1
router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2
动态路由:
router(config)#ip routing ;启动路由
router(config)#router rip ;启动RIP路由协议。
router(config-router)#network <netid> ;配置范围,有的支持all。
router(config-router)#negihbor <ip-address> ;点对点帧中继用。
帧中继命令:
router(config)# frame-relay switching ;使能帧中继交换
router(config-s0)# encapsulation frame-relay ;使能帧中继
router(config-s0)# frame-relay intf-type DCE ;DCE端(需要配虚电路)
router(config-s0)# frame-relay local-dlci 20 ;配置虚电路号
基本访问控制列表:
router(config)#access-list <number> permit|deny <source ip> <wild|any>
router(config)#interface <interface> ;default: deny any
router(config-if)#ip access-group <number> in|out ;default: out
例:
RB(config)#access-list 4 permit 10.8.1.1
RB(config)#access-list 4 deny 10.8.1.0 0.0.0.255
RB(config)#access-list 4 permit 10.8.0.0 0.0.255.255
RB(config)#access-list 4 deny 10.0.0.0 0.255.255.255
RB(config)#access-list 4 permit any
RB(config)#int f0/0
RB(config-if)#ip access-group 4 in
扩展访问控制列表:
access-list <number> permit|deny icmp <SourceIP wild> <destinationIP
wild>[type]
access-list <number> permit|deny tcp <SourceIP wild> <destinationIP
wild>[port]
例1:
router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo
router(config)#access-list 101 permit ip any any
router(config)#int s0/0
router(config-if)#ip access-group 101 in
例2:
router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80
router(config)#access-list 102 permit ip any any
router(config)#interface s0/1
router(config-if)#ip access-group 102 out
router(config)#no access-list 102
router(config-if)#no ip access-group 101 in
在路由器上设置 SNMP Community Strings
router(config) # snmp-server community read-community-string ro
router(config) # snmp-server community write-community-string rw
在交换机上设置 SNMP Community Strings
switch(config) # snmp-server community read-community-string ro
switch(config) # snmp-server community write-community-string rw
在路由器上配置日志信息(Syslog Message Logging)
router(config) # logging on
router(config) # logging server-ip-address
router(config) # logging trap severity-level
路由器恢复出厂设置
erase start-config
或write erase
或erase NVROM