c i s c o防火墙配置手册 TTA standardization office【TTA 5AB- TTAK 08- TTA 2C】
一、Cisco Pix日常维护常用命令
1、Pix模式介绍
“>”用户模式
firewall>enable
由用户模式进入到特权模式
password:
“#”特权模式
firewall#config t
由特权模式进入全局配置模式
“(config)#”全局配置模式
firewall(config)#
防火墙的配置只要在全局模式下完成就可以了。
1、
基本配置介绍
1、端口命名、设备命名、IP地址配置及端口激活
nameif ethernet0 outside security0
端口命名
nameif gb-ethernet0 inside security100
定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。
firewall(config)#hostname firewall
设备名称
firewall(config)#ip address outside 1.1.1.1 255.255.255.0
内外口地址设置
firewall(config)#ip address inside 172.16.1.1 255.255.255.0
firewall(config)# interface ethernet0 100full
激活外端口
firewall(config)# interface gb-ethernet0 1000auto
激活内端口
2、telnet、ssh、web登陆配置及密码配置
防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。
firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙
配置从外网远程登陆到防火墙
Firewall(config)#domain-name https://www.doczj.com/doc/10951818.html,
firewall(config)# crypto key generate rsa
firewall(config)#ssh 0.0.0.0 0.0.0.0 outside
允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:
firewall(config)#ssh 218.240.6.81 255.255.255.255 outside
firewall(config)#enable password cisco
由用户模式进入特权模式的口令
firewall(config)#passrd cisco
ssh远程登陆时用的口令
firewall(config)#username Cisco password Cisco
Web登陆时用到的用户名
firewall(config)#http enable
打开http允许内网10网断通过http访问防火墙
firewall(config)#http 192.168.10.0 255.255.255.0 inside
firewall(config)#pdm enable
firewall(config)#pdm location 192.168.10.0 255.255.255.0 inside
web登陆方式:https://172.16.1.1
3、保证防火墙能上网还要有以下的配置
firewall(config)#nat (inside)1 0 0
对内部所有地址进行NAT转换,或如下配置,对内部固定配置的地址进行NAT转化,未指定的不予转发
firewall(config)#nat
(inside)
1 192.168.10.0 255.255.255.0
fierwall(config)#nat (inside) 1 192.168.20.0 255.255.255.0
firewall (config) # global
(outside) 1 interface
对进行nat转换得地址转换为防火墙外接口地址
firewall (config) # route 0.0.0.0 0.0.0.0 1.1.1.2 指一条默认路由器到ISP
做完上面的配置内网用户就可以上网了,内部有3层交换机且划分了Vlan,若要保证每个Vlan都能够上网,还要在防火墙上指回到其他VLan的路由,如:
Firewall (config) # route inside 192.168.20.0 255.255.255.0 172.16.1.2 4、内网服务器映射
如果在局域网内有服务器要发布到互联网上,需要在PIX对内网服务器进行映射。服务器映射可以是一对一的映射,也可以是端口映射,一般我们采用端口映射及节约IP地址又能增强映射服务器的安全性。下面以发布内网一台WEB服务器来举例说明:
Firewall(config)#static (inside,outside) tcp 222.128.124.1 80
192.168.1.100 80
上述命令便将内部的web服务器放到了公网上面,但外面的用户并不能访问到,因为防火墙的外界口安全级别最低,从低安全级别到高安全级别主动发起的链接请求需要我们在防火墙上利用访问控制列表手动放开,如下:
Firewall(config)#access-list outside permit tcp any host 222.128.124.1 eq 80
Firewall(config)#access-group outside in interface outside
必须将用access-group命令将访问控制列表应用到外端口,上述完成后就可以从外网上来访问服务器了。
5、防火墙上常用的show命令
Firewall (config) #show interface 查看所有端口的状态,端口是否出于连接状态
interface ethernet0 "outside" is up, line protocol is up 端口和协议都出于“up”状态,正常。
pixfirewall# sh cpu usage
查看CPU的使用情况,如果CPU的使用情况超过60%是不正常的,说明内部有PC对外占用了设备大量资源
CPU utilization for 5 seconds = 1%; 1 minute: 1%; 5 minutes: 1%
如果内部有终端中毒(或利用P2P下载)向网关送大量的数据包,会导致防火墙只能来处理病毒机器的请求,而无暇顾及正常流量,导致正常用户不能上网,要找到不正常终端可以利用show conn来查看
Firewall(config)#show conn
若用show conn查看到某个内部IP到互联网上的链接特别多,且都是UDP高端口号的,可以断定此机器是在P2P下载,然后可以通过在防火墙上的show arp 命令查看到此计算机的MAC地址,在用上面交换机维护命令讲到的命令确认他连接在交换机的端口,然后将此端口shotdown,或通过机房点位直接找到用户要求其停止,否则会占用出口带宽和防火墙的资源。
Firewall(config)#show conn local 192.168.40.69
查看具体一个IP地址的链接项:
Firewall(config)#show version 查看防火墙的硬件信息
Firewall(config)#show xlate
查看内部地址时否转换成外端口地址来上网
Fierwall(config)#clear arp
清除ARP表
Firewall(config)#clear xlate
清除内部所有地址的转换项,网络中断一下
Firewall(config)#clear xlate local 192.168.40.69
清除内部具体一台机器的转换项
Firewall(config)#show runnint-config
查看防火墙的当前配置文件
二、防火墙配置简介
1、以前的防火墙的系统版本是6.3以下,在这种版本里面不能用“tab”键补齐命令,而且用“”来查询命令也很不方便;
目前的ASA5500的系统版本为7.0以上,和路由器的命令相同,可以用“tab”键补齐命令,可以用“”来查看参数、同样也可以在全局模式用show命令。
防火墙的几种工作模式:
用户模式:如果您看到>那么现在代表是在用户模式下,在用户模式下只有简单的命令可以操作。由用户模式进入特权模式的命令为:enable
特权模式:如果您看到当前的位置显示#那么您处于特权模式下,在特权模式下用户可以查看所有信息,而前可以进入全局配置模式对防火墙配置进行修改。由特权模式进入全局配置模式下的命令为:config
t
全局配置模式:当您看到(config)#时,表示现在处于全局配置模式,可以对防火墙的设置进行修改。
在“>”、“#”、“(config)#”左侧显示的为设备的名称。
2、
1)、防火墙接口配置
Pix配置
Pix>enable
进入特权模式
Pix#config
t
进入全局配置模式
Pix(config)#ip address outside 222.128.1.1 255.255.255.0
配置外接口地址
Pix(config)#ip address inside 1.1.1.1 255.255.255.0
配置内接口地址
Pix(config)#interface ethernet0 auto
激活外端口
Pix(config)#interface ethernet1 auto
激活内端口(默认端口是出于shutdown状态的)
防火墙6.3以下系统默认将ethernet0端口做为外端口,默认安全级别为0,ethernet1作为内端口,默认安全级别为100,对于防火墙而言,高安全级别的用户可以访问到低安全级别,而由低安全级别主动发起的到高安全级别的链接是不允许的。
Pix系列产品默认只有两个端口及0和1,DMZ端口都是另外添加的模块,DMZ端口的默认安全级别50,配置DMZ接口的地址和配置inside和outside类似
Pix(config)#ip address dmz 3.3.3.3 255.255.255.0
Pix(config)# interface gb-ethernet0 1000auto 激活DMZ端口,DMZ的端口号需要您用show
running-config命令查看,如:
Pix(config)#show running-config
sh run
: Saved
:
PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 auto
interface gb-ethernet0 1000auto
新添加的DMZ端口
2)、防火墙nat设置
2.1、内网用户要上网,我们必须对其进行地址转换,将其转换为在公网上可以路由的注册地址,
防火墙的nat和global是同时工作的,nat定义了我们要进行转换的地址,而global定义了要被转换为的地址,这些配置都要在全局配置模式下完成,
2.2、Nat配置如下:
Pix(config)#nat (inside) 1 0 0
上面inside代表是要被转换得地址,
1要和global 后面的号对应,类似于访问控制列表号,也是从上往下执行,
0 0 代表全部匹配(第一个0代表地址,第二个0代表掩码),内部所有地址都回进行转换。
2.3、Global配置
Pix(config)#global (outside)1 interface
Gobalb定义了内网将要被转换成的地址,
Interface 代表外端口的地址
当然,如果您有更多的公网IP地址,您也可以设置一个地址池,上面一条也是必须的,地址转换首先会用地址池内地址,一旦地址被用完后会用到上面一条及外端口做PAT转换上网。
Pix(config)#global (outside)1 222.128.1.100-222.128.1.254
3)、防火墙路由设置
3.1、因为我们为末节网络,所以对于我们来说路由比较简单,只要将从防火墙过来的所有流量全部导向ISP就可以了,具体到各个网站的路由在ISP那里会有。如果在我们的内部没有Vlan划分,那么我们之需要在防火墙上指一条向外出的路由就可以了,如下:
Pix(config)#route outside 0.0.0.0 0.0.0.0 222.128.1.2
Route outside代表是外出的路由
0.0.0.0 代表目的地址,及全部匹配
0.0.0.0 代表子网掩码,及全部匹配
1.1.1.2代表下一跳,及和我们防火墙互联的ISP的地址
3.2、如果在我们的内部有好多VLAN划分,那么我们需要往回指到各个Vlan的路由,下一跳需要指向和我们防火墙直接相连的内网的地址,比如在我们的内部有VLAN 2:1.1.1.0/24;VLAN 3:3.3.3.0/24;如果VLAN 2是和防火墙直接相连的,那么我们不需要对VLAN 2回指路由,因为他和防火墙在同一网段,而VLAN 3
没有和防火墙直接相连,如果想让vlan 3 也能上网我们就需要在防火墙上回指一条到vlan 3 的路由,如下:
Pix(config)#route inside 3.3.3.0 255.255.255.0 1.1.1.2
3.3.3.0 255.255.255.0 目的网络及掩码
1.1.1.2下一跳及和防火墙相连的同一网段的vlan interface地址,
4)、服务器映射配置
4.1、如果在内网有一台web服务器需要向外提供服务,那么需要在防火墙上映射,公网地址多的情况下可以做一对一的映射,如下
Pix(config)#static (inside,outside)222.128.100.100 1.1.1.50
如果只有一个公网地址,那么可以做端口映射,如下
Pix(config)#static (inside,outside)tcp 222.128.100.100 80 1.1.1.50 80
4.2、映射完毕后还必须配置访问控制列表,允许外部来访问映射的WEB服务器,如下:
Pix(config)#access-list outside per tcp any host 222.128.100.100 eq 80 Pix(config)#access-group outside in interface outside
其中“access-list”和“access-group”后面的outside为防问控制列表的名字,“access-group”最后的outside为端口名。
允许外面任意一台主机通过TCP的80端口访问到222.128.100.100这台主机,下面还要把此条访问控制列表应用到outside接口上,这样互联网上的用户才能访问到WEB服务器。
如果有多条地址映射请重复上述操作。
5)、图形界面登陆设置和用户名密码添加
Pix(config)#pdm history enable
Pix(config)#pdm location 1.1.1.0 255.255.255.0 inside
Pix(config)#http server enable
Pix(config)#http 1.1.1.1 255.255.255.0 inside
Pix(config)#username cisco password cisco
cisco为用户名和密码
上述配置完毕后您就可以通过图形界面来登陆,登陆方式:https://1.1.1.1
如果要打开外网图形界面配置,如下:
Pix(config)#http location 0.0.0.0 0.0.0.0 outside
外网所有的地址都可以通过图形界面来登陆防火墙如果知道用户名和密码。
当然我们也可以定义特定的一台多多台可以通过图形界面登陆防火墙,只要将网段改为特定的地址就可以了。
6)、防火墙密码
Pix(config)#enable password cisco
设置进入enable的密码
Pix(config)#passwd cisco
ssh登陆是第一次输入的密码
7)、防火墙内网Telnet和外网SSH登陆设置
Telnet Configuration
Pix(config)#telnet 1.1.1.0 255.255.255.0 inside 允许内网1.1.1.0telnet 防火墙
Pix(config)#telnet timeout 1
1分钟未作任何操作后超时退出
SSH Configuration
通过外网不能用Telnet防火墙,必须用SSH加密方式,在配置SSH之前要先定义一个domain-name,然后再生成一个key,如下:
Pix(config)#domain-name https://www.doczj.com/doc/10951818.html,
Pix(config)# ca generate rsa key 800
Pix(config)#ca save all
Pix(config)#ssh 0.0.0.0 0.0.0.0 outside
SSH也可以定义外网特定的一台主机或固定的一段地址可以来远程登陆。
8)、防火墙DHCP配置
Pix(config)#dhcpd address 1.1.1.200-1.1.1.254 inside 定义地址池并在inside接口开启DHCP功能
Pix(config)# dhcpd dns 202.106.196.115 202.106.0.20
定义给客户分发的DNS
Pix(config)# dhcpd enable inside 打开DHCP功能
9)、如何修改已存在的访问控制列表
比如,我们在内接口上定义了一些访问控制列表,如下:
Pix(config)#access-list inside deny ip host 1.1.1.100 any
Pix(config)#access-list inside permit tcp any any range 1 1024
Pix(config)#access-list inside permit ucp any any range 1.1024
Pix(config)#access-list inside permit tcp any any eq 1863
Pix(config)#access-group inside in interface inside
上面是我已经在内接口存在的访问控制列表,我拒绝了1.1.1.100到外面所有,而其他的用户只能访问外面的TCP和UDP的1—1024 的端口以及TCP的1863端口(msn),如果我还希望在拒绝IP地址为1.1.1.101的主机到外面所有的,那么我必须将deny 1.1.1.101 的访问控制列表写到access-list inside permit tcp any any range 1 1024列表的上面,因为访问控制列表是从上往下执行,如果将deny 1.1.1.101的访问控制列表放在access-list inside permit tcp any any eq 1863下面,那么对于1.1.1.101 的限制将不能生效,可以按照下面步骤操作:1、先用show access-list命令查看访问控制列表
Pix(config)#show access-list
access-list inside line 1 deny ip host 1.1.1.100 any
(hitcnt=100000)
access-list inside line 2 permit tcp any any range 1 1024
(hitcnt=8000000)
access-list inside line 3 permit udp any any range 1 1024
(hitcnt=100000)
access-list inside line 4 permit udp any any eq 1863
(hitcnt=8000)
2、将deny 1.1.1.101的列表插入,格式如下:
Pix(config)#access-list inside line 1 deny ip host 1.1.1.101 any
做完后,在用show running-config可以看到在访问控制列表位置第一行已经多了一条,显示结果如下:
Pix(config)#show run
access-list inside deny ip host 1.1.1.101 any
access-list inside deny ip host 1.1.1.100 any
access-list inside permit tcp any any range 1 1024
access-list inside permit ucp any any range 1.1024
access-list inside permit tcp any any eq 1863
三、ASA5500端口配置
对于ASA5500系列来说,您定义的参数要多一些,以ASA5520来举例。(asa5500系列中asa5505有8个端口,全部是二层接口,需要划分Vlan然后再vlan接口下配置地址及端口名,其他配置都一样):
ASA5520默认就有4个Gigabit Ethernet(0-4)和1个百兆的带外管理接口(此接口下默认有有IP地址,并在此接口下有DHCP功能开启),一个扩展插槽可以可安装IPS模块或防病毒模块。
1)、端口配置
ASA5520的4个端口默认没有定义端口名,您需要手动的添加,我们还以0端口为外接口,1为内接口,2为DMZ口说明
Asa5520>enable
进入特权模式
Passwrod:
默认情况下这里会提示让您输入密码,其实没有密码,直接回车就可以。
Asa5520#config t 进入全局配置模式
Asa5520(config)#interface GigabitEthernet0/0
Asa5520(config-if)#name-if outside 定义端口名字,您将此端口设置为外端口是他的安全级别会自动为0
Asa5520(config-if)#ip address 222.128.1.1 255.255.255.0 定义地址
Asa5520(config)#interface gigabitethernet0/1
Asa5520(config-if)#name-if inside
定义端口名字,您将此端口设置为内端口是他的安全级别会自动为100
Asa5520(config-if)#ip address 1.1.1.1 255.255.255.0 定义地址
2)、图形界面登陆设置
Asa5500系列配置图形界面与pix有一点不同,pix图形界面管理调用的PDM,而asa是调用ASDM。
Asa5520(config)# asdm image disk0:/asdm-507.bin
调用ASDM软件,默认好像有。
Asa5520(config)#http 1.11.0 255.255.255.0 inside
其他不管是从外网登陆或通过telnet、ssh、登陆asa的配置都是一样的。ASA5500系列防火墙的地址映射、路由指向、密码设置、DHCP配置、访问控制列
Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置: 目的:1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求:1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址:200.200.200.82 200.200.200.83 网关255.255.255.248(这个地址一般是运营商提供) 4、外网路由:200.200.200.81 5、DMZ区域的服务器IP地址:192.168.5.2 步骤1:配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81
第一章路由器配置基础 一、基本设置方式 一般来说,可以用5种方式来设置路由器: 1.Console口接终端或运行终端仿真软件的微机; 2.AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3.通过Ethernet上的TFTP服务器; 4.通过Ethernet上的TELNET程序; 5.通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率:9600 数据位:8 停止位:1 奇偶校验: 无 二、命令状态 1. router> 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。
2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后,路由器首先会显示一些提示信息: --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c 可以退出设置过程,缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话:
Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区,Security-Level:0,接Router F0/0;ASA 防火墙eth1接口定义为insdie 区,Security-Level:100,接Switch 的上联口;ASA 防火墙Eth2接口定义为DMZ 区,Security-Level:60,接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ,即Switch 能够ping 通Router 的F0/0(202.100.10.2);dmz 区能够访问outside ,即Mail Server 能够ping 通Router 的F0/0(202.100.10.2); outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口(110)、smtp 端口(25). 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供
四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射(也称一对一映射)CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时,就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时,就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时,就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b (160,N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供
Catalyst 6509 交换机 配置手册 version 1.0.0 中望商业机器有限公司? 1995, 2001 Chinaweal Business Machinery CO. LTD All Rights Reserve
目录 1基础配置 (1) 1.1建立到控制台的连接 (1) 1.2配置交换机的地址 (2) 1.3配置Ethernet 口 (3) 1.4配置交换机的全局参数 (4) 1.5测试网络的连通性 (4) 2其它参数的配置 (5) 2.1配置Login Banner (5) 2.2配置DNS (6) 2.3配置CDP协议 (7) 3VLAN的配置 (8) 3.1配置VTP协议(VLAN Trunk Protocol) (9) 3.2配置VLAN (10) 3.2.1创建VLAN (10) 3.3将交换端口配置到VLAN中 (10) 3.4配置VLAN Trunks (12) 3.5在MSFC上配置IP InterVLAN路由 (13) 3.5.1从Console口进入MSFC (13) 3.5.2通过T elnet Session 进入MSFC 模块 (13) 3.5.3在MSFC上配置IP InterVLAN路由 (14) 3.6配置HSRP协议 (14) 3.7配置以太通道 (16)
1 基础配置 1.1 建立到控制台的连接 在进行配置和将交换机接入网络前必须通过控制台来进入交换机的CLI,对交换机进行配置。在进入CLI后,通过命令enable进入到privileged 模式。 通过以下步骤将终端连接到交换机的控制口 例如: <... output truncated ...> Cisco Systems Console Enter password: Console> enable Enter password: Console> (enable) - 1 -
CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#c onfigure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#
cisco防火墙配置的基本配置 1、nameif 设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。 使用命令: PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态,常见状态有:auto、100full、shutdown。 auto:设置网卡工作在自适应状态。 100full:设置网卡工作在100Mbit/s,全双工状态。 shutdown:设置网卡接口关闭,否则为激活。 命令: PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围:定义地址池。 Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmarkglobal_mask]:表示全局ip地址的网络掩码。 5、nat 地址转换命令,将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法: route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法: static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法: conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
2950交换机 简明配置维护手册
目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件)
配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
CISCO ASA防火墙ASDM安装和配置 准备工作: 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口,通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名,比如“ASA”,单击确定。 选择连接时使用的COM口,单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令: ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连,把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框,单击“是” 输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“确定”。出现也下对话框,点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器,安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本),进入https://www.doczj.com/doc/10951818.html,下载安装,安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框,点击“是”。 出现以下对话框,输入用户名和密码(就是在串口的WEBVPN模式下新建的用户和密码),然后点击“是”。 出现以下对话框,点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。
CISCO 6509配置手册 1.设置时间 switch#config t switch(config)# clock timezone GMT 8 ;配置时区 switch(config)# clock set 13:30:21 31 JAN 2004 ;配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname 6509a //配置交换机名称6509a(config)#enable password cisco //配置用户密码 6509a (config)#enable secret cisco //配置安全密码 6509a (config-line)#line vty 0 15 //配置远程访问密码6509a (config-line)#login 6509a (config-line)#password cisco 6509a (config-line)#login 6509a (config-line)#^z 6509a #show running-config //查看配置信息 6509a #copy running-config startup-config 6509a #show startup-config 6509a #show bootvar 6509a #dir bootflash: 6509a #copy system:running-config nvram:startup-config 6509a #show fabric status 6509a #show hardware 3.配置vlan 6509a #config t 6509a (config)#vlan 301 6509a (config-vlan)# name hexinxitong 6509a (config)#vlan 302 6509a (config-vlan)# name callcenter 6509a (config)#vlan 303 6509a (config-vlan)# name kuaijicaiwu
CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010
一、防火墙登陆过程telnet 192.168.0.1 输入:123 用户名:en 密码:srmcisco
Conf t Show run 二、公网IP与内网IP映射: static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0
三、再打开端口:输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)
四、登出防火墙:logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0(上网电脑IP地址) 2、arp inside 192.168.0.188 000f.eafa.645d alias(绑定上网电脑网卡MAC地址)
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
cisco 6509交换机配置手册 一个经典配置包括Catalyst6509 4006交换机配置方案 拓扑图如下: 一、 Catalyst 6509交换机配置方案 1.1、配置6509二层交换 Console> (enable) set system name bg-sw-01 /设备名称Bg-sw-01> (enable) set password Enter old password: Enter new password: test /设备口令 Retype new password: test Bg-sw-01> (enable) set enablepass Enter old password: Enter new password: test /设备口令 Retype new password: test
Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office % / 提示文本 Bg-sw-01> (enable) set interface sc0 10.234.180.21 255.255.255.0 /设置管理接口 #sh int Bg-sw-01> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip route Bg-sw-01> (enable) set vtp mode server /设置VTP模式 #sh vtp domain Bg-sw-01> (enable) set vtp domain Core_Net /设置VTP域名 Bg-sw-01> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlan Bg-sw-01> (enable) set vlan 32 name YiYang Bg-sw-01> (enable) set vlan 33 name JianXiu Bg-sw-01> (enable) set vlan 34 name RaoDian Bg-sw-01> (enable) set vlan 35 name JinSanLou Bg-sw-01> (enable) set vlan 36 name WuZi Bg-sw-01> (enable) set port channel 1/1-2 on /设置Channel #sh port channel Bg-sw-01> (enable) set trunk 1/1 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/2 on dot1q 1-1005 /设置trunk口 #sh trunk # Bg-sw-01> (enable) set trunk 2/3 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/4 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/5 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/6 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/7 on dot1q 1-1005 Bg-sw-01> (enable) set spantree root 1-40 dia 4 /设为spantree的根#sh spantree Bg-sw-01> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用Bg-sw-01> (enable) set spantree portfast 2/1-8 enable Bg-sw-01> (enable) set spantree uplinkfast enable /设spantree端口快速切换 Bg-sw-01> (enable) set spantree backbonefast enable /设spantree端口快速定位根 1.2、配置路由