思科路由、交换、安全设置实战手册
一、使网络能上网
配通步骤:
1、进入端口
内:(config-if)# ip add XXX.XXX.XXX.XXX 255.255.255.0 (可以是vlan)
(config-if)# ip nat inside
(config-if)# no sh
外:(config-if)# ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)# ip nat outside
(config-if)# no sh
2、设置DNS、网关、路由、DHCP、控制列表和地址转换
DNS:(config)# ip name-server 203.196.0.6 (可连续写6 个)
网关:(config)# ip default-gateway XXX.XXX.XXX.XXX (可写可不写)
路由:(config)# ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX(IP 或者端口---静态路由)
(config)# router rip (动态)
(config-router)# network XXX.XXX.XXX.XXX
DHCP(动态分配IP):(可以为多个vlan 做dhcp)
(config)#ip dhcp pool + 名字(DHCP 名)
(dhcp-config)# network 192.168.2.0 255.255.255.0(要分配的IP 池—注意:A、B 类私网IP 一
定要加子网掩码,C 类不需要)
(dhcp-config)# dns-server 203.196.0.6 202.106.0.20(DNS)
(dhcp-config)# default-router 192.168.2.1 (网关)
(dhcp-config)# lease 3 (租用时间)
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.100(排除要分配的IP 段)
(config)#ip dhcp excluded-address 192.168.2.199 192.168.2.255(排除要分配IP 段)
3、控制列表:(config)# access-list 1 permit(deny)192.168.0.0 0.0.255.255 (允
许或者拒绝的IP 段)
4、地址转换:(config)# ip nat inside source list 1 interface FastEthernet4 overload (指定端口
-根据实际情况来定)
5、如果用池的方式:
先建立一个动态池
(config)# ip nat pool 871 211.99.151.208 211.99.151.208 netmask 255.255.255.0
(config)# ip nat inside source list 1 pool 871 overload (指定要将转换主机的IP 和池联系起
来)
6、静态IP 转换(主要应用于服务器)
(config)#ip nat inside source static 10.1.1.4 80.1.1.10 (内网主机IP 在前,公网IP 在后)
(config)#ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable (如果要带协议
的话---static tcp;内网主机后则必须要端口号;同样外网主机也需要端口号;extendable—
可选)
7、常用的清除配置命令:
2950#erase startup-config (和路由一样)
1900#delete nvram
#show processes cpu (查看CPU 使用率)
2
测试端口是否丢包!
#ping
Protocol [ip]: (回车)
Target IP address: 211.99.151.193 (IP 地址)
Repeat count [5]: 10000 (设置默认包是数量)
Datagram size [100]: 10000 (包的大小)
Timeout in seconds [2]: (回车)
Extended commands [n]: (回车)
Sweep range of sizes [n]: (回车)
Type escape sequence to abort.
ping 192.168.1.11 source 192.168.1.23 repeat 1000 size 1000
停止:
#ctrl+shift+6
交换机升级成E 的步骤:
Switch#archive download-sw/ p_w_picpathonly /overwrite/ reload tftp:
//10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar (此仅是IOS 软件的升级,还需要改号、改E 等)
trace 命令提供路由器到目的地址的每一跳的信息
#trace 171.144.1.39(目的IP)
#ctrl+shift+6 停止
telnet 设置
(config)#line vty 0 4
(config-if-line)#password XXXXXX
(config-if-line)#login
enable 密码设置
(config)# enable password XXXXX(不加密密码)
(config)# enable set XXXXX(加密密码)
问题备注:
1、现象:从路由能ping 外网,也能ping 电脑。电脑也能ping 路由,但电脑ping 不通
下一跳(或者说上不了网)
原因:在路由的全局模式下加上网关即可。
(config)# ip default-gateway XXX.XXX.XXX.XXX
2、思科路由恢复口令方法。
(1)在启动的60 s 内按下中断键Ctrl+Break,,使设备进入rom monitor 状态。
(2)在rom monitor 中输入o 命令:
>o (查看当前的Configuration register 值)
configuration register=0X2102 (寄存器启动方式默认值)
at last boot
(3)输入“>o/r 0x0142” (修改寄存器启动方式,使其启动不运行配置)
3
>o/r 0x0142
(4)重新启动路由器:
>I
rommon 2>reset
(5)在“Setup”模式,对所有问题回答“No”
(6)进入特权模式:
router>enable
(7)下载NVRAM
Router>configure memory
(8)恢复原始配置寄存器值并激活所有端口:
#configure terminal
(config)#config register 0X2102 ?
(config)#interface xx
(config)#no shutdown
(9)查询并记录丢失的口令:
2509#show configuration (show startup config) ?
(10)修改口令:
Router #configure terminal
(config) #line console 0
(config line)#login ?
(config?line)#password xxxxxxx
(config)#enable secret xxxxx
(11) 保存重起
Router #wr
Router# reload
3、要在路由上ping www 网址
(config)#ip name-server 203.196.0.6
(config)#ip name-server 202.106.0.20
二、ADSL 上网配置(用户端)
此设置是ADSL 猫加+路由器,如果是WIC-1ADSL+路由略有不同
871 配置
1、启用相关协议
(config)#vpdn enable
(config)#vpdn−group 1 (也可以取名PPPOE)
(config-vpdn)#rrequest-dialin
(config-vpdn-req-in)#protocol pppoe
config)#vpdn ip udp ignore checksum (也可不写这个)
2、配置内网口
(config)#interface Ethernet0/0
(config-if)#ip address 内网地址
(config-if)#ip nat inside
(config-if)# no sh
(config-if)#ip tcp adjust-mss 1452 (主要是针对MSN 等程序起用此命令)
4
作用:需要注意的就是ip tcp adjust-mss 1452 调整tcp 最大分段大小以满足PPPOE 下的
MTU
因为pppoe 下实际的数据段只能为1500-8(ppp 的头)=1492,1492 再减去TCP 和IP 头各20
等于1452,也就是说为了避免2 层上不停的分割数据包,适应某些应用如MSN,同时加快传输
3、配置外网口及其启用协议
(config)#interface Ethernet0/0
(config-if)#no ip address
(config-if)#pppoe enable (启用PPPOE 协议)
(config-if)#pppoe-client dial-pool-number 10 (建立客户端拨号表,10 代表表名字)
4、配置ADSL 接口
(config)#interface Dialer1 (如果是WIC-1ADSL+路由则应该是interface ATM 0)
(config-if)#ip address negotiated (自动获得IP)
(config-if)#ip nat outside
(config-if)#mtu 1492 (修改MTU 值)
(config-if)#encapsulation ppp (设置协议)
(config-if)#dialer pool 10 (拨号表名)
(config-if)#dialer−group 10 (起用拨号表)
(config-if)#ppp authentication pap chap callin (认证方式)
(config-if)#ppp chap hostname ****** (chap 认证名字)
(config-if)#ppp chap password ****** (chap 认证密码)
(config-if)#ppp pap sent-username ****** password ****** (pap 认证名字和密码)
5、配置拨号列表和控制列表的关系和路由等
config)#dialer−list 10 protocol ip permit (感兴趣流—即引发拨号的设置)
(config)#dialer-list 10 protocol ip list 1 (绑定拨号列表和控制列表之间的关系)
config)#ip nat inside source list 1 interface Dialer1 overload (NAT 设置)
config)#ip route 0.0.0.0 0.0.0.0 dialer1 (路由)
config)#access−list 1 permit any (控制列表)
6、动态DHCP
DHCP(动态分配IP):(可以为多个vlan 做dhcp)
(config)#ip dhcp pool + 名字(DHCP 名)
(dhcp-config)# network 192.168.2.0 255.255.255.0(要分配的IP 池—注意:A、B 类私网IP 一
定要加子网掩码,C 类不需要)
(dhcp-config)# dns-server 203.196.0.6 202.106.0.20(DNS)
(dhcp-config)# default-router 192.168.2.1 (网关)
(dhcp-config)# lease 3 (租用时间)
(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.100(排除要分配的IP 段)
(config)#ip dhcp excluded-address 192.168.2.199 192.168.2.255(排除要分配的IP 段)
2620 配置(其他一样)
config)#vpdn enable
config)#vpdn ip udp ignore checksum
config)#vpdn-group pppoe (也可以用数字)
三、单背路由
5
如图所示:
(config)#int f0/0 (进入要分子接口的接口,注意:此接口必须是三层接口)
(config-if)#no ip add
(config-if)#no sh
(config-if)# no switchport
(config-if)#int f 0/0.2 (划分子接口)
(config-subif)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-subif)#encapsulation dot1Q 1--4094 (dot1Q 是协议,1—4094 是vlan 号,目的:
传输什么协议和指定用来接收那个vlan 的数据)
注意:和划子接口相连的端口必须为trunk
其他的和一的配置没有什么区别!
四、划分VLAN、VTP、trunk 模式、交换机清除密码
1、VTP 域设置:
1900(config)#vtp server | transparent | client] (分别是服务模式、透明模式和客户端模式)
1900(config)#vtp domain domain-name(设置VTP 域的名字)
1900(config)#vtp password password (密码可选)2950#vlan database
2950(vlan)#vtp [ server | client | transparent ]
2950(vlan)#vtp domain domain-name (VTP 名字)
下面均可选
2950(vlan)#vtp password password (密码可选)
2950(vlan)#vtp pruning
2950(vlan)#snmp-server enable traps vtp
2950(vlan)#exit
设置trunk
(config-if)#switchport trunk encapsulation dot1q (协议在前,封装在后,设置trunk)
(config-if)#switchport mode trunk (设置trunk ,VTP 域只能在设置trunk 模式后才能学习)
划分VLAN:
1900(config)# vlan vlan#(VLAN 号)[name vlan-name(名字—可选)
2950#vlan database
6
2950(vlan)# vlan vlan# [name vlan-name](名字可选)
将端口加入到VLAN 中
将端口8 加入到VLAN 9 中
1900(config)#interface ethernet 0/8
1900(config-if)#vlan-membership static 9
将端口8 加入到VLAN 9 中
2950(config)#interface ethernet 0/8
2950(config-if)#switchport mode access (将端口指定为接入模式)
2950(config-if)#switchport access vlan 9
3500#show vlan brief (查看VLAN)
3500#show vlan (查看VLAN)
871#show vlan-switch brief (查看VLAN)
871#show vlan-switch (查看VLAN)
(vlan)#show changes (查看VLAN 信息)
3500#show int trunk (查看trunk)
3500#show vtp status (查看VTP 模式)
3500#show vlan id 2 (单独查看VLAN 信息)
镜像映射配置
通过交换机的第2 号口监控第1 号口的流量
端口镜像映射配置
(config)# monitor session 1 source interface fastEthernet 0/1
(config)# monitor session 1 destination interface fastEthernet 0/2
VLAN 镜像映射配置
(config)#monitor session 1 source vlan 1
(config)# monitor session 1 destination interface fastEthernet 0/2
2、交换机恢复密码:
步骤1:把管理机连接到交换机的CONSOLE 接口,然后拔掉电源.
步骤2:按住前面板的MODE 按钮,然后插上交换机的电源线.过5 秒钟左右松手,系统会有一
些提示信息,表示进入监视模式switch:
步骤3:输入flash_init 或flash 初始化FLASH 文件系统.
步骤4:输入load_helper 装载并初始化帮助映像,这是存储在ROM 中的最小IOS 映像,用于灾
难恢复.
步骤5:输入dir flash: 显示FLASH 的文件和目录列表.
步骤6:输入rename flash:config.text flash:config.old ,修改配置文件名.
步骤7:输入boot,重启系统.
步骤8:在提示符下键入N,跳过setup 模式.
步骤9:在提示符下,键入enable 进入特权模式.
步骤10:输入rename flash:config.old flash:config.text,将配置文件改回原来的名称.
步骤11:将配置文件拷贝到运行的配置中:
Switch#copy startup-config running-config
步骤12:改变口令.
步骤13:将改变的配置拷贝到配置文件中.
7
路由器清除密码
1、在路由器启动后的60 秒内请在终端上键入中断键(Break 键或Ctrl_C 键),您会看到一
个前面没有路由器名字的>大于号)提示符。
2、在>号提示符下键入“o/r0x42”以便从Flash 启动,注意第一个字母“o”不是十进制数“0”
(该为不要配置启动)
3、在>号提示符下键入“i”,路由器便会忽视存储的配置文件进行重新启动。
4、路由器启动后,对所有的setup 的问题回答“no”。
5、在router> 提示符下键入“enable”,您就不需要口令就进入到enable 模式,并且看到
router# 提示符。
6、有两种方法可以改变enable 口令:
a. 删除所有的配置,键入“write erase”。(清除所有配置)
b. 不删除所有的配置,只删除enable 的口令
. ①在router#conf t
. ②在router(config)#提示符下键入“enable secret xxxxxx”,其中“xxxxxx”为您想
所设定的口令。
. router# ③wr (保存)
7、在route(config)# 提示符下键入“config-register 0x2102”,或者您在第二步所记录下
来的值。(改为正常值启动)
8、router# wr (保存)
9、在router# 提示符下键入“reload”。(重新启动)
五、控制列表
每接口、每协议、每方向只能有一个访问列表
1、标准控制列表
(config)#access-list access-list-number {permit | deny | remark} source [mask
说明:
access-list-number:是列表的号码名(1—99)
permit | deny 允许或者禁止
source [mask 源IP 或者IP 段和反掩码
例:(config)#access-list 1 permit any(允许所有通过)
B、(config)#access-list access-list-number +(permit | deny )+ host +IP 地址
例:(config)#access-list 1 permit host 211.99.151.208
2、扩展控制列表
(config)# access-list +(名字—100-199)+ (permit | deny )+ 协议+源IP(段)+ 反掩
码+ 目的IP(段)+反掩码+ (eq\gt\lt\range)+端口号
说明:eq 就是等于gt 就是大于lt 就是小于range 就是包括
8
(config)# access-list +(名字—100-199)+ (permit | deny )+ 协议+any (指所有) +any (指
所有)+ (eq\gt\lt\range)+端口号
客户要求:
(config)#interface fastEthernet 0/0 (进入外网口)
(config-if)#ip access-group 100 out
帮我配置一下:
外网222.77.64.146 255.255.255.252 222.77.64.145
内网192.168.0.1 255.255.255.255.0 192.168.0.1
DNS 202.101.107.55 202.101.98.55
禁止dhcp
禁止192.168.0.160-192.168.0.230 上外网(tcp)
禁止192.168.0.3-192.168.0.254 8000(udp)
禁止192.168.0.3-192.168.0.254 443 (tcp)
禁止192.168.0.3-192.168.0.254 访问218.117.209.1 - 218.117.209.255 80 (tcp www)
禁止192.168.0.3-192.168.0.254 访问tencent.com (ip)
配置如下:
暂时无配置
路由器通过以太网的子口建立与下连交换机TRUNK 口相连。(下面未经过验证,故不能全信)
要求管理VLAN 可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN,但是其它VLAN
不可以访问管理VLAN。
下面把路由器上的配置附上:
ip access-list extended infilter
evaluate mppacket
deny ip 10.54.16.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.31.0 0.0.0.255
permit ip any any
9
exit
ip access-list extended outfilter
permit ip any any reflect mppacket
exit
interface fastethernet0
ip address 10.255.49.2 255.255.255.252
exit
interface fastethernet1
exit
interface fastethernet1.1
description Guanli
ip address 10.54.31.254 255.255.255.0
encapsulation dot1q 1
exit
interface fastethernet1.2
description Yewu
ip address 10.54.17.254 255.255.255.0
encapsulation dot1q 2
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.3
description Bangong
ip address 10.54.16.254 255.255.255.0
encapsulation dot1q 3
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.4
description Caiwu
ip address 10.54.18.254 255.255.255.0
encapsulation dot1q 4
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.5
description Jiating
ip address 10.54.19.254 255.255.255.0
encapsulation dot1q 5
10
ip access-group outfilter out
ip access-group infilter in
exit
ip route 0.0.0.0 0.0.0.0 10.255.49.1
六、防火墙配置
防火墙保存命令:(config)#wr mem
防火墙清除配置命令:(config)#wr erase
1、设置安全级别(外网0 最高,内网100 最高,其他可以任意选)
(config)#nameif ethernet0 outside security0
(config)#nameif ethernet1 inside security100
(config)#nameif dmz security50
提示:在缺省配置中,以太网0 被命名为外部接口(outside),安全级别是0;以太网1
被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安
全级别越高。
若添加新的接口,语句可以这样写:
(config)#nameif pix/intf3 security40 (安全级别任取)
(config)#interface gb-ethernet0 1000auto (光口)
(config)#nameif gb-ethernet0 intf2 security40 (光口)
2. 配置以太口参数(interface)
(config)#interface ethernet0 auto(auto 选项表明系统自适应网卡类型)
(config)#interface ethernet1 auto
3. 配置内外网卡的IP 地址(ip address)
(config)#ip address outside 61.144.51.42 255.255.255.248
(config)#ip address inside 192.168.0.1 255.255.255.0
4、指定要进行转换的内部地址(nat)
nat 命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside.
Nat_id 用来标识全局地址池,使它与其相应的global 命令相匹配,
local_ip 表示内网被分配的ip 地址。例如0.0.0.0 表示内网
例1.(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0 可以代表0.0.0.0
例2.(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0 这个网段内的主机可以访问外网。
5. 指定外部地址范围(global)
Global 命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark
11
global_mask]
其中(if_name)表示外网接口名字,例如outside.。
Nat_id 用来标识全局地址池,使它与其相应的nat 命令相匹配,
ip_address-ip_address 表示翻译后的单个ip 地址或一段ip 地址范围。
[netmark global_mask]表示全局ip 地址的网络掩码。
例1.(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix 防火墙要访问外网时,pix 防火墙将使用
61.144.51.42-61.144.51.48 这段ip 地址池为要访问外网的主机分配一个全局ip 地址。
例2.(config)#global (outside) 1 61.144.51.42
表示内网要访问外网时,pix 防火墙将为访问外网的所有主机统一使用61.144.51.42 这个
单一ip 地址。
例2 还可以表示成
(config)#global (outside) 1 interface (如果外网只有一个IP)
例3. (config)#no global (outside) 1 61.144.51.42
表示删除这个全局表项。
例4.如果是不连续的网络段。
(config)#global (outside) 1 220.172.104.211-220.172.104.213
(config)#global (outside) 1 220.172.104.204
(config)#global (outside) 1 220.172.104.217
6. 设置指向内网和外网的静态路由(route)
定义一条静态路由。route 命令配置语法:route (if_name) 0 0 gateway_ip
[metric]
其中(if_name)表示接口名字,例如inside,outside。
Gateway_ip 表示网关路由器的ip 地址。
[metric]表示到gateway_ip 的跳数。通常缺省是1。
例1.(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip 地址61.144.51.168)的缺省路由。
例2.(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1 那样设置一条缺省路由即可;如果内部存在多个网
络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0 的静
态路由,静态路由的下一条路由器ip 地址是172.16.0.1
例3、指向内部和外部的路由
A、动态路由
router ospf 1
network 172.16.2.0 255.255.255.0 area 0
network 192.168.0.0 255.255.0.0 area 0
network 218.106.194.16 255.255.255.240 area 0
B、静态路由
(config)#ip address inside 172.16.2.1 255.255.255.0
(config)#ip address outside 218.106.204.66 255.255.255.240
(config)#route outside 0.0.0.0 0.0.0.0 218.106.204.65 1 (IP 为下一跳)
12
(config)#route inside 192.168.0.0 255.255.0.0 172.16.2.2 1 (此为内网下面的网络)
以上配置后就可以通了!下面是些高级的控制
7、
A、配置静态IP 地址翻译(static)
static 命令配置语法:static
(internal_if_name,external_if_name) outside_ip_address inside_ ip_address 其中
internal_if_name 表示内部网络接口,安全级别较高。如inside.
external_if_name 为外部网络接口,安全级别较低。如outside 等。
outside_ip_address 为正在访问的较低安全级别的接口上的ip 地址。
inside_ ip_address 为内部网络的本地ip 地址。
例1.(config)#static (inside, outside) 61.144.51.62 192.168.0.8 (此为防火墙
在最前端)
表示ip 地址为192.168.0.8 的主机,对于通过pix 防火墙建立的每个会话,都被翻译成
61.144.51.62 这个全局地址,也可以理解成static 命令创建了内部ip 地址192.168.0.8
和外部ip 地址61.144.51.62 之间的静态映射。
例2.(config)#static (inside, outside) 192.168.0.2 10.0.1.3 (此为防火墙在路由
或者其他设备之后)
例3.(config)#static (dmz, outside) 211.48.16.2 172.16.10.8 (此为DMZ 的转换)
B. 管道命令(conduit)
conduit 命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许| 拒绝访问
global_ip 指的是先前由global 或static 命令定义的全局ip 地址,
如果global_ip 为0,就用any 代替0;
如果global_ip 是一台主机,就用host 命令参数。
port 指的是服务所作用的端口,例如www 使用80,smtp 使用25 等等,我们可以通过服务
名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP 等。
foreign_ip 表示可访问global_ip 的外部ip。对于任意主机,可以用any 表示。
如果foreign_ip 是一台主机,就用host 命令参数。
例1. (config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8 的这台主机进行http 访问。其中
使用eq 和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp
的访问。
例2. (config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89 对任何全局地址进行ftp 访问。
例3. (config)#conduit permit icmp any any
表示允许icmp 消息向内部和外部通过。
例4. (config)#static (inside, outside) 61.144.51.62 192.168.0.3
13
(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static 和conduit 的关系。192.168.0.3 在内网是一台web 服务器,现在希
望外网的用户能够通过pix 防火墙得到web 服务。所以先做static 静态映射:192.168.0.3
->61.144.51.62 (全局),然后利用conduit 命令允许任何外部主机对全局地址
61.144.51.62 进行http 访问。
C. 配置fixup 协议
fixup 命令作用是启用,禁止,改变一个服务或协议通过pix 防火墙,由fixup 命令指定的
端口是pix 防火墙要侦听的服务。见下面例子:
例1.(config)#fixup protocol ftp 21
启用ftp 协议,并指定ftp 的端口号为21
例2.(config)#fixup protocol http 80
(config)#fixup protocol http 1080
为http 协议指定80 和1080 两个端口。
例3.(config)#no fixup protocol smtp 80
禁用smtp 协议。
D. 设置telnet
telnet 配置语法:telnet local_ip [netmask]
local_ip 表示被授权通过telnet 访问到pix 的ip 地址。如果不设此项,pix 的配置方式
只能由console 进行。
(config)# telnet 0.0.0.0 0.0.0.0 inside
(config)# telnet 0.0.0.0 0.0.0.0 outside (此命令没有通,上面的可以,思科默认的密
码是:CISCO )
E.允许或拒绝ping
(config)#ICMP permit/deny any echo-reply outside
(config)#Icmp permit/deny any unreachable outside
8、DHCP 服务
PIX 配置DHCP Server (经过验证)
(config)#dhcpd address 192.168.1.4-192.168.1.254 inside (设置池)
(config)# dhcpd dns 203.196.0.6 202.106.0.20 (设置DNS)
(config)#dhcpd lease 3600 (设置时间)
(config)#dhcpd ping_timeout 750 (防止IP 冲突的时间)
(config)#dhcpd auto_config outside
(config)#dhcpd enable inside (在内网接口起用DHCP)
(config)#debug dhcpd // event/packet 两个参数,事件信息/数据包信息,no debug dhcpd 关
闭—调试DHCP
(config)#dhcpd domain domain_name //可选的,分配客户端使用的域名
(config)#clear dhcpd //Bindings,statistics 绑定mac,ip,租期,统计信息
(config)#dhcpd auto_config client_ifx_name //自动将dhcp 获得的dns,wins 等参数传递给dhcp
服务器。
14
PIX535(config)# dhcpd address 10.10.10.26-10.10.10.254 inside
PIX535(config)# dhcpd dns 203.196.0.6 202.106.0.20
PIX535(config)# dhcpd lease 3600
PIX535(config)# dhcpd ping_timeout 750
PIX535(config)# dhcpd enable inside
PIX 配置DHCP Client (未经过验证,具体有环境了才能实验)
pix(config)#ip address if_name dhcp // 接口名称,获得dhcp,后面还有参数,可省略
PIX 配置DHCP Relay、
pix(config)#dhcprelay server 10.1.1.1 outside
pix(config)#dhcprelay timeout 80
pix(config)#dhcprelay enable inside
pix(config)#show dhcprelay
下面简单配置dhcp server,地址段为192.168.1.100—192.168.168.1.200
dns: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
dhcp client 通过pix firewall
pix515e(config)#ip address dhcp
dhcp server 配置
pix515e(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
pix515e(config)#dhcp dns 202.96.128.68 202.96.144.47
pix515e(config)#dhcp domain abc.com.cn
在monitor> 模式下修复PIX IOS 方法:(和电脑相连的必须是交叉线)
monitor> interface 1 (选择端口)
monitor> address 172.18.124.154 (设置端口IP)
monitor> server 172.18.125.3 (设置TFTP 服务器IP)
monitor> file pix611.bin (设置要传输的IOS 名字—一定要有.bin)
monitor> ping 172.18.125.3 (测试网络是否通)
monitor> tftp (传送—同时服务器的TFTP 也要运行)
tftp pix611.bin@172.18.125.3.........................................................
Do you want to enter a new activation key? [n] n (此是问你是否要更改安全码,选择NO)
Writing 2469944 bytes p_w_picpath into flash...
注意:
在恢复后进入系统后(即正常模式下),必须做以下操作(以下是以701 版本为基础)!
(config)# int ethernet 0 (此端口和PC 用交叉线连接)
(config-if)# ip add (后跟IP 地址)
15
(config-if)#nameif outside (设置成外网口)
(config-if)#security-level 0 (设置安全参数)
做了以上后,要开启下列端口
(config)#fixup protocol dns maximum-length 512
(config)#fixup protocol ftp 21
(config)#fixup protocol h323 h225 1720
(config)#fixup protocol h323 ras 1718-1719
(config)#fixup protocol http 80
(config)#fixup protocol rsh 514
(config)#fixup protocol rtsp 554
(config)#fixup protocol sip 5060
(config)#fixup protocol sip udp 5060
(config)#no fixup protocol skinny 2000
(config)#fixup protocol smtp 25
(config)#fixup protocol sqlnet 1521
(config)#fixup protocol tftp 69
(config)# fixup protocol icmp (此为ping 的端口)
然后
pixfirewall#copy tftp flash: (即重新在拷贝一遍)
根据提示填写server IP 地址
要传输的文件名(记得要带.bin 后缀)
………
….. OK
下面为恢复口令
[url]http://www.cisco.com/en/US/products/hw/***devc/ps2030/products_password_recovery09186a00[/url]
8009478b.shtml#sample
恢复PIX 口令
此为无软驱的操作
步骤如下:
第一步,找一条控制台的专用线(rollover 串口线)把PC 与PIX 连接起来。
第二步,用一条交叉线把控制台网卡与PIX 的ehernet 0 连接起来。
第三步,通过串口建立超级终端,开机检查是否能接入PIX。没问题,但是由于没有原来的
口令,进不去特权模式。
第四步,在能够通过console 口连通的情况下,重新启动PIX,在出现启动消息后,根据屏
幕提示在9 秒内按键盘BREAK 或ESC 键进入monitor 模式。
第五步,在monitor>输入interface 0 进入接口模式。
第六步,add 192.168.1.1 指定PIX 端口的IP 地址。
第七步,server 192.168.1.88 指定我的TFTP 服务器的IP 地址。
第八步,file np63.bin 指定预传送的口令恢复文件名(不知道就到TFTP 目录下看一下)。
第九步,ping 192.168.1.88 测试到TFTP 的三层连通性。不通的话,就得仔细检查一下网卡
与PIX 的连接了。
第十步,tftp 回车,开始传送文件。传送完成后,提示是否要删除口令,输入y,确认删除,
系统删除口令成功后,会自动重启,enable 口令默认为空了。
16
第十步,照样提示输入口令,不管它,回车,OK!~~大功告成!~~
第十一步,如果要改密码的话,按照上面说的用相关命令改就OK 了。
此为有软驱操作:
首先我们来在一个带有软驱的PIX 机子进行口令恢复
第一步,在一台PC 机上用rawrite.exe 程序,按照屏幕提示把np**.bin 文件写到一张可用的
软盘上。
第二步,找一条控制台的专用线(rollover 线)把PC 与PIX 连接起来。
第三步,通过PC 超级终端建立与PIX 连接,确保串口线没有问题。(由于没有正确的enable
口令,我们只能看到密码提示符)
第四步,把刚才我们用rawrite.exe 写好的软盘插入PIX 机子软驱。
第五步,接着按一下PIX 机子的复位键,PIX 这次从软盘引导,并在屏幕上显示下面一些消
息:
Erasing Flash Password. Please eject diskette and reboot.
(口令恢复已经搞定,请把软盘拿出来再重启机子)
第六步,当拿出软盘,按下重启键后,我们就可以不用口令进入PIX 的IOS 了。如果出现
提示要口令,不管它,直接按回车就对了。
第七步,当前面步骤完成之后,PIX 的远程Telnet 口令恢复成默认的"cisco",并且进入enable
特权模式也不需要密码。要改口令的话,进入configuration 全局模式,用passwd
your_password 命令改远程telnet 口令,用enable password your_enable_password 命令建立
enable 特权模式口令。记着在改或创建完成保存配置,这就大功告成了。
9、配置控制列表。
A、(config)#access-list acl_inside permit icmp any any
(config)#access-list acl_inside permit tcp any any
(config)#access-list acl_inside permit udp any any
(config)#access-list acl_inside permit ip any any
(config)#access-list acl_outside permit icmp any any
(config)#access-list acl_outside permit tcp any any
(config)#access-list acl_outside permit udp any any
(config)#access-list acl_outside permit ip any any
应用到端口
(config)#access-group acl_outside in interface outside
(config)#access-group acl_inside in interface inside
B、
(config)#access-list 101 permit icmp any any
(config)#access-list 101 permit tcp any any
(config)#access-list 101 permit udp any any
(config)#access-list 101 permit ip any any
应用到端口
(config)#access-group 101 in interface outside
17
(config)#access-group 101 in interface inside
作用主要是开通一些相应的协议,否则就有可能网络不通!
10、内部主机访问内部服务器
A、服务器和PC 机在同一个网段内
(config)#alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255 (注意:被
访问内网IP 地址在前,公网IP 在后)
(config)#static(inside,outside)99.99.99.99 10.10.10.10 netmask
255.255.255.255
此命令建立web 服务器真实地址10.10.10.10 和外部地址99.99.99.99 的转换
用access list 命令赋予访问权
(config)#access-list 101 permit tcp any host 99.99.99.99 eq www
(config)#access-group 101 in interface outside
或者
(config)#conduit permit tcp host 99.99.99.99 eq www any
B、服务器和PC 机不在同一网络内(inside 和dmz)
(config)#alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
注意: 此中IP 地址与上面DNS Doctoring 的顺序相反.(即外部地址在前,DMZ 主机地址
在后)
C、服务器与PC 同在DMZ 区
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
注意:DMZ 主机在前,公网IP 在后
七、思科无线路由配置
其他的配置和路由是一样的
A、需要密码验证(比较安排)。(此配置通过验证)
(Config)#int dot11Radio 0
(config-if)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)#ip nat inside
(config-if)#ip tcp adjust-mss 1452 (此主要是用于PPPOE 才写此命令)
(config-if)#encryption key 1 size 128bit 0 1234567890ABCDEF0987654321 transmit-key (起
用加密位为128 位,并且设置密码1234567890ABCDEF0987654321 ---必须是26 位,但其
是16 进制,因此字母不能有F 以上的)
(config-if)# encryption mode wep mandatory (起用加密方式为WEP)
(config-if)# ssid yonghengxinyekj (设置SSID 号—即为无线网络取名字)
(config-if-ssid)#authentication open (在SSID 里设置,开放系统)
(config-if-ssid)#guest-mode (在SSID 里设置)
18
B、无须密码,开放式配置。(此配置通过验证)
interface Dot11Radio0
(config-if)#ip add XXX.XXX.XXX.XXX 255.255.255.0
(config-if)#ip nat inside
(config-if)#ip tcp adjust-mss 1452 (此主要是用于PPPOE 才写此命令)
(config-if)#ssid cisco (取个SSID 名字)
(config-if-ssid)#authentication open (在SSID 里设置,开放系统)
(config-if-ssid)#guest-mode (在SSID 里设置)
DHCP 和路由的做法一样
八、交换机双机备份配置方法
按照下面的模版进行配置
交换机一
(config)#interface Vlan x (两台备份交换机的VLAN 需相同)
(config-if)# ip address x.x.x.x x.x.x.x (设置IP 地址)
(config-if)#no ip redirects
(config-if)#standby timers 5 10 (设置启用时间)
(config-if)#no ip directed-broadcast
(config-if)#standby 1 priority 100 preempt (设置抢先)
(config-if)#standby 1 ip y.y.y.y (设置虚拟IP—及下级交换机网关)
交换机二
(config)#interface Vlan x
(config-if)#ip address x.x.x.x x.x.x.x
(config-if)#no ip redirects
(config-if)#standby timers 5 10
(config-if)#no ip directed-broadcast
(config-if)#standby 1 priority 110 preempt
(config-if)#standby 1 ip y.y.y.y
注:
1、要让下级交换机的网关是虚拟的IP 地址,需将ip dhcp pool +XX 中的网关设置成虚拟的
19
IP 地址即可(路由也是一样)
2、两台备份交换机的VLAN 必须是相同的VLAN,如果是有很多VLAN,则需要做很多个
备份的配置!路由则不需要,只要是内网端口处于同一网段即可!
如何配置HSRP?
你可以在路由器的接口配置模式使用standby 命令完成几乎所有HSRP 配置。让我们考虑在
配置图表中显示的网络所采用的步骤。
对于路由器1:
1.配置以太网接口上的IP 地址
2.配置备用IP 地址
3.配置备用抢先(通过抢先,只要路由器1 可用,将总是主路由器。)
对于路由器2:
1. 配置以太网接口上的IP 地址
2. 配置备用IP 地址、
3. 配置备用优先小于100(在本例中,是99。)
命令查看HSRP 状态。这条命令会告诉哪个路由器是活动的,哪个是备份的
show standby
华为交换机配置操作手册
一、华为DHCP 做法
[Router]dhcp enable
[Router]dchp server forbidden-ip 10.188.180.1 10.188.180.10 (排除要分配的IP 地址)
[Router]dchp server forbidden-ip 10.188.182.1 10.188.182.10 (排除要分配的IP 地址)
[Router]dhcp server ip-pool vlan2 (建立一个DHCP 名字)
[Router-dhcp-pool-vlan2]network 10.188.180.0 mask 255.255.255.0 (指定要分配的网段)
[Router-dhcp-pool-vlan2]dns-list XXX.XXX.XXX.XXX(设置DNS)
[Router-dhcp-pool-vlan2]gateway-list 10.188.180.1(指定网关)
[Router-dhcp-pool-vlan2]expired day 8 hour 8 minute 8 (租用时间)
二、设置OSPF
A、设置区域0
[Roter]interface Ethernet0/1
[Router-Ethernet0/1]ospf enable area 0
注意要在所有的接口上操作这个步骤(防火墙上)
[Roter]ospf enable
B、设置OSPF
[Roter]ospf
[Roter-ospf1-1]area 0
[Roter-ospf1-1-area-0.0.0.0]network 218.5.82.210.0 0.0.0.255
20
[Roter-ospf1-1-area-0.0.0.0]network 10.0.0.0 0.255.255.255
九、E1 线路
分时隙
Router(config)# controller E1 0/0
Router(config-controller)#clock source liness (配置线路时钟)
Router(config-controller)#channel-group 0 timeslots 31 (设置默认时隙)
Router(config-controller)#framing no-crc4 (设置为非成帧格式)
Router(config-controller)#
Router(config-controller)# no sh
Router(config)#int serial 0/0/0:0 (进入端口)
Router(config-if)# ip add (设置IP 地址)
Router(config-if)#no sh
Router (config-if)#encapsulation ppp (设置PPP 协议)
转载于:https://blog.51cto.com/itboy/108998
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
