发布时间:2009-4-08 15:52:13 发布人:fengyifan
在路由器的配置过程中,经常会用到COPY这个命令。下面我们就为大家介绍如何使用COPY命令备份配置文件,以及如何从TFTP服务器拷贝备份配置文件。
1、copy running-config startup-config
address or name of remote host
[]?129.0.0.3
destination file name [it168-confg]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
624 bytes copied in 7.05 secs
it168#
address or name of remote host[]?
129.0.0.3
source filename []?it168-confg
destination file name [running-config]?
accessing tftp://129.0.0.3/it168-confg
loading it168-confg from 129.0.0.3
(via fastethernet 0/0):
!!!!!!!!!!!!!!!!!!!!!!!
[ok-624 bytes]
624 bytes copied in 9.45 secs
it168#
思科CISCO路由器初始配置向导
发布时间:2009-4-12 15:50:16 发布人:fengyifan
一、路由器开机初始序列
2)自ROM进行引导,将操作系统装下载到主存。
3)引导操作系统由配置寄存器的引导预确定由FLASH 或网络下载,则配置文件的boot system 命令确定其确切位置。
4)操作系统下载到低地址内存,下载后由操作系统确定路由器的工作硬件和软件部分并在屏幕上显示其结果。
5)NVRAM中存储的配置文件装载到主内存并通过执行,配置启动路由进程,提供接口地址、设置介质特性。 如果NVRAM中设有有效的配置文件,则进入Setup 会话模式。
6)然后进入系统配置会话,显示配置信息,如每个接口的配置信息。
Setup 命令是一个交互方式的命令,每一个提问都有一个缺省配置,如果用缺省配置则敲回车即可。 如果系统已经配置过,则显示目前的配置值。如果是第一次配置,则显示出厂
特权口令 :enable password
虚终端口令 :virtual terminal password
SNMP网管 :SNMP Network Management
IP :IP
IGRP路由协议:IGRP Routing
RIP路由协议 :RIP Routing
DECnet : DECnet . 等
其中 Console 的secret、 password的设置:
enable password <string>
Password <string>
在设置完以上参数后,该命令提示是否要用以上的配置,如果回答是YES则系统会存储以上的配置参数,系统就可以使用了。
write memory
write erase
reload
setup
5、路由器丢失PASSWORD的恢复
enable password
console password
通过修改Configuration Register(出厂为0x2102),使路由器忽略PASSWORD,这 样就可以进入路由器,就可以看到enable password和Console password,但enable secret
将Console terinal连在路由器的Console口上,确认终端设置为9600bps、8 Data bit 、No parity、1 stop bit;
show version显示Configuration Register 0x2102;
关机再开,按Ctrl+ Break,进入ROM MONITOR状态,提示符为>;
键入> o/r 0x142,修改 Configuration Register到0x142,可以忽略原先的 password;
键入> initialize,初始化路由器,等一段时间后,路由器会出现以下提示 :
system configuration Diaglog ……
Enter NO
提示Press RETURN to get started! ,Press Enter
Router#show startup-config
这样就可以得到password(enable&console password)
修改password
Router#config ter
Router(config)# enable secret cisco
Router(config)# enable password cisco1
Router(config)# line con 0
Router(config)# password cisco
Router(config)# config-register 0x2102
ctrl + Z
Router#copy running-config startup-config
reload
三、路由器配置
基于安全原因,EXEC设置了两个访问权限:用户级和特权级,用户级可执执行的命令是特权级命令的子集。
Line vty 0 命令设置Telnet虚终端口令
Enable-password 命令设置特权EXEC访问权限
6)路由器命名
disconnect 关闭一个已有的telnet会话
enable 进入特权级
exit 退出EXEC
help 交互求助系统描述
lock 终端锁定
login 以特定用户登录
logout 退出EXEC
ping 发送echo信息
resume 恢复一个激活的telnet连接
show 显示正在运行的系统信息
systat 显示正在运行的系统信息
telnet 打开一个telnet连接
terminal 设置终端线路参数
where 列出激活的telnet连接
2、上下相关帮助
关键字完成 :键入命令字的一部分即可;
命令记忆 :可用 调出以前的命令;
命令提示 :当命令记不完全时,可用?替代
发布时间:2009-4-15 14:45:08 发布人:fengyifan
你可以使用端口安全特性来约束进入一个端口的访问,基于识别站点的mac地址的方法。当你绑定了mac地址给一个端口,这个口不会转发限制以外的mac地址为源的包。如果你限制
·你可以配置所有的mac地址使用 switchport port-security mac-address <mac地址>,这个接口命令。
·你也可以允许动态配置安全mac地址,使用已连接的设备的mac地址。
·你可以配置一个地址的数目且允许保持动态配置。
·最大安全数目mac地址表外的一个mac地址试图访问这个端口。
·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。
·protect-当mac地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac地址,来降下最大数值之后才会不丢弃。
·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。
·shutdown-一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态,你要恢复正常必须得敲入全局下的errdisable
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发snmp陷阱。
下面是配置端口安全的向导-
·安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure之前必须的是switch mode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现
1.在f0/12上最大mac地址数目为5的端口安全,违规动作为默认。
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static
show port-security 看哪些接口启用了端口安全.
show port-security address 看安全端口mac地址绑定关系.
典型的以太网络建立多个VLAN实例
发布时间:2009-4-17 14:03:56 发布人:fengyifan
所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1
1、设置vtp domain(核心、分支交换机上都设置)
2、配置中继(核心、分支交换机上都设置)
3、创建vlan(在server上设置)
4、将交换机端口划入vlan
5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。
com(vlan)#vtp domain com 设置vtp管理域名称 com
com(vlan)#vtp server 设置交换机为服务器模式
par1(vlan)#vtp domain com 设置vtp管理域名称com
par1(vlan)#vtp client 设置交换机为客户端模式
par2(vlan)#vtp domain com 设置vtp管理域名称com
par2(vlan)#vtp client 设置交换机为客户端模式
par3(vlan)#vtp domain com 设置vtp管理域名称com
par3(vlan)#vtp client 设置交换机为客户端模式
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
在分支交换机端配置如下:
par1(config-if)#switchport mode trunk
par2(config-if)#switchport mode trunk
par3(config-if)#switchport mode trunk
3、创建vlan一旦建立了管理域,就可以创建vlan了。
com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan
com(vlan)#vlan 12 nam
par1(config-if)#switchport access vlan 10 归属counter vlan
par1(config-if)#switchport access vlan 11 归属market vlan
par1(config-if)#switchport access vlan 12 归属managing vlan
par2(config-if)#switchport access vlan 10 归属counter vlan
par2(config-if)#switchport access vlan 11 归属market vlan
par2(config-if)#switchport access vlan 12 归属managing vlan
par3(config-if)#switchport access vlan 10 归属counter vlan
par3(config-if)#switchport access vlan 11 归属market vlan
par3(config-if)#switchport access vlan 12 归属managing vlan
5、配置三层交换
vlan market 分配的接口ip地址为172.16.59.1/24,网络地址为:172.16.59.0,
vlan managing分配接口ip地址为172.16.60.1/24, 网络地址为172.16.60.0
……
如果动态分配ip地址,则设网络上的dhcp服务器ip地址为172.16.1.11。
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
发布时间:2009-4-20 15:58:12 发布人:fengyifan
有关VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了,而且最早的VLNA技术早在1996年Cisco(思科)公司就提出了。随着几年来的发展,VLAN技术得到
?
6. 按用户定义、非用户授权划分VLAN
三、VLAN的优越性
?
2. 控制网络上的广播
?
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换
?
3. 增加网络的安全性
?
因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的
?
四、VLAN网络的配置实例
VLAN 号
VLAN 名 端口号
2 Prod Switch 1 2-21
3 Fina Switch2 2-16
4 Huma Switch3 2-9
5 Info Switch3 10-21
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
CLI session with the switch is open.
To end the CLI session,enter [Exit ].
>
Enter configuration commands,one per line.End with CNTL/Z
(config)#
Switch1(config)# enable password level 15 XXXXXX
Switch1(config)#
Switch2 (config)#vlan 3 name Fina
Switch3 (config)#vlan 4 name Huma
Switch3 (config)#vlan 5 name Info
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/3
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/4
Switch1(config-if)#vlan-membership static 2
……
Switch1(config-if)#int e0/20
Switch(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/21
Switch1(config-if)#vlan-membership static 2
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/3
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/4
Switch2(config-if)#vlan-membership static 3
……
Switch2(config-if)#int e0/15
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/16
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/3
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/4
Switch3(config-if)#vlan-membership static 4
……
Switch3(config-if)#int e0/8
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/9
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#
下面是VLAN5(Info)的配置代码:
Switch3(config)#int e0/10
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/11
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/12
Switch3(config-if)#vlan-membership static 5
……
Switch3(config-if)#int e0/20
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/21
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#
企业如何选用×××?
发布时间:2009-4-29 16:47:33 发布人:fengyifan
企业如何选用×××?
还有一类是基与IE浏览器的SSL ××× (广州心创公司将在2004年广州信息产业周上首次展出SSL ×××新品), SSL ×××主要是针对大量的移动×××需求的用户(如传媒和保险等行业
经由SSL提供远程接入时配置×××的必要性
发布时间:2009-4-31 16:46:45 发布人:fengyifan
我们乐意通过Citrix Secure Gateway或者其他增强的SSL工具(Neoteris, Whale Communication)向家庭用户提供应用软件。我们的信息安全组坚持认为我们还应该在家庭PC上
发布时间:2009-4-31 16:46:04 发布人:fengyifan
随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求
IPSEC ××× MPLS ××× VPDN 二层交换×××
网络位置 属于端到端服务,不需要骨干网络承担业务相关功能 利用ADSL接入资源 利用MUX接入网资源,属于端到端服务
服务部署 响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。 需要用户在业务网络覆盖范围内使用。用户位置要求固定 ADSL延伸到的地方 在
服务质量、服务级协约 IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题,其服务质量主要依赖承载网络 可以提供可伸缩的、稳固的QoS机制和流量工程能
机密性 通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性 采用专用线路,从链路层保证用户数据安全 通过安全认证和专用服务器建立专用通讯隧道 由于是
客户支持 可通过客户端支持; 可采用WEB浏览器 基于网络的服务,不需要客户端承担数据处理 基于网络的服务,功能在骨干端实施 基于网络的服务,不需要客户端承担数据处
与其他业务兼容性 在使用***同时,不影响用户使用基础线路服务 使用专用线路,不共享线路 通过不同的账号拨号,可达到共用线路效 果 使用专用线路,不共享线路
×××的分类方式
发布时间:2009-5-11 16:04:45 发布人:fengyifan
×××的分类方式比较混乱。不同的生产厂家在销售它们的×××产品时使用了不同的分类方式,它们主要是产品的角度来划分的。不同的ISP在开展×××业务时也推出了不同的分类
这是用户和运营商最关心的×××划分方式。一般情况下,用户可能是专线上(因特)网的,也可能是拨号上网的,这要根据拥护的具体情况而定。建立在IP网上的×××也就对应
(1)专线×××:它是为已经通过专线接入ISP边缘路由器的用户提供的×××解决方案。这是一种“永远在线”的×××,可以节省传统的长途专线费用。
(2)拨号×××(又称VPDN):它是向利用拨号PSTN或ISDN接入ISP的用户提供的×××业务。这是一种“按需连接”的×××,可以节省用户的长途电话费用。需要指出的是,因为用
这是×××厂商和ISP最为关心的划分方式。根据分层模型,×××可以在第二层建立,也可以在第三层建立(甚至有人把在更高层的一些安全协议也归入×××协议。)
(1)第二层隧道协议:这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。
(2)第三层隧道协议:这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线×××业务,L2TP主要用于实现拨号×××业务(但也可
这是客户和IPS最为关心的×××分类。×××业务可以是客户独立自主实现的,也可以是由ISP提供的。
(1)发起(也称基于客户的):×××服务提供的其始点和终止点是面向客户的,其内部技术构成、实施和管理对×××客户可见。需要客户和隧道服务器(或网关)方安装隧道软
(2)服务器发起(也称客户透明方式或基于网络的):在公司中心部门或ISP处(POP、Point of presence)安装×××软件,客户无须安装任何特殊软件。主要为ISP提供全面
在上面介绍的隧道协议中,目前MPLS只能用于服务器发起的×××方式。
根据服务类型,×××业务大致分为三类:接入×××(Access ×××)、内联网×××(Intranet ×××)和外联网×××(Extranet ×××)。通常情况下内联网×××是专线×××。
(1)接入×××:这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的×××方式。远程用户一般是一台计算机,而不是网络,因此组成的×××是一种主机到网络的
(2)内联网×××:这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的×××。
(3)外联网×××:这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的×××(
营运×××业务的企业;既可以自行建设他们的×××网络,也可以把此业务外包给×××商。这是客户和ISP最关心的问题。
(1)自建×××:这是一种客户发起的×××。企业在驻地安装×××的客户端软件,在企业网边缘安装×××网关软件,完全独立于营运商建设自己的×××网络,运营商不需要做任何对
(2)外包×××:企业把×××服务外包给运营商,运营商根据企业的要求规划、设计、实施和运维客户的×××业务。企业可以因此降低组建和运维×××的费用,而运营商也可以因此
这是根据ISP向用户提供的×××服务工作在第几层来划分的(注意不是根据隧道协议工作在哪一层划分的)。
(1)拨号×××业务(VPDN):这是第一种划分方式中的VPDN(事实上是按接入方式划分的,因为很难明确VPDN究竟属于哪一层)。
(2)虚拟租用线(VLL):这是对传统的租用线业务的仿真,用IP网络对租用线进行模拟,而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。
(3)虚拟专用路由网(VPRN)业务:这是对第三层IP路由网络的一种仿真。可以把VPRN理解成第三层×××技术。
(4)虚拟专用局域网段(VPLS):这是在IP广域网上仿真LAN的技术。可以把VPLS理解成一种第二层×××技术。
接入方式 拨号×××(VPDN) 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的×××业务
专线××× 为已经通过专线接入ISP边缘路由器的用户提供的×××业务
协议层 应用层 S/MIME、Kerberose、IPSec(ISAKMP)
传输层 SSL/TLS、SOCKS
IP层 用户数据在协议栈的第三层被封装,如IPSec(AH和ESP)
第二层隧道 用户数据在协议栈的第二层被封装,如L2TP、PPTP、L2F和MPLS
隧道的
发起方式 客户发起 基于客户的×××。隧道的起始点和终止点是面向客户的,其内部技术构成、实施和管理都由×××客户负责
服务器(网络)发起 ISP提供并管理的×××服务,服务提供的起始点和终止点是ISP的呈现点(POP),其内部构成、实施和管理都由ISP负责
业务类型 接入××× 企业员工或企业的小分支机构通过公网远程拨号等方式构筑的×××
内联网××× 企业总部与分支机构LAN之间通过公网构筑的×××
外联网××× 企业发生收购、兼并或企业间建立战略联盟后,不同企业间通过公网构筑的×××
承建和
运维主体 企业自建 基于客户的×××。隧道的起始点和终止点是面向客户的,其内部技术构成、实施和管理都由×××客户负责
外包 基于网络 ISP提供并管理的×××服务,服务提供的起始点和终止点是ISP的呈现点(POP),其内部构成、实施和管理都由ISP负责
托管方式 ×××设备位于用户一侧。运营商负责安装、配置和监视、维护设备的运转情况
服务在网络中的层次 VPDN 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的×××业务
VLL 对传统的租用线业务的仿真
VRPN 是对第三层IP路由网络的一种仿真
VPLS 是在IP广域网上仿真LAN的技术
×××的基本配置
发布时间:2009-5-12 13:02:27 发布人:fengyifan
×××的基本配置
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正常初始化之后,将会在较
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识×××规则。
Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是***1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果***者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set ***1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个×××的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
思科CISCO PIX配置大全
发布时间:2009-5-13 14:50:17 发布人:fengyifan
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用
注意:2个接口的防火墙是没有停火区的。
非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级
Pix525(config)#nameif pix/intf3 security40 (安全级别任取)
Pix525(config)#interface ethernet0 auto (auto选项表明系统自适应网卡类型 )
Pix525(config)#interface ethernet1 100full (100full选项表示100Mbit/s以太网全双工通信 )
Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown )
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
表示允许icmp消息向内部和外部通过。
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3-
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在
PIX上实现×××步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务:
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用"ping"命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。
步骤1:用"isakmp enable"命令来启用或关闭IKE;
步骤2:用"isakmp policy"命令创建IKE策略;
步骤3:用"isakmp key"命令和相关命令来配置预共享密钥;
步骤4:用"show isakmp [policy]"命令来验证IKE的配置。
步骤1:用access-list命令来配置加密用访问控制列表; 例如: access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr
步骤2:用crypto ipsec transform-set 命令配置变换集; 例如: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 3. 步骤3:(
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上; 6. 步骤6:用各种可用的show命令来验证IPSec的配置。
该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障?
样例:
PIX 1的配置:
!configure the IP address for each PIX Firewall interface
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
!creates a global pooll on the outside interface,enables NAT.
!windows NT server
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
!Crypto access list specifiles between the global and the inside server beind PIX Firewalls is encrypted ,The source and destination IP address are the
Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
!The conduit permit ICMP and web access for testing.
Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
!Enable IPSec to bypass access litst,access ,and confuit restrictions
syspot connnection permit ipsec
!Defines a crypto map transform set to user esp-des
crypto ipsec transform-set pix2 esp-des
crypto map peer2 10 ipsec-isakmp!
ip address inside 192.168.1.1 255.255.255.0
!
global (outside) 1 202.105.113.195-202.105.113.200
global (outside) 1 202.105.113.201
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 202.105.113.203 192.168.1.10 netmask 255.255.255.255 0 0
static (inside,outside) 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0
conduit permit icmp any any conduit permit tcp host 202.105.113.203 eq www any
conduit permit tcp host 202.105.113.203 eq ftp any
conduit permit tcp host 202.105.113.205 eq smtp any
conduit permit tcp host 202.105.113.205 eq pop3 any
!
route outside 0.0.0.0 0.0.0.0 202.105.113.193 1
route inside 0.0.0.0 0.0.0.0 192.168.1.1
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside。Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip
注释同例1。
通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。
表示允许icmp消息向内部和外部通过。
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3-
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123.com ------ 本地的一个域名服务器123.com,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在