分享
 
 
 

基础入门:Cisco配置手记

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

现有设备:CISCO路由器2620XM(4台)和2621XM(5台),3750三层交换机,PIX-515E防火墙,CISCO2950二层交换机(9台)

重点命令:有安全,控制,监控,监测和检测功能的命令集合和命令组合

一、两层交换机

1、基本配置

(1)设置VLAN1的IP地址,掩码:

配置:

sw

itch#config terminal

(config)#interface vlan1 !进入到要配置IP的接口

(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) !设置参数

验证:

(config-if)#exit

switch#show interface vlan1

保存设置:

switch#copy running-config startup-config

(2)划分VLAN

配置:

switch#vlan database(还有一种方法) !创建一个VLAN

switch#vlan 2

switch#exit

switch#config terminal

one port:

(config)#interface fastethernet0/0 !进入到要被划分的端口

(config-if)#switchport Access vlan 2 !划分到一个VLAN

multiports:

(config)#interface range fastethernet0/0 -7 !进入到要被集体划分的端口

(config-if)#switchport access vlan 2 !划分到一个VLAN

验证:

switch#show vlan

保存:

switch#copy running-config startup-config

(3)设置trunk

配置:

switch#config terminal

(config)#interface gigabitethernet0/1 !进入要配置成干道的接口

(config-if)#switchport mode trunk !设置成干道

验证:

switch#show interface trunk

保存:

switch#copy running-config startup-config

(4)连接路由器

假如交换机上有多个VLAN,则所连的路由器接口就必须有多个IP地址。要用子接口设置多IP地址。连接到路由器上的接口要被设置成trunk,并且要封装干道协议:ISL,或者802.1Q。

配置交换机:

switch#config terminal

(config)#interface gigabitethernet0/1

(config-if)#switchport mode trunk !配置成干道,将自动封装802.1q协议

配置路由器:

router#config terminal

(config)#interface fastethernet0/0.2 !进入子接口2

(config-subif)#encapsulation dot1q 2 !子接口对应VLAN2,并封装dot1q协议

(config-subif)#ip address 10.1.20.1 255.255.255.0 !配置了10.1.20.0/24网段的网关

确认:

router#show interface fastethernet0/0

不同VLAN下的主机可以相互ping通,则配置成功。

保存配置

(5)连接交换机

同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后,将会自动将两端设置成干道。

2、VTP(VLAN Trunk Protocol)

(1) 作用:

答应用户集中治理网络中交换机的配。VTP是一种消息协议,可以对整个网络内的VLAN的添加、删除和重命名操作进行治理,以此维护VLAN配置的一致性。

(2) 工作方式

确定一条交换机为VTP服务器。

可以在服务器上更改VLAN的配置,并把该配置传播到网络中的所有VTP客户机。

当交换机配置成VTP客户机之后,就不能物理地改变该交换机的VLAN配置。

唯一可以更改VLAN配置的方法是当且仅当VTP客户端交换机接收到来自其VTP服务器的VTP更新信息时,才能更改。

多台VTP服务器治理不同的VTP客户机,必须指定一个VTP域。服务器和客户机在各自的域内。

二、路由器

1、基本配置

(1)以太网口配置

注:路由器以太网口直接接主机用交叉线。

(2)串口配置

(3)配置静态路由

(4)配置动态路由协议

(5)配置访问控制列表(ACL)**

(6)路由器互联

2、问题

(1)无法配置静态路由,出现“Default gateway is not set ….. ICMP redirect cache is empty”

原因:IP路由被禁用

解决:(config)#ip routing

(2)与其他设备的接口状态上,”protocol down”

可能的原因:双绞线的接线类型不对

解决:换成直通线或者交叉线。

三、三层交换机

1、基本配置

(1)配置IP

手工配置:

(config)#interface vlan vlan-id

(config-if)#ip address ip-address subnet-mask

(config-if)#exit

(config)#ip default-gateway ip-address

确认配置:

#show interface vlan vlan-id

#show ip redirects !确认默认网关配置

保存:#copy running-config startup-config

使用DHCP配置

(2)使不同VLAN互联

(3)配置某个端口为trunk

(config)#interface fastethernet1/0/23

(config-if)#switchport encapsultion dot1q

(config-if)#switchport mode trunk

(4)默认路由及路由协议的设定

问题

(1)多个子网连接到三层交换机,交换机上设定了每个子网对应的网关地址,交换机通过router连接到其他的网络或者区域。三层switch和router上相同网段的地址无法相互ping 通。如:3750上有192.168.8.254(VLAN1),192.168.16.254(VLAN2),192.168.24.254(VLAN3);router上有192.168.8.1,192.168.16.1,192.168.24.1。

现象:192.168.8.254 可以ping通192.168.8.1,但是.16.和.24.网段的无法ping通。

原因:router接到switch上的接口没有设置成trunk。

四、防火墙

CISCO PIX系列属于状态检测防火墙。

Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an eXPlicit configuration in memory.

1、特点

(1)自适应安全算法(ASA)

创建状态会话流表(state table)。各种连接信息都被记录进表中。

ASA是一个有状态、面向连接的过程,它在状态表中维持会话信息,应用对状态表的安全策略来控制通过防火墙的所有流量。

连接状态包括:源/目的IP,源/目的端口,TCP顺序信息,附加的TCP/UDP标记。应用一个随机产生的TCP顺序号。总称为“会话对象”。

内部不主动发出数据,要求响应,外部的数据就无法进入内部了吗。

PIX中ASA和状态过滤的工作机制:

a、 内部主机开始一个对外部资源的连接

b、 PIX在状态表中写入一个会话(连接)对象

c、 会话对象同安全策略相比较。假如连接不被答应,此会话对象被删除,并且连接被取消

h、 假如安全策略认可这个连接,此连接继续向外部资源发送

j、 外部资源响应这个请求

k、 响应信息到达防火墙,与会话对象比较。匹配则响应信息被发送到内部主机,不匹配则连接就会被取消。

(2)贯穿式代理

认证和授权一个防火墙上输入/输出的连接。

它在应用层完成用户认证,依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理,而是进行状态检测。

(3)冗余

2、基本配置

配置完基本参数后,发现从PIX上可以ping通内网和外网的地址。但是内外网的主机无法相互ping通。内网主机无法ping通PIX外口。但是,内网主机可以访问外网的服务器。(可能原因:PIX默认关闭ICMP响应??)

基本配置命令:interface , nameif , ip address , nat , global , route

(1)激活以太端口

firewell#config terminal

(config)#interface ethernet0 auto

(config)#interface ethernet1 auto !外口必须用命令激活

(2)命名端口和安全级别

(config)#nameif ethernet1 inside security0

(config)#nameif ethernet0 outside security100

(3)配置内外口

firewell#config terminal

(config)#ip address inside 192.168.1.1 255.255.255.0

(config)#ip address outside 222.20.16.1 255.255.255.0

(4)配置NAT和PAT

(config)#nat (inside) 1 0 0 !所有的内口地址都

(config)#nat (inside) 2 192.168.8.0 255.255.255.0

(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0

测试配置:

ping

debug

(5)DMZ的访问

(6)转换表的操作

show xlate 显示转换表的信息

clear xlate 每次重建转换表要运行,以清除原有的转换槽,否则原信息将在超时(3小时)后才被丢弃

show conn 查找连接故障,为选择的特定选项显示所有活动的TCP连接的数量和状态

可以更改转换表的操作:

nat ,global ,static ,route,alias,conduit

(7)配置网络时间协议(NTP)

NTP server与PIX的关系

(8)访问配置

经由PIX的入站访问

step1:静态网络地址转换

静态网络地址转换,不节省已经分配的IP地址

static [( prenat_interface,postnat_interface)] {mapped_address interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]

设定一个内部地址到一个外部地址的映射

(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255

或者一个内部网络到一个外部网络的映射

(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0

静态端口地址转换,不支持H.323或者多媒体应用流量

static [(internal_if_name,external_if_name)] {tcpudp} {global_ip interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]

QQRead.com 推出数据恢复指南教程 数据恢复指南教程

数据恢复故障解析

常用数据恢复方案

硬盘数据恢复教程

数据保护方法

数据恢复软件

专业数据恢复服务指南

step2:访问列表/管道

访问列表的工作基于首次匹配,所以对于入站访问而言,必须先拒绝后许可

access-list id action protocol source_address s_mask s_port destination_address d_mask d_port

access-list设定了规则,但是要用access-group将规则设定到一个界面上,一个界面只能设一个规则。

access-group ID in interface interface_name

source_address:是lower security level interface/network

destination address:higher security level interface/network

source and destination address 都是全局地址,这样才有可比性,并且 ACL一般设在lower security level interface

假如ACL设置在higher security level interface,则会控制高级到低级的数据流

access-list中的source_address是指的在access-group中设定ACL规则作用的接口

例子:限制内部用户对位于端口80的一个外部网络服务器的访问

(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www

(config)#access-list acl_in permit ip any any

(config)#access-group acl_in in interface inside

ASA applies to the dynamic translation slots and static translation slots.

Create static translation slots with the static command

Create dynamic translation slots with the global command

对象分组

[no] object-group object-type grp-id

network对象类型:

(config)#object-group network web-servers !设定分组名称

(config-network)#description Public web servers !分组描述

(config-network)#network-object host 192.168.1.12 !添加分组对象

(config-network)#network-object host 192.168.1.14 !添加分组对象

(config-network)#network-object host mis.web.server4 !添加分组对象

(config-network)#exit

(config)#access-list 102 permit tcp any object-group web_servers eq www

(config)#access-group 102 in interface outside

显示配置的对象分组:

show access-group

protocol 对象类型:

进入对象配置接口:object-group protocol grp-id

(config-protocol)#protocol-object tcp !添加分组成员

service对象类型:

进入对象配置接口:object-group service obj_grp_id tcp udp tcp-udp

(config)#object-group service mis_service tcp

(config-service)#port-object eq FTP !eq service将一个单独的端口号加入

(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入

icmp-type对象类型:

进入对象配置接口:object-group icmp-type icmp_test

(config-icmp-type)#icmp-object 0

(config-icmp-type)#icmp-object 3

(config-icmp-type)#icmp-object 8

fixup命令

实例与测试

总结

1.Higher security level -> lower security level时,只要配置NAT,global或者static就可以使内部主机主动访问外部server。

2.Lower security level->higher security level时,要配置:access-list + access-group才能使外部主机主动访问内部server。在多个端口上配置access-list,会影响前面的配置。

3.要注重主机上的网关参数的设定。网关上应该设定默认路由,默认路由应该是接出局域网的上层设备的接口地址。

五、IP电话

1、常用术语和缩写

PBX:private branch (telephone) exchange,专用分组交换机

IVR:interactive Voice Responder,交互式语音应答器

ACD:自动呼叫分配器

CTI:计算机电话集成

六、VPN

七、网络性能

1、应用响应时间

(1)应用响应网络变化的速度

(2)网络响应网络拥塞并改变自身链接速度的时间

2、设备性能

(1)单个网络设备的极限

设备性能测量:

错误、丢弃:

CPU使用率:

吞吐量(每秒包):

3、协议性能

设备动态操作能力(验证路由选择和生成树协议STP动态的处理问题):

4、可扩展性

拓扑:

寻址:答应路由汇总

路由选择协议:

5、可用性

设备冗余:

链路冗余:

协议弹性:

网络容量设计:发生冗余链路失效时的扩展

八、网络安全

1、周边安全

控制访问网络入口点和出口点

2、安全连接

VPNs(虚拟专用网)

3、应用安全

服务器安全:

应用程序安全:

4、身份验证

安全认证和授权

5、安全治理和监控

安全资源集中治理:

未授权活动的侦测:

九、网络结构

1、三层式模式

(1)核心层(Core layer):只有一个目标――交换包。核心层不做任何通信控制(如访问控制于过滤),此层上的每个设备都应该能够知道到达目标网络的路径。

核心层路由器:主要功能是对所有接入的路径提供最优化服务(好用与可靠的网络)。路径通往不同的工作站和逻辑群组。其首先考虑的是可靠性,要设计成具有容错能力。适用的CISCO路由器为7000和12000系列。

(2)分布层(Distribution layer):主要任务是提供连接到互联网中不同的部分,以及提供到不同服务处的访问功能。如校园网络的骨干。分布层是实施治理基于策略的连接(Policy-based Connectivity)的层次。

分布层路由器:控制使用位于核心层的网络资源,必须有效利用带宽,确保服务质量。主要考虑能够选择到不同位置的最优路径。适用的CISCO路由器为3000和4000系列。

(3)访问层(Access layer):为工作组提供组织内的各种资源,并且可以治理网络流量与过滤用户,以符合特定用户群的需求。

访问层路由器:将广播和请求服务的流量区域化,局限流量在访问层的媒体上,控制通信流量。主要考虑经济性和有效性,过滤不必要的流量,保证服务端与客户端的通信简单流畅。适用的CISCO路由器为1700和2600系列。

2、可扩展型网络的主要特点

(1)可靠

核心层路由器通过选择新的路径和对网络拓扑结构改变的迅速反应,来适应部分网段失效的情况。Cisco IOS所支持的加强可靠度和随时可用性的协议包括:具有可扩充性的路由协议、路由通道和拨号备份路径。

具有可扩充性的路由协议:OSPF(Open Shortest Path First),NLSP(NetWare Link Services Protocol),EIGRP(Enhanced Interior Gateway Routing Protocol)。这些协议具有:可通达各网络,快速的收敛时间和阻塞控制。

(2)替代路径

增加物理上的冗余线路不是一个最有效的解决方法。成本高又无法控制链路中断的问题。路由器使用可扩充性的路由协议来维护一张整个网络的拓扑图。当发现问题时,路由器重新选择新的路径来转送包。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有