2008年4月20日 星期日

基礎入門︰Cisco配置手記

現有設備︰CISCO路由器2620XM(4台)和2621XM(5台),3750三層交換機,PIX-515E防火牆,CISCO2950二層交換機(9台)
重點命令︰有安全,控制,監控,監測和檢測功能的命令集合和命令組合

一、兩層交換機

1、基本配置
(1)設置VLAN1的IP地址,掩碼︰

配置︰
sw itch#config terminal
(config)#interface vlan1 !進入到要配置IP的接口
(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) !設置參數
驗證︰
(config-if)#exit
switch#show interface vlan1
保存設置︰
switch#copy running-config startup-config

(2)劃分VLAN
配置︰
switch#vlan database(還有一種方法) !創建一個VLAN
switch#vlan 2
switch#exit
switch#config terminal
one port:
(config)#interface fastethernet0/0 !進入到要被劃分的端口
(config-if)#switchport access vlan 2 !劃分到一個VLAN
multiports:
(config)#interface range fastethernet0/0 -7 !進入到要被集體劃分的端口
(config-if)#switchport access vlan 2 !劃分到一個VLAN
驗證︰
switch#show vlan
保存︰
switch#copy running-config startup-config

(3)設置trunk
配置︰
switch#config terminal
(config)#interface gigabitethernet0/1 !進入要配置成干道的接口
(config-if)#switchport mode trunk !設置成干道
驗證︰
switch#show interface trunk
保存︰
switch#copy running-config startup-config

(4)連接路由器
如果交換機上有多個VLAN,則所連的路由器接口就必須有多個IP地址。要用子接口設置多IP地址。連接到路由器上的接口要被設置成trunk,並且要封裝干道協議︰ISL,或者802.1Q。
配置交換機︰
switch#config terminal
(config)#interface gigabitethernet0/1
(config-if)#switchport mode trunk !配置成干道,將自動封裝802.1q協議
配置路由器
router#config terminal
(config)#interface fastethernet0/0.2 !進入子接口2
(config-subif)#encapsulation dot1q 2 !子接口對應VLAN2,並封裝dot1q協議
(config-subif)#ip address 10.1.20.1 255.255.255.0 !配置了10.1.20.0/24網段的網關
確認︰
router#show interface fastethernet0/0
不同VLAN下的主機可以相互ping通,則配置成功。
保存配置

(5)連接交換機
同種類型的網絡設備相連要使用交叉線。交換機使用交叉線相連後,將會自動將兩端設置成干道。

2、VTP(VLAN Trunk Protocol)
(1) 作用︰
允許用戶集中管理網絡中交換機的配。VTP是一種消息協議,可以對整個網絡內的VLAN的添加、刪除和重命名操作進行管理,以此維護VLAN配置的一致性。
(2) 工作方式
確定一條交換機為VTP服務器。
可以在服務器上更改VLAN的配置,並把該配置傳播到網絡中的所有VTP客戶機。
當交換機配置成VTP客戶機之後,就不能物理地改變該交換機的VLAN配置。
唯一可以更改VLAN配置的方法是當且僅當VTP客戶端交換機接收到來自其VTP服務器的VTP更新信息時,才能更改。
多台VTP服務器管理不同的VTP客戶機,必須指定一個VTP域。服務器和客戶機在各自的域內。

二、路由器
1、基本配置

(1)以太網口配置
注︰路由器以太網口直接接主機用交叉線。
(2)串口配置
(3)配置靜態路由
(4)配置動態路由協議
(5)配置訪問控制列表(ACL)**
(6)路由器互聯

2、問題
(1)無法配置靜態路由,出現“Default gateway is not set ….. ICMP redirect cache is empty”
原因︰IP路由被禁用
解決︰(config)#ip routing

(2)與其他設備的接口狀態上,”protocol down”
可能的原因︰雙絞線的接線類型不對
解決︰換成直通線或者交叉線。

三、三層交換機
1、基本配置

(1)配置IP
手工配置︰
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
確認配置︰
#show interface vlan vlan-id
#show ip redirects !確認默認網關配置
保存︰#copy running-config startup-config
使用DHCP配置

(2)使不同VLAN互聯

(3)配置某個端口為trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk

(4)默認路由及路由協議的設定
問題
(1)多個子網連接到三層交換機,交換機上設定了每個子網對應的網關地址,交換機通過router連接到其他的網絡或者區域。三層switch和router上相同網段的地址無法相互ping 通。如︰3750上有192.168.8.254(VLAN1),192.168.16.254(VLAN2),192.168.24.254(VLAN3);router上有192.168.8.1,192.168.16.1,192.168.24.1。
現象︰192.168.8.254 可以ping通192.168.8.1,但是.16.和.24.網段的無法ping通。
原因︰router接到switch上的接口沒有設置成trunk。

四、防火牆
CISCO PIX系列屬于狀態檢測防火牆。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.

1、特點
(1)自適應安全算法(ASA)
創建狀態會話流表(state table)。各種連接信息都被記錄進表中。
ASA吤B桓 凶刺  嫦蛄 擁墓蹋 謐刺 碇形 只嶧靶畔  τ枚宰刺 淼陌踩 唄岳純僕 闌鵯降乃辛髁俊BR>連接狀態包括︰源/目的IP,源/目的端口,TCP順序信息,附加的TCP/UDP標記。應用一個隨機產生的TCP順序號。總稱為“會話對象”。

內部不主動發出數據,要求響應,外部的數據就無法進入內部了嗎。
PIX中ASA和狀態過濾的工作機制︰
a、 內部主機開始一個對外部資源的連接
b、 PIX在狀態表中寫入一個會話(連接)對象
c、 會話對象同安全策略相比較。如果連接不被允許,此會話對象被刪除,並且連接被取消
h、 如果安全策略認可這個連接,此連接繼續向外部資源發送
j、 外部資源響應這個請求
k、 響應信息到達防火牆,與會話對象比較。匹配則響應信息被發送到內部主機,不匹配則連接就會被取消。

(2)貫穿式代理
認證和授權一個防火牆上輸入/輸出的連接。
它在應用層完成用戶認證,依照安全策略檢驗授權。當安全策略授權時打開這個連接。這個連接後面的流量不再在應用層處理,而是進行狀態檢測。

(3)冗余

2、基本配置

配置完基本參數後,發現從PIX上可以ping通內網和外網的地址。但是內外網的主機無法相互ping通。內網主機無法ping通PIX外口。但是,內網主機可以訪問外網的服務器。(可能原因︰PIX默認關閉ICMP響應??)

基本配置命令︰interface , nameif , ip address , nat , global , route


(1)激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto !外口必須用命令激活

(2)命名端口和安全級別
(config)#nameif ethernet1 inside security0
(config)#nameif ethernet0 outside security100

(3)配置內外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0

(4)配置NAT和PAT
(config)#nat (inside) 1 0 0 !所有的內口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
測試配置︰
ping
debug

(5)DMZ的訪問

(6)轉換表的操作
show xlate 顯示轉換表的信息
clear xlate 每次重建轉換表要運行,以清除原有的轉換槽,否則原信息將在超時(3小時)後才被丟棄
show conn 查找連接故障,為選擇的特定選項顯示所有活動的TCP連接的數量和狀態
可以更改轉換表的操作︰
nat ,global ,static ,route,alias,conduit

(7)配置網絡時間協議(NTP)
NTP server與PIX的關系

(8)訪問配置
經由PIX的入站訪問

step1︰靜態網絡地址轉換
靜態網絡地址轉換,不節省已經分配的IP地址
static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]
設定一個內部地址到一個外部地址的映射
(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255
或者一個內部網絡到一個外部網絡的映射
(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0
靜態端口地址轉換,不支持H.323或者多媒體應用流量
static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]

沒有留言:

張貼留言