現有設備︰CISCO路由器2620XM(4台)和2621XM(5台),3750三層交換機,PIX-515E防火牆,CISCO2950二層交換機(9台)
重點命令︰有安全,控制,監控,監測和檢測功能的命令集合和命令組合
一、兩層交換機
1、基本配置
(1)設置VLAN1的IP地址,掩碼︰
配置︰
sw itch#config terminal
(config)#interface vlan1 !進入到要配置IP的接口
(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) !設置參數
驗證︰
(config-if)#exit
switch#show interface vlan1
保存設置︰
switch#copy running-config startup-config
(2)劃分VLAN
配置︰
switch#vlan database(還有一種方法) !創建一個VLAN
switch#vlan 2
switch#exit
switch#config terminal
one port:
(config)#interface fastethernet0/0 !進入到要被劃分的端口
(config-if)#switchport access vlan 2 !劃分到一個VLAN
multiports:
(config)#interface range fastethernet0/0 -7 !進入到要被集體劃分的端口
(config-if)#switchport access vlan 2 !劃分到一個VLAN
驗證︰
switch#show vlan
保存︰
switch#copy running-config startup-config
(3)設置trunk
配置︰
switch#config terminal
(config)#interface gigabitethernet0/1 !進入要配置成干道的接口
(config-if)#switchport mode trunk !設置成干道
驗證︰
switch#show interface trunk
保存︰
switch#copy running-config startup-config
(4)連接路由器
如果交換機上有多個VLAN,則所連的路由器接口就必須有多個IP地址。要用子接口設置多IP地址。連接到路由器上的接口要被設置成trunk,並且要封裝干道協議︰ISL,或者802.1Q。
配置交換機︰
switch#config terminal
(config)#interface gigabitethernet0/1
(config-if)#switchport mode trunk !配置成干道,將自動封裝802.1q協議
配置路由器︰
router#config terminal
(config)#interface fastethernet0/0.2 !進入子接口2
(config-subif)#encapsulation dot1q 2 !子接口對應VLAN2,並封裝dot1q協議
(config-subif)#ip address 10.1.20.1 255.255.255.0 !配置了10.1.20.0/24網段的網關
確認︰
router#show interface fastethernet0/0
不同VLAN下的主機可以相互ping通,則配置成功。
保存配置
(5)連接交換機
同種類型的網絡設備相連要使用交叉線。交換機使用交叉線相連後,將會自動將兩端設置成干道。
2、VTP(VLAN Trunk Protocol)
(1) 作用︰
允許用戶集中管理網絡中交換機的配。VTP是一種消息協議,可以對整個網絡內的VLAN的添加、刪除和重命名操作進行管理,以此維護VLAN配置的一致性。
(2) 工作方式
確定一條交換機為VTP服務器。
可以在服務器上更改VLAN的配置,並把該配置傳播到網絡中的所有VTP客戶機。
當交換機配置成VTP客戶機之後,就不能物理地改變該交換機的VLAN配置。
唯一可以更改VLAN配置的方法是當且僅當VTP客戶端交換機接收到來自其VTP服務器的VTP更新信息時,才能更改。
多台VTP服務器管理不同的VTP客戶機,必須指定一個VTP域。服務器和客戶機在各自的域內。
二、路由器
1、基本配置
(1)以太網口配置
注︰路由器以太網口直接接主機用交叉線。
(2)串口配置
(3)配置靜態路由
(4)配置動態路由協議
(5)配置訪問控制列表(ACL)**
(6)路由器互聯
2、問題
(1)無法配置靜態路由,出現“Default gateway is not set ….. ICMP redirect cache is empty”
原因︰IP路由被禁用
解決︰(config)#ip routing
(2)與其他設備的接口狀態上,”protocol down”
可能的原因︰雙絞線的接線類型不對
解決︰換成直通線或者交叉線。
三、三層交換機
1、基本配置
(1)配置IP
手工配置︰
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
確認配置︰
#show interface vlan vlan-id
#show ip redirects !確認默認網關配置
保存︰#copy running-config startup-config
使用DHCP配置
(2)使不同VLAN互聯
(3)配置某個端口為trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk
(4)默認路由及路由協議的設定
問題
(1)多個子網連接到三層交換機,交換機上設定了每個子網對應的網關地址,交換機通過router連接到其他的網絡或者區域。三層switch和router上相同網段的地址無法相互ping 通。如︰3750上有192.168.8.254(VLAN1),192.168.16.254(VLAN2),192.168.24.254(VLAN3);router上有192.168.8.1,192.168.16.1,192.168.24.1。
現象︰192.168.8.254 可以ping通192.168.8.1,但是.16.和.24.網段的無法ping通。
原因︰router接到switch上的接口沒有設置成trunk。
四、防火牆
CISCO PIX系列屬于狀態檢測防火牆。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.
1、特點
(1)自適應安全算法(ASA)
創建狀態會話流表(state table)。各種連接信息都被記錄進表中。
ASA吤B桓 凶刺 嫦蛄 擁墓蹋 謐刺 碇形 只嶧靶畔 τ枚宰刺 淼陌踩 唄岳純僕 闌鵯降乃辛髁俊BR>連接狀態包括︰源/目的IP,源/目的端口,TCP順序信息,附加的TCP/UDP標記。應用一個隨機產生的TCP順序號。總稱為“會話對象”。
內部不主動發出數據,要求響應,外部的數據就無法進入內部了嗎。
PIX中ASA和狀態過濾的工作機制︰
a、 內部主機開始一個對外部資源的連接
b、 PIX在狀態表中寫入一個會話(連接)對象
c、 會話對象同安全策略相比較。如果連接不被允許,此會話對象被刪除,並且連接被取消
h、 如果安全策略認可這個連接,此連接繼續向外部資源發送
j、 外部資源響應這個請求
k、 響應信息到達防火牆,與會話對象比較。匹配則響應信息被發送到內部主機,不匹配則連接就會被取消。
(2)貫穿式代理
認證和授權一個防火牆上輸入/輸出的連接。
它在應用層完成用戶認證,依照安全策略檢驗授權。當安全策略授權時打開這個連接。這個連接後面的流量不再在應用層處理,而是進行狀態檢測。
(3)冗余
2、基本配置
配置完基本參數後,發現從PIX上可以ping通內網和外網的地址。但是內外網的主機無法相互ping通。內網主機無法ping通PIX外口。但是,內網主機可以訪問外網的服務器。(可能原因︰PIX默認關閉ICMP響應??)
基本配置命令︰interface , nameif , ip address , nat , global , route
(1)激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto !外口必須用命令激活
(2)命名端口和安全級別
(config)#nameif ethernet1 inside security0
(config)#nameif ethernet0 outside security100
(3)配置內外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0
(4)配置NAT和PAT
(config)#nat (inside) 1 0 0 !所有的內口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
測試配置︰
ping
debug
(5)DMZ的訪問
(6)轉換表的操作
show xlate 顯示轉換表的信息
clear xlate 每次重建轉換表要運行,以清除原有的轉換槽,否則原信息將在超時(3小時)後才被丟棄
show conn 查找連接故障,為選擇的特定選項顯示所有活動的TCP連接的數量和狀態
可以更改轉換表的操作︰
nat ,global ,static ,route,alias,conduit
(7)配置網絡時間協議(NTP)
NTP server與PIX的關系
(8)訪問配置
經由PIX的入站訪問
step1︰靜態網絡地址轉換
靜態網絡地址轉換,不節省已經分配的IP地址
static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]
設定一個內部地址到一個外部地址的映射
(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255
或者一個內部網絡到一個外部網絡的映射
(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0
靜態端口地址轉換,不支持H.323或者多媒體應用流量
static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]
沒有留言:
張貼留言