一���、 交換機(jī)、路由器的幾種配置模式及模式轉(zhuǎn)換
(1)用戶模式:登錄到交換機(jī)(路由器)時(shí)會(huì)自動(dòng)進(jìn)入用戶模式��,提示符為 switchname>�����。在該模式下只能夠查看相關(guān)信息, 對(duì) IOS的運(yùn)行不產(chǎn)生任何影響���。
(2)特權(quán)模式: 用戶模式下�����, 鍵入“enable”即可進(jìn)入特權(quán)模式���,提示符為 switchname#。在該模式下可以完成任何操作�����,包括檢查配置文件����、重啟交換機(jī)等,它是命令集在用戶模式下的超集���。
(3)全局配置模式:在特權(quán)模式下鍵入“ config terminal”命令進(jìn)入全局配置模式���,提示符為“ switchname(config)#”。
(4)局部 (子)配置模式:在全局模式下鍵入特定配置命令(如interface ethernet0/1 等),即可進(jìn)入以太網(wǎng)端口等局部配置模式��,提示符為“ switchname(config-xx )”���。該模式用于單獨(dú)對(duì)組件��、端口、進(jìn)程等進(jìn)行配置��。
二�、 基本配置
(1) 口令與主機(jī)名
在全局配置模式下:
hostname
hostname :設(shè)置設(shè)備名稱
usernaeme
usernamepassword password : 設(shè)置訪問用戶及密碼(明文)
password password : 設(shè)置登錄密碼
enable secret
secret : 配置超級(jí)用戶加密口令
(2) IP 地址與網(wǎng)關(guān)設(shè)置
在接口配置子模式下:
ip address
ip_address mask: 設(shè)置端口
ip default-gateway ip_address : 設(shè)置默認(rèn)網(wǎng)關(guān)
(3) 端口配置參數(shù)
Speed 10|100|auto :
設(shè)置端口速率, 10Mb/s��、100Mb/s���、自適應(yīng)
Duplex auto|full|half : 設(shè)置端口通信方式��,有自適應(yīng)����、全雙工�����、半雙工三種
三����、VLAN 的基本配置 (劃分方式����、 配置步驟和基本配置命令)
VLAN 即虛擬局域網(wǎng)��, 是網(wǎng)絡(luò)設(shè)備上連接的不收物理位置限制的用戶的一個(gè)邏輯組����。 VLAN 創(chuàng)建了不限于物理段的單一廣播域, 并可以像一個(gè)子網(wǎng)一樣對(duì)待該廣播域����。
VLAN 的劃分方式:基于端口(靜態(tài)劃分),基于 MAC�����,基于網(wǎng)絡(luò)協(xié)議�,基于 IP 組播,按策略劃分�,非用戶定義或非用戶授權(quán)劃分。
四����、 VTP 協(xié)議與 STP 協(xié)議概念及配置命令
1����、VLAN 中繼協(xié)議(VLAN Trunking Protocol,VTP)是指在同一域的交換機(jī)與交換機(jī) (或者交換機(jī)與路由器) 之間的物理鏈路上傳輸多個(gè) VLAN 信息的技術(shù)��, 通過VTP可以保證整個(gè)網(wǎng)絡(luò) VLAN 信息的一致�。
VTP有三種工作模式:服務(wù)模式( server)、客戶模式 (client)和透明模式( transparent)�。交換機(jī)默認(rèn)工作在 VTP 服務(wù)模式。
Trunk:在路由與交換領(lǐng)域���,Trunk 是指 VLAN 的端口聚合,用來在不同交換機(jī)之間進(jìn)行連接���, 以保證在跨越多個(gè)交換機(jī)上建立的同一個(gè) VLAN 的成員能夠互相通信�����。
2���、生成樹協(xié)議( STP)是一個(gè)數(shù)據(jù)鏈路層的協(xié)議,其主要功能是允許有多條交換或橋接的路徑��, 而不會(huì)對(duì)網(wǎng)絡(luò)造成產(chǎn)生環(huán)路延時(shí)的影響。通常交換機(jī)默認(rèn)的 STP 優(yōu)先級(jí)為 32768��。
五�����、 路由選擇協(xié)議的相關(guān)概念及配置命令
路由器可以用兩種方式進(jìn)行路由選擇�, 即靜態(tài)和動(dòng)態(tài)。 動(dòng)態(tài)選擇協(xié)議又有距離矢量( RIP�、IGMP)、鏈路狀態(tài)路由( OSPF)和混合路由( EIGRP)三種類型���。
路由器的設(shè)置方式:
Console 端口是虛擬操作臺(tái)端口��,通過該端口可直接實(shí)施配置操作���。
AUX 端口是用于遠(yuǎn)程調(diào)試的端口,一般連接在 MODEM 上��,設(shè)備安裝維護(hù)人員通過遠(yuǎn)程撥號(hào)進(jìn)行設(shè)備連接����,實(shí)施設(shè)備的配置。
TTY 端口是異步端口��,僅用于訪問服務(wù)器的異步接口。
VTY 端口接虛擬終端線�,通過路由器的同步端口接入 Telnet 等
連接。
靜態(tài)路由設(shè)置命令:
ip route 目的網(wǎng)絡(luò)地址 子網(wǎng)掩碼 下一跳地址 |接口 [管理距離 ] [tag
tag] [permanent](注: permanent 指定此路由即使該端口關(guān)閉也不被移除)
六�、 路由器網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT 的配置命令
網(wǎng)絡(luò)地址轉(zhuǎn)換 (NAT) 具有將內(nèi)部私有地址轉(zhuǎn)換為外部合法的全局地址的功能,可以分為靜態(tài)地址轉(zhuǎn)換����、動(dòng)態(tài)地址轉(zhuǎn)換和復(fù)用地址三種。
靜態(tài)地址轉(zhuǎn)換是將本地地址與合法地址一對(duì)一的轉(zhuǎn)換�, 且需要制定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。
動(dòng)態(tài)地址轉(zhuǎn)換也是將本地地址與合法地址一對(duì)一的轉(zhuǎn)換�����, 但是動(dòng)態(tài)地址轉(zhuǎn)換是從合法地址池中動(dòng)態(tài)的選擇一個(gè)未使用的地址進(jìn)行轉(zhuǎn)換�。
復(fù)用地址轉(zhuǎn)換也是一種動(dòng)態(tài)地址轉(zhuǎn)換��, 它允許多個(gè)本地地址共用一個(gè)合法地址�,指申請(qǐng)少量的 IP 地址,但經(jīng)常擁有多個(gè)合法地址�����。
七�、 路由訪問控制列表的配置(標(biāo)準(zhǔn) ACL/ 擴(kuò)散ACL��、ACL 的應(yīng)用)
是路由器和交換機(jī)接口的指令列表��,用來控制端口進(jìn)出的數(shù)據(jù)包�。Access-list 用于創(chuàng)建訪問規(guī)則�。
八、 PSTN
公共電話交換網(wǎng)絡(luò)( public switched telephone network)����,其應(yīng)用可分為兩種類型,一種是同等級(jí)別機(jī)構(gòu)之間以按需撥號(hào)(DDR)的方式實(shí)現(xiàn)互聯(lián)����;另一種是 ISP 以撥號(hào)上網(wǎng)的方式為用戶提供遠(yuǎn)程訪問服務(wù)的功能。
全局設(shè)置命令:
基本接口設(shè)置命令:
DDR(dial-on-demand routing)�,(xxx)
九、 ISDN
綜合數(shù)字業(yè)務(wù)網(wǎng)( ISDN)由數(shù)字電話和傳輸服務(wù)兩部分組成�����,一般由電話局提供這種服務(wù)���,基本速率接口提供( 2B+D)信道����,主速率接口( PRI)提供(23B+D)。
十����、 X.25
X.25 定義了數(shù)據(jù)通信的電話網(wǎng)絡(luò),每個(gè)分配給用戶的 X.25 端口
都有一個(gè) X.121 地址�。
十一、 PPP
PPP 提供了跨過同步和異步電路實(shí)現(xiàn)路由器到路由器和主機(jī)到網(wǎng)絡(luò)的連接�; CHAP(Challenge Handsome authentication protocol) 和PAP (password authentication protocol)通常被用于在 PPP封裝的串行線路上提供安全性認(rèn)證。
設(shè)置 DCE 端線路速度: clockrate speed
十二�����、 FR(幀中繼 )
一種用于統(tǒng)計(jì)復(fù)用分組交換數(shù)據(jù)通信的接口協(xié)議����,分組長(zhǎng)度可變,沒有流量控制也沒有糾錯(cuò)�����。
十三����、 VPN
VPN 是通過公用網(wǎng)絡(luò) internet 將分布在不同地點(diǎn)的終端連接而成的專用網(wǎng)絡(luò)�����。
十四、 防火墻
防火墻是一項(xiàng)協(xié)助確保信息安全的設(shè)備��, 會(huì)依照特定的規(guī)則��, 允許或是限制傳輸?shù)臄?shù)據(jù)通過�。 防火墻可以是一臺(tái)專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件
用戶模式: pixfirewall>
特權(quán)模式:鍵入 enable后, pixfirewall#
配置模式:鍵入 config terminal 后��, pixfirewall(config)#
監(jiān)視模式: PIX 防火墻在開機(jī)或重啟過程中����, 按住 escape鍵或發(fā)送一個(gè)“ break”字符,進(jìn)入監(jiān)視模式�����,這里可以更新 OS 映像和口令恢復(fù)�, monitor>。
firewall(config)#firewall enable | disable: 啟動(dòng)或關(guān)閉防火墻
1����、常規(guī)配置
(1) 配置防火墻的名字,并指定安全級(jí)別( nameif)
Firewall(config)# nameif ethernet0 outside security0
Firewall(config)# nameif ethernet0 inside security100
Firewall(config)# nameif ethernet0 dmz security50
外部接口安全級(jí)別是 0�,內(nèi)部接口安全級(jí)別是 100��。安全級(jí)別取值范圍 1-99�,數(shù)字越大安全級(jí)別越高��。添加新的接口:
Firewall(config)# nameif pix/intf3 security40
(2) 配置以太網(wǎng)端口參數(shù) (interface)
Firewall(config)# interface ethernet0 auto #自適應(yīng)網(wǎng)卡類型
Firewall(config)# interface ethernet0 100full #100M/bs 全雙工通信
Firewall(config)# interface ethernet0 100full shutdown#關(guān)閉此端口
(3) 配置內(nèi)外網(wǎng)卡的 IP 地址
Firewall(config)# ip address outside 61.144.51.42 255.255.255.248
Firewall(config)# ip address inside 192.168.1.1 255.255.255.0
2�、網(wǎng)絡(luò)地址轉(zhuǎn)換
(1) 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址 (nat)
nat (if-name) nat-id local-ip [netmask]
if-name:表示內(nèi)網(wǎng)接口的名字,如 inside
nat-id:表示全局地址池��,使它與其相應(yīng)的 global 命令匹配
local-ip: 表示內(nèi)網(wǎng)主機(jī)的 IP 地址����,如 0.0.0.0 表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問
(2)指定外部地址范圍( global)
Global (if-name) nat-id ip_addr-ip_addr [netmask global_mask]
(3)設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由( route)
Route (if-name) 0 0 gateway_ip [metric]
Metric: 表示到 gateway的跳數(shù),通常缺省值是 1
(4)配置靜態(tài) IP 地址翻譯( static)
Static (internal_if_name , external_if_name) outside_ip_addr inside_ip_addr
3����、訪問控制技術(shù)
(1) firewall default 命令
firewall default {permit | deny}: 表示缺省過濾屬性設(shè)置為 “允許”、“禁止”
(2) ip access-group 命令
[no] ip access-group listnumber {in | out}
listnumber 為規(guī)則序號(hào)�, 1-199
in 表示規(guī)則用于過濾從接口上接收來的報(bào)文
out 表示規(guī)則用于過濾從接口上轉(zhuǎn)發(fā)的報(bào)文
no 可以刪除相應(yīng)的設(shè)置和與之相關(guān)的命令
(4) settr 命令
Settr begin-time end-time #用于設(shè)定或取消特殊時(shí)間段
例如設(shè)置時(shí)間段為 8:30-12:00, 14:00-17:00,則
Firewall(config)# settr 8:30 1200 14:00 17:00
(4) show access-list 命令
show access-list [all | listnumber | interface interface-name] #顯示指定的規(guī)則,同時(shí)可查看規(guī)則過濾報(bào)文的情況
(5) show firewall 命令
show firewall #顯示防火墻狀態(tài)
(6) conduit 管道命令
conduit 命令用來允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口����。
conduit permit|deny global_ip port[-port] protocol foreign_ip
[netmask]
global_ip: 指的是先前由 global 或 static 定義的全局ip地址
foreign_ip: 表示可訪問 global_ip 的外部 ip。
port:服務(wù)所用的端口����,如 www 使用 80,smtp 使用 25 等�。
例如:
Firewall(config)# conduit permit icmp any any # 允許 icmp 消息向內(nèi)部和外部通過
(7) 配置 fixup 協(xié)議
Fixup 是啟用、禁止或改變一個(gè)服務(wù)或協(xié)議通過 pix 防火墻����。例如:[no] fixup protocol ftp 21 #啟用ftp協(xié)議,并指定 ftp 的端口號(hào)為 21.
(8) 設(shè)置 Telnet
telnet local-ip [netmask]
local-ip 是被授權(quán)通過 telnet 訪問到 pix 的 ip 地址�����,如果不設(shè)置此項(xiàng)�,則 pix 的配置方式只能由 console進(jìn)行。
