2024年4月8日发(作者:)
网络设备的基本配置
常见连接方式
1、 控制台(console)端口:通过电缆将PC与交换机或路由器的控制台端口相连。
2、 AUX端口:通过设备的AUX端口接Moden,通过电话线与远程PC相连。
3、 Telnet:通过Telnet运程登录配置交换机。
4、 TFTP:预先编辑好配置文件,通过TFTP服务器下载配置信息来进行网络配置。
5、 SNMP:通过运行网管软件来管理交换机的配置。
6、 Web浏览器:管理员可以通过浏览器直观地对网络设备进行配置。
IOS命令模式
1、 用户模式cisco>
在用户模式下,可以看到交换机的连接状态,访问其他网络和主机,但不能看到和更改交换
机的配置内容。
2、 特权模式cisco#
在cisco>提示符下输入enable,交换机进入特权模式cisco#,这时不但可以执行所有的用户命
令,还可以看到和更改交换机的配置内容。
3、 全局配置模式cisco(config)#
在cisco#提示符下输入config terminal,交换机进入全局配置模式,这时可以设置交换机的全
局参数。
4、 局部配置模式cisco(config-XXX)#
在cisco(config)#提示符下通过输入不同的局部配置参数,可以进入不同的局部配置模式
cisco(config-xxx)#,其中XXX可以是if、line、router等。在局部配置模式下可以设置交换机
或路由器的某个局部参数。比如输入interface type slot/number进入端口配置模式cisco
(config-if)#,其中type表示端口类型,slot表示槽位,number表示端口号。
5、 VLAN配置模式cisco(VLAN)#
在cisco#提示符下输入vlan database ,进入VLAN配置模式,这时可以配置交换机的VLAN参
数。
目前大多思科的交换机配置都选择通过在cisco(config)#下输入vlan vlan_num进入VLAN
配置模式cisco(config-vlan)#,同时也创建了相应的VLAN,在些模式下可以对此VLAN进行
参数的设置。
6、 设置对话模式
这是一台新的路由器或交换机开机时自动进入的状态,在特权模式cisco#下输入setup也可
以进入此状态。在设置对话模式下可以通过对话方式对路由器进行设置。
7、 ROM检测模式
该模式的提示符为“>”,前面没有路由器名称。在路由器或交换机开机后60S内按ctrl+break
键即可进入此模式,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。在全
局配置模式下,输入“config-register 0X0”然后关闭电源,重新启动,可以进入ROM检测
模式。
改变模式命令
Enable
Cisco>下输入此命令进入特权模式
Disable
Setup
Config terminal
Cisco#下输入此命令退出特权模式
Cisco#输入此命令进入设置对话模式
Cisco#下输入此命令进入全局配置模式
Interface type slot/number
Line type slot/number
Router protocol
Vlan database
Vlan vlan_num
End或ctrl+z
exit
显示命令
要显示设备的配置和工作状态
Show version
Show running-config
Show startup-confg
Show interface type slot/number
Show ip route
复制命令
要复制系统配置信息
Copy running-config startup-confg
Copy running-config running-config
Copy running-config tftp
Copy tftp running-config
Copy startup-config ttfp
Copy ftfp startup-config
Copy tftp flash
Copy flash tftp
Erase startup-config
reload
网络命令
要登录到远程主机、检测主机、跟踪路由
Telnet{hostname|IP address}
Trace{hostname|IP address}
Ping {hostname|IP address}
Cisco(config)#输入此命令进入端口配置模
式
Cisco(config)#输入此命令进入线路配置模
式
Cisco(config)#输入此命令进入路由配置模
式
Cisco#输入此命令进入VLAN配置模式
Cisco(config)#输入此命令进入VLAN配置
模式
退回特权模式
返回上一级(特权模式下除外)
查看版本及引导信息
查看运行设置
查看开机设置
显示端口信息
显示路由信息
保存配置文件到NVRAM
将配置文件从NVRAM调入内存
保存配置文件到TFTP服务器
将配置文件从TFTP服务器调入内存
保存NVRAM的配置文件到TFTP服务器
将配置文件从TFTP服务器复制到NVRAM
将配置文件或IOS从TFTP服务器复制到flash
将配置文件或IOS从flash复制到TFTP服务器
中
删除配置文件
重新装载系统,调入启动配置文件并逐条执
行配置命令
登录远程主机
路由跟踪
网络侦测
基本设置命令
要设置网络设备的密码、端口地址和一些基本工作参数
Config terminal
全局配置
Enable password pass
Enable secret password
Hostname name
Ip route destination subnet-mask next-hop
Ip routing
Interface type slot/number
Ipaddress address subnet-mask
No shutdown
Line type number
Login[local|tacacs server]
Password pass
设置密码(明文显示)
设置密码(加密显示)
设置设备名称
设置静态路由
启动IP路由
端口设置
设置IP地址
激活端口
物理线路设置
启动登录进程
设置登录密码
交换机/路由器的基本配置
不同的交换机/路由器尽管工作模式不同,但它们都有一些共同的配置方法,这部分配置可
以作为模板来进行最初的配置。下面以交换机为例介绍。
对交换机进行初始配置。
Switch>enable //进入特权模式
Swithc>config terminal //进入全局配置模式
Switch(config)#hostname customer //设置主机名为customer
Customer(config)#enable password cisco //设置特权密码为cisco
Customer(config)#enable secret sisco123 //设置特权加密密码为cisco123
Customer(config)#line console 0 //进入控制台线路配置模式
Customer(config-line)#password cisco123 //设置控制台密码
Customer(config-line)#login //将控制台线路配置为要求登录时提供密码
Customer(config-line)#line vty 0 15 //vty表示虚拟终端端口,共有16个,表示最多允许16
个telnet用户登录
Customer(config-line)#password cisco123 //设置telnet密码为cisco123
Customer(config-line)#login //表示telnet登录时需输入线路本身的密码
Customer(config-line)#exit //退回全局配置模式
Customer(config)#interface f0/1 //进入端口f0/1的配置模式
Customer(config-if)#ip add 192.168.1.5 255.255.255.0 //配置端口的IP地址和子网掩码
Customer(config-if)#no shutdown //激活端口
Customer(config-if)#exit //退回全局配置模式
Customer(config)#ip default-gateway 192.168.1.1 //设置交换机默认网关地址
Customer(config)#end //退回特权模式
Customer(config)#copy run start //保存配置文件
除特权模式外,不论处在哪一级模式,都可以用exit命令回到前一模式。特权模式要回到用
户模式需输入disable命令。
二层端口的配置
交换机端口默认都是二层端口,在支持三层交换的交换机上,可以将某个端口配置成路由端
口(在该端口配置状态下,输入“no switchport命令。” 如果一个端口已经配置为路由端口,
可以在该端口状态下,输入“switchport”命令使其恢复为交换端口。
二层端口配置的相关命令
Config terminal
Interface interface-id
Speed{10|100|1000|autonegotiate}
Duples{auto|full|half}
Show interface[type slot/number]
End
Copy running-configstartup-config
设置端口描述
Interface interface-id
Description
Show interface type slot/number description
配置一组端口
Interface range port-range
Show interface [type slot/number]
三层端口的配置
Interface {type slot/number|vlan vlan-id}
No switchport
Ip address ip_address subnet_mask
Ip default-gateway tw
Ip domain-name dname
Ip name-server nameserver
No shutdown
Show interface [interface-id]
Show in interface [interface-id]
Show running-config interface [interface-id]
监控及维护端口
交换机可以用show命令监控端口和控制器的状态
Show interface [interface-id]
显示所有端口或某一端口状态和配置
Show interface interface-id status[err-disable]
Show interface [interface-id] switchport
显示端口的状态或错误-关闭状态
显示二层端口的状态,可以用来决定此端口
是否为二层或三层端口
进入端口配置状态
设置当前端口为三层端口
配置IP地址和子网掩码
配置交换机的默认网关地址
设置域名
配置DNS服务器
激活端口
验证端口
进入组端口配置状态
验证配置
进入端口配置状态
加入描述(最多240个字符)
验证配置
进入全局配置模式
进入端口配置状态
设置端口速率{10Mbps|100Mbps|1000Mbps|
自适应}
设置通信模式{自动|全双工|半双工}
显示端口配置情况
退回特权模式
保存配置文件
Show interface [interface-id] description
Show ip interface [interface-id]
Show run interface [interface-id]
Show version
端口计数器
端口计数器用来检查端口收发数据包的状态。
Clear counters [interface-id]
Show interface [interface-id] counters
显示端口描述
显示所有或某一端口的IP可用状态
显示当前配置中的端口配置情况
显示软件硬件等情况
清除端口计数器
显示端口计数器
维护MAC地址表
交换机可通过端口收到的数据包来建立源MAC地址与接收端口号的对应关系,由若干个这
种对应关系构成MAC地址表。
维护MAC地址表
Mac-address-table static mac-address vlan
vlan-id interface interface-id
Mac-address-table static mac-address vlan
vlan-id drop
Clear mac-address-table dynamic
Mac-address-table aging-time time
Show mac-address-table
跨交换机的VLAN通信
静态VLAN的配置
常用的VLAN配置命令
使用vlan database命令配置VLAN
静态VLAN的工作原理就是将端口强制性地分配给某个VLAN。
Vlan database
Vlan vlan-id name vlan vlan-name
Switchport mode access
Switchport access vlan vlan-id
No vlan vlan-id
Show interface interface-id switchport
Show interface interface-id trunk
Show vlan name vlan-name
Show vlan id vlan-id
使用config terminal方式配置VLAN
Config terminal
第1步
第2步
Vlan vlan-id
进入VLAN配置模式
创建VLAN并命名
设置端口为接入链路模式
将端口分配给指定VLAN
删除VLAN
显示某个端口的VLAN配置
显示某个端口的trunk配置
查看VLAN配置信息
查看VLAN配置信息
加入静态MAC地址
过滤MAC地址
清除动态MAC地址
配置超时时间
查看整个MAC地址表
进入全局配置模式
创建VLAN
第3步
第4步
Catalyst2950的接口配置模式
Switch mode access
Name vlan-name
Exit
给VLAN命名
退回全局配置模式
将接口(接入端口)设定为永久的非中继模式,并协商将链
路转换为非中继链路。即使邻接端口是中继接口,此接口也
会成为非中继接口。
使得接口主动尝试将链路转换为中继链路。如果邻接的接口
被设为trunk、desireble或者auto模式,此接口也会成为中
继接口。
允许接口将链路转换为中继链路。如果邻接接口被设为trunk
或者desirable模式,此接口会成为中继接口
将接口设为永久中继模式,并协商将链路转换为中继链路。
即使邻接接口不是中继接口,此接口也会成为中继接口
将接口设定为永久的中继或接入模式,但禁止接口产生DTP
帧。要建立中继链路,就必须手工将邻接接口配置为中继接
口。
Switch mode dynamic
desirable
Switch mode dynamic auto
Switch mode trunk
Switchport nonegotiate
VLAN Trunk的配置
VLAN Trunk常用的配置命令
默认情况下,Trunk允许所有的VLAN通过。
Switchport mode trunk
Switchport trunk encapsulation dotl q
Switchport trunk encapsulation isl
Switchport trunk allowed vlan all
Switchport trunk allowed vlan add vlan-list
Switchport trunk allowed vlan remove vlan-list
Switchport trunk native vlan vlan-id
Show interface trunk
VTP的配置
VLAN配置模式下常用的VTP配置命令
Vtp server/client/transparent
Vtp domain domain-name
Vtp password password
Vtp pruning
Show vtp status
使用config terminal方式配置VTP
Vtp mode server/client/transparent
设置当前端口为trunk模式
使用IEEE802.1协议封装trunk
使用ISL协议封装trunk
允许所有VLAN通过trunk
允许某此VLAN通过trunk
禁止某些VLAN通过trunk
指定802.1q本地vlan号
显示vlan trunk 配置
设置为VTP服务器/客户端/透明模式
设置VTP域名
设置VTP口令
启用VTP修剪
查看VTP配置状态
设置为VTP服务器/客户端/透明模式
Vtp domain domain-name
Vtp password password
Vtp pruning
Vtp version version-num
Switchport trunk pruning vlan vlan-ad
Show vtp status
设置VTP域名
设置VTP密码
启用VTP修剪
设置VTP版本
在当前端口上指定要修剪的特定VLAN
查看VTP配置状态
STP的配置
当交换机之间仅有一条trunk线路而VLAN的数量又很大时,trunk链路负载会过重而导致瓶
颈,这时可以设置多个trunk链路。使用STP在不同的trunk链路上实现负载均衡,将不同
VLAN的通信分配到不同的trunk链路上,不仅减轻链路通信负重,同时防止形成网络环路。
STP常用配置命令
[no] spanning-tree vlan vlan-id
Spanning-tree vlan vlan-id port-priority num
Spanning-ree vlan vlan-id cost num
Show spanning-tree
Show spanning-tree summary
Spanning-tree vlan vlan-id root primagy
Show spanning-tree vlan vlan-id detail
Show psanning-tree interface int-id detail
路由器的配置
以太网端口的配置
路由器以太网端口的配置
Interface type
端口设置
slot/number
Ip address address
subnet-mask
No shutdown
设置IP地址
启用/禁用STP
设置生成树的VLAN端口权值
查看生成树的VLAN路径值
查看生成树的配置情况
查看VLAN的生成树配置
为VLAN配置根网桥
查看指定VLAN的生成树详细配置情况
查看生成树指定接口的详细配置情况
Show interfaces [type
[slot_id/]port_id]
Show ip interfaces
[type [slot_id/] port
_id]
显示端口设置情况
显示端口IP配置情况
激活端口
串行端口的配置
同步串行端口的同步时钟信号是由DCE提供的。
常用的路由器串行端口配置命令
Interface type slot/number
Ip address address subnet-mask
Clock rate rate_in _hz
Bandwidth rate_in_kd/s
No shutdown
Show interface [type[slot_id/] port_id]
端口设置
设置IP地址
设置时钟频率(DCE才需要)
设置带宽
激活端口
显示端口配置情况
Show ip interface [type[slot_id/] port_id]
静态路由的配置
路由器静态路由的配置命令
Ip route
Ip route destination_network [mask]
{next-hop_address | exitinterface}
[adminis-trative_distance][permanent]
Show ip route
显示端口IP配置情况
启动路由功能
设置/撤销静态路由
查看路由表信息
默认路由的配置
除了使用静态路由以外,也可以使用默认路由来实现数据包转发。
Ip route 0.0.0.0 0.0.0.0{address |interface}
Ip classless
常用路由器show命令
Show interface [type number]
显示路由器上所有接口的全部统计信息。要
看某一个接口的统计信息,需要在命令中输
入接口类型和编号。比如,router#show
interface serial 1
显示所有接口或某一接口硬件的详细信息。
比如,router#show controllers serial 0/0
显示路由器的时钟
显示主机名和地址的列表
显示连接到路由器上的所有用户
显示被输入的历史命令
显示装载的软件版本的信息,以及硬件和设
备信息
显示路由器地地址解析协议(ARP)表
显示路由器闪存的内容
显示所有配置第三层协议的全局和特定接口
的状态
显示保存在NVRAM中的配置文件
显示当前运行配置文件的内容,如某个接口
的配置,或映射类等信息
显示路由器学到的IP路由
每个接口显示一行的输出,包括IP地址和接
口状态
设置默认路由
启用默认路由
Show interfaces [type number]
Show clock
Show hosts
Show users
Show history
Show version
Show arp
Show flash
Show protocols
Show startup-config
Show running-config
Show ip route
Show ip interface brief
路由协议的配置
路由协议的默认管理距离
0
直接端口
IS-IS 115
静态路由
EIGRP汇总路由
BGP
内部EIGRP
IGRP
OSPF
1
5
20
90
100
110
RIP
EGP
外部EIGRP
内部BGP
未知
120
170
170
200
255
RIP认为跳数少的路径为最优路径。路由器收集所有可达目标网络的路径,从中选择去往同
一个网络所用跳数最少的路径信息,生成路由表。
Router rip
指定使用RIP协议
Version{1|2}
Network network_id
(config-if)#ip rip send version{1|2}
(config-if)#ip rip receive version{1|2}
No auto-summary
Ip rip authentication key-chain
Debug ip rip输出描述
RIP:broadcasting general request on ethernet0
as startup
RIP:bad version 128 from 160.89.80.43
RIP:receive v2 update from 150.100.2.3 on
serial0
RIP:sending v1 update to 255.255.255.255 via
serial0(150.100.2.2)
RIP:ignored v1 packet from 150.100.2.2(illegal
version)
RIP:sending v2 update to 224.0.0.9 via
fastethernet0(150.100.3.1)
RIP:build update entries 150.100.2.0/24 via
0.0.0.0,metric 1,tag0
接口状态变化或用户手工清除路由表
接收到残缺的包
显示发送150.100.2.3的RIP版本
显示串口0上配置了RIPv1
显示路由器没有配置RIPv1
显示配置了RIPv2,正在发送更新
显示使用的默认路由及标签
指定RIP版本(默认为1)
指定与该路由器直接相连的网络
配置一个端口只发送某个版本的RIP分组
配置一个端口只接受某个版本的RIP分组
关闭自动汇总功能
打开认证功能(要在三层端口上设置)
EIGRP协议常用配置命令
在EIGRP路由器内包括:一个相邻路由器表,一个拓扑结构表,一个路由表
Router eigrp autonomous-system
指定使用EIGRP协议
Network address [wildcard-mask][1]
No auto-summary[2]
Ip summary-address eigrp network_id mask
Show ip router
验证EIGRP配置
Show ip eigrp neighbors
Show ip eigrp topology
指定与该路由器直接相连的网络
关闭自动汇总功能
手工汇总
查看路由表信息
显示EIGRP发现的邻居
显示EIGRP的拓扑表。这条命令能够显示拓
扑表、路由的活跃或被动状态、后继路由器
数量、到达目的地的可行距离。可行距离是
到达目的地网络的最佳度量值,通告该路径
的邻居到达本路由器的度量值也包括在内
Show ip route ergrp
Show ip protocols
显示路由表中的EIGRP路由条目
显示目前使用的路由协议进程的参数和状
态。这条命令可以显示EIGRP的AD号、路由
过滤、重分布邻居以及距离的信息
显示EIGRP收到和发出的包数量。这条命令
可以显示hello包、更新、查询、应答和确认
的统计信息
Show ip eigrp traffic
OSPF协议常用配置命令
OSPF是一个适合大型网络规模地基于链路状态算法(L-S算法)的路由协议。
Router ospf process_id
指定使用OSPF协议
Network address wildcard-mask area area_id
指定与该路由器直接相连的网络。
Wildcard-mask 是通配符掩码,用于告诉路由
器如何处理相应的IP地址位。通配符掩码中,
0表示“检查相应的位”,1表示“忽略相应
的位”。在大多数情况下,可以将通过配符掩
码理解为标准掩码的反向
查看路由表信息
将该区域指定为末节区域或绝对末节区域,
area-id是末节/绝对末节区域的标识符,可以
是十进制,也可以是类似于IP地址的点分十
进制格式。若输入no-summary表示禁止将汇
总LSA扩散到绝对末节区域
将该区域指定为非纯末节区域,area-id是非
纯末节区域的标识符、可以是十进制,也可
以是类似于IP地址的点分十进制格式。若输
入no-summary表示禁止外部(5类)LSA和
汇总(3类和4类)LSA进入区域,而用一条
默认路由替代它们。在NSSA ABR上指定关键
字no-summary后,它会自动生成一条默认路
由,并将其通告给NSSA中
显示区域是常规区域、末节区域还是NSSA
查看某端口的OSPF协议路由信息
显示7类LSA更新
显示数据库中每个7类LSA更新细节
配置OSPF虚链路,并指定必要的可选参数,
要删除虚链路,可使用该命令的no格式。
Area-id表示虚链路经过的中转区域的区域
ID,可以是十进制,也可以是类似于IP地址
的点分十进制格式,没有默认值,注意中转
Show ip route
Area area-id stub [no-summary]
Area area-id nssa [no-summary]
Show ip ospf
Show ip ospf interface int_id
Show ip ospf database
Show ip ospf database nssa-external
Area area-id virtual-link router-id
区域不能是末节区域。Router-id表示虚链路
另一端口路由器的RID,可使用命令show ip
ospf来获取RID,并以IP地址的格式指定它,
没有默认值
Show ip ospf virtual-links
Debug ip ospf adj
HSRP协议常用配置命令
热备份路由协议是一种cisco专用协议,它为IP网络提供了容错和增强的路由选择功能,通
过共享一个IP地址和一个MAC地址,LAN网段上的两台或多台路由器可以作为“虚拟”路
由器,提供了不间断的IP路径冗余。
[no]standly group-number ip virtual-ip-address
No ip redirects
Standby group-number priority priority-value
Standby group-number preempt
Standby group-number timers hellotime
holdtime
Standby group-number track interface-bype
interface-number interface-priority
No standby group-number track
Show standby [interface-type group] [brief]
将当前路由器接口加入/去除指定备份组并
指定虚拟IP地址
关闭重定向功能
设置路由器的优先级
配置HSRP占先权
配置hello消息的发送间隔与保持时间
配置HSRP端口跟踪
禁用HSRP端口跟踪
查看HSRP路由器配置信息
查看配置的虚链路运行情况
在邻接关系建立后,使用该命令可以查看
ospfR的详细邻接情况
路由器的ACL配置
在路由器上配置ACL时,每个ACL都有一个唯一的编号作为标识。编号的有效值范围如下
协议
IP
Extended IP
Appletalk
IPX
Extended IPX
IPX service advertising protocol
标准ACL的配置
常用的标准ACL配置命令
Access-list acl-id {deny|permit} source
[source-wildcard}
IP access-group acl-id in|out
Access-class acl_id in |out
Show access-list [acl_id]
创建标准ACL
在指定端口上启动ACL
在指定vty端口上启动ACL
显示ACL
范围
1~99,1300~1399
100~199,2000~2699
600~699
800~899
900~999
1000~1099
Show ip access-list [acl_id]
扩展ACL常用的配置命令表
Access-list acl_id {deny|permit} protocol
source [source-wildcard] destination
[destination-wildcard] [operator port]
[establishen]
Ip access-group acl_id in |out
Access-class acl_id in| out
Show access-lists [acl_id]
Show ip access-list [acl_id]
显示IP ACL
创建扩展ACL
在指定端口的进入/离开方向上启动ACL
在指定vty端口的进入/离开方向上启动ACL
显示ACL
显示IP ACL
NAT的配置
网络地址转换是指为了实现内外网络之间的通信而将IP数据报中的一个IP地址转换为另一
个IP地址的过程。NAT包括静态地址转换,动态地址转换和端口多路复用三种。
静态NAT的配置
静态转换就是将内部网络的私有IP地址转换为公有合法的IP地址时,IP地址的对应关系是
一对一的,是不变的,即某个私有的IP地址只转换为某个固定的公有IP地址。
Ip nat inside source static inside-ip outside-ip
建立内网本地和全局地址的静态NAT映射
No ip inside source static inside-ip outside-ip
Ip nat inside
Ip nat outside
取消内网本地和全局地址的静态NAT映射
指定NAT内网端口
指定NAT外网端口
动态NAT的配置
动态转换是指内部网络的私有地址转换为公有地址时,IP地址对应关系是不确定的,随机的,
所有被授权访问internet的私有地址,可随机转换为任何指定的合法地址
常用动态NAT配置命令
Ip nat pool name source start-ip end-ip
建立NAT映射地址池
netmask mask
No ip nat pool name
Access-list acl_id permit source[wildcard]
Ip nat inside source list acl_id pool name
No ip nat inside source
Ip nat inside
Ip nat outside
删除地址池
创建标准ACL,设定NAT内网地址范围
配置基于地址池的动态NAT映射
取消动态NAT映射
指定NAT内网端口
指定NAT外网端口
NPAT的配置
端口多路复用是改变外出数据包的原IP地址和源端口并进行端口转换,即端口地址转换采
用多路复用方式。
常用的NPAT配置命令
Access-list acl_id permit source [wildcard]
创建标准的ACL,设定NPAT内网地址范围
Ip nat pool name source ip_addr netmask mask
建立NPAT映射地址池(仅有一个IP地址)
No ip nat pool name
Ip nat inside source list acl_id pool name
overload
Ip nat inside
Ip nat outside
验证NAT和NPAT的配置
Clear ip nat translation
删除地址池
配置内网地址池,标明为overload方式
指定NAT内网端口
指定NAT外网端口
从NAT表中清除所有的动态NAT记录
Clear ip nat translation inside global_ip local_ip
从NAT表中清除一条包含内部转换或内部与
[outside local_ip global_ip
外部转换的简单动态NAT记录
Show ip nat translation
Show ip nat statistics
Debug ip nat
显示当前在用的NAT/NPAT
显示当前NAT/NPAT统计信息
显示NAT转换情况
IPSec VPN配置
Ipsec为IP数据流提供完整性验证、身份认证。
配置使用预共享密钥的站点到站点ipsec VPN需要完成6个基本步骤:
步骤1:配置预共享密钥
步骤2:配置IKE策略
步骤3:配置ipsec变换集
步骤4:配置加密访问列表
步骤5:配置加密映射表
步骤6:将加密映射表应用预外部端口
使用预共享密钥的站点到站点ipsec VPNr的常用配置命令
Cypto isakmp key key addresspeer_address
Cryto isakmp policy priority
Cryto ipsec transform-set transform_set_name
transform [transform2] [transform3]
[transform4]
Mode {tunnel| transport}
Access-list acl_id permit protocol source
[source-wild-card] destination
[destination-wildcard]
Crypto map map_name sequence_nunmber
ipsec-isakmp
Set peer peer_address
Set transform-set transform_set_name
Match address address_list_name
Crytomap map_name
防火墙的配置
PIX的命令模式和文件管理
配置预共享密钥
进入IKE策略配置模式
设置IPSec变换集
在设置变换集时,指定ipsec模式
用访问列表指定在变换集终将被ipsec变换
保护的数据流
创建加密映射表
指定对端地址
指定变换集
应用加密访问列表
将加密映射表应用预端口
PIX防火墙的命令集与CISCO IOS的命令集很相似,但在语法上不完全相同。当想要使用一
个特定的命令时,必须处于适当的模式下才能执行。PIX提供了下面4种模式:
1, 非特权模式,又称用户模式提示符为〉
2, 特权模式,可以对配置进行改动,提示符为#。
3, 配置模式,所有的非特权,特权和配置都可以使用,提示符为(config)#
4, 监控模式,当用户要进行PIX OS的升级或进行密码恢复时会用到此模式,提示符为
monitor>
PIX OS的文件管理命令
Confgi term
进入配置模式
Write memory
Config memory
Write net
Config net
Copy TFTP flash
Copy flash TFTP
Write erase
保存配置文件到flash
将配置文件从flash调入到内存
保存配置文件到TFTP服务器
将配置文件从TFTP服务器调入内存
将配置文件或操作系统软件(PIX OS)从TFTP
服务器复制到flash中
将配置文件或操作系统软件(PIX OS)从flash
服务器复制到TFTP中
删除配置文件
PIX常用配置命令
有6个配置命令被认为是配置PIX防火墙的基础。它们分别是
nameif,interface,ipaddress,nat,global和route.
PIX的常用配置命令
Nameif interface-number {nameif} security
Interface interface-number {auto |100full}
[shutdowm]
Ip address nameif ip mask
Nat (nameif) nat-id subnet subnet_mask
确定以太网端口名字,指定它的安全级别
指定以太网端口,设置速度,开启/关闭端口
为端口(由端口名字标识)配置IP地址和掩
码
根据标号nat-id来做nat处理:为0时,对子
网进行透明转发;为非0时,对子网进行转
换(必须和相应的global匹配)
定义地址池,并对在nat命令中定义的nat-id
所标识的子网地址转换为地址池中的一个地
址
配置静态路由
静态地址转换。将名为nameif的端口IP地址
静态映射到一个外部全局IP地址,使之可能
有了从外部访问内部的通道
创建标准ACL
Global(nameif)nat-id subnet netmask
subnet_mask
Route(nameif) destination_network_id
subnet_mask
Static(nameif,outside)ip-outside,ip-nameif
netmask netmask 255.255.255.255
Access-list acl_id {deny |permit} protocol
source [source-wildcard] destination
[destination-wildcard] [operator port]
[established]
Access-group acl-id {in |out }interface nameif
Conduit的相关参数
Permit
Deny
Protocol
将访问列表应用到端口nameif上
如果条件符合,将允许访问
如果条件符合,将拒绝访问
为连接具体指定传输协议,可能的值是:
icmp,tcp,udp.还可以在0~255之间选择适当
的IP协议号来指定协议(IP协议号是整数)。
使用IP来指定所有传输协议
先前用global或static命令定义的全局IP地
址。如果全局IP地址和全局子网掩码是
0.0.0.0 0.0.0.0,意味着可以使用任意IP地址。
Any命令是把permit或deny应用到所有接口
的全局IP地址上。
如果global_ip 是一个主机地址,那么就可以
通过在golbal_ip前指定host命令,来取代
global_mask
Internet控制消息协议(ICMP)的消息类型。
如果忽略这个选项将意味着包含所有ICMP
类型。Conduit permit icmp any any命令不但
允许所有ICMP类型,而且在入站和出站方向
都允许ICMP流量经过
允许对指定的一个端口或者一个端口范围的
操作进行比较,可能的值是:eq,it,any,gt,neq
和range
不使用poerator和端口,则表示所有的端口
Global_ip 的网络掩码。如果使用0作为
global_ip,global_mask也要使用0.否则,在其
他情况下要根据global_ip来输入适当的
global_mask
指定访问global_ip或foreign_ip时允许使用
的服务。用所对应的端口号来指定一种服务
一个能够访问global_ip的外部IP地址(主机
或网络)
Foreign_ip的网络掩码
Global_ip
Icmp_type
Operator
Global_mask
Port
Foreign_ip
Foreign_mask
发布评论