博文

加装防火墙前后的路由器配置(2006-05-27 01:20:00)

摘要:随着人们对网络知识的普及,企业或公司的网络安全性,就变得更加重要起来了。关于网络安全的最可靠方法是加装防火墙。       在这里我讲述一下关于加装防火墙前后的路由配置变化,因为在原先没有防火墙的情况下,路由既起到路由选择的作用,又起到网关的作用。当加装防火墙的后,局域网的网关就设为防火墙的局域网IP地址。要修改路由首先还是先看该网络的拓扑结构。在这里我所描述的是这样拓扑结构: 图1 一、先将进入路由器设置将原来的配置备份一份,虽然这一份备份以后不一定用的上,可是万一防火墙安装失败呢? 图2 下面为没有安装防火墙以前的路由器配置情况。User Access Verification Password: (键入TELNET密码,如果你是直接用CONSOLE口进入没有此项提示) Router>en Password: Router#show config (察看ROUTER配置情况命令) Using 810 out of 7506 bytes ! version 12.1 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Router (ROUTER名字,这里为默认名字ROUTER) ! enable secret 5 $1$FreK$4oQGtvDEF1jv8dh3NNXnN0. enable password 123456789 (特权密码,当然这是加密的) ! ip subnet-zero ! interface Ethernet0 (配置局域网e0口) ip address 192.168.1.1 255.255.255.0 (e0口在其局域网中对应的ip为192.168.1.1 ip nat inside 255.255.255.0是表示为C类网络) ! interface Ethernet1 (E1口没有激活,也没有配置) no ip address shutdown ! interface Serial0 bandwidth 2048 ip address 211.97......

阅读全文(1302) | 评论:0

四个系列低端路由器简单配置方法(2006-05-27 01:20:00)

摘要:一 CISCO2500系列:    首先启动PC机的超级终端,通过console口登录到路由器上。  步骤1、修改路由器广域网端口。  1、conf t  2、int s0(进入相应的端口)  3、ip addr 202.102.47.6 255.255.255.252(将IP地址修改成新分配的IP广域口地址)  4、no shutdo wn  步骤2、修改局域网端口  1、conf t  2、int e0(进入相应的端口)  3、ip addr 202.102.8.226 255.255.255.248(将IP地址修改成新分配的IP局域口地址)  4、no shutdown  步骤3、配置协议  1、conf t  2、ip classess  3、ip route 202.102.16.0 255.255.255.127 202.102.31.137 1(配置静态路由,第一个地址为目的地址。)  4、end  5、wr mem(存储配置)  二 intel9000系列    intel系列的低端路由器的配置可以三种方式:telnet、超级终端和图形界面软件直接修改,利用图形界面的配置过程如下:  首先利用一台局域网内的PC机作为client端,启动intel device view,如果没有intel device view, 应该用随路由器附送的光盘安装。  其次,如果是新安装的intel device view,应增加新的路由器,点击图标:  来增加新的路由器。如果已经安装了一新的路由器,则点击图标:  来启动配置路由器的界面。  在此界面下可以重新配置路由器的局域网IP地址。选择basic setup按提示进行修改即可。  若已经安装成功新的路由器,则可以在界面中看到路由器的背板,如下图:    在此界面下选择configuration,按照新的专线IP地址进行相应的修改。全部修改完毕后选择Finish退出setup菜单。三 bay系列    bay系列的路由器的配置可以使用图形软件FirstGear。  首先准备一台和路由器在同一局域网段内的PC机,如果上面没有FirstGear,则需要用随路由器附送的光盘安装FirstGear。  准备好了FirstGear,确认路由器已经正确地连接到了网络上并且加电超过一分钟后,双击FirstGear图标启动......

阅读全文(1851) | 评论:0

教你配置EtherChannel(2006-05-27 01:19:00)

摘要: Catalyst 2950 SwitchCat2950#Cat2950#conf tEnter configuration commands, one per line. End with CNTL/Z.!-- The VLAN Trunk Protocol (VTP) mode is set to server,!-- and the VTP domain name to is set to cisco.Cat2950(config)#vtp mode serverSetting device to VTP SERVER modeCat2950(config)#vtp domain ciscoChanging VTP domain name from VitalCom to cisco!-- Created two VLANs: VLAN10 and VLAN20.Cat2950(config)#vlan 10Cat2950(config-vlan)#exitCat2950(config)#vlan 20Cat2950(config-vlan)#exit!-- Configured ports Fa0/5 through Fa0/14 in VLAN10,!-- and ports fa0/15 through Fa0/26 in VLAN20.Cat2950(config)#int range fa0/5 - 14Cat2950(config-if-range)#switchport access vlan 10Cat2950(config-if-range)#exitCat2950(config)#int range fa0/15 - 26Cat2950(config-if-range)#switchport access vlan 20Cat2950(config-if-range)#^ZCat2950#00:32:39: %SYS-5-CONFIG_I: Configured from console by console!-- Configured the management interface so that the switch!-- can be accessed remotely by using Telnet.Cat2950#co......

阅读全文(1639) | 评论:0

解决IP地址冲突的完美方法(2006-05-27 01:18:00)

摘要: 使用的方法是采用DHCP方式为用户分配IP,然后限定这些用户只能使用动态IP的方式,如果改成静态IP的方式则不能连接上网络;也就是使用了DHCP SNOOPING功能。例子:version 12.1no service padservice timestamps debug uptimeservice timestamps log uptimeno service pas sword-encryptionservice compress-config!hostname C4-2_4506!enable password xxxxxxx!clock timezone GMT 8ip subnet-zero no ip domain-lookup!ip dhcp snooping vlan 180-181 // 对哪些VLAN 进行限制ip dhcp snoopingip arp inspection vlan 180-181ip arp inspection validate src-mac dst-mac ip   errdisable recovery cause udlderrdisable recovery cause bpduguarderrdisable recovery cause security-violationerrdisable recovery cause channel-misconfigerrdisable recovery cause pagp-flaperrdisable recovery cause dtp-flaperrdisable recovery cause link-flaperrdisable recovery cause l2ptguarderrdisable recovery cause psecure-violationerrdisable recovery cause gbic-invaliderrdisable recovery cause dhcp-rate-limiterrdisable recovery cause unicast-flooderrdisable recovery cause vmpserrdisable recovery cause arp-inspectio......

阅读全文(1414) | 评论:0

华为和思科路由器的互联配置(2006-05-27 01:18:00)

摘要: 一、 概述     思科路由器一度在企业广域网络的应用上占有统治地位,但根据近年CCID的报告显示,在国内,华为与思科在路由和交换设备方面日渐形成旗鼓相当的市场地位;在海外,华为也在不断蚕食思科的市场分额。随着华为路由器在企业中的应用越来越多,实现华为路由器和思科路由器的互连,保护旧有的投资,对使用者具有重大的实用意义。   华为路由器命令行接口配置界面在经过和思科的官司后做了较大的修改,但基本的配置思想还是大体一致的,Cisco的网际操作系统英文缩写为IOS(Internetwork Operating System),华为公司数据通信产品的通用网络操作系统平台的英文缩写为VRP(Versatile Routing Platform,通用路由平台),在配置实现思科和华为路由器的互连过程中应注意使用标准的协议(如OSPF、RIP),不用思科的私有协议(如EIGRP),本文提供一个思科和华为路由器OSPF串口互连的配置实例进行分析。   二、 互连示意图     三、配置文件说明     思科路由器配置文件(部分):   Current configuration:!version 12.1service timestamps debug uptimeservice timestamps log uptimeservice password-encryption!hostname Cisco        //定义路由器主机名!enable secret 5 $QB$O1nBb A1olUQ JU1JQRUxNe$oHa0  //enable密码!no ip domain-lookup!interface Loopback0 ip address 192.168.0.1 255.255.255.0     //定义Loopback地址,也可以不定义!interface Ethernet1/0 description zhongxin ip address 172.16.1.1 255.255.255.......

阅读全文(1638) | 评论:0

路由器远程管理实例(2006-05-27 01:16:00)

摘要:让管理账号更复杂     要想对营销点的宽带路由器进行管理,首先必须拥有路由器的管理员账号。但默认情况下,路由器的初始账号和密码都比较简单,特别是启用了路由器的远程控制功能后,公网中的其他用户就有机会访问到路由器。如果不对路由器的初始账号进行修改,使它变得更为复杂,让不怀好意者难以猜测和破解,那么路由器就可能被他人利用。     为了堵住这一漏洞,必须让路由器的管理账号和密码更复杂。下面网管以营销点的无线路由器“TL-WR541G”为例,介绍如何增强路由器远程管理的安全,此方法同样对有线路由器有效。     在营销点局域网内的客户机上运行IE浏览器,在地址栏中输入“http://192.168.1.1/”后并回车(“192.168.1.1”为宽带路由器的默认地址),然后输入路由器管理员账号和密码,登录宽带路由器管理界面。     依次展开“系统工具→修改登录口令”,进入“修改登录口令”管理页面,即可对账号进行修改。     提示:新的管理员账号和密码一定要足够复杂才行,以免被攻击者轻易破解。     安全启用远程控制     网管已经为宽带路由器设置了复杂的访问账号,但这只是为远程安全管理路由器打下了好的基础。然而,很多路由器默认是没有启用“远程控制”功能的,因此还要手工启用,而且在启用过程中还有很多增强安全的技巧和方法。     在宽带路由器管理界面中,依次点击“安全设置→远端Web管理”,进入“远端Web管理”设置界面。接下来网管就可启用远程控制功能。     默认情况下,路由器使用“80”端口来提供远程管理功能,但这非常不安全,容易被“不坏好意”者猜到。因此,可修改端口号,使用一个不常用的端口来提供远程管理功能,在“Web管理端口”栏中修改远程管理使用的端口号(如“1648”)。现在,攻击者就很难猜到端口号了。     接下来,在“远端Web管理IP地址”栏中,输入可对路由器进行远程控制的公网计算机的IP地址。   &nbs......

阅读全文(1557) | 评论:0

高手支招,网络交换机硬件升级指南(2006-05-27 01:12:00)

摘要:当局域网的主要性能不能满足企业新的应用需求时,就必须考虑要对网络进行升级。升级时应根据网络应用的需求,分析网络升级所要解决的问题,特别是升级交换机硬件设备,本文就和大家讨论这个问题。     一、升级网络设备     1、升级网络设备选型原则     在为网络升级选择网络设备时,应当遵循以下原则:     可靠性     由于升级的往往是核心和骨干网络,其重要性不言而喻,一旦瘫痪则影响巨大。因此,必须将可靠性放在第一位,无论是品牌的选择,还是设备的配置,都将可靠性作为第一考虑。     性能     作为骨干网络节点,中心交换机、汇聚交换机和厂区交换机必须能够提供完全无阻塞的多层交换性能,以保证业务的顺畅。     可管理性     一个大型网络可管理程度的高低直接影响着运行成本和业务质量。因此,所有的节点都应是可网管的,而且需要有一个强有力且简洁的网络管理系统,能够对网络的业务流量、运行状况等进行全方位的监控和管理。     灵活性和可扩展性     由于企业网络结构复杂,需要交换机能够接续全系列接口,例如光口和电口、百兆、千兆和万兆端口,以及多模光纤接口和长距离的单模光纤接口等。其交换结构也应能根据网络的扩容灵活地扩大容量。其软件应具有独立知识产权,应保证其后续研发和升级以保证对未来新业务的支持。     安全性     随着网络的普及和发展,各种各样的攻击也在威胁着网络的安全。不仅仅是接入交换机,骨干层次的交换机也应考虑到安全防范的问题,例如访问控制、带宽控制等,从而有效控制不良业务对整个骨干网络的侵害。     QoS控制能力     随着网络上多媒体业务流(语音、视频等)越来越多,我们对核心交换节点提出了更高的要求,不仅要能进行一般的线速交换,还要能根据不同的业务流的特点,对它们的优......

阅读全文(1177) | 评论:0

Catalyst2950-实现端口与IP绑定(2006-05-27 01:10:00)

摘要:在Cisco catalyst 2950交换机上,通过配置extended ACL来实现端口与IP的绑定。     配置如下: 2950#show runCurrent configuration : 5396 bytes!version 12.1no service padservice timestamps debug uptimeservicetimestamps log uptimeno service password-encryption!hostname 2950!enable secret 5 $1$kJ.v$gF4osmkOwfvOy7vkwI3j/. !ip subnet-zero!no ip domain-lookup!!spanning-tree mode pvstno spanning-tree optimize bpdu transmissionspanning-tree extend system-idspanning-tree uplinkfast!interface FastEthernet0/1switchport access vlan 30switchport mode accessip access-group ip1 inspanning-tree portfast!interface FastEthernet0/2switchport access vlan 30switchport mode accessip access-group ip2 inspanning-tree portfast!interface FastEthernet0/3switchport access vlan 30switchport mode accessip access-group ip3 inspanning-tree portfast!interface FastEthernet0/4switchport access vlan 30switchport mode accessip access-group ip4 inspanning-tree portfast!interface FastEthernet0/5switchport access vlan 30switchport mode ......

阅读全文(1495) | 评论:0

Cisco3524交换机配置VLAN实例(2006-05-27 01:09:00)

摘要:参考:   Cisco 3548(3524) 交换机:   第一次连接交换机,配置终端参数为:   波特率:9600;数据位:8;停止位:1;奇偶校验:无;流控制:无。   通过串口线连上路由器后,按回车,即可看到配置向导:   (如果不是第一次配置,可以进入超级用户模式后用命令setup调用以下过程)     --- System Configuration Dial og ---     At any point you may enter a question mark ? for help.任何时候可以打?取得帮助   Use ctrl-c to abort configuration dialog at any prompt.按Ctrl-C可以取消并退出   Default settings are in square brackets [].默认参数在[]中     Continue with configuration dialog? [yes/no]: y继续交互配置吗?回答:y   Enter IP address: 10.1.1.249ip地址   Enter IP netmask: 255.255.255.0子网掩码   Would you like to enter a default gateway address? [yes]: y设置默认网关?y   IP address of default gateway: 10.1.1.254默认网关   Enter host name [3548_9A]:     The enable secret is a one-way cryptographic secret used   instead of the enable password when it exists.     Enter enable secret: _password输入超级用户密码     Would you like to configure a Telnet password? [yes]: y   Enter Telnet password: _password输入telnet密码   Would you like to enable as a cluster command switch? [yes/no......

阅读全文(1151) | 评论:0

Cisco 3550速率限制的详细配置过程(2006-05-27 01:09:00)

摘要: 一、网络说明 PC1接在Cisco3550 F0/1上,速率为1M; PC1接在Cisco3550 F0/2上,速率为2M; Cisco3550的G0/1为出口。 二、详细配置过程 注:每个接口每个方向只支持一个策略;一个策略可以用于多个接口。因此所有PC的下载速率的限制都应该定义在同一个策略(在本例子当中 为policy-map user-down) ,而PC不同速率的区分是在Class-map分别定义。 1、在交换机上启动QOS Switch(config)#mls qos //在交换机上启动QOS 2、分别定义PC1(10.10.1.1)和PC2(10.10.2.1)访问控制列表 Switch(config)#access-list 10 permit 10.10.1.0 0.0.0.255 //控制pc1上行流量 Switch(config)#access-list 100 permit any 10.10.1.0 0.0.0.255 //控制pc1下行流量 Switch(config)#access-list 11 permit 10.10.2.0 0.0.0.255 //控制pc2上行流量 Switch(config)#access-list 111 permit any 10.10.2.0 0.0.0.255 //控制pc2下行流量 3、定义类,并和上面定义的访问控制列表绑定 Switch(config)# class-map user1-up //定义PC1上行的类,并绑定访问列表10 Switch(config-cmap)# match access-group 10 Switch(config-cmap)# exit Switch(config)# class-map user2-up Switch(config-cmap)# match access-group 11 //定义PC2上行的类,并绑定访问列表10 Switch(config-cmap)# exit Switch(config)# class-map user1-down Switch(config-cmap)# match access-group 100 //定义PC1下行的类,并绑定访问列表100 Switch(config-cmap)# ex......

阅读全文(1172) | 评论:0