博文
cisco PIX防火墙配置命令(2007-06-12 10:05:00)
摘要:一、PIX防火墙的认识PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。PIX防火墙常见接口有:console、Failover、Ethernet、USB。
网络区域:内部网络:inside外部网络:outside中间区域:称DMZ(停火区)。放置对外开放的服务器。二、防火墙的配置规则没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)inside可以访问任何outside和dmz区域。dmz可以访问outside区域。inside访问dmz需要配合static(静态地址转换)。outside访问dmz需要配合acl(访问控制列表)。三、PIX防火墙的配置模式PIX防火墙的配置模式与路由器类似,有4种管理模式:PIXfirewall>:用户模式PIXfirewall#:特权模式PIXfirewall(config)#:配置模式monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。四、PIX基本配置命令常用命令有:nameif、interface、ipaddress、nat、global、route、static等。1、nameif设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。例如要求设置:ethernet0命名为外部接口outside,安全级别是0。ethernet1命名为内部接口inside,安全级别是100。ethernet2命名为中间接口dmz,安装级别为50。使用命令:PIX525(config)#nameifethernet0outsidesecurity0PIX525(config)#nameifethernet1insidesecurity100PIX525(config)#nameifethernet2dmzsecurity502、interface配置以太口工作状态,常见状态有:auto、100full、shutdown。auto:设置网卡工作在自适应状态。100full:设置网卡工作在100M......
PIX alias命令实例详解(2007-06-12 09:35:00)
摘要:网络拓朴如下图所示: 设备:PIX 520 软件4.x版、6.22版: 目前的情况是:DDN接入我单位,并且分配有公网IP地址。 outside的网段是 202.99.100.0/24 DMZ 的网段是 192.168.1.0/24 Inside 的网段是 10.10.1.0/24 有已经在CNNIC注册好的域名一个:abc.com.cn,并且是由自己来解析域名,注册时的域名服务器用的是202.99.100.1 一般的情况是在inside架设一台DNS服务器,供Inside的用户使用,而且这个一般是不能缺少的,因为有的服务并不是对外提供的,而是仅仅Inside内的用户使用,并且服务器放在Inside中,这里对Inside的DNS和主机的设置就不多说了。另外,在DMZ区架设一台NDS服务器,用于对外解析abc.com.cn,如解析www.abc.com.cn到202.99.100.2,DNS服务器和WEB服务器都放在DMZ区,用 static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0 static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0 ………….. ………. …… conduit permit udp host 202.99.100.1 eq domain any conduit permit tcp host 202.99.100.2 eq www any 来解决外面访问DMZ区服务器的问题。 好了,现在问题出现了,那么DMZ区和inside的主机或者服务器,它们之间该是如何相互访问域名呢?DMZ区的主机或者服务器,它们本身的DNS该指向哪里呢?如果指向DMZ区的那台DNS(192.168.1.1),那么,它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2,显然不能访问。最简单的解决办法是,在DMZ区再架设一台DNS,专门为这个区的主机来服务,解析www.abc.com.cn 到192.168.1.2。不过如果这样的话,首先将在DMZ区增加一台服务器,至少要在一台服务器上增加DN......
PIX(2007-06-12 09:31:00)
摘要:PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。不同版本的PIX可以提供不同的防护配置方案,为你量身打造一个安全,便捷的网络环境,使您企业安全上网无后顾之忧,避免“火光之灾”...... 命令Aaa允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户Aaa-server指定一个AAA服务器Access-group将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口Access-list创建一个访问列表Alias管理双向NAT中的重叠地址Arp改变或查看ARP缓存,设置超时值Auth-prompt改变AAA的提示文本Ca配置PIX防火墙和CA的交互Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用Conduit为向内连接添加、删除或显示通过防火墙的管道Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置Cryptodynamic-map创建、查看或删除一个动态加密映射项。Cryptoipsec创建、查看或删除与加密相关的全局值Cryptomap创建、查看或删除一个动态加密映射项,也用来删除一个加密映射集Debug通过PIX防火墙调试信息包或ICMP轨迹。Disable退出特权模式并返回到非特权模式Domain_name改变IPSec域名Enable启动特权模式Enablepassword设置特权模式的口令Exit退出访问模式Failover改变或查看到可选failover特性的访问Filter允许或禁止向外的URL或HTML对像过滤Fixupprotocol改变、允许、禁止或列出一个PIX防火墙应用的特性Flashfs清除闪存或显示闪存扇区大小Floodguard允许或禁止洪泛(FLOOD)保护以防止洪泛攻击Help显示帮助信息Global从一个全局地址池中创建或删除项Hostname改变PIX防火墙命令行提示中的主机名Interface标示网络接口的速度和双工属性Ip为本地池和网络接口标示地址Ipsec配置IPSEC策略Isakmp协商IPSEC策略联系并允许IPSEC安全通信Kill终止一个TELNET......
Cisco路由器VPN配置(C/S)(2007-01-28 20:01:00)
摘要:
一、host到routeripist 51cto技术博客
1、实验网络拓扑:pc(vpn client 4.01)---switch---router1720 (vpn access server)pc配置:ip:10.130.23.242/28 gw:10.130.23.246 1720接口ip:f0:10.130.23.246/28lo0:172.16.1.1/24 1720的ios为c1700-k93sy7-mz.122-8.T5.bin2、步骤:ipist 51cto技术博客
1、配置isakmp policy:crypto isakmp policy 1encr 3des authen pre-sharegroup 22、配置vpn client地址池cry isa client conf address-pool local pool192ip local pool pool192 192.168.1.1 192.168.1.2543、配置vpn client有关参数cry isa client conf group vclient-group ####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。key vclient-key####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。pool pool192 ####client的ip地址从这里选取####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。4、配置ipsec transform-setcry ipsec trans vclient-tfs esp-3des esp-sha-hmac5、配置map模板cry dynamic-map template-map 1set transform-set vclient-tfs ####和第四步对应6、配置vpnmapcry map vpnmap 1 ipsec-isakmp dynamic template-map #### 使用第?*脚渲玫?map 模板cry map vpnmap isakmp author list vclien......
什么是HSRP?(2007-01-07 14:00:00)
摘要:如果路由器出现故障而导致企业无法接入互联网会发生什么?这就是为什么需要在网络中提供冗余的重要性。下面我们将教你如何使用热备 份路由器协议确保冗余。 如果路由器出现故障而导致企业无法接入互联网会发生什么?企业可以接受吗?或许可暂时逃脱处罚,但是你需要制定一个更好的计划,而不 仅仅是简单的桌面呼叫支持。 这就是为什么需要在网络中提供冗余的重要性。考虑为当前路由器增加一个可以立即接管的备份路由器。企业需要的只是硬件,Cisco软件会完 成其他事情。让我们考察如何利用热备份路由器协议(HSRP)配置它。 什么是HSRP? HSRP是Cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以,如果某台路由器发生故障,备份路由器会接管主路由器的路由 功能。 然而,Cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议(VRRP)。另一个HSRP的可替换选择是网关负载平衡协议(GLBP ),这是Cisco的另一个私有解决方案。 HSRP如何工作? 在使用HSRP的时候,路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器发送HELLO数据包,备用路由器假定主 路由器已关闭,从而进行接管。然后备用路由器假定对虚拟IP地址负责,并开始对虚拟IP地址指向的虚拟以太网MAC地址响应。 &nbs......
《让我们一起CCNA吧》系列文章三:子网划分(2006-11-01 22:58:00)
摘要:思科关于这章的考试内容如下:规划和设计:* 使用思科技术设计一个简单的局域网* 设计一个适应设计要求的IP寻址方案* 使用思科技术设计一个简单的互连网络技术:*评价TCP/IP通信过程和相关的协议故障检测:* 执行LAN和VLAN故障检测* 检测IP寻址和主机配置故障* 检测一个网络中的一个设备故障这章主要是讨论划分子网的内容,它在思科的考试中占非常重要的位置,而且需要大量的时间和练习来熟悉它。在这里我假定各位读者已经了解IP地址的分类即:A类地址1-126;B类地址128-191;C类地址192-223。子网划分基础:子网划分(subnetting)的优点:1.减少网络流量2.提高网络性能3.简化管理4.易于扩大地理范围怎么样创建一个子网:如何划分子网?首先要熟记2 的幂:2 的0 次方到9 次方的值分别为:1,2,4,8,16,32,64,128,256和512。还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位。因此这个意味划分越多的子网,主机将越少。子网掩码(Subnet Masks):子网掩码用于辨别IP 地址中哪部分为网络地址,哪部分为主机地址,有1 和0 组成,长32 位,全为1 的位代表网络号.不是所有的网络都需要子网,因此就引入1 个概念:默认子网掩码(default subnet mask).A 类IP 地址的默认子网掩码为255.0.0.0;B 类的为255.255.0.0;C 类的为255.255.255.0。Classless Inter-Domain Routing(CIDR):CIDR 叫做无类域间路由,ISP 常用这样的方法给客户分配地址,ISP 提供给客户1 个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28 代表多少位为1,最大/32.但是你必须知道的一点是:不管是A类还是B类还是其他类地址,最大可用的只能为/30,即保留2 位给主机位。CIDR 值:1.掩码255.0.0.0:/8(A 类地址默认掩码)2.掩码255.255.0.0:/16(B 类地址默认掩码)3.掩码255.255.255.0:/24(C 类地址默认掩码)划分A类B类C类地址子网:划分子网的几个捷径:1.你所选择的子网掩码将会产生多少个子网?:2 的x 次方-2(x 代表子网位......
《让我们一起CCNA吧》 系列文章二:网络协议(2006-11-01 22:58:00)
摘要:本系列文章主要针对CCNA 640-801的学习者,学习课程为SYBEX的《Cisco Certified Network Associate Study Guide Fourth Edition》第一章链接如下:[原创]《让我们一起CCNA吧》 系列文章一:网际互连及思科认证考试介绍Internet ProtocolsTransmission Control Protocol/Internet Protocol (TCP/IP),TCP/IP协议集是美国国防部(Department of Defense (DoD))创建的,用来保证和维持数据完整性,也为了在灾难性的战争事件中建立通信。所以按照设计和执行上的正确性,一个TCP/IP网络是真实可靠的并具有弹性的网络。在这篇文章里,我将详细介绍TCP/IP协议集。通过学习你将能够学会怎么创建一个令人惊奇的TCP/IP网络,当然!是使用CISCO公司的路由器实现的。开始了,我们先看一看DOD版本的TCP/IP协议集和OSI参考模型有什么区别。TCP/IP and the DoD ModelDOD模型基本上就是一个浓缩版本的OSI模型,它由四层组成而不是OSI模型的七层:·Process/Application layer 应用处理层·Host-to-Host layer 主机到主机层·Internet layer 网际层·Network Access layer 网络访问层图2.1显示了一个DOD模型和OSI参考模型的比较图,就象你所看到的,它们两个在概念上十分的相似,但是它们有不同的层数和不同的名称。注意:当谈及IP栈上的不同的协议时,OSI参考模型和DOS模型是可以互相交换的。网际层(Internet layer)和网络层(Network layer)只不过是描述相同东西的两个不同词语,类似的有主机到主机层(Host-to-Host layer)和传输层(Transport layer)。 在DOD模型的Process/Application层上存在数量巨大的协议组合,它们结合不同的活动和功能生成焦点来对应OSI模型的上三层(应用层,表示层,会话层)。应用和处理层(Process/......
《让我们一起CCNA吧》 系列文章一:网际互连及思科认证考试介绍 (2006-11-01 22:56:00)
摘要:前提
让我们了解CISCO认证系列
Cisco职业资格认证
为了满足互联网的高速发展对专业工程师的需求,思科系统公司(CISCO SYSTEM INC) 于1993年设立了思科认证互联网工程师初级到高级的一系列课程,CCNA、CCNA为初级认证,同时有CCNP、CCDP、CCNP Specialization、CCDP Specialization等高级认证及CCIE最高级认证。整套认证主要致力于网络维护与网络设计两个方向。
CCNP Specialization及CCDP Specialization包括六个领域的证书,分别是:网络安全,语音访问,网络管理, 局域网异步传输模式SNA/IP集成,SNA/IP网管,当取得CCNP或CCDP资格后,即可根据自身的需求和能力选择其中一个或全部课程的认证。
CCDA(思科认证设计师)为Cisco认证中的第一步,同时有CCNP(思科认证资深网络工程师)CCDP(思科认证资深设计师)与专业选修(CCNP Specialization)等高级认证,最高级别认证是思科公司认证网际网高级专家(CCIE)。
销售专家CPE(Cisco Product Essential)和CSE(Cicso Solution Essential) 获得CPE、CSE证书证明您:已经系统地了解Cisco的全线网络产品的特性,能够有针对性的为客户设计一整套解决方案,使客户得到他们真正想要的东西,从而使您在销售工作中能够得心应手,立于不败之地.
Cisco售后工程师认证体系: Cisco Certified Network Associate(CCNA)该认证可证明您已掌握网络的基本知识,并能初步安装、配置和操作Cisco路由器、交换机及简单的LAN和WAN。 Cisco Certified Network Professional(CCNP)CCNP是Cisco授证体系中的一项中级认证,介于CCNA和CCIE之间。CCNP应能使用复杂的协议和技术来安装、配置、操作网络,并具备诊断及排除故障的能力。 Cisco Certified Internet Expert(CCIE)该认证是Cisco认证体系中最高的一项认证,是对您所具有的各种网络知识和技术及Cisco产品安装、操作和配置的充分认可。
Cisco售前工程师认证体系: Cisco......
cisco路由/交换机命令大全 (2006-11-01 22:46:00)
摘要:交换机命令
switch> 用户模式1:进入特权模式 enableswitch> enableswitch#
2:进入全局配置模式 configure terminalswitch> enableswitch#c onfigure terminalswitch(conf)#
3:交换机命名 hostname aptech2950 以aptech2950为例switch> enableswitch#c onfigure terminalswitch(conf)#hostname aptch-2950aptech2950(conf)#
4:配置使能口令 enable password cisco 以cisco为例switch> enableswitch#c onfigure terminalswitch(conf)#hostname aptch2950aptech2950(conf)# enable password cisco
5:配置使能密码 enable secret ciscolab 以cicsolab为例switch> enableswitch#c onfigure terminalswitch(conf)#hostname aptch2950aptech2950(conf)# enable secret ciscolab
6:设置虚拟局域网vlan 1 interface vlan 1switch> enableswitch#c onfigure terminalswitch(conf)#hostname aptch2950aptech2950(conf)# interface vlan 1aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip和子网掩码aptech2950(conf-......
CISCO交换机命令全集加说明(2006-10-23 23:11:00)
摘要: Table of Contents Command Descriptions address-violation autobaud back-pressure banner motd bridge (forwarding-time) bridge-group bridge-group (allow-overlap) bridge-group (enable) bridge (hello-time) bridge (max-age) bridge (priority) cdp (advertise-v2) cdp (enable) cdp (holdtime) cdp (timer) cgmp cgmp (hold-time) cgmp (leave-processing) cgmp (remove) cgmp (reserved) clear (cgmp) clear (dns-cache) clear (counters) clear (mac-address-table) clear (uplink-fast statistics) clear (vtp statistics) cluster configure copy (nvram tftp) copy (tftp) copy (xmodem) databits delete (nvram) delete (vtp) description disable duplex ecc enable enable (password) enable (secret) enable (use-tacacs) end exit fddi (authorization) fddi (auth-string) fddi (notify-timer) fddi (novell-snap-translation) fddi (unmatched-snap-translation) hostname interface ip (address) ip (default-gateway) ip (dom......