博文
cisco PIX防火墙配置命令(2007-06-12 10:05:00)
摘要:一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。PIX25是典型的设备。
PIX防火墙常见接口有:console、Failover、Ethernet、USB。
网络区域:
内部网络:inside
外部网络:outside
中间区域:称DMZ(停火区)。放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:用户模式
PIXfirewall#:特权模式
PIXfirewall(config)#:配置模式
monitor>:ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
PIX alias命令实例详解(2007-06-12 09:35:00)
摘要:网络拓朴如下图所示:
设备:PIX 520 软件4.x版、6.22版:
目前的情况是:DDN接入我单位,并且分配有公网IP地址。
outside的网段是 202.99.100.0/24
DMZ 的网段是 192.168.1.0/24
Inside 的网段是 10.10.1.0/24
有已经在CNNIC注册好的域名一个:abc.com.cn,并且是由自己来解析域名,注册时的域名服务器用的是202.99.100.1
一般的情况是在inside架设一台DNS服务器,供Inside的用户使用,而且这个一般是不能缺少的,因为有的服务并不是对外提供的,而是仅仅Inside内的用户使用,并且服务器放在Inside中,这里对Inside的DNS和主机的设置就不多说了。另外,在DMZ区架设一台NDS服务器,用于对外解析abc.com.cn,如解析www.abc.com.cn到202.99.100.2,DNS服务器和WEB服务器都放在DMZ区,用
static (dmz,outside) 202.99.100.1 192.168.1.1 netmask 255.255.255.255 0 0
static (dmz,outside) 202.99.100.2 192.168.1.2 netmask 255.255.255.255 0 0
…………..
……….
……
conduit permit udp host 202.99.100.1 eq domain any
conduit permit tcp host 202.99.100.2 eq www any
来解决外面访问DMZ区服务器的问题。
好了,现在问题出现了,那么DMZ区和inside的主机或者服务器,它们之间该是如何相互访问域名呢?DMZ区的主机或者服务器,它们本身的DNS该指向哪里呢?如果指向DMZ区的那台DNS(192.168.1.1),那么,它们在访问www.abc.com.cn的时候得到的解析结果是202.99.100.2,显然不能访问。最简单的解决办法是,在......
PIX(2007-06-12 09:31:00)
摘要:PIX是CISCO公司开发的防火墙系列设备,主要起到策略过滤,隔离内外网,根据用户实际需求设置DMZ(停火区)。它和一般硬件防火墙一样具有转发数据包速度快,可设定的规则种类多,配置灵活的特点。不同版本的PIX可以提供不同的防护配置方案,为你量身打造一个安全,便捷的网络环境,使您企业安全上网无后顾之忧,避免“火光之灾”......
命令
Aaa允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户
Aaa-server指定一个AAA服务器
Access-group将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口
Access-list创建一个访问列表
Alias管理双向NAT中的重叠地址
Arp改变或查看ARP缓存,设置超时值
Auth-prompt改变AAA的提示文本
Ca配置PIX防火墙和CA的交互
Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用
Conduit为向内连接添加、删除或显示通过防火墙的管道
Configure清除或融合当前配置与软盘或闪存中的配置。进入配置模式或查看当前配置
Cryptodynamic-map创建、查看或删除一个动态加密映射项。
Cryptoipsec创建、查看或删除与加密相关的全局值
Cryptomap创建、查看或删除一个动态加密映射项,也用来删除一个加密映射集
Debug通过PIX防火墙调试信息包或ICMP轨迹。
Disable退出特权模式并返回到非特权模式
Domain_name改变IPSec域名
Enable启动特权模式
Enablepassword设置特权模式的口令
Exit退出访问模式
Failover改变或查看到可选failover特性的访问
Filter允许或禁止向外的URL或HTML对像过滤
Fixupprotocol改变、允许、禁止或列出一个PIX防火墙应用的特性
Flash......
Cisco路由器VPN配置(C/S)(2007-01-28 20:01:00)
摘要:
一、host到routeripist 51cto技术博客
1、实验网络拓扑:
pc(vpn client 4.01)---switch---router1720 (vpn access server)
pc配置:
ip:10.130.23.242/28
gw:10.130.23.246
1720接口ip:
f0:10.130.23.246/28
lo0:172.16.1.1/24
1720的ios为c1700-k93sy7-mz.122-8.T5.bin
2、步骤:ipist 51cto技术博客
1、配置isakmp policy:
crypto isakmp policy 1
encr 3des
authen pre-share
group 2
2、配置vpn client地址池
cry isa client conf address-pool local pool192
ip local pool pool192 192.168.1.1 192.168.1.254
3、配置vpn client有关参数
cry isa client conf group vclient-group
####vclient-group就是在vpn client的连接配置中需要输入的group authentication name。
key vclient-key
####vclient-key就是在vpn client的连接配置中需要输入的group authentication password。
pool pool192 ####client的ip地址从这里选取
####以上两个参数必须配置,其他参数还包括domain、dns、wins等,根据情况进行配置。
4、配置ipsec transform-set
cry ipsec trans vclient-tfs esp-3des esp-sha-hmac
5、配置map模板
cry dynamic-map template-map 1
set transform-set vclient-tfs ####和第四......
什么是HSRP?(2007-01-07 14:00:00)
摘要:如果路由器出现故障而导致企业无法接入互联网会发生什么?这就是为什么需要在网络中提供冗余的重要性。下面我们将教你如何使用热备
份路由器协议确保冗余。
如果路由器出现故障而导致企业无法接入互联网会发生什么?企业可以接受吗?或许可暂时逃脱处罚,但是你需要制定一个更好的计划,而不
仅仅是简单的桌面呼叫支持。
这就是为什么需要在网络中提供冗余的重要性。考虑为当前路由器增加一个可以立即接管的备份路由器。企业需要的只是硬件,Cisco软件会完
成其他事情。让我们考察如何利用热备份路由器协议(HSRP)配置它。
什么是HSRP?
HSRP是Cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以,如果某台路由器发生故障,备份路由器会接管主路由器的路由 功能。
然而,Cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议(VRRP)。另一个HSRP的可替换选择是网关负载平衡协议(GLBP
),这是Cisco的另一个私有解决方案。
HSRP如何工作?
在使用HSRP的时候,路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器发送HELLO数据包,备用路由器假定主
路由器已关闭,从而进行接......
《让我们一起CCNA吧》系列文章三:子网划分(2006-11-01 22:58:00)
摘要:思科关于这章的考试内容如下:
规划和设计:
* 使用思科技术设计一个简单的局域网
* 设计一个适应设计要求的IP寻址方案
* 使用思科技术设计一个简单的互连网络
技术:
*评价TCP/IP通信过程和相关的协议
故障检测:
* 执行LAN和VLAN故障检测
* 检测IP寻址和主机配置故障
* 检测一个网络中的一个设备故障
这章主要是讨论划分子网的内容,它在思科的考试中占非常重要的位置,而且需要大量的时间和练习来熟悉它。
在这里我假定各位读者已经了解IP地址的分类即:A类地址1-126;B类地址128-191;C类地址192-223。
子网划分基础:
子网划分(subnetting)的优点:
1.减少网络流量
2.提高网络性能
3.简化管理
4.易于扩大地理范围
怎么样创建一个子网:
如何划分子网?首先要熟记2 的幂:2 的0 次方到9 次方的值分别为:1,2,4,8,16,32,64,128,256和512。还有要明白的是:子网划分是借助于取走主机位,把这个取走的部分作为子网位。因此这个意味划分越多的子网,主机将越少。
子网掩码(Subnet Masks):
子网掩码用于辨别IP 地址中哪部分为网络地址,哪部分为主机地址,有1 和0 组成,长32 位,全为1 的位代表网络号.不是所有的网络都需要子网,因此就引入1 个概念:默认子网掩码(default subnet mask).A 类IP 地址的默认子网掩码为255.0.0.0;B 类的为255.255.0.0;C 类的为255.255.255.0。
Classless Inter-Domain Routing(CIDR):
CIDR 叫做无类域间路由,ISP 常用这样的方法给客户分配地址,ISP 提供给客户1 个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28 代表多少......
《让我们一起CCNA吧》 系列文章二:网络协议(2006-11-01 22:58:00)
摘要:本系列文章主要针对CCNA 640-801的学习者,学习课程为SYBEX的《Cisco Certified Network Associate Study Guide Fourth Edition》
第一章链接如下:
[原创]《让我们一起CCNA吧》 系列文章一:网际互连及思科认证考试介绍
Internet Protocols
Transmission Control Protocol/Internet Protocol (TCP/IP),TCP/IP协议集是美国国防部(Department of Defense (DoD))创建的,用来保证和维持数据完整性,也为了在灾难性的战争事件中建立通信。所以按照设计和执行上的正确性,一个TCP/IP网络是真实可靠的并具有弹性的网络。在这篇文章里,我将详细介绍TCP/IP协议集。通过学习你将能够学会怎么创建一个令人惊奇的TCP/IP网络,当然!是使用CISCO公司的路由器实现的。
开始了,我们先看一看DOD版本的TCP/IP协议集和OSI参考模型有什么区别。
TCP/IP and the DoD Model
DOD模型基本上就是一个浓缩版本的OSI模型,它由四层组成而不是OSI模型的七层:
·Process/Application layer 应用处理层
·Host-to-Host layer 主机到主机层
·Internet layer 网际层
·Network Access layer 网络访问层
图2.1显示了一个DOD模型和OSI参考模型的比较图,就象你所看到的,它们两个在概念上十分的相似,但是它们有不同的层数和不同的名称。
注意:当谈及IP栈上的不同的协议时,OSI参考模型和DOS模型是可以互相交换的。网际层(Internet layer)和网络层(Network layer)只不过是描述相同东西......
《让我们一起CCNA吧》 系列文章一:网际互连及思科认证考试介绍 (2006-11-01 22:56:00)
摘要:前提
让我们了解CISCO认证系列
Cisco职业资格认证
为了满足互联网的高速发展对专业工程师的需求,思科系统公司(CISCO SYSTEM INC) 于1993年设立了思科认证互联网工程师初级到高级的一系列课程,CCNA、CCNA为初级认证,同时有CCNP、CCDP、CCNP Specialization、CCDP Specialization等高级认证及CCIE最高级认证。整套认证主要致力于网络维护与网络设计两个方向。
CCNP Specialization及CCDP Specialization包括六个领域的证书,分别是:网络安全,语音访问,网络管理, 局域网异步传输模式SNA/IP集成,SNA/IP网管,当取得CCNP或CCDP资格后,即可根据自身的需求和能力选择其中一个或全部课程的认证。
CCDA(思科认证设计师)为Cisco认证中的第一步,同时有CCNP(思科认证资深网络工程师)CCDP(思科认证资深设计师)与专业选修(CCNP Specialization)等高级认证,最高级别认证是思科公司认证网际网高级专家(CCIE)。
销售专家CPE(Cisco Product Essential)和CSE(Cicso Solution Essential)
获得CPE、CSE证书证明您:
已经系统地了解Cisco的全线网络产品的特性,能够有针对性的为客户设计一整套解决方案,使客户得到他们真正想要的东西,从而使您在销售工作中能够得心应手,立于不败之地.
Cisco售后工程师认证体系:
Cisco Certified Network Associate(CCNA)
该认证可证明您已掌握网络的基本知识,并能初步安装、配置和操作Cisco路由器、交换机及简单的LAN和WAN。
Cisco Certified Network Professional(CCNP)
CCNP是Cisco授证体系中的一项中级认证,介于CCNA和CCIE之间。CCNP应能使用复杂的协议和技术来安装、配置、操作网络,并具备诊断及排除故障的能力。
Cisco Certified Internet Expert(CCIE)
该认证是Cisco认证体系中最高的一项认证,是对您所具有的各种网......
cisco路由/交换机命令大全 (2006-11-01 22:46:00)
摘要:交换机命令
switch> 用户模式
1:进入特权模式 enable
switch> enable
switch#
2:进入全局配置模式 configure terminal
switch> enable
switch#c onfigure terminal
switch(conf)#
3:交换机命名 hostname aptech2950 以aptech2950为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch-2950
aptech2950(conf)#
4:配置使能口令 enable password cisco 以cisco为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# enable password cisco
5:配置使能密码 enable secret ciscolab 以cicsolab为例
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# enable secret ciscolab
6:设置虚拟局域网vlan 1 interface vlan 1
switch> enable
switch#c onfigure terminal
switch(conf)#hostname aptch2950
aptech2950(conf)# interface vlan 1
aptech2950(conf-if)#ip ad......
CISCO交换机命令全集加说明(2006-10-23 23:11:00)
摘要:
Table of Contents
Command Descriptions
address-violation
autobaud
back-pressure
banner motd
bridge (forwarding-time)
bridge-group
bridge-group (allow-overlap)
bridge-group (enable)
bridge (hello-time)
bridge (max-age)
bridge (priority)
cdp (advertise-v2)
cdp (enable)
cdp (holdtime)
cdp (timer)
cgmp
cgmp (hold-time)
cgmp (leave-processing)
cgmp (remove)
cgmp (reserved)
clear (cgmp)
clear (dns-cache)
clear (counters)
clear (mac-address-table)
clear (uplink-fast statistics)
clear (vtp statistics)
cluster
configure
copy (nvram tftp)
copy (tftp)
copy (xmodem)
databits
delete (nvram)
delete (vtp)
description
disable
duplex
ecc
enable
enable (password)
enable (secret)
enable (use-tacacs)
end
exit
fddi (a......