CISCO_设备安装与调试.doc_第1页
CISCO_设备安装与调试.doc_第2页
CISCO_设备安装与调试.doc_第3页
CISCO_设备安装与调试.doc_第4页
CISCO_设备安装与调试.doc_第5页
已阅读5页,还剩21页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

Cisco 设备安装与调试一、PIX 515防火墙介绍也应用Cisco Secure PIX防火墙系列通过其业界领先的性能和端到端安全服务的有机组合,确立了Cisco在独立防火墙市场上的领先地位。 Cisco Secure PIX防火墙系列通过其业界领先的性能(参见Key实验室给出的Firebech测试结果)和Cisco端到端安全服务的有机组合,确立了在独立防火墙市场龙头老大的地位。集成硬件/软件Cisco Secure PIX防火墙系列提供了很高的安全性,能够满足客户的所有需求,但不会影响客户网络的性能。 虽然PIX 520是高端外围安全产品当之无愧的领导者,但随着虚拟专网(VPN)的出现和越来越多的中小公司进入Internet市场,防火墙市场的需求越来越大。目前,各组织机构需要价格合理且功能强大的防火墙,为全球化的VPN、地区性分支机构和那些希望以预算内的价格实现安全性的中小公司提供必要的安全手段。 PIX 515正是为了满足以上需求而设计。现在,利用PIX v5.0软件以及所有的后续v5.x版本,所有的设备包括PIX515-R和PIX515-UR都完全支持IPSec。这类版本使PIX可以在两个PIX、一个PIX和任意Cisco VPN路由器、一个PIX和Cisco安全VPN客户机之间创建和端接VPN隧道。 PIX-515:无限软件捆绑 具有无限软件许可证的PIX 515-R是为那些正在寻求使用基本防火墙功能来实现高性能安全性的企业而提供的入门级Cisco解决方案。它所提供的能力可以处理50000余个同时连接,吞吐量高达170Mbps。 支持多达3个以太网接口的PIX 515-R-BUN是一种具有特别高效费比的解决方案,特别适合那些选择在防火墙之外托管自己的网站或者通过Internet服务提供商(ISP)托管网站,并且需要较合理性价比防火墙解决方案的小型公司。另外,也非常适合那些仅需要与自己企业网进行双向通信的远程站点,或由企业网在自己的企业防火墙上提供所有的Web服务的情况。 PIX-515:无限制软件 PIX 515-UR(无限制)除了提供PIX 515-R-BUN所有的功能以外,还提供故障切换功能和多达6个10/100以太网端口。多出来的4个端口允许更加健壮的传输配置,可以在其上托管一个受到保护的DMZ,从而运行一个网站或执行URL过滤和病毒检测。PIX 515-UR是专为中型企业而设计,能够提供接近170Mbps的吞吐量和10万个同时连接,并实现快速、可靠和价格合理的安全性保护。 PIX 515:故障切换捆绑防火墙冗余是那些Internet、Intranet或Extranet连接是其企业生命线的企业的关键。防火墙停止工作一分钟就意味着可能损失收入、机会或关键信息。Cisco为PIX 515 UR创建了新的故障切换捆绑程序包,使上述要求可以简单、便宜的实现。该程序包为企业提供了特别设计在故障切换模式下运行的第二个防火墙,而其价格仅是标准PIX 515 UR捆绑件的一小部分。 将PIX-515-R升级到PIX-515-UR 随着公司的发展,安全要求也随之提高。这也是为什么现在Cisco开发一种从PIX-515-R升级到PIX-515-UR的价格合理的升级方法的原因,它保证了能够轻松地对功能和性能进行升级以满足明天的要求。PIX-515-SW-UPG=和PIX-MEM-32=一起可以将有限许可的PIX 515升级为无限制的PIX 515,与您购无限制许可证相比,其花费要小。 CiscoPIX防火墙的安装流程1.将PIX安放至机架,经检测电源系统后接上电源,并加电主机。 2.将CONSOLE口连接到PC的串口上,运行HyperTerminal程序从CONSOLE口进入 PIX系统;此时系统提示pixfirewall。 3.输入命令:enable,进入特权模式,此时系统提示为pixfirewall#。 4.输入命令:configureterminal,对系统进行初始化设置。 5.配置以太口参数: interfaceethernet0auto(auto选项表明系统自适应网卡类型) interfaceethernet1auto 6.配置内外网卡的IP地址: ipaddressinsideip_addressnetmask ipaddressoutsideip_addressnetmask 7.指定外部地址范围: global1ip_address-ip_address 8.指定要进行要转换的内部地址: nat1ip_addressnetmask 9.设置指向内部网和外部网的缺省路由 routeinside00inside_default_router_ip_address routeoutside00outside_default_router_ip_address 10.配置静态IP地址对映: staticoutsideip_addressinsideip_address 11.设置某些控制选项: conduitglobal_ipport-portprotocolforeign_ipnetmask global_ip指的是要控制的地址 port指的是所作用的端口,其中0代表所有端口 protocol指的是连接协议,比如:TCP、UDP等 foreign_ip表示可访问global_ip的外部ip,其中表示所有的ip。 12.设置telnet选项: telnetlocal_ipnetmask local_ip表示被允许通过telnet访问到pix的ip地址(如果不设此项, PIX的配 置只能由consle方式进行)。 13.将配置保存: wrmem 14.几个常用的网络测试命令: #ping #showinterface查看端口状态 #showstatic查看静态地址映射 二、cisco 2621 路由器安装与配置随着Internet技术的迅猛发展,IP地址短缺已成为一个相当严重的问题。为了解决这个问题,局域网用户共享较少的IP地址上Internet有很多种方式,比较典型的是通过代理服务器上互联网。然而代理服务器毕竟是以软件为主,长期运行容易造成系统不稳定,并最终可能导致所有局域网用户都无法上网。本文介绍一种用Cisco 2621路由器把局域网接入宽带Internet的方法,它利用了路由器的地址转换(NAT)功能。 NAT设置可以分为静态地址转换、动态地址转换和复用动态地址转换三种。 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供共享服务,这些服务器的IP地址必须采用静态地址转换,以便使外部用户可以使用这些服务。 动态地址转换也是将本地地址与内部合法地址进行一对一的转换,但是是从内部合法地址池中动态地选择一个未使用的地址对内部本地地址进行转换的。 复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对于那些只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用,以下介绍的就是这种上网方式。 CISCO路由器初始配置简介很多初学路由器知识的网友对路由器的初始配置可能感到很陌生,本人在初学时也很困惑,因为一下出来很多提问不知如何是好,下面将最近刚调试的一台CISCO3640的初始配置整理出来与各位网友交流,如有疏漏之处,还请大家指正。1.用CISCO随机带CONSOLE线,一端连在CISCO路由器的CONSOLE口,一端连在计算机的COM口。2.打开电脑,启动超级终端.为您的连接取个名字,比如CISCO_SETUP,下一步选定连接时用COM1,下一步选定第秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无.最后选确定。3.打开路由器电源,这时超级终端将出现以下画面:System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1)Copyright (c) 1999 by cisco Systems, Inc.C3600 processor with 32768 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabledprogram load complete, entry point: 0x80008000, size: 0x4ed478 Self decompressing the image :#OKRestricted Rights LegendUse, duplication, or disclosure by the Government issubject to restrictions as set forth in subparagraph(c) of the Commercial Computer Software - RestrictedRights clause at FAR sec. 52.227-19 and subparagraph(c) (1) (ii) of the Rights in Technical Data and ComputerSoftware clause at DFARS sec. 252.227-7013.cisco Systems, Inc.170 West Tasman DriveSan Jose, California 95134-1706Cisco Internetwork Operating System SoftwareIOS (tm) 3600 Software (C3640-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2000 by cisco Systems, Inc.Compiled Tue 16-May-00 12:26 by ccaiImage text-base: 0x600088F0, data-base: 0x60924000cisco 3640 (R4700) processor (revision 0x00) with 24576K/8192K bytes of memory.Processor board ID 25125768R4700 CPU at 100Mhz, Implementation 33, Rev 1.0Bridging software.X.25 software, Version FastEthernet/IEEE 802.3 interface(s)1 Serial network interface(s)DRAM configuration is 64 bits wide with parity disabled.125K bytes of non-volatile configuration memory.8192K bytes of processor board System flash (Read/Write)- System Configuration Dialog -Would you like to enter the initial configuration dialog? yes/no: y您是否进入初始化配置对话,选YAt any point you may enter a question mark ? for help.Use ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Basic management setup configures only enough connectivityfor management of the system, extended setup will ask youto configure each interface on the systemWould you like to enter basic management setup? yes/no: n您是否进入基本配置安装,选NFirst, would you like to see the current interface summary? yes: y首先,您是否看一下当前端口状态Any interface listed with OK? value NO does not have a valid configurationInterface IP-Address OK? Method Status ProtocolFastEthernet0/0unassigned NO unset up downSerial0/0 unassigned NO unset down downFastEthernet0/1unassigned NO unset up downConfiguring global parameters:Enter host name Router:RouterA输入路由器的名字The enable secret is a password used to protect access toprivileged EXEC and configuration modes. This password, afterentered, becomes encrypted in the configuration.Enter enable secret: aaa输入密文The enable password is used when you do not specify anenable secret password, with some older software versions, andsome boot images.Enter enable password: bbb输入密码(不能和密文相同)The virtual terminal password is used to protectaccess to the router over a network interface.Enter virtual terminal password: ccc输入虚拟终端的密码(以备远程登录)Configure SNMP Network Management? yes: n配置简单网管吗?选NConfigure IP? yes: y配置IP吗?选YConfigure IGRP routing? yes: n配置IGRP路由选择协议吗?选NConfigure RIP routing? no:配置IGRP路由选择协议吗?选NConfigure bridging? no:配置桥接吗?选NAsync lines accept incoming modems calls. If you will haveusers dialing in via modems, configure these lines.Configure Async lines? yes: n配置异步线路吗?选NConfiguring interface parameters:Do you want to configure FastEthernet0/0 interface? yes: y您是否想配置fastethernet0/0接口?选YUse the 100 Base-TX (RJ-45) connector? yes: y用RJ45的连接器吗?选YOperate in full-duplex mode? no: y选用全双工模式?选YConfigure IP on this interface? yes: y在这个接口上配置IP吗?选YIP address for this interface: 配置该接口的IP地址(在此地址为Subnet mask for this interface :配置该接口的子网掩码.(默认的是,可以手工输入修改)Class C network is , 24 subnet bits; mask is /24Do you want to configure Serial0/0 interface? yes: y您想配置serial0/0接口吗?选YSome supported encapsulations areppp/hdlc/frame-relay/lapb/x25/atm-dxi/smdsChoose encapsulation type hdlc:选择封装方式(默认的封装方式是HDLC,您可根据与您的路由器相连选用的封装类型来决定用什么样的封装类型No serial cable seen.Choose mode from (dce/dte) dte:(因为没有连串口线所以会让您选择设备类型)Configure IP on this interface? yes: y(在接口上配置IP)Configure IP unnumbered on this interface? no:IP address for this interface: 配置该接口的IP地址(在此地址为)Subnet mask for this interface : 52配置该接口的子网掩码.(默认的是,可以手工输入修改为52)Class B network is , 30 subnet bits; mask is /30(以下配置同上)Do you want to configure FastEthernet0/1 interface? yes:Use the 100 Base-TX (RJ-45) connector? yes:Operate in full-duplex mode? no: yConfigure IP on this interface? yes: yIP address for this interface: Subnet mask for this interface : 52 Class B network is , 30 subnet bits; mask is /30The following configuration command script was created:(把您的配置显示出来)hostname aaaenable secret 5 $1$ul/V$ezbZFgvzGHD.YPSieC0Ew/enable password RouterAline vty 0 4password cccno snmp-server!ip routingno bridge 1!interface FastEthernet0/0media-type 100BaseXfull-duplexip address !interface Serial0/0encapsulation hdlcip address 52!interface FastEthernet0/1media-type 100BaseXfull-duplexip address 52dialer-list 1 protocol ip permitdialer-list 1 protocol ipx permit!end以下提示您是否保存这次设置0 Go to the IOS command prompt without saving this config.1 Return back to the setup without saving this config.2 Save this configuration to nvram and exit.Enter your selection 2: 2选择2保存设置并存入NVRAM中Building configuration.OK Use the enabled mode configure command to modify this configuration.Press RETURN to get started!路由器重新启动00:00:08: %LINK-3-UPDOWN: Interface Serial0/0, changed state to down00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up00:00:08: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0, changed state to down00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to down00:00:09: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down00:03:18: %IP-5-WEBINST_KILL: Terminating DNS process00:03:24: %SYS-5-RESTART: System restarted -Cisco Internetwork Operating System SoftwareIOS (tm) 3600 Software (C3640-I-M), Version 12.1(2)T, RELEASE SOFTWARE (fc1)Copyright (c) 1986-2000 by cisco Systems, Inc.Compiled Tue 16-May-00 12:26 by ccaiRouterA进入用户模式RouterAenPassword:RouterA#进入全局模式RouterA#sh run查看现在运行的配置Building configuration.Current configuration:!version 12.1service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname RouterA!enable secret 5 $1$ul/V$ezbZFgvzGHD.YPSieC0Ew/enable password bbb!memory-size iomem 25ip subnet-zero!interface FastEthernet0/0ip address speed autofull-duplex!interface Serial0/0ip address 52clockrate 2000000!interface FastEthernet0/1ip address 52speed autofull-duplex!ip classlessno ip http server!dialer-list 1 protocol ip permitdialer-list 1 protocol ipx permit!line con 0transport input noneline aux 0line vty 0 4password ccclogin!end现在您就完成了了一个新路由器的基本配置,接下来就可以进行进一步的详细配置了.详细配置一、基本设置方式一般来说,可以用5种方式来设置路由器: 1Console口接终端或运行终端仿真软件的微机; 2AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连; 3通过Ethernet上的TFTP服务器; 4通过Ethernet上的TELNET程序; 5通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率 :9600 数据位 :8 停止位 :1 奇偶校验: 无 二、命令状态1. router 路由器处于用户命令状态,这时用户可以看路由器的连接状态,访问其它网络和主机,但不能看到和更改路由器的设置内容。 2. router# 在router提示符下键入enable,路由器进入特权命令状态router#,这时不但可以执行所有的用户命令,还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#,此时路由器处于全局设置状态,这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#; 路由器处于局部设置状态,这时可以设置路由器某个局部的参数。 5. 路由器处于RXBOOT状态,在开机后60秒内按ctrl-break可进入此状态,这时路由器不能完成正常的功能,只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态,在特权命令状态使用SETUP命令也可进入此状态,这时可通过对话方式对路由器进行设置。 三、设置对话过程 1. 显示提示信息2. 全局参数的设置3. 接口参数的设置4. 显示结果利用设置对话过程可以避免手工输入命令的烦琐,但它还不能完全代替手工设置,一些特殊的设置还必须通过手工输入的方式完成。进入设置对话过程后,路由器首先会显示一些提示信息:- System Configuration Dialog - At any point you may enter a question mark ? for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets . 这是告诉你在设置对话过程中的任何地方都可以键入“?”得到系统的帮助,按ctrl-c可以退出设置过程,缺省设置将显示在中。然后路由器会问是否进入设置对话:Would you like to enter the initial configuration dialog? yes: 如果按y或回车,路由器就会进入设置对话过程。首先你可以看到各端口当前的状况: First, would you like to see the current interface summary? yes: Any interface listed with OK? value NO does not have a valid configuration Interface IP-Address OK? Method Status Protocol Ethernet0 unassigned NO unset up up Serial0 unassigned NO unset up up 然后,路由器就开始全局参数的设置: Configuring global parameters: 1设置路由器名: Enter host name Router: 2设置进入特权状态的密文(secret),此密文在设置以后不会以明文方式显示: The enable secret is a one-way cryptographic secret used instead of the enable password when it exists. Enter enable secret: cisco 3设置进入特权状态的密码(password),此密码只在没有密文时起作用,并且在设置以后会以明文方式显示: The enable password is used when there is no enable secret and when using older software and some boot images. Enter enable password: pass 4设置虚拟终端访问时的密码: Enter virtual terminal password: cisco 5询问是否要设置路由器支持的各种网络协议: Configure SNMP Network Management? yes: Configure DECnet? no: Configure AppleTalk? no: Configure IPX? no: Configure IP? yes: Configure IGRP routing? yes: Configure RIP routing? no: 6如果配置的是拨号访问服务器,系统还会设置异步口的参数: Configure Async lines? yes: 1) 设置线路的最高速度: Async line speed 9600: 2) 是否使用硬件流控: Configure for HW flow control? yes: 3) 是否设置modem: Configure for modems? yes/no: yes 4) 是否使用默认的modem命令: Configure for default chat script? yes: 5) 是否设置异步口的PPP参数: Configure for Dial-in IP SLIP/PPP access? no: yes 6) 是否使用动态IP地址: Configure for Dynamic IP addresses? yes: 7) 是否使用缺省IP地址: Configure Default IP addresses? no: yes 8) 是否使用TCP头压缩: Configure for TCP Header Compression? yes: 9) 是否在异步口上使用路由表更新: Configure for routing updates on async links? no: y 10) 是否设置异步口上的其它协议。 接下来,系统会对每个接口进行参数的设置。 1Configuring interface Ethernet0: 1) 是否使用此接口: Is this interface in use? yes: 2) 是否设置此接口的IP参数: Configure IP on this interface? yes: 3) 设置接口的IP地址: IP address for this interface: 4) 设置接口的IP子网掩码: Number of bits in subnet field 0: Class C network is , 0 subnet bits; mask is /24 在设置完所有接口的参数后,系统会把整个设置对话过程的结果显示出来: The following configuration command script was created: hostname Router enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1 enable password pass 请注意在enable secret后面显示的是乱码,而enable password后面显示的是设置的内容。 显示结束后,系统会问是否使用这个设置: Use this configuration? yes/no: yes 如果回答yes,系统就会把设置的结果存入路由器的NVRAM中,然后结束设置对话过程,使路由器开始正常的工作。四、常用命令 1. 帮助在IOS操作中,无论任何状态和位置,都可以键入“?”得到系统的帮助。2. 改变命令状态 任务 命令 进入特权命令状态 enable 退出特权命令状态 disable 进入设置对话状态 setup 进入全局设置状态 config terminal 退出全局设置状态 end 进入端口设置状态 interface type slot/number 进入子端口设置状态 interface type number.subinterface point-to-point | multipoint 进入线路设置状态 line type slot/number 进入路由设置状态 router protocol 退出局部设置状态 exit 3. 显示命令任务 命令 查看版本及引导信息 show version 查看运行设置 show running-config 查看开机设置 show startup-config 显示端口信息 show interface type slot/number 显示路由信息 show ip router 4. 拷贝命令用于IOS及CONFIG的备份和升级 5. 网络命令 任务 命令 登录远程主机 telnet hostname|IP address 网络侦测 ping hostname|IP address 路由跟踪 trace hostname|IP address 6. 基本设置命令 任务 命令 全局设置 config terminal 设置访问用户及密码 username username password password 设置特权密码 enable secret password 设置路由器名 hostname name 设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing 启动IPX路由 ipx routing 端口设置 interface type slot/number 设置IP地址 ip address address subnet-mask 设置IPX网络 ipx network network 激活端口 no shutdown 物理线路设置 line type number 启动登录进程 login local|tacacs server 设置登录密码 password password 五、配置IP寻址 1. IP地址分类IP地址分为网络地址和主机地址二个部分,A类地址前8位为网络地址,后24位为主机地址,B类地址16位为网络地址,后16位为主机地址,C类地址前24位为网络地址,后8位为主机地址,网络地址范围如下表所示:种类 网络地址范围 A 到有效 和保留 B 到有效 和保留 C 到有效 和保留 D 到55用于多点广播 E 到54保留 55用于广播 2. 分配接口IP地址任务 命令 接口设置 interface type slot/number 为接口设置IP地址 ip address ip-address mask 掩玛(mask)用于识别IP地址中的网络地址位数,IP地址(ip-address)和掩码(mask)相与即得到网络地址。3. 使用可变长的子网掩码通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利用有效的IP地址空间。如下图所示:Router1和Router2的E0端口均使用了C类地址作为网络地址,Router1的E0的网络地址为28,掩码为92, Router2的E0的网络地址为4,掩码为92,这样就将一个C类网络地址分配给了二个网,既划分了二个子网,起到了节约地址的作用。4. 使用网络地址翻译(NAT)NAT(Network Address Translation)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.当建立
人人文库> 全部分类> 生活休闲 > 科普知识

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论