Cisco基本网络配置.ppt

2010年11月 1 Cisco简单配置总结 一 cisco的三种设备类型 1 cisco路由器2 ciscoswitch 思科交换机 3 ciscoasa5510 思科防火墙 2 1 路由器设备型号 3 87118002600280036007200 2 交换机设备型号 29502960297035503560450645106050 4 3 Cisco防火墙型号 Asa asa5505asa5510asa5520asa5540asa5580PIX PIX515PIX520PIX525 5 2 网络拓扑图 网络拓扑图 6 Cisco基本网络设置 7 1 进入路由器router enable 从用户模式进入到特权模式 Router 2 进入全局模式Router configterminalrouter config 3 修改主机名称router config hostnamexxxx Cisco基本网络设置 8 4 设置用户名 密码Route config Usernamenamepasswordxxxxxx设置enable密码Route config enablesecretpassword 5 设置远程连接 telnet Route config linevty04Route config line passwordxxxxxxx x表示密码 Route config line login Cisco基本网络设置 9 6 设置consolerouter config lineconsle0passwordxxxxxxx表示密码7 端口设置IP地址router config interfacefastethernetx x路由器端口router config if Ipaddressx x x xx x x x子网掩码router config if noshut Cisco基本网络设置 10 8 端口设置子接口 辅助地址设置子接口 Router config interfacef0 1Router config if noipaddressRouter config if noshutRouter config if interfacef0 1 0Router config if ipaddressx x x xx x x x设置辅助地址 Router config interfacef0 1Router config if ipadd192 168 1 254255 255 255 0secondary Cisco基本网络设置 11 10 设置路由Router config Iproutex x x xx x x xx x x x静态路由iproute0 0 0 00 0 0 0 x x x x默认路由Router config Routerrip动态rip路由协议Router config router Networkx x x xx x x x网络地址 反码11 交换机保存配置switch write或copyrunning configstartup config保存配置信息 Cisco基本网络设置 12 12 添加访问控制列表标准访问控制列表 Router config Access list 1 99 deny permit protocol source ip x x x x destination 扩展访问控制列表Router config access list 100 199 permit deny protocol source ip x x x x destination Cisco基本网络设置 13 13 NAT静态地址转换Ipnatinsidesourcestatic内部本地地址内部合法地址动态地址转换ipnatpool地址池名字起始IP地址终止IP地址子网掩码access list标号permit源地址通配符ipnatinsidesourcelist访问列表标号pool内部合法地址池名字overload复用动态地址转换ipnatpool地址池名字起始IP地址终止IP地址子网掩码以上3种NAT转换需要在接口引用inside outside Cisco基本网络设置 14 14 如何清除命令Clearcounters清除所有接口的配置信息Cleararp清除ARP表Cleariproute 清除路由表erasestartup configuration清除设备原因配置15 设置MAC地址Router config mac address0017 082D 473B16 路由器重启命令Router reload Cisco基本网络设置 15 17 cisco路由器查看命令Who查看telnet登陆用户Showrunning configure查看配置信息Showrunning configureinterfacefx x查看接口详细配置Showiproute查看路由表Showinterfacefastethernetx x查看快速以太网接口Showipinterfacebrief查看接口链路层状态Showarp查看ARP地址表Showversion查看路由器版本信息Showuser查看登陆用户Showprocessescpu查看cpu使用进程Showlog查看日志 16 Switch基本网络设置 1 进入交换机switch enable进入特权模式2 进入全局模式switch configterminal进入全局配置模式3 设置主机名switch config hostnamexxxx x表示主机名称 4 设置enable密码switch config enablepasswordxxx设置特权非密口令switch config enablesecretxxx设置特权加密口令 5 交换机设置管理地址switch config interfacevlan1进入vlan1switch config if ipaddressx x x x设置IP地址switch config ipdefault gateway设置默认网关6 交换机如何划分vlanswitch vlandatabase进入VLAN设置switch vlan vlan2新建VLAN2switch vlan novlan2删除VLAN2或者switch config interfacevlanXX表示vlan数 17 Switch基本网络设置 Switch基本网络设置 7 将端口划分给vlanswitch config intf0 1进入端口switch config if switchportaccessvlan2当前端口加入vlan2switch config if switchportmodetrunk设置为干线switch config if switchporttrunkallowedvlan1 2设置允许的vlan8 如何设置mac地址绑定Switch config Interfacefastethernet0 1Switch config if Switchportport secruitySwitch config if switchportport securitymac addressMAC 主机的MAC地址 9 交换机保存配置switch write或copyrunning configstartup config保存配置信息 18 Switch基本网络设置 10 如何设置mac地址绑定Switch config Interfacefastethernet0 1Switch config if Switchportport secruitySwitch config if switchportport securitymac addressMAC 主机的MAC地址 11 设置console telnet登陆密码switch config lineconsole0switch config con passwordxx设置登录口令xxswitch config linevty04进入虚拟终端switch config line login允许登录passwordxx设置登录口令xx 19 Switch基本网络设置 12 查看交换机配置命令switch showrun查看当前配置信息showinterface查看端口信息showintf0 0查看指定端口信息showipinterfacebrief查看各接口信息showmac address table查看MAC地址表showver查看交换机信息 20 asa特点 1 从高安全级别接口到低安全级别接口的流量叫outside流量 这种流量默认是允许的 2 从低安全级别接口到高安全级别接口的流量叫inbound流量 这种流量默认是不允许的 但我们可以使用ACL来放行inbound流量 3 相同安全级别的接口之间的流量默认是不允许的 但是可以用命令打开 4 安全级别的范围为0 100 5 默认inside安全级别为100 其余接口默认为0 21 防火墙asa基本设置 防火墙asa基本设置 配置接口1 配置主机名 Ciscoasa config hostnameASAFW配置Ethernet0 0ASAFW config interfaceethernet0 0ASAFW config security level0 定义接口安全级别 ASAFW config nameifoutside 接口设置名称 ASAFW config ipaddressx x x xx x x x 设置公网IP地址 ASAFW config noshutdown 22 防火墙asa基本设置 配置Ethernet0 1ASAFW config interfaceethernet0 1ASAFW config security level100 定义接口安全级别 ASAFW config nameifinside 接口设置名称 ASAFW config ipaddressx x x xx x x x 设置公网IP地址 ASAFW config noshutdown配置静态路由 默认路由 ASAFW config routeoutside00 x x x x 供应商分配网关 静态路由 ASAFW config routeinside10 1 10 0255 255 255 010 1 1 1 23 五 Securitylevel 3 配置Ethernet0 1ASAFW config interfacee0 1ASAFW config noshutdownASAFW config interfacee0 1 3ASAFW config subif vlan3ASAFW config subif nameifinsideASAFW config subif ipaddress10 1 1 10255 255 255 0ASAFW config subif interfacee0 1 4ASAFW config subif vlan4ASAFW config subif nameifMDZASAFW config subif security level50ASAFW config subif ipaddress192 168 1 10255 255 255 0 24 六 Showconn ASAFW showconn1inuse 13mostusedTCPoutside202 100 1 1 23inside10 1 1 1 11001 idle0 00 10 bytes116 flagsUIO 1 tcp插口对信息源 10 1 1 1源端口 11001目的 202 100 1 1目的端口 23 2 空闲时间 10秒钟 3 传输字节数 116Flags U upI inbounddataO outbounddata 25 为什么PING不通 1 ASA默认只对穿越的TCP和UDP流量维护状态化信息 2 Inside发起的ICMPecho包能抵达outside 表示outbound流量默认放行的策略是有效的 3 返回的ICMPecho reply包被防火墙丢弃 因为inbound流量默认是被绝决的 4 两种解决方案 一 ACL放行 二 监控ICMP流量命令一 access listoutexendedicmpanyanyAccess groupoutininoutside命令二 fixupprotocolicmp 26 5 清空配置 清空Startupconfiguration ASA writeerase 清空Runningconfiguration ASA config clearconfigall 重启ASA ASA reload 27 关于动态路由协议 1 ASA8 0支持 RIP OSPF EIGRP 2 配置方式与IOS安全相同 重分布 路由过滤 3 ASA8 0所有掩码都为正掩码 ACL 路由通告 28 基本NET配置 Nat inside 110 1 1 0255 255 255 0Global outside 1202 1 1 1 1 nat定义转换流量源地址和源接口 2 global定义转换目的端口和地址池 3 ID需要对应 并且大于等于1 29 Showxlate ASAFW config showxlate1inuse 3mostusedGlobal202 1 1 1llocal10 1 1 1Nat control OS 7 x默认nonat controlOS 7 x默认nat controlnat control一旦启用 没有nat不能穿越FWnonat control在满足安全策略的前提下 无需nat也能穿越FW 30 配置