思科路由交换安全设置实战手册Word格式.docx
《思科路由交换安全设置实战手册Word格式.docx》由会员分享,可在线阅读,更多相关《思科路由交换安全设置实战手册Word格式.docx(18页珍藏版)》请在冰豆网上搜索。
许或者拒绝的IP段)
4、地址转换:
(config)#ipnatinsidesourcelist1interfaceFastEthernet4overload(指定端口
-根据实际情况来定)
5、如果用池的方式:
先建立一个动态池
(config)#ipnatpool871211.99.151.208211.99.151.208netmask255.255.255.0
(config)#ipnatinsidesourcelist1pool871overload(指定要将转换主机的IP和池联系起
来)
6、静态IP转换(主要应用于服务器)
(config)#ipnatinsidesourcestatic10.1.1.480.1.1.10(内网主机IP在前,公网IP在后)
(config)#ipnatinsidesourcestatictcp192.168.0.580171.68.1.180extendable(如果要带协议
的话---statictcp;
内网主机后则必须要端口号;
同样外网主机也需要端口号;
extendable—
可选)
7、常用的清除配置命令:
2950#erasestartup-config(和路由一样)
1900#deletenvram
#showprocessescpu(查看CPU使用率)
2
测试端口是否丢包!
#ping
Protocol[ip]:
(回车)
TargetIPaddress:
211.99.151.193(IP地址)
Repeatcount[5]:
10000(设置默认包是数量)
Datagramsize[100]:
10000(包的大小)
Timeoutinseconds[2]:
Extendedcommands[n]:
Sweeprangeofsizes[n]:
Typeescapesequencetoabort.
ping192.168.1.11source192.168.1.23repeat1000size1000
停止:
#ctrl+shift+6
交换机升级成E的步骤:
Switch#archivedownload-sw/imageonly/overwrite/reloadtftp:
//10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar(此仅是IOS软件的升级,还需要改号、改E等)
trace命令提供路由器到目的地址的每一跳的信息
#trace171.144.1.39(目的IP)
#ctrl+shift+6停止
telnet设置
(config)#linevty04
(config-if-line)#passwordXXXXXX
(config-if-line)#login
enable密码设置
(config)#enablepasswordXXXXX(不加密密码)
(config)#enablesetXXXXX(加密密码)
问题备注:
1、现象:
从路由能ping外网,也能ping电脑。
电脑也能ping路由,但电脑ping不通
下一跳(或者说上不了网)
原因:
在路由的全局模式下加上网关即可。
(config)#ipdefault-gatewayXXX.XXX.XXX.XXX
2、思科路由恢复口令方法。
(1)在启动的60s内按下中断键Ctrl+Break,,使设备进入rommonitor状态。
(2)在rommonitor中输入o命令:
>
o(查看当前的Configurationregister值)
configurationregister=0X2102(寄存器启动方式默认值)
atlastboot
(3)输入“>
o/r0x0142”(修改寄存器启动方式,使其启动不运行配置)
3
o/r0x0142
(4)重新启动路由器:
I
rommon2>
reset
(5)在“Setup”模式,对所有问题回答“No”
(6)进入特权模式:
router>
enable
(7)下载NVRAM
Router>
configurememory
(8)恢复原始配置寄存器值并激活所有端口:
#configureterminal
(config)#configregister0X2102
(config)#interfacexx
(config)#noshutdown
(9)查询并记录丢失的口令:
2509#showconfiguration(showstartupconfig)
(10)修改口令:
Router#configureterminal
(config)#lineconsole0
(configline)#login
(configline)#passwordxxxxxxx
(config)#enablesecretxxxxx
(11)保存重起
Router#wr
Router#reload
3、要在路由上pingwww网址
(config)#ipname-server203.196.0.6
(config)#ipname-server202.106.0.20
二、ADSL上网配置(用户端)
此设置是ADSL猫加+路由器,如果是WIC-1ADSL+路由略有不同
871配置
1、启用相关协议
(config)#vpdnenable
(config)#vpdn−group1(也可以取名PPPOE)
(config-vpdn)#rrequest-dialin
(config-vpdn-req-in)#protocolpppoe
config)#vpdnipudpignorechecksum(也可不写这个)
2、配置内网口
(config)#interfaceEthernet0/0
(config-if)#ipaddress内网地址
(config-if)#ipnatinside
(config-if)#iptcpadjust-mss1452(主要是针对MSN等程序起用此命令)
4
作用:
需要注意的就是iptcpadjust-mss1452调整tcp最大分段大小以满足PPPOE下的
MTU
因为pppoe下实际的数据段只能为1500-8(ppp的头)=1492,1492再减去TCP和IP头各20
等于1452,也就是说为了避免2层上不停的分割数据包,适应某些应用如MSN,同时加快传输
3、配置外网口及其启用协议
(config-if)#noipaddress
(config-if)#pppoeenable(启用PPPOE协议)
(config-if)#pppoe-clientdial-pool-number10(建立客户端拨号表,10代表表名字)
4、配置ADSL接口
(config)#interfaceDialer1(如果是WIC-1ADSL+路由则应该是interfaceATM0)
(config-if)#ipaddressnegotiated(自动获得IP)
(config-if)#ipnatoutside
(config-if)#mtu1492(修改MTU值)
(config-if)#encapsulationppp(设置协议)
(config-if)#dialerpool10(拨号表名)
(config-if)#dialer−group10(起用拨号表)
(config-if)#pppauthenticationpapchapcallin(认证方式)
(config-if)#pppchaphostname******(chap认证名字)
(config-if)#pppchappassword******(chap认证密码)
(config-if)#ppppapsent-username******password******(pap认证名字和密码)
5、配置拨号列表和控制列表的关系和路由等
config)#dialer−list10protocolippermit(感兴趣流—即引发拨号的设置)
(config)#dialer-list10protocoliplist1(绑定拨号列表和控制列表之间的关系)
config)#ipnatinsidesourcelist1interfaceDialer1overload(NAT设置)
config)#iproute0.0.0.00.0.0.0dialer1(路由)
config)#access−list1permitany(控制列表)
6、动态DHCP
(config)#ipdhcpexcluded-address192.168.2.199192.168.2.255(排除要分配的IP段)
2620配置(其他一样)
config)#vpdnenable
config)#vpdnipudpignorechecksum
config)#vpdn-grouppppoe(也可以用数字)
三、单背路由
5
如图所示:
(config)#intf0/0(进入要分子接口的接口,注意:
此接口必须是三层接口)
(config-if)#noipadd
(config-if)#nosh
(config-if)#noswitchport
(config-if)#intf0/0.2(划分子接口)
(config-subif)#ipaddXXX.XXX.XXX.XXX255.255.255.0
(config-subif)#encapsulationdot1Q1--4094(dot1Q是协议,1—4094是vlan号,目的:
传输什么协议和指定用来接收那个vlan的数据)
注意:
和划子接口相连的端口必须为trunk
其他的和一的配置没有什么区别!
四、划分VLAN、VTP、trunk模式、交换机清除密码
1、VTP域设置:
1900(config)#vtpserver|transparent|client](分别是服务模式、透明模式和客户端模式)
1900(config)#vtpdomaindomain-name(设置VTP域的名字)
1900(config)#vtppasswordpassword(密码可选)2950#vlandatabase
2950(vlan)#vtp[server|client|transparent]
2950(vlan)#vtpdomaindomain-name(VTP名字)
下面均可选
2950(vlan)#vtppasswordpassword(密码可选)
2950(vlan)#vtppruning
2950(vlan)#snmp-serverenabletrapsvtp
2950(vlan)#exit
设置trunk
(config-if)#switchporttrunkencapsulationdot1q(协议在前,封装在后,设置trunk)
(config-if)#switchportmodetrunk(设置trunk,VTP域只能在设置trunk模式后才能学习)
划分VLAN:
1900(config)#vlanvlan#(VLAN号)[namevlan-name(名字—可选)
2950#vlandatabase
6
2950(vlan)#vlanvlan#[namevlan-name](名字可选)
将端口加入到VLAN中
将端口8加入到VLAN9中
1900(config)#interfaceethernet0/8
1900(config-if)#vlan-membershipstatic9
2950(config)#interfaceethernet0/8
2950(config-if)#switchportmodeaccess(将端口指定为接入模式)
2950(config-if)#switchportaccessvlan9
3500#showvlanbrief(查看VLAN)
3500#showvlan(查看VLAN)
871#showvlan-switchbrief(查看VLAN)
871#showvlan-switch(查看VLAN)
(vlan)#showchanges(查看VLAN信息)
3500#showinttrunk(查看trunk)
3500#showvtpstatus(查看VTP模式)
3500#showvlanid2(单独查看VLAN信息)
镜像映射配置
通过交换机的第2号口监控第1号口的流量
端口镜像映射配置
(config)#monitorsession1sourceinterfacefastEthernet0/1
(config)#monitorsession1destinationinterfacefastEthernet0/2
VLAN镜像映射配置
(config)#monitorsession1sourcevlan1
2、交换机恢复密码:
步骤1:
把管理机连接到交换机的CONSOLE接口,然后拔掉电源.
步骤2:
按住前面板的MODE按钮,然后插上交换机的电源线.过5秒钟左右松手,系统会有一
些提示信息,表示进入监视模式switch:
步骤3:
输入flash_init或flash初始化FLASH文件系统.
步骤4:
输入load_helper装载并初始化帮助映像,这是存储在ROM中的最小IOS映像,用于灾
难恢复.
步骤5:
输入dirflash:
显示FLASH的文件和目录列表.
步骤6:
输入renameflash:
config.textflash:
config.old,修改配置文件名.
步骤7:
输入boot,重启系统.
步骤8:
在提示符下键入N,跳过setup模式.
步骤9:
在提示符下,键入enable进入特权模式.
步骤10:
config.oldflash:
config.text,将配置文件改回原来的名称.
步骤11:
将配置文件拷贝到运行的配置中:
Switch#copystartup-configrunning-config
步骤12:
改变口令.
步骤13:
将改变的配置拷贝到配置文件中.
7
路由器清除密码
1、在路由器启动后的60秒内请在终端上键入中断键(Break键或Ctrl_C键),您会看到一
个前面没有路由器名字的>
大于号)提示符。
2、在>
号提示符下键入“o/r0x42”以便从Flash启动,注意第一个字母“o”不是十进制数“0”
(该为不要配置启动)
3、在>
号提示符下键入“i”,路由器便会忽视存储的配置文件进行重新启动。
4、路由器启动后,对所有的setup的问题回答“no”。
5、在router>
提示符下键入“enable”,您就不需要口令就进入到enable模式,并且看到
router#提示符。
6、有两种方法可以改变enable口令:
a.删除所有的配置,键入“writeerase”。
(清除所有配置)
b.不删除所有的配置,只删除enable的口令
.①在router#conft
.②在router(config)#提示符下键入“enablesecretxxxxxx”,其中“xxxxxx”为您想
所设定的口令。
.router#③wr(保存)
7、在route(config)#提示符下键入“config-register0x2102”,或者您在第二步所记录下
来的值。
(改为正常值启动)
8、router#wr(保存)
9、在router#提示符下键入“reload”。
(重新启动)
五、控制列表
每接口、每协议、每方向只能有一个访问列表
1、标准控制列表
(config)#access-listaccess-list-number{permit|deny|remark}source[mask
说明:
access-list-number:
是列表的号码名(1—99)
permit|deny允许或者禁止
source[mask源IP或者IP段和反掩码
例:
(config)#access-list1permitany(允许所有通过)
B、(config)#access-listaccess-list-number+(permit|deny)+host+IP地址
(config)#access-list1permithost211.99.151.208
2、扩展控制列表
(config)#access-list+(名字—100-199)+(permit|deny)+协议+源IP(段)+反掩
码+目的IP(段)+反掩码+(eq\gt\lt\range)+端口号
eq就是等于gt就是大于lt就是小于range就是包括
8
(config)#access-list+(名字—100-199)+(permit|deny)+协议+any(指所有)+any(指
所有)+(eq\gt\lt\range)+端口号
客户要求:
(config)#interfacefastEthernet0/0(进入外网口)
(config-if)#ipaccess-group100out
帮我配置一下:
外网222.77.64.146255.255.255.252222.77.64.145
内网192.168.0.1255.255.255.255.0192.168.0.1
DNS202.101.107.55202.101.98.55
禁止dhcp
禁止192.168.0.160-192.168.0.230上外网(tcp)
禁止192.168.0.3-192.168.0.2548000(udp)
禁止192.168.0.3-192.168.0.254443(tcp)
禁止192.168.0.3-192.168.0.254访问218.117.209.1-218.117.209.25580(tcpwww)
禁止192.168.0.3-192.168.0.254访问(ip)
配置如下:
暂时无配置
路由器通过以太网的子口建立与下连交换机TRUNK口相连。
(下面未经过验证,故不能全信)
要求管理VLAN可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN,但是其它VLAN
不可以访问管理VLAN。
下面把路由器上的配置附上:
ipaccess-listextendedinfilter
evaluatemppacket
denyip10