思科路由交换安全设置实战手册精讲.docx

思科路由交换安全设置实战手册精讲.docx

《思科路由交换安全设置实战手册精讲.docx》由会员分享，可在线阅读，更多相关《思科路由交换安全设置实战手册精讲.docx（32页珍藏版）》请在冰豆网上搜索。

思科路由交换安全设置实战手册精讲

思科路由、交换、安全设置实战手册

一、使网络能上网

配通步骤：

1、进入端口

内：

（config-if）#ipaddXXX.XXX.XXX.XXX255.255.255.0（可以是vlan）

（config-if）#ipnatinside

（config-if）#nosh

外：

（config-if）#ipaddXXX.XXX.XXX.XXX255.255.255.0

（config-if）#ipnatoutside

（config-if）#nosh

2、设置DNS、网关、路由、DHCP、控制列表和地址转换

DNS：

（config）#ipname-server203.196.0.6（可连续写6个）

网关：

（config）#ipdefault-gatewayXXX.XXX.XXX.XXX（可写可不写）

路由：

（config）#iproute0.0.0.00.0.0.0XXX.XXX.XXX.XXX（IP或者端口---静态路由）

（config）#routerrip（动态）

（config-router）#networkXXX.XXX.XXX.XXX

DHCP（动态分配IP）：

（可以为多个vlan做dhcp）

（config）#ipdhcppool+名字（DHCP名）

（dhcp-config）#network192.168.2.0255.255.255.0（要分配的IP池—注意：

A、B类私网IP一定要加子网掩码，C类不需要）

（dhcp-config）#dns-server203.196.0.6202.106.0.20（DNS）

（dhcp-config）#default-router192.168.2.1（网关）

（dhcp-config）#lease3（租用时间）

（config）#ipdhcpexcluded-address192.168.2.1192.168.2.100（排除要分配的IP段）

（config）#ipdhcpexcluded-address192.168.2.199192.168.2.255（排除要分配IP段）

3、控制列表：

（config）#access-list1permit（deny）192.168.0.00.0.255.255（允许或者拒绝的IP段）

4、地址转换：

（config）#ipnatinsidesourcelist1interfaceFastEthernet4overload（指定端口-根据实际情况来定）

5、如果用池的方式：

先建立一个动态池

（config）#ipnatpool871211.99.151.208211.99.151.208netmask255.255.255.0

（config）#ipnatinsidesourcelist1pool871overload（指定要将转换主机的IP和池联系起来）

6、静态IP转换（主要应用于服务器）

（config）#ipnatinsidesourcestatic10.1.1.480.1.1.10（内网主机IP在前，公网IP在后）

（config）#ipnatinsidesourcestatictcp192.168.0.580171.68.1.180extendable（如果要带协议的话---statictcp；内网主机后则必须要端口号；同样外网主机也需要端口号；extendable—可选）

7、常用的清除配置命令：

2950#erasestartup-config（和路由一样）

1900#deletenvram

#showprocessescpu（查看CPU使用率）

测试端口是否丢包！

#ping

Protocol[ip]:

（回车）

TargetIPaddress:

211.99.151.193（IP地址）

Repeatcount[5]:

10000（设置默认包是数量）

Datagramsize[100]:

10000（包的大小）

Timeoutinseconds[2]:

（回车）

Extendedcommands[n]:

（回车）

Sweeprangeofsizes[n]:

（回车）

Typeescapesequencetoabort.

ping192.168.1.11source192.168.1.23repeat1000size1000

停止：

#ctrl+shift+6

交换机升级成E的步骤：

Switch#archivedownload-sw/imageonly/overwrite/reloadtftp:

//10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar（此仅是IOS软件的升级，还需要改号、改E等）

trace命令提供路由器到目的地址的每一跳的信息

#trace171.144.1.39（目的IP）

#ctrl+shift+6停止

telnet设置

（config）#linevty04

（config-if-line）#passwordXXXXXX

（config-if-line）#login

enable密码设置

（config）#enablepasswordXXXXX（不加密密码）

（config）#enablesetXXXXX（加密密码）

问题备注：

1、现象：

从路由能ping外网，也能ping电脑。

电脑也能ping路由，但电脑ping不通下一跳（或者说上不了网）

原因：

在路由的全局模式下加上网关即可。

（config）#ipdefault-gatewayXXX.XXX.XXX.XXX

2、思科路由恢复口令方法。

（1）在启动的60s内按下中断键Ctrl+Break,，使设备进入rommonitor状态。

（2）在rommonitor中输入o命令：

>o（查看当前的Configurationregister值）

configurationregister=0X2102（寄存器启动方式默认值）

atlastboot

（3）输入“>o/r0x0142”（修改寄存器启动方式，使其启动不运行配置）

>o/r0x0142

（4）重新启动路由器：

>I

rommon2>reset

（5）在“Setup”模式，对所有问题回答“No”

（6）进入特权模式：

router>enable

（7）下载NVRAM

Router>configurememory

（8）恢复原始配置寄存器值并激活所有端口：

#configureterminal

（config）#configregister0X2102

（config）#interfacexx

（config）#noshutdown

（9）查询并记录丢失的口令：

2509#showconfiguration（showstartupconfig）

（10）修改口令：

Router#configureterminal

（config）#lineconsole0

（configline）#login

（configline）#passwordxxxxxxx

（config）#enablesecretxxxxx

（11）保存重起

Router#wr

Router#reload

3、要在路由上pingwww网址

（config）#ipname-server203.196.0.6

（config）#ipname-server202.106.0.20

二、ADSL上网配置（用户端）

此设置是ADSL猫加+路由器，如果是WIC-1ADSL+路由略有不同

871配置

1、启用相关协议

（config）#vpdnenable

（config）#vpdn−group1（也可以取名PPPOE）

（config-vpdn）#rrequest-dialin

（config-vpdn-req-in）#protocolpppoe

config）#vpdnipudpignorechecksum（也可不写这个）

2、配置内网口

（config）#interfaceEthernet0/0

（config-if）#ipaddress内网地址

（config-if）#ipnatinside

（config-if）#nosh

（config-if）#iptcpadjust-mss1452（主要是针对MSN等程序起用此命令）

作用：

需要注意的就是iptcpadjust-mss1452调整tcp最大分段大小以满足PPPOE下的MTU

因为pppoe下实际的数据段只能为1500-8（ppp的头）=1492,1492再减去TCP和IP头各20等于1452,也就是说为了避免2层上不停的分割数据包,适应某些应用如MSN,同时加快传输

3、配置外网口及其启用协议

（config）#interfaceEthernet0/0

（config-if）#noipaddress

（config-if）#pppoeenable（启用PPPOE协议）

（config-if）#pppoe-clientdial-pool-number10（建立客户端拨号表，10代表表名字）

4、配置ADSL接口

（config）#interfaceDialer1（如果是WIC-1ADSL+路由则应该是interfaceATM0）

（config-if）#ipaddressnegotiated（自动获得IP）

（config-if）#ipnatoutside

（config-if）#mtu1492（修改MTU值）

（config-if）#encapsulationppp（设置协议）

（config-if）#dialerpool10（拨号表名）

（config-if）#dialer−group10（起用拨号表）

（config-if）#pppauthenticationpapchapcallin（认证方式）

（config-if）#pppchaphostname******（chap认证名字）

（config-if）#pppchappassword******（chap认证密码）

（config-if）#ppppapsent-username******password******（pap认证名字和密码）

5、配置拨号列表和控制列表的关系和路由等

config）#dialer−list10protocolippermit（感兴趣流—即引发拨号的设置）

（config）#dialer-list10protocoliplist1（绑定拨号列表和控制列表之间的关系）

config）#ipnatinsidesourcelist1interfaceDialer1overload（NAT设置）

config）#iproute0.0.0.00.0.0.0dialer1（路由）

config）#access−list1permitany（控制列表）

6、动态DHCP

DHCP（动态分配IP）：

（可以为多个vlan做dhcp）

（config）#ipdhcppool+名字（DHCP名）

（dhcp-config）#network192.168.2.0255.255.255.0（要分配的IP池—注意：

A、B类私网IP一定要加子网掩码，C类不需要）

（dhcp-config）#dns-server203.196.0.6202.106.0.20（DNS）

（dhcp-config）#default-router192.168.2.1（网关）

（dhcp-config）#lease3（租用时间）

（config）#ipdhcpexcluded-address192.168.2.1192.168.2.100（排除要分配的IP段）

（config）#ipdhcpexcluded-address192.168.2.199192.168.2.255（排除要分配的IP段）

2620配置（其他一样）

config）#vpdnenable

config）#vpdnipudpignorechecksum

config）#vpdn-grouppppoe（也可以用数字）

三、单背路由

如图所示：

（config）#intf0/0（进入要分子接口的接口，注意：

此接口必须是三层接口）

（config-if）#noipadd

（config-if）#nosh

（config-if）#noswitchport

（config-if）#intf0/0.2（划分子接口）

（config-subif）#ipaddXXX.XXX.XXX.XXX255.255.255.0

（config-subif）#encapsulationdot1Q1--4094（dot1Q是协议，1—4094是vlan号，目的：

传输什么协议和指定用来接收那个vlan的数据）

注意：

和划子接口相连的端口必须为trunk

其他的和一的配置没有什么区别！

四、划分VLAN、VTP、trunk模式、交换机清除密码

1、VTP域设置：

1900（config）#vtpserver|transparent|client]（分别是服务模式、透明模式和客户端模式）

1900（config）#vtpdomaindomain-name（设置VTP域的名字）

1900（config）#vtppasswordpassword（密码可选）

2950#vlandatabase

2950（vlan）#vtp[server|client|transparent]

2950（vlan）#vtpdomaindomain-name（VTP名字）

下面均可选

2950（vlan）#vtppasswordpassword（密码可选）

2950（vlan）#vtppruning

2950（vlan）#snmp-serverenabletrapsvtp

2950（vlan）#exit

设置trunk

（config-if）#switchporttrunkencapsulationdot1q（协议在前，封装在后，设置trunk）

（config-if）#switchportmodetrunk（设置trunk，VTP域只能在设置trunk模式后才能学习）

划分VLAN：

1900（config）#vlanvlan#（VLAN号）[namevlan-name（名字—可选）

2950#vlandatabase

2950（vlan）#vlanvlan#[namevlan-name]（名字可选）

将端口加入到VLAN中

将端口8加入到VLAN9中

1900（config）#interfaceethernet0/8

1900（config-if）#vlan-membershipstatic9

将端口8加入到VLAN9中

2950（config）#interfaceethernet0/8

2950（config-if）#switchportmodeaccess（将端口指定为接入模式）

2950（config-if）#switchportaccessvlan9

3500#showvlanbrief（查看VLAN）

3500#showvlan（查看VLAN）

871#showvlan-switchbrief（查看VLAN）

871#showvlan-switch（查看VLAN）

（vlan）#showchanges（查看VLAN信息）

3500#showinttrunk（查看trunk）

3500#showvtpstatus（查看VTP模式）

3500#showvlanid2（单独查看VLAN信息）

镜像映射配置

通过交换机的第2号口监控第1号口的流量

端口镜像映射配置

（config）#monitorsession1sourceinterfacefastEthernet0/1（config）#monitorsession1destinationinterfacefastEthernet0/2

VLAN镜像映射配置

（config）#monitorsession1sourcevlan1

（config）#monitorsession1destinationinterfacefastEthernet0/2

2、交换机恢复密码：

步骤1:

把管理机连接到交换机的CONSOLE接口,然后拔掉电源.

步骤2:

按住前面板的MODE按钮,然后插上交换机的电源线.过5秒钟左右松手,系统会有一些提示信息,表示进入监视模式switch:

步骤3:

输入flash_init或flash初始化FLASH文件系统.

步骤4:

输入load_helper装载并初始化帮助映像,这是存储在ROM中的最小IOS映像,用于灾难恢复.

步骤5:

输入dirflash:

显示FLASH的文件和目录列表.

步骤6:

输入renameflash:

config.textflash:

config.old,修改配置文件名.

步骤7:

输入boot,重启系统.

步骤8:

在提示符下键入N,跳过setup模式.

步骤9:

在提示符下,键入enable进入特权模式.

步骤10:

输入renameflash:

config.oldflash:

config.text,将配置文件改回原来的名称.

步骤11:

将配置文件拷贝到运行的配置中:

Switch#copystartup-configrunning-config

步骤12:

改变口令.

步骤13:

将改变的配置拷贝到配置文件中.

路由器清除密码

1、在路由器启动后的60秒内请在终端上键入中断键（Break键或Ctrl_C键），您会看到一个前面没有路由器名字的>大于号）提示符。

2、在>号提示符下键入“o/r0x42”以便从Flash启动，注意第一个字母“o”不是十进制数“0”（该为不要配置启动）

3、在>号提示符下键入“i”，路由器便会忽视存储的配置文件进行重新启动。

4、路由器启动后，对所有的setup的问题回答“no”。

5、在router>提示符下键入“enable”，您就不需要口令就进入到enable模式，并且看到router#提示符。

6、有两种方法可以改变enable口令：

a.删除所有的配置，键入“writeerase”。

（清除所有配置）

b.不删除所有的配置，只删除enable的口令

①.在router#conft

②.在router（config）#提示符下键入“enablesecretxxxxxx”，其中“xxxxxx”为您想所设定的口令。

③.router#wr（保存）

7、在route（config）#提示符下键入“config-register0x2102”，或者您在第二步所记录下来的值。

（改为正常值启动）

8、router#wr（保存）

9、在router#提示符下键入“reload”。

（重新启动）

五、控制列表

每接口、每协议、每方向只能有一个访问列表

1、标准控制列表

格式：

（config）#access-listaccess-list-number{permit|deny|remark}source[mask

说明：

access-list-number：

是列表的号码名（1—99）

permit|deny允许或者禁止

source[mask源IP或者IP段和反掩码

例：

（config）#access-list1permitany（允许所有通过）Access-list1deny222.83.177.230.0.0.0.0

B、（config）#access-listaccess-list-number+（permit|deny）+host+IP地址

例：

（config）#access-list1permithost211.99.151.208

2、扩展控制列表

access-class12in/out

2、扩展控制列表

A、格式：

（config）#access-list+（名字—100-199）+（permit|deny）+协议+源IP（段）+反掩码+目的IP（段）+反掩码+（eq\gt\lt\range）+端口号

说明：

eq就是等于gt就是大于lt就是小于range就是包括

Access-list101denytcp172.168.1.00.0.0.255211.121.14.00.0.0.255eq8000

B、（config）#access-list+（名字—100-199）+（permit|deny）+协议+any（指所有）+any（指所有）+（eq\gt\lt\range）+端口号

客户要求：

（config）#interfacefastEthernet0/0（进入外网口）

（config-if）#ipaccess-group100out

帮我配置一下：

外网222.77.64.146255.255.255.252222.77.64.145

内网192.168.0.1255.255.255.255.0192.168.0.1

DNS202.101.107.55202.101.98.55

禁止dhcp

禁止192.168.0.160-192.168.0.230上外网（tcp）

禁止192.168.0.3-192.168.0.2548000（udp）

禁止192.168.0.3-192.168.0.254443（tcp）

禁止192.168.0.3-192.168.0.254访问218.117.209.1-218.117.209.25580（tcpwww）

禁止192.168.0.3-192.168.0.254访问（ip）

配置如下：

暂时无配置

路由器通过以太网的子口建立与下连交换机TRUNK口相连。

（下面未经过验证，故不能全信）

　　要求管理VLAN可以访问其它业务VLAN、办公VLAN