思科路由交换安全设置实战手册Word格式.docx

1、许或者拒绝的IP 段）4、地址转换：（config）# ip nat inside source list 1 interface FastEthernet4 overload （指定端口-根据实际情况来定）5、如果用池的方式：先建立一个动态池（config）# ip nat pool 871 211.99.151.208 211.99.151.208 netmask 255.255.255.0（config）# ip nat inside source list 1 pool 871 overload （指定要将转换主机的IP 和池联系起来）6、静态IP 转换（主要应用于服务器）（confi

2、g）#ip nat inside source static 10.1.1.4 80.1.1.10 （内网主机IP 在前，公网IP 在后）（config）#ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable （如果要带协议的话-static tcp；内网主机后则必须要端口号；同样外网主机也需要端口号；extendable可选）7、常用的清除配置命令：2950#erase startup-config （和路由一样）1900#delete nvram#show processes cpu （查看CPU 使

3、用率）2测试端口是否丢包！#pingProtocol ip: （回车）Target IP address: 211.99.151.193 （IP 地址）Repeat count 5: 10000 （设置默认包是数量）Datagram size 100: 10000 （包的大小）Timeout in seconds 2:Extended commands n:Sweep range of sizes n:Type escape sequence to abort.ping 192.168.1.11 source 192.168.1.23 repeat 1000 size 1000停止：#ctrl

4、+shift+6交换机升级成E 的步骤：Switch#archive download-sw/ imageonly /overwrite/ reload tftp:/10.1.1.2/c3550-i5q3l2-tar.122-25.SEA.tar （此仅是IOS 软件的升级，还需要改号、改E 等）trace 命令提供路由器到目的地址的每一跳的信息#trace 171.144.1.39（目的IP）#ctrl+shift+6 停止telnet 设置（config）#line vty 0 4（config-if-line）#password XXXXXX（config-if-line）#logine

5、nable 密码设置（config）# enable password XXXXX（不加密密码）（config）# enable set XXXXX（加密密码）问题备注：1、现象：从路由能ping 外网，也能ping 电脑。电脑也能ping 路由，但电脑ping 不通下一跳（或者说上不了网）原因：在路由的全局模式下加上网关即可。（config）# ip default-gateway XXX.XXX.XXX.XXX2、思科路由恢复口令方法。（1）在启动的60 s 内按下中断键Ctrl+Break,，使设备进入rom monitor 状态。（2）在rom monitor 中输入o 命令：o （查

6、看当前的Configuration register 值）configuration register=0X2102 （寄存器启动方式默认值）at last boot（3）输入“o/r 0x0142” （修改寄存器启动方式，使其启动不运行配置）3o/r 0x0142（4）重新启动路由器：Irommon 2reset（5）在“Setup”模式，对所有问题回答“No”（6）进入特权模式：routerenable（7）下载NVRAMRouterconfigure memory（8）恢复原始配置寄存器值并激活所有端口：#configure terminal（config）#config registe

7、r 0X2102 （config）#interface xx（config）#no shutdown（9）查询并记录丢失的口令：2509#show configuration （show startup config） （10）修改口令：Router #configure terminal（config） #line console 0（config line）#login （config line）#password xxxxxxx（config）#enable secret xxxxx（11） 保存重起Router #wrRouter# reload3、要在路由上ping www 网址（c

8、onfig）#ip name-server 203.196.0.6（config）#ip name-server 202.106.0.20二、ADSL 上网配置（用户端）此设置是ADSL 猫加+路由器，如果是WIC-1ADSL+路由略有不同871 配置1、启用相关协议（config）#vpdn enable（config）#vpdngroup 1 （也可以取名PPPOE）（config-vpdn）#rrequest-dialin（config-vpdn-req-in）#protocol pppoeconfig）#vpdn ip udp ignore checksum （也可不写这个）2、配置内

9、网口（config）#interface Ethernet0/0（config-if）#ip address 内网地址（config-if）#ip nat inside（config-if）#ip tcp adjust-mss 1452 （主要是针对MSN 等程序起用此命令）4作用：需要注意的就是ip tcp adjust-mss 1452 调整tcp 最大分段大小以满足PPPOE 下的MTU因为pppoe 下实际的数据段只能为1500-8（ppp 的头）=1492,1492 再减去TCP 和IP 头各20等于1452,也就是说为了避免2 层上不停的分割数据包,适应某些应用如MSN,同时加快传

10、输3、配置外网口及其启用协议（config-if）#no ip address（config-if）#pppoe enable （启用PPPOE 协议）（config-if）#pppoe-client dial-pool-number 10 （建立客户端拨号表，10 代表表名字）4、配置ADSL 接口（config）#interface Dialer1 （如果是WIC-1ADSL+路由则应该是interface ATM 0）（config-if）#ip address negotiated （自动获得IP）（config-if）#ip nat outside（config-if）#mtu 14

11、92 （修改MTU 值）（config-if）#encapsulation ppp （设置协议）（config-if）#dialer pool 10 （拨号表名）（config-if）#dialergroup 10 （起用拨号表）（config-if）#ppp authentication pap chap callin （认证方式）（config-if）#ppp chap hostname * （chap 认证名字）（config-if）#ppp chap password * （chap 认证密码）（config-if）#ppp pap sent-username * password *

12、 （pap 认证名字和密码）5、配置拨号列表和控制列表的关系和路由等config）#dialerlist 10 protocol ip permit （感兴趣流即引发拨号的设置）（config）#dialer-list 10 protocol ip list 1 （绑定拨号列表和控制列表之间的关系）config）#ip nat inside source list 1 interface Dialer1 overload （NAT 设置）config）#ip route 0.0.0.0 0.0.0.0 dialer1 （路由）config）#accesslist 1 permit any （控

13、制列表）6、动态DHCP（config）#ip dhcp excluded-address 192.168.2.199 192.168.2.255（排除要分配的IP 段）2620 配置（其他一样）config）#vpdn enableconfig）#vpdn ip udp ignore checksumconfig）#vpdn-group pppoe （也可以用数字）三、单背路由5如图所示：（config）#int f0/0 （进入要分子接口的接口，注意：此接口必须是三层接口）（config-if）#no ip add（config-if）#no sh（config-if）# no switc

14、hport（config-if）#int f 0/0.2 （划分子接口）（config-subif）#ip add XXX.XXX.XXX.XXX 255.255.255.0（config-subif）#encapsulation dot1Q 1-4094 （dot1Q 是协议，14094 是vlan 号，目的：传输什么协议和指定用来接收那个vlan 的数据）注意：和划子接口相连的端口必须为trunk其他的和一的配置没有什么区别！四、划分VLAN、VTP、trunk 模式、交换机清除密码1、VTP 域设置：1900（config）#vtp server | transparent | clie

15、nt （分别是服务模式、透明模式和客户端模式）1900（config）#vtp domain domain-name（设置VTP 域的名字）1900（config）#vtp password password （密码可选）2950#vlan database2950（vlan）#vtp server | client | transparent 2950（vlan）#vtp domain domain-name （VTP 名字）下面均可选2950（vlan）#vtp password password （密码可选）2950（vlan）#vtp pruning2950（vlan）#snmp-se

16、rver enable traps vtp2950（vlan）#exit设置trunk（config-if）#switchport trunk encapsulation dot1q （协议在前，封装在后，设置trunk）（config-if）#switchport mode trunk （设置trunk ，VTP 域只能在设置trunk 模式后才能学习）划分VLAN：1900（config）# vlan vlan#（VLAN 号）name vlan-name（名字可选）2950#vlan database62950（vlan）# vlan vlan# name vlan-name（名字可选）

17、将端口加入到VLAN 中将端口8 加入到VLAN 9 中1900（config）#interface ethernet 0/81900（config-if）#vlan-membership static 92950（config）#interface ethernet 0/82950（config-if）#switchport mode access （将端口指定为接入模式）2950（config-if）#switchport access vlan 93500#show vlan brief （查看VLAN）3500#show vlan （查看VLAN）871#show vlan-switc

18、h brief （查看VLAN）871#show vlan-switch （查看VLAN）（vlan）#show changes （查看VLAN 信息）3500#show int trunk （查看trunk）3500#show vtp status （查看VTP 模式）3500#show vlan id 2 （单独查看VLAN 信息）镜像映射配置通过交换机的第2 号口监控第1 号口的流量端口镜像映射配置（config）# monitor session 1 source interface fastEthernet 0/1（config）# monitor session 1 destina

19、tion interface fastEthernet 0/2VLAN 镜像映射配置（config）#monitor session 1 source vlan 12、交换机恢复密码：步骤1:把管理机连接到交换机的CONSOLE 接口,然后拔掉电源.步骤2:按住前面板的MODE 按钮,然后插上交换机的电源线.过5 秒钟左右松手,系统会有一些提示信息,表示进入监视模式switch:步骤3:输入flash_init 或flash 初始化FLASH 文件系统.步骤4:输入load_helper 装载并初始化帮助映像,这是存储在ROM 中的最小IOS 映像,用于灾难恢复.步骤5:输入dir flash

20、: 显示FLASH 的文件和目录列表.步骤6:输入rename flash:config.text flash:config.old ,修改配置文件名.步骤7:输入boot,重启系统.步骤8:在提示符下键入N,跳过setup 模式.步骤9:在提示符下,键入enable 进入特权模式.步骤10:config.old flash:config.text,将配置文件改回原来的名称.步骤11:将配置文件拷贝到运行的配置中:Switch#copy startup-config running-config步骤12:改变口令.步骤13:将改变的配置拷贝到配置文件中.7路由器清除密码1、在路由器启动后的60

21、 秒内请在终端上键入中断键（Break 键或Ctrl_C 键），您会看到一个前面没有路由器名字的大于号）提示符。2、在号提示符下键入“o/r0x42”以便从Flash 启动，注意第一个字母“o”不是十进制数“0”（该为不要配置启动）3、在号提示符下键入“i”，路由器便会忽视存储的配置文件进行重新启动。4、路由器启动后，对所有的setup 的问题回答“no”。5、在router 提示符下键入“enable”，您就不需要口令就进入到enable 模式，并且看到router# 提示符。6、有两种方法可以改变enable 口令：a. 删除所有的配置，键入“write erase”。（清除所有配置）b.

22、 不删除所有的配置，只删除enable 的口令. 在router#conf t. 在router（config）#提示符下键入“enable secret xxxxxx”，其中“xxxxxx”为您想所设定的口令。. router# wr （保存）7、在route（config）# 提示符下键入“config-register 0x2102”，或者您在第二步所记录下来的值。（改为正常值启动）8、router# wr （保存）9、在router# 提示符下键入“reload”。（重新启动）五、控制列表每接口、每协议、每方向只能有一个访问列表1、标准控制列表（config）#access-list

23、access-list-number permit | deny | remark source mask说明：access-list-number：是列表的号码名（199）permit | deny 允许或者禁止source mask 源IP 或者IP 段和反掩码例：（config）#access-list 1 permit any（允许所有通过）B、（config）#access-list access-list-number +（permit | deny ）+ host +IP 地址（config）#access-list 1 permit host 211.99.151.2082、扩

24、展控制列表（config）# access-list +（名字100-199）+ （permit | deny ）+ 协议+源IP（段）+ 反掩码+ 目的IP（段）+反掩码+ （eqgtltrange）+端口号eq 就是等于gt 就是大于lt 就是小于range 就是包括8（config）# access-list +（名字100-199）+ （permit | deny ）+ 协议+any （指所有） +any （指所有）+ （eqgtltrange）+端口号客户要求：（config）#interface fastEthernet 0/0 （进入外网口）（config-if）#ip acce

25、ss-group 100 out帮我配置一下：外网222.77.64.146 255.255.255.252 222.77.64.145内网192.168.0.1 255.255.255.255.0 192.168.0.1DNS 202.101.107.55 202.101.98.55禁止dhcp禁止192.168.0.160-192.168.0.230 上外网（tcp）禁止192.168.0.3-192.168.0.254 8000（udp）禁止192.168.0.3-192.168.0.254 443 （tcp）禁止192.168.0.3-192.168.0.254 访问218.117.209.1 - 218.117.209.255 80 （tcp www）禁止192.168.0.3-192.168.0.254 访问 （ip）配置如下：暂时无配置路由器通过以太网的子口建立与下连交换机TRUNK 口相连。（下面未经过验证，故不能全信）要求管理VLAN 可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN，但是其它VLAN不可以访问管理VLAN。下面把路由器上的配置附上：ip access-list extended infilterevaluate mppacketdeny ip 10