2022年Cisco配置 .pdf
《2022年Cisco配置 .pdf》由会员分享,可在线阅读,更多相关《2022年Cisco配置 .pdf(9页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Cisco 配置手记现有设备: CISCO路由器 2620XM (4 台)和 2621XM ( 5 台) ,3750 三层交换机, PIX-515E 防火墙, CISCO2950二层交换机(9 台)重点命令:有安全,控制,监控,监测和检测功能的命令集合和命令组合一、两层交换机1、基本配置(1)设置 VLAN1的 IP 地址,掩码:配置:sw itch#config terminal (config)#interface vlan1 !进入到要配置IP 的接口(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) !设置参数验证:(c
2、onfig-if)#exit switch#show interface vlan1 保存设置:switch#copy running-config startup-config (2)划分 VLAN 配置:switch#vlan database(还有一种方法) !创建一个VLAN switch#vlan 2 switch#exit switch#config terminal one port: (config)#interface fastethernet0/0 !进入到要被划分的端口(config-if)#switchport access vlan 2 !划分到一个VLAN mult
3、iports: (config)#interface range fastethernet0/0 -7 !进入到要被集体划分的端口(config-if)#switchport access vlan 2 !划分到一个VLAN 验证:switch#show vlan 保存:switch#copy running-config startup-config (3)设置 trunk 配置:switch#config terminal (config)#interface gigabitethernet0/1 !进入要配置成干道的接口(config-if)#switchport mode trunk
4、!设置成干道名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 9 页 - - - - - - - - - 验证:switch#show interface trunk 保存:switch#copy running-config startup-config (4)连接路由器如果交换机上有多个VLAN ,则所连的路由器接口就必须有多个IP 地址。要用子接口设置多IP 地址。连接到路由器上的接口要被设置成trunk , 并且要封装干道协议:ISL , 或者 802.1Q。配置交
5、换机:switch#config terminal (config)#interface gigabitethernet0/1 (config-if)#switchport mode trunk !配置成干道,将自动封装802.1q 协议配置路由器:router#config terminal (config)#interface fastethernet0/0.2 !进入子接口2 (config-subif)#encapsulation dot1q 2 !子接口对应VLAN2 ,并封装dot1q 协议(config-subif)#ip address 10.1.20.1 255.255.25
6、5.0 !配置了 10.1.20.0/24网段的网关确认:router#show interface fastethernet0/0 不同 VLAN下的主机可以相互ping 通,则配置成功。保存配置(5)连接交换机同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后,将会自动将两端设置成干道。2、VTP ( VLAN Trunk Protocol)(1) 作用:允许用户集中管理网络中交换机的配。VTP是一种消息协议,可以对整个网络内的VLAN的添加、删除和重命名操作进行管理,以此维护VLAN配置的一致性。(2) 工作方式确定一条交换机为VTP服务器。可以在服务器上更改VLAN的配置,并把
7、该配置传播到网络中的所有VTP客户机。当交换机配置成VTP客户机之后,就不能物理地改变该交换机的VLAN配置。唯一可以更改VLAN配置的方法是当且仅当VTP客户端交换机接收到来自其VTP服务器的VTP更新信息时,才能更改。多台 VTP服务器管理不同的VTP客户机,必须指定一个VTP域。服务器和客户机在各自的域内。二、路由器1、基本配置(1)以太网口配置注:路由器以太网口直接接主机用交叉线。(2)串口配置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 9 页 - - - -
8、 - - - - - (3)配置静态路由(4)配置动态路由协议(5)配置访问控制列表(ACL )* (6)路由器互联2、问题(1)无法配置静态路由,出现“Default gateway is not set ,. ICMP redirect cache is empty”原因: IP 路由被禁用解决: (config)#ip routing (2)与其他设备的接口状态上,”protocol down”可能的原因:双绞线的接线类型不对解决:换成直通线或者交叉线。三、三层交换机1、基本配置(1)配置 IP 手工配置:(config)#interface vlan vlan-id (config-i
9、f)#ip address ip-address subnet-mask (config-if)#exit (config)#ip default-gateway ip-address 确认配置:#show interface vlan vlan-id #show ip redirects !确认默认网关配置保存: copy running-config startup-config 使用 DHCP 配置(2)使不同VLAN互联(3)配置某个端口为trunk (config)#interface fastethernet1/0/23 (config-if)#switchport encapsu
10、ltion dot1q (config-if)#switchport mode trunk (4)默认路由及路由协议的设定问题(1)多个子网连接到三层交换机,交换机上设定了每个子网对应的网关地址,交换机通过router连接到其他的网络或者区域。三层 switch和 router上相同网段的地址无法相互ping 通。 如: 3750 上有 192.168.8.254 (VLAN1 ) , 192.168.16.254 (VLAN2 ) , 192.168.24.254 (VLAN3 ) ;router上有 192.168.8.1,192.168.16.1,192.168.24.1。现象:192.
11、168.8.254 可以 ping 通 192.168.8.1, 但是 .16. 和.24. 网段的无法ping 通。原因: router接到 switch上的接口没有设置成trunk 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 9 页 - - - - - - - - - 四、防火墙CISCO PIX 系列属于状态检测防火墙。Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside
12、) connections without an explicit configuration in memory. 1、特点(1)自适应安全算法(ASA )创建状态会话流表(state table) 。各种连接信息都被记录进表中。ASA 是一个有状态、面向连接的过程,它在状态表中维持会话信息,应用对状态表的安全策略来控制通过防火墙的所有流量。连接状态包括:源/ 目的 IP ,源 /目的端口, TCP顺序信息,附加的TCP/UDP标记。应用一个随机产生的TCP顺序号。总称为“会话对象”。内部不主动发出数据,要求响应,外部的数据就无法进入内部了吗。PIX 中 ASA和状态过滤的工作机制:a、 内
13、部主机开始一个对外部资源的连接b、 PIX 在状态表中写入一个会话(连接)对象c、 会话对象同安全策略相比较。如果连接不被允许,此会话对象被删除,并且连接被取消h、 如果安全策略认可这个连接,此连接继续向外部资源发送j 、 外部资源响应这个请求k、 响应信息到达防火墙,与会话对象比较。匹配则响应信息被发送到内部主机,不匹配则连接就会被取消。(2)贯穿式代理认证和授权一个防火墙上输入/ 输出的连接。它在应用层完成用户认证,依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理,而是进行状态检测。(3)冗余2、基本配置配置完基本参数后,发现从 PIX 上可以 pin
14、g 通内网和外网的地址。但是内外网的主机无法相互 ping 通。内网主机无法ping 通 PIX 外口。 但是, 内网主机可以访问外网的服务器。(可能原因: PIX 默认关闭ICMP响应?)基本配置命令:interface , nameif , ip address , nat , global , route (1)激活以太端口firewell#config terminal (config)#interface ethernet0 auto (config)#interface ethernet1 auto !外口必须用命令激活(2)命名端口和安全级别(config)#nameif eth
15、ernet1 inside security0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页,共 9 页 - - - - - - - - - (config)#nameif ethernet0 outside security100 (3)配置内外口firewell#config terminal (config)#ip address inside 192.168.1.1 255.255.255.0 (config)#ip address outside 222.20.1
16、6.1 255.255.255.0 (4)配置 NAT和 PAT (config)#nat (inside) 1 0 0 !所有的内口地址都(config)#nat (inside) 2 192.168.8.0 255.255.255.0 (config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0 测试配置: ping debug (5)DMZ 的访问(6)转换表的操作show xlate 显示转换表的信息clear xlate 每次重建转换表要运行,以清除原有的转换槽,否则原信息将在超时(3小时)后才被丢弃s
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年Cisco配置 2022 Cisco 配置
限制150内