1、一、一、cisco的三種設備類型的三種設備類型 1、cisco 路由器 2、cisco switch （思科交換機） 3、cisco asa5510（思科防火墻）1第1頁/共33頁1、路由器設備型號、路由器設備型號287118002600280036007200第2頁/共33頁2、交換機設備型號、交換機設備型號 2950 2960 2970 3550 3560 4506 4510 60503第3頁/共33頁3、Cisco 防火墻型號防火墻型號Asa： asa 5505 asa 5510 asa 5520 asa 5540 asa 5580PIX： PIX515 PIX520 PIX525 4第

2、4頁/共33頁2、網絡拓撲圖網絡拓撲圖網絡拓撲圖：5第5頁/共33頁Cisco 基本網絡設置基本網絡設置61、進入路由器router enable （從用戶模式進入到特權模式）Router#2、進入全局模式Router#config terminalrouter(config)#3、修改主機名稱router(config)# hostname xxxx第6頁/共33頁Cisco 基本網絡設置基本網絡設置74、設置用戶名、密碼Route(config)#Username name password xxxxxx 設置enable密碼 Route(config)# enable secret pa

3、ssword * 5、設置遠程連接（telnet）Route(config)#line vty 0 4 Route(config-line)#password xxxxxxx（x表示密碼）Route(config-line)#login第7頁/共33頁Cisco 基本網絡設置基本網絡設置86、設置consolerouter(config)# line consle 0 password xxxxxx x表示密碼7、端口設置IP地址router(config)#interface fastethernet x/x 路由器端口router(config-if)# Ip address x.x.x.

4、x x.x.x.x 子網掩碼router(config-if)#no shut第8頁/共33頁Cisco 基本網絡設置基本網絡設置98、端口設置子接口、輔助地址設置子接口：Router(config)#interface f0/1Router(config-if)#no ip addressRouter(config-if)#no shutRouter(config-if)#ip address x.x.x.x x.x.x.x 設置輔助地址：Router(config)#interface f0/1Router(config-if)#ip add 192.168.1.254 255.255.2

5、55.0 secondary 第9頁/共33頁Cisco 基本網絡設置基本網絡設置1010、設置路由Router(config)#Ip route x.x.x.x x.x.x.x x.x.x.x 靜態路由ip route 0.0.0.0 0.0.0.0 x.x.x.x 默認路由Router(config)#Router rip 動態rip路由協議Router(config-router)#Network x.x.x.x x.x.x.x 網絡地址、反碼11、交換機保存配置switch#write 或copy running-config startup-config 保存配置信息第10頁/共33

6、頁Cisco 基本網絡設置基本網絡設置1112、添加訪問控制列表標準訪問控制列表：Router(config)#Access-list 1-99 deny|permit /protocol source-ipx.x.x.xdestination 擴展訪問控制列表Router(config)#access-list 100-199 permit/deny protocol source-ip x.x.x.xdestination 第11頁/共33頁Cisco 基本網絡設置基本網絡設置1213、NAT靜態地址轉換 Ip nat inside source static 內部本地地址 內部合法地址

7、動態地址轉換 ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼 access-list 標號 permit 源地址 通配符 ip nat inside source list 訪問列表標號 pool 內部合法地址池名字 overload復用動態地址轉換ip nat pool 地址池名字 起始IP地址 終止IP地址 子網掩碼 以上3種NAT轉換需要在接口引用inside、outside。第12頁/共33頁Cisco 基本網絡設置基本網絡設置1314、如何清除命令Clear counters 清除所有接口的配置信息Clear arp 清除ARP表Clear ip route

8、 * 清除路由表 erase startup-configuration 清除設備原因配置15、設置MAC地址 16、路由器重啟命令 Router# reload第13頁/共33頁Cisco 基本網絡設置基本網絡設置1417、cisco路由器查看命令Who 查看telnet 登陸用戶Show running-configure 查看配置信息Show running-configure interface fx/x 查看接口詳細配置Show ip route 查看路由表Show interface fastethernet x/x 查看快速以太網接口Show ip interface brief

9、 查看接口鏈路層狀態Show arp 查看ARP地址表Show version 查看路由器版本信息Show user 查看登陸用戶Show processes cpu 查看cpu使用進程Show log 查看日志 第14頁/共33頁15Switch基本網絡設置1、進入交換機switchenable 進入特權模式2、進入全局模式switch#config terminal 進入全局配置模式3、設置主機名switch(config)#hostname xxxx(x表示主機名稱)4、設置enable密碼switch(config)enable password xxx 設置特權非密口令switch(

10、config)enable secret xxx 設置特權加密口令第15頁/共33頁5、交換機設置管理地址switch(config)#interface vlan 1 進入vlan 1switch(config-if)#ip address x.x.x.x 設置IP地址switch(config)#ip default-gateway 設置默認網關6、交換機如何劃分vlanswitch#vlan database 進入VLAN設置switch(vlan)#vlan 2 新建VLAN 2switch(vlan)#no vlan 2 刪除VLAN 2或者switch(config)#interf

11、ace vlanXX表示vlan數 16Switch基本網絡設置第16頁/共33頁Switch基本網絡設置7、將端口劃分給vlanswitch(config)#int f0/1 進入端口switch(config-if)#switchport access vlan 2 當前端口加入vlan 2switch(config-if)#switchport mode trunk 設置為干線switch(config-if)#switchport trunk allowed vlan 1，2 設置允許的vlan8、如何設置mac地址綁定Switch(config)# Interface fasteth

12、ernet 0/1 Switch(config-if)#Switchport port-secruitySwitch(config-if )switchport port-security mac-address MAC (主機的MAC地址)9、交換機保存配置switch#write 或copy running-config startup-config保存配置信息 17第17頁/共33頁Switch基本網絡設置10、如何設置mac地址綁定Switch(config)# Interface fastethernet 0/1 Switch(config-if)#Switchport port-s

13、ecruitySwitch(config-if )switchport port-security mac-address MAC (主機的MAC地址)11、設置console、telnet登陸密碼switch(config)#line console 0switch(config-con)# password xx 設置登錄口令xx switch(config)#line vty 0 4 進入虛擬終端switch(config-line)#login 允許登錄 password xx設置登錄口令xx18第18頁/共33頁Switch基本網絡設置12、查看交換機配置命令switch# show

14、 run查看當前配置信息show interface 查看端口信息show int f0/0 查看指定端口信息show ip interface brief 查看各接口信息show mac-address-table 查看MAC地址表show ver 查看交換機信息19第19頁/共33頁asa特點：特點： （1）從高安全級別接口到低安全級別接口的流量叫outside 流量，這種流量默認是允許的 （2）從低安全級別接口到高安全級別接口的流量叫inbound流量，這種流量默認是不允許的，但我們可以使用ACL來放行inbound流量 （3）相同安全級別的接口之間的流量默認是不允許的，但是可以用命令打

15、開 （4） 安全級別的范圍為0-100 （5）默認inside安全級別為100，其余接口默認為0 20防火墻asa基本設置第20頁/共33頁防火墻asa基本設置配置接口配置接口1：配置主機名：Ciscoasa(config)# hostname ASAFW配置Ethernet 0/0 ASAFW (config)# interface ethernet 0/0 ASAFW (config)# security-level 0 （定義接口安全級別） ASAFW (config)# nameif outside （接口設置名稱） ASAFW (config)# ip address x.x.x.x

16、 x.x.x.x （設置公網IP地址） ASAFW (config)# no shutdown21第21頁/共33頁防火墻asa基本設置配置Ethernet 0/1 ASAFW (config)# interface ethernet 0/1 ASAFW (config)# security-level 100 （定義接口安全級別） ASAFW (config)# nameif inside （接口設置名稱） ASAFW (config)# ip address x.x.x.x x.x.x.x （設置公網IP地址） ASAFW (config)# no shutdown配置靜態路由：配置靜態路

17、由：默認路由：ASAFW(config) # route outside 0 0 x.x.x.x （供應商分配網關）靜態路由： 22第22頁/共33頁五、五、 Security level （3）配置Ethernet 0/1 ASAFW(config)# interface e0/1 ASAFW(config)# no shutdown ASAFW(config-subif)# vlan 3 ASAFW(config-subif)# nameif inside ASAFW(config-subif)# ip address 10.1.1.10 255.255.255.0 ASAFW(confi

18、g-subif)# vlan 4 ASAFW(config-subif)# nameif MDZ ASAFW(config-subif)# security-level 50 23第23頁/共33頁六、六、 Show conn ASAFW#show conn 1 in use ,13 most used TCP outside 202.100.1.1:23 inside 10.1.1.1:11001,idle 0:00:10,bytes 116,flags UIO （1）tcp 插口對信息源：10.1.1.1 源端口：11001 目的：202.100.1.1 目的端口：23 （2）空閑時間：1

19、0 秒鐘 （3）傳輸字節數：116 Flags: U-up I-inbound data O-outbound data 24第24頁/共33頁為什么為什么PING不通？不通？ （1）ASA 默認只對穿越的TCP和UDP流量維護狀態化信息 （2）Inside發起的ICMP echo 包能抵達 outside，表示outbound流量默認放行的策略是有效的 （3）返回的ICMP echo-reply包被防火墻丟棄，因為inbound流量默認是被絕決的 （4）兩種解決方案：一、ACL 放行 ；二、監控ICMP流量 命令 一： access-list out exended icmp any any

20、 Access-group out in in outside 命令 二： fixup protocol icmp 25第25頁/共33頁 （5） 清空配置： 清空Startup configuration ASA# write erase 清空 Running configuration ASA(config)# clear config all 重啟 ASA ASA # reload 26第26頁/共33頁關于動態路由協議：關于動態路由協議： （1） ASA 8.0 支持 RIP OSPF EIGRP （2）配置方式與IOS安全相同 （重分布，路由過濾） （3）所有掩碼都為正掩碼（ACL.

21、路由通告） 27第27頁/共33頁基本基本NET配置：配置： （1）nat 定義轉換流量源地址和源接口 （2）global 定義轉換目的端口和地址池 （3）ID 需要對應，并且大于等于1 28第28頁/共33頁Show xlate： ASAFW(config)# show xlate 1 in use ,3 most used Nat-control： OS7.x 默認no nat-control OS7.x 默認 nat-control nat-control 一旦啟用，沒有nat不能穿越FW no nat-control 在滿足安全策略的前提下，無需nat也能穿越FW 29第29頁/共33頁配置時間：配置時間： （1）手動配置 ASAFW(config) #clock timezone GMT +8 AS