gns3下ASA配置运行初步

GNS3 搭建本地ASA并使用ASDM管理

实验环境：

本地ASA 的IP 地址127.0.0.1（本地ASA 使用）

GNS3 0.7.3

Fiddler2

本地TOP 搭建：

1、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是

asa802-k8.bin.unpacked.vmlinuz，启动文件initrd 使

用单模式ASA，请下载asa802-k8-sing.gz；使用多模式ASA 请下载

asa802-k8-muti.gz。

两个initrd 文件中所加载的网卡为e100 和e1000，所用文件可以到本文附件下载，

打开GNS3，新建一个工程，命名为ASA。之后选择“编辑”-->“首选项”-->“qemu”

对“General Setting”做如图所示的配置：

之后配置ASA 选项卡，如图:

2、拖入ASA，分别新建ASA1 和ASA2,TOP 如下：

启动两个ASA 可以看到两个QEMU 窗口

由于是初次运行，点“console”登录后，看到内核初始化：

回到命令提示符后，请等大概1 分钟左右(为了防止出现其它问题，请按我说的做)，等待FLASH 文

件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大

概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^。

使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行

/mnt/disk0/lina_monitor

使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后，执行

/mnt/disk0/lina –m

PS:再次运行ASA 的时候，将直接启动到ciscoasa>的状态下，不用再执行上面的命令了

可以看到6 块网卡都被ASA 识别了

此时如果执行show flash:,将会是下面的结果：

因为是初次运行，虽然上面的步骤中格式化了FLASH 文件等等，但是在ASA 中还是没有加载FLASH

所以执行show flash:后可用空间为0。

停止所有的ASA，然后重新启动ASA，再执show flash:,FLASH 文件已经被加载了

为了保证使用命令wr、copy run start 时不出现错误，重新启动ASA 后，在全局配置模式下执

行：

boot config disk0:/.private/startup-config

copy running-config disk0:/.private/startup-config

遇到错误提示不用理睬它就可以了。

3、验证两个ASA 的连通性，做如下配置：

ciscoasa(config)# hostname ASA1

ASA1(config)# int e0/0

ASA1(config-if)# ip add 192.168.1.1 255.255.255.0

ASA1(config-if)# nameif out

ASA1(config-if)# nameif outs

ASA1(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA1(config-if)# no sh

ASA1(config-if)# end

ASA1# ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA1# ping 192.168.1.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/20/80 ms ciscoasa(config)# host ASA2

ASA2(config)# int e0/0

ASA2(config-if)# ip add 192.168.1.2 255.255.255.0

ASA2(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

ASA2(config-if)# no sh

ASA2(config-if)# end

ASA2# ping 192.168.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/8/10 ms

可以看到两个ASA 是可以PING 通的

4、上传ASDM

首先在自己的电脑建立一个TFTP服务器，然后把ASDM的镜像文件放在TFTP的根目录下：

然后在GNS3中建立一个如下的拓扑：

将云的设置为桥接在物理网卡或者Loopback口上，然后将ASA、云和交换机连接在一起。

打开ＡＳＡ，然后重新启动ＡＳＡ。保证得到以下的show Flash:

然后开始配置ASA，相关的配置如下：

ASA1>en

ASA#conf t

ASA(config)#int e0/0

ASA(config-if)#ip add 192.168.100.10 255.255.255.0

ASA(config-if)#nameif inside

ASA(config-if)#no shut

ASA(config-if)#do ping 192.168.100.168

PS：192.168.100.168为我们的TFTP服务器，必须保证ASA可以和它通信，否则无法上传ASDM

ASA#copy tftp: flash:

接着输入 TFTP 主机的地址

输入 ASDM 的文件名

开始传输

上传完毕后，显示 FLASH

下面我们开始配置 ASA ，使 ASDM 可用

使用 ASDM 客户端连接，输入用户名和密码，出现如下错误：

这个错误是因为 ASDM 客户端软件需要比对从 ASA 发给 HTTP Server 的硬件地址 ID ，而 GNS3 模拟的 ASA 是没有硬件 ID 的：

所以我们需要使用 fiddler 这个软件对 HTTPS 发送的流量进行代理 :

1 、首先安装然后打开 fiddler 软件，然后按照以下顺序操作：

Tools → fiddler options → https → check 然后选中

“ decrypt https traffic ”

2 、点击 RULES → Customize Rules 使用附件中的 myrules 中的内容覆盖 Customize 的内容然后保存

3 、从控制面板中选择 Java ，在常规中的网络设置上选择使用代理服务器localhost 端口 8888 ，选择高级，最后选中对所有协议使用同一个代理服务器。

然后打开 fiddler ，再打开 ASDM 客户端

选择 Yes 享受 ASDM 的快乐吧，兄弟们！

华三华为交换机路由器配置常用命令汇总定稿版

华三华为交换机路由器 配置常用命令汇总 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】

H3C交换机配置命令大全1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口

9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全华为交换机常用配置实例 H3C交换机路由器telnet和console口登录配置 2009年11月09日星期一 10:00

级别说明 Level 名称 命令 参观 ping、tracert、telnet 1 监控 display、debugging 2 配置 所有配置命令（管理级的命令除外）

实验三 交换机配置方式及基本命令的熟悉文档

实验三交换机配置方式及基本命令的熟悉 【实验目的】 通过对交换机设备的几种配置手段、配置模式和基本配置命令的认识，获得交换机的基本使用能力。 【实验任务】 1、认识交换机的配置方式。 2、按照给出的参考拓扑图构建逻辑拓扑图。 3、按照给出的配置参数表配置各个设备。 4、练习交换机的一些基本命令。 建议实验学时：2学时。 【实验背景】 在前面的实验中我们已经接触了Cisco的路由器运行的Cisco互联网络操作系统（ISO，Internetwork Operating System）,熟悉了Cisco IOS软件内置的命令行界面（CLI，command-line interface）。同样，交换机可以通过一个菜单驱动程序的界面，或者通过命令行界面（CLI），或者在交换机配置了IP地址后通过Telnet远程登录、web登录的方式对交换机来进行配置。 交换机除了可以通过Console端口与计算机直接连接外，还可以通过交换机的普通端口进行连接。如果是堆叠型的，也可以把几台交换机一起进行配置，因为实际上这个时候它们是一个整体，这时通过普通端口对交换机进行管理时，就不再使用超级终端了，而是以Telnet 虚拟终端或Web浏览器的方式实现与被管理交换机的通信。前提是在本地配置方式中已为交换机配置好了IP地址，我们可通过IP地址与交换机进行通信，不过要注意，只有是网管型的交换机才具有这种管理功能。实际上最常用的Catalyst交换机OS被称为Catalyst OS、CatOS,其最大的特点是基于set 命令。但我们常用的是与路由器的IOS相类似的基于IOS 的Catalyst OS。下面简单介绍交换机的各种命令模式以及各种常用的命令。 表4.1交换机的各种命令模式的访问方式、提示符、退出方法及其描述

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月

目录

一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念 接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下：

gns3下ASA配置运行初步

GNS3 搭建本地ASA并使用ASDM管理 实验环境： 本地ASA 的IP 地址127.0.0.1（本地ASA 使用） GNS3 0.7.3 Fiddler2 本地TOP 搭建： 1、下载解压过的asa802-k8.bin 文件，实验中使用的解压后的kernel 是 asa802-k8.bin.unpacked.vmlinuz，启动文件initrd 使 用单模式ASA，请下载asa802-k8-sing.gz；使用多模式ASA 请下载 asa802-k8-muti.gz。 两个initrd 文件中所加载的网卡为e100 和e1000，所用文件可以到本文附件下载， 打开GNS3，新建一个工程，命名为ASA。之后选择“编辑”-->“首选项”-->“qemu” 对“General Setting”做如图所示的配置：

之后配置ASA 选项卡，如图:

2、拖入ASA，分别新建ASA1 和ASA2,TOP 如下：

启动两个ASA 可以看到两个QEMU 窗口 由于是初次运行，点“console”登录后，看到内核初始化：

回到命令提示符后，请等大概1 分钟左右(为了防止出现其它问题，请按我说的做)，等待FLASH 文 件的初始化，此时去看相应的工作目录下的FLASH 文件，会发现FLASH 文件的大小开始变化，大 概到24.9M 时，就OK 了，在FLASH 文件初始化的时候，你会发现硬盘灯开始狂闪了，^_^。 使用asa802-k8-sing.gz 的朋友在FLASH 文件初始化结束后，执行 /mnt/disk0/lina_monitor 使用asa802-k8-muti.gz 的朋友在FLASH 文件初始化结束后，执行 /mnt/disk0/lina –m

配置H3C交换机常用命令

H3C交换机常用步骤和命令 1.进入命令行sys 2.给交换机命名: sysname fuwuqi2 3.创建所属vlan: vlan 114 4.描述vlan 114 及分配情况: description fuwuqi2 5.把24个口划分到vlan114中: port e 1/0/1 to e 1/0/24 6.退出: quit 7.进入vlan 114: vlan 114 8.查看千兆口信息: dis int g 9.把25,26两个千兆口加到vlan 114中: port g 1/0/25 to g 1/0/26 10.退出: quit 11.进入vlan114 : int vlan 114 12.查看本接口信息dis this 13.退出quit 14.进入vlan 114虚接口下（可以配置管理地址）：interface vlan-interface 114 15.配置管理地址ip address 111.115.76.98 27 16.查看信息dis this 17.退出quit 18.配置默认路由ip route-static 0.0.0.0 0.0.0.0 111.115.76.97（分别是目 的地址子网掩码网关） 19.建立一个登陆交换机的用户名local-user fuwuqi2 20.设置登陆密码password cipher fuwuqi2_2918 21.设置用户管理等级0-3,3是超级管理员authorization-attribute level 3 22.设置用“telnet”方式登陆service-type telnet 23.退出quit 24.打开telnet服务telnet server enable 25.设置0-5共6个用户可同时远程登陆user-interface vty 0 5 26.设置用户登陆方式，scheme是用户名+密码authentication-mode scheme 27.查看当前配置信息dis this 28.查看当前所有配置dis cur 29.保存配置信息save 30.查看交换机上有哪些VLAN dis vlan 31.查看各交换机端口状态及vlan情况: dis brief int 32.将某个端口加入到某个vlan中：sys Vlan 111 Port eth 1/0/1 33.查看当前各端口流量情况: dis int 34.查看交换机上mac地址：dis mac-address 物理地址 35.查看CPU占用：dis cup 36.静态IP与MAC地址绑定(不与端口绑定）： sys arp static 192.168.11.204 0005-5d02-f2b3 查询：dis arp 192.168.11.204 取消：undo arp 192.168.11.204

防火墙配置中必备的六个主要命令解析

防火墙配置中必备的六个主要命令解析 防火墙的基本功能，是通过六个命令来完成的。一般情况下，除非有特殊的安全需求，这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙，来谈谈防火墙的基本配置，希望能够给大家一点参考。 第一个命令：interface Interface是防火墙配置中最基本的命令之一，他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。在买来防火墙的时候，防火墙的各个端都都是关闭的，所以，防火墙买来后，若不进行任何的配置，防止在企业的网络上，则防火墙根本无法工作，而且，还会导致企业网络不同。 1、配置接口速度 在防火墙中，配置接口速度的方法有两种，一种是手工配置，另外一种是自动配置。手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话，则是指防火墙接口会自动根据所连接的设备，来决定所需要的通信速度。 如：interface ethernet0 auto --为接口配置“自动设置连接速度” Interface ethernet2 100ful --为接口2手工指定连接速度，100MBIT/S。 这里，参数ethernet0或者etnernet2则表示防火墙的接口，而后面的参数表示具体的速度。 笔者建议 在配置接口速度的时候，要注意两个问题。 一是若采用手工指定接口速度的话，则指定的速度必须跟他所连接的设备的速度相同，否则的话，会出现一些意外的错误。如在防火墙上，若连接了一个交换机的话，则交换机的端口速度必须跟防火墙这里设置的速度相匹配。 二是虽然防火墙提供了自动设置接口速度的功能，不过，在实际工作中，作者还是不建议大家采用这个功能。因为这个自动配置接口速度，会影响防火墙的性能。而且，其有时候也会判断失误，给网络造成通信故障。所以，在一般情况下，无论是笔者，还是思科的官方资料，都建议大家采用手工配置接口速度。 2、关闭与开启接口 防火墙上有多个接口，为了安全起见，打开的接口不用的话，则需要及时的进行关闭。一般可用shutdown命令来关闭防火墙的接口。但是这里跟思科的IOS 软件有一个不同，就是如果要打开这个接口的话，则不用采用no shutdown命令。在防火墙的配置命令中，没有这一条。而应该采用不带参数的shutdown命令，来把一个接口设置为管理模式。

路由器配置常用命令汇总

Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率，如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式，在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接

Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP（业务通告协议）更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层（第2层）的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器（DDR）拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接

华为交换机常用命令配置介绍

华为交换机配置命令 华为QuidWay交换机配置命令手册： 1、开始 建立本地配置环境，将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序（如Windows的超级终端等），设置终端通信参数为：波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控，并选择终端类型为VT100。 以太网交换机上电，终端上显示以太网交换机自检信息，自检结束后提示用户键入回车，之后将出现命令行提示符（如）。 键入命令，配置以太网交换机或查看以太网交换机运行状态。需要帮助可以随时键入"?" 2、命令视图 (1)用户视图(查看交换机的简单运行状态和统计信息):与交换机建立连接即进入 (2)系统视图(配置系统参数)[Quidway]:在用户视图下键入system-view (3)以太网端口视图(配置以太网端口参数)[Quidway-Ethernet0/1]:在系统视图下键入interface ethernet 0/1 (4)VLAN视图(配置VLAN参数)[Quidway-Vlan1]:在系统视图下键入vlan 1 (5)VLAN接口视图(配置VLAN和VLAN汇聚对应的IP接口参数)[Quidway-Vlan-interface1]:在系统视图下键入interface vlan-interface 1 (6)本地用户视图(配置本地用户参数)[Quidway-luser-user1]:在系统视图下键入local-user user1 (7)用户界面视图(配置用户界面参数)[Quidway-ui0]:在系统视图下键入user-interface 3、其他命令 设置系统时间和时区clock time Beijing add 8 clock datetime 12:00:00 2005/01/23 设置交换机的名称[Quidway]sysname TRAIN-3026-1[TRAIN-3026-1] 配置用户登录[Quidway]user-interface vty 0 4 [Quidway-ui-vty0]authentication-mode scheme 创建本地用户[Quidway]local-user huawei [Quidway-luser-huawei]password simple huawei [Quidway-luser-huawei] service-type telnet level 3 4、VLAN配置方法 『配置环境参数』 SwitchA端口E0/1属于VLAN2，E0/2属于VLAN3 『组网需求』 把交换机端口E0/1加入到VLAN2 ，E0/2加入到VLAN3 数据配置步骤 『VLAN配置流程』 (1)缺省情况下所有端口都属于VLAN 1，并且端口是access端口，一个access端口只能属于一个vlan； (2)如果端口是access端口，则把端口加入到另外一个vlan的同时，系统自动把该端口从原来的vlan中删除掉； (3)除了VLAN1，如果VLAN XX不存在，在系统视图下键入VLAN XX，则创建VLAN XX并进入VLAN视图；如果VLAN XX已经存在，则进入VLAN视图。

实验：防火墙基本配置

实验七交换机基本配置 一、实验目的 （1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面； （2）掌握Quidway S系列中低端交换机几种常用配置方法； （3）掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机，标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙； 访问控制列表可用于Qos（Quality of Service），对数据流量进行控制； 访问控制列表还可以用于地址转换； 在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类 按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl） 访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括：

实验八(一) ASA 配置 NAT 和 ACL

实验八ASA 配置NAT 和ACL 实验拓扑 实验要求 1 配置PAT，实现inside 区域内主机访问internet 2 配置静态地址转换，实现DMZ 区域主机172.16.2.1 转换为202.100.0.102 3 配置Identity NAT，实现172.16.100.2 访问inside 时，使用本ip地址 4 配置ACL，实现DMZ 区域内主机只允许icmp，telnet 流量访问去往inside 区域 5 配置ACL，实验inside 区域内主机192.168.1.1 不允许去往任何地址，只能在本区域访问 实验步骤 步骤2 根据设备表，配置ASA 和路由器的接口IP 地址 R1(config)#interface fastEthernet 0/0 R1(config-if)#ip address 192.168.100.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exit R1(config)#interface loopback 0 R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#exit

R2(config)#interface fastEthernet 0/0 R2(config-if)#ip address 172.16.100.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface loopback 0 R2(config-if)#ip address 172.16.2.1 255.255.255.0 R2(config-if)#exit R3(config)#interface fastEthernet 0/0 R3(config-if)#ip address 202.100.0.3 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#exit R3(config)#interface loopback 0 R3(config-if)#ip address 123.123.123.123 255.255.255.0 R3(config-if)#exit ciscoasa(config)# interface ethernet 0/0 ciscoasa(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ciscoasa(config-if)# ip address 192.168.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/1 ciscoasa(config-if)# nameif DMZ INFO: Security level for "DMZ" set to 0 by default. ciscoasa(config-if)# security-level 50 ciscoasa(config-if)# ip address 172.16.100.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit ciscoasa(config)# interface ethernet 0/2 ciscoasa(config-if)# nameif outside INFO: Security level for "outside" set to 0 by default. ciscoasa(config-if)# ip address 202.100.0.100 255.255.255.0 ciscoasa(config-if)# no shutdown ciscoasa(config-if)# exit 测试连通性： ciscoasa(config)# ping 192.168.100.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.100.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ciscoasa(config)# ping 172.16.100.2 Type escape sequence to abort.

路由器常用命令

cisco路由器常用命令 1：三大模式 router> 用户模式 router > enable 进入特权模式 router # router > enable 进入全局配置模式 router #configure terminal router (conf)# 2：其它模式 Router(config)#interface f1/0 进入接口配置模式Router(config-if)# Router(config)#interface f1/0.1 进入子接口配置模式Router(config-subif)# Router(config)#line console 0 进入line模式Router(config-line)# Router(config)#router rip 进入路由模式Router(config-router)# 3：路由器命名 hostname routera，以routerA为例 router > enable router #configure terminal router(conf)#hostname routerA routera (conf)# 4：配置各类密码 配置特权模式密码（使能口令） enable password cisco，以cisco为例 router > enable router #configure terminal router(conf)#hostname routerA routerA (conf)# enable password cisco 设置VTY(虚拟终端接口)密码 Router(config)#line vty 0 1

H C交换机常用配置命令

H3C交换机常用配置命令 一、用户配置 system-view [H3C]super password H3C 设置用户分级密码 [H3C]undo super password 删除用户分级密码 [H3C]localuser bigheap 123456 1 Web网管用户设置,1（缺省）为管理级用户,缺省admin,admin [H3C]undo localuser bigheap 删除Web网管用户 [H3C]user-interface aux 0 只支持0 [H3C-Aux]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-Aux]undo idle-timeout 恢复默认值 [H3C]user-interface vty 0 只支持0和1 [H3C-vty]idle-timeout 2 50 设置超时为2分50秒,若为0则表示不超时,默认为5分钟 [H3C-vty]undo idle-timeout 恢复默认值 [H3C-vty]set authentication password 123456 设置telnet密码,必须设置 [H3C-vty]undo set authentication password 取消密码 [H3C]display users 显示用户 [H3C]display user-interface 显示用户界面状态 二、系统IP设置 [H3C]vlan 20 [H3C]management-vlan 20 [H3C]interface vlan-interface 20 创建并进入管理VLAN [H3C]undo interface vlan-interface 20 删除管理VLAN接口 [H3C-Vlan-interface20]ip [H3C-Vlan-interface20]undo ip address 删除IP地址 [H3C-Vlan-interface20]ip [H3C-Vlan-interface20]undo ip gateway [H3C-Vlan-interface20]shutdown 关闭接口 [H3C-Vlan-interface20]undo shutdown 开启 [H3C]display ip 显示管理VLAN接口IP的相关信息 [H3C]display interface vlan-interface 20 查看管理VLAN的接口信息

防火墙配置中必备的六个主要命令解析

防火墙配置中必备地六个主要命令解析 防火墙地基本功能，是通过六个命令来完成地.一般情况下，除非有特殊地安全需求，这个六个命令基本上可以搞定防火墙地配置.下面笔者就结合地防火墙，来谈谈防火墙地基本配置，希望能够给大家一点参考. 第一个命令： 是防火墙配置中最基本地命令之一，他主要地功能就是开启关闭接口、配置接口地速度、对接口进行命名等等.在买来防火墙地时候，防火墙地各个端都都是关闭地，所以，防火墙买来后，若不进行任何地配置，防止在企业地网络上，则防火墙根本无法工作，而且，还会导致企业网络不同.文档来自于网络搜索 、配置接口速度 在防火墙中，配置接口速度地方法有两种，一种是手工配置，另外一种是自动配置.手工配置就是需要用户手工地指定防火墙接口地通信速度;而自动配置地话，则是指防火墙接口会自动根据所连接地设备，来决定所需要地通信速度.文档来自于网络搜索如：为接口配置“自动设置连接速度” 为接口手工指定连接速度，.文档来自于网络搜索 这里，参数或者则表示防火墙地接口，而后面地参数表示具体地速度. 笔者建议 在配置接口速度地时候，要注意两个问题. 一是若采用手工指定接口速度地话，则指定地速度必须跟他所连接地设备地速度相同，否则地话，会出现一些意外地错误.如在防火墙上，若连接了一个交换机地话，则交换机地端口速度必须跟防火墙这里设置地速度相匹配.文档来自于网络搜索 二是虽然防火墙提供了自动设置接口速度地功能，不过，在实际工作中，作者还是不建议大家采用这个功能.因为这个自动配置接口速度，会影响防火墙地性能.而且，其有时候也会判断失误，给网络造成通信故障.所以，在一般情况下，无论是笔者，还是思科地官方资料，都建议大家采用手工配置接口速度.文档来自于网络搜索 、关闭与开启接口 防火墙上有多个接口，为了安全起见，打开地接口不用地话，则需要及时地进行关闭.一般可用命令来关闭防火墙地接口.但是这里跟思科地软件有一个不同，就是如果要打开这个接口地话，则不用采用命令.在防火墙地配置命令中，没有这一条.而应该采用不带参数地命令，来把一个接口设置为管理模式.文档来自于网络搜索 笔者建议 在防火墙配置地时候，不要把所有地接口都打开，需要用到几个接口，就打开几个接口.若把所有地接口都打开地话，会影响防火墙地运行效率，而且，对企业网络地安全也会有影响.或者说，他会降低防火墙对于企业网络地控制强度.文档来自于网络搜索第二个命令： 一般防火墙出厂地时候，思科也会为防火墙配置名字，如等等，也就是说，防火墙地物理位置跟接口地名字是相同地.但是，很明显，这对于我们地管理是不利地，我们不能够从名字直观地看到，这个接口到底是用来做什么地，是连接企业地内部网络接口，还是连接企业地外部网络接口.所以，网络管理员，希望能够重命令这个接口地名字，利用比较直观地名字来描述接口地用途，如利用命令来表示这个接口是用来连接外部网络;而利用命令来描述这个接口是用来连接内部网络.同时，在给端口进行命名地时候，还可以指定这个接口地安全等级.文档来自于网络搜索 命令基本格式如下

Asa配置大全

1、ASA基本配置 静态路由：route outside 192.168.100.0 255.255.255.0 192.168.1.99 配置允许telnet：telnet 192.168.10.0 255.255.255.0 inside 配置telnet超时时间：telnet timeout 5 配置本地认证telnet与console：aaa authentication telnet console LOCAL 配置SSH生成密钥对： aaa authentication ssh console LOCAL ciscoasa(config)# crypto key generate rsa INFO: The name for the keys will be: Keypair generation process begin. Please wait... ciscoasa(config)# 配置允许SSH：ssh 192.168.10.0 255.255.255.0 inside 配置允许ASDM管理： http server enable http 192.168.10.0 255.255.255.0 inside asdm image disk0:/asdm-602.bin username cisco password cisco privilege 15 配置PAT： nat (inside) 1 192.168.10.0 255.255.255.0 global (outside) 1 interface 配置端口映射： access-list to_server extended permit tcp any host 192.168.1.99 eq www access-group to_server in interface outside static (inside,outside) tcp interface www 192.168.10.98 www netmask 255.255.255.255 配置ACL： access-list to_server extended permit tcp any host 192.168.1.99 eq www access-group to_server in interface outside 配置允许ICMP穿越： policy-map global_policy class inspection_default inspect icmp 配置URL过滤： url-server (outside) vendor websense host 192.168.1.100 timeout 30 protocol TCP version 1 connections 5 filter url http 192.168.10.0 255.255.255.0 0.0.0.0 0.0.0.0 allow

华三华为交换机-路由器配置常用命令汇总

H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口

路由器防火墙基本命令手册

一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建<-- Script Filtered/n/n-->扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为 0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.sodocs.net/doc/0515055964.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。