当前位置：搜档网 › ASA配置手册

ASA配置手册

CD-ASA5520# show run

: Saved

ASA Version 7.2(2)

hostname CD-ASA5520 //给防火墙命名

domain-name default.domain.invalid //定义工作域enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码names

dns-guard

interface GigabitEthernet0/0 //内网接口：

duplex full //接口作工模式：全双工，半双，自适应

nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全

ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址

interface GigabitEthernet0/1 //外网接口

nameif outside //为外部端口命名：外部接口outside security-level 0

ip address 202.98.131.122 255.255.255.0 //IP地址配置

interface GigabitEthernet0/2

nameif dmz

security-level 50

ip address 192.168.2.1 255.255.255.0

interface GigabitEthernet0/3

shutdown

no nameif

no security-level

no ip address

interface Management0/0 //防火墙管理地址

shutdown

no nameif

no security-level

no ip address

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

clock timezone CST 8

dns server-group DefaultDNS

domain-name default.domain.invalid

access-list outside_permit extended permit tcp any interface outside eq 3389

//访问控制列表

access-list outside_permit extended permit tcp any interface outside range 30000 30010

//允许外部任何用户可以访问outside 接口的30000-30010的端口。

pager lines 24

logging enable //启动日志功能

logging asdm informational

mtu inside 1500 内部最大传输单元为1500字节

mtu outside 1500

mtu dmz 1500

ip local pool vpnclient 192.168.200.1-192.168.200.200 mask 255.255.255.0 //定义一个命名为vpnclient的IP地址池,为remote用户分配IP地址

no failover

icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-522.bin

no asdm history enable

arp timeout 14400 //arp空闲时间为14400秒

global (outside) 1 interface //由于没有配置NAT 故这里是不允许内部用户上INTERNET

static (dmz,outside) tcp interface 30000 192.168.2.2 30000 netmask 255.255.255.255

//端口映射可以解决内部要公布的服务太多，而申请公网IP少问题。

static (dmz,outside) tcp interface 30001 192.168.2.2 30001 netmask 255.255.255.255

//把dmz区192.168.2.2 30002 映射给外部30002端口上。

static (dmz,outside) tcp interface 30002 192.168.2.2 30002 netmask 255.255.255.255

static (dmz,outside) tcp interface 30003 192.168.2.2 30003 netmask 255.255.255.255

static (dmz,outside) tcp interface 30004 192.168.2.2 30004 netmask 255.255.255.255

static (dmz,outside) tcp interface 30005 192.168.2.2 30005 netmask 255.255.255.255

static (dmz,outside) tcp interface 30006 192.168.2.2 30006 netmask 255.255.255.255

static (dmz,outside) tcp interface 30007 192.168.2.2 30007 netmask 255.255.255.255

static (dmz,outside) tcp interface 30008 192.168.2.2 3008 netmask 255.255.255.255

static (dmz,outside) tcp interface 30009 192.168.2.2 30009 netmask

255.255.255.255

static (dmz,outside) tcp interface 30010 192.168.2.2 30010 netmask 255.255.255.255

static (dmz,outside) tcp interface 3389 192.168.2.2 3389 netmask 255.255.255.255

access-group outside_permit in interface outside

//把outside_permit控制列表运用在外部接口的入口方向。

route outside 0.0.0.0 0.0.0.0 202.98.131.126 1 //定义一个默认路由。

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

------------定义一个命名为vpnclient的组策略------------------------- group-policy vpnclient internal //创建一个内部的组策略。group-policy vpnclient attributes //设置vpnclient组策略的参数

wins-server value 192.168.1.10 //定义WINS-SERVER 的IP地址。dns-server value 192.168.1.10 61.139.2.69 //定义dns-server的IP地址。vpn-idle-timeout none //终止连接时间设为默认值

vpn-session-timeout none //会话超时采用默认值

vpn-tunnel-protocol IPSec //定义通道使用协议为IPSEC。split-tunnel-policy tunnelspecified //定义。

default-domain value https://www.sodocs.net/doc/9415590795.html, //定义默认域名为https://www.sodocs.net/doc/9415590795.html,

------------定义一个命名为l2lvpn的组策略------------------------- group-policy l2lvpn internal

group-policy l2lvpn attributes

wins-server value 192.168.1.10

dns-server value 192.168.1.10 61.139.2.69

vpn-simultaneous-logins 3

vpn-idle-timeout none

vpn-session-timeout none

vpn-tunnel-protocol IPSec

username test password P4ttSyrm33SV8TYp encrypted privilege 0

//创建一个远程访问用户来访问安全应用

username cisco password 3USUcOPFUiMCO4Jk encrypted

http server enable //启动HTTP服务

http 0.0.0.0 0.0.0.0 inside //允许内部主机HTTP连接

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart //snmp的默认配置

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

//配置转集（定义了IPSC隧道使用的加密和信息完整性算法集合）

crypto dynamic-map vpn_dyn_map 10 set transform-set ESP-DES-MD5

//为动态加密图条目定义传换集

crypto map outside_map 10 ipsec-isakmp dynamic vpn_dyn_map

//创建一个使用动态加密条目的加密图

crypto map outside_map interface outside

//将 outside_map加密图应用到outside端口

------------配置IKE--------------

crypto isakmp enable outside //在ostside 接口启动ISAKMP

crypto isakmp policy 20 //isakmmp权值，值越小权值越高authentication pre-share //指定同位体认证方法是共享密钥encryption des //指定加密算法

hash md5 //指定使用MD5散列算法

group 2 //指定diffie-hellman组2

lifetime 86400 //指定SA（协商安全关联）的生存时间

crypto isakmp policy 65535

authentication pre-share

encryption des

hash md5

group 2

lifetime 86400

-------------调用组策略-----------------

crypto isakmp nat-traversal 20

tunnel-group DefaultL2LGroup general-attributes //配置这个通道组的认证方法

default-group-policy l2lvpn //指定默认组策略名称。tunnel-group DefaultL2LGroup ipsec-attributes //配置认证方法为IPSEC pre-shared-key * //提供IKE连接的预共享密钥

tunnel-group vpnclient type ipsec-ra //设置连接类型为远程访问。

tunnel-group vpnclient general-attributes //配置这个通道组的认证方法

address-pool vpnclient //定义所用的地址池default-group-policy vpnclient //定义默认组策略

-----设置认证方式和共享密钥-------------

tunnel-group vpnclient ipsec-attributes //配置认证方法为IPSEC pre-shared-key * //提供IKE连接的预共享密钥

telnet timeout 5 //telnet 超时设置

ssh 0.0.0.0 0.0.0.0 outside //允许外部通SSH访问防火墙ssh timeout 60 //SSH连接超时设置

console timeout 0 //控制台超时设置

dhcp-client update dns server both

dhcpd dns 61.139.2.69 202.98.96.68 //dhcp 发布的DNS !

dhcpd address 192.168.1.10-192.168.1.254 inside //向内网发布的地址池

dhcpd enable inside //启动DHCP服务。

class-map inspection_default

match default-inspection-traffic

policy-map type inspect dns migrated_dns_map_1

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns migrated_dns_map_1

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

service-policy global_policy global

prompt hostname context

Cryptochecksum:25e66339116f52e443124a23fef3d373

: end

cisco3750三层交换机配置说明

三层交换机可以通过Telnet方式或超级终端方式连上，第一次使用的三层交换机需要进行配置，具体步骤如下： 1）、用Cisco 3750三层交换机自带的一条串行电缆将其Console口与1台维护笔记本的串口（需要知道是Com1还是Com2）相连。 2）在维护笔记本上执行以下操作：“开始→程序→附件→通讯→超级终端”，在“连接描述”对话框的名称一栏中输入“cisco3750”（此名字没有实际意义，可以随便输入），创建一个叫做"cisco3750"的新连接，点击"确定"，缺省的使用COM1（根据维护计算机连接的端口选择），在"串口设置"中将波特率改为9600波特，其他参数不变，点击"确定"就可以得到三层交换机的控制台。 3）、设置结束，打开三层交换机电源，就会出现三层交换机的启动信息。这时就可以像在终端一样对三层交换机进行操作了。此时不要进行任何操作，以免破坏三层交换机的启动进程，直到三层交换机出现了： “Copyright (c) 1986-2006 by Cisco Systems, Inc. Compiled Fri 28-Jul-06 08:46 by yenanh” 回车，提示“Would you like to terminate autoinstall? [yes]:”是否要终止自动安装，输入N，进入配置页面： “--- System Configuration Dialog --- Would you like to enter the initial configuration dialog? [yes/no]:” 输入N，选择不需要，提示“Switch>00:14:58: %LINK-5-CHANGED: Interface Vlan1, changed state to administratively down”，出现“switch>”就可以输入命令进行配置。 switch >en（进入特权模式） switch #configure（进入组态模式） switch ( config ) ＃hostname 3750 （交换机重命名） 3750( config )#Interface vlan 1 (进入vlan1设置) 3750( config-if ) #ip add 171.100.12.1 255.255.255.0(设置vlan1的IP，连接其端口的设备必须以其IP作为网关) 3750( config-if ) #no shutdown (激活vlan1的端口)

Cisco ASA 5500防火墙个人基本配置手册

Cisco ASA 5500不同安全级别区域实现互访实验一、网络拓扑二、实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。三、实验目的实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

四、详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

dlyAAA思科3750交换机中文配置手册

先把这个学会吧，再去搞哪个，会容易入手，是一样的结构。思科的命令和这不同，我这有路由模拟器要的话告诉我你的邮箱我发给你。 SWITCH笔记 1. Switch command 2. Switch setup 3. Vlan setup 4. VLAN TRUNK 5. Switch interface setup 6. SHOW command 7. Cisco catalyst 2950交换机的密码恢复 8. VTP 9. STP 10. 三层交换 11. 12. 13. 14. 15. Switch command Switch > en 进入特权模式 Switch # conf t 进入全局配置模式 Switch（config）# interface interface-num 进入接口 Switch（config）# hostname name 给交换机命名 Switch（config）# enable password password 设置明文密码 Switch（config）# enable secret password 设置加密的启用秘密口令。如果设置则取代明文口令 Switch # copy running-config startup-config Switch # write 保存设置保存设置 Switch # erase startup-config 恢复交换机出厂值置顶 Switch setup switch（config）# interface vlan 1 switch（config-if）# ip address ip-address netmask switch（config-if）# no shut switch（config-if）# exit switch（config）# ip default-gateway ip-address

思科交换机实用配置步骤详解

1.交换机支持的命令：交换机基本状态： switch: ;ROM状态，路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置： switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令

交换机VLAN设置： switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1，2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式交换机设置IP地址： switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco+3750交换机配置

3750交换机（EMI）简明配置维护手册目录说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)

说明本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。产品特性 3750EMI是支持二层、三层功能（EMI）的交换机支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持，对于路由端口支持入出双向的访问列表，对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持（需要多层交换的IOS） ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视

?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件） ?Syslog功能其它功能：支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口配置一组端口

(完整版)思科路由器查看配置命令.doc

思科路由器查看配置命令 show run// 看运行状况 show ip route// 看路由表 show int// 看断口 * show ip int br// 看端口 ip 地址 show cdp nei// 察看 cdp 邻居 show ip pro// 察看 ip 协议查看配置信息用 show 命令，该命令可以在用户模式和特权模式下执行，且在特权模式下看到的信息比用户模式多。 show 命令很多，常用的有： 1、查看运行配置文件： Router#show running-config 运行配置文件 running-config 位于路由器的 RAM 中，存放的是路由器当前使用的配置信息。 2、查看启动配置文件： Router#show startup-config 启动配置文件 startup-config 位于路由器的 NVRAM 中，可以长期保存。它在启动路由器时装入 RAM ，成为 running-config 。 3、查看路由器的版本信息： Router#show version' 4、查看路由器的接口状态： Router#show ip interface brief 如果接口状态标识为“ Down ”，表示此接口未激活，如果标识为“ Up”，表示此接口已经激活。 5、查看路由表：

Router#show ip route 通过路由表可以看出该路由器已经识别的网络。 6、查看 NAT 翻译情况： Router#show ip nat translation 应该先进行内网与外网的通讯(如：用 ping 命令 )，然后再查看，才能看到翻译情况。

思科交换机配置维护手册

一、端口配置 1.1 配置一组端口当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式

思科路由器基本配置与常用配置命令

思科路由器基本配置与常用配置命令(simple for CCNA) 启动接口，分配IP地址： router> router> enable router# router# configure terminal router(config)# router(config)# interface Type Port router(config-if)# no shutdown router(config-if)# ip address IP-Address Subnet-Mask router(config-if)# ＾z 配置RIP路由协议：30秒更新一次 router(config)# router rip router(config-if)# network Network-Number router(config-if)# ＾z 配置IGRP路由协议：90秒更新一次 router(config)# router igrp AS-Number router(config-if)# network Network-Number router(config-if)# ＾z配置Novell IPX路由协议：Novell RIP 60秒更新一次 router(config)# ipx routing [node address] router(config)# ipx maximum-paths Paths router(config)# interface Type Port router(config-if)# ipx network Network-Number [encapsulation encapsulation-type] [secondary] router(config-if)# ＾z配置DDR： router(config)# dialer-list Group-Number protocol Protocol-Type permit [list ACL-Number] router(config)# interface bri 0 router(config-if)# dialer-group Group-Number router(config-if)# dialer map Protocol-Type Next-Hop-Address name Hostname Telphone-Number router(config-if)# ＾z配置ISDN： router(config)# isdn swith-type Swith-Type router(config-if)# ＾z 配置Frame Relay： router(config-if)# encapsulation frame-relay [cisco | ietf ] router(config-if)# frame-relay lmi-type [ansi | cisco | q933a ] router(config-if)# bandwidth kilobits router(config-if)# frame-relay invers-arp [ Protocol ] [dlci ] router(config-if)# ＾z配置标准ACL： router(config)# access-list Access-List-Number [ permit | deny ] source [ source-mask ] router(config)# interface Type Port router(config-if)# ip access-group Access-List-Number [ in | out ] router(config-if)# ＾z配置扩展ACL： router(config)# access-list Access-List-Number [ permit | deny ] [ Protocol | Protocol-Number ] source source-wildcard [ Source-Port ] destination destination-wildcard [ Destination-Port ] [ established ]

cisco防火墙配置的基本配置

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

Cisco交换机配置手册

2950交换机简明配置维护手册

目录说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)

说明本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。产品特性 2950是只支持二层的交换机支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件）

配置端口配置一组端口当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

CISCO路由器简要配置手册

CISCO路由器简要配置手册编者：审核：中兴通讯网络事业部南京用服部

修订记录

目录第1章路由器配置基础 (1) 1.1IP地址概览 (1) 1.1.1 IP地址的类别 (1) 1.1.2 子网掩码 (2) 1.2路由器基本知识介绍 (2) 1.2.1 路由器物理端口介绍 (2) 1.2.2 路由器型号 (2) 1.2.3 内存体系结构介绍 (3) 1.3基本设置方式 (4) 1.4命令状态 (5) 1.5设置对话过程 (5) 1.6常用命令 (9) 1.7配置IP寻址 (11) 1.8配置静态路由 (14) 第2章广域网协议设置 (16) 2.1HDLC (16) 2.2PPP (21) 2.3 X.25 (23) 2.4F RAME R ELAY (29) 2.5ISDN (34) 2.6PSTN (47) 第3章路由协议设置 (68) 3.1RIP协议 (68) 3.2IGRP协议 (69) 3.3OSPF协议 (70) 3.4重新分配路由 (76) 3.5IPX协议设置 (79) 第4章访问控制 (83) 4.1标准IP访问列表 (83) 4.2扩展IP访问列表 (87) 第5章配置举例 (89)

5.1组网描述 (89) 5.2路由器配置举例 (89)

第1章路由器配置基础摘要：路由器是处于网络层的设备，它负责把IP数据包从一个网络中的主机转发到另一个网络上的主机（中间可能用到多个路由器的转发）。路由器可以有多个接口连接局域网络和广域网络。它有两个基本的功能：路径判断和交换。交换功能让路由器从一个接口接收数据包并转发到其它的接口。路径判断功能使得路由器能选择最合适的接口来转发数据包，即选择最佳的路径到达目的网络。下图中蓝线表示两台计算机IP数据包的传输最佳路径。 1.1 IP地址概览 1.1.1 IP地址的类别为了同时容纳大型网络和小型网络，网络信息中心（NIC）将32比特IP地址分为A类、B类、C类、D类和E类。每种地址类别分别允许在其网络中有某一数量的网络地址和某一数量的主机地址。类别地址范围网络数主机数 A类 1.0.0.0到126.0.0.0128（27）16777214 B类128.0.0.0 到191.255.0.016386（214）65532 C类192.0.0.0 到 223.255.255.0大约200万（221）254 D类224.0.0.0 到 239.255.255.254为多组播地址保留 E类240.0.0.0 到 254.255.255.255为研究保留

思科3750标准配置手册

3750交换机标准配置维护手册

目录说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 配置三层口 (8) 监控及维护端口 (10) 监控端口和控制器的状态 (10) 刷新、重置端口及计数器 (12) 关闭和打开端口 (13) 配置VLAN (14) 理解VLAN (14) 可支持的VLAN (15) 配置正常范围的VLAN (15) 生成、修改以太网VLAN (15) 删除VLAN (17) 将端口分配给一个VLAN (18) 配置VLAN Trunks (19) 使用STP实现负载均衡 (22)

思科路由器配置命令和方法

第一章：路由器配置基础一、基本设置方式一般来说，可以用5种方式来设置路由器： 1．Console口接终端或运行终端仿真软件的微机； 2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；3．通过Ethernet上的TFTP服务器； 4．通过Ethernet上的TELNET程序； 5．通过Ethernet上的SNMP网管工作站。但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率：9600 数据位：8 停止位：1 奇偶校验: 无二、命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。 2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。设置对话状态这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。三、设置对话过程显示提示信息全局参数的设置接口参数的设置显示结果利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

思科6000系列交换机简要配置手册(中文)

6000交换机配置维护手册 (Native IOS) sobey数码科技股份有限公司网络系统项

目录 1. 连接设备 (4) 1.1.从CONSOLE连接 (4) 1.2.远程TELNET连接 (6) 2. 基本信息配置 (6) 2.1.配置机器名、TELNET、密码 (6) 2.2.配置SNMP网管串 (6) 3. 冗余及系统高可用性配置 (7) 3.1.同步S UPERVISOR E NGINE配置 (7) 3.2.查看S UPERVISOR E NGINE冗余 (8) 3.3.向冗余S UPERVISOR E NGINE拷贝IOS文件 (9) 4. 端口设置 (10) 4.1.基本设置 (10) 4.2.配置三层端口 (11) 5. 配置二层端口 (11) 5.1.配置T RUNK: (11) 6. 配置HSRP (12) 6.1.配置二层普通交换接口 (13) 6.2.清除二层接口配置 (13) 7. 配置VLAN (13) 8. 动态路由协议--OSPF配置 (14) 8.1.启用OSPF动态路由协议 (15) 8.2.定义参与OSPF的子网 (15) 8.3.OSPF区域间的路由信息汇总 (15) sobey数码科技股份有限公司网络系统项

8.4.配置密码验证 (16) 8.5.设置产生缺省路由 (16) 9. 交换机维护 (17) 9.1.交换机IOS保存和升级 (17) 9.2.交换机密码恢复 (17) sobey数码科技股份有限公司网络系统项

1. 连接设备 1.1. 从console连接第一次对6000交换机进行配置，必须从console进入。首先先将机器上架，按要求接好电源，然后用随机附带的Console线和转接头将交换机的console口与PC的串口相联，如下： Com口设置如下： ?9600 baud ?8 data bits ?No parity ? 2 stop bits 检查电源无误后，开电，可能会出现类似下面的显示，按黑粗体字回答: System Bootstrap, Version 6.1(2) Copyright (c) 1994-2000 by cisco Systems, Inc. c6k_sup2 processor with 131072 Kbytes of main memory rommon 1 > boot slot0:c6sup22-jsv-mz.121-5c.EX.bin Self decompressing the image : ################################################# ############################################################################### ############################################################################### ############################################################################### ############################################################################### [OK]