Cisco路由器与防火墙配置大全

Cisco 2811 路由器配置大全

命令状态

1. router>

路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router#

在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。

3. router(config)#

在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。

4. router(config-if)#; router(config-line)#; router(config-router)#;…

路由器处于局部设置状态，这时可以设置路由器某个局部的参数。

5. >

路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

6. 设置对话状态

这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。

三、设置对话过程

1. 显示提示信息

2. 全局参数的设置

3. 接口参数的设置

4. 显示结果

利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。

进入设置对话过程后，路由器首先会显示一些提示信息：

--- System Configuration Dialog ---

At any point you may enter a question mark '?' for help.

Use ctrl-c to abort configuration dialog at any prompt.

Default settings are in square brackets '[]'.

这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话：

Would you like to enter the initial configuration dialog? [yes]:

如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况：

First, would you like to see the current interface summary? [yes]:

Any interface listed with OK? value "NO" does not have a valid configuration

Interface IP-Address OK? Method Status Protocol

Ethernet0 unassigned NO unset up up

Serial0 unassigned NO unset up up

……………………………

然后，路由器就开始全局参数的设置：

Configuring global parameters:

1．设置路由器名：

Enter host name [Router]:

2．设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：

The enable secret is a one-way cryptographic secret used

instead of the enable password when it exists.

Enter enable secret: cisco

3．设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：The enable password is used when there is no enable secret

and when using older software and some boot images.

Enter enable password: pass

4．设置虚拟终端访问时的密码：

Enter virtual terminal password: cisco

5．询问是否要设置路由器支持的各种网络协议：

Configure SNMP Network Management? [yes]:

Configure DECnet? [no]:

Configure AppleTalk? [no]:

Configure IPX? [no]:

Configure IP? [yes]:

Configure IGRP routing? [yes]:

Configure RIP routing? [no]:

………

6．如果配置的是拨号访问服务器，系统还会设置异步口的参数：

Configure Async lines? [yes]:

1) 设置线路的最高速度：

Async line speed [9600]:

2) 是否使用硬件流控：

Configure for HW flow control? [yes]:

3) 是否设置modem：

Configure for modems? [yes/no]: yes

4) 是否使用默认的modem命令：

Configure for default chat script? [yes]:

5) 是否设置异步口的PPP参数：

Configure for Dial-in IP SLIP/PPP access? [no]: yes 6) 是否使用动态IP地址：

Configure for Dynamic IP addresses? [yes]:

7) 是否使用缺省IP地址：

Configure Default IP addresses? [no]: yes

是否使用TCP头压缩：

Configure for TCP Header Compression? [yes]:

9) 是否在异步口上使用路由表更新：

Configure for routing updates on async links? [no]: y 10) 是否设置异步口上的其它协议。

接下来，系统会对每个接口进行参数的设置。

1．Configuring interface Ethernet0:

1) 是否使用此接口：

Is this interface in use? [yes]:

2) 是否设置此接口的IP参数：

Configure IP on this interface? [yes]:

3) 设置接口的IP地址：

IP address for this interface: 192.168.162.2

4) 设置接口的IP子网掩码：

Number of bits in subnet field [0]:

Class C network is 192.168.162.0, 0 subnet bits; mask is /24

在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：

The following configuration command script was created:

hostname Router

enable secret 5 $1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1

enable password pass

…………

请注意在enable secret后面显示的是乱码，而enable password后面显示的是设置的内容。

显示结束后，系统会问是否使用这个设置：

Use this configuration? [yes/no]: yes

如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。返回目录

四、常用命令

1. 帮助

在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。

2. 改变命令状态

任务命令

进入特权命令状态 enable

退出特权命令状态 disable

进入设置对话状态 setup

进入全局设置状态 config terminal

退出全局设置状态 end

进入端口设置状态 interface type slot/number

进入子端口设置状态 interface type number.subinterface [point-to-point | multipoint] 进入线路设置状态 line type slot/number

进入路由设置状态 router protocol

退出局部设置状态 exit

3. 显示命令

任务命令

查看版本及引导信息 show version

查看运行设置 show running-config

查看开机设置 show startup-config

显示端口信息 show interface type slot/number

显示路由信息 show ip router

4. 拷贝命令

用于IOS及CONFIG的备份和升级

5. 网络命令

任务命令

登录远程主机 telnet hostname|IP address

网络侦测 ping hostname|IP address

路由跟踪 trace hostname|IP address

6. 基本设置命令

任务命令

全局设置 config terminal

设置访问用户及密码 username username password password 设置特权密码 enable secret password

设置路由器名 hostname name

设置静态路由 ip route destination subnet-mask next-hop 启动IP路由 ip routing

启动IPX路由 ipx routing

端口设置 interface type slot/number

设置IP地址 ip address address subnet-mask

设置IPX网络 ipx network network

激活端口 no shutdown

物理线路设置 line type number

启动登录进程 login [local|tacacs server]

设置登录密码 password password

五、配置IP寻址

1. IP地址分类

IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：

种类网络地址范围

A 1.0.0.0 到126.0.0.0有效 0.0.0.0 和127.0.0.0保留

B 128.1.0.0到191.254.0.0有效 128.0.0.0和191.255.0.0保留

C 192.0.1.0 到223.255.254.0有效 192.0.0.0和223.255.255.0保留

D 224.0.0.0到239.255.255.255用于多点广播

E 240.0.0.0到255.255.255.254保留 255.255.255.255用于广播

2. 分配接口IP地址

任务命令

接口设置 interface type slot/number

为接口设置IP地址 ip address ip-address mask

掩玛（mask）用于识别IP地址中的网络地址位数，IP地址（ip-address）和掩码（mask）相与即得到网络地址。

3. 使用可变长的子网掩码

通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。

如下图所示：

Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址，Router1的E0的网络地址为192.1.0.128,掩码为255.255.255.192, Router2的E0的网络地址为192.1.0.64,掩码为255.255.255.192，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。

4. 使用网络地址翻译（NAT）

NAT（Network Address Translation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.

当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的.

l Class A:10.1.1.1 to 10.254.254.254

l Class B:172.16.1.1 to 172.31.254.254

l Class C:192.168.1.1 to 192.168.254.254

命令描述如下：

任务命令

定义一个标准访问列表 access-list access-list-number permit source [source-wildcard]

定义一个全局地址池 ip nat pool name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]

建立动态地址翻译 ip nat inside source {list {access-list-number | name} pool name [overload] | static local-ip global-ip}

指定内部和外部端口 ip nat {inside | outside}

如下图所示，

路由器的Ethernet 0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial 0端口为outside端口，其拥有合法IP地址（由NIC或服务提供商所分配的合法的IP地址）,来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址，经由Serial 0口访问Internet。命令ip nat inside source list 2 pool c2501 overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法IP地址，它是由NIC或服务提供商所分配的地址）。命令ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192定义了全局地址的范围。

设置如下：

ip nat pool c2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192

interface Ethernet 0

ip address 10.1.1.1 255.255.255.0

ip nat inside

!

interface Serial 0

ip address 202.200.10.5 255.255.255.252

ip nat outside

!

ip route 0.0.0.0 0.0.0.0 Serial 0

access-list 2 permit 10.0.0.0 0.0.0.255

! Dynamic NAT

!

ip nat inside source list 2 pool c2501 overload

line console 0

exec-timeout 0 0

!

line vty 0 4

end

六、配置静态路由

通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。

任务命令

建立静态路由 ip route prefix mask {address | interface} [distance] [tag tag] [permanent]

Prefix :所要到达的目的网络

mask :子网掩码

address :下一个跳的IP地址，即相邻路由器的端口地址。

interface :本地网络接口

distance :管理距离（可选）

tag tag :tag值（可选）

permanent :指定此路由即使该端口关掉也不被移掉。

以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于

192.1.0.64/26的网络范围的数据报，应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访

问192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial 0地址为192.200.10.5，192.200.10.4/30这个网属于直连的网，已经存在访问192.200.10.4/30的路径，所以不需要在Router1上添加静态路由。

Router1:

ip route 192.1.0.64 255.255.255.192 192.200.10.6

Router3:

ip route 192.1.0.128 255.255.255.192 192.1.0.65

ip route 192.200.10.4 255.255.255.252 192.1.0.65

同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由，

ip route 0.0.0.0 0.0.0.0 192.1.0.65

即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。

ASA5510 配置手册

使用console连接线登录方法

1.使用cisco专用com连接线，连接设备的console口和计算机com口

2.使用超级终端或secureCRT软件连接设备

串行选项：波特率：9600 数据位：8 奇偶校验：无停止位：1 数据流控制: RTS/CTS

3.输入en,提示输入密码

show run 查看设备当前配置

configure ter 进入配置模式，输入前提示设备名(config)#

1. 设置主机名：

#hostname szhndasa

2. 设置时区：

szhndasa#clock timezone EST 7

3. 设置时钟：

Szhndasa#clock set 15:45:30 28 FEB 2008

4. 配置内接口IP

Szhndasa#int Ethernet 0/0

Szhndasa#nameif inside

Szhndasa#security-level 100

Szhndasa#ip address 192.168.55.254 255.255.255.0

5 配置外部接口IP

Szhndasa#int Ethernet 0/1

Szhndasa#nameif outside

Szhndasa#security-level 0

Szhndasa#ip address 210.X.X.X 255.255.255.248

6.配置用户名和密码

Szhndasa#username admin password ********* encrypted privilege 15 注：15 表示有最高权限

7.配置HTTP 和TELNET

Szhndasa#aaa authentication telnet console LOCAL Szhndasa#http server enable

Szhndasa#http 192.168.55.0 255.255.255.0 inside Szhndasa#telnet 192.168.55.0 255.255.255.0 inside

8.配置site to site vpn

crypto map outside_map 20 match address outside_cryptomap_20_1 crypto map outside_map 20 set pfs

crypto map outside_map 20 set peer 210.75.1.X

crypto map outside_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 20 set nat-t-disable

crypto map outside_map interface outside

注：还可通过http 方式用ASDM 管理软件图形化配置ASA

ASA5510# SHOW RUN

: Saved

:

ASA Version 7.0(6)

!

hostname ASA5510

enable password 2KFQnbNIdI.2KYOU encrypted names

dns-guard

!

interface Ethernet0/0 此接口为外部网络接口nameif outside 设置为 OUTSIDE 外部接口模式security-level 0 外部接口模式安全级别为最高 0

ip address 192.168.3.234 255.255.255.0 添加外部IP地址（一般为电信÷网通提供）!

interface Ethernet0/1此接口为内部网络接口

nameif inside设置为 INSIDE 内部接口模式

security-level 100内部接口模式安全级别为 100

ip address 10.1.1.1 255.255.0.0添加内部IP地址（一般为公司自行分配）

!

interface Ethernet0/2 没用到 SHUTDOWN 关闭

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0没用到 SHUTDOWN 关闭

nameif management

security-level 100

ip address 192.168.1.1 255.255.255.0 没用，用网线连接管理的端口。

management-only

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

pager lines 24

logging asdm informational

mtu outside 1500

mtu inside 1500

mtu management 1500

no asdm history enable

arp timeout 14400

global (outside) 1 interface 一定要打表示 PAT端口扩展：“1”为其NAT ID

nat (inside) 1 10.1.0.0 255.255.0.0 转换所有10.1.0.0 的内部地址

route outside 0.0.0.0 0.0.0.0 192.168.3.254 1 内部所有地址访问外部地址出口为电信－网通提供的网关地址timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.1.0 255.255.255.0 management

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 10.1.1.30-10.1.1.200 inside DHCP 自动提供分配范围为10.1.1.30－200

dhcpd address 192.168.1.2-192.168.1.254 management 无效

dhcpd dns 192.168.0.1 DNS 添加：可以是电信网通提供直接添加，或者自己的DNS服务器地址。

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd domain suzhou.jy 域名

dhcpd enable inside 打开内部网段自动分配

dhcpd enable management 无效

Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4

access-group icmp_in in interface outside 这两句表示，

access-list icmp_in extended permit icmp any any 润许PING包发送或接收

: end

HSRP的概念：

热备份路由协议为IP网络提供了容错和增强的路由选择功能，是cisco平台所特有的技术，它确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。

HSRP的工作原理：

HSRP支持在某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC 地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。

活跃路由器：RA 的功能是转发到虚拟路由器的数据包，组中的另一台路由器被选为备份路由器。活跃路由器通发送Hello消息来承担和保持它活跃的角色。

备份路由器; RB 功能是监视HSRP组的运行状态，当活跃路由器出现故障时，迅速承担起转发数据包的责任。

虚拟路由器：是LAN上的网关，作用是向用户代表一台可以连续工作的路由器。路由器RA和RB共同维护这台虚拟路由器。

HSRP的3个消息：

Hello消息------发送该消息表明路由器正在运行，并且能够成为活跃路由器和备份路由器。默认

3S发送一次HELLO消息。

Coup政变消息--------意思就是说，当活跃路由器出现故障的时候，备份路由器向变成活跃路由器的时候会发送政变消息。

Resign 辞职消息-------意思就是说，我不想在做活跃路由器或者备份路由器的时候，想退出HSRP 备份组的时候会发送辞职消息。

HSRP的6个状态：

1.初始状态（所有路由器都是从初始状态开始的，比如刚启动路由器的时候就是初始状态）

2.学习状态（路由器等待来自活跃路由器的消息）

3.监听状态（路由器知道了虚拟IP地址，但它即不是活跃路由器也不是备份路由器，来监听来自活跃和备份路由器的Hello消息）

4.发言状态（路由器接到Hello消息，参与活跃和备份路由器的竞选）

5.备份状态（路由器成为了备份路由器，并成为下一个活跃路由器的候选者）

6.活跃状态（在活跃状态，路由器负责转发发送到备份组的虚拟MAC地址的数据包）

小提示：要想学好HSRP，那么3个消息和6个状态要很好的理解

理论的知识就这么多了，下面我来把上面拓扑图的实验配置命令写一下吧

只配置路由器RA和RB的命令，交换机打开就OK了，不用配置。

RA的配置：活跃路由器

Route(config)#int s0/0

Route(config-if)#ip add 219.37.1.2 255.255.255.248 （模拟电信的公网IP）

Route(config-if)#no sh

Route(config)#int f0/0

Route(config-if)#ip add 172.16.10.1 255.255.255.0

Route(config-if)#no sh

Route(config-if)#standby 172 ip 172.16.10.254 (设置HSRP的组名为172，虚拟IP为

172.16.10.254)

Route(config-if)#standby 172 priority 120 (设置HSRP组172的优先级为120)

Route(config-if)#standby 172 preempt (设置HSRP路由器的占先权，意思就是当活跃路由器RA 出现故障了，备份路由器RB变成活跃

路由器的时候。RA经过维修又可以工作的时候配置的，RA可以正常工作的时候会发送政变消息，配置占先是很重要的)

路由器RB的配置：备份路由器

Route(config)#int s0/0

Route(config-if)#ip add 219.37.1.1 255.255.255.248 （模拟网通的公网IP）

Route(config-if)#no sh

Route(config)#int f0/0

Route(config-if)#ip add 172.16.10.2 255.255.255.0

Route(config-if)#no sh

Route(config-if)#standby 172 ip 172.16.10.254 (设置HSRP的组名为172，虚拟IP为

172.16.10.254)

Route(config-if)#standby 172 priority 110 (设置HSRP组172的优先级为110)

配置的命令就这些，我的拓扑图的外部网络没画好，应该用一台路由器来代替可以验证HSRP的结果，你们用模拟器来做这个实验的时候可以用路由器来做，可以更好的验证试验结果，可以PING通外网的路由器的话，在把RA的接口DOWN掉看还可以PING通外网路由器不，可以的话说明HSRP切换过来了。我是模拟公网来做的，

如果是公网的话在路由器RA和RB上面都要做默认路由和NAT地址转换才可以实现内网上互联网的要

求。

查看HSRP的（SHOW）命令：show standby 172 brief (查看HSRP的配置情况)

小提示：HSRP协议是Cisco公司的私有协议，只能在CISCO路由器上实现，别的厂商的路由器可以用VRRP协议来做热备份路由协议，VRRP和HSRP协议很相似，工作原理都一样，但是VRRP是公有协议。

(责任编辑：admin)

NAT：

共4步：

找到要配置的路由器：

1，内网接口：

ip nat inside

2，外网接口

ip nat outside

3，使用访问控制列表来定义范围：

全局：

access-list 1 permit 192.168.1.0 0.0.0.255

4，全局：

ip nat inside source list 1 interface s 1/0 overload

(注意：使用指定接口，防止下一跳地址改变导致nat不可实现)

端口映射，反向NAT

IP：

ip nat inside source static 192.168.1.1 202.106.1.5

端口：

ip nat inside source static tcp 192.168.1.1 80 202.106.1.10 80

!

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname nat-r1

!

e nable secret 5 $1$FEQr$INhRecYBeCb.UqTQ3b9mY0

Cisco ASA配置

Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置： 目的：1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求：1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址：200.200.200.82 200.200.200.83 网关255.255.255.248（这个地址一般是运营商提供） 4、外网路由：200.200.200.81 5、DMZ区域的服务器IP地址：192.168.5.2 步骤1：配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81

CISCO路由器配置手册

第一章路由器配置基础 一、基本设置方式 一般来说，可以用5种方式来设置路由器： 1．Console口接终端或运行终端仿真软件的微机； 2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连； 3．通过Ethernet上的TFTP服务器； 4．通过Ethernet上的TELNET程序； 5．通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率：9600 数据位：8 停止位：1 奇偶校验: 无 二、命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c 可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话：

cisco路由器配置及维护手册

cisco路由器配置及维护手册 作者：pixfire 一、路由器简单配置 1. 用串行电缆将PC机串口与路由器CONSOLE口连接，用WIN95的超级终端或NETTERM 软件进行配置。PC机串口设置为波特率9600 数据位8 停止位1。 2. 新出厂的路由器启动后会进入自动配置状态。可按提示对相应端口进行配置。 3 . 命令行状态。若不采用自动配置，可在自动配置完成后，题问是否采用以上配置时，回答N。此时进入命令行状态。 4 进入CONFIG模式。在router>键入enable , 进入router # ,再键入config t ,进入 router(config)# 。 5 配置广域端口。在正确连接好与E1端口的电缆线后，在router # 下键入sh controller cbus 。检验端口物理特性，及连线是否正确。之后，进入config模式。 进行以下配置。 int serial <端口号> E1端口号。 ip address <掩码> 广域网地址 bandwidth 2000 传输带宽 clock source line 时钟设定。 6 检验配置。设置完成后，按ctrl Z退出配置状态。键入write mem 保存配置。 用sh conf 检查配置信息。用sh int 检查端口状态。 二、路由器常用命令 2.1 Exec commands: <1-99> 恢复一个会话 bfe 手工应急模式设置 clear 复位功能

clock 管理系统时钟 configure 进入设置模式 connect 打开一个终端 copy 从tftp服务器拷贝设置文件或把设置文件拷贝到tftp服务器上 debug 调试功能 disable 退出优先命令状态 disconnect 断开一个网络连接 enable 进入优先命令状态 erase 擦除快闪内存 exit 退出exce模式 help 交互帮助系统的描述 lat 打开一个本地传输连接 lock 锁定终端 login 以一个用户名登录 logout

Cisco ASA 5500防火墙个人基本配置手册

Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供

四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

Cisco+6509配置手册

Catalyst 6509 交换机 配置手册 version 1.0.0 中望商业机器有限公司? 1995, 2001 Chinaweal Business Machinery CO. LTD All Rights Reserve

目录 1基础配置 (1) 1.1建立到控制台的连接 (1) 1.2配置交换机的地址 (2) 1.3配置Ethernet 口 (3) 1.4配置交换机的全局参数 (4) 1.5测试网络的连通性 (4) 2其它参数的配置 (5) 2.1配置Login Banner (5) 2.2配置DNS (6) 2.3配置CDP协议 (7) 3VLAN的配置 (8) 3.1配置VTP协议（VLAN Trunk Protocol） (9) 3.2配置VLAN (10) 3.2.1创建VLAN (10) 3.3将交换端口配置到VLAN中 (10) 3.4配置VLAN Trunks (12) 3.5在MSFC上配置IP InterVLAN路由 (13) 3.5.1从Console口进入MSFC (13) 3.5.2通过T elnet Session 进入MSFC 模块 (13) 3.5.3在MSFC上配置IP InterVLAN路由 (14) 3.6配置HSRP协议 (14) 3.7配置以太通道 (16)

1 基础配置 1.1 建立到控制台的连接 在进行配置和将交换机接入网络前必须通过控制台来进入交换机的CLI，对交换机进行配置。在进入CLI后，通过命令enable进入到privileged 模式。 通过以下步骤将终端连接到交换机的控制口 例如: <... output truncated ...> Cisco Systems Console Enter password: Console> enable Enter password: Console> (enable) - 1 -

Cisco路由器的基本配置命令

Cisco路由器的基本配置命令 Cisco 路由器的基本配置命令 一(实训目的 1(掌握路由器的连接方式和使用基本规则。 2(掌握路由器的基本配置命令。 二(实训器材及环境 1(安装 Windows 2000 Server 系统的计算机一台。 2(安装模拟软件 Boson Netsim 5.31。 3(模拟环境如下: 图 11-1 实验拓扑环境 三(实训理论基础 1(路由器的基本配置语句 (1)配置路由器名字和特权密码: Router1> enable Router1# conf t Router1(config)# hostname R1 R1(config)# enable secret 123456
b5E2RGbCAP
(2)配置路由器的 Ethernet 端口:
R1(config)# interface e0 R1(config-if)# ip address 192.168.1.1 255.255.255.0 p1EanqFDPw R1(config-if)# no shutdown (3)配置路由器的 Serial 端口(DTE 端):DXDiTa9E3d R1(config)# interface s0 R1(config-if)# ip address 10.0.0.1 255.0.0.0 R1(config-if)# no shutdown (4)配置路由器的 Serial 端口(DCE 端):
RTCrpUDGiT
R2(config)# interface s0 R2(config-if)# ip address 10.0.0.2 255.0.0.0 R2(config-if)# clock rate 64000 R2(config-if)# no shutdown 2(路由器可以有多种类型的端口，用于连接 不同的网络，常用的有以太网端口(Ethernet)、快速以太网端口 (FastEthernet)、高速同步串口(Serial)等。有的端口是固定端口，有的端
5PCzVD7HxA
- 1 -

CISCO+ASA+5520配置手册

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

CISCO路由器配置基础

路由器是计算机网络的桥梁，是连接IP网的核心设备。通过它不仅可以连通不同的网络，还能选择数据传送的路经，并能阻隔非法访问。路由器的配置对初学者来说，并不是件容易的事。现以CISCO路由器为例，将路由器的一般常识和配置介绍给大家，供朋友们在配置路由器时参考。 一、路由器的一般常识 路由器具有创建路由、执行命令以及在网络接口上使用路由协议对数据包进行路由等功能。它的是接口、CPU和存在器，软件基础是网络互联操作系 统IOS。 1、路由器接口 ·路由器接口用作将路由器连接到网络，可以分为局域网接口和广域网接口两种。由于路由器型号的不同，接口数目和类型也不尽一样。常见的接口主要有以下几种： ·高速同步串口，可连接DDN，帧中继（Frame Relay），X.25，PSTN（模拟线路）。 ·同步/异步串口，可用软件将端口设置为同步工作方式。 ·AUI端口，即粗缆口。一般需要外接转换器（AUI-RJ45），连接10Base-T以太网络。 ·ISDN端口，可以连接ISDN网络(2B+D)，可作为局域网接入Inter 之用。·AUX端口，该端口为异步端口，主要用于远程配置，也可用于拔号备份，可 与MODEM连接。支持硬件流控制（Hardware Flow Ctrol）。 ·Console端口，该端口为异步端口，主要连接终端或运行终端仿真程序的计算机，在本地配置路由器。不支持硬件流控制。 2、路由器的CPU 路由器和PC机一样，有中央处理单元CPU，而且不同的路由器，其CPU一般也不相同，CPU是路由器的处理中心。 3、路由器的内存组件 内存是路由器存储信息和数据的地方，CISCO路由器有以下几种内存组件：·ROM（Read Only Memory） ·ROM中存储路由器加电自检（POST：Power-On Self-Test）、启动程序（Bootstrap Program）和部分或全部的IOS。路由器中的ROM是可擦写的，所以IOS是可以升级的。 ·NVRAM(Nonvolatile Random Memory)

Cisco设备的基本配置命令

switch> 用户模式 1：进入特权模式 enable switch> enable switch# 2：进入全局配置模式 configure terminal switch> enable switch＃c onfigure terminal switch(conf)# 3：交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4：配置使能口令 enable password cisco 以cisco为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5：配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6：设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7：进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#

cisco防火墙配置的基本配置

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

思科交换机配置维护手册

思科交换机配置维护手册

目录

一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式

1-cisco路由器基本配置及远程登录

实训目的： （1）学习和掌握科路由器的配置方式和要求。 （2）学习和掌握科路由器的工作模式分类、提示符、进入方式。1、路由器的配置方式 ①超级终端方式。该方式主要用于路由器的初始配置，路由器不需要IP地址。基本方法是：计算机通过COM1/COM2口和路由器的Console口连接，在计算机上启用“超级终端”程序，设置“波特率：9600 ，数据位：8，停止位：1，奇偶校验: 无，校验：无”即可。常用 ②Telnet方式。该方式配置要求路由器必须配置了IP地址。基本方法是：计算机通过网卡和路由器的以太网接口相连，计算机的网卡和路由器的以太网接口的IP地址必须在同一网段。常用 ③其他方式：AUX口接MODEM，通过电话线与远方运行终端仿真软件的微机；通过Ethernet上的TFTP服务器；通过Ethernet上的SNMP网管工作站。 2、路由器的工作模式 在命令行状态下，主要有以下几种工作模式： ①一般用户模式。主要用于查看路由器的基本信息，只能执行少数命令，不能对路由 器进行配置。提示符为：Router>；进入方式为：Telnet或Console ②使能（特权）模式。主要用于查看、测试、检查路由器或网络，不能对接口、路由 协议进行配置。提示符为：Router#；进入方式为：Router>enable。 ③全局配置模式。主要用于配置路由器的全局性参数。提示符为：Router(config)#； 进入方式为：Router#config ter。 ④全局模式下的子模式。包括：接口、路由协议、线路等。其进入方式和提示符如下： Router(config)#ineterface e0 //进入接口模式 Router(config-if)#//接口模式提示符 Router(config)#rip //进入路由协议模式 Router(config-router)# //路由协议模式 Router(config)#line con 0 //进入线路模式

思科ASA防火墙ASDM安装和配置

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.sodocs.net/doc/a62381913.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。

最新思科CISCO路由器配置步骤

前思科路由器已经成为路由行业的领军人物，可能好多人还不了解Cisco路由器配置的步骤，没有关系，看完本文你肯定有不少收获，希望本文能教会你更多东西，该单位公司总部在北京，全国有3个分支机构。 要求做到在4个地点的数据能够实时查询，便于业务员根据具体情况作出正确决策。早期方案是使用路由器，通过速率为256Kbps的DDN专网连接北京总部。但技术人员通过市场调研，发现该网络运营成本过高。通过进一步的咨询和调整，最终方案是分支机构使用DDN在本地接入Internet，总部使用以太网就近接入Internet。并对互联的Cisco路由器配置，使用VPN技术，保证内部数据通过Internet安全传输。该企业的网络分布见附图。 配置过程及测试步骤 在实施配置前，需要检查硬件和软件是否支持VPN。对于Cisco路由器配置，要求IOS 版本高于12.0.6(5)T，且带IPSec功能。本配置在Cisco路由器配置通过。以下是分支网络1的路由器实际配置过程，其他路由器的配置方法与此基本一致，只需修改具体的环境参数(IP 地址和接口名称)即可。 配置路由器的基本参数，并测试网络的连通性 (1) 进入Cisco路由器配置模式 将计算机串口与路由器console口连接，并按照路由器说明书配置“终端仿真”程序。执行下述命令进入配置模式。 Router>en Router#config terminal Router(config)# (2)配置路由器的基本安全参数 主要是设置特权口令、远程访问口令和路由器名称，方便远程调试。 Router(config)#enable secret xxxxxxx Router(config)#line vty 0 4 Router(config-line)#password xxxxxx Router(config-line)#exit Router(config)#hostname huadong

Cisco交换机配置手册

2950交换机 简明配置维护手册

目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件）

配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

(完整版)思科路由器查看配置命令.doc

思科路由器查看配置命令 show run// 看运行状况 show ip route// 看路由表 show int// 看断口 * show ip int br// 看端口 ip 地址 show cdp nei// 察看 cdp 邻居 show ip pro// 察看 ip 协议 查看配置信息用 show 命令，该命令可以在用户模式和特权模式下执行，且在特权模式下看 到的信息比用户模式多。 show 命令很多，常用的有： 1、查看运行配置文件： Router#show running-config 运行配置文件 running-config 位于路由器的 RAM 中，存放的是路由器当前使用的配置信息。 2、查看启动配置文件： Router#show startup-config 启动配置文件 startup-config 位于路由器的 NVRAM 中，可以长期保存。它在启动路由器时装入 RAM ，成为 running-config 。 3、查看路由器的版本信息： Router#show version' 4、查看路由器的接口状态： Router#show ip interface brief 如果接口状态标识为“ Down ”，表示此接口未激活，如果标识为“ Up”，表示此接口已经激活。 5、查看路由表：

Router#show ip route 通过路由表可以看出该路由器已经识别的网络。 6、查看 NAT 翻译情况： Router#show ip nat translation 应该先进行内网与外网的通讯(如：用 ping 命令 )，然后再查看，才能看到翻译情况。

CISCO ASA5520配置手册

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

思科防火墙登陆及设置过程

一、防火墙登陆过程telnet 192.168.0.1 输入：123 用户名：en 密码：srmcisco

Conf t Show run 二、公网IP与内网IP映射： static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0

三、再打开端口：输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)

四、登出防火墙：logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上网电脑IP地址） 2、arp inside 192.168.0.188 000f.eafa.645d alias（绑定上网电脑网卡MAC地址）