思科防火墙telnet 的正确配置方法

一、运用 Telnet执行远程系统管理（Using Telnet for Remote System Management）

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。

串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：

·配置Telnet控制台访问（Configuring Telnet Console Access）

·测试Telnet访问（Testing Telnet Access）

·保卫外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface）

· Trace Channel特征（Trace Channel Feature）

(一)、配置Telnet控制台访问（Configuring Telnet Console Access）

按照以下步骤来配置Telnet控制台访问：

步骤1运用 PIX防火墙telnet命令。

例如，如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。

telnet 192.168.1.2 255.255.255.255 inside

如果配置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保卫外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。

运用如下命令。telnet 209.165.200.225 225.255.225.224 outside

步骤2如须要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度执行配置。默认值5分钟对大多数情况来说过短，需予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15; 步骤3如果您想用认证服务器来保卫到控制台的访问，您可运用aaa authentication telnet console命令，它须要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可运用用户名pix和由enablepassword命令配置的口令访问控制台。

步骤4 用write memory命令保存配置中的命令?

(二)、测试Telnet访问（Testing Telnet Access）

执行以下步骤来测试Telnet访问：

步骤1从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正运用Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如，如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1

步骤2PIX防火墙提示您输入口令：PIX passwd:输入cisco，然后按Enter键。您即登录到PIX防火墙上了。默认口令为cisco，您可用passwd命令来修改它。您可在Telnet控制台上输入任意您可从串行控制台上配置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。一些Telnet使用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键运用的PIX防火墙命令历史记录特征。然而，您可按Ctrl-P来获取最近输入的命令。

步骤3一旦您建立了Telnet访问，您可能想在纠错时阅读 ping（探查）信息。您可用debug icmp trace命令阅读来自Telnet会话的ping信息。Trace Channel 特征也对debug的显示有影响，这将在"Trace Channel特征（Trace Channel Feature）"中详述。成功的ping信息如下：

Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1

Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 步骤4此外，您可运用 Telnet控制台会话来阅读系统日志信息：

a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下运用 PIX防火墙，您可能希望运用 logging buffered 7命令唇畔⒋娲⒃谀捎胹how logging命令阅读的缓存中，还可用clear logging命令清理缓存以便更方便地阅读。如想停止缓存信息，运用 no logging buffered命令。您也可将数目从7降至较小值，如3，以限定所显示的信息数。

b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，运用 terminal no monitor 命令。

例1给出了运用 Telnet允许主机访问PIX防火墙控制台的命令。

例1 运用 Telnet

telnet 10.1.1.11 255.255.255.255

telnet 192.168.3.0 255.255.255.0

第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。

第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机执行访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。

(三)、保卫外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)

本部分讲述如何保卫到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

·概述（Overview）

·运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client) ·运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

概述（Overview）

如果您正运用 Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正运用 Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保卫您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

您将需在您的VPN客户机上配置两个安全策略。一个用于保卫您的Telnet连接，另一个保卫您到内部网络的连接。运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client) 本部分仅适用于您运用 Cisco Secure VPN Client

的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行步骤1建立一个access-list命令语句，解释需从PIX防火墙到运用来自

本地虚拟地址池中目的地址的VPN客户机而执行保卫的流量access-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0步骤2解释哪台主机可用Telnet访问PIX防火墙控制台：

telnet 10.1.2.0 255.255.255.0 outside

从本地池和外部接口指定VPN客户机的地址。

步骤3在VPN客户机中，建立一个安全策略，将远程方身份识别IP地址与网关IP地址解释为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。

步骤4配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

本部分仅适用于您运用 Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

解释哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

telnet 10.1.2.0 255.255.255.0 outside

(四)、Trace Channel特征（Trace Channel Feature）

debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的运用改动了您在PIX防火墙控制台或Telnet会话期间阅读屏幕上输出结果的形式。

如果一个debug命令不运用 Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不运用 Trace Channel 的会话的输出是禁用的。

Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet 控制台会话，还是您只运用 PIX防火墙串行控制台：o

如果您仅运用 PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。o

如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。o 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关上，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。

debug 命令在所有Telnet和串行控制台会话间共享。留心 Trace Channel特征的缺点是，如果一位管理员正运用串行控制台，另一管理员启动一个Telnet 控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正运用串行控制台，且未出现debug命令的输出，运用 who命令来查看能不能有Telnet控制台会话正在运行。

二、IDS系统日志信息（IDS Syslog Messages）

防火墙经由系统日志列出了单分组（原子）Cisco入侵检测系统（IDS）签

字信息。所支持的信息列表请参见《Cisco PIX防火墙系统日志信息》。此版本中所有签字信息不受PIX防火墙支持。IDS系统日志信息均以％PIX-4-4000nn开始，有下列格式：

％PIX-4-4000nn IDS: sig_num sig_msg from ip_addr to ip_addr on interface int_name

例如：

％PIX-4-400013 IDS: 2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz

% PIX-4-400032 IDS: 4051 UDP Snork attack from 10.1.1.1. to 192.168.1.1. on interface outside

选项：

sig_num 签字号。具体信息参见《Cisco安全入侵检测系统2.2.1用户指南》。sig_msg 签字信息——几乎与NetRanger签字信息相同。

Ip_addr 签字适用的本地到远程地址。

Int_name 签字最初发出的接口名。

您可用以下命令确定显示哪些信息：

ip audit signature signature_number disable 将一项全局策略与一个签名相连。用于禁用某一签名或不让某一签名执审计。

no ip audit signature signature_number 从签名处删除策略。用于重新运用某一签名。

show ip audit signature [signature_number] 显示禁用签名。

ip audit info [action [alarm] [drop] [reset]] 指定对于分类为信息签名的签名所采取的默认行动。

alarm选项表示，当发觉某一分组中签名匹配，PIX防火墙就将事件报告给所有已配置的系统日志服务器。drop选项丢弃不合格的分组。reset选项丢弃不合格的分组，并且如果它是一条有效连接的一部分，则关上该连接。默认值为alarm。如想取消事件响应，运用不带action选项的ip audit info命令。

no ip audit info 配置针对分类为信息的签名而采取的行动，调查默认行动。show ip audit info 显示默认信息行动。

ip audit attack [action [alarm] [drop] [reset]] 指定对于攻击签名所应采取的默认行动。action选项如前所解释。

no ip audit attack 将针对攻击签名而采取的行为是默认行为。

show ip audit attack 显示默认攻击行动。审计策略（审计准则）解释了所有可使用于某一接口的签名的属性以及一系列行动。运用审计策略，用户可限定审计的流量或指定签名匹配时采取的行动。每个审计策略由一个名称识别，可针对信息或攻击签名执行解释。每个接口可有2个策略，一个用于信息签名，另一个用于攻击签名。如果解释的策略中无行动，则采取已配置的默认行动。每个策略须要一个不同名称。

ip audit name audit_name info[action [alarm] [drop] [reset]] 除被ip audit signature命令禁用或排除的信息签名之外，所有信息签名均被认为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [info] 删除审计策略audit_name。

ip audit name audit_name attack [action [alarm] [drop] [reset]] 除被ip audit signature命令禁用或排除的攻击签名之外，所有攻击签名均被认

为是策略的一部分。行动与前面描述的相同。

no ip audit name audit_name [attack] 删除审计规定audit_name。show ip audit name [name [infoattack]] 显示所有审计策略或按名称和可能的类型显示特定策略。

ip audit interface if_name audit_name 向某一接口使用审计规定或策略（经由ip audit name命令）。

no ip audit interface [if_name] 从某一接口删除一个策略。

打卡制度

Cisco ASA配置 思科防火墙ASA5520配置 思科防火墙ASA5520配置： 目的：1、内网可以上网 2、内网可以访问DMZ区域的服务器 3、外网可以通过公网IP访问DMZ区域的服务器 要求：1、内网的网段192.168.10.0 2、DMZ的网段192.168.5.0 3、外网IP地址：200.200.200.82 200.200.200.83 网关255.255.255.248（这个地址一般是运营商提供） 4、外网路由：200.200.200.81 5、DMZ区域的服务器IP地址：192.168.5.2 步骤1：配置接口inside、outside和dmz interface g0/0 speed auto duplex auto nameif inside Security-level 100 ip address 192.168.10.1 255.255.255.0 no shut exit interface g0/1 speed auto duplex auto nameif outside Security-level 0 ip address 200.200.200.82 255.255.255.248 no shut exit interface g0/2 speed auto duplex auto nameif dmz Security-level 50 ip address 192.168.5.1 255.255.255.0 no shut exit 步骤2、添加外网路由 route outside 0 0 200.200.200.81

第一章路由器配置基础 一、基本设置方式 一般来说，可以用5种方式来设置路由器： 1．Console口接终端或运行终端仿真软件的微机； 2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连； 3．通过Ethernet上的TFTP服务器； 4．通过Ethernet上的TELNET程序； 5．通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率：9600 数据位：8 停止位：1 奇偶校验: 无 二、命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c 可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话：

Cisco ASA 5500不同安全级别区域实现互访实验 一、 网络拓扑 二、 实验环境 ASA 防火墙eth0接口定义为outside 区，Security-Level:0，接Router F0/0；ASA 防火墙eth1接口定义为insdie 区，Security-Level:100，接Switch 的上联口；ASA 防火墙Eth2接口定义为DMZ 区，Security-Level:60，接Mail Server 。 三、 实验目的 实现inside 区域能够访问outside ，即Switch 能够ping 通Router 的F0/0（202.100.10.2）；dmz 区能够访问outside ，即Mail Server 能够ping 通Router 的F0/0（202.100.10.2）； outside 能够访问insdie 区的Web Server 的http 端口(80)和dmz 区的Mail Server 的pop3端口（110）、smtp 端口（25）. 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视 频 Q Q :986942623 C C I E s e r v i c e 提供

四、 详细配置步骤 1、端口配置 CiscoASA(config)# interface ethernet 0 CiscoASA(config)#nameif ouside CiscoASA(config-if)# security-level 0 CiscoASA(config-if)# ip address 202.100.10.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 1 CiscoASA(config)#nameif inside CiscoASA(config-if)# security-level 100 CiscoASA(config-if)# ip address 192.168.1.1 255.255.255.0 CiscoASA(config-if)# no shut CiscoASA(config)# interface ethernet 2 CiscoASA(config)#nameif dmz CiscoASA(config-if)# security-level 50 CiscoASA(config-if)# ip address 172.16.1.1 255.255.255.0 CiscoASA(config-if)# no shut 2、路由配置 CiscoASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.10.2 1 #默认路由 CiscoASA(config)# route inside 10.0.0.0 255.0.0.0 192.168.1.2 1 #外网访问内网服务器的路由 3、定义高安全接口区域需要进行地址转换的IP 范围CiscoASA(config)# nat (inside) 1 0 0 CiscoASA(config)# nat (dmz) 1 0 0 4、定义低安全接口区域用于高安全接口区域进行IP 转换的地址范围CiscoASA(config)# global (outside) 1 interface CiscoASA(config)# global (dmz) 1 interface 5、定义静态IP 映射（也称一对一映射）CiscoASA(config)# static (inside,outside) tcp 202.100.10.1 www 10.1.1.1 www netmask 255.255.255.255 #实现从outside 区访问inside 区10.1.1.1的80端口时，就直接访问10.1.1.1:80 对outside 区的映射202.100.10.1:80 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 pop3 172.16.1.2 pop3 netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的110时，就直接访问172.16.1.2:110 对outside 区的映射202.100.10.1:110 CiscoASA(config)# static (dmz,outside) tcp 202.100.10.1 smtp 172.16.1.2 smtp netmask 255.255.255.255 #实现从outside 区访问dmz 区172.16.1.2的25时，就直接访问172.16.1.2:25 对outside 区的映射202.100.10.1:25 6、定义access-list CiscoASA(config)# access-list 101 extended permit ip any any CiscoASA(config)# access-list 101 extended permit icmp any any CiscoASA(config)# access-list 102 extended permit tcp any host 10.1.1.1 eq www CiscoASA(config)# access-list 102 extended permit icmp any any CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq pop3 CiscoASA(config)# access-list 103 extended permit tcp any host 172.16.1.2 eq smtp 最新【 2009 C C I E R S L a b （160，N 1-N 7)版本视频】【w o l f c c v p c c i e 安全视频】全套视频 Q Q :986942623 C C I E s e r v i c e 提供

Catalyst 6509 交换机 配置手册 version 1.0.0 中望商业机器有限公司? 1995, 2001 Chinaweal Business Machinery CO. LTD All Rights Reserve

目录 1基础配置 (1) 1.1建立到控制台的连接 (1) 1.2配置交换机的地址 (2) 1.3配置Ethernet 口 (3) 1.4配置交换机的全局参数 (4) 1.5测试网络的连通性 (4) 2其它参数的配置 (5) 2.1配置Login Banner (5) 2.2配置DNS (6) 2.3配置CDP协议 (7) 3VLAN的配置 (8) 3.1配置VTP协议（VLAN Trunk Protocol） (9) 3.2配置VLAN (10) 3.2.1创建VLAN (10) 3.3将交换端口配置到VLAN中 (10) 3.4配置VLAN Trunks (12) 3.5在MSFC上配置IP InterVLAN路由 (13) 3.5.1从Console口进入MSFC (13) 3.5.2通过T elnet Session 进入MSFC 模块 (13) 3.5.3在MSFC上配置IP InterVLAN路由 (14) 3.6配置HSRP协议 (14) 3.7配置以太通道 (16)

1 基础配置 1.1 建立到控制台的连接 在进行配置和将交换机接入网络前必须通过控制台来进入交换机的CLI，对交换机进行配置。在进入CLI后，通过命令enable进入到privileged 模式。 通过以下步骤将终端连接到交换机的控制口 例如: <... output truncated ...> Cisco Systems Console Enter password: Console> enable Enter password: Console> (enable) - 1 -

CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010 //允许外部任何用户可以访问outside 接口的30000-30010的端口。 pager lines 24 logging enable //启动日志功能

Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS

switch> 用户模式 1：进入特权模式 enable switch> enable switch# 2：进入全局配置模式 configure terminal switch> enable switch＃c onfigure terminal switch(conf)# 3：交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4：配置使能口令 enable password cisco 以cisco为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5：配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6：设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7：进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#

cisco防火墙配置的基本配置 1、nameif 设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。 使用命令： PIX525(config)#nameifethernet0outsidesecurity0 PIX525(config)#nameifethernet1insidesecurity100 PIX525(config)#nameifethernet2dmzsecurity50 2、interface 配置以太口工作状态，常见状态有：auto、100full、shutdown。 auto：设置网卡工作在自适应状态。 100full：设置网卡工作在100Mbit/s，全双工状态。 shutdown：设置网卡接口关闭，否则为激活。 命令： PIX525(config)#interfaceethernet0auto PIX525(config)#interfaceethernet1100full PIX525(config)#interfaceethernet1100fullshutdown 3、ipaddress 配置网络接口的IP地址 4、global 指定公网地址范围：定义地址池。 Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask] 其中： (if_name)：表示外网接口名称，一般为outside。 nat_id：建立的地址池标识(nat要引用)。 ip_address-ip_address：表示一段ip地址范围。 [netmarkglobal_mask]：表示全局ip地址的网络掩码。 5、nat 地址转换命令，将内网的私有ip转换为外网公网ip。 6、route route命令定义静态路由。 语法： route(if_name)00gateway_ip[metric] 7、static 配置静态IP地址翻译，使内部地址与外部地址一一对应。 语法： static(internal_if_name,external_if_name)outside_ip_addrinside_ip_addre ss 8、conduit 管道conduit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。 语法： conduitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]

思科交换机配置维护手册

目录

一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式

2950交换机 简明配置维护手册

目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件）

配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

CISCO ASA防火墙ASDM安装和配置 准备工作： 准备一条串口线一边接台式机或笔记本一边接防火墙的CONSOLE 接口，通过开始——>程序——> 附件——>通讯——>超级终端 输入一个连接名，比如“ASA”,单击确定。 选择连接时使用的COM口，单击确定。 点击还原为默认值。 点击确定以后就可能用串口来配置防火墙了。 在用ASDM图形管理界面之前须在串口下输入一些命令开启ASDM。 在串口下输入以下命令： ciscoasa> ciscoasa> en Password: ciscoasa# conf t 进入全局模式 ciscoasa(config)# webvpn 进入WEBVPN模式 ciscoasa(config-webvpn)# username cisco password cisco 新建一个用户和密码ciscoasa(config)# int m 0/0 进入管理口 ciscoasa(config-if)# ip address 192.168.4.1 255.255.255.0 添加IP地址ciscoasa(config-if)# nameif guanli 给管理口设个名字 ciscoasa(config-if)# no shutdown 激活接口 ciscoasa(config)#q 退出管理接口 ciscoasa(config)# http server enable 开启HTTP服务 ciscoasa(config)# http 192.168.4.0 255.255.255.0 guanli 在管理口设置可管理的IP 地址 ciscoasa(config)# show run 查看一下配置 ciscoasa(config)# wr m 保存 经过以上配置就可以用ASDM配置防火墙了。 首先用交叉线把电脑和防火墙的管理口相连，把电脑设成和管理口段的IP地址,本例中设为192.168.4.0 段的IP打开浏览器在地址栏中输入管理口的IP地址: https://192.168.4.1 弹出一下安全证书对话框，单击“是” 输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“确定”。出现也下对话框，点击“Download ASDM Launcher and Start ASDM”开始安装ASDM管理器，安装完以后从网上下载一个JAVA虚拟机软件(使用1.4以上Java 版本)，进入https://www.sodocs.net/doc/e317689159.html,下载安装，安装完后点击下面的“R un ASDM as a Java Applet ”。 出现以下对话框，点击“是”。 出现以下对话框，输入用户名和密码（就是在串口的WEBVPN模式下新建的用户和密码），然后点击“是”。 出现以下对话框，点击“是”。 进入ASDM管理器。 这样就可以通过ASDM来配置防火墙了。 以后就可以直接使用ASDM来管理防火墙了。

CISCO 6509配置手册 1.设置时间 switch#config t switch(config)# clock timezone GMT 8 ；配置时区 switch(config)# clock set 13:30:21 31 JAN 2004 ；配置交换机时间2.设置主机名及密码 Switch#congfig t Switch(config)#hostname 6509a //配置交换机名称6509a(config)#enable password cisco //配置用户密码 6509a (config)#enable secret cisco //配置安全密码 6509a (config-line)#line vty 0 15 //配置远程访问密码6509a (config-line)#login 6509a (config-line)#password cisco 6509a (config-line)#login 6509a (config-line)#^z 6509a #show running-config //查看配置信息 6509a #copy running-config startup-config 6509a #show startup-config 6509a #show bootvar 6509a #dir bootflash: 6509a #copy system:running-config nvram:startup-config 6509a #show fabric status 6509a #show hardware 3.配置vlan 6509a #config t 6509a (config)#vlan 301 6509a (config-vlan)# name hexinxitong 6509a (config)#vlan 302 6509a (config-vlan)# name callcenter 6509a (config)#vlan 303 6509a (config-vlan)# name kuaijicaiwu

CISCO ASA5520配置手册 CD-ASA5520# show run: Saved : ASA V ersion 7.2(2) ! hostname CD-ASA5520 //给防火墙命名 domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 Names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3 Shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address !passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS domain-name default.domain.invalid access-list outside_permit extended permit tcp any interface outside eq 3389 //访问控制列表 access-list outside_permit extended permit tcp any interface outside range 30000 30010

一、防火墙登陆过程telnet 192.168.0.1 输入：123 用户名：en 密码：srmcisco

Conf t Show run 二、公网IP与内网IP映射： static (inside,outside) 61.142.114.180 192.168.0.7 netmask 255.255.255.255 0 0

三、再打开端口：输入以下一笔命今如 access-list acl-out permit tcp any host 61.142.114.183 eq 5800 (打开外部5800端口) access-list acl-out permit tcp any host 61.142.114.183 eq 5900 (打开外部5900端口) access-list acl-out permit tcp any host 61.142.114.183 eq 1433 (打开外部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 1433 (打开内部1433端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5900 (打开内部5900端口) access-list acl-in permit tcp any host 61.142.114.183 eq 5800 (打开内部5800端口)

四、登出防火墙：logout 五、增加上网电脑 1、nat (inside) 1 192.168.0.188 255.255.255.255 0 0（上网电脑IP地址） 2、arp inside 192.168.0.188 000f.eafa.645d alias（绑定上网电脑网卡MAC地址）

配置要求： 1、分别划分inside（内网）、outside（外网）、dmz（安全区）三个区域。 2、内网可访问外网及dmz内服务器（web），外网可访问dmz内服务器（web）。 3、Dmz服务器分别开放80、21、3389端口。 说明：由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下：希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !

interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob

cisco 6509交换机配置手册 一个经典配置包括Catalyst6509 4006交换机配置方案 拓扑图如下： 一、 Catalyst 6509交换机配置方案 1.1、配置6509二层交换 Console> (enable) set system name bg-sw-01 /设备名称Bg-sw-01> (enable) set password Enter old password: Enter new password: test /设备口令 Retype new password: test Bg-sw-01> (enable) set enablepass Enter old password: Enter new password: test /设备口令 Retype new password: test

Bg-sw-01> (enable) set banner motd % Welcome to the c6509 in the office % / 提示文本 Bg-sw-01> (enable) set interface sc0 10.234.180.21 255.255.255.0 /设置管理接口 #sh int Bg-sw-01> (enable) set ip route default 10.234.180.234 /设置默认网关 #sh ip route Bg-sw-01> (enable) set vtp mode server /设置VTP模式 #sh vtp domain Bg-sw-01> (enable) set vtp domain Core_Net /设置VTP域名 Bg-sw-01> (enable) set vlan 31 name ZhongSanLu /创建VLAN #sh vlan Bg-sw-01> (enable) set vlan 32 name YiYang Bg-sw-01> (enable) set vlan 33 name JianXiu Bg-sw-01> (enable) set vlan 34 name RaoDian Bg-sw-01> (enable) set vlan 35 name JinSanLou Bg-sw-01> (enable) set vlan 36 name WuZi Bg-sw-01> (enable) set port channel 1/1-2 on /设置Channel #sh port channel Bg-sw-01> (enable) set trunk 1/1 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/2 on dot1q 1-1005 /设置trunk口 #sh trunk # Bg-sw-01> (enable) set trunk 2/3 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/4 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/5 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/6 on dot1q 1-1005 Bg-sw-01> (enable) set trunk 2/7 on dot1q 1-1005 Bg-sw-01> (enable) set spantree root 1-40 dia 4 /设为spantree的根#sh spantree Bg-sw-01> (enable) set spantree portfast 1/1-2 enable /设spantree端口快速启用Bg-sw-01> (enable) set spantree portfast 2/1-8 enable Bg-sw-01> (enable) set spantree uplinkfast enable /设spantree端口快速切换 Bg-sw-01> (enable) set spantree backbonefast enable /设spantree端口快速定位根 1.2、配置路由