Cisco路由器与防火墙配置大全教学文案.doc

《Cisco路由器与防火墙配置大全教学文案.doc》由会员分享，可在线阅读，更多相关《Cisco路由器与防火墙配置大全教学文案.doc（52页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、Good is good, but better carries it.精益求精，善益求善。Cisco路由器与防火墙配置大全-Cisco2811路由器配置大全命令状态1.router路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。2.router#在router提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。3.router(config)#在router#提示符下键入configureterminal,出现提示符router(config)#，此时路

2、由器处于全局设置状态，这时可以设置路由器的全局参数。4.router(config-if)#;router(config-line)#;router(config-router)#;路由器处于局部设置状态，这时可以设置路由器某个局部的参数。5.路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。6.设置对话状态这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。三、设置对话过程1.显示提示信息2.全局参数的设置3.接口参数的设置4.显示结果

3、利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。进入设置对话过程后，路由器首先会显示一些提示信息：-SystemConfigurationDialog-Atanypointyoumayenteraquestionmark?forhelp.Usectrl-ctoabortconfigurationdialogatanyprompt.Defaultsettingsareinsquarebrackets.这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c可以退出设置过程，缺省设置将显示在中。然后路由器

4、会问是否进入设置对话：Wouldyouliketoentertheinitialconfigurationdialog?yes:如果按y或回车，路由器就会进入设置对话过程。首先你可以看到各端口当前的状况：First,wouldyouliketoseethecurrentinterfacesummary?yes:AnyinterfacelistedwithOK?valueNOdoesnothaveavalidconfigurationInterfaceIP-AddressOK?MethodStatusProtocolEthernet0unassignedNOunsetupupSerial0una

5、ssignedNOunsetupup然后，路由器就开始全局参数的设置：Configuringglobalparameters:1设置路由器名：EnterhostnameRouter:2设置进入特权状态的密文(secret)，此密文在设置以后不会以明文方式显示：Theenablesecretisaone-waycryptographicsecretusedinsteadoftheenablepasswordwhenitexists.Enterenablesecret:cisco3设置进入特权状态的密码(password)，此密码只在没有密文时起作用，并且在设置以后会以明文方式显示：Theenab

6、lepasswordisusedwhenthereisnoenablesecretandwhenusingoldersoftwareandsomebootimages.Enterenablepassword:pass4设置虚拟终端访问时的密码：Entervirtualterminalpassword:cisco5询问是否要设置路由器支持的各种网络协议：ConfigureSNMPNetworkManagement?yes:ConfigureDECnet?no:ConfigureAppleTalk?no:ConfigureIPX?no:ConfigureIP?yes:ConfigureIGRPro

7、uting?yes:ConfigureRIProuting?no:6如果配置的是拨号访问服务器，系统还会设置异步口的参数：ConfigureAsynclines?yes:1)设置线路的最高速度：Asynclinespeed9600:2)是否使用硬件流控：ConfigureforHWflowcontrol?yes:3)是否设置modem：Configureformodems?yes/no:yes4)是否使用默认的modem命令：Configurefordefaultchatscript?yes:5)是否设置异步口的PPP参数：ConfigureforDial-inIPSLIP/PPPaccess

8、?no:yes6)是否使用动态IP地址：ConfigureforDynamicIPaddresses?yes:7)是否使用缺省IP地址：ConfigureDefaultIPaddresses?no:yes是否使用TCP头压缩：ConfigureforTCPHeaderCompression?yes:9)是否在异步口上使用路由表更新：Configureforroutingupdatesonasynclinks?no:y10)是否设置异步口上的其它协议。接下来，系统会对每个接口进行参数的设置。1ConfiguringinterfaceEthernet0:1)是否使用此接口：Isthisinterf

9、aceinuse?yes:2)是否设置此接口的IP参数：ConfigureIPonthisinterface?yes:3)设置接口的IP地址：IPaddressforthisinterface:192.168.162.24)设置接口的IP子网掩码：Numberofbitsinsubnetfield0:ClassCnetworkis192.168.162.0,0subnetbits;maskis/24在设置完所有接口的参数后，系统会把整个设置对话过程的结果显示出来：Thefollowingconfigurationcommandscriptwascreated:hostnameRouterena

10、blesecret5$1$W5Oh$p6J7tIgRMBOIKVXVG53Uh1enablepasswordpass请注意在enablesecret后面显示的是乱码，而enablepassword后面显示的是设置的内容。显示结束后，系统会问是否使用这个设置：Usethisconfiguration?yes/no:yes如果回答yes，系统就会把设置的结果存入路由器的NVRAM中，然后结束设置对话过程，使路由器开始正常的工作。返回目录四、常用命令1.帮助在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。2.改变命令状态任务命令进入特权命令状态enable退出特权命令状态disa

11、ble进入设置对话状态setup进入全局设置状态configterminal退出全局设置状态end进入端口设置状态interfacetypeslot/number进入子端口设置状态interfacetypenumber.subinterfacepoint-to-point|multipoint进入线路设置状态linetypeslot/number进入路由设置状态routerprotocol退出局部设置状态exit3.显示命令任务命令查看版本及引导信息showversion查看运行设置showrunning-config查看开机设置showstartup-config显示端口信息showinte

12、rfacetypeslot/number显示路由信息showiprouter4.拷贝命令用于IOS及CONFIG的备份和升级5.网络命令任务命令登录远程主机telnethostname|IPaddress网络侦测pinghostname|IPaddress路由跟踪tracehostname|IPaddress6.基本设置命令任务命令全局设置configterminal设置访问用户及密码usernameusernamepasswordpassword设置特权密码enablesecretpassword设置路由器名hostnamename设置静态路由iproutedestinationsubnet

13、-masknext-hop启动IP路由iprouting启动IPX路由ipxrouting端口设置interfacetypeslot/number设置IP地址ipaddressaddresssubnet-mask设置IPX网络ipxnetworknetwork激活端口noshutdown物理线路设置linetypenumber启动登录进程loginlocal|tacacsserver设置登录密码passwordpassword五、配置IP寻址1.IP地址分类IP地址分为网络地址和主机地址二个部分，A类地址前8位为网络地址，后24位为主机地址，B类地址16位为网络地址，后16位为主机地址，C类地

14、址前24位为网络地址，后8位为主机地址，网络地址范围如下表所示：种类网络地址范围A1.0.0.0到126.0.0.0有效0.0.0.0和127.0.0.0保留B128.1.0.0到191.254.0.0有效128.0.0.0和191.255.0.0保留C192.0.1.0到223.255.254.0有效192.0.0.0和223.255.255.0保留D224.0.0.0到239.255.255.255用于多点广播E240.0.0.0到255.255.255.254保留255.255.255.255用于广播2.分配接口IP地址任务命令接口设置interfacetypeslot/number为接

15、口设置IP地址ipaddressip-addressmask掩玛（mask）用于识别IP地址中的网络地址位数，IP地址（ip-address）和掩码（mask）相与即得到网络地址。3.使用可变长的子网掩码通过使用可变长的子网掩码可以让位于不同接口的同一网络编号的网络使用不同的掩码，这样可以节省IP地址，充分利用有效的IP地址空间。如下图所示：Router1和Router2的E0端口均使用了C类地址192.1.0.0作为网络地址，Router1的E0的网络地址为192.1.0.128,掩码为255.255.255.192,Router2的E0的网络地址为192.1.0.64,掩码为255.255

16、.255.192，这样就将一个C类网络地址分配给了二个网，既划分了二个子网，起到了节约地址的作用。4.使用网络地址翻译（NAT）NAT（NetworkAddressTranslation）起到将内部私有地址翻译成外部合法的全局地址的功能，它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet.当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由NetworkWorkingGroup(RFC1918)保留用于私有网络地址分配的.lClassA:10.1.1.1to10.254.254.254lClassB:172.16.1.1to172.31.254.254lClassC

17、:192.168.1.1to192.168.254.254命令描述如下：任务命令定义一个标准访问列表access-listaccess-list-numberpermitsourcesource-wildcard定义一个全局地址池ipnatpoolnamestart-ipend-ipnetmasknetmask|prefix-lengthprefix-lengthtyperotary建立动态地址翻译ipnatinsidesourcelistaccess-list-number|namepoolnameoverload|staticlocal-ipglobal-ip指定内部和外部端口ipnati

18、nside|outside如下图所示，路由器的Ethernet0端口为inside端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译，Serial0端口为outside端口，其拥有合法IP地址（由NIC或服务提供商所分配的合法的IP地址）,来自网络10.1.1.0/24的主机将从IP地址池c2501中选择一个地址作为自己的合法地址，经由Serial0口访问Internet。命令ipnatinsidesourcelist2poolc2501overload中的参数overload，将允许多个内部地址使用相同的全局地址（一个合法IP地址，它是由NIC或服务提供商所分配的地址）。命令ipn

19、atpoolc2501202.96.38.1202.96.38.62netmask255.255.255.192定义了全局地址的范围。设置如下：ipnatpoolc2501202.96.38.1202.96.38.62netmask255.255.255.192interfaceEthernet0ipaddress10.1.1.1255.255.255.0ipnatinside!interfaceSerial0ipaddress202.200.10.5255.255.255.252ipnatoutside!iproute0.0.0.00.0.0.0Serial0access-list2perm

20、it10.0.0.00.0.0.255!DynamicNAT!ipnatinsidesourcelist2poolc2501overloadlineconsole0exec-timeout00!linevty04end六、配置静态路由通过配置静态路由，用户可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单，且一般到达某一网络所经过的路径唯一的情况下采用静态路由。任务命令建立静态路由iprouteprefixmaskaddress|interfacedistancetagtagpermanentPrefix:所要到达的目的网络mask:子网掩码address:下一个跳的IP地址，即

21、相邻路由器的端口地址。interface:本地网络接口distance:管理距离（可选）tagtag:tag值（可选）permanent:指定此路由即使该端口关掉也不被移掉。以下在Router1上设置了访问192.1.0.64/26这个网下一跳地址为192.200.10.6,即当有目的地址属于192.1.0.64/26的网络范围的数据报，应将其路由到地址为192.200.10.6的相邻路由器。在Router3上设置了访问192.1.0.128/26及192.200.10.4/30这二个网下一跳地址为192.1.0.65。由于在Router1上端口Serial0地址为192.200.10.5，1

22、92.200.10.4/30这个网属于直连的网，已经存在访问192.200.10.4/30的路径，所以不需要在Router1上添加静态路由。Router1:iproute192.1.0.64255.255.255.192192.200.10.6Router3:iproute192.1.0.128255.255.255.192192.1.0.65iproute192.200.10.4255.255.255.252192.1.0.65同时由于路由器Router3除了与路由器Router2相连外，不再与其他路由器相连，所以也可以为它赋予一条默认路由以代替以上的二条静态路由，iproute0.0.0.

23、00.0.0.0192.1.0.65即只要没有在路由表里找到去特定目的地址的路径,则数据均被路由到地址为192.1.0.65的相邻路由器。ASA5510配置手册使用console连接线登录方法1.使用cisco专用com连接线，连接设备的console口和计算机com口2.使用超级终端或secureCRT软件连接设备串行选项：波特率：9600数据位：8奇偶校验：无停止位：1数据流控制:RTS/CTS3.输入en,提示输入密码showrun查看设备当前配置configureter进入配置模式，输入前提示设备名(config)#1.设置主机名：#hostnameszhndasa2.设置时区：szh

24、ndasa#clocktimezoneEST73.设置时钟：Szhndasa#clockset15:45:3028FEB20084.配置内接口IPSzhndasa#intEthernet0/0Szhndasa#nameifinsideSzhndasa#security-level100Szhndasa#ipaddress192.168.55.254255.255.255.05配置外部接口IPSzhndasa#intEthernet0/1Szhndasa#nameifoutsideSzhndasa#security-level0Szhndasa#ipaddress210.X.X.X255.255

25、.255.2486.配置用户名和密码Szhndasa#usernameadminpassword*encryptedprivilege15注：15表示有最高权限7.配置HTTP和TELNETSzhndasa#aaaauthenticationtelnetconsoleLOCALSzhndasa#httpserverenableSzhndasa#http192.168.55.0255.255.255.0insideSzhndasa#telnet192.168.55.0255.255.255.0inside8.配置sitetositevpncryptomapoutside_map20matchad

26、dressoutside_cryptomap_20_1cryptomapoutside_map20setpfscryptomapoutside_map20setpeer210.75.1.Xcryptomapoutside_map20settransform-setESP-3DES-SHAcryptomapoutside_map20setnat-t-disablecryptomapoutside_mapinterfaceoutside注：还可通过http方式用ASDM管理软件图形化配置ASAASA5510#SHOWRUN:Saved:ASAVersion7.0(6)!hostnameASA551

27、0enablepassword2KFQnbNIdI.2KYOUencryptednamesdns-guard!interfaceEthernet0/0此接口为外部网络接口nameifoutside设置为OUTSIDE外部接口模式security-level0外部接口模式安全级别为最高0ipaddress192.168.3.234255.255.255.0添加外部IP地址（一般为电信网通提供）!interfaceEthernet0/1此接口为内部网络接口nameifinside设置为INSIDE内部接口模式security-level100内部接口模式安全级别为100ipaddress10.1.

28、1.1255.255.0.0添加内部IP地址（一般为公司自行分配）!interfaceEthernet0/2没用到SHUTDOWN关闭shutdownnonameifnosecurity-levelnoipaddress!interfaceManagement0/0没用到SHUTDOWN关闭nameifmanagementsecurity-level100ipaddress192.168.1.1255.255.255.0没用，用网线连接管理的端口。management-only!passwd2KFQnbNIdI.2KYOUencryptedftpmodepassivepagerlines24l

29、oggingasdminformationalmtuoutside1500mtuinside1500mtumanagement1500noasdmhistoryenablearptimeout14400global(outside)1interface一定要打表示PAT端口扩展：“1”为其NATIDnat(inside)110.1.0.0255.255.0.0转换所有10.1.0.0的内部地址routeoutside0.0.0.00.0.0.0192.168.3.2541内部所有地址访问外部地址出口为电信网通提供的网关地址timeoutxlate3:00:00timeoutconn1:00:0

30、0half-closed0:10:00udp0:02:00icmp0:00:02timeoutsunrpc0:10:00h3230:05:00h2251:00:00mgcp0:05:00timeoutmgcp-pat0:05:00sip0:30:00sip_media0:02:00timeoutuauth0:05:00absolutehttpserverenablehttp192.168.1.0255.255.255.0managementnosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticat

31、ionlinkuplinkdowncoldstarttelnettimeout5sshtimeout5consoletimeout0dhcpdaddress10.1.1.30-10.1.1.200insideDHCP自动提供分配范围为10.1.1.30200dhcpdaddress192.168.1.2-192.168.1.254management无效dhcpddns192.168.0.1DNS添加：可以是电信网通提供直接添加，或者自己的DNS服务器地址。dhcpdlease3600dhcpdping_timeout50dhcpddomainsuzhou.jy域名dhcpdenableins

32、ide打开内部网段自动分配dhcpdenablemanagement无效Cryptochecksum:6148633dac00f8f7a3418833f98d5ad4access-groupicmp_inininterfaceoutside这两句表示，access-listicmp_inextendedpermiticmpanyany润许PING包发送或接收:endHSRP的概念：热备份路由协议为IP网络提供了容错和增强的路由选择功能，是cisco平台所特有的技术，它确保了当网络边缘或接入链路出现故障时，用户通信能迅速并透明的恢复，并为此IP网络提供了冗余性。HSRP的工作原理：HSRP支持在

33、某个路由器出现故障时可以快速的进行默认网关的切换，通过共同提供一个IP地址和MAC地址，两个或者多个路由器可以做为一个虚拟路由器，当某个路由器出现故障时，其他路由器可以无缝的接替它进行路由选择。活跃路由器：RA的功能是转发到虚拟路由器的数据包，组中的另一台路由器被选为备份路由器。活跃路由器通发送Hello消息来承担和保持它活跃的角色。备份路由器;RB功能是监视HSRP组的运行状态，当活跃路由器出现故障时，迅速承担起转发数据包的责任。虚拟路由器：是LAN上的网关，作用是向用户代表一台可以连续工作的路由器。路由器RA和RB共同维护这台虚拟路由器。HSRP的3个消息：Hello消息-发送该消息表明路

34、由器正在运行，并且能够成为活跃路由器和备份路由器。默认3S发送一次HELLO消息。Coup政变消息-意思就是说，当活跃路由器出现故障的时候，备份路由器向变成活跃路由器的时候会发送政变消息。Resign辞职消息-意思就是说，我不想在做活跃路由器或者备份路由器的时候，想退出HSRP备份组的时候会发送辞职消息。HSRP的6个状态：1.初始状态（所有路由器都是从初始状态开始的，比如刚启动路由器的时候就是初始状态）2.学习状态（路由器等待来自活跃路由器的消息）3.监听状态（路由器知道了虚拟IP地址，但它即不是活跃路由器也不是备份路由器，来监听来自活跃和备份路由器的Hello消息）4.发言状态（路由器接到

35、Hello消息，参与活跃和备份路由器的竞选）5.备份状态（路由器成为了备份路由器，并成为下一个活跃路由器的候选者）6.活跃状态（在活跃状态，路由器负责转发发送到备份组的虚拟MAC地址的数据包）小提示：要想学好HSRP，那么3个消息和6个状态要很好的理解理论的知识就这么多了，下面我来把上面拓扑图的实验配置命令写一下吧只配置路由器RA和RB的命令，交换机打开就OK了，不用配置。RA的配置：活跃路由器Route(config)#ints0/0Route(config-if)#ipadd219.37.1.2255.255.255.248（模拟电信的公网IP）Route(config-if)#noshR

36、oute(config)#intf0/0Route(config-if)#ipadd172.16.10.1255.255.255.0Route(config-if)#noshRoute(config-if)#standby172ip172.16.10.254(设置HSRP的组名为172，虚拟IP为172.16.10.254)Route(config-if)#standby172priority120(设置HSRP组172的优先级为120)Route(config-if)#standby172preempt(设置HSRP路由器的占先权，意思就是当活跃路由器RA出现故障了，备份路由器RB变成活跃路

37、由器的时候。RA经过维修又可以工作的时候配置的，RA可以正常工作的时候会发送政变消息，配置占先是很重要的)路由器RB的配置：备份路由器Route(config)#ints0/0Route(config-if)#ipadd219.37.1.1255.255.255.248（模拟网通的公网IP）Route(config-if)#noshRoute(config)#intf0/0Route(config-if)#ipadd172.16.10.2255.255.255.0Route(config-if)#noshRoute(config-if)#standby172ip172.16.10.254(设置

38、HSRP的组名为172，虚拟IP为172.16.10.254)Route(config-if)#standby172priority110(设置HSRP组172的优先级为110)配置的命令就这些，我的拓扑图的外部网络没画好，应该用一台路由器来代替可以验证HSRP的结果，你们用模拟器来做这个实验的时候可以用路由器来做，可以更好的验证试验结果，可以PING通外网的路由器的话，在把RA的接口DOWN掉看还可以PING通外网路由器不，可以的话说明HSRP切换过来了。我是模拟公网来做的，如果是公网的话在路由器RA和RB上面都要做默认路由和NAT地址转换才可以实现内网上互联网的要求。查看HSRP的（SHO

39、W）命令：showstandby172brief(查看HSRP的配置情况)小提示：HSRP协议是Cisco公司的私有协议，只能在CISCO路由器上实现，别的厂商的路由器可以用VRRP协议来做热备份路由协议，VRRP和HSRP协议很相似，工作原理都一样，但是VRRP是公有协议。(责任编辑：admin)NAT：共4步：找到要配置的路由器：1，内网接口：ipnatinside2，外网接口ipnatoutside3，使用访问控制列表来定义范围：全局：access-list1permit192.168.1.00.0.0.2554，全局：ipnatinsidesourcelist1interfaces1/

40、0overload(注意：使用指定接口，防止下一跳地址改变导致nat不可实现)端口映射，反向NATIP：ipnatinsidesourcestatic192.168.1.1202.106.1.5端口：ipnatinsidesourcestatictcp192.168.1.180202.106.1.1080!version12.0servicetimestampsdebuguptimeservicetimestampsloguptimenoservicepassword-encryption!hostnamenat-r1!enablesecret5$1$FEQr$INhRecYBeCb.UqTQ

41、3b9mY0!ipsubnet-zero!interfaceEthernet0ipaddress172.18.150.150255.255.0.0noipdirected-broadcastipnatinside/*定义此为网络的内部端口*/!interfaceSerial0ipaddress192.1.1.161255.255.255.252noipdirected-broadcastipnatoutside/*定义此为网络的外部端口*/noipmroute-cachenofair-queue!interfaceSerial1noipaddressnoipdirected-broadcast

42、shutdown!/*定义从ISP那里申请到的IP在企业内部的分配策阅*/ipnatpooltech192.1.1.100192.1.1.120netmask255.255.255.0ipnatpooldeve192.1.1.121192.1.1.150netmask255.255.255.0ipnatpoolmanager192.1.1.180192.1.1.200netmask255.255.255.0ipnatpoolsoft-1192.1.1.170192.1.1.179netmask255.255.255.0ipnatpoolsoft-2192.1.1.151192.1.1.159n

43、etmask255.255.255.0ipnatpooltemp-user192.1.1.160192.1.1.160netmask255.255.255.0/*将访问列表与地址池对应，以下为动态地址转换*/ipnatinsidesourcelist1pooltechipnatinsidesourcelist2pooldeveipnatinsidesourcelist3poolmanageripnatinsidesourcelist4poolsoft-1ipnatinsidesourcelist5poolsoft-2/*将访问列表与地址池对应，以下为复用动态地址转换*/ipnatinsides

44、ourcelist6pooltemp-useroverload/*将访问列表与地址池对应，以下为静态地址转换*/ipnatinsidesourcestatic172.18.100.168192.1.1.168ipnatinsidesourcestatic172.18.100.169192.1.1.169ipclasslessiproute0.0.0.00.0.0.0Serial0/*设置一个缺省路由*/!/*内部网访问地址表，他指出内部网络能访问外部网的地址段，分别定义是为了对应不同的地址池*/access-list1permit172.18.107.00.0.0.255access-list2permit172.18.101.00.0.0.255access-list3permit172.18.108.00.0.0.255access-list4permit172.18.103.00.0.0.255access-list4permit172.18.102.00.0.0.255access-list4permit172.18.104.00.0.0.255access-list5permit172.18.105.00.0.0.255access-list5perm