如何备份思科cisco路由器配置文件 本资料之提供大家参考学习^*^ 有什么不懂的地方在博客中留言 QQ:569535658admin 管理员组文章数量: 887021
发布时间:2009-4-08 15:52:13 发布人:fengyifan
在路由器的配置过程中,经常会用到COPY这个命令。下面我们就为大家介绍如何使用COPY命令备份配置文件,以及如何从TFTP服务器拷贝备份配置文件。
1、copy running-config startup-config 这个命令是将存储在RAM的正确配置拷贝到路由器的NVRAM中。这样,在下一次启动时,路由器就会使用这个正确的配置。 2、copy running-config tftp 这个命令是将RAM中正确的配置文件拷贝到TFTP服务器上,我们强烈推荐网络管理员这样做,因为如果路由器不能从NVRAM中正常装载配置文件,我们可以通过从TFTP中拷贝正 确的配置文件。 it168#copy running-config tftp
address or name of remote host
[]?129.0.0.3
destination file name [it168-confg]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
624 bytes copied in 7.05 secs
it168# 当网络管理员输入命令并键入回车后,路由器会要求输入TFTP服务器的IP地址,在正确的键入服务器IP地址后,路由器还要求网络管理员提供需要备份的配置文件名。一般我 们建议使用管理员容易记忆的文件名。这时路由器会提示管理员按YES确认操作。 3、copy tftp running-config 如果路由器的配置文件出现问题,这时我们就可以通过从TFTP服务器中拷贝备份的配置文件。具体配置如下: it168#copy tftp running-config
address or name of remote host[]?
129.0.0.3
source filename []?it168-confg
destination file name [running-config]?
accessing tftp://129.0.0.3/it168-confg
loading it168-confg from 129.0.0.3
(via fastethernet 0/0):
!!!!!!!!!!!!!!!!!!!!!!!
[ok-624 bytes]
624 bytes copied in 9.45 secs
it168#
思科CISCO路由器初始配置向导
发布时间:2009-4-12 15:50:16 发布人:fengyifan
一、路由器开机初始序列 当路由器进行初始化时,路由器进行以下操作: 1)自ROM执行上电自检,检测CPU,内存、接口电路的基本操作。
2)自ROM进行引导,将操作系统装下载到主存。
3)引导操作系统由配置寄存器的引导预确定由FLASH 或网络下载,则配置文件的boot system 命令确定其确切位置。
4)操作系统下载到低地址内存,下载后由操作系统确定路由器的工作硬件和软件部分并在屏幕上显示其结果。
5)NVRAM中存储的配置文件装载到主内存并通过执行,配置启动路由进程,提供接口地址、设置介质特性。 如果NVRAM中设有有效的配置文件,则进入Setup 会话模式。
6)然后进入系统配置会话,显示配置信息,如每个接口的配置信息。 二、Setup会话 当NVRAM里没有有效的配置文件时,路由器会自动进入Setup会话模式。以后也可在命令行敲入Setup进行配置。
Setup 命令是一个交互方式的命令,每一个提问都有一个缺省配置,如果用缺省配置则敲回车即可。 如果系统已经配置过,则显示目前的配置值。如果是第一次配置,则显示出厂 设置。当屏幕显示 ------ More ------,键入空格键继续; 若从Setup 中退出,只要键入Ctrl-C即可。 1、Setup主要参数: 配置它的一般参数,包括: 主机名 :hostname
特权口令 :enable password
虚终端口令 :virtual terminal password
SNMP网管 :SNMP Network Management
IP :IP
IGRP路由协议:IGRP Routing
RIP路由协议 :RIP Routing
DECnet : DECnet . 等
其中 Console 的secret、 password的设置: enable secret <string>
enable password <string> Virtual Terminor 的password的设置: Line vty <number>
Password <string> Host name的设置: Hostname <string> 2、Setup接口参数: 设置接口参数,如以太网口、TokenRing口、同步口、异步口等。包括IP地址、子网屏蔽、TokengRing速率等。 3、Setup描述:
在设置完以上参数后,该命令提示是否要用以上的配置,如果回答是YES则系统会存储以上的配置参数,系统就可以使用了。 4、 Setup相关命令: Show config
write memory
write erase
reload
setup
5、路由器丢失PASSWORD的恢复 以下办法可以恢复: enable secret password (适合10。3(2)或更新的版本)
enable password
console password
通过修改Configuration Register(出厂为0x2102),使路由器忽略PASSWORD,这 样就可以进入路由器,就可以看到enable password和Console password,但enable secret password以被加密,只能替换。可以进入的configuration Register值为0x142. 运行password恢复可能会使系统DOWN掉一个半小时;
将Console terinal连在路由器的Console口上,确认终端设置为9600bps、8 Data bit 、No parity、1 stop bit;
show version显示Configuration Register 0x2102;
关机再开,按Ctrl+ Break,进入ROM MONITOR状态,提示符为>;
键入> o/r 0x142,修改 Configuration Register到0x142,可以忽略原先的 password;
键入> initialize,初始化路由器,等一段时间后,路由器会出现以下提示 :
system configuration Diaglog ……
Enter NO
提示Press RETURN to get started! ,Press Enter 进入特权模式 Router>enable
Router#show startup-config
这样就可以得到password(enable&console password)
修改password
Router#config ter
Router(config)# enable secret cisco
Router(config)# enable password cisco1
Router(config)# line con 0
Router(config)# password cisco
Router(config)# config-register 0x2102
ctrl + Z
Router#copy running-config startup-config
reload 以password cisco进入特权用户。
三、路由器配置 1)路由器模式 在Cisco 路由器中,命令解释器称为EXEC,EXEC解释用户键入的命令并执行相应的操作,在输入EXEC命令前必须先登录到路由器上。
基于安全原因,EXEC设置了两个访问权限:用户级和特权级,用户级可执执行的命令是特权级命令的子集。 在特权级,可以使用:configuration,interface,subinterface,line,router,router-map等命令。 2)配置模式 使用Config命令可进入配置模式,进入该模式后,EXEC提示用户可用的配置方式如终端、NVRAM、网络三种,缺省是终端方式。 3)IP路由协议模式 在配置模式下输入Router命令,可进入IP路由协议模式,可选的路由协议一般有:bgp、egp、igrp、eigrp、rip等动态路由和静态路由。 4)接口配置模式 在每一个端口上可以设置很多特性,接口配置命令修改以太网、令牌环网、FDDI 或同步、异步口等操作。 5)口令配置 可以采用口令来限制对路由器的访问,口令可以设定到具体的线路上或是特权EXEC模式。 Line console 0 命令设置控制台终端口令
Line vty 0 命令设置Telnet虚终端口令
Enable-password 命令设置特权EXEC访问权限
6)路由器命名 在配置模式下用hostname,如: hostname RouterA 四、用户帮助提示 1、在用户提示符下键入?可以列出常用命令,通常有以下命令: connect 打开一个中端连接
disconnect 关闭一个已有的telnet会话
enable 进入特权级
exit 退出EXEC
help 交互求助系统描述
lock 终端锁定
login 以特定用户登录
logout 退出EXEC
ping 发送echo信息
resume 恢复一个激活的telnet连接
show 显示正在运行的系统信息
systat 显示正在运行的系统信息
telnet 打开一个telnet连接
terminal 设置终端线路参数
where 列出激活的telnet连接
2、上下相关帮助 上下相关帮助包括: 符号转换 :键入命令有错时提示;
关键字完成 :键入命令字的一部分即可;
命令记忆 :可用 调出以前的命令;
命令提示 :当命令记不完全时,可用?替代 思科cisco交换机端口安全配置
发布时间:2009-4-15 14:45:08 发布人:fengyifan
你可以使用端口安全特性来约束进入一个端口的访问,基于识别站点的mac地址的方法。当你绑定了mac地址给一个端口,这个口不会转发限制以外的mac地址为源的包。如果你限制 安全mac地址的数目为1,并且把这个唯一的源地址绑定了,那么连接在这个接口的主机将独自占有这个端口的全部带宽。 如果一个端口已经达到了配置的最大数量的安全mac地址,当这个时候又有另一个mac地址要通过这个端口连接的时候就发生了安全违规,(security violation).同样地,如果一个 站点配置了mac地址安全的或者是从一个安全端口试图连接到另一个安全端口,就打上了违规标志了。 理解端口安全: 当你给一个端口配置了最大安全mac地址数量,安全地址是以一下方式包括在一个地址表中的:
·你可以配置所有的mac地址使用 switchport port-security mac-address <mac地址>,这个接口命令。
·你也可以允许动态配置安全mac地址,使用已连接的设备的mac地址。
·你可以配置一个地址的数目且允许保持动态配置。 注意:如果这个端口shutdown了,所有的动态学的mac地址都会被移除。 一旦达到配置的最大的mac地址的数量,地址们就会被存在一个地址表中。设置最大mac地址数量为1,并且配置连接到设备的地址确保这个设备独占这个端口的带宽。 当以下情况发生时就是一个安全违规:
·最大安全数目mac地址表外的一个mac地址试图访问这个端口。
·一个mac地址被配置为其他的接口的安全mac地址的站点试图访问这个端口。 你可以配置接口的三种违规模式,这三种模式基于违规发生后的动作:
·protect-当mac地址的数量达到了这个端口所最大允许的数量,带有未知的源地址的包就会被丢弃,直到删除了足够数量的mac地址,来降下最大数值之后才会不丢弃。
·restrict-一个限制数据和并引起"安全违规"计数器的增加的端口安全违规动作。
·shutdown-一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-disable状态,你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。 默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发snmp陷阱。 配置向导:
下面是配置端口安全的向导-
·安全端口不能在动态的access口或者trunk口上做,换言之,敲port-secure之前必须的是switch mode acc之后。
·安全端口不能是一个被保护的口。
·安全端口不能是SPAN的目的地址。
·安全端口不能属于GEC或FEC的组。
·安全端口不能属于802.1x端口。如果你在安全端口试图开启802.1x,就会有报错信息,而且802.1x也关了。如果你试图改变开启了802.1x的端口为安全端口,错误信息就会出现 ,安全性设置不会改变。 配置案例:
1.在f0/12上最大mac地址数目为5的端口安全,违规动作为默认。 switch#config t
Enter configuration commands, one per line. End with CNTL/Z.
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec max 5
switch(config-if)#end
switch#show port-sec int f0/12 Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
2.如何配置f0/12安全mac地址
switch(config)#int f0/12
switch(config-if)#swi mode acc
switch(config-if)#swi port-sec
switch(config-if)#swi port-sec mac-add 1111.1111.1111
switch(config-if)#end
switch#show port-sec add Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
---- ----------- ---- -----
1 1000.2000.3000 SecureConfigured Fa0/12 3.配置端口安全超时时间两小时。
switch(config)#int f0/12
switch(config)#swi port-sec aging time 120 4.端口安全超时时间2分钟,给配置了安全地址的接口,类型为inactivity aging:
switch(config-if)#swi port-sec aging time 2
switch(config-if)#swi port-sec aging type inactivity
switch(config-if)#swi port-sec aging static show port-security interface f0/12可以看状态. 其他show
show port-security 看哪些接口启用了端口安全.
show port-security address 看安全端口mac地址绑定关系.
典型的以太网络建立多个VLAN实例
发布时间:2009-4-17 14:03:56 发布人:fengyifan
所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1 、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing…… 需要做的工作:
1、设置vtp domain(核心、分支交换机上都设置)
2、配置中继(核心、分支交换机上都设置)
3、创建vlan(在server上设置)
4、将交换机端口划入vlan
5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。 交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这 样管理域里所有的交换机就能够了解彼此的vlan列表。 com#vlan database 进入vlan配置模式
com(vlan)#vtp domain com 设置vtp管理域名称 com
com(vlan)#vtp server 设置交换机为服务器模式 par1#vlan database 进入vlan配置模式
par1(vlan)#vtp domain com 设置vtp管理域名称com
par1(vlan)#vtp client 设置交换机为客户端模式 par2#vlan database 进入vlan配置模式
par2(vlan)#vtp domain com 设置vtp管理域名称com
par2(vlan)#vtp client 设置交换机为客户端模式 par3#vlan database 进入vlan配置模式
par3(vlan)#vtp domain com 设置vtp管理域名称com
par3(vlan)#vtp client 设置交换机为客户端模式 注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信 息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。 2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。 cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器 之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进行整个网络的vlan分配和进行配置。 在核心交换机端配置如下: com(config)#interface gigabitethernet 2/1
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk com(config)#interface gigabitethernet 2/2
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk com(config)#interface gigabitethernet 2/3
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
在分支交换机端配置如下: par1(config)#interface gigabitethernet 0/1
par1(config-if)#switchport mode trunk par2(config)#interface gigabitethernet 0/1
par2(config-if)#switchport mode trunk par3(config)#interface gigabitethernet 0/1
par3(config-if)#switchport mode trunk 此时,管理域算是设置完毕了。
3、创建vlan一旦建立了管理域,就可以创建vlan了。 com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan
com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan
com(vlan)#vlan 12 nam e managing 创建了一个编号为12 名字为managing的 vlan …… 注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。 但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。 4、将交换机端口划入vlan 例如,要将par1、par2、par3……分支交换机的端口1划入counter vlan,端口2划入market vlan,端口3划入managing vlan…… par1(config)#interface fastethernet 0/1 配置端口1
par1(config-if)#switchport access vlan 10 归属counter vlan par1(config)#interface fastethernet 0/2 配置端口2
par1(config-if)#switchport access vlan 11 归属market vlan par1(config)#interface fastethernet 0/3 配置端口3
par1(config-if)#switchport access vlan 12 归属managing vlan par2(config)#interface fastethernet 0/1 配置端口1
par2(config-if)#switchport access vlan 10 归属counter vlan par2(config)#interface fastethernet 0/2 配置端口2
par2(config-if)#switchport access vlan 11 归属market vlan par2(config)#interface fastethernet 0/3 配置端口3
par2(config-if)#switchport access vlan 12 归属managing vlan par3(config)#interface fastethernet 0/1 配置端口1
par3(config-if)#switchport access vlan 10 归属counter vlan par3(config)#interface fastethernet 0/2 配置端口2
par3(config-if)#switchport access vlan 11 归属market vlan par3(config)#interface fastethernet 0/3 配置端口3
par3(config-if)#switchport access vlan 12 归属managing vlan ……
5、配置三层交换 到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况,其一,给vlan所 有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。 假设给vlan counter分配的接口ip地址为172.16.58.1/24,网络地址为:172.16.58.0,
vlan market 分配的接口ip地址为172.16.59.1/24,网络地址为:172.16.59.0,
vlan managing分配接口ip地址为172.16.60.1/24, 网络地址为172.16.60.0
……
如果动态分配ip地址,则设网络上的dhcp服务器ip地址为172.16.1.11。 (1)给vlan所有的节点分配静态ip地址。 首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示: com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip …… 再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。 (2)给vlan所有的节点分配动态ip地址。 首先在核心交换机上分别 设置各vlan的接口ip地址和同样的dhcp服务器的ip地址,如下所示: com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip …… 再在dhcp服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的“路由器”选项设置为对应vlan的接口ip地址。这样,可以保证 所有的vlan也可以互访了。 最后在各接入vlan的计算机进行网络设置,将ip地址选项设置为自动获得ip地址即可。 思科cisco交换机VLAN的配置
发布时间:2009-4-20 15:58:12 发布人:fengyifan
有关VLAN的技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了,而且最早的VLNA技术早在1996年Cisco(思科)公司就提出了。随着几年来的发展,VLAN技术得到 广泛的支持,在大大小小的企业网络中广泛应用,成为当前最为热门的一种以太局域网技术。本篇就要为大家介绍交换机的一个最常见技术应用--VLAN技术,并针对中、小局域网 VLAN的网络配置以实例的方式向大家简单介绍其配置方法。 一、VLAN基础 VLAN(Virtual Local Area Network)的中文名为"虚拟局域网",注意不是"×××"(虚拟专用网)。VLAN是一种将局域网设备从逻辑上划分(注意,不是从物理上划分)成一个 个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协 议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。 IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的 广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作 站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减 少设备投资、简化网络管理、提高网络的安全性。 交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网 络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享 网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换 机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的 VLAN中去,这样可以很好的控制不必要的广播风暴 的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同 管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他 用户自如通讯。 VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互 相访问。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用 户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 二、VLAN的划分方法 VLAN在交换机上的实现方法,可以大致划分为六类: 1. 基于端口划分的VLAN 这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端 口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。 对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通 过的MAC地址集。这样就可以防止非法***者从内部盗用IP地址从其他可接入点***的可能。 从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是 如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。 2. 基于MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属 于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。 由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而 不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域 网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外, 对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。 3. 基于网络层协议划分VLAN VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具 体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。 这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标 签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都 可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。 4. 根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器 进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。 5. 按策略划分VLAN 基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型 的VLAN 。
?
6. 按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要 提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
三、VLAN的优越性 任何新技术要得到广泛支持和应用,肯定存在一些关键优势,VLAN技术也一样,它的优势主要体现在以下几个方面: 1. 增加了网络连接的灵活性 借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理 位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
?
2. 控制网络上的广播
?
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换 机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
?
3. 增加网络的安全性
?
因为一个VLAN就是一个单独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的 数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交 换端口可以基 于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
?
四、VLAN网络的配置实例 为了给大家一个真实的配置实例学习机会,下面就以典型的中型局域网VLAN配置为例向各位介绍目前最常用的按端口划分VLAN的配置方法。 某公司有100台计算机左右,主要使用网络的部门有:生产部(20)、财务部(15)、人事部(8)和信息中心(12)四大部分,如图1所示。 网络基本结构为:整个网络中干部分采用3台Catalyst 1900网管型交换机(分别命名为:Switch1、Switch2和Switch3,各交换机根据需要下接若干个集线器,主要用于非VLAN 用户,如行政文书、临时用户等)、一台Cisco 2514路由器,整个网络都通过路由器Cisco 2514与外部互联网进行连接。 所连的用户主要分布于四个部分,即:生产部、财务部、信息中心和人事部。主要对这四个部分用户单独划分VLAN,以确保相应部门网络资源不被盗用或破坏。 现为了公司相应部分网络资源的安全性需要,特别是对于像财务部、人事部这样的敏感部门,其网络上的信息不想让太多人可以随便进出,于是公司采用了VLAN的方法来解决 以上问题。通过VLAN的划分,可以把公司主要网络划分为:生产部、财务部、人事部和信息中心四个主要部分,对应的VLAN组名为:Prod、Fina、Huma、Info,各VLAN组所对应的 网段如下表所示。
VLAN 号
VLAN 名 端口号
2 Prod Switch 1 2-21
3 Fina Switch2 2-16
4 Huma Switch3 2-9
5 Info Switch3 10-21 【注】之所以把交换机的VLAN号从"2"号开始,那是因为交换机有一个默认的VLAN,那就是"1"号VLAN,它包括所有连在该交换机上的用户。 VLAN的配置过程其实非常简单,只需两步:(1)为各VLAN组命名;(2)把相应的VLAN对应到相应的交换机端口。 下面是具体的配置过程: 第1步:设置好超级终端,连接上思科cisco1900交换机,通过超级终端配置交换机的VLAN,连接成功后出现如下所示的主配置界面(交换机在此之前已完成了基本信息的配置 ): 1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection: 【注】超级终端是利用Windows系统自带的"超级终端"(Hypertrm)程序进行的,具体参见有关资料。 第2步:单击"K"按键,选择主界面菜单中"[K] Command Line"选项 ,进入如下命令行配置界面:
CLI session with the switch is open.
To end the CLI session,enter [Exit ].
> 此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入"特权模式"。 第3步:在上一步">"提示符下输入进入特权模式命令"enable",进入特权模式,命令格式为">enable",此时就进入了交换机配置的特权模式提示符: #config t
Enter configuration commands,one per line.End with CNTL/Z
(config)# 第4步:为了安全和方便起见,我们分别给这3个Catalyst 1900交换机起个名字,并且设置特权模式的登陆密码。下面仅以Switch1为例进行介绍。配置代码如下: (config)#hostname Switch1
Switch1(config)# enable password level 15 XXXXXX
Switch1(config)# 【注】特权模式密码必须是4~8位字符这,要注意,这里所输入的密码是以明文形式直接显示的,要注意保密。交换机用 level 级别的大小来决定密码的权限。Level 1 是进 入命令行界面的密码,也就是说,设置了 level 1 的密码后,你下次连上交换机,并输入 K 后,就会让你输入密码,这个密码就是 level 1 设置的密码。而 level 15 是你输入 了"enable"命令后让你输入的特权模式密码。 第5步:设置VLAN名称。因四个VLAN分属于不同的交换机,VLAN命名的命令为" vlan vlan号 name vlan名称 ,在Switch1、Switch2、Switch3、交换机上配置2、3、4、5号 VLAN的代码为: Switch1 (config)#vlan 2 name Prod
Switch2 (config)#vlan 3 name Fina
Switch3 (config)#vlan 4 name Huma
Switch3 (config)#vlan 5 name Info 【注】以上配置是按表1规则进行的。 第6步:上一步我们对各交换机配置了VLAN组,现在要把这些VLAN对应于表1所规定的交换机端口号。对应端口号的命令是"vlan-membership static/ dynamic VLAN号 "。在这 个命令中"static"(静态)和"dynamic"(动态)分配方式两者必须选择一个,不过通常都是选择"static"(静态)方式。VLAN端口号应用配置如下: (1). 名为"Switch1"的交换机的VLAN端口号配置如下: Switch1(config)#int e0/2
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/3
Switch1(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/4
Switch1(config-if)#vlan-membership static 2
……
Switch1(config-if)#int e0/20
Switch(config-if)#vlan-membership static 2
Switch1(config-if)#int e0/21
Switch1(config-if)#vlan-membership static 2 Switch1(config-if)# 【注】"int"是"nterface"命令缩写,是接口的意思。"e0/3"是"ethernet 0/2"的缩写,代表交换机的0号模块2号端口。 (2). 名为"Switch2"的交换机的VLAN端口号配置如下: Switch2(config)#int e0/2
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/3
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/4
Switch2(config-if)#vlan-membership static 3
……
Switch2(config-if)#int e0/15
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)#int e0/16
Switch2(config-if)#vlan-membership static 3
Switch2(config-if)# (3). 名为"Switch3"的交换机的VLAN端口号配置如下(它包括两个VLAN组的配置),先看VLAN 4(Huma)的配置代码: Switch3(config)#int e0/2
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/3
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/4
Switch3(config-if)#vlan-membership static 4
……
Switch3(config-if)#int e0/8
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#int e0/9
Switch3(config-if)#vlan-membership static 4
Switch3(config-if)#
下面是VLAN5(Info)的配置代码:
Switch3(config)#int e0/10
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/11
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/12
Switch3(config-if)#vlan-membership static 5
……
Switch3(config-if)#int e0/20
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)#int e0/21
Switch3(config-if)#vlan-membership static 5
Switch3(config-if)# 好了,我们已经按表1要求把VLAN都定义到了相应交换机的端口上了。为了验证我们的配置,可以在特权模式使用"show vlan"命令显示出刚才所做的配置,检查一下是否正确 。 以上是就Cisco Catalyst 1900交换机的VLAN配置进行介绍了,其它交换机的VLAN配置方法基本类似,参照有关交换机说明书即可。
企业如何选用×××?
发布时间:2009-4-29 16:47:33 发布人:fengyifan
企业如何选用×××? 如果您的企业已经计划采用×××,接下来就是根据自己的实际需要选择合适的×××类型了。目前,×××从技术实现角度可分为三大类:一类是基于传统虚电路技术的×××;另一类 是基于IP网络的连接,IP ×××又主要有两种——基于网络的×××和基于用户设备的×××;还有一类是基于IE浏览器的SSL ×××。 一些行业用户如银行、大企业租用帧中断、ATM等虚电路,进行专线组网。这种专线×××费用高,是点对点的网络互联技术,它要求企业总部的接点路由器必须能承受大容量的 数据交换和数据吞吐,因此,企业必须花费巨资,在公司总部配置多台高档路由器,而且每次增加新的接点,都需要购买昂贵的板卡进行全网配置,不便于升级和扩展。专线×××的 优点是信息传输比较稳定,安全性、可靠性都比较好,仍然被银行、证券、保险公司所采用。 基于IP网络的×××适合于企业分支机构、中小企业对×××的需求。基于网络的×××是由运营商利用其基于MPLS技术的IP网络而建成的,能提供至关重要的可管理的网络安全和服务 等级(QOS),还能提供和传统的帧中断、ATM服务相当水平的安全、性能、和可靠性。而当网络需要延伸到更小的远距办公地点, 基于用户设备的×××通常更经济。因此,基于用 户设备的×××能轻易延伸或扩展到相对边远的地区,使得商务伙伴或大量的远程拨号用户可以访问外联网。
还有一类是基与IE浏览器的SSL ××× (广州心创公司将在2004年广州信息产业周上首次展出SSL ×××新品), SSL ×××主要是针对大量的移动×××需求的用户(如传媒和保险等行业 ),它以简单(无须安装任何客户端软件)、任何地点任何方式(只要能上网就能建VPN)、安全(强大的加密和验证保护)、大用户(并发支持大量移动×××用户)四大特点著 称,但它的不足是价格不菲,短期内很难让国内中小企业用户所接受。 目前全球30.4%企图已在使用×××,33.6%的企业正在有计划部署×××。 故有人戏称:现代网络,当红×××!未来网络,当红SSL ×××!也就不那么过分了
经由SSL提供远程接入时配置×××的必要性
发布时间:2009-4-31 16:46:45 发布人:fengyifan
我们乐意通过Citrix Secure Gateway或者其他增强的SSL工具(Neoteris, Whale Communication)向家庭用户提供应用软件。我们的信息安全组坚持认为我们还应该在家庭PC上 安装×××客户端。我们的目标是不配置软件,只允许特定用户通过浏览器访问工作应用软件,例如电子邮件,Office等。他们之所以坚持安装×××客户端,是因为分割隧道(split tunneling)。这种配置真的是一种安全(低风险)的解决方案吗,或者将使我们的内部网络承受更大风险? 首先,让我们给分割隧道下个定义,至少在此文中需要用到。分割隧道是指远程用户连接到内部网的同时也连接在互连网上。隧道是“分割”的,因为有两部分。 通常,当你安装了×××后才会出现这个问题,因为没有×××就不存在“隧道”。如果你要做的只是为各种应用软件提供网络接口,只需要SSL就可以了。可是,你的安全组还关心其他 问题。 你的安全组所关心的是:1)用户家庭PC的配置不在公司的控制之中;2)当从家里连接到内部网时,用户不受公司防火墙或网络中其他安全措施的保护;3)发生在家庭计算机上 的任何安全问题都有可能危及公司网络。 由于这些原因,大多数公司认为只有两种远程接入方式是安全的。第一种是,远程用户使用公司提供的计算机(通常是便携式电脑)连接到公司网络,计算机已被配置好并且 锁定。他们通过×××连接到公司网络,并且×××不允许使用分割隧道。如果他们想要接入互联网,必须通过×××连接到公司网络,通过公司的防火墙或网关接入。 第二种方式是,如你所述,限制接入。远程用户通过认证访问SSL使能的网页。即使你只是使用用户名、密码,至少他们受到SSL加密保护。同时使用SSL和认证更佳。原因在于, 网页与××× 或 telnet不同,不是永久连接的。它只是客户端发起请求,服务器给出响应。SSL为请求提供加密保护,由服务器端确保接口没有漏洞。 企业×××需求与解决方案
发布时间:2009-4-31 16:46:04 发布人:fengyifan
随着计算机网络的不断普及,以多媒体通信为标志的网络环境已将成为我们赖以工作、生活甚至生存的基本“生态环境”。当前,企业客户不仅有上网及专线互连的传统需求 ,通过技术手段形成虚拟专用网,达到安全网络互通的需求正在迅速增长。 上海市电信有限公司信息网络部作为上海电信归口管理综合数据产品的部门,利用电信强大的网络资源,除了为大客户提供所需的高端数据产品外,还致力于为企业提供各种 ×××解决方案。本方案集根据现有×××各种技术手段的运用,形成×××的“产品线”,以提供用户不同安全层次、不同应用要求的“虚拟”的专网。 一、×××概述 ×××, 即Virtual Private Network虚拟私用网,是利用Internet来传输私有信息而形成的逻辑网络,它可为企业级用户提供比专线价格低廉和高安全性的资源共享和互连的服务 ,具有同私有网络相同的安全性、优先级特性、易管理性和稳定性,可以满足客户对企业内部局域网与Remote Office、移动用户、远程用户间无缝连接的要求,又可将网络连接扩 展到客户、供货商、合作者和关键用户以形成Extranet来降低商业运作开支和提升服务质量(包括速度、简便性和保密性上的提升)。 二、企业 ×××需求与解决方案例 企业内部组织地理上分布的而需要内部网络互联,或者客户对企业内部局域网与 Remote Office、移动用户、远程用户有无缝连接的要求,甚至有将网络连接扩展到客户、供 货商、合作者和关键用户以形成Extranet的需求,而同时对安全性有一定要求,对通信费用的承受能力或意愿较低者,偏好于×××。 案例一:某中型企业的邮件服务器、文件服务器、认证服务器等放置在总部,分部需与总部通信。该企业速率要求不高。建议用户采用 IP-SEC ×××的应用解决方案,其分部通 过ADSL拨号、××× client软件与其总部通过隧道tunnel进行加密通信。 案例二: 某教育 行业类用户,具有若干分支点,分支点之间需要相互通信,对速率要求较高。建议通过光纤、双绞线等多种形式,将其分支机构接入 IP 城域网 ,实现基于 IP-MAN的MPLS ×××组网。 案例三:某企业将下属各个业务点的业务信息通过安全、价格相对低廉的宽带网络传输给总部,可为其采用 VPDN 方案。具体要求为: 可以支持用户为数众多的业务点(包括市区和郊县) 满足客户对带宽的需求 网络与 internet隔离,直接进入内部网络 需要提供备份方案,确保网络的可用性 下属业务点可以自动拨号到总部,尽量减少人工操作 根据上述业务需求 ,采用VPDN解决方案,宽带 adsl 和窄带拨号两种: 案例四:这是一个应用二层 ×××的例子: 某银行用户的分支机构较多,安全性要求很高,各互联点的带宽需求较高,希望以以太口接入方式,减少用户 端设备 投资。方案采用二层交换×××,为用户提供以太口接入, 同时以SDH作为备份。 三、 ×××产品描述 当前电信可提供的×××产品类:MPLS ×××、二层交换×××、IPSEC ×××、VPDN。 我们根据以上各业务能实现的功能和质量,为 ×××产品定位如下图所示: 在上图中, DDN/FR专线和MPLS ×××、二层交换 ×××由于其承载网络为专网,用户在使用这些业务时需要通过专用线路(模拟线或光纤)连入专网的相应接入节点,由统一的网 络管理中心来负责管理整个网络的运行和维护,因此可以提供较稳定的网络带宽和较高的运行质量。 MPLS ×××和二层×××的技术手段,相较于专线方式,具有资费较低而质量好的特点。值得强调的是,电信基于庞大的双绞线接入资源,通过新的调制编码技术形成的二层交换××× 产品,具有客户端设备要求简单(以太网口下联,模拟线上联)、带宽高且速率对称的优点(256kbps—10Mbps)。 四、×××业务比较表
IPSEC ××× MPLS ××× VPDN 二层交换×××
网络位置 属于端到端服务,不需要骨干网络承担业务相关功能 利用ADSL接入资源 利用MUX接入网资源,属于端到端服务
服务部署 响应市场变化的速度快捷,可以在现有的任何IP网络上部署。用户可在任意位置使用。 需要用户在业务网络覆盖范围内使用。用户位置要求固定 ADSL延伸到的地方 在 电话模拟线覆盖、MUX布点3KM域内
服务质量、服务级协约 IPsec或SSL协议不解决底层网络本身的可靠性或者QoS机制等方面的问题,其服务质量主要依赖承载网络 可以提供可伸缩的、稳固的QoS机制和流量工程能 力,从而令服务供应商可以提供具有保证SLA的IP服务 稳定性和带宽取决于ADSL 可以提供高带宽、上下行对称,相对稳固和安全的网络质量保证
机密性 通过网络层或应用层上的一整套灵活的加密和隧道机制提供数据私密性 采用专用线路,从链路层保证用户数据安全 通过安全认证和专用服务器建立专用通讯隧道 由于是 二层交换机制的×××网,保证用户数据安全
客户支持 可通过客户端支持; 可采用WEB浏览器 基于网络的服务,不需要客户端承担数据处理 基于网络的服务,功能在骨干端实施 基于网络的服务,不需要客户端承担数据处 理
与其他业务兼容性 在使用***同时,不影响用户使用基础线路服务 使用专用线路,不共享线路 通过不同的账号拨号,可达到共用线路效 果 使用专用线路,不共享线路
×××的分类方式
发布时间:2009-5-11 16:04:45 发布人:fengyifan
×××的分类方式比较混乱。不同的生产厂家在销售它们的×××产品时使用了不同的分类方式,它们主要是产品的角度来划分的。不同的ISP在开展×××业务时也推出了不同的分类 方式,他们主要是从业务开展的角度来划分的。而用户往往也有自己的划分方法,主要是根据自己的需求来进行的。下面简单介绍从不同的角度对×××的分类。 一、按接入方式划分
这是用户和运营商最关心的×××划分方式。一般情况下,用户可能是专线上(因特)网的,也可能是拨号上网的,这要根据拥护的具体情况而定。建立在IP网上的×××也就对应 的有两种接入方式:专线接入方式和拨号接入方式。
(1)专线×××:它是为已经通过专线接入ISP边缘路由器的用户提供的×××解决方案。这是一种“永远在线”的×××,可以节省传统的长途专线费用。
(2)拨号×××(又称VPDN):它是向利用拨号PSTN或ISDN接入ISP的用户提供的×××业务。这是一种“按需连接”的×××,可以节省用户的长途电话费用。需要指出的是,因为用 户一般是漫游用户,是“按需连接的,因此VPDN通常需要做身份认证(比如利用CHAP和RADIUS) 二、按协议实现类型划分
这是×××厂商和ISP最为关心的划分方式。根据分层模型,×××可以在第二层建立,也可以在第三层建立(甚至有人把在更高层的一些安全协议也归入×××协议。)
(1)第二层隧道协议:这包括点到点隧道协议(PPTP)、第二层转发协议(L2F),第二层隧道协议(L2TP)、多协议标记交换(MPLS)等。
(2)第三层隧道协议:这包括通用路由封装协议(GRE)、IP安全(IPSec),这是目前最流行的两种三层协议。
第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装,其中GRE、IPSec和MPLS主要用于实现专线×××业务,L2TP主要用于实现拨号×××业务(但也可 以用于实现专线×××业务),当然这些协议之间本身不是冲突的,而是可以结合使用的。 三、按×××的发起方式划分
这是客户和IPS最为关心的×××分类。×××业务可以是客户独立自主实现的,也可以是由ISP提供的。
(1)发起(也称基于客户的):×××服务提供的其始点和终止点是面向客户的,其内部技术构成、实施和管理对×××客户可见。需要客户和隧道服务器(或网关)方安装隧道软 件。客户方的软件发起隧道,在公司隧道服务器处终止隧道。此时ISP不需要做支持建立隧道的任何工作。经过对用户身份符(ID)和口令的验证,客户方和隧道服务器极易建立隧 道。双方也可以用加密的方式通信。隧道一经建立,用户就会感觉到ISP不在参与通信。
(2)服务器发起(也称客户透明方式或基于网络的):在公司中心部门或ISP处(POP、Point of presence)安装×××软件,客户无须安装任何特殊软件。主要为ISP提供全面 管理的×××服务,服务提供的起始点和终止点是ISP的POP,其内部构成、实施和管理对×××客户完全透明。
在上面介绍的隧道协议中,目前MPLS只能用于服务器发起的×××方式。 四、按×××的服务类型划分
根据服务类型,×××业务大致分为三类:接入×××(Access ×××)、内联网×××(Intranet ×××)和外联网×××(Extranet ×××)。通常情况下内联网×××是专线×××。
(1)接入×××:这是企业员工或企业的小分支机构通过公网远程访问企业内部网络的×××方式。远程用户一般是一台计算机,而不是网络,因此组成的×××是一种主机到网络的 拓扑模型。需要指出的是接入×××不同于前面的拨号×××,这是一个容易发生混淆的地方,因为远程接入可以是专线方式接入的,也可以是拨号方式接入的。
(2)内联网×××:这是企业的总部与分支机构之间通过公网构筑的虚拟网,这是一种网络到网络以对等的方式连接起来所组成的×××。
(3)外联网×××:这是企业在发生收购、兼并或企业间建立战略联盟后,使不同企业间通过公网来构筑的虚拟网。这是一种网络到网络以不对等的方式连接起来所组成的×××( 主要在安全策略上有所不同)。 五、按承载主体划分
营运×××业务的企业;既可以自行建设他们的×××网络,也可以把此业务外包给×××商。这是客户和ISP最关心的问题。
(1)自建×××:这是一种客户发起的×××。企业在驻地安装×××的客户端软件,在企业网边缘安装×××网关软件,完全独立于营运商建设自己的×××网络,运营商不需要做任何对 ×××的支持工作。企业自建×××的好处是它可以直接控制×××网络,与运营商独立,并且×××接入设备也是独立的。但缺点是×××技术非常复杂,这样组建的×××成本很高,QoS也很难保 证。
(2)外包×××:企业把×××服务外包给运营商,运营商根据企业的要求规划、设计、实施和运维客户的×××业务。企业可以因此降低组建和运维×××的费用,而运营商也可以因此 开拓新的IP业务增值服务市场,获得更高的收益,并提高客户的保持力和忠诚度。笔者将目前的外包×××划分为两种:基于网络的×××和基于CE(用户边缘设备)的管理型××× (Managed ×××)。基于网络的×××通常在运营商网络的呈现点(POP)安装电信级×××交换设备。基于CE的管理型×××业务是一种受信的第三方负责设计企业所希望的×××解决方案, 并代表企业进行管理,所使用的安全网关(防火墙、路由器等)位于用户一侧。 六、按×××业务层次模型划分
这是根据ISP向用户提供的×××服务工作在第几层来划分的(注意不是根据隧道协议工作在哪一层划分的)。
(1)拨号×××业务(VPDN):这是第一种划分方式中的VPDN(事实上是按接入方式划分的,因为很难明确VPDN究竟属于哪一层)。
(2)虚拟租用线(VLL):这是对传统的租用线业务的仿真,用IP网络对租用线进行模拟,而从两端的用户看来这样一条虚拟租用线等价于过去的租用线。
(3)虚拟专用路由网(VPRN)业务:这是对第三层IP路由网络的一种仿真。可以把VPRN理解成第三层×××技术。
(4)虚拟专用局域网段(VPLS):这是在IP广域网上仿真LAN的技术。可以把VPLS理解成一种第二层×××技术。 分类方式 类型名称 说明/举例
接入方式 拨号×××(VPDN) 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的×××业务
专线××× 为已经通过专线接入ISP边缘路由器的用户提供的×××业务
协议层 应用层 S/MIME、Kerberose、IPSec(ISAKMP)
传输层 SSL/TLS、SOCKS
IP层 用户数据在协议栈的第三层被封装,如IPSec(AH和ESP)
第二层隧道 用户数据在协议栈的第二层被封装,如L2TP、PPTP、L2F和MPLS
隧道的
发起方式 客户发起 基于客户的×××。隧道的起始点和终止点是面向客户的,其内部技术构成、实施和管理都由×××客户负责
服务器(网络)发起 ISP提供并管理的×××服务,服务提供的起始点和终止点是ISP的呈现点(POP),其内部构成、实施和管理都由ISP负责
业务类型 接入××× 企业员工或企业的小分支机构通过公网远程拨号等方式构筑的×××
内联网××× 企业总部与分支机构LAN之间通过公网构筑的×××
外联网××× 企业发生收购、兼并或企业间建立战略联盟后,不同企业间通过公网构筑的×××
承建和
运维主体 企业自建 基于客户的×××。隧道的起始点和终止点是面向客户的,其内部技术构成、实施和管理都由×××客户负责
外包 基于网络 ISP提供并管理的×××服务,服务提供的起始点和终止点是ISP的呈现点(POP),其内部构成、实施和管理都由ISP负责
托管方式 ×××设备位于用户一侧。运营商负责安装、配置和监视、维护设备的运转情况
服务在网络中的层次 VPDN 为利用拨号公用交换电话网(PSTN)或综合业务数字网(ISDN)接入ISP的用户提供的×××业务
VLL 对传统的租用线业务的仿真
VRPN 是对第三层IP路由网络的一种仿真
VPLS 是在IP广域网上仿真LAN的技术
×××的基本配置
发布时间:2009-5-12 13:02:27 发布人:fengyifan
×××的基本配置 工作原理:
一边服务器的网络子网为192.168.1.0/24
路由器为100.10.15.1
另一边的服务器为192.168.10.0/24
路由器为200.20.25.1。
执行下列步骤:
1. 确定一个预先共享的密钥(保密密码)(以下例子保密密码假设为noIP4u)
2. 为SA协商过程配置IKE。
3. 配置IPSec。
配置IKE:
Shelby(config)#crypto isakmp policy 1
注释:policy 1表示策略1,假如想多配几个×××,可以写成policy 2、policy3┅
Shelby(config-isakmp)#group 1
注释:除非购买高端路由器,或是×××通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,参数值2表示密钥使用 1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
Shelby(config-isakmp)#authentication pre-share
注释:告诉路由器要使用预先共享的密码。
Shelby(config-isakmp)#lifetime 3600
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则×××在正常初始化之后,将会在较 短的一个SA周期到达中断。
Shelby(config)#crypto isakmp key noIP4u address 200.20.25.1
注释:返回到全局设置模式确定要使用的预先共享密钥和指归×××另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类似,只不过把IP地址改成 100.10.15.1。
配置IPSec
Shelby(config)#access-list 130 permit ip 192.168.1.0 0.0.0.255 172.16.10.0 0.0.0.255
注释:在这里使用的访问列表号不能与任何过滤访问列表相同,应该使用不同的访问列表号来标识×××规则。
Shelby(config)#crypto ipsec transform-set ***1 ah-md5-hmac esp-des esp-md5-hmac
注释:这里在两端路由器唯一不同的参数是***1,这是为这种选项组合所定义的名称。在两端的路由器上,这个名称可以相同,也可以不同。以上命令是定义所使用的IPSec参数。 为了加强安全性,要启动验证报头。由于两个网络都使用私有地址空间,需要通过隧道传输数据,因此还要使用安全封装协议。最后,还要定义DES作为保密密码钥加密算法。
Shelby(config)#crypto map shortsec 60 ipsec-isakmp
注释:以上命令为定义生成新保密密钥的周期。如果***者破解了保密密钥,他就能够解使用同一个密钥的所有通信。基于这个原因,我们要设置一个较短的密钥更新周期。比如 ,每分钟生成一个新密钥。这个命令在×××两端的路由器上必须匹配。参数shortsec是我们给这个配置定义的名称,稍后可以将它与路由器的外部接口建立关联。
Shelby(config-crypto-map)#set peer 200.20.25.1
注释:这是标识对方路由器的合法IP地址。在远程路由器上也要输入类似命令,只是对方路由器地址应该是100.10.15.1。
Shelby(config-crypto-map)#set transform-set ***1
Shelby(config-crypto-map)#match address 130
注释:这两个命令分别标识用于这个连接的传输设置和访问列表。
Shelby(config)#interface s0
Shelby(config-if)#crypto map shortsec
注释:将刚才定义的密码图应用到路由器的外部接口。
现在剩下的部分是测试这个×××的连接,并且确保通信是按照预期规划进行的。
最后一步是不要忘记保存运行配置,否则所作的功劳白费了。 附:参照网络安全范围,×××硬件设备应放置以下四个地点:
● 在DMZ的防火墙之外
● 连接到防火墙的第三个网卡(服务网络)
● 在防火墙保护的范围之内
● 与防火墙集成
思科CISCO PIX配置大全
发布时间:2009-5-13 14:50:17 发布人:fengyifan
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网 络,描述如下:
内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限 制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用 户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。 由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。 PIX防火墙提供4种管理访问模式:
非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall>
特权模式。 输入enable进入特权模式,可以改变当前配置。显示为pixfirewall#
配置模式。 输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)#
监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor>
配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route. 这些命令在配置PIX时是必须的。以下是配置的基本步骤:
1. 配置防火墙接口的名字,并指定安全级别(nameif)。
Pix525(config)#nameif ethernet0 outside security0
Pix525(config)#nameif ethernet1 inside security100
Pix525(config)#nameif dmz security50
提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级 别越高。若添加新的接口,语句可以这样写:
Pix525(config)#nameif pix/intf3 security40 (安全级别任取) 2. 配置以太口参数(interface)
Pix525(config)#interface ethernet0 auto (auto选项表明系统自适应网卡类型 )
Pix525(config)#interface ethernet1 100full (100full选项表示100Mbit/s以太网全双工通信 )
Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown ) 3. 配置内外网卡的IP地址(ip address)
Pix525(config)#ip address outside 61.144.51.42 255.255.255.248
Pix525(config)#ip address inside 192.168.0.1 255.255.255.0
很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1 例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访 问。 例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。 例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。 例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3- >61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。 C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet telnet有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用 telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或***客户端的 ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的 telnet就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。 说了这么多,下面给出一个配置实例供大家参考。 Welcome to the PIX firewall Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123 ------ 本地的一个域名服务器123,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志 消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备 占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在 pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip 查看接口ip地址,ping outside | inside ip_address确定连通性。
PIX上实现×××步骤
在PIX上防火墙用预共享密钥配置IPSec加密主要涉及到4个关键任务: 一、为IPSec做准备 为IPSec做准备涉及到确定详细的加密策略,包括确定我们要保护的主机和网络,选择一种认证方法,确定有关IPSec对等体的详细信息,确定我们所需的IPSec特性,并确认现有的 访问控制列表允许IPSec数据流通过;
步骤1:根据对等体的数量和位置在IPSec对等体间确定一个IKE(IKE阶段1,或者主模式)策略;
步骤2:确定IPSec(IKE阶段2,或快捷模式)策略,包括IPSec对等体的细节信息,例如IP地址及IPSec变换集和模式;
步骤3:用"write terminal"、"show isakmp"、"show isakmp policy"、"show crypto map "命令及其他"show"命令来检查当前的配置;
步骤4:确认在没有使用加密前网络能够正常工作,用"ping"命令并在加密前运行测试数据流来排除基本的路由故障;
步骤5:确认在边界路由器和PIX防火墙中已有的访问控制列表允许IPSec数据流通过,或者想要的数据流将可以被过滤出来。 二、配置IKE 配置IKE涉及到启用IKE(和isakmp是同义词),创建IKE策略,和验证我们的配置;
步骤1:用"isakmp enable"命令来启用或关闭IKE;
步骤2:用"isakmp policy"命令创建IKE策略;
步骤3:用"isakmp key"命令和相关命令来配置预共享密钥;
步骤4:用"show isakmp [policy]"命令来验证IKE的配置。 三、配置IPSec IPSec配置包括创建加密用访问控制列表,定义变换集,创建加密图条目,并将加密集应用到接口上去;
步骤1:用access-list命令来配置加密用访问控制列表; 例如: access-list acl-name {permit|deny} protocol src_addr src_mask [operator port [port]]dest_addr dest_mask [operator prot [port]]
步骤2:用crypto ipsec transform-set 命令配置变换集; 例如: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] 3. 步骤3:( 任选)用crypto ipsec security-association lifetime命令来配置全局性的IPSec 安全关联的生存期;
步骤4:用crypto map 命令来配置加密图;
步骤5:用interface 命令和crypto map map-name interface应用到接口上; 6. 步骤6:用各种可用的show命令来验证IPSec的配置。 四、测试和验证IPSec
该任务涉及到使用"show " 、"debug"和相关的命令来测试和验证IPSec加密工作是否正常,并为之排除故障?
样例:
PIX 1的配置:
!configure the IP address for each PIX Firewall interface
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.3 255.255.255.0
ip address dmz 192.168.11.1 255.255.255.0
global (outside) 1 192.168.1.10-192.168.1.254 netmask 255.255.255.0
!creates a global pooll on the outside interface,enables NAT.
!windows NT server
static (inside,outside) 192.168.1.10 10.1.1.4 netmask 255.255.255.0
!Crypto access list specifiles between the global and the inside server beind PIX Firewalls is encrypted ,The source and destination IP address are the global IP addresses of the statics.
Access-list 101 permit ip host 192.168.1.10 host 192.168.2.10
!The conduit permit ICMP and web access for testing.
Conduit permit icmp any any Conduit permit tcp host 192.168.1.10 eq www any
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
!Enable IPSec to bypass access litst,access ,and confuit restrictions
syspot connnection permit ipsec
!Defines a crypto map transform set to user esp-des
crypto ipsec transform-set pix2 esp-des
crypto map peer2 10 ipsec-isakmp! 完全配置: ip address outside 202.105.113.194 255.255.255.0 /*看电信给你的IP
ip address inside 192.168.1.1 255.255.255.0
!
global (outside) 1 202.105.113.195-202.105.113.200
global (outside) 1 202.105.113.201
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 202.105.113.203 192.168.1.10 netmask 255.255.255.255 0 0
static (inside,outside) 202.105.113.205 192.168.1.11netmask 255.255.255.255 0 0
conduit permit icmp any any conduit permit tcp host 202.105.113.203 eq www any
conduit permit tcp host 202.105.113.203 eq ftp any
conduit permit tcp host 202.105.113.205 eq smtp any
conduit permit tcp host 202.105.113.205 eq pop3 any
!
route outside 0.0.0.0 0.0.0.0 202.105.113.193 1
route inside 0.0.0.0 0.0.0.0 192.168.1.1 4. 指定要进行转换的内部地址(nat)
网络地址翻译(nat)作用是将内网的私有ip转换为外网的公有ip.Nat命令总是与global命令一起使用,这是因为nat命令可以指定一台主机或一段范围的主机访问外网,访问外网 时需要利用global所指定的地址池进行对外访问。 nat命令配置语法:
nat (if_name) nat_id local_ip [netmark]
其中(if_name)表示内网接口名字,例如inside。Nat_id用来标识全局地址池,使它与其相应的global命令相匹配,local_ip表示内网被分配的ip地址。例如0.0.0.0表示内网所 有主机可以对外访问。[netmark]表示内网ip地址的子网掩码。 例1.Pix525(config)#nat (inside) 1 0 0
表示启用nat,内网的所有主机都可以访问外网,用0可以代表0.0.0.0 例2.Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0
表示只有172.16.5.0这个网段内的主机可以访问外网。 5. 指定外部地址范围(global) global命令把内网的ip地址翻译成外网的ip地址或一段地址范围。
Global命令的配置语法:global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中(if_name)表示外网接口名字,例如outside.。Nat_id用来标识全局地址池,使它与其相应的nat命令相匹配,ip_address-ip_address表示翻译后的单个ip地址或一段ip地址 范围。[netmark global_mask]表示全局ip地址的网络掩码。 例1.Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48
表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用61.144.51.42-61.144.51.48这段ip地址池为要访问外网的主机分配一个全局ip地址。 例2.Pix525(config)#global (outside) 1 61.144.51.42 表示内网要访问外网时,pix防火墙将为访问外网的所有主机统一使用61.144.51.42这个单一ip地址。 例3. Pix525(config)#no global (outside) 1 61.144.51.42 表示删除这个全局表项。 6. 设置指向内网和外网的静态路由(route) 定义一条静态路由。
route命令配置语法:route (if_name) 0 0 gateway_ip [metric]
其中(if_name)表示接口名字,例如inside,outside。Gateway_ip表示网关路由器的ip地址。[metric]表示到gateway_ip的跳数。通常缺省是1。 例1. Pix525(config)#route outside 0 0 61.144.51.168 1
表示一条指向边界路由器(ip地址61.144.51.168)的缺省路由。 例2. Pix525(config)#route inside 10.1.1.0 255.255.255.0 172.16.0.1 1
Pix525(config)#route inside 10.2.0.0 255.255.0.0 172.16.0.1 1
如果内部网络只有一个网段,按照例1那样设置一条缺省路由即可;如果内部存在多个网络,需要配置一条以上的静态路由。上面那条命令表示创建了一条到网络10.1.1.0的静态路 由,静态路由的下一条路由器ip地址是172.16.0.1。 OK,这6个基本命令若理解了,就可以进入到pix防火墙的一些高级配置了。 A. 配置静态IP地址翻译(static)
如果从外网发起一个会话,会话的目的地址是一个内网的ip地址,static就把内部地址翻译成一个指定的全局地址,允许这个会话建立。
static命令配置语法:
static (internal_if_name,external_if_name) outside_ip_address inside_ ip_address
其中internal_if_name表示内部网络接口,安全级别较高,如inside。external_if_name为外部网络接口,安全级别较低,如outside等。outside_ip_address为正在访问的较低安 全级别的接口上的ip地址。inside_ ip_address为内部网络的本地ip地址。 例1. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.8
表示ip地址为192.168.0.8的主机,对于通过pix防火墙建立的每个会话,都被翻译成61.144.51.62这个全局地址,也可以理解成static命令创建了内部ip地址192.168.0.8和外部ip 地址61.144.51.62之间的静态映射。 例2. Pix525(config)#static (inside, outside) 192.168.0.2 10.0.1.3 例3. Pix525(config)#static (dmz, outside) 211.48.16.2 172.16.10.8
注释同例1。
通过以上几个例子说明使用static命令可以让我们为一个特定的内部ip地址设置一个永久的全局ip地址。这样就能够为具有较低安全级别的指定接口创建一个入口,使它们可以进 入到具有较高安全级别的指定接口。 B. 管道命令(conduit)
前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射,但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法(ASA)阻挡。
conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口,例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接,static和 conduit命令将一起使用,来指定会话的建立。
conduit命令配置语法:
conduit permit | deny global_ip port[-port] protocol foreign_ip [netmask]
permit | deny 允许 | 拒绝访问 global_ip 指的是先前由global或static命令定义的全局ip地址,如果global_ip为0,就用any代替0;如果global_ip是一台主机,就用host命令 参数。
port 指的是服务所作用的端口,例如www使用80,smtp使用25等等,我们可以通过服务名称或端口数字来指定端口。
protocol 指的是连接协议,比如:TCP、UDP、ICMP等。
foreign_ip 表示可访问global_ip的外部ip。对于任意主机,可以用any表示。如果foreign_ip是一台主机,就用host命令参数。 例1. Pix525(config)#conduit permit tcp host 192.168.0.8 eq www any
这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eq ftp 就是指允许或拒绝只对ftp的访 问。 例2. Pix525(config)#conduit deny tcp any eq ftp host 61.144.51.89
表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。 例3. Pix525(config)#conduit permit icmp any any
表示允许icmp消息向内部和外部通过。 例4. Pix525(config)#static (inside, outside) 61.144.51.62 192.168.0.3
Pix525(config)#conduit permit tcp host 61.144.51.62 eq www any
这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器,现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射:192.168.0.3- >61.144.51.62(全局),然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。 C. 配置fixup协议
fixup命令作用是启用,禁止,改变一个服务或协议通过pix防火墙,由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子:
例1. Pix525(config)#fixup protocol ftp 21 启用ftp协议,并指定ftp的端口号为21
例2. Pix525(config)#fixup protocol http 80
Pix525(config)#fixup protocol http 1080 为http协议指定80和1080两个端口。
例3. Pix525(config)#no fixup protocol smtp 80 禁用smtp协议。
D. 设置telnet telnet有一个版本的变化。在pix OS 5.0(pix*作系统的版本号)之前,只能从内部网络上的主机通过telnet访问pix。在pix OS 5.0及后续版本中,可以在所有的接口上启用 telnet到pix的访问。当从外部接口要telnet到pix防火墙时,telnet数据流需要用ipsec提供保护,也就是说用户必须配置pix来建立一条到另外一台pix,路由器或***客户端的 ipsec隧道。另外就是在PIX上配置SSH,然后用SSH client从外部telnet到PIX防火墙,PIX支持SSH1和SSH2,不过SSH1是免费软件,SSH2是商业软件。相比之下cisco路由器的 telnet就做得不怎么样了。
telnet配置语法:telnet local_ip [netmask] local_ip
表示被授权通过telnet访问到pix的ip地址。如果不设此项,pix的配置方式只能由console进行。 说了这么多,下面给出一个配置实例供大家参考。 Welcome to the PIX firewall Type help or '?' for a list of available commands.
PIX525> en
Password:
PIX525#sh config :
Saved :
PIX Version 6.0(1) ------ PIX当前的*作系统版本为6.0
Nameif ethernet0 outside security0
Nameif ethernet1 inside security100 ------ 显示目前pix只有2个接口
Enable password 7Y051HhCcoiRTSQZ encrypted
Passed 7Y051HhCcoiRTSQZ encrypted ------ pix防火墙密码在默认状态下已被加密,在配置文件中不会以明文显示,telnet 密码缺省为cisco
Hostname PIX525 ------ 主机名称为PIX525
Domain-name 123 ------ 本地的一个域名服务器123,通常用作为外部访问
Fixup protocol ftp 21
Fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060 ------ 当前启用的一些服务或协议,注意rsh服务是不能改变端口号的
names ------ 解析本地主机名到ip地址,在配置中可以用名字代替ip地址,当前没有设置,所以列表为空
pager lines 24 ------ 每24行一分页
interface ethernet0 auto
interface ethernet1 auto ------ 设置两个网卡的类型为自适应
mtu outside 1500
mtu inside 1500 ------ 以太网标准的MTU长度为1500字节
ip address outside 61.144.51.42 255.255.255.248
ip address inside 192.168.0.1 255.255.255.0 ------ pix外网的ip地址61.144.51.42,内网的ip地址192.168.0.1
ip audit info action alarm
ip audit attack action alarm ------ pix***检测的2个命令。当有数据包具有***或报告型特征码时,pix将采取报警动作(缺省动作),向指定的日志记录主机产生系统日志 消息;此外还可以作出丢弃数据包和发出tcp连接复位信号等动作,需另外配置。
pdm history enable ------ PIX设备管理器可以图形化的监视
PIX arp timeout 14400 ------ arp表的超时时间
global (outside) 1 61.144.51.46 ------ 如果你访问外部论坛或用QQ聊天等等,上面显示的ip就是这个
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside, outside) 61.144.51.43 192.168.0.8 netmask 255.255.255.255 0 0
conduit permit icmp any any
conduit permit tcp host 61.144.51.43 eq www any
conduit permit udp host 61.144.51.43 eq domain any ------ 用61.144.51.43这个ip地址提供domain-name服务,而且只允许外部用户访问domain的udp端口
route outside 0.0.0.0 0.0.0.0 61.144.51.61 1 ------ 外部网关61.144.51.61
timeout xlate 3:00:00 ------ 某个内部设备向外部发出的ip包经过翻译(global)后,在缺省3个小时之后此数据包若没有活动,此前创建的表项将从翻译表中删除,释放该设备 占用的全局地址
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute ------ AAA认证的超时时间,absolute表示连续运行uauth定时器,用户超时后,将强制重新认证
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius ------ AAA服务器的两种协议。AAA是指认证,授权,审计。Pix防火墙可以通过AAA服务器增加内部网络的安全
no snmp-server location no snmp-server contact snmp-server community public ------ 由于没有设置snmp工作站,也就没有snmp工作站的位置和联系人
no snmp-server enable traps ------ 发送snmp陷阱 floodguard enable ------ 防止有人伪造大量认证请求,将pix的AAA资源用完
no sysopt route dnat telnet timeout 5 ssh timeout 5 ------ 使用ssh访问pix的超时时间
terminal width 80 Cryptochecksum:a9f03ba4ddb72e1ae6a543292dd4f5e7
PIX525#
PIX525#write memory ------ 将配置保存
上面这个配置实例需要说明一下,pix防火墙直接摆在了与internet接口处,此处网络环境有十几个公有ip,可能会有朋友问如果我的公有ip很有限怎么办?你可以添加router放在 pix的前面,或者global使用单一ip地址,和外部接口的ip地址相同即可。另外有几个维护命令也很有用,show interface查看端口状态,show static查看静态地址映射,show ip 查看接口ip地址,ping outside | inside ip_address确定连通性。 欢迎大家交流学习! 做一个职业人!
转载于:https://blog.51cto/fengyifan/159590
版权声明:本文标题:如何备份思科cisco路由器配置 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1726802819h1031262.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论