为您找到与cisco模拟器中的防火墙相关的共200个结果:
cisco防火墙如何与交换机到底是怎么样连接的呢?小编来告诉你!下面由读文网小编给你做出详细的cisco防火墙如何与交换机连接介绍!希望对你有帮助!
console口是用来配置设备用的,直接连到电脑上的
如果连路由交换的话肯定是用Fa0/0或者fa0/1口了
也就是fastethernet0或者fastethernet1这2个口
fastethernet是快速以太网口100M的
防火墙可能不支持SDM,所以用SDM登陆没反应
你可以用console线链接防火墙到电脑上,然后用超级终端登陆进行配置
fa0/0 和fa0/1 这2个口没有什么顺序关系,他的出入顺序你经过配置以后才生效的,比如做访问控制规则的时候~
交换机是2层设备,路由和防火墙都属于3层设备,可能你的双绞线用错了,换个交叉线试试
2个接口的IP肯定是不一样的,另外如果配置的话可以用telnet的方式进行管理,也可以用console直接链接到电脑上配置,如果没有IP,那就没法进行telnet,再说一般为了安全还都有密码,估计你也不知道密码是多少
console口直接连电脑,用windows自带的超级终端就可以进行管理了
其实这个问题很好解决,只不过你连IP是多少都不知道,就没办法了
浏览量:3
下载量:0
时间:
cisco防火墙透明模式是怎么样的呢?小编来告诉你!下面由读文网小编给你做出详细的cisco防火墙透明模式介绍!希望对你有帮助!
允许80.25.110.8000.21 号端口, 然后再拒绝所有到所有呗
映射服务器 就做静态NAT呗,吧你服务器的80端口,映射到 路由器接口(直接连ISP的接口)的80端口,OK!
浏览量:2
下载量:0
时间:
cisco防火墙如何设置交换机呢?这样就能在防火墙里面使用交换机了,该怎么样设置?下面由读文网小编给你做出详细的cisco防火墙设置交换机方法介绍!希望对你有帮助!
二层交换机可以不配置,你只需要在核心交换机上对接二层交换机的端口划分vlan即可,如果你需要配置,那么把核心和二层交换机的互联口都划为trunk口,二层上其他端口对应加vlan即可,现在你主要的是要配置usg,你核心和usg之间肯定走的三层,所以还需要起一个互联地址,
下面是usg的配置,usg2160只有一个路由口,其它都是交换口
firewall packet-filter default permit all
interface Ethernet0/0/0
ip address X.X.X.X X.X.X.X 外网口地址
interface Vlanif1
ip address X.X.X.X X.X.X.X 内网口地址
firewall zone trust
add interface Vlanif1
firewall zone untrust
add interface Ethernet0/0/0
ip route-static 0.0.0.0 0.0.0.0 X.X.X.X(X.X.X.X是外网口网关)
ip route-static 192.168.0.0 255.255.0.0 X.X.X.X(X.X.X.X是核心交换机上与usg互联的地址)
nat-policy interzone trust untrust outbound
policy 0
action source-nat
policy source 192.168.0.0 0.0.255.255
easy-ip Ethernet0/0/0
浏览量:2
下载量:0
时间:
cisco防火墙配置命令是有很大作用的,那么会用在哪里呢?下面由读文网小编给你做出详细的cisco防火墙配置命令应用介绍!希望对你有帮助!
硬件产品
以路由器,交换机,IOS软件为主,还有宽带有线产品、板卡和模块、内容网络、网络管理、光纤平台、网络安全产品与设备、网络存储产品、视频系统、IP通信系统、远程会议系统[8] 、无线产品、服务器 等。
1986年3月,思科公司向犹他州州立大学提供了世界上第一台路由产品——AGS(先进网关服务器)。
1994年,思科推出第一种面向客户端/服务器式工作组的智能Cisco Catalyst系列交换机,第一批新产品来自于对Crescendo的收购。
思科Nexus数据中心交换机
Catalyst系列交换机:1200、1600、1700、1900、2000、2100、2800、29xx、3000、35xx、37xx、40xx、45xx、5xxx、6xxx Cisco 2960、2960S、 2960G、 3560、 3560G、 3560E、 3560X、 3750、 3750G、 3750E、 3750X、 4900、 4500 and 6500 Series Cisco switches。
Nexus系列数据中心交换机:Nexus 1000V、Nexus 2000、Nexus 3000、Nexus 4000、Nexus 5000、Nexus 6000、Nexus 7000。
路由器:700、800、100x、1600、1700、1800、2500、2600、2800 、3600、3700 、3800、4500、4700、7000、7200、7500、7600、12000、ASR1000、ASR9000、CRS-1、CRS-3。
Cisco 800, Cisco 1800, Cisco 1900, Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900, Cisco 7200 and Cisco 7600 Series Cisco routers等等。
思科UCS服务器
DWDM:ONS15系列( 如15454)
接入点:340、350、1100、1200、1300
防火墙:
PIX:PIX-501、PIX-506、PIX-515、PIX-525、PIX-535。
ASA:ASA5505、ASA5510、ASA5512、ASA5520、ASA5540、ASA5550、ASA5580-20、ASA5580-40、ASA5585-X-SSP10、ASA5585-X-SSP20、ASA5585-X-SSP40、ASA5585-X-SSP60。
思科模块和网卡:Cisco AIM Module、 WIC WAN Card、VIC Voice Card、 VWIC Voice Card、 HWIC WAN Card、 ISR G2 SM Module、 NM Network Module,、PVDM Voice Module、4500 Switch Module、 6500 Switch Module、 7200 Router Module、 7600 Router Module。
思科光学模块:Cisco X2 module、XFP module、GBIC module、XENPAK module、SFP GLC Module、OADM EWDM module。
思科腾讯通界面
WAN交换机:IGX 8400系列、PBX8600系列、MGX 8850边缘交换机、MGX 8220边缘线器。
AS5xxx 远程访问服务器(RAS)
AS5xxx 系列VoIP网关
无线IP电话:7920。
IP电话:3951、7905、7906、7911、7940、7941、7942G、7960、7961、7970、7971、7985和9971。
UCS服务器: 思科统一计算系统 (Unified Computing Systems) 包括B系列刀片服务器、C系列机架式服务器以及M系列模块化服务器, UCS阵列互联以及阵列扩展器,服务器适配器(I/O,GPU,存储加速器),UCS Invicta设备以及相应的UCS数据中心管理软件(UCS Manager, UCS Director)等。
软件产品
思科腾讯通:是RTX腾讯通的一个插件。它是思科和腾讯公司共同推出的集成原RTX腾讯通的即时通信界面和思科企业级统一通信服务的解决方案。原有RTX腾讯通用户的使用习惯不变。用户通过思科腾讯通可以了解联系人状态,拨打高清视频和音频电话,召开在线会议或视频会议,使用可视语音邮件等等。
思科IOS(Internetwork Operating System):思科网络操作系统,用于其大多数路由器和交换机产品[12] 。
WebEx:网络会议软件[13] 。
NX-OS (Nexus Operating System):数据中心Nexus系列交换机操作系统。
看了“cisco防火墙配置命令应用在哪”文章的还看了:
浏览量:3
下载量:0
时间:
cisco防火墙用处很大,你会进行设置吗?下面由读文网小编给你做出详细的cisco防火墙设置方法介绍!希望对你有帮助!
cisco的log时间有两种显示格式:
日期时间(datetime),这个时间是用机器的时钟时间 clock;
更新时间(uptime),日志发生的时间到现在的时间。
按照习惯,使用datetime的较多。
更改命令:
service timestamps log datetime localtime
浏览量:2
下载量:0
时间:
cisco ASA 防火墙你知道怎么样配置吗?小编来教你!下面由读文网小编给你做出详细的cisco ASA 防火墙配置介绍!希望对你有帮助!
1.asa防火墙的密码可以破解的。配置很简单发给你
ASA5500防火墙:
在ASA启动过程中按 CTRL+BREAK键后,进入:
rommon #0> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: n
rommon #1> confreg 0x41
Update Config Register (0x41) in NVRAM...
rommon #2> boot
Launching BootLoader...
Boot configuration file contains 1 entry.
Loading disk0:/ASA_7.0.bin... Booting...
Ignoring startup configuration as instructed by configuration register.
Type help or '?' for a list of available commands.
hostname> enable
Password:
hostname# configure terminal
hostname(config)# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum(unchanged): 7708b94c e0e3f0d5 c94dde05 594fbee9
892 bytes copied in 6.300 secs (148 bytes/sec)
hostname(config)# enable password NewPassword
hostname(config)# config-register 0x1
hostname#copy run start
到次为止密码恢复完成.
2.安全策略主要就是acl访问列表的控制。限制ip 的访问、icmp的访问以及tcp、udp协议端口的开放等。
看了“cisco ASA 防火墙怎么样配置”文章的还看了:
浏览量:2
下载量:0
时间:
cisco防火墙作用的很大的,作用也有很多,那么都有些什么作用呢?下面由读文网小编给你做出详细的cisco防火墙作用介绍!希望对你有帮助!
很多公司把企业文化写出来挂在墙上,思科也有一张文化卡,但我认为公司的文化绝不是一句动听的话语,它表现在我们的行为里,根植于我们的思维中。比如,说一个人没有文化,这是从他的行为做出的判断,同样道理,一个企业的文化就是它的行为,就是企业每一个员工做出来的行为。如果企业的员工都不知道老板想什么,怎么可能形成一个企业的文化?这样,就带出了另一个问题,沟通。如果一个企业既没有价值观和做事的准则,又没有沟通的途径,就谈不上管理,根本无从管理。换句话说,一个企业没有文化、公司有要求,员工的行为体现,加上鼓励机制。在考虑升降一个员工,能否适应变化是很重要的一条。我们每半年对员工进行一次挑战评估,其中的Versatility(多功能性)很重要,一个员工的适应能力有多强,是否只能做销售或其他?适应性不强,员工总的价值就不会高。没有沟通,就没有管理,这三者是三位一体的关系。
公司愿景
改变网络的局限性,让网络成为最时尚的潮流。
公司使命
为顾客、员工和商业伙伴创造前所未有的价值和机会,构建网络的未来世界。
质量第一、顾客至上、超越目标、无技术崇拜、节约、回馈、信任、公平、融合、团队精神、市场转变、乐在其中、驱动变革 充分授权、公开交流。
看了“cisco防火墙作用有哪些”文章的还看了:
浏览量:3
下载量:0
时间:
ciscoasa防火墙查看设备状态用什么方法最好呢?小编来告诉你!下面由读文网小编给你做出详细的ciscoasa防火墙查看设备状态方法介绍!希望对你有帮助!
终于解决了ASA5550与深信服之间的协议冲突了回忆起来大家也许还记得前段时间老是时不时断网的事情。自从ASA5550与深信服串在一起后,故障就不断的发生,同时也造成了网络间歇性的断网。每次都是6秒,但是不断的发生后让人感觉到有些抓狂了。
为了找出原因,我们把设备一个一个的跳过,同时也要做一些相应的配置,非常麻烦。最后终于锁定了ASA5550与深信服,只要它们俩串在一条线路里就会发生该故障,而分别使用时都非常正常。经过排查,发现是两者的端口协议有问题,排查下来基本上有三个协议出了点问题老是断网,也就是相互之间不协调。
当然,排查出这个故障,已经花了好多的时间和心血。以前从来没有碰到过这样的一些问题,看似简单的解决方案都是在不断地学习中积累起来的。解决问题只用了一条命令,然而从发现问题,并不断的假设问题所在,耗费的时间精力是非常多的。
期间也想过要深信服的工程师来,后来通过800电话找了一个可以dos界面进入深信服的东东,并直接把与ASA5550的端口绑定为百兆,结果造成了断网。那么,最后怎么解决的呢?在ASA5550上,与深信服连接的端口上直接绑定为千兆就可以了。经过这几天的测试,网络正常,想来应该是解决了。通过命令看了ASA5550与深信服
浏览量:3
下载量:0
时间:
思科cisco是全球高端顶尖的通讯厂商,其出产的路由器功能也是世界级的,那么你知道cisco ASA防火墙如何配置的吗?下面是读文网小编整理的一些关于cisco ASA防火墙如何配置的相关资料,供你参考。
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa https://设置主机名
asa(config)#enable password cisco https://设置密码
配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside https://名字是outside
asa(config)#securit-level 0 https://安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0 https://配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置内网的接口,名字是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 https://表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 https://定义的地址池
asa(config)#nat (inside) 1 0 0 https://0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
配置静态路由
asa(config)#route outside 0 0 133.0.0.2 https://设置默认路由 133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址转换
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
如果内部有服务器需要映射到公网地址则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 https://后面的10000为限制连接数,10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any ;设置ACL
asa(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
看过文章“cisco ASA防火墙如何配置"
浏览量:2
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道Cisco PIX防火墙及网络安全怎么配置吗?下面是读文网小编整理的一些关于Cisco PIX防火墙及网络安全怎么配置的相关资料,供你参考。
随着国际互连网的发展,一些企业建立了自己的INTRANET,并通过专线与INTERNET连通。为了保证企业内部网的安全,防止非法入侵,需要使用专用的防火墙计算机。路由器防火墙只能作为过滤器,并不能把内部网络结构从入侵者眼前隐藏起来。只要允许外部网络上的计算机直接访问内部网络上的计算机,就存在着攻击者可以损害内部局域网上机器的安全性,并从那里攻击其他计算机的可能性。
大多数提供代理服务的专用防火墙机器是基于UNIX系统的,这些操作系统本身就有安全缺陷。CISCO提供了PIX (Private Internet eXchange,私有Internet交换)防火墙,它运行自己定制的操作系统,事实证明,它可以有效地防止非法攻击。PIX防火墙要求有一个路由器连接到外部网络,如附图所示。PIX有两个ETHERNET接口,一个用于连接内部局域网,另一个用于连接外部路由器。外部接口有一组外部地址,使用他们来与外部网络通信。内部网络则配置有一个适合内部网络号方案的IP地址。PIX的主要工作是在内部计算机需要与外部网络进行通信时,完成内部和外部地址之间的映射。
配置好PIX防火墙后,从外部世界看来,内部计算机好象就是直接连接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口,所以,向主机传送信息包需要用到MAC地址。为了使内部主机在数据链路层和网络层上看起来都好象是连接在外部接口上的,PIX运行了代理ARP,代理ARP给外部网络层IP地址指定数据链路MAC地址,这就使得内部计算机看起来像是在数据链路层协议的外部接口上似的。大多数情况下,与外部网络的通信是从内部网络中发出的。由于PIX是对信息包进行操作,而不是在应用过程级(代理服务器则采用这种方法),PIX既可以跟踪UDP会话,也可以跟踪TCP连接。当一个计算机希望同外部计算机进行通信时,PIX记录下内部来源地址,然后从外部地址库分配一个地址,并记录下所进行的转换。这就是人们常说的有界NAT(stateful NAT),这样,PIX就能记住它在同谁进行交谈,以及是哪个计算机首先发起的对话。只有已被确认的来自外部网络的信息包才会运行,并进入内部网络。
不过,有时也需要允许外部计算机发起同指定的内部计算机的通信。典型的服务包括电子邮件、WWW服务、以及FTP服务。PIX给一个内部地址硬编码一个外部地址,这个地址是不会过期的。在这种情况下,用到对目标地址和端口号的普通过滤。除非侵入PIX本身,外部用户仍然是无法了解内部网络结构的。在不了解内部网络结构的情况下,恶意用户就无法从内部主机向内部网络实施攻击。
PIX另一个关键性的安全特性是对TCP信息包的序列编号进行随机化处理。由于IP地址电子欺骗的方法早已公布,所以,入侵者已经有可能通过这种方法,控制住一个现成的TCP连接,然后向内部局域网上的计算机发送它们自己的信息。要想做到这一点,入侵者必须猜出正确的序列编号。在通常的TCP/IP中实现是很容易的,因为每次初始化连接时,大都采用一个相同的编号来启动会话。而PIX则使用了一种数学算法来随机化产生序列编号,这实际上使得攻击者已经不可能猜出连接所使用的序列编号了。
配置PIX防火墙是一个比较直接的工作,在提供相同级别的安全服务情况下,PIX的配置相比设置代理服务器要简单的多。从理论上讲,所需做的就是指定一个IP地址和一个用来对外部进行访问的地址库,一个针对内部连接的IP地址和网络掩吗、RIP、超时以及其他附属安全信息。下面介绍一个PIX防火墙实际配置案例,供大家参考。因为路由器的配置在安全性方面和PIX防火墙是相辅相成的,所以路由器的配置实例也一并列出。
一.PIX 防火墙
ip address outside 131.1.23.2
https://设置PIX防火墙的外部地址
ip address inside 10.10.254.1
https://设置PIX防火墙的内部地址
global 1 131.1.23.10-131.1.23.254
https://设置一个内部计算机与INTERNET
上计算机进行通信时所需的全局地址池
nat 1 10.0.0.0
https://允许网络地址为10.0.0.0
的网段地址被PIX翻译成外部地址
static 131.1.23.11 10.14.8.50
https://网管工作站固定使用的外部地址为131.1.23.11
conduit 131.1.23.11514 udp
131.1.23.1 255.255.255.255
https://允许从RTRA发送到到
网管工作站的系统日志包通过PIX防火墙
mailhost 131.1.23.10 10.10.254.3
https://允许从外部发起的对
邮件服务器的连接(131.1.23.10)
telnet 10.14.8.50
https://允许网络管理员通过
远程登录管理IPX防火墙
syslog facility 20.7
syslog host 10.14.8.50
https://在位于网管工作站上的
日志服务器上记录所有事件日志
二.路由器RTRA
---- RTRA是外部防护路由器,它必须保护PIX防火墙免受直接攻击,保护FTP/HTTP服务器,同时作为一个警报系统,如果有人攻入此路由器,管理可以立即被通知。
no service tcp small-servers
https://阻止一些对路由器本身的攻击
logging trap debugging
https://强制路由器向系统日志服务器
发送在此路由器发生的每一个事件,
包括被存取列表拒绝的包和路由器配置的改变;
这个动作可以作为对系统管理员的早期预警,
预示有人在试图攻击路由器,或者已经攻入路由器,
正在试图攻击防火墙
logging 131.1.23.11
https://此地址是网管工作站的外部地址,
路由器将记录所有事件到此
主机上enable secret quduwenxxxx
interface Ethernet 0
ip address 131.1.23.1 255.255.255.0
interface Serial 0
ip unnumbered ethernet 0
ip access-group 110 in
https://保护PIX防火墙和HTTP/FTP
服务器以及防卫欺骗攻击(见存取列表)
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log
https:// 禁止任何显示为来源于路由器RTRA
和PIX防火墙之间的信息包,这可以防止欺骗攻击
access-list 110 deny ip any host 131.1.23.2 log
https://防止对PIX防火墙外部接口的直接
攻击并记录到系统日志服务器任何企图连接
PIX防火墙外部接口的事件r
access-list 110 permit tcp any
131.1.23.0 0.0.0.255 established
https://允许已经建立的TCP会话的信息包通过
access-list 110 permit tcp any host 131.1.23.3 eq ftp
https://允许和FTP/HTTP服务器的FTP连接
access-list 110 permit tcp any host 131.1.23.2 eq ftp-data
https://允许和FTP/HTTP服务器的FTP数据连接
access-list 110 permit tcp any host 131.1.23.2 eq www
https://允许和FTP/HTTP服务器的HTTP连接
access-list 110 deny ip any host 131.1.23.2 log
https://禁止和FTP/HTTP服务器的别的连接
并记录到系统日志服务器任何
企图连接FTP/HTTP的事件
access-list 110 permit ip any 131.1.23.0 0.0.0.255
https://允许其他预定在PIX防火墙
和路由器RTRA之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器的IP地址
access-list 10 permit ip 131.1.23.11
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
三. 路由器RTRB
---- RTRB是内部网防护路由器,它是你的防火墙的最后一道防线,是进入内部网的入口.
logging trap debugging
logging 10.14.8.50
https://记录此路由器上的所有活动到
网管工作站上的日志服务器,包括配置的修改
interface Ethernet 0
ip address 10.10.254.2 255.255.255.0
no ip proxy-arp
ip access-group 110 in
access-list 110 permit udp host 10.10.254.0 0.0.0.255
https://允许通向网管工作站的系统日志信息
access-list 110 deny ip any host 10.10.254.2 log
https://禁止所有别的从PIX防火墙发来的信息包
access-list permit tcp host 10.10.254.3
10.0.0.0 0.255.255.255 eq smtp
https://允许邮件主机和内部邮件服务器的SMTP邮件连接
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255
https://禁止别的来源与邮件服务器的流量
access-list deny ip any 10.10.254.0 0.0.0.255
https://防止内部网络的信任地址欺骗
access-list permit ip 10.10.254.0
0.0.0.255 10.0.0.0 0.255.255.255
https://允许所有别的来源于PIX防火墙
和路由器RTRB之间的流量
line vty 0 4
login
password quduwenxxx
access-class 10 in
https://限制可以远程登录到此路由器上的IP地址
access-list 10 permit ip 10.14.8.50
https://只允许网管工作站远程登录到此路由器,
当你想从INTERNET管理此路由器时,
应对此存取控制列表进行修改
---- 按以上设置配置好PIX防火墙和路由器后,PIX防火墙外部的攻击者将无法在外部连接上。
看过文章“Cisco PIX防火墙及网络安全怎么配置”
浏览量:3
下载量:0
时间:
cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道cisco ios防火墙特性集吗?下面是读文网小编整理的一些关于cisco ios防火墙特性集的相关资料,供你参考。
cisco ios防火墙特性集为每一个网络周边集成了稳健的防火墙功能性和入侵检测,丰富了cisco ios安全功能。如果与cisco ios IPSec软件和其他基于cisco ios软件的技术(例如L2TP隧道和服务质量[QoS])相结合,cisco ios防火墙特性集可以提供一个全面、集成的虚拟专用网络()解决方案。cisco ios软件可用在广泛的Cisco路由器平台上,允许客户根据带宽、LAN/WAN密度和多种服务需求选择路由器平台,同时从先进的安全性受益。
基本的和高级的通信过滤
- 标准和扩展的访问控制列表(ACL):将访问控制用于特定的网段,并定义那些通信可以通过一个网段。
- 锁定和密钥动态的ACL:根据用户身份(用户名/口令)授予通过防火墙的暂时访问。
基于策略的多端口支持:根据由安全策略决定的IP地址和端口,提供控制用户访问的能力。
网络地址转换(NAT):通过对外界隐藏内部地址增强网络保密性;通过启动注册IP地址的保护,降低Internet访问的成本。
同级路由器验证:确保路由器从可 靠的来源收到路由信息。
事件日志记录:通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级以及记录其他参数,允许管理员实时跟踪潜在的违法或其他非标准活动。
虚拟专用网络():利用下列任何协议,通过公共线路(例如Internet)提供安全的数据传输;降低远程分支办事处和外部网的实现及管理成本;增强服务质量和可靠性;提供基于标准的互操作性。 - 一般路由密封(GRE)隧穿 - 第二层转发(L2F) - 第二层隧穿协议(L2TP) - 服务质量(QoS)控制:排定应用程序优先顺序和分配网络资源,进而确保关键任务应用程序通信的交付。
Cisco加密技术:网络层加密功能,在传输期间防止通过网络窃取或窜改数据。
IPSec:基于标准的网络层加密,提供数据保密性和验证。
关于新特性的详细资料
基于上下文的访问控制 基于上下文的访问控制(CBAC)是cisco ios防火墙特性集最显著的新增特性。CBAC技术的重要性在于,它第一次使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。现在,紧密安全的网络不仅允许今天的应用通信,而且为未来先进的应用(例如多媒体和电视会议)作好了准备。
CBAC通过严格审查源和目的地址,增强了使用众所周知端口(例如ftp和电子邮件通信)的TCP和UDP应用程序的安全。 CBAC的工作原理 CBAC是一个适用于IP通信的基于每个应用的控制机制,包括标准TCP和UDP Internet应用程序、多媒体应用程序(包括H.323应用程序、CU-SeeME、VDOLive、Streamworks及其他应用程序)以及Oracle数据库。CBAC检查TCP和UDP包,并跟踪它们的“状态”或连接状态。 TCP是一个面向连接的协议。在传输数据之前,源主机与一个目的主机洽谈连接,通常被称为“三向握手”。这种握手过程确保有效的TCP连接和无错的传输。在连接建立期间,TCP穿过几个"状态"或阶段(由数据包头标识的)。
标准和扩展的访问控制列肯(ACL)从包头状态来决定是否允许通信通过一个连接。 CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口,从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时,ACL入口被删除,大门关闭。标准和扩展的ACL不能创建暂时的ACL入口,因此直至目前,管理员一直被迫针对信息访问要求衡量安全风险。
利用标准或扩展的ACL,难以确保为回返通信流量选择通道的先进应用程序的安全。 CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个对话通过防火墙,并决定是否为回返通信流量从多个通道进行选择。在CBAC之前,管理员仅通过编写基本上使防火墙大门洞开的永久性ACL,就能够许可先进的应用通信,因此大多数管理员选择否决所有这类应用通信。现在,有了CBAC,通过在需要时打开防火墙大门和其他时候关闭大门,他们能够安全地许可多媒体和其他应用通信。例如,如果CBAC被配置成允许Microsoft NetMeeting,那么当一个内部用户初始化一次连接时,防火墙允许回返通信。但是,如果一个外部NetMeeting来源与一个内部用户出始化连接时,CBAC将否决进入,并撤消数据包。
浏览量:2
下载量:0
时间:
思科公司过去20多年,思科几乎成为了“互联网、网络应用、生产力”的同义词,思科公司在其进入的每一个领域都成为市场的领导者,那么你知道Cisco IOS防火墙CBAC如何配置吗?下面是读文网小编整理的一些关于Cisco IOS防火墙CBAC如何配置的相关资料,供你参考。
先建立如图1的拓扑并使之互相可以访问通信
Router(config)#access-list 101 permit tcp any host 192.168.0.1 eq www 定义任何人都可以访问内网web服务
Router(config)#access-list 101 deny ip any any 拒绝其他IP通信
Router(config)#int f0/0
Router(config-if)#ip access-group 101 out 应用到F0/0端口相对于ACL来说 是出方向
Router(config-if)#exit
CBAC的检测规则可以指定所有网络层以上的协议,通过ACL检查的数据包由CBAC检查来记录包连接状态信息,这个信息被记录于一个新产生的状态列表中
Router(config)#ip inspect name asha http
Router(config)#ip inspect name asha icmp
Router(config)#ip inspect name asha tcp
Router(config)#ip inspect name asha udp
Router(config)#int f0/0
Router(config-if)#ip inspect asha in 应用到CBAC相对应的进方向
Router(config-if)#exit
CBAC使用超时值和阈值确定会话的状态及其持续的时间.可清除不完全会话和闲置会话,用以对Dos进行检测和防护.
Router(config)#ip inspect max-incomplete high 500 当半开会话数超过500时开始删除
Router(config)#ip inspect max-incomplete low 400 当半开会话数低于400时停止删除
Router(config)#ip inspect one-minute high 500 设置当开始删除半开会话数时接受的会话数的速率
Router(config)#ip inspect one-minute low 400 设置当停止开始删除半开会话数时接受的会话数的速率
之后发现,外网的主机ping不同内网主机(如图2,3),按理来说就不可能-web服务器了,如图4内网主机依然可以访问-b服务器。
Router#show ip inspect sessions detail 用来查看连接状态表的统计信息,包括所有会话
Established Sessions
Session 140798744 (192.168.0.2:1029)=>(192.168.1.2:http SIS_OPEN
Created 00:00:02, Last heard 00:00:02
Bytes sent (initiator:responder) [360:360]
Out SID 192.168.1.2[0:0]=>192.168.0.2[0:0] on ACL 101 (3 matches)
会发现CBAC维持具有连接信息的会话状态表,只有当状态表中的一个条目表明此分组属于某个被允许的会话,会在防火墙中制造一个动态的通路,供返回流量使用。
看过文章“Cisco IOS防火墙CBAC如何配置"
浏览量:2
下载量:0
时间:
思科cisco依靠自身的技术和对网络经济模式的深刻理解,成为了网络应用的成功实践者之一,那么你知道cisco ASA防火墙配置吗?下面是读文网小编整理的一些关于cisco ASA防火墙配置的相关资料,供你参考。
常用命令有:nameif、interface、ip address、nat、global、route、static等。
global
指定公网地址范围:定义地址池。
Global命令的配置语法:
global (if_name) nat_id ip_address-ip_address [netmark global_mask]
其中:
(if_name):表示外网接口名称,一般为outside。
nat_id:建立的地址池标识(nat要引用)。
ip_address-ip_address:表示一段ip地址范围。
[netmark global_mask]:表示全局ip地址的网络掩码。
nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:nat (if_name) nat_id local_ip [netmark]
其中:
(if_name):表示接口名称,一般为inside.
nat_id: 表示地址池,由global命令定义。
local_ip: 表示内网的ip地址。对于0.0.0.0表示内网所有主机。
[netmark]:表示内网ip地址的子网掩码。
route
route命令定义静态路由。
语法:
route (if_name) 0 0 gateway_ip [metric]
其中:
(if_name):表示接口名称。
0 0 :表示所有主机
Gateway_ip:表示网关路由器的ip地址或下一跳。
[metric]:路由花费。缺省值是1。
static
配置静态IP地址翻译,使内部地址与外部地址一一对应。
语法:
static(internal_if_name,external_if_name) outside_ip_addr inside_ ip_address
其中:
internal_if_name表示内部网络接口,安全级别较高,如inside。
external_if_name表示外部网络接口,安全级别较低,如outside。
outside_ip_address表示外部网络的公有ip地址。
inside_ ip_address表示内部网络的本地ip地址。
(括号内序顺是先内后外,外边的顺序是先外后内)
例如:
asa(config)#static (inside,outside) 133.0.0.1 192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址
**************************************************************************
asa#conf t
asa(config)# hostname asa https://设置主机名
asa(config)#enable password cisco https://设置密码
配置外网的接口,名字是outside,安全级别0,输入ISP给您提供的地址就行了。
asa(config)#interface GigabitEthernet0/0
asa(config)#nameif outside https://名字是outside
asa(config)#securit-level 0 https://安全级别0
asa(config)#ip address *.*.*.* 255.255.255.0 https://配置公网IP地址
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
配置内网的接口,名字是inside,安全级别100
asa(config)#interface GigabitEthernet0/1
asa(config)#nameif inside
asa(config)#securit-level 100
asa(config)#duplex full
asa(config)#speed 100
asa(config)#no shutdown
配置DMZ的接口,名字是dmz,安全级别50
asa(config)#interface GigabitEthernet0/2
asa(config)#nameif dmz
asa(config)#securit-level 50
asa(config)#duplex full
asa(config)#
asa(config)#no shutdown
网络部分设置
asa(config)#nat(inside) 1 192.168.1.1 255.255.255.0
asa(config)#global(outside) 1 222.240.254.193 255.255.255.248
asa(config)#nat (inside) 0 192.168.1.1 255.255.255.255 https://表示192.168.1.1这个地址不需要转换。直接转发出去。
asa(config)#global (outside) 1 133.1.0.1-133.1.0.14 https://定义的地址池
asa(config)#nat (inside) 1 0 0 https://0 0表示转换网段中的所有地址。定义内部网络地址将要翻译成的全局地址或地址范围
配置静态路由
asa(config)#route outside 0 0 133.0.0.2 https://设置默认路由 133.0.0.2为下一跳
如果内部网段不是直接接在防火墙内口,则需要配置到内部的路由。
asa(config)#Route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
地址转换
asa(config)#static (dmz,outside) 133.1.0.1 10.65.1.101 ;静态NAT
asa(config)#static (dmz,outside) 133.1.0.2 10.65.1.102 ;静态NAT
asa(config)#static (inside,dmz) 10.66.1.200 10.66.1.200 ;静态NAT
如果内部有服务器需要映射到公网地址(访问内网)则需要static
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240
asa(config)#static (inside, outside) 222.240.254.194 192.168.1.240 10000 10 https://后面的10000为限制连接数,10为限制的半开连接数
ACL实现策略访问
asa(config)#access-list 101 permit ip any host 133.1.0.1 eq www;设置ACL
asa(config)#access-list 101 permit ip any host 133.1.0.2 eq ftp;设置ACL
asa(config)#access-list 101 deny ip any any ;设置ACL
asa(config)#access-group 101 in interface outside ;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
浏览量:2
下载量:0
时间:
思科公司制造的路由器、交换机和其他设备承载了全世界80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道怎么配置思科cisco PIX防火墙吗?下面是读文网小编整理的一些关于怎么配置思科cisco PIX防火墙的相关资料,供你参考。
硬件防火墙,是网络间的墙,防止非法侵入,过滤信息等,从结构上讲,简单地说是一种PC式的电脑主机加上闪存(Flash)和防火墙操作系统。它的硬件跟共控机差不多,都是属于能适合24小时工作的,外观造型也是相类似。闪存基本上跟路由器一样,都是那中EEPROM,操作系统跟Cisco IOS相似,都是命令行(Command)式。
我第一次亲手那到的防火墙是Cisco Firewall Pix 525,是一种机架式标准(即能安装在标准的机柜里),有2U的高度,正面看跟Cisco 路由器一样,只有一些指示灯,从背板看,有两个以太口(RJ-45网卡),一个配置口(console),2个USB,一个15针的Failover口,还有三个PCI扩展口。
如何开始Cisco Firewall Pix呢?我想应该是跟Cisco 路由器使用差不多吧,于是用配置线从电脑的COM2连到PIX 525的console口,进入PIX操作系统采用windows系统里的“超级终端”,通讯参数设置为默然。初始使用有一个初始化过程,主要设置:Date(日期)、time(时间)、hostname(主机名称)、inside ip address(内部网卡IP地址)、domain(主域)等,如果以上设置正确,就能保存以上设置,也就建立了一个初始化设置了。
进入Pix 525采用超级用户(enable),默然密码为空,修改密码用passwd 命令。一般情况下Firewall配置,我们需要做些什么呢?当时第一次接触我也不知道该做些什么,随设备一起来的有《硬件的安装》和《命令使用手册》。我首先看了命令的使用,用于几个小时把几百面的英文书看完了,对命令的使用的知道了一点了,但是对如何配置PIX还是不大清楚该从何入手,我想现在只能去找cisco了,于是在www.cisco.com下载了一些资料,边看边实践了PIX。
防火墙是处网络系统里,因此它跟网络的结构密切相关,一般会涉及的有Route(路由器)、网络IP地址。还有必须清楚标准的TCP[RFC793]和UDP[RFC768]端口的定义。
下面我讲一下一般用到的最基本配置
1、 建立用户和修改密码
跟Cisco IOS路由器基本一样。
2、 激活以太端口
必须用enable进入,然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默然情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside, inside在初始化配置成功的情况下已经被激活生效了,但是outside必须命令配置激活。
3、 命名端口与安全级别
采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
PIX525(config)#nameif ethernet0 outside security100
security0是外部端口outside的安全级别(0安全级别最高)
security100是内部端口inside的安全级别,如果中间还有以太口,则security10,security20等等命名,多个网卡组成多个网络,一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。
4、 配置以太端口IP 地址
采用命令为:ip address
如:内部网络为:192.168.1.0 255.255.255.0
外部网络为:222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0
5、 配置远程访问[telnet]
在默然情况下,PIX的以太端口是不允许telnet的,这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码:cisco
6、 访问列表(access-list)
此功能与Cisco IOS基本上是相似的,也是Firewall的主要部分,有permit和deny两个功能,网络协议一般有IP|TCP|UDP|ICMP等等,如:只允许访问主机:222.20.16.254的www,端口为:80
PIX525(config)#access-list 100 permit ip any host 222.20.16.254 eq www
PIX525(config)#access-list 100 deny ip any any
PIX525(config)#access-group 100 in interface outside
7、 地址转换(NAT)和端口转换(PAT)
NAT跟路由器基本是一样的,
首先必须定义IP Pool,提供给内部IP地址转换的地址段,接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则:
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
则某些情况下,外部地址是很有限的,有些主机必须单独占用一个IP地址,必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令,这种称为(PAT),这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下:
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask 255.255.255.0
PIX525(config)#nat (outside) 1 0.0.0.0 0.0.0.0
8、 DHCP Server
在内部网络,为了维护的集中管理和充分利用有限IP地址,都会启用动态主机分配IP地址服务器(DHCP Server),Cisco Firewall PIX都具有这种功能,下面简单配置DHCP Server,地址段为192.168.1.100—192.168.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称:abc.com.cn
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200 inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain abc.com.cn
9、 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上,增加了端口重定向的功能,允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX 传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了,这种方式并不是直接连接,而是通过端口重定向,使得内部服务器很安全。
命令格式:
static [(internal_if_name,external_if_name)]{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
static [(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface} local_ip
[netmask mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99 telnet端口,通过PIX重定向到内部主机192.168.1.99的telnet端口(23)。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99 FTP,通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99 ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208 www(即80端口),通过PIX重定向到内部192.168.123的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201 HTTP(8080端口),通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
PIX525(config)#static (inside,outside) tcp 222.20.16.208 8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5 smtp(25端口),通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
PIX525(config)#static (inside,outside) tcp 222.20.16.208 smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0
10、显示与保存结果
采用命令show config
保存采用write memory
看过文章“怎么配置思科cisco PIX防火墙”
浏览量:2
下载量:0
时间:
cisco 模拟器中怎么退出telnet?读文网小编整理了相关资料,供您参考。
1.用exit命令或者退出就可以了。
2.CTRL+Z组合键退出
关掉telnet具体步骤:
R1(config)#line vty 0 4
R1(config-line)#no password
R1(config-line)#transport input none
R1(config-line)#do wr
几个关于telnet时常用的命令,和大家分享一下。
1. 如果别人TELNET到本地路由器上,可以在本地用show user 或 who 查看是哪些用户
例如我有一台cisco 2501的路由器,我开放了远程telnet给朋友用,这时候我想看是哪些人telnet到我的设备,可以在路由器上敲:
NIKE_02>show users/user
Line User Host(s) Idle Location
0 con 0 12.1.1.1 00:00:00
2 vty 0 12.1.1.1 00:00:00 12.1.1.1
3 vty 1 13.1.1.1 00:00:00 12.1.1.1
4 vty 2 12.1.1.1 00:00:00 13.1.1.1
5 vty 3 13.1.1.1 00:00:00 12.1.1.1
* 6 vty 4 idle 00:00:00 13.1.1.1
console为“0”,AUX为“1”,vty 从 2 开始,依次累加。
针对不同类型的line的编号,都是从“0”开始,例如第一条vty,就显示为“0”
依次累加,同样道理,如果有line tty ,则第一条tty 也是从“0” 开始
line vty 0 4 表示可以同时允许0-4这5个用户telnet到本地路由器上,如果有第6个用户telnet上来,
则显示:
R1>12.1.1.1
Trying 12.1.1.1 ...
% Connection refused by remote host
2. 如果这时候你不想让某个人用你的设备了,或者看他不爽,那你可以踢他下来
要把telnet本地的用户清下来,可用命令:
NIKE_02# clear line + 红色的数字
3. 如果telnet 到一台路由器上,不想完全退出,只是暂时挂起,用ctrl+shift+6,x,这时候回到本地
然后用show session或者where可以看到本地控制了哪些设备。
如果想完全退出,则用disconnect + 数字
例如:我telnet到 R2 ,然后按ctrl+shift+6, x 暂时挂起 ;这时候回到R1,show session可看到:
R1#show sessions
Conn Host Address Byte Idle Conn Name
* 1 12.1.1.2 12.1.1.2 0 2 12.1.1.2 (12.1.1.2是R2的IP地址)
如果想主动断开连接,则输入disconnect 1
以下两个命令是经常容易混淆在一起的:
show users/user: 查看哪些路由器telnet到本地;(同命令:who)
show sessions:查看本地telnet到哪些路由器上。(同命令:where)
以上就是小编为大家带来cisco 模拟器中怎么退出telnet教程方法介绍。希望大家喜欢哦!
浏览量:2
下载量:0
时间:
cisco思科是全球领先的大品牌,相信很多人也不陌生,那么你知道cisco防火墙asa吗?下面是读文网小编整理的一些关于cisco防火墙asa的相关资料,供你参考。
cisco防火墙asa的配置方法:
拓扑图
要求:通过思科防火墙ASA使用内网用户可以-与DMZ中的服务器,DMZ中的服务器可以发布到网络中,供外网用户访问
一.思科模拟防火墙的使用
因为我们没有真实的设备,所以我们使用一个使用linux内核的虚拟系统来模拟思科的防火墙,模拟防火墙可以自己下载,在使用时我们还要使用一个软件来连接这个模拟防火墙:nptp.ext。
首先,我们打开ASA防火墙虚拟机,再安装nptp.exe软件
打开nptp,点击”Edit”新建一个连接,参数可如下
使用连接工具进行连接
连接成功
二.IP地址配置
外网IP配置
ciscoasa> enable
Password:
ciscoasa# conf t
ciscoasa(config)# int eth0/0
ciscoasa(config-if)# ip add 192.168.101.150 255.255.255.0 //外网ip
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif outside //外网名,一定要配置
内网IP配置
ciscoasa(config-if)# int eth0/1
ciscoasa(config-if)# ip add 192.168.1.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif inside
DMZ IP配置
ciscoasa(config-if)# int eth0/2
ciscoasa(config-if)# ip add 192.168.2.1 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# nameif dmz
查看路由
ciscoasa(config-if)# show route
C 192.168.1.0 255.255.255.0 is directly connected, inside
C 192.168.2.0 255.255.255.0 is directly connected, dmz
C 192.168.101.0 255.255.255.0 is directly connected, outside
注:在ASA防火墙中一定要配置nameif名字,如果不配置的话,这个端口就不能启动,在配置名字的时候,不同的名字可以有不同的优先级,内网inside是一个系统自带的值,只可配置在内网的端口上,并且它的优先级是100,属于最高的级别,而另外的一些优先级都是0,在优先级高的区域访问优先级低的区域的时候,可以直接做snat就可以通信,而优先级低的访问优先级低的区域的时候,做dnat的同时,还要做访问控制列表。
三.内网
-ciscoasa(config-if)# exit
ciscoasa(config)# global (outside) 1 interface //指定snat使用的外网接口为nameif为outside的端口
ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 /指定内网的网段
测试
我们使用的192.168.101.0做为外网的网段,但是在测试的时候,不能使用ping命令测试,因为在默认情况下防火墙是把ping作为一种攻击手段给拒绝掉的。我现在在192.168.101.105上做了一个RDP服务器,可以进行测试
可以测试成功
四.内网访问DMZ服务器
基于前面的设置,我们只需要再做一条指令指明dmz区域即可
ciscoasa(config)# global (dmz) 1 interface
测试一下访问DMZ中的www服务器
五.DMZ中服务器发布
RDP服务器发布
ciscoasa(config)# int eth0/2
ciscoasa(config-if)# security-level 50 //修改DMZ区域的优先级大于outside区域
ciscoasa(config)# static (dmz,outside) tcp interface 3389 192.168.2.2 3389 //创建dmz与outside的dnat RDP服务
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 3389 //创建访问控制列表,允许访问outside端口
ciscoasa(config)# access-group 100 in interface outside //在outside端口上应用访问控制列表
测试
www服务器发布
ciscoasa(config)# static (dmz,outside) tcp interface www 192.168.2.2 www
ciscoasa(config)# access-list 100 permit tcp any host 192.168.101.150 eq 80
ciscoasa(config)# access-group 100 in interface outside
测试
看过文章“cisco防火墙asa”
浏览量:2
下载量:0
时间:
cisco思科公司是全球领先的网络解决方案供应商,其出产的设备配置起来也跟别的不太一样,下面是Cisco路由器交换机防火墙配置命令详解,希望对你有所帮助。
路由器显示命令
router#show run ;显示配置信息
router#show inte***ce ;显示接口信息
router#show ip route ;显示路由信息
router#show cdp nei ;显示邻居信息
router#reload;重新起动#p#副标题#e#
路由器口令设置
router>enable ;进入特权模式
router#config terminal ;进入全局配置模式
router(config)#hostname ;设置交换机的主机名
router(config)#enable secret xxx ;设置特权加密口令
router(config)#enable password xxb ;设置特权非密口令
router(config)#line console 0 ;进入控制台口
router(config-line)#line vty 0 4 ;进入虚拟终端
router(config-line)#login ;要求口令验证
router(config-line)#password xx ;设置登录口令xx
router(config)#(Ctrl+z) ; 返回特权模式
router#exit ;返回命令
路由器配置
router(config)#int s0/0 ;进入Serail接口
router(config-if)#no shutdown ;激活当前接口
router(config-if)#clock rate 64000 ;设置同步时钟
router(config-if)#ip address ;设置IP地址
router(config-if)#ip address second ;设置第二个IP
router(config-if)#int f0/0.1 ;进入子接口
router(config-subif.1)#ip address ;设置子接口IP
router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议
router(config)#config-register 0x2142 ;跳过配置文件
router(config)#config-register 0x2102 ;正常使用配置文件
router#reload ;重新引导
路由器文件操作
router#copy running-config startup-config ;保存配置
router#copy running-config tftp ;保存配置到tftp
router#copy startup-config tftp ;开机配置存到tftp
router#copy tftp flash: ;下传文件到flash
router#copy tftp startup-config;下载配置文件
ROM状态
Ctrl+Break ;进入ROM监控状态
rommon>confreg 0x2142 ;跳过配置文件
rommon>confreg 0x2102 ;恢复配置文件
rommon>reset;重新引导
rommon>copy xmodem: flash: ;从console传输文件
rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin ;指定下载的文件
rommon>tftpdnld ;从tftp下载
rommon>dir flash: ;查看闪存内容
rommon>boot ;引导IOS
Cisco路由器交换机防火墙配置命令详解的相关
浏览量:2
下载量:0
时间:
思科cisco依靠自身的技术和对网络经济模式的深刻理解,使其成为了网络应用的成功实践者之一,其制造的路由器设备也是全球顶尖的,那么你知道如何启用cisco FR538G及FVX538防火墙的路由功能吗?下面是读文网小编整理的一些关于如何启用cisco FR538G及FVX538防火墙的路由功能的相关资料,供你参考。
FR538G及FVX538作为SPI防火墙,一般工作在NAT模式下,通过WAN口连接到Internet,然而,FR538G及FVX538也支持传统的路由模式,即可以把FR538G及FVX538作为路由器连接到网络上,下面,我们将通过实例来说明如何启用FR538G及FVX538的路由功能:
一、测试环境网络拓扑图
二、测试目标
让PC1、PC2、PC3、PC4之间在路由模式下能够互相通信。
三、设置步骤:
1.FSM 7352S为三层交换机,1/0/17及1/0/31两个接口均设置为路由模式,具体配置如下:
FSM7352S接口IP配置:
interface 1/0/17
routing
ip address 10.10.10.1 255.255.255.0
exit
interface 1/0/31
routing
ip address 50.50.50.1 255.255.255.0
exit
路由条目配置:
ip routing
ip route 20.20.20.0 255.255.255.0 10.10.10.2
ip route 30.30.30.0 255.255.255.0 10.10.10.2
ip route 192.168.0.0 255.255.255.0 10.10.10.2
ip route 40.40.40.0 255.255.255.0 10.10.10.2
配置完成后可看到
(FSM7352S) #show ip interface
Netdir Multi
Interface IP Address IP Mask Bcast CastFwd
--------- --------------- --------------- -------- --------
1/0/17 10.10.10.1 255.255.255.0 Disable Disable
1/0/31 50.50.50.1 255.255.255.0 Disable Disable
(FSM7352S) #show ip route
Total Number of Routes......................... 6
Network Subnet Next Hop Next Hop
Address Mask Protocol Intf IP Address
--------------- --------------- ------------ --------- ---------------
10.10.10.0 255.255.255.0 Local 1/0/17 10.10.10.1
20.20.20.0 255.255.255.0 Static 1/0/17 10.10.10.2
30.30.30.0 255.255.255.0 Static 1/0/17 10.10.10.2
40.40.40.0 255.255.255.0 Static 1/0/17 10.10.10.2
50.50.50.0 255.255.255.0 Local 1/0/31 50.50.50.1
192.168.0.0 255.255.255.0 Static 1/0/17 10.10.10.2
2.FR538G上启用路由模式;
FR538G配置如下:
1)WAN1接口IP配置:
Do you want to enable bridge mode on WAN1 ? 本项是将FR538配置为桥接模式,与本功能无关,所以选择为Disable
Does Your Internet Connection Require a Login ? 视具体的情况设置,本例中只使用静态IP地址,所以选择 No
Internet ( IP ) Address :在此填写WAN1口的IP地址。(网关填写WAN1对端的IP地址)
Domain Name Server ( DNS ) Servers :此处视具体情况选择可用的DNS服务器地址。
配置完成后点击Apply 。
2)配置WAN2 的IP地址如下图所示:
3)WAN3 的IP地址配置如下图所示:
4)FR538G缺省工作在NAT模式下,因此我们需要将其转换至路由模式下,如下图
Use NAT or Classical Routing Between WAN & LAN interfaces?
默认情况下FR538G是选NAT模式的,现在我们要把FVX538改为路由模式,所以选Classical Routing 并应用即可。
Port Mode 默认即可,不需指定某种方式。
各WAN口的IP配置完成后,需要配置相关的静态路由,具体配置如下:
5)添加静态路由
点击管理菜单Network Configuration--Routing--Add
Route Name:输入静态路由的名字,用于识别静态路由的名字和方便管理;
Active:定义该路由是否Active或Inactive,选中即是active状态.当一个路由添加到该inactive状态,它将显示在列表中,但并不应用到路由器上,该静态路由将迟一点才启用.这主要是用于当你汪加了一个暂时未连接的网络,该路由却已启用了,因此,若你已连接上该目标网络,即把active选中即可.
Private:如果路由器启用了RIP协议,该选项决定此静态路由是否与其它路由器共享,如果选中了,该静态路由将不通过RIP协议广播出去.
Destination IP Address:该处输入目标主机或目标网络;
IP Subnet Mask:输入目标主要或目标网络的子网掩码
Interface:这里选择物理网络接口(WAN1~WAN4,DMZ或LAN),即该目标网络是通过哪个网络接口出去的.
Gateway IP Address:路由到下一个目标主机或目标网络的下一跳网关IP地址
Metric:定义该路由的优先级,可选择输入2~15之间,如果有多条路由指向同一目标地址,Metric值最低的将被优先选择.
添加完后,查看已经配置路由条目。
6)缺省情况下,FR538G不对PING进行应答,为了方便检查网络状况,我们需要将此项目开启:
如上图所示:启用Disable SPI Firewall选项,若该选项不启用,将无法使用tracert命令,同时启用Ping Respone选项,使FR538G的WAN 端口允许ping 。
至此,FR538G配置完成。
3.FVX538上启用路由模式:
配置FVX538的过程与FR538G相似
1) WAN1口IP地址设置
Does Your Internet Connection Require a Login ? 视具体的情况设置,本例中只使用静态IP地址,所以选择 No
Internet ( IP ) Address :在此填写WAN1口的IP地址。(网关填写WAN1对端的IP地址)
Domain Name Server ( DNS ) Servers :此处视具体情况选择可用的DNS服务器地址。
配置完成后点击Apply 。
2) 配置FVX538 LAN IP 地址配置
3) FVX538设定为路由模式
点击Network Configuration>WAN Settings>WAN mode管理菜单:
3) FVX538设定为路由模式
Use NAT or Classical Routing Between WAN & LAN interfaces?
默认情况下FVX538是选NAT模式的,现在我们要把FVX538改为路由模式,所以选Classical Routing 并应用即可。
4)添加相关的静态路由,如下图所示:
5)开启对PING的应答
如上图所示,选中Respond to Ping on Internet Ports选项即可。
至此所有配置完成。
三、检测配置结果
在PC1、PC2、PC3、PC4之间互相均能连接成功(可用ping与tracert测试)。
注,测试时注意PC上是否开始了防火墙。
浏览量:2
下载量:0
时间: