路由命令及pixWord文件下载.docx
《路由命令及pixWord文件下载.docx》由会员分享,可在线阅读,更多相关《路由命令及pixWord文件下载.docx(14页珍藏版)》请在冰点文库上搜索。
路由器配置:
router(config)#ints0/0;
进入Serail接口
router(config-if)#noshutdown;
激活当前接口
router(config-if)#clockrate64000;
设置同步时钟
router(config-if)#ipaddress<
ip>
<
netmask>
设置IP地址
second;
设置第二个IP
router(config-if)#intf0/0.1;
进入子接口
router(config-subif.1)#ipaddress<
设置子接口IP
router(config-subif.1)#encapsulationdot1q<
n>
绑定vlan中继协议
router(config)#config-register0x2142;
跳过配置文件
router(config)#config-register0x2102;
正常使用配置文件
router#reload;
重新引导
路由器文件操作:
router#copyrunning-configstartup-config;
保存配置
router#copyrunning-configtftp;
保存配置到tftp
router#copystartup-configtftp;
开机配置存到tftp
router#copytftpflash:
下传文件到flash
router#copytftpstartup-config;
下载配置文件
ROM状态:
Ctrl+Break;
进入ROM监控状态
rommon>
confreg0x2142;
confreg0x2102;
恢复配置文件
reset;
copyxmodem:
<
sname>
flash:
dname>
从console传输文件
IP_ADDRESS=10.65.1.2;
设置路由器IP
IP_SUBNET_MASK=255.255.0.0;
设置路由器掩码
TFTP_SERVER=10.65.1.1;
指定TFTP服务器IP
TFTP_FILE=c2600.bin;
指定下载的文件
tftpdnld;
从tftp下载
dirflash:
查看闪存内容
boot;
引导IOS
静态路由:
iproute<
ip-address>
subnet-mask>
gateway>
命令格式
router(config)#iproute2.0.0.0255.0.0.01.1.1.2;
静态路由举例
router(config)#iproute0.0.0.00.0.0.01.1.1.2;
默认路由举例
动态路由:
router(config)#iprouting;
启动路由转发
router(config)#routerrip;
启动RIP路由协议。
router(config-router)#network<
netid>
设置发布路由
router(config-router)#negihbor<
点对点帧中继用。
帧中继命令:
router(config)#frame-relayswitching;
使能帧中继交换
router(config-s0)#encapsulationframe-relay;
使能帧中继
router(config-s0)#fram-relaylmi-typecisco;
设置管理类型
router(config-s0)#frame-relayintf-typeDCE;
设置为DCE
router(config-s0)#frame-relaydlci16;
router(config-s0)#frame-relaylocal-dlci20;
设置虚电路号
router(config-s0)#frame-relayinterface-dlci16;
router(config)#log-adjacency-changes;
记录邻接变化
router(config)#ints0/0.1point-to-point;
设置子接口点对点
router#showframepvc;
显示永久虚电路
router#showframemap;
显示映射
基本访问控制列表:
router(config)#access-list<
number>
permit|deny<
source_ip>
wild|any>
router(config)#interface<
interface>
default:
denyany
router(config-if)#ipaccess-group<
in|out;
out
例1:
router(config)#access-list1denyhost10.65.1.1
router(config)#access-list1permitany
router(config)#intf0/0
router(config-if)#ipaccess-group4in
例2:
router(config)#access-list4permit10.8.1.1
router(config)#access-list4deny10.8.1.00.0.0.255
router(config)#access-list4permit10.8.0.00.0.255.255
router(config)#access-list4deny10.0.0.00.255.255.255
router(config)#access-list4permitany
router(config)#intf0/1
扩展访问控制列表:
access-list<
permit|denyicmp<
S_IPwild>
D_IPwild>
[type]
permit|denytcp<
[port]
router(config)#access-list101denyicmpany10.64.0.20.0.0.0echo
router(config)#access-list101permitipanyany
router(config)#ints0/0
router(config-if)#ipaccess-group101in
router(config)#access-list102denytcpany10.65.0.20.0.0.0eq80
router(config)#access-list102permitipanyany
router(config)#interfaces0/1
router(config-if)#ipaccess-group102out
删除访问控制例表:
router(config)#noaccess-list102
router(config-if)#noipaccess-group101in
路由器的nat配置
Router(config-if)#ipnatinside;
当前接口指定为内部接口
Router(config-if)#ipnatoutside;
当前接口指定为外部接口
Router(config)#ipnatinsidesourcestatic[p]<
私有IP>
公网IP>
[port]
Router(config)#ipnatinsidesourcestatic10.65.1.260.1.1.1
Router(config)#ipnatinsidesourcestatictcp10.65.1.38060.1.1.180
Router(config)#ipnatpoolp160.1.1.160.1.1.20255.255.255.0
Router(config)#ipnatinsidesourcelist1poolp1
Router(config)#ipnatinsidedestinationlist2poolp2
Router(config)#ipnatinsidesourcelist2interfaces0/0overload
Router(config)#ipnatpoolp210.65.1.210.65.1.4255.255.255.0typerotary
Router#showipnattranslation
rotary参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置
routerA(config)#routerbgp100
routerA(config-router)#network19.0.0.0
routerA(config-router)#neighbor8.1.1.2remote-as200
配置PPP验证:
RouterA(config)#username<
RouterB>
password<
word>
RouterA(config)#ints0
RouterA(config-if)#pppauthentication{chap|pap}
4.PIX防火墙命令
Pix525(config)#nameifethernet0outsidesecurity0;
命名接口和级别
Pix525(config)#interfaceethernet0auto;
设置接口方式
Pix525(config)#interfaceethernet1100full;
Pix525(config)#interfaceethernet1100fullshutdown
Pix525(config)#ipaddressinside192.168.0.1255.255.255.0
Pix525(config)#ipaddressoutside133.0.0.1255.255.255.252
Pix525(config)#global(if_name)natidip-ip;
定义公网IP区间
Pix525(config)#global(outside)17.0.0.1-7.0.0.15;
例句
Pix525(config)#global(outside)1133.0.0.1;
Pix525(config)#noglobal(outside)1133.0.0.1;
去掉设置
Pix525(config)#nat(if_name)nat_idlocal_ip[netmark]
Pix525(config)#nat(inside)100
内网所有主机(0代表0.0.0.0)可以访问global1指定的外网。
Pix525(config)#nat(inside)1172.16.5.0255.255.0.0
内网172.16.5.0/16网段的主机可以访问global1指定的外网。
Pix525(config)#routeif_name00gateway_ip[metric];
Pix525(config)#routeoutside00133.0.0.11;
Pix525(config)#routeinside10.1.0.0255.255.0.010.8.0.11;
Pix525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
Pix525(config)#static(dmz,outside)133.0.0.1172.16.0.8
中间区域ip地址172.16.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX防火墙应用举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
参考配置:
PIX525#conft;
进入配置模式
PIX525(config)#nameifethernet0outsidesecurity0;
设置优先级0
PIX525(config)#nameifethernet1insidesecurity100;
设优先级100
PIX525(config)#nameifethernet2dmzsecurity50;
设置优先级50
PIX525(config)#interfaceethernet0auto;
设置自动方式
PIX525(config)#interfaceethernet1100full;
设置全双工
PIX525(config)#interfaceethernet2100full;
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;
设置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;
定义地址池
PIX525(config)#nat(inside)100;
动态NAT
PIX525(config)#routeoutside00133.0.0.2;
设置默认路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;
静态NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;
PIX525(config)#static(inside,dmz)10.66.0.010.66.0.0netmask255.255.0.0
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;
设置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;
PIX525(config)#access-list101denyipanyany;
PIX525(config)#access-group101ininterfaceoutside;
将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
PIX防火墙特点与应用
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。
PIX25是典型的设备。
PIX防火墙常见接口有:
console、Failover、Ethernet、USB。
网络区域:
内部网络:
inside
外部网络:
outside
中间区域:
称DMZ(停火区)。
放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。
通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式:
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>
:
用户模式
PIXfirewall#:
特权模式
PIXfirewall(config)#:
配置模式
monitor>
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:
nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:
auto、100full、shutdown。
auto:
设置网卡工作在自适应状态。
100full:
设置网卡工作在100Mbit/s,全双工状态。
shutdown:
设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置网络接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:
定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):
表示外网接口名称,一般为outside。
nat_id:
建立的地址池标识(nat要引用)。
ip_address-ip_address:
表示一段ip地址范围。
[netmarkglobal_mask]:
表示全局ip地址的网络掩码。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1对应的IP是:
133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一个IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark]
表示接口名称,一般为inside.
表示地址池,由global命令定义。
local_ip:
表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:
表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
PIX525(config)#nat(inside)100
表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(co