分类: 系统运维
2008-05-21 20:18:20
现有设备:CISCO路由器2620XM(4台)和2621XM(5台),3750三层交换机,PIX-515E防火墙,CISCO2950二层交换机(9台)
重点命令:有安全,控制,监控,监测和检测功能的命令集合和命令组合
一、两层交换机
1、基本配置
(1)设置VLAN1的IP地址,掩码:
配置:
sw
itch#config terminal
(config)#interface vlan1 !进入到要配置IP的接口
(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) !设置参数
验证:
(config-if)#exit
switch#show interface vlan1
保存设置:
switch#copy running-config startup-config
(2)划分VLAN
配置:
switch#vlan database(还有一种方法) !创建一个VLAN
switch#vlan 2
switch#exit
switch#config terminal
one port:
(config)#interface fastethernet0/0 !进入到要被划分的端口
(config-if)#switchport access vlan 2 !划分到一个VLAN
multiports:
(config)#interface range fastethernet0/0 -7 !进入到要被集体划分的端口
(config-if)#switchport access vlan 2 !划分到一个VLAN
验证:
switch#show vlan
保存:
switch#copy running-config startup-config
(3)设置trunk
配置:
switch#config terminal
(config)#interface gigabitethernet0/1 !进入要配置成干道的接口
(config-if)#switchport mode trunk !设置成干道
验证:
switch#show interface trunk
保存:
switch#copy running-config startup-config
(4)连接路由器
如果交换机上有多个VLAN,则所连的路由器接口就必须有多个IP地址。要用子接口设置多IP地址。连接到路由器上的接口要被设置成trunk,并且要封装干道协议:ISL,或者802.1Q。
配置交换机:
switch#config terminal
(config)#interface gigabitethernet0/1
(config-if)#switchport mode trunk !配置成干道,将自动封装802.1q协议
配置路由器:
router#config terminal
(config)#interface fastethernet0/0.2 !进入子接口2
(config-subif)#encapsulation dot1q 2 !子接口对应VLAN2,并封装dot1q协议
(config-subif)#ip address 10.1.20.1 255.255.255.0 !配置了10.1.20.0/24网段的网关
确认:
router#show interface fastethernet0/0
不同VLAN下的主机可以相互ping通,则配置成功。
保存配置
(5)连接交换机
同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后,将会自动将两端设置成干道。
2、VTP(VLAN Trunk Protocol)
(1) 作用:
允许用户集中管理网络中交换机的配。VTP是一种消息协议,可以对整个网络内的VLAN的添加、删除和重命名操作进行管理,以此维护VLAN配置的一致性。
(2) 工作方式
确定一条交换机为VTP服务器。
可以在服务器上更改VLAN的配置,并把该配置传播到网络中的所有VTP客户机。
当交换机配置成VTP客户机之后,就不能物理地改变该交换机的VLAN配置。
唯一可以更改VLAN配置的方法是当且仅当VTP客户端交换机接收到来自其VTP服务器的VTP更新信息时,才能更改。
多台VTP服务器管理不同的VTP客户机,必须指定一个VTP域。服务器和客户机在各自的域内。
二、路由器
1、基本配置
(1)以太网口配置
注:路由器以太网口直接接主机用交叉线。
(2)串口配置
(3)配置静态路由
(4)配置动态路由协议
(5)配置访问控制列表(ACL)**
(6)路由器互联
2、问题
(1)无法配置静态路由,出现“Default gateway is not set ….. ICMP redirect cache is empty”
原因:IP路由被禁用
解决:(config)#ip routing
(2)与其他设备的接口状态上,”protocol down”
可能的原因:双绞线的接线类型不对
解决:换成直通线或者交叉线。
三、三层交换机
1、基本配置
(1)配置IP
手工配置:
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
确认配置:
#show interface vlan vlan-id
#show ip redirects !确认默认网关配置
保存:#copy running-config startup-config
使用DHCP配置
(2)使不同VLAN互联
(3)配置某个端口为trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk
(4)默认路由及路由协议的设定
问题
(1)多个子网连接到三层交换机,交换机上设定了每个子网对应的网关地址,交换机通过router连接到其他的网络或者区域。三层switch和router上相同网段的地址无法相互ping 通。如:3750上有192.168.8.254(VLAN1),192.168.16.254(VLAN2),192.168.24.254(VLAN3);router上有192.168.8.1,192.168.16.1,192.168.24.1。
现象:192.168.8.254 可以ping通192.168.8.1,但是.16.和.24.网段的无法ping通。
原因:router接到switch上的接口没有设置成trunk。
四、防火墙
CISCO PIX系列属于状态检测防火墙。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.
1、特点
(1)自适应安全算法(ASA)
创建状态会话流表(state table)。各种连接信息都被记录进表中。
ASA是一个有状态、面向连接的过程,它在状态表中维持会话信息,应用对状态表的安全策略来控制通过防火墙的所有流量。
连接状态包括:源/目的IP,源/目的端口,TCP顺序信息,附加的TCP/UDP标记。应用一个随机产生的TCP顺序号。总称为“会话对象”。
内部不主动发出数据,要求响应,外部的数据就无法进入内部了吗。
PIX中ASA和状态过滤的工作机制:
a、 内部主机开始一个对外部资源的连接
b、 PIX在状态表中写入一个会话(连接)对象
c、 会话对象同安全策略相比较。如果连接不被允许,此会话对象被删除,并且连接被取消
h、 如果安全策略认可这个连接,此连接继续向外部资源发送
j、 外部资源响应这个请求
k、 响应信息到达防火墙,与会话对象比较。匹配则响应信息被发送到内部主机,不匹配则连接就会被取消。
(2)贯穿式代理
认证和授权一个防火墙上输入/输出的连接。
它在应用层完成用户认证,依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理,而是进行状态检测。
(3)冗余
2、基本配置
配置完基本参数后,发现从PIX上可以ping通内网和外网的地址。但是内外网的主机无法相互ping通。内网主机无法ping通PIX外口。但是,内网主机可以访问外网的服务器。(可能原因:PIX默认关闭ICMP响应??)
基本配置命令:interface , nameif , ip address , nat , global , route
(1)激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto !外口必须用命令激活
(2)命名端口和安全级别
(config)#nameif ethernet1 inside security0
(config)#nameif ethernet0 outside security100
(3)配置内外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0
(4)配置NAT和PAT
(config)#nat (inside) 1 0 0 !所有的内口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
测试配置:
ping
debug
(5)DMZ的访问
(6)转换表的操作
show xlate 显示转换表的信息
clear xlate 每次重建转换表要运行,以清除原有的转换槽,否则原信息将在超时(3小时)后才被丢弃
show conn 查找连接故障,为选择的特定选项显示所有活动的TCP连接的数量和状态
可以更改转换表的操作:
nat ,global ,static ,route,alias,conduit
(7)配置网络时间协议(NTP)
NTP server与PIX的关系
(8)访问配置
经由PIX的入站访问
step1:静态网络地址转换
静态网络地址转换,不节省已经分配的IP地址
static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]
设定一个内部地址到一个外部地址的映射
(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255
或者一个内部网络到一个外部网络的映射
(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0
静态端口地址转换,不支持H.323或者多媒体应用流量
static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]
step2:访问列表/管道
访问列表的工作基于首次匹配,所以对于入站访问而言,必须先拒绝后许可
access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
access-list设定了规则,但是要用access-group将规则设定到一个界面上,一个界面只能设一个规则。
access-group ID in interface interface_name
source_address:是lower security level interface/network
destination address:higher security level interface/network
source and destination address 都是全局地址,这样才有可比性,并且 ACL一般设在lower security level interface
如果ACL设置在higher security level interface,则会控制高级到低级的数据流
access-list中的source_address是指的在access-group中设定ACL规则作用的接口
例子:限制内部用户对位于端口80的一个外部网络服务器的访问
(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www
(config)#access-list acl_in permit ip any any
(config)#access-group acl_in in interface inside
ASA applies to the dynamic translation slots and static translation slots.
Create static translation slots with the static command
Create dynamic translation slots with the global command
对象分组
[no] object-group object-type grp-id
network对象类型:
(config)#object-group network web-servers !设定分组名称
(config-network)#description Public web servers !分组描述
(config-network)#network-object host 192.168.1.12 !添加分组对象
(config-network)#network-object host 192.168.1.14 !添加分组对象
(config-network)#network-object host mis.web.server4 !添加分组对象
(config-network)#exit
(config)#access-list 102 permit tcp any object-group web_servers eq www
(config)#access-group 102 in interface outside
显示配置的对象分组:
show access-group
protocol 对象类型:
进入对象配置接口:object-group protocol grp-id
(config-protocol)#protocol-object tcp !添加分组成员
service对象类型:
进入对象配置接口:object-group service obj_grp_id tcp | udp | tcp-udp
(config)#object-group service mis_service tcp
(config-service)#port-object eq ftp !eq service将一个单独的端口号加入
(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入
icmp-type对象类型:
进入对象配置接口:object-group icmp-type icmp_test
(config-icmp-type)#icmp-object 0
(config-icmp-type)#icmp-object 3
(config-icmp-type)#icmp-object 8
fixup命令
实例与测试
总结
1.Higher security level -> lower security level时,只要配置NAT,global或者static就可以使内部主机主动访问外部server。
2.Lower security level->higher security level时,要配置:access-list + access-group才能使外部主机主动访问内部server。在多个端口上配置access-list,会影响前面的配置。
3.要注意主机上的网关参数的设定。网关上应该设定默认路由,默认路由应该是接出局域网的上层设备的接口地址。
五、IP电话
1、常用术语和缩写
PBX:private branch (telephone) exchange,专用分组交换机
IVR:interactive Voice Responder,交互式语音应答器
ACD:自动呼叫分配器
CTI:计算机电话集成
六、VPN
七、网络性能
1、应用响应时间
(1)应用响应网络变化的速度
(2)网络响应网络拥塞并改变自身链接速度的时间
2、设备性能
(1)单个网络设备的极限
设备性能测量:
错误、丢弃:
CPU使用率:
吞吐量(每秒包):
3、协议性能
设备动态操作能力(验证路由选择和生成树协议STP动态的处理问题):
4、可扩展性
拓扑:
寻址:允许路由汇总
路由选择协议:
5、可用性
设备冗余:
链路冗余:
协议弹性:
网络容量设计:发生冗余链路失效时的扩展
八、网络安全
1、周边安全
控制访问网络入口点和出口点
2、安全连接
VPNs(虚拟专用网)
3、应用安全
服务器安全:
应用程序安全:
4、身份验证
安全认证和授权
5、安全管理和监控
安全资源集中管理:
未授权活动的侦测:
九、网络结构
1、三层式模式
(1)核心层(Core layer):只有一个目标――交换包。核心层不做任何通信控制(如访问控制于过滤),此层上的每个设备都应该能够知道到达目标网络的路径。
核心层路由器:主要功能是对所有接入的路径提供最优化服务(好用与可靠的网络)。路径通往不同的工作站和逻辑群组。其首先考虑的是可靠性,要设计成具有容错能力。适用的CISCO路由器为7000和12000系列。
(2)分布层(Distribution layer):主要任务是提供连接到互联网中不同的部分,以及提供到不同服务处的访问功能。如校园网络的骨干。分布层是实施管理基于策略的连接(Policy-based Connectivity)的层次。
分布层路由器:控制使用位于核心层的网络资源,必须有效利用带宽,确保服务质量。主要考虑能够选择到不同位置的最优路径。适用的CISCO路由器为3000和4000系列。
(3)访问层(Access layer):为工作组提供组织内的各种资源,并且可以管理网络流量与过滤用户,以符合特定用户群的需求。
访问层路由器:将广播和请求服务的流量区域化,局限流量在访问层的媒体上,控制通信流量。主要考虑经济性和有效性,过滤不必要的流量,保证服务端与客户端的通信简单流畅。适用的CISCO路由器为1700和2600系列。
2、可扩展型网络的主要特点
(1)可靠
核心层路由器通过选择新的路径和对网络拓扑结构改变的迅速反应,来适应部分网段失效的情况。Cisco IOS所支持的加强可靠度和随时可用性的协议包括:具有可扩充性的路由协议、路由通道和拨号备份路径。
具有可扩充性的路由协议:OSPF(Open Shortest Path First),NLSP(NetWare Link Services Protocol),EIGRP(Enhanced Interior Gateway Routing Protocol)。这些协议具有:可通达各网络,快速的收敛时间和阻塞控制。
(2)替代路径
增加物理上的冗余线路不是一个最有效的解决方法。成本高又无法控制链路中断的问题。路由器使用可扩充性的路由协议来维护一张整个网络的拓扑图。当发现问题时,路由器重新选择新的路径来转送包。