路由命令及pix.docx
- 文档编号:11582695
- 上传时间:2023-03-19
- 格式:DOCX
- 页数:14
- 大小:39.36KB
路由命令及pix.docx
《路由命令及pix.docx》由会员分享,可在线阅读,更多相关《路由命令及pix.docx(14页珍藏版)》请在冰豆网上搜索。
路由命令及pix
3.路由器支持的命令:
路由器显示命令:
router#showrun;显示配置信息
router#showinterface;显示接口信息
router#showiproute;显示路由信息
router#showcdpnei;显示邻居信息
router#reload ;重新起动
路由器口令设置:
router>enable;进入特权模式
router#configterminal;进入全局配置模式
router(config)#hostname
router(config)#enablesecretxxx;设置特权加密口令
router(config)#enablepasswordxxb;设置特权非密口令
router(config)#lineconsole0;进入控制台口
router(config-line)#linevty04;进入虚拟终端
router(config-line)#login;要求口令验证
router(config-line)#passwordxx;设置登录口令xx
router(config)#(Ctrl+z);返回特权模式
router#exit;返回命令
路由器配置:
router(config)#ints0/0;进入Serail接口
router(config-if)#noshutdown;激活当前接口
router(config-if)#clockrate64000;设置同步时钟
router(config-if)#ipaddress
router(config-if)#ipaddress
router(config-if)#intf0/0.1;进入子接口
router(config-subif.1)#ipaddress
router(config-subif.1)#encapsulationdot1q
router(config)#config-register0x2142;跳过配置文件
router(config)#config-register0x2102;正常使用配置文件
router#reload;重新引导
路由器文件操作:
router#copyrunning-configstartup-config;保存配置
router#copyrunning-configtftp;保存配置到tftp
router#copystartup-configtftp;开机配置存到tftp
router#copytftpflash:
;下传文件到flash
router#copytftpstartup-config;下载配置文件
ROM状态:
Ctrl+Break;进入ROM监控状态
rommon>confreg0x2142;跳过配置文件
rommon>confreg0x2102;恢复配置文件
rommon>reset;重新引导
rommon>copyxmodem:
rommon>IP_ADDRESS=10.65.1.2;设置路由器IP
rommon>IP_SUBNET_MASK=255.255.0.0;设置路由器掩码
rommon>TFTP_SERVER=10.65.1.1;指定TFTP服务器IP
rommon>TFTP_FILE=c2600.bin;指定下载的文件
rommon>tftpdnld;从tftp下载
rommon>dirflash:
;查看闪存内容
rommon>boot;引导IOS
静态路由:
iproute
router(config)#iproute2.0.0.0255.0.0.01.1.1.2;静态路由举例
router(config)#iproute0.0.0.00.0.0.01.1.1.2;默认路由举例
动态路由:
router(config)#iprouting;启动路由转发
router(config)#routerrip;启动RIP路由协议。
router(config-router)#network
router(config-router)#negihbor
帧中继命令:
router(config)#frame-relayswitching;使能帧中继交换
router(config-s0)#encapsulationframe-relay;使能帧中继
router(config-s0)#fram-relaylmi-typecisco;设置管理类型
router(config-s0)#frame-relayintf-typeDCE;设置为DCE
router(config-s0)#frame-relaydlci16;
router(config-s0)#frame-relaylocal-dlci20;设置虚电路号
router(config-s0)#frame-relayinterface-dlci16;
router(config)#log-adjacency-changes;记录邻接变化
router(config)#ints0/0.1point-to-point;设置子接口点对点
router#showframepvc;显示永久虚电路
router#showframemap;显示映射
基本访问控制列表:
router(config)#access-list
router(config)#interface
denyany
router(config-if)#ipaccess-group
out
例1:
router(config)#access-list1denyhost10.65.1.1
router(config)#access-list1permitany
router(config)#intf0/0
router(config-if)#ipaccess-group4in
例2:
router(config)#access-list4permit10.8.1.1
router(config)#access-list4deny10.8.1.00.0.0.255
router(config)#access-list4permit10.8.0.00.0.255.255
router(config)#access-list4deny10.0.0.00.255.255.255
router(config)#access-list4permitany
router(config)#intf0/1
router(config-if)#ipaccess-group4in
扩展访问控制列表:
access-list
access-list
例1:
router(config)#access-list101denyicmpany10.64.0.20.0.0.0echo
router(config)#access-list101permitipanyany
router(config)#ints0/0
router(config-if)#ipaccess-group101in
例2:
router(config)#access-list102denytcpany10.65.0.20.0.0.0eq80
router(config)#access-list102permitipanyany
router(config)#interfaces0/1
router(config-if)#ipaccess-group102out
删除访问控制例表:
router(config)#noaccess-list102
router(config-if)#noipaccess-group101in
路由器的nat配置
Router(config-if)#ipnatinside;当前接口指定为内部接口
Router(config-if)#ipnatoutside;当前接口指定为外部接口
Router(config)#ipnatinsidesourcestatic[p]<私有IP><公网IP>[port]
Router(config)#ipnatinsidesourcestatic10.65.1.260.1.1.1
Router(config)#ipnatinsidesourcestatictcp10.65.1.38060.1.1.180
Router(config)#ipnatpoolp160.1.1.160.1.1.20255.255.255.0
Router(config)#ipnatinsidesourcelist1poolp1
Router(config)#ipnatinsidedestinationlist2poolp2
Router(config)#ipnatinsidesourcelist2interfaces0/0overload
Router(config)#ipnatpoolp210.65.1.210.65.1.4255.255.255.0typerotary
Router#showipnattranslation
rotary参数是轮流的意思,地址池中的IP轮流与NAT分配的地址匹配。
overload参数用于PAT将内部IP映射到一个公网IP不同的端口上。
外部网关协议配置
routerA(config)#routerbgp100
routerA(config-router)#network19.0.0.0
routerA(config-router)#neighbor8.1.1.2remote-as200
配置PPP验证:
RouterA(config)#username
RouterA(config)#ints0
RouterA(config-if)#pppauthentication{chap|pap}
4.PIX防火墙命令
Pix525(config)#nameifethernet0outsidesecurity0;命名接口和级别
Pix525(config)#interfaceethernet0auto;设置接口方式
Pix525(config)#interfaceethernet1100full;设置接口方式
Pix525(config)#interfaceethernet1100fullshutdown
Pix525(config)#ipaddressinside192.168.0.1255.255.255.0
Pix525(config)#ipaddressoutside133.0.0.1255.255.255.252
Pix525(config)#global(if_name)natidip-ip;定义公网IP区间
Pix525(config)#global(outside)17.0.0.1-7.0.0.15;例句
Pix525(config)#global(outside)1133.0.0.1;例句
Pix525(config)#noglobal(outside)1133.0.0.1;去掉设置
Pix525(config)#nat(if_name)nat_idlocal_ip[netmark]
Pix525(config)#nat(inside)100
内网所有主机(0代表0.0.0.0)可以访问global1指定的外网。
Pix525(config)#nat(inside)1172.16.5.0255.255.0.0
内网172.16.5.0/16网段的主机可以访问global1指定的外网。
Pix525(config)#routeif_name00gateway_ip[metric];命令格式
Pix525(config)#routeoutside00133.0.0.11;例句
Pix525(config)#routeinside10.1.0.0255.255.0.010.8.0.11;例句
Pix525(config)#static(inside,outside)133.0.0.1192.168.0.8
表示内部ip地址192.168.0.8,访问外部时被翻译成133.0.0.1全局地址。
Pix525(config)#static(dmz,outside)133.0.0.1172.16.0.8
中间区域ip地址172.16.0.8,访问外部时被翻译成133.0.0.1全局地址。
PIX防火墙应用举例
设:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1被命名为内部接口inside,安全级别100。
ethernet2被命名为中间接口dmz,安全级别50。
参考配置:
PIX525#conft;进入配置模式
PIX525(config)#nameifethernet0outsidesecurity0;设置优先级0
PIX525(config)#nameifethernet1insidesecurity100;设优先级100
PIX525(config)#nameifethernet2dmzsecurity50;设置优先级50
PIX525(config)#interfaceethernet0auto;设置自动方式
PIX525(config)#interfaceethernet1100full;设置全双工
PIX525(config)#interfaceethernet2100full;设置全双工
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252;设置接口IP
PIX525(config)#ipaddressinside10.66.1.200255.255.0.0;设置接口IP
PIX525(config)#ipaddressdmz10.65.1.200255.255.0.0;设置接口IP
PIX525(config)#global(outside)1133.1.0.1-133.1.0.14;定义地址池
PIX525(config)#nat(inside)100;动态NAT
PIX525(config)#routeoutside00133.0.0.2;设置默认路由
PIX525(config)#static(dmz,outside)133.1.0.110.65.1.101;静态NAT
PIX525(config)#static(dmz,outside)133.1.0.210.65.1.102;静态NAT
PIX525(config)#static(inside,dmz)10.66.0.010.66.0.0netmask255.255.0.0
PIX525(config)#access-list101permitipanyhost133.1.0.1eqwww;设置ACL
PIX525(config)#access-list101permitipanyhost133.1.0.2eqftp;设置ACL
PIX525(config)#access-list101denyipanyany;设置ACL
PIX525(config)#access-group101ininterfaceoutside;将ACL应用在outside端口
当内部主机访问外部主机时,通过nat转换成公网IP,访问internet。
当内部主机访问中间区域dmz时,将自己映射成自己访问服务器,否则内部主机将会
映射成地址池的IP,到外部去找。
当外部主机访问中间区域dmz时,对133.0.0.1映射成10.65.1.101,static是双向的。
PIX的所有端口默认是关闭的,进入PIX要经过acl入口过滤。
静态路由指示内部的主机和dmz的数据包从outside口出去。
PIX防火墙特点与应用
一、PIX防火墙的认识
PIX是Cisco的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。
PIX有很多型号,并发连接数是PIX防火墙的重要参数。
PIX25是典型的设备。
PIX防火墙常见接口有:
console、Failover、Ethernet、USB。
网络区域:
内部网络:
inside
外部网络:
outside
中间区域:
称DMZ(停火区)。
放置对外开放的服务器。
二、防火墙的配置规则
没有连接的状态(没有握手或握手不成功或非法的数据包),任何数据包无法穿过防火墙。
(内部发起的连接可以回包。
通过ACL开放的服务器允许外部发起连接)
inside可以访问任何outside和dmz区域。
dmz可以访问outside区域。
inside访问dmz需要配合static(静态地址转换)。
outside访问dmz需要配合acl(访问控制列表)。
三、PIX防火墙的配置模式:
PIX防火墙的配置模式与路由器类似,有4种管理模式:
PIXfirewall>:
用户模式
PIXfirewall#:
特权模式
PIXfirewall(config)#:
配置模式
monitor>:
ROM监视模式,开机按住[Esc]键或发送一个“Break”字符,进入监视模式。
四、PIX基本配置命令
常用命令有:
nameif、interface、ipaddress、nat、global、route、static等。
1、nameif
设置接口名称,并指定安全级别,安全级别取值范围为1~100,数字越大安全级别越高。
例如要求设置:
ethernet0命名为外部接口outside,安全级别是0。
ethernet1命名为内部接口inside,安全级别是100。
ethernet2命名为中间接口dmz,安装级别为50。
使用命令:
PIX525(config)#nameifethernet0outsidesecurity0
PIX525(config)#nameifethernet1insidesecurity100
PIX525(config)#nameifethernet2dmzsecurity50
2、interface
配置以太口工作状态,常见状态有:
auto、100full、shutdown。
auto:
设置网卡工作在自适应状态。
100full:
设置网卡工作在100Mbit/s,全双工状态。
shutdown:
设置网卡接口关闭,否则为激活。
命令:
PIX525(config)#interfaceethernet0auto
PIX525(config)#interfaceethernet1100full
PIX525(config)#interfaceethernet1100fullshutdown
3、ipaddress
配置网络接口的IP地址,例如:
PIX525(config)#ipaddressoutside133.0.0.1255.255.255.252
PIX525(config)#ipaddressinside192.168.0.1255.255.255.0
内网inside接口使用私有地址192.168.0.1,外网outside接口使用公网地址133.0.0.1。
4、global
指定公网地址范围:
定义地址池。
Global命令的配置语法:
global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]
其中:
(if_name):
表示外网接口名称,一般为outside。
nat_id:
建立的地址池标识(nat要引用)。
ip_address-ip_address:
表示一段ip地址范围。
[netmarkglobal_mask]:
表示全局ip地址的网络掩码。
例如:
PIX525(config)#global(outside)1133.0.0.1-133.0.0.15
地址池1对应的IP是:
133.0.0.1-133.0.0.15
PIX525(config)#global(outside)1133.0.0.1
地址池1只有一个IP地址133.0.0.1。
PIX525(config)#noglobal(outside)1133.0.0.1
表示删除这个全局表项。
5、nat
地址转换命令,将内网的私有ip转换为外网公网ip。
nat命令配置语法:
nat(if_name)nat_idlocal_ip[netmark]
其中:
(if_name):
表示接口名称,一般为inside.
nat_id:
表示地址池,由global命令定义。
local_ip:
表示内网的ip地址。
对于0.0.0.0表示内网所有主机。
[netmark]:
表示内网ip地址的子网掩码。
在实际配置中nat命令总是与global命令配合使用。
一个指定外部网络,一个指定内部网络,通过net_id联系在一起。
例如:
PIX525(config)#nat(inside)100
表示内网的所有主机(00)都可以访问由global指定的外网。
PIX525(co
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 路由 命令 pix
![提示](https://static.bdocx.com/images/bang_tan.gif)