锐捷RG-RSR20-04E上网配置
该章节主要介绍,针对固化交换模块路由器的基本上网配置,这些路由器型号包含
RSR10-02E、RSR20-04E、RSR20-14E/F等这些设备的共同特点为设备都为路由接口,由于设
备本身携带交换口,如有多台PC需要上网,则可直接将PC连接到交换口上,进行上网通
过该章节,可以实现通过NAT上网以及内网服务器映射功能。
功能介绍:
PAT:端口地址转换,又叫网络地址端口转换(NAPT),通过外网接口的IP地址+端口号来对应和区别各个数据流进行网络地址转换,以达到多内部主机通过外网接口的IP地址来访问外部网络的目的。通常用在只有一个公网地址时的场景。
地址池转换:公网地址池的IP地址+端口号来对应和区别各个数据流进行网络地址转换,
以达到多内部主机通过少量公网IP地址来访问外部网络的目的。通常用在有多个1个出口有多个公网ip地址的情况
静态NAT:把内部主机的ip地址一对一的映射成公网ip地址,或者内部主机的ip地址+端口一对一的映射成公网ip地址+端口。通常用在需要将内部主机映射成公网地址,或者内部服务器的某个端口映射成公网地址的某个端口,达到通过访问公网地址或者公网
地址+端口号来访问内部服务器的目的。
应用场景
企业通过租用运营商的专线上网,分别介绍以下三个场景的应用,实现相应的功能。
场景一:当只有一个公网IP地址的时候,需要把内网用户的地址全部转换成外网接口的IP地址,使内网用户能够访问外网。
场景二:当有一个公网IP地址段的时候,需要把内网用户的地址全部转换成公网地址段的IP地址,使内网能够访问外网。
场景三:将内网服务器映射到某一公网IP,使外网用户能够通过访问该公网IP来访问内网服务器的资源。
一、组网需求
RSR路由器做因特网出口,内部PC和服务器网关均在路由器上,通过路由器访问外网,同时内网
有一台服务器,需将服务器地址(端口)映射到公网地址(端口),为外界提供服务。注,内
网pc属于vlan10网段,内网服务器属于vlan20网段。
三、配置要点
1、基本ip地址配置
2、内网终端划分到相应的vlan中
3、基本的ip路由配置
4、DHCP服务器配置
5、定义nat的内网口和外网口
6、在R1上配置ACL,把内网需要进行NAT转换的流量匹配出来
7、配置场景一NAT转换策略
8、配置场景二NAT转换策略
9、配置场景三NAT转换策略
四、配置步骤
1、基本ip地址配置
Ruijie(config)#hostname R1
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip address 0/1)#exit
R1(config)#vlan 10
R1(config-vlan)#exit
R1(config)#vlan 20
R1(config-vlan)#exit
R1(config)#inter vlan 10
R1(config-if-VLAN 10)#ip add 10)#exit
R1(config)#inter vlan 20
R1(config-if-VLAN 20)#ip add 、内网终端划分到相应的vlan中
R1(config)#inter fastEthernet 1/2
R1(config-if-FastEthernet 1/2)#switchport access vlan 10 // 划分内网pc接口属于vlan10
R1(config)#inter fastEthernet 1/13
R1(config-if-FastEthernet 1/13)#switchport access vlan 20 // 划分服务器接口属于vlan20
3、配置出口路由器路由
R1(config)#ip route // 出口路由配置到英特网的默认路由
4、DHCP服务器配置
R1(conf)#service dhcp //开启DHCP服务
R1(conf)#ip dhcp pool ruijie //ruijie是dhcp地址池的名字,可以随便取
R1(dhcp-config)#netw //电脑需要获得的ip地址的网段
R1(dhcp-config)#default-router //电脑属于VLAN 10下的网关地址,即使vlan10的接口的ip地址
R1(dhcp-config)#dns-server // 电脑的DNS,前面一个是主的dns,后面一个是备dns R1(conf)#ip dhcp pool ruijie2 //ruijie2是dhcp地址池的名字,可以随便取
R1(dhcp-config)#netw //电脑需要获得的ip地址的网段
R1(dhcp-config)#default-router //电脑属于VLAN 10下的网关地址,即使vlan10的接口的ip地址
R1(dhcp-config)#dns-server // 电脑的DNS,前面一个是主的dns,后面一个是
5、定义nat的内网口和外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside //配置nat的外网口
R1(config-GigabitEthernet 0/1)#exit
R1(config)#inter vlan 10
R1(config-if-VLAN 10)#ip nat inside
R1(config-if-VLAN 10)#exit
R1(config)#inter vlan 20
R1(config-if-VLAN 20)#ip nat inside
6、在R1上配置ACL,把内网需要进行NAT转换的流量匹配出来
R1(config)#ip access-list standard 10
R1(config-std-nacl)#10 permit permit 、配置场景一nat转换策略
R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload
//将acl 10匹配的流量,执行nat转换,转换成gigabitEthernet 0/1口的地址
8、配置场景二nat转换策略
1)配置公网地址池
R1(config)#ip nat pool ruijie netmask //配置一个名字为ruijie的公网地址池
R1(config-ipnat-pool)#address //公网地址的起始ip地址,结束ip地址
R1(config-ipnat-pool)#address //若有多个公网地址,但是不连续,可以配置多个公网地址段
R1(config-ipnat-pool)#exit
注意:
1)公网地址池的地址,不一定要跟外网口的地址在同一个网段,只要是外网分配的可用ip地址就可以。
2)公网地址的起始ip地址和结束ip地址可以不连续
2)配置nat转换策略
R1(config)#ip nat inside source list 10 pool ruijie overload //将acl 10匹配的流量,执行nat转换,转换成地址池ruijie里面的地址
注意:
overload参数是执行nat重载的含义,若不加overload是执行动态的ip一对一映射,不会执行端口转换,不能解决公网地址不够的问题。若是在网络出口执行NAT,是为了解决公网地址不够的问题,必须要加overload参数。
9、配置场景三nat转换策略
将内网服务器映射成公网地址;或者将内网 tcp 80端口映射成公网的的80端口。
如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例: 1)基于ip地址的一对一映射
R1(config)#ip nat inside source static permit-inside //把内网映射成公网的2)基于TCP、UDP协议的端口映射
R1(config)#ip nat inside source static tcp 80 80 permit-inside //把内网 tcp 23端口映射成公网的的23端口
注意:
1)静态nat转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。
2)permit-inside功能:当有内网服务器静态映射成公网地址时,内网PC若需要通过该公网地址访问服务器,就必须配置permit-inside参数,在配置静态nat时,建议都配置permit-inside 参数。
五、配置验证
场景一验证:测试内网能否正常访问外网,若内网PC可以正常访问外网,则NAT配置正确。在出口路由器上查看NAT转换表项如下:
场景二验证:测试内网能否正常访问外网,若内网PC可以正常访问外网,则NAT配置正确。在出口路由器上查看NAT转换表项如下:
锐捷5750基本配置
通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备 回答: 步骤一:配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar
更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令 回答: S5750(config)#username dixy password dixy ----设置dixy 用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 设备时钟设置 提问:如何设置设备时钟 回答:
锐捷基本配置
1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备? 回答: 步骤一:配置VLAN1的IP地址 S5750>en----进入特权模式 S5750#conf----进入全局配置模式 S5750(config)#int vlan 1----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4----进入telnet密码配置模式 S5750(config-line)#login---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式
enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令? 回答: S5750(config)#username dixy password dixy----设置dixy用户名和密码 S5750(config)#username dixy privilege 10----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置
锐捷交换机配置手册完整样本
锐捷S3550配备手册 第一某些:互换机概述 一:互换机几种配备办法 本某些涉及如下内容: 控制台 远程登录 其他配备办法 本某些内容合用于互换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配备。 1、硬件连接: 把Console线一端连接在计算机串行口上,另一端连接在网络设备Console口上。Console线在购买网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面线序制作一根双绞线,一端通过一种转接头连接在计算机串行口上,另一端连接在网络设备Console口上。 注意:不要把反转线连接在网络设备其她接口上,这有也许导致设备损坏。 2、软件安装: 在计算机上需要安装一种终端仿真软件来登录网络设备。普通咱们使用Windows自带“超级终端”。超级终端安装办法: 开始| 程序| 附件| 通信| 超级终端。 按照提示环节进行安装,其中连接接口应选取“COM1”,端口速率应选取“9600”,数据流控制应选取“无”,其他都使用默认值。 登录后,就可以对网络设备进行配备了。
阐明:超级终端只需安装一次,下次再使用时可从“开始| 程序| 附件| 通信| 超级终端”中找到上次安装超级终端,直接使用即可。 远程登录 通过一台连接在网络中计算机,用Telnet命令登录网络设备进行配备。 远程登录条件: 1、网络设备已经配备了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。 3、计算机也连入网络,并且可以和网络设备通信。 阐明:远程登录计算机不是连接在网络设备Console口上计算机,而是网络中任一台计算机。远程登录办法: 在计算机命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网络设备命令配备模式。 阐明:远程登录方式不能用来配备新设备,新设备应当用控制台配备IP地址等参数,后来才干使用远程登录进行配备。 其他配备办法 除了控制台和远程登录之外,尚有其他某些配备办法配备网络设备。 1、TFTP服务器: TFTP服务器是网络中一台计算机,你可以把网络设备配备文献等信息备份到TFTP服务器之中,也可以把备份文献传回到网络设备中。
关于锐捷路由器配置命令
关于锐捷路由器配置命令,这些命令可能用的都不是很多,但是对于网络安全和性能来说很重要。 1. #Exit返回上一级操作模式 2. #del flash:config.text删除配置文件(交换机及1700系列路由器) 3. #erase startup-config删除配置文件(2500系列路由器) 4. #write memory 或copy running-config startup-config 保存配置 5. #Configure terminal 进入全局配置模式 6. (config)# hostname routerA配置设备名称为routerA 7.(config)#banner motd &配置每日提示信息&为终止符 8. (config)# enable secret star或者:enable password star 9.设置路由器的特权模式密码为star;secret 指密码以非明文显示, password指密码以明文显示 10.锐捷路由器配置命令之查看信息 11. #show running-config 查看当前生效的配置信息 12. #show interface fastethernet 0/3查看F0/3端口信息 13. #show interface serial 1/2 查看S1/2端口信息 14. #show ip interface brief 查看端口信息 15. #show version查看版本信息 16.#show running-config 查看当前生效的配置信息 17. #show controllers serial 1/2 查看该端口信息 , 用于R2501 18. #show ip route 查看路由表信息 19. #show access-lists 1查看标准访问控制列表1的配置信息 20.锐捷路由器配置命令之远程登陆(telnet) 21. (config)# line vty 0 4 进入线路0~4的配置模式, 4为连续线路最后一位的编号,线路为0~4 22. (conifg-line)#login 23. (config-line)#password star配置远程登陆密码为star 24. (config-line)#end返回上层 25. 锐捷路由器配置命令之端口的基本配置 26. (config)#Interface fastethernet 0/3 进入F0/3的端口配置模式 27. (config)#interface range fa 0/1-2进入F01至F0/2的端口配置模式 28. (config-if)#speed 10 配置端口速率为10M,可选10,100,auto 29. (config-if)#duplex full配置端口为全双工模式, 可选full(全双工),half(半双式),auto(自适应) 30. (config-if)#no shutdown 开启该端口 31. (config)# interface serial 1/2 进入端口S1/2的配置模式 32. (config-if)# ip address 1.1.1.1 255.255.255.0 配置端口IP及掩码 33.(config-if)# clock rate 64000 配置时钟频率(单位为K , 仅用于DCE端) 34.(config-if)# bandwidth 512 配置端口带宽速率为512KB(单位为KB) 35. (config-if)# no shutdown 开启该端口 36. (config-if)#encapsulation PPP 定义封装类型为PPP,可选项: 37. Frame-relay 帧中继 38. Hdlc 高级数据链路控制协议 39. lapb X.25的二层协议
锐捷5750基本配置
锐捷5750基本配置 锐捷5750基本配置并不复杂,可以通过以下方式来进行设备配置。 1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备, 回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令,回答: S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp ----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置
锐捷交换机路由器配置教程
目录 第一章:设备配置和文件管理 (4) 1.1 通过TELNET 方式来配置设备 (4) 1.2 更改IOS 命令的特权等级 (4) 1.3 设备时钟设置 (5) 第二章:交换机基础配置 (5) 2.1 交换机vlan 和trunk 的置 (5) 2.2 turnk 接口修剪配置 (6) 2.3 PVLAN 配置 (7) 2.4 端口汇聚配置 (8) 2.5 生成树配置 (9) 2.6 端口镜像配置 (9) 第三章:交换机防止ARP 欺骗置 (10) 3.1 交换机地址绑定(address-bind )功能 (10) 3.2 交换机端口安全功能 (10) 3.3 交换机arp-check 功能 (11) 3.4 交换机ARP动态检测功能(DAI) (11) 第四章:访问控制列表配置(ACL) (12) 4.1 标准ACL配置 (12) 4.2 扩展ACL配置 (13) 4.3 VLAN之间的ACL配置 (13) 4.4 单向ACL的配置 (15) 第五章:应用协议配置 (16) 5.1 DHCP服务配置 (16) 5.2 交换机dot1x认证配置 (18) 5.3 QOS限速配置 (19) 5.4 IPsec配置 (20) 5.5 GRE配置 (22) 5.6 PPTP 配置 (22) 5.7 路由器L2TP配置 (23) 5.8 路由器NAT 配置 (24) 第六章:路由协议配置 (25) 6.1 默认路由配置 (25) 6.2 静态路由配置 (25) 6.3 浮动路由配置 (25) 6.4 策略路由配置 (25) 6.5 OSPF 配置 (26) 6.6 OSPF 中router ID 配置 (27)
锐捷交换机配置手册簿完整
锐捷S3550配置手册 第一部分:交换机概述 一:交换机的几种配置方法 本部分包括以下内容: 控制台 远程登录 其它配置方法 本部分内容适用于交换机、路由器等网络设备。 控制台 用一台计算机作为控制台和网络设备相连,通过计算机对网络设备进行配置。 1、硬件连接: 把Console线一端连接在计算机的串行口上,另一端连接在网络设备的Console口上。Console线在购置网络设备时会提供,它是一条反转线,你也可以自己用双绞线进行制作。
按照上面的线序制作一根双绞线,一端通过一个转接头连接在计算机的串行口上,另一端连 接在网络设备的Console口上。 注意:不要把反转线连接在网络设备的其他接口上,这有可能导致设备损坏。 2、软件安装: 在计算机上需要安装一个终端仿真软件来登录网络设备。通常我们使用Windows自带的“超级终端”。超级终端的安装方法: 开始| 程序| 附件| 通信| 超级终端。 按照提示的步骤进行安装,其中连接的接口应选择“COM1”,端口的速率应选择“9600”,数据流控制应选择“无”,其它都使用默认值。
登录后,就可以对网络设备进行配置了。 说明:超级终端只需安装一次,下次再使用时可从“开始| 程序| 附件| 通信| 超级终端”中找到上次安装的超级终端,直接使用即可。 远程登录 通过一台连接在网络中的计算机,用Telnet命令登录网络设备进行配置。 远程登录条件: 1、网络设备已经配置了IP地址、远程登录密码和特权密码。 2、网络设备已经连入网络工作。
3、计算机也连入网络,并且可以和网络设备通信。 说明:远程登录的计算机不是连接在网络设备Console口上的计算机,而是网络中任一台计算机。 远程登录方法: 在计算机的命令行中,输入命令“telnet 网络设备IP地址”,输入登录密码就可以进入网 络设备的命令配置模式。 说明:远程登录方式不能用来配置新设备,新设备应该用控制台配置IP地址等参数,以后才能使用远程登录进行配置。 其它配置方法 除了控制台和远程登录之外,还有其它一些配置方法配置网络设备。 1、TFTP服务器: TFTP服务器是网络中的一台计算机,你可以把网络设备的配置文件等信息备份到TFTP服务器之中,也可以把备份的文件传回到网络设备中。 由于设备的配置文件是文本文件,所以,你可以用文本编辑软件打开进行修改,再把修改后 的配置文件传回网络设备,这样就可以实现配置功能。你也可以用TFTP服务器把一个已经做好的配置文件上传到一台同型号的设备中实现对它的配置。
锐捷网络实验手册
锐捷网络实验手册
————————————————————————————————作者:————————————————————————————————日期:
实验一交换机的基本配置 1.基本配置: 网络拓扑 RG-Switch ? 实验环境 将RG-Switch的其中一以太网口连至PC的以太网口 实验配置 1.配置交换机主机名 Red-Giant>enable(注:从用户模式进入特权模式) Red-Giant#configure terminal(注:从特权模式进入全局配置模式) Red-Giant(config)#hostname SW1(注:将主机名配置为“SW1”) SW1(config)# 2.配置交换机远程登陆密码 SW1(config)#enable secret level 1 0 star (注:将交换机远程登陆密码配置为“star”) 3.配置交换机特权模式口令 SW1(config)#enable secret level 15 0 star(注:将交换机特权模式口令配置为“star”) 4.为交换机分配管理IP地址 SW1(config)#interfacevlan1 SW1(config-if)#ip address 10.1.1.1 255.255.255.0 SW1(config-if)#no shutdown 注:为VLAN 1的管理接口分配IP地址(表示通过VLAN 1来管理交换机),设置交换机的IP地址为10.1.1.1,对应的子网掩码为255.255.255.0 5.显示交换机MAC地址表的记录 SW1#showmac-address-table 注:在PC上开一命令行窗口,运行命令:c:\>ping 10.1.1.1 能ping通则在交换机上执行show mac-address-table 可查看到PC的
配置策略路由命令 锐捷
33.1配置相关命令 33.1.1ip policy route-map 要在一个接口启用策略路由,请使用接口配置命令ip policy route-map。 该命令的no形式关闭策略路由的应用。 ip policy route-map route-map no ip policy route-map 【参数说明】 【缺省情况】 缺省关闭策略路由。 【命令模式】 接口配置模式。 【使用指南】 策略路由必须在指定的接口上应用,该接口只对接收到的数据包进行策略 路由,该接口发送的数据包路由将正常按照路由表进行转发。 应用策略路由,必须要指定策略路由使用的路由图,并且要创建路由图。 一个路由图由很多条策略组成,每个策略都定义了1个或多个的匹配规 则和对应操作。一个接口应用策略路由后,将对该接口接收到的所有包进 行检查,不符合路由图任何策略的数据包将按照通常的路由转发进行处理, 符合路由图中某个策略的数据包就按照该策略中定义的操作进行处理。 注意: 我司产品一个接口最多只能配置一个路由图,在同一个接口上多次配置路 由图,后的路由图会覆盖先前配置的路由图。 【举例】
以下的配置例子中,当快速以太网接口FE0接收到数据报,如果数据报 源地址为10.0.0.1,则设置下一跳为196.168.4.6,如果源地址为20.0.0.1 则设置下一跳为196.168.5.6,否则进行普通转发。 access-list 1 permit 10.0.0.1 access-list 2 permit 20.0.0.1 route-map lab1 permit 10 match ip address 1 set ip next-hop 196.168.4.6 exit route-map lab1 permit 20 match ip address 2 set ip next-hop 196.168.5.6 exit interface GigabitEthernet 0/0 ip policy route-map lab1 exit 【相关命令】 注:route-map配置的相关命令请参考《协议无关命令参考》 ip local policy route-map 要对本地发送的报文启用策略路由,请使用命令ip local policy route-map。该命令的no形式关闭策略路由的应用。 ip local policy route-map route-map no ip local policy route-map
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
锐捷基本配置命令
S3750>enable 特权模式 S3750#configure terminal 全局模式 S3750(config)#hostname SW1 将交换机命名为SW1 SW1(config)#vlan 10 创建VLAN 10 SW1(config-vlan)#name 1 命名VLAN 10 为1 SW1(config-vlan)#exit 退出到上一级 SW1(config)#vlan 20 创建VLAN 20 SW1(config-vlan)#name 2命名VLAN 20 为2 SW1(config-vlan)#exit退出到上一级 SW1(config)#interface fastEthernet 0/1进入端口0/1 SW1(config-if)#no shutdown启用端口 SW1(config-if)#shutdown禁用端口 SW1(config-if)#exit退出到上一级 SW1(config)#interface range fastEthernet 0/2-5进入端口2-5端口 SW1(config-if-range)#switchport mode access将端口配置为access模式 SW1(config-if-range)#switchport access vlan 1 将端口划分给VLAN 1 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/6-10 进入6-10端口
SW1(config-if-range)#switchport mode access 将端口配置为access模式 SW1(config-if-range)#switchport access vlan 2 将端口划分给VLAN2 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface fastEthernet 0/1 进入端口0/1 SW1(config-if)#switchport mode trunk 将端口配置为trunk链路 SW1(config-if)#switchport trunk allowed vlan all trunk链路允许所有VLAN数据通过 SW1(config-if)#exit 退出到上一级 SW1(config)#interface aggregateport 1 创建聚合接口AGI SW1(config-if)#switchport mode trunk 配置AGI模式为trunk SW1(config-if)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/23-24 进入f0/23和f0/24端口 SW1(config-if-range)#port-group 1 配置属于f0/23和f0/24端口属于AGI SW1(config-if-range)#end 退出到特权模式下 SW1#write 保存当前配置 Building configuration...
锐捷交换机常用配置命令
一、交换机配置模式介绍 (2) 二、交换机基本配置 (2) 2.1 接口介质类型配置 (3) 2.2 接口速度/双工配置 (3) 2.3 VLAN配置 (4) 2.4 端口镜像 (5) 2.5 端口聚合 (6) 2.6 交换机堆叠 (6) 2.7 ACL配置 (7) 2.8 端口安全 (8) 2.9 交换机防攻击配置 (10) 2.10 DHCP配置 (13) 2.11 三层交换机配置 (14) 三、交换机常用查看命令 (16)
一、交换机配置模式介绍 交换机配置模式主要有: 用户模式:此模式只可以简单的查看一些交换机的配置和一些简单的修改。 Switch> 特权模式:此模式可以查看一些交换机的配置,后面讲述的很多show命令便是在此模式下进行的,还可以对一些简单的设置配置,例如时间。 Switch> enable //在用户模式下输入enable将进入配置模式 Switch# 全局配置模式:此模式下可以进行对交换机的配置,例如:命名、配置密码、设路由等。Switch#configure erminal //特权模式下可以通过config terminal 命令进入配置模式Switch(config)# 端口配置模式:此模式下对端口进行配置,如配置端口ip等。 Switch(config)#interface gigabitEthernet 1/1 //配置模式下输入interface gigabitEthernet 1/1进入到端口g 1/1接口模式。 二、交换机基本配置 交换机命名:在项目实施的时候,建议为处于不同位置的交换机命名,便于记忆,可提高后期管理效率。 switch(config)#hostname ruijie //ruijie为该交换机的名字 交换机配置管理密码:配置密码可以提高交换机的安全性,另外,telnet登录交换机的时候,必须要求有telnet管理密码。 switch (config)#enable secret level 1 0 rg //配置telnet管理密码为rg,其中1表示telnet密码,0表示密码不加密 switch (config)#enable secret level 15 0 rg //配置特权模式下的管理密码rg,其中15表示为特权密码 交换机配置管理IP switch (config)#interface vlan 1 //假设管理VLAN为VLAN 1 switch (config-if)#ip address 192.168.1.1 255.255.255.0 //给管理VLAN配置管理IP地址 switch (config-if)#no shutdown //激活管理IP,养成习惯,无论配置什么设备,都使用一下这个命令
锐捷路由器命令大全
锐捷路由器命令大全 2007-09-07 21:08 出现攻击时掉线时请用console链接路由,保存好如下命令的相关内容,用以分析: 1、show ver (版本信息) 2、show run (配置信息) 3、show arp (arp信息) 4、show interface (端口信息) 5、show ip nat trans (nat信息) 6、show ip nat stat 7、show ip nat statistics per-user (只要第1屏的信息) 8、show ip cache (只要第1屏的信息) 9、show ip nat statistics suspicious-pc 发送免费arp: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#int f 0/0(内网) lh(config)#arp gr int 1 lh(config)#int f 1/0(外网) lh(config)#arp gr int 1 lh(config)#end lh#wr端口映射: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat source static tcp 192.168.3.99ip 80 219.128.102.110 80 permit-inside lh(config)#end lh#wr限制内网某机器不限速(192.168.2.80): lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat translation rate-limit iprange 192.168.2.2 192.168.2.79 inbound 500 outbound 1000 lh(config)#ip nat translation rate-limit iprange 192.168.2.81 192.168.3.253 inbound 500 outbound 1000 lh(config)#end lh#wr限制内网PC的链接线程数同限速: lh#conf t Enter configuration commands, one per line. End with CNTL/Z. lh(config)#ip nat translation per-user 0.0.0.0 250 lh(config)#ip nat translation rate-limit default inbound 500 outbound 1000 lh(config)#end lh#wr禁止公网访问IP lh#conf t Enter configuration commands, one per line. End with CNTL/Z.
锐捷基本配置命令
交换机命令总结 enable进入特权模式 exit退出EXEC configure terminal进入配置模式 delete flash:config.text删除配置 reload停止并执行热启动 hostname {主机名} 配置交换机名 interface vlan 1 ip address {IP地址}{子网掩码} 指定交换机管理IP地址ip default-gateway {网关IP地址} 指定默认网 enable password level 10 {口令} 用户模式口令enable password level 15 0 {口令} 特权模式口令interface type {solt_#}/{port_#} 进入接口 no shutdows启用接口 shutdows禁用接口 duplex {auto | full | half}配置接口的双工模式 speed {100/10/auto}配置接口的速率 copy running-config startup-config write memory write 保存配置 Vlan vlan_# 建立VLAN name vlanname修改VLAN名称 switchport mode {access/Trunk} 配置接口模式switchport trunk allowed vlan remove 2 把端口配置为Trunk端口,但是不包含VLAN 2 no vlan vlan_# 删除VLAN switchport access vlan vlan_#把端口加入VLAN Show vlan 显示vlan信息 show version 显示IOS版本 show interface e0/1 显示接口信息 show configure查看保存在FLASH里的配置信息 show running-config查看RAM里当前生效的配置
锐捷交换机配置大全
利用NAT实现外网主机访问内网服务器 本实验主要是针对两个内容来做的。 第一,利用动态NAPT实现局域网访问互联网;这个内容通俗一点就是让许多的内网ip地址,转化为一个外网,可以上网的ip地址。在这个内容之中,就又可以使用两种方法来做。第一种:利用地址池转换。这个方法的原理就是制作一个地址池,然后把要转换的内网ip地址给写入地址池,然后,把地址池映射到要转化成的ip地址。(要转化成的ip 地址可以是一个,也可以是多个。)第二种方法就是使用端口映射,这种方法的原理就是将要转化的内网ip地址给映射到端口号上面,不过这两个方法都有一个共同点,就是都需要写入一个access-list语句。 第二,利用NAT实现外网主机访问内网服务器;这个内容,讲的通俗一点就是让内网的一个服务器上的服务,改变ip 成为外网能够上网的ip地址,从而让外面互联网上的机器可以使用到这个服务。比如web服务。 S3760(config)#host S1【将交换机的名字改为?S1? S1(config)#vlan 10【建立一个vlan,取名为10】 S1(config-vlan)#exit【推出此模式,进入端口模式】
S1(config)#vlan 20 S1(config-vlan)#exit S1(config)#int vlan 10 S1(config-if)#ip add 192.168.10.1 255.255.255.0【进入vlan模式,给他一个ip地址,并设定他的子网掩码为255.255.255.0 S1(config-if)#no shutdown【启用此vlan】 S1(config-if)#exit S1(config)#int vlan 20 S1(config-if)#ip add 192.168.20.1 255.255.255.0 S1(config-if)#no shutdown S1(config-if)#exit S1(config)#int ra fa 0/1-10【当圈定多个端口的时候,要加ra】 S1(config-if-range)#sw ac vlan 10【把圈定的端口给vlan10】 S1(config-if-range)#exit【推出此模式】 S1(config)#int ra fa 0/11-20 S1(config-if-range)#sw ac vlan 20 S1(config-if-range)#exit S1(config)#int fa 0/24【进入24端口】 S1(config-if)#no sw【使用tab键补全命令】 S1(config-if)#no switchport【启用三层接口】 S1(config-if)#ip add 172.16.1.1 255.255.255.248【给此接口一个ip地址,并配置子网掩码】
交换机路由器常用配置操作
锐捷交换机路由器常用配置操作 1.1 通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备? 回答: 步骤一:配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式 S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 S5750(config)# enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2 更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令? 回答: S5750(config)#username dixy password dixy ----设置dixy用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置 提问:如何设置设备时钟? 回答: S5750#clock set 12:45:55 11 25 2008 ----设置时间为2008年11月25日12点45分55秒S5750#clock update-calendar ----设置日历更新 S5750(config)#clock timezone CN 8 22 ----时间名字为中国,东8区22分 2.1 交换机vlan和trunk的配置 提问:如何在交换机上划分vlan,配置trunk接口? 回答: 步骤一:给交换机配置IP地址 S2724G#conf S2724G(config)#int vlan 1 S2724G(config-if)#ip addess 192.168.0.100 255.255.255.0----给VLAN 1配置IP地址
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括: