ASA5505应用
南京晓庄学院网络安全实训报告
题目:ASA5505应用
班级:
学号:
姓名:
信息工程学院
二 0 一五年六月
一、实训目的
1. 了解交换路由设备的常见安全配置;
2. 理解防火墙工作原理并掌握常见防火墙部署方法;
3. 理解VPN 工作原理,掌握常见类型VPN 部署方法;
二、实训要求
1. 根据设备基本信息表完成对设备的基本配置。
2. 路由(ENTERPEISE Shanghai )是企业在上海的边界路由,路由(Shanghai User )是企业上海分部内
的设备节点。上海分部部门需要边界路由(ENTERPEISE Shanghai )提供DHCP 服务获得IP 地址,用户访问Internet 需要转换为公网地址(100.0.200.1/24)。
3. 拒绝外部用户访问上海分部内的节点,允许内部用户访问Internet 。
4. 防火墙(ENTERPRISE Nanjing (FW))采用思科ASA 5500,作为企业南京总部的防火墙。防火墙提供
DHCP 服务,为除企业的WEB 服务器(WEB SERVER Nanjing )外的南京总部的其它内部节点提供IP 地址。
5. 拒绝外网用户访问企业南京总部的内网节点,允许内部节点访问Internet 。内部节点访问Internet 时采
用公网地址为(100.0.100.4/24-100.0.100.6/24)。
6. 创建IPsec VPN 是企业南京总部和上海分部的内部网络能够相互访问。
7. 允许公网用户访问企业的WEB 服务器的WEB 服务,访问时采用地址100.0.100.3/24。 8. 企业内部用户访问企业WEB 服务器的WEB 服务时使用内部地址10.0.2.2/24。
9. Remote PC 通过L2TP 远程拨号到企业内部网络,在路由(ENTERPEISE Shanghai )上部署LNS 。 10. 按要求部署网络,并对网络进行调试。
三、实训拓扑
Remote PC
Nanjing User
ENTERPRISE Nanjing
Internet
ENTERPRISE Shanghai
WEB SERVER Nanjing
Shanghai User
E2
E1E0/1
E0/1
E3E0/1
E0/0E0/1
E0/0
E0/0
10.0.1.0/24
10.0.2.0/24100.0.100.0/24
100.0.200.0/2410.0.3.0/24
FW
E0/2
100.0.150.0/24
设备基本信息表
设备名称端口IP ADDRESS MASK 备注Nanjing User E0/1 ------- ------- DHCP 获取
ENTERPRISE Nanjing
(FW) E1 100.0.100.1 255.255.255.0 ------- E2 10.0.2.1 255.255.255.0 ------- E3 10.0.1.1 255.255.255.0 -------
WEB SERVER Nanjing E0/1 10.0.2.2 255.255.255.0 -------
Internet E0/0 100.0.200.2 255.255.255.0 ------- E0/1 100.0.100.2 255.255.255.0 ------- E0/2 100.0.150.2 255.255.255.0 -------
ENTERPRISE Shanghai E0/0 100.0.200.1 255.255.255.0 ------- E0/1 10.0.3.1 255.255.255.0 -------
Shanghai User E0/0 ------- ------- DHCP 获取
Remote PC 100.0.150.1 255.255.255.0
四、实训步骤
主要配置:
ciscoasa(config)#int vl 2
ciscoasa(config-if)#ip add 100.0.100.1 255.255.255.0
ciscoasa(config)#int e0/0
ciscoasa(config-if)#switch acc vl 2
ciscoasa(config-if)#ex
ciscoasa(config)#int vl 3
ciscoasa(config-if)#ip add 10.0.2.1 255.255.255.0
ciscoasa(config-if)#no shut
ciscoasa(config-if)#ex
ciscoasa(config)#int e0/2
ciscoasa(config-if)#switch acc vl 3
ciscoasa(config-if)#no shut
ciscoasa(config-if)#ex
ciscoasa(config)#int vl 4
ciscoasa(config-if)#ip add 10.0.1.1 255.255.255.0
ciscoasa(config-if)#no shut
ciscoasa(config-if)#ex
ciscoasa(config)#int e0/3
ciscoasa(config-if)#switch acc vl 4 //将端口e0/3加入vlan4中
WEB SERVER Nanjing
Router(config)#host WEBSERVERNanjing
WEBSERVERNanjing(config)#int f0/0
WEBSERVERNanjing(config-if)#ip address 10.0.2.2 255.255.255.0
WEBSERVERNanjing(config-if)#no shut
Internet
Router(config)#host Internet
Internet(config)#int s0/1/0
Internet(config-if)#ip add 100.0.200.2 255.255.255.0
Internet(config-if)#exit
Internet(config)#int f0/0
Internet(config-if)#ip add 100.0.100.2 255.255.255.0
Internet(config-if)#exit
Internet(config)#int e1/0
Internet(config-if)#ip add 100.0.150.2 255.255.255.0 //给各端口配置IP地址
ENTERPRISEShanghai
Router(config)#host ENTERPRISEShanghai
ENTERPRISEShanghai(config)#int f0/1
ENTERPRISEShanghai(config-if)#ip add 10.0.3.1 255.255.255.0
ENTERPRISEShanghai(config-if)#exit
ENTERPRISEShanghai(config)#int s0/1/0
ENTERPRISEShanghai(config-if)#ip add 100.0.200.1 255.255.255.0
RemotePC
Ip address:100.0.150.1
Subnet mask:255.255.255.0
Default gateway:100.0.150.254
ENTERPRISEshanghai
ENTERPRISEshanghai(config)#ip dhcp excluded-address 10.0.3.0 //在DHCP地址分配池中,去掉IP地址ENTERPRISEshanghai(config)#ip dhcp pool shanghai //地址池名字为shanghai ENTERPRISEshanghai(dhcp-config)#network 10.0.3.0 255.255.255.0
ENTERPRISEshanghai(dhcp-config)#dns-server 10.0.3.0
ENTERPRISEshanghai(config)#ip nat pool shanghai 100.0.200.1 100.0.200.1 netmask 255.255.255.0//限制内网地址转换的IP的范围,转换为一个地址
ENTERPRISEshanghai(config)#access-list 1 per 10.0.0.0 0.0.0.255
ENTERPRISEshanghai(config)#ip nat inside source list 1 pool shanghai
ENTERPRISEshanghai(config)#int fa 0/1
ENTERPRISEshanghai(config-if)#ip nat inside
ENTERPRISEshanghai(config-if)#ex
ENTERPRISEshanghai(config)#int s0/1/0
ENTERPRISEshanghai(config-if)#ip nat outside
ShanghaiUser:
ShanghaiUser(config)#int f 0/0
ShanghaiUser(config-if)#ip address dhcp
ShanghaiUser(config-if)#no shut
ENTERPRISEshanghai
ENTERPRISEshanghai(config)#access-list 2 permit 10.0.0.0 0.0.0.255
ENTERPRISEshanghai(config)#access-list 2 deny any
ENTERPRISEshanghai(config)#int f 0/1
ENTERPRISEshanghai(config-if)#ip access-group 2 out //访问策略应用到端口
ciscoasa
ciscoasa(config)#dhcpd address 10.0.1.4-10.0.1.200 inside //分配给内接口从10.0.1.4开始到200的DHCP地址
ciscoasa(config)#dhcpd en inside //开启DHCP服务,在Inside端口接受DHCP请求
ciscoasa(config)#object network inside-net
ciscoasa(config-network-object)#subnet 10.0.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface //配置NA T转换
ciscoasa(config-network-object)#end
ciscoasa(config)#object network inside-outside
ciscoasa(config-network-object)#subnet 10.0.1.0 255.255.255.0
ciscoasa(config)#object network inside-outside-all
ciscoasa(config-network-object)#subnet 100.0.100.4-100.0.100.6
ciscoasa(config-network-object)#exit
ciscoasa#int e0/1
ciscoasa(config)#object network obj
ciscoasa(config-network-object)#host 100.0.100.4
ciscoasa(config-network-object)#host 100.0.100.5
ciscoasa(config-network-object)#host 100.0.100.6
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface //进行访问控制
ShanghaiUser
Enter configuration commands, one per line. End with CNTL/Z.
ShanghaiUser(config)#crypto isakmp policy 1
ShanghaiUser(config-isakmp)#hash md5 //设置密钥验证所用的算法ShanghaiUser(config-isakmp)#authentication pre-share //设置路由要使用的预先共享的密钥ShanghaiUser(config-isakmp)#ex
ShanghaiUser(config)#crypto isakmp key 123 address 10.0.1.4
ShanghaiUser(config)#crypto ipsec transform-set nanjing ah-md5-hmac esp-des
ShanghaiUser(config)#access-list 102 permit ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255//访问控制列表ShanghaiUser(config)#crypto map nanjing 1 ipsec-isakmp
ShanghaiUser(config-crypto-map)#set peer 10.0.1.3
ShanghaiUser(config-crypto-map)#set transform-set nanjing
ShanghaiUser(config-crypto-map)#match add 102 //指定访问控制列表
ShanghaiUser(config-crypto-map)#int f 0/0
ShanghaiUser(config-if)#crypto map Nanjing
NanjingUser
NanjingUser#conf t.
NanjingUser(config)#crypto isakmp policy 1
NanjingUser(config-isakmp)#hash md5
NanjingUser(config-isakmp)#authentication pre-share
NanjingUser(config-isakmp)#ex
NanjingUser(config)#crypto isakmp key 123 address 10.0.3.2
NanjingUser(config)#access-list 102 permit ip any any
NanjingUser(config)#no access-list 102
NanjingUser(config)#crypto ipsec transform-set nanjing ah-md5-hmac esp-des
NanjingUser(config)#access-list 102 permit ip 10.0.1.0 0.0.0.255 10.0.3.0 0.0.0.255
NanjingUser(config)#crypto map nanjing 1 ipsec-isakmp
NanjingUser(config-crypto-map)#set peer 10.0.1.3
NanjingUser(config-crypto-map)#set transform-set nanjing
NanjingUser(config-crypto-map)#match add 102
NanjingUser(config-crypto-map)#int f 0/0
NanjingUser(config-if)#crypto map nanjing
ciscoasa
ciscoasa(config)#access-list 103 extended permit tcp any host 100.0.100.1 eq 80
ciscoasa(config)#access-list 103 extended permit icmp any any
ciscoasa(config)#access-list 103 extended permit tcp any any
ciscoasa(config)#access-list 103 extended permit udp any any
ciscoasa(config)#object network waiwang
(config-network-object)#subnet 10.0.2.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) static 100.0.100.3
ciscoasa(config)#object-group service waiwang1 tcp
ciscoasa(config-service-object-group)#port-object eq 80
ciscoasa(config)#object network sh
ciscoasa(config-network-object)#subnet 10.0.3.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) dynamic int
ciscoasa(config-network-object)#nat (inside,outside) static 10.0.2.2
ciscoasa(config-network-object)#object network neibu
ciscoasa(config-network-object)#subnet 10.0.1.0 255.255.255.0
ciscoasa(config-network-object)#nat (inside,outside) static 10.0.2.2
ciscoasa(config-network-object)# ciscoasa(config)#access-list neibu extended permit tcp 10.0.3.0 255.255.255.0 10.0.2.0 255.255.255.0
ENTERPEISE Shanghai
ENTERPRISEshanghai(config)#aaa new-model
ENTERPRISEshanghai(config)#aaa authentication ppp default local //L2TP ENTERPRISEshanghai(config)#ip cef
ENTERPRISEshanghai(config)#username test password 0 line //配置本地用户名和密码ENTERPRISEshanghai(config)#vpdn enable //激活vpdn功能ENTERPRISEshanghai(config)#vpdn-group L2TP //创建vpdn组ENTERPRISEshanghai(config-vpdn)#ACcept-dialin
ENTERPRISEshanghai(config-vpdn-acc-in)#protocol pppoe
ENTERPRISEshanghai(config-vpdn-acc-in)#virtual-template 1
ENTERPRISEshanghai(config)#int s0/1/0
ENTERPRISEshanghai(config-if)#ip add 100.0.200.1 255.255.255.0
ENTERPRISEshanghai(config-if)#enc ppp
ENTERPRISEshanghai(config)#int virtual-Template 1
ENTERPRISEshanghai(config-if)#ip unnumbered se0/1/0
ENTERPRISEshanghai(config-if)#peer default ip address pool vpdn
ENTERPRISEshanghai(config-if)#ppp authentication chap pap
AAA: Warning, authentication list pap is not defined for PPP.
ENTERPRISEshanghai(config)#ip local pool vpdn 100.0.150.0 10
华三华为交换机路由器配置常用命令汇总定稿版
华三华为交换机路由器 配置常用命令汇总 HUA system office room 【HUA16H-TTMS2A-HUAS8Q8-HUAH1688】
H3C交换机配置命令大全1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口
9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全华为交换机常用配置实例 H3C交换机路由器telnet和console口登录配置 2009年11月09日星期一 10:00
级别说明 Level 名称 命令 参观 ping、tracert、telnet 1 监控 display、debugging 2 配置 所有配置命令(管理级的命令除外)
扩频网桥功能设置方法
扩频网桥功能设置方法 适用型号腾达O2、O4、B6 扩频网桥支持特殊信道,可用于干扰环境下避开其他信号干扰。 功能位置:无线设置-基本设置 1.特殊信道开启方法 1、升级到特殊信道软件; 2、切换国家或地区为test; 3、设置特殊信道; 2.已桥接网桥更改为特殊信道方法 1、更改AP模式的国家为test,信道改为特殊信道; 2、客户端网桥改为AP模式,更改无线设置中的国家为test,重设为客户端模式。 注意:使用特殊信道时两端必须升级为特殊信道软件,且国家都为test;如果AP端开启了特殊信道,客户端没有启用test,客户端将无法扫描到AP端的信号。 功能位置:无线设置-高级设置 TDMA时分多址技术可用于网桥一对多场景,使一对多使用时传输更稳定高效。 默认桥接成功后TDMA功能未开启,一对多时建议手动开启。 1.如何开启TDMA 由于TDMA开启一端后连接会断开,两端同时开启时连接自动连上。建议在实际场景中先开
启远端网桥的TDMA功能,最后开启直连网桥的TDMA功能。 1、使用透明网桥功能时两端需同时开启,如果客户端开启透明网桥,AP端不开启透明网桥, 桥接成功后无法通信;AP端开启透明网桥,客户端开启或关闭桥接成功后都可以通信。 2、老版本透明网桥关闭方式为:设置向导-客户端模式-取消勾选透明网桥-重新桥接; 新版本透明网桥关闭方式为:无线设置-高级设置-透明网桥。 3、设备自动桥接、手动桥接时,透明网桥功能默认开启。 信道偏移技术可以将信道中心频率偏移5MHz,减少干扰环境带来的影响。功能默认关闭。功能位置:无线设置-基本设置 1.使用方法 1、功能自动为禁用状态; 2、打开后信道偏移5MHz; 注意:使用时桥接两端都需要开启信道偏移,否则会导致桥接失败,建议开启功能时优先更改远端网桥。
实验三 交换机配置方式及基本命令的熟悉文档
实验三交换机配置方式及基本命令的熟悉 【实验目的】 通过对交换机设备的几种配置手段、配置模式和基本配置命令的认识,获得交换机的基本使用能力。 【实验任务】 1、认识交换机的配置方式。 2、按照给出的参考拓扑图构建逻辑拓扑图。 3、按照给出的配置参数表配置各个设备。 4、练习交换机的一些基本命令。 建议实验学时:2学时。 【实验背景】 在前面的实验中我们已经接触了Cisco的路由器运行的Cisco互联网络操作系统(ISO,Internetwork Operating System),熟悉了Cisco IOS软件内置的命令行界面(CLI,command-line interface)。同样,交换机可以通过一个菜单驱动程序的界面,或者通过命令行界面(CLI),或者在交换机配置了IP地址后通过Telnet远程登录、web登录的方式对交换机来进行配置。 交换机除了可以通过Console端口与计算机直接连接外,还可以通过交换机的普通端口进行连接。如果是堆叠型的,也可以把几台交换机一起进行配置,因为实际上这个时候它们是一个整体,这时通过普通端口对交换机进行管理时,就不再使用超级终端了,而是以Telnet 虚拟终端或Web浏览器的方式实现与被管理交换机的通信。前提是在本地配置方式中已为交换机配置好了IP地址,我们可通过IP地址与交换机进行通信,不过要注意,只有是网管型的交换机才具有这种管理功能。实际上最常用的Catalyst交换机OS被称为Catalyst OS、CatOS,其最大的特点是基于set 命令。但我们常用的是与路由器的IOS相类似的基于IOS 的Catalyst OS。下面简单介绍交换机的各种命令模式以及各种常用的命令。 表4.1交换机的各种命令模式的访问方式、提示符、退出方法及其描述
D-Link DFL-860E透明模式及路由模式调试
防火墙上网基础调试 透明模式 功能说明: 在透明模式下,防火墙更像一个网桥,它不干涉网络结构,从拓扑中看来,它似乎是不存在的(因此称为透明)。但是,透明模式的防火墙通过设置规则,具备数据包过滤的功能。透明网桥模式在数据链路层实现。防火墙在该模式下工作时,可以透明地接入到网络的任何部位,无需改动用户网络结构和配置,即插即用,简便高效,使用方便。 适用环境: 在网络中使用哪种工作模式的防火墙取决于你的网络环境。一般来说,在下面所述情况下比较适合使用透明模式: (1)你的服务器需要使用真实互联网IP地址。因为在该模式下,你的服务器看起来像直接面对互联网一样,所有对服务器的访问请求都直接到达服务器。当然,在数据包到达服务器之前会经过防火墙的检测,不符合规则的数据包会被丢弃掉(从服务器编程的角度看,它不会觉察到数据包实际已被处理过)。 (2)需要保护同一子网上不同区域(部门)的主机。这时,原来的网络拓扑结构无须做任何改变。比如,企业的财务部是企业重要部门,即使内部员工也不允许随便访问.因此,需要特别的保护。但企业网络已经建成,相应改造会带来许多工作。而选择透明模式,既不用改造企业网络结构.也可以在没有经过防火墙授权的情况下.禁止非法人员访问财务部的主机。如此一来,起到了局部信息保密和保护的效果 实例拓扑图:DFL-860E以透明模式接入到网络中 拓扑说明: 内网网段为192.168.13.0/24,内网用户需要经过防火墙才可以访问互联网。防火墙接入在客户原有网络内,原有网络结构与设备配置都不需要更改。
透明模式的设置: 一、在interfaceAddresses分别设置好wan1_ip, wan1net ,wan1_gw ,lan_ip ,lannet , wan1_ip的设置如下: Wan1_net,wan1的网段掩码,如下图: wan1_gw的网关,如下图: Lan_ip的设置如下:
配置H3C交换机常用命令
H3C交换机常用步骤和命令 1.进入命令行sys 2.给交换机命名: sysname fuwuqi2 3.创建所属vlan: vlan 114 4.描述vlan 114 及分配情况: description fuwuqi2 5.把24个口划分到vlan114中: port e 1/0/1 to e 1/0/24 6.退出: quit 7.进入vlan 114: vlan 114 8.查看千兆口信息: dis int g 9.把25,26两个千兆口加到vlan 114中: port g 1/0/25 to g 1/0/26 10.退出: quit 11.进入vlan114 : int vlan 114 12.查看本接口信息dis this 13.退出quit 14.进入vlan 114虚接口下(可以配置管理地址):interface vlan-interface 114 15.配置管理地址ip address 111.115.76.98 27 16.查看信息dis this 17.退出quit 18.配置默认路由ip route-static 0.0.0.0 0.0.0.0 111.115.76.97(分别是目 的地址子网掩码网关) 19.建立一个登陆交换机的用户名local-user fuwuqi2 20.设置登陆密码password cipher fuwuqi2_2918 21.设置用户管理等级0-3,3是超级管理员authorization-attribute level 3 22.设置用“telnet”方式登陆service-type telnet 23.退出quit 24.打开telnet服务telnet server enable 25.设置0-5共6个用户可同时远程登陆user-interface vty 0 5 26.设置用户登陆方式,scheme是用户名+密码authentication-mode scheme 27.查看当前配置信息dis this 28.查看当前所有配置dis cur 29.保存配置信息save 30.查看交换机上有哪些VLAN dis vlan 31.查看各交换机端口状态及vlan情况: dis brief int 32.将某个端口加入到某个vlan中:sys Vlan 111 Port eth 1/0/1 33.查看当前各端口流量情况: dis int 34.查看交换机上mac地址:dis mac-address 物理地址 35.查看CPU占用:dis cup 36.静态IP与MAC地址绑定(不与端口绑定): sys arp static 192.168.11.204 0005-5d02-f2b3 查询:dis arp 192.168.11.204 取消:undo arp 192.168.11.204
华为3928 3026交换机密码恢复
说明:以下方法将删除原有config文件,使设备恢复到出厂配置。在设备重启时按Ctrl+B进入BOOT MENU之后, Press Ctrl-B to enter Boot Menu (5) Password : 缺省为空,回车即可 1. Download application file to flash 2. Select application file to boot 3. Display all files in flash 4. Delete file from Flash 5. Modify bootrom password 0. Reboot Enter your choice(0-5): 4 选择4 No. File Name File Size(bytes) 1 S3026CGSSI.btm 257224 2 wnm2.2.2-0005.zip 447827 3 snmpboots 4 4 * R0023P01.app 2985691 5 hostkey 428 6 serverkey 572 7 vrpcfg.txt 1281 Free Space : 3452928 bytes The current application file is R0023P01.app
Please input the file number to delete: 7选择7,删除当前的配置文件 Do you want to delete vrpcfg.txt now? Yes or No(Y/N)y Delete file....done! BOOT MENU 1. Download application file to flash 2. Select application file to boot 3. Display all files in flash 4. Delete file from Flash 5. Modify bootrom password 0. Reboot Enter your choice(0-5):0 选择0,重启设备
路由器配置常用命令汇总
Access-enable允许路由器在动态访问列表中创建临时访问列表入口 Access-group把访问控制列表(ACL)应用到接口上 Access-list定义一个标准的IP ACL Access-template在连接的路由器上手动替换临时访问列表入口 Appn向APPN子系统发送命令 Atmsig执行ATM信令命令 B 手动引导操作系统 Bandwidth 设置接口的带宽 Banner motd 指定日期信息标语 Bfe 设置突发事件手册模式 Boot system 指定路由器启动时加载的系统映像 Calendar 设置硬件日历 Cd 更改路径 Cdp enable 允许接口运行CDP协议 Clear 复位功能 Clear counters 清除接口计数器 Clear interface 重新启动接口上的件逻辑 Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能 Config-register 修改配置寄存器设置 Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息 Configure memory 从NVRAM加载配置信息 Configure terminal 从终端进行手动配置 Connect 打开一个终端连接
Copy 复制配置或映像数据 Copy flash tftp 备份系统映像文件到TFTP服务器 Copy running-config startup-config 将RAM中的当前配置存储到NVRAM Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上 Copy tftp flash 从TFTP服务器上下载新映像到Flash Copy tftp running-config 从TFTP服务器上下载配置文件 Debug 使用调试功能 Debug dialer 显示接口在拨什么号及诸如此类的信息 Debug ip rip 显示RIP路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息 Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息 Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程 Debug ppp 显示在实施PPP中发生的业务和交换信息 Delete 删除文件 Deny 为一个已命名的IP ACL设置条件 Dialer idle-timeout 规定线路断开前的空闲时间的长度 Dialer map 设置一个串行接口来呼叫一个或多个地点 Dialer wait-for-carrier-time 规定花多长时间等待一个载体 Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制 Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号 Dir 显示给定设备上的文件 Disable 关闭特许模式 Disconnect 断开已建立的连接
实验8 防火墙透明模式配置
实验八防火墙透明模式配置 适用于河南中医学院信息技术学院网络安全实验室 一、实验目的 1、了解什么是透明模式; 2、了解如何配置防火墙的透明模式; 二、应用环境 透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中,这是对网络变动最少的介入方法,广泛用于大量原有网络的 安全升级中。 三、实验设备 (1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台 四、实验拓扑 五、实验步骤 第一步:搭建WebUI配置环境 除使用 CLI 进行配置以外,神州数码安全网关还提供WebUI 界面,使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24,并且该接口的各种管理功能均为开启状态。初次使用安全网关时,用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境: 1. 将管理 PC 的IP 地址设置为与19 2.168.1.1/24 同网段的IP 地址,并且用网线将管理PC 与安全网关的ethernet0/0 接口进行连接。 2. 在管理 PC 的Web 浏览器中访问地址http://192.168.1.1 并按回车键。出现登录页面如下图所示:
3.输入管理员的名称和密码。DCFW-1800系列安全网关提供的默认管理员名称和密码均为“admin”。 4.从<语言>下拉菜单选择Web页面语言环境,<中文>或
华为交换机常用命令配置介绍
华为交换机配置命令 华为QuidWay交换机配置命令手册: 1、开始 建立本地配置环境,将主机的串口通过配置电缆与以太网交换机的Console口连接。 在主机上运行终端仿真程序(如Windows的超级终端等),设置终端通信参数为:波特率为9600bit/s、8位数据位、1位停止位、无校验和无流控,并选择终端类型为VT100。 以太网交换机上电,终端上显示以太网交换机自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如
路由器常用命令
cisco路由器常用命令 1:三大模式 router> 用户模式 router > enable 进入特权模式 router # router > enable 进入全局配置模式 router #configure terminal router (conf)# 2:其它模式 Router(config)#interface f1/0 进入接口配置模式Router(config-if)# Router(config)#interface f1/0.1 进入子接口配置模式Router(config-subif)# Router(config)#line console 0 进入line模式Router(config-line)# Router(config)#router rip 进入路由模式Router(config-router)# 3:路由器命名 hostname routera,以routerA为例 router > enable router #configure terminal router(conf)#hostname routerA routera (conf)# 4:配置各类密码 配置特权模式密码(使能口令) enable password cisco,以cisco为例 router > enable router #configure terminal router(conf)#hostname routerA routerA (conf)# enable password cisco 设置VTY(虚拟终端接口)密码 Router(config)#line vty 0 1
透明模式Transparent Mode
Transparent Mode 在安全或者路由产品上,由于接口都是三层接口所以配置时候需要IP地址。当然有些情况,指的是有些情况,当IP地址不够用,或者其他某些蛋疼的原因没有IP地址时候。怎么办?接口运行在透明模式,也就是运行在2层中。 那么运行2层有毛好处呢? 透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变,同时解析所有通过它的数据包,既增加了网络的安全性,又降低了用户管理的复杂程度。就是不配IP地址,直接接上就用,但是安全策略还有效。这不是很帅么。 当然再帅也有遗憾,就想SRX 也有些feature 在透明模式下不支持一样: Note: Transparent mode is supported only for IPv4 traffic. 首先透明模式只支持IPv4 Note: Not all security features are supported in transparent mode: ?NAT is not supported. ?IPsec VPN is not supported. ?For ALGs, only DNS, FTP, RTSP, and TFTP ALGs are supported. Other ALGs are not supported. 另外透明模式不支持NAT IPSEc vpn 等。 尽管2层桥能力真心不错,在SRX上也能用。类似于MX上的桥工恩呢该。但是有些MX支持的功能在SRX上是不支持的。毕竟他是安全产品么。 ?Layer 2 control protocols—These protocols are used on MX Series routers for Rapid Spanning Tree Protocol (RSTP) or Multiple Spanning Tree Protocol (MSTP) in customer edge interfaces of a VPLS routing instance. ?Virtual switch routing instance—The virtual switching routing instance is used on MX Series routers to group one or more bridge domains. ?Virtual private LAN services (VPLS) routing instance—The VPLS routing instance is used on MX Series routers for point-to-multipoint LAN implementations between a set of sites in a VPN. In addition, the SRX Series devices do not support the following Layer 2 features:
H C交换机常用配置命令
H3C交换机常用配置命令 一、用户配置
锐捷-交换机密码恢复方法
网络实验室锐捷系列交换共有S2026、S2126、S3550、S3760等几个型号。 总结一下各自的修复密码方法: 1,S2026交换机密码修复 (1)建立超级终端,默认设置参数(参数9600); (2)重启交换机,同时不停得按ctrl+C(应该是有规律的),直到出现ctrl 工具菜单。 (3)输入 4——file management utilities ,如果文件不关紧要,可以输入1——Remove a file,文件名输入“config.text”,回车,即可恢复到出厂设置。 (4)按下ctrl+q,就会转到命令行模式,此时,可直接输入load命令,重启交换机。 至此交换机恢复密码工作完成。 2,S21系列交换机密码修复 方法就和s2026有所不同。 (1)打开超级终端,默认参数后,将波特率更改成57600。 (2)交换机重启上电,在3秒内完成如下工作:点击“确定”、不间断有节奏得按下ESC键,进入交换机ctrl层。 Continue with configuaration dialog ?[y/n] y ----输入y,回车。 在这里选择4——delete file;input filename :config.text ;确认y,选择6运行主程序即可。 3,S35系列交换机密码修复 修复方法与S21系列相同; 4,S3760交换机密码修复 (1)建立超级终端,默认设置参数(参数9600); (2)交换机重启上电,在3秒内完成如下工作:点击“确定”、不间断有节奏得按下CTRl+C键,进入交换机ctrl层。
(3)在这里选择1,删除config.text; The filename you want to remove :config.text;回车确认。 (4)按下ctrl+Q进入命令行界面,在ctrl>下输入load,加载主程序。修复成功。 5,RCMS修复 (1)建立超级终端,默认设置参数(参数9600); (2)交换机重启上电,在3秒内完成如下工作:点击“确定”、不间断有节奏得按下CTRl+C键,进入交换机ctrl层。 (3)在这里选择6,删除config.text; The filename you want to remove :config.text;回车确认。 (4)接下来系统会再给你一个菜单,让你选择,这时,一般是选择”Run A File“,当系统提示你输入你要Run的文件名时,你可以输入”RNGOS.BIN“,就是锐捷的商标RNG和Operat System的首字母简写。 6,路由器密码修复 (1)断掉路由器的电源,虽然大家一般说连接好线之后重启机器也行,但是我认为,这种方法成功率应该比较高。 (2)把路由器通过console口连接到PC的com口,打开“超级终端”,在选择时钟频率的时候注意,选“9600”。 (3)同时摁下“Ctrl+C”,一直按着,然后给路由器加电,注意观察窗口显示内容。 (4)过一段时间(这段时间不好确定,有时候可能是几秒,也有时候需要1到2分钟,要有耐心),窗口里会显示一个操作选择菜单。 (5)选择‘Delete A File (6)接下来系统会提示让你输入要Delete的文件名。在锐捷设备中,一般都是CONFIG.TEXT。 (7)接下来系统会再给你一个菜单,让你选择,这时,一般是选择”Run A File“,当系统提示你输入你要Run的文件名时,你可以输入”RNGOS.BIN“,就是锐捷的商标RNG和Operat System的首字母简写。 (8)最后一步,系统会重新加载交换机或路由器的缺省配置。你可以在初始化的过程中,重新配置相关信息。到这里,你就成功了!! ……………………………………………………………………
无线网桥配置方法
无线网桥配置
名词解释 : Airmax :这是由美国ubnt公司一项用于提升无线传输速率的无线技术,此技术仅限ubnt M2系列产品才能与之兼容,它的存在使无线带宽能得到最大限度的提升,网络承载能力也大幅提升,它无法与其他品牌无线AP兼容,甚至和ubnt 11g的产品也无法兼容。(可以简单的理解为动态的控制客户端连接的速率) Access Point :即ap模式,无线接入点,可以理解为无线交换机,特点:通过RJ45 (网线)输入,向外发射无线信号 Station :站模式,也叫做客户端模式,这个模式和Client是一样的意思,特点接收无线信号,以RJ45 (网线)输岀 组成一个桥接的无线网络,我们需要一个发射端,一个接收端,即AP模式《=====》客户端模式 如果我们只是需要用设备完成接收的作用,那麽使用Station客户端模式即可。 如果我们只是需要网桥做无线AP向外发射无线信号做覆盖,那麽用Access Point 模式即可 为了实现真正意义上是透明网桥,以下配置教程我们讲述的是wds桥接,我们的网桥也是根据wds所配置 下边我们进行配置网桥 1.将我们的网桥按照网桥标签所示的方式进行连接,这里用的网线是有要求的,请务必采用国标的超五类纯铜线, 网线制作的方式依照568B制作(需要注意的是,一般我们会配送一条1米的机制网线,这条网线一般是4芯或者6芯,无法用于供电,只用于POE与交换机路由器或者电脑之间的连接) I .事 d I H 白橙白蓝白绿白棕糙堀蓝棕 2. 在确定连好网线后,请将poe电源上Date IN与电脑网卡相连接,但看到电脑右下角显示 已经正常====》POE电源Date OUT这段网线是否正常 如显示 3.将电脑的网卡ip设置为固定(在网桥设置完成后,ip地址就改为自动获取)
华三华为交换机-路由器配置常用命令汇总
H3C交换机配置命令大全 1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、port link-type Access|Trunk|Hybrid 设置端口访问模式 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口 9、quit 退出当前视图模式 10、vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器配置命令大全 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、undo shutdown 打开以太网端口 8、shutdown 关闭以太网端口
EXtreme交换机密码恢复操作步骤
EXOS交换机管理员密码恢复方法 硬件平台: BlackDiamond8800 系列、SummitX 系列 软件平台: EXOS 需求描述: 管理员密码恢复,并保留交换机原有配置信息 密码恢复步骤: 1) 断电重启交换机并进入BootRom 管理界面: 针对BlackDiamond 系列机箱式交换机,连入Console 接口,按住空格键断电重启,进入BootRom 界面,提示符为BootRom>; 针对SummitX 系列固定式交换机,连入Console 口,断电重启,当Console 屏幕出现以下信息时 "Starting Default Bootloader... ”,按住空格键,成功进入BootRom界面后,提示符为BootRom>如果不成功,需重复上述断电重启过程。 针对SummitX 系列交换机堆叠,建议在密码恢复期间关闭主交换机以外的其它堆叠成员电源,避免重启过程的主交换机的随机选举。 2) 选择出厂默认配置重启 BootRom > config none Configuration selected: none BootRom > boot 3) 默认配置重启后, 以默认管理员用户帐号( admin/(no password )登录交换机: 4) 不作任何配置更改,将交换机默认配置保存为一个新配置文件( 例如: # save configuration
路由器常用配置命令
Cisco常用配置命令Cisco常用配置命令 一.交换机的基本配置 C2950# config terminal 进入全局配置模式 show interface fastethernet0/1 查看端口0/1的配置结果 show interface fastethernet0/1 status 查看端口0/1的状态 show mac-address-table 查看整个MAC地址表 clear mac-address-table restricted static 清除限定性地址 C2950(config)# hostname 2950A / 设置主机名为2950A interface f0/23 / 进入端口23的配置模式 enable password cisco / 设置enable password为cisco enable secret cisco1 / 设置enable secret为cisco1 ip address 192.168.1.1 255.255.255.0 / 设置交换机IP 地址 ip default-gateway 192.168.1.254 / 设置默认网关 ip domain-name https://www.360docs.net/doc/a815918203.html, / 设置域名 ip name-server 200.0.0.1 / 设置域名服务器 配置查看MAC地址表 mac-address-table ? mac-address-table aging-time 100 / 设置超时是时间为100s mac-address-table permanent https://www.360docs.net/doc/a815918203.html, /f0/3 加入永久地址mac-address-table restricted static 0000.0c02.bbcc / f0/6 f0/7 加入静态地址 end show mac-address-table /查看整个Mac地址表 clear mac-address-table restricted static C2950(config-if)# interface fastethernet0/1 /进入接口F0/1子配置模式 interface Ethernet0 /进入以太网口0子配置模式 no shutdown /激活接口 speed ? /查看speed命令的子命令 speed 100 /设置该端口速率为100Mb/s dulplex full/half/auto /设置该端口为全双工 description TO_PC1 /设置该端口描述为TO_PC1 show interface fastethernet 0/1 /查看端口0/1的配置结果 show interface fastethernet 0/1 status /查看端口0/1的状态 配置VTP和STP 一. 配置VTP 2950A #vlan database /进入VLAN配置子模式 show vtp status /查看VTP设置信息 show vlan /查看VLAN配置信息 copy running-config startup-config /保存配置文件 2950A(vlan)#vtp server/client /设置本交换机为server/client模式
无线网桥基础知识
无线网桥 从作用上来理解无线网桥,它可以用于连接两个或多个独立的网络段,这些独立的网络段通常位于不同的建筑内,相距几百米到几十公里。所以说它可以广泛应用在不同建筑物间的互联。同时,根据协议不同,无线网桥又可以分为2.4GHz频段的802.11b或802.11G以及采用5.8GHz频段的802.11a无线网桥。无线网桥有三种工作方式,点对点,点对多点,中继连接。特别适用于城市中的远距离通讯. 在无高大障碍(山峰或建筑)的条件下,一对速组网和野外作业的临时组网。其作用距离取决于环境和天线,现7km的点对点微波互连。一对27dbi的定向天线可以实现10km的点对点微波互连。12dbi的定向天线可以实现2km的点对点微波互连;一对只实现到链路层功能的无线网桥是透明网桥,而具有路由等网络层功能、在网络24dbi的定向天线可以实层实现异种网络互联的设备叫无线路由器,也可作为第三层网桥使用。 无线网桥通常是用于室外,主要用于连接两个网络,使用无线网桥不可能只使用一个,必需两个以上,而AP可以单独使用。无线网桥功率大,传输距离远(最大可达约50km),抗干扰能力强等,不自带天线,一般配备抛物面天线实现长距离的点对点连接。 无线路由器 一、有关协议标准 目前无线路由器产品支持的主流协议标准为IEEE 802.11g,并且向下兼容802.11b。这里首先就要认识这个标准所包含的意义。协议打头的“IEEE”是一个国际的无线标准组织,它负责电气与电子设备、试验方法、原器件、符号、定义以及测试方法等方面的标准制定。而在无线路由器领域,除了以上两种协议外,其实还有一个IEEE802.11a标准,只是由于其兼容性不太好而未被普及。而IEEE802.11b与802.11g标准是可以兼容的,它们最大的区别就是支持的传输速率不同,前者只能支持到11M,而后者可以支持54M。而新推出不久的802.11g+标准可以支持108M的无线传输速率,传输速度可以基本与有线网络持平。综上所述,如果构建一个数据传输频繁且有一定传输速率要求的无线网络,那么支持IEEE802.11g标准的无线路由器是首选;而如果是初涉无线网络,则可以选择价格相对低廉的支持IEEE802.11b的产品。 二、有关数据传输率 和有线网络类似,无线网络的传输速率是指它在一定的网络标准之下接收和发送数据的能力;不过在无线网络中,该性能和环境有很大的关系。因为在无线网络中,数据的传输是通过信号进行,而实际的使用环境或多或少都会对传输信号造成一定的干扰。 实际的情况是,无线局域网的实际传输速度只能达到产品标称最大传输速度的一半以下;比如802.11b理论最大速度为11M,通过笔者的测试,在无线网络环境较好的情况下,传输100MB的文件需要3分钟左右;而相同的环境,换为支持802.11g的产品,传输100MB 的文件就只需要30秒左右。因此在选购产品时,在你需要的传输速率的基础上,还应作上浮考虑。 三、有关信号覆盖 即在举例路由器参数中提到的“有效工作距离”,这一项也是无线路由器的重要参数之一;顾名思义也就是说只有在无线路由器的信号覆盖范围内,其他计算机才能进行无线连接。“室内100米,室外400米”同样也是理想值,它会随网络环境的不同而各异;通常室内在50米范围内都可有较好的无线信号,而室外一般来说都只能达到100-200米左右。无线路由器信号强弱同样受环境的影响较大。