cisco案例配置

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。

现有设备：CISCO 路由器2620XM （4台）和2621XM （5台），3750三层交换机，PIX-515E 防火墙，CISCO2950二层交换机（9台）

重点命令：有安全，控制，监控，监测和检测功能的命令集合和命令组合

一、两层交换机

1、基本配置

（1）设置VLAN1的IP 地址，掩码：

配置：

sw itch#config terminal

(config)#interface vlan1 ！进入到要配置IP 的接口

(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) ！设置参数

验证：

(config-if)#exit

switch#show interface vlan1

保存设置：

switch#copy running-config startup-config

（2）划分VLAN

配置：

switch#vlan database(还有一种方法) ！创建一个VLAN

switch#vlan 2

switch#exit

switch#config terminal

one port:

(config)#interface fastethernet0/0 ！进入到要被划分的端口

(config-if)#switchport access vlan 2 ！划分到一个VLAN

multiports:

(config)#interface range fastethernet0/0 -7 ！进入到要被集体划分的端口

(config-if)#switchport access vlan 2 ！划分到一个VLAN

验证：

switch#show vlan

保存：

switch#copy running-config startup-config

（3）设置trunk

配置：

switch#config terminal

(config)#interface gigabitethernet0/1 ！进入要配置成干道的接口

(config-if)#switchport mode trunk ！设置成干道

验证：

switch#show interface trunk

保存：

switch#copy running-config startup-config

（4）连接路由器

如果交换机上有多个VLAN ，则所连的路由器接口就必须有多个IP 地址。要用子接口设置多IP 地址。连接到路由器上的接口要被设置成trunk ，并且要封装干道协议：ISL ，或者802.1Q 。

配置交换机：

switch#config terminal

(config)#interface gigabitethernet0/1

(config-if)#switchport mode trunk ! 配置成干道，将自动封装802.1q 协议

配置路由器：

router#config terminal

(config)#interface fastethernet0/0.2 ！进入子接口2

(config-subif)#encapsulation dot1q 2 ！子接口对应VLAN2，并封装dot1q 协议

(config-subif)#ip address 10.1.20.1 255.255.255.0 ! 配置了10.1.20.0/24网段的网关

确认：

router#show interface fastethernet0/0

不同VLAN 下的主机可以相互ping 通，则配置成功。

保存配置

（5）连接交换机

同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后，将会自动将两端设置成干道。

2、VTP （VLAN Trunk Protocol）

（1） 作用：

允许用户集中管理网络中交换机的配。VTP 是一种消息协议，可以对整个网络内的VLAN 的添加、删除和重命名操作进行管理，以此维护VLAN 配置的一致性。

（2） 工作方式

确定一条交换机为VTP 服务器。

可以在服务器上更改VLAN 的配置，并把该配置传播到网络中的所有VTP 客户机。

当交换机配置成VTP 客户机之后，就不能物理地改变该交换机的VLAN 配置。

唯一可以更改VLAN 配置的方法是当且仅当VTP 客户端交换机接收到来自其VTP 服务器的VTP 更新信息时，才能更改。

多台VTP 服务器管理不同的VTP 客户机，必须指定一个VTP 域。服务器和客户机在各自的域内。

二、路由器

1、基本配置

（1）以太网口配置

注：路由器以太网口直接接主机用交叉线。

（2）串口配置

（3）配置静态路由

（4）配置动态路由协议

（5）配置访问控制列表（ACL ）**

（6）路由器互联

2、问题

（1）无法配置静态路由，出现“Default gateway is not set ….. ICMP redirect cache is empty” 原因：IP 路由被禁用

解决：(config)#ip routing

（2）与其他设备的接口状态上，”protocol down”

可能的原因：双绞线的接线类型不对

解决：换成直通线或者交叉线。

三、三层交换机

1、基本配置

（1）配置IP

手工配置：

(config)#interface vlan vlan-id

(config-if)#ip address ip-address subnet-mask

(config-if)#exit

(config)#ip default-gateway ip-address

确认配置：

#show interface vlan vlan-id

#show ip redirects ！确认默认网关配置

保存：＃copy running-config startup-config

使用DHCP 配置

（2）使不同VLAN 互联

（3）配置某个端口为trunk

(config)#interface fastethernet1/0/23

(config-if)#switchport encapsultion dot1q

(config-if)#switchport mode trunk

（4）默认路由及路由协议的设定

问题

（1）多个子网连接到三层交换机，交换机上设定了每个子网对应的网关地址，交换机通过router 连接到其他的网络或者区域。三层switch 和router 上相同网段的地址无法相互ping 通。如：3750上有192.168.8.254（VLAN1），192.168.16.254（VLAN2），192.168.24.254（VLAN3）；router 上有192.168.8.1，192.168.16.1，192.168.24.1。

现象：192.168.8.254 可以ping 通192.168.8.1，但是.16. 和.24. 网段的无法ping 通。

原因：router 接到switch 上的接口没有设置成trunk 。

四、防火墙

CISCO PIX系列属于状态检测防火墙。

Note:ASA(Adaptive Secu

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。rity Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.

1、特点

（1）自适应安全算法（ASA ）

创建状态会话流表（state table）。各种连接信息都被记录进表中。

ASA 是一个有状态、面向连接的过程，它在状态表中维持会话信息，应用对状态表的安全策略来控制通过防火墙的所有流量。

连接状态包括：源/目的IP ，源/目的端口，TCP 顺序信息，附加的TCP/UDP标记。应用一个随机产生的TCP 顺序号。总称为“会话对象”。

内部不主动发出数据，要求响应，外部的数据就无法进入内部了吗。

PIX 中ASA 和状态过滤的工作机制：

a 、 内部主机开始一个对外部资源的连接

b 、 PIX 在状态表中写入一个会话（连接）对象

c 、 会话对象同安全策略相比较。如果连接不被允许，此会话对象被删除，并且连接被取消 h 、 如果安全策略认可这个连接，此连接继续向外部资源发送

j 、 外部资源响应这个请求

k 、 响应信息到达防火墙，与会话对象比较。匹配则响应信息被发送到内部主机，不匹配则连接就会被取消。

（2）贯穿式代理

认证和授权一个防火墙上输入/输出的连接。

它在应用层完成用户认证，依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理，而是进行状态检测。

（3）冗余

2、基本配置

配置完基本参数后，发现从PIX 上可以ping 通内网和外网的地址。但是内外网的主机无法相互ping 通。内网主机无法ping 通PIX 外口。但是，内网主机可以访问外网的服务器。（可能原因：PIX 默认关闭ICMP 响应？？）

基本配置命令：interface , nameif , ip address , nat , global , route

（1）激活以太端口

firewell#config terminal

(config)#interface ethernet0 auto

(config)#interface ethernet1 auto ! 外口必须用命令激活

（2）命名端口和安全级别

(config)#nameif ethernet1 inside security0

(config)#nameif ethernet0 outside security100

（3）配置内外口

firewell#config terminal

(config)#ip address inside 192.168.1.1 255.255.255.0

(config)#ip address outside 222.20.16.1 255.255.255.0

（4）配置NAT 和PAT

(config)#nat (inside) 1 0 0 ! 所有的内口地址都

(config)#nat (inside) 2 192.168.8.0 255.255.255.0

(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0

测试配置：

ping

debug

（5）DMZ 的访问

（6）转换表的操作

show xlate 显示转换表的信息

clear xlate 每次重建转换表要运行，以清除原有的转换槽，否则原信息将在超时（3小时）后才被丢弃

show conn 查找连接故障，为选择的特定选项显示所有活动的TCP 连接的数量和状态

可以更改转换表的操作：

nat ，global ，static ，route ，alias ，conduit

（7）配置网络时间协议（NTP ）

NTP server与PIX 的关系

（8）访问配置

经由PIX 的入站访问

step1：静态网络地址转换

静态网络地址转换，不节省已经分配的IP 地址

static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns]

[netmask mask] [norandomseq] [ max_cons [em_limit]]

设定一个内部地址到一个外部地址的映射

(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255

或者一个内部网络到一个外部网络的映射

(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0

静态端口地址转换，不支持H.323或者多媒体应用流量

static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]

step2：访问列表/管道

访问列表的工作基于首次匹配，所以对于入站访问而言，必须先拒绝后许可

access-list id action protocol source_address s_mask s_port destination_address d_mask d_port access-list 设定了规则，但是要用access-group 将规则设定到一个界面上，一个界面只能设一个规则。

access-group ID in interface interface_name

source_address:是lower security level interface/network

destination address：higher security level interface/network

source and destination address 都是全局地址，这样才有可比性, 并且 ACL 一般设在lower security level interface

如果ACL 设置在higher security level interface，则会控制高级到低级的数据流

access-list中的source_address是指的在access-group 中设定ACL 规则作用的接口

例子：限制内部用户对位于端口80的一个外部网络服务器的访问

(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www

(config)#access-list acl_in permit ip any any

(config)#access-group acl_in in interface inside

ASA appli

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。es to the dynamic translation slots and static translation slots.

Create static translation slots with the static command

Create dynamic translation slots with the global command

对象分组

[no] object-group object-type grp-id

network 对象类型：

(config)#object-group network web-servers ! 设定分组名称

(config-network)#description Public web servers ！分组描述

(config-network)#network-object host 192.168.1.12 ！添加分组对象

(config-network)#network-object host 192.168.1.14 ！添加分组对象

(config-network)#network-object host mis.web.server4 ！添加分组对象

(config-network)#exit

(config)#access-list 102 permit tcp any object-group web_servers eq www

(config)#access-group 102 in interface outside

显示配置的对象分组：

show access-group

protocol 对象类型：

进入对象配置接口：object-group protocol grp-id

(config-protocol)#protocol-object tcp ! 添加分组成员

service 对象类型：

进入对象配置接口：object-group service obj_grp_id tcp | udp | tcp-udp

(config)#object-group service mis_service tcp

(config-service)#port-object eq ftp !eq service将一个单独的端口号加入

(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入

icmp-type 对象类型：

进入对象配置接口：object-group icmp-type icmp_test

(config-icmp-type)#icmp-object 0

(config-icmp-type)#icmp-object 3

(config-icmp-type)#icmp-object 8

fixup 命令

实例与测试

总结

1．Higher security level -> lower security level时，只要配置NAT ，global 或者static 就可以使内部主机主动访问外部server 。

2．Lower security level->higher security level时，要配置：access-list + access-group才能使外部主机主动访问内部server 。在多个端口上配置access-list ，会影响前面的配置。

3．要注意主机上的网关参数的设定。网关上应该设定默认路由，默认路由应该是接出局域网的上层设备的接口地址。

五、IP 电话

1、常用术语和缩写

PBX ：private branch (telephone) exchange，专用分组交换机

IVR ：interactive Voice Responder，交互式语音应答器

ACD ：自动呼叫分配器

CTI ：计算机电话集成

六、VPN

七、网络性能

1、应用响应时间

（1）应用响应网络变化的速度

（2）网络响应网络拥塞并改变自身链接速度的时间

2、设备性能

（1）单个网络设备的极限

设备性能测量：

错误、丢弃：

CPU 使用率：

吞吐量（每秒包）：

3、协议性能

设备动态操作能力（验证路由选择和生成树协议STP 动态的处理问题）：

4、可扩展性

拓扑：

寻址：允许路由汇总

路由选择协议：

5、可用性

设备冗余：

链路冗余：

协议弹性：

网络容量设计：发生冗余链路失效时的扩展

八、网络安全

1、周边安全

控制访问网络入口点和出口点

2、安全连接

VPNs （虚拟专用网）

3、应用安全

服务器安全：

应用程序安全：

4、身份验证

安全认证和授权

5、安全管理和监控

安全资源集中管理：

未授权活动的侦测：

九、网络结构

1、三层式模式

（1）核心层（Core layer）：只有一个目标――交换包。核心层不做任何通信控制（如访问控制于过滤），此层上的每个设备都应该能够知道到达目标网络的路径。

核心层路由器：主要功能是对所有接入的路径提供最优化服务（好用与可靠的网络）。路径通往不同的工作站和逻辑群组。其首先考虑的是可靠性，要设计成具有容错能力。适用的CISCO 路由器为7000和12000系列。

（2）分布层（Distribution layer）：主要任务是提供连接到互联网中不同的部分，以及提供到不同服务处的访问功能。如校园网络的骨干。分布层是实施管理基于策略的连接（Policy-based Connectivity）的层次。

分布层路由器：控制使用位于核心层的网络资源，必须有效利用带宽，确保服务质量。主要考虑能够选择到不同位置的最优路径。适用的CISCO 路由器为3000和4000系列。

（3）访问层（Access layer）：为工作组提供组织内的各种资源，并且可以管理网络流量与过滤用户，以符合特定用户群的需求。

访问层路由器：将广播和请求服务的流量区域化，局限流量在访问层的媒体上，控制通信流量。主要考虑经济性和有效性，过滤不必要的流量，保证服务端与客户端的通信简单流畅。适用的CISCO 路由器为1700和2600系列。

2、可扩展型网络的主要特点

（1）可靠

核心层路由器通过选择新的路径和对网络拓扑结构改变的迅速反应，来适应部分网段失效的情况。Cisco IOS所支持的加强可靠度和随时可用性的协议包括：具有可扩充性的路由协议、路由通道和拨号备份路径。

具有可扩充性的路由协议：OSPF （Open Shortest Path First），NLSP （NetWare Link Services Protocol ），EIGRP （Enhanced Interior Gateway Routing Protocol）。这些协议具有：可通达各网络，快速的收敛时间和阻塞控制。

（2）替代路径

增加物理上的冗余线路不是一个最有效的解决方法。成本高又无法控制链路中断的问题。路由器使用可扩充性的路由协议来维护一张整个网络的拓扑图。当发现问题时，路由器重新选择新的路径来转送包。

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。

现有设备：CISCO 路由器2620XM （4台）和2621XM （5台），3750三层交换机，PIX-515E 防火墙，CISCO2950二层交换机（9台）

重点命令：有安全，控制，监控，监测和检测功能的命令集合和命令组合

一、两层交换机

1、基本配置

（1）设置VLAN1的IP 地址，掩码：

配置：

sw itch#config terminal

(config)#interface vlan1 ！进入到要配置IP 的接口

(config-if)#ip address 10.1.10.253(ip) 255.255.255.0(mask) ！设置参数

验证：

(config-if)#exit

switch#show interface vlan1

保存设置：

switch#copy running-config startup-config

（2）划分VLAN

配置：

switch#vlan database(还有一种方法) ！创建一个VLAN

switch#vlan 2

switch#exit

switch#config terminal

one port:

(config)#interface fastethernet0/0 ！进入到要被划分的端口

(config-if)#switchport access vlan 2 ！划分到一个VLAN

multiports:

(config)#interface range fastethernet0/0 -7 ！进入到要被集体划分的端口

(config-if)#switchport access vlan 2 ！划分到一个VLAN

验证：

switch#show vlan

保存：

switch#copy running-config startup-config

（3）设置trunk

配置：

switch#config terminal

(config)#interface gigabitethernet0/1 ！进入要配置成干道的接口

(config-if)#switchport mode trunk ！设置成干道

验证：

switch#show interface trunk

保存：

switch#copy running-config startup-config

（4）连接路由器

如果交换机上有多个VLAN ，则所连的路由器接口就必须有多个IP 地址。要用子接口设置多IP 地址。连接到路由器上的接口要被设置成trunk ，并且要封装干道协议：ISL ，或者802.1Q 。

配置交换机：

switch#config terminal

(config)#interface gigabitethernet0/1

(config-if)#switchport mode trunk ! 配置成干道，将自动封装802.1q 协议

配置路由器：

router#config terminal

(config)#interface fastethernet0/0.2 ！进入子接口2

(config-subif)#encapsulation dot1q 2 ！子接口对应VLAN2，并封装dot1q 协议

(config-subif)#ip address 10.1.20.1 255.255.255.0 ! 配置了10.1.20.0/24网段的网关

确认：

router#show interface fastethernet0/0

不同VLAN 下的主机可以相互ping 通，则配置成功。

保存配置

（5）连接交换机

同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后，将会自动将两端设置成干道。

2、VTP （VLAN Trunk Protocol）

（1） 作用：

允许用户集中管理网络中交换机的配。VTP 是一种消息协议，可以对整个网络内的VLAN 的添加、删除和重命名操作进行管理，以此维护VLAN 配置的一致性。

（2） 工作方式

确定一条交换机为VTP 服务器。

可以在服务器上更改VLAN 的配置，并把该配置传播到网络中的所有VTP 客户机。

当交换机配置成VTP 客户机之后，就不能物理地改变该交换机的VLAN 配置。

唯一可以更改VLAN 配置的方法是当且仅当VTP 客户端交换机接收到来自其VTP 服务器的VTP 更新信息时，才能更改。

多台VTP 服务器管理不同的VTP 客户机，必须指定一个VTP 域。服务器和客户机在各自的域内。

二、路由器

1、基本配置

（1）以太网口配置

注：路由器以太网口直接接主机用交叉线。

（2）串口配置

（3）配置静态路由

（4）配置动态路由协议

（5）配置访问控制列表（ACL ）**

（6）路由器互联

2、问题

（1）无法配置静态路由，出现“Default gateway is not set ….. ICMP redirect cache is empty” 原因：IP 路由被禁用

解决：(config)#ip routing

（2）与其他设备的接口状态上，”protocol down”

可能的原因：双绞线的接线类型不对

解决：换成直通线或者交叉线。

三、三层交换机

1、基本配置

（1）配置IP

手工配置：

(config)#interface vlan vlan-id

(config-if)#ip address ip-address subnet-mask

(config-if)#exit

(config)#ip default-gateway ip-address

确认配置：

#show interface vlan vlan-id

#show ip redirects ！确认默认网关配置

保存：＃copy running-config startup-config

使用DHCP 配置

（2）使不同VLAN 互联

（3）配置某个端口为trunk

(config)#interface fastethernet1/0/23

(config-if)#switchport encapsultion dot1q

(config-if)#switchport mode trunk

（4）默认路由及路由协议的设定

问题

（1）多个子网连接到三层交换机，交换机上设定了每个子网对应的网关地址，交换机通过router 连接到其他的网络或者区域。三层switch 和router 上相同网段的地址无法相互ping 通。如：3750上有192.168.8.254（VLAN1），192.168.16.254（VLAN2），192.168.24.254（VLAN3）；router 上有192.168.8.1，192.168.16.1，192.168.24.1。

现象：192.168.8.254 可以ping 通192.168.8.1，但是.16. 和.24. 网段的无法ping 通。

原因：router 接到switch 上的接口没有设置成trunk 。

四、防火墙

CISCO PIX系列属于状态检测防火墙。

Note:ASA(Adaptive Secu

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。rity Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.

1、特点

（1）自适应安全算法（ASA ）

创建状态会话流表（state table）。各种连接信息都被记录进表中。

ASA 是一个有状态、面向连接的过程，它在状态表中维持会话信息，应用对状态表的安全策略来控制通过防火墙的所有流量。

连接状态包括：源/目的IP ，源/目的端口，TCP 顺序信息，附加的TCP/UDP标记。应用一个随机产生的TCP 顺序号。总称为“会话对象”。

内部不主动发出数据，要求响应，外部的数据就无法进入内部了吗。

PIX 中ASA 和状态过滤的工作机制：

a 、 内部主机开始一个对外部资源的连接

b 、 PIX 在状态表中写入一个会话（连接）对象

c 、 会话对象同安全策略相比较。如果连接不被允许，此会话对象被删除，并且连接被取消 h 、 如果安全策略认可这个连接，此连接继续向外部资源发送

j 、 外部资源响应这个请求

k 、 响应信息到达防火墙，与会话对象比较。匹配则响应信息被发送到内部主机，不匹配则连接就会被取消。

（2）贯穿式代理

认证和授权一个防火墙上输入/输出的连接。

它在应用层完成用户认证，依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理，而是进行状态检测。

（3）冗余

2、基本配置

配置完基本参数后，发现从PIX 上可以ping 通内网和外网的地址。但是内外网的主机无法相互ping 通。内网主机无法ping 通PIX 外口。但是，内网主机可以访问外网的服务器。（可能原因：PIX 默认关闭ICMP 响应？？）

基本配置命令：interface , nameif , ip address , nat , global , route

（1）激活以太端口

firewell#config terminal

(config)#interface ethernet0 auto

(config)#interface ethernet1 auto ! 外口必须用命令激活

（2）命名端口和安全级别

(config)#nameif ethernet1 inside security0

(config)#nameif ethernet0 outside security100

（3）配置内外口

firewell#config terminal

(config)#ip address inside 192.168.1.1 255.255.255.0

(config)#ip address outside 222.20.16.1 255.255.255.0

（4）配置NAT 和PAT

(config)#nat (inside) 1 0 0 ! 所有的内口地址都

(config)#nat (inside) 2 192.168.8.0 255.255.255.0

(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0

测试配置：

ping

debug

（5）DMZ 的访问

（6）转换表的操作

show xlate 显示转换表的信息

clear xlate 每次重建转换表要运行，以清除原有的转换槽，否则原信息将在超时（3小时）后才被丢弃

show conn 查找连接故障，为选择的特定选项显示所有活动的TCP 连接的数量和状态

可以更改转换表的操作：

nat ，global ，static ，route ，alias ，conduit

（7）配置网络时间协议（NTP ）

NTP server与PIX 的关系

（8）访问配置

经由PIX 的入站访问

step1：静态网络地址转换

静态网络地址转换，不节省已经分配的IP 地址

static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns]

[netmask mask] [norandomseq] [ max_cons [em_limit]]

设定一个内部地址到一个外部地址的映射

(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255

或者一个内部网络到一个外部网络的映射

(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0

静态端口地址转换，不支持H.323或者多媒体应用流量

static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]

step2：访问列表/管道

访问列表的工作基于首次匹配，所以对于入站访问而言，必须先拒绝后许可

access-list id action protocol source_address s_mask s_port destination_address d_mask d_port access-list 设定了规则，但是要用access-group 将规则设定到一个界面上，一个界面只能设一个规则。

access-group ID in interface interface_name

source_address:是lower security level interface/network

destination address：higher security level interface/network

source and destination address 都是全局地址，这样才有可比性, 并且 ACL 一般设在lower security level interface

如果ACL 设置在higher security level interface，则会控制高级到低级的数据流

access-list中的source_address是指的在access-group 中设定ACL 规则作用的接口

例子：限制内部用户对位于端口80的一个外部网络服务器的访问

(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www

(config)#access-list acl_in permit ip any any

(config)#access-group acl_in in interface inside

ASA appli

您正在看的网络管理员教程是:基础入门：Cisco 配置手记。es to the dynamic translation slots and static translation slots.

Create static translation slots with the static command

Create dynamic translation slots with the global command

对象分组

[no] object-group object-type grp-id

network 对象类型：

(config)#object-group network web-servers ! 设定分组名称

(config-network)#description Public web servers ！分组描述

(config-network)#network-object host 192.168.1.12 ！添加分组对象

(config-network)#network-object host 192.168.1.14 ！添加分组对象

(config-network)#network-object host mis.web.server4 ！添加分组对象

(config-network)#exit

(config)#access-list 102 permit tcp any object-group web_servers eq www

(config)#access-group 102 in interface outside

显示配置的对象分组：

show access-group

protocol 对象类型：

进入对象配置接口：object-group protocol grp-id

(config-protocol)#protocol-object tcp ! 添加分组成员

service 对象类型：

进入对象配置接口：object-group service obj_grp_id tcp | udp | tcp-udp

(config)#object-group service mis_service tcp

(config-service)#port-object eq ftp !eq service将一个单独的端口号加入

(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入

icmp-type 对象类型：

进入对象配置接口：object-group icmp-type icmp_test

(config-icmp-type)#icmp-object 0

(config-icmp-type)#icmp-object 3

(config-icmp-type)#icmp-object 8

fixup 命令

实例与测试

总结

1．Higher security level -> lower security level时，只要配置NAT ，global 或者static 就可以使内部主机主动访问外部server 。

2．Lower security level->higher security level时，要配置：access-list + access-group才能使外部主机主动访问内部server 。在多个端口上配置access-list ，会影响前面的配置。

3．要注意主机上的网关参数的设定。网关上应该设定默认路由，默认路由应该是接出局域网的上层设备的接口地址。

五、IP 电话

1、常用术语和缩写

PBX ：private branch (telephone) exchange，专用分组交换机

IVR ：interactive Voice Responder，交互式语音应答器

ACD ：自动呼叫分配器

CTI ：计算机电话集成

六、VPN

七、网络性能

1、应用响应时间

（1）应用响应网络变化的速度

（2）网络响应网络拥塞并改变自身链接速度的时间

2、设备性能

（1）单个网络设备的极限

设备性能测量：

错误、丢弃：

CPU 使用率：

吞吐量（每秒包）：

3、协议性能

设备动态操作能力（验证路由选择和生成树协议STP 动态的处理问题）：

4、可扩展性

拓扑：

寻址：允许路由汇总

路由选择协议：

5、可用性

设备冗余：

链路冗余：

协议弹性：

网络容量设计：发生冗余链路失效时的扩展

八、网络安全

1、周边安全

控制访问网络入口点和出口点

2、安全连接

VPNs （虚拟专用网）

3、应用安全

服务器安全：

应用程序安全：

4、身份验证

安全认证和授权

5、安全管理和监控

安全资源集中管理：

未授权活动的侦测：

九、网络结构

1、三层式模式

（1）核心层（Core layer）：只有一个目标――交换包。核心层不做任何通信控制（如访问控制于过滤），此层上的每个设备都应该能够知道到达目标网络的路径。

核心层路由器：主要功能是对所有接入的路径提供最优化服务（好用与可靠的网络）。路径通往不同的工作站和逻辑群组。其首先考虑的是可靠性，要设计成具有容错能力。适用的CISCO 路由器为7000和12000系列。

（2）分布层（Distribution layer）：主要任务是提供连接到互联网中不同的部分，以及提供到不同服务处的访问功能。如校园网络的骨干。分布层是实施管理基于策略的连接（Policy-based Connectivity）的层次。

分布层路由器：控制使用位于核心层的网络资源，必须有效利用带宽，确保服务质量。主要考虑能够选择到不同位置的最优路径。适用的CISCO 路由器为3000和4000系列。

（3）访问层（Access layer）：为工作组提供组织内的各种资源，并且可以管理网络流量与过滤用户，以符合特定用户群的需求。

访问层路由器：将广播和请求服务的流量区域化，局限流量在访问层的媒体上，控制通信流量。主要考虑经济性和有效性，过滤不必要的流量，保证服务端与客户端的通信简单流畅。适用的CISCO 路由器为1700和2600系列。

2、可扩展型网络的主要特点

（1）可靠

核心层路由器通过选择新的路径和对网络拓扑结构改变的迅速反应，来适应部分网段失效的情况。Cisco IOS所支持的加强可靠度和随时可用性的协议包括：具有可扩充性的路由协议、路由通道和拨号备份路径。

具有可扩充性的路由协议：OSPF （Open Shortest Path First），NLSP （NetWare Link Services Protocol ），EIGRP （Enhanced Interior Gateway Routing Protocol）。这些协议具有：可通达各网络，快速的收敛时间和阻塞控制。

（2）替代路径

增加物理上的冗余线路不是一个最有效的解决方法。成本高又无法控制链路中断的问题。路由器使用可扩充性的路由协议来维护一张整个网络的拓扑图。当发现问题时，路由器重新选择新的路径来转送包。