思科配置vlan怎么让管理科联通右边的服务器 vlan trunk 都设好了
点击联系发帖人
时间:2018-04-12 09:20
查看:10540|回复:15
提示: 作者被禁止或删除 内容自动屏蔽
思 科 技 术
做成TRUNK 模式, 就可以了。
没别的什么
现在的努力 、
是为了实现小时候吹过的牛逼 !!
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在三层交换机划3个vlan 并且分配vlan ip 交换机之间的接口为trunk口&&pc的网管指向该vlan的ip&&这样应该可以
初级工程师
这个只能二层和三层之前配置trunk。
三层本身存在着路由,各个vlan是可以进行访问的。
在事实面前,我们的想像力越发达,后果就越不堪设想。。
提示: 作者被禁止或删除 内容自动屏蔽
首先3560上的3个SVI接口和trunk配好以后,PC访问内网Server就没问题了
想访问外网Server,在3560上之指路由上去就可以了
可以再起个SVI接口和上边直连的路由器接口一个网段
去外网服务器的流量的下一跳指路由器接口地址
至于限制vlan10访问vlan20
在vlan10的SVI接口上配访问控制列表deny掉目的去往vlan20的流量就行了
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在3560上每个vlan起svi,并且“ip routing”开启三层路由功能;
3560与二层交换机直接配置trunk;
以上保证所有pc能访问服务器。
要使vlan10不能访问vlan20,则在vlan10的svi接口上配置
access-list 10 deny ip source 192.168.10.0 0.0.0.255
dest 192.168.20.0 0.0.0.255
中级工程师
引用:原帖由 tonyzhang3508 于
22:34 发表
你是我亲哥 ,谢谢了!已经ok 了! 我也碰到这个问题,想请问下怎么弄。
现在我的服务器与交换机相连的口,配置成TRUNK,但是还是ping不通服务器。
请问是什么原因哦?
引用:原帖由 lszhabcd 于
09:58 发表
我也碰到这个问题,想请问下怎么弄。
现在我的服务器与交换机相连的口,配置成TRUNK,但是还是ping不通服务器。
请问是什么原因哦? 6楼的说过了。你就把三层跟二层交换机相连的端口配置trunk,服务器的那个不用配置。你看下,可以不。
看上去 看一看Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,_百度知道
Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,
Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,但是交换机的两个端口怎么绑在一起?Vlan为11,求confg t之后的详细步骤,不要讲理论了,谢谢。
我有更好的答案
服务器双网卡,TEAMING
或者你用802.3AD协议做多链路捆绑,这些都是需要设置的交换机的两个端口就做成以太网通道这样可以实现你的要求配置网上大把.baidu,你先定下思路,参考下面:我补充一点,有人说直接SW ACC VLAN 11可以通不说点理论怎么做
采纳率:24%
来自团队:
interface range XXX
如果不是连续的端口,就分别进入然后重复下面的channel-group 1 mode X
这里mode后面选什么要看服务器了,可以选auto试一下要进入这个聚合端口interface port-channel 1其他配置当普通交换口就行sw access vlan 11 之类的
进入那两个端口,直接sw acc vlan 11不行么?
为您推荐:
其他类似问题
cisco交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。wndr3800刷LEDE,设置vlan解决IPTV、wan、lan一条线 - OPENWRT专版 -
恩山无线论坛 -
Powered by Discuz!
后使用快捷导航没有帐号?
只需一步,快速开始
请完成以下验证码
请完成以下验证码
查看: 26296|回复: 99
wndr3800刷LEDE,设置vlan解决IPTV、wan、lan一条线
本帖最后由 C.w 于
08:41 编辑
WNDR3800一直用的原版固件,昨天晚上无聊,下载原版LEDE 17.01.0,刷机后发现竟然自带交换机功能,哈哈,第一次见到(看大神配置vlan都是用命令,一看到命令就头疼,)。所以,决定直接用WNDR3800替换下一台交换机。(原来是用两台网管交换机trunk在一起的)新人第一次发帖,大神勿喷为什么要这么做呢?
1、从弱电盒到客厅就一根网线。2、客厅电视装有联通IPTV。
3、客厅有个esxi小服务器(带风扇,影响晚上睡眠,只能放客厅),其他房间有一台笔记本和台式电脑。4、希望家里主要设备都跑上千兆,方便拷贝资料、电影。
现有设备:Wndr3800一台,BL-SG108M(全千兆简单网管)交换机。
原来布局:
IMG_700.jpg (30.74 KB, 下载次数: 5)
15:00 上传
改造如下:纯手画,不懂用高级软件
IMG_322.jpg (57.05 KB, 下载次数: 3)
13:55 上传
再上一张LEDE交换机设置图
QQ截图28.png (26.38 KB, 下载次数: 6)
13:56 上传
网上资料说这款WNDR3800的交换机有点特殊,wan口是独立千兆,并不是交换机芯片的接口
6fa9c34cda&.png (49.54 KB, 下载次数: 1)
13:58 上传
选择【网络】-【接口】新增一个接口,选择刚生成的eth0.3, 防火墙选择wan
2323.jpg (62.67 KB, 下载次数: 3)
14:03 上传
剩下的就是把原来的wan关掉,然后设置新增的端口就搞定了!效果如下:
QQ截图02.png (39.54 KB, 下载次数: 3)
14:08 上传
再上两张实物图
QQ截图24.jpg (41.85 KB, 下载次数: 2)
14:17 上传
QQ截图07.jpg (56.22 KB, 下载次数: 2)
14:17 上传
(红框部分原来放着另一台交换机)
但是问题来了,查看路由器负载,原来空载一般都是0.01~0.1,现在一直在0.01~0.3跳动。
打开IPTV+电脑全速下载(30Mb联通,下载大约4MB/S)+局域网复制文件50MB/S,大约0.3~0.5
原来满速下载也没测试过,
问题1、eth0.3端口属于cpu和交换机芯片之间的端口,会tag,需要消耗cpu资源吗?
问题2、IPTV数据只经过交换机,也消耗cpu资源?
有大神帮我解释一下吗?如果是我设置问题还请大神帮忙指正。
1、回答上述问题,tag基本上影响不大。无需太过考虑。
2、上个月山东联通提速200M,自己从网上购入千兆猫。经过测试,目前网络还是可以撑得住的。满速下载的时候cpu也没爆满。看来3800还能再战几年。(就是wifi不支持AC,还好手机没有大流量需求)
上测速结果。
5.png (22.9 KB, 下载次数: 0)
08:29 上传
谢谢楼主的指导,VLAN完美成功拉!!
本帖被以下淘专辑推荐:
& |主题: 98, 订阅: 41
我的恩山、我的无线
The best wifi forum is right here.
帮顶,我也是只有一根线,不过我已经放弃iptv了,不会弄
我记得那时候好几年前电信的IPTV, 我自己是有一只比较老的TP-LINK的一体机, IPTV是固件里面有集成自带的. 只要选择开启IPTV 然后在里面指定路由器上某个LAN口比如LAN2为IPTV口就可以了,其它的口可以上网.&
我的恩山、我的无线
The best wifi forum is right here.
本帖最后由
19:15 编辑
不消耗CPU的,而且也不占用带宽。上海电信家里1个4K IPTV,一个标清IPTV同时在看回看。网络测速200M超过。我用的MW4530R拨号的。
11111.jpg (36.99 KB, 下载次数: 3)
19:14 上传
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看看5分钟负载就非常低。总的看来不影响使用,网速都挺正常的。&
我的恩山、我的无线
The best wifi forum is right here.
电信不同地区貌似iptv认证协议有区别。在我大成都,只要将iptv接入内网交换机,整个内网端口均可实现iptv组播数据和网络tcp/ip数据同传,十分简单。但是上海,据说是两层认证。需要vlan并且与局端vlan号一致,不可避免需要支持vlan的交换机才能实现在一条电缆同时传输iptv组播数据和普通tcp/ip数据。
此外,不论是op还是lede,默认禁用了网桥的IGMP Snooping功能,iptv组播数据会在vlan中广播,造成不必要的流量,尤其对wifi影响较大,需要手动修改network配置启用,官方文档。
请问,lede如何启用IGMP Snooping呢?谢谢,请指导一下&
我的iptv是单独的vlan,不知道会不会广播到wifi上,我得去学习下你说的IGMP。多谢~&
我的恩山、我的无线
The best wifi forum is right here.
如果宽带是百M以下,完全可以不用那个网管交换机。
4芯接宽带,另4芯接IPTV。
原来考虑过,不过我的nas只能放在客厅,需要千兆。原来放在一个卧室,现在有小孩子了,卧室都有人住了。&
我的恩山、我的无线
The best wifi forum is right here.
不消耗CPU的,而且也不占用带宽。上海电信家里1个4K IPTV,一个标清IPTV同时在看回看。网络测速200M超过。 ...
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看看5分钟负载就非常低。总的看来不影响使用,网速都挺正常的。
只要开着luci首页,负载就会一直涨&
我的恩山、我的无线
The best wifi forum is right here.
电信不同地区貌似iptv认证协议有区别。在我大成都,只要将iptv接入内网交换机,整个内网端口均可实现iptv组 ...
我的iptv是单独的vlan,不知道会不会广播到wifi上,我得去学习下你说的IGMP。多谢~
我的恩山、我的无线
The best wifi forum is right here.
如果宽带是百M以下,完全可以不用那个网管交换机。
4芯接宽带,另4芯接IPTV。
原来考虑过,不过我的nas只能放在客厅,需要千兆。原来放在一个卧室,现在有小孩子了,卧室都有人住了。
我的恩山、我的无线
The best wifi forum is right here.
C.w 发表于
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看 ...
只要开着luci首页,负载就会一直涨
看来是这么回事,只要开着实时负载,cpu的负载就会越来越高,看来只是ui的问题,应该跟vlan关系不大。&
我的恩山、我的无线
The best wifi forum is right here.
只要开着luci首页,负载就会一直涨
看来是这么回事,只要开着实时负载,cpu的负载就会越来越高,看来只是ui的问题,应该跟vlan关系不大。
我的恩山、我的无线
The best wifi forum is right here.
楼主,买个单网口的小主机 怎么用3800扩wan口
你这是用单网口小主机做单臂路由器吧。
比如用3800 lan1连接小主机
lan2、lan3做wan
可以这么配置
端口1、端口2、端口3、端口4
vlanid1——un、关、关、un
vlanid2——t、un、关、&
我的恩山、我的无线
The best wifi forum is right here.
楼主,买个单网口的小主机 怎么用3800扩wan口
你这是用单网口小主机做单臂路由器吧。
比如用3800&&lan1连接小主机
lan2、lan3做wan
可以这么配置
& && && &端口1、端口2、端口3、端口4
vlanid1——un、关、关、un& &
vlanid2——t、un、关、关
vlanid3——t、关、un、关
不知道我的表述你能不能听得懂,我不太会专业属于,只知道点皮毛。
un 是不关联的意思?t 是关联的意思? 像这样吗&
我的恩山、我的无线
The best wifi forum is right here.
你这是用单网口小主机做单臂路由器吧。
比如用3800&&lan1连接小主机
lan2、lan3做wan
un 是不关联的意思?t& &是关联的意思? 像这样吗
(33.22 KB, 下载次数: 5)
18:21 上传
嗯,un就是不关联,t是关联,
不过你这刷的版本跟我不一样,你这里的端口号跟路由器的lan的编号应该不一样,自己先插拔一下,挨个记录下,
你设置的图在我看来 端口0接小主机,vlan1端口3是lan,但是这个端口应该&
我的恩山、我的无线
The best wifi forum is right here.
一看你就是搞网络的,哈哈。VLAN本来就依赖网络设备的IOS(操作系统)的软件功能,和硬件并没有直接的关系,因为VLAN的本质上就是在传统的以太网MAC帧上加上一个VLAN_TAG的标签,这完全是用软件的方法实现的。所以你说的吃CPU就不足为奇了。
已经稳定用了很长时间,交换机上的vlan,占用cpu也不算多,看来主要还是openwrt luci的问题。感觉是个bug。&
我的恩山、我的无线
The best wifi forum is right here.
楼主 你还要多久出现啊
我的恩山、我的无线
The best wifi forum is right here.
Powered byCisco技术区常用配置实例整理(1)
互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(Network Address Translation―网络地址转换),日益广泛地应用起来。NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。
NAT的实现方案多种多样,本文以思科2611为平台,通过一个实例描述了NAT的应用。
思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:
1. 静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。
2. 动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。
3. 端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。
如上图所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。
具体配置步骤如下:
1. 选择E0作为内部接口,S0作为外部接口
interface e0
ip address 192.168.100.1 255.255.255.0
ip nat inside /*配置e0为内部接口*/
interface s0
ip address 202.103.100.129 255.255.255.248
ip nat outside /*配置s0为外部接口*/
2. 为各部门配置地址池(finance-财务部门;other-其它部门):
ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248
ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248
3. 用访问控制列表检查数据包的源地址并映射到不同的地址池
ip nat inside source list 1 pool finance overload /*overload-启用端口复用*/
ip nat inside source list 2 pool other / *动态地址转换*/
4. 定义访问控制列表
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.30.0 0.0.0.255
5. 建立静态地址转换,并开放WEB端口(TCP 80)
ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80
6. 设置缺省路由
ip route 0.0.0.0 0.0.0.0 s0
经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段。
至此,一个企业NAT互联网接入方案就完成了。
典型以太网络建立多个VLAN
实例:典型以太网络建立多个VLAN
所谓典型局域网就是指由一台具备三层交换功能的核心接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing&& 需要做的工作:
1、设置vtp domain(核心、分支交换机上都设置)
2、配置中继(核心、分支交换机上都设置)
3、创建vlan(在server上设置)
4、将交换机端口划入vlan
5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。 交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。
com#vlan database 进入vlan配置模式
com(vlan)#vtp domain com 设置vtp管理域名称 com
com(vlan)#vtp server 设置交换机为服务器模式
par1#vlan database 进入vlan配置模式
par1(vlan)#vtp domain com 设置vtp管理域名称com
par1(vlan)#vtp client 设置交换机为客户端模式
par2#vlan database 进入vlan配置模式
par2(vlan)#vtp domain com 设置vtp管理域名称com
par2(vlan)#vtp client 设置交换机为客户端模式
par3#vlan database 进入vlan配置模式
par3(vlan)#vtp domain com 设置vtp管理域名称com
par3(vlan)#vtp client 设置交换机为客户端模式 注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。
2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。 cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进行整个网络的vlan分配和进行配置。
在核心交换机端配置如下:
com(config)#interface gigabitethernet 2/1
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/2
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/3
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
在分支交换机端配置如下:
par1(config)#interface gigabitethernet 0/1
par1(config-if)#switchport mode trunk
par2(config)#interface gigabitethernet 0/1
par2(config-if)#switchport mode trunk
par3(config)#interface gigabitethernet 0/1
par3(config-if)#switchport mode trunk && 此时,管理域算是设置完毕了。
3、创建vlan一旦建立了管理域,就可以创建vlan了。
com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan
com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan
com(vlan)#vlan 12 name managing 创建了一个编号为12 名字为managing的 vlan
注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入vlan
例如,要将par1、par2、par3&&分支交换机的端口1划入counter vlan,端口2划入market vlan,端口3划入managing vlan&&
par1(config)#interface fastethernet 0/1 配置端口1
par1(config-if)#switchport access vlan 10 归属counter vlan
par1(config)#interface fastethernet 0/2 配置端口2
par1(config-if)#switchport access vlan 11 归属market vlan
par1(config)#interface fastethernet 0/3 配置端口3
par1(config-if)#switchport access vlan 12 归属managing vlan
par2(config)#interface fastethernet 0/1 配置端口1
par2(config-if)#switchport access vlan 10 归属counter vlan
par2(config)#interface fastethernet 0/2 配置端口2
par2(config-if)#switchport access vlan 11 归属market vlan
par2(config)#interface fastethernet 0/3 配置端口3
par2(config-if)#switchport access vlan 12 归属managing vlan
par3(config)#interface fastethernet 0/1 配置端口1
par3(config-if)#switchport access vlan 10 归属counter vlan
par3(config)#interface fastethernet 0/2 配置端口2
par3(config-if)#switchport access vlan 11 归属market vlan
par3(config)#interface fastethernet 0/3 配置端口3
par3(config-if)#switchport access vlan 12 归属managing vlan
5、配置三层交换
到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况,其一,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。
假设给vlan counter分配的接口ip地址为172.16.58.1/24,网络地址为:172.16.58.0,
vlan market 分配的接口ip地址为172.16.59.1/24,网络地址为:172.16.59.0,
vlan managing分配接口ip地址为172.16.60.1/24, 网络地址为172.16.60.0
如果动态分配ip地址,则设网络上的dhcp服务器ip地址为172.16.1.11。
(1)给vlan所有的节点分配静态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:
com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。
(2)给vlan所有的节点分配动态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址,如下所示:
com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
再在dhcp服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的&路由器&选项设置为对应vlan的接口ip地址。这样,可以保证所有的vlan也可以互访了。
最后在各接入vlan的计算机进行网络设置,将ip地址选项设置为自动获得ip地址即可。
VPN实例配置方案-中文注解
Router:sam-i-am(VPN Server)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
hostname sam-i-am
ip subnet-zero
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
line con 0
transport input none
line aux 0
line vty 0 4
password ww
Router:dr_whoovie(VPN Client)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname dr_whoovie
ip subnet-zero
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
line con 0
transport input none
line aux 0
line vty 0 4
password ww
-----------IKE配置----------------
IPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable
(global)no crypto isakmp enable
默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
(2)(可选)定义算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法
(isamkp)hash {sha | md5}
(4)(可选)定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
rsa-encr 不需要CA,提供防止抵赖功能
pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期
(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正
常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain
(2)产生RSA密钥
(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名
(global)crypto ca identity name
--设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用
--(可选)使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
--(可选)设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表
(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA
(global)crypto ca trusted-root name
--(可选)从可信的根请求CRL
(ca-root)crl query url
--定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}
(global)crypto ca authenticate name
(6)用CA注册路由器
(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥
(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链
(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
--指定远程对等端的公开密钥
(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
6、(可选)使用IKE模式
(1)定义要分发的&内部&或者受保护IP地址库
(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图
(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量
(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射
(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id
pix虚拟防火墙配置实例
PIXFW(config)# sh run
PIX Version 7.0(2) &system&
interface Ethernet0
speed 1920
duplex full
interface Ethernet0.1
interface Ethernet0.2
interface Ethernet1
interface Ethernet2
interface Ethernet3
interface Ethernet4
interface Ethernet5
enable password 8Ry2YjIyt7RRXU24 encrypted
hostname PIXFW
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context OA
context OA
allocate-interface Ethernet0.1
allocate-interface Ethernet1
config-url flash:/OA.cfg
context FMIS
allocate-interface Ethernet0.2
allocate-interface Ethernet2
config-url flash:/FMIS.cfg
Cryptochecksum:53517dcd4fe74fdcb51a1d24e90b1469
PIXFW(config)# sh interface
Interface Ethernet0 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Full-Duplex(Full-duplex), 1920 Mbps(1920 Mbps)
Available for allocation to a context
MAC address .02ea, MTU not set
IP address unassigned
525 packets input, 83359 bytes, 0 no buffer
Received 83 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1935 packets output, 150750 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet0.1 &&, is up, line protocol is up
VLAN identifier 5
Available for allocation to a context
Interface Ethernet0.2 &&, is up, line protocol is up
VLAN identifier 6
Available for allocation to a context
Interface Ethernet1 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)
Available for allocation to a context
MAC address .02eb, MTU not set
IP address unassigned
2757 packets input, 225620 bytes, 0 no buffer
Received 1869 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
159 packets output, 12400 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet2 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)
Available for allocation to a context
MAC address .3021, MTU not set
IP address unassigned
1672 packets input, 127807 bytes, 0 no buffer
Received 798 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
117 packets output, 9158 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet3 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3023, MTU not set
IP address unassigned
1192 packets input, 14154 bytes, 0 no buffer
Received 1926 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
129 packets output, 8296 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet4 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3020, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
Interface Ethernet5 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3022, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
PIXFW(config)# chang context OA
PIXFW/OA(config)# sh run
PIX Version 7.0(2) &context&
interface Ethernet0.1
nameif outside
security-level 0
ip address 192.130.6.49 255.255.255.252
interface Ethernet1
nameif inside
security-level 1920
ip address 192.193.166.238 255.255.255.0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname OA
access-list PING extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
monitor-interface inside
no asdm history enable
arp timeout 14400
nat (inside) 0 192.193.166.0 255.255.255.0
access-group PING in interface outside
route outside 0.0.0.0 0.0.0.0 192.130.6.50 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
service-policy global_policy global
Cryptochecksum:46ffeba4d29c11a66379
PIXFW/OA(config)#
PIXFW/OA(config)# chang context FMIS
PIXFW/FMIS(config)# sh run
PIX Version 7.0(2) &context&
interface Ethernet0.2
nameif outside
security-level 0
ip address 192.135.178.65 255.255.255.252
interface Ethernet2
nameif inside
security-level 1920
ip address 192.135.181.126 255.255.255.128
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FMIS
access-list 1921 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
monitor-interface inside
no asdm history enable
arp timeout 14400
nat (inside) 0 192.135.181.0 255.255.255.128
access-group 1921 in interface outside
route outside 0.0.0.0 0.0.0.0 192.135.178.66 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
service-policy global_policy global
Cryptochecksum:5854ffa0ace88731ebf452
PIXFW/FMIS# chang context sys
AAA配置实例
测试目的:通过AAA,实现用户级的授权
测试环境:TACACS+ ,1720路由器
测试过程:
实验一:用本地(LOCAL)方法进行验证和授权
配置文件:
version 12.1
hostname Router
aaa new-model
aaa authentication login myaaa group local !配置授权
aaa authorization exec myauth group local !配置认证
username user10 privilege 10 password 0 user10 !给用户分配级别
privilege exec level 10 ping !给命令分配级别
privilege exec level 10 show frame-relay
privilege exec level 10 traceroute
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth !选择TELNET的授权方式
login authentication myaaa !选择TELNET的认证方式
no scheduler allocate
实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25。
aaa的配制命令随版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local
可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。
测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。
实验二:用TACSCS+进行验证和授权
version 12.1
hostname Router
aaa new-model
aaa authentication login myaaa group tacacs+
aaa authorization exec myauth group tacacs+
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth
login authentication myaaa
no scheduler allocate
实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。
综上所述,在对小型网络管理,可以用本地授权的方式,在中心需要用TACACS+进行AAA管理。通过以上两种方式,都可以实现命令参数级的授权管理。
在中行一级网的管理中,可以结合这两种方式,可以配置路由器在进行认证时,先选择TACACS+的方式,同时配置几个本地的用户,作为TACACS+故障时的备份。
通过这样的方式,可实现对一级网的灵活管理策略。给省行一些查找错误,以及在升级软件时的相应权限,同时防止用户错误的配置及某些恶意入侵。
各种交换机端口安全总结(配置实例)
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。
首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
最后说一下802.1X的相关概念和配置。
802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-model /启用AAA认证。
3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
通过MAC地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X身份验证协议。在可控性,可管理性上802.1X都是不错的选择。
Cisco交换机Trunk配置实例
一台4506switch,通过trunk口和3550连接,在3550下再通过trunk接6台交换机!
具体配置如下:
在int gi4/1上做trunk,encapsulation dot1q
vtp domain cisco
vtp mode server划分了10个vlan
做了6个trunk口和下面的6太交换机连接!
int range fa0/1-6
switchport trunk encapsulation dot1q
switchport mode trunk
vtp domain cisco
vtp mode client
其它6台交换机的fa0/1做为trunk口和上面的3550连接;
int range fa0/1
witchport trunk encapsulation dot1q
switchport mode trunk
vtp domain cisco
vtp mode client
交换机都做TRUNK是可以互相学习到vlan信息的;
注:其他交换机中根本就没有vtp这个概念,只有Cisco的交换机可以。
PIX Failove配置实例
Failover的需求
要配置pix failover需要两台PIX满足如下要求:
型号一致(PIX 515E不能和PIX 515进行failover)
软件版本相同
激活码类型一致(都是DES或3DES)
闪存大小一致
内存大小一致
Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。
注意 Pix501、Pix506/506E均不支持Failover特性。
理解Failover
Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。
一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。
在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。
将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。
警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。
注意 使用static命令不当会造成Failover不能正常工作。
没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。
例如,下面的例子会打断正常的通讯,而不能使用:
static (inside,outside) interface 192.168.1.1
这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。
要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:
static (inside, outside) tcp interface 80 192.168.1.1 80
这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句
在主PIX上配置Failover需要使用到如下命令:
failover 启用Failover
failover ip address 为备用PIX分配接口地址
failover link 启用Stateful Failover
failover lan 配置基于网络的Failover
配置基于Failover电缆的Failover
注意 如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。
第一步 在活动的PIX上用clock set命令同步时钟
第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。
第三步 将Failover电缆上标有&Primary&的那头接到主PIX的Failover口上,标有&Secondary&的那头接到从PIX上面
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected&标志着在使用show failover命令时failover电缆未正确连接。
Normal&标志主从pix都操作正常.
Other side is not connected&标志对端未正确连接failover电缆。
Other side powered off&标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed&接口失效.
Link Down&接口链路层协议
Normal&正常
Shut Down&该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown&该接口未配置IP地
Waiting&还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十三步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
在&Stateful Failover Logical Update Statistics&一段中的各部分的意义如下:
Stateful Obj&PIX stateful对象
xmit&传送到另一台设备的包数量
xerr&在传送过程中出现的错误包的数量
rcv&收以的包数量
rerr&收到的错误包的数量
每一行的状态对象定义如下:
General&所有的状态对象汇总
sys cmd&系统命令,例LOGIN和Stay Alive
up time&启用时间
xlate&转换信息
tcp conn&CTCP连接信息
udp conn&动态UDP连接信息
ARP tbl&动态ARP表信息
RIF Tbl&动态路由表信息
第十四步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十五步 打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 &Sync Started&和&Sync Completed&两条信息.
第十六步 在备用的pix启用后,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
第十七步 使用wr mem命令将配置同时写入主从pix.
配置基于LAN的Failover
从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。
注意 要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。
在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。
配置步骤:
第一步 在活动的PIX上面用Clock set命令设置时钟
第二步 将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。
第三步 如果连接了Fairover电缆,把它给拨掉。
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected&标志着在使用show failover命令时failover电缆未正确连接。
Normal&标志主从pix都操作正常.
Other side is not connected&标志对端未正确连接failover电缆。
Other side powered off&标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed&接口失效.
Link Down&接口链路层协议
Normal&正常
Shut Down&该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown&该接口未配置IP地
Waiting&还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 将用于LAN Fairover的接口接入网络,然后在主PIX上配置:
no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
第十三步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十四步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown
在&Stateful Failover Logical Update Statistics&一段中的各部分的意义如下:
Stateful Obj&PIX stateful对象
xmit&传送到另一台设备的包数量
xerr&在传送过程中出现的错误包的数量
rcv&收以的包数量
rerr&收到的错误包的数量
每一行的状态对象定义如下:
General&所有的状态对象汇总
sys cmd&系统命令,例LOGIN和Stay Alive
up time&启用时间
xlate&转换信息
tcp conn&CTCP连接信息
udp conn&动态UDP连接信息
ARP tbl&动态ARP表信息
RIF Tbl&动态路由表信息
第十五步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十六步 在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置:
nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary &--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
作者 小邰的博客}
提示: 作者被禁止或删除 内容自动屏蔽
思 科 技 术
做成TRUNK 模式, 就可以了。
没别的什么
现在的努力 、
是为了实现小时候吹过的牛逼 !!
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在三层交换机划3个vlan 并且分配vlan ip 交换机之间的接口为trunk口&&pc的网管指向该vlan的ip&&这样应该可以
初级工程师
这个只能二层和三层之前配置trunk。
三层本身存在着路由,各个vlan是可以进行访问的。
在事实面前,我们的想像力越发达,后果就越不堪设想。。
提示: 作者被禁止或删除 内容自动屏蔽
首先3560上的3个SVI接口和trunk配好以后,PC访问内网Server就没问题了
想访问外网Server,在3560上之指路由上去就可以了
可以再起个SVI接口和上边直连的路由器接口一个网段
去外网服务器的流量的下一跳指路由器接口地址
至于限制vlan10访问vlan20
在vlan10的SVI接口上配访问控制列表deny掉目的去往vlan20的流量就行了
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
在3560上每个vlan起svi,并且“ip routing”开启三层路由功能;
3560与二层交换机直接配置trunk;
以上保证所有pc能访问服务器。
要使vlan10不能访问vlan20,则在vlan10的svi接口上配置
access-list 10 deny ip source 192.168.10.0 0.0.0.255
dest 192.168.20.0 0.0.0.255
中级工程师
引用:原帖由 tonyzhang3508 于
22:34 发表
你是我亲哥 ,谢谢了!已经ok 了! 我也碰到这个问题,想请问下怎么弄。
现在我的服务器与交换机相连的口,配置成TRUNK,但是还是ping不通服务器。
请问是什么原因哦?
引用:原帖由 lszhabcd 于
09:58 发表
我也碰到这个问题,想请问下怎么弄。
现在我的服务器与交换机相连的口,配置成TRUNK,但是还是ping不通服务器。
请问是什么原因哦? 6楼的说过了。你就把三层跟二层交换机相连的端口配置trunk,服务器的那个不用配置。你看下,可以不。
看上去 看一看Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,_百度知道
Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,
Cisco交换机两个端口绑定问题,服务器有两个网卡,插了两根线,想做一个双连路,服务器端设置好了,但是交换机的两个端口怎么绑在一起?Vlan为11,求confg t之后的详细步骤,不要讲理论了,谢谢。
我有更好的答案
服务器双网卡,TEAMING
或者你用802.3AD协议做多链路捆绑,这些都是需要设置的交换机的两个端口就做成以太网通道这样可以实现你的要求配置网上大把.baidu,你先定下思路,参考下面:我补充一点,有人说直接SW ACC VLAN 11可以通不说点理论怎么做
采纳率:24%
来自团队:
interface range XXX
如果不是连续的端口,就分别进入然后重复下面的channel-group 1 mode X
这里mode后面选什么要看服务器了,可以选auto试一下要进入这个聚合端口interface port-channel 1其他配置当普通交换口就行sw access vlan 11 之类的
进入那两个端口,直接sw acc vlan 11不行么?
为您推荐:
其他类似问题
cisco交换机的相关知识
换一换
回答问题,赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。wndr3800刷LEDE,设置vlan解决IPTV、wan、lan一条线 - OPENWRT专版 -
恩山无线论坛 -
Powered by Discuz!
后使用快捷导航没有帐号?
只需一步,快速开始
请完成以下验证码
请完成以下验证码
查看: 26296|回复: 99
wndr3800刷LEDE,设置vlan解决IPTV、wan、lan一条线
本帖最后由 C.w 于
08:41 编辑
WNDR3800一直用的原版固件,昨天晚上无聊,下载原版LEDE 17.01.0,刷机后发现竟然自带交换机功能,哈哈,第一次见到(看大神配置vlan都是用命令,一看到命令就头疼,)。所以,决定直接用WNDR3800替换下一台交换机。(原来是用两台网管交换机trunk在一起的)新人第一次发帖,大神勿喷为什么要这么做呢?
1、从弱电盒到客厅就一根网线。2、客厅电视装有联通IPTV。
3、客厅有个esxi小服务器(带风扇,影响晚上睡眠,只能放客厅),其他房间有一台笔记本和台式电脑。4、希望家里主要设备都跑上千兆,方便拷贝资料、电影。
现有设备:Wndr3800一台,BL-SG108M(全千兆简单网管)交换机。
原来布局:
IMG_700.jpg (30.74 KB, 下载次数: 5)
15:00 上传
改造如下:纯手画,不懂用高级软件
IMG_322.jpg (57.05 KB, 下载次数: 3)
13:55 上传
再上一张LEDE交换机设置图
QQ截图28.png (26.38 KB, 下载次数: 6)
13:56 上传
网上资料说这款WNDR3800的交换机有点特殊,wan口是独立千兆,并不是交换机芯片的接口
6fa9c34cda&.png (49.54 KB, 下载次数: 1)
13:58 上传
选择【网络】-【接口】新增一个接口,选择刚生成的eth0.3, 防火墙选择wan
2323.jpg (62.67 KB, 下载次数: 3)
14:03 上传
剩下的就是把原来的wan关掉,然后设置新增的端口就搞定了!效果如下:
QQ截图02.png (39.54 KB, 下载次数: 3)
14:08 上传
再上两张实物图
QQ截图24.jpg (41.85 KB, 下载次数: 2)
14:17 上传
QQ截图07.jpg (56.22 KB, 下载次数: 2)
14:17 上传
(红框部分原来放着另一台交换机)
但是问题来了,查看路由器负载,原来空载一般都是0.01~0.1,现在一直在0.01~0.3跳动。
打开IPTV+电脑全速下载(30Mb联通,下载大约4MB/S)+局域网复制文件50MB/S,大约0.3~0.5
原来满速下载也没测试过,
问题1、eth0.3端口属于cpu和交换机芯片之间的端口,会tag,需要消耗cpu资源吗?
问题2、IPTV数据只经过交换机,也消耗cpu资源?
有大神帮我解释一下吗?如果是我设置问题还请大神帮忙指正。
1、回答上述问题,tag基本上影响不大。无需太过考虑。
2、上个月山东联通提速200M,自己从网上购入千兆猫。经过测试,目前网络还是可以撑得住的。满速下载的时候cpu也没爆满。看来3800还能再战几年。(就是wifi不支持AC,还好手机没有大流量需求)
上测速结果。
5.png (22.9 KB, 下载次数: 0)
08:29 上传
谢谢楼主的指导,VLAN完美成功拉!!
本帖被以下淘专辑推荐:
& |主题: 98, 订阅: 41
我的恩山、我的无线
The best wifi forum is right here.
帮顶,我也是只有一根线,不过我已经放弃iptv了,不会弄
我记得那时候好几年前电信的IPTV, 我自己是有一只比较老的TP-LINK的一体机, IPTV是固件里面有集成自带的. 只要选择开启IPTV 然后在里面指定路由器上某个LAN口比如LAN2为IPTV口就可以了,其它的口可以上网.&
我的恩山、我的无线
The best wifi forum is right here.
本帖最后由
19:15 编辑
不消耗CPU的,而且也不占用带宽。上海电信家里1个4K IPTV,一个标清IPTV同时在看回看。网络测速200M超过。我用的MW4530R拨号的。
11111.jpg (36.99 KB, 下载次数: 3)
19:14 上传
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看看5分钟负载就非常低。总的看来不影响使用,网速都挺正常的。&
我的恩山、我的无线
The best wifi forum is right here.
电信不同地区貌似iptv认证协议有区别。在我大成都,只要将iptv接入内网交换机,整个内网端口均可实现iptv组播数据和网络tcp/ip数据同传,十分简单。但是上海,据说是两层认证。需要vlan并且与局端vlan号一致,不可避免需要支持vlan的交换机才能实现在一条电缆同时传输iptv组播数据和普通tcp/ip数据。
此外,不论是op还是lede,默认禁用了网桥的IGMP Snooping功能,iptv组播数据会在vlan中广播,造成不必要的流量,尤其对wifi影响较大,需要手动修改network配置启用,官方文档。
请问,lede如何启用IGMP Snooping呢?谢谢,请指导一下&
我的iptv是单独的vlan,不知道会不会广播到wifi上,我得去学习下你说的IGMP。多谢~&
我的恩山、我的无线
The best wifi forum is right here.
如果宽带是百M以下,完全可以不用那个网管交换机。
4芯接宽带,另4芯接IPTV。
原来考虑过,不过我的nas只能放在客厅,需要千兆。原来放在一个卧室,现在有小孩子了,卧室都有人住了。&
我的恩山、我的无线
The best wifi forum is right here.
不消耗CPU的,而且也不占用带宽。上海电信家里1个4K IPTV,一个标清IPTV同时在看回看。网络测速200M超过。 ...
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看看5分钟负载就非常低。总的看来不影响使用,网速都挺正常的。
只要开着luci首页,负载就会一直涨&
我的恩山、我的无线
The best wifi forum is right here.
电信不同地区貌似iptv认证协议有区别。在我大成都,只要将iptv接入内网交换机,整个内网端口均可实现iptv组 ...
我的iptv是单独的vlan,不知道会不会广播到wifi上,我得去学习下你说的IGMP。多谢~
我的恩山、我的无线
The best wifi forum is right here.
如果宽带是百M以下,完全可以不用那个网管交换机。
4芯接宽带,另4芯接IPTV。
原来考虑过,不过我的nas只能放在客厅,需要千兆。原来放在一个卧室,现在有小孩子了,卧室都有人住了。
我的恩山、我的无线
The best wifi forum is right here.
C.w 发表于
嗯仔细测试了下,只要开着luci管理界面,负载就会非常高,关掉之后,正常看电视上网,过一段时间再打开看 ...
只要开着luci首页,负载就会一直涨
看来是这么回事,只要开着实时负载,cpu的负载就会越来越高,看来只是ui的问题,应该跟vlan关系不大。&
我的恩山、我的无线
The best wifi forum is right here.
只要开着luci首页,负载就会一直涨
看来是这么回事,只要开着实时负载,cpu的负载就会越来越高,看来只是ui的问题,应该跟vlan关系不大。
我的恩山、我的无线
The best wifi forum is right here.
楼主,买个单网口的小主机 怎么用3800扩wan口
你这是用单网口小主机做单臂路由器吧。
比如用3800 lan1连接小主机
lan2、lan3做wan
可以这么配置
端口1、端口2、端口3、端口4
vlanid1——un、关、关、un
vlanid2——t、un、关、&
我的恩山、我的无线
The best wifi forum is right here.
楼主,买个单网口的小主机 怎么用3800扩wan口
你这是用单网口小主机做单臂路由器吧。
比如用3800&&lan1连接小主机
lan2、lan3做wan
可以这么配置
& && && &端口1、端口2、端口3、端口4
vlanid1——un、关、关、un& &
vlanid2——t、un、关、关
vlanid3——t、关、un、关
不知道我的表述你能不能听得懂,我不太会专业属于,只知道点皮毛。
un 是不关联的意思?t 是关联的意思? 像这样吗&
我的恩山、我的无线
The best wifi forum is right here.
你这是用单网口小主机做单臂路由器吧。
比如用3800&&lan1连接小主机
lan2、lan3做wan
un 是不关联的意思?t& &是关联的意思? 像这样吗
(33.22 KB, 下载次数: 5)
18:21 上传
嗯,un就是不关联,t是关联,
不过你这刷的版本跟我不一样,你这里的端口号跟路由器的lan的编号应该不一样,自己先插拔一下,挨个记录下,
你设置的图在我看来 端口0接小主机,vlan1端口3是lan,但是这个端口应该&
我的恩山、我的无线
The best wifi forum is right here.
一看你就是搞网络的,哈哈。VLAN本来就依赖网络设备的IOS(操作系统)的软件功能,和硬件并没有直接的关系,因为VLAN的本质上就是在传统的以太网MAC帧上加上一个VLAN_TAG的标签,这完全是用软件的方法实现的。所以你说的吃CPU就不足为奇了。
已经稳定用了很长时间,交换机上的vlan,占用cpu也不算多,看来主要还是openwrt luci的问题。感觉是个bug。&
我的恩山、我的无线
The best wifi forum is right here.
楼主 你还要多久出现啊
我的恩山、我的无线
The best wifi forum is right here.
Powered byCisco技术区常用配置实例整理(1)
互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(Network Address Translation―网络地址转换),日益广泛地应用起来。NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。
NAT的实现方案多种多样,本文以思科2611为平台,通过一个实例描述了NAT的应用。
思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:
1. 静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。
2. 动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。
3. 端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。
如上图所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。
具体配置步骤如下:
1. 选择E0作为内部接口,S0作为外部接口
interface e0
ip address 192.168.100.1 255.255.255.0
ip nat inside /*配置e0为内部接口*/
interface s0
ip address 202.103.100.129 255.255.255.248
ip nat outside /*配置s0为外部接口*/
2. 为各部门配置地址池(finance-财务部门;other-其它部门):
ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248
ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248
3. 用访问控制列表检查数据包的源地址并映射到不同的地址池
ip nat inside source list 1 pool finance overload /*overload-启用端口复用*/
ip nat inside source list 2 pool other / *动态地址转换*/
4. 定义访问控制列表
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 2 permit 192.168.30.0 0.0.0.255
5. 建立静态地址转换,并开放WEB端口(TCP 80)
ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80
6. 设置缺省路由
ip route 0.0.0.0 0.0.0.0 s0
经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段。
至此,一个企业NAT互联网接入方案就完成了。
典型以太网络建立多个VLAN
实例:典型以太网络建立多个VLAN
所谓典型局域网就是指由一台具备三层交换功能的核心接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing&& 需要做的工作:
1、设置vtp domain(核心、分支交换机上都设置)
2、配置中继(核心、分支交换机上都设置)
3、创建vlan(在server上设置)
4、将交换机端口划入vlan
5、配置三层交换
1、设置vtp domain。 vtp domain 称为管理域。 交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。
com#vlan database 进入vlan配置模式
com(vlan)#vtp domain com 设置vtp管理域名称 com
com(vlan)#vtp server 设置交换机为服务器模式
par1#vlan database 进入vlan配置模式
par1(vlan)#vtp domain com 设置vtp管理域名称com
par1(vlan)#vtp client 设置交换机为客户端模式
par2#vlan database 进入vlan配置模式
par2(vlan)#vtp domain com 设置vtp管理域名称com
par2(vlan)#vtp client 设置交换机为客户端模式
par3#vlan database 进入vlan配置模式
par3(vlan)#vtp domain com 设置vtp管理域名称com
par3(vlan)#vtp client 设置交换机为客户端模式 注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。
2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。 cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进行整个网络的vlan分配和进行配置。
在核心交换机端配置如下:
com(config)#interface gigabitethernet 2/1
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/2
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
com(config)#interface gigabitethernet 2/3
com(config-if)#switchport
com(config-if)#switchport trunk encapsulation isl 配置中继协议
com(config-if)#switchport mode trunk
在分支交换机端配置如下:
par1(config)#interface gigabitethernet 0/1
par1(config-if)#switchport mode trunk
par2(config)#interface gigabitethernet 0/1
par2(config-if)#switchport mode trunk
par3(config)#interface gigabitethernet 0/1
par3(config-if)#switchport mode trunk && 此时,管理域算是设置完毕了。
3、创建vlan一旦建立了管理域,就可以创建vlan了。
com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan
com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan
com(vlan)#vlan 12 name managing 创建了一个编号为12 名字为managing的 vlan
注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入vlan
例如,要将par1、par2、par3&&分支交换机的端口1划入counter vlan,端口2划入market vlan,端口3划入managing vlan&&
par1(config)#interface fastethernet 0/1 配置端口1
par1(config-if)#switchport access vlan 10 归属counter vlan
par1(config)#interface fastethernet 0/2 配置端口2
par1(config-if)#switchport access vlan 11 归属market vlan
par1(config)#interface fastethernet 0/3 配置端口3
par1(config-if)#switchport access vlan 12 归属managing vlan
par2(config)#interface fastethernet 0/1 配置端口1
par2(config-if)#switchport access vlan 10 归属counter vlan
par2(config)#interface fastethernet 0/2 配置端口2
par2(config-if)#switchport access vlan 11 归属market vlan
par2(config)#interface fastethernet 0/3 配置端口3
par2(config-if)#switchport access vlan 12 归属managing vlan
par3(config)#interface fastethernet 0/1 配置端口1
par3(config-if)#switchport access vlan 10 归属counter vlan
par3(config)#interface fastethernet 0/2 配置端口2
par3(config-if)#switchport access vlan 11 归属market vlan
par3(config)#interface fastethernet 0/3 配置端口3
par3(config-if)#switchport access vlan 12 归属managing vlan
5、配置三层交换
到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况,其一,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。
假设给vlan counter分配的接口ip地址为172.16.58.1/24,网络地址为:172.16.58.0,
vlan market 分配的接口ip地址为172.16.59.1/24,网络地址为:172.16.59.0,
vlan managing分配接口ip地址为172.16.60.1/24, 网络地址为172.16.60.0
如果动态分配ip地址,则设网络上的dhcp服务器ip地址为172.16.1.11。
(1)给vlan所有的节点分配静态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:
com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。
(2)给vlan所有的节点分配动态ip地址。
首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址,如下所示:
com(config)#interface vlan 10
com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 11
com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
com(config)#interface vlan 12
com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
com(config-if)#ip helper-address 172.16.1.11 dhcp server ip
再在dhcp服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的&路由器&选项设置为对应vlan的接口ip地址。这样,可以保证所有的vlan也可以互访了。
最后在各接入vlan的计算机进行网络设置,将ip地址选项设置为自动获得ip地址即可。
VPN实例配置方案-中文注解
Router:sam-i-am(VPN Server)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
hostname sam-i-am
ip subnet-zero
!--- IKE配置
sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!--- 配置预共享密钥为cisco123,对等端为所有IP
!--- IPSec协议配置
sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap
!--- 将动态保密图集加入到正规的图集中
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
line con 0
transport input none
line aux 0
line vty 0 4
password ww
Router:dr_whoovie(VPN Client)
Current configuration:
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
hostname dr_whoovie
ip subnet-zero
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1
!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1
!--- IPSec协议配置
dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!--- 创建变换集 esp-des esp-md5-hmac
dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp
!--- 使用IKE创建保密图rtp 1
dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside
no mop enabled
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any
access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
line con 0
transport input none
line aux 0
line vty 0 4
password ww
-----------IKE配置----------------
IPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两
IKE使用UDP端口500进行协商,确保端口500不被阻塞。
1、(可选)启用或者禁用IKE
(global)crypto isakmp enable
(global)no crypto isakmp enable
默认在所有接口上启动IKE
2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅
(2)(可选)定义算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)
(3)(可选)定义散列算法
(isamkp)hash {sha | md5}
(4)(可选)定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
rsa-encr 不需要CA,提供防止抵赖功能
pre-share 通过手工配置预共享密钥
(5)(可选)定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。
(6)(可选)定义安全关联的生命期
(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正
常初始化之后,将会在较短的一个SA周期到达中断。
3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain
(2)产生RSA密钥
(global)crypto key generate rsa
(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名
(global)crypto ca identity name
--设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用
--(可选)使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
--(可选)设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表
(ca-identity)crl optional
(4)(可选)使用可信的根CA
--确定可信的根CA
(global)crypto ca trusted-root name
--(可选)从可信的根请求CRL
(ca-root)crl query url
--定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}
(global)crypto ca authenticate name
(6)用CA注册路由器
(global)crypto ca enroll name
4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥
(global)crypto key generate rsa
(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}
(3)指定其他所有对等端的RSA密钥
--配置公共密钥链
(global)crypto key pubkey-chain rsa
--用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]
--(可选)手工配置远程对等端的IP地址
(pubkey-key)address ip-addr
--指定远程对等端的公开密钥
(pubkey-key)key-string key-string
5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类
6、(可选)使用IKE模式
(1)定义要分发的&内部&或者受保护IP地址库
(global)ip local pool pool-name start-address end-address
(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name
--------------IPSec配置----------------
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。
4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图
(global)crypto map map-name sequence ipsec-manual
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(仅适用于AH验证)手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data
--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]
(2)(可选)使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp
--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list
--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
(3)(可选)使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num
--(可选)援引保密访问列表确定受保护的流量
(crypto-map)match address access-list
--(可选)确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}
--(可选)指定要使用的变换集
(crypto-map)set transform-set tranform-set-name
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]
--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]
--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]
--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name
6、将保密映射应用到接口上
(1)指定要使用的保密映射
(interface)crypto map map-name
(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id
pix虚拟防火墙配置实例
PIXFW(config)# sh run
PIX Version 7.0(2) &system&
interface Ethernet0
speed 1920
duplex full
interface Ethernet0.1
interface Ethernet0.2
interface Ethernet1
interface Ethernet2
interface Ethernet3
interface Ethernet4
interface Ethernet5
enable password 8Ry2YjIyt7RRXU24 encrypted
hostname PIXFW
ftp mode passive
pager lines 24
no failover
no asdm history enable
arp timeout 14400
console timeout 0
admin-context OA
context OA
allocate-interface Ethernet0.1
allocate-interface Ethernet1
config-url flash:/OA.cfg
context FMIS
allocate-interface Ethernet0.2
allocate-interface Ethernet2
config-url flash:/FMIS.cfg
Cryptochecksum:53517dcd4fe74fdcb51a1d24e90b1469
PIXFW(config)# sh interface
Interface Ethernet0 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Full-Duplex(Full-duplex), 1920 Mbps(1920 Mbps)
Available for allocation to a context
MAC address .02ea, MTU not set
IP address unassigned
525 packets input, 83359 bytes, 0 no buffer
Received 83 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
1935 packets output, 150750 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet0.1 &&, is up, line protocol is up
VLAN identifier 5
Available for allocation to a context
Interface Ethernet0.2 &&, is up, line protocol is up
VLAN identifier 6
Available for allocation to a context
Interface Ethernet1 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)
Available for allocation to a context
MAC address .02eb, MTU not set
IP address unassigned
2757 packets input, 225620 bytes, 0 no buffer
Received 1869 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
159 packets output, 12400 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet2 &&, is up, line protocol is up
Hardware is i82559, BW 1920 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)
Available for allocation to a context
MAC address .3021, MTU not set
IP address unassigned
1672 packets input, 127807 bytes, 0 no buffer
Received 798 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
117 packets output, 9158 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet3 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3023, MTU not set
IP address unassigned
1192 packets input, 14154 bytes, 0 no buffer
Received 1926 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
129 packets output, 8296 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/1)
output queue (curr/max blocks): hardware (0/1) software (0/1)
Interface Ethernet4 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3020, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
Interface Ethernet5 &&, is administratively down, line protocol is down
Hardware is i82559, BW 1920 Mbps
Auto-Duplex, Auto-Speed
Available for allocation to a context
MAC address .3022, MTU not set
IP address unassigned
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
0 packets output, 0 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/12 software (0/0)
output queue (curr/max blocks): hardware (0/0) software (0/0)
PIXFW(config)# chang context OA
PIXFW/OA(config)# sh run
PIX Version 7.0(2) &context&
interface Ethernet0.1
nameif outside
security-level 0
ip address 192.130.6.49 255.255.255.252
interface Ethernet1
nameif inside
security-level 1920
ip address 192.193.166.238 255.255.255.0
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname OA
access-list PING extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
monitor-interface inside
no asdm history enable
arp timeout 14400
nat (inside) 0 192.193.166.0 255.255.255.0
access-group PING in interface outside
route outside 0.0.0.0 0.0.0.0 192.130.6.50 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
service-policy global_policy global
Cryptochecksum:46ffeba4d29c11a66379
PIXFW/OA(config)#
PIXFW/OA(config)# chang context FMIS
PIXFW/FMIS(config)# sh run
PIX Version 7.0(2) &context&
interface Ethernet0.2
nameif outside
security-level 0
ip address 192.135.178.65 255.255.255.252
interface Ethernet2
nameif inside
security-level 1920
ip address 192.135.181.126 255.255.255.128
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FMIS
access-list 1921 extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
monitor-interface inside
no asdm history enable
arp timeout 14400
nat (inside) 0 192.135.181.0 255.255.255.128
access-group 1921 in interface outside
route outside 0.0.0.0 0.0.0.0 192.135.178.66 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
service-policy global_policy global
Cryptochecksum:5854ffa0ace88731ebf452
PIXFW/FMIS# chang context sys
AAA配置实例
测试目的:通过AAA,实现用户级的授权
测试环境:TACACS+ ,1720路由器
测试过程:
实验一:用本地(LOCAL)方法进行验证和授权
配置文件:
version 12.1
hostname Router
aaa new-model
aaa authentication login myaaa group local !配置授权
aaa authorization exec myauth group local !配置认证
username user10 privilege 10 password 0 user10 !给用户分配级别
privilege exec level 10 ping !给命令分配级别
privilege exec level 10 show frame-relay
privilege exec level 10 traceroute
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth !选择TELNET的授权方式
login authentication myaaa !选择TELNET的认证方式
no scheduler allocate
实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25。
aaa的配制命令随版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local
可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。
测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。
实验二:用TACSCS+进行验证和授权
version 12.1
hostname Router
aaa new-model
aaa authentication login myaaa group tacacs+
aaa authorization exec myauth group tacacs+
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth
login authentication myaaa
no scheduler allocate
实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。
综上所述,在对小型网络管理,可以用本地授权的方式,在中心需要用TACACS+进行AAA管理。通过以上两种方式,都可以实现命令参数级的授权管理。
在中行一级网的管理中,可以结合这两种方式,可以配置路由器在进行认证时,先选择TACACS+的方式,同时配置几个本地的用户,作为TACACS+故障时的备份。
通过这样的方式,可实现对一级网的灵活管理策略。给省行一些查找错误,以及在升级软件时的相应权限,同时防止用户错误的配置及某些恶意入侵。
各种交换机端口安全总结(配置实例)
最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。
首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport mode access /指定端口模式。
3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
3550-1#conf t
3550-1(config)#int f0/1
3550-1(config-if)#switchport trunk encapsulation dot1q
3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
3550-1#conf t
3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
最后说一下802.1X的相关概念和配置。
802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
下面的配置AAA认证所使用的为本地的用户名和密码。
3550-1#conf t
3550-1(config)#aaa new-model /启用AAA认证。
3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
3550-1(config)#int range f0/1 -24
3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
通过MAC地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X身份验证协议。在可控性,可管理性上802.1X都是不错的选择。
Cisco交换机Trunk配置实例
一台4506switch,通过trunk口和3550连接,在3550下再通过trunk接6台交换机!
具体配置如下:
在int gi4/1上做trunk,encapsulation dot1q
vtp domain cisco
vtp mode server划分了10个vlan
做了6个trunk口和下面的6太交换机连接!
int range fa0/1-6
switchport trunk encapsulation dot1q
switchport mode trunk
vtp domain cisco
vtp mode client
其它6台交换机的fa0/1做为trunk口和上面的3550连接;
int range fa0/1
witchport trunk encapsulation dot1q
switchport mode trunk
vtp domain cisco
vtp mode client
交换机都做TRUNK是可以互相学习到vlan信息的;
注:其他交换机中根本就没有vtp这个概念,只有Cisco的交换机可以。
PIX Failove配置实例
Failover的需求
要配置pix failover需要两台PIX满足如下要求:
型号一致(PIX 515E不能和PIX 515进行failover)
软件版本相同
激活码类型一致(都是DES或3DES)
闪存大小一致
内存大小一致
Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。
注意 Pix501、Pix506/506E均不支持Failover特性。
理解Failover
Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。
一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。
在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。
将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。
警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。
注意 使用static命令不当会造成Failover不能正常工作。
没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。
例如,下面的例子会打断正常的通讯,而不能使用:
static (inside,outside) interface 192.168.1.1
这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。
要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:
static (inside, outside) tcp interface 80 192.168.1.1 80
这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句
在主PIX上配置Failover需要使用到如下命令:
failover 启用Failover
failover ip address 为备用PIX分配接口地址
failover link 启用Stateful Failover
failover lan 配置基于网络的Failover
配置基于Failover电缆的Failover
注意 如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。
第一步 在活动的PIX上用clock set命令同步时钟
第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。
第三步 将Failover电缆上标有&Primary&的那头接到主PIX的Failover口上,标有&Secondary&的那头接到从PIX上面
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected&标志着在使用show failover命令时failover电缆未正确连接。
Normal&标志主从pix都操作正常.
Other side is not connected&标志对端未正确连接failover电缆。
Other side powered off&标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed&接口失效.
Link Down&接口链路层协议
Normal&正常
Shut Down&该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown&该接口未配置IP地
Waiting&还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十三步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
在&Stateful Failover Logical Update Statistics&一段中的各部分的意义如下:
Stateful Obj&PIX stateful对象
xmit&传送到另一台设备的包数量
xerr&在传送过程中出现的错误包的数量
rcv&收以的包数量
rerr&收到的错误包的数量
每一行的状态对象定义如下:
General&所有的状态对象汇总
sys cmd&系统命令,例LOGIN和Stay Alive
up time&启用时间
xlate&转换信息
tcp conn&CTCP连接信息
udp conn&动态UDP连接信息
ARP tbl&动态ARP表信息
RIF Tbl&动态路由表信息
第十四步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十五步 打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 &Sync Started&和&Sync Completed&两条信息.
第十六步 在备用的pix启用后,show failover命令的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
第十七步 使用wr mem命令将配置同时写入主从pix.
配置基于LAN的Failover
从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。
注意 要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。
在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。
配置步骤:
第一步 在活动的PIX上面用Clock set命令设置时钟
第二步 将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。
第三步 如果连接了Fairover电缆,把它给拨掉。
第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。
注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
第五步 使用conf t命令进入配置模式
第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。
注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。
第七步 在interface配置正确后使用clear xlate命令.
第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:
show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.
第九步 在主PIX上使用failover命令启用Failover。
第十步 使用show failover验证状态,输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:
My side not connected&标志着在使用show failover命令时failover电缆未正确连接。
Normal&标志主从pix都操作正常.
Other side is not connected&标志对端未正确连接failover电缆。
Other side powered off&标志对端没开电。
在接口IP地址右边的标志有如下类型:
Failed&接口失效.
Link Down&接口链路层协议
Normal&正常
Shut Down&该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown&该接口未配置IP地
Waiting&还没有开始监视对端的接口状态。
第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:
failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
配置后,再show failover的输出如下:
show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
第十二步 将用于LAN Fairover的接口接入网络,然后在主PIX上配置:
no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
第十三步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:
failover link 4th
第十四步 启用Stateful Failover,show failover命令的输出如下:
show failover
Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown
在&Stateful Failover Logical Update Statistics&一段中的各部分的意义如下:
Stateful Obj&PIX stateful对象
xmit&传送到另一台设备的包数量
xerr&在传送过程中出现的错误包的数量
rcv&收以的包数量
rerr&收到的错误包的数量
每一行的状态对象定义如下:
General&所有的状态对象汇总
sys cmd&系统命令,例LOGIN和Stay Alive
up time&启用时间
xlate&转换信息
tcp conn&CTCP连接信息
udp conn&动态UDP连接信息
ARP tbl&动态ARP表信息
RIF Tbl&动态路由表信息
第十五步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。
第十六步 在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置:
nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary &--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
作者 小邰的博客}
我要回帖
更多关于 思科交换机配置vlan 的文章
更多推荐
- ·谁不爱帅气男生头像 冷酷 霸气 高冷呢😍
- ·有做生鲜现在外卖行业好做吗的人吗?
- ·谁有月神抖音黑科技引流推广神器自动引流脚本的下载方式?
- ·望告知,王老吉康师傅饮料哪个口味好喝喝肯德基联名的“王老吉风味气泡美式”好喝吗?
- ·吕梁太原物流货运行业,有用过货运宝这个网络货运吗?
- ·孩子努力学习的句子的句子
- ·高磷大量元素水溶性磷肥肥喜满地这个牌子的都有哪些含量?效果好吗?
- ·笔记本启动屏幕不亮屏幕有时候无法点亮,也无法启动系统
- ·性价比高的倒装铝基板对散热器的要求有哪些
- ·迅雷4为什么变成坂井泉水黑历史史了
- ·脚本引流视频操作视频详细谁有?
- ·怎样把ug文件ug导入stp文件后缺少到p
- ·个人最便宜的企业邮箱号
- ·JEET耳机bose qc20 音质很差吗真的好么?和bose比怎么样?
- ·投诉京东第三方卖家商家网购已付款,但卖家说其中一件无货了,先发有货的,无货的商品怎么退款。
- ·hpv高危亚型1859是什么意思
- ·在哪个网站买衣服送货快购物可以在国内付款,然后送货
- ·微博昵称知道只有昵称怎么找回微博?
- ·你好,你有GB金蝶迷你版9.1安装包包吗
- ·mro工业品网站哪个好在哪个网站上卖的好
- ·思科配置vlan怎么让管理科联通右边的服务器 vlan trunk 都设好了
- ·winform如何向webservice 上传数据传数据
- ·华为交换机里 port trunk pvidnative vlan和pvid 10 这条命令是干嘛的
- ·为什么98元联通98元套餐送宽带套餐
- ·315投诉锤子手机激活退货办法能退吗
- ·Exception occurred during requestprocessingg request: There is a cycle in the hierarchy!
- ·魅族pro7哪个颜色好看15几种颜色,有没有好看的颜色
- ·骁龙660 全面屏全面屏都有哪
- ·爱奇艺年费爱奇艺黄金会员多少钱钱
- ·网友:少林寺方丈开微博那个是认真的吗
- ·用电脑显示器有必要上4k玩PS4有必要入PRO吗
- ·10个月宝宝连体哈衣衣多少元
- ·网上宣传的中机新时代 王娟 骗局教育是不是骗局
- ·人渣的本渣愿动漫资源百度云百度云!求!!!
- ·求广播罗曼史百度云资源的百度云资源
- ·大家好,请问成都医院高端软文发布布可以找谁呢?
