2、VTP(VLAN Trunk Protocol)
(1) 作用:
允许用户集中管理网络中交换机的配。VTP是一种消息协议,可以对整个网络内的VLAN的添加、删除和重命名操作进行管理,以此维护VLAN配置的一致性。
(2) 工作方式
确定一条交换机为VTP服务器。
可以在服务器上更改VLAN的配置,并把该配置传播到网络中的所有VTP客户机。
当交换机配置成VTP客户机之后,就不能物理地改变该交换机的VLAN配置。
唯一可以更改VLAN配置的方法是当且仅当VTP客户端交换机接收到来自其VTP服务器的VTP更新信息时,才能更改。
多台VTP服务器管理不同的VTP客户机,必须指定一个VTP域。服务器和客户机在各自的域内。
二、路由器
1、基本配置
(1)以太网口配置
注:路由器以太网口直接接主机用交叉线。
(2)串口配置
(3)配置静态路由
(4)配置动态路由协议
(5)配置访问控制列表(ACL)**
(6)路由器互联
2、问题
(1)无法配置静态路由,出现“Default gateway is not set ….. ICMP redirect cache is empty”
原因:IP路由被禁用
解决:(config)#ip routing
(2)与其他设备的接口状态上,”protocol down”
可能的原因:双绞线的接线类型不对
解决:换成直通线或者交叉线。
三、三层交换机
1、基本配置
(1)配置IP
手工配置:
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
确认配置:
#show interface vlan vlan-id
#show ip redirects !确认默认网关配置
保存:#copy running-config startup-config
使用DHCP配置
(2)使不同VLAN互联
(3)配置某个端口为trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk
(4)默认路由及路由协议的设定
问题
(1)多个子网连接到三层交换机,交换机上设定了每个子网对应的网关地址,交换机通过router连接到其他的网络或者区域。三层switch和router上相同网段的地址无法相互ping 通。如:3750上有192.168.8.254(VLAN1),192.168.16.254(VLAN2),192.168.24.254(VLAN3);router上有192.168.8.1,192.168.16.1,192.168.24.1。
现象:192.168.8.254 可以ping通192.168.8.1,但是.16.和.24.网段的无法ping通。
原因:router接到switch上的接口没有设置成trunk。
四、防火墙
CISCO PIX系列属于状态检测防火墙。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.
1、特点
(1)自适应安全算法(ASA)
创建状态会话流表(state table)。各种连接信息都被记录进表中。
ASA是一个有状态、面向连接的过程,它在状态表中维持会话信息,应用对状态表的安全策略来控制通过防火墙的所有流量。
连接状态包括:源/目的IP,源/目的端口,TCP顺序信息,附加的TCP/UDP标记。应用一个随机产生的TCP顺序号。总称为“会话对象”。
内部不主动发出数据,要求响应,外部的数据就无法进入内部了吗。
PIX中ASA和状态过滤的工作机制:
a、 内部主机开始一个对外部资源的连接
b、 PIX在状态表中写入一个会话(连接)对象
c、 会话对象同安全策略相比较。如果连接不被允许,此会话对象被删除,并且连接被取消
h、 如果安全策略认可这个连接,此连接继续向外部资源发送
j、 外部资源响应这个请求
k、 响应信息到达防火墙,与会话对象比较。匹配则响应信息被发送到内部主机,不匹配则连接就会被取消。
(2)贯穿式代理
认证和授权一个防火墙上输入/输出的连接。
它在应用层完成用户认证,依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理,而是进行状态检测。
(3)冗余
2、基本配置
配置完基本参数后,发现从PIX上可以ping通内网和外网的地址。但是内外网的主机无法相互ping通。内网主机无法ping通PIX外口。但是,内网主机可以访问外网的服务器。(可能原因:PIX默认关闭ICMP响应??)
基本配置命令:interface , nameif , ip address , nat , global , route
(1)激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto !外口必须用命令激活
(2)命名端口和安全级别
(config)#nameif ethernet1 inside security0
(config)#nameif ethernet0 outside security100
(3)配置内外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0
(4)配置NAT和PAT
(config)#nat (inside) 1 0 0 !所有的内口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
测试配置:
ping
debug
(5)DMZ的访问
(6)转换表的操作
show xlate 显示转换表的信息
clear xlate 每次重建转换表要运行,以清除原有的转换槽,否则原信息将在超时(3小时)后才被丢弃
show conn 查找连接故障,为选择的特定选项显示所有活动的TCP连接的数量和状态
可以更改转换表的操作:
nat ,global ,static ,route,alias,conduit
(7)配置网络时间协议(NTP)
NTP server与PIX的关系
(8)访问配置
经由PIX的入站访问
step1:静态网络地址转换
静态网络地址转换,不节省已经分配的IP地址
static [( prenat_interface,postnat_interface)] {mapped_address | interface} real_address [dns] [netmask mask] [norandomseq] [ max_cons [em_limit]]
设定一个内部地址到一个外部地址的映射
(config)#static (inside,outside) 211.70.96.10 10.1.100.10 netmask 255.255.255.255
或者一个内部网络到一个外部网络的映射
(config)#static (inside,outside) 211.70.96.0 10.1.100.0 netmask 255.255.255.0
静态端口地址转换,不支持H.323或者多媒体应用流量
static [(internal_if_name,external_if_name)] {tcp|udp} {global_ip | interface} global local_ip local_port [netmask mask] [ max_cons [emb_limit [norandomseq]]]
step2:访问列表/管道
访问列表的工作基于首次匹配,所以对于入站访问而言,必须先拒绝后许可
access-list id action protocol source_address s_mask s_port destination_address d_mask d_port
access-list设定了规则,但是要用access-group将规则设定到一个界面上,一个界面只能设一个规则。
access-group ID in interface interface_name
source_address:是lower security level interface/network
destination address:higher security level interface/network
source and destination address 都是全局地址,这样才有可比性,并且 ACL一般设在lower security level interface
如果ACL设置在higher security level interface,则会控制高级到低级的数据流
access-list中的source_address是指的在access-group中设定ACL规则作用的接口
例子:限制内部用户对位于端口80的一个外部网络服务器的访问
(config)#access-list acl_in deny tcp any host 172.16.68.20 eq www
(config)#access-list acl_in permit ip any any
(config)#access-group acl_in in interface inside
ASA applies to the dynamic translation slots and static translation slots.
Create static translation slots with the static command
Create dynamic translation slots with the global command
对象分组
[no] object-group object-type grp-id
network对象类型:
(config)#object-group network web-servers !设定分组名称
(config-network)#descript..ion Public web servers !分组描述
(config-network)#network-object host 192.168.1.12 !添加分组对象
(config-network)#network-object host 192.168.1.14 !添加分组对象
(config-network)#network-object host mis.web.server4 !添加分组对象
(config-network)#exit
(config)#access-list 102 permit tcp any object-group web_servers eq www
(config)#access-group 102 in interface outside
显示配置的对象分组:
show access-group
protocol 对象类型:
进入对象配置接口:object-group protocol grp-id
(config-protocol)#protocol-object tcp !添加分组成员
service对象类型:
进入对象配置接口:object-group service obj_grp_id tcp | udp | tcp-udp
(config)#object-group service mis_service tcp
(config-service)#port-object eq ftp !eq service将一个单独的端口号加入
(config-service)#port-object range 5000 6000 !range begin end 将一组端口加入
icmp-type对象类型:
进入对象配置接口:object-group icmp-type icmp_test
(config-icmp-type)#icmp-object 0
(config-icmp-type)#icmp-object 3
(config-icmp-type)#icmp-object 8
fixup命令
实例与测试
总结
1.Higher security level -> lower security level时,只要配置NAT,global或者static就可以使内部主机主动访问外部server。
2.Lower security level->higher security level时,要配置:access-list + access-group才能使外部主机主动访问内部server。在多个端口上配置access-list,会影响前面的配置。
3.要注意主机上的网关参数的设定。网关上应该设定默认路由,默认路由应该是接出局域网的上层设备的接口地址。
五、IP电话
1、常用术语和缩写
PBX:private branch (telephone) exchange,专用分组交换机
IVR:interactive Voice Responder,交互式语音应答器
ACD:自动呼叫分配器
CTI:计算机电话集成