Cisco技术区常用配置实例整理(1)

阅读:1279次   时间:2011-12-15 13:48:33   字体:[ ]

互联网如火如荼的应用,加剧了IP地址匮乏的问题,为了缓解这一问题,一个重要的应用:NAT(Network Address Translation―网络地址转换),日益广泛地应用起来。NAT通过地址转换的方式,使企业可以仅使用较少的互联网有效IP地址,就能获得互联网接入的能力,有效地缓解了地址不足的问题,同时提供了一定的安全性。

 NAT的实现方案多种多样,本文以思科2611路由器为平台,通过一个实例描述了NAT的应用。

思科路由器上NAT通常有3种应用方式,分别适用于不同的需求:

1. 静态地址转换:适用于企业内部服务器向企业网外部提供服务(如WEB,FTP等),需要建立服务器内部地址到固定合法地址的静态映射。

2. 动态地址转换:建立一种内外部地址的动态转换机制,常适用于租用的地址数量较多的情况;企业可以根据访问需求,建立多个地址池,绑定到不同的部门。这样既增强了管理的粒度,又简化了排错的过程。

3. 端口地址复用:适用于地址数很少,多个用户需要同时访问互联网的情况。


http://doc.codesky.net/uploadfile/2011/1215/20111215041733449.jpg
如上图所示,企业从ISP获得6个有效IP地址(202.103.100.128~202.103.100.135,掩码为255.255.255.248,128和135为网络地址和广播地址,不可用),通过一台2611路由器接入互联网。内部网络根据职能分成若干子网,并期望服务器子网对外提供WEB服务,财务部门使用独立的地址池接入互联网,其它部门共用剩余的地址池。

具体配置步骤如下:

1. 选择E0作为内部接口,S0作为外部接口

interface e0

ip address 192.168.100.1 255.255.255.0

ip nat inside /*配置e0为内部接口*/

interface s0

ip address 202.103.100.129 255.255.255.248

ip nat outside /*配置s0为外部接口*/

2. 为各部门配置地址池(finance-财务部门;other-其它部门):

ip nat pool finance 202.103.100.131 202.103.100.131 netmask 255.255.255.248

ip nat pool other 202.103.100.132 202.103.100.134 netmask 255.255.255.248

3. 用访问控制列表检查数据包的源地址并映射到不同的地址池

ip nat inside source list 1 pool finance overload /*overload-启用端口复用*/

ip nat inside source list 2 pool other / *动态地址转换*/

4. 定义访问控制列表

access-list 1 permit 192.168.20.0 0.0.0.255

access-list 2 permit 192.168.30.0 0.0.0.255

5. 建立静态地址转换,并开放WEB端口(TCP 80)

ip nat inside source static tcp 192.168.10.2 80 202.103.100.130 80

6. 设置缺省路由

ip route 0.0.0.0 0.0.0.0 s0

经过上述配置后,互联网上的主机可以通过202.103.100.130:80访问到企业内部WEB服务器192.168.10.2;财务部门的接入请求将映射到202.103.100.131;其它部门的接入请求被映射到202.103.100.131~134地址段。

至此,一个企业NAT互联网接入方案就完成了。

典型以太网络建立多个VLAN

实例:典型以太网络建立多个VLAN

所谓典型局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:com;分支交换机分别为:par1、par2、par3,分别通过port 1的光线模块与核心交换机相连;并且假设vlan名称分别为counter、market、managing……   需要做的工作:   
1、设置vtp domain(核心、分支交换机上都设置)   
2、配置中继(核心、分支交换机上都设置)   
3、创建vlan(在server上设置)   
4、将交换机端口划入vlan   
5、配置三层交换   
1、设置vtp domain。 vtp domain 称为管理域。   交换vtp更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的vlan列表。   
com#vlan database 进入vlan配置模式   
com(vlan)#vtp domain com 设置vtp管理域名称 com   
com(vlan)#vtp server 设置交换机为服务器模式   
par1#vlan database 进入vlan配置模式   
par1(vlan)#vtp domain com 设置vtp管理域名称com   
par1(vlan)#vtp client 设置交换机为客户端模式   
par2#vlan database 进入vlan配置模式   
par2(vlan)#vtp domain com 设置vtp管理域名称com   
par2(vlan)#vtp client 设置交换机为客户端模式   
par3#vlan database 进入vlan配置模式   
par3(vlan)#vtp domain com 设置vtp管理域名称com   
par3(vlan)#vtp client 设置交换机为客户端模式   注意:这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除vlan及其他一些对整个vtp域的配置参数,同步本vtp域中其他交换机传递来的最新的vlan信息;client模式是指本交换机不能创建、删除、修改vlan配置,也不能在nvram中存储vlan配置,但可同步由本vtp域中其他交换机传递来的vlan信息。
2、配置中继为了保证管理域能够覆盖所有的分支交换机,必须配置中继。   cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的isl标签。isl(inter-switch link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个vlan信息及vlan数据流的协议,通过在交换机直接相连的端口配置isl封装,即可跨越交换机进行整个网络的vlan分配和进行配置。   
在核心交换机端配置如下:   
com(config)#interface gigabitethernet 2/1   
com(config-if)#switchport   
com(config-if)#switchport trunk encapsulation isl 配置中继协议   
com(config-if)#switchport mode trunk   
com(config)#interface gigabitethernet 2/2   
com(config-if)#switchport   
com(config-if)#switchport trunk encapsulation isl 配置中继协议   
com(config-if)#switchport mode trunk   
com(config)#interface gigabitethernet 2/3   
com(config-if)#switchport   
com(config-if)#switchport trunk encapsulation isl 配置中继协议   
com(config-if)#switchport mode trunk   
在分支交换机端配置如下:   
par1(config)#interface gigabitethernet 0/1   
par1(config-if)#switchport mode trunk   
par2(config)#interface gigabitethernet 0/1   
par2(config-if)#switchport mode trunk   
par3(config)#interface gigabitethernet 0/1   
par3(config-if)#switchport mode trunk   ……   此时,管理域算是设置完毕了。

3、创建vlan一旦建立了管理域,就可以创建vlan了。

  com(vlan)#vlan 10 name counter 创建了一个编号为10 名字为counter的 vlan
  com(vlan)#vlan 11 name market 创建了一个编号为11 名字为market的 vlan

  com(vlan)#vlan 12 name managing 创建了一个编号为12 名字为managing的 vlan

  注意,这里的vlan是在核心交换机上建立的,其实,只要是在管理域中的任何一台vtp 属性为server的交换机上建立vlan,它就会通过vtp通告整个管理域中的所有的交换机。但如果要将具体的交换机端口划入某个vlan,就必须在该端口所属的交换机上进行设置。

  4、将交换机端口划入vlan

  例如,要将par1、par2、par3……分支交换机的端口1划入counter vlan,端口2划入market vlan,端口3划入managing vlan……

  par1(config)#interface fastethernet 0/1 配置端口1

  par1(config-if)#switchport access vlan 10 归属counter vlan

  par1(config)#interface fastethernet 0/2 配置端口2

  par1(config-if)#switchport access vlan 11 归属market vlan

  par1(config)#interface fastethernet 0/3 配置端口3

  par1(config-if)#switchport access vlan 12 归属managing vlan

  par2(config)#interface fastethernet 0/1 配置端口1

  par2(config-if)#switchport access vlan 10 归属counter vlan

  par2(config)#interface fastethernet 0/2 配置端口2

  par2(config-if)#switchport access vlan 11 归属market vlan

  par2(config)#interface fastethernet 0/3 配置端口3

  par2(config-if)#switchport access vlan 12 归属managing vlan

  par3(config)#interface fastethernet 0/1 配置端口1

  par3(config-if)#switchport access vlan 10 归属counter vlan

  par3(config)#interface fastethernet 0/2 配置端口2

  par3(config-if)#switchport access vlan 11 归属market vlan

  par3(config)#interface fastethernet 0/3 配置端口3

  par3(config-if)#switchport access vlan 12 归属managing vlan

  ……
5、配置三层交换

  到这里,vlan已经基本划分完毕。但是,vlan间如何实现三层(网络层)交换呢?这时就要给各vlan分配网络(ip)地址了。给vlan分配ip地址分两种情况,其一,给vlan所有的节点分配静态ip地址;其二,给vlan所有的节点分配动态ip地址。下面就这两种情况分别介绍。

  假设给vlan counter分配的接口ip地址为172.16.58.1/24,网络地址为:172.16.58.0,

  vlan market 分配的接口ip地址为172.16.59.1/24,网络地址为:172.16.59.0,

  vlan managing分配接口ip地址为172.16.60.1/24, 网络地址为172.16.60.0

  ……
  如果动态分配ip地址,则设网络上的dhcp服务器ip地址为172.16.1.11。

  (1)给vlan所有的节点分配静态ip地址。

  首先在核心交换机上分别设置各vlan的接口ip地址。核心交换机将vlan做为一种接口对待,就象路由器上的一样,如下所示:

  com(config)#interface vlan 10

  com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip

  com(config)#interface vlan 11

  com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip

  com(config)#interface vlan 12

  com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip
  ……
  再在各接入vlan的计算机上设置与所属vlan的网络地址一致的ip地址,并且把默认网关设置为该vlan的接口地址。这样,所有的vlan也可以互访了。

  (2)给vlan所有的节点分配动态ip地址。

  首先在核心交换机上分别设置各vlan的接口ip地址和同样的dhcp服务器的ip地址,如下所示:

  com(config)#interface vlan 10
  com(config-if)#ip address 172.16.58.1 255.255.255.0 vlan10接口ip

  com(config-if)#ip helper-address 172.16.1.11 dhcp server ip

  com(config)#interface vlan 11

  com(config-if)#ip address 172.16.59.1 255.255.255.0 vlan11接口ip

  com(config-if)#ip helper-address 172.16.1.11 dhcp server ip

  com(config)#interface vlan 12

  com(config-if)#ip address 172.16.60.1 255.255.255.0 vlan12接口ip

  com(config-if)#ip helper-address 172.16.1.11 dhcp server ip

  ……

  再在dhcp服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的“路由器”选项设置为对应vlan的接口ip地址。这样,可以保证所有的vlan也可以互访了。

  最后在各接入vlan的计算机进行网络设置,将ip地址选项设置为自动获得ip地址即可。


VPN实例配置方案-中文注解

Router:sam-i-am(VPN Server)

Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log up time
no service password-encryption
!
hostname sam-i-am
!
ip subnet-zero

!--- IKE配置

sam-i-am(config)#crypto isakmp policy 1 //定义策略为1
sam-i-am(isakmp)#hash md5 //定义MD5散列算法
sam-i-am(isakmp)#authentication pre-share //定义为预共享密钥认证方式
sam-i-am(config)#crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

!--- 配置预共享密钥为cisco123,对等端为所有IP

!--- IPSec协议配置

sam-i-am(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac

sam-i-am(config)#crypto dynamic-map rtpmap 10 //创建动态保密图rtpmap 10
san-i-am(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
san-i-am(crypto-map)#match address 115 //援引访问列表确定受保护的流量
sam-i-am(config)#crypto map rtptrans 10 ipsec-isakmp dynamic rtpmap

!--- 将动态保密图集加入到正规的图集中

!
interface Ethernet0
ip address 10.2.2.3 255.255.255.0
no ip directed-broadcast
ip nat inside

no mop enabled
!
interface Serial0
ip address 99.99.99.1 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map rtptrans //将保密映射应用到S0接口上

!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.2.2.0到10.1.1.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server
!
access-list 115 permit ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 115 deny ip 10.2.2.0 0.0.0.255 any
!
access-list 120 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 120 permit ip 10.2.2.0 0.0.0.255 any
!
sam-i-am(config)#route-map nonat permit 10 //使用路由策略
sam-i-am(router-map)#match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end


Router:dr_whoovie(VPN Client)


Current configuration:
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname dr_whoovie
!
ip subnet-zero
!
dr_whoovie(config)#crypto isakmp policy 1 //定义策略为1
dr_whoovie(isakmp)#hash md5 //定义MD5散列算法
dr_whoovie(isakmp)#authentication pre-share //定义为预共享密钥认证方式
dr_whoovie(config)#crypto isakmp key cisco123 address 99.99.99.1

!--- 配置预共享密钥为cisco123,对等端为服务器端IP99.99.99.1

!--- IPSec协议配置

dr_whoovie(config)#crypto ipsec transform-set rtpset esp-des esp-md5-hmac

!--- 创建变换集 esp-des esp-md5-hmac

dr_whoovie(config)#crypto map rtp 1 ipsec-isakmp

!--- 使用IKE创建保密图rtp 1

dr_whoovie(crypto-map)#set peer 99.99.99.1 //确定远程对等端
dr_whoovie(crypto-map)#set transform-set rtpset //使用上面的定义的变换集rtpset
dr_whoovie(crypto-map)#match address 115 //援引访问列表确定受保护的流量

!
interface Ethernet0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
ip nat inside

no mop enabled
!
interface Serial0
ip address negotiated //IP地址自动获取
no ip directed-broadcast
ip nat outside
encapsulation ppp //S0接口封装ppp协议
no ip mroute-cache
no ip route-cache
crypto map rtp //将保密映射应用到S0接口上

!
ip nat inside source route-map nonat interface Serial0 overload
!--- 这个NAT配置启用了路由策略,内容为10.1.1.0到10.2.2.0的访问不进行地址翻译
!--- 到其他网络的访问都翻译成SO接口的IP地址

ip classless
ip route 0.0.0.0 0.0.0.0 Serial0 //配置静态路由协议
no ip http server

!
access-list 115 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 115 deny ip 10.1.1.0 0.0.0.255 any

access-list 120 deny ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
access-list 120 permit ip 10.1.1.0 0.0.0.255 any

!
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10 //使用路由策略
match ip address 120
!
line con 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

http://doc.codesky.net/uploadfile/2011/1215/20111215041735294.jpg

-----------IKE配置----------------

IPSec VPN对等端为了建立信任关系,必须交换某种形式的认证密钥。
Internet 密钥交换(Internet Key Exchange,IKE)是一种为IPSec管理和交换密钥的标准方法。
一旦两个对等端之间的IKE协商取得成功,那么IKE就创建到远程对等端的安全关联(security association,SA)。SA是单向的;在两个对等端之间存在两
个SA。
IKE使用UDP端口500进行协商,确保端口500不被阻塞。

配置

1、(可选)启用或者禁用IKE
(global)crypto isakmp enable
或者
(global)no crypto isakmp enable
默认在所有接口上启动IKE

2、创建IKE策略
(1)定义策略
(global)crypto isakmp policy priority
注释:policy 1表示策略1,假如想多配几个VPN,可以写成policy 2、policy3┅

(2)(可选)定义加密算法
(isakmp)encryption {des | 3des}
加密模式可以为56位的DES-CBC(des,默认值)或者168位的3DES(3des)

(3)(可选)定义散列算法
(isamkp)hash {sha | md5}
默认sha

(4)(可选)定义认证方式
(isamkp)authentication {rsa-sig | rsa-encr | pre-share}
rsa-sig 要求使用CA并且提供防止抵赖功能;默认值
rsa-encr 不需要CA,提供防止抵赖功能
pre-share 通过手工配置预共享密钥

(5)(可选)定义Diffie-Hellman标识符
(isakmp)group {1 | 2}
注释:除非购买高端路由器,或是VPN通信比较少,否则最好使用group 1长度的密钥,group命令有两个参数值:1和2。参数值1表示密钥使用768位密钥,
参数值2表示密钥使用1024位密钥,显然后一种密钥安全性高,但消耗更多的CPU时间。

(6)(可选)定义安全关联的生命期
(isakmp)lifetime seconds
注释:对生成新SA的周期进行调整。这个值以秒为单位,默认值为86400,也就是一天。值得注意的是两端的路由器都要设置相同的SA周期,否则VPN在正
常初始化之后,将会在较短的一个SA周期到达中断。

3、(rsa-sig)使用证书授权(CA)
(1)确保路由器有主机名和域名
(global)hostname hostname
(global)ip domain-name domain

(2)产生RSA密钥
(global)crypto key generate rsa

(3)使用向IPSec对等端发布证书的CA
--设定CA的主机名
(global)crypto ca identity name
--设定联络CA所使用的URL
(ca-identity)enrollment url url
URL应该采用http://ca-domain-nameort/cgi-bin-location的形式
--(可选)使用RA模式
(ca-identity)enrollment mode ra
(ca-identity)query url url
--(可选)设定注册重试参数
(ca-identity)enrollment retry period minutes
(ca-identity)enrollment retry count number
minutes(1到60;默认为1) number(1到100;默认为0,代表无穷次)
--(可选)可选的证书作废列表
(ca-identity)crl optional

(4)(可选)使用可信的根CA
--确定可信的根CA
(global)crypto ca trusted-root name
--(可选)从可信的根请求CRL
(ca-root)crl query url
--定义注册的方法
(ca-root)root {CEP url | TFTP server file | PROXY url}

(5)认证CA
(global)crypto ca authenticate name

(6)用CA注册路由器
(global)crypto ca enroll name

4、(rsa-encr)手工配置RSA密钥(不使用CA)
(1)产生RSA密钥
(global)crypto key generate rsa

(2)指定对等端的ISAKMP标识
(global)crypto isakmp identity {address | hostname}

(3)指定其他所有对等端的RSA密钥
--配置公共密钥链
(global)crypto key pubkey-chain rsa

--用名字或地址确定密钥
(pubkey-chain)named-key key-name [encryption | signature]
(pubkey-chain)addressed-key key-name [encryption | signature]

--(可选)手工配置远程对等端的IP地址
(pubkey-key)address ip-addr

--指定远程对等端的公开密钥
(pubkey-key)key-string key-string

5、(preshare)配置预共享密钥
(global)crypto isakmp key key-string {addrss | hostname} {peer-address | peer-hostname}
注释:返回到全局设置模式确定要使用的预先共享密钥和指归VPN另一端路由器IP地址,即目的路由器IP地址。相应地在另一端路由器配置也和以上命令类


6、(可选)使用IKE模式
(1)定义要分发的“内部”或者受保护IP地址库
(global)ip local pool pool-name start-address end-address

(2)启动IKE模式协商
(global)crypto isakmp client configuration address-pool local pool-name

--------------IPSec配置----------------

IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组

IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处

IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
--DES(数据加密标准)
--MD5
--SHA
--AH(Authentication Header,认证首部)数据认证和反重演(anti-reply)服务
--ESP(Encapsulation Security Payload,封装安全净荷)数据隐私、数据验证以及反重演(anti-reply)服务

敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。

配置

1、为密钥管理配置IKE

2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes

3、定义保密访问列表来定义受保护的流量
(global)access-list access-list-number ....
或者
(global)ip access-list extended name
扩展的访问列表必须定义由IPSec保护哪种IP流量。保密图(crypto map)援引这个访问列表来确定在接口上要保护的流量。

4、定义IPSec交换集
(1)创建变换集
(global)crypto ipsec transform-set name [transform1 | transform2 | transform3]
可以在一个保密图(crypto map)中定义多个变换集。如果没有使用IKE,那么只能定义一种变换集。用户能够选择多达三种变换。
(可选)选择一种AH变换
--ah-md5-hmac
--ah-sha-hmac
--ah-rfc-1828
(可选)选择一种ESP加密编号
--esp-des
--esp-3des
--esp-rfc-1829
--esp-null
以及这些验证方法之一
--esp-md5-hmac
--esp-sha-hmac
(可选)选择IP压缩变换
--comp-lzs

(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}

5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。

(1)(可选)使用手工的安全关联(没有IKE协商)
--创建保密图
(global)crypto map map-name sequence ipsec-manual

--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

--(仅适用于AH验证)手工设定AH密钥
(crypto-map)set session-key inbound ah spi hex-key-data
(crypto-map)set session-key outbound ah spi hex-key-data

--(仅适用于ESP验证)手工设定ESP SPI和密钥
(crypto-map)set session-key inbound ah spi hex-key-data [authenticator hex-key-data]
(crypto-map)set session-key outbound ah spi hex-key-data [authenticator hex-key-data]

(2)(可选)使用IKE建立的安全关联
--创建保密图
(global)crypto map map-name sequence ipsec-isakmp

--援引保密访问列表来确定受保护的流量
(crypto-map)match address access-list

--确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--指定要使用的变换集
(crypto-map)set transform-set name
变换集必须和远程对等端上使用的相同

--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--(可选)为每个源/目的主机对使用一个独立的SA
(crypto-map)set security-association level per-host

--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

(3)(可选)使用动态安全关联
--创建动态的保密图
(global)crypto dynamic-map dyn-map-name dyn-seq-num

--(可选)援引保密访问列表确定受保护的流量
(crypto-map)match address access-list

--(可选)确定远程的IPSec对等端
(crypto-map)set peer {hostname | ip_addr}

--(可选)指定要使用的变换集
(crypto-map)set transform-set tranform-set-name

--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes

--(可选)对每个新的SA使用完整转发安全性
(crypto-map)set pfs [group1 | group2]

--将动态保密图集加入到正规的图集中
(global)crypto map map-name sequence ipsec-isakmp dynamic dyn-map-name [discover]

--(可选)使用IKE模式的客户机配置
(global)crypto map map-name client configuration address [initiate | respond]

--(可选)使用来自AAA服务器的预共享IKE密钥
(global)crypto map map-name isakmp authorization list list-name

6、将保密映射应用到接口上

(1)指定要使用的保密映射
(interface)crypto map map-name

(2)(可选)和其他接口共享保密映射
(global)crypto map map-name local-address interface-id


pix虚拟防火墙配置实例

PIXFW(config)# sh run

: Saved

:

PIX Version 7.0(2) <system>

!

interface Ethernet0

speed 1920

duplex full

!

interface Ethernet0.1

vlan 5

!

interface Ethernet0.2

vlan 6

!

interface Ethernet1

!

interface Ethernet2

!

interface Ethernet3

shutdown

!

interface Ethernet4

shutdown

!

interface Ethernet5



shutdown

!

enable password 8Ry2YjIyt7RRXU24 encrypted

hostname PIXFW

ftp mode passive

pager lines 24

no failover

no asdm history enable

arp timeout 14400

console timeout 0


admin-context OA

context OA

allocate-interface Ethernet0.1

allocate-interface Ethernet1

config-url flash:/OA.cfg

!


context FMIS

allocate-interface Ethernet0.2

allocate-interface Ethernet2

config-url flash:/FMIS.cfg

!



Cryptochecksum:53517dcd4fe74fdcb51a1d24e90b1469

: end


PIXFW(config)# sh interface

Interface Ethernet0 "", is up, line protocol is up

Hardware is i82559, BW 1920 Mbps

Full-Duplex(Full-duplex), 1920 Mbps(1920 Mbps)

Available for allocation to a context

MAC address 0015.f9a9.02ea, MTU not set

IP address unassigned

525 packets input, 83359 bytes, 0 no buffer

Received 83 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

1935 packets output, 150750 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/12 software (0/1)

output queue (curr/max blocks): hardware (0/1) software (0/1)

Interface Ethernet0.1 "", is up, line protocol is up

VLAN identifier 5

Available for allocation to a context

Interface Ethernet0.2 "", is up, line protocol is up

VLAN identifier 6

Available for allocation to a context

Interface Ethernet1 "", is up, line protocol is up

Hardware is i82559, BW 1920 Mbps

Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)

Available for allocation to a context



MAC address 0015.f9a9.02eb, MTU not set

IP address unassigned

2757 packets input, 225620 bytes, 0 no buffer

Received 1869 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

159 packets output, 12400 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/12 software (0/1)

output queue (curr/max blocks): hardware (0/1) software (0/1)

Interface Ethernet2 "", is up, line protocol is up

Hardware is i82559, BW 1920 Mbps

Auto-Duplex(Full-duplex), Auto-Speed(1920 Mbps)

Available for allocation to a context

MAC address 0005.5d18.3021, MTU not set

IP address unassigned

1672 packets input, 127807 bytes, 0 no buffer

Received 798 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

117 packets output, 9158 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier



input queue (curr/max blocks): hardware (128/12 software (0/2)

output queue (curr/max blocks): hardware (0/1) software (0/1)

Interface Ethernet3 "", is administratively down, line protocol is down

Hardware is i82559, BW 1920 Mbps

Auto-Duplex, Auto-Speed

Available for allocation to a context

MAC address 0005.5d18.3023, MTU not set

IP address unassigned

1192 packets input, 14154 bytes, 0 no buffer

Received 1926 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

129 packets output, 8296 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/12 software (0/1)

output queue (curr/max blocks): hardware (0/1) software (0/1)

Interface Ethernet4 "", is administratively down, line protocol is down

Hardware is i82559, BW 1920 Mbps

Auto-Duplex, Auto-Speed

Available for allocation to a context

MAC address 0005.5d18.3020, MTU not set

IP address unassigned

0 packets input, 0 bytes, 0 no buffer



Received 0 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/12 software (0/0)

output queue (curr/max blocks): hardware (0/0) software (0/0)

Interface Ethernet5 "", is administratively down, line protocol is down

Hardware is i82559, BW 1920 Mbps

Auto-Duplex, Auto-Speed

Available for allocation to a context

MAC address 0005.5d18.3022, MTU not set

IP address unassigned

0 packets input, 0 bytes, 0 no buffer

Received 0 broadcasts, 0 runts, 0 giants

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

0 babbles, 0 late collisions, 0 deferred

0 lost carrier, 0 no carrier

input queue (curr/max blocks): hardware (128/12 software (0/0)

output queue (curr/max blocks): hardware (0/0) software (0/0)


PIXFW(config)# chang context OA


PIXFW/OA(config)# sh run

: Saved

:

PIX Version 7.0(2) <context>

names

!

interface Ethernet0.1

nameif outside

security-level 0

ip address 192.130.6.49 255.255.255.252

!

interface Ethernet1

nameif inside

security-level 1920

ip address 192.193.166.238 255.255.255.0

!

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname OA

access-list PING extended permit icmp any any

pager lines 24

mtu outside 1500

mtu inside 1500

monitor-interface inside



no asdm history enable

arp timeout 14400

nat (inside) 0 192.193.166.0 255.255.255.0

access-group PING in interface outside

route outside 0.0.0.0 0.0.0.0 192.130.6.50 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp

telnet timeout 5

ssh timeout 5

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

inspect dns maximum-length 512



inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy global_policy global

Cryptochecksum:46ffeba4d29c11a248523371c9666379

: end


PIXFW/OA(config)#


PIXFW/OA(config)# chang context FMIS


PIXFW/FMIS(config)# sh run

: Saved

:

PIX Version 7.0(2) <context>

names

!

interface Ethernet0.2

nameif outside

security-level 0

ip address 192.135.178.65 255.255.255.252

!

interface Ethernet2

nameif inside

security-level 1920

ip address 192.135.181.126 255.255.255.128

!

enable password 8Ry2YjIyt7RRXU24 encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname FMIS

access-list 1921 extended permit icmp any any

pager lines 24

mtu outside 1500

mtu inside 1500

monitor-interface inside

no asdm history enable



arp timeout 14400

nat (inside) 0 192.135.181.0 255.255.255.128

access-group 1921 in interface outside

route outside 0.0.0.0 0.0.0.0 192.135.178.66 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:192:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:192:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp

telnet timeout 5

ssh timeout 5

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp



inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

service-policy global_policy global

Cryptochecksum:5854ffa0a5401e033e1ce88731ebf452

: end

PIXFW/FMIS# chang context sys


PIXFW#


AAA配置实例

测试目的:通过AAA,实现用户级的授权
测试环境:TACACS+ ,1720路由器
测试过程:
实验一:用本地(LOCAL)方法进行验证和授权
配置文件:
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group local !配置授权
aaa authorization exec myauth group local !配置认证
!
username user10 privilege 10 password 0 user10 !给用户分配级别
!
!
privilege exec level 10 ping !给命令分配级别
privilege exec level 10 show frame-relay
privilege exec level 10 traceroute
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth !选择TELNET的授权方式
login authentication myaaa !选择TELNET的认证方式
!
no scheduler allocate
end
实验结果:用户user10登录后级别是10,可以执行PING,SHOW FRAME-RELAY,TRACEROUTE命令。更高级别的用户才可执行其它的命令。另外通过仔细配置privilege命令,可以进一步细分命令权限。如:可以SHOW FRAME-RELAY不可以SHOW X25。
aaa的配制命令随IOS版本不同略有差异,在12.0.5以上的版本,用aaa authentication login myaaa group tacacs+ local命令,在12.0.5以下的版本用aaa authentication login myaaa tacacs+ local
可以用PRIVILEGE命令调整命令级别。不过容易出错。在测试过程中,发现如果将一条命令调级,其相应的子命令也自动调整到相映的级别。如:调整show ip route的级别后,show ip ,show的级别也自动调整,很容易出错。另外,可能是IOS BUG的原因,一些PRIVILEGE命令虽然起作用了,但在show run时却没有显示出来。
测试说明,用local的方法,可以实现用户级的命令权限的设定,优点是不用配置复杂的TACACS+服务器,成本低。缺点是需要在每一台设备上单独配置,工作量大,不易集中管理,而且在某些版本的IOS中有BUG,容易出错。

实验二:用TACSCS+进行验证和授权
version 12.1
!
hostname Router
!
aaa new-model
aaa authentication login myaaa group tacacs+
aaa authorization exec myauth group tacacs+
!
!
line con 0
transport input none
line aux 0
line vty 0 4
authorization exec myauth
login authentication myaaa
!
no scheduler allocate
end
实验结果:通过TACACS+可以非常灵活地对AAA进行设定,完成复杂的策略。除了在local实现功能外,还可以快速的对大量用户进行用户级或组一级的设置和管理。提供报表功能,时间策略等。TACACS+设置很容易掌握,WEB控制界面很友好。缺点是需要购买ACS服务器。

综上所述,在对小型网络管理,可以用本地授权的方式,在中心需要用TACACS+进行AAA管理。通过以上两种方式,都可以实现命令参数级的授权管理。
在中行一级网的管理中,可以结合这两种方式,可以配置路由器在进行认证时,先选择TACACS+的方式,同时配置几个本地的用户,作为TACACS+故障时的备份。
通过这样的方式,可实现对一级网的灵活管理策略。给省行一些查找错误,以及在升级软件时的相应权限,同时防止用户错误的配置及某些恶意入侵。

各种交换机端口安全总结(配置实例)

最常用的对端口安全的理解就是可根据MAC地址来做对网络流量的控制和管理,比如MAC地址与具体的端口绑定,限制具体端口通过的MAC地址的数量,或者在具体的端口不允许某些MAC地址的帧流量通过。稍微引申下端口安全,就是可以根据802.1X来控制网络的访问流量。
  
  首先谈一下MAC地址与端口绑定,以及根据MAC地址允许流量的配置。
  
  1.MAC地址与端口绑定,当发现主机的MAC地址与交换机上指定的MAC地址不同时,交换机相应的端口将down掉。当给端口指定MAC地址时,端口模式必须为access或者Trunk状态。
  
  3550-1#conf t
  
  3550-1(config)#int f0/1
  
  3550-1(config-if)#switchport mode access /指定端口模式。
  
  3550-1(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 /配置MAC地址。
  
  3550-1(config-if)#switchport port-security maximum 1 /限制此端口允许通过的MAC地址数为1。
  
  3550-1(config-if)#switchport port-security violation shutdown /当发现与上述配置不符时,端口down掉。
  
  2.通过MAC地址来限制端口流量,此配置允许一TRUNK口最多通过100个MAC地址,超过100时,但来自新的主机的数据帧将丢失。
  
  3550-1#conf t
  
  3550-1(config)#int f0/1
  
  3550-1(config-if)#switchport trunk encapsulation dot1q
  
  3550-1(config-if)#switchport mode trunk /配置端口模式为TRUNK。
  
  3550-1(config-if)#switchport port-security maximum 100 /允许此端口通过的最大MAC地址数目为100。
  
  3550-1(config-if)#switchport port-security violation protect /当主机MAC地址数目超过100时,交换机继续工作,但来自新的主机的数据帧将丢失。
  
  上面的配置根据MAC地址来允许流量,下面的配置则是根据MAC地址来拒绝流量。
  
  1.此配置在Catalyst交换机中只能对单播流量进行过滤,对于多播流量则无效。
  
  3550-1#conf t
  
  3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 drop /在相应的Vlan丢弃流量。
  
  3550-1#conf t
  
  3550-1(config)#mac-address-table static 00-90-F5-10-79-C1 vlan 2 int f0/1 /在相应的接口丢弃流量。
  
  最后说一下802.1X的相关概念和配置。
  
  802.1X身份验证协议最初使用于无线网络,后来才在普通交换机和路由器等网络设备上使用。它可基于端口来对用户身份进行认证,即当用户的数据流量企图通过配置过802.1X协议的端口时,必须进行身份的验证,合法则允许其访问网络。这样的做的好处就是可以对内网的用户进行认证,并且简化配置,在一定的程度上可以取代Windows 的AD。
  
  配置802.1X身份验证协议,首先得全局启用AAA认证,这个和在网络边界上使用AAA认证没有太多的区别,只不过认证的协议是802.1X;其次则需要在相应的接口上启用802.1X身份验证。(建议在所有的端口上启用802.1X身份验证,并且使用radius服务器来管理用户名和密码)
  
  下面的配置AAA认证所使用的为本地的用户名和密码。
  
  3550-1#conf t
  
  3550-1(config)#aaa new-model /启用AAA认证。
  
  3550-1(config)#aaa authentication dot1x default local /全局启用802.1X协议认证,并使用本地用户名与密码。
  
  3550-1(config)#int range f0/1 -24
  
  3550-1(config-if-range)#dot1x port-control auto /在所有的接口上启用802.1X身份验证。
  
  后记
  
  通过MAC地址来控制网络的流量既可以通过上面的配置来实现,也可以通过访问控制列表来实现,比如在Cata3550上可通过700-799号的访问控制列表可实现MAC地址过滤。但是利用访问控制列表来控制流量比较麻烦,似乎用的也比较少,这里就不多介绍了。
  
  通过MAC地址绑定虽然在一定程度上可保证内网安全,但效果并不是很好,建议使用802.1X身份验证协议。在可控性,可管理性上802.1X都是不错的选择。



Cisco交换机Trunk配置实例


一台4506switch,通过trunk口和3550连接,在3550下再通过trunk接6台交换机!
  
  具体配置如下:
  
  4506:
  在int gi4/1上做trunk,encapsulation dot1q
         vtp domain cisco
         vtp mode server划分了10个vlan
  
  3550:
  做了6个trunk口和下面的6太交换机连接!
         int range fa0/1-6
         switchport trunk encapsulation dot1q
         switchport mode trunk
         vtp domain cisco
         vtp mode client
  
  其它6台交换机的fa0/1做为trunk口和上面的3550连接;
         int range fa0/1
         witchport trunk encapsulation dot1q
         switchport mode trunk
         vtp domain cisco
         vtp mode client
  
  交换机都做TRUNK是可以互相学习到vlan信息的;
  
  注:其他交换机中根本就没有vtp这个概念,只有Cisco的交换机可以。



PIX Failove配置实例

Failover的系统需求
  要配置pix failover需要两台PIX满足如下要求:

型号一致(PIX 515E不能和PIX 515进行failover)
软件版本相同
激活码类型一致(都是DES或3DES)
闪存大小一致
内存大小一致
  Failover中的两个设备中,至少需要一个是UR的版本,另一个可以是FO或者UR版本。R版本不能用于Failover,两台都是FO版版也不能用于同一个Failover环境。

  注意 Pix501、Pix506/506E均不支持Failover特性。

理解Failover
  Failover可以在主设备发生故障时保护网络,在配置了Stateful Failover的情况下,在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时,两个设备都将改变状态,当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址,并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说,由于IP和MAC都没改变,在网络中的任何地方都不需要改变arp表,也不需要等待ARP超时。

  一旦正确配置了主Pix,并将电缆连接正确,主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好,但Stateful Failover所使用的接口只能是百兆或千兆口。

  在未配置Failover或处于Failover活动状态时,pix515/515E/525/535前面板上的ACT指示灯亮,处于备用状态时,该灯灭。

  将两台PIX连在一起做Fairover有两种方式:使用一条专用的高速Failover电缆做基于电缆的Failover,或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时,推荐使用100兆全双工或千兆连接。

  警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。
  Failover特性使PIX每隔15秒(可以使用Failover poll命令设置)就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。

  注意 使用static命令不当会造成Failover不能正常工作。

  没有定义特殊端口的static命令,转换一个接口上接收到的流量的地址,然而,备份的PIX必须能和主PIX的每一个启用了的接口通讯,以检查该接口是否处于活动状态。

  例如,下面的例子会打断正常的通讯,而不能使用:

   static (inside,outside) interface 192.168.1.1

  这个命令转换从outside接口来来的流量到inside接口,并转发到182.168.1.1,包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息,它就认为主PIX的该接口不活动,这样,备份PIX就将切换到活动状态。

  要创建一个不会对Failover造成影响的static语句,在Static命令中加入端口信息。例如上例可以改写为如下形式:

  static (inside, outside) tcp interface 80 192.168.1.1 80
  这样,就只会转换Http流量(80端口),而对Failover信息没有影响。如果还需要转换其它流量,可以为每个端口写一条Static语句

  在主PIX上配置Failover需要使用到如下命令:

failover 启用Failover
failover ip address 为备用PIX分配接口地址
failover link 启用Stateful Failover
failover lan 配置基于网络的Failover
配置基于Failover电缆的Failover
  注意 如果备用PIX处于开电状态,在进行下面的操作前先将它关掉。

  第一步 在活动的PIX上用clock set命令同步时钟


  第二步 将主、从PIX上配置了IP地址的所有接口的网线都接好。

  第三步 将Failover电缆上标有"Primary"的那头接到主PIX的Failover口上,标有"Secondary"的那头接到从PIX上面

  第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。

注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
  第五步 使用conf t命令进入配置模式

  第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。

注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
  Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。

  第七步 在interface配置正确后使用clear xlate命令.

  第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:

show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
  当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.

  第九步 在主PIX上使用failover命令启用Failover。

  第十步 使用show failover验证状态,输出如下:

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:

My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
  在接口IP地址右边的标志有如下类型:

Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
  第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2

  配置后,再show failover的输出如下:

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)

  第十二步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:

  failover link 4th

  第十三步 启用Stateful Failover,show failover命令的输出如下:

show failover

Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0


  在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下:

Stateful Obj—PIX stateful对象
xmit—传送到另一台设备的包数量
xerr—在传送过程中出现的错误包的数量
rcv—收以的包数量
rerr—收到的错误包的数量
  每一行的状态对象定义如下:

General—所有的状态对象汇总
sys cmd—系统命令,例LOGIN和Stay Alive
up time—启用时间
xlate—转换信息
tcp conn—CTCP连接信息
udp conn—动态UDP连接信息
ARP tbl—动态ARP表信息
RIF Tbl—动态路由表信息
  第十四步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。

  第十五步 打开备用pix的电源,一上电,主pix就会将配置同步到备用PIX上面,会出现 "Sync Started"和"Sync Completed"两条信息.

  第十六步 在备用的pix启用后,show failover命令的输出如下:

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0

  第十七步 使用wr mem命令将配置同时写入主从pix.


配置基于LAN的Failover

  从PixOS 6.2开始支持基于LAN的Failover,这样,就不再需要Fairover电缆了。基于LAN的Fairover突破了Failover的6英尺的距离限制。

  注意 要配置基于LAN的Failover,每台PIX需要一个单独的以太接口,并且必须接在一台交换的交换机或一个单独的VLAN上。不能使用交叉线将两台PIX直接连接起来。

  在基于LAN的Failover中,Fairover消息通过LAN进行传输,所有相关的安全性要低于基于Failover电缆的做法,在PIX os 6.2中提供了一种使用手工预先设置共享密码的加密与认证机制。

配置步骤:

  第一步 在活动的PIX上面用Clock set命令设置时钟

  第二步 将主、从PIX上除用于LAN Fairover以外的所有配置了IP地址的所有接口的网线都接好。

  第三步 如果连接了Fairover电缆,把它给拨掉。

  第四步 只配置主PIX.在主PIX上使用write mem命令时,配置会自动写到备用PIX的FLASH中。

注意 在系统提示可以打开备用Pix前,不要给备用PIX上电。
  第五步 使用conf t命令进入配置模式

  第六步 确认在配置的任何一个interface命令中都没有使用auto或1000auto选项,要查看interface命令,可以使用wr term。如果有使用auto选项的则需要重新输入。确认每条链路两端的。

注意 如果使用Stateful Failover,在使用一条交换线直接连接两台PIX时,一要要注意在interface命令中使用100full或1000sxfull选项,而且在Stateful Failover连接上的MTU一定要设置为1500或更大。
  Stateful Failover所使用的接口卡的速度和总线速度必须大于等于工作中的其它接口的接口速度和总线速度,例如,inside和outside使用的安装在总线0上的PIX-1GE-66卡,则Failover连接必须也使用PIX-1GE-66卡,并安装在总线1上,在这种情况不,不能使用Pix-1GE或PIX-1FE的卡,也不能在总线2或使用一个更慢的卡共享总线1的。

  第七步 在interface配置正确后使用clear xlate命令.

  第八步 正确配置接口的IP地址。配置完后可以使用show ip address命令查看:

show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
  当主PIX处于活动状态时,Current IP Addresses和System IP Addresses相同,当主PIX得失效状态时,Current IP Addresses会变成备用PIX的IP地址.

  

  第九步 在主PIX上使用failover命令启用Failover。

  第十步 使用show failover验证状态,输出如下:

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): Unknown (Waiting)
Interface intf3 (0.0.0.0): Unknown (Waiting)
Interface intf2 (0.0.0.0): Unknown (Waiting)
Interface outside (0.0.0.0): Unknown (Waiting)
Interface inside (0.0.0.0): Unknown (Waiting)
show failover命令输出的cable状态可能有如下值:

My side not connected—标志着在使用show failover命令时failover电缆未正确连接。
Normal—标志主从pix都操作正常.
Other side is not connected—标志对端未正确连接failover电缆。
Other side powered off—标志对端没开电。
  在接口IP地址右边的标志有如下类型:

Failed—接口失效.
Link Down—接口链路层协议
Normal—正常
Shut Down—该接口被手工停用了(在interfac命令中使用了shutown参数)
Unknown—该接口未配置IP地
Waiting—还没有开始监视对端的接口状态。
  第十一步 使用failover ip address命令声明备用PIX的每一个接口的地址,只需要在主pix上配置,该地址不能和主PIX的地址相当,但每一个接口的地址都可以在同一个子网内。如下例年示:

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2

  配置后,再show failover的输出如下:

show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf3 (192.168.3.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)


  第十二步 将用于LAN Fairover的接口接入网络,然后在主PIX上配置:

no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover

  第十三步 如果要配置Stateful Failover,使用failover link命令来定义要使用哪一个接口来传输状态信息,在本例中使用4th,命令如下:

  failover link 4th

  第十四步 启用Stateful Failover,show failover命令的输出如下:

show failover

Failover On
Cable status: Unknown
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Unknown (Waiting)
Interface intf2 (192.168.2.2): Unknown (Waiting)
Interface outside (192.168.1.2): Unknown (Waiting)
Interface inside (10.1.1.2): Unknown (Waiting)
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Unknown

  在"Stateful Failover Logical Update Statistics"一段中的各部分的意义如下:

Stateful Obj—PIX stateful对象
xmit—传送到另一台设备的包数量
xerr—在传送过程中出现的错误包的数量
rcv—收以的包数量
rerr—收到的错误包的数量
  每一行的状态对象定义如下:

General—所有的状态对象汇总
sys cmd—系统命令,例LOGIN和Stay Alive
up time—启用时间
xlate—转换信息
tcp conn—CTCP连接信息
udp conn—动态UDP连接信息
ARP tbl—动态ARP表信息
RIF Tbl—动态路由表信息
  第十五步 如果需要将轮询时间改得小于15秒,以保证正常工作,可以使用Failover poll seconds命令,缺省值为15秒,最小3秒,最大15秒。将轮询时间改小源码天空,会更快的检测到失效,但也也由于临时的拥塞和导致不必要的切换。

  第十六步 在不接用于Fairover电缆的情况下打开备用pix电源,然后进行如下配置:

nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary <--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
wr mem
reload

 


 

作者 小邰的博客

关于本站 - 广告服务 - 会员指南 - 联系方法
Copyright ©2003-2017 源码天空 All Rights Reserved