ASA命令

交换部分

Ssh的配置

Router(config)#hostname r1//更改主机名

r1(config)#ip domain name cisco.com//配置r1的域名为cisco.com

r1(config)#inter fa0/0

r1(config-if)#ip add 10.1.1.1 255.255.255.0//配置接口ip地址为

10.1.1.1.

r1(config-if)#no shut

r1(config)#username ccie password cisco//配置用户名和密码,对于客户端

而言需要通过此用户名和密码登陆

r1(config)#crypto key generate rsa//配置r1的RSA key,采用1024位的

长度

r1(config)#line vty 0 4//开启vty

r1(config-line)#login local

r1(config-line)#transport input telnet ssh指定ssh登录

r2#ssh -l ccie 10.1.1.1//通过SSH登陆进行测试

Password:

r1>

NTP

R1(config)#clock timezone GMT +8//配置路由器的时区是东8区时

R1#clock set 20:30:00 8 feb 2015//配置路由器的时间为是2015年2月81日

20点整30分钟

R1(config)#ntp master 5//配置master和stratum

R1(config)#ntp source fa0/0//该地址为数据发出时的源地址,并不影响NTP

时间同步

R1#show clock查看配置后路由器的时间

R2(config)#clock timezone GMT +8//配置路由器的时区是东8区时

R2(config)#ntp server 10.1.1.1

R2#show clock

交换机的STP

PVLAN(Private VLAN)

SW3560(config)#vtp mode transparent//配置vtp为透明模式

SW3560(config)#vlan 201

SW3560(config-vlan)#private-vlan primary//创建主VLAN

SW3560(config)#vlan 202

SW3560(config-vlan)#private-vlan isolated//创建隔离VLAN

SW3560(config-vlan)#exit

SW3560(config)#vlan203

SW3560(config-vlan)#private-vlan community//创建团体VLAN

SW3560(config-vlan)#exit

关联VLAN

SW3560(config)#vlan 201

SW3560(config-vlan)#private-vlan association 202

SW3560(config-vlan)#exit

配置isolated接口

SW3560(config)#inter fa0/1

SW3560(config-if)#switchport mode private-vlan host//配置pvlan主机接口

SW3560(config-if)#switchport private-vlan host-association 201 202//配置pvlan主机接口

SW3560#show vlan private-vlan//查看private VLAN状况

SW3560(config-if)#inter fa0/17

SW3560(config-if)#switchport mode private-vlan promiscuous//配置promiscuous接口(GW)

SW3560(config-if)#switchport private-vlan association mapping 201 202-204

//关联到主VLAN201,辅助202-204

SW3560(config)#inter vlan 201

SW3560(config-if)#ip address 10.1.1.254 255.255.255.0

SW3560(config-if)#private-vlan mapping 202-204//配置promiscuous接口(SVI)

SW3560(config)#ip routing//启用路由功能

SW3560#show interfaces private-vlan mapping//查看private VLAN状况

Port Security

r1#show int fa0/0查看R1的接口Fa0/0的MAC地址

sw1(config)#int fa1/1

sw1(config-if)#switchport mode access

sw1(config-if)#switchport port-security配置交换机的port-security

sw1(config-if)#switchport port-security maximum 1

sw1(config-if)#switchportport-securitymac-address

sw1(config-if)#switchport port-security violation shutdown

//配置sw1的端口安全,最多允许学习一个MAC地址

r1#ping 10.1.1.2//测试

sw1(config)#int fa1/1  sw1(config-if)#switchport port-security aging time 2

//配置Port Security MAC地址的老化时间

sw1(config-if)#switchport port-security aging type inactivity

sw1(config)#int fa1/1

sw1(config-if)#switchport port-security aging static//配置手工静态指定的MAC地址的老化时间

IP Source gurad

sw1(config)#inter range f0/1 - 3

sw1(config-if-range)#switchport mode access

sw1(config-if-range)#switchport access vlan 10

//将R1、R2、R3配置到同一VLAN10。

sw1(config)#ip dhcp snooping在交换机上开启DHCP snooping

sw1(config)#ip dhcp snooping vlan 10

sw1(config)#int fa0/3

sw1(config-if)#ip dhcp snooping trust

//将DHCP Server的接口设置为trust接口。

sw1(config)#int range fa0/1 - 2

sw1(config-if-range)# ip verify source

sw1#sh ip source binding//查看IP source binding table

sw1#sh ip verify source//查看自动生成的ACL

r1(config)#int fa0/0

r1(config-if)#ip address dhcp//开启DHCP自动获得地址的功能

r1#sh protocols f0/0//查看R1 DHCP客户端自动获得的地址

sw1#sh ip source binding//查看IP source binding table

sw1(config)#ip source binding 0013.1a2f.1200 vlan 10 10.1.1.20 interface f0/2

//手动把R2的IP地址添加到IP source binding table中

sw1(config)#inter f0/1

sw1(config-if)#ip verify source port-security//在接口上开启基于IP与MAC的IP Source Guard

sw1(config)#inter f0/1

sw1(config-if)#switchport port-security//开启port-security

BPDU

Sw1(config)#int ran fa1/1 - 2

sw1(config-if-range)#no switchport//将SW1的端口fa1/1和fa1/2改成三层接口

sw1(config-if)#spanning-tree portfast//将SW1的端口fa1/1配置为Port Fast快速

w1#sh spanning-tree interface fa1/1 portfast//查看SW1的端口fa1/1和fa1/2的状态

sw1(config)#spanning-tree portfast bpduguard default//在SW1全局开启BPDU Guard

sw1#sh spanning-tree interface fa1/1//查看SW1的端口状态

sw1#sh spanning-tree interface fa1/1 portfast//查看SW1的端口fa1/1和fa1/2的状态

sw1(config)#spanning-tree portfast bpdufilter default//在SW1上全局开启BPDU Filtering

w1(config)#int range fa1/1 - 2

sw1(config-if-range)#switchport//在SW1的端口fa1/1和fa1/2向SW1发送BPDU,测试BPDU Filtering

sw1(config-if-range)#spanning-tree bpduguard enable//开启BPDU Guard

sw1(config-if)#spanning-tree guard root//开启Root guard

sw1#sh spanning-tree detail//查看SW1上的Root guard

sw1(config)#spanning-tree vlan 1 priority 4096///配置SW4为根

sw1#sh spanning-tree inconsistentports..//查看被放入inconsistent (blocked)状态的端口

sw1(config-if)#switchport trunk encapsulation dot1q//封装

sw1(config-if)#switchport mode trunk

sw1(config-if)#switchport protected//配置为protected port

r1#ping 10.1.1.3 Type escape sequence to abort.//测试R1到同台交换机的正常端口F0/3的连通性

sw1#sh int f0/1 switchport//在交换机上查看Protected Port

802.1x验证

SW1(config)#radius-server host 172.16.1.105//配置AAA服务器的地址

SW1(config)#radius-server key cisco//配置AAA服务器的密码

SW1(config)#aaa authentication dot1x default group radius//配置dot1x使用radius服务器

SW1(config)#aaa authorization network default group radius//定义dot1x授权策略

SW1(config)#dot1x system-auth-control//全局开启dot1x控制

SW1(config)#radius-server vsa send authentication

//配置交换机发送厂商特别属性到AAA服务器,目的是要获取用户的vlan信息

本地AAA验证

R1(config)#aaa new-model

R1(config)#aaa authentication login list1 local enable

//创建list列表,指定认证方法顺序为local和enable

R1(config)#line vty 0 4

R1(config-line)#login authentication list1//开启验证

R1#telnet 12.1.1.1//远程登录

R1(config)#enable secret enable//创建enable密码

R1(config)#aaa authentication login list2 group tacacs+ enable

//创建AAA list,第一个为tacacs+,第二个为enable

R1(config)#aaa authentication login list3 group tacacs+enable none

//创建第一个为tacacs+,第二个为enable,第三个为空

AAA的授权审计实验

R1(config)#aaa new-model

R1(config)#tacacs-server host 192.168.10.100 key cisco123//指定服务器

R1#test aaa group tacacs+ join join123 legacy   //测试用户join是否能够通过验证

R1(config)#aaa authentication login VTY group tacacs+

//定义列表,指明用tacacs的方式来进行验证

R1(config-line)#login authentication VTY//应用所定义的列表

R1#show privilege//查看版本信息

R1(config)#aaa authorization config-commands

//保证所做的授权在全局配置模式下也能生效

R1(config)#aaa accounting exec VTY start-stop group tacacs+

//对登陆的开始和结束时间做审计

R1(config)#aaa accounting commands 1 VTY start-stop group tacacs+

//对级别1的命令开启审计

R1(config-line)#accounting commands 0 VTY

//对开启审计的级别的命令在vty线路下应用

R1(config)#aaa accounting commands 0 VTY start-stop group tacacs+

//对登陆时间开始和结束的应用以及命令级别审计的应用

防火墙安全部分

基于IOS的防火墙

Ip配置略

R1#ping 13.1.1.3//测试R1到R3的ICMP通信情况

r2#telnet 14.1.1.4//测试R2到R4的telnet情况

R1(config)#zone security zone1//创建security zone

R1(config)#interface fastethernet0/0

R1(config-if)#zone-member security zone1//把接口划分到zone中

r1(config)#access-list 100 permit ip any host 14.1.1.4

r1(config)#class-map type inspect CLASS

r1(config-cmap)#match access-group 100//配置class-map匹配zone1到zone2的流量

r1(config)#policy-map type inspect POLICY

r1(config-pmap)#class type inspect CLASS//配置policy-map允许zone1到zone2的流量

r1(config)#zone-pairsecurity  CCIEsource  zone1destination  zone2

r1(config-sec-zone-pair)#service-policy type inspect POLICY//应用策略到zone-pair

r1(config)#class-map type inspect CLASS3

r1(config-cmap)#match protocol telnet//配置class-map匹配telnet协议

r1(config)#policy-map type inspect POLICY3

r1(config-pmap)#class CLASS3

r1(config-pmap-c)#inspect//配置policy-map允许telnet协议

Router-to-Router Lan-to-Lan IPSEC-VPN

R1(config)#crypto isakmp policy 10//定义了ISAKMP policy 10

R1(config-isakmp)#encryption 3des//加密方式为3des

R1(config-isakmp)#hash sha//hash算法为sha

R1(config-isakmp)#authentication pre-share//认证方式为Pre-SharedKeys (PSK)

R1(config-isakmp)#group 2//密钥算法(Diffie-Hellman)为group 2

R1(config)#crypto isakmp key 0 cisco123 address 23.1.1.3///在R1上定义认证标识

R1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac//在R1上配置IPsec transform

配置了transform-set为ccie,其中数据封装使用esp加3des加密,并且使用esp结合sha做hash计算,默认的IPsec mode为tunnel

R1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255//在R1上定义感兴趣流量

R1(config)#crypto map l2l 1 ipsec-isakmp

//在R1上配置crypto map为l2l,序号为1,即第1组策略

R1(config-crypto-map)#set peer 23.1.1.3

//其中指定加密数据发往的对端为23.1.1.3,即和23.1.1.3建立IPsec隧道

R1(config-crypto-map)#set transform-set ccie//调用的IPsec transform为ccie

R1(config-crypto-map)#match address 100//指定ACL 100中的流量为被保护的流量

R1(config)#inter fa0/0

R1(config-if)#crypto map l2l//将crypto map应用在接口F0/0上

R1#show crypto isakmp key//查看Phase One时的认证密码:

R1#show crypto isakmp sa//查看IKE SA(ISAKMP SA

R1#show crypto isakmp peers//查看R1上IKE SA的peer

R1#show crypto ipsec transform-set//查看R1上的IPsec Transform:

R1#show crypto ipsec sa//查看R1上的IPsec SA

R1#show crypto ipsec security-association//查看R1上的IPsec SA的Lifetime

R1#show crypto map查看R1上的crypto map

Router-to-RouterDMVPN

Hub(config)#ip http server

Hub(config)#ip http authentication local//开启本地验证

Hub(config)#username ccie privilege 15 password ccie设置级别为15,密码为ccie

interface Tunnel0//tunnel口的配置

ip address 192.168.1.1 255.255.255.0

ip nhrp authentication cisco开启验证

ip nhrp map multicast dynamic

ip nhrp network-id 10000

tunnel source f0/0

tunnel mode gre multipoint

tunnel key 10000

router eigrp 100

network 1.1.1.0

network 192.168.1.0

no auto-summary

//配置eigrp

Hub路由器

router ospf 1

network 1.1.1.0

network 192.168.1.0

interface tuunel 0

ip ospf network broadcast

Spoke路由器

router ospf 1

network 2.2.2.0

network 192.168.1.0

interface tuunel 0

ip ospf network broadcast

ip ospf priority 0

interface Tunnel0

no ip split-horizon eigrp 100

no ip next-hop-self eigrp 100

//修改HUB路由器隧道接口关于EIGRP的配置

crypto isakmp policy 10

encr 3des

hash sha

authentication pre-share

group 2

crypto isakmp key cisco1234 address 0.0.0.0

crypto ipsec transform-set ccsp esp-3des esp-sha-hmac

mode transport

crypto ipsec profile cisco

set transform-set ccsp

interface Tunnel0

tunnel protection ipsec profile cisco

//为隧道加上IPSec保护

Router-to-Router EZVPN

R1(config-if)#no ip routing//关闭路由,把R1当做一台PC

R1(config)#ip default-gateway 172.16.12.2//设置网关

R1#ping 172.16.1.1//测试直连的连通性

配置服务器

r2(config)#aaa new-model  //启用AAA

r2(config)#aaa authentication login ezvpn local  //认证

r2(config)#aaa authorization network forezvpn local  //授权

r2(config)#username cisco password 0 cisco  //1.5X-auth认证的用户名和密码

r2(config)#crypto isakmp policy 10  //定义一个策略

r2(config-isakmp)#encr 3des   //加密用3DES

r2(config-isakmp)#authentication pre-share //认证用预共享密钥

r2(config-isakmp)#group 2   //放在组2中

r2(config-isakmp)#ip local pool POOL 192.168.100.1 192.168.100.10

r2(config)#crypto isakmp client configuration address-pool local POOL

//定义地址池

r2(config)#crypto isakmp client configuration group ezvpngroup

//调用地址池,应用在server所有接口

r2(config-isakmp-group)#save-password  //允许客户端拨号后保存密码

r2(config-isakmp-group)#key cisco123  //预共享密钥

r2(config-isakmp-group)#dns 1.1.1.1

r2(config-isakmp-group)#domain cisco.com

r2(config-isakmp-group)#exit

r2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

//定义转换集加密和认证模式

r2(cfg-crypto-trans)#exit

r2(config)#crypto dynamic-map dmap 10

r2(config-crypto-map)#set transform-set myset

r2(config-crypto-map)#crypto map map client authentication list ezvpn

r2(config)#crypto map map isakmp authorization list forezvpn

r2(config)#crypto map map client configuration address respond  //让CLIENT

请求后给与回应

r2(config)#crypto map map 10 ipsec-isakmp dynamic dmap

r2(config)#

r2(config)#interface Ethernet0/1

r2(config-if)#crypto map map//在端口上应用map

配置客户端

R4(config)#crypto ipsec client ezvpn ezvpngroup//ezvpngroup,这里的这个

和前面的没有关系,只和本地的client有关系

R4#crypto ipsec client ezvpn connect//手动发起连接

R4#crypto ipsec client ezvpn xauth

Username: cisco

Password:

R4#show crypto ipsec client ezvpn //查看从服务器获取到的配置信息

ASA防火墙的基本配置

ciscoasa> enable //进入特权模式

password: //输入密码

ciscoasa# //特权模式已经已进入

ciscoasa# configure terminal //进入配置模式

ciscoasa(config)# exit //返回上一层的模式

ciscoasa# exit //同上

Show running-config//可以把ciscoasa防火墙RAM中当前的配置显示在终端

屏幕上,也可以使用命令Write Terminal来显示当前配置。

write Memory//把当前正在运行的配置保存到闪存中时。

clear configure all//running-config的内容清空。

命令write erase可以清除Flash闪存中的配置(即Start-config)。

命令relaod可以重启设备

Show version//可以用来显示PIX防火墙的软件版本,自上次重启以后的运行时间,处

理器类型,闪存类型,接口板,序列号,激活密钥值。

show ip address//用来查看每个网络接口上分配的IP地址

show interface可以查看网络接口信息

Show memory可以显示最大的物理内存的总和,显示ciscoasa防火墙操作系统当前可

用的空闲内存

show cpu usage显示cpu的使用情况

nameif给ciscoasa防火墙的每个边界物理或逻辑接口分配一个名字,并指定它们的安全

级别。

ciscoasa(config)# nat (inside) 1 0.0.0.0 0.0.0.0

ciscoasa(config)# global (outside) 1 192.168.0.20-192.168.0.254

//使用no global命令删除相应的global条目

ciscoasa(config-if)# nameif outside//命名接口为outside

ciscoasa(config-if)# nameif inside//命名接口为inside

ciscoasa(config-if)# nameif dmz///命名接口为dmz

ciscoasa(config-if)# security-level 50//定义安全级别为50

ciscoasa(config)# access-list 100 permit icmp any any//定义访问列表为100允许任意icmp

ciscoasa(config)# inter e0

ciscoasa(config-if)# access-group 100 in interface outside//定义访问组为100

pix1(config)# global (outside) 1 interface

pix1(config)# show xlate//查看xlate转换列表

配置failover

pix1(config)# inter e0

pix1(config-if)# ip add 192.168.1.11 255.255.255.0 standby 192.168.1.253

pix1(config-if)# inter e1

pix1(config-if)# ip add 192.168.2.11 255.255.255.0 standby 192.168.2.253

pix1(config-if)# inter e2

pix1(config-if)# no sh

pix1(config-if)# exit

pix1(config)# failover lan enable

pix1(config)# failover lan unit primary

pix1(config)# failover lan interface FO e2

pix1(config)# failover key cisco

pix1(config)# failover interface ip FO 192.168.100.11 255.255.255.0 standby

192.168.100.253

pix1(config)# failover

�<�#���

推荐阅读更多精彩内容