路由器与防火墙配置命令

路由器与防火墙配置命令

小明啊,你不是学计算机的嘛,叔叔家的路由器坏了,可以过来帮叔叔看看吗

命令可以用缩写,造就一堆容易造成歧义的缩写,比如addaddress的缩写,shshutdown的缩写。

默认为Cisco路由器和Cisco防火墙

视图模式介绍

普通视图 router>
特权视图 router#     #在普通模式下输入enable
全局视图 router(config)#   #在特权模式下输入config t
接口视图 router(config-if)#   #在全局模式下输入int 接口名称 例如int f0/0或int e0
路由协议视图 router(config-route)#  #在全局模式下输入router 动态路由协议名称
exit #从接口、协议、line等视图模式下退回到全局配置模式,或从全局配置模式退回到特权模式
end #回到特权模式
router#reload #重新启动路由器

1. 基本配置

router>en	 					#enable的缩写,进入特权模式
router#conf t 					#configure terminal的缩写,进入全局配置模式
router(config)# hostname xxx 	#设置设备名称
router(config)#enable password XXX  #设置进入特权模式密码(低级密码,密码可逆)
Router(config)#enable secret XXX    #设置进入特权模式密码(高级密码,密码不可逆)router(config)#no ip domain lookup #不允许路由器缺省使用DNS解析命令
router(config)# Service password-encrypt #对所有在路由器上输入的口令进行暗文加密
router(config)#securityrouter(config)#line vty 0 4 #进入虚拟终端线路配置模式
router(config-line)#password xxx #设置telnet的密码。没有密码远程连接不了
router(config-line)#login #开启登陆密码router(config)#line con 0 #进入控制口的服务模式
router(config-line)#password xxx #设置console的密码
router(config-line)#login #开启密码router#Logout  #退出当前路由器登陆模式相对与windows的注销
router#reload #重新启动路由器(热启动)冷启动就是关闭路由器再打开电源开关 

2. 接口配置与网络地址转换

NAT:network address translation,网络地址转换

PAT:port address translation,端口地址转换

router(config)#int s0 #进入接口配置模式。serial 0端口配置(如果是模块化的路由器前面加上槽位编号,#例如serial0/0 代表这个路由器的0槽位上的第一个接口)
router(config-if)#ip add 10.9.9.1 255.255.255.0   #这里的add是address的缩写,设置s0接口的ip地址,子网掩码
router(config-if)#nameif outside#设置接口命名为outside
router(config-if)# security-level 0#设置接口的安全级别为0
router(config-if)#enca hdlc/ppp #捆绑链路协议 hdlc 或者 ppp。#思科缺省串口封装的链路层协议是HDLC,所以在show run中不会显示enca hdlc#如果要封装为别的链路层协议例如PPP/FR/X25,show run才会显示enca ppp等配置firewall(config)# int e0 #进入e0接口配置
firewall(config-if)# ip add 10.9.9.1 255.255.255.0 #设置e0接口的ip,netmask
firewall(config-if)# nameif inside #接口命名为inside,表示内部网络
firewall(config-if)# end #回到特权模式
firewall# conf t #进入全局模式
firewall(config)# nat (inside) 101 10.9.9.0 255.255.255.0#配置inside接口的网络地址转换,指定转换范围10.9.9.0/24网段的数据包#穿越防火墙时将进行地址转换,NAT标识ID为101
firewall(config)# global (outside) 101 192.168.9.9-192.168.9.102 netmask 255.255.255.0#配置outside接口的全局地址池,转换NAT标识ID为101的所有数据包源IP地址#(需要与nat命令的NAT标识对应),分配出站的全局地址,范围192.168.9.9-192.168.9.102。#比如来自内网10.9.9.2的数据包转换成192.168.9.9作为外部地址。
firewall(config)# global (outside) 101 192.168.9.103 netmask 255.255.255.255#在上一条命令之后输入这一条,表示当上一条global的全局地址全部分配完毕后,才使用这条命令的全局地址池firewall(config)# static (dmz,outside) 192.168.9.21 172.5.5.2#static [(internal_if_name,external_if_name)] global_ip local_ip[netmask network_mask][max_conns [em_limit]][norandomseq]#配置静态网络地址转换,内部网络接口名dmz,外部网络接口名outside,#指定dmz区域的ip地址为172.5.5.2,转换为防火墙外部区域的IP地址192.168.9.21firewall(config)# show run nat #查看正在运行的nat
firewall(config)# no nat (inside) 101 10.9.9.0 255.255.255.0 #删除这条配置router(config)#int loopback #建立环回口(逻辑接口)模拟不同的本机网段
router(config-if)#ip add 192.168.1.1 255.255.255.255  #添加ip 地址和掩码给环回口
router(config-if)#no sh  		#sh是shutdown的缩写,开启接口
router(config-if)#shutdown 		#管理性的关闭接口

3. 静态路由与动态路由

(1)静态路由

firewall(config)# route outside 0 0 10.9.9.13#route if_name ip_address netmask gateway_ip [metric]#ip_address为目的ip,metric为到gateway_ip的跳数#配置默认路由为10.9.9.13,从防火墙outside接口出站的所有数据包,通过默认路由到达外网router(config)#ip route 0.0.0.0 0.0.0.0 192.168.9.1#目的地址为0.0.0.0(任意地址),下一跳地址192.168.9.1

(2)动态路由

rip协议
router(config)#router rip 	#启动rip协议
router(config-router)#network xxx.xxx.xxx.xxx #宣告自己的网段
router(config-router)#version 2  #转换为rip 2版本
router(config-router)#no auto-summary #关闭自动汇总功能,rip V2才有作用
router(config-router)# passive-int 接口名 #启动本路由器的那个接口为被动接口,该接口不会发送RIP更新
router(config-router)# nei xxx.xxx.xxx.xxx #neighbor的缩写,广播转单播报文,指定邻居的接收ip
igrp协议
router(config)#router igrp xxx #启动igrp协议 
router(config-router)#network xxx.xxx.xxx.xxx #宣告自己的网段
router(config-router)#variance xxx #调整倍数因子,使用不等价的负载均衡
eigrp协议
router(config)router eigrp xxx #启动协议
router(config-router)#network xxx.xxx.xxx.xxx #宣告自己的网段
router(config-router)#variance xxx #调整倍数因子,使用不等价的负载均衡
router(config-router)#no auto-summary #关闭自动汇总功能
ospf协议
router(config)router ospf xxx #启动协议启动一个OSPF协议进程
router(config-router)network xxx.xxx.xxx.xxx area xxx #宣告自己的接口或网段,在ospf的区域中可以把不同接口宣告在不同区域中
router(config-router)router-id xxx.xxx.xxx.xxx #配置路由的id
router(config-router)aera xxx stub #配置xxx区域为末梢区域,加入这个区域的路由器全部要配置这个条命令
router(config-router)aera xxx stub no-summary  #配置xxx区域为完全末梢区域,只在ABR上配置
router(config-router)aera xxx nssa #配置xxx区域为非纯末梢区域(NSSA)加入这个区域的路由器全部要配置这个条命令
router(config-router)aera xxx nssa no-summary  #配置xxx区域为完全非纯末梢区域,只在ABR上配置,#并发布缺省路由信息给进入这个区域内的路由器

4. 保存配置

router#wr #write的缩写,将RAM中的当前配置存储到NVRAM中,下次路由器启动就是执行保存的配置
router#Copy running-config startup-config #命令与write效果一样

5. 查看命令

特权模式下:
router#show ip int br #brief的缩写,查看当前的路由器的接口ip地址启用情况
router#show ip route #查看当前的路由表
router#show ? #查看show命令用法
firewall(config)#show running-config nat #查看当前的 NAT 配置
firewall(config)#show running-config global #查看global命令配置
firewall#show config #查看防火墙配置
firewall#show run interface e0 #查看e0接口的nameif,security-level,ip address

6. 访问控制列表

防火墙流量过滤只关注第一个初始化的数据包,而非响应包。防火墙接口没有绑定ACL时,出站的流量默认是放行,入站流量默认说拒绝。那么,拒绝默认可以出站的流量,放行默认不能入站的流量,就需要通过配置访问控制列表(Access Control List,ACL)实现流量过滤。

防火墙上的一个接口只能绑定一个ACL

#创建访问控制规则
pixfirewall(config)# access-list acl_id [line line-num] deny|permit protocol source_addr source_mask [operator [port]] destination_addr destination_mask operator [port]acl_id 指定ACL名称
deny|permit 拒绝|允许通过PIX防火墙的数据包
operator 有效的操作符有lt,gt,eq,neq,range
remark 添加到ACL中的注释
text 用于remark注释的正文show access-list		 #显示ACL
clear access-list [acl_id] #删除所有或指定条目的ACL
no access-list acl_id 	#删除指定条目的ACL#绑定到防火墙的特定接口
pixfirewall(config)# access-group acl_id in interface interface_name#绑定一个ACL到一个接口show access-group acl_id in interface interface_name	 #显示绑定在interface_name接口的ACL
clear access-group acl_id in interface interface_name #删除acl_id标识的ACL中的所有条目
no access-group acl_id in interface interface_name 	#删除绑定在接口上acl_id标识的ACL

示例:

pixfirewall(config)# access-list 101 extended permit icmp any any echo-reply#创建ACL,放行ping命令回显数据包,标识ID为101
pixfirewall(config)# access-list 101 permit tcp any host 192.168.9.21 eq 23#创建ACL,放行所有到目的主机192.168.9.21且端口号为23的TCP协议数据包,标识ID为101
pixfirewall(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)alert-interval 300
access-list 101; 2 elements
access-list 101 line 1 extended permit icmp any any echo-reply (hitcnt=0) 0x30901cd
access-list 101 line 2 extended permit tcp any host 192.168.9.21 eq telnet (hitcnt=0) 0x17597d2pixfirewall(config)# access-group 101 in interface outside#接口outside绑定标识为101的ACL
pixfirewall(config)# access-group 101 in interface dmz#接口dmz绑定标识为101的ACL
pixfirewall(config)# show run access-group
access-group 101 in interface outside
access-group 101 in interface dmz

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/73544.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Go语言进化之旅:从1.18到1.24的语法变革

文章目录 里程碑变革:泛型支持Go 1.18:泛型的引入Go 1.19-1.21:泛型的完善Go 1.24:泛型类型别名全面支持 循环与迭代的进化Go 1.22:循环变量作用域变化与整数遍历Go 1.23:迭代器函数的支持Go 1.24&#xff…

发现一个GoVCL的问题

之前用govcl写了一个服务端的界面程序,用来控制服务的开启和关闭。 由于这个服务程序运行的时间比较长,经常是挂着在服务器上24小时不间断运行。 后来经过调试发现,govcl的界面按钮控件,在程序长时间运行后,会出现无法…

34个适合机械工程及自动化专业【论文选题】

论文选题具有极其重要的意义,它直接关系到论文的质量、价值以及研究的可行性和顺利程度。选题明确了研究的具体领域和核心问题,就像给研究旅程设定了方向和目的地。例如,选择 “人工智能在医疗影像诊断中的应用” 这一选题,就确定…

电脑实用小工具--VMware常用功能简介

一、创建、编辑虚拟机 1.1 创建新的虚拟机 详见文章新创建虚拟机流程 1.2 编辑虚拟机 创建完成后,点击编辑虚拟机设置,可对虚拟机内存、处理器、硬盘等各再次进行编辑设置。 二、虚拟机开关机 2.1 打开虚拟机 虚拟机创建成功后,点击…

双指针算法专题之——有效三角形的个数

文章目录 题目介绍思路分析AC代码 题目介绍 链接: 611. 有效三角形的个数 思路分析 如果判断三个数能否构成一个三角形,相信大家都知道: 只要任意两边之和大于第三边即可。 比如三条边长度为a,b,c 那只要满足 ab>c ac>b b…

Linux内核实时机制27 - RT调度器10 - RT throttling 带宽控制下

文章目录 1、初始化带宽 init_rt_bandwidth1.1、init_rt_bandwidth2、定时器处理2.1、sched_rt_period_timer2.2、do_sched_rt_period_timer3、总结1、初始化带宽 init_rt_bandwidth rt_runtime : 一个时间周期内的运行时间,超过则限流,默认值为0.95ms 1、init_rt_bandwidth…

1.5[hardware][day5]

Link类跳转指令可以拆分为两个部分,一个是跳转,即下一个PC的生成,如果将分支条件的比较放到译码级来进行,则这部分只涉及取值级和译码级流水;另一个是Link操作,简单来说就是写寄存器,这部则主要…

Tomcat 与 Java 环境变量配置简明教程

Tomcat 与 Java 环境变量配置简明教程 一、Tomcat 环境变量配置 1. 确认安装路径 假设 Tomcat 安装在:D:\Tomcat\apache-tomcat-9.0.70 2. 设置 CATALINA_HOME 步骤: 右键点击「此电脑」→「属性」点击「高级系统设置」→「环境变量」在「系统变量…

3.16学习总结

学习了Java的知识点 基本数据类型 byte占1字节,储存范围-128~127 short占2字节,储存范围-32768~32767 int占4字节,储存范围-2147483648~2147483647 long占8字节,储存范围是-9223372036854775808~9223372036854775807 float占…

Android手机中各类安全相关知识总结

更多内容请见: 爬虫和逆向教程-专栏介绍和目录 文章目录 1. Android 安全威胁2. Android 安全防护措施3. Android 安全建议和最佳实践4. Android 安全工具推荐5. Android 安全常见问题5.1 如何检测设备是否感染恶意软件?5.2 如何防止应用滥用权限?5.3 如何保护设备免受网络攻…

【Ratis】项目总览

Apache Ratis 项目源码分析与运行原理 Apache Ratis 是一个高性能、可扩展的分布式一致性协议实现,是对Raft协议的Java版本的很好的工程实现。它提供了灵活的 API 和多种传输层支持(如 gRPC 和 Netty),适用于构建分布式系统中的核心组件,例如分布式存储、配置管理和服务发…

以太网 MAC 帧格式

文章目录 以太网 MAC 帧格式以太网帧间隔参考 本文为笔者学习以太网对网上资料归纳整理所做的笔记,文末均附有参考链接,如侵权,请联系删除。 以太网 MAC 帧格式 以太网技术的正式标准是 IEEE 802.3,它规定了以太网传输数据的帧结…

pycharm配置镜像源【pycharm最新版(23.2.5及以上)方法】

经常遇到pycharm中无法安装或者安装慢的问题,纠结了好久,终于找到这个解决办法了。 为什么要配置镜像源: 因为Python的包管理工具pip一般从PyPI(Python Package Index)下载安装包,但是PyPI位于国外&#x…

驾驭 DeepSeek 科技之翼,翱翔现代学习新天际

在当今这个信息爆炸的时代,学习的方式和途径正在经历着前所未有的变革。人工智能技术的飞速发展,为我们的学习带来了全新的机遇和挑战。DeepSeek 作为一款强大的大语言模型,凭借其卓越的性能和丰富的功能,为现代学习注入了新的活力…

科普:WOE编码与One-Hot编码

WOE编码是业务逻辑与统计建模的结合,适合强业务导向的场景; One-Hot编码是数据驱动的特征工程,适合追求模型性能的场景。 编码方式核心价值典型案例WOE编码保留变量预测能力,适配线性模型银行违约预测逻辑回归One-Hot编码释放特征…

Python----数据分析(Pandas一:pandas库介绍,pandas操作文件读取和保存)

一、Pandas库 1.1、概念 Pandas是一个开源的、用于数据处理和分析的Python库,特别适合处理表格类数 据。它建立在NumPy数组之上,提供了高效的数据结构和数据分析工具,使得数据操作变得更加简单、便捷和高效。 Pandas 的目标是成为 Python 数据…

Type-C:智能家居的电力革命与空间美学重构

在万物互联的时代浪潮中,家居空间正经历着从功能容器到智慧终端的蜕变。当意大利设计师安东尼奥奇特里奥提出"消失的设计"理念二十年后,Type-C充电技术正以润物无声的方式重塑着现代家居的形态与内核,开启了一场静默的居住革命。 【…

C++ 左值(lvalue)和右值(rvalue)

在 C 中,左值(lvalue)和右值(rvalue)是指对象的不同类别,区分它们对于理解 C 中的表达式求值和资源管理非常重要,尤其在现代 C 中涉及到移动语义(Move Semantics)和完美转…

【含文档+PPT+源码】基于SpringBoot和Vue的编程学习系统

项目介绍 本课程演示的是一款 基于SpringBoot和Vue的编程学习系统,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Java 学习者。 1.包含:项目源码、项目文档、数据库脚本、软件工具等所有资料 2.带你从零开始部署运行本套系统 3.该项…

关于新奇的css

background: linear-gradient(154deg, #07070915 30%, hsl(var(--primary) / 30%) 48%, #07070915 64%); filter: blur(100px); background: linear-gradient(154deg, #07070915 30%, hsl(var(--primary) / 30%) 48%, #07070915 64%); 这是一个线性渐变背景设置,角度…