路由交换笔记

发布 2021-05-12 00:43:28 阅读 6153

asa安全基础配置。

张丽娜 186***

防火墙。网络访问控制/单向控制/深度检测数据包。

作用:区域间的访问控制,至少有两个或两个以上区域。

默认情况下相同安全级别接口之间无法通信,如需相同安全级别接口间通信敲same-security-traffic permit inter-interface命令。

可以做网关。

基于路由表**数据、支持acl/nat/静态路由/动态路由/vpn等技术。

防火墙通常架设在边界处。

主要作用:区域间的访问控制。

配置:pixfirewall(config)# show his

conf t

int e0

nameif inside

ip add 10.1.1.10 255.255.255.0

no shu

security-level 100

int e1

nameif outside 配置接口名字。

security-level 0 配置接口的安全级别。

ip add 202.100.1.10 255.255.255.0

no shut

exit 如接口命名为inside系统默认授予其的安全级别为100,其余接口命名均默认授予其安全级别为0

dmz区域(非军事化管理区域)安全级别介于 inside 和outside之间,为缓冲区域,通常用来放置服务器、数据库等设备。

防火墙(firewall)常用命令:

show firewall 查看防火墙模式。

show version查看:系统软件版本、运行持续的时间、系统镜像文件保存的位置、加载配置的文件、硬件信息、接口信息、防火墙支持的功能、防火墙的serial number(唯一的)

sh interface 查看接口的详细参数。

sh ip address 查看接口的ip配置情况。

sh memory 查看内存大小。

sh cpu usage 查看cpu的利用率。

sh history 查看最近使用的命令。

show conn 查看流量由高安全级别区域去往底安全级别区域时防火墙对该流量记录的状态信息,且根据状态化信息放行其返回流量。

防火墙默认不记录(监控)icmp的状态化信息的,需强制firewall监控icmp

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect icmp

防火墙启用telnet

1、telnet 网段子网接口命名。

passwd 密码。

2、 telnet 0 0 inside

3、username 名字 pass 密码。

定义telnet的认证方式。

aaa authentication telnet console local(必须大写)

4、防火墙的outside接口不支持telnet远程登录,只能使用ssh进行远程。

ssh配置:

启用 ssh 网段子网 outside

定义 aaa authentication ssh console locsl

清除telnet的配置。

clear configure telnet

查看正在telnet的用户。

who踢掉正在远程telnet的用户。

kill 线程号码

查看正在ssh远程的用户。

show ssh sessions

踢掉ssh远程的用户。

ssh disconnect 线程号。

静态路由配置。

route inside 目标网段掩码下一条地址。

防火墙最多支持三个相同方向默认路由。

防火墙不支持反码,虚拟接口。

acl-防火墙访问控制列表与路由器访问控制列表的区别。

1.防火墙访问控制列表只能控制穿越防火墙的流量,不能控制抵达防火墙自身的流量。

2.防火墙的访问控制列表只对初始化的数据包起作用。

防火墙acl配置格式。

access-list out(acl的名字) permit(使用permit 默认就是扩展acl)

acess-list out standard (标准acl)

挂载。access-group out in interface outside(接口名字)

查看acl状态信息。

show access-list

查看acl配置信息。

show run access-list

添加插入acl的条目。

access-list out(acl名字) line (插入的号码)

更改acl的名字。

access-listre name

备注aclaccess-list out remark

access-list out line 1 remark

十二月十日

闲置访问控制列表。

结尾加 inactive

例:access-list out extended permit tcp 2.2.

2.0 255.255.

255.0 host 1.1.

1.1 eq 23 inactive

决定acl生效时间与结束时间。

1.绝对时间。

time range

absolute start 起始时间日月年 end 终止时间日月年。

2.相对时间(周期性的)

time range

periodic 星期起始时间 to 终止时间。

挂载到acl

access-list out extended permit icmp any any time-range (名字)

查看防火墙时间。

show clock

修改防火墙时区。

clock timezone gmt +8

修改防火墙时间。

clock set 时间日月年。

object-group (可对ip 协议端口 icmp数据包的类型进行归类)

归类ip地址)

object-group network 名字。

network-object 网段子网。

阻止外网用户ping通。

icmp permit any echo-reply outside

更改防火墙默认启动的配置。

boot config flash:/文件名。

更改默认启动的ois

boot system flash:/ois名字。

osi备份到tftp

copy flsh:/名字 tftp:ip地址。

防火墙的nat

静态nat基本配置。

config)#static (inside,outside)公网地址私网地址。

查看nat转换项。

show xlate

默认保存24个小时。

动态nat基本配置。

config)#nat (inside)序列号—不能选择0 内网网段子网。

匹配外网网段。

config)#global (outside)序列号-与inside相同公网—公网。

端口复用。config)#nat (inside)序列号 0 0

config)#global (outside) 序列号 interface

防火墙的每个接口都在不同的vlan中。

划分防火墙的子接口。

interface e0

no shutdown

interface e0.1

启用子接口。

int e0.1

ip add

vlannameif

透明模式防火墙。

1、三层流量需要内外明确放行(ospf/eigrp)

2、直连网络必须在相同子网内。

3、必须要配置一个网管ip

4、网管ip必须和内外接口网段相同。

5、网管ip不能作为网管使用。

6、可以为防火墙指定一个网关,这条路由仅在网管时起作用。

7、每个接口必须在不同的vlan

8、cdp是无法穿越的(cdp思科私有的发现协议)

9、arp不需要放行就能够穿越。

10、不支持nat、动态路由协议、ipv6、vpn

11、组播、广播流量必须使用acl明确放行(inbound/outbound)

切换防火墙模式。

firewall transparent

切换路由模式。

no firewall transpaten

配置网管地址。

config)#ip add

一、网络安全。

1.源认证。

2.完整性。

3.私密性。

4.不可否认性。

二、密码学。

1.对称密码学。

算法。des支持56bit

3des支持168bit

aes支持bit

注:密钥长度越长加密的强度越大。

优点: 加密的速度快加密后的密文很紧凑。

缺点:交换密钥存在一定问题。

2.非对称密码学。

算法。diffie-hellman

rsaecc

优点:减化了密钥发布和管理的难度。

可以支持众多的安全服务。

如数据的保密性、完整性、源认证、不可抵赖性和数字签名等。

缺点:加解密速度比较慢。

要想让非对称密钥算法取得与对称密钥算法相同的安全强度,就必须使用更长的密钥。

散列函数。任意的输入固定的输出。

雪崩效应。冲突避免。

md5(128)

sha(160)

vpn特点。

1.保证异地局域网之间的连通性和安全性。

vpn通过建立一个隧道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。

在vpn设备上需添加:

对端vpn peer的加密点路由与通信点路由。

加密点:调用vpn策略的接口,且该接口与vpn peer加密点接口底层可达。

通信点:需要和对端局域网通信的网段。

感兴趣流:本端通信点到对端通信点的流量。

注:配置vpn时,两端设备需配置相同策略。

crypto isakmp policy 10 创建第一阶段策略(用途:建立vpn连接)

authentication pre-share

group 5根据实际情况做参数修改(策略参数要求与对端一致)

crypto isakmp key **add 定义预共享密钥(与对端一致),指定peer地址(告诉设备将与谁建立vpn连接)

crypto ipsec transform-set 1205b esp-des esp-md5-hmac

第二阶段策略,定义使用什么算法协议为数据包封装加密。(策略参数要求与对端一致)

路由复习笔记

路由期中复习笔记。计算机网络概述。计算机网络的定义 计算机网络是一组自治计算机互联的集合 计算机网络的基本功能 资源共享 分布式处理与负载均衡 综合信息服务 计算机网络的类型 局域网 城域网 广域网 局域网。通常指几千米以内的,可以通过某种截止互联的计算机 打印机 modem或其他设备的集合 特点 ...

《高级交换与路由网络》课程考试大纲

高级交换与路由网络 课程考试大纲。一 课程基本信息。课程名称 高级交换与路由网络课程 课程性质 专业必修课。二 学时与学分。学时 总学时90学时,其中讲授54学时,实验36学时学分 3学分。三 适用专业。软件工程 网络工程师方向 四 考试方式。闭卷。五 成绩构成。综合成绩 平时成绩 20 技能成绩 ...