防火墙路由和交换
防火墙vlan应用
在dmz区域应用三个vlan.
创建逻辑和物理接口
int e3.1
vlan 10
分配vlan名称和安全级别
interface e3.1
vlan 10
nameif dmz1
security-level 10
分配vlan的ip地址
int 3.1
no sh
ip add 172.16.10.1 255.255.255.0
静态路由
route outside 0.0.0.0 0.0.0.0 192.168.0.1 1
route inside 10.0.1.0 255.255.255.0 10.0.0.102 1
动态路由
版本7.x支持rip和ospf
版本8.x支持rip、eigrp和ospf
版本7.x ospf只支持2个进程
捞版本rip和ospf不能同时配置
新版本rip和ospf可以同时配置
动态路由:rip
router rip
version 2
network 10.0.0.0
network 10.0.0.0
network 192.168.0.0
no auto-summary
rip协议认证
rip authentication key cisco key-id 1
md5认证:
rip authentication mode md5
明文认证
rip authentication mode text
动态路由:ospf
支持内部区域,interarea,和外部(1型和2)线路。
支持虚拟连接
ospf报文的认证。
支持配置为dr,安全设备的abr,和有限的asbr的功能。
abr的过滤类型3的lsa.
路由重发布
配置ospf
router ospf 1
network 1.1.1.0 255.255.255.0 area 0
network 2.2.1.0 255.255.255.0 area 2.2.0.0
network 10.0.0.0 255.255.255.0 area 10.0.0.0
两个ospf进程
一个进程是公共场所,一个进程是私有网络
nat是使用:lsa的类型3,需要过滤。
ospf认证的配置
ospf authentication-key cisco
md5:
ospf authentication message-digest
明文:
ospf authentication
动态路由:eigrp
在本版本8.0后支持eigrp协议。
支持末节区域。
支持重发布。
eigrp配置
router eigrp 100
no auto-summary
network 10.1.1.0 255.255.255.0
net 2.2.0.0 255.255.0.0
vpn配置:打开isakmp enable
isakmp enable outside
isakmp policy 10
encryption des
hash md5
authentication pre-share
group 2
lifetime 86400
crypto isakmp key cisco address 202.100.1.1
(或使用tunnel-group 202.100.1.1 ipsec-attributes
pre-shared-key cisco123)
ipsec策略:
access-list 100 permit ip 10.1.1.0 255.255.255.0 40.1.1.0 255.255.255.0
如果要穿越vpn必须把感兴趣流量不转换:
nat (inside) 0 access-list 100
crypto ipsec transform-set myset esp-des esp-md5-hmac(定义转换集)
crypto map mymap 10 match address 100(匹配感兴趣流量)
crypto map mymap 10 set peer 202.100.1.1(set对等体key)
crypto map mymap 10 set transform-set myset(set转换集)
接口应用:
crypto map mymap interface outside
outside:
crypto isakmp policy 10
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto isakmp key 0 cisco address 202.100.1.10
crypto ipsec transform-set myset esp-des esp-md5-hmac
exit
crypto map mymap 10 ipsec-isakmp
set peer 202.100.1.10
set transform-set myset
match address 100
access-list 100 permit ip 40.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255
int e1/0
crypto map mymap