赵Sir

 

实验配置步骤参考：

1、初始化ASA设备

ASA(config)# hostname ASA

ASA(config)# domain-name cisco.com

ASA(config)#interface e0/0

ASA(config-if)#nameif outside

ASA(config-if)#sec 0

ASA(config-if)#ip address 172.16.11.11 255.255.0.0

ASA(config-if)#no shutdown

ASA(config)#interface e0/1

ASA(config-if)#nameif inside

ASA(config-if)#sec 100

ASA(config-if)#ip address 192.168.10.254 255.255.255.0

ASA(config-if)#no shutdown

ASA(config)#interface e0/2

ASA(config-if)#nameif dmz

ASA(config-if)#ip address 192.168.20.2 255.255.255.0

ASA(config-if)#sec 50

ASA(config-if)#no shutdown

2、配置ASA静态路由

ASA(config)#route outside 0.0.0.0 0.0.0.0 172.16.1.1

3、配置ASA的telnet、SSH远程管理接入

ASA(config)#telnet 192.168.10.0 255.255.255.0 inside

ASA(config)#crypto key  generate rsa modulus 1024

ASA(config)#ssh 0 0 outside

4、配置PAT与Static NAT

ASA(config)#nat (inside) 1 192.168.10.0 255.255.255.0

ASA(config)#global (outside) 1 interface

ASA(config)#static (dmz,outside) tcp interface www 192.168.20.1 www

5、通过配置ACL放行WWW、ICMP流量

ASA(config)#access-list OUT extended permit icmp any any

ASA(config)#access-list OUT extended permit tcp any interface outside eq www

6、配置日志服务器(192.168.10.1)

ASA(config)# logging enable

ASA(config)# logging trap informational

ASA(config)# logging host inside 192.168.10.1

7、ASA启用URL过滤

ASA(config)# regex url1 "\.sohu\.com"---".sohu.com"

----------------------------------------------------------------------------------

ASA(config)# access-list tcp_filter permit tcp 192.168.10.0 255.255.255.0 any eq www

ASA(config)# class-map tcp_filter_class

ASA(config-cmap)# match access-list tcp_filter 

-------------------------------------------------------------------------

ASA(config)# class-map type inspect http http_class--------把字符串划分类

ASA(config-cmap)# match request header host regex url1

-------------------------------------------------------------------------

ASA(config)# policy-map type inspect http http_url_policy-----带http检测类型的策略映射

ASA(config-pmap)# class http_class

ASA(config-pmap-c)# drop-connection log

----------------------------------------------------------------------------

ASAconfig)# policy-map inside_http_url_policy ---标准的策略映射  

ASA(config-pmap)# class tcp_filter_class

ASA(config-pmap-c)# inspect http http_url_policy

ASA(config)# service-policy inside_http_url_policy interface inside

8、测试

--------------------------------------------------------------------

Cisco ASA命令介绍:

一、基本配置

1、显示ASA版本信息

     ciscoasa# show version

2、配置主机名

      ciscoasa(config)# hostname asa802

3、配置域名

    asa802(config)# domain-name asadomain.com

4、配置密码

      a、配置特权密码

      asa802(config)# enable password asa802

      b、配置远程登陆(telnet、SSH）密码

      asa802(config)# passwd cisco

5、配置接口

      a、配置接口IP地址

      asa802(config-if)# ip address 192.168.1.1 255.255.255.0

      b、配置接口名字

      asa802(config-if)# nameif name

      c、配置接口安级级别

     asa802(config-if)# security-level number

6、查看接口信息

   asa802(config-if)# show run interface(不必要在特权下)

7、查看IP信息

   asa802(config-if)# show ip address(show ip)

8、配置静态路由

   asa802(config)# route interface-name network mask next-hop-address

9、查看路由表

   asa802# show route

10、配置远程管理接入

       a、配置Telnet接入----明文传输

      asa802(config)# telnet {network|ip-address} mask interface-name

            注：ASA不允许telnet流量从安全级别为0的接口进入

       b、配置SSH(安全的telnet加密传输)接入(3个步骤)

            步骤1：配置主机名和域名

            步骤2：生成RSA密钥对(公钥和私钥)

            asa802(config)# crypto key generate rsa modulus 1024

            步骤3：配置防火墙允许SSH接入

      asa802(config)# ssh 192.168.0.0 255.255.255.0 inside

            asa802(config)# ssh 0 0 outside

            配置空闲超时时间与版本(可选)

      asa802(config)# ssh timeout 30

            asa802(config)# ssh version 2

   c、配置ASDM(ASA安全设备管理器)接入

            asa802(config)# http server enable

            asa802(config)# http 192.168.0.0 255.255.255.0 inside

            asa802(config)# asdm image disk0:/asdm-602.bin

            asa802(config)# username benet password cisco privilege 15

11、配置网络地址转换(NAT)

       a、配置PAT(2个步骤）---把多个私网地址转换成1个公网地址,多对少的转换

            步骤1：定义什么流量需要被转换

      asa802(config)# nat （interface_name） nat-id  local-ip  mask

            步骤2:定义全局地址池(也可转到外部接口)

      asa802(config)# global （interface_name） nat-id  {global-ip [-global-ip] |interface}

       b、配置Static

            asa802(config)# static (real_interface,mapped_interface) mapped_ip real_ip 

            注:从低到高需要通过ACL放行相应的流量

   c、查看NAT的转换条目

            asa802(config)#show xlate

12、配置ACL

       a、标准ACL

            asa802(config)#access-list acl_name standard {permit | deny} ip_addr mask

       b、扩展ACL 

             asa802(config)# access-list acl_name extended {permit | deny} protocol    src_ip_addr src_mask dst_ip_addr    dst_mask [operator port] 

       c、将ACL应用到接口

           asa802(config)# access-group acl_name {in | out} interface interface_name 

 12、清空当前ASA相关协议配置 

     asa802(config)#clear config route|static|nat|global

 13、清空当前ASA所有配置

     asa802(config)#clear config all

 

--------------------------------------------------------

二、ASA的高级应用

1、配置URL(统一资源定位符）过滤(4个步骤)

     步骤1：定义Regex(正则表达式)-定义URL匹配的字符串

   asa802(config)# regex url1 "\.sohu\.com"---".sohu.com"

     步骤2：创建class-map(类映射)-识别传输流量，分类流量

      asa802(config)# access-list tcp_filter permit tcp 192.168.10.0 255.255.255.0 any eq www

      asa802(config)# class-map tcp_filter_class

      asa 802(config-cmap)# match access-list tcp_filter 

-------------------------------------------------------------------------------------------------

      asa802(config)# class-map type inspect http http_class--------把字符串划分类

      asa802(config-cmap)# match request header host regex url1 

      步骤3：创建policy-map(策略映射)-针对不同的类执行不同的操作

      asa802(config)# policy-map type inspect http http_url_policy-----带http检测类型的策略映射

      asa802(config-pmap)# class http_class

      asa802(config-pmap-c)# drop-connection log  ---同时产生日志信息

-----------------------------------------------------------------------------------------------------

      asa802(config)# policy-map inside_http_url_policy ---标准的策略映射  

      asa802(config-pmap)# class tcp_filter_class

      asa802(config-pmap-c)# inspect http http_url_policy

      步骤4：应用policy-map应用接口上

      asa802(config)# service-policy inside_http_url_policy interface inside

2、配置日志管理服务器(三种方式）

      第一种：本地Buffer保存日志

      asa802(config)# logging enable

      asa802(config)# logging buffered informational 

      第二种：配置ASDM日志

      asa802(config)# logging enable

      asa802(config)# logging asdm informational 

      第三种：配置日志服务器

      asa802(config)# logging enable

      asa802(config)# logging trap informational

      asa802(config)# logging host inside 192.168.10.1

3、配置ASA安全特性

   a、基本威胁检测

   asa802(config)# threat-detection basic-threat 

   b、防范IP分攻击

   asa802(config)# fragment chain 1 

   c、启用IDS(入侵检测系统)功能(可选)

  

 [/img]..

 

实验配置步骤参考：

1、设备初始化

3、配置路由

4、配置NAT

5、配置ISAKMP/IKE阶段1

6、配置ISAKMP/IKE阶段2

7、测试

-----------------------------------------------------------------------------------------

1、设备初始化

ciscoasa(config)#hostname ASA5520

ASA5520(config)#int e0/0

ASA5520(config-if)#nameif outside

ASA5520(config-if)#security-level 0

ASA5520(config-if)#ip add 172.16.2.1 255.255.255.0

ASA5520(config-if)#no sh

ASA5520(config)#int e0/1

ASA5520(config-if)#nameif inside

ASA5520(config-if)#security-level 100

ASA5520(config-if)#ip add 192.168.20.254 255.255.255.0

ASA5520(config-if)#no sh

2811-R1(config)#hostname 2811-R1

2811-R1(config)#int e0/0

2811-R1(config-if)#ip add 172.16.1.1 255.255.255.0

2811-R1(config-if)#no sh

2811-R1(config)#int e0/1

2811-R1(config-if)#ip add 192.168.10.254 255.255.255.0

2811-R1(config-if)#no sh

internet(config)#int e0/0

internet(config-if)#ip add 172.16.1.254 255.255.255.0

internet(config-if)#no sh

internet(config)#int e0/1

internet(config-if)#ip add 172.16.2.254 255.255.255.0

internet(config-if)#no sh
2、配置路由(作用：保证VPN加/解密点之间能通信)

ASA5520(config)#route outside 0.0.0.0 0.0.0.0 172.16.2.254

2811-R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.254
3、配置NAT

ASA5520(config)#access-list NONAT permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0---(不进行NAT转换）

ASA5520(config)#nat (inside) 0 access-list NONAT------表示NAT豁免技术

ASA5520(config)#nat (inside) 1 192.168.20.0 255.255.255.0

ASA5520(config)#global (outside) 1 interface

2811-R1(config)#ip access-list extended NAT    定义什么流量进行NAT转

2811-R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255------这是VPN的流量，所以不进行NAT转换

2811-R1(config-ext-nacl)#permit ip any any     允许其他流量进行NAT转换

2811-R1(config)#ip nat inside source list NAT interface e0/0 overload

2811-R1(config)#int e0/0

2811-R1(config-if)#ip nat outside

2811-R1(config)#int e0/1

2811-R1(config-if)#ip nat inside
--------------------------------------------------------------------------------------------------------------------

4、配置ISAKMP/IKE阶段1(作用:建立VPN的管理连接)

1）配置ISAKMP/IKE策略

ASA5520(config)#crypto isakmp enable outside    启用ISAKMP协议

ASA5520(config)#crypto isakmp policy 1     定义第一阶段ISAKMP/IKE策略

ASA5520(config-isakmp)#hash md5         哈希使用md5

ASA5520(config-isakmp)#encryption des    加密方式使用3DES（对称）

ASA5520(config-isakmp)#group 2             DH加密算法强度

ASA5520(config-isakmp)#authentication pre-share   验证用预共享密钥

2811-R1(config)#crypto isakmp policy 1    定义第一阶段ISAKMP/IKE策略

2811-R1(config-isakmp)#hash md5          哈希算法使用md5

2811-R1(config-isakmp)#encryption des    加密方式使用3DES（对称）

2811-R1(config-isakmp)#group 2              DH加密算强度

2811-R1(config-isakmp)#authentication pre-share   验证用预共享密钥

2）配置预共享密钥

ASA5520(config)#crypto isakmp key  cisco address 172.16.1.1

2811-R1(config)#crypto isakmp key  0 cisco address 172.16.2.1
5、配置ISAKMP/IKE阶段2(作用:建立VPN的数据连接)

1)、配置ACL定义VPN连接所保护的流量

ASA5520(config)#access-list VPN permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0

2811-R1(config)#ip access-list extended VPN    定义vpn感兴趣流

2811-R1(config-ext-nacl)#permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
2)、定义Ipsec传输集(转换集)

ASA5520(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac

2811-R1(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac
3)、配置crypto map加密映射(作用:关联ACL和ipsec传输集设置)

ASA5520(config)#crypto map VPN-MAP 1 ipsec-isakmp     全局启用ipsec-ISAKMP协议

ASA5520(config)#crypto map VPN-MAP 1 match address VPN

ASA5520(config)#crypto map VPN-MAP 1 set peer 172.16.1.1    指定对方的加/解点

ASA5520(config)#crypto map VPN-MAP 1 set transform-set ESP-T

2811-R1(config)#crypto map VPN-MAP 1 ipsec-isakmp     默认已开启

2811-R1(config-crypto-map)#set transform-set ESP-T  调用转换集

2811-R1(config-crypto-map)#match address VPN      匹配需加密的流量

2811-R1(config-crypto-map)#set peer 172.16.2.1     指明对方加(解)密点
4)、crypto map接口应用

ASA5520(config)#crypto map VPN-MAP interface outside

2811-R1(config)#int e0/0

2811-R1(config-if)#crypto map VPN-MAP    端口调用加密映射
6、测试

1)路由器VPN查看与排错命令：

Show crypto isakmp policy    显示所有尝试的策略以及最后的默认策略设置：

clear cry session  清除VPN连接

Show crypto ipsec transform-set  显示ipsec传输集设置

Show crypto map    显示crypto map相关配置

Show cyrpto isakmp sa   显示ISAKMP/IKE阶段1安全联盟SA---VPN连接

Show crypto ipsec sa     显示ISAKMP/IKE阶段2安全联盟SA

Show crypto engine connction active   显示VPN连接加\解密的数据包数量

2)ASA防火墙VPN查看与排错命令：

show vpn-sessiondb l2l   查看l2l vpn的连接状态信息
 
 


 [/img]..

 

实验配置步骤参考：

1、设备初始化

2、配置路由

3、配置NAT

4、配置ADSL

5、定义AAA 服务器

6、配置ISAKMP/IKE阶段1

7、配置ISAKMP/IKE阶段2

8、部署EZVPN软件客户端(PC)

9、配置EZVPN硬件客户端(路由器)

10、测试

-----------------------------------------------------------------------------------------

1、设备初始化

Router#conf t

Router(config)#hostname 7206-R1

7206-R1(config)#no ip domain lookup

7206-R1(config)#line 0

7206-R1(config-line)#logg sync

7206-R1(config-line)#exit

7206-R1(config)#int e0/0

7206-R1(config-if)#ip address 172.16.2.1 255.255.255.0

7206-R1(config-if)#no sh

7206-R1(config)#int e0/1

7206-R1(config-if)#ip address 192.168.10.254 255.255.255.0

7206-R1(config-if)#no sh

--------------------------------------------------------------------------------------------

internet(config)#int e0/1

internet(config-if)#ip address 172.16.2.254 255.255.255.0

internet(config-if)#no sh

internet(config)#int e0/1

internet(config-if)#ip address 172.16.1.254 255.255.255.0

internet(config-if)#no sh

2、配置路由

7206-R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.254

3、配置NAT

7206-R1(config)#ip access-list extended NAT      定义什么流量进行NAT转换

7206-R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 1.1.1.0 0.0.0.255     这是VPN的流量，所以不进行NAT转换

7206-R1(config-ext-nacl)#permit ip any any

7206-R1(config)#ip nat inside source list NAT interface e0/0 overload

7206-R1(config)#int e0/0

7206-R1(config-if)#ip nat outside

4、配置ADSL

1)PPPOE服务器配置

internet(config)#ip local pool ADSL-POOL 10.1.1.1 10.1.1.10

internet(config)#usernmae adsl password 123

internet(config)#bba-group pppoe global            激活VPDN(虚拟私有拔号网络)特性

internet(config-bba-group)#virtual-template 1     创建虚拟模板(用于动态创建虚拟接口)

internet(config)#int virtual-template 1      定义虚拟模板

internet(config-if)#ip address 2.2.2.2  255.255.255.0      此处IP地址可任意指定

internet(config-if)#encapsulation ppp     封装PPP协议

internet(config-if)#ppp authentication pap

internet(config-if)#peer default ip address pool ADSL-POOL  分配IP地址(从ADSL-POOL选)

internet(config)#int e0/2

internet(config-if)#pppoe enable     激活pppoe特性

internet(config-if)#no sh

2)PC PPPOE客户端配置

 

2)路由器PPPOE客户端配置

ROBO(config)#int e0/0

ROBO(config-if)#pppoe enable

ROBO(config-if)#pppoe-client dial-pool-number 1 加入拨号池1

ROBO(config-if)#no sh

ROBO(config)#int dialer 1  ------新建虚拟拔号接口

ROBO(config-if)#ip address negotiated  -----IP地址是通过协商获取的

ROBO(config-if)# encapsulation ppp -----封装ppp协议

ROBO(config-if)#dialer pool 1  -----关联拔号池1

ROBO(config-if)#ppp pap sentname  adsl   password 123

ROBO(config-if)#no sh

---------------------------------------------------------------------------------------------

5、定义AAA(认证/授权/统计)策略

7206-R1(config)#aaa new-model   开启AAA特性

7206-R1(config)#aaa authentication login REMOTE local     关于login事件的aaa认证策略

7206-R1(config)#aaa authorization network REMOTE local  关于network事件的aaa授权策略

7206-R1(config)#username lucy password 123   新建用户名和密码

6、配置ISAKMP/IKE阶段1(作用:建立VPN的管理连接)

1）配置ISAKMP/IKE策略

7206-R1(config)#crypto isakmp policy 1    定义第一阶段ISAKMP/IKE策略

7206-R1(config-isakmp)#hash md5         哈希使用md5

7206-R1(config-isakmp)#encryption 3des   加密方式使用3DES（对称）

7206-R1(config-isakmp)#group 2      EZVPN必须是group 2

7206-R1(config-isakmp)#authentication pre-share 设备验证用预共享密钥

2）定义IP本地地址池

7206-R1(config)#ip local pool IP-POOL  1.1.1.1  1.1.1.10

3）定义ACL用于分离隧道(可选)

7206-R1(config)#access-list 101 permit ip 192.168.10.0 0.0.0.255 any

4）定义Easy VPN组及参数

7206-R1(config)#crypto isakmp client configuration group VPN-GROUP

7206-R1(config-isakmp-group)#key 123

7206-R1(config-isakmp-group)#pool IP-POOL     使用IP-POOL地址池

7206-R1(config-isakmp-group)#acl 101                 使用分离隧道技术(可选)  

7206-R1(config-isakmp-group)#exit

7、配置ISAKMP/IKE阶段2(作用:建立VPN的数据连接)

 1)、定义Ipsec传输集

 7206-R1(config)#crypto ipsec transform-set ESP-T esp-des esp-md5-hmac

 2)、定义dynamic crypto map(定义动态加密映射)----因为对方的加/解点不能确定、不固定

 7206-R1(config)#crypto dynamic-map D-MAP 10

 7206-R1(config-crypto-map)#set transform-set ESP-T   调用传输集ESP-T

 7206-R1(config-crypto-map)#exit

 3)、定义静态crypto map条目

 7206-R1(config)#crypto map S-MAP client authentication list REMOTE     调用AAA认证策略

 7206-R1(config)#crypto map S-MAP isakmp authorization list REMOTE    调用AAA授权策略

 7206-R1(config)#crypto map S-MAP client configuration address respond  设置地址分配方式

 7206-R1(config)#crypto map S-MAP 1000 ipsec-isakmp dynamic D-MAP   静态MAP调用动态MAP

4)、将crypto map应用到接口

7206-R1(config)#int e0/0

7206-R1(config)#crypto map S-MAP    调用静态加密映射S-MAP

8、部署EZVPN软件客户端(PC)


9、配置EZVPN硬件客户端(如：路由器、ASA防火墙)

ROBO(config)#crypto ipsec client ezvpn REMOTE  建一个EZVPN的配置文件        

ROBO(config-crypto-ezvpn)#connect manual         手工方式连接

ROBO(config-crypto-ezvpn)#group VPN-GROUP  key 123     EZVPN组名为VPN-GROUP

ROBO(config-crypto-ezvpn)#mode client                 工作模式为client

ROBO(config-crypto-ezvpn)#peer 172.16.2.1     指定EZVPN服务器IP地址

ROBO(config-crypto-ezvpn)#exit

ROBO(config)#int dialer 1

ROBO(config-if)#crypto ipsec client ezvpn REMOTE outside  指定EZVPN outside接口

ROBO(config-if)#int e0/1

ROBO(config-if)#crypto ipsec client ezvpn REMOTE inside   指定EZVPN inside接口

10、测试

show user

show crypto isakmp sa

clear crypto session
 
 
 
 


 [/img]..

 

网络需求描述：

1、总公司按每个部门创建vlan,并分配相应的IP网段

      Vlan10-CWB(财务部)-192.168.10.0/24

      Vlan20-GLB(管理部)-192.168.20.0/24

      Vlan30-XXB(信息部)-192.168.30.0/24

      Vlan40-SRV(服务器区)-192.168.40.0/24

2、总公司内网要求实现vlan信息的统一管理和配置

3、总公司各部门之间可以相互访问

4、总公司内网要求实现二层链路的冗余备份

5、总公司内网要求实现网关冗余、流量负载分担

6、要求所有client动态获取IP地址

7、全网要求使用OSPF动态路由协议实现全网互通,并划分多区域

      a、总公司内网(OSPF Area0 type:backbone) 

      b、上海分支<--->总公司专线接口S1/1(OSPF Area11 type:Stub)

      c、深圳分支<--->总分司专线接口S1/0(OSPF Area22 type:Stub)

8、总公司、分支内网client可以访问互联网

9、总公司内网有台Web服务器需要发布到internet

10、利用ACL技术控制网络通信

        a、限制总公司的信息部client只在工作时间(周一至周五的9:00至17:30)可以上网

        b、限制总公司的财务部client只在休息时间(周一至周五的12:00至13:30)可以上网

        c、限制上海分支、深圳分支内网client只在周一至周五的9:00-12:00可以上网
-----------------------------------------------------------------------------------------------------------------------------------

实验配置步骤参考：

1、初始化设备

en

conf t

no ip do lo

line 0

logg sync

exec-t 0 0

host

2、创建Vlan,并启用中继链路

4506-S1的配置:

4506-S1#vlan database

4506-S1(vlan)#10 name CWB

4506-S1(vlan)#vlan 20 name GLB

4506-S1(vlan)#vlan 30 name XXB

4506-S1(vlan)#vlan 40 name SRV

4506-S1#exit

4506-S1(config)#int range f0/3 -7

4506-S1(config-if)sw mode trunk

4506-S1(config-if)#no sh

4506-S2的配置:

4506-S2(config)#int range f0/3 -7

4506-S2(config-if)#sw mode trunk

4506-S2(config-if)#no sh

3、配置VTP协议同步Vlan信息

4506-S1(vlan)#vtp domain haier.com

4506-S1(vlan)#vtp server

4506-S1(vlan)#vtp password 123

4506-S1(vlan)#vtp pruning

2960-S1(vlan)#vtp domain haier.com

2960-S1(vlan)#vtp server

2960-S1(vlan)#vtp password 123

4、在三层交换机间启快速以太网通道

4506-S1的配置:

4506-S1(config)#int range f0/5  -7

4506-S1(config-if)#channel-group 1 mode on

4506-S1(config-if)#no shutdown

4506-S2的配置:

4506-S2(config)#int range f0/5  -7

4506-S2(config-if)#channel-group 1 mode on

4506-S2(config-if)#no shutdown

5、在三层交换机上启路由端口，并给Vlan配置IP地址

4506-S1的配置:

4506-S1(config)#int f0/1

4506-S1(config-if)#no switchport

4506-S1(config-if)#ip add 192.168.1.2 255.255.255.0

4506-S1(config-if)#no shutdown

4506-S1(config)#int vlan 10

4506-S1(config-if)#ip add 192.168.10.253 255.255.255.0

4506-S1(config)#int vlan 20

4506-S1(config-if)#ip add 192.168.20.253 255.255.255.0

4506-S2的配置:

4506-S2(config)#int f0/1

4506-S2(config-if)#no switchport

4506-S2(config-if)#ip add 192.168.2.2 255.255.255.0

4506-S2(config-if)#no shutdown

4506-S2(config)#int vlan 10

4506-S2(config-if)#ip add 192.168.10.254 255.255.255.0

4506-S2(config)#int vlan 20

4506-S2(config-if)#ip add 192.168.20.254 255.255.255.0

6、在三层交换机上配置PVST+主、备根网桥

4506-S1的配置:

4506-S1(config)#spanning-tree vlan 10 root primary

4506-S1(config)#spanning-tree vlan 20 root primary

4506-S1(config)#spanning-tree vlan 30 root secondary

4506-S1(config)#spanning-tree vlan 40 root secondary

4506-S2的配置:

4506-S2(config)#spanning-tree vlan 10 root secondary

4506-S2(config)#spanning-tree vlan 20 root secondary

4506-S2(config)#spanning-tree vlan 30 root primary

4506-S2(config)#spanning-tree vlan 40 root primary

7、在接入层交换机上启Uplinkfast、Portfast特性

2960-S1的配置：

2960-S1(config)#spanning-tree uplinkfast

2960-S1(config-if)#int f0/3

2960-S1(config-if)#spanning-tree portfast

2960-S2的配置：

2960-S2(config)#spanning-tree uplinkfast

2960-S2(config-if)#int f0/3

2960-S2(config-if)#spanning-tree portfast

8、在三层交换机上配置HSRP实现网关冗余

4506-S1的配置：

4506-S1#(config)#int vlan 10

4506-S1#(config-if)#standby 10 ip 192.168.10.252

4506-S1#(config-if)#standby 10 priority 200

4506-S1#(config-if)#standby 10 preempt

4506-S1#(config)#int vlan 20

4506-S1#(config-if)#standby 20 ip 192.168.20.252

4506-S1#(config-if)#standby 20 priority 200

4506-S1#(config-if)#standby 20 preempt

4506-S2的配置：

4506-S2#(config)#int vlan 10

4506-S2#(config-if)#standby 10 ip 192.168.10.252

4506-S2#(config-if)#standby 10 priority 150

4506-S2#(config-if)#standby 10 preempt

4506-S2#(config)#int vlan 20

4506-S2#(config-if)#standby 20 ip 192.168.20.252

4506-S2#(config-if)#standby 20 priority 150

4506-S2#(config-if)#standby 20 preempt

9、部署Windows DHCP服务器,并新建作用域


10、在三层交换机上配置DHCP中继代理

4506-S1的配置：

4506-S1#(config)#int vlan 10

4506-S1#(config-if)#ip helper-address 192.168.40.1

4506-S1#(config)#int vlan 20

4506-S1#(config-if)#ip helper-address 192.168.40.1

4506-S2的配置：

4506-S2#(config)#int vlan 10

4506-S2#(config-if)#ip helper-address 192.168.40.1

4506-S2#(config)#int vlan 20

4506-S2#(config-if)#ip helper-address 192.168.40.1

11、配置OSPF动态路由协议

BJ-7206的配置：

BJ-7206(config)#router ospf 1

BJ-7206(config-router)#network 192.168.1.1 0.0.0.0 area 0

BJ-7206(config-router)#network 192.168.2.1 0.0.0.0 area 0

BJ-7206(config-router)#network 192.168.11.1 0.0.0.0 area 11

BJ-7206(config-router)#network 192.168.22.1 0.0.0.0 area 22

BJ-7206(config-router)#area 11 stub

BJ-7206(config-router)#area 22 stub

BJ-7206(config-router)#default-information originate

SH-2811的配置：

SH-2811(config)#router ospf 1

SH-2811(config-router)#network 192.168.11.2 0.0.0.0 area 11

SH-2811(config-router)#area 11 stub

SZ-2811的配置：

SZ-2811(config)#router ospf 1

SZ-2811(config-router)#network 192.168.22.2 0.0.0.0 area 22

SZ-2811(config-router)#area 22 stub

4506-S1的配置:

4506-S1(config)#router ospf 1

4506-S1(config-router)#network 0.0.0.0 0.0.0.0 area 0

4506-S2的配置：

4506-S2#(config)#router ospf 1

4506-S2#(config-router)#network 0.0.0.0 0.0.0.0 area 0

12、在边界路由器上配置PAT实现client访问internet

BJ-7206的配置：

BJ-7206(config)#access-list 1 permit  192.168.10.0 0.0.0.255

BJ-7206(config)#access-list 1 permit  192.168.20.0 0.0.0.255

BJ-7206(config)#access-list 1 permit  192.168.30.0 0.0.0.255

BJ-7206(config)#access-list 1 permit  192.168.12.0 0.0.0.255

BJ-7206(config)#access-list 1 permit  192.168.13.0 0.0.0.255

BJ-7206(config)#ip nat inside source list 1 interface e0/0 overload

BJ-7206(config)#int e0/0

BJ-7206(config-if)#ip nat outside

BJ-7206(config)#int e0/1

BJ-7206(config-if)#ip nat inside

BJ-7206(config)#int e0/2

BJ-7206(config-if)#ip nat inside

BJ-7206(config)#int S1/1

BJ-7206(config-if)#ip nat inside

BJ-7206(config)#int S1/0

BJ-7206(config-if)#ip nat inside

13、在边界路由器上配置Static NAT将Web服务器发布到internet

BJ-7206(config)#ip nat inside source static tcp 192.168.40.1 www int e0/0 www

14、通过ACL控制网络通信

BJ-7206的配置:

BJ-7206(config)#time-range CWB

BJ-7206(config-time-range)#periodic weekdays 12:00 to 13:30

BJ-7206(config)#time-range XXB

BJ-7206(config-time-range)#periodic weekdays 9:00 to 17:30

BJ-7206(config)#time-range BRANCH

BJ-7206(config-time-range)#periodic weekdays 9:00 to 12:00

BJ-7206(config)#ip access-list extend control

BJ-7206(config-ext-nacl)#permit tcp 192.168.10.0 0.0.0.255 any eq www time-range CWB

BJ-7206(config-ext-nacl)#permit tcp 192.168.30.0 0.0.0.255 any eq www time-range XXB

BJ-7206(config-ext-nacl)#permit tcp 192.168.12.0 0.0.0.255 any eq www time-range BRANCH

BJ-7206(config-ext-nacl)#permit tcp 192.168.13.0 0.0.0.255 any eq www time-range BRANCH

BJ-7206(config-ext-nacl)#permit OSPF any any

BJ-7206(config-ext-nacl)#permit tcp host 192.168.40.1 eq www any

BJ-7206(config-ext-nacl)#deny ip any any

BJ-7206(config)#int e0/1

BJ-7206(config-if)#ip access-group control in

BJ-7206(config)#int e0/2

BJ-7206(config-if)#ip access-group control in

BJ-7206(config)#int s1/0

BJ-7206(config-if)#ip access-group control in

BJ-7206(config)#int s1/1

BJ-7206(config-if)#ip access-group control in

15、测试

show int trunk

show vlan-sw brief

show spanning-tree brief

show ip nat translation

show access-list[/img]..

破解WINDOS2003和XP登录密码
   进入2003或xp系统后找到开始——运行——输入cmd,进入dos系统，输入cd C:\windows\system32，然后copy c:\windows\explorer.exe sethc.exe.回车。输入Y,然后输入exit.退出系统，重启操作系统，然后按5次shift,进入explorer,然后的地址栏输入lusrmgr.msc打开用户控制面板。 这样我们就可以随意更改密码了...

浮动静态路由之拨号备份 拨号备份提供了一种保护,使得当广域网上主干线出现故障时,启动一条备份线路,使通信正常运转. 启动备份有两种情况: 主干线断掉 传输流量超过了定义的最大值   网络拓朴： 实验任务： l   PC1/PC2至lo1、lo2正常流量经R1-s0/0主链路 l   当R1-s0/0主链路down，跳至R1-s0/1备用链路 环境描述： l    2台Cisco3640 + NE-4T模块，1-FE-TX 连接1台PC l    R2-lo1、R2-lo2分别模拟两个lan   地址分配： 设备名称 接口 IP地址 描述 R1 S0/0 192.168.1.1/24 TO R2-S0/0 S0/1 192.168.2.1/24 TO R2-S0/1 F1/0 192.168.10.1/24 TO PC1 R2 S0/0 192.168.1.2/24 TO R1-S0/0 S0/1 192.168.2.2/24 TO R1-S0/0   设备配置： 第1步：基本配置 R1(config)#Hostname R1 R1(config)#interface  s0 R1config-if)#ip address 192.168.1.1 255.255.255.0 R1config-if)#clock rate 64000 R1config-if)#no shutdown R1config)#interface  s1 R1config-if)#ip address 192.168.2.2 55.255.255.0 R1config-if)#no shutdown R1config)# interface fastethernet 1/0 R1config-if)#ip address 192.168.10.1 255.255.255.0 R1config-if)#no shutdown R1config-if)#end R2(config)#hostname  R2 R2(config)#interface s0/0 R2(config-if)#ip address 192.168.1.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exit R2(config)#interface s0/1 R2(config-if)#ip address 192.168.2.2 255.255.255.0 R2(config-if)#no shutdown ------------------------------------------------------------------------------ 验证 show ip int br     第2步：配置备份接口 R1（config）#interface s0/0 R1(config-if)#backup interface s0/1    ………设在主干线路端口上设置它的备份端口 R1(config-if)#bachup delay 0 0        ………定义主干线up或down的响应时间均为0 R1(config-if)#backup load 80 50       ………定义备份负载     验证show run int s0/0 Sh ip int br  

  网关冗余技术（HSRP、VRRP、GLBP）Sniffer   网关冗余技术是大型网络中不可缺少的技术，当网络足够大的时候，我们要考虑的不光是网络本身的性能问题，冗余技术也是必不可少的。 通过这个实验详细说明HSRP、VRRP、GLBP的配置以及它们的区别，并最后用sniffer 分析一下包结构。   网络拓朴：   实验任务： l 分别用HSRP、VRRP、glbp实现网关冗余 l Sniffer分析三种协议包结构   环境描述： l 3台Cisco3640 + NE-4E模块，该配置拥有4个Ethernet l 1台 Cisco3640+NE-16ESW l R3 Lo1、lo2、lo3、sniffer pc用来测试   地址分配： 设备名称 接口 IP地址 描述 R1 E0/0 192.168.1.1/24 TO SW-F0/0 E0/1 192.168.1.1/24 TO R3-E0/1 R2 E0/0 192.168.1.2/24 TO SW-F0/1 E0/1 192.168.3.2/24 TO R3-E0/2 R3 E0/1 192.168.2.1/24 TO R1-E0/1 E0/2 192.168.3.1/24 TO R2-E0/1 SW F0/0 - TO R1-E0/0 F0/1 - TO R2-E0/0 F0/10 - TO Sniffer SNiffer NIC 192.168.20.20/24 TO SW-F0/10   详细配置：   1、IP地址设置 R1 (config)  #int e0/0 R1 (config-if)  #ip add 192.168.1.1 255.255.255.0 R1 (config-if)  #no sh R1 (config)  #int e0/1 R1 (config-if)  #ip add 192.168.2.2 255.255.255.0 R1 (config-if)  #no sh R2 (config)  #int e0/0 R2 (config-if)  #ip add 192.168.1.2 255.255.255.0 R2 (config-if)  #no sh R2 (config)  #int e0/1 R2 (config-if)  #ip add 192.168.3.2 255.255.255.0 R2 (config-if)  #no sh   R3 (config)  #int e0/1 R3 (config-if)  #ip add 192.168.2.1 255.255.255.0 R3 (config-if)  #no sh R3 (config)  #int e0/2 R3 (config-if)  #ip add 192.168.3.1 255.255.255.0 R3 (config-if)  #no sh   2、路由 R1 (config)  #router ospf 1 R1 (config-router)  #net 192.168.1.1 0.0.0.0 a 10 R1 (config-router)  #net 192.168.2.2 0.0.0.0 a 0 R2 (config)  #router ospf 1 R2 (config-router)  #net 192.168.1.2 0.0.0.0 a 10 R2 (config-router)  #net 192.168.3.2 0.0.0.0 a 0 R3 (config)  #router ospf 1 R3 (config-router)  #net 0.0.0.0 255.255.255.255 a 0   3、HSRP (Hot Standby Router Protocal) R1(config-if)# int e0/0 R1(config-if)# standby 10 mac-address  0000.1111.2222 手动更改virtual address，缺省为0000.0c07.acXX R1(config-if)# standby 10 desciption test 描述 R1(config-if)# standby 10 ip 192.168.1.254 加入备份组10 R1(config-if)# standby 10 priority 200 设置优先级200，缺省为100 R1(config-if)# standby 10 preempt 设置占先权，缺点没有启用 R1(config-if)# standby 10 authentication md5 key-string zhaogang 设置认证，md5 R1(config-if)# standby 10 name zg 设置备份组名称 R1(config-if)# standby 10 track Ethernet0/1 100 设置占端口跟踪e0/1 R2(config-if)# int e0/0 R2(config-if)# standby 10 mac-address  0000.1111.2222 R1(config-if)# standby 10 ip 192.168.1.254 R2(config-if)# standby 10 priority 200 R2(config-if)# standby 10 preempt R2(config-if)# standby 10 authentication md5 key-string zhaogang R2(config-if)# standby 10 name zg R2(config-if)# standby 10 track Ethernet0/1 100   3、VRRP (Virtual Router Redundancy Protocol) R1(config)# track 1 int e0/1 line-protocol 定义跟踪组1，跟踪int e0/1状态 R1(config-if)# vrrp 1 description test 描述 R1(config-if)# vrrp 1 ip 192.168.1.254 加入备份组1 R1(config-if)# vrrp 1 timers advertise 2 设置通告时间 R1(config-if)# vrrp 1 timers learn 设置向master learn timer set R1(config-if)# vrrp 1 priority 200 设置优先级200 R1(config-if)# vrrp 1 authentication md5 key-string zhaogang 设置认证md5类型 R1(config-if)# vrrp 1 track 1 decrement 100 跟踪接口   R2(config)# track 1 int e0/1 line-protocol R2(config-if)# vrrp 1 description test R2(config-if)# vrrp 1 ip 192.168.1.254 R2(config-if)# vrrp 1 timers advertise 2 R2(config-if)# vrrp 1 timers learn master learn timer set R2(config-if)# vrrp 1 priority 150 R2(config-if)# vrrp 1 authentication md5 key-string zhaogang R1(config-if)# vrrp 1 track 1 decrement 100 附相关截图：

Cisco vpn 之 lan to lan ipsec   网络拓朴：   实验任务： l            建立vpn隧道,加密1.1.1.0/24 到 2.2.2.0/24的流量 环境描述： l             3台Cisco3640 + NE-4E模块，该配置拥有4个Ethernet、2台PC l             ISP模拟ISP环境，不添加任何额外路由 l             SH-R1 loopback1:1.1.1.1/24、BJ-R1 loopback1:2.2.2.2/24用来测试   地址分配： 设备名称 接口 IP地址 描述 BJ-R1 E0/0 192.168.1.1/24 TO ISP Loopback1 1.1.1.1/24 测试 SH-R1 E0/1 192.168.2.1/24 TO ISP Loopback1 2.2.2.2/24 测试 ISP E0/0 192.168.1.2/24 TO BJ-R1 E0/1 192.168.2.2/24 TO SH-R1       详细配置：   1、IP地址设置 SH-R1 (config)  #int e0/0 SH-R1 (config-if)  #ip add 192.168.1.1 255.255.255.0 SH-R1 (config)  #no shutdown SH-R1 (config)  #int lo1 SH-R1 (config-if)  #ip add 1.1.1.1 255.255.255.0 …………………………………………………………………………. BJ-R1 (config)  #int e0/1 BJ-R1 (config-if)  #ip add 192.168.2.1 255.255.255.0 BJ-R1 (config)  #no shutdown BJ-R1 (config)  #int lo1 BJ-R1 (config-if)  #ip add 2.2.2.2 255.255.255.0 …………………………………………………………………………… ISP (config)  #int e0/0 ISP (config-if)  #ip add 192.168.1.2 255.255.255.0 ISP (config)  #no shutdown ISP (config)  #int e0/1 ISP (config-if)  #ip add 192.168.2.2 255.255.255.0 ISP (config)  #no shutdown     2、定义相关ACL SH-R1 (config)#ip access-list extended vpn ……………………匹配vpn加密 SH-R1 (config-ext-nacl)#permit ip 1.1.1.0 0.0.0.255 2.2.2.2 0.0.0.255 BJ-R1 (config)#ip access-list extended vpn ……………………匹配vpn加密 BJ-R1 (config-ext-nacl)#permit ip 2.2.2..0 0.0.0.255 1.1.1 0.0.0.255   3、配置IKE协商(第一阶段) SH-R1(config)#crypto isakmp policy 1    定义第一阶段策略 SH-R1(config-isakmp)#hash md5         哈希使用md5 SH-R1(config-isakmp)#encryption 3des   加密方式使用3DES（对称） SH-R1(config-isakmp)#authentication pre-share 验证用预共享密钥 SH-R1(config-isakmp)#group 2    使用第二组策略（1024bit） SH-R1(config)#crypto isakmp key 0 cisco address 192.168.2.1   BJ-R1(config)#crypto isakmp policy 1    定义第一阶段策略 BJ-R1(config-isakmp)#hash md5         哈希算法使用md5 BJ-R1(config-isakmp)#encryption 3des  加密方式使用3DES（对称） BJ-R1(config-isakmp)#authentication pre-share 验证用预共享密钥 BJ-R1(config-isakmp)#group 2  使用第二组策略（1024bit） BJ-R1(config)#crypto isakmp key 0 cisco address 192.168.1.1   4、配置IPsec参数(第二阶段) SH-R1(config)#crypto ipsec transform-set SH-BJ esp-des esp-md5-hmac BJ-R1 (config)#crypto ipsec transform-set BJ-SH esp-des esp-md5-hmac   5、配置加密图（关联第一、二阶段） SH-R1(config)#crypto map SH 1 ipsec-isakmp  建立map关联1、2阶段 SH-R1(config-crypto-map)#set transform-set SH-BJ  指定转换集 SH-R1(config-crypto-map)#match address vpn      匹配需加密的流量 SH-R1(config-crypto-map)#set peer 192.168.2.1    指明对方加(解)密点 BJ-R1(config)#crypto map BJ 1 ipsec-isakmp  建立map关联1、2阶段 BJ-R1(config-crypto-map)#set transform-set BJ-SH  指定转换集 BJ-R1(config-crypto-map)#match address vpn      匹配需加密的流量 BJ-R1(config-crypto-map)#set peer 192.168.1.1    指明对方加(解)密点   5、端口应用 BJ-R1(config)#int e0/0 BJ-R1(config-if)#crypto map BJ   端口调用加密图 SH-R1(config)#int e0/0 SH-R1(config-if)#crypto map SH  端口调用加密图   实验测试: 1、在SH-R1 extend ping 2.2.2.2 sourse 1.1.1.1   2、验证ISAKMP SA 3、3、验证两边IPSEC SA

Cisco双ISP线路路径优化备份冗余之 单路由器解决方案   通过双ISP（如：一条电信、一条网通）链路可实现网络路径优化、负载均衡及备份冗余,以前本人一直认为Cisco不能实现单路由器双ISP链路的冗余备份，后经过多次测试，发现通过SLA（服务水平）+route-map完全可以实现，在这里愿意和大家一起分享。 网络拓朴： 实验任务： l   PC1/PC2到1.1.1.1流经ISP1，PC1/PC2到2..2.2.2流经ISP2 l   通过SLA+Route-map实现网络路径优化、负载分担、备份冗余 环境描述： l    3台Cisco3640 + NE-4E模块，该配置拥有4个Ethernet、2台PC l    ISP1、ISP2分别模拟两个不同ISP(internet服务提供商) l    ISP1 loopback1:1.1.1.1/24、ISP2 loopback1:2.2.2.2/24用来测试 l    R1作为企业边界路由器e0/0、e0/1、分别连接ISP1、ISP2   地址分配： 设备名称 接口 IP地址 描述 R1 E0/0 192.168.0.1/24 TO ISP1 E0/1 192.168.1.1/24 TO ISP2 E0/2 192.168.20.1/24 TO PC1 E0/3 192.168.30.1/24 TO PC2 ISP1 E0/2 192.168.2.1/24 TO ISP2 E0/0 192.168.0.2/24 TO R1 ISP1 E0/2 192.168.2.2/24 TO ISP1 E0/1 192.168.1.2/24 TO R1 PC1 NIC 192.168.20.20/24 TO R1-E0/2 PC2 NIC 192.168.30.30/24 TO R1-E0/3   详细配置：   1、IP地址设置 ISP1 (config)  #int e0/2 ISP1 (config-if)  #ip add 192.168.2.1 255.255.255.0 ISP1config-if)  #no shutdown ISP1（config）# int e0/0 ISP1 (config-if)  #ip add 192.168.0.2 255.255.255.0 ISP1config-if)  #no shutdown ISP1（config）# int lo1 ISP1 (config-if)  #ip add 1.1.1.1 255.255.255.0 ISP1(onfig-if)  #no shutdown …………………………………………………………………………. ISP2 (config)  #int e0/2 ISP2 (config-if)  #ip add 192.168.2.2 255.255.255.0 ISP2 (onfig-if)  #no shutdown     ISP2（config）# int e0/1 ISP2 (config-if)  #ip add 192.168.1.2 255.255.255.0 ISP2config-if)  #no shutdown ISP2（config）# int lo1 ISP2 (config-if)  #ip add 2.2.2.2 255.255.255.0 ISP2 (config-if)  #no shutdown    …………………………………………………………………………… R1 (config)  #int e0/0 R1 (config-if)  #ip add 192.168.0.1 255.255.255.0 R1 (config-if)  #no shutdown R1 (config）# int e0/1 R1 (config-if)  #ip add 192.168.1.1 255.255.255.0 R1 (config-if)  #no shutdown R1 (config）# int e0/2 R1 (config-if)  #ip add 192.168.20.1 255.255.255.0 R1 (config-if)  #no shutdown   2、定义相关ACL R1(config)#ip access-list extended all-net ……………………匹配所有 R1(config-ext-nacl)#permit ip any any R1(config)#access-list permit 1 192.168.0.2…………匹配ISP1 next-hop R1(config)#access-list permit 2 192.168.1.2…………匹配ISP2 next-hop 3、Route-map、Nat R1(config)#route-map isp1-line permit 10 R1(config-route-map)#match ip address all-net R1(config-route-map)#match ip next-hop 1……………….匹配ACL 1（关键） R1(config)#route-map isp2-line permit 10 R1(config-route-map)#match ip address all-net R1(config-route-map)#match ip next-hop 2……………….匹配ACL 2（关键） R1(config)# ip nat inside source route-map isp1-line int e0/0 overload R1(config)# ip nat inside source route-map isp2-line int e0/1 overload   4、IP SlA、rtr/track 本地路由设备到ISP中间往往连接一个光电转换器（Layer2），当对端shutdown状态,本地设备仍处于UP，这时将导致所谓的“黑洞”现象，我们可以通过SLA来做网络端到端的可用性监测，从而解决这个问题。 R1(config)#rtr 1 R1(config-sla-monitor)#type echo protocol ipIcmpEcho 192.168.0.2 R1(config-sla-monitor-echo)#timeout 1200 ……..echo 超时1200 million second R1(config-sla-monitor-echo)#frequency 3……….发送icmp echo包频率3seonds R1(config)#ip sla monitor schedule 1 life forever start-time now R1(config)#rtr 2 R1(config-sla-monitor)#type echo protocol ipIcmpEcho 192.168.1.2 ---采用icmp协议来监视，即发出icmp echo包来探测对端的可达性,192.168.1.2为对端IP地址 R1(config-sla-monitor-echo)#timeout 1200 R1(config-sla-monitor-echo)#frequency 3 R1(config)#ip sla monitor schedule 2 life forever start-time now 定义SLA监视组 R1(config)#track 111 rtr 1 reachability…………………….定义跟踪组 R1(config)#track 222 rtr 2 reachability   5、写路由 ISP1 (config)  #router ospf 1…………………………启用OSPF协议 ISP1 (config-router)  #net 0.0.0.0 255.255.255.255 area 0 ISP2 (config)  #router ospf 1 ISP2 (config-router)  #net 0.0.0.0 255.255.255.255 area 0 R1 (config)  #roueter ospf 1 R1 (config-router)  #net 0.0.0.0 255.255.255.255 area 0 ----------------------------------------------------------------------- R1(config)#ip route 1.1.1.0 255.255.255.0 192.168.0.2 track 111  R1(config)#ip route 2.2.2.0 255.255.255.0 192.168.1.2 track 222 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.2 track 111 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2 track 222       实验测试: 1、在PC1上cmd  ping 1.1.1.1 R1 debug ip nat 在PC1上cmd  ping 2.2.2.2 R1 debug ip nat 在R1上 e0/0 shutdown ping 1.1.1.1  

在ISA Server 2004上发布使用非标准的21端口进行连接的FTP服务器 （只有PASV模式发布） 　 首先非常感谢Tom的指导，他在ISA Server 2004上给予了我许多帮助。:) Tom写过一篇文章“在ISA Server 2004上使用其他端口发布ftp站点”，在那篇文章里面，他提到了如何使用其他端口来发布使用标准的TCP 21端口进行；连接的ftp站点，但是在实际环境中，经常使用非标准的端口进行连接的ftp服务器，那么在ISA Server 2004里面怎么发布它呢？我经过多次尝试，总算找到了成功发布这种ftp服务器的方法，可惜发布出去的ftp站点只能使用pasv模式进..

原理 1. 网络负载平衡，使用Windows Network Load Balance.
参考微软技术文档，[url]http://www.microsoft.com/china/technet/prodtechnol/windowsserver2003/technologies/clustering/nlbbp.mspx[/url]网络负载平衡：Windows 2000 和 Windows Server 2003 的配置最佳实践 2. 互为备份,实现方法 两台ISA各自周期限性的检查自己的Default Gateway,通过ICMP (PING)来确定物理链路是否正常工作。 当发现ICMP 结果失败，停止本机的NLB服务，这样双节点的NLB 自动Failover 到另一个节点 写了一个服务程序来实现此功能，附源代码及工..

微软在 Windows Server 2003 SP1 中针对终端服务提供了SSL加密功能，它可以基于SSL（TLS 1.0）来实现以下两个功能： 对RDP客户端提供终端服务器的服务器身份验证； 加密和RDP客户端的通信。 在启用终端服务器的SSL加密功能时，当RDP客户向终端服务器发起连接时，终端服务器会向RDP客户出示配置使用的服务器证书，而RDP客户会检查颁发此服务器证书的CA是否位于自己受信任的根证书颁发机构列表中，如果存在则使用此服务器证书进行后续的RDP加密通讯，如果不存在则根据RDP客户的配置进行处理，你可以选择继续和终端服务器进行连接或..

ISA Server 2004里VPN服务器的客户端地址池使用分析 
来源：ISA中文站    由于w2k的VPN服务器地址池使用的是和本地内网卡同一段，所以很多网友在配置ISA2004的时候，VPN服务的地址池仍然习惯性的使用和本地内网卡同一段，虽然使用手动输入已经被ISA2004禁止，但是使用DHCP确可以实现这个目的，那么为什么ISA2004要禁止使用已经使用在的地址呢，下面我来谈谈我的看法。 首先来说W2K，为什么使用同一段地址，我们通过微软的一些资料可以看出，W2K对于VPN服务使用的是桥接方式。所以这里不存在路由问题，同一网段的地..

  史上最强的NAT软件横向评测 转自ISA中文站 Powered By NetIQ Chariot 前言：首先非常感谢北京泰策科技有限公司对此次评测的大力支持！NetIQ Chariot不愧为世界上最好的网络性能测试软件，使用简单，可测试的项目众多（通过测试配置文件实现），除了价格太太太太太太...此间省略N个太...贵外（基本配置报价12万$），我找不出它的缺点。
ISA中文站是独立的实体，作为一个纯技术性的网站，我们保持中立。对于这次评测，以ISA中文站名誉保证测试结果的真实有效性。在测试中，我们做到了公正公平，没有偏袒任何一方，也没有给任何一方制造问题导致其性能下降。 　 看见很多朋友都在问用哪种NAT软件好，相信大家都很疑惑，究竟谁是最强的NAT软件？ISA还是KWF？我的这个疑问也存在很久了，经过一段时间的酝酿，正逢KWF 6.01正式版和ISA Server 2004 RC测试版的推出，于是我做了一个详尽的NAT软件横向评测。 评测说明： 本评测分为性能测试和功能测试两部分： 性能测试使用NetIQ Chariot 5.0进行评测，测试环境网络拓朴结构如下图，在Computer A和Computer B上安装NetIQ Endpoint终端软件，其中Computer A作为Chariot控制台；然后在NAT Server上安装NAT软件，进行性能测试；每次安装不同的NAT软件前都对系统进行Ghost恢复后再进行安装，以确保没有NAT软件相互间的冲突和干扰。 图一 性能测试网络拓朴结构图 此次的测试项目基于最常用的的Internet应用服务，共有以下5项，每个测试项目中又分为吞吐量（Throughput）和反应时间（Response time）的两个单项测试： 一般性能测试； DNS请求性能测试； FTP下载性能测试； HTTP文本数据下载测试； POP3流量性能测试； 根据测试结果，得出其名次进行计分；另外再和双机直连评测得出的结果进行比较，计算NAT转换有效率。双击直连网络拓朴结构如下图： 图二 双机直连网络拓朴结构图 对于功能测试，根据不同的NAT软件功能特性的不同，计算其功能测试得分。 计分：性能测试和功能测试各占50分。但是计分方式不同：性能测试根据单项测试中所得的名次相加，然后用50减去该名次总和为性能测试得分；功能测试则按照是否具有对应功能而计分，计分总和为功能测试得分。性能测试得分和功能测试得分合计为总的得分。
一、性能测试 测试中使用的计算机及网络情况： 计算机配置情况如下： Computer A: P4 3.06G/512M DDR 333/WD 80G 8M缓存，操作系统为Windows XP PRO 零售版＋sp1 Computer B: IBM Thinkpad 770ED PⅡ 266Mhz /128 SDRAM 100/IBM 7G，操作系统为Windows 2000 PRO零售版＋SP4 NAT Server: 联想扬天6100 P4 1.8G / 256M DDR 266 / WD 20G ，操作系统为Windows server 2003企业版（零售版） 网线：此次实验中使用了两段网线，一段为5M长，一段为2M长，均为AVAYA原装进口CAT 5e网线＋AMP原装RJ45水晶头。考虑到Response time，此次测试中没有使用交换机。 网络连接均为全双工的100Mb/s的快速以太网连接，但是由于网线、网络适配器、接口等等的问题，实际网络传输数据不可能达到这个最高的理论值。所以最后通过NAT软件能达到的最大值和双机直连所得到的值相比得到NAT转换有效率。 NetIQ Chariot对于每种测试项目都是经过发送多个测试数据包然后取其平均值，其中对应的单项测试发送的数据包数量如下表，我们在此基础上，对每个单项测试都执行5次，最终结果取其最大值（在测试中发现，除了ISA Server 2004中文RC版外，其他软件的多次测试结果偏差都在5%以内）。 表一 NetIQ Chariot发送测试数据包数量 项目 单项 发送的测试数据包数量 发送的测试数据 字节数量 基本性能测试 Response time 200 20,000 Throughput 200 20,000 DNS Response time 3000 105,000 Throughput 3000 105,000 FTP下载 Response time 100 6,000 Throughput 100 6,000 HTTP文本数据下载 Response time 750 225,000 Throughput 750 225,000 POP3流量 Response time 250 5,600 Throughput 250 5,600 　 下面介绍参赛选手： ICS ：Internet连接共享（Internet Connection sharing），Windows自带的短小精悍的NAT软件，方便简单；测试使用的 版本为Windows server 2003企业版中所带的ICS。 RRAS ：路由和远程访问，Windows server级操作系统中所带的组件，含有NAT功能；测试使用的为Windows server 2003企业版中所带的RRAS。 ISA 2000 ：微软推出的著名企业级NAT防火墙；测试版本为ISA 2000＋SP1（如果不安装SP1无法在Windows server 2003上使用），测试时在Computer A上加装了Firewall client。 ISA 2004 RC英文版：ISA 2000的升级版，测试所用版本为RC build 4.0.2076.50。 ISA 2004 RC中文版：测试所用版本为RC build 4.0.2160.50，比英文RC版更高，主要修改是在界面上由英文改为中文，核心驱动应该修改不大。 Winroute ：著名的NAT软件，有“软网关”的美誉。可惜在2002年其开发厂商kerio停止了其版本的更新 及技术的支持，使用KWF进行替代。测试使用版本为最后的4.25 PRO版。不过由于驱动程序比较老的原因，Winroute适合在Windows 2000 server上使用，Windows server 2003对其支持不够完美，所以这次的性能测试结果不太令人满意。 KWF 5.1.10 ：Kerio Winroute Firewall，Winroute的升级版本，Windows下唯一可以和ISA抗衡的路由器防火墙。5.1.10是5.x的最后一个版本。 KWF 6.01 ：6月23日推出的KWF 6.x的最新版，和KWF 5.1.10相比，最大的不同是增加了VPN服务器的支持（6.x与5.x相比的更新具体见[url]http://www.isaservercn.org[/url])。可惜的是，在6.0正式版推出不超过10天的时间就推出此升级版本，而且修复了一堆bug（详见[url]http://www.isaservercn.org[/url])，希望这个版本能给我们一种惊喜。 　 很可惜的是，NAT软件的鼻祖Sygate在安装时要检查Internet的连通性，否则不会启动NAT功能。我们经过多次测试，尽了最大努力也无法将其NAT功能启动，最后只得放弃对Sygate的测试。 双机直连的各项测试结果如下，由于图片太大，我们进行了后期处理，把一些无用的内容进行了切除。由于图片太多（每个单项测试均有1张，每个NAT软件测试项目10张），其他的NAT软件我们在此Web页中不提供图片，只提供测试图片打包后的下载。 双机直连－一般性能测试反应时间（平均反应时间为11ms）

如果回到过去的计算时代，没有人会考虑在单独的计算机上安装防火墙。谁需要这么做呢?很少有人听说过 Internet，TCP/IP 并不存在，LAN 协议不会在您的房子或校园上方传送。重要的数据都保存在大型机或文件服务器 — 人们保留在他们台式计算机上的信息很少会是关键性的，计算机自身的重量也一定程度上确保了相当的物理安全性。如果存在到 Internet 的连接，那么中间很可能有一些协议转换器，在网络边缘还可能有数据包筛选路由器(即“防火墙”)，而且很可能配置了太多的规则和异常处理。 　　现代的计算环境和这样的过去年代差别很大。每..

  Windows 活动目录与网络之“古代十大名剑” Windows 的活动目录与网络问题就像江湖中的恶魔，烧杀抢掠，无恶不作，抢我工作夺我钱财，赤手空拳实难对付，现在送给各位“古代十大名剑”替天行道，斩妖除魔。再加上组策略最佳实践之“降龙十八掌”[url]http://technet.blog.51cto.com/21712/33368[/url]，相信大家应该可以持剑闯江湖，替天行道。 PS：这篇文章谨祝贺走在左边的女朋友--XYMM，于今天晚上11点顺利通过了美国某一公司财务总监及CEO的第四次面试，明天就可以正式办理上班手续，以此文章表示祝贺。 （希望大家..

DHCP 服务器 　　 　　“DHCP 服务器”服务使用动态主机配置协议 (DHCP) 自动分配 IP 地址。使用此服务，可以调整 DHCP 客户机的高级网络设置。例如，可以配置诸如域名系统 (DNS) 服务器和 Windows Internet 名称服务 (WINS) 服务器之类的网络设置。可以建立一个或更多的 DHCP 服务器来维护 TCP/IP 配置信息并向客户计算机提供此信息。 　　 　　系统服务名称：DHCPServer 应用程序协议 协议 端口 　　DHCP 服务器 UDP 67 　　MADCAP UDP 2535 　　 　　分布式文件系统 　　 　　“分布式文件系统 (DFS)”服务管理分布在局域..

无论你的服务器中安装的是Windows 2000 Server，还是Windows Server 2003，它们无一例外会在默认安装下开通135端口、137端口、138端口、139端口和445端口。这些端口可以说都是一把“双刃剑”，它们既能为你提供便利，也会反过来，被其他人非法利用，成为你心中永远的痛。为此，我们很有必要熟悉这些端口，弄清它们的作用，找出它们的“命门”，以避免误伤了自己。

135端口

在许多“网管”眼里，135端口是最让人捉摸不透的端口，因为他们中的大多数都无法明确地了解到135端口的真正作用，也不清楚该端口到底会有哪些潜在的危险。直..

运行FlashFXP，在命令栏输入命令" site pswd 旧密码 新密码" 提示信息“230 Password changed okay.” 表示密码修改成功. 其它FTP软件修改与FlashFXP基本相似，只需在“工具--原始命令“中运行原始命令" site pswd 旧密码 新密码" 即可。
此主题相关图片如下：
1.使用windows自带的工具修改: 在“开始-运行”中输入" ftp " 后按回车运行，看到提示符“ftp>” 输入命令“open ancool.com”
按提示输入User（用户名），Password（密码）(注意：屏幕并不显示您输入的密码)，屏幕上出现“230 User logged in, proceed.”表示已连接成功! 此时输入命令“quote site pswd 旧密码 新密码”回车，屏幕上出现230 Password changed okay.表示密码已经修改成功啦！ 输入bye 退出。 2.使用LEAPFTP修改:
运行leapftp，找到“工具--原始命令”，或直接按“ctrl+R” 输入命令" site pswd 旧密码 新密码" 提示信息“230 Password changed okay.” 表示密码修改成功. 3.其它FTP软件修改:
与leapftp相似，只需运行原始命令" site pswd 旧密码 新密码" 即可 --------------------------------------------------- 假设您的FTP地址是：192.168.0.1 用户名是：love 原密码是：abcd 新密码是：1234 请按如下操作： 1.打开MS-DOS方式（Win2000下为“命令提示符”） 2.输入：ftp 192.168.0.1 回车 屏幕提示： Connected to 192.168.0.1. 220 welcome joinline sever … User (192.168.0.1:(none)): 3.输入用户名：love　回车 屏幕提示： 331 User name okay, need password. Password: 4.输入密码：abcd　回车 屏幕提示： 230 User logged in, proceed. 5.输入：quote "site pswd abcd 1234"　回车 注：这里　abcd　为原密码　1234 为新密码，不要忘记输引号 屏幕提示： 230 Password changed okay. 6.输入：bye 屏幕提示： 221 Goodbye! 7.完成！[/img]..

两权分立的FTP工作模式 两权分立的FTP工作模式
工作环境：
ADSL---（219.154.214.150）NAT（10.41.221.2）-----PC（10.41.221.6/FTPSERVER）

1、映射21端口到PC，PC安装FTP服务serv-u，用serv-u是因为他可以方便的设置FTP的两种工作模
式。外网发起连接为例。
PORT方式能连接，不能列目录
PASV方式能连接，不能列目录
分析：FTP支持两种模式。这两种模式被称为“标准”（或PORT，或“主动”）和“被动”（或
PASV）。“标准”模式FTP客户端会向FTP服务器发送PORT命令。“被动”模式客户端会向
FTP服务器发送PASV命令。这些命令是在建..