现有设备：CISCO路由器2620XM（4台）和2621XM（5台），3750三层交换机，PIX-515E防火墙，CISCO2950二层交换机（9台）
重点命令：有安全，控制，监控，监测和检测功能的命令集合和命令组合

一、两层交换机

1、基本配置
（1）设置VLAN1的IP地址，掩码：
配置：
sw

itch#config terminal
(config)#interface vlan1    ！进入到要配置IP的接口
(config-if)#ip address 10.1.10.253(ip)  255.255.255.0(mask)  ！设置参数
验证：
(config-if)#exit
switch#show interface vlan1
保存设置：
switch#copy running-config startup-config

（2）划分VLAN
配置：
switch#vlan database(还有一种方法)   ！创建一个VLAN
switch#vlan 2
switch#exit
switch#config terminal
one port:
(config)#interface fastethernet0/0      ！进入到要被划分的端口
(config-if)#switchport access vlan 2    ！划分到一个VLAN
multiports:
(config)#interface range fastethernet0/0 -7  ！进入到要被集体划分的端口
(config-if)#switchport access vlan 2     ！划分到一个VLAN
验证：
switch#show vlan
保存：
switch#copy running-config startup-config

（3）设置trunk
配置：
switch#config terminal
(config)#interface gigabitethernet0/1  ！进入要配置成干道的接口
(config-if)#switchport mode trunk    ！设置成干道
验证：
switch#show interface trunk
保存：
switch#copy running-config startup-config

（4）连接路由器
如果交换机上有多个VLAN，则所连的路由器接口就必须有多个IP地址。要用子接口设置多IP地址。连接到路由器上的接口要被设置成trunk，并且要封装干道协议：ISL，或者802.1Q。
配置交换机：
switch#config terminal
(config)#interface gigabitethernet0/1
(config-if)#switchport mode trunk  !配置成干道，将自动封装802.1q协议
配置路由器：
router#config terminal
(config)#interface fastethernet0/0.2   ！进入子接口2
(config-subif)#encapsulation dot1q 2   ！子接口对应VLAN2，并封装dot1q协议
(config-subif)#ip address 10.1.20.1  255.255.255.0  !配置了10.1.20.0/24网段的网关
确认：
router#show interface fastethernet0/0
不同VLAN下的主机可以相互ping通，则配置成功。
保存配置

（5）连接交换机
同种类型的网络设备相连要使用交叉线。交换机使用交叉线相连后，将会自动将两端设置成干道。

2、VTP（VLAN Trunk Protocol）
（1） 作用：
允许用户集中管理网络中交换机的配。VTP是一种消息协议，可以对整个网络内的VLAN的添加、删除和重命名操作进行管理，以此维护VLAN配置的一致性。
（2） 工作方式
确定一条交换机为VTP服务器。
可以在服务器上更改VLAN的配置，并把该配置传播到网络中的所有VTP客户机。
当交换机配置成VTP客户机之后，就不能物理地改变该交换机的VLAN配置。
唯一可以更改VLAN配置的方法是当且仅当VTP客户端交换机接收到来自其VTP服务器的VTP更新信息时，才能更改。
多台VTP服务器管理不同的VTP客户机，必须指定一个VTP域。服务器和客户机在各自的域内。

二、路由器
1、基本配置
（1）以太网口配置
注：路由器以太网口直接接主机用交叉线。
（2）串口配置
（3）配置静态路由
（4）配置动态路由协议
（5）配置访问控制列表（ACL）**
（6）路由器互联

2、问题
（1）无法配置静态路由，出现“Default gateway is not set ….. ICMP redirect cache is empty”
原因：IP路由被禁用
解决：(config)#ip routing

（2）与其他设备的接口状态上，”protocol  down”
可能的原因：双绞线的接线类型不对
解决：换成直通线或者交叉线。

三、三层交换机
1、基本配置

（1）配置IP
手工配置：
(config)#interface vlan vlan-id
(config-if)#ip address ip-address subnet-mask
(config-if)#exit
(config)#ip default-gateway ip-address
确认配置：
#show interface vlan vlan-id
#show ip redirects  ！确认默认网关配置
保存：＃copy running-config startup-config
使用DHCP配置

（2）使不同VLAN互联
 

（3）配置某个端口为trunk
(config)#interface fastethernet1/0/23
(config-if)#switchport encapsultion dot1q
(config-if)#switchport mode trunk

（4）默认路由及路由协议的设定
问题
（1）多个子网连接到三层交换机，交换机上设定了每个子网对应的网关地址，交换机通过router连接到其他的网络或者区域。三层switch和router上相同网段的地址无法相互ping 通。如：3750上有192.168.8.254（VLAN1），192.168.16.254（VLAN2），192.168.24.254（VLAN3）；router上有192.168.8.1，192.168.16.1，192.168.24.1。
    现象：192.168.8.254 可以ping通192.168.8.1，但是.16.和.24.网段的无法ping通。
    原因：router接到switch上的接口没有设置成trunk。

四、防火墙
CISCO PIX系列属于状态检测防火墙。
Note:ASA(Adaptive Security Algorithm) allows one way (inside to outside) connections without an explicit configuration in memory.

1、特点
（1）自适应安全算法（ASA）
创建状态会话流表（state table）。各种连接信息都被记录进表中。
ASA是一个有状态、面向连接的过程，它在状态表中维持会话信息，应用对状态表的安全策略来控制通过防火墙的所有流量。
连接状态包括：源/目的IP，源/目的端口，TCP顺序信息，附加的TCP/UDP标记。应用一个随机产生的TCP顺序号。总称为“会话对象”。

内部不主动发出数据，要求响应，外部的数据就无法进入内部了吗。
PIX中ASA和状态过滤的工作机制：
a、 内部主机开始一个对外部资源的连接
b、 PIX在状态表中写入一个会话（连接）对象
c、 会话对象同安全策略相比较。如果连接不被允许，此会话对象被删除，并且连接被取消
h、 如果安全策略认可这个连接，此连接继续向外部资源发送
j、 外部资源响应这个请求
k、 响应信息到达防火墙，与会话对象比较。匹配则响应信息被发送到内部主机，不匹配则连接就会被取消。

 （2）贯穿式代理
认证和授权一个防火墙上输入/输出的连接。
它在应用层完成用户认证，依照安全策略检验授权。当安全策略授权时打开这个连接。这个连接后面的流量不再在应用层处理，而是进行状态检测。

（3）冗余

2、基本配置

配置完基本参数后，发现从PIX上可以ping通内网和外网的地址。但是内外网的主机无法相互ping通。内网主机无法ping通PIX外口。但是，内网主机可以访问外网的服务器。（可能原因：PIX默认关闭ICMP响应？？）

基本配置命令：interface , nameif , ip address , nat , global , route

（1）激活以太端口
firewell#config terminal
(config)#interface ethernet0 auto
(config)#interface ethernet1 auto    !外口必须用命令激活

（2）命名端口和安全级别
(config)#nameif  ethernet1  inside  security0
(config)#nameif  ethernet0  outside  security100

（3）配置内外口
firewell#config terminal
(config)#ip address inside 192.168.1.1 255.255.255.0
(config)#ip address outside 222.20.16.1 255.255.255.0

（4）配置NAT和PAT
(config)#nat (inside) 1 0 0   !所有的内口地址都
(config)#nat (inside) 2 192.168.8.0 255.255.255.0   
(config)#global (outside) 2 10.1.30.150-10.1.30.160 netmask 255.255.0.0
测试配置：
  ping
  debug