为了帮助大家更好的复习思科考试科目,我们考吧网主要为大家汇编了以下辅导资料,希望考生们能够喜欢。想了解更多相关思科考试信息,我们考吧网会第一时间为大家奉上。
推荐阅读:2013年思科认证:CiscoCCNA考试精选试题汇总一
1.4配置SNMP陷阱和SNMP请求
SNMP请求可以用来询问pix的系统状况消息,SNMP陷阱仅仅在到达配置阀值时发送关于特定事件的消息.
配置pix接收来自一个管理站的SNMP请求:
使用snmp-server host命令配置SNMP管理站的ip 地址
将snmp-server选项设置为location,contact,以及按要求设置community口令
配置SNMP陷阱:
使用snmp-server host命令配置SNMP管理站的ip 地址
将snmp-server选项设置为location,contact,以及按要求设置community口令
使用snmp-server enable traps命令设置陷阱
使用logging history命令设置日志级别
%PIX-Level-message_number:message_test
pix为pix防火墙产生的消息标示消息部件代码
lebel,所描述消息的严重界别,数字越小,情况越严重
message_number,唯一指定消息的数字代码
message_test:线性的描述情形的正文.消息的这一部分有时候包括IP地址,端口号
设ITANY公司南京总部和上海分部都申请了到Internet的连接,其中公司总部使用PIX515防火墙连接,公司分部使用Cisco2500路由器连接。我们需要对两台设备进行配置,以达到以下目的:
1、公司总部和公司分部的办公人员都能够访问Internet。其中,公司总部分配得到的公网地址范围为218.94.26.1 ~ 218.94.26.31/27;公司分部分配得到的公网地址范围为202.102.11.1 ~ 202.102.11.31/27。
2、公司总部和公司分部的办公人员能够通过VPN建立连接,以互相访问内部的资源。
以下内容需要回复才能看到
PIX515E上VPN和NAT的相关配置
第一步:定义感兴趣数据流,即将来需要通过VPN加密传输的数据流。
PIX(config)# access-list secure permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
第二步:通过VPN传输的数据包不需要做NAT,因此,将这些数据包定义到nat 0,nat 0不对数据包进行地址转换。nat0的处理始终在其他nat(例如nat1、nat2、nat3……)之前。
PIX(config)# nat (inside) 0 access-list secure
第三步:访问internet的数据流使用PAT出去。
PIX(config)# nat (inside) 1 0 0
PIX(config)# global (outside) 1 interface
第四步:定义ISAKMP策略。
PIX(config)# crypto isakmp enable outside
//在外部接口上启用ISAKMP
PIX(config)# crypto isakmp policy 10 authentication pre-share
//认证方法使用预共享密钥
PIX(config)# crypto isakmp policy 10 encryption des
//加密方法使用des
PIX(config)# crypto isakmp policy 10 hash md5
//散列算法使用md5
PIX(config)# crypto isakmp policy 10 group 2
//DH模长度为1024
第五步:将ISAKMP预共享密钥和对等体关联,预共享密钥为“cisco1234”。
PIX(config)# crypto isakmp identity address
PIX(config)# crypto isakmp key cisco1234 address 202.102.11.34
第六步:设置ipsec转换集。
PIX(config)# crypto ipsec transform-set ccsp esp-des esp-md5-hmac
第七步:设置加密图。
PIX(config)# crypto map cisco 10 ipsec-isakmp
PIX(config)# crypto map cisco 10 match address secure
//加载感兴趣流
PIX(config)# crypto map cisco 10 set transform-set ccsp
//选择转换集
PIX(config)# crypto map cisco 10 set peer 202.102.11.34
//设置对等体地址
PIX(config)# crypto map cisco 10 set pfs group2
//设置完美前向保密,DH模长度为1024
第八步:在外部接口上应用加密图。思科培训团购
PIX(config)# crypto map cisco interface outside
第九步:指定IPsec的流量是可信任的。
PIX(config)# sysopt connection permit-ipsec
Cisco 2500路由器上VPN和NAT的相关配置
第一步:在路由器上定义NAT的内部接口和外部接口
S1(config)#int e0
S1(config-if)#ip nat inside
S1(config-if)#exit
S1(config)#int s0
S1(config-if)#ip nat outside
S1(config-if)#exit
第二步:定义需要被NAT的数据流(即除去通过VPN传输的数据流)
S1(config)#access-l 101 deny ip 10.2.2.0 0.0.0.255 10.1.1.0 0.0.0.255
S1(config)#access-l 101 permit ip 10.2.2.0 0.0.0.255 any