思科防火墙策略路由
有很多朋友不知道思科防火墙策略路由要如何操作,今天为大家整理了很多思科防火墙ha相关的答案,组成一篇内容丰富的文章,希望能到您
本文内容目录一览:
思科Cisco路由怎么基于策略配置
Cisco WAN路由器上运行策略路由来保证从10.0.0.0/8网络来的IP数据包被发送到防火墙去。配置中定义了两条net-10策略规则。第一条策略就定义了从10.0.0.0/8网络来的IP数据包被发送到防火墙去。而第二条规则允许所有的其它数据包能按正常路由。
怎么设置思科cisco路由BGP
1.1 CISCO IOS操作环境。
有三种:
ROM monitor Failure of password recovery
BootROM router(boot) Flash image upgrade
Cisco IOS router Normal operation
二、 配置前的准备工作
2.1 用终端或仿真终端接入CONSOLE口 。
终端或仿真终端配置信息如下:
9600 baud 8 data bits no parity 2 stop bits (9600,8/N/2)
2.2 用TELNET命令在网上进行设置。
系统管理员可在网上用telnet address命令进行远程配置。
三、 配置IP地址
3.1 config命令行方式进行设置
3.1.1 首先启动ROUTER 进入router 模式。
键入Enable 进入router # 模式
然后键入config 进入router(config)# 模式
3.1.2 选择要配置的路由器端口
Router(config) # interface端口号
进入端口设置状态 Router(config-if)
此时用命令IP address 掩码
设定路由器端口IP地址
四、 配置ip路由协议 (RIP ,OSPF ,BGP ,STATICS)
在图中有路由器A和B,广域网通过router A 的s0/0/0和router B的s2/0/0相连,IP如下:
router A:
E1:202.101.1.1/24
S0/0/0:202.101.3.1/30
router B:
E1:202.101.2.1/24
S2/0/0:202.101.3.2/30
当我们设置路由器协议时,可根据方案的规定设置一种或多种协议。以下动态协议都是按最简单设置,复杂的配置可参考具体手册。
4.1静态路由
IP route 目的网络地址 子网掩码 端口号
在router A上配router B的路由:
IP route 202.101.2.0 255.255.255.0 202.101.3.2
在router A上配router B的路由:
IP route 202.101.1.0 255.255.255.0 202.101.3.1
4.2 RIP2设置
router A进行如下设置:
router rip ;enable rip
version 2 ;选择版本2
network 202.101.1.0 ;相关子网地址
network 202.101.3.0
router B进行如下设置:
router rip ;enable rip
version 2 ;选择版本2
network 202.101.2.0 ;相关子网地址
network 202.101.3.0
4.3 OSPF设置
router A:
router ospf 200 ;enable ospf 进程号为200
network 202.101.1.0 0.0.0.255 area 0 ; 相关子网地址及区域号
network 202.101.3.0 0.0.0.3 area 0
router B:
router ospf 200 ;enable ospf 进程号为200
network 202.101.2.0 0.0.0.255 area 0 ; 相关子网地址及区域号
network 202.101.3.0 0.0.0.3 area 0
4.4 BGP设置
router A:
router bgp 100 ;enable bgp 设置自治域号
network 202.101.3.0 mask 255.255.255.252 ;相关子网地址及子网掩码
network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器
neighbor 202.101.3.2 remote-as 200 ;设置远程相连自治域边界路由器端口
router B:
router bgp 100 ;enable bgp 设置自治域号
network 202.101.2.0 mask 255.255.255.252 ;相关子网地址及子网掩码
network 202.101.1.0 mask 255.255.255.0 ; 这些地址由bgp发到邻居路由器
neighbor 202.101.3.1 remote-as 200 ;设置远程相连自治域边界路由器端口
思科防火墙的优缺点
思科防火墙的优缺点分别是:
优点:思科防火墙对每条传入和传出网络的包实行低水平控制。对每个IP包的字段都被检查,例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。
思科防火墙可以识别和丢弃带欺骗性源IP地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙,绕过是困难的。
包过滤通常被包含在路由器数据包中,所以不必额外的系统来处理这个特征。
缺点:配置困难。因为包过滤防火墙很复杂,人们经常会忽略建立一些必要的规则,或者错误配置了已有的规则,在防火墙上留下漏洞。
然而,在市场上,许多新版本的防火墙对这个缺点正在作改进,如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。
思科防火墙策略是:
1、内网到外网:内网的数据到外网防火墙是放行的。外网的数据到内网防火墙是拒绝的。
配置策略使数据包能从外网进入防火墙:
ciscoasa(config)# access-list 110 extended permit ip any any。
ciscoasa(config)# access-group 110 in interface outside。
2、dmz到外网:DMZ的数据到外网防火墙是放行的。外网的数据到DMZ防火墙是拒绝的。
配置dmz到outside的策略:
ciscoasa(config)# access-list 119 extended permit ip any any。
ciscoasa(config)# access-group 119 in interface outside。
关于思科防火墙策略路由和思科防火墙ha的文章,就是上面的全部内容了,不知道有没有是您需要的内容。如果可以帮到您,记得收藏本站
