Cisco Pix日常维护常用命令

PIX命令集Aaa 允许、禁止或查看以前使用“aaa-server”命令为服务器指定的TACACS+或RADIUS用户认证、授权和帐户Aaa-server 指定一个AAA服务器Access-group 将访问列表名绑定到接口名以允许或拒绝IP信息包进入接口Access-list创建一个访问列表Alias管理双向NAT中的重叠地址Arp改变或查看ARP缓存，设置超时值Auth-prompt改变AAA的提示文本Ca配置PIX防火墙和CA的交互Clock设置PIX防火墙时钟以供PIX防火墙系统日志服务器和PKI协议使用Conduit为向内连接添加、删除或显示通过防火墙的管道Configure清除或融合当前配置与软盘或闪存中的配置。

进入配置模式或查看当前配置Crypto dynamic-map创建、查看或删除一个动态加密映射项。

Crypto ipsec创建、查看或删除与加密相关的全局值Crypto map 创建、查看或删除一个动态加密映射项，也用来删除一个加密映射集Debug通过PIX防火墙调试信息包或ICMP轨迹。

Disable退出特权模式并返回到非特权模式Domain_name改变IPSec域名Enable启动特权模式Enable password设置特权模式的口令Exit退出访问模式Failover改变或查看到可选failover特性的访问Filter允许或禁止向外的URL或HTML对像过滤Fixup protocol改变、允许、禁止或列出一个PIX防火墙应用的特性Flashfs清除闪存或显示闪存扇区大小Floodguard允许或禁止洪泛（FLOOD）保护以防止洪泛攻击Help显示帮助信息Global从一个全局地址池中创建或删除项Hostname改变PIX防火墙命令行提示中的主机名Interface标示网络接口的速度和双工属性Ip为本地池和网络接口标示地址Ipsec配置IPSEC策略Isakmp协商IPSEC策略联系并允许IPSEC安全通信Kill终止一个TELNET会话Logging允许或禁止系统日志和SNMP记录Mtu为一个接口指定MTU（最大流量单元）Name/names关联一个名称和一个IP地址Nameif命名接口并分配安全等级Nat联系一个网络和一个全局IP地址池Outbound/apply创建一个访问列表用于控制因特网Pager使能或禁止屏幕分页Passwd为TELNET和PIX管理者访问防火墙控制台配置口令Perfmon浏览性能信息Ping决定在PIX防火墙上其他的IP地址是否可见Quit退出配置或特权模式Reload重新启动或重新加载配置Rip改变RIP设置Route为指定的接口输入一条静态或缺省的路由Service复位向内连接Session访问一个嵌入式的ACCESSPRO路由器控制台Show查看命令信息Show blocks/clear blocks显示系统缓冲区利用情况Show checksum显示配置校验和Show conn列出所有的活跃连接Show history显示前面输入的行Show interface显示接口配置Show memory显示系统内存的使用情况Show processes显示进程Show tech-support查看帮助技术支持分析员诊断问题的信息Show traffic显示接口的发送和接收活动Show uauth未知（我没搞过，嘿嘿）Show version浏览PIX防火墙操作信息Show xlate查看地址转换信息Snmp-server提供SNMP事件信息Static将局部地址映射为全局地址Sysopt改变PIX防火墙系统项Terminal改变控制台终端设置Timeout设置空闲时间的最大值Uauth(clear and show)将一个用户的所有授权高速缓存删除url-cache缓存响应URL过滤对WebSENSE服务器的请求url-server为使用folter命令指派一个运行WebSENSE的服务器virtual访问PIX防火墙虚拟服务器who显示PIX防火墙上的活跃的TELNET管理会话write存储、查看或删除当前的配置xlate(clear and show)查看或清除转换槽信息。

Cisco常用命令及缩写Cisco常用命令及缩写1、↑/↓键：调出上/下一条命令。

Tab键：补全命令。

？键：调出当前模式下的所有命令。

2、注销本次登录：exit、logout、quit。

3、no：取消某配置例如“no ip add 192.168.1.2 255.255.255.0”，或命令的反义例如“no shutdown”。

Switch (vlan)# no vlan 2 \\删除编号为2的VLAN<前提该VLAN不包含任何端口> Switch(config-if)# no switchport access vlan 2 Router(config-router)# no router rip \\取消RIP配置的动态路由信息4、缩写enable →en configure terminal →conf t show →sh interface →int fastethernet 0/1 →f0/1 ethernet 0/1 →e0/1 serial 2/0 →s2/0 address →add password →pass shutdown →shut console →con hostname →host database →data encapsulation →enca第一章计算机网络结构概述1. > enable # config terminal Router (config)# interface fastethernet0/1 Switch (config)# interface vlan 1 用户模式→特权模式特权模式→全局配置模式（路由器）全局配置模式→接口模式（交换机）全局配置模式→接口模式2. # disable 特权模式→用户模式3. (config)# end 全局或接口模式→特权模式，等同于“ctrl+z”4. exit 从当前模式退回到前一模式5. (config)#interface vlan 1 进入vlan 1接口6. (config-if)# ip address 192.168.1.2 255.255.255.0 配置当前接口的IP地址(注意给交换机只能配置vlan1 的IP，而对路由器可以对物理端口配置IP)7. (config-if)# no shutdown 打开当前接口8. (config)# hostname R1 配置主机名，例如为R1（接口模式下也可用该命令）9. # show version 显示系统IOS名称及版本信息10. # show running-config 显示当前配置信息11. # show startup-config 显示已保存的配置信息12. # copy running-config startup-config 保存当前已配置的信息（2种命令均可）13. # write14. # erase nvram 删除已保存的配置信息（3种命令均可）15. # delete nvram: startup-config16. # erase startup-config17. (config)# line console 0 (config-line)# exec-timeout 0 0 修改会话超时时间，避免返回到初始界面（此时需按下Enter键才进入用户界面）。

思科命令大全Cisco 命令大全Access-enable 允许路由器在动态访问列表中创建临时访问列表入口Access-group 把访问控制列表(ACL)应用到接口上Access-list 定义一个标准的IP ACL Access-template 在连接的路由器上手动替换临时访问列表入口Appn 向APPN子系统发送命令Atmsig 执行ATM信令命令B 手动引导操作系统Bandwidth 设置接口的带宽Banner motd 指定日期信息标语Bfe 设置突发事件手册模式Boot system 指定路由器启动时加载的系统映像Calendar 设置硬件日历Cd 更改路径Cdp enable 允许接口运行CDP协议Clear 复位功能Clear counters 清除接口计数器Clear interface 重新启动接口上的件逻辑Clockrate 设置串口硬件连接的时钟速率，如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI连接管理功能Config-register 修改配置寄存器设置Configure 允许进入存在的配置模式，在中心站点上维护并保存配置信息Configure memory 从NVRAM加载配置信息Configure terminal 从终端进行手动配置Connect 打开一个终端连接Copy 复制配置或映像数据Copy flash tftp 备份系统映像文件到TFTP服务器Copy running-config startup-config 将RAM中的当前配置存储到NVRAMCopy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上Copy tftp flash 从TFTP服务器上下载新映像到FlashCopy tftp running-config 从TFTP 服务器上下载配置文件Debug 使用调试功能Debug dialer 显示接口在拨什么号及诸如此类的信息Debug ip rip 显示RIP路由选择更新数据Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息Debug ipx sap 显示关于SAP （业务通告协议）更新数据包信息Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层（第2层）的访问过程Debug ppp 显示在实施PPP中发生的业务和交换信息Delete 删除文件Deny 为一个已命名的IP ACL设置条件Dialer idle-timeout 规定线路断开前的空闲时间的长度Dialer map 设置一个串行接口来呼叫一个或多个地点Dialer wait-for-carrier-time 规定花多长时间等待一个载体Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制Dialer-list protocol 定义一个数字数据接受器（DDR）拨号表以通过协议或ACL与协议的组合来控制控制拨号Dir 显示给定设备上的文件Disable 关闭特许模式Disconnect 断开已建立的连接Enable 打开特许模式Enable password 确定一个密码以防止对路由器非授权的访问Enable password 设置本地口令控制不同特权级别的访问Enable secret 为enable password 命令定义额外一层安全性(强制安全，密码非明文显示) Encapsulation frame-relay 启动帧中继封装Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sapEnd 退出配置模式Erase 删除闪存或配置缓存Erase startup-config 删除NVRAM中的内容Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXECExit 终止任何配置模式或关闭一个活动的对话和结束EXECformat 格式化设备Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口（LMI）Help 获得交互式帮助系统History 查看历史记录Hostname 使用一个主机名来配置路由器，该主机名以提示符或者缺省文件名的方式使用Interface 设置接口类型并且输入接口配置模式Interface 配置接口类型和进入接口配置模式Interface serial 选择接口并且输入接口配置模式Ip access-group 控制对一个接口的访问Ip address 设定接口的网络逻辑地址Ip address 设置一个接口地址和子网掩码并开始IP处理Ip default-network 建立一条缺省路由Ip domain-lookup 允许路由器缺省使用DNSIp host 定义静态主机名到IP地址映射Ip name-server 指定至多6个进行名字-地址解析的服务器地址Ip route 建立一条静态路由Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下，在串口上启动互联网协议（IP）的处理过程Ipx delay 设置点计数Ipx ipxwan 在串口上启动IPXWAN协议Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量Ipx network 在一个特定接口上启动互联网数据包交换（IPX）的路由选择并且选择封装的类型（用帧封装）Ipx router 规定使用的路由选择协议Ipx routing 启动IPX路由选择Ipx sap-interval 在较慢的链路上设置较不频繁的SAP（业务广告协议）更新Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号（SPID）Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号（SPID）Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型Keeplive 为使用帧中继封装的串行线路LMI（本地管理接口）机制Lat 打开LAT连接Line 确定一个特定的线路和开始线路配置Line concole 设置控制台端口线路Line vty 为远程控制台访问规定了一个虚拟终端Lock 锁住终端控制台Login 在终端会话登录过程中启动了密码检查Login 以某用户身份登录，登录时允许口令验证Logout 退出EXEC模式Mbranch 向下跟踪组播地址路由至终端Media-type 定义介质类型Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间Mrbranch 向上解析组播地址路由至枝端Mrinfo 从组播路由器上获取邻居和版本信息Mstat 对组播地址多次路由跟踪后显示统计数字Mtrace 由源向目标跟踪解析组播地址路径Name-connection 命名已存在的网络连接Ncia 开启/关闭NCIA服务器Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下，在网络上启动加强的IGRPNetwork 指定一个和路由器直接相连的网络地址段Network-number 对一个直接连接的网络进行规定No shutdown 打开一个关闭的接口Pad 开启一个X.29 PAD连接Permit 为一个已命名的IP ACL设置条件Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断Ping 发送回声请求，诊断基本的网络连通性Ppp 开始IETF点到点协议Ppp authentication 启动Challenge握手鉴权协议（CHAP）或者密码验证协议（PAP）或者将两者都启动，并且对在接口上选择的CHAP和PAP验证的顺序进行规定Ppp chap hostname 当用CHAP进行身份验证时，创建一批好像是同一台主机的拨号路由器Ppp chap password 设置一个密码，该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制Ppp pap sent-username 对一个接口启动远程PAP支持，并且在PAP对同等层请求数据包验证过程中使用sent-username和passwordProtocol 对一个IP路由选择协议进行定义，该协议可以是RIP，内部网关路由选择协议（IGRP），开放最短路径优先（OSPF），还可以是加强的IGRPPwd 显示当前设备名Reload 关闭并执行冷启动；重启操作系统Rlogin 打开一个活动的网络连接Router 由第一项定义的IP路由协议作为路由进程，例如：router rip 选择RIP作为路由协议Router igrp 启动一个IGRP的路由选择过程Router rip 选择RIP作为路由选择协议Rsh 执行一个远程命令Sdlc 发送SDLC测试帧Send 在tty线路上发送消息Service password-encryption 对口令进行加密Setup 运行Setup命令Show 显示运行系统信息Show access-lists 显示当前所有ACL的内容Show buffers 显示缓存器统计信息Show cdp entry 显示CDP表中所列相邻设备的信息Show cdp interface 显示打开的CDP接口信息Show cdp neighbors 显示CDP查找进程的结果Show dialer 显示为DDR（数字数据接受器）设置的串行接口的一般诊断信息Show flash 显示闪存的布局和内容信息Show frame-relay lmi 显示关于本地管理接口（LMI）的统计信息Show frame-relay map 显示关于连接的当前映射入口和信息Show frame-relay pvc 显示关于帧中继接口的永久虚电路（pvc）的统计信息Show hosts 显示主机名和地址的缓存列表Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息Show interfaces 显示路由器上配置的所有接口的状态Show interfaces serial 显示关于一个串口的信息Show ip interface 列出一个接口的IP信息和状态的小结Show ip interface 列出接口的状态和全局参数Show ip protocols 显示活动路由协议进程的参数和当前状态Show ip route 显示路由选择表的当前状态Show ip router 显示IP路由表信息Show ipx interface 显示Cisco IOS软件设置的IPX 接口的状态以及每个接口中的参数Show ipx route 显示IPX路由选择表的内容Show ipx servers 显示IPX服务器列表Show ipx traffic 显示数据包的数量和类型Show isdn active 显示当前呼叫的信息，包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制（AOC）收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路（DSL）的状态或者一个特定isdn 接口的状态Show memory 显示路由器内存的大小，包括空闲内存的大小Show processes 显示路由器的进程Show protocols 显示设置的协议Show protocols 显示配置的协议。

cisco交换机查看配置及日常维护命令2011-09-16 17:121、用户模式管理员通过超级终端或telnet方式登录交换机后，首先会进入XXX>模式，这里的尖括号代表用户模式，此模式下只能使用一些简单的查看命令，无法对设备进行2、特权模式管理员输入enable命令回车，经过密码验证后进入XXX#模式，这里的#代表特权模式，思科设备默认没有enable密码，此模式下可以使用show命令查看交换机等信息。

3、全局配置模式管理员在如果需要对设备进行配置，例如增加Vlan、修改网关、划分端口等操作时，必须先进入全局配置模式，在特权模式下输入configure termi 入XXX(config)#模式，这里出现(config)#代表当前处于全局配置模式，全局配置模式退到特权模式输入命令exit。

大部分配制都需要在全局配置入。

4、查看思科设备当前运行配置特权模式下输入show running-config显示如下：由于配置一页显示不完，可以通过回车键逐行显示，也可以通过空格键逐页显示。

5、查看设备软件版本信息特权模式下输入show version显示如下：此命令用于显示设备型号、序列号、系统版本和在线时间等等信息。

6、查看系统时钟特权模式下输入show clock用于显示当前系统时钟，可以用于查看LOG日志后对应时钟分析异常LOG的发起时间。

7、查看LOG日志特权模式下输入show log用于显示系统突发状况，例如端口异常关闭，链路的通断，主备机切换等等许多信息，可以帮助管理员分析故障原因。

8、查看端口详细状态特权模式下输入show interface显示如下：此命令用于显示端口的详细信息，例如IP地址、MAC地址、带宽负载及输入输出速率等。

9、快速查看端口UP or DOWN特权模式下输入show interface description和show interface status第一条命令查看端口的连接状态与描述，第二条命令查看端口的链接状态、所属vlan以及速率双工。

cisco常⽤命令进⼊特权模式Router>enable进⼊配置模式Router#configure terminal特权模式下查看全局配置Router#show running-config⾮特权模式下查看全局配置（+do 在⾮特权模式下使⽤do show查看配置）Router(config)#do show running-config重启Router#reload保存配置Router#write清空配置Router#write erase删除命令Router(config-if)#no ip address修改主机名Router(config)#hostname R1设置进⼊特权模式的密码Router(config)#enable password cisco@123设置远程登录line vty 0 4password cisco@123login //允许登录transport input telnet //允许通过的协议远程登录时查看⽇志信息Router#terminal monitor路由功能Switch(config)#ip routing //开启路由功能Switch(config)#no ip routing //关闭路由功能Switch(config)#ip default-gateway 192.168.1.254 //设置默认⽹关查看MAC地址表Switch#show mac address-table设置全/半双⼯Router(config-if)#duplex full/half路由管理距离（类似Huawei 优先级）Router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 ?<1-255> Distance metric for this routeProtocol DistanceDirect 0Static 1Rip 120OSPF 110Eigrp 90（170）CDP协议（思科私有，与LLDP相同）Router#show cdp neighborsVLAN，接⼝Switch(config)#vlan 10,20,30 //同时创建多个vlaninterface Ethernet0/1switchport access vlan 10switchport mode accessinterface Ethernet0/2switchport trunk encapsulation dot1q //配置封装模式（Cisco默认私有模式ISL）switchport trunk native vlan 10 //本征vlan（类似华为pvid）switchport mode trunkswitchport trunk allowed vlan allswitchport trunk allowed vlan 10,20switchport trunk allowed vlan remove 10//不允许某个vlan通过⼦接⼝interface Ethernet0/1.10 //创建⼦接⼝encapsulation dot1Q 10 //封装vlan10ip address 192.168.10.1 255.255.255.0DHCPip dhcp excluded-address 192.168.10.250 192.168.10.254ip dhcp pool dhcp-poolnetwork 192.168.10.0 255.255.255.0default-router 192.168.10.254dns-server 114.114.114.114Switch(config-if)#ip helper-address 192.168.20.254 //dhcp中继Router#show ip dhcp conflict //查看地址冲突Router#clear ip dhcp conflict * //清除dhcp冲突地址Router#show dhcp serverACLRouter(config)#access-list 1 permit 192.168.10.1 0.0.0.0 //基本aclRouter(config)#access-list 100 permit tcp 192.168.10.1 0.0.0.0 eq 80 1.1.1.1 0.0.0.0 eq 8000 //扩展acl//基于名称的acl（可以设置规则序号）Router(config)#ip access-list standard ciaco-aclRouter(config-std-nacl)#11 permit 192.168.1.1 0.0.0.0Router(config-if)#ip access-group 1 in/out //在接⼝上应⽤aclNATinterface Ethernet0/0ip address 192.168.10.1 255.255.255.0ip nat inside //内⽹⼈⼝interface Ethernet0/1ip address 200.1.1.1 255.255.255.0ip nat outside //外⽹出⼝access-list 10 permit 192.168.10.0 0.0.0.255ip nat inside source list 10 interface Ethernet0/1 //nat转换ip nat inside source static tcp 192.168.10.23 23 200.1.1.1 23 //端⼝映射链路聚合Switch(config)#interface range ethernet 0/2 - 3 //创建接⼝组（类似port-group）Switch(config-if-range)#channel-group 12 mode active //创建channel id（两端id不需要相同），设置模式 // shutdown状态下配置，如果不成功更换channel idSwitch#show etherchannel summary //查看命令STPSwitch(config)#spanning-tree mode ?mst Multiple spanning tree mode //多⽣成树（802.1s）pvst Per-Vlan spanning tree mode //传统模式(802.1D)rapid-pvst Per-Vlan rapid spanning tree mode //快速⽣成树(802.1w)Switch(config)#spanning-tree vlan 10 priority 0 //设置优先级VTP（思科私有⽤于vlan同步，只⽤于交换机间的接⼝是trunk⼝）{vtp是危险协议，推荐修改为透明模式}Switch(config)#vtp mode ?client Set the device to client mode. //客户端模式（⽤于同步配置，不能创建修改删除vlan） off Set the device to off mode. //关闭server Set the device to server mode. //服务器模式（同步配置，可以创建修改删除vlan） transparent Set the device to transparent mode. //透明模式（推荐配置，不会被同步）vtp domain cisco //创建vtp域名vtp version 2 //修改版本（v1,v2,v3存在版本兼容问题）vtp password cisco@123 //设置认证密码HSRP（思科私有，类似vrrp）interface Ethernet0/1ip address 192.168.1.2 255.255.255.0standby 12 ip 192.168.1.254 //设置虚拟IP（standby id 两端必须⼀致）standby 12 priority 110 //设置优先级（默认100，越⼤越优）standby 12 preempt //开启抢占PPPusername admin password 0 cisco@123 //设置⽤户，密码interface Serial1/0ip address 192.168.10.1 255.255.255.0encapsulation ppp //封装为PPPppp authentication chap/pap //认证模式为chap或papinterface Serial1/0ip address 192.168.10.2 255.255.255.0encapsulation pppppp chap hostname adminppp chap password ciaco@123ppp pap sent-username admin password ciaco@123PPPoEServer：bba-group pppoe Ciscovirtual-template 1interface Ethernet0/1no ip addresspppoe enable group Ciscousername admin password 0 cisco@123ip local pool pppoe-pool 200.1.1.2 200.1.1.10 //创建可分配的地址池interface Virtual-Template1ip address 200.1.1.1 255.255.255.0peer default ip address pool pppoe-poolppp authentication chapClient：interface Ethernet0/1no ip addresspppoe enablepppoe-client dial-pool-number 1interface Dialer1ip address negotiatedip mtu 1492 //1500-ppp头部encapsulation pppip tcp adjust-mss 1452 //1500-(ppp头部+ip头部+tcp头部) dialer pool 1ppp authentication chap callin //启⽤chap验证ppp chap hostname adminppp chap password 0 cisco@123GREinterface Tunnel10ip address 10.1.1.1 255.255.255.0tunnel source 1.1.1.1 //本端公⽹IPtunnel destination 2.2.2.2 //对端公⽹IP。

cisco pix防火墙基本配置命令使用任何企业安全策略的一个主要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。

防火墙通常位于企业网络的边缘，这使得内部网络与internet之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。

设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。

在众多的企业级主流防火墙中，cisco pix防火墙是所有同类产品性能最好的一种。

cisco pix 系列防火墙目前有5种型号pix506，515，520，525，535。

其中pix535是pix 500系列中最新，功能也是最强大的一款。

它可以提供运营商级别的处理能力，适用于大型的isp等服务提供商。

但是pix特有的os操作系统，使得大多数管理是通过命令行来实现的，不象其他同类的防火墙通过web管理界面来进行网络管理，这样会给初学者带来不便。

本文将通过实例介绍如何配置cisco pix防火墙。

在配置pix防火墙之前，先来介绍一下防火墙的物理特性。

防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：ø内部区域（内网）。

内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域，即受到了防火墙的保护。

ø外部区域（外网）。

外部区域通常指internet或者非企业内部网络。

它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

ø停火区（dmz）。

停火区是一个隔离的网络，或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置web服务器，mail服务器等。

停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

注意：2个接口的防火墙是没有停火区的。

基本信息配置1. 用en进全局模式下，再用conf t，进入配置模式，进行以下的配置：管理方面的配置：enable secret 0 xxxxxline vty 0 4exec-timeout 30 0password 0 xxxxloginservice password-encryption2. 时间设置与查看命令：Switch# clock set 11:11:11 14 feb 2011Switch# show clock3. 主机名设置：Switch（config）# hostname RRR4. 主机信息查看：Switch#show version //用来查看启动时间，硬件配置，IOS版本，上次启动方式，存储器使用状态等信息。

5. 配置信息：Switch#show running-config //查看内存RAM配置信息，当前工作状态时的配置信息。

Switch#show startup-config //查看NVRAM配置信息，启动时加载的配置信息。

6. 每日登录标语配置：Banner motd # Forbidden Area #7. CDP配置：Show cdp interface //显示CDP邻居接口运行情况Show cdp neighbors //显示cdp邻居信息Show cdp neighbor detail //显示详细邻居信息Switch（config-if）# no cdp enable //在端口上关闭cdp功能Switch（config）# no cdp run // 关闭cdp功能Switch#clear cdp table //删除cdp 表8. 交换机模式转换命令：Switch> 用户模式//默认登录Switch# 特权模式//enableSwitch(config)#全局模式//configure terminalSwitch（config-if）# 接口模式//interface f0/0Rommon> 交换机启动时给中断信号后进入的应急模式或高级操作模式9. 启用三层交换功能Switch（config）#ip routing10 设置vlan nSwitch（config）#vlan 2Switch（config-vlan）#name vlan 2Switch（config）#exitSwitch（config-if）# switch mode accessSwitch（config-if）# switch mode access vlan 211 配置etherchannelSwitch（config）int port-channel 1 //建立捆绑口Switch（config）int range fa0/1-2 //Switch（config-if）channel-group 1 mode on // 将端口归属到捆绑口上Switch（config-if）switchport mode trunk enc dot1q // 定义TRUNK封装Switch（config-if）switchport mode trunk //Switch（config）port-channel load-balance dst-ip //定义负载方式检验命令：show etherchannel summary1配置接口速率和双工Switch(config-if)#speed [10 | 100 | auto]（速度）Switch(config-if)# duplex [auto | full | half]（双工）Switch(config-if)#des 描述字Switch(config-if)#shutdown 关闭接口Switch(config-if)#no sh 开启接口2 配置三层接口Switch(config-if)# ip add ip mask3 配置trunk接口Switch(config)# interface fastethernet x/y （以fastethernet为例，gigabitethernet一样）Switch(config-if)# shutdownSwitch(config-if)# switchportSwitch(config-if)# switchport mode dynamic desirable|trunk|autoSwitch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# switchport trunk allowed vlan 2-3Switch(config-if)# no shutdownSwitch(config-if)# endSwitch# exit4端口划分vlanSwitch（config-if）# switch mode accessSwitch（config-if）# switch mode access vlan 25常用端口查看命令Switch# show int fa0/0Switch# show controllers s0/0Switch# show ip interface fa0/0Switch# show ip int briefSwitch# show vlan all //查看vlan信息Switch#show int trunk //查看trunk 端口6.修改NATIVE VLANSwitch(config-if)# switchport trunk native vlan 107．交换机端口安全Switch(config-if)# switch port-securitiySwitch(config-if)# switch port-securitiy maximum 1 //设置端口绑定mac地址数量Switch(config-if)# switch port-securitiy violation shutdown|protect|restrict //设置违规保护方式1. 配置HSRP在其中一台4507上按下面模版进行配置interface Vlan x //可选ip address 本机端口ip maskstandby 1 虚拟ipstandby 1 preemptstandby 1 priority 100可选standby 1 authentication 字符串Standby 1 时间参数1 时间参数2 // hello时间间隔1 失效时间间隔2Standby 1 track portnumber//没有实际意义在另一台4507上按下面模版进行配置interface Vlan x //可选ip address 本机端口ip maskstandby 1 虚拟ipstandby 1 preemptstandby 1 priority 100可选standby 1 authentication 字符串Standby 1 时间参数1 时间参数2 // hello时间间隔1 失效时间间隔2Standby 1 track portnumber//没有实际意义2. 基于策略的限速(QOS)配置1. Switch（config）# mls qos2. Access-list 12 permit 1.1.1.2 0.0.0.255 //用访问控制列表定义流量3. Switch（config）# class-map nameSwitch（config-cmap）# access-group 124. Switch（config）# policy-map nameSwitch（config-pmap）#class nameSwitch（config-pmap）#trust dscpSwitch（config-pmap）#police 1024000 1024000 exceed-action drop5. Switch（config-if）#service-policy input name日常维护及故障处理1. 常用系统检查命令：sh proc cpu // 检查cpu使用情况sh flash: //检查flash 内容sh mem //检查ram使用情况sh buffer //查看动态缓存利用状况sh env all //检查风扇，温度，电源状态sh module //检查机器板卡模块sh redundancy status // 检查冗余备引擎状态sh redundancy history //检查冗余主备引擎之间的状态sh redundancy switchover //检查系统状态sh log //检查系统日志sh runsh startup-config2. 系统配置备份命令：wr //配置保存命令copy run startup //同wrcopy flash: ios tftp: //备份ioscopy run tftp // 备份running-config3. 全面系统信息查看命令Show tech-support //全部系统状态信息的批处理显示建议利用secure-crt软件将其定期拷贝出来。

1.interface command在配置用户接口的时候我们经常听到关于接口的专有名词hardware_id指ethernet 0,e1,e2interface_name指outside,inside,dmzhardware_speed,通产设置为自动，但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.no shutdown在router上用户激活这个端口，在pix中，没有no shutdown命令，只有使用到shutdown这个参数，主要用于管理关闭接口.interface hardware_id hardware_speed [shutdown]interface e0 autointerface e1 autointerface e2 autoif commandnameif 主要用于命令一个接口，并且给它分配一个从1到99的安全值，因为外部接口和内部接口都是默认的，分别是0和100,同时默认情况下e0是外部接口，e1是指内部接口. nameif hardware_id if_name security_levelnameif e0 outside 0nameif e1 inside 100nameif e2 dmz 50使用show nameif来查看配置情况关于security_level值得区别，请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走，放过又怎么走，需要什么条件才能流进流出.3.ip address commandcisco pix接口的ip 地址可以从两个地方来获得，分别是manual 和dhcpip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID 上.ip address if_name ip_address [netmask]ip address inside 192.168.6.0 255.255.255.0Remove the currently configured ip address pix(config)#clear ip address (全部清除ip address)pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)4.Nat command用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到，呵呵在用nat命令的时候，有个特别的注意点:nat 0有特殊含义，其次nat 总是和global一起使用.nat (if_name) nat_id local_ip [netmas]nat (inside) 1 192.168.6.0 255.255.255.05.Global commandglobal命令用于定义用nat命令转换成的地址或者地址范围，注意global命令中的nat_id 需要和你配置的nat命令中的nat_id相同.global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]global (outside) 1 10.0.0.1 255.0.0.0 (PAT转换，当你用这个命令，CLI会给你一个警告信息指出pix要PAT的所有地址)global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.这里你也同样需要了解PAT是怎么工作的，同样你要知道PAT也有局限，不能支持H.323和高速缓存使用的名称服务器，老实说我也不知道这两个是什么东东:(6.route command,very important!!!route告诉我们要在那个特定的接口转发，并指定那个特定的网络地址.使用route命令向pix 增加一个静态路由.route if_name ip_address netmask gateway_ip [metric]说明一下if_name指你数据要离开处的那个端口ip_address被路由的ip addressnetmask被路由的ip address的网络掩码gateway_ip 下一跳的ip addressmetric到下一个设备的跳数在pix上用的最多的是配置一个默认路由route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address从outside ip address是192.168.1.3出去如果你想要测试新的路由配置，在这之前用clear arp清除pix firewall的arp高速缓存is a good idea.7.RIP command不讲，不想了解，也不知道，没有见过那个人在配置PIX用过RIP协议的需要了解的人查书吧，如果你有这方面的经验，可以写出来大家share一下:)8.测试你的配置，一般有几种，首先查看一下你的配置命令是否正确，show xxxxx来查看。

一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）内外口地址设置firewall（config）firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）?允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-name firewall（config）# crypto key generate rsafirewall（config）允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）firewall（config）#enable password?cisco由用户模式进入特权模式的口令firewall（config）#passrd?ciscossh远程登陆时用的口令firewall（config）#username?Cisco?password?CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）firewall（config）#pdm enablefirewall（config）web登陆方式：?3、保证防火墙能上网还要有以下的配置firewall（config）#nat?（inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：?4、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

cisco 7609日常维护命令二、操作指导注:以下命令执行的结果只是例子具体显示请查看具体设备维护项目：1.查看系统日志/日操作指导：可以依据路由器Show log, 同时应该有syslog server 记录日志..c7609-1#show logSyslog logging: enabled (0 messages dropped, 1 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)Console logging: level debugging, 338 messages logged, xml disabled,filtering disabledMonitor logging: level debugging, 15 messages logged, xml disabled,filtering disabledBuffer logging: level debugging, 338 messages logged, xml disabled,filtering disabledException Logging: size (4096 bytes)Count and timestamp logging messages: disabledTrap logging: level informational, 362 message lines loggedLog Buffer (8192 bytes):Notification sent*Oct 31 16:04:25: %BGP-3-NOTIFICATION: sent to neighbor 192.168.100.1 4/0 (hold time expired) 0 bytes*Oct 31 16:07:52: %BGP-5-ADJCHANGE: neighbor 192.168.100.1 Up*Nov 1 01:46:26: %OSPF-5-ADJCHG: Process 100, Nbr 192.168.100.3 on TenGigabitEthernet6/2 from FULL to DOWN, Neighbor Down: Interface down or detached *Nov 1 01:46:26: %LDP-5-NBRCHG: LDP Neighbor 192.168.100.3:0 (1) is DOWN (Interface not operational)*Nov 1 01:46:46: %OSPF-5-ADJCHG: Process 100, Nbr 192.168.100.3 on TenGigabitEthernet6/2 from LOADING to FULL, Loading Done*Nov 1 01:47:14: %LDP-5-NBRCHG: LDP Neighbor 192.168.100.3:0 (1) is UP*Nov 1 02:01:17: %SYS-5-CONFIG_I: Configured from console by vty0 (192.168.1.9) 参考标准：正常情况下不应该有错误告警信息,路由协议改变,断口中断等信息marchmilan发表于2008-5-15 10:15 AM维护项目：2.当前CPU利用率/日操作指导：c7609-1#sh process cpu | exc 0.00CPU utilization for five seconds: 1%/0%; one minute: 1%; five minutes: 1%PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process52 68 165 412 0.23% 0.05% 0.01% 0 Exec202 185720 971126 191 0.07% 0.02% 0.02% 0 CEF: IPv4 proces 212 264732 329494 803 0.07% 0.03% 0.02% 0 HIDDEN VLAN Proc 参考标准：一分钟和五分钟的平均cpu 利用率应该小于40%维护项目：3.72小时内CPU平均利用率/日操作指导：c7609-1#show process cpu history11 111111********* 11111 44444111111009080706050403020100....5....1....1....2....2....3....3....4....4....5....5....0 5 0 5 0 5 0 5 0 5CPU% per second (last 60 seconds)42222222323332333232221322222332322222221222322222222222221009080706050403020100....5....1....1....2....2....3....3....4....4....5....5....0 5 0 5 0 5 0 5 0 5CPU% per minute (last 60 minutes)* = maximum CPU% # = average CPU%3 3 3 434521 23 39 1141 1 3454544344444445944451444454444444444470385857944444444444445794690549 100 *90 *80 *70 *60 *50 * *40 * **** * ** *30 * * * ***** ** ** *20 * * * ****** ** ** **** *10 * * ** #*#* * * ********** *** **** *0....5....1....1....2....2....3....3....4....4....5....5....6....6....7.0 5 0 5 0 5 0 5 0 5 0 5 0CPU% per hour (last 72 hours)* = maximum CPU% # = average CPU%参考标准：# = average CPU% <<< ---- 平均cpu 利用率应该小于40%维护项目：4．查看系统工作环境/日操作指导：C7206-2#sh env allPower Supplies:Power Supply 1 is Zytek AC Power Supply. Unit is on.Power Supply 2 is Zytek AC Power Supply. Unit is off.Temperature readings:I/O Cont Inlet measured at 21C/69FI/O Cont Outlet measured at 23C/73FNPE Inlet measured at 32C/89FNPE Outlet measured at 39C/102FVoltage readings:+3.45 V measured at +3.50 V+5.15 V measured at +5.21 V+12.15 V measured at +12.29 V-11.95 V measured at -11.81 VEnvm stats saved 902 time(s) since reloadC7609-1#show environmentenvironmental alarms:system minor alarm on operating fan count (raised 1d18h ago) <<< --- 应该无环境告警backplane:operating clock count: 2operating VTT count: 3fan-tray 1:fan-tray 1 type: FAN-MOD-9fan-tray 1 fan-fail: OK <<< -----风扇状态应该OKfan-tray 2:fan-tray 2 type:fan-tray 2 fan-fail: absent <<< -----风扇状态应该OKVTT 1:VTT 1 OK: OK <<< -----状态应该OKVTT 1 outlet temperature: 24CVTT 2:VTT 2 OK: OK <<< -----状态应该OKVTT 2 outlet temperature: 29CVTT 3:VTT 3 OK: OK <<< -----状态应该OKVTT 3 outlet temperature: 25Cclock 1:clock 1 OK: OK, clock 1 clock-inuse: in-useclock 2:clock 2 OK: OK, clock 2 clock-inuse: not-in-usepower-supply 1:power-supply 1 fan-fail: OK <<< -----状态应该OKpower-supply 1 power-input: AC highpower-supply 1 power-output: highpower-supply 1 power-output-fail: OKmodule 4:module 4 power-output-fail: OK <<< -----状态应该OKmodule 4 outlet temperature: 32Cmodule 4 inlet temperature: 25Cmodule 4 EARL outlet temperature: 32Cmodule 4 EARL inlet temperature: 33Cmodule 5:module 5 power-output-fail: OK <<< -----状态应该OKmodule 5 outlet temperature: 35Cmodule 5 inlet temperature: 28Cmodule 5 device-1 temperature: 37Cmodule 5 device-2 temperature: 37Cmodule 5 asic-1 (SSO-1) temp: 24Cmodule 5 asic-2 (SSO-2) temp: 25Cmodule 5 asic-3 (SSO-3) temp: 25Cmodule 5 asic-4 (SSO-4) temp: 25Cmodule 5 asic-5 (SSA-1) temp: 24Cmodule 5 asic-6 (HYPERION-1) temp: 25Cmodule 5 RP outlet temperature: 29Cmodule 5 RP inlet temperature: 29Cmodule 5 EARL outlet temperature: 37Cmodule 5 EARL inlet temperature: 24Cchassis connector rating: 1260.00 Watts (30.00 Amps @ 42V)module 4module 4 connector rating: 2016.00 Watts (48.00 Amps @ 42V)module 4 power consumption: 432.60 Watts (10.30 Amps @ 42V)module 5module 5 connector rating: 1260.00 Watts (30.00 Amps @ 42V)module 5 power consumption: 315.00 Watts ( 7.50 Amps @ 42V)chassis per slot cooling capacity: 76 cfmambient temperature: < 55Cmodule 4 cooling requirement: 70 cfmmodule 5 cooling requirement: 35 cfm参考标准：各部件当前工作温度应在其要求范围内. 通常应按在45度以下.各部件应显示正常状态.marchmilan发表于2008-5-15 10:16 AM维护项目：5．查看当前内存利用率及历史记录/日操作指导：c7609-1#show memory summaryHead Total(b) Used(b) Free(b) Lowest(b) Larges t(b)Processor 44412AA0 935220576 118145176 817075400 129946936 769802400 I/O 8000000 67108864 16009796 51099068 51023088 51023036 参考标准：当前可用内存Free及最小可用内存记录Lowest都不应太小维护项目：6.查看端口状态/日操作指导:c7609-1#show ip interface briefInterface IP-Address OK?Method Status ProtocolVlan1 unassigned YES NVRAM administratively down downVlan100 192.168.1.1 YES NVRAM up upVlan110 unassigned YES NVRAM administratively down down Vlan210 192.168.200.254 YES NVRAM down down GigabitEthernet1/1 unassigned YES unset administratively down down GigabitEthernet1/2 unassigned YES unset administratively down down GigabitEthernet1/3 unassigned YES unset up up GigabitEthernet1/4 unassigned YES unset administratively down down参考标准:相关端口状态Status及协议状态Protocol应处于指定工作状态维护项目：7.查看端口统计数据/日操作指导:c7609-1# sh int g1/1GigabitEthernet1/1 is up, line protocol is up <<< ---应为指定工作状态.Hardware is C6k 1000Mb 802.3, address is 0011.20b8.f142 (bia 0011.20b8.f142) MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255 <<< ---- 带宽利用率应小于70%Encapsulation ARPA, loopback not setKeepalive set (10 sec)Auto-duplex, Auto-speedinput flow-control is off, output flow-control is offClock mode is autoARP type: ARPA, ARP Timeout 04:00:00Last input never, output never, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 <<--不应有drop Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts (0 IP multicasts)0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored <<--不应有错误包0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected0 packets output, 0 bytes, 0 underruns <<--不应有错误包0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped outC7206-2#show interface s1/0Serial1/0 is administratively down, line protocol is downHardware is M8T-V.35MTU 1500 bytes, BW 1544 Kbit, DLY 20000 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation HDLC, crc 16, loopback not setKeepalive set (10 sec)Restart-Delay is 0 secsLast input never, output never, output hang neverLast clearing of "show interface" counters neverInput queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0 <<--不应有drop Queueing strategy: weighted fairOutput queue: 0/1000/64/0 (size/max total/threshold/drops) <<--不应有dropConversations 0/0/256 (active/max active/max total)Reserved Conversations 0/0 (allocated/max allocated)Available Bandwidth 1158 kilobits/sec5 minute input rate 0 bits/sec, 0 packets/sec5 minute output rate 0 bits/sec, 0 packets/sec0 packets input, 0 bytes, 0 no bufferReceived 0 broadcasts, 0 runts, 0 giants, 0 throttles0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort <<--不应有错误包0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets <<--不应有错误包0 output buffer failures, 0 output buffers swapped out1 carriertransitions DCD=down DSR=down DTR=down RTS=down CTS=down参考标准:如上所示marchmilan发表于2008-5-15 10:16 AM维护项目：8.查看板卡工作状态/日操作指导:c7609-1#show moduleMod Ports Card Type Model Serial No. --- ----- -------------------------------------- ------------------ ----------------------1 48 SFM-capable 48 port 10/100/1000mb RJ45WS-X6548-GE-TX SAD082009LY3 48 SFM-capable 48-port 10/100 MbpsRJ45 WS-X6548-RJ-45 SAD0550019V5 2 Supervisor Engine 720(Active) WS-SUP720-3BXL SAL09148P3Q6 4 CEF720 4 port 10-GigabitEthernet WS-X6704-10GE SAL09253SRY7 24 CEF720 24 port 1000mbSFP WS-X6724-SFP SAL08517RKE9 8 8 port 1000mb GBIC Enhanced QoS WS-X6408A-GBIC SAL05167NBWMod MAC addresses Hw Fw Sw Status --- ---------------------------------- ------ ------------ ------------ -------1 0011.20b8.f142 to 0011.20b8.f171 10.0 7.2(1) 8.6(0.259)CA Ok3 0001.63d3.c0da to 0001.63d3.c109 1.4 6.3(1) 8.6(0.259)CA Ok5 0012.dae4.2c80 to 0012.dae4.2c83 4.3 8.1(3) 12.2(33)SRA1 Ok6 0014.6a4b.b054 to 0014.6a4b.b057 2.2 12.2(14r)S5 12.2(33)SRA1 Ok7 0012.d943.d324 to 0012.d943.d33b 2.1 12.2(14r)S5 12.2(33)SRA1 Ok9 0005.3130.5650 to 0005.3130.5657 2.0 5.4(2) 8.6(0.259)CA OkMod Sub-Module Model Serial Hw Status ---- --------------------------- ------------------ ----------- ------- -------5 Policy Feature Card 3 WS-F6K-PFC3BXL SAL09158XS4 1.6 Ok5 MSFC3 Daughterboard WS-SUP720 SAL09158X6M 2.3 Ok6 Distributed Forwarding Card WS-F6700-DFC3BXL SAD092305H4 4.0 Ok7 Distributed Forwarding Card WS-F6700-DFC3BXL SAD084806DC 3.0 OkMod Online Diag Status---- -------------------1 Pass3 Pass5 Pass6 Pass7 Pass9 Pass参考标准:各板卡工作状态应OK,两块supervisor engine应该一块为active,一块为hot维护项目：9.查看crash记录/日操作指导:C7206-2#show bootflash:No files on device3407872 bytes available (0 bytes used)c7609-1#show bootflash:-#- ED ----type---- --crc--- -seek-- nlen -length- ---------date/time--------- name1 .. image C1C4D0AB 21BD48C 30 34853900 Oct 12 2005 06:00:21 +00:00 s72033-pk9s-mz.122-18.SXD4.bin2 .. crashinfo 1E30CAC2 21F6E98 25 235913 Oct 12 2005 06:27:55 +00:00 crashinfo_20051012-0627553 .. crashinfo 4070F183 222E950 25 227893 Oct 12 2005 06:34:59 +00:00 crashinfo_20051012-0634594 .. crashinfo 59B31EE6 2267038 25 231013 Oct 12 2005 06:45:13 +00:00 crashinfo_20051012-0645135 .. crashinfo 4F251D7C 229EDDC 25 228643 Dec6 2005 06:09:36 +00:00 crashinfo_20051206-060936c7609-1#show sup-bootflash:-#- ED ----type---- --crc--- -seek-- nlen -length- ---------date/time--------- name1 .. unknown 288DFB77 1094810 26 16861072 Aug 31 2005 02:39:44 +00:00 cat6000-sup720k9.8-4-5.bin2 .. crashinfo D7EE544F 10CD76C 25 233178 Sep 7 2005 02:21:34 +00:00 crashinfo_20050907-0221343 .. image 9451949B 3D4C4E8 31 46656764 Sep 8 2005 06:06:04 +00:00 s72033-pk9sv-mz.122-18.SXD5.bin4 .. crashinfo F0829A8A 3D8A9B4 25 245667 Oct 12 2005 03:17:25 +00:00 crashinfo_20051012-0317255 .. crashinfo BB49E84D 3DC537C 25 239944 Oct 12 2005 03:27:05 +00:00 crashinfo_20051012-032705c7609-1#show slavebootflash:No files on device65536000 bytes available (0 bytes used)c7609-1#show slavesup-bootflash:-#- ED ----type---- --crc--- -seek-- nlen -length- ---------date/time--------- name1 .. image 5263D9D8 2881BB8 32 41950008 Sep 22 2004 09:08:22 +00:00 s72033-pk9sv-mz.122-17d.SXB1.bin23585864 bytes available (41950136 bytes used)参考标准:正常不该有crashinfo维护项目：10．接口流量及带宽利用率检查操作指导：使用以下命令检查端口流量及带宽利用率：#sh interface <接口号>以下为一个命令显示的例子：#show interface gi1/1 //gi1/1为接口号GigabitEthernet1/1 is up, line protocol is up (connected)Hardware is C6k 1000Mb 802.3, address is 00d0.d32f.75f2 (bia 00d0.d32f.75f2) MTU 1500 bytes, BW 100000 Kbit, DLY 10 usec,reliability 255/255, txload 1/255, rxload 1/255Encapsulation ARPA, loopback not setKeepalive set (10 sec)Full-duplex, 100Mb/sinput flow-control is off, output flow-control is offClock mode is autoARP type: ARPA, ARP Timeout 04:00:00Last input never, output 00:00:39, output hang neverLast clearing of "show interface" counters neverInput queue: 0/2000/15/0 (size/max/drops/flushes); Total output drops: 4Queueing strategy: fifoOutput queue: 0/40 (size/max)5 minute input rate 99000 bits/sec, 22 packets/sec5 minute output rate 127000 bits/sec, 149 packets/sec3790324 packets input, 1658215970 bytes, 0 no bufferReceived 26880 broadcasts (24114 multicasts)0 runts, 0 giants, 0 throttles1 input errors, 0 CRC, 0 frame, 14 overrun, 0 ignored0 watchdog, 0 multicast, 0 pause input0 input packets with dribble condition detected65027710 packets output, 7387697464 bytes, 0 underruns2 output errors, 0 collisions,3 interface resets0 babbles, 0 late collision, 0 deferred0 lost carrier, 0 no carrier, 0 PAUSE output0 output buffer failures, 0 output buffers swapped out如上所示标红部分为接口的5分钟平均的流入和流出流量。

i日常维护常用命令文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]一、Cisco Pix日常维护常用命令1、Pix模式介绍“>”用户模式firewall>enable由用户模式进入到特权模式password:“#”特权模式firewall#config t由特权模式进入全局配置模式“（config）#”全局配置模式firewall(config)#防火墙的配置只要在全局模式下完成就可以了。

1、基本配置介绍1、端口命名、设备命名、IP地址配置及端口激活nameif ethernet0 outside security0端口命名nameif gb-ethernet0 inside security100定义端口的名字以及安全级别，“outside”的安全级别默认为0，“inside”安全级别默认为100，及高安全级别的可以访问低安全级别的，但低安全级别不能主动地到高安全级别。

firewall(config)#hostname firewall设备名称firewall（config）内外口地址设置firewall（config）firewall（config）# interface ethernet0 100full激活外端口firewall（config）# interface gb-ethernet0 1000auto激活内端口2、telnet、ssh、web登陆配置及密码配置防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的，需要相应得开启功能。

firewall（config）允许内网此网断内的机器Telnet到防火墙配置从外网远程登陆到防火墙Firewall（config）#domain-namefirewall（config）# crypto key generate rsafirewall（config）允许外网所有地址可以远程登录防火墙，也可以定义一格具体的地址可以从外网登陆到防火墙上，如：firewall（config）firewall（config）#enable password cisco由用户模式进入特权模式的口令firewall（config）#passrd ciscossh远程登陆时用的口令firewall（config）#username Cisco password CiscoWeb登陆时用到的用户名firewall（config）#http enable打开http允许内网10网断通过http访问防火墙firewall（config）firewall（config）#pdm enablefirewall（config）web登陆方式：3、保证防火墙能上网还要有以下的配置firewall（config）#nat（inside）1 0 0对内部所有地址进行ＮＡＴ转换，或如下配置，对内部固定配置的地址进行ＮＡＴ转化，未指定的不予转发firewall（config）#nat(inside)firewall (config) # global(outside) 1 interface对进行nat转换得地址转换为防火墙外接口地址指一条默认路由器到ＩＳＰ做完上面的配置内网用户就可以上网了，内部有３层交换机且划分了Ｖｌａｎ，若要保证每个Ｖｌａｎ都能够上网，还要在防火墙上指回到其他ＶＬａｎ的路由，如：4、内网服务器映射如果在局域网内有服务器要发布到互联网上，需要在PIX对内网服务器进行映射。

CISCO_常用命令解释视图模式介绍：普通视图router>特权视图router#/在普通模式下输入enable全局视图router(config)#/在特权模式下输入configt接口视图router(config-if)#/在全局模式下输入int接口名称例如ints0或inte0路由协议视图router（config-route）#/在全局模式下输入router动态路由协议名称1、基本配置：router>enable/进入特权模式router#conft/进入全局配置模式router(config)#hostnamexxx/设置设备名称就好像给我们的计算机起个名字router(config)#enablepassword/设置特权口令router(config)#noipdomainlookup/不允许路由器缺省使用DNS解析命令router(config)#Servicepassword-encrypt/对所有在路由器上输入的口令进行暗文加密router(config)#linevty04/进入设置telnet服务模式router(config-line)#passwordxxx/设置telnet的密码router(config-line)#login/使能可以登陆router(config)#linecon0/进入控制口的服务模式router(config-line)#passwordxxx/要设置console的密码router(config-line)#login/使能可以登陆2、接口配置：router(config)#ints0/进入接口配置模式serial0端口配置（如果是模块化的路由器前面加上槽位编号，例如serial0/0代表这个路由器的0槽位上的第一个接口）router(config-if)#ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx/添加ip地址和掩码router(config-if)#encahdlc/ppp捆绑链路协议hdlc或者ppp思科缺省串口封装的链路层协议是HDLC所以在showrun配置的时候接口上的配置没有，如果要封装为别的链路层协议例如PPP/FR/X25就是看到接口下的encappp或者encafrrouter(config)#intloopback/建立环回口(逻辑接口)模拟不同的本机网段router(config-if)#ipaddxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx/添加ip地址和掩码给环回口在物理接口上配置了ip地址后用noshut启用这个物理接口反之可以用shutdown管理性的关闭接口3、路由配置：(1)静态路由router(config)#iproutexxx.xxx.xxx.xxxxxx.xxx.xxx.xxx下一条或自己的接口router(config)#iproute0.0.0.00.0.0.0s0添加缺省路由(2)动态路由rip协议router(config)#routerrip/启动rip协议router(config-router)#networkxxx.xxx.xxx.xxx/宣告自己的网段router(config-router)#version2转换为rip2版本router(config-router)#noauto-summary/关闭自动汇总功能，ripV2才有作用router(config-router)#passive-int接口名/启动本路由器的那个接口为被动接口router(config-router)#neixxx.xxx.xxx.xxx/广播转单播报文，指定邻居的接ipigrp协议router(config)#routerigrpxxx/启动igrp协议router(config-router)#networkxxx.xxx.xxx.xxx/宣告自己的网段router(config-router)#variancexxx/调整倍数因子，使用不等价的负载均衡eigrp协议router(config)routereigrpxxx/启动协议router(config-router)#networkxxx.xxx.xxx.xxx/宣告自己的网段router(config-router)#variancexxx/调整倍数因子，使用不等价的负载均衡router(config-router)#noauto-summary/关闭自动汇总功能ospf协议router(config)routerospfxxx/启动协议router(config-router)networkxxx.xxx.xxx.xxxxxx.xxx.xxx.xxx（反掩码）areaxxx/宣告自己的接口或网段在ospf的区域中可以把不同接口宣告在不同区域中4、保存当前修改/运行的配置：router#write/将RAM中的当前配置存储到NVRAM中，下次路由器启动就是执行保存的配置router#Copyrunning-configstartup-config/命令与write效果一样5、一般的常用命令router(config-if)#exitrouter(config)#router(config-router)#exitrouter(config)#router(config-line)#exitrouter(config)#router(config)#exitrouter#exit命令/从接口、协议、line等视图模式下退回到全局配置模式，或从全局配置模式退回到特权模式router(config-if)#endrouter(config-router)#endrouter(config-line)#endrouter#end命令/从任何视图直接回到特权模式router#Logout/退出当前路由器登陆模式相对与windows的注销router#reload/重新启动路由器（热启动）冷启动就是关闭路由器再打开电源开关特权模式下：router#showiproute/查看当前的路由表router#cleariproute*/清楚当前的路由表router#showipprotocol/查看当前路由器运行的动态路由协议情况router#showipintbrief/查看当前的路由器的接口ip地址启用情况router#showrunning-config/查看当前运行配置router#showstartup-config/查看启动配置router#debugippack/打开ip报文的调试router#terminalmonitor/输出到终端上显示调试信息router#showipeigrpneighbors/查看eigrp协议的邻居表router#showipeigrptop//查看eigrp协议的拓朴表router#showipeigrpinterface/查看当然路由器运行eigrp协议的接口情况router#showipospfneighbor/查看当前路由器的ospf协议的邻居表router#showipospfinterface/查看当然路由器运行ospf协议的接口情况router#clearipospfprocess/清楚当然路由器ospf协议的进程router#Showinterfaces/显示设置在路由器和访问服务器上所有接口的统计信息.显示路由器上配置的所有接口的状态router#Showinterfacesserial/显示关于一个串口的信息router#Showipinterface/列出一个接口的IP信息和状态的小结,列出接口的状态和全局参数CISCO命令全集－思科命令汇总Access-enable允许路由器在动态访问列表中创建临时访问列表入口Access-group把访问控制列表(ACL)应用到接口上Access-list定义一个标准的IPACL Access-template在连接的路由器上手动替换临时访问列表入口Appn向APPN子系统发送命令Atmsig执行ATM信令命令B手动引导操作系统Bandwidth设置接口的带宽Bannermotd指定日期信息标语Bfe设置突发事件手册模式Bootsystem指定路由器启动时加载的系统映像Calendar设置硬件日历Cd更改路径Cdpenable允许接口运行CDP协议Clear复位功能Clearcounters清除接口计数器Clearinterface重新启动接口上的硬件逻辑Clockrate设置串口硬件连接的时钟速率，如网络接口模块和接口处理器能接受的速率Cmt开启/关闭FDDI连接管理功能Config-register修改配置寄存器设置Configure允许进入存在的配置模式，在中心站点上维护并保存配置信息Configurememory从NVRAM加载配置信息Configureterminal从终端进行手动配置Connect打开一个终端连接Copy复制配置或映像数据Copyflashtftp备份系统映像文件到TFTP服务器Copyrunning-configstartup-config将RAM中的当前配置存储到NVRAMCopyrunning-configtftp将RAM中的当前配置存储到网络TFTP服务器上Copytftpflash 从TFTP服务器上下载新映像到FlashCopytftprunning-config从TFTP服务器上下载配置文件Debug使用调试功能Debugdialer显示接口在拨什么号及诸如此类的信息Debugiprip显示RIP路由选择更新数据Debugipxroutingactivity显示关于路由选择协议(RIP)更新数据包的信息Debugipxsap显示关于SAP（业务通告协议）更新数据包信息Debugisdnq921显示在路由器D通道ISDN接口上发生的数据链路层（第2层）的访问过程Debugppp显示在实施PPP中发生的业务和交换信息Delete删除文件Deny为一个已命名的IPACL设置条件Dialeridle-timeout规定线路断开前的空闲时间的长度Dialermap设置一个串行接口来呼叫一个或多个地点Dialerwait-for-carrier-time规定花多长时间等待一个载体Dialer-group通过对属于一个特定拨号组的接口进行配置来访问控制Dialer-listprotocol定义一个数字数据接受器（DDR）拨号表以通过协议或ACL与协议的组合来控制控制拨号Dir显示给定设备上的文件Disable关闭特许模式Disconnect断开已建立的连接Enable打开特许模式Enablepassword确定一个密码以防止对路由器非授权的访问Enablepassword设置本地口令控制不同特权级别的访问Enablesecret为enablepassword命令定义额外一层安全性Encapsulationframe-relay启动帧中继封装Encapsulationnovell-ether规定在网络段上使用的Novell独一无二的格式EncapsulationPPP把PPP设置为由串口或ISDN接口使用的封装方法Encapsulationsap规定在网络段上使用的以太网802.2格式Cisco的密码是sapEnd退出配置模式Erase删除闪存或配置缓存Erasestartup-config删除NVRAM中的内容Exec-timeout配置EXEC命令解释器在检测到用户输入前所等待的时间Exit退出所有配置模式或者关闭一个激活的终端会话和终止一个EXECExit终止任何配置模式或关闭一个活动的对话和结束EXECformat格式化设备Frame-relaylocal-dlci为使用帧中继封装的串行线路启动本地管理接口（LMI）Help获得交互式帮助系统History查看历史记录Hostname使用一个主机名来配置路由器，该主机名以提示符或者缺省文件名的方式使用Interface设置接口类型并且输入接口配置模式Interface配置接口类型和进入接口配置模式Interfaceserial选择接口并且输入接口配置模式Ipaccess-group控制对一个接口的访问Ipaddress设定接口的网络逻辑地址Ipaddress设置一个接口地址和子网掩码并开始IP处理Ipdefault-network建立一条缺省路由Ipdomain-lookup允许路由器缺省使用DNSIphost定义静态主机名到IP地址映射Ipname-server指定至多6个进行名字-地址解析的服务器地址Iproute建立一条静态路由Ipunnumbered在为给一个接口分配一个明确的IP地址情况下，在串口上启动互联网协议（IP）的处理过程Ipxdelay设置点计数Ipxipxwan在串口上启动IPXWAN协议Ipxmaximum-paths当转发数据包时设置CiscoIOS软件使用的等价路径数量Ipxnetwork在一个特定接口上启动互联网数据包交换（IPX）的路由选择并且选择封装的类型（用帧封装）Ipxrouter规定使用的路由选择协议Ipxrouting启动IPX路由选择Ipxsap-interval在较慢的链路上设置较不频繁的SAP（业务广告协议）更新Ipxtype-20-input-checks限制对IPX20类数据包广播的传播的接受Isdnspid1在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号（SPID）Isdnspid2在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号（SPID）Isdnswitch-type规定了在ISDN接口上的中央办公区的交换机的类型Keeplive为使用帧中继封装的串行线路LMI（本地管理接口）机制Lat打开LAT连接Line确定一个特定的线路和开始线路配置Lineconcole设置控制台端口线路Linevty为远程控制台访问规定了一个虚拟终端Lock锁住终端控制台Login在终端会话登录过程中启动了密码检查Login以某用户身份登录，登录时允许口令验证Mbranch向下跟踪组播地址路由至终端Media-type定义介质类型Metricholddown把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间Mrbranch向上解析组播地址路由至枝端Mrinfo从组播路由器上获取邻居和版本信息Mstat对组播地址多次路由跟踪后显示统计数字Mtrace由源向目标跟踪解析组播地址路径Name-connection 命名已存在的网络连接Ncia开启/关闭NCIA服务器Network把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下，在网络上启动加强的IGRPNetwork指定一个和路由器直接相连的网络地址段Network-number对一个直接连接的网络进行规定Noshutdown打开一个关闭的接口Pad开启一个X.29PAD连接Permit为一个已命名的IPACL设置条件Ping把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断Ping发送回声请求，诊断基本的网络连通性Ppp开始IETF点到点协议Pppauthentication启动Challenge握手鉴权协议（CHAP）或者密码验证协议（PAP）或者将两者都启动，并且对在接口上选择的CHAP和PAP验证的顺序进行规定Pppchaphostname当用CHAP进行身份验证时，创建一批好像是同一台主机的拨号路由器Pppchappassword设置一个密码，该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制Ppppapsent-username对一个接口启动远程PAP支持，并且在PAP对同等层请求数据包验证过程中使用sent-username和passwordProtocol对一个IP路由选择协议进行定义，该协议可以是RIP，内部网关路由选择协议（IGRP），开放最短路径优先（OSPF），还可以是加强的IGRPPwd显示当前设备名Reload关闭并执行冷启动；重启操作系统Rlogin打开一个活动的网络连接Router由第一项定义的IP路由协议作为路由进程，例如：routerrip选择RIP作为路由协议Routerigrp启动一个IGRP的路由选择过程Routerrip选择RIP作为路由选择协议Rsh执行一个远程命令Sdlc发送SDLC测试帧Send在tty线路上发送消息Servicepassword-encryption对口令进行加密Setup运行Setup命令Show显示运行系统信息Showaccess-lists显示当前所有ACL的内容Showbuffers显示缓存器统计信息Showcdpentry显示CDP表中所列相邻设备的信息Showcdpinterface显示打开的CDP接口信息Showcdpneighbors显示CDP查找进程的结果Showdialer显示为DDR（数字数据接受器）设置的串行接口的一般诊断信息Showflash显示闪存的布局和内容信息Showframe-relaylmi显示关于本地管理接口（LMI）的统计信息Showframe-relaymap显示关于连接的当前映射入口和信息Showframe-relaypvc显示关于帧中继接口的永久虚电路（pvc）的统计信息Showhosts显示主机名和地址的缓存列表Showipprotocols显示活动路由协议进程的参数和当前状态Showiproute显示路由选择表的当前状态Showiprouter显示IP路由表信息Showipxinterface显示CiscoIOS软件设置的IPX接口的状态以及每个接口中的参数Showipxroute显示IPX路由选择表的内容Showipxservers显示IPX服务器列表Showipxtraffic显示数据包的数量和类型Showisdnactive显示当前呼叫的信息，包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制（AOC）收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息Showisdnststus显示所有isdn接口的状态、或者一个特定的数字信号链路（DSL）的状态或者一个特定isdn接口的状态Showmemory显示路由器内存的大小，包括空闲内存的大小Showprocesses显示路由器的进程Showprotocols显示设置的协议Showprotocols显示配置的协议。