思科：Cisco路由器交换机防火墙配置命令详解

　　例2：

　　router(config)#access-list 101 deny icmp any 10.64.0.2 0.0.0.0 echo

　　router(config)#access-list 101 permit ip any any

　　router(config)#int s0/0

　　router(config-if)#ip access-group 101 in

　　例3：

　　router(config)#access-list 102 deny tcp any 10.65.0.2 0.0.0.0 eq 80

　　router(config)#access-list 102 permit ip any any

　　router(config)#inte***ce s0/1

　　router(config-if)#ip access-group 102 out

　　删除访问控制例表:

　　router(config)#no access-list 102

　　router(config-if)#no ip access-group 101 in

　　路由器的nat配置

　　Router(config-if)#ip nat inside ;当前接口指定为内部接口

　　Router(config-if)#ip nat outside ;当前接口指定为外部接口

　　Router(config)#ip nat inside source static [p] [port]

　　Router(config)#ip nat inside source static 10.65.1.2 60.1.1.1

　　Router(config)#ip nat inside source static tcp 10.65.1.3 80 60.1.1.1 80

　　Router(config)#ip nat pool p1 60.1.1.1 60.1.1.20 255.255.255.0

　　Router(config)#ip nat inside source list 1 pool p1

　　Router(config)#ip nat inside destination list 2 pool p2

　　Router(config)#ip nat inside source list 2 inte***ce s0/0 overload

　　Router(config)#ip nat pool p2 10.65.1.2 10.65.1.4 255.255.255.0 type rotary

　　Router#show ip nat translation

　　rotary 参数是轮流的意思，地址池中的IP轮流与NAT分配的地址匹配。

　　overload参数用于PAT 将内部IP映射到一个公网IP不同的端口上。

　　外部网关协议配置

　　routerA(config)#router bgp 100

　　routerA(config-router)#network 19.0.0.0

　　routerA(config-router)#neighbor 8.1.1.2 remote-as 200

　　配置PPP验证：

　　RouterA(config)#username password

　　RouterA(config)#int s0

　　RouterA(config-if)#ppp authentication {chap|pap}

　　3.PIX防火墙命令

　　Pix525(config)#nameif ethernet0 outside security0 ;命名接口和级别

　　Pix525(config)#inte***ce ethernet0 auto ;设置接口方式

　　Pix525(config)#inte***ce ethernet1 100full ;设置接口方式

　　Pix525(config)#inte***ce ethernet1 100full shutdown

　　Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

　　Pix525(config)#ip address outside 133.0.0.1 255.255.255.252

　　Pix525(config)#global (if_name) natid ip-ip ;定义公网IP区间

　　Pix525(config)#global (outside) 1 7.0.0.1-7.0.0.15 ;例句

　　Pix525(config)#global (outside) 1 133.0.0.1 ;例句

　　Pix525(config)#no global (outside) 1 133.0.0.1 ;去掉设置

　　Pix525(config)#nat (if_name) nat_id local_ip [netmark]

　　Pix525(config)#nat (inside) 1 0 0

　　内网所有主机(0代表0.0.0.0)可以访问global 1指定的外网。

　　Pix525(config)#nat (inside) 1 172.16.5.0 255.255.0.0

　　内网172.16.5.0/16网段的主机可以访问global 1指定的外网。

　　Pix525(config)#route if_name 0 0 gateway_ip [metric] ;命令格式

　　Pix525(config)#route outside 0 0 133.0.0.1 1 ;例句

　　Pix525(config)#route inside 10.1.0.0 255.255.0.0 10.8.0.1 1 ;例句

　　Pix525(config)#static (inside， outside) 133.0.0.1 192.168.0.8

　　表示内部ip地址192.168.0.8，访问外部时被翻译成133.0.0.1全局地址。

　　Pix525(config)#static (dmz， outside) 133.0.0.1 172.16.0.8

　　中间区域ip地址172.16.0.8，访问外部时被翻译成133.0.0.1全局地址