摘要:gns3常用命令

将当前设备重命名为sw1
hostname sw1

配置端口
int f0/0 //初始化f0/0端口
ip address 10.1.1.2 255.255.255.0 //为f0/0分配10.1.1.2地址
no sh //打开端口

配置access-list规则并应用于outside端口上
static (inside,outside) 20.1.1.1 10.1.1.101 
//访问20.1.1.1端口,防火墙将数据包转发给10.1.1.101
access-list k1 permit icmp any any 
//创建一个access-list规则,允许icmp协议经过
access-group k1 in interface outside
//将名为k1的access-list应用在outside端口上

配置nat地址转换
nat (inside) 1 0.0.0.0 0.0.0.0 
//将防火墙inside里面的所有数据包转发给outside
global (outside) 1 26.0.1.200-26.0.1.205 netmask 255.255.255.0 
//将inside的数据包的源地址替换为26.0.1.200-26.0.1.205中的一个,这样可以对外隐藏地址,1为序列号。
//注意 用了nat后,pix的outside区域就ping不通inside区域

配置telnet登陆
enable secret abc123 //设置特权模式的密码,以后进入特权模式就要输入密码abc123
line vty 0 4 //允许用户远程登陆,即不用用户插Console线缆,只要设备连接网络,
//配置了接口IP地址即可远程使用Telnet,0 4为0-4即同时允许五个人登陆
password 123123 //telnet的密码为123123
login //要求输入登录密码,no login登陆不需要密码

outside同时允许icmp和telnet
access-list b1 permit icmp any any
access-list b1 permit tcp any any eq telnet 
//创建一个access-list规则,允许任何outside源地址向任何inside目的地址的telnet端口建立tcp连接
access-group b1 in interface outside


配置pix日志打印到控制台
第一步:启动log              logging on
注:By default, the logging level is set to 3 (error). 默认log的级别为3(error)
第二步:设置log级别          logging trap severity_level (1-7)
第三步:检查log设置          show logging
//下面为开启pix防火墙实例
pixfirewall(config)# debug icmp trace
pixfirewall(config)# logging on
pixfirewall(config)# logging trap 7
pixfirewall(config)# logging console 7
no logging on //关闭日志
clear logging buffer //清除缓存


//配置本地AAA认证
pixfirewall(config)# access-list telnet permit tcp any any eq telnet 
//创建access-list规则,当符合access-list规则时进行AAA认证
pixfirewall(config)# access-list telnet permit tcp any any eq http
pixfirewall(config)# Username cisco password jisu //将用户名和密码添加进AAA服务器
pixfirewall(config)# Username cisco2 password shouhou
pixfirewall(config)# Username cisco3 password caiwu
pixfirewall(config)# Auth-prompt prompt please authentication in there //用来提示用户的信息
pixfirewall(config)# Auth-prompt accept ok,you can do it everythink //当用户名和密码对的时候提示
pixfirewall(config)# Auth-prompt reject oh ,i'm so sorry //当用户名和密码不对时的提示
pixfirewall(config)# Aaa authentication match telnet inside1 LOCAL 
//LOCAL为使用本地防火墙数据库,inside1为pix防火墙的一个端口
pixfirewall(config)# Aaa authentication match telnet inside2 LOCAL
//LOCAL为使用本地防火墙数据库,inside2为pix防火墙的一个端口

//配置流量或者Qos限速
host1(config)#Access-list 100 permit ip any any 
//创建access-list规则,当符合access-list规则时进行流量控制
host1(config)#class-map class1 //定义class-map  名字叫class1
host1(config-cmap)#match access-group 100 //将class1与访问列表100进行绑定
host1(config)#exit
host1(config)#policy-map policy1 //定义策略名为policy1,进入policy1配置模式
host1(config-pmap)#class class1 //将class1应用于policy1上
host1(config-pmap)#police 10000000 5000 conform-action transmit  exceed-action drop 
//限速1M,超出流量直接drop。1000为一段时间内每秒平均的数据量,基本单位为bit。
//5000为突发数据量,为一段时间内总的数据量,基本单位字节。
//详情:https://baike.baidu.com/item/%E8%B6%85%E9%A2%9D%E7%AA%81%E5%8F%91%E9%87%8F
host1(config)#exit
host1(config)#int f0/0
host1(config-if)#service-policy input policy1 //对进口流量进行限速,如果要进行双向限速,
需要不同的acl,因为进出流量的源地址和目的service-policy output policy1地址不一样。
host1(config-if)#service-policy output policy1 //对出口流量进行限速。
下面是查看policy-map ,class-map service-policy的命令
show policy-map 
show class-map 
show service-policy

//pix防火墙日志服务
logging on //启动日志
logging host outside 192.168.3.120  //192.168.3.120为日志服务器的ip地址
logging trap 7 //设置log级别 
loggin buffered 7 //保存到缓冲区记录的log级别
show logging //查看日志 
debug ip icmp //打开icmp调试

//配置f0/1端口mac地址
int f0/1
mac-address 00ab.bffb.c403

//基于vlan的防火墙故障倒换,两个防火墙通过e2进行故障倒换
步骤一:主防火墙
int e2
ip add 192.168.1.1 255.255.255.0
no sh
conf t
int e2
no sh
failover lan enable //启动基于LAN的故障倒换。
failover lan inter zeze e2 //指定故障倒换接口的名字为zeze
failover inter ip zeze 192.168.1.1 255.255.255.0 standby 192.168.1.2
failover lan unit primary //指定为主防火墙
failover //启动故障倒换。
show failover
end
步骤而:备用防火墙
int e2
ip add 192.168.1.2 255.255.255.0 
no sh
conf t
int e2
no sh
failover lan enable //启动基于LAN的故障倒换。
failover lan inter zeze e2 //指定故障倒换接口的名字为zeze
failover inter ip zeze 192.168.1.1 255.255.255.0 standby 192.168.1.2
failover lan unit secondary //指定为备用防火墙
failover //启动故障倒换。
end

//配置虚拟防火墙
mode multiple //开启虚拟防火墙
admin-context admin //将admin设置管理上下文
context admin //创建admin上下文
config-url flash:/admin.cfg //创建上下文配置文件,如果存在就读取存在的上下文文件,
//如果不存在就创建空白的上下文文件。
context v1 //创建v1上下文
allocate-interface e1 //给v1虚拟防火墙分配e1端口
allocate-interface e3 //给v1虚拟防火墙分配e3端口
config-url flash:/v1.cfg //创建v1虚拟防火墙的上下文配置文件
changeto context v1 //切换到虚拟防火墙v1中

需要注意的是如果两个虚拟防火墙共用一个端口比如e1则必须在一个虚拟防火墙内部修改该端口的mac地址,
使两个虚拟防火墙的该端口的mac地址

其他杂项命令
show logging //查看日志
show config //显示配置
show users //查看登陆路由器的账户名
who //和show users结果相同
dir或者show flash //显示防火墙内部文件
no failover active // 强制活动防火墙进行故障倒换
failover active //强制备用防火墙进行故障倒换
show failover //显示防火墙故障倒换配置
//两个物理防火墙故障切换后会交换两个防火墙的mac地址
show 

show uauth //显示通过aaa服务器授权或者未授权的用户
ip default-gateway 192.168.3.1 //将192.168.3.1设置为默认网关

debug icmp trace //pix防火墙打印经过的icmp数据包流向
show conn //查看pix防火墙建立的链接
show xlate //显示static()命令映射的链接
show xlate detail //static()命令映射的链接的详细信息

ip route 220.171.1.0 255.255.255.0 10.0.1.1 
//配置路由器的路由,向220.171.1网段的数据包被转发到10.0.1.1
route inside 10.0.2.0 255.255.255.0 10.0.1.2 
//配置pix防火墙的路由,向inside方向流动的10.0.2网段数据包被转发到10.0.1.2

show running-config global //显示global规则
show running-config nat   //显示nat规则
show nat //既可以显示nat规则,也可以显示static规则
write memory //将现在的配置写进内存,下次启动会自动按写进去的配置
reload //貌似没啥用,就是还原到上次写进内存的配置

show ip //查看pix防火墙的接口的ip
show ip interface brief //简要查看路由器的接口的ip
show ip interface //查看路由器接口信息,信息比较复杂,多
show route //查看pix防火墙的路由
show ip route //查看路由器的路由
clear config all //清除现有的所有配置,重启之后可以还原以前配置
write earse //慎用,会把以前写进内存的东西全清掉,重启之后不能还原以前配置


show running-config | begin interface //查看pix防火墙的接口配置,比较详细
show access-list //查看pix防火墙的access-list规则
show ip access-lists //查看路由器的acces-list规则
show access-group 
//很奇怪,没有这个命令,想查看access-group必须通过 show running-config | begin interface

traceroute 10.0.1.2 
//追踪到10.0.1.2的命令,Ctrl + Shift + 6 一起摁完 再按一下X键才能停止traceroute命令

show mode //查看是否开启了虚拟防火墙
mode multiple //开启虚拟防火墙
no context v1 //删除虚拟防火墙v1
delete flash:/v1.cfg //删除虚拟防火墙v1的配置文件,删除之后即使不保存项目,也无法还原,慎用。
changeto system //跳转到系统上下文
changeto context admin //跳转到管理上下文