xc359367-TVIIW-WMXNW-BFFNM附录配置命令
一、防火墙配置命令
1. 配置防火墙outside、inside、DMZ 的ip 地址
将E0/0 命为外网接口
Ciscoasa(config)#interface Ethernet0/0
Ciscoasa(config-if)#nameif outside
Ciscoasa(config-if)#ip address 192.168.5.253
255.255.255.0
Ciscoasa(config-if)# security-level 0
Ciscoasa(config-if)#no shutdown
将E0/1 命为内网接口
Ciscoasa(config)# interface Ethernet0/1
Ciscoasa(config-if)# nameif inside
255.255.255.0
Ciscoasa(config-if)#ip address 192.168.1.254
Ciscoasa(config-if)# security-level 100
Ciscoasa(config-if)#no shutdown
将E0/2 命为DMZ 接口
Ciscoasa(config)# interface Ethernet0/2
Ciscoasa(config-if)# nameif dmz
255.255.255.0
Ciscoasa(config-if)#ip address 192.168.4.254
Ciscoasa(config-if)# security-level 50
Ciscoasa(config-if)#no shutdown
2. 配置防火墙的访问控制列表
(1)开放80、21、20、100、25 端口
Ciscoasa(config)#access-list 1 permit tcp 192.168.0.0 0.0.255.255 any eq 80 Ciscoasa(config)#access-list 2 permit tcp 192.168.0.0 0.0.255.255 any eq 21 Ciscoasa(config)#access-list 3 permit tcp 192.168.0.0 0.0.255.255 any eq 20 Ciscoasa(config)#access-list 4 permit tcp 192.168.0.0 0.0.255.255 any eq 110 Ciscoasa(config)#access-list 5 permit tcp 192.168.0.0 0.0.255.255 any eq 25 Ciscoasa(config)#access-group 1 interface inside
Ciscoasa(config)#access-group 2 interface inside
Ciscoasa(config)#access-group 3 interface inside
Ciscoasa(config)#access-group 4 interface inside
Ciscoasa(config)#access-group 5 interface inside
(2)防止外部IP 地址欺骗
Ciscoasa(config)#access-list 102 deny ip 192.168.0.0 0.0.255.255 any
(3) 对内网资源主机的访问控制
只对210.31.120.1 的WWW 访问
Ciscoasa(config)#access-list 103 permit tcp any host 192.168.4.1 eq www
二、交换机2配置命令：
（1）创建vlan，把接口划入到相应的vlan
SW2>enable
SW2# config terminal
SW2(config)#vlan 2
SW2(config-vlan)#vlan 3
SW2(config-vlan)#exit
SW2(config)#interface range fastethernet 0/1-15
SW2(config-if-range)#switchport access vlan 2
SW2(config-if-range)#exit
SW2(config)#interface fastethernet 0/23
SW2(config-if-range)#switchport access vlan 3
SW2(config-if-range)#exit
SW2(config)# interface fastethernet 0/24
SW2(config-if)#switchport mode trunk
SW2(config-if)#switchport trunk allowed vlan all
（2）基于端口的MAC 地址绑定
SW1>enable
SW1# config terminal
SW1(config-if)#Switchport port-secruity
SW1(config-if )switchport port-security mac-address MAC
(配置该端口要绑定的主机的MAC 地址) 注意：如果对该主机的网卡进行了更换或者其他PC 机想通过这个端口使用网络都不可用，除非删除或修改该端口上绑定的MAC 地址，才能正常使用。

SW1(config-if )no switchport port-security mac-address MAC
（删除绑定主机的MAC 地址）
三、路由器配置命令
（1）配置路由与防火墙连接的以太网接口
Route(config)#interface fastethernet 0/0
Route(config-if)#ip address 192.168.5.254 255.255.255.0
Route(config-if)#no shutdown
(2)配置对外网接口的IP 地址
Route(config)#interface serial 0/1/0
Route(config-if)#ip address 202.216.124.10 255.255.255.0
Route(config-if)#no shutdown
(5)配置RIP 路由协议
Route(config)# route rip
Route (config-router)# version 2
Route (config-router)# network 192.168.1.0
Route (config-router)# network 192.168.2.0
Route (config-router)# network 192.168.3.0
Route (config-router)# network 192.168.4.0
Route (config-router)# network 192.168.5.0
Route (config-router)# network 202.216.124.0
（6）配置静态NAT，服务器 ip 映射路由的外网接口
Route(config)#ip nat inside source static tcp 192.168.4.1 80 202.216.124.10 80 Route(config)#interface fa0/0
Route(config)#ip nat inside
Route(config)# interface serial 0/1/0
Route(config)#ip nat outside
（7）配置动态NAT
Route(config)#ip nat pool bumen 202.216.124.10 202.216.124.10 netmask 255.255.255.0
Route(config)# access-list 1 permit 192.168.10.0 0.0.255.255
Route(config)# ip nat inside source list 1 pool bumen
Route(config)# interface fa0/0
Route(config)# ip nat inside
Route(config)# interface serial 0/1/0
Route(config)# ip nat outside。