Cisco路由器存储器及IOS升级

一、首先介绍Cisco路由器的存储器

路由器与计算机有相似点是，它也有内存、操作系统、配置和用户界面，Cisco路由器中，操作系统叫做
互连网操作系统（Internetwork Operating System）或IOS。下面主要介绍路由器的存储器。

ROM:只读存储器包含路由器正在使用的IOS的一份副本；

RAM:IOS将随机访问存储器分成共享和主存。主要用来存储运行中的路由器配置和与路由协议有关的IOS数据结构；

闪存(FLASH)：用来存储IOS软件映像文件，闪存是可以擦除内存，它能够用IOS的新版本覆写，IOS升级主要是闪存中的IOS映像文件进行更换。

NVRAM：非易失性随机访问存储器，用来存储系统的配置文件。

下表是常用类型路由器的内存功能。

表：路由器内存详细信息一览表

内存类型
2500、2600、3600
4000、7000

ROM
不能升级的基本IOS
可升级IOS

共享RAM
存储缓冲区
存储缓冲区

主RAM
只有路有表和IOS数据结构
从闪存装入IOS, 路有表和IOS数据结构

闪存(FLASH)
包含IOS(路由器从闪存运行IOS)
包含IOS

NVRAM
配置文件
配置文件


　

注：因为2500、2600、3600系列从闪存中运行IOS，所以，在路由器运行期间，2500、2600、3600可能没有足够的内存升级IOS。在4000、7000系列中，IOS在主RAM中运行，因此，在路由器运行期间，闪存能够升级。

　

二、安装TFTP服务器软件。此类软件有TFTPServer等（http://cisco-net.myrice.com网站上有该软件），在这里假设装有该软件的计算机IP地址为10.10.10.1。

　

三、路由器IOS升级及配置文件的保存

　

Cisco 把它的系统软件存放在Flash memory里，每次启动路由器时，从Flash memory里调出系统并执行它。开机后进入初始化配置或 用"configer"，"setup"作配置后,所作的配置要保存起来以便下一次启动直接运行，这就是配置文件了。配置文件存在非易失的NVRAM中。 配置文件分成start-up configer和running configer两种。Start-up configer是开机时启动NVRAM配 置。由于Cisco路由器指令系统是即时生效的，故运行的配置可能与启动时的配置不同，把running configer写到NVRAM中才是 start-up configer。

　

路由器的系统文件和配置文件都可以象主机一样拷贝进来,拷贝出去。

　

1、升级系统映象和配置文件

当系统出现故障，系统升级，配置文件拷贝，我们需要把服务器里软件拷贝到路由器里。把系统映象从网络服务器拷贝到Flash Memory。网络上要有台计算机作TFTP Server，用TFTP把系统文件拷贝到路由器的Flash memeory中。

建议大家在作系统升级时，为防止不正确操作等引起的升级失败，请先把路由器原有的系统备份下来，包括FLASH中IOS和NVRAM中的配置文件。


拷贝系统文件到Flash memory：

copy tftp flash

copy tftp file-id (Cisco 7000,7200和7500系列)

　

cisco2600# copy tftp flash

IP address or name of remote host [255.255.255.255]?10.10.10.1(TFTP服务器地址)

Name of file to copy? c3640-is-mz_120-7_t.bin（该文件要存放在TFTP服务器TFTP软件目录下）

Copy c3640-is-mz_120-7_t.bin from 10.10.10.1 into flash memory? [confirm]

Flash is filled to capacity.

Erasure is needed before flash may be written.

Erase flash before writing? [confirm]

eeeeeeeeeeeeeeee...

Loading from 10.10.10.1:!!!!...

[OK - 8141044/8388608 bytes]

Verifying via checksum...
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv
vvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvvv vvvvvvvvvvvvvvvvvvvvvvvvvvvvv

Flash verification successful. Length = 8141044, checksum = 0x12AD

　

把配置文件从网络服务器拷贝到路由器NVRAM。

从TFTP Server中把文件拷入路由器 copy tftp running-config 或copy tftp startup-config 。

　

2、备份系统映象和配置文件

把系统文件和配置文件保存在网中的服务器上是一个很好的做法，帮助你在系统或配置文件丢失时,尽快恢复系统正常运行。

拷贝系统映象到网络服务器，首先显示IOS文件的文件名： show flash ，拷贝系统文件到TFTP Server：copy flash tftp。

拷贝配置文件到网络服务器，把配置文件保存在TFTP Server中 copy running-config tftp 或copy startup-config tftp 。

　

以上是我在工作中总结的经验，供大家参考。升级过程还需注意以下几点：

配置路由器的计算机最好能使用串口接到路由器的CONSOL口上，TFTP服务器软件安装在该计算机上，以利于将IOS文件可靠的传送。TFTP服务器的IP的地址要和路由器的以太网口在一个网段上。
网络大家在升级IOS时要注意，升级新版本IOS文件如果大于FLASH内存容量时，应增加FLASH容量。
请大家在做升级时一定要慎重，以免丢失操作系统文件，不能启动系统。

Cisco交换机的ACL 过滤经典配置

在交换机上创建 ACL 时， 可以用字符串也可以用数字来命名 ACL，一般可采用

字符串+数字的方式加以命名，以便于识别；至于是标准 ACL 还是扩展ACL，是通过字段来识
别的，如标准 ACL 用standard 识别，扩展 ACL 用extended 识别。
下例的配置显示如何在交换机上创建一条扩展 ACL，名字为 anti-virus，并将这条 ACL 应用
到 fastEthernet 0/1 端口的 in 方向：
Switch#configure terminal
Switch(config)#ip access-list extended anti-virus
Switch(config-ext-nacl)#deny tcp any any eq 135
Switch(config-ext-nacl)#deny tcp any any eq 136
Switch(config-ext-nacl)#deny tcp any any eq 137
Switch(config-ext-nacl)#deny tcp any any eq 138
Switch(config-ext-nacl)#deny tcp any any eq 139
Switch(config-ext-nacl)#deny tcp any any eq 445
Switch(config-ext-nacl)#deny tcp any any eq 593
Switch(config-ext-nacl)#deny tcp any any eq 4444
Switch(config-ext-nacl)#deny tcp any any eq 5554
Switch(config-ext-nacl)#deny tcp any any eq 9995
Switch(config-ext-nacl)#deny tcp any any eq 9996
Switch(config-ext-nacl)#deny udp any any eq 135
Switch(config-ext-nacl)#deny udp any any eq 136
Switch(config-ext-nacl)#deny udp any any eq 137
Switch(config-ext-nacl)#deny udp any any eq 138
Switch(config-ext-nacl)#deny udp any any eq 139
Switch(config-ext-nacl)#deny udp any any eq 445
Switch(config-ext-nacl)#deny udp any any eq 593
Switch(config-ext-nacl)#deny udp any any eq 1434
Switch(config-ext-nacl)#deny udp any any eq 4444
Switch(config-ext-nacl)#deny udp any any eq 5554
Switch(config-ext-nacl)#deny udp any any eq 9995
Switch(config-ext-nacl)#deny udp any any eq 9996
Switch(config-ext-nacl)#permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#ip access-group anti-virus in
Switch(config-if)#^Z
Switch#

注意事项：
任意一条扩展 ACL 的最后都默认隐含了一条 deny ip any any 的 ACE 表项。如果您不想
让该隐含 ACE 起作用，则您必须手工设置一条 permit ip any any 的 ACE 表项，以让不
符合其它所有 ACE 匹配条件的报文通过；
在有些应用中还会用到上述的一些端口，比如 TCP/UDP 的 137、138，此时就要将这些端
口从扩展 ACL 中去掉；

CBAC and NAT配置举例

　　3640 Router 
　　Current configuration: 
　　! 
　　version 12.0 
　　service timestamps debug uptime 
　　service timestamps log uptime 
　　no service password-encryption 
　　! 
　　hostname sec-3640 
　　! 
　　aaa new-model 
　　aaa group server tacacs+ RTP 
　　server 171.68.120.214 
　　! 
　　aaa authentication login default group RTP none 
　　aaa authorization exec default group RTP none 
　　aaa authorization auth-proxy default group RTP 
　　enable secret 5 $1$pqRI$3TDNFT9FdYT8Sd/q3S0VU1 
　　enable password ww 
　　! 
　　ip subnet-zero 
　　! 
　　ip inspect name myfw cuseeme timeout 3600 
　　ip inspect name myfw ftp timeout 3600 
　　ip inspect name myfw http timeout 3600 
　　ip inspect name myfw rcmd timeout 3600 
　　ip inspect name myfw realaudio timeout 3600 
　　ip inspect name myfw smtp timeout 3600 
　　ip inspect name myfw sqlnet timeout 3600 
　　ip inspect name myfw streamworks timeout 3600 
　　ip inspect name myfw tftp timeout 30 
　　ip inspect name myfw udp timeout 15 
　　ip inspect name myfw tcp timeout 3600 
　　ip inspect name myfw vdolive 
　　ip auth-proxy auth-proxy-banner 
　　ip auth-proxy auth-cache-time 10 
　　ip auth-proxy name list_a http 
　　ip audit notify log 
　　ip audit po max-events 100 
　　cns event-service server 
　　! 
　　interface FastEthernet0/0 
　　ip address 40.31.1.144 255.255.255.0 
　　ip access-group 116 in 
　　no ip directed-broadcast 
　　ip nat outside 
　　ip auth-proxy list_a 
　　no ip route-cache 
　　no ip mroute-cache 
　　speed auto 
　　half-duplex 
　　no mop enabled 
　　! 
　　interface FastEthernet1/0 
　　ip address 10.14.14.14 255.255.255.0 
　　no ip directed-broadcast 
　　ip nat inside 
　　ip inspect myfw in 
　　speed auto 
　　half-duplex 
　　no mop enabled 
　　! 
　　! --- (interfaces deleted) 
　　! 
　　nat pool outsidepool 40.31.1.50 40.31.1.60 netmask 255.255.255.0 
　　ip nat inside source list 1 pool outsidepool 
　　ip nat inside source static 10.14.14.15 40.31.1.77 
　　ip classless 
　　ip route 0.0.0.0 0.0.0.0 40.31.1.1 
　　ip route 171.68.118.0 255.255.255.0 40.31.1.1 
　　ip route 171.68.120.0 255.255.255.0 40.31.1.1 
　　no ip http server 
　　! 
　　access-list 116 permit tcp host 171.68.118.143 host 40.31.1.144 eq www 
　　access-list 116 deny tcp host 171.68.118.143 any 
　　access-list 116 deny udp host 171.68.118.143 any 
　　access-list 116 deny icmp host 171.68.118.143 any 
　　access-list 116 permit icmp any any 
　　access-list 116 permit tcp any any 
　　access-list 116 permit udp any any 
　　dialer-list 1 protocol ip permit 
　　dialer-list 1 protocol ipx permit 
　　! 
　　tacacs-server host 171.68.120.214 
　　! 
　　line con 0 
　　transport input none 
　　line aux 0 
　　line vty 0 4 
　　password ww 
　　! 
　　end

H3C 交换机配置文件备份方法

1、首先在一台计算机上运行TFTP Server软件，这里使用的是SolarWinds TFTP Server 8.0，在设置中配置好Root 目录；在安全中配置好文件的传送方向（接收、发送、发送\接收）；高级中可以配置允许通过的IP地址段，这里不做配置；之后就可以登录交换机进行配置文件的传送了。
2、通过Telnet登录到SMC交换机，在特权模式下输入如下命令：
tftp 172.20.34.2  put config.cfg  config.cfg   \\这条命令的意思是将该交换机的config.cfg配置文件通过TFTP上传到TFTPserver 172.20.34.2上，文件名为config.cfg
  File will be transferred in binary mode.  Copying file to remote tftp server. Please wait... |  TFTP:     2881 bytes sent in 0 second(s).  File uploaded successfully.       \\看到上面的4行，表示文件上传成功。
3、文件保存在第1步设置的Root目录中。
4、当要将备份的配置文件下载到交换机上时则使用下面的命令：
tftp 172.20.34.2  get config.cfg  config.cfg   

用3662做NAT＋Firewall的配置实例

　　Building configuration...

　　 Current configuration : 1966 bytes

　　 !

　　 ! Last configuration change at 18:34:27 UTC Fri Nov 29 2002

　　 ! NVRAM config last updated at 18:01:28 UTC Fri Nov 29 2002

　　 !

　　 version 12.1

　　 no service single-slot-reload-enable

　　 service timestamps debug uptime

　　 service timestamps log uptime

　　 service password-encryption

　　 !

　　 hostname cisco3662

　　 !

　　 enable secret 5

　　 enable password 7

　　 !

　　 ip subnet-zero

　　 no ip domain-lookup

　　 !

　　 ip inspect name internetin cuseeme timeout 3600

　　 ip inspect name internetin ftp timeout 3600

　　 ip inspect name internetin h323 timeout 3600

　　 ip inspect name internetin http timeout 3600

　　 ip inspect name internetin rcmd timeout 3600

　　 ip inspect name internetin realaudio timeout 3600

　　 ip inspect name internetin smtp timeout 3600

　　 ip inspect name internetin sqlnet timeout 3600

　　 ip inspect name internetin streamworks timeout 3600

　　 ip inspect name internetin tcp timeout 3600

　　 ip inspect name internetin tftp timeout 30

　　 ip inspect name internetin udp timeout 15

　　 ip inspect name internetin vdolive timeout 3600

　　 ip audit notify log

　　 ip audit po max-events 100

　　 !

　　 !

　　 interface FastEthernet0/0

　　 ip address 211.123.212.2 255.255.255.128

　　 ip nat outside

　　 ip inspect internetin in

　　 duplex auto

　　 speed auto

　　 !

　　 interface FastEthernet0/1

　　 no ip address

　　 shutdown

　　 duplex auto

　　 speed auto

　　 !

　　 interface FastEthernet1/0

　　 ip address 172.16.255.106 255.255.255.224

　　 ip nat inside

　　 duplex auto

　　 speed auto

　　 !

　　 ip nat pool outpool 211.123.212.65 211.123.212.85 netmask 255.255.255.128

　　 ip nat inside source list 11 pool outpool overload

　　 ip classless

　　 ip route 0.0.0.0 0.0.0.0 211.123.212.1

　　 ip route 172.16.0.0 255.255.0.0 FastEthernet1/0

　　 ip route 192.168.0.0 255.255.0.0 FastEthernet1/0

　　 no ip http server

　　 !

　　 access-list 11 permit 172.16.0.0 0.0.255.255

　　 access-list 11 permit 192.168.0.0 0.0.255.255

　　 !

　　 !

　　 line con 0

　　 exec-timeout 5 0

　　 line aux 0

　　 line vty 0 4

　　 exec-timeout 5 0

　　 password 7

　　 login

　　 !

　　 end

通过源IP 地址对Telnet 登录用户进行控制

通过源IP 地址对Telnet 登录用户进行控制，仅允许IP 地址为10.110.100.52 的
Telnet 用户登录到交换机
# 定义基本ACL 2000。
system-view
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[H3C-acl-basic-2000] quit
# 在VTY 用户界面引用基本ACL 2000，对Telnet 登录用户进行控制。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] acl 2000 inbound

h3c S5600 镜像端口配置

system-view
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet 1/0/11 both (监听口，如果还有依次增加)
.....
mirroring-group 1 mirroring-port GigabitEthernet 1/0/20 both

mirroring-group 1 monitor-port GigabitEthernet 1/0/24 (分析口，接安装了公安监控软件的电脑)
配置完成之后输入以下命可以显示镜像组1的配置情况
display mirroring-group 1

使用Telnet远程管理PIX详解及配置

在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令浏览第三接口。列表从上往下的第三项是第三接口。 
串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可使用Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容： 

配置Telnet控制台访问（Configuring Telnet Console Access） 

测试Telnet访问（Testing Telnet Access） 

保护外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface） 

Trace Channel特性（Trace Channel Feature） 

(一)、配置Telnet控制台访问（Configuring Telnet Console Access） 
按照以下步骤来配置Telnet控制台访问： 
步骤1 
使用PIX防火墙telnet命令。例如，如想让一台位于内部接口之上、 地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。 
telnet 192.168.1.2 255.255.255.255 inside 
如果设置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见"保护外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）"部分。使用如下命令。telnet 209.165.200.225 225.255.225.224 outside 
步骤2 
如需要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度进行设置。默认值5分钟对大多数情况来说过短，需予以延 
长直至完成所有生产前测试和纠错。按下例所示设置较长的闲置时间。telnet timeout 15; 
步骤3 
如果您想用认证服务器来保护到控制台的访问，您可使用aaa authentication telnet console命令，它需要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可使用用户名pix和由enable password命令设置的口令访问控制台。 
步骤4 用write memory命令保存配置中的命令 

(二)、测试Telnet访问（Testing Telnet Access） 　执行以下步骤来测试Telnet访问： 步骤1 
从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正使用Windows 95或Windows NT，点击Start>Run来启动Telnet会话。例如， 
如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1 
步骤2 
PIX防火墙提示您输入口令： 
PIX passwd: 
输入cisco，然后按Enter键。您即登录到PIX防火墙上了。 
默认口令为cisco，您可用passwd命令来更改它。 
您可在Telnet控制台上输入任意您可从串行控制台上设置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。 
一些Telnet应用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键使用的PIX防火墙命令历史记录特性。然而，您可按Ctrl-P来获取最近输入的命令。 
步骤3 
一旦您建立了Telnet访问，您可能想在纠错时浏览ping（探查）信息。您可用debug icmp trace命令浏览来自Telnet会话的ping信息。Trace Channel特性也对debug的显示有影响，这将在"Trace Channel特性（Trace Channel Feature）"中详述。 
成功的ping信息如下： 
Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2>209.165.201.1 
Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1>209.165.201.23 
步骤4 
此外，您可使用Telnet控制台会话来浏览系统日志信息： 
a. 用logging monitor 7命令启动信息显示。"7"将使所有系统日志级别均得以显示。如果您正在生产模式下使用PIX防火墙，您可能希望使用logging buffered 7命令唇?信息存储在您可用show logging命令浏览的缓存中，还可用clear logging命令清理缓存以便更方便地浏览。如想停止缓存信息，使用no logging buffered命令。 
您也可将数目从7降至较小值，如3，以限制所显示的信息数。b. 如果您输入logging monitor命令，然后输入terminal monitor命令来使信息在您的Telnet会话中显示。如想禁止信息显示，使用terminal no monitor命令。 
例1给出了使用Telnet允许主机访问PIX防火墙控制台的命令。 
例1 使用Telnet 
telnet 10.1.1.11 255.255.255.255 
telnet 192.168.3.0 255.255.255.0 
第一个telnet命令允许单一主机，10.1.1.11用Telnet访问PIX防火墙控制台。网络掩模的最后八位字节中的数值255表明只有指定主机可访问该控制台。 
第二个telnet命令允许192.168.3.0网络上的所有主机访问PIX防火墙控制台。网络掩模的最后八位字节中的数值0允许那一网络中的所有主机进行访问。然而，Telnet只允许16台主机同时访问PIX防火墙控制台。 

(三)、保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface) 
本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容： ? 概述（Overview） 
? 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 
? 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 
概述（Overview） 
如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。 
有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。 
您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。 
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行 
步骤1 
创建一个access-list命令语句，定义需从PIX防火墙到使用来自 
本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access 
-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0 
步骤2 
定义哪台主机可用Telnet访问PIX防火墙控制台： 
telnet 10.1.2.0 255.255.255.0 outside 
从本地池和外部接口指定VPN客户机的地址。 
步骤3 
在VPN客户机中，创建一个安全策略，将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。 
步骤4 
配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。 
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。 
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。 
telnet 10.1.2.0 255.255.255.0 outside 


(四)、Trace Channel特性（Trace Channel Feature） 
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。 
如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。 
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台： 
o 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。 
o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 
o 如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 
debug 命令在所有Telnet和串行控制台会话间共享。 
注意 Trace Channel特性的缺点是，如果一位管理员正使用串行控制台，另一管理员启动一个Telnet控制台会话，则串行控制台上的debug命令输出会在毫无警告的情况下停止。此外，Telnet控制台会话上的管理员将突然看到debug命令的输出，这可能是其不希望出现的局面。如果您正使用串行控制台，且未出现debug命令的输出 ，使用who命令来查看是否有Telnet控制台会话正在运行。

PIX防火墙的基本排错的命令

本人将介绍一些Cisco公司的PIX防火墙的基本排错的命令，通过这些命令，我们可以监测到防火墙的性能。

show cpu usage
PIX只有一个CPU来完成所有的工作，从处理包到向console写debug信息。最消耗CPU资源的进程是加密，因此如果PIX要完成数据包的加密工作，最好使用加速卡或专用的VPN Concentrator.日志功能是另外一个消耗大量系统资源的进程。因此，建议在正常情况下关闭PIX向console, monitor, buffer写日志的功能。本命令的结果：
pixfirewall# show cpu usage
CPU utilization for 5 seconds = 1%; 1 minute: 2%; 5 minutes: 1%

show traffic
本命令可以看出在特定的时间内有多少流量流经PIX了。这个特定的时间是上次执行本命令到这次执行本命令的时间间隔。我们可以看到各个接口的数据流量情况。
pixfirewall# show traffic
outside:
received (in 124.650 secs):
295468 packets 167218253 bytes
2370 pkts/sec 1341502 bytes/sec
transmitted (in 124.650 secs):
260901 packets 120467981 bytes
2093 pkts/sec 966449 bytes/sec
inside:
received (in 124.650 secs):
261478 packets 120145678 bytes
2097 pkts/sec 963864 bytes/sec
transmitted (in 124.650 secs):
294649 packets 167380042 bytes
2363 pkts/sec 1342800 bytes/sec

show perfmon
这条命令监测PIX检查的数据的流量和类型。它可以判断出PIX上每秒所做的变换(xlates)和连接数(conn)。
PERFMON STATS Current Average
Xlates 18/s 19/s
Connections 75/s 79/s
TCP Conns 44/s 49/s
UDP Conns 31/s 30/s
URL Access 27/s 30/s
URL Server Req 0/s 0/s
TCP Fixup 1323/s 1413/s
TCPIntercept 0/s 0/s
HTTP Fixup 923/s 935/s
FTP Fixup 4/s 2/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
其中，较重要的有Xlates是每秒钟产生变换的数字；Connections是建立的连接数；TCP Fixup是指PIX每秒钟转发了多少TCP包；TCPIntercept是指有每秒多少SYN包已经超出了开始的设定值；

show block
和show cpu usage在一起使用，可以判断出PIX是否过载了。
当一个数据包进入防火墙的接口，会先排在input接口的队列中，根据数据帧的大小，又被分到不同的block中。如对于以太网帧，使用1550字节的block。如果数据是从千兆口进来的，会使用16384字节的block。PIX然后会根据ASA算法决定是否让包通过。如果PIX过载了，那相应的block会降到或接近0(看CNT这一列)。当该值降到0时，PIX会尝试申请更多的block,最多可到8192。如果没有block可用，包会被丢弃。
256字节的block是stateful failover信息。主PIX向从PIX发送这些包以更新xlates和connection信息。如果某段时间有大量的连接建立和拆除，256字节的block可能会降到0，就是说从PIX可能没有和主PIX同步。这个时间如果不长，是可以接受的，但如果长时间维持在0，需要考虑升级到更高速的PIX了。
另外，日志信息也是通过256字节的block向外部送出的，注意通常不需要将日志的级别设置成debug.
pixfirewall# show blocks
SIZE MAX LOW CNT
4 1600 1597 1600
80 400 399 400
256 500 495 499
1550 1444 1170 1188
16384 2048 1532 1538

show memory
可以看出PIX的内存以及当前可用的内存。正常情况下，PIX的可用内存的变化幅度不应该太大。如果突然发现内存快用光了，要检查是否用攻击发生。可以用show conn count命令看当前PIX中有多少连接，如果PIX内存耗尽，最终会crash.
pixfirewall# show memory
1073741824 bytes total, 1022992384 bytes free

show xlate
显示当前通过PIX的变换数和最多达到的变换数。一个变换是指一个内部地址变换成一个外部合法地址。一台机器可能会与外部的多个目标建立连接，但这时只有一个变换。如果显示的变换数远大于内部的机器数，可能是受到了网络攻击。
pixfirewall# show xlate count
84 in use, 218 most used

show conn count
可以看当前的PIX的最大的连接数。一个connection是一个内部4层信息到外部地址的映射。当PIX收到一个SYN包，就建立一个connection.过高connection数意味着受到了攻击，这时如果用show memory命令虽然连接数很高，但是并没有消耗掉PIX过多的内存资源。
pixfirewall# show conn count
2289 in use, 44729 most used

show interface
这条命令用来判断双工的匹配问题和电缆故障，也可以看出接口是否过载了。如果PIX的CPU资源耗尽了，那么1550字节的block会接近0，如果是千兆口，16384字节的block接近0。另外一个信号是”no buffers”的值不断增加，它表明接口接收包的速率太快，PIX来不及处理，也没有足够的block去承载，已经有丢包产生了。如果”no buffer”伴随着CPU的使用率升高，说明该考虑升级到性能更强的防火墙了。
当数据包进入接口时，被放在input hardware queue中，如果该queue满了，被放在input software queue中。包然后从input queue中被放到block中等待PIX OS的处理，PIX决定把包放到哪个出口，即哪个output hardware queue中，如果该queue满了，就放到output software queue中；如果每个软队列中的max blocks都很大，就称之为”overrun”。常见的情况是入口和出口的数据传输速率不匹配，就会出现overrun，这时应该考虑升级接口了。
pixfirewall# show interface
interface ethernet0 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 0002.b31b.99ff
IP address 9.9.9.1, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
4630 packets input, 803174 bytes, 0 no buffer
Received 2 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4535 packets output, 445424 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/1)
output queue (curr/max blocks): hardware (0/2) software (0/1)
如果是runts, input errors, CRCs或frame. errors在增加，可能是双工方式不匹配造成的或电缆故障。

show process
显示当前PIX中的活动的进程有什么。这样就可以看出什么进程使用了过多的CPU资源，什么进程没能使用CPU资源。为了得到这个信息，我们连续两次执行show process命令，间隔1分钟。对有所怀疑的进程，两次的Runtime值相减，时间差(单位是毫秒)就是该进程一分钟所占用的CPU资源。557poll进程通常是占用时间最多的进程，它负责询问以太接口看是否有包需要处理。

总结
我们用show cpu usage命令看PIX的负载情况。一般来说，CPU达到80%时，性能会受到影响；超过90%时，会有丢包的情况发生。这个时候，我们可以通过命令show process来看看什么进程在消耗CPU资源，查出该进程后找相应的办法处理。如果CPU的使用率并不高，但是还是觉得有丢包的情况发生，用show interface命令检查是否有错包出现，即是否有双工匹配问题或电缆问题；如果是”no buffer”增加，同时CPU使用率并不高，说明接口的能力不能满足流量的需求；如果buffer状况很好，检查block,如果1550字节或16384字节的block接近0了，说明PIX由于太忙开始丢包了，这时CPU也会很高。
如果发现在PIX建立新的连接很困难，用命令show conn count检查当前的连接数：如果很高了，用show memory命令看看内存的状况，如果内存很少了，用show conn命令或show local-host命令查一下连接数如此多的原因，很可能是遭遇DoS攻击了。
另外，show traffic命令显示每个接口处理的包数和字节数；show perfmon命令进一步将traffic分成不同的类型。

PIX525透明模式详细配置过程(含ios升级详细教程)

刚刚在摸索中配置了一次PIX525防火墙为透明模式。特贴出来和大家分享！为了让和我一样菜的弟兄们能看懂.请各位大虾不要嘲笑啊!~

如何连接电脑我就不多说了 网上到处都是。但好像要注意一点，先吧超级终端打开再给防火墙加电，不然超级终端上什么都看不到。

下面就是正是配置了：

由于一般的PIX系列的防火墙出场时候预装的IOS是6.X的版本 而只有7.0以上才支持透明模式.所以第一步是升级IOS

准备工作:

找一台和防火墙在一个交换机机上的计算机安装ciscotftp软件.去www.skycn.com上面就有.很简单汉化版.然后去cisco网站上下载一个7.0的bin文件(我下载的是pix701.bin)放到tftp服务器的根目录下

正式开始:

防火墙通电,按ESC进入monitor> 状态下。


monitor> address 192.1.1.1 --设置防火墙IP
address 192.1.1.1
monitor> server 192.1.1.2 --设置tftp服务器的IP
server 192.1.1.2
monitor> ping 192.1.1.2 --检测一下是否能ping通
Sending 5, 100-byte 0x7970 ICMP Echoes to 10.32.2.78, timeout is 4 seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> file pix701.bin --声明你下载的那个bin文件的全称
file pix704.bin
monitor> tftp --开始灌入
tftp pix704.bin@192.168.1.80...........................


耐心等待.一直到出现非特权模式的那个">"符号.下面要吧bin文件考到flash里面去,以后启动的时候才能正常使用

pixfirewall> en

Password:

pixfirewall# con t

pixfirewall(config)# interface ethernet1 --进入端口模式

pixfirewall(config-if)# ip address 192.1.11 255.255.255.0 --配置e1口的IP

pixfirewall(config-if)# nameif inside --配置e1口为防火墙的inside口

INFO: Security level for "inside" set to 100 by default.

pixfirewall(config-if)# no shutdown --激活inside口

pixfirewall(config-if)# ping 192.1.1.2 --测试一下

Sending 5, 100-byte ICMP Echos to 192.1.1.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

pixfirewall(config-if)# exit --退出端口模式

pixfirewall(config)# copy tftp flash: --copybin文件



Address or name of remote host []? 192.1.1.2 --tftp服务器IP



Source filename []? pix701.bin --文件名



Destination filename [pix701.bin]? pix701.bin --确认



Accessing tftp://192.1.1.2/pix701.bin...!! --开始copy 耐心等待

Writing file flash:pix701.bin...!!!!!!!!!!!!!

5124096 bytes copied in 82.80 secs (62488 bytes/sec)

pixfirewall(config)# reload --升级完成.重启!!!!!!!ps.第一次启动时间会稍长不要着急



下面才是配置.也很简单了,和刚才配置差不多配置outside口和inside口并激活,只是注意不要配置IP.这可是透明模式.谁见过一根网线两端还有IP的?



pixfirewall> en

Password:

pixfirewall# con t

pixfirewall(config)# interface ethernet0

pixfirewall(config-if)# nameif outside

INFO: Security level for "outside" set to 0 by default.

pixfirewall(config-if)# no shutdown

pixfirewall(config-if)# exit

pixfirewall(config)# interface ethernet1

pixfirewall(config-if)# nameif inside

INFO: Security level for "inside" set to 100 by default.

pixfirewall(config-if)# no shutdown

pixfirewall(config-if)# exit

铛铛铛~~~~~~~~这里可是最重要的了 其实就是5句话



pixfirewall(config)# firewall transparent --设置防火墙为透明模式

pixfirewall(config)# access-list out-list extended permit icmp any any --设置允许通过所有的协议

pixfirewall(config)# access-list out-list extended permit ip any any --设置允许通过所有的IP

pixfirewall(config)# access-group out-list in interface outside --把刚才的访问列表绑在outside口

pixfirewall(config)# access-group out-list out interface outside --把刚才的访问列表绑在outside口

pixfirewall(config)# ip address 192.1.1.1 255.255.255.0 --设置一个以后配置防火墙的IP



OK大功告成,怎么样够简单把.

某大学城防病毒案例

简介：问题描述： 某大规模教育园区网络中，采用两台万兆交换机FORCE 10作为网络核心，三个分校区各采用两台FORCE 10作为校区核心，而采用我司的S6506共22台做为三级汇聚层交换机，并接入800多台接入交换机S3026E，接 ...

关键字： 主病毒 网络方案 案例库 大学城 H3C 交换机

某大规模教育园区网络中，采用两台万兆交换机FORCE 10作为网络核心，三个分校区各采用两台FORCE 10作为校区核心，而采用我司的S6506共22台做为三级汇聚层交换机，并接入800多台接入交换机S3026E，接园区一万多个信息点，承载整个校园INTERNET业务。

设备拓扑图如下：

发生问题时，客户反馈S6506 出现 VLAN内不停的有ARP扫描（就是6506的VLAN INTERFACE不停的发本VLAN内每个IP地址的ARP REQUEST解析报文），网络速度很慢。

现场抓包记录如下：

在接入层交换机S3026E上的电脑上网发现网络速度缓慢,且S3026的cpu占用率也较高

处理过程：

通过使用抓包软件分析发现网络内有大量的ARP解析报文,从而导致网络速度缓慢,怀疑可能是网内有多台电脑感染病毒造成。

解决方案：

在上网PC机上安装天等防火墙个人版，通过看防火墙的攻击日志可以得知攻击是从219.223.180.155和219.223.169.54 这两台电脑来的,（由于是下班时间，可能网内还有其它电脑也感染）。所以在S6506上做:

acl number 110

rule 35 deny tcp destination-port eq 135

rule 36 deny udp destination-port eq 135

rule 49 deny tcp destination-port eq 445

rule 50 deny udp destination-port eq 445

int g 1/0/1

qos

packet-filter inbound ip-group 110 not-carefo

以阻止病毒攻击。

由于是下班时间，所以无法得知这两台电脑的更详细的信息。如果没有防火墙个人版或者没有明确的病毒信息，可以添加如下列表测试：

rule 30 deny tcp destination-port eq 3127

rule 31 deny tcp destination-port eq 1025

rule 32 deny tcp destination-port eq 5554

rule 33 deny tcp destination-port eq 9996

rule 34 deny tcp destination-port eq 1068

rule 35 deny tcp destination-port eq 135

rule 36 deny udp destination-port eq 135

rule 37 deny tcp destination-port eq 137

rule 38 deny udp destination-port eq netbios-ns

rule 39 deny tcp destination-port eq 138

rule 40 deny udp destination-port eq netbios-dgm

rule 41 deny tcp destination-port eq 139

rule 42 deny udp destination-port eq netbios-ssn

rule 43 deny tcp destination-port eq 593

rule 44 deny tcp destination-port eq 4444

rule 45 deny tcp destination-port eq 5800

rule 46 deny tcp destination-port eq 5900

rule 48 deny tcp destination-port eq 8998

rule 49 deny tcp destination-port eq 445

rule 50 deny udp destination-port eq 445

rule 51 deny udp destination-port eq 1434

结论：

对染毒电脑进行杀毒并对所有电脑加装微软的漏洞补丁，并安装防病毒软件，已彻底清除病毒对网络的影响。