《100条命令》由会员分享,可在线阅读,更多相关《100条命令(5页珍藏版)》请在金锄头文库上搜索。
1、100条命令security-level (0-100) 为防火墙接口设置安全级别nameif 名字 为防火墙接口设置接口命名passwd 防火墙全局模式下为telnet设置登录密码show interface 查看防火墙接口参数show ip address 查看防火墙接口ip配置show memory 查看防火墙内存利用率show version 查看防火墙软硬件参数级授权情况reload 防火墙重启show xlate 查看防火墙nat转换槽位who 查看防火墙远程登录用户kill 清除防火墙远程登录用户show history 查看防火墙使用过的历史命令show cpu usage 查
2、看防火墙cpu利用率ip address dhcp 防火墙接口地址动态获取show conn 查看状态化信息time-range 为ACL定义时间策略show run time-range 查看时间策略配置object-group 定义分组策略show run object-group 查看分组策略配置nat(inside)1 0 0 匹配inside区域需要nat转换的用户global(outside)1 interface 当某内网用户访问outside区域时将被转换成outside接口地址nat(inside)0 nat豁免telnet 0 0 inside 启用inside接口的远程功
3、能aaa authentication telnet console local 定义telnet认证方式ssh 0 0 outside 启用outside接口的ssh远程功能aaa authentication ssh console local 定义ssh认证方式crypto key generate rsa 为ssh远程生成密钥show ssh session 查看ssh远程登录用户ssh disconnect 断掉ssh远程连接show access-list 查看acl列表条目show run access-list 查看ACL配置clear configure access-lis
4、t 清除所有列表配置show run 查看防火墙running-config配置show flash 查看flash存储文件dir 查看disk存储文件show run interface 查看接口配置clear configure interface 清除接口下所有配置show run nat 查看nat配置show run global 查看global配置http 0 0 inside 启用inside接口http服务aaa authentication http console local 定义http验证方式http server enable 启用http服务器hostname 修
5、改防火墙主机名domain-name 配置域名clock set 设置防火墙时间clock timezone GMT +8 设置防火墙时区show route 查看路由表route inside/outside 添加路由router ospf/eigrp/rip 添加动态路由协议network 宣告网络static 配置静态nat转换username dss password sss privilege 15 配置用户名密码并未用户定义级别boot config 定义防火墙配置文件加载路径boot system 定义防火墙系统文件启动路径copy flash:/x.x.x tftp:/ 复制
6、flash中文件到tftp服务器isakmp enable inside/outside 启用某个接口isakmp服务access-list 创建访问控制列表clear configure all 清除running-config中所有配置aaa new-model-启用AAAaaa authenticationg login noacs line none-本地登录,如果线下有密码那么使用线下密码,如果没有线下密码就不认证line console 0 -线下应用策略 login authentication noacsline aux 0 login authentication noacs
7、tacacs-server host x.x.x.x key cisco-定义AAA服务器到ACS上定义client,配置用户名、密码test aaa group tacacs+ cisco cisco new-code-测试client与ACS的连通性用户名密码的准确性aaa authentication login vty group tacacs+-登入vty的用户名密码需要到tacacs上获取line vty 0 15-线下应用 login authentication vtyaaa authorization exec vty group tacacs+-授权特权模式line vty
8、 0 15-线下应用 authorization exec vtyaaa accounting exec vty start-stop group tacacs+line vty 0 15 accounting exec vtyaaa accounting commands 0 cisco123 start-stop group tacacs+-审计0级命令aaa accounting commands 1 cisco123 start-stop group tacacs+-审计1级命令aaa accounting commands 15 cisco123 start-stop group t
9、acacs+-审计15级命令line vty 0 15-线下应用策略审计策略,名字cisco123 accounting commands 0 cisco123 accounting commands 1 cisco123 accounting commands 15 cisco123aaa authentication login vty group tacacs+ local-备份使用,当acs down掉的情况下,使用本地数据库验证crypto isakmp policy 10 -定义第一阶段策略 encr 3des -定义加密的方式 hash md5 -定义完整性校验的方式 authe
10、ntication pre-share -使用预共享密钥来验证peer的身份 group 2 -DH密钥交换算法的加密长度(group 2 长度为1024)crypto isakmp key cisco address 202.100.12.1-设置预共享密钥,设置peer(对端加密点)地址crypto ipsec transform-set cisco esp-3des esp-md5-hmac -第二阶段策略,对真实数据加密的策略ip access-list extended vpn permit ip host 3.3.3.3 host 1.1.1.1-定义感兴趣流(本地通信点到对端通信
11、点的流量,也就是需要加密的流量)crypto map cisco 10 ipsec-isakmp -定义map关联感兴趣流及第一阶段,第二阶段策略 set peer 202.100.12.1-定义对端加密点地址 set transform-set cisco -关联第二阶段转换级 match address vpn-关联感兴趣流 crypto map cisco-接口下调用(在加密点的借口下)show crypto engine connections active 查看加密包的情况interface Tunnel0-创建隧道接口 ip address 10.1.1.3 255.255.255.0-为隧道接口配置ip地址 tunnel source 202.100.23.3-指定隧道源地址 tunnel destination 202.100.12.1-指定隧道目的地址
