两极人生，八度空间

在部署wsus后，需要通过组策略来实现client的更新。在DC上配置了Goup policy时，切记在option里要勾选no overide选项，否则默认的域策略会优先或者覆盖你自定义的策略。

查看策略是否生效，在command line下，使用“gpresult”。如要强制刷新组策略，可在client上使用"gpupdate /target:computer /force" 和“gpupdate /target:user /force”或者“gpupdate /force（同时刷新两项）”。

在wsus上要设定使用组策略来管理client，如要改变成员隶属组，可在管理控制台选项下，完成。然后再切换为使用组策略。

如果wsus无法发现client。需要检查以下选项：
1.浏览器是否设置成自动检测代理设定
2.auto update servce是否自动启动。
这个你可以使用wsus提供的wsusdiag工具实现。

如果还无法发现客户端。请在客户端的运行里使用命令：wuauclt.exe /detectnow 来启动windows的自动更新管理进程。然后再server端刷新。

这样，一般都会解决这个server找不到客户端的问题。

 

在进行试验前，我们需要对需要的设备及拓扑的搭建及IP地址的规划，都要做个完整的规划。那么我们才能在接下来的配置中，做到心中有数。
实验用的设备，请参考拓扑如下。

至于拓扑图的桥接，请参看我前面的关于桥接的文章，里面有此拓扑的桥接逻辑示意图。
IP地址的规划：
本机管理PC---192.168.0.1 /24其网关192.168.0.254/24
DMZ中VPC---192.168.5.4/24，其网关192.168.5.254/24
ISP地址(Loopback0 172.16.2.0/24 loopback1 172.16.3.0/24  S0/1 172.16.1.1/30)
ROUTER地址（S1/1 172.16.1.2/30  F0/0 10.1.10.1/24)
防火墙PIX接口地址（E0 192.168.0.254/24 E1 192.168.1.254/24 E2 10.110.254 E3 192.168.5.254/24)
L3SW接口地址 F1/0 192.168.1.1/24 网关192.168.1.254/24
PC1,PC2,PC3及其所属VLAN的地址分配
PC1---192.168.11.1---F0/0---VLAN11--->L3SW F1/1
PC2---192.168.12.1---F0/0---VLAN12--->L3SW F1/2
PC3---192.168.13.1---F0/0---VLAN13--->L3SW F1/3

实验目的：
1、在Router上通过TFTP可以将其配置文件保存到DMZ中的VPC上
2，PC1,PC2,PC3可以分别访问VPC的TELNET,HTTP(80),RDP(3389)服务
3，PC1,PC2,PC3可以访问ISP，包括可以PING和TELNET ISP（JUST FOR LAB PURPOSE)

实验过程中用到的知识点：
1.默认路由的设置
2.在路由器上NAT的配置
3.三层交换机口的配置
4.防火墙的基本配置
5.VMWARE的虚拟机的使用及虚拟网卡的桥接

好了。到此我们的准备过程完成，接下来启动模拟器，进行一些必要的配置。

首先，我们看看L3SW上做任何配置：
L3SW#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
L3SW(config)#no ip domain-lookup
L3SW(config)#enable secret cisco
L3SW(config)#exit
L3SW#vlan
*Mar  1 00:01:52.355: %SYS-5-CONFIG_I: Configured from console by console
% Incomplete command.

 

L3SW#vlan database
L3SW(vlan)#vlan 11
VLAN 11 added:
    Name: VLAN0011
L3SW(vlan)#vlan 12
VLAN 12 added:
    Name: VLAN0012
L3SW(vlan)#vlan 13
VLAN 13 added:
    Name: VLAN0013
L3SW(vlan)#exit
APPLY completed.
Exiting....
L3SW#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
L3SW(config)#int f1/0
L3SW(config-if)#no switchport
L3SW(config-if)#ip add 192.168.1.1 255.255.255.0
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#no shut
L3SW(config-if)#int f1/1
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 11
L3SW(config-if)#int f1/2
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 12
L3SW(config-if)#int f1/3
L3SW(config-if)#duplex full
L3SW(config-if)#speed 100
L3SW(config-if)#switchport acc vlan 13

L3SW(config-if)#exit
L3SW(config)#int vlan 11
L3SW(config-if)#ip add 192.168.11.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#int vlan 12
L3SW(config-if)#ip add 192.168.12.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#int vlan 13
L3SW(config-if)#ip add 192.168.13.254 255.255.255.0
L3SW(config-if)#no shut
L3SW(config-if)#exit
L3SW(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.254
L3SW(config)#end
L3SW#wr
Building configuration...

*Mar  1 00:05:33.811: %SYS-5-CONFIG_I: Configured from console by console[OK]
L3SW#

PC1上的必要配置：
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname PC1
PC1(config)#no ip domain-lookup
PC1(config)#enable secret cisco
PC1(config)#line vty 0 4
PC1(config-line)#password cisco
PC1(config-line)#login
PC1(config-line)#exit
PC1(config)#service password-encryption
PC1(config)#ip default
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.11.254
PC1(config)#int f0/0
PC1(config-if)#duplex full
PC1(config-if)#speed 100
PC1(config-if)#ip add 192.168.11.1 255.255.255.0
PC1(config-if)#no shut
PC1(config-if)#end
PC1#wr
Building configuration...

00:05:10: %SYS-5-CONFIG_I: Configured from console by console
00:05:11: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
00:05:12: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up[OK]

PC1#ping 192.168.11.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/29/36 ms
PC1#wr
Building configuration...

00:07:10: %SYS-5-CONFIG_I: Configured from console by console[OK]

PC2上需要做的配置：
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname PC2
PC2(config)#enable secret cisco
PC2(config)#no ip domain-lookup
PC2(config)#service password-encryption
PC2(config)#line vty 0 4
PC2(config-line)#password cisoc
PC2(config-line)#password cisco
PC2(config-line)#login
PC2(config-line)#exit
PC2(config)#int f0/0
PC2(config-if)#duplex full
PC2(config-if)#speed 100
PC2(config-if)#ip add 192.168.12.1 255.255.255.0
PC2(config-if)#no shut
PC2(config-if)#exit
PC2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.254
PC2(config)#end
PC2#wr
Building configuration...

00:02:48: %SYS-5-CONFIG_I: Configured from console by console[OK]
PC2#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
PC2#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 16/25/36 ms
PC2#ping 192.168.11.1 

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/47/80 ms
PC2#wr
Building configuration...
[OK]
PC2#

PC3上需要做的配置：
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname PC3
PC3(config)#enable secret cisco
PC3(config)#enable p
PC3(config)#enable password encry
PC3(config)#passwo              
PC3(config)#passwor
PC3(config)#service pass
PC3(config)#service password-encryption
PC3(config)#line vty 0 4
PC3(config-line)#password cisco
PC3(config-line)#login
PC3(config-line)#exit
PC3(config)#int f0/0
PC3(config-if)#duplex full
PC3(config-if)#speed 100
PC3(config-if)#ip add 192.168.13.1 255.255.255.0
PC3(config-if)#no shut
PC3(config-if)#exit
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.13.254
PC3(config)#end
PC3#wr
Building configuration...

00:12:02: %SYS-5-CONFIG_I: Configured from console by console[OK]
PC3#ping 192.168.13.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.13.254, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/28 ms
PC3#ping 192.168.12.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/28/44 ms
PC3#ping 192.168.11.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.11.254, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/17/28 ms
PC3#

在OUTSIDE ROUTER上需要做的配置：
R3620#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3620(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
R3620(config)#ip route 192.168.0.0 255.255.0.0 10.1.10.254
R3620(config)#int f0/0
R3620(config-if)#ip nat inside
R3620(config-if)#int s1/1
R3620(config-if)#ip add 172.16.1.2 255.255.255.252
R3620(config-if)#encapsulation ppp
R3620(config-if)#ip nat outside
R3620(config-if)#exit
R3620(config)#exit
R3620#
00:19:02: %SYS-5-CONFIG_I: Configured from console by console
R3620(config)#access-list 1 permit 192.168.0.0 0.0.255.255
R3620(config)#ip nat inside source list 1 interface s1/1 overload
R3620(config)#end
R3620#wr
Building configuration...

00:21:56: %SYS-5-CONFIG_I: Configured from console by console[OK]

模拟的ISP Router上需要做的配置:
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hostname ISP
ISP(config)#enable secret cisco
ISP(config)#no ip domain-loo
ISP(config)#no ip domain-lookup
ISP(config)#service passw
ISP(config)#service password-encryption
ISP(config)#line vty 0 4
ISP(config-line)#password cisco
ISP(config-line)#login
ISP(config-line)#exit
ISP(config)#int s1/0
ISP(config-if)#ip add 172.16.1.1 255.255.255.252
ISP(config-if)#encapsulation ppp
ISP(config-if)#no shut
ISP(config-if)#
00:14:11: %LINK-3-UPDOWN: Interface Serial1/0, changed state to up
ISP(config-if)#int loopback 0
ISP(config-if)#ip add 172.16.2.1 255.255.255.0
ISP(config-if)#int loopback 1
ISP(config-if)#ip add 172.16.3.1 255.255.255.0
ISP(config-if)#no shut
ISP(config-if)#end
ISP#wr
Building configuration...

00:15:22: %SYS-5-CONFIG_I: Configured from console by console
00:15:25: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback1, changed state to up[OK]
ISP#

DMZ中的VPC我采用的是用VMware虚拟的一台windows 2003 server standard english. 上面安装TFTP server（listen port 69),为了实验，我在服务中启用telnet service(port 23).vpc的网卡桥接到了tap3，如图所示.

至于在windows 2003 server上如何去安装TFTP或者配置TFTP，还是如果去启用默认停用的telnet服务，请参考相关资料。因为后面要用到http服务,所以，此vpc上还需要安装IIS（具体安装请参考相关讯息）。VPC网卡设置如下

 

最后我们需要做的，就是如何配置防火墙，以达到我们的实验目的。我们采用已经安装的ASDM去配置PIX。
如何安装ASDM，这里不做介绍，请参看我前面的文章。启动ASDM，登入PIX，并配置接口参数如图所示：

为了能够在全局方便的表示各设备，我讲各设备接口的IP地址与设备名称建立对应关系。如下

要实现本实验的目的，需要在防火墙上做哪些策略？如图所示：
在防火墙上需要指定的静态路由：

 

前几天做实验，讲到windows 2003域信任这个问题时。发现大家对域的单向信任和双向信任如何建立，比较模糊。尤其是对one-way trust中的income和outgoing不甚明白。所以在这里做个澄清。下面分别以域的单向信任和双向信任的加以说明。
在管理工具里，选active directory 域的信任和关系，进入管理console，在相应的域gcv.cn上右击选属性，如图所示：

选择“新建信任”

信任名称，可以选netbios名nst或者dns名称nst.cn来建立。这个信任名称，是指定域的名称。就我要信任的域的名称。在做这一步时，一定要dns的转发器中，将域nst.cn的dns添加上去。不然是无法与nst.cn建立信任关系的。准备工作完成后，进入下一步。


在选择建立域的单向信任时，在这里，需要注意的是：你要选择“单向内传(incoming)”还是“单向外穿(outgoing)”，这取决于你打算让这个域（gcv.cn)的用户在指定域（nst.cn）中得到身份验证还是相反。我这里做的是gcv.cn信任nst.cn。我希望gcv.cn里的用户在nst.cn中得到身份验证。所以选择单向：内传。
在创建单向信任时，有两种选择，如果在本地域中创建，那么需要在gcv.cn和nst.cn中都要建立单向信任。另外一个选择是，如果你有nst.cn域的管理员权限，那么你选择在两个域(gcv.cn和指定的域nst.cn)中创建单向信任。那么仅仅需要在gcv.cn中创建一次信任关系即可。

如果已经取得nst.cn的管理权限。进行下一步：

接下来，点下一步，并确认信任关系。那么这个单向信任关系，就算创建完成。
注意：如果你选择在本地域中创建信任关系，就就是选择了第一项。那么你需要在本地域和指定域中分别创建信任关系。并使用一个信任密码。在incoming端设定。

接下来，我们看双向信任关系怎么创建？
同样是进入管理工具，选择active directory 域和信任关系,在域gcv.cn上右键选择属性，输入信任名称nst.cn。我们选择信任方向为双向，如图所示：

就用户可在在两个域中进行交叉验证。点击下一步：


这里同样有两个选项。如果你没有指定域的权限，那么就选第一项，通过信任密码来建立信任。否则，可以选第二项，通过指定域的权限来在两个域中同时创建信任关系。这里我们看第一项。以为第二项的示例在单向信任中，已经介绍过。

对指定域的用户进行身份验证方法。根据你的ou情况而定。这里我们选择“选择性身份验证”。
然后进入下一步并设定信任密码：

如果指定域（nst.cn)已经建立了传出信任。那么在输入信任密码后。可以确认信任传入。否则，选择不确认信任传入。


至此，双向信任创建完成。那么gcv.cn和nst.cn的用户可以在彼此中进行身份验证和访问需要的资源。
至于要创建单向还是双向，都是依照你的需求和安全控制策略而定。

前面我已经说过在PIX实验中如何将其e0口桥接到TAP0。那么在这里我还用那张拓扑来说明如何安装ASDM。

如果所示，我的本机桥接到了E0,是通过TAP0来实现的。这里关于你实验的PEMU从哪里来。PEMU里使用PIX IOS是否包含ASDM，请参考相关的资讯。这里探讨如何安装。

当你做好了桥接到拓扑文件。如下：

d:
cd\pemu
pemu.exe -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -net nic,macaddr=00:aa:00:00:02:03 -net tap,ifname=tap2  -net nic,macaddr=00:aa:00:00:02:04 -net tap,ifname=tap3 -serial telnet::4001,server,nowait

将这段拷贝到记事本，另存为PIX.bat,放在你的PEMU目录下，点击启动PIX。

在运行里，输入putty -telnet localhost 4001进行登录PIX

进入PIX配置界面，我们需要配置一些东西，这样，我们才能通过web安装ASDM。具体需要做哪些配置，请往下看。

pix#conf  t

pix(config)#http server enalbe

pix(config)#http 192.168.0.1 255.255.255.255 Management

pix(config)#username admin password cisco

pix(config)#interface e0

pix(config-if)#ifname Management

pix(config-if)#security-level 0

pix(config-if)#ip add 192.168.0.254 255.255.255.0

pix(config-if)#no shut

pix(config-if)#end

pix#wr

完成这些配置后，请到你的Network Connections中，给tap0网卡设定一个IP地址-192.168.0.1，并将其网关指定为192.168.0.254

然后在浏览器中输入https://192.168.0.254 切接在浏览器中不要开启自动检测代理。

 

输入你在PIX里配置的HTTP登录的用户名和密码后，你会进入到安装ASDM的界面，如图：

点击"Install ASDM Laucher and Run ASDM"进行安装ASDM.

这里需要注意的是，在安装ASDM时，你的PC机需要安装JAVA。所以请下载JRE-1.6进行安装。经过一段时间的等待，ASDM安装完成后，我们通过ASDM进入PIX的图形化配置界面。

在输入正确的username和password后，即可login PIX GUI

至此，Pemu下安装Cisco ASDM成功完成。

 

 

1.如何查看DNS缓存？

答：在运行里输入cmd，进入命令行界面，输入"ipconfig /displaydns"

2.如何清除DNS缓存？

答：在运行里输入cmd，进入命令行界面，输入“ipconfig /flushdns”

3.如何重启netlogon服务？

答：在运行里输入cmd，进入命令行界面，输入“net start netlogon”

4.如果DNS和AD安装在同一台SERVER上，那么如何指定首选DNS？

答：在DC的TCP/IP选项中，把DNS指向127.0.0.1

5.如果DNS安装在PCA上，DC装在PCB上，如何指定DNS？

答：在PCA的首选DNS选项中填入PCA的IP地址，在PCB的首选DNS选项中填入PCA的IP地址。

7.AD在安装时需要向DNS注册SRV记录，Cname记录，NS记录.

8.如果DNS和AD在不同的SERVER中。那么应该在安装AD前，确保DNS配置正确。

9.配置DNS前，首先请在装了DNS的计算机上在其名称后添加DNS后缀，以便DC能够被解析注册。

10.如果DNS配置有错误，那么在你安装AD时，发现注册诊断错误时，应该立马停止安装AD，检查DNS的配置。

首先，需要下载好openvpn-2.0.9-install.exe和将putty拷贝到c:\windows\system32下面。在安装openvpn后会在开始菜单的程序下面的OPENVPN目录下有"add a new TAP virtual ethernet adapter"和“delete all TAP virtual ethernet adapter”选项，每次点击“add a new TAP virtual ethernet adapter”，就会生成一块tap网卡。在pix实验中我们需要四个口，一个管理口，一个inside口，一个dmz口，一个Outside口。

模拟PIX使用的pemu，下载好pemu后，编辑里面的pix.bat这个批处理文件，这个文件是模拟pix的拓扑文件。根据要模拟的接口，我们一起看看这个批处理文件如何写。

d:
cd\pemu
pemu.exe -net nic,macaddr=00:aa:00:00:02:01 -net tap,ifname=tap0 -net nic,macaddr=00:aa:00:00:02:02 -net tap,ifname=tap1 -net nic,macaddr=00:aa:00:00:02:03 -net tap,ifname=tap2  -net nic,macaddr=00:aa:00:00:02:04 -net tap,ifname=tap3 -serial telnet::4001,server,nowait

 

d:表明，你的pemu是放在本机的d盘，这个你可以随你改。在这个文件中，分别有ifname=tap0,tap1,tap2,tap3，那么我们对应的用openvpn去生成tap0,tap1,tap2,tap3这四块虚拟网卡。

那么如何将PIX的e0口桥接到我们的本机的物理网卡上，将tap1桥接到PIX的inside口即E1口，将tap2桥接到PIX的outside即E2口，将tap3桥接到PIX的dmz即E3口，E3跟DMZ中的虚拟的server连接。

这里我们采用两个16口的ethernet switch模块。分别接在tap1和tap2上。

获取tap1,tap2的网卡参数，等下要用，分别如：tap1--- \Device\NPF_{F0E1E387-1E93-43E5-8CB0-CCC4E74B01DA}

tap2---\Device\NPF_{BC348114-5216-449F-B732-FDB02E159AF8

   [[ethsw ethsw1]]
    1 = dot1q 2
    9 = access 2 NIO_gen_eth:\Device\NPF_{F0E1E387-1E93-43E5-8CB0-CCC4E74B01DA}  tap1的网卡参数
   10 = access 2 NIO_gen_eth:\Device\NPF_{BC348114-5216-449F-B732-FDB02E159AF8}    tap2的网卡参数
   [[ethsw ethsw2]]
    1 = dot1q 3
    9 = access 3 NIO_gen_eth:\Device\NPF_{5E9BC9EB-EEA6-4CBC-B2DC-3E66742B9314} 本机物理网卡参数

面对下面的一个拓扑，我们将怎样写net文件呢？

net文件如下：

autostart = false

[visual-server]
port = 7200
udp = 10000
workingdir = D:\Netemu Labs\secemu\Dynamips\temp

    {3640}
    image = D:\Netemu Labs\IOS\c3640-js-mz.124-10.bin
    ram = 128
    confreg = 0x2102
    idlepc =  0x60593c70
    exec_area = 64
    mmap = false

    {3620}
    image = D:\Netemu Labs\IOS\c3620-i-mz.122-37.bin
    ram = 32
    confreg = 0x2102
    idlepc =  0x60452190
    exec_area = 32
    mmap = false

    [[router SW]]   
    model = 3640
    console = 3001 
    slot0 = NM-4T
    slot1 = NM-16ESW
    F1/0 = ethsw1 1
    f1/1 = PCGL f0/0
    f1/2 = PCCW f0/0
    f1/3 = PCQT f0/0
    f1/4 = ethsw1 2
    [[router RT]]   
    model = 3620
    console = 3002  
    slot0 = NM-1FE-TX
    f0/0 = ethsw2 1

    [[router PCGL]]   
    model = 3620
    console = 3003   
    slot0 = NM-1FE-TX

    [[router PCCW]]   
    model = 3620
    console = 3004  
    slot0 = NM-1FE-TX

    [[router PCQT]]   
    model = 3620
    console = 3005   
    slot0 = NM-1FE-TX
 

   [[ethsw ethsw1]]
    1 = dot1q 2
    9 = access 2 NIO_gen_eth:\Device\NPF_{F0E1E387-1E93-43E5-8CB0-CCC4E74B01DA}
   10 = access 2 NIO_gen_eth:\Device\NPF_{BC348114-5216-449F-B732-FDB02E159AF8}
   [[ethsw ethsw2]]
    1 = dot1q 3
    9 = access 3 NIO_gen_eth:\Device\NPF_{5E9BC9EB-EEA6-4CBC-B2DC-3E66742B9314}

 

DMZ里的server我是用VMware虚拟的。server桥接到dmz，在VM的网卡参数设置中选择如下所示：

在Host Virtual Networking Mapping tab中，为VMnet0选择网卡如图中的tap3。那么你的VM虚拟的这台SERVER就桥接到PIX的DMZ上了。桥接到具体情况，请看我给出的示意图如下：

e0接管理PC，即我的本地主机。e1接inside，e2接outside，e3接dmz。VM虚拟的server桥接在tap3上。

 

 

实验中用到的拓扑如图所示：

采用dynamips并使用3640的IOS模拟三台交换机SW1,SW2,SW3，PC1-6用3620的IOS模拟。至于这个拓扑的NET文件，如何去写，这里不做介绍。

在这个实验里我们划分三个VLAN,VLAN 10, VLAN 20, VLAN 30。六台PC分别位于各自的VLAN中。具体如下：

VLAN 10: PC1，PC3(PC IP地址为192.168.1.1-192.168.1.3）

VLAN 20: PC2，PC5(PC IP地址为192.168.2.2-192.168.2.5）

VLAN 30: PC4，PC6(PC IP地址为192.168.3.4192.168.3.6）

实验步骤：

1.首先在交换机SW1里创建VLAN 10,20;在SW2里创建VLAN 10,30,在SW3里创建VLAN 20,30

2,在未将PC划分到VLAN前，请测试同一网段的PC可否PING通，如PC1->PC3.PC2->PC5,PC4->PC6

3,将PC分别划分到前面规划的VLAN中。

4.将交换机SW1的F1/0,F1/3，SW2的F1/0,F1/4,SW3的F1/3,F1/4端口配置成TRUNK模式。

5.在进行PING测试。PC1->PC3,PC2->PC5,PC4->PC6

开始进行实验：

启动Dynamips server和Dynagen，如下图所示:

启动SW1-3,PC1-6.图中的ethsw是接在SW2上的一个16口以太交换机，交换机桥接本机物理网卡。

首先给PC配置IP地址。

 

PC3的配置和PC1一样，仅仅需改变一下IP地址而已。

配置完成以后，从PC1 PING PC3，结果如何？

 

尽管PC1和PC3在同一个VLAN10中，且都是同一网段的PC，但VLAN的流量不能通过。如何解决这个问题，那么我们在SW2，SW2的F1/0配置TRUNK，结果又该如何呢？先创建VLAN。

接下来，我将SW1的接口F1/1划分到VLAN 10,将F1/0接口配置成Trunk并允许所有的VLAN 流量通过。

同样在SW2需要创建vlan 10,30,配置端口F1/1和F1/0.配置命令如下：

SW2#VLAN DATABASE

SW2(VLAN)#VLAN 10

SW2(VLAN)#VLAN 30

SW2(VLAN)#EXIT

SW2#

SW2#CONF T

SW2(CONFIG)#INT F1/1

SW2(CONFIG-IF)#DUPLEX FULL

SW2(CONFIG-IF)#SPEED 100

SW2(CONFIG-IF)#SWITCHPORT MODE ACCESS

SW2(CONFIG-IF)#SWITCHPORT ACCESS VLAN 10

SW2(CONFIG-IF)#NO SHUT

SW2(CONFIG-IF)#INT F1/0

SW2(CONFIG-IF)#SWITCHPORT MODE TRUNK

SW2(CONFIG-IF)#SWITCHPORT TRUNK ALLOWED VLAN ALL

SW2(CONFIG-IF)#NO SHUT

SW2(CONFIG-IF)#END

SW2#WRITE

 

完成配置后，我再从PC1 PING PC3,测试结果如下：

结果从先前的ping不通到现在的success。应该可以理解TRUNK的作用了吧。

剩下的SW3,PC2->PC5,PC4->PC6的配置及PING测试，请自己完成。

 

 

 

 

首先安装IIS应用服务器，这里不再重复论述。安装完成IIS后，在其默认站点下，新建以虚拟目录，取别名比如“DCSClient”，并设定其路径。如图所示。

注意：symantec antivirus10.1.4的默认安装目录是：c:\program files\symantec antiviurs,我们把它目录下的CLT-INST文件夹拷到D:\Antivirus下。
所以在创建虚拟目录时，就制定其路径为D:\Antivirus\CLT-INST\WEBINST
虚拟目录的属性设置如下图所示：

特别注意红色标记的内容。接下来我们需要检查HTTP头，并增加MIME类型，单击“MIME类型”并新建".ini"和".dat"。详细如图所示。


到这里，IIS方面的工作告一段落，我们进入目录D:\Antivirus\CLT-INST\WEBINST\，选择start.htm,并用notepad进行编辑。选择更改<PARAM NAME="ServerName" VALUE="192.168.1.2"><PARAM NAME="VirtualHomeDirectory" VALUE="DCSClient">。这里设定的是你的antivirus服务器的IP地址或者名称及虚拟目录的名称。
最后一步，需要将D:\Antivirus\CLT-INST\WIN32目录下的所有文件拷贝到目录D:\Antivirus\CLT-INST\WEBINST\webinst下面。完成这步后，还需自定义这个目录下的files.ini这个文件。主要设置一下几项：
[General]
FileCount=9
LaunchApplication=setup.exe
InstallOptions= /s /v "/qn"
[Files]
File1=0x0804.ini
File2=Data1.cab
File3=GRC.DAT
File4=instmsiw.exe
File5=Setup.exe
File6=Symantec AntiVirus.msi
File7=VDefHub.zip
File8=setup.ini
File9=LUSetup.exe
保存好了。就在你的客户端的浏览器输入http://192.168.1.2/dcsclient"来进行web安装吧.
注意若是你在前面的files.ini文件编辑中有错误,将不能从服务器下载文件，会报告错误，在你修改正确files.ini文件后，一定要把client端的浏览器的cookies文件删除掉。才能正常下载文件。
接下来，一切顺利，通过web安装anvirus client ok.
至于服务器的策略配置。请根据需要自行设定。

ASA55XX系列的产品是继PIX这款硬件防火墙之后推出的一款新型硬件防火墙。相对于早期的PIX硬件防火墙，它具备多重功能防护的特性，而PIX是一台静态数据包过滤防火墙。现在面对更多变种病毒，恶意软件和应用层程序的攻击或者欺骗。PIX已经不能应对如此多的安全挑战。所以选择防护能力更强的ASA是明智之举了。而且它的价格比PIX低的多。就单单从性价比，就可以让大家眼前一亮。
这里针对ASA5540的防火墙的基本配置和应用做一些说明：
在实施防火墙的应用是，我们通常将我们的WEB服务器，DC，MAIL服务器，ANTIVIRUS服务器等放在一个叫做DMZ的区域，将企业内部的工作站或者应用服务器放在叫做INSIDE的区域，那么外部的设备就处于OUTSIDE的区域。一般需要防火墙的3个接口。

在日常工作中，在安全控制中，应用一些必要的访问策略来限制非授权的访问时十分必要的。使用方便的访问列表也许是最佳选择之一。要熟练的用应用访问列表。那么则需要掌握各种访问列表。下面主要从两类访问列表来总结：
1.标准访问列表
2.扩展访问列表
首先讨论标准访问列表的一些基本知识，它的应用范围及应该注意的事项。
1.标准访问列表。
如何创建？
Access-list list number deny/permit source address wildcard mask log
list number的范围在标准访问列表中是1-99，这个范围的列表号表明它于IP协议有关。标准访问列表主要基于目标地址的数据包的过滤。source address就是要控制的目标地址，wildcard mask是通配符掩码，就是是子网掩码的补充，它的计算方法可以根据子网掩码计算，比如子网掩码是255.255.255.192，那么此4个十进制点隔的地址依次减去255，即可得0.0.0.64，所谓的通配符掩码。0表示必许匹配条件。
针对目标网络或者目标主机要创建一条标准列表，该如何实施呢？首先要清楚，在访问列表的最低端默认隐藏着deny any的策略。
如：access-list 1 permit 10.2.11.0 0.0.0.255 log 就是允许来自网络10.2.11.0的数据包通过，并在缓存中记录日志。
    access-list 2 deny  host 10.2.11.50    拒绝来自主机10.2.11.50上的数据包，其中host关键字等价于通配符码为0.0.0.0
    access-list 2 permit any
2.扩展访问列表
扩展访问列表可以基于源地址，目标地址，源端口，目标端口，使用的网络协议(tcp,udp,icmp,ftp,http)来实现数据包的过滤和访问限制。
格式：access-list list number permit/deny [protocol]prototol-keyword[source address wildcard mask][source-port] [destination- address wildcard mask][destination-port][log option]
扩展访问列表的列表号范围100-199.在交换机或者路由器上维护访问列表，要删掉其中的访问列表，要特别注意，如果你的列表是标准访问列表，当你使用no access-list命令时，会将所有的访问列表清除。而扩展访问列表不存在这种不方便。你尽可使用no access-list list-number进行删除。
如何创建？access-list 101 permit protocol tcp any 10.1.1.0 0.0.0.255
          access-list 102 permit protocol tcp any 198.61.12.50 0.0.0.0 eq smtp 允许任何主机的tcp报文到达特定主机198.61.12.50的smtp端口
          access-list 102 permit protocol tcp any 198.61.12.8 0.0.0.0 eq www  允许任何主机的tcp报文到达特定主机198.61.12.8的http服务端口（80）端口。
3.创建了两类列表如何将之应用呢？
必须清楚要将列表应用到那些接口。如interface vlan 2
                                  ip access-group 101 in
或者 interface serial 1
     ip access-group 102 in