在与 sesame 兄弟苦战一个多礼拜后,终于在普通pc上,把ccm4.1.3安装成功了,现在把我的喜悦很成果跟大家分享下

准备工作
----软件:
              1.英文版 windows 2000 advance server
              2.sp4(en)
              3.ie6sp1.exe
              4.msjavx86.exe         [ftp://it315ftp.3322.org:8021/Download/JavaVM/msjavx86.rar]
              5.shutdown.exe
             6.win-OS-Upgrade-K9.2000-2-7.exe
             7.win-OS-Upgrade-K9.2000-4-2.exe
             8.win-OS-Upgrade-K9.2000-4-2sr3.exe
             9.CCM4.0 INSTALL DISC.iso
             9.ciscocm-ffu.4-1-3.exe
             10.cisco tftp.exe
-------------------------------------------------------------------------------------------------------------------
正式安装

1.安装 2k advance server
--1.1安装 windows 组件 ==> 请参见 [用普通Win2k安装CallManager系统需添加的组件] 
--1.2安装完了后,请确认iis正常启动
--1.3设置固定ip
2.打sp4补丁
3.安装 ie6sp1
4.安装 msjavx86.exe
5.修改注册表
         [HKEY_LOCAL_MACHINE\SOFTWARE\Cisco Systems\Model]
         "Hardware"="MCS7835"
         "Memory"="512"
         "Speed"="2600"

6.安装 win-OS-Upgrade-K9.2000-2-7.exe                   [有3个step----如果不是3个step,说明 ie 或 msjavx86 安装有问题]
7.把shutdown.exe文件拷贝到c:\utils目录下
8.安装 win-OS-Upgrade-K9.2000-4-2.exe                   [有3个step]
9.安装 win-OS-Upgrade-K9.2000-4-2sr3.exe              [.............]
10.安装 ccm4.0                                                               [在安装过程中,正常情况,应该没有任何错误提示信息出现]
11.安装 ciscocm-ffu.4-1-3.exe                                     [在升级为4.1.3时,内存需加到 1G]
12.安装cisco tftp.exe#p#

   3.SSH 客户端
     a) 从管理工作站登录
     必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3, 也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法：
     运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol(协议): ssh1 Hostname(主机名): 10.10.1.1 Port(端口): 22 Username(用户名): mize Ciper(加密方法): 3DES Authentication(认证方式):password 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once(只用一次)或Accept & Save (保存密钥以便下次使用)。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。
     第二次登录点击File – Connect 点击连接10.10.1.1即可。
     b) 从IOS设备用SSH协议登录其他设备
     IOS设备也可以发起SSH连接请求(作为SSH Client)，从IOS设备登录支持3DES的IOS设备，使用以下命令(-l 指定用户名)：
     ssh –l mize 10.10.3.3
     从IOS设备登录支持 DES(56位)的IOS，使用以下命令(-c des指定1 des加密方式)：
     ssh –c des –l mize 10.10.5.5
     从IOS设备登录支持 3DES的CatOS, 如6509/4006的交换引擎，使用如下命令(无需指定用户名)：
     ssh 10.10.6.6
   4.限制telnet源地址
     对于未支持SSH 的设备，可采取限制telnet源地址的方法来加强安全性。为了不致于增加一个管理员地址就要把所有的设备配置修改一遍，可以采用中继设备的方法，即受控设备只允许中继设备的telnet访问，中继设备则允许多个管理员以较安全的方法（如SSH）登录。

设置中继设备:
inter lo 0
ip address 10.10.1.100 255.255.255.255
ip telnet source-interface Loopback0 //发起telnet的源地址
设置受控设备：
access-list 91 remark Hosts allowed to TELNET in
access-list 91 permit 10.10.1.100
access-list 91 permit 10.10.1.101
line con 0
password xxxxxxxx
line vty 0 4
password xxxxxxxx
access-class 91 in

#p#如果你想用10.10.10.25这台机器通过www.mydomain.com访问你的web服务器,我们只需要实现以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 设置inside端口的DNS Doctoring.，一旦监测到发往inside端口的DNS
!---回复里IP内容为99.99.99.99，则用10.10.10.10替换掉，再发到客户端PC

接下来，必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
!--- 此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换

用access list命令赋予访问权
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许来自outside的任何用户访问web服务器的80端口

如果你喜欢用老版本的语法，可以用conduit命令代替access-list和access-group
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许来自outside的任何用户访问web服务器的80端口

用目标NAT(dnat)转换DMZ地址

如果web服务器在PIX的DMZ区,必须用alias作Destination NAT (dnat).

例2,web服务器在DMZ的地址为192.168.100.10, 外部地址99.99.99.99.我们要用dnat转换99.99.99.99为web服务器的真实地址192.168.100.10;从inside客户端发出的DNS请求和回复不会改变. 从inside的PC上看来就象访问外部地址99.99.99.99一样,所以DNS回复并未被PIX修改.
网络图如下：


我们想从10.10.10.0 /24网络通过外部域名www.mydomain.com访问DMZ里的web服务器，并不想让PIX修改我们的DNS回复。让PIX作dnat把外部IP地址转为DMZ里web服务器真实地址192.168.100.10。

注意：当然了，如果从inside访问dmz里的192.168.100.10都不能够，光作这个也是不能访问的，前提是inside用户能够外访，也能访问到DMZ内部地址：
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0 0
你不想利用interface占的地址，也可以另指定你相应端口网络里的地址
global (outside) 1 99.99.99.3
global (dmz) 1 192.168.100.2
nat (inside) 1 0 0

现在，用alias命令作dnat:
alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
!--- 此句设置dnat.DNS回复不会被PIX修改，因为外部地址99.99.99.99不匹配第二个地址(192.168.100.10)，由于发往客户端的DNS回复里有与目标地址99.99.99.99匹配，请求会”dnat-ed”.
注意: 此例中IP地址与上面DNS Doctoring的例子中顺序相反.

接下来做web服务器的静态转换，允许所有人访问其80端口(http):
static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
!--- 建立dmz区服务器地址192.168.100.10与外部地址99.99.99.99间静态转换

赋予访问权，access list命令如下:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许所有来自outside用户访问web服务器80端口.

同样，也可以使用老版本的conduit命令：
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许所有来自outside用户访问web服务器80端口.


配置中的说明
· alias命令里的interface应该是发出请求的客户端所在那个端口.
· 如果DMZ里也有客户端PC，需专门为dmz设置的alias命令 (也就是DNS doctoring)，
例如，你想让DMZ的其他客户端用外部域名访问DMZ的web服务器，其实做法已跟例1没什么区别，为DMZ增加一条alias，做一个DNS Doctoring修改它DNS回复就行了：
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
· 如果PIX有更多的端口，可以为不同的端口作多条alias命令。