一.安全NA之syslog SNMP SSH NTP

一、常用命令

　　配置模式下:

no logging console    #关闭屏幕实时显示日志，不影响到日志buffer里(show logging)
logging console        #打开屏幕实时日志显示
logging on    #默认是打开的，打开日志功能
logging buffered [size] [level]   #设置buffer的存储空间大小和级别
logging trap 7   #设置发送到日志服务器的级别是7，默认是6

二、日志输出的目的地

• console

  插入console线方式进入到cli窗口，窗口默认实时显示log。
  可通过no logging console关闭显示，不会影响到log输出到其他目的地

• vty lines

  通过vty方式登陆，想要看到此方式登陆的窗口显示日志，需要输入#terminal monitor命令实时显示log
  此命令当前有效，窗口关闭再打开，需要重新敲命令才可实时显示日志

• Buffer

  日志本地缓存，即show logging看到的内容就是，重启设备就会消失
  配置模式下logging buffered 9999 7 #9999为buffer的缓存大小，单位:Byte字节，默认是4MB，
  　　                              7为日志记录的级别，7代表debugging级别(最小级别)，即日志所有的1-7级别都记录

• SNMP server

  as

• Syslog server

  将设备日志发送到指定syslog服务器，服务器接收端口默认是UDP:514
  配置模式下：
  logging host 192.168.1.2   #指定syslog服务器地址
  logging trap 7    #默认发送的是6，日志符合什么等级就发送(大的包含小的级别)

三、SNMP简单介绍

　　3.1 SNMP三大组件

• SNMP manager
• SNMP Agent
• MIB:Management Information Base

　　

　　3.2 SNMP操作类型

• GET
• SET
• Trap

　　3.3 CISCO SNMPv2基本配置

#基本Trap配置
snmp-server enable traps        #开启snmp trap功能(主动上报)
snmp-server host a.b.c.d  trap public        #主动向snmpServer发送，团体字为public
snmp-server host a.b.c.d  version 2c public  #
snmp-server location ShangHai      #可描述设备所在地，不重要
snmp-server contact lsl                 #联系人，不重要

#基本Get/Set设置
snmp-server community public ro    #设置团体字为public(自定义密码)，只读权限
snmp-server community public rw   #生物质团体字为public(自定义密码),读写权限

　　3.4 CISCO SNMPv3基本配置

snmp-server group testgrp v3 priv   #创建v3组名testgrp为最高级别(需要完整性校验和加密)
snmp-server user lisl testgrp v3 auth md5 123456789012 priv des 123456789012    #创建用户lisl，属于组testgrp 完整性校验MD5,DES加密

snmp-server host a.b.c.d version 3 priv lisl   #用户lisl指定trap到snmp的服务器地址a.b.c.d，

#高级应用-只能访问或修改特定节点
snmp-server view lislview mib-2 include d #创建一个容器lislview，只能访问mib-2的节点
snmp-server group testgrp v3 priv read lislview write lislview  #创建组testgrp与容器lislview关联，具有可读可写容器lislview权限

　　3.5 CISCO SNMP安全控制

#snmp与acl联动，限制来源
access-list 5 permit 192.168.66.0 0.0.0.255
snmp-server community lisl 5   #acl 5与snmpv2联动
snmp-server user lisl testgrp v3 access 5  #acl 5与snmpv3的用户组testgrp里的用户lisl联动

四、SSH简单介绍

　　4.1 介绍

Cisco IOS 12.1(1)T 版本开始支持SSH version 1
Cisco IOS 12.3(4)T 版本开始支持SSH version 2

　　4.2 SSHv1简单配置

R1(config)#hostname R1    #（非必需）配置主机名
R1(config)#ip domain name test.com   #(非必需)配置域名
R1(config)#crypto key generate rsa modulus   #产生RSA密钥对(建议2048位长度),注:可以不需要主机名和域名，有默认
R1(config)#username admin privilege  password Cisco123 #创建本地用户名，密码，级别15，直接进入到#
R1(config)#line vty 0 15
R1(config-line)#login local   #本地认证，也可以用aaa new-model代替
R1(config-line)#transport input ssh   #只选择ssh登陆

　　

　　4.3 SSHv2 简单配置

与4.2配置相同
R1(config)#ip ssh version    #指定版本2登陆

　　4.4 常用命令

R1(config)#ip ssh rsa keypair-name R1.test.com
R1(config)#ip ssh version    #只允许使用sshv2登陆

access-list  permit 10.1.1.0 0.0.0.255
line vty
  access-class  in      #控制指定源访问设备  

#测试
R1#ssh -v  -l admin 10.1.1.1  #在R1连接,使用版本1，用户名admin，远端10.1.1.
R1#ssh -v  -l admin 10.1.1.1  #在R1连接,使用版本2，用户名admin，远端10.1.1.

#show 命令
show ssh   #查看通过ssh登陆的在线用户
show ip ssh   #查看ssh的版本号，超时时间，重试次数
show crypto key mypubkey rsa

五、NTP

　　5.1 介绍

NTP是用来同步时间的，时间的重要性:PKI(证书系统)和Syslog(日志)都非常需要准确的时间

　　

　　5.2 基本配置

R1(config)#clock timezone GMT +   #设置东八区,GMT只是个名字
R1(config)#ntp server ntp1.aliyun.com #设置ntp服务器

注意:时区更改，有些版本(如:RDOS Software, 5800E, Version 6.2.)只能使用如下:
R1(config)#clock set timezone GMT add
命令解析:设置时区名为GMT(自定义)，add参数表示正向时区，8为八区，0为没有偏移量。minus参数表示负向时区

　　5.3 NTP服务器配置

全局模式下#:
clock set 10:47:00 28 jan 2019   #2019/1/29 10:47:00 月份必需是英文前三个字母,先设置时区，在配置时间
#配置模式下(config)#:
clock timezone GMT +8   #设置时区
ntp authenticatioin-key 1 md5 cisco  #(可选)，用于认证，设置key 1，MD5
ntp authenticate  #（可选），激活认证
ntp trusted-key 1     #（可选），用于认证，设置信任key 1
ntp master　　　　　　#设置为ntp服务器

　　5.4 NTP客户端配置

配置模式下(config)#:
clock timezone GMT +8
ntp authentication-key 1 md5 cisco   #(可选)，用于认证
ntp authenticate   #（可选），用于认证,激活认证
ntp trusted-key 1   #（可选），用于认证，信任密钥key 1
ntp server 10.1.1.2 key 1  #客户端设置去ntp服务器同步时间，认证key 1

　　5.5 NTP 安全控制

access-list 5 permit 10.1.1.1
ntp access-group peer 5     #指定源才可以过来同步时间

　　5.6 NTP常用命令

show ntp status     #查看ntp状态