设备安全

配置Console密码

Switch(config)#line console 0

Switch(config-line)#login

Switch(config-line)#password cisco

配置vty线路密码

Switch(config)#line vty 0 4

Switch(config-line)#login

Switch(config-line)#password cisco

配置enable密码

Switch(config)#enable password cisco

配置secret密码

Switch(config)#enable secret cisco

全局启用加密

Switch(config)#service password-encryption

端口安全:用于二层接口(只能用于Access模式)
  怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1    //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10

Switch(config-if)#switchport port-security mac-address sticky     //自动学习(再加入CAM表)

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC    //配置静态MAC地址

Switch(config-if)#switchport port-security violation shutdown    //违规操作关闭端口

//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期

查看命令

Switch#show mac address-table    //查看CAM表

Switch#show port-security address    //查看端口安全

Switch#show port-security interface fastEthernet /    //显示接口port-security摘要信息
 
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco    //建立用户admin密码为cisco的本地用户(默认权限等级为1)

(config)#line vty 0 4

(config-line)#login local    //调用本地认证

以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#”

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

//用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也可调用local来认证

(config)#aaa authorization exec default local    //可选

(config)#aaa authorization network default local    //可选

(config)#aaa session-id common    //可选

//启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码

(config)#line vty 0 4

(config-line)#login authentication default    //调用本地认证
 
SSH配置汇总:
启用AAA认证
(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也用local来认证

(config)#hostname cisco    //配置ssh时,主机名一定要先修改掉

(config)#enable secret root   //设置enable密码为root

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#ip domain-name cisco.com     //配置域名,可随便填写

(config)#crypto key generate rsa general-keys modulus 1024    //生成rsa密钥,长度1024,适用于SSH v2

或:

(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024    //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度.

(config)#ip ssh version 2     // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1)

(config)#ip ssh time-out 120    //设置ssh超时时间 (0-120秒)

(config)#ip ssh authentication-retries 5     //设置重试验证次数
Console登录口令:
(config)#line console 0

(config-line)#login authentication default    //调用本地认证
Vty登陆设置:
(config)#line vty 0 4     //进入vty线路设置

(config-line)#transport input ssh    //仅允许SSH登陆

(config-line)#login authentication default    //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v  -l admin 10.0.0.1    //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
 
RSA加密(非对称加密)当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
 
对称加密:公钥和私钥都在两台设备上,因此不安全
 
官方配置参考:
在Cisco Native IOS上启用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model 使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com 建立一个用于认证的名字
crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4 进入vty配置
transport input ssh 仅仅允许SSH登录
 
在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令 描述
set crypto key rsa 1024 生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh 明确仅允许指定IP范围内的地址SSH
set ip enable

CCNA2.0笔记_安全管理设备的更多相关文章

  1. CCNA2.0笔记_路由相关

    路由器的工作内容 -路由器知道目标地址 -发现到达目标地址的可能的路由 -选择最佳路径(路由表) -维护路由信息 路由的来源 直连路由:直接连到路由器上的网络 -初始化情况下,路由器所知的网络,只有其 ...

  2. CCNA2.0笔记_动态路由

    动态路由协议: 向其他路由器传递路由信息 接收(学习)其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成并维护路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣 ...

  3. CCNA2.0笔记_路由分类

    直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目 ...

  4. CCNA2.0笔记_子网划分

    http://files.cnblogs.com/files/airoot/%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86.zip 网络 默认子网掩码 A类 255.0.0. ...

  5. CCNA2.0笔记_二层交换

    VLAN上并不需要配置IP地址,除非是出于管理的需要. 基于Vlan的设计原理,即隔离网络的广播域,再者运行STP来提供二层的防环机制:在同一个设备集中不同Vlan之间是无法通信的(在没有三层设备的情 ...

  6. CCNA2.0笔记_WAN技术-帧中继

    帧中继   -使用虚电路进行连接: -提供面向对象的服务 -帧中继 PVC 由 DLCI 标识,PVC 的状态通过 LMI 协议报告 Frame Relay NBMA连接引起的路由协议问题:  -水平 ...

  7. CCNA2.0笔记_OSPF v2

    OSPF(开放最短路径优先)协议概述: - 链路状态路由协议 - 无类路由协议 - 要点:RouterID.区域ID - 触发更新 .以传播 LSA 代替路由表更新 - 快速响应变更(比距离矢量路由协 ...

  8. CCNA2.0笔记_Trunk&EtherChannel

    show interfaces trunk //查看Trunk信息 show interfaces fastEthernet 0/1 //查看接口二层信息 show interfaces fastEt ...

  9. CCNA2.0笔记_STP

    STP介绍 STP的主要任务是阻止在第二层网络(网桥或交换机)上产生网络环路(通过将特定的端口选为 Blocking state),来实现无环的拓扑 ; STP交换机之间使用Trunk连接 ; Cis ...

随机推荐

  1. OpenCV腐蚀与膨胀(Eroding and Dilating)

    腐蚀与膨胀(Eroding and Dilating) 目标 本文档尝试解答如下问题: 如何使用OpenCV提供的两种最基本的形态学操作,腐蚀与膨胀( Erosion 与 Dilation): ero ...

  2. 永远不要去B网(Bittrex.com)

    永远不要去Bittrex.com,没见过这么垃圾的服务! 注册之后基本资料就不能修改了,结果不能提现,充值却是可以充值,就跟今年初禁比特币时的垃圾火币网一样,只进不出,去他奶奶的! 随后网站提示可以高 ...

  3. sonar如何添加自定义JAVA规则

    参考: 1.https://segmentfault.com/a/1190000008659108 2.https://docs.sonarqube.org/display/DEV/Adding+Co ...

  4. [Python爬虫] 之二十八:Selenium +phantomjs 利用 pyquery抓取网站排名信息

    一.介绍 本例子用Selenium +phantomjs爬取中文网站总排名(http://top.chinaz.com/all/index.html,http://top.chinaz.com/han ...

  5. 【leetcode】Binary Tree Postorder Traversal

    题目: Given a binary tree, return the postorder traversal of its nodes' values. For example: Given bin ...

  6. 通用测试用例大全(转自——知了.Test)

    为方便平时写测试用例,整理如下: 功能 条件 测试步骤 测试数据 预期结果 备注 搜索或查询   单独遍历各查询条件,测试按各查询条件是否都能够查询出相应的值.   查询出符合条件的记录     设置 ...

  7. C++ STL中允许重复key的multimap

    在实际的项目中可能会碰到key重复的情况,正常的MAP类型是不允许重复的key,所以就要使用multimap了,multimap的使用和map基本类似,可以无缝对接 #include <map& ...

  8. C++ String和其他类型互换

    在C++中如何实现String和其他类型互换呢?最好的方式是使用stringstream,下面简单介绍下: 1.其他类型转换为String #include <sstream> strin ...

  9. java学习重点

    1.Java的三种体系: J2SE 用于桌面开发,低端商务开发(Java to Standard Edition) : J2ME 用于移动电话.电子消费品.嵌入式开发(Java to Micro Ed ...

  10. win7 ARP 命令运行失败解决办法

    直接运行cmd,运行arp -d * ,arp -s会出现下面的错误提示: ARP 项删除失败: 请求的操作需要提升. ARP 项添加失败: 拒绝访问.或提示:ARP 项添加失败: 请求的操作需要提升 ...