设备安全

配置Console密码

Switch(config)#line console 0

Switch(config-line)#login

Switch(config-line)#password cisco

配置vty线路密码

Switch(config)#line vty 0 4

Switch(config-line)#login

Switch(config-line)#password cisco

配置enable密码

Switch(config)#enable password cisco

配置secret密码

Switch(config)#enable secret cisco

全局启用加密

Switch(config)#service password-encryption

端口安全:用于二层接口(只能用于Access模式)
  怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1    //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10

Switch(config-if)#switchport port-security mac-address sticky     //自动学习(再加入CAM表)

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC    //配置静态MAC地址

Switch(config-if)#switchport port-security violation shutdown    //违规操作关闭端口

//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期

查看命令

Switch#show mac address-table    //查看CAM表

Switch#show port-security address    //查看端口安全

Switch#show port-security interface fastEthernet /    //显示接口port-security摘要信息
 
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco    //建立用户admin密码为cisco的本地用户(默认权限等级为1)

(config)#line vty 0 4

(config-line)#login local    //调用本地认证

以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#”

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

//用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也可调用local来认证

(config)#aaa authorization exec default local    //可选

(config)#aaa authorization network default local    //可选

(config)#aaa session-id common    //可选

//启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码

(config)#line vty 0 4

(config-line)#login authentication default    //调用本地认证
 
SSH配置汇总:
启用AAA认证
(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也用local来认证

(config)#hostname cisco    //配置ssh时,主机名一定要先修改掉

(config)#enable secret root   //设置enable密码为root

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#ip domain-name cisco.com     //配置域名,可随便填写

(config)#crypto key generate rsa general-keys modulus 1024    //生成rsa密钥,长度1024,适用于SSH v2

或:

(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024    //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度.

(config)#ip ssh version 2     // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1)

(config)#ip ssh time-out 120    //设置ssh超时时间 (0-120秒)

(config)#ip ssh authentication-retries 5     //设置重试验证次数
Console登录口令:
(config)#line console 0

(config-line)#login authentication default    //调用本地认证
Vty登陆设置:
(config)#line vty 0 4     //进入vty线路设置

(config-line)#transport input ssh    //仅允许SSH登陆

(config-line)#login authentication default    //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v  -l admin 10.0.0.1    //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
 
RSA加密(非对称加密)当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
 
对称加密:公钥和私钥都在两台设备上,因此不安全
 
官方配置参考:
在Cisco Native IOS上启用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model 使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com 建立一个用于认证的名字
crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4 进入vty配置
transport input ssh 仅仅允许SSH登录
 
在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令 描述
set crypto key rsa 1024 生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh 明确仅允许指定IP范围内的地址SSH
set ip enable

CCNA2.0笔记_安全管理设备的更多相关文章

  1. CCNA2.0笔记_路由相关

    路由器的工作内容 -路由器知道目标地址 -发现到达目标地址的可能的路由 -选择最佳路径(路由表) -维护路由信息 路由的来源 直连路由:直接连到路由器上的网络 -初始化情况下,路由器所知的网络,只有其 ...

  2. CCNA2.0笔记_动态路由

    动态路由协议: 向其他路由器传递路由信息 接收(学习)其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成并维护路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣 ...

  3. CCNA2.0笔记_路由分类

    直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目 ...

  4. CCNA2.0笔记_子网划分

    http://files.cnblogs.com/files/airoot/%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86.zip 网络 默认子网掩码 A类 255.0.0. ...

  5. CCNA2.0笔记_二层交换

    VLAN上并不需要配置IP地址,除非是出于管理的需要. 基于Vlan的设计原理,即隔离网络的广播域,再者运行STP来提供二层的防环机制:在同一个设备集中不同Vlan之间是无法通信的(在没有三层设备的情 ...

  6. CCNA2.0笔记_WAN技术-帧中继

    帧中继   -使用虚电路进行连接: -提供面向对象的服务 -帧中继 PVC 由 DLCI 标识,PVC 的状态通过 LMI 协议报告 Frame Relay NBMA连接引起的路由协议问题:  -水平 ...

  7. CCNA2.0笔记_OSPF v2

    OSPF(开放最短路径优先)协议概述: - 链路状态路由协议 - 无类路由协议 - 要点:RouterID.区域ID - 触发更新 .以传播 LSA 代替路由表更新 - 快速响应变更(比距离矢量路由协 ...

  8. CCNA2.0笔记_Trunk&EtherChannel

    show interfaces trunk //查看Trunk信息 show interfaces fastEthernet 0/1 //查看接口二层信息 show interfaces fastEt ...

  9. CCNA2.0笔记_STP

    STP介绍 STP的主要任务是阻止在第二层网络(网桥或交换机)上产生网络环路(通过将特定的端口选为 Blocking state),来实现无环的拓扑 ; STP交换机之间使用Trunk连接 ; Cis ...

随机推荐

  1. [Android Pro] StorageManager简介

    StorageManager StorageManager is the interface to the systems storage service. The storage manager h ...

  2. Weblogic常见故障之二:XAER_NOTA XAException问题的解决

    在weblogic执行XA操作的时候,我们会碰到如下的错误,后来发现是JDBC配置的问题.主要报错:java.sql.SQLException: XA error: XAER_NOTA : The X ...

  3. 流畅的python第十二章继承的优缺点学习记录

    子类化内置类型的缺点 多重集成和方法解析顺序 tkinter

  4. jquery中获取相邻元素相关的命令:next()、prev()和siblings()

    jquery里我们要获取某个元素的相邻元素时,可以用到的命令有三个: next():用来获取下一个同辈元素. prev():用来获取上一个同辈元素. siblings():用来获取所有的同辈元素. 下 ...

  5. http://blog.csdn.net/a9529lty/article/details/6454156

    http://blog.csdn.net/a9529lty/article/details/6454156

  6. http://www.blogjava.net/crespochen/archive/2011/04/22/348819.html

    http://blog.csdn.net/supersky07/article/details/7407523 http://blog.csdn.net/cuker919/article/detail ...

  7. [Functional Programming ADT] Debug a Functional JavaScript composeK Flow

    When using ADTs in our code base, it can be difficult to use common debugging tools like watches and ...

  8. 通过NAT实例实现外部访问AWS的ElastiCache资源

    ElastiCache作为AWS的内存缓存组建可以说做的一点也不友好了, 你可以通过ElastiCache创建redis,memcache的实例,却不能被外部访问. 背景 人傻钱多的客户总有人傻钱多的 ...

  9. SQL server数据库的链接以及增删改查的操作

    1.添加引用using System.Data;using System.Data.SqlData;2.建立于数据库的连接,建议将它做成一个方法,方便多次利用.string sqlconnection ...

  10. App服务端架构变迁

    随着移动互联网时代的到来,移动技术也随之飞速发展.如今,App已然成为绝大多数互联网企业用来获取用户的核心渠道.以往以PC为主要承载平台的各业务线,源源不断集成加入到移动项目中来,原本以产品为中心快速 ...