设备安全

配置Console密码

Switch(config)#line console 0

Switch(config-line)#login

Switch(config-line)#password cisco

配置vty线路密码

Switch(config)#line vty 0 4

Switch(config-line)#login

Switch(config-line)#password cisco

配置enable密码

Switch(config)#enable password cisco

配置secret密码

Switch(config)#enable secret cisco

全局启用加密

Switch(config)#service password-encryption

端口安全:用于二层接口(只能用于Access模式)
  怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1    //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10

Switch(config-if)#switchport port-security mac-address sticky     //自动学习(再加入CAM表)

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC    //配置静态MAC地址

Switch(config-if)#switchport port-security violation shutdown    //违规操作关闭端口

//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期

查看命令

Switch#show mac address-table    //查看CAM表

Switch#show port-security address    //查看端口安全

Switch#show port-security interface fastEthernet /    //显示接口port-security摘要信息
 
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco    //建立用户admin密码为cisco的本地用户(默认权限等级为1)

(config)#line vty 0 4

(config-line)#login local    //调用本地认证

以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#”

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

//用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也可调用local来认证

(config)#aaa authorization exec default local    //可选

(config)#aaa authorization network default local    //可选

(config)#aaa session-id common    //可选

//启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码

(config)#line vty 0 4

(config-line)#login authentication default    //调用本地认证
 
SSH配置汇总:
启用AAA认证
(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也用local来认证

(config)#hostname cisco    //配置ssh时,主机名一定要先修改掉

(config)#enable secret root   //设置enable密码为root

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#ip domain-name cisco.com     //配置域名,可随便填写

(config)#crypto key generate rsa general-keys modulus 1024    //生成rsa密钥,长度1024,适用于SSH v2

或:

(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024    //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度.

(config)#ip ssh version 2     // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1)

(config)#ip ssh time-out 120    //设置ssh超时时间 (0-120秒)

(config)#ip ssh authentication-retries 5     //设置重试验证次数
Console登录口令:
(config)#line console 0

(config-line)#login authentication default    //调用本地认证
Vty登陆设置:
(config)#line vty 0 4     //进入vty线路设置

(config-line)#transport input ssh    //仅允许SSH登陆

(config-line)#login authentication default    //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v  -l admin 10.0.0.1    //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
 
RSA加密(非对称加密)当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
 
对称加密:公钥和私钥都在两台设备上,因此不安全
 
官方配置参考:
在Cisco Native IOS上启用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model 使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com 建立一个用于认证的名字
crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4 进入vty配置
transport input ssh 仅仅允许SSH登录
 
在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令 描述
set crypto key rsa 1024 生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh 明确仅允许指定IP范围内的地址SSH
set ip enable

CCNA2.0笔记_安全管理设备的更多相关文章

  1. CCNA2.0笔记_路由相关

    路由器的工作内容 -路由器知道目标地址 -发现到达目标地址的可能的路由 -选择最佳路径(路由表) -维护路由信息 路由的来源 直连路由:直接连到路由器上的网络 -初始化情况下,路由器所知的网络,只有其 ...

  2. CCNA2.0笔记_动态路由

    动态路由协议: 向其他路由器传递路由信息 接收(学习)其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成并维护路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣 ...

  3. CCNA2.0笔记_路由分类

    直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目 ...

  4. CCNA2.0笔记_子网划分

    http://files.cnblogs.com/files/airoot/%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86.zip 网络 默认子网掩码 A类 255.0.0. ...

  5. CCNA2.0笔记_二层交换

    VLAN上并不需要配置IP地址,除非是出于管理的需要. 基于Vlan的设计原理,即隔离网络的广播域,再者运行STP来提供二层的防环机制:在同一个设备集中不同Vlan之间是无法通信的(在没有三层设备的情 ...

  6. CCNA2.0笔记_WAN技术-帧中继

    帧中继   -使用虚电路进行连接: -提供面向对象的服务 -帧中继 PVC 由 DLCI 标识,PVC 的状态通过 LMI 协议报告 Frame Relay NBMA连接引起的路由协议问题:  -水平 ...

  7. CCNA2.0笔记_OSPF v2

    OSPF(开放最短路径优先)协议概述: - 链路状态路由协议 - 无类路由协议 - 要点:RouterID.区域ID - 触发更新 .以传播 LSA 代替路由表更新 - 快速响应变更(比距离矢量路由协 ...

  8. CCNA2.0笔记_Trunk&EtherChannel

    show interfaces trunk //查看Trunk信息 show interfaces fastEthernet 0/1 //查看接口二层信息 show interfaces fastEt ...

  9. CCNA2.0笔记_STP

    STP介绍 STP的主要任务是阻止在第二层网络(网桥或交换机)上产生网络环路(通过将特定的端口选为 Blocking state),来实现无环的拓扑 ; STP交换机之间使用Trunk连接 ; Cis ...

随机推荐

  1. LINUX提权后获取敏感信息之方法

    文中的每行为一条命令,文中有的命令可能在你的主机上敲不出来,因为它可能是在其他版本的linux中所使用的命令. 列举关键点 (Linux)的提权是怎么一回事:  收集 – 枚举,枚举和一些更多的枚举. ...

  2. go语言基础之Printf和Println的区别

    1.示例 package main //必须有一个main包 import "fmt" func main() { a := 10 //一段一段处理,自动加换行 fmt.Print ...

  3. URLRewrite地址重定向的实现

    URLRewrite就是我们通常说的地址重写,用户得到的全部都是经过处理后的URL地址.其优点有: (1)提高安全性,可以有效的避免一些参数名.ID等完全暴露在用户面前,如果用户随便乱输的话,不符合规 ...

  4. 配置项目启动的时候就加载 servlet

    load-on-startup值为0 就是在项目启动的时候自动加载该servlet

  5. 绘制函数 y=x^2-2x-3/2x^2+2x+1 的曲线

    代码: <!DOCTYPE html> <html lang="utf-8"> <meta http-equiv="Content-Type ...

  6. 微信公众号支付调用chooseWXPay提示“errmsg choosewxpay fail”

    微信公众号支付一直提示“errmsg choosewxpay fail”,也没有提示具体错误信息,签名没有问题(签名验证地址:https://pay.weixin.qq.com/wiki/doc/ap ...

  7. MSS与MTU的关系

    MSS与MTU的关系 TU:maximum transmission unit,最大传输单元,由硬件规定,如以太网的MTU为1500字节. MSS:maximum segment size,最大分节大 ...

  8. HDU 4554 叛逆的小明

    叛逆的小明 Time Limit: 3000/1000 MS (Java/Others) Memory Limit: 65535/32768 K (Java/Others) Total Submiss ...

  9. 关于RecyclerView条目复用

    前言 说下前几天遇到的一个小问题,关于RecyclerView条目选中状态的保存.众所周知,RecyclerView被创造出来用于条目的回收利用,但是,当前面回收的条目带有一些特殊的状态(区别于未选中 ...

  10. java阅读笔记

    前言:面向对象设计的几大原则? 1>针对接口编程,而不是针对实现编程 2>优先使用对象组合,而不是类继承 1.只根据抽象类中定义的接口来操纵对象有以下两个好处? 1)客户无须知道他们使用对 ...