设备安全

配置Console密码

Switch(config)#line console 0

Switch(config-line)#login

Switch(config-line)#password cisco

配置vty线路密码

Switch(config)#line vty 0 4

Switch(config-line)#login

Switch(config-line)#password cisco

配置enable密码

Switch(config)#enable password cisco

配置secret密码

Switch(config)#enable secret cisco

全局启用加密

Switch(config)#service password-encryption

端口安全:用于二层接口(只能用于Access模式)
  怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1    //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10

Switch(config-if)#switchport port-security mac-address sticky     //自动学习(再加入CAM表)

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC    //配置静态MAC地址

Switch(config-if)#switchport port-security violation shutdown    //违规操作关闭端口

//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期

查看命令

Switch#show mac address-table    //查看CAM表

Switch#show port-security address    //查看端口安全

Switch#show port-security interface fastEthernet /    //显示接口port-security摘要信息
 
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco    //建立用户admin密码为cisco的本地用户(默认权限等级为1)

(config)#line vty 0 4

(config-line)#login local    //调用本地认证

以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#”

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

//用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也可调用local来认证

(config)#aaa authorization exec default local    //可选

(config)#aaa authorization network default local    //可选

(config)#aaa session-id common    //可选

//启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码

(config)#line vty 0 4

(config-line)#login authentication default    //调用本地认证
 
SSH配置汇总:
启用AAA认证
(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也用local来认证

(config)#hostname cisco    //配置ssh时,主机名一定要先修改掉

(config)#enable secret root   //设置enable密码为root

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#ip domain-name cisco.com     //配置域名,可随便填写

(config)#crypto key generate rsa general-keys modulus 1024    //生成rsa密钥,长度1024,适用于SSH v2

或:

(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024    //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度.

(config)#ip ssh version 2     // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1)

(config)#ip ssh time-out 120    //设置ssh超时时间 (0-120秒)

(config)#ip ssh authentication-retries 5     //设置重试验证次数
Console登录口令:
(config)#line console 0

(config-line)#login authentication default    //调用本地认证
Vty登陆设置:
(config)#line vty 0 4     //进入vty线路设置

(config-line)#transport input ssh    //仅允许SSH登陆

(config-line)#login authentication default    //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v  -l admin 10.0.0.1    //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
 
RSA加密(非对称加密)当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
 
对称加密:公钥和私钥都在两台设备上,因此不安全
 
官方配置参考:
在Cisco Native IOS上启用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model 使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com 建立一个用于认证的名字
crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4 进入vty配置
transport input ssh 仅仅允许SSH登录
 
在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令 描述
set crypto key rsa 1024 生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh 明确仅允许指定IP范围内的地址SSH
set ip enable

CCNA2.0笔记_安全管理设备的更多相关文章

  1. CCNA2.0笔记_路由相关

    路由器的工作内容 -路由器知道目标地址 -发现到达目标地址的可能的路由 -选择最佳路径(路由表) -维护路由信息 路由的来源 直连路由:直接连到路由器上的网络 -初始化情况下,路由器所知的网络,只有其 ...

  2. CCNA2.0笔记_动态路由

    动态路由协议: 向其他路由器传递路由信息 接收(学习)其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成并维护路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣 ...

  3. CCNA2.0笔记_路由分类

    直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目 ...

  4. CCNA2.0笔记_子网划分

    http://files.cnblogs.com/files/airoot/%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86.zip 网络 默认子网掩码 A类 255.0.0. ...

  5. CCNA2.0笔记_二层交换

    VLAN上并不需要配置IP地址,除非是出于管理的需要. 基于Vlan的设计原理,即隔离网络的广播域,再者运行STP来提供二层的防环机制:在同一个设备集中不同Vlan之间是无法通信的(在没有三层设备的情 ...

  6. CCNA2.0笔记_WAN技术-帧中继

    帧中继   -使用虚电路进行连接: -提供面向对象的服务 -帧中继 PVC 由 DLCI 标识,PVC 的状态通过 LMI 协议报告 Frame Relay NBMA连接引起的路由协议问题:  -水平 ...

  7. CCNA2.0笔记_OSPF v2

    OSPF(开放最短路径优先)协议概述: - 链路状态路由协议 - 无类路由协议 - 要点:RouterID.区域ID - 触发更新 .以传播 LSA 代替路由表更新 - 快速响应变更(比距离矢量路由协 ...

  8. CCNA2.0笔记_Trunk&EtherChannel

    show interfaces trunk //查看Trunk信息 show interfaces fastEthernet 0/1 //查看接口二层信息 show interfaces fastEt ...

  9. CCNA2.0笔记_STP

    STP介绍 STP的主要任务是阻止在第二层网络(网桥或交换机)上产生网络环路(通过将特定的端口选为 Blocking state),来实现无环的拓扑 ; STP交换机之间使用Trunk连接 ; Cis ...

随机推荐

  1. vmware 下 ubuntu 不能全屏显示 的解决方法

    vmware 下 ubuntu 不能全屏显示 在 vmware 下 安装 ubuntu后,默认分辨率是 800 * 600,可以设置以全屏显示: 设置步骤: vmware 下启动 虚拟机,即 启动 u ...

  2. [转]sql server transaction

    本文转自: http://www.2cto.com/database/201208/146734.html sql事务(Transaction)用法介绍及回滚实例   事务(Transaction)是 ...

  3. Vue-router路由基础总结(一)

    一.安装 npm下载:npm install vue-router 如果在一个模块化工程中使用它,必须要通过 Vue.use() 明确地安装路由功能:在你的文件夹下的 src 文件夹下的 main.j ...

  4. Centos&RHEL 6安装图形化

    Linux是一个多任务的多用户的操作系统,而在安装linux的时候经常遇到的问题-没有图形化桌面.在上节中我们演示了RHEL7安装图形化的过程,下面我们演示Centos6的图形化安装. 一.Cento ...

  5. subline 配置,本地项目代码下断点来调试远程项目

    参考: https://my.oschina.net/ptk/blog/299464 1. 文件 tts.sublime-project 的配置如下: { "folders": [ ...

  6. 转: codereview工具之 review board 选型与实践

    转:ReviewBoard代码评审实践总结 http://my.oschina.net/donhui/blog/350074 svn与review board 结合实践 http://my.oschi ...

  7. java中compareTo和compare方法之比较,集合中对象的比较

    前言 转自:http://www.cnblogs.com/yueliming/archive/2013/05/22/3092576.html (这里做了一些小改动) 一直一来对集合中对象的比较方案,有 ...

  8. 十分钟使用ionic Framework开发一个跨平台移动应用

    Ionic是一个前端的框架,帮助开发人员使用HTML5, CSS3和JavaScript做出原生应用. ionic的理念类似前端开发的BootStrap,目标是封装HTML5移动跨平台开发的最佳实践. ...

  9. .NET Framwork 之 托管代码的执行过程

    源代码代码第一次编译形成IL中间语言的托管代码,在运行时被Class Loader装载后进行JIT第二次编译形成托管的本地代码.在执行过程中,它会不断地检查当前我们执行的代码的安全性和规范性. Cla ...

  10. python gevent使用例子

    python gevent使用例子 from gevent.pool import Pool POOL_SIZE = 100 def process(func, param1_list, param2 ...