设备安全

配置Console密码

Switch(config)#line console 0

Switch(config-line)#login

Switch(config-line)#password cisco

配置vty线路密码

Switch(config)#line vty 0 4

Switch(config-line)#login

Switch(config-line)#password cisco

配置enable密码

Switch(config)#enable password cisco

配置secret密码

Switch(config)#enable secret cisco

全局启用加密

Switch(config)#service password-encryption

端口安全:用于二层接口(只能用于Access模式)
  怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1    //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10

Switch(config-if)#switchport port-security mac-address sticky     //自动学习(再加入CAM表)

Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC    //配置静态MAC地址

Switch(config-if)#switchport port-security violation shutdown    //违规操作关闭端口

//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期

查看命令

Switch#show mac address-table    //查看CAM表

Switch#show port-security address    //查看端口安全

Switch#show port-security interface fastEthernet /    //显示接口port-security摘要信息
 
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco    //建立用户admin密码为cisco的本地用户(默认权限等级为1)

(config)#line vty 0 4

(config-line)#login local    //调用本地认证

以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#”

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

//用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也可调用local来认证

(config)#aaa authorization exec default local    //可选

(config)#aaa authorization network default local    //可选

(config)#aaa session-id common    //可选

//启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码

(config)#line vty 0 4

(config-line)#login authentication default    //调用本地认证
 
SSH配置汇总:
启用AAA认证
(config)#aaa new-model    //开启aaa本地验证

(config)#aaa authentication login default local    //调用local用户名和密码认证,包括console口也用local来认证

(config)#hostname cisco    //配置ssh时,主机名一定要先修改掉

(config)#enable secret root   //设置enable密码为root

(config)#username admin privilege 15 password cisco    //建立权限等级为15的用户admin

(config)#ip domain-name cisco.com     //配置域名,可随便填写

(config)#crypto key generate rsa general-keys modulus 1024    //生成rsa密钥,长度1024,适用于SSH v2

或:

(config)#crypto key generate rsa

How many bits in the modulus [512]: 1024    //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度.

(config)#ip ssh version 2     // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1)

(config)#ip ssh time-out 120    //设置ssh超时时间 (0-120秒)

(config)#ip ssh authentication-retries 5     //设置重试验证次数
Console登录口令:
(config)#line console 0

(config-line)#login authentication default    //调用本地认证
Vty登陆设置:
(config)#line vty 0 4     //进入vty线路设置

(config-line)#transport input ssh    //仅允许SSH登陆

(config-line)#login authentication default    //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v  -l admin 10.0.0.1    //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
 
RSA加密(非对称加密)当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
 
对称加密:公钥和私钥都在两台设备上,因此不安全
 
官方配置参考:
在Cisco Native IOS上启用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model 使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com 建立一个用于认证的名字
crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4 进入vty配置
transport input ssh 仅仅允许SSH登录
 
在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令 描述
set crypto key rsa 1024 生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh 明确仅允许指定IP范围内的地址SSH
set ip enable

CCNA2.0笔记_安全管理设备的更多相关文章

  1. CCNA2.0笔记_路由相关

    路由器的工作内容 -路由器知道目标地址 -发现到达目标地址的可能的路由 -选择最佳路径(路由表) -维护路由信息 路由的来源 直连路由:直接连到路由器上的网络 -初始化情况下,路由器所知的网络,只有其 ...

  2. CCNA2.0笔记_动态路由

    动态路由协议: 向其他路由器传递路由信息 接收(学习)其他路由器的路由信息 根据收到的路由信息计算出到每个目的网络的最优路径,并由此生成并维护路由表 根据网络拓朴变化及时调整路由表,同时向其他路由器宣 ...

  3. CCNA2.0笔记_路由分类

    直连路由:当在路由器上配置了接口的IP地址,并且接口状态为up的时候,路由表中就出现直连路由项 静态路由:静态路由是由管理员手工配置的,是单向的. 默认路由:当路由器在路由表中找不到目标网络的路由条目 ...

  4. CCNA2.0笔记_子网划分

    http://files.cnblogs.com/files/airoot/%E5%AD%90%E7%BD%91%E5%88%92%E5%88%86.zip 网络 默认子网掩码 A类 255.0.0. ...

  5. CCNA2.0笔记_二层交换

    VLAN上并不需要配置IP地址,除非是出于管理的需要. 基于Vlan的设计原理,即隔离网络的广播域,再者运行STP来提供二层的防环机制:在同一个设备集中不同Vlan之间是无法通信的(在没有三层设备的情 ...

  6. CCNA2.0笔记_WAN技术-帧中继

    帧中继   -使用虚电路进行连接: -提供面向对象的服务 -帧中继 PVC 由 DLCI 标识,PVC 的状态通过 LMI 协议报告 Frame Relay NBMA连接引起的路由协议问题:  -水平 ...

  7. CCNA2.0笔记_OSPF v2

    OSPF(开放最短路径优先)协议概述: - 链路状态路由协议 - 无类路由协议 - 要点:RouterID.区域ID - 触发更新 .以传播 LSA 代替路由表更新 - 快速响应变更(比距离矢量路由协 ...

  8. CCNA2.0笔记_Trunk&EtherChannel

    show interfaces trunk //查看Trunk信息 show interfaces fastEthernet 0/1 //查看接口二层信息 show interfaces fastEt ...

  9. CCNA2.0笔记_STP

    STP介绍 STP的主要任务是阻止在第二层网络(网桥或交换机)上产生网络环路(通过将特定的端口选为 Blocking state),来实现无环的拓扑 ; STP交换机之间使用Trunk连接 ; Cis ...

随机推荐

  1. Javascript中的对象(二)

    Javascript是一种基于原型的对象语言,而不是我们比较熟悉的,像C#语言基于类的面向对象的语言.在前一篇文章中,我们已经介绍了Javascript中对象定义的创建.接下来我们来介绍一下Javas ...

  2. jquery元素节点操作

    jquery元素节点操作 创建节点 var $div = $('<div>'); var $div2 = $('<div>这是一个div元素</div>'); 插入 ...

  3. Vue侦听器watch

    虽然计算属性在大多数情况下更合适,但有时也需要一个自定义的侦听器.这就是为什么 Vue 通过 watch 选项提供了一个更通用的方法,来响应数据的变化.当需要在数据变化时执行异步或开销较大的操作时,这 ...

  4. 使用 session_destroy() 销毁session文件时 报 Trying to destroy uninitialized session 错误解决办法

    在使用  sessio_destroy() 销毁session文件的时候,必须要先使用session_start()   来开启session 后才能删除session文件

  5. VP9 Video Codec

    http://www.webmproject.org/vp9/ WebM Repositories libvpx: VP8/VP9 Codec SDK   pull http://git.chromi ...

  6. xcode arc 下使用 block警告 Capturing [an object] strongly in this block is likely to lead to a retain cycle” in ARC-enabled code

    xcode arc 下使用 block警告 Capturing [an object] strongly in this block is likely to lead to a retain cyc ...

  7. css网页单位

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  8. 【Firefly API文档】—— Package Distributed

    http://bbs.gameres.com/forum.php?mod=viewthread&tid=219654 package distributed 这个包中主要封装了各个服务进程间进 ...

  9. Tomcat性能调整完整教程

    Tomcat性能调整完整教程 发表于:2007-07-13来源:作者:点击数:526 标签: 一. 引言 性能测试与分析是软件 开发 过程中介于架构和调整的一个广泛并比较不容易理解的领域,更是一项较为 ...

  10. centos无法安装vmvare-tools的问题

    不要使用 vmware 自带的 tools, 版本太老了. 从这里下载:https://github.com/rasa/vmware-tools-patches.git 直接下载或者使用下面的命令: ...