1. Cisco基礎配置命令#注釋
R1(config)#banner motd # 提示信息,#(分界符)
設置console密碼
R1(config)#line console 0 進入console 0
R1(config-line)#login 允許登陸
R1(config-line)#password cisco 設置密碼
R1(config-line)#logging synchronous 使游標還原到原來的位置,重新顯示被覆蓋的命令里
R1(config-line)#exec-timeout 0 0 阻止會話退出(前1個0單位是「分鍾」,後1個0單位是「秒」)
設置特權密碼
#enable password cisco 設置明文密碼cisco(進特權模式密碼)
#service password-encryption 加密上面的明文密碼
#enable secret cisco1 設置密文密碼cisco1(進特權模式密碼)
當明文密碼和密文密碼同時存在時,密碼密碼的優先順序要高於明文密碼
R1(config)#line vty 0 4 設置虛擬終端 允許0~4共5個用戶同時登陸
R1(config-line)#password cisco 設置明文密碼cisco
R1(config-line)#login local 登陸採用本地密碼驗證
R1(config)# running-config startup-config 保存配置
R1#show startup-config 查看NVRAM裡面的配置
R1#reload 重新啟動
R1(config)#interface ethernet 0 進入介面模式
R1(config-if)#description Telecom 提示信息
R1(config-if)#ip add 10.10.10.1 255.255.255.0
R1#show interfaces serial 1 查看介面狀態,如果封裝協議不同會顯示一端介面up,另一端介面down
R1#show interfaces serial 0
R1#show controller serial 0 查看哪一端是DCE或DTE
R1(config)#interface serial 0 進入子介面
R1(config-if)#clock rate 64000 必須在DCE端配置,兩個路由器之間通訊必須配置時鍾同步
R1(config-if)#no shutdown 開啟埠
R1#show cdp 思科專有發現協議CDP,發現直接相鄰的設備
entry 詳細信息 show cdp entry *
interface 介面
neighbors 鄰居
traffic 介面數據包情況匯總
R1(config)#no cdp run 所有介面取消CDP
R1(config)#interface serial 0 假如我想只關掉serial 0介面的CDP協議,進入介面
R1(config-if)#no cdp enable 關閉這個介面CDP
Router>en 進特權模式
Router#conf t 進全局模式
Router(config)#line con 0 進console口
Router(config-line)#logg sy 游標跟隨不覆蓋命令
Router(config-line)#exec-t 0 0 會話永不超時
Router(config-line)#exi 退回上層
Router(config)#no ip domain-lo 取消域名解析
Router(config)#host R1 重命名路由器名稱
創建VLAN
SW#vlan database 進入vlan模式
SW(vlan)#vlan 2 name cisco 創建vlan2並命名為cisco
SW(config)#int fa 0/2 在全局模式下進入快速乙太網介面2
SW(config-if)#switchport mode access 定義埠為訪問介面模式(介面模式分為"trunk"主幹介面和訪問介面)
SW(config-if)#switchport access vlan 2 將埠2加入到vlan2中
SW(config-if)#no shutdown
Trunk配置
SW#vlan database
SW#conf t
SW(config)#int fa 0/1
SW(config-if)#switchport mode trunk 定義埠為主幹介面模式
SW(config-if)#switchport trunk encapsulation dot1q 封裝dot1q協議
SW(config-if)#no shutdown
Telnet相關命令
Router#show session 查看連接的是哪台設備
Router#show user 查看登錄的用戶
RouterB# X 先按Ctrl+Shift+6然後再按X就切換到路由A上面
RouterA#show session
RouterA#resume 1 返回到路由器B上面
RouterB# disconnect 斷開連接
RouterA#clear line 0 清除遠端設備建立的會話
show version ! 檢查配置寄存器的值
show flash ! 檢查Flash中的ISO
show startup-config ! 檢查NVRAM中的啟動配置文件
show running-config ! 檢查RAM中的文件
Router#erase startup-config 刪除NVRAM中的配置文件
Router(config)#config-register 0x2101 修改寄存器的值(0x2102 正常的值,0x2142 跳過配置文件,0x2101 進入迷你ios)
Router# running-config startup-config 保存配置文件
Router#write 保存配置文件(全程保存配置)
cisco2600、3600等新系列路由器密碼破解
1.啟動路由器,60秒內按下CTRL+break鍵
2.rommon>confreg 0x2142 配置啟動時不引導配置文件
3.rommon>reset 重啟
4.router# startup-config running-config 將NVRAM裡面的配置文件拷貝到內存中(進特權模式操作)
5.router(config)#no enable secrect 取消特權密碼
6.router(config-line)#no password 取消vty密碼
7.router# running-config startup 保存
8.router(config)#config-register 0x2102
配置VTP
SW#vlan database
SW(vlan)#vtp server VTP伺服器端,另一台交換機設置為client客戶端
SW(vlan)#vtp domain cisco 設置VTP域名為cisco ,客戶端同樣設置
SW(vlan)#vtp password cisco 設置密碼為cisco ,客戶端同樣設置
2. cisco交換機安全配置設定命令
cisco交換機安全配置設定命令大全
思科交換機的安全怎麼設置,下面為大家分交換機安全設置的配置命令,希望對同學們學習思科交換機有所幫助!
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要採用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議許可權分級管理並建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高許可權越大
switch(config)#privilege exec level 7 commands
/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local
enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in
/調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/設置標准訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local
enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in
/調用authentication設置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰
二、交換機網路服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的介面shut或將埠模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的埠上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機埠有5個狀態:disable、blocking、listening、learning、forwarding,只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共計50s的時間,啟用portfast後將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用於連接終端或伺服器的交換機埠,不能在連接交換機的埠上使用!
switch(config-if)#spanning-tree guard root
/當一埠啟用了root
guard功能後,當它收到了一個比根網橋優先值更優的.BPDU包,則它會立即阻塞該埠,使之不能形成環路等情況。這個埠特性是動態的,當沒有收到更優的包時,則此埠又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpfilter enable
/當啟用bpfilter功能時,該埠將丟棄所有的bp包,可能影響網路拓撲的穩定性並造成網路環路
switch(config-if)#spanning-tree bpguard enable
/當啟用bpguard功能的交換機埠接收到bp時,會立即將該埠置為error-disabled狀態而無法轉發數據,進而避免了網路環路!
注意:同時啟用bpguard與bpfilter時,bpfilter優先順序較高,bpguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm