Ⅰ 思科模擬器命令大全
1、1介面配置,基本配置,沒什麼難度 以R0為例interface FastEthernet00 ip address 2552552550 no shutdown 思科路由器默認所有介面down interface Serial000 ip address。
2、思科trunk封閉有兩種協議isl和8021Qdot1q命令里表示為這個,ISL為思科私有封裝協議,8021Q為通用協議,但是思科部分交換機是不支持ISL,只支持8021Q,像只支持8021Q的交換機默認就是8021Q好像是無法使用封裝命。
3、212 先把兩個路由器和兩台電腦拖到中間分別用交叉線和dce串口線把他們連接起來 要想路由器連上dce串口線,單擊路由器,「物理」下面把電源關掉,再把左邊的「模塊」拖到路由器的空缺位置上,上電如圖,是紅色的。
4、樓主,你好\x0d\x0a\x0d\x0a在模擬器上添加思科交換機\x0d\x0a\x0d\x0a進行CLI輸入\x0d\x0a\x0d\x0a用戶模式hostname# \x0d\x0a特權模式hostnameconfig# \x0d\x0a全局配置模式hostname。
5、cisco路由器基本配置pkt8下載·0評論2020年11月19日思科路由器如何設置,cisco路由器的配置方法11下載·0評論2018年8月8日Cisco路由器配置GRE隧道docx0下載·0評論2022年7月12日計算機網路實驗思科模擬器Cisco Packet Tracer路由。
6、1所有部門能互訪,只要在核心交換機,打ip routing 命令,vlan 間就能互訪 2訪問外網在出口路由做NAT就行,最簡單的配置 accesslist 1 permit any ip nat inside source list 1 interface f0。
7、樓主,你好 在模擬器上添加思科交換機 進行CLI輸入 用戶模式hostname# 特權模式hostnameconfig# 全局配置模式hostnameconfigif# 交換機口令設置switchenable 進入特權模式 switch#config terminal 進入全局。
8、Switch0configint#switchport trunk encapsulation dot1q,將trunk 封裝模式設為 dot1q 3550,3560及以上交換機有這條命令2960封裝模式只有dot1q ,所以沒有Switch0configint#switchport mode trunk將。
9、模式切換指令 enable 進入特權模式一般簡寫為en config t 進入全局配置模式 interface fa 01 進入交換機某個埠視圖模式 exit 返回到上級模式 2 埠配置指令 埠配置指令 speed,plex 配置交換機埠參數 show。
10、大致的網路拓撲就如圖,不同人不同思想有點不同,但意思一樣基本配置你應該懂,我這里傳不了配置好的文件給你,所以說一下關鍵配置 1所有部門能互訪,只要在核心交換機,打ip routing 命令,vlan 間就能互訪。
11、cisco模擬器咋能支持H3c的IRF呢IRF對應cisco的技術就是stack原理都類似,就是通過線纜把背板連接起來,多台物理機器虛擬成一台邏輯的機器。
12、命令要在一行內打完,窗體可以自動拉大Aux 口這個版本暫不支持 支持三級 Switch routerAconfigrouter#neighbor remoteas 200 配置。
13、點擊按鈕,切換到模擬模式,這時在界面右邊會出現一個操作框我們通過實驗來了解具體功能吧打開pc1的cmd命令窗口,輸入ping 54,ping所在網段的路由器這時候,ping包會停止不動我們需要在操作窗口點擊 Auto。
14、該模擬器不支持 ISL封裝的,只支持 8021Q ,並且命令格式 後邊不是 vlan2 而是直接寫個 2 就行了 例如 Routerconfigsubif#encapsulation dot1Q 2。
15、應該是指在正確的命令集裡面使用ping命令的意思ping可能沒有授權這個命令在普通模式下使用enable#ping 這樣就可以了config#這樣ping也不行,必須是純粹的#模式才可以調用ping命令如果非要在全局模式下使用ping。
16、command prompt是進入PC的RUN模式DOS提示狀態,可以輸入IPCONFIG,PING等命令,要求電腦與交換機用網線連接terminal終端模式要求PC用console線連接交換機的console埠和PC的COM埠,可通過PC設置交換機二層或三層。
17、不知道樓主用的是什麼模擬器,是思科的PACKET TRACER還是DYNAMIPS 或者是GNS3,如果是後兩者,那可能是因為你選擇的IOS版本的問題,版本很重要,有一些路由器的版本沒有BGP命令,不帶K9的版本沒有VPN,或者是有一些非企業版本。
18、你好這是因為你所輸入的命令沒有找到,系統會按域名去查找,這就需要一定的時間,這個時間內你就不能輸入命令了在PT中,你可以加快時間的方法解決這個問題在PT主窗口左下角設備的上面,時間的右面有一個叫「Fast。
Ⅱ Cisco路由器配置命令
Cisco路由器配置命令大全
為方便考生復習思科路由器的配置,以下是我為大家整理的Cisco路由器配置命令,歡迎閱讀與收藏。
1. switch配置命令
(1)模式轉換命令
用戶模式----特權模式, 使用命令"enable"
特權模式----全局配置模式, 使用命令"config t"
全局配置模式----介面模式, 使用命令"interface+介面類型+介面號"
全局配置模式----線控模式, 使用命令"line+介面類型+介面號"
注:
用戶模式:查看初始化的信息.
特權模式:查看所有信息、調試、保存配置信息
全局模式:配置所有信息、針對整個路由器或交換機的所有介面
介面模式:針對某一個介面的配置
線控模式:對路由器進行控制的介面配置
(2)配置命令
show running config 顯示所有的配置
show versin 顯示版本號和寄存器值
shut down 關閉介面
no shutdown 打開介面
ip add +ip地址 配置IP地址
secondary+IP地址 為介面配置第二個IP地址
show interface+介面類型+介面號 查看介面管理性
show controllers interface 查看介面是否有DCE電纜
show history 查看歷史記錄
show terminal 查看終端記錄大小
hostname+主機名 配置路由器或交換機的標識
config memory 修改保存在NVRAM中的啟動配置
exec timeout 0 0 設置控制台會話超時為0
service password-encryptin 手工加密所有密碼
enable password +密碼 配置明文密碼
ena sec +密碼 配置密文密碼
line vty 0 4/15 進入telnet介面
password +密碼 配置telnet密碼
line aux 0 進入AUX介面
password +密碼 配置密碼
line con 0 進入CON介面
password +密碼 配置密碼
bandwidth+數字 配置帶寬
no ip address 刪除已配置的IP地址
show startup config 查看NVRAM中的配置信息
run-config atartup config 保存信息到NVRAM
write 保存信息到NVRAM
erase startup-config 清除NVRAM中的配置信息
show ip interface brief 查看介面的謫要信息
banner motd # +信息 + # 配置路由器或交換機的描素信息
description+信息 配置介面聽描素信息
vlan database 進入VLAN資料庫模式
vlan +vlan號+ 名稱 創建VLAN
switchport access vlan +vlan號 為VLAN為配介面
interface vlan +vlan號 進入VLAN介面模式
ip add +ip地址 為VLAN配置管理IP地址
vtp+service/tracsparent/client 配置SW的VTP工作模式
vtp +domain+域名 配置SW的VTP域名
vtp +password +密碼 配置SW的密碼
switchport mode trunk 啟用中繼
no vlan +vlan號 刪除VLAN
show spamming-tree vlan +vlan號 查看VLA怕生成樹議
2. 路由器配置命令
ip route+非直連網段+子網掩碼+下一跳地址 配置靜態/默認路由
show ip route 查看路由表
show protocols 顯示出所有的被動路由協議和介面上哪些協議被設置
show ip protocols 顯示了被配置在路由器上的路由選擇協議, 同時給出了在路由選擇協議中使用的定時器等信息
router rip 激活RIP協議
路由器的幾個基本命令:
Router>enable 進入特權模式
Router#disable 從特權模式返回到用戶模式
Router#configure terminal 進入到全局配置模式
Router(config)#interface ethernet 1 進入到路由器編號為1的乙太網口
exit 返回上層模式
end 直接返回到特權模式
========================================================
注意:
1、CISCO CATALYST(交換機),如果在初始化時沒有發現「用戶配置」文件,就會自動載入Default Settings(默認配置)文件,進行交換機初始化,以確保交換機正常工作。
2、CISCO Router(路由器)在初始化時,如果沒有發現「用戶配置」文件,系統會自動進入到「初始化配置模式」(系統配置對話模式,SETUP模式, STEP BY STEP CONFIG模式),不能正常工作!
========================================================
1、CONSOLE PORT(管理控制台介面):距離上限制,獨占的方式。剛開始配置的時候一般使用這個。
2、AUX port(輔助管理介面):可以掛接MODEM實現遠程管理,獨占的方式。
3、Telnet:多人遠程管理(決定於性能,VTY線路數量)不安全。後期維護,遠程管理登陸。
========================================================
注意:
交換機、路由器配置命令都是回車後立即執行,立即生效的。在運行中的機器上修改命令的時候要特別注意。
========================================================
Router(config)#hostname ?
WORD This system's network name
在配置模式下修改當前主機的本地標識,例:
------------------
Router(config)#hostname r11
r11(config)#
------------------
r11(config-if)#ip address ?
A.B.C.D IP address
為當前埠設置IP地址,使用前先進入需要配置的埠,例:
------------------
r11(config)#interface ethernet 1
r11(config-if)#ip address 172.16.1.1 255.255.255.0
------------------
r11>show version
r11#show version 觀察IOS版本,設備工作時間,相關介面列表
r11#show running-config 查看當前生效的配置,此配置文件存儲在RAM
r11#show interfaces ethernet 1 查看乙太網介面的狀態,工作狀態等等等...
========================================================
r11#reload 重新載入Router(重啟)
r11#setup 手工進入setup配置模式
r11#show history 查看歷史命令(最近剛用過的命令)
r11#terminal history size<0-256>設置命令緩沖區大小,0 : 代表不緩存
r11# running-config startup-config 保存當前配置
注意概念:
nvram:非易失性內存,斷電信息不會丟失 <-- 用戶配置 <-- 保存著startup-config
ram:隨機存儲器,斷電信息全部丟失 <-- 當前生效配置 <-- 保存著running-config
startup-config:在每次路由器或是交換機啟動時候,會主動載入(默認情況)
========================================================
設置說明和密碼的幾個命令:
r11(config)#banner motd [char c] 同時要以[char c]另起一行結束,描述機器登陸時的說明
r11(config-if)#description 描述介面注釋,需要在埠配置模式下
配置console口密碼:
------------------
r11(config)#line console 0 進入到consolo 0
r11(config-line)#password eliuzd 設置一個密碼為「eliuzd」
r11(config-line)#login 設置login(登陸)時使用密碼
------------------
配置enable密碼:
------------------
r11(config)#enable password cisco 設置明文的enable密碼
r11(config)#enable secret eliuzd 設置暗文的enable密碼(優先於明文被使用)
r11(config)#service password-encryption 加密系統所有明文密碼(功能較弱)
------------------
配置Telnet密碼:
------------------
r11(config)#line vty 0
r11(config-line)#password cisco
r11(config-line)#login
------------------
========================================================
配置虛擬回環介面:(回環介面默認為UP狀態)
(config)# 下,虛擬一個埠
------------------
r11(config)#interface loopback 0 創建一個回環介面loopback 0
r11(config-if)#ip address 192.168.1.1 255.255.255.0 配置它的IP地址
no * 做配置的反向操作(刪除配置)
------------------
=========================================================
路由器 DCE/DTE 僅存在廣域網中
r11#show controllers serial 0 用於查看DCE與DTE的屬性,serial 0路由器廣域網埠
DCE的Router需要配置時鍾頻率
r11(config-if)#clock rate ? 配置DCE介面的時鍾頻率(系統指定頻率)
一般實際情況下,這個不需要自己配置,因為DCE設備都在運營商那。
=========================================================
r11#show interfaces serial 1
查看埠狀態,第一行提示說明
Serial1 is administratively down, Line protocol is down
沒有使用no shutdown命令激活埠
Serial1 is down, Line protocol is down
1、對方沒有no shutdown激活埠
2、線路損壞,介面沒有任何連接線纜
Serial1 is up, line protocol is down
1、對方沒有配置相同的二層協議,Serial介面default encapsulation: HDLC
2、可能沒有配置時鍾頻率
3、可能沒有正確的配置三層地址(可能)
Serial1 is up,line protocol is up
介面工作正常
========================================================
查看CDP信息的幾個命令:
r11#show cdp neighbors 查看CDP的鄰居(不含IP)
r11#show cdp neighbors detail 查看CDP的鄰居(包含三層的IP地址)
r11#show cdp entry * 查看CDP的鄰居(包含三層的IP地址)老命令
r1(config)#no cdp run 在全局配置模式關閉CDP協議(影響所有的介面)
r1(config-if)#no cdp enable 在介面下關閉CDP協議(僅僅影響指定的介面)
r11#clear cdp table 清除CDP鄰居表
r11#show cdp interface serial 1 查看介面的CDP信息
注意兩個提示:
Sending CDP packets every 60 seconds(每60秒發送cdp數據包)
HoldTime 180 seconds(每個cdp數據包保持180秒)
========================================================
r11(config)#ip host 設置靜態的主機名映射
r11#show sessions 查看設置過的映射主機名
========================================================
Telnet *.*.*.* 被telnet的設備,需要設置line vty的密碼,如果需要進入特權模式需要配置enable密碼
Ⅲ 思科的路由器命令怎麼使用
CISCO路由器配置手冊任務命令設置用戶名和密碼username username password password
設置用戶的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}
指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]
基本介面設置命令:任務命令設置封裝形式為PPPencapsulation ppp
啟動非同步口的路由功能async default routing
設置非同步口的PPP工作方式async mode {dedicated | interactive}
設置用戶的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}
設置IP地址與Ethernet0相同ip unnumbered ethernet0line
撥號線設置:任務命令設置modem的工作方式modem {inout|dialin}
自動配置modem類型modem autoconfig discovery
設置撥號線的通訊速率speed speed
設置通訊線路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}連通後自動執行命令autocommand command
Ⅳ 思科2950交換機常用命令有哪些
交換機配置命令
類別 命令格式 命令含義
基本配置 S> enable 進入特權模式
S# configure terminal 進入全局配置模式
S(config)# hostname name 改變交換機名稱
S(config)# enable password level level_# password 設置用戶口令(level_#=1)或特權口令(level_#=15)
S(config)# line console 0 進入控制台介面
S(config-line)# password console_password 接上一條命令,設置控制台口令
S(config)# line vty 0 15 進入虛擬終端
S(config-line)# password telnet_password 接上一條命令,設置Telnet口令
S(config-line)# login 允許Telnet登錄
S(config)# enable password|secret privilege_password 配置特權口令(加密或不加密)
S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 進入介面子配置模式
S(config-if)# [no] shutdown 關閉或啟用該介面(默認啟用)
S(config)# ip address IP_address sunbet_mask 指定IP地址
S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址為默認網關
S# show running-config 查看當前的配置
S# running-config startup-config 將RAM中的當前配置保存到NVRAM中
S> show interface [type slot_#/port_#] 查看所有或指定介面的信息
S> show ip 顯示交換機的IP配置(只在1900系列上可用)
S> show version 查看設備信息
S# show ip interface brief 驗證IP配置
S(config-if)# speed 10|100|auto 設置介面速率
S(config-if)# plex auto|full|half 設置介面雙工模式
S> show mac-address-table 查看CAM表
S# clear mac-address-table 清除CAM表中的動態條目
1900(config)# mac-address-table permanent MAC_address type [slot_#/]port_# 在CAM表中創建靜態條目
2950(config)# mac-address-table static MAC_address vlan VLAN_# interface type [slot_#/] port_# 在CAM表中創建靜態條目
1900(config)# mac-address-table restricted static MAC_address source_port list_of_allowed_interface 設置靜態埠安全措施
1900(config-if)# port secure 啟用粘性學習
1900(config-if)# port secure max-mac-count value 設置粘性學習特性能夠學到的地址數量(默認132,取值范圍是1-132)
1900(config)# address-violation suspend|ignore|disable 改變安全選項
1900> show mac-address-table security 驗證埠安全措施
2950(config)# switchport mode access 定義介面為主機埠而不是中繼埠
2950(config)# switchport port-security 啟用埠安全措施
2950(config)# switchport port-security maximum value 指定可與此介面相關的設備的最大數量
2950(config)# switchport port-security violation protect|restrict|shutdown 指定出現安全違規時應該發生的事
2950(config)# switchport port-security mac-address MAC_address 指定允許與此介面相關的確切的MAC地址
Ⅳ 思科交換機詳細配置方法和命令
思科交換機的基本配置命令學習
一、交換機口令設置:
switch>enable ;進入特權模式
switch#config terminal ;進入全局配置模式
switch(config)#hostname csico ;設置交換機的主機名
switch(config)#enable secret
csico1 ;設置特權加密口令
switch(config)#enable password csico8 ;設置特權非密口令
switch(config)#line console 0 ;進入控制台口
switch(config-line)#line vty 0 4
;進入虛擬終端
switch(config-line)#login ;虛擬終端允許登錄
switch(config-line)#password
csico6 ;設置虛擬終端登錄口令csico6
switch#exit ;返回命令
二、交換機顯示命令:
switch#write ;保存配置信息
switch#show vtp ;查看vtp配置信息
switch#show run ;查看當前配置信息
switch#show
vlan ;查看vlan配置信息
switch#show interface ;查看埠信息
switch#show int f0/0
;查看指定埠信息
switch#show int f0/0 status;查看指定埠狀態
switch#dir flash: ;查看快閃記憶體
Cisco路由器配置命令大全網路 2010-06-26 06:43:44 閱讀657 評論0 字型大小:大中小 訂閱 .
(1)模式轉換命令
用戶模式----特權模式,使用命令"enable"
特權模式----全局配置模式,使用命令"config
t"
全局配置模式----介面模式,使用命令"interface+介面類型+介面號"
全局配置模式----線控模式,使用命令"line+介面類型+介面號"
注:
用戶模式:查看初始化的信息.
特權模式:查看所有信息、調試、保存配置信息
全局模式:配置所有信息、針對整個路由器或交換機的所有介面
介面模式:針對某一個介面的配置
線控模式:對路由器進行控制的介面配置
(2)配置命令
show running config 顯示所有的配置
show
versin 顯示版本號和寄存器值
shut down 關閉介面
no shutdown 打開介面
ip add +ip地址
配置IP地址
secondary+IP地址 為介面配置第二個IP地址
show interface+介面類型+介面號 查看介面管理性
show controllers interface 查看介面是否有DCE電纜
show history 查看歷史記錄
show
terminal 查看終端記錄大小
hostname+主機名 配置路由器或交換機的標識
config memory
修改保存在NVRAM中的啟動配置
exec timeout 0 0 設置控制台會話超時為0
service password-encryptin
手工加密所有密碼
enable password +密碼 配置明文密碼
ena sec +密碼 配置密文密碼
line vty 0
4/15 進入telnet介面
password +密碼 配置telnet密碼
line aux 0 進入AUX介面
password
+密碼 配置密碼
line con 0 進入CON介面
password +密碼 配置密碼
bandwidth+數字 配置帶寬
no ip address 刪除已配置的IP地址
show startup config 查看NVRAM中的配置信息
run-config atartup config 保存信息到NVRAM
write 保存信息到NVRAM
erase
startup-config 清除NVRAM中的配置信息
show ip interface brief 查看介面的謫要信息
banner
motd # +信息 + # 配置路由器或交換機的描素信息
description+信息 配置介面聽描素信息
vlan database
進入VLAN資料庫模式
vlan +vlan號+ 名稱 創建VLAN
switchport access vlan +vlan號
為VLAN為配介面
interface vlan +vlan號 進入VLAN介面模式
ip add +ip地址 為VLAN配置管理IP地址
vtp+service/tracsparent/client 配置SW的VTP工作模式
vtp +domain+域名 配置SW的VTP域名
vtp +password +密碼 配置SW的密碼
switchport mode trunk 啟用中繼
no vlan +vlan號
刪除VLAN
show spamming-tree vlan +vlan號 查看VLA怕生成樹議
三. 路由器配置命令
ip
route+非直連網段+子網掩碼+下一跳地址 配置靜態/默認路由
show ip route 查看路由表
show protocols
顯示出所有的被動路由協議和介面上哪些協議被設置
show ip protocols 顯示了被配置在路由器上的路由選擇協議,同時給出了在路由選擇協議中使用
的定時器
等信息
router rip 激活RIP協議
network +直連網段 發布直連網段
interface lookback 0 激活邏輯介面
passive-interface +介面類型+介面號 配置介面為被動模式
debug ip +協議 動態查看路由更新信息
undebug all 關閉所有DEBUG信息
router eigrp +as號
激活EIGRP路由協議
network +網段+子網掩碼 發布直連網段
show ip eigrp neighbors 查看鄰居表
show ip eigrp topology 查看拓撲表
show ip eigrp traffic 查看發送包數量
router
ospf +process-ID 激活OSPF協議
network+直連網段+area+區域號 發布直連網段
show ip ospf
顯示OSPF的進程號和ROUTER-ID
encapsulation+封裝格式 更改封裝格式
no ip admain-lookup
關閉路由器的域名查找
ip routing 在三層交換機上啟用路由功能
show user 查看SW的在線用戶
clear line
+線路號 清除線路
四. 三層交換機配置命令
配置一組二層埠
configure terminal 進入配置狀態
nterface range {port-range} 進入組配置狀態
配置三層埠
configure terminal 進入配置狀態
interface {{fastethernet | gigabitethernet} interface-id} | {vlan vlan-id} |
{port-
channel port-channel-number} 進入埠配置狀態
no switchport
把物理埠變成三層口
ip address ip_address subnet_mask 配置IP地址和掩碼
no shutdown 激活埠
例:
Switch(config)# interface gigabitethernet0/2
Switch(config-if)#
no switchport
Switch(config-if)# ip address 192.20.135.21 255.255.255.0
Switch(config-if)# no shutdown
配置VLAN
configure terminal 進入配置狀態
vlan vlan-id 輸入一個VLAN號, 然後進入vlan配態,可以輸入一個新的VLAN號或舊的來進行修改
Ⅵ 思科路由器配置命令大全
思科路由器常用配置命令如下:
1、Exec commands:
<1-99> 恢復一個會話
bfe 手工應急模式設置
clear 復位功能
clock 管理系統時鍾
configure 進入設置模式
connect 打開一個終端
從tftp伺服器拷貝設置文件或把設置文件拷貝到tftp伺服器上
debug 調試功能
disable 退出優先命令狀態
disconnect 斷開一個網路連接
enable 進入優先命令狀態
erase 擦除快閃內存
exit 退出exce模式
help 交互幫助系統的描述
lat 打開一個本地傳輸連接
lock 鎖定終端
login 以一個用戶名登錄
logout 退出終端
mbranch 向樹形下端分支跟蹤多路由廣播
mrbranch 向樹形上端分支跟蹤反向多路由廣播
name-connection 給一個存在的網路連接命名
no 關閉調試功能
pad 打開X.29 PAD連接
ping 發送回顯信息
ppp 開始點到點的連接協議
reload 停機並執行冷啟動
resume 恢復一個活動的網路連接
rlogin 打開遠程注冊連接
rsh 執行一個遠端命令
send 發送信息到另外的終端行
setup 運行setup命令
show 顯示正在運行系統信息
slip 開始SLIP協議
start-chat 在命令行上執行對話描述
systat 顯示終端行的信息
telnet 遠程登錄
terminal 終端行參數
test 測試子系統內存和埠
tn3270 打開一個tin3270連接
trace 跟蹤路由到目的地
undebug 退出調試功能
verify 驗證檢查閃爍文件的總數
where 顯示活動的連接
which-route 執行OSI路由表查找並顯示結果
write 把正在運行的設置寫入內存、網路、或終端
x3 在PAD上設置X.3參數
xremote 進入xremote模式
Ⅶ cisco交換機安全配置設定命令
cisco交換機安全配置設定命令大全
思科交換機的安全怎麼設置,下面為大家分交換機安全設置的配置命令,希望對同學們學習思科交換機有所幫助!
一、交換機訪問控制安全配置
1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建議不要採用enable password pass_sting密碼,破解及其容易!
2、設置對交換機明文密碼自動進行加密隱藏
switch(config)#service password-encryption
3、為提高交換機管理的靈活性,建議許可權分級管理並建立多用戶
switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼
switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/為7級,15級用戶設置用戶名和密碼,Cisco privilege level分為0-15級,級別越高許可權越大
switch(config)#privilege exec level 7 commands
/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義
4、本地console口訪問安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
設置登錄console口進行密碼驗證
方式(1):本地認證
switch(config-line)#password 7 pass_sting /設置加密密碼
switch(config-line)#login /啟用登錄驗證
方式(2):本地AAA認證
switch(config)#aaa new-model /啟用AAA認證
switch(config)#aaa authentication login console-in group acsserver local
enable
/設置認證列表console-in優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#line console 0
switch(config-line)# login authentication console-in
/調用authentication設置的console-in列表
5、遠程vty訪問控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/設置標准訪問控制列表定義可遠程訪問的PC主機
switch(config)#aaa authentication login vty-in group acsserver local
enable
/設置認證列表vty-in, 優先依次為ACS Server,local用戶名和密碼,enable特權密碼
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/為7級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/為15級用戶定義vty-in授權列表,優先依次為ACS Server,local授權
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18
switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間,單位為分鍾和秒
switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/強制對彈出的干擾日誌信息進行回車換行,使用戶輸入的命令連續可見
switch(config-line)#login authentication vty-in
/調用authentication設置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet協議不安全,僅允許通過ssh協議進行遠程登錄管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名
switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰
二、交換機網路服務安全配置
禁用不需要的各種服務協議
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/關閉http,https遠程web管理服務,默認cisco交換機是啟用的
三、交換機防攻擊安全加固配置
MAC Flooding(泛洪)和Spoofing(欺騙)攻擊
預防方法:有效配置交換機port-security
STP攻擊
預防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻擊
預防方法:設置專用的native vlan;不要的介面shut或將埠模式改為access
DHCP攻擊
預防方法:設置dhcp snooping
ARP攻擊
預防方法:在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/啟用環路保護功能,啟用loop guard時自動關閉root guard
接終端用戶的埠上設定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交換機埠有5個狀態:disable、blocking、listening、learning、forwarding,只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共計50s的時間,啟用portfast後將直接從blocking-->forwarding狀態,這樣大大縮短了等待的時間。
說明:portfast僅適用於連接終端或伺服器的交換機埠,不能在連接交換機的埠上使用!
switch(config-if)#spanning-tree guard root
/當一埠啟用了root
guard功能後,當它收到了一個比根網橋優先值更優的.BPDU包,則它會立即阻塞該埠,使之不能形成環路等情況。這個埠特性是動態的,當沒有收到更優的包時,則此埠又會自己變成轉發狀態了。
switch(config-if)#spanning-tree bpfilter enable
/當啟用bpfilter功能時,該埠將丟棄所有的bp包,可能影響網路拓撲的穩定性並造成網路環路
switch(config-if)#spanning-tree bpguard enable
/當啟用bpguard功能的交換機埠接收到bp時,會立即將該埠置為error-disabled狀態而無法轉發數據,進而避免了網路環路!
注意:同時啟用bpguard與bpfilter時,bpfilter優先順序較高,bpguard將失效!
廣播、組播風暴控制設定
switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%
switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm