1. Cisco基础配置命令#注释
R1(config)#banner motd # 提示信息,#(分界符)
设置console密码
R1(config)#line console 0 进入console 0
R1(config-line)#login 允许登陆
R1(config-line)#password cisco 设置密码
R1(config-line)#logging synchronous 使光标还原到原来的位置,重新显示被覆盖的命令里
R1(config-line)#exec-timeout 0 0 阻止会话退出(前1个0单位是“分钟”,后1个0单位是“秒”)
设置特权密码
#enable password cisco 设置明文密码cisco(进特权模式密码)
#service password-encryption 加密上面的明文密码
#enable secret cisco1 设置密文密码cisco1(进特权模式密码)
当明文密码和密文密码同时存在时,密码密码的优先级要高于明文密码
R1(config)#line vty 0 4 设置虚拟终端 允许0~4共5个用户同时登陆
R1(config-line)#password cisco 设置明文密码cisco
R1(config-line)#login local 登陆采用本地密码验证
R1(config)# running-config startup-config 保存配置
R1#show startup-config 查看NVRAM里面的配置
R1#reload 重新启动
R1(config)#interface ethernet 0 进入接口模式
R1(config-if)#description Telecom 提示信息
R1(config-if)#ip add 10.10.10.1 255.255.255.0
R1#show interfaces serial 1 查看接口状态,如果封装协议不同会显示一端接口up,另一端接口down
R1#show interfaces serial 0
R1#show controller serial 0 查看哪一端是DCE或DTE
R1(config)#interface serial 0 进入子接口
R1(config-if)#clock rate 64000 必须在DCE端配置,两个路由器之间通讯必须配置时钟同步
R1(config-if)#no shutdown 开启端口
R1#show cdp 思科专有发现协议CDP,发现直接相邻的设备
entry 详细信息 show cdp entry *
interface 接口
neighbors 邻居
traffic 接口数据包情况汇总
R1(config)#no cdp run 所有接口取消CDP
R1(config)#interface serial 0 假如我想只关掉serial 0接口的CDP协议,进入接口
R1(config-if)#no cdp enable 关闭这个接口CDP
Router>en 进特权模式
Router#conf t 进全局模式
Router(config)#line con 0 进console口
Router(config-line)#logg sy 光标跟随不覆盖命令
Router(config-line)#exec-t 0 0 会话永不超时
Router(config-line)#exi 退回上层
Router(config)#no ip domain-lo 取消域名解析
Router(config)#host R1 重命名路由器名称
创建VLAN
SW#vlan database 进入vlan模式
SW(vlan)#vlan 2 name cisco 创建vlan2并命名为cisco
SW(config)#int fa 0/2 在全局模式下进入快速以太网接口2
SW(config-if)#switchport mode access 定义端口为访问接口模式(接口模式分为"trunk"主干接口和访问接口)
SW(config-if)#switchport access vlan 2 将端口2加入到vlan2中
SW(config-if)#no shutdown
Trunk配置
SW#vlan database
SW#conf t
SW(config)#int fa 0/1
SW(config-if)#switchport mode trunk 定义端口为主干接口模式
SW(config-if)#switchport trunk encapsulation dot1q 封装dot1q协议
SW(config-if)#no shutdown
Telnet相关命令
Router#show session 查看连接的是哪台设备
Router#show user 查看登录的用户
RouterB# X 先按Ctrl+Shift+6然后再按X就切换到路由A上面
RouterA#show session
RouterA#resume 1 返回到路由器B上面
RouterB# disconnect 断开连接
RouterA#clear line 0 清除远端设备建立的会话
show version ! 检查配置寄存器的值
show flash ! 检查Flash中的ISO
show startup-config ! 检查NVRAM中的启动配置文件
show running-config ! 检查RAM中的文件
Router#erase startup-config 删除NVRAM中的配置文件
Router(config)#config-register 0x2101 修改寄存器的值(0x2102 正常的值,0x2142 跳过配置文件,0x2101 进入迷你ios)
Router# running-config startup-config 保存配置文件
Router#write 保存配置文件(全程保存配置)
cisco2600、3600等新系列路由器密码破解
1.启动路由器,60秒内按下CTRL+break键
2.rommon>confreg 0x2142 配置启动时不引导配置文件
3.rommon>reset 重启
4.router# startup-config running-config 将NVRAM里面的配置文件拷贝到内存中(进特权模式操作)
5.router(config)#no enable secrect 取消特权密码
6.router(config-line)#no password 取消vty密码
7.router# running-config startup 保存
8.router(config)#config-register 0x2102
配置VTP
SW#vlan database
SW(vlan)#vtp server VTP服务器端,另一台交换机设置为client客户端
SW(vlan)#vtp domain cisco 设置VTP域名为cisco ,客户端同样设置
SW(vlan)#vtp password cisco 设置密码为cisco ,客户端同样设置
2. cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全
思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助!
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建议不要采用enable password pass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#service password-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码
switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大
switch(config)#privilege exec level 7 commands
/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password 7 pass_sting /设置加密密码
switch(config-line)#login /启用登录验证
方式(2):本地AAA认证
switch(config)#aaa new-model /启用AAA认证
switch(config)#aaa authentication login console-in group acsserver local
enable
/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#line console 0
switch(config-line)# login authentication console-in
/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaa authentication login vty-in group acsserver local
enable
/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#login authentication vty-in
/调用authentication设置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名
switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MAC Flooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置root guard,bpguard,bpfilter
VLAN,DTP攻击
预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcp snooping
ARP攻击
预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/启用环路保护功能,启用loop guard时自动关闭root guard
接终端用户的端口上设定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-tree guard root
/当一端口启用了root
guard功能后,当它收到了一个比根网桥优先值更优的.BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-tree bpfilter enable
/当启用bpfilter功能时,该端口将丢弃所有的bp包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-tree bpguard enable
/当启用bpguard功能的交换机端口接收到bp时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpguard与bpfilter时,bpfilter优先级较高,bpguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%
switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm