网络安全
设置的密文密码优先级大于明文密码。
service password-encryption之前所有的明文密码都加密
Show running-config | exclude !显示除了!开头的所有行
Show running-config | include enable 显示enable开头的所有行
Show running-config | begin enable显示从enable开始之后所有
Show running-config | section enable显示所有与enable相关的数据块
No enable password 删除enable密码
no service password-encryption之前所改的密文还是密文,之后所输的便不是密文了
启动SSH:
关于SSH:
ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"
配置SSH:
username niubao secret 123
IP domain-name node 与用户名密码一起生成密钥
Crypto key generate rsa modulus生成加密方式和密钥长度
line vty 0 4
login local
transport intput ssh
ssh -l abc 1.1.1.1
终端登录命令
设置一个时钟:
r2#clock set 11:11:11 july 11 2011设置时钟
r2(config)#ntp master 设置服务器
r1(config)#ntp server 192.168.12.2
开始同步服务器
r1(config)#do show ntp status看时间
r1#show clock或者这个
PC从DHCP代理上获得IP地址:
配置DHCP代理:
R5(config-subif)#int e0/0.20
R5(config-subif)#ip helper-address 10.0.40.1
代理获取DHCP服务器
PC获取IP地址:
VPCS> ip dhcp
路由器模拟VPC获取IP地址:
P4(config-if)#ip add dhcp
配置DHCP地址池:
DHCPserver(config)#ip dhcp pool vlan10
DHCPserver(dhcp-config)#network 10.0.10.0 /24
DHCPserver(dhcp-config)#default-router 10.0.10.254
开启信任接口:
Switch(config)#ip dhcp snooping
开启DHCP功能,这时默认不信任所有端口
Switch(config)#int range e0/0,e1/0,e0/3
Switch(config-if-range)#ip dhcp snooping trust
设置一些可信任端口
Switch(config)#ip dhcp snooping vlan 10,20,30,40设置一些可信任vlan
VPCS> ip dhcp
满足以上就可以成功获取ip了
定义一个有限制条件的接口:
Switch(config-if)#switchport mode access 首先把链路状态改为access
Switch(config-if)#switchport port-security 开启安全的功能
Switch(config-if)#switchport port-security maximum 1 Mac地址表最多存在一个Mac 地址
Switch(config-if)#switchport port-security violation shutdown
当条件出发,直接关闭接口
Switch(config-if)#shutdown 开启前需再次关闭然后开启
Switch(config-if)#no shutdown 开启
日志配置:
Show logging 全局模式下查看日志
全局模式下:
Logging buffer 默认开启
No logging buffer 关闭日志缓冲
longging console 开启控制台显示日志
No logging console 关闭控制台显示日志
开启telnet虚拟线路上日志显示
需要在全局模式下输入logging monitor (在被管理的终端上)
然后每次telnet 的时候,需要在特权模式下输入terminal monitor(在管理的终端上)
日志存放在 日志服务器中
SNMP管理的日志服务器中
配置日志服务器(服务器IP: 192.168.200.1 )
全局:logging 192.168.200.1
把级别为0-6(information)以上的全部写入日志
全局: logging trap informational
例如:特权模式下:debug ip icmp
即把ip协议中的icmp报文全部写入日志
序列号——时间戳——设备类型——严重级别(0-7)——描述信息
开启日志序列号:
(全局)service sequence-numbers
开启日志时间戳:
(全局)service timestamps
snmp是UDP协议161
snmpV1明文
snmpV2明文
snmpV3密文
全局模式:snmp-server community(属性) cisco1(密码) ro(read only)
全局模式:snmp-server community cisco2 rw(read write)
全局模式:snap-server host 192.168.200.1 abc
以abc 的名字被192.168.200.1 服务器管理
