网络基础CCNP|网络安全与配置-阿里云开发者社区

开发者社区> 安全> 正文

网络基础CCNP|网络安全与配置

简介: 一些基本的保护措施

网络安全

设置的密文密码优先级大于明文密码。

service password-encryption之前所有的明文密码都加密

Show running-config | exclude !显示除了!开头的所有行
Show running-config | include enable 显示enable开头的所有行
Show running-config | begin enable显示从enable开始之后所有
Show running-config | section enable显示所有与enable相关的数据块

No enable password 删除enable密码

no service password-encryption之前所改的密文还是密文,之后所输的便不是密文了

启动SSH:

关于SSH:

ftppoptelnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的, 就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。所谓“中间人”的攻击方式, 就是“中间人”冒充真正的服务器接收你传给服务器的数据,然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后,就会出现很严重的问题。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间人"这种攻击方式就不可能实现了,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替Telnet,又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"

配置SSH:

username niubao secret 123

IP domain-name node 与用户名密码一起生成密钥

Crypto key generate rsa modulus生成加密方式和密钥长度

line vty 0 4
login local
transport intput ssh
ssh -l abc 1.1.1.1

终端登录命令

设置一个时钟:

r2#clock set 11:11:11 july 11 2011设置时钟
r2(config)#ntp master 设置服务器
r1(config)#ntp server 192.168.12.2

开始同步服务器

r1(config)#do show ntp status看时间
r1#show clock或者这个

PC从DHCP代理上获得IP地址:

配置DHCP代理:

R5(config-subif)#int e0/0.20
R5(config-subif)#ip helper-address 10.0.40.1

代理获取DHCP服务器

PC获取IP地址:

VPCS> ip dhcp

路由器模拟VPC获取IP地址:

P4(config-if)#ip add dhcp

配置DHCP地址池:

DHCPserver(config)#ip dhcp pool vlan10
DHCPserver(dhcp-config)#network 10.0.10.0 /24
DHCPserver(dhcp-config)#default-router 10.0.10.254

开启信任接口:

Switch(config)#ip dhcp snooping
开启DHCP功能,这时默认不信任所有端口
Switch(config)#int range e0/0,e1/0,e0/3
Switch(config-if-range)#ip dhcp snooping trust
设置一些可信任端口
Switch(config)#ip dhcp snooping vlan 10,20,30,40设置一些可信任vlan
VPCS> ip dhcp
满足以上就可以成功获取ip了

定义一个有限制条件的接口:

Switch(config-if)#switchport mode access 首先把链路状态改为access
Switch(config-if)#switchport port-security 开启安全的功能
Switch(config-if)#switchport port-security maximum 1 Mac地址表最多存在一个Mac 地址
Switch(config-if)#switchport port-security violation shutdown
当条件出发,直接关闭接口
Switch(config-if)#shutdown 开启前需再次关闭然后开启
Switch(config-if)#no shutdown 开启

日志配置:

Show logging 全局模式下查看日志

全局模式下:

Logging buffer 默认开启
No logging buffer 关闭日志缓冲
longging console 开启控制台显示日志
No logging console 关闭控制台显示日志
开启telnet虚拟线路上日志显示
需要在全局模式下输入logging monitor (在被管理的终端上)
然后每次telnet 的时候,需要在特权模式下输入terminal monitor(在管理的终端上)
日志存放在 日志服务器中
SNMP管理的日志服务器中

配置日志服务器(服务器IP: 192.168.200.1 )

全局:logging 192.168.200.1

把级别为0-6(information)以上的全部写入日志
全局: logging trap informational
例如:特权模式下:debug ip icmp
即把ip协议中的icmp报文全部写入日志

序列号——时间戳——设备类型——严重级别(0-7)——描述信息

开启日志序列号:

(全局)service sequence-numbers

开启日志时间戳:

(全局)service timestamps

snmp是UDP协议161
snmpV1明文
snmpV2明文
snmpV3密文
全局模式:snmp-server community(属性) cisco1(密码) ro(read only)
全局模式:snmp-server community cisco2 rw(read write)
全局模式:snap-server host 192.168.200.1 abc

以abc 的名字被192.168.200.1 服务器管理

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章