1、SW1管理SW3、需在SW3上配置静态路由
2、在设备升级时、PC1用户无法正常使用、PC2正常、需删除原有的MAC地址和网关的绑定关系siwtch(config)#no logging event link-status 关闭接口状态日志信息
info-center enable 开启日志系统
undo info-center enable 关闭日志系统
info-center synchronous 打开命令行输入回显功能
远程登录配置(telnet ,ssh)
telnet server enable 开启telnet服务
local-user admin 建立本地用户
password simple 123 设置密码
authorization-attribute level 3 拥有的权限
访问级(0级)网络诊断工具命令、从本设备出发访问外部设备的命令
监控级(1级)用于系统维护、业务故障诊断的命令
系统级(2级)业务配置命令
管理级(3级)关系到系统基本运行,系统支撑模块的命令
service-type telnet 服务类型 telnet下的用户
service-type terminal level 3 有时候需要开启console登陆密码模式
user-interface vty 0 4
authentication-mode scheme 调用本地认证
protocol inbound telnet 启用telnet登录
acl 3000 inbound 允许进来的acl条目
acl number 3000 acl条目
rule 0 permit tcp 允许tcp访问
rule 5 permit tcp source host 192.168.1.1 any destination-port eq 23 允许192.168.1.1 访问任何的22端口
user-interface aux 0 进入console口
authentication-mode password 配置密码
设置超时时间:
user-interface vty 0 4
idle-timeout 1 30 设置超时时间为1分钟30秒。
idle-timeout minutes10 10分钟无操作自动断开连接
idle-timeout seconds10 10秒钟无操作自动断开连接
lock lock-timeout timeout 锁定超时时间
idle-timeout 超时时间默认为10分钟
escape-key a 按a终结ping
activation-key s 按s进入console配置界面
auto-execute command telnet 192.168.1.2 192.168.1.2 登录不需要密码可以直接登录
password-control enable
password-control login-attempt 3 exceed lock-time 1 登录尝试次数三次 则等1分钟在登录
排错步骤:
1、检测网络连接性(ping)
2、telnet服务器功能没有启动
3、telnet服务器端口号不是缺省端口号
4、telnet服务器未配置验证信息
5、登录telnet服务器的用户数达到上限
6、telnet服务器配置acl
在ssh没出现之前,管理网络设备使用Telnet
telnet三个致命的弱点:
1、数据传输采用明文方式,没有任何机密性而言
2、认证机制脆弱,认证信息在网上传输是以明文传输,容易被人窃听
3、客户端无法识别服务器身份,攻击者很容易“伪服务器欺骗”
public-key local create rsa 配置非对称密钥生成本地公钥password-control enable
ssh server enable 开启ssh服务
ssh user admin service-type stelnet authentication-type 配置用户admin的服务类型为stelnet 认证方式为
ip ssh version 2 默认是1.99版本
ssh server timeout 1 设置ssh超时时间
ssh server authentication-retries 3 设置ssh验证重试次数
domain 必须有一个域名生成自己的key(RSA自签名的key)
设置WEB管理端口
ip http enable 开启http
ip http port 8080 开启http8080端口
ip http acl 2000 配置HTTP服务与ACL 2000关联
<Quidway> send vty 0 向用户界面VTY 0发送消息
Enter message, end with CTRL+Z or Enter; abort with CTRL+C:
Hello,what are you doing ?
Send message? [Y/N] y 确认要发送后,通过VTY 0登录到Quidway的用户就会收到这条信息
强制下线
free user-interface vty 0 释放远程登陆用户
user-interface vty 0 4
undo shell 设置在虚拟终端(VTY)0到4上终止终端服务
lock 锁定当前用户界面
<Ctrl+T>快捷键——客户端主动断开telnet连接
Ctrl + C组合键退出会话模式
Ctrl + shift + 6 中断ping、tracrt命令
logging synchronous 配置console日志同步,输入命令的时候不被一些日志信息打断
logging console warnings 只有4级以下的日志消息显示到控制台上,默认记录所有日志信息
华为SSH配置
rsa local-key-pair create #创建本地密钥对
aaa
local-user admin password cipher 123456 #创建SSH用户及密码
local-user admin privilege level 3#分配用户权限
local-user admin service-type ssh#服务类型
ssh user admin authentication-type password#配置ssh用户的认证方式
ssh user admin service-type {sftp | stelnet | all }
stelnet server enable #打开ssh服务
user-interface vty 0 4
authentication-mode aaa #调用AAA认证模式
protocol inbound ssh 只能允许SSH协议进入
SSH登陆失败:
1、检测网络连接性(ping)
2、检查网络设备是否开启服务功能或匹配版本信息(display ssh server status)
3、检查vty用户界面配置信息(display this)
4、检查ssh用户密码(display local-user)
5、检查用户登录是否超时(display ssh server status)
6、telnet服务器配置acl
SSH的攻击导致CPU利用率突发增高
Current FSM is : SSH_Main_VersionMatch%Sep 14 03:49:37 2016 NE40-A-ZZ1SSH/5/fsm_move:FSM MOVE FROM SSH_Main_VersionMa tch TO SSH_Main_Disconnect
第一步、执行命令system-view,进入系统视图。
第二步、执行命令user-interface vty 0 16,进入VTY用户界面视图。
第三步、执行命令protocol inbound telnet,配置所在用户接口支持的协议为Telnet。不接受SSH用户,CPU使用率下降,问题得以解决