在当今的信息化时代,网络设备的安全配置尤为重要,Cisco交换机作为网络中常见的设备,其SSH(Secure Shell)配置是保障设备安全的关键步骤,本文将详细介绍如何配置Cisco交换机的SSH,确保您的网络设备安全可靠。
思科路由器SSH配置案例
思科路由器SSH配置案例
SSH为建立在应用层基础上的安全协议。 SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。 利用SSH 协议可以有效防止远程管理过程中的信息泄露问题。 下面是思科路由器SSH配置案例,希望对你有帮助!
1. 配置hostname和ipdomain-name
Router#configure Terminal
Router(config)#hostname R2 //配置ssh的时候路由器的名字不能为router
R2(config)#ip domain-name //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:添加一个用户:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允许用SSH登录(注意:禁止telnet和从
交换引擎session!)
2. 配置SSH服务:
R2(config)#crypto key generate rsa
The name for the keys will be:
注:SSH的关键字名就是hostname + . +ipdomain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minuts
How many bits in the modulus [512]: 注:选择加密位数,cisco推荐使用1024
Generating RSA keys ...
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:
R2(config)#crypto key zeroize rsa
3.设置SSH参数
配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超时限定改为180秒,则应该用:
R2(config)# ip ssh time-out 180
如果要把重试次数改成5次,则应该用:
R2(config)# ip ssh authentication-retries
这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。
注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容:
R1#ssh -l best 192.168.0.2
% error in authentication.
为什会出现以上内容?
因为在R2上没有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那么在R1上:
R1#ssh -l best 192.168.0.2
拓展:
思科路由器如何设置
首先将路由器进行初始化复位,恢复出厂设置(非常重要),然后将电脑网卡与路由器LAN口用网线连接,打开路由器电源;电脑网卡设置192.168.1.2;
在电脑上双击IE浏览器,在地址栏中输入路由器默认设置页面IP地址:192.168.1.1回车;
输入默认用户名:admin,默认密码:admin;点击确定。
1、设置拨号账号:
点击左边栏设置向导,点击下一步;
点选ADSL虚拟拨号(PPPOE)点击下一步;
输入宽带账号、密码,点击下一步;
2、设置无线wifi密码:
左边还有个选项无线设置里面,有个ssid,这是WiFi的无线账号,设置好后有密码设置,密码尽量复杂些,最好字母数字符号组合;
3、设置登录密码
将默认的admin、admin登录密码改掉,防止有人破解蹭网后修改路由器。
点击保存后重启,完成。
思科路由器优势
一个系统方法的价值。
系统方法开始于单一永续平台,如思科(Cisco)集成多业务路由器。 系统方法相结合的内部及其相互之间的智能服务,包装,编织语音,安全,路由和应用服务结合起来,使程序更加自动化和智能化。
结果普遍安全的网络和应用,对数据,语音更高的服务质量和视频流量,提高时间效率,更好地利用网络资源。
随着集成多业务路由器,思科(Cisco)提供了一个全面的`,未来需求的解决方案,最大限度地减少网络中断,并确保进入最关键业务应用。 思科(Cisco)对性能结合新的基础设施服务的重点是使公司创造网络更聪明,更有弹性,可靠。
对于各种规模的需要快速,安全访问,今天的任务是,作为今后发展的基础和关键应用,思科(Cisco)路由器组织:
提供业界第一个投资组合提供安全,线速提供并发数据,语音传送设计和视频服务
嵌入安全和语音服务到一个单一的路由系统;
采用集成的系统方法的嵌入式服务,应用部署速度,降低运营成本和复杂性;
提供无与伦比的服务性能和投资保护;
不同专业的小产品,思科(Cisco)集成多业务路由器中嵌入作为一个单一的弹性系统,便于部署简化的管理,安全和语音服务,并降低运营成本。 思科(Cisco)路由器提供安全的通信解决方案,你今天需要,同时为明天的智能信息网络的基础。
此外,思科(Cisco)集成多业务路由器:
提供快捷,安全地访问关键任务业务应用和未来发展无可比拟的投资保护,使企业能够轻松部署和管理的融合,通讯解决方案得到最终用户的生产力端对端的安全;
特征业界领先的服务密度,带宽,可用性和最高配置的灵活性和最苛刻的网络环境中的可扩展性性能选项;
提供的语音容量和广泛的服务,使客户可以轻松地实现终端到终端的,最佳的IP通信解决方案,同时提供一个未来的增长和投资保护的基础;
是唯一的路由器,允许企业构建一个智能的,自防御网络的基础,具有最佳的服务,一流的安全和路由最低的总拥有成本的技术和最高的投资回报。
;cisco交换机安全配置设定命令
cisco交换机安全配置设定命令大全
思科交换机的安全怎么设置,下面为大家分交换机安全设置的配置命令,希望对同学们学习思科交换机有所帮助!
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5 hash方式
switch(config)#enable secret 5 pass_string
其中 0 Specifies an UNENCRYPTED password will follow
5 Specifies an ENCRYPTED secret will follow
建议不要采用enable password pass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#service password-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码
switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码
switch(config)#username userA privilege 7 secret 5 pass_userA
switch(config)#username userB privilege 15 secret 5 pass_userB
/为7级,15级用户设置用户名和密码,Cisco privilege level分为0-15级,级别越高权限越大
switch(config)#privilege exec level 7 commands
/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#line console 0
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password 7 pass_sting /设置加密密码
switch(config-line)#login /启用登录验证
方式(2):本地AAA认证
switch(config)#aaa new-model /启用AAA认证
switch(config)#aaa authentication login console-in group acsserver local
/设置认证列表console-in优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#line console 0
switch(config-line)# login authentication console-in
/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list 18 permit host x.x.x.x
/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaa authentication login vty-in group acsserver local
/设置认证列表vty-in, 优先依次为ACS Server,local用户名和密码,enable特权密码
switch(config)#aaa authorization commands 7 vty-in group acsserver local
if-authenticated
/为7级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#aaa authorization commands 15 vty-in group acsserver local
if-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACS Server,local授权
switch(config)#line vty 0 15
switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18
switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in
switch(config-line)#authorization commands 15 vty-in
switch(config-line)#logging synchronous
/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#login authentication vty-in
/调用authentication设置的vty-in列表
switch(config-line)#transport input ssh
/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名
switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#server x.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#no service pad
switch(config)#no service finger
switch(config)#no service tcp-small-servers
switch(config)#no service udp-small-servers
switch(config)#no service config
switch(config)#no service ftp
switch(config)#no ip http server
switch(config)#no ip http secure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MAC Flooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置root guard,bpduguard,bpdufilter
VLAN,DTP攻击
预防方法:设置专用的native vlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcp snooping
ARP攻击
预防方法:在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下
switch(config)#int gi x/x/x
switch(config-if)#sw mode trunk
switch(config-if)#sw trunk encaps dot1q
switch(config-if)#sw trunk allowed vlan x-x
switch(config-if)#spanning-tree guard loop
/启用环路保护功能,启用loop guard时自动关闭root guard
接终端用户的端口上设定
switch(config)#int gi x/x/x
switch(config-if)#spanning-tree portfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening
15s,listening-->learning 15s,learning-->forwarding 20s
共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-tree guard root
/当一端口启用了root
guard功能后,当它收到了一个比根网桥优先值更优的包,则它会立即阻塞该端口,使之不能形成环路等情况。 这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-tree bpdufilter enable
/当启用bpdufilter功能时,该端口将丢弃所有的bpdu包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-tree bpduguard enable
/当启用bpduguard功能的交换机端口接收到bpdu时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%
switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%
switch(config-if)#storm-control action shutdown / Shutdown this interface
if a storm occurs
or switch(config-if)#storm-control action trap / Send SNMP trap if a storm
cisco怎么配置ip地址
Cisco设备配置IP地址的步骤如下:
一、准备工作
二、进入全局配置模式
三、配置IP地址
四、保存配置
五、验证配置
通过以上步骤,您可以高效、准确地配置Cisco设备的IP地址。 在实际操作中,请遵循最佳实践,合理规划网络结构,以提高网络性能和安全性。
发表评论