设备安全
配置Console密码
Switch(config)#line console 0 Switch(config-line)#login Switch(config-line)#password cisco
配置vty线路密码
Switch(config)#line vty 0 4 Switch(config-line)#login Switch(config-line)#password cisco
配置enable密码
Switch(config)#enable password cisco
配置secret密码
Switch(config)#enable secret cisco
全局启用加密
Switch(config)#service password-encryption
端口安全:用于二层接口(只能用于Access模式)
怎样才能阻止非授权用户的主机接入到交换机的端口上呢?更重要的是,怎样才能防止非授权用户将集线器、交换机或接入点设备插入办公室的Ethernet插座上?默认时,MAC地址只是动态地显示在MAC转发/过滤数据库中,通过使用端口安全,就可以阻止它们。安全的交换机端口可以与1~8192个MAC地址中的任何一个联系起来,但是50系列的交换机只能支持192个.
Switch(config)#interface fastEthernet 0/1 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security maximum 1 //最大的安全地址数量,连接 交换机/集线器 的端口,建议改变maximum数量,如果有10台PC,则改成10 Switch(config-if)#switchport port-security mac-address sticky //自动学习(再加入CAM表) Switch(config-if)#switchport port-security mac-address AAAA.BBBB.CCCC //配置静态MAC地址 Switch(config-if)#switchport port-security violation shutdown //违规操作关闭端口
//maximum设置为1,意味着在该接口上只能使用一个MAC地址。如果用户试图在那个网段上添加另一台主机,交换机端口就将被关闭。如果发生了这种情况,就需要手工地在交换机上进行配置,就是使用命令no shutdown来重新启用端口。
//sticky通过自动学习接口上的MAC地址信息,将其自动添加到安全地址中。在上面的例子中,通过"sticky"自动学习到的地址属于静态地址,不管在命令中设置的时间长度如何,它将永不过期
查看命令
Switch#show mac address-table //查看CAM表 Switch#show port-security address //查看端口安全 Switch#show port-security interface fastEthernet 0/1 //显示接口port-security摘要信息
Cisco Router SSH配置
简单本地认证:
(config)#username admin password cisco //建立用户admin密码为cisco的本地用户(默认权限等级为1) (config)#line vty 0 4 (config-line)#login local //调用本地认证 以上方法配置之后,远程登录后默认进入的是用户模式">",需要提供en密码才能进入“#” (config)#username admin privilege 15 password cisco //建立权限等级为15的用户admin //用此方法设置之后,远程登录后可直接进入特权模式"#",无需再提供en密码
AAA本地认证:
(config)#username admin privilege 15 password cisco //建立权限等级为15的用户admin (config)#aaa new-model //开启aaa本地验证 (config)#aaa authentication login default local //调用local用户名和密码认证,包括console口也可调用local来认证 (config)#aaa authorization exec default local //可选 (config)#aaa authorization network default local //可选 (config)#aaa session-id common //可选 //启用本地验证后,所有登陆线路[ssh/telnet/console]访问均可调用本地用户名密码,忽略线路单独设置的密码 (config)#line vty 0 4 (config-line)#login authentication default //调用本地认证
SSH配置汇总:
启用AAA认证
(config)#aaa new-model //开启aaa本地验证 (config)#aaa authentication login default local //调用local用户名和密码认证,包括console口也用local来认证 (config)#hostname cisco //配置ssh时,主机名一定要先修改掉 (config)#enable secret root //设置enable密码为root (config)#username admin privilege 15 password cisco //建立权限等级为15的用户admin (config)#ip domain-name cisco.com //配置域名,可随便填写 (config)#crypto key generate rsa general-keys modulus 1024 //生成rsa密钥,长度1024,适用于SSH v2 或: (config)#crypto key generate rsa How many bits in the modulus [512]: 1024 //如果使用SSH v1,则填512长度;如果使用SSH v2(推荐),则填1024长度. (config)#ip ssh version 2 // 指定SSH协议版本2 (如果使用ssh v1, 则ip ssh version 1) (config)#ip ssh time-out 120 //设置ssh超时时间 (0-120秒) (config)#ip ssh authentication-retries 5 //设置重试验证次数
Console登录口令:
(config)#line console 0 (config-line)#login authentication default //调用本地认证
Vty登陆设置:
(config)#line vty 0 4 //进入vty线路设置 (config-line)#transport input ssh //仅允许SSH登陆 (config-line)#login authentication default //调用本地认证
SSH其他命令:
路由器间SSH登陆
ssh -v 2 -l admin 10.0.0.1 //SSH登陆10.0.0.1,用户名为admin,SSH版本为2
去除已生成的rsa密钥:
(config)#crypto key zeroize rsa
RSA加密(非对称加密):当A要给Server发送数据前,Server会给A发送一个公钥,A用这个公钥加密数据并发出。server收到该数据后,用自己的私钥来解密,这就是RSA
对称加密:公钥和私钥都在两台设备上,因此不安全
官方配置参考:
| 在Cisco Native IOS上启用SSH,禁止Telnet | |
| 命令 | 描述 |
| username admin1 privilege 15 password 0 Admin-Password | 建立一个叫做admin1的系统管理员,每一个管理都必须重复。 |
| aaa new-model | 使用一个本地数据库,设置为AAA模式 |
| aaa authentication login default local | |
| aaa authorization exec default local | |
| aaa authorization network default local | |
| aaa session-id common | |
| ip domain name MyDomain.com | 建立一个用于认证的名字 |
| crypto key generate rsa | 建立数字证书。使用至少768位的Diffie-Hellman关键字 |
| line vty 0 4 | 进入vty配置 |
| transport input ssh | 仅仅允许SSH登录 |
| 在 Cisco Catalyst OS上启用SSH,禁止Telnet | |
| 命令 | 描述 |
| set crypto key rsa 1024 | 生成一个1024位的RSA key |
| set ip permit 10.0.10.0 255.255.255.0 ssh | 明确仅允许指定IP范围内的地址SSH |
| set ip enable | |