CCNA-29、security

配置口令选项

保护控制台

-要防止控制台端口console受到未经授权的访问;

Cisco IOS CLI命合语法 
从特权执行模式切换到全局配匿模式。               S1#configure terminal
从全局配匿模式切换为控制台0的线路配匿模式。       S1(ccnfig)#line con 0
将cisco设置为交换机控制台0线路的口合。           S1(ccnfig-line)#password cisco
将控制台线路设置为需要输入口合后才会允许访问。    S1(ccnfig-line)#login
退出线路配固模式并返回特权执行模式。             S1(ccnfig-line)#end

保护vty端口

-Cisco交换机的vty端口用于远程访问设备。

Cisco IOS CLI命合语法
从特权执行模式切换到全局配置模式。               S1#configure terminal
从全局配置模式切换为控制台0的线路配置模式。       S1(ccnfig)#line vty 0 4
将cisco 设置为交换机控制台0线路的口令。          S1(ccnfig-line)#password cisco
将控制台线路设置为需要输入口令后才会允许访问。    S1(ccnfig-line)#login
退出线路配置模式并返回特权执行模式。             S1(ccnfig-line)#end

配置执行模式口令

- enable password命令存在的一个问题是，
它将口令以可阅读文本的形式存储在startup-config和 running-config 中。
-在全局配置模式提示符下输入enable secret命令以及所要的口令，
这样即可指定加密形式的enable口令。
如果配置了enable secret口令，则交换机将使用enable secret口令，
而不使用enable password口令。

- Cisco IOS CLI命令语法
从特权执行模式切换到全局配匿模式。          S1#configure terminal
配置enable password以进入特权执行模式。    S1(ccnfig)#enable password password
配置enable secret口合以进入特权执行模式。   S1(config)#enable secret password
退出线路配置模式并返回特权执行模式。         S1(config)#end

配置加密口令

-人们普遍认同口令应该加密，并且不能以明文格式存储。
-当从全局配置模式下输入service password-encryption命令后，
所有系统口令都将以加密形式存储。

配置登录标语

- Cisco lOS命令集中包含一项功能，用于配置登录到交换机的任何人看到的消息。
  这些消息称为登录标语和当日消息(MOTD)标语。
-所有连接的终端在登录时都会显示MOTD标语。
  在需要向所有网络用户发送消息时（例如系统即将停机），MOTD标语尤其有用。

Cisco lOS CLI命合语法
从特权执行模式切换到全局配固模式。    S1#configure terminal
配置登录标语。    S1(config)banner login "Authorized Personnelonly!"

Cisco lOS CLI命合语法 
从特权执行模式切换到全局配固模式。      S1#configure terminal
配MOTD登录标语。   S1(config)banner motd "Device maintenance willbe occurring on Friday!"

====================================================================

配置Telnet 和 SSH

·远程访问Cisco交换机上的vty有两种选择。
Telnet                 s1(config)#line vty 0 15
-最常用的访问方法        s1(config-line)#transport input telnet
-发送明文消息流
-不安全
-----------------------------------------------------------------------------------
SSH                      (config)#ip domain-name mydomain.com
-应作为常用访问方法        (config)#crypto key generate rsa 1024
-发送加密消息流            (config)#ip ssh version 2
-安全                     (config)#line vty 0 15
                          (config-line)#transport input SSH
还要配置login local  #采用本地用户名密码认证再加上用户名密码，还有就是前面的域名。
还需要创建用户名密码username --- password ---

配置端口安全性

MAC泛洪

伪造MAC

Switch#show mac address-table #查看交换机MAC表

·在所有交换机端口上实施安全措施:
-在端口上指定一组允许的有效MAC地址-只允许一个MAC地址访问端口
-指定端口在检测到未经授权的MAC地址时自动关闭

安全MAC地址有以下类型:
-静态安全MAC地址
-动态安全MAC地址
-粘滞安全MAC地址

·在Cisco Catalyst交换机上启用粘滞端口安全性

Cisco los CLI命合语法
进入全局配置模式。                  S1#configure terminal
指定要配匿的物理接口的类型和编号。    S1(config)#interface fastEthernet 0/18
将接口费式设置为access.             S1(config-if)#switchport mode access
在接口上启用端口安全性。             S1(config-if)#switchport port-security
将安全地址的最大数量设置为50。       S1(config-if)#switchport port-security maximum 50

自动获取MAC地址，并且学习后绑定。    S1(config-if)#switchport port-security mac-address sticky
手动绑定MAC。                      S1(config-if)#switchport port-security mac-address 0000.ffaa.0522
接口违规后的动作。                  S1(config-if)#switchport port-security violation shutdown
###在这个接口违规时把他shutdown掉
返回特权执行模式。                   S1(config-if)#end