您的位置:新葡亰496net > 服务器网络 > 一些简易的Cisco三令五申,安全访问

一些简易的Cisco三令五申,安全访问

发布时间:2019-06-21 08:51编辑:服务器网络浏览(127)

    思科交换机配置SSH Telnet 修改名称,思科ssh

    Hello大家好,我是Lionel,今天我给大家带来思科路由器配置SSH,Telnet和修改交换机名字的教程。
    看我下面操作
    首先我们启动交换机,看到       Switch>
    上面的单词(启动过程很慢)
    配置SSH
    我们依次输入下面的命令,后面有中文注释命令是什么意思,大家可以根据自己需要进行配置。
    Switch>en                                             进入特权模式
    Switch#conf t                                         进入配置模式
    Switch(config)#int vlan 1                             进入vlan 1
    Switch(config-if)#ip add 192.168.6.X 255.255.255.0    设置IP和掩码
    Switch(config-if)#no shut                             生效
    Switch(config-if)#exit                                退出
    Switch(config)#ip domain-name cisco.com               设置域
    Switch(config)#crypto key generate rsa                配置加密方式为RSA
    Switch(config)#aaa new-model                          启用AAA认证
    Switch(config)#username admin password admin          设置SSH用户名和密码
    Switch(config)#enable secret cisco                    设置特权模式密码
    Switch(config)#ip ssh time 60                         设置SSH登录超时时间
    Switch(config)#ip ssh authentication 4                设置登录失败尝试次数
    Switch(config)#line vty 0 4                           进入Telnet接口配置模式
    Switch(config-line)#transport input SSH               在Telnet接口模式下使用SSH认证
    Switch(config)#ip ssh version 2                       若要用SSH2,配置SSH的版本号
    Switch(config)#end                                    结束
    Switch#wr                                             写入保存

    到这步我们wr写入保存,完成了SSH的配置,我们在本地配置一个和交换机同一网段的内网IP。访问这个交换机的IP。
    软件用PUTTY就可以。

    配置Telnet
    配置Telnet的目的是为了有些交换机版本低不支持SSH,所以我们要用Telnet连接交换机。
    输入以下命令
    设置域名:Router (config)# ip domain-name cisco.com
    进入Telnet接口配置模式:Router (config)# line vty 0 4 
    Router (config-line)# transport input telnet
    Router (config-line)# password admin
    Router (config-line)# login
    Router (config-line)# exit
    Router# wr
    这样重启我们就可以用Telnet连接了。

    设置交换机名称

    Switch(config)#hostname 名称
    只需要一条命令就可以修改名称,我们也可以通过别的方式修改,具体看交换机的版本。

    以上就是本周带来的教程,想了解更多教程可以关注我们的官网和

    Hello大家好,我是Lionel,今天我给大家带来思科路由器配置SSH,Telnet和修改交换机名字的教程。...

    记不住思科简单配置命令的朋友们有福利了!!!
    以下是关于思科设备一些简单的配置命令,初学的朋友们没记住的可以来看看哦!

    1.不同的vlan

    这里交换机 路由器 暂时统称为  网络设备

    1.  Telnet

    新葡亰496net 1

    Switch Config:

    Switch>en

    Switch#conf t

    Enter configuration commands, one per line.  End with CNTL/Z.

    Switch(config)#enable secret zhang

    Switch(config)#line console 0

    Switch(config-line)#password 123

    Switch(config-line)#login

    Switch(config-line)#exit

    Switch(config)#line vty 0 15

    Switch(config-line)#password hello

    Switch(config-line)#login

    Switch(config-line)#exit

    Switch(config)#interface vlan 1

    Switch(config-if)#ip address 192.168.1.1 255.255.255.0

    Switch(config-if)#no shutdown

     

    Switch(config-if)#

    %LINK-5-CHANGED: Interface Vlan1, changed state to up

     

    Switch(config-if)#exit

    Switch(config)#exit

    Switch#

     

    Switch#show running-config

    Building configuration...

     

    Current configuration : 1152 bytes

    !

    hostname Switch

    !

    enable secret 5 $1$mERr$Ihkqz6Aphv2yflqGpdU2m0

    !

    interface Vlan1

     ip address 192.168.1.1 255.255.255.0

    !

    line con 0

     password 123

     login

    !

    line vty 0 4

     password hello

     login

    line vty 5 15

     password hello

     login

    !

    !

    end

    Switch#

     

     

    PC1 Telnet Test:

     

     新葡亰496net 2

          • CISCO:
    • Switch>用户模式

    • Switch>**enable

      * Switch#特权模式

    • Switch#configure terminal

    • Switch(config)#全局配置模式
    • Switch(config)#interface fastEthernet 0/1
    • Switch(config-if)#接口模式
    • Exit返回上一模式
    • 改主机名
    • Switch>用户模式
    • Switch>enable
    • Switch#特权模式
    • Switch#configure terminal
    • Switch(config)#全局配置模式
    • Switch(config)#hostname 自定义用户名
      • Switch#show running-config 查看配置信息
    • Switch#show mac-address-table查看mac地址
    • Switch#show version 查看IOS版本信息
      • Switch (config)#( no 撤销密码)
    • enable password(不用写数字) 123 配置用户进入特权模式的明文密码
    • Switch (config)#( no 撤销密码)enable secret(不用写数字) 456 配置用户进入特权模式的密文密码

    • Switch#copy running-config startup-config/ write/wr 保存当前配置

    • Switch(config-if)#no ip address 删除ip地址,删除命令用no
    • Switch#reload 重启
    • Switch#show interfaces f0/1 switchport 查看接口参数(在交换机)
    • Switch#show interfaces f0/1 查看接口参数(在路由器)
    • Switch(config-if)#switchport mode trunk 把接口模式改成truck
    • Switch(config-if)#switchport mode access 把接口模式改成access
    • Switch#show ip route 查看路由表
    • Router(config)#vlan 数字 创建vlan
    • Switch#vlan database vlan数据库(第二种创建vlan的方式)
    • Switch(config-if)#switchport access vlan 数字 将某接口加入vlan

    • 给三层交换机接口打802.1q封装(二层交换机自动学)

    • (可用三层与三层交换机之间的trunk连接)
    • Switch(config-if)#switchport trunk encapsulation dot1q
    • Switch(config-if)#switchport mode trunk

    • Switch(config-if)#ip address ip 子网掩码 配置三层交换机ip

    • Switch(config-if)#no switchport 把二层接口变成路由接口
    • Switch(config)#ip routing 开启三层交换机的路由功能
    • Switch#show run 查看所有端口
    • *R1(config)#no ip routing 关闭路由功能
    • *R1(config)# ip default-gateway 192.168.0.254 在本设备设置要到达的网关
    • 查看完路由表后 查看优先级
    • Switch#show ip route
    • S 192.168.3.0/24 [1(优先数值)/0] via 192.168.1.2 数值越小越优先

    • *动态路由

    • 先把接口ip和网关配好
    • R6(config)#router rip (动态协议) 进入动态(rip)路由模式
    • R6(config-router)#version 2(进入版本2)
    • R6(config-router)#no auto-summary(自动协商)
    • R6(config-router)#network 192.168.4.0(宣告所连网络段)
    • *使用本机回环接口在rip中传递路由信息(创建虚拟接口测试动态路由)
    • 进入本机回环接口并设置ip (loopback接口依托物理接口;只要物理接口激活,loopback接口就能ping通)
    • R6(config-router)#inter loopback 0 (用户自定义)
    • R6(config-if)#ip address 192.168.6.1 255.255.255.0
    • 在rip中宣告回环接口所在网段
    • R6(config-if)#router rip
    • R6(config-router)#network 192.168.6.0
    • *配置远程登录(在设备里开启远程功能)
    • R2(config)#line vty 0 4(0~4人管理)
    • R2(config-line)#password 123(配置远程登录密码)
    • R2(config-line)#no login(远程登录时不需要密码)(可有可无)
    • R2(config-line)#exit
    • R2(config)#enable password 456(配置进入特权密码)
    • *之后在pc机中使用telnet命令测试
    • R1#telnet 192.168.4.2(要进入的设备接口ip)
    • ==============================
    • 1、连接wan网 DHCP
    • 一个网段分配一个DHCP池
    • DHCP(自动分配Ip)的配置:
    • Router(config)#ip dhcp pool xx 创建地址池,名字为xx
    • Router(dhcp-config)#network(网络) 192.168.1.0 255.255.255.0 添加网段,(要给那个网段分配地址)
    • Router(dhcp-config)#default-router 192.168.1.254 指定网关地址
    • Router(dhcp-config)#dns-server 8.8.8.8 指定DNS地址
    • Router(dhcp-config)#int f0/0 进入网关接口/vlan
    • Router(config-if)#ip address 192.168.1.254 255.255.255.0 配置网关地址
    • Router(config-if)#no shutdown 激活接口
    • Switch(config)#ip routing 开启三层交换机的路由功能
    • 去pc机进入接口输入R6(config-if)#ip address dhcp (才能获得ip)
    • 设置静态路由(目标网段、子网掩码、下一跳地址)
    • Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1
    • Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1 (配置默认路由)用于末梢网络
    • Router(config)#ip route 0.0.0.0 0.0.0.0 (自己的端口)f0/0 (吓一跳 在不知道对方接口ip时可用)
    • 2、创建内部服务器
    • 在三层交换机创建vlan池;DHCP地址保留一个地址为服务器用(员工获取不到)
    • Switch(config)#ip dhcp excluded-address (排除地址)192.168.10.1
      • trunk是用在一条链路中多个vlan的通信,相当于一个物理链路中开了很多个虚拟的互不相干的链路! 主要用在交换机与交换机之间,交换机与路由器之间(交换机端口配置trunk)。
    • 在trunk链路中去除外来客户使用的电脑所在的vlan(单线)
    • Switch(config-if)#(no)switchport trunk allowed vlan remove(去掉) 外来客户使用的电脑

    不同vlan需要路由
    在路由的端口设置多个IP段
    交换机模拟器实验六

    我们一般管理网络设备采用的几种方法

    2.  SSH

    Switch#conf t

    Enter configuration commands, one per line.  End with CNTL/Z.

    Switch(config)#line vty 0 15

    Switch(config-line)#一些简易的Cisco三令五申,安全访问。login local

    Switch(config-line)#exit

    Switch(config)#username user1 password 123

    Switch(config)#username user2 password 123

    Switch(config)#ip domain-name example.com

    Switch(config)#crypto key generate rsa

    % Please define a hostname other than Switch.

    Switch(config)#hostname zhang

    zhang(config)#crypto key generate rsa

    The name for the keys will be: zhang.example.com

    Choose the size of the key modulus in the range of 360 to 2048 for your

      General Purpose Keys. Choosing a key modulus greater than 512 may take

      a few minutes.

     

    How many bits in the modulus [512]: 1024

    % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

     

    zhang(config)#ip ssh version 2

    *?? 1 0:30:20.486:  %SSH-5-ENABLED: SSH 1.99 has been enabled

    zhang(config)#

    zhang(config)#

     

    Switch(config)#interface range(范围)fastEthernet 0/1,f0/4(把多个接口加入同一个范围)
    Switch(config-if-range)#channel-group (通道组)1 (用户自定义)mode on
    Switch(config-if)#switchport mode trunk 把接口模式改成truck

    2.查看端口名字

    新葡亰496net 3

    3.  Encrypting Password

    conf t

    service password-encryption

    在trunk链路聚合中去除外来客户使用的电脑所在的vlan(多线)
    Switch(config)#interface port-channel 1
    Switch(config-if)#switchport trunk allowed vlan remove 2

    SWA#sh vlan
       default  Active  F0/1, F0/2, F0/3, F0/4, F0/5, F0/6, F0/7, F0/8
    f是端口名子
        default  Active  Gi/1, Gi0/2, Gi0/3, Gi0/4, Gi0/5, Gi0/6, Gi0/7, Gi0/8
    Gi是端口名字

     

    4.  Support Telnet SSH on vty line

    transport input all or transport input telnet ssh : support both

    transport input none: Support neither

    transport input telnet: Support only Telnet

    transport input ssh: Support only SSH

    3.创建动态链路聚合

    一般来说,可以用5种方式来设置路由器:

    Switch(config)#interface range g0/21-22
    Switch(config-if-range)#channel-group 1 mode active
    Switch(config-if-range)#exit

    1. Console口接终端或运行终端仿真软件的微机(第一次配置要使用此方式)

    4.创建端口的链路类型

    2. AUX口接MODEM,通过电话线与远方的终端或运行终端仿真软件的微机相连;

    以太网端口有三种链路类型:Access、Hybrid、Trunk。Access类型的端口只能属于1个VLAN,一般用于连接计算机的端口;Trunk 类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,一般用于交换机之间连接的端口;Hybrid类型的端口可以属于多个VLAN,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。Hybrid端口和Trunk端口的不同之处在于Hybrid端口可以允许多个VLAN的报文发送时不打标签,而Trunk端口只允许缺省VLAN的报文发送时不打标签。

    3. 通过Ethernet上的 telnet 程序或 ssh程序;

    表1-9 设置以太网端口的链路类型

    4. 通过Ethernet上的TFTP服务器;

    操作
     命令
     
    设置端口为Access端口
    Switch(config)#interface range g0/21-22
    Switch(config)#switchport mode access
     
    设置端口为Hybrid端口
    Switch(config)#interface range g0/21-22
    Switch(config)#switchport mode hybrid
     
    设置端口为Trunk端口
    Switch(config)#interface range g0/21-22
    Switch(config)#switchport mode trunk
     
    恢复端口的链路类型为缺省的Access端口
     undo port link-type
     
    三种类型的端口可以共存在一台以太网交换机上,但Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再设置为其他类型端口。例如:Trunk端口不能直接被设置为Hybrid端口,只能先设为Access端口,再设置为Hybrid端口。

    5.通过Ethernet上的SNMP协议网管工作站;

    缺省情况下,端口为Access端口。

    6.通过 https 网页 配置网络设备

    需要注意的是:Access端口加入的VLAN必须已经存在并且不能是缺省VLAN;Hybrid端口加入的VLAN必须已经存在;Trunk端口加入的VLAN不能是缺省VLAN。

    7.通过 ASMD 等可视化程序 配置网络设备

    执行了本配置,当前以太网端口就可以转发指定VLAN的报文。Hybrid端口和Trunk端口可以加入到多个VLAN中,从而实现本交换机上的VLAN与对端交换机上相同VLAN的互通。Hybrid端口还可以设置哪些VLAN的报文打上标签,哪些不打标签,为实现对不同VLAN报文执行不同处理流程打下基础

     

    5.交换机显示命令


    路由器 特权密码的设置:

    使能密码配置::enable secret 123就行了。
    普通密码配置是:enable password 123,但是这种方法会在show的时候看到,而enable secret就不会被看到。 如果两种都配置,会使用secret这个,优先级高。

    交换机显示命令:
    switch#write ;保存配置信息
    switch#show vtp ;查看vtp配置信息
    switch#show run ;查看当前配置信息
    switch#show vlan ;查看vlan配置信息
    switch#show interface ;查看端口信息
    switch#show int f0/0 ;查看指定端口信息

     

      #show ip int bir   查看端口VLAN IP 开启状态总览

     
     

    #show int status 查看端口状态总览

     

    #show inventory 查看光模块显信

     

    #sh int etherchannel sum 查看“端口聚合/链路捆绑

     

    #sh int port-channel 查看“端口聚合/链路捆绑

     

    #show spanning-tree 查看生成树状态

    #show access-list 查看规则状态

    #show history 查看历史输入命令

    #show errdisable recovery 查看哪些保护会在超时后可自动恢复

    #show errdisable detect​查看 err-disabled 状态的原因

     

    6.配置vlan的IP
    s(config)#int vlan 6
    s(config-vlan)#no shu
    s(config-vlan)#ip add 10.2.20.1 255.255.255.254
    SWA#wr
     7.配置交换机的IP和网关

     配置交换机网关:Switch(config)#ip default-gateway 网关

    switch(config)#int vlan 1
        设置ip地址和掩码:
    switch(config-if)#ip address 10.65.1.3 255.255.0.0
        设置switch的网关:
    switch(config)#ip defaule-gateway 10.65.1.9
        查看当前配置:
    switch#sh run

    8.清除思科所有配置

    SWA#del vlan.dat
    SWA#reload

    9.删除动态链接

    Switch(config)#interface range g0/21-22
    Switch(config-if-range)#no channel-group 1
    Switch(config-if-range)#exit

    10.设置vtp

    switch(config)#vtp domain ;设置发vtp域名
    switch(config)#vtp password ;设置发vtp密码
    switch(config)#vtp mode server ;设置发vtp模式
    switch(config)#vtp mode client ;设置发vtp模式

      11.设置思科交换机的IP和子网掩码

    switch#conf t
        进入默认VLAN状态:
    switch(config)#int vlan 1
        设置ip地址和掩码:
    switch(config-if)#ip address 10.65.1.3 255.255.0.0
        设置switch的网关:
    switch(config)#ip defaule-gateway 10.65.1.9
        查看当前配置:
    switch#sh run
    SWA#write

      12.思科telnet登陆方法

    开始--cmd---telnet

    13.思科保存方法

    在全局配置模式下
    Router#copy running-config startup-config //保存当前的配置

    Router#write
    也行

    14.思科查看vlan

    SWA#新葡亰496net,sh vlan

    15.思科查看当前配置

       查看当前配置:
    switch#sh run

          16.思科恢复出厂设置

      Switch#erase startup-config

      Switch#reload

    有提示要保存配置 就选择no 

        17.思科将端口加入vlan

    SWA(config)#int f0/5                        (f是端口号sh vlan可以看端口号,端口号是不一样的我们的是Gi)
    SWA(config-if)#switchport access vlan 2
    SWA(config-if)#int f0/6
    SWA(config-if)#switchport access vlan 2
    SWA(config-if)#int f0/7
    SWA(config-if)#switchport access vlan 2
    SWA(config-if)# end
    SWA#sh vlan
    SWA#wr(保存)

        18.思科和电脑接法

    首先这个软件不能连接真实设备:
    选择一台PC,一个设备(交换机,路由器都行)
    连接PC和设备,线缆选择蓝色线缆,英文应该是console---控制台的意思。连接是,PC上选择RS232接口,设备上选择CONSOLE接口
    连接好之后,双击PC图标,打开一个窗口,点击桌面(desktop),再选择终端(terminal),点击OK,就可以了!

        19.思科进入

    Switch>enable
    Switch#

                                          20.思科模式

    呵呵终于找到一个关于cisco的问题了。

    朋友你好,我就用我自己的语言表达了哈,有点长哈,但一定帮你学懂哈。思科的路由器的用户界面有以下几种:
    1.用户执行模式(User EXEC Mode)
    2.特权执行模式(Privileged EXEC Mode)
    3.全局配置模式(Global Configuration Mode)
    4.监控模式(ROM Monitor Mode)     安ctrl break
    5.安装模式(Setup Mode)           先进入特权模式 在setup  就行
    6.Boot模式(RXBoot Mode)

    常用的是1、2和3。下面我就来正式回答你问的。

    路由器一开机,进去的那个界面提示符是“>”,比如像这样子哈,“Router>”这个就是用户执行模式,也是最低级别的模式,它只允许有限数量的基本监视命令,该模式下不允许任何会改变路由器配置的命令。

    那我们要配置路由器时该咋弄呢,这时就必须先得进入到“特权执行模式”了(也就是在用户执行模式下输入“enable”命令)。出现像这样的提示符“#”,比如“Router#”。相比用户执行模式,它提供更多的命令和权限,比如debug命令,和更为细致的测试等。

    至于“全局配置模式”,是配置(全局)系统和相应的具体细节配置(比如接口ip、路由协议这些)时进入的界面,在此配置的东东是影响全局的。全局配置模式的提示符是这样的“(config)#”,比如我这里举的例就该是“Router(config)#”。

    而要配置具体的东东就得从全局配置模式下进入到相应的子配置模式下。比如:
    Router(config-if)# //具体的接口配置
    Router(config-line)# //line模式配置,比如console和vty这些哈
    Router(config-router)# //路由器模式,比如配置路由协议时

    百度知道不能回帖功能不够强大,不然我可以重新更漂亮的排版和标记,好让朋友更加容易理解。

    简单总结下你的问题就是,特权执行模式主要是用来调试的,全局配置模式是用来配置的。而且他们的关系,要到达全局配置模式,你必须先得处在特权执行模式哈。

    而相应的命令见下面哈:

    Router>
    Router>enable //将从用户执行模式进入到特权执行模式
    Password: //如果对特权执行模式设置了密码的话,进入时还得输入密码哈
    Router#
    Router#exit //将从特权执行模式退回到用户执行模式
    Router>

    //下面我演示如何从用户执行模式一步步到达全局配置模式哈:
    Router>enable
    Router#
    Router#configure terminal
    Router(config)#

     

                                            21.思科配置vlan并保存

    SWA#vlan database
    SWA(vlan)#vlan 2
    SWA(vlan)#vlan 3
    SWA(vlan)#exit
    SWA#write

                                            22.思科配置远程登录

    111(config)# line vty 0 4     进入虚拟线程配置模式,在这个模式里可对
    telnet功能进行配置
    111(config-line)# login
    111(config-line)# password XXX 配置telnet密码,默认的网络设备telnet的功能是
    关闭的,配了密码之后会自动打开
    111(config)# enable password XXX 配置进入enable模式的密码, 区分大小写
    111(config)# enable secret XXX 配置进入enable模式的密码,是加密的密码,show
    run是看不见的
    111(config)# line console 0
    111(config-line)# login
    111(config-line)# password XXX 配置进入用户模式的密码
    111(config-line)# logging synchronous 输入同步
    111(config-line)# exec-timeout 0 0 禁止因为一段时间没有输入而跳出
    111#SWA#write保存配置
                                   23.思科批处理登陆

    off  
    echo set sh=WScript.CreateObject("WScript.Shell") >telnet_tmp.vbs  
    echo WScript.Sleep 300 >>telnet_tmp.vbs  
    echo sh.SendKeys "open 你的网络设备telnet登录IP" >>telnet_tmp.vbs  
    echo WScript.Sleep 300 >>telnet_tmp.vbs  
    echo sh.SendKeys "{ENTER}" >>telnet_tmp.vbs  
    echo WScript.Sleep 300 >>telnet_tmp.vbs  
    echo sh.SendKeys "你的用户名{ENTER}">>telnet_tmp.vbs  
    echo WScript.Sleep 300 >>telnet_tmp.vbs  
    echo sh.SendKeys "你的密码{ENTER}">>telnet_tmp.vbs  
    echo WScript.Sleep 300 >>telnet_tmp.vbs  
    echo sh.SendKeys "conf{ENTER}">>telnet_tmp.vbs  
    start telnet  
    cscript //nologo telnet_tmp.vbs  
    del telnet_tmp.vbs 
                                    24.思科删除vlan

    jjf{cinfig}#no vlan 10   删除vlan10
    jjf{cinfig}#end          回到特权模式
    jjf{cinfig}sh vlan      查看vlan  
    SWA#write

                                  25.思科设置trunk干线

    设置干线trunk
        将连接两个交换机的端口设置成trunk。
    SWA(config)#int f0/8
    SWA(config-if)#switchport mode trunk
    SWA(config-if)#switchport trunk allowed vlan 1,2,3(只允许vlan 1 2 3 在这条个trunk链路上走,这个就是vlan修剪。)
    SWA(config-if)#switchport trunk encap dot1q(可以不要dot1q是vlan中继协议(802.1q)一般交换机都是自带的)
    SWA(config-if)#end
    SWA#sh run

    SWB(config)#int f0/1
    SWB(config-if)#switchport mode trunk
    SWB(config-if)#switchport trunk allowed vlan 1,2,3
    SWB(config-if)#switchport trunk encap dot1q
    SWB(config-if)#end
    SWB#sh run
    26.思科型号

    Cisco Catalyst 2960G-24TC-L 24个以太网10/100/1000端口,其中有4个为两用端口

                                      26.思科远程登陆pingIP地址(可做批处理)

    off
    echo set sh=WScript.CreateObject("WScript.Shell") >telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "open 登陆交换机IP地址" >>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "{ENTER}" >>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "用户名{ENTER}">>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "登录密码{ENTER}">>telnet_tmp.vbs
    echo sh.SendKeys "ping 192.168.0.2{ENTER}" >>telnet_tmp.vbs
    start telnet
    cscript //nologo telnet_tmp.vbs
    echo del telnet_tmp.vbs
                                   27.思科远程交换机登陆配置

     1.进入vlan 1接口模式
    switch(config)#interface vlan 1
    2.打开vlan 1端口
    switch(config-if)#no shutdown
    3.配置vlan 1的IP地址
    switch(config-if)#ip address 172.16.10.99 255.255.255.0
    三、配置交换机Telnet登录
      1.在全局配置模式下设置特权模式口令
    switch(config)#enable password cisco
    2.在全局配置模式下设置虚拟终端(Virtual terminal)的线路号
    switch(config)#line vty 0 4
    switch(config-line)#
    3.在线路配置模式下设置通过虚拟终端登录的用户口令为net(必须设置口令才能使用管理IP远程登录交换机)
    switch(config-line)#password net
    4.在线路配置模式下使用login命令测试是否可以远程登录
    switch(config-line)#login
    switch(config-line)#
    如果没有出现提示,说明设置成功,如果出现五行提示,说明设置有误。
    四、使用PC1机远程登录交换机
    1.将PC1用直通线连接到交换机的FastEthernet0/3端口。
    2.打开PC1的“桌面”上的“IP配置”,选择静态配置,设置IP地址为172.16.10.100,子网掩码为255.255.255.0。
    3.打开PC1的“桌面”上的“命令提示符”。
    4. 在命令提示符中使用telnet命令远程登录交换机(交换机管理IP地址为172.16.10.99)
    PC>telnet 172.16.10.99
    Trying 172.16.10.99 ...
    User Access Verification
    Password:
    在接下来出现的password提示文字后输入前面交换机上设定的telnet登录口令net(该口令输入时不会显示任何符号),即可进入交换机的用户配置模式。
    5.输入特权模式口令进入全局配置模式
    在用户配置模式下输入enable命令,再后输入所配置的特权模式口令cisco(该口令输入时不会显示任何符号)即可进入全局配置模式进行后续网络设置。
    Switch>enable
    Password:
                                         28.             思科重启

    思科所有的重启命令都是reload

                                       29.           远程登录交换机可做批处理

    off
    echo set sh=WScript.CreateObject("WScript.Shell") >telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "open 192.168.6.100" >>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "{enter}" >>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "root{ENTER}">>telnet_tmp.vbs
    echo WScript.Sleep 300 >>telnet_tmp.vbs
    echo sh.SendKeys "jjf1{ENTER}">>telnet_tmp.vbs

    start telnet
    cscript //nologo telnet_tmp.vbs
    echo del telnet_tmp.vbs

    Translating "enb"...domain server (255.255.255.255) 快捷键 
    ctrl shift 6        no ip domain

    一.终端设备通过(console线) 连接 网络设备的 console端口 

    新葡亰496net 4新葡亰496net 5 

     

    新葡亰496net 6新葡亰496net 7 

            必须使用翻转线将路由器的Console口与计算机的串口/并口连接在一起,这种连接线一般来说需要特制,根据计算机端所使用的是串口还是并口,选择制作RJ-45-to-DB-9或RJ-45-to-DB-25转换用适配器。

     配置console 访问密码

    cisco>enable
    cisco# config terminal
    cisco(config)# line console 0            切换为控制台0号 线路配置模式
    cisco(config)# password  密码           设置密码
    cisco(config)# login                              将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
    cisco(config)# logging synchronous          使命令输入时,不会被系统弹出的打印信息中断
    cisco(config)# exec-timeout 0 0              超时自动注销时间 意思是0分0秒
    cisco(config)#end                    

     

    取消控制台密码登陆设置:

    cisco>enable
    cisco#config terminal
    cisco(config)#line console 0 
    cisco(config)# no password      移除密码
    cisco(config)# no login               取消登陆密码设置     如果未设置密码,仍然要求登陆login,则用户将无法访问

     

     

     

     

    二.辅助线路访问(aux)
            在默认情况下,网络设备的辅助端口对于远程设备访问不需要密码,一般情况下使用拨号modem连接aux端口。

    新葡亰496net 8

    新葡亰496net 9

            当需要通过远程访问的方式实现对路由器的配置时,就需要采用AUX端口进行了。AUX其实与上面所讲的接口结构与RJ-45一样,只是里面所对应的电路不 同,实现的功能也不同而已,根据Modem所使用的端口情况不同,来确定通过AUX端口与Modem进行连接所也必须借助于RJ-45 to DB9或RJ-45 to DB25的收发器的选择。

    配置vty访问密码

    cisco>enable
    cisco#config terminal
    cisco(config)#line aux 0             对aux0号 线路进行配置
    cisco(config)#password 密码     设置密码
    cisco(config)#login                       将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
    cisco(config)#end

    取消同上

     

    三.虚拟终端访问(SSH、Telnet)

    这是最主要、最常见的方法。

    vty端口用于远程访问设备,使用vty端口可执行所有配置选项。
    telnet是网络设备上支持vty的默认协议,默认传输方式。

     

    配置vty的连接方式 Router> enable 
    Router# configure terminal 
    Router(config)# line vty 0 15                 配置 0—15 号虚拟线路
    Router(config-line)# transport input ? 连接服务器的数据协议
    all All protocols                        全部包含
    none No protocols 
    ssh TCP/IP SSH protocol      ssh加密传输
    telnet TCP/IP Telnet protocol telnet 无加密传输

     

     

    对 Telnet 进行配置:
    (使用telnet进行配置时,设备必须设置 enable密码,否则无法进入特权模式
    提示:
    No password set

    此时在RouterA 通过telnet连接 RouterB 查看状态
    RouterA# show session   查看本机连接的远程主机
    RouterB# show user         查看连接到本机的 机器(用户)

     

    对ssh进行配置:

    Router (config)# hostname cisco                            1. 设置设备名称和用户
    Router (config)# username admin secret mypassword 
    Router (config)# ip domain-name yunming            2.必须设置一个域名
    Router(config)# crypto key generate rsa (modulus 加密位数)                                                                                                    3.在路由器上产生一对RSA密钥就会自动启用SSH.   
                                                                                                如果你删除这对RSA密钥,就会自动禁用该SSH服务
      使用line vty 线路模式 
      Router(config-line)# transport input ssh                4.选择入向ssh模式                                                                       
      Router(config-line)# login local                                启用本地用户数据库

                                                           

    Router(config) #ip ssh ?                                             5.其它设置
    authentication-retries    Specify number of authentication retries 允许用户认证尝试的最大次数
    time-out        Specify  SSH time-out interval                                          配置SSH登入超时时间
    version     Specify protocol version to be supported                        ssh的版本

    查看ssh秘钥 
    show crypto key mypubkey rsa

     

     

     

    查看SSH信息

    Router# show ssh 查看ssh连接状态
    Router# show ip ssh 查看ssh配置

    配置vty访问密码

    cisco>enable
    cisco#config terminal
    cisco(config)#line vty 0 15 对vty0到15号 线路进行配置(最大允许16个人同时登陆,VTY线路的编号)
    cisco(config)#password 密码 设置密码
    cisco(config)#login(local)将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
                                                      如果设置 local 则指明使用本地数据库进行身份验证,将要输入 用户名 和 密码

    取消控制台密码登陆设置:
    cisco>enable
    cisco#config terminal
    cisco(config)#line vty 0 15 对vty0到15号 线路进行配置(机器型号 ios版本不同 支持虚拟线路数量也不同)
    cisco(config)# no password 移除密码
    cisco(config)# no login 取消登陆密码设置 如果未设置密码,仍然要求登陆login,则用户将无法访问

     

    配置vty允许访问ip 使用   access-list 编号 控制列表定义源ip地址。
    cisco>enable
    cisco#config terminal
    cisco(config)#line vty 0 15 
    cisco(config)#access-class 编号 in/out

     

     

    四.通过Ethernet上的TFTP(ftp)服务器

    1.首先要创建一台TFTP服务器,可以在局域网络内

    2.TFTP中可以保存 路由器的  配置文件(备份)

    3.TFTP中可以保存 路由器的 IOS镜像 (备份)

    4.开机引导时直接从 TFTP 加载 IOS

    2.TFTP中可以保存 路由器的 配置文件
    (备份)
    copy running-config tftp://192.168.0.1 /mybackfile.txt

    (恢复配置文件)
    IOS# copy tftp startup-config    (这是一个替换的过程)
    IOS# copy tftp running-config   (这是一个合并的过程)

     

    3.TFTP中保存 路由器的 IOS

    (备份)
    IOS# copy flash tftp

    (恢复配置文件)
    IOS# copy tftp flash

    4.(设置开机引导时 从TFTP 加载 IOS)
    Router(config)# boot system  tftp://.....

     

     

     

    五.通过SNMP协议网管工作站

            出于远程管理路由器的基本需要,每一个网络管理员都必须配置路由器使之可以使用简单网络管理协议(SNMP)。简单网络管理协议(SNMP)提供了远程监控功能,在Cisco路由器中包含了一个SNMP代理和管理信息库(MIB)。它使用网管服务器作为入口点实行网络管理控制,可以配置路由器向网管服务器发送管理信息。因为需要通过网络远程访问管理路由器,因此带来了许多的安全风险。对此,在进行配置时必须确保仅有授权用户能够使用它。
    1.配置路由器能够使用SNMP的基本命令
    snmp-server community public RO
    允许任何提交共用字符串(community string)为public的服务器端软件进行读访问。
    snmp-server community private RW 允许任何提交共用字符串为private的服务器端软件进行读和写访问。
            为共用字符串选择强壮的口令是非常重要的。上述例子中的public和private这样的共用字符串是十分普遍的口令,用户在配置自己的设备时应放弃使用它们。此外,如果可能的话,应该避免对所有的路由器使用相同的共用字符串,尽量为每一个设备使用不同的共用字符串。不要让只读共用字符串与读/写的共用字符串相同,同时还要定期更改口令。
    2.配置能访问路由器的管理服务器
    3.配置路由器向网管服务器发送报警信息
    使用SNMP的trap性能,当有人试图用不正确的共用字符串发送SNMP指令时,路由器可以向网管服务器发送报警信息,但需要网管服务器上安装有CiscoWorks或类似的软件。
    snmp-server enable traps
    配置路由器使用trap,如果不被激活,没有trap向前转发。
    snmp-server trap-authentication
    配置路由器如果共用字符串的验证失败,发送一个trap。
    snmp-server host 159.226.244.20 
    配置路由器向指定主机发送trap。

     

    六.通过 https 网页 配置网络设备

         Cisco IOS的这种特征使得通过浏览器实现对路由器的访问管理,这对那些更习惯于使用浏览器界面的用户是很有益的。
         http是一个使用T C P作为传输协议的客户/服务器应用,客户机运行浏览器应用程序,例如Netscape Navigator或Microsoft Internet Explorer,网络客户机向运行h t t p后台程序的h t t p服务器发出请求,这些从浏览器向h t t p服务器发出的请求通常发生在T C P端口8 0。

     

    注意:所有配置都是在全局配置模式下进行的

    首先,启用web server 响应服务
    ip http server

    那用WEB访问的用户名是什么?

    默认的是cisco,不过可以设置的

    需要设置一个15级的用户

    username xxx pri 15 pass xxx

    附:过程命令汇总

    IP http server:这个全局命令使得路由器可以响应浏览器通过网络发出的请求。
    IP http port:这个全局命令是用来改变路由器用于接收http请求的TCP端口号,默认http使用TCP8 0端口
    username xxx pri 15 privilege xx(0-15):这个命令是设置一个15级的web访问用户及其密码

    IP http access class:这个命令可以用来控制哪台浏览器主机可以通过HTTP请求获得对路由器的访问权。

    七.通过 ASMD 等可视化程序 配置网络设备
        !!!**主要配置asa设备,其命令与路由器命令不同!!!**

    其过程其实也是通过 http配置网络设备,只是通过JAVA虚拟机软件在本地运行一个程序(如asdm)来配置。

    (这是asa设备上的命令)

    ciscoasa>

    ciscoasa> en

    Password:

    ciscoasa# conf t                                                                                        进入全局模式

    ciscoasa(config)# webvpn                                                                         进入WEBVPN模式

    ciscoasa(config-webvpn)# username cisco password cisco                      新建一个用户和密码

    ciscoasa(config)# int m 0/0                                                                       进入管理口

    ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0                       添加IP地址

    ciscoasa(config-if)# nameif guanli                                                             给管理口设个名字

    ciscoasa(config-if)# no shutdown                                                              激活接口

    ciscoasa(config)#q                                                                                    退出管理接口

    ciscoasa(config)# http server enable                                                         开启HTTP服务

    ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli                           在管理口设置可管理的IP地址

    ciscoasa(config)# show run                                                                       查看一下配置

    ciscoasa(config)# wr m                                                                              保存

    经过以上配置就可以用ASDM配置防火墙了。

    防火墙配置远程线路访问密码的方式:

    asa825(config)# passwd 密码             (防火墙不存在line 线路配置模式了)

    对asa设备进行配置  telnet  ssh 方式

    ASA的配置方式:

    1.console

    2.Telnet

    3.SSH

    4.HTTPS(ASDM)

    认证方式:

    1.LOCAL

    2.Radius

    3.TACACS

    4.LDAP

     

    Telnet

    telnet 192.168.1.100 255.255.255.255 inside

    telnet 172.16.1.100 255.255.255.255 mgmt

    telnet 0 0 DMZ

    1.外部接口上不支持Telnet,除非该会话通过了IPsec隧道的加密

    2.默认密码cisco(使用passwd(注意不是password而是passwd)命令修改默认密码)

    3.默认enable密码:空(使用enable password命令修改默认enable密码)

    4.用本地用户认证

    username admin password cisco privilege 15

    aaa authentication telnet console LOCAL(全部大写)

    5.ASA可以作为Telnet的服务器,但是不能作为telnet客户端(ASA不能使用telnet命令)

     

    SSH

    hostname ASA

    domain ccie.com

    crypto key generate rsa ( modulus  加密位数)

    ssh 10.1.1.1 255.255.255.255 inside
    ssh 0 0 DMZ
    ssh timeout 30           //设置超时时间,单位为分钟
    ssh version 1              //指定SSH版本,可以选择版本

    1.ASA支持用户在外部接口上接收SSH会话,所以在通过外部网络远程网管ASA设备必须使用SSH,不能使用telnet

    2.默认用户名是pix

    3.默认密码是cisco(使用passwd修改默认密码)

    4.用本地用户认证

    username admin password cisco privilege 15

    aaa authentication ssh console LOCAL

     

    本文由新葡亰496net发布于服务器网络,转载请注明出处:一些简易的Cisco三令五申,安全访问

    关键词: