网络设备安全管理
一、交换机、路由器基本配置
1.更改名称
Switch(config)#hostname [名字]
Router(config)#hostname [名字]
2.配置特权模式密码
明文密码:
enable password [密码]
加密密码:
enable secret [密码]
3.保存配置
特权模式下
Switch#copy running-config startup-config
4.配置路由器接口ip
S1(config)#interface 接口
S1(config-if)#ip address [ip] [掩码]
5.配置交换机的交换VTY 0 4,密码abc(Telnet连接)
全局配置模式下:
S1(config)#line VTy 0 4
S1(config-line)#password abc
6.设置接口速率以及双工模式
S1(config)#interface f0/1
S1(config-if)#speed 100 //速率100M
S1(config-if)#duplex auto //双工模式自动
S1(config-if)#duplex half //双工模式半双工
二、VLAN
1.配置VlAN的IP和网关
S1(config)#interface vlan [id]
S1(config-if)#ip address [ip] [掩码]
S1(config)#ip default-gateway [网关]
2.创建vlan
S1(config)#vlan [id]
S1(config-vlan)#name [名字]
3.将接口划分vlan中
S1(config)#interface [接口]
S1(config-if)#switchport access vlan [id]
4.设置中继线路
S1(config)#interface [接口]
S1(config-if)#switchport mode trunk
5.单臂路由
g0/2.10子接口:
Router(config)#interface g0/2.10
Router(config-subif)#no shutdown
Router(config-subif)#encapsulation dot1Q [vlan-id]
Router(config-subif)#ip address [ip] [掩码]
与g0/2接口相连交换机接口设为中继接口:
Switch(config-if)#switchport mode trunk
6.设置以太网通道
例: 把交换机S1的Fa0/3-Fa0/5设置成以太网通道,编号1,把此以太网通道设置成中继模式。
Switch(config)#interface range f0/3-5
Switch(config-if-range)#channel-group 1 mode active
Switch(config-if-range)#exit
Switch(config)#interface port-channel 1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
7.开启三层交换的路由功能
Switch(config)#ip routing
三、设置DHCP服务器
1.设置DHCP的排除地址为202.206.100.1-202.206.100.5
Router(config)#ip dhcp excluded-address 202.206.100.1 202.206.100.5
2.创建DHCP地址池,名为outside
Router(config)#ip dhcp pool outside
3.把202.206.100.0/24放入地址池中
Router(dhcp-config)#network 202.206.100.0 255.255.255.0
4.默认网关为202.206.100.1
Router(dhcp-config)#default-router 202.206.100.1
5.DNS:202.206.100.36
Router(dhcp-config)#dns-server 202.206.100.36
6.中继DNCP服务器
进入中继DHCP服务器
Router(config)#interface f0/0 //进入连接主机的接口
Router(config-if)#ip helper-address ip //ip地址为连接DNCP服务器的接口
四、HSPR
1.standby version 2
Router(config)#interface f0/0
Router(config-if)#standby version 2
2.配置ip
standby组1的ip 是202.206.96.1
Router(config-if)#standby 1 ip 202.206.96.1
3.设置优先权
standby组1优先权是150
Router(config-if)#standby 1 priority 150
4.设置抢占路由
设置standby组1为抢占路由
Router(config-if)#standby 1 preempt
五、路由表RIP
1.配置静态路由
Router#show ip route //查看路由表
Router(config)#ip route [ip地址] [掩码] [下一跳ip]
2.动态路由
配置动态路由:
Router(config)#router rip
Router(config-router)#network [直连网络ip]
设置被动接口:
Router(config-router)#passive-interface [接口]
3.静态默认路由
Router(config)#ip route 0.0.0.0 0.0.0.0 [下一跳ip]
在RIP协议中传播默认静态路由:
Router(config)#router rip
Router(config-router)#default-information originate
六、路由表OSPF
1.配置动态动态路由OSPF协议
Router(config)#router ospf [进程id]
Router(config-router)#network [直连ip] [反掩码] area [区域号]
2.路由id
Router(config-router)#router-id [路由id] //配置路由OSPF时先配置路由id
3.设置被动接口
Router(config-router)#passive-interface [接口]
4.OSPF协议中设置传播默认静态路由
Router(config-router)#default-information originate
七、ACL
1.在R1 上设置标准ACL,编号为1,拒绝192.168.1.2-192.168.1.127 的所有计算机访问本局域网外的计算机,本局域网内其它计算机访问不受影响。
Router(config)#access-list 1 deny 192.168.1.2 0.0.0.127
Router(config)#access-list 1 permit any
Router(config)#interface f0/0
Router(config-if)#ip access-group 1 in
2.在R1上设置标准命名ACL,名称为main, 只允许192.168.2.12-192.168.2.15和允许192.168.1.200-207访问外网(即内网1和内网2以外的网络),其它计算机不能访问外网。
Router(config)#ip access-list standard main
Router(config-std-nacl)#permit 192.168.2.12 0.0.0.3
Router(config-std-nacl)#permit 192.168.1.200 0.0.0.7
Router(config-std-nacl)#exit
Router(config)#interface f0/1
Router(config-if)#ip access-group main out
八、NAT和PAT
(一)NAT
1.配置静态NAT,
Router(config)#ip nat inside source static [主机ip] [映射ip]
2.配置动态NAT
建立地址池:
Router(config)#ip nat pool [名字] [起始ip] [终止ip] netmask [掩码]
设置ACL:
Router(config)#access-list [编号] permit [起始ip] [反掩码]
做地址池与访问控制列表映射关系:
Router(config)#ip nat inside source list [ACL编号] pool [名字]
配置内部接口和外部接口:
Router(config)#interface [接口]
Router(config-if)#ip nat inside
Router(config)#interface [接口]
Router(config-if)#ip nat outside
(二)PAT
1.配置ACL
2.做访问控制列表与端口的映射关系,并且超载
Router(config)#ip nat inside source list [ACL编号] interface [接口] overload
九、交换机端口安全设置
1.设置交换机端口安全
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security
2.把PC1的MAC地址手工绑定在端口
Switch(config-if)#switchport port-security mac-address [主机mac]
3.设置端口地址粘滞
Switch(config-if)#switchport port-security mac-address sticky
4.开启portfast功能
Switch(config-if)#spanning-tree portfast
5.设置端口最大MAC地址个数是1
Switch(config-if)#switchport port-security maximum 1
违反后处理方法是shutdown,
Switch(config-if)#switchport port-security violation shutdown
违反后处理方法是restrict
Switch(config-if)#switchport port-security violation restrict