目录
(3)配置AAA认证使用TACACS+服务器和RADIUS服务器
本文命令加粗的为关键字,非加粗为参数(未汇总完,待更新)
1配置安全的管理访问
Router#show login //显示路由器处于正常模式或静默模式,却决于是否超过设置的登录阈值(login block-for配置)
Router#show login failures //显示登录的次数
(1)保护本地访问
Router(config)#line console 0
Router(config-line)#password password //设置密码
(2)保护远程访问
Router(config)#line vty 0 ? //查看一下可配置的vty线路
Router(config)#line vty 0 15
Router(config-line)#password password //设置密码
Router(config-line)#login //开启身份验证
Router(config)#line aux 0
Router(config-line)#password password //设置密码
Router(config-line)#login //开启身份验证
(3)保护特权EXEC模式访问
Router(config)#enable password password //同时设置此命令不生效
Router(config)#enable secret password //同时设置此命令生效
(4)提高密码安全性
Router(config)#service password-encryption //加密所有密码
Router(config-line)#exec-timeout time //在线路配置模式下禁用无人看管的连接,设置超时时间
Router(config-line)#no exec //在线路模式下禁用特定的连接的EXEC进程(仅允许线路上外出的连接,如果有连接向路由器发送未经允许的请求的数据,则该命令可以允许你禁用连接的EXEC进程)
(5)配置数据库安全条目
Router(config)#username name password password
Router(config)#username name secret password
注意:如果线路(控制台,VTY,aux端口)必须配置为用户名加密码的组合,则需要将Router(config-line)#login //开启身份验证 改为Router(config-line)#login local //开启本地数据库验证
2为虚拟登录配置较强的安全性
(1)启用登录增强
Router(config)#login block-for seconds1 attempts tries within seconds2 //在second2时间里超过tries登录失败,禁止在seconds1时间内登录
Router(config)#login quiet-mode access-class { acl-name | acl-number } //创建和识别ACL
Router(config)#login delay seconds //两次成功登录之间设置一个统一的延迟
(2)记录登录成功失败的次数
Router(config)#login on-success log [ every login ] //将登录成功的消息生成日志
Router(config)#security authentication failure rate number //当登录失败次数超出设定数值将生成一条日志消息
Router(config)#login on-success log [ every login ] 等价于Router(config)#security authentication failure rate number
Router(config)#login on-failure log [ every login ] //将登录失败的消息生成日志
(3)设置标语,提供法律通知
Router(config)#banner ?
LINE c banner-text c, where 'c' is a delimiting character
exec Set EXEC process creation banner
incoming Set incoming terminal line banner
login Set login banner
motd Set Message of the Day banner
prompt-timeout Set Message for login authentication timeout
slip-ppp Set Message for SLIP/PPP
3配置SSH
Router#show ip ssh //验证SSH设置
Router#show crypto key mypubkey rsa //校验ssh并显示产生的密钥
Router(config)#crypto key zeroize rsa 然后输入size //设置密钥对
Router(config)#hostname name //修改设备名为zs确保路由器有唯一的主机名
Router(config)#crypto key generate rsa general-keys modulus modulus-size //创建ras密钥
Router(config)#ip domain-name domain-name //设置域名为zs
Router(config)#username name password password //确保有一个本地数据库用户名条目
Router(config-line)#transport input ssh //线路模式下配置只允许ssh登录
Router(config)#ip ssh version { 1 | 2 } //更改ssh版本
Router(config)#ip ssh time-out seconds //路由器等待ssh响应时间设置
Router(config)#ip ssh authentication-retries integer //配置连续SSH登录的次数
4配置特权级别
Router#show privilege //查看当前的特权等级
Router(config)#enable secret level level password //设置特权级别
Router(config)#username name privilege level secret password //配置level等级的用户
例如:管理员在企业内部可对设备的访问分为四级:
USER(第一级别,不能使用ping)
不需要制定特权级别,默认的用户模式与第一级别相同
SUPPORT(第一级别,能使用ping)
Router(config)#privilege exec level 5 ping //ping命令使用级别为5,USER就不能使用ping
Router(config)#enable secret level 5 cisco5 //为级别5设置密码
Router(config)#username SUPPORT privilege 5 secret cisco5 //为5级分配一个用户名
JR-ADMIN(需要所有1~5级命令,外加reload)
Router(config)#privilege exec level 10 reload
Router(config)#enable secret level 10 cisco10
Router(config)#username jr-admin privilege 10 secret cisco10
ADMIN(需要完全访问)
默认为15级,可访问exec模式
Router(config)#enable secret level 15 cisco123 //配置用户密码
Router(config)#username ADMIN privilege 15 secret cisco15 //为15级设定密码为cisco15的ADMIN用户
注意:不同于Router(config)#username ADMIN secret cisco15 privilege 15 //建立一个密码为cisco15 privilege 15 的用户
Router#enable level //进入特权级别level
5配置基于角色的CLI访问
Router#show parser view all //查看所有视图的汇总
(1)配置基于角色的视图
Router(config)#aaa new-model //启用AAA
Router#enable view 或 Router#enable view root//进入根视图(需要设置enable secret密码)
Router(config)#parser view view-name //创建视图,启用视图配置模式,不包括根视图,最多可以创建15个视图
Router(config-view)#secret encrypted-password //配置secret密码
Router(config-view)#commands parser-mode { include | include-exclusive | exclude } [all] [interface interface-name | command] //为选择的视图分配命令
(2)配置基于角色的CLI超级视图
Router(config)#aaa new-model //启用AAA
Router#enable view 或 Router#enable view root //进入根视图(需要设置enable secret密码)
Router(config)#parser view view-name superview //创建视图,启用视图配置模式,不包括根视图,最多可以创建15个视图
Router(config-view)#secret encrypted-password //配置secret密码
Router(config-view)#view view-name //分配已经存在的视图
Router#enable view view-name //使用视图密码进入视图或切换视图
6保护Cisco IOS镜像弹性配置
(1)启用Cisco IOS镜像弹性特性
(2)恢复主启动集镜像
(3)恢复路由器密码
(4)禁用密码恢复
7使用系统日志
Router(config)#logging host ip-address//设置目的日志的主机
Router(config)#longging trap level //配置系统日志的严重性级别
Router(config)#logging soure-interface interface-type interface-id //设置源接口
Router(config)#logging on //启动系统日志 也可以分别用logging buffered,logging monitor,logging全局配置命令打开或关闭这些目的功能
8使用NTP
(1)配置NTP
Router(config)#ntp master //配置NTP主服务器
Router(config)#ntp sever ntp-server-address //客户端配置日志主服务器地址在LAN中可以使用IP广播消息代替该命令Router(config)#ntp broadcast client
(2)NTP验证
在NTP Master和NTP client上都使用下列命令:
Router(config)# ntp authenticate
Router(config )# ntp authentication key md5 value
Router(config )# ntp trusted-key key-number //key-number也可以在ntp server ntp-sever-address中作为一个参数设置
Router#show ntp associations detail //验证服务器是经过验证的源
9AAA
(1)配置本地AAA认证
Router(config )#username name secret password //在本地数据库创建用户名和密码
Router(config )#aaa new-model //开启AAA认证方法
Router(config )#aaa authentication login default local -case //验证时用户名区分大小写
Router(config )#aaa authentication login default local //验证时用户名不区分大小写Router(config )#aaa authentication login list-name local enable //创建一个名为list-name的AAA认证列表,先使用local认证,认证失败后再使用enable验证,只有在特点的线路(vty)使用name认证方法才有作用。
Router(config)#aaa authentication login {default |list-name} method1...[method4l]
//如果没有配置defaut列表与Router(config )#aaa authentication login default local相同
enable
指定用户可以使用特权模式口令进行认证。该关键字不能作为口令。
line使用线密码认证。(控制台的管理访问和及远程登录验证)
local使用本地数据库进行本地认证,不区分大小写。
local-case使用本地数据库进行本地认证,区分大小写。
none不使用认证。
group radius使用所有的RADIUS服务器列表进行认证。
group tacacs+使用所有的TACACS+服务器列表进行认证。
Router(config)#aaa local authentication attempts max-fail number-of-umsuccessful-attempts //通过锁定尝试失败超限的账号保护aaa用户账号的安全
Router#show aaa local user lockout //显示所有被锁死用户的列表
Router#clear aaa local user lockout {uasername username| all} //清除被锁死的用户
Router#show aaa sessions //显示一个会话的唯一ID
(2)AAA认证排错
Router#debug aaa authentication //debugAAA认证
10配置TACACS+服务器和RADIUS服务器
(1)配置TACACS+
Router(config )#aaa new-model //开启AAA认证方法
Router(config)#tacacs-server host ip-address single-connection //配置一个TACACS+服务器(可以配置多个)
Router(config)#tacacs-server key key //配置共享密钥来加密
(2)配置RADIUS
Router(config )#aaa new-model //开启AAA认证方法
Router(config)#radius-server host ip-address //配置一个RADIUS服务器(可以配置多个)
Router(config)#radius-server key key //配置共享密钥来加密
(3)配置AAA认证使用TACACS+服务器和RADIUS服务器
Router(config)#aaa authentication login default group radius group tacacs+ local-case
(4)调试TACACS+服务器和RADIUS服务器
Router#debug tacacs //查看详细的AAA调试信息
Router#debug radius //查看详细的AAA调试信息
Router#debug tacacs events //查看所有的tacacs信息
Router#debug radius events //查看所有的radius信息
11基于服务器的AAA授权和审计
(1)AAA授权类型
Router(config)#aaa authorization service-type {default| list-name } method1 [method2] [method3] [method4] //配置授权
service-type:
Commands /evel 用于exec(shell)命令
Exec 用于启动一个exex(shell)
Network 用于网络服务(ppp,slip,arap)
(2)AAA审计
Router(config)#aaa accounting {system| network| exec| connection| commands level} {default | list-name} {start-stop| wait-start| stop-only | none} [method1 [method2]]
Network 对所有 与网络相关的服务请求进行审计,包括SLIP、PP PPP网络控制协议。
Exec 对EXEC shell 会话进行审计。
cnnection 对来自于网络接 入服务器上的所有出站连接进行审计,比如Telhet或本地传输(Local-Area Transport, LAT)。
default 使用跟随在该关键字 后面列出的审计方法作为默认的方法列表。
list-name 用来命名 一个自定义审计方法列表的字符串。
start-stop 在进程的开始阶段发送一 一个“开始(start)” 审计通知,在进程末端发送一个“停止(stop)”审计通知。
stop-only 为所有情况 (包括认证失败)发送一个“停止(stop)”审计通知。
None 在线路或接口 上禁用审计服务。
Broadcast (可选)支持将记账记录发送给多台AAA服务器。
Router(config)#aaa accounting exec default start-stop group tacacs+ //对特权会话使用进行日志
Router(config)#aaa accounting network default start-stop group tacacs+ //对网络连接使用进行日志.
12访问控制列表
(1)标准ACL:
Router(config)# access-list access-list-number { deny | permit | remark } source [ source-wildcard ][ log ]
access-list-numbe
(ACL的编号。这是一个十进制数,值在1到99或1300到1999之间(适用于标准ACL)
(2)扩展ACL:
Router(config)#access-list access-list-number {remark | permit | deny} protocol source [source-wildcard] [operator port] destination [destination-wildcard] [operator port] [established] [log]
(ACL的编号。这是一个十进制数,值在100到199或2000到2699之间(适用于扩展ACL)
(3)命名ACL:
Router (config)# ip access- list [ standard | extended] name
(4)自反ACL
内部ACL:
Router(config)#ip access-list extended internal_ACL_name
Router(config-ext.nacl)# pernit protocool source-addr [source-mask] [opeator operand] destination-addr [destination-mask] [opeator operand] [established] reflect reflexive_ACL_name [ tineout seconds ]
外部ACL:
Router(config)#ip access-list extended external_ACL_name
Router(config-ext.nacl)#evaluate reflexive_ACL_name
(5)动态ACL:
Router(config)# acss-ist { ac1-# } dynamic dynamic_ACL _name [ timeout minutes] { permit I deny } protocol source-addr [ source-wiIdcard ] [ operator operand ]destination-addr [ destination-wildcard ] [ operator operand ] [ established]
Router(config-line)#autocommand access-enable host [timeout minutes] //在线路绑定ACL后
(6)基于时间的ACL配置:
建立时间范围
Router(config)# time-range time_range_name
Router(config-time-range)#absolute [start_time start_data] [end_time end_data]
Router(config-time-range)#periodic day_of_the_week hh:mm to [day_of_the_week] hh:mm
配置基于时间的ACL
Router(config)# access-list ( 100-199 acl-#} { permit | deny } protocol source-addr [ source-mask ] [ opeartor operand] [destination-addr [ destination-mask ] [ operator operand ] [ established ]
[ log I log-input ] [ established ] [ time-range name_of_time_range ]
(7)ACL应用:
Router(config-if)# ip access-group { access-list-number | access-list-name } { in | out } //将acl应用于接口
Router(config-std-nacl)# [permit I deny I remark] {source[ source-wi ldcard] } [log]
线路配置模式access-class :Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }
(8)参数说明:
access-list-number (ACL编号)
deny(匹配条件时拒绝访问)
permit(匹配条件时允许访问)
remark(在IP访问列表中添加备注,增强列表的可读性)
protocol (指定协议类型,eg:IP,TCP,UDP,ICMP等)
source(发送数据包的网络号或主机号。可通过两种方法指定source:.使用以点分十进制格式分四部分的32位数字。.使用关键字any作为0.0.0.0 255.255 255.255的source和source -wi ldcard的缩写)
destination (接受数据包的网络号或主机号)
source -wildcard((可选)要应用到源的32位通配符掩码。在要忽略的位上置1。)
destination-wildcard ((可选)要应用到目的的32位通配符掩码。在要忽略的位上置1。)
operator (lt,gt,eg,neg (小于,大于,等于,不等于))
port (端口号)
established (只用于TCP协议,只是已建立的连接)
log((可选)对匹配条目的数据包生成信息性日志消息,该消息将随后发送到控制台。(记录到控制台 的消息级别由logging console命令控制。)消息内容包括ACL号、数据包是被允许还是被拒绝、源地址以及数据包的数量。此消息在出现与条件匹配的第一个数据包时生成,随后每五分钟生成一次,其中会包含在过去的五分钟内允许或拒绝的数据包的数量。)
(9)验证和排错ACL
Router#show access-lists [access-list-number | access-list-name ] //显示有多少数据包与ACL匹配,可以让用户监控被允许和拒绝的数据包
Router#debug ip packet [access-list-nmuber] [detail] //对ACL的配置进行排错
(10)配置ipv6 ACL
Router(config)#ipv6 access-list access-list-name
Router (config-ipv6-acl)# { permit 1 deny } protocol { source-ipv6-prefix /prefix-length | any | host source-ipv6-address |auth } [operator [ port-number ] ] { destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address | auth } [ operator ( port-number]]
Router(config-if)#ipv6 traffic-filter access-list-name {in | out} //在接口绑定ACL
(11)配置网络对象组
Router (config)# object-group network rw_grp _id
Router (config-network-group)# description description-text | host {host-address |host -name}| network-address { /prefix-length | network-mask}l range host -address1 host-address2| any | group-object nested- object -group- name
(12)配置服务对象组
Router(config)# object-group service svc_ grp_id
Router(config-service-group)# protocol | [ tcp | udp| tcp-udp [ source {{{[eq ]|lt | gt } port1 | range port1 port2 }] [{[ eq] | lt | gt } port1 | range port1 port2 ]] | icmp icmp- type
(13)创建基于对象组的ACL
Router (config) # ip access-list extended name_of_ACL
Router (config-ext-nacl)# [ line line_number ] ( permit | deny } ( protocol |object-group protocol_obj_grp_id ) ( source-prefix/wildcard-mask | any | host source-address | object-group network_obj_grp_id ) [ operator { port [port]} | object-group service_obj_grp_id}] destination-prefix/wildcard mask | any | host destination-address | object-group network_obj_ grp_id ) [ operator { port [ port ] I object-group service_obj_grp_id }] {[ log[ level ]]}
(14)创建基于对象组的ipv6 ACL
Router (config)# ipv6 access-liat access-list-name
Router (config-ipv6-acl)# {permit | deny} protocol | object-group protocol_obj_grp_id } { source-ipv6-prefix/prefix-length | any | host source-ipv6-address | object-group network_obj_grp_id } [ operator { port [ port ] | object-group service_obj_grp_id }]{ destination-ipv6-prefix /p refix- length | any | host destination-ipv6-address | object-group network_obj_grp_id }[{ operatorport [ port] | object-group service_obj_grp_id }]
13配置区域策略防火墙
(1)配置ZBF
建立防火墙区域
Router(config)#zone security zone-name //建立防火墙的区域
Router(config-sec-zone)#description line-of-description //区域描述
定义流量类型
Router(config)#class-map type inspect [match-any | match-all] class-map-name //创建ZBF流量类型,对于3层,4层,高层class map的match-any是默认
Router(config)#class-map type inspect protocol-name [match-any | match-all] class-map-name
Router(config)#class-map class-map-name
Router(config-cmap)#match access-group { access-group | name access-group-name} //引用访问列表
Router(config-cmap)#match protocol protocol-name //匹配协议
Router(config-cmap)#match class-map class-map-name //配置嵌套class-map-name
指定防火墙策略
Router(config)#policy-map type inspect policy-map-name //创建ZBF策略映射
Router(config-pmap)#class type inspect class-name //指定某一行为的流量类
Router(config-pmap)#class class-default //配置默认类(匹配所有流量)
Router(config-pmap-c)#pass | inspect |drop[log] | police
将防火墙策略应用于源和目的区域对
Router(config)#zone-pair security zone-pair-name [source source-zone-name | self] description description-zone-name //指定源区域,目的区域
Router(config-sec-zone-pair)#service-policy type inspect policy-map-name //指定策略
Router(config-sec-zone-pair)#service-policy {h323| http | im | imap | p2p | pop3 | sip | smtp | sunrpc | urlfilter } policy-map
将接口分配到区域
Router(config-if)#zone-member security zone-name //接口模式下
Router#show policy-map type inspect zone-pair sessions //查看基于区域策略防火墙的状态表
14Cisco IOS IPS
(1)配置Cisco IOS IPS
Router#mkdir directory-name //在闪存中创建IPS配置目录
Router#rename current-name new-name //修改目录名字
Router(config)#no crypto key pubkey-chain rsa //删除密钥
Router(config)# crypto key pubkey-chain rsa //配置密钥
Router(config-pubkey-chain)#named-key realm.pub signature //配置密钥
Router#show running-config //验证加密密钥配置
Router(config)#ip ips name [rule name][optional ACL] //创建一个规则名称
Router(config)#ip ips config location flash:directory-name //配置IPS特征存储位置,12.4之前版本使用ip ips sdf location
Router(config)#ip http server //启用http服务器
Router(config)#ip ips notify sDEE //启用IPS SDEE通知
Router(config)#ip ips notify log //启用日志记录
Router(config)#ip ips signature-category //进入IPS类别模式
Router(config-ips-category)#category category-name //改变类别
例如
Router(config-ips-category)#category all //进入IPS类别all行为模式
Router(config-ips-category-action)#retired true //隐退
Router(config-ips-category-action)#retired false //非隐退
Router(config-if)#ip ips rule-name [in | out] //接口模式下应用IPS规则
Router#Copy ftp://ftp_user:password@Server_IP_address/signature_package idconf //复制一个IDConf配置文件
Router#show ip ips signature count //查看特征包是否编译正确
(2)检验和监测IPS
Router#show ip ips //显示IPS信息
Router#show ip ips all //显示所有的IPS配置数据
Router#show ip ips configuration //显示一些额外的配置数据
Router#show ip ips interfaces //显示接口配置数据
Router#show ip ips signature //检验特性配置
Router#show ip ips statistics //显示审计的数据包数量以及发送的警报数量
Router#clear ip ips configuration //禁用IPS
Router#clear ip ips statistics //复位分析的数据包数量以及发送的警报数量
Router(config)#ip http server //启用http服务器
Router(config)#ip ips notify sDEE //启用IPS SDEE通知
Router(config)#ip ips notify log //启用日志记录
Router(config)#ip sdee alerts event //配置存储的最大SDE警报数
Router(config)#ip sdee messages //配置存储的最大SDE消息数
Router(config)#ip sdee subscriptions //配置允许的并发SDE订阅数
15配置端口安全
(1)基本的端口安全
Switch(config-if)#switchport mode access //配置接口为接入模式(access)
Switch(config-if)#switchport port-security [mac-address mac-address [vlan {vlan-id | {access |voice} }] | [mac-address sticky [mac-address | vlan {vlan-id | {access |voice}}]][maximum value [vlan {vlan-list | {access | voice}}]] //在接口上启用端口安全
Switch(config-if)#switchport port-security maximum value //配置端口安全MAC地址的最大数,默认为1,最大123
(2)高级端口安全配置
Switch(config-if)#switchport port-security violation {protect | restrict | shutdown | shutdown vlan} //配置安全违规模式
如果端口处于error-disable状态,表示该端口已经发生违规行为
Switch(config)#errdisable recovery cause psecure-violation //重新启用或者进入接口shutdown,no shutdown手动启用
Switch(config-if)#switchport port-security mac-address sticky //在接口启用粘连学习
Switch(config-if)#switchport port-security mac-address mac-address //配置静态安全MAC地址
Switch(config-if)#no switchport port-security maximum value //将接口的安全MAC地址数恢复为默认值
Switch(config-if)#no switchport port-security //将端口恢复默认状态
Switch(config-if)#no switchport port-security violation {protect | restrict | shutdown | shutdown vlan} //将违规模式恢复为默认状态(shutdown)
(3)端口安全老化
Switch(config-if)#switchport port-security aging {static |time time |type {absolute | inactivity}} //开启或者关闭静态老化功能,设置老化时间或类型
(4)检验端口安全
Switch#show port-security //查看交换机端口安全设置,违规数量,配置的接口及违规的行动
Switch#show port-security [ interface interface-id ] //查看指定端口安全设置,违规数量,配置的接口及违规的行动
(5)检验地址的端口安全
Switch#show port-security [ interface interface-id ] address
16配置BPDU保护,BPDU过滤和根保护
(1)Portfast
Switch(config-if)#spanning-tree portfast //端口会直接从BLK 状态跳到FWD 状态
Switch(config)#spanning-tree portfast default //对所有非中继端口配置portfast
(2)BPDU保护
Switch(config)#spanning-tree portfast bpduguard default //在所有配置了portfast的端口启用BPDU保护
Switch#show spanning-tree summary totals //查看BPDU是否启用
Switch#show spanning-tree summary //显示端口状态的汇总,显示生成树状态部分的所有行
(3)BPDU过滤
Switch(config-if)#spanning-tree bpdufilter enable ///开启BPDUfilter
Switch(config-if)#spanning-tree bpdufilter disable //关闭BPDUfilter
(4)根保护
Switch(config-if)#spanning-tree guard root //启用根保护
Switch#show spanning-tree inconsistentports //检验根防护
17配置风暴控制
Switch(config-if)#storm-control {{broadcast | multicast | unicast} level {level [level-low] |bps bpa [bps-low | pps pps [pps-low]]} {action{shuwdown | trap}}}
broadcast在此接口.上启用广播分在此接口上启用广播风暴控制
multicast在此接口上启用广播分在此接口上启用多播风暴控制
unicast在此接口.上启用广播分在此接口.上启用单播风暴控制
level level [level-low]:
上升和下降端口总带宽的百分比作为抑制级别。
level:. 上升抑制级别.范围是0.00至100.00。 达到级别为指定的值时,阻塞风暴数据包的泛洪。
level-low: (可选)下降抑制级别,精确到小数点后两位。此值必须小于或等于提高的抑制值。
level bps bps[bps-low]:指定端口.上收到流量上升和下降抑制级别,速率单位是bps.
Bps:上升抑制级别.范围是0.0到100000000.0.达到bps指定的值时,阻止泛洪风暴数据包Bps-low. (可选)下降抑制级别,最多到小数点后- -位。 此值必须等于或小于上升抑制值。
Level pps pps [pps-low]:
指定端口.上收到流量上升和下降抑制级别,速率单位是pps(包/秒)。
pps:上升抑制级别.范围是0.0到1000000000.0达到pps指定的值时,阻止泛洪风暴数据包。
pps-low: (可选)下降抑制级别,最多到小数点后一位。此值必须等于或小于上升抑制值。
Action {shutown | trap}:
当风暴发生在一个端口上所采取的动作。默认的动作是过滤流量,并且不发送SNMP陷阱。
关键字有以下含义:
shutdown:风暴期间禁用端口
trap:风暴发生时发送SNMP陷阱
Switch#show strom-control [interface] | [{broadcast | multicast | unicast | history}] //检验风暴控制的设置,显示所有接口上或指定接口的流量类型的风暴控制抑制级别,没有定义指定流量类型,默认为广播流量
18配置VLAN中继Trunk安全
Switch(config-if)#switchport mode access //配置接口为接入模式(access)
Switch(config-if)#switchport mode trunk //配置接口为中继模式(trunk)
Switch(config-if)#switchport nonegotiate //禁用DTP协商
Switch(config-if)#switchport trunk native vlan vlan-id //配置接口的本征vlan
19配置Cisco交换端口分析器
(1)Cisco SPAN配置和检验
Switch(config)#monitor session session_number source { interface interface-id [ ,| -] [both| rx| tx] } | { vlan vlan-id [,|-] [both| rx | tx] } | { remote vlan vlan-id} //配置SPAN
Switch(config)#monitor session session_number destination {interface interface-id [,| -][ encapsulation replicate ][ ingress {dot1q vlan vlan-id| isl | untagged vlan vlan-id | vlan vlan-id} ] }| { remote vlan vlan-id} //配置SPAN
Switch# show monitor session session-number //检验SPAN配置
20配置PVLAN边缘
(1)检验受保护的端口
Switch(config-if)#switchport protected //配置PVLANEdge特性
Switch(config-if)#no switchport protected //禁用PVLANEdge特性
Switch#show interfaces interface-id switchport //验证PVLANEdge特性配置
21实现虚拟局域网
(1)配置GRE隧道
Router(config)#interface tunnel number //创建一个隧道接口
Router(config-if)#ip address //配置一个ip地址
Router(config-if)#tunnel source //标识源隧道接口
Router(config-if)#tunnel destination //标识目的隧道接口
Router(config-if)#tunnel mode gre //配置GRE所要封装的协议
(2)站点到站点的IPSec VPN
任务1:确保ACL与IPsec兼容
Router(config)#access-list acl permit ahp source wildcard destination wildcard
Router(config)#access-list acl permit esp source wildcard destination wildcard
Router(config)#access-list acl permit udp source wildcard destination wildcard
Router#show access-list //检验ACL配置
任务2:创建ISAKMP (IKE)策略
Router(config)#crypto isakmp policy policy //配置IKE策略的优先级
Router(config-isakmp)# //设置IKE参数
配置PSK
Router(config)#crypto isakmp key keystring address peer-address
Router(config)#crypto isakmp key keystring hostanme name
keystring此参数指定PSK.使用最多为128字节长的字母和数字的组台.此PSK在两端必须是相同的。
peer-address此参数指定远端的IP地址。
主机name 此参数指定远端的主机名。
默认情况
Router(config)#crypto isakmp identity hostname //使用hostname ,必须用DNS解析主机名
任务3:配置IPsec变换集
crypto ipsec transform- -set transform-set -name transform1 [ transform2 ] [ transform3 ] ] //指定1~4个转换集
任务4:创建加密ACL
Router(config)# acss-ist-number [ dynamic dynamic-name [ timeout minutes] { permit I deny } protoco source source-wiIdcard destination-addr destination-wildcard [precedence precedence] [tos tos] [log]
任务5:创建并应用加密映射.
Router(config)#crypto map map-name seq-num ipsec-manual
Router(config)#crypto map map-name seq-num ipsec-isakmp [dynamic dynamic-map-name ]
crypto map参数:
map-name定义加密映射集的名字或指明要编辑的加密映射的名字
seq-num加密映射条目的编号
ipsec-manual指出ISAKMP将不被用于建立IPsec SAs
ipsec- isakmp指出ISAKMP将被用于建立IPsec SAs
cisco(默认值)指明CET将被用于保护流量,而不是用IPsec保护流量
dynamic(可选)指定此加密映射条目引用先前存在的静态加密映射。如果使用了此关键词,所有加密映射配置命令都不可用。
dynamic-map-name(可选)指明动态加密映射集的名字,其应被用作策略模板
加密映射配置模式命令
Set:设置peer, pfs, transform-set和security- association的命令
peer [ 主机name | ip-address]:用IP地址或主机名指定允许的IPsec对端
pfs [group1 | group2]:指定DH组1或组2.
transform-set[ set_name (s) ]:按优先顺序指定转换集列表。当crypto map命令使用了ipsec-manual参数,那么只有一个转换集可以定义。当crypto map命令使用了ipsec-isakm或dynamic参数,最多可以指定六个转变集。
security -a sociation lifetime:以秒或KB为单位设置SA生命时间
match address [ access-list-id | name]:以名称或编号指明扩展ACL。该值应与以前定义的扩展ACL的编号或名称匹配。
No:删除用set命令输入的命令
Exit:退出加密映射配置模式
Router#show crypto map //显示配置的加密映射
Router#show crypto isakmp policy //显示配置的IKE策略
Router#show crypto ipsec sa //显示建立的IPsec隧道
Router#show crypto ipsec trans form-set //显示配置的IPsec变换集
Router#debug crypto isakmp Debugs IKE事件
Router#debug crypto ipsec Debugs IPsec事件
22配置ASA防火墙
(1)基本配置对应common IOS命令
ciscoasa(config)#enable password password //enable secret password
ciscoasa(config)#passwd password
//line con 0 password password login
ciscoasa(config)#route outside //ip route
ciscoasa#show interface ip brief
ciscoasa#show route //show ip route
ciscoasa#show switch vlan //show vlan
ciscoasa#show xlate //show ip nat translations
ciscoasa#write [memory] //coPY running-config startup-config
ciscoasa#write erase //erase startup-config
配置主机名、域名、特权密码:
ciscoasa(config)#hostname name //配置主机名
ciscoasa(config)#domain-name name //配置域名
ciscoasa(config)#enable password password //配置特权密码
ciscoasa(config)#passwd password // 配置TELNET/SSH密码
ciscoasa(config)#key config-key password-encryption //加密明文密码
ciscoasa(config)#password encryption [new-passphrase[old-passphrase]]
ciscoasa(config)#password encryption aes //启用密码加密
ciscoasa#show password encryption //检查密码加密是否启用
(2)恢复出厂设置及初始设置
ciscoasa(config)#configure factory-default //恢复出厂设置
ciscoasa#write erase //擦除ASA配置
ciscoasa#reload //重启设备
输入no,取消设置初始化向导
输入yes,ASA将交互式的指导管理员配置信息
(3)配置接口
ciscoasa(config)#interface vlan vlan-number //配置交换虚拟接口(SVI)
ciscoasa(config-if)#nameif name //指定SVI接口的名字,5505第三个VLAN接口受限,需要no foword interface vlan nummber才能建立number指定一个VLAN ID。该VLAN接口不能发起流量。
ciscoasa(config-if)#security-level valiue //指定SVI接口的安全级别
ciscoasa(config-if)#ip address dhcp [ setroute] //dhcp获取地址
ciscoasa(config-if)#ip address pppoe [ setroute ] //pppoe获取地址
ciscoasa(config-if)#switchport access vlan vlan-id //给接口配置vlan
ciscoasa#show switch vlan //检验vlan设置
(4)配置默认的静态路由
ciscoasa(config)#route interface-name 0.0.0.0 0.0.0.0 next-hop-ip-address
ciscoasa#show route //检查路由条目
(5)配置远程访问服务
ciscoasa(config)#passwd password // 配置TELNET/SSH密码
ciscoasa(config)#telnet timeout minutes //改变执行超时时间,默认为5分钟
ciscoasa(config)#username name password password //建立本地数据库条目
ciscoasa(config)#aaa authentication {ssh | telnet} console {lOCAL | TACACS-server |RADIUS-server} //配置SSH使用本地数据库验证
ciscoasa(config)#crypto key generate rsa modulus number //配置SSH加密使用的RSA密钥
ciscoasa(config)#telnet ip-address subnet-mast inside //识别主机可以通过telnet连接到ASA
ciscoasa(config)#ssh ip-address subnet-mast interface-name //识别主机可以通过SSH连接到ASA
ciscoasa(config)#ssh timeout minutes //改变执行超时时间,默认为5分钟
ciscoasa#show ssh //检验SSH配置
(6)配置NTP服务
ciscoasa(config)#ntp server ip-address //配置NTP服务器地址
ciscoasa(config)#ntp authentication-key //配置验证密钥和密码
ciscoasa(config)#ntp trusted-key value //识别要信任的配置密钥
ciscoasa(config)#ntp authenticate //启用NTP验证
(7)配置DHCP服务
ciscoasa(config)#dhcpd enable inside //在内部接口启用DHCP服务
ciscoasa(config)#dhcpd enable outside //在外部接口启用DHCP服务
ciscoasa(config)#dhcpd address [start-of-pool]-[end-of-pool] [inside | outside] //配置地址池
ciscoasa(config)#dhcpd domain domain-name //配置DNS域名
ciscoasa(config)#dhcpd dns dns-ip-address //配置DNS服务器地址
ciscoasa(config)#dhcpd wins wins-ip-address //配置WINS服务器地址
ciscoasa(config)#dhcpd lease seconds //配置租用时间,以秒为单位
ciscoasa(config)#dhcpd option value //配置DHCP选项代码
ciscoasa(config)#dhcp auto_config [outside | inside] //outside将从外部接口获取的DNS,WINS和域名信息传递给内部接口和DHCP客户端
ciscoasa#show dhcpd state //显示内部和外部接口当前的DHCP状态
ciscoasa#show dhcpd binding 显示当前内部用户的DHCP绑定信息
ciscoasa#show dhcpd statistics 显示当前的DHCP统计信息
ciscoasa#clear dhcpd binding 清楚当前内部用户的DHCP绑定信息
ciscoasa#clear dhcpd statistics 清除当前的DHCP统计信息
(8)配置网络对象
ciscoasa(config)#object network object-name //进入网络对象配置模式
ciscoasa(config-network-object)#host ip-address //给命名对象指定一个ip地址
ciscoasa(config-network-object)#subnet net-address net-mask //给命名对象指定一个网络子网
ciscoasa(config-network-object)#range ip-address-l ip-address-n //给命名对象指定一个ip地址范围
ciscoasa(config)#clear config object network //清除所有的网络对象
(9)配置服务对象
ciscoasa(config)#object service object-name //进入服务对象配置模式
ciscoasa(config-service-object)#Service protocol [source[operator port]][destination[operator port]] //指定一个协议名称或数字
ciscoasa(config-service-object)#service icmp icmp-type //为icmp指定服务对象
ciscoasa(config-service-object)#service icmp6 icmp6-type //为icmpv6协议指定服务对象
ciscoasa(config)#clear config object service //清除所有的服务对象
ciscoasa#show running-config object //检验服务对象配置
(10)配置对象组
配置网络对象组
ciscoasa(config)#object-group network grp-name
ciscoasa (config-network-object-group) #network-object
ciscoasa (config-network-object-group) #group-object
配置协议对象组
ciscoasa(config)#object-group protocol grp-name
ciscoasa (config-network-object-group) #protocol-object
ciscoasa (config-network-object-group) #group-object
配置服务对象组
ciscoasa(config)#object-group service grp-name
ciscoasa (config-network-object-group) #service-object
ciscoasa (config-network-object-group) #group-object
配置ICMP对象组
ciscoasa(config)#object-group icmp-type grp-name [tcp | udp| tcp-udp]
ciscoasa (config-network-object-group) #port-object
ciscoasa (config-network-object-group) #group-object
为TCP,UDP配置服务对象组
ciscoasa(config)#object-group service grp-name
ciscoasa (config-network-object-group) #service-object
ciscoasa (config-network-object-group) #group-object
ciscoasa(config)#clear configure object-group //清除所有对象组
ciscoasa#show running-config object-group //检验对象组设置
(11)ASA ACL配置
ciscoasa(config)#access-list id extended {deny | permit } protocol { source_addr source_mask| any | host src_host| interface src_if_name }[operator port [port]]
{dest_addr dest_mask } | any | host dst_host | interface dst_if_name } [operator port [port]]
ciscoasa(config-if)#access-group acl-id {in| out} interface interface-name [per-user-override| control-plane ]
ciscoasa#show access-list //检验ACL
ciscoasa#show running-config access-list //检验ACL
ciscoasa(config)#clear configure access-list //清除配置的ACL
(12)ASA配置静态NAT,动态NAT和PAT
动态NAT
ciscoasa(config)#object network mapped-obj //配置一个标识公有地址的网络对象
ciscoasa(config-network-object)#subnet ip-address-l ip-address-n //指定一个IP地址范围
ciscoasa(config-network-object)#range ip-address-l ip-address-n //同上,指定一个IP地址范围
ciscoasa(config)#object network nat-object-name //命名NAT对象
ciscoasa(config-network-object)#subnet ip-address-l ip-address-n //指定一个IP地址范围
ciscoasa(config-network-object)#nat(real-ifc,mapped-ifc) dynamic mapped-obj //映射一个静态地址到已映射的在线主机IP地址
动态PAT:
ciscoasa(config)#object network nat-object-name //命名NAT对象
ciscoasa(config-network-object)#subnet ip-address-l ip-address-n //指定一个IP地址范围
ciscoasa(config-network-object)#nat(real-ifc,mapped-ifc) dynamic interface //提供real-ifc上的内部主机来作为mapped-ifc接口的外部地址
静态NAT:
ciscoasa(config)#object network nat-object-name //命名NAT对象
ciscoasa(config-network-object)#host ip-address //标识内部主机地址
ciscoasa(config-network-object)#nat(real-ifc,mapped-ifc) static mapped-inline-hostip //将一个内部地址静态映射到一个外部地址
(13)ASA AAA
ciscoasa(config)#username name password password [privilege value] //配置用户名密码及级别
ciscoasa(config)#aaa authentication { enable| http| ssh| telnet } console { aaa-svr-name| LOCAL } //开启认证及
ciscoasa(config)#aaa- server server- tag protocol protocol //创建服务器组
ciscoasa(config)#aaa-server server-tag [( interface-name )]host{server-ip-name } [key password ] //配置服务器并指导参数
ciscoasa(config)#clear config username [name] //清除用户
ciscoasa#show running-config username //查看所有用户
ciscoasa#clear config aaa-server //清除AAA服务器配置
ciscoasa#show running-config aaa-server //查看所有用户的账号
(14)配置class map
配置ACL允许感兴趣流量
配置class map来标识流量
ciscoasa(config)#class-map class-map-name //建立并进入class map配置模式ciscoasa(config)#class-map type management class-map-name //变体用于去往ASA的管理流量
ciscoasa(config-cmap)#
Description :添加描述文字
Match any:匹配所有流量
Match access-list access-list-name :匹配一个扩展访问控制列表的流量
默认全局策略
ciscoasa(config)#class-map inspection_default
ciscoasa(config-cmap)#match default-inspection-traffic
配置police map对于这些class map应用动作接口
ciscoasa(config)#policy-map policy-map-name
ciscoasa(config-pmap)#
Description :添加描述文字
Class class-map-name:标识执行动作的class map
Set connection :设置连接值
Inspect:提供协议检查服务
Police:在该class的流量进行限速
默认的police map是global_policy(默认全局策略)
配置服务策略
ciscoasa(config)#service-policy policy-map-name [global | interface intf]
ciscoasa#show running-config classmap //显示class map相关配置信息
ciscoasa(config)#clear configure class-map //清除class map
ciscoasa#show running-config policy-map //显示policy map相关配置信息
ciscoasa(config)#clear configure policy-map //清除policy map
ciscoasa#show service-policy //显示有关服务策略配置信息
ciscoasa#show running-config service-policy //显示有关服务策略配置信息
ciscoasa(config)#clear configure service-policy //清除服务策略
ciscoasa(config)#clear service-policy //清除服务策略统计