交換機(jī)安全基本措施

1、5.1.2 交換機(jī)安全基本措施交換機(jī)安全基本措施深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院梁廣民（梁廣民（CCIE#14496）國家精品課程國家精品課程國家精品資源共享課程國家精品資源共享課程教育部網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫課程教育部網(wǎng)絡(luò)技術(shù)專業(yè)教學(xué)資源庫課程“十二五十二五”職業(yè)教育國家規(guī)劃教材職業(yè)教育國家規(guī)劃教材2配置配置enable密碼密碼 S1(config)#enable password ciscoS1# Show runenablepasswordcisco(明文，未加密) S1(config)#enable secret ciscoS1# Showrunenablesecret5$1$emBK

2、$WxqLahy7YO(密碼被加密)3配置控制臺密碼配置控制臺密碼要防止要防止控制臺端口控制臺端口(console)受到未經(jīng)授權(quán)的訪問受到未經(jīng)授權(quán)的訪問4配置配置VTY密碼密碼S1(config)#line vty 0 40 4:允許允許5個終端同時遠(yuǎn)程登錄個終端同時遠(yuǎn)程登錄S1(config-line)#password ciscoS1(config-line)#loginS1(config-line)#priviledge level 15設(shè)置登錄權(quán)限級別，默認(rèn)為設(shè)置登錄權(quán)限級別，默認(rèn)為1，最高為，最高為15保護(hù)保護(hù)vty端口端口, vty 端口用于遠(yuǎn)程訪問設(shè)備端口用于遠(yuǎn)程訪問設(shè)備5配置口

3、令加密服務(wù)配置口令加密服務(wù)當(dāng)從全局配置模式下輸入當(dāng)從全局配置模式下輸入 service password-encryption 命令后，命令后，所有系統(tǒng)所有系統(tǒng)口令口令都將以加密形式存儲。都將以加密形式存儲。6配置登錄標(biāo)語和當(dāng)日消息配置登錄標(biāo)語和當(dāng)日消息Cisco IOS 命令集中包含一項功能，用于配置登錄到交換機(jī)的任何人看到的消命令集中包含一項功能，用于配置登錄到交換機(jī)的任何人看到的消息。這些消息稱為登錄標(biāo)語和當(dāng)日消息息。這些消息稱為登錄標(biāo)語和當(dāng)日消息 (MOTD) 標(biāo)語。標(biāo)語。7配置配置Telnet和和SSHStep 1: 設(shè)置路由器參數(shù)設(shè)置路由器參數(shù)Switch(config)#host

4、name S1Step 2: 設(shè)置域名設(shè)置域名S1(config)#ip domain-name Step 3: 生成非對稱密鑰生成非對稱密鑰S1(config)#crypto key generate rsaStep 4: 配置本地身份驗證和配置本地身份驗證和 vtyS1(config)#username student secret ciscoS1(config)#line vty 0 4S1(config-line)#transport input sshS1(config-line)#login localStep 5: 配置配置 SSH 超時超時 (可選可選)S1(config)#ip ssh time-out 15S1(config)#ip ssh authentication-retries 28記錄日志記錄日志配置日志，工作端口為配置日志，工作端口為UDP 514UDP 514 R2(config)#logging 172.31.10.1R2(config)#service timestamps ?debug Timestamp debug messageslog Timestamp log messagesR2(config)#service timestamps172.31.10.1日志記錄主機(jī)有以下特點日志記錄主機(jī)有以下特