网络基础CCNP|网络安全与配置网络安全

service password-encryption之前所有的明文密码都加密

Show running-config | exclude ！显示除了！开头的所有行

Show running-config | include enable 显示enable开头的所有行

Show running-config | begin enable显示从enable开始之后所有

Show running-config | section enable显示所有与enable相关的数据块

No enable password 删除enable密码

no service password-encryption之前所改的密文还是密文，之后所输的便不是密文了

ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的， 就是很容易受到“中间人”（man-in-the-middle）这种方式的攻击。所谓“中间人”的攻击方式， 就是“中间人”冒充真正的服务器接收你传给服务器的数据，然后再冒充你把数据传给真正的服务器。服务器和你之间的数据传送被“中间人”一转手做了手脚之后，就会出现很严重的问题。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。使用SSH，还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替Telnet，又可以为FTP、PoP、甚至为PPP提供一个安全的"通道"

username niubao secret 123

IP domain-name node 与用户名密码一起生成密钥

Crypto key generate rsa modulus生成加密方式和密钥长度

line vty 0 4

login local

transport intput ssh

ssh -l abc 1.1.1.1

r2#clock set 11:11:11 july 11 2011设置时钟

r2(config)#ntp master 设置服务器

r1(config)#ntp server 192.168.12.2

r1(config)#do show ntp status看时间

r1#show clock或者这个

R5(config-subif)#int e0/0.20

R5(config-subif)#ip helper-address 10.0.40.1

代理获取DHCP服务器

VPCS> ip dhcp

P4(config-if)#ip add dhcp

DHCPserver(config)#ip dhcp pool vlan10

DHCPserver(dhcp-config)#network 10.0.10.0 /24

DHCPserver(dhcp-config)#default-router 10.0.10.254

Switch(config)#ip dhcp snooping

开启DHCP功能，这时默认不信任所有端口

Switch(config)#int range e0/0,e1/0,e0/3

Switch(config-if-range)#ip dhcp snooping trust

设置一些可信任端口

Switch(config)#ip dhcp snooping vlan 10,20,30,40设置一些可信任vlan

满足以上就可以成功获取ip了

Switch(config-if)#switchport mode access 首先把链路状态改为access

Switch(config-if)#switchport port-security 开启安全的功能

Switch(config-if)#switchport port-security maximum 1 Mac地址表最多存在一个Mac 地址

Switch(config-if)#switchport port-security violation shutdown

当条件出发，直接关闭接口

Switch(config-if)#shutdown 开启前需再次关闭然后开启

Switch(config-if)#no shutdown 开启

Show logging 全局模式下查看日志

Logging buffer 默认开启

No logging buffer 关闭日志缓冲

longging console 开启控制台显示日志

No logging console 关闭控制台显示日志

开启telnet虚拟线路上日志显示

需要在全局模式下输入logging monitor (在被管理的终端上)

然后每次telnet 的时候，需要在特权模式下输入terminal monitor（在管理的终端上）

日志存放在 日志服务器中

SNMP管理的日志服务器中

全局：logging 192.168.200.1

把级别为0-6(information)以上的全部写入日志

全局: logging trap informational

例如：特权模式下：debug ip icmp

即把ip协议中的icmp报文全部写入日志

序列号——时间戳——设备类型——严重级别(0-7)——描述信息

(全局)service sequence-numbers

(全局)service timestamps

snmp是UDP协议161

snmpV1明文

snmpV2明文

snmpV3密文

全局模式:snmp-server community(属性) cisco1(密码) ro(read only)

全局模式:snmp-server community cisco2 rw(read write)

全局模式:snap-server host 192.168.200.1 abc

以abc 的名字被192.168.200.1 服务器管理