思科伺服器aaa怎麼配置

① 思科防火牆asa5510配置說明誰有

CISCO ASA 基本配置
ciscoasa#conf t 進入全局模式
ciscoasa(config)# hostname cisco 命名
ciscoasa(config)# show running-config 查看當前配置

ciscoasa(config)# show startup-config 查看保存配置

ciscoasa(config)# run star 保存配置

ciscoasa(config)# wr 也可保存配置
刪除配置，可在怎麼配置的前面加NO 就可以
clear config all
write earse
記得 再reload

全部刪除你可以用一下他裡面的clear 命令。注意別把系統給刪除了。

CISCO ASA5510 telnet 配置

ASA5510 telnet 配置及用戶名和密碼配置
telnet 192.168.0.0 255.255.0.0 inside （准許內網IP TELNET到防火牆）
telnet 192.168.1.2 255.255.255.0 inside （准許內網IP 192.168.1.2 TELNET到防火牆）
telnet 0.0.0.0 0.0.0.0 inside 登錄任何地址都可以通過INSIDE 介面TELNET
telnet 0.0.0.0 0.0.0.0 outside 登錄任何地址都可以通過outside 介面TELNET
telnet timeout 5

TELNET 用戶名和密碼配置
#usename name CISCO password //設置登入的帳號和密碼
#aaa authentication telnet console LOCAL //設置AAA驗證方式。 此處為LOCAL本地。也可以用AAA伺服器進入驗證。
#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet進此介面
#telnet timeout 10 //超時時長，以分鍾為單位

CISCO ASA5510埠限速

拓撲圖如下：

限速配置如下：
access-list rate_limit_1 extended permit ip any host 192.168.1.2 //(限制192.168.1.2下載)
access-list rate_limit_1 extended permit ip host 192.168.1.2 any //(限制192.168.1.2上傳)
access-list rate_limit_2 extended permit ip any host 192.168.1.3 //(限制192.168.1.3下載)
access-list rate_limit_2 extended permit ip host 192.168.1.3 any //(限制192.168.1.3上傳)

class-map rate_limit_1
match access-list rate_limit_1
exit
class-map rate_limit_2
match access-list rate_limit_2
exit

policy-map rate_limit
class rate_limit_1
police input 819000 4368000 //(限制192.168.1.2上傳速度為99K/S)
police output 819000 4368000 //(限制192.168.1.2下載速度為99K/S)
class rate_limit_2
police input 819000 4368000 //(限制192.168.1.3上傳速度為99K/S)
police output 819000 4368000 //(限制192.168.1.3上傳速度為99K/S)
exit
exit

service-policy rate_limit interface inside //(應用到介面上)

註：由於是根據單個IP限制速度，所以ACL要寫成一個IP兩句ACL，一個匹配上傳，另一個匹配下載。要是所有IP都寫在一個ACL里，那麼是限制所有IP的共用這99K/s。一定要寫不同的ACL。
police input 819000 4368000 前一個819000速度是基本速率，後一個4368000是突發速率，突發速率可以根據自己來定義(我認為)。

CISCO ASA5510埠映射。

現在要讓內網192.168.1.2的3389埠映射成外網220.178.36.156的3389埠
要把內網192.168.1.3 的4435埠映射成外網220.178.36.156的4435埠

static (inside,outside) tcp interface 3389 192.168.1.2 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4435 192.168.1.3 4435 netmask 255.255.255.255

access-list outside-inside extended permit tcp any interface outside eq 3389
access-list outside-inside extended permit tcp any interface outside eq 4435
access-group outside-inside in interface outside

語法：Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num
list_name:訪問控制列表名稱
tcp/udp:需要映射的協議類型
port_num:需要映射的埠號
Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255
Tcp/udp:需要映射的協議類型
port_num：映射前的埠號
local_address：映射後的內網主機IP地址
port_num：映射後的埠號
例如：Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80
允許外網訪問219.139.*.*的tcp 80埠
Ciscoasa(config)#static (inside,outside) tcp interface 80 192.168.16.254 80 netmask 255.255.255.255
外網訪問218.21.217.162的tcp 80埠時啟用靜態PAT映射到內網192.168.16.254的tcp 80埠
Ciscoasa(config)#access-group 100 in intercae outside per-user-override
訪問必須調用ACL
備注如果，只是需要將內網一個伺服器映射到公網可以這樣做
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254 10000 10 //後面的10000為限制連接數，10為限制的半開連接數。

CISCO ASA 5510 PAT 配置

ciscoasa# conf t 進入全局配置模式
ciscoasa(config)# hostname gametuzi 命名
gametuzi(config)# hostname gametuzi5510 新的名字
gametuzi5510(config)# int e0/0 進入E0/0 介面
gametuzi5510(config-if)# security-level 0 配置安全級別 因為是外部介面，安全級別為最高

gametuzi5510(config-if)# nameif outside 命名介面為外部介面
gametuzi5510(config-if)# ip address 192.168.3.234 255.255.255.0 添加IP地址
gametuzi5510(config-if)# no shu 啟動埠
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# int e0/1 進入E0/1介面
gametuzi5510(config-if)# security-level 100 設置內部安全級別為100
gametuzi5510(config-if)# nameif inside 命名內部網路
gametuzi5510(config-if)# ip address 10.1.1.1 255.255.0.0 添加IP地址
gametuzi5510(config-if)# no shu
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# global (outside) 1 interface PAT地址轉換！
gametuzi5510(config)# end
gametuzi5510# conf t
gametuzi5510(config)# route outside 0.0.0.0 0.0.0.0 192.168.3.254 默認路由 訪問所有外部地址從192.168.3.254 流出。

gametuzi5510(config)# nat (inside) 1 10.1.0.0 255.255.0.0 內部地址轉換 10.1.0.0 網段

CISCO ASA5510 DHCP 配置
gametuzi5510(config)# dhcpd address 10.1.1.20-10.1.1.150 inside 配置DHCP 可分配網段，並標識為內部介面

gametuzi5510(config)# dhcpd dns 192.168.0.1 添加DNS解析伺服器地址

gametuzi5510(config)# dhcpd domain gametuzi 域名

gametuzi5510(config)# dhcpd enable inside 啟動內部DHCP服務

gametuzi5510(config)# end

gametuzi5510# wr 保存配置

gametuzi5510(config)# access-list icmp_in extended permit icmp any any 潤許PING協議轉發

gametuzi5510(config)# access-group icmp_in in interface outside潤許PING協議轉發

gametuzi5510(config)# end

gametuzi5510# wr

Building configuration...

Cryptochecksum: 32d3d557 0d55d4a3 a1a7fa13 76667f5f

1889 bytes copied in 3.640 secs (629 bytes/sec)

[OK]

② cisco交換機安全配置設定命令

cisco交換機安全配置設定命令大全

思科交換機的安全怎麼設置，下面為大家分交換機安全設置的配置命令，希望對同學們學習思科交換機有所幫助!

一、交換機訪問控制安全配置

1、對交換機特權模式設置密碼盡量採用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建議不要採用enable password pass_sting密碼，破解及其容易!

2、設置對交換機明文密碼自動進行加密隱藏

switch(config)#service password-encryption

3、為提高交換機管理的靈活性，建議許可權分級管理並建立多用戶

switch(config)#enable secret level 7 5 pass_string7 /7級用戶進入特權模式的密碼

switch(config)#enable secret 5 pass_string15 /15級用戶進入特權模式的密碼

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/為7級，15級用戶設置用戶名和密碼，Cisco privilege level分為0-15級，級別越高許可權越大

switch(config)#privilege exec level 7 commands

/為7級用戶設置可執行的命令,其中commands可以根據分配給用戶的許可權自行定義

4、本地console口訪問安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

設置登錄console口進行密碼驗證

方式(1):本地認證

switch(config-line)#password 7 pass_sting /設置加密密碼

switch(config-line)#login /啟用登錄驗證

方式(2):本地AAA認證

switch(config)#aaa new-model /啟用AAA認證

switch(config)#aaa authentication login console-in group acsserver local

enable

/設置認證列表console-in優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#line console 0

switch(config-line)# login authentication console-in

/調用authentication設置的console-in列表

5、遠程vty訪問控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/設置標准訪問控制列表定義可遠程訪問的PC主機

switch(config)#aaa authentication login vty-in group acsserver local

enable

/設置認證列表vty-in, 優先依次為ACS Server，local用戶名和密碼，enable特權密碼

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/為7級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/為15級用戶定義vty-in授權列表，優先依次為ACS Server,local授權

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在線路模式下調用前面定義的標准ACL 18

switch(config-line)#exec-timeout 5 0 /設置不執行命令操作的超時時間，單位為分鍾和秒

switch(config-line)#authorization commands 7 vty-in /調用設置的授權列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/強制對彈出的干擾日誌信息進行回車換行，使用戶輸入的命令連續可見

switch(config-line)#login authentication vty-in

/調用authentication設置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet協議不安全，僅允許通過ssh協議進行遠程登錄管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /設置AAA伺服器組名

switch(config-sg-tacacs+)#server x.x.x.x /設置AAA伺服器組成員伺服器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /設置同tacacs-server伺服器通信的密鑰

二、交換機網路服務安全配置

禁用不需要的各種服務協議

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/關閉http,https遠程web管理服務，默認cisco交換機是啟用的

三、交換機防攻擊安全加固配置

MAC Flooding(泛洪)和Spoofing(欺騙)攻擊

預防方法：有效配置交換機port-security

STP攻擊

預防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻擊

預防方法：設置專用的native vlan;不要的介面shut或將埠模式改為access

DHCP攻擊

預防方法：設置dhcp snooping

ARP攻擊

預防方法：在啟用dhcp snooping功能下配置DAI和port-security在級聯上層交換機的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/啟用環路保護功能，啟用loop guard時自動關閉root guard

接終端用戶的埠上設定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交換機埠有5個狀態：disable、blocking、listening、learning、forwarding，只有處於forwarding狀態的埠才可以發送數據。但需經過從blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共計50s的時間，啟用portfast後將直接從blocking-->forwarding狀態，這樣大大縮短了等待的時間。

說明：portfast僅適用於連接終端或伺服器的交換機埠，不能在連接交換機的埠上使用!

switch(config-if)#spanning-tree guard root

/當一埠啟用了root

guard功能後，當它收到了一個比根網橋優先值更優的.BPDU包，則它會立即阻塞該埠，使之不能形成環路等情況。這個埠特性是動態的，當沒有收到更優的包時，則此埠又會自己變成轉發狀態了。

switch(config-if)#spanning-tree bpfilter enable

/當啟用bpfilter功能時，該埠將丟棄所有的bp包，可能影響網路拓撲的穩定性並造成網路環路

switch(config-if)#spanning-tree bpguard enable

/當啟用bpguard功能的交換機埠接收到bp時，會立即將該埠置為error-disabled狀態而無法轉發數據，進而避免了網路環路!

注意：同時啟用bpguard與bpfilter時，bpfilter優先順序較高，bpguard將失效!

廣播、組播風暴控制設定

switch(config-if)#storm-control broadcast level 10 /設定廣播的閥值為10%

switch(config-if)#storm-control multicast level 10 /設定組播的閥值為10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm