思科服务器aaa怎么配置

① 思科防火墙asa5510配置说明谁有

CISCO ASA 基本配置
ciscoasa#conf t 进入全局模式
ciscoasa(config)# hostname cisco 命名
ciscoasa(config)# show running-config 查看当前配置

ciscoasa(config)# show startup-config 查看保存配置

ciscoasa(config)# run star 保存配置

ciscoasa(config)# wr 也可保存配置
删除配置，可在怎么配置的前面加NO 就可以
clear config all
write earse
记得 再reload

全部删除你可以用一下他里面的clear 命令。注意别把系统给删除了。

CISCO ASA5510 telnet 配置

ASA5510 telnet 配置及用户名和密码配置
telnet 192.168.0.0 255.255.0.0 inside （准许内网IP TELNET到防火墙）
telnet 192.168.1.2 255.255.255.0 inside （准许内网IP 192.168.1.2 TELNET到防火墙）
telnet 0.0.0.0 0.0.0.0 inside 登录任何地址都可以通过INSIDE 接口TELNET
telnet 0.0.0.0 0.0.0.0 outside 登录任何地址都可以通过outside 接口TELNET
telnet timeout 5

TELNET 用户名和密码配置
#usename name CISCO password //设置登入的帐号和密码
#aaa authentication telnet console LOCAL //设置AAA验证方式。 此处为LOCAL本地。也可以用AAA服务器进入验证。
#telnet 0.0.0.0 0.0.0.0 inside //哪些地址可telnet进此接口
#telnet timeout 10 //超时时长，以分钟为单位

CISCO ASA5510端口限速

拓扑图如下：

限速配置如下：
access-list rate_limit_1 extended permit ip any host 192.168.1.2 //(限制192.168.1.2下载)
access-list rate_limit_1 extended permit ip host 192.168.1.2 any //(限制192.168.1.2上传)
access-list rate_limit_2 extended permit ip any host 192.168.1.3 //(限制192.168.1.3下载)
access-list rate_limit_2 extended permit ip host 192.168.1.3 any //(限制192.168.1.3上传)

class-map rate_limit_1
match access-list rate_limit_1
exit
class-map rate_limit_2
match access-list rate_limit_2
exit

policy-map rate_limit
class rate_limit_1
police input 819000 4368000 //(限制192.168.1.2上传速度为99K/S)
police output 819000 4368000 //(限制192.168.1.2下载速度为99K/S)
class rate_limit_2
police input 819000 4368000 //(限制192.168.1.3上传速度为99K/S)
police output 819000 4368000 //(限制192.168.1.3上传速度为99K/S)
exit
exit

service-policy rate_limit interface inside //(应用到接口上)

注：由于是根据单个IP限制速度，所以ACL要写成一个IP两句ACL，一个匹配上传，另一个匹配下载。要是所有IP都写在一个ACL里，那么是限制所有IP的共用这99K/s。一定要写不同的ACL。
police input 819000 4368000 前一个819000速度是基本速率，后一个4368000是突发速率，突发速率可以根据自己来定义(我认为)。

CISCO ASA5510端口映射。

现在要让内网192.168.1.2的3389端口映射成外网220.178.36.156的3389端口
要把内网192.168.1.3 的4435端口映射成外网220.178.36.156的4435端口

static (inside,outside) tcp interface 3389 192.168.1.2 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4435 192.168.1.3 4435 netmask 255.255.255.255

access-list outside-inside extended permit tcp any interface outside eq 3389
access-list outside-inside extended permit tcp any interface outside eq 4435
access-group outside-inside in interface outside

语法：Ciscoasa(config)#access-list list-name extended permit tcp/udp any hsot outside_address eq port_num
list_name:访问控制列表名称
tcp/udp:需要映射的协议类型
port_num:需要映射的端口号
Ciscoasa(config)#static (inside,outside) tcp/udp interface port_num local_address port_num netmask 255.255.255.255
Tcp/udp:需要映射的协议类型
port_num：映射前的端口号
local_address：映射后的内网主机IP地址
port_num：映射后的端口号
例如：Ciscoasa(config)#access-list 100 extended permit tcp any host 219.139.*.* eq 80
允许外网访问219.139.*.*的tcp 80端口
Ciscoasa(config)#static (inside,outside) tcp interface 80 192.168.16.254 80 netmask 255.255.255.255
外网访问218.21.217.162的tcp 80端口时启用静态PAT映射到内网192.168.16.254的tcp 80端口
Ciscoasa(config)#access-group 100 in intercae outside per-user-override
访问必须调用ACL
备注如果，只是需要将内网一个服务器映射到公网可以这样做
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254
ciscoasa(config)#static (inside, outside) 219.139.*.* 192.168.16.254 10000 10 //后面的10000为限制连接数，10为限制的半开连接数。

CISCO ASA 5510 PAT 配置

ciscoasa# conf t 进入全局配置模式
ciscoasa(config)# hostname gametuzi 命名
gametuzi(config)# hostname gametuzi5510 新的名字
gametuzi5510(config)# int e0/0 进入E0/0 接口
gametuzi5510(config-if)# security-level 0 配置安全级别 因为是外部接口，安全级别为最高

gametuzi5510(config-if)# nameif outside 命名接口为外部接口
gametuzi5510(config-if)# ip address 192.168.3.234 255.255.255.0 添加IP地址
gametuzi5510(config-if)# no shu 启动端口
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# int e0/1 进入E0/1接口
gametuzi5510(config-if)# security-level 100 设置内部安全级别为100
gametuzi5510(config-if)# nameif inside 命名内部网络
gametuzi5510(config-if)# ip address 10.1.1.1 255.255.0.0 添加IP地址
gametuzi5510(config-if)# no shu
gametuzi5510(config-if)# end
gametuzi5510# conf t
gametuzi5510(config)# global (outside) 1 interface PAT地址转换！
gametuzi5510(config)# end
gametuzi5510# conf t
gametuzi5510(config)# route outside 0.0.0.0 0.0.0.0 192.168.3.254 默认路由 访问所有外部地址从192.168.3.254 流出。

gametuzi5510(config)# nat (inside) 1 10.1.0.0 255.255.0.0 内部地址转换 10.1.0.0 网段

CISCO ASA5510 DHCP 配置
gametuzi5510(config)# dhcpd address 10.1.1.20-10.1.1.150 inside 配置DHCP 可分配网段，并标识为内部接口

gametuzi5510(config)# dhcpd dns 192.168.0.1 添加DNS解析服务器地址

gametuzi5510(config)# dhcpd domain gametuzi 域名

gametuzi5510(config)# dhcpd enable inside 启动内部DHCP服务

gametuzi5510(config)# end

gametuzi5510# wr 保存配置

gametuzi5510(config)# access-list icmp_in extended permit icmp any any 润许PING协议转发

gametuzi5510(config)# access-group icmp_in in interface outside润许PING协议转发

gametuzi5510(config)# end

gametuzi5510# wr

Building configuration...

Cryptochecksum: 32d3d557 0d55d4a3 a1a7fa13 76667f5f

1889 bytes copied in 3.640 secs (629 bytes/sec)

[OK]

② cisco交换机安全配置设定命令

cisco交换机安全配置设定命令大全

思科交换机的安全怎么设置，下面为大家分交换机安全设置的配置命令，希望对同学们学习思科交换机有所帮助!

一、交换机访问控制安全配置

1、对交换机特权模式设置密码尽量采用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建议不要采用enable password pass_sting密码，破解及其容易!

2、设置对交换机明文密码自动进行加密隐藏

switch(config)#service password-encryption

3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户

switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码

switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大

switch(config)#privilege exec level 7 commands

/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义

4、本地console口访问安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

设置登录console口进行密码验证

方式(1):本地认证

switch(config-line)#password 7 pass_sting /设置加密密码

switch(config-line)#login /启用登录验证

方式(2):本地AAA认证

switch(config)#aaa new-model /启用AAA认证

switch(config)#aaa authentication login console-in group acsserver local

enable

/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#line console 0

switch(config-line)# login authentication console-in

/调用authentication设置的console-in列表

5、远程vty访问控制安全配置

switch(config)#access-list 18 permit host x.x.x.x

/设置标准访问控制列表定义可远程访问的PC主机

switch(config)#aaa authentication login vty-in group acsserver local

enable

/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18

switch(config-line)#exec-timeout 5 0 /设置不执行命令操作的超时时间，单位为分钟和秒

switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/强制对弹出的干扰日志信息进行回车换行，使用户输入的命令连续可见

switch(config-line)#login authentication vty-in

/调用authentication设置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名

switch(config-sg-tacacs+)#server x.x.x.x /设置AAA服务器组成员服务器ip

switch(config-sg-tacacs+)#server x.x.x.x

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥

二、交换机网络服务安全配置

禁用不需要的各种服务协议

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip http server

switch(config)#no ip http secure-server

/关闭http,https远程web管理服务，默认cisco交换机是启用的

三、交换机防攻击安全加固配置

MAC Flooding(泛洪)和Spoofing(欺骗)攻击

预防方法：有效配置交换机port-security

STP攻击

预防方法：有效配置root guard,bpguard,bpfilter

VLAN，DTP攻击

预防方法：设置专用的native vlan;不要的接口shut或将端口模式改为access

DHCP攻击

预防方法：设置dhcp snooping

ARP攻击

预防方法：在启用dhcp snooping功能下配置DAI和port-security在级联上层交换机的trunk下

switch(config)#int gi x/x/x

switch(config-if)#sw mode trunk

switch(config-if)#sw trunk encaps dot1q

switch(config-if)#sw trunk allowed vlan x-x

switch(config-if)#spanning-tree guard loop

/启用环路保护功能，启用loop guard时自动关闭root guard

接终端用户的端口上设定

switch(config)#int gi x/x/x

switch(config-if)#spanning-tree portfast

/在STP中交换机端口有5个状态：disable、blocking、listening、learning、forwarding，只有处于forwarding状态的端口才可以发送数据。但需经过从blocking-->listening

15s,listening-->learning 15s,learning-->forwarding 20s

共计50s的时间，启用portfast后将直接从blocking-->forwarding状态，这样大大缩短了等待的时间。

说明：portfast仅适用于连接终端或服务器的交换机端口，不能在连接交换机的端口上使用!

switch(config-if)#spanning-tree guard root

/当一端口启用了root

guard功能后，当它收到了一个比根网桥优先值更优的.BPDU包，则它会立即阻塞该端口，使之不能形成环路等情况。这个端口特性是动态的，当没有收到更优的包时，则此端口又会自己变成转发状态了。

switch(config-if)#spanning-tree bpfilter enable

/当启用bpfilter功能时，该端口将丢弃所有的bp包，可能影响网络拓扑的稳定性并造成网络环路

switch(config-if)#spanning-tree bpguard enable

/当启用bpguard功能的交换机端口接收到bp时，会立即将该端口置为error-disabled状态而无法转发数据，进而避免了网络环路!

注意：同时启用bpguard与bpfilter时，bpfilter优先级较高，bpguard将失效!

广播、组播风暴控制设定

switch(config-if)#storm-control broadcast level 10 /设定广播的阀值为10%

switch(config-if)#storm-control multicast level 10 /设定组播的阀值为10%

switch(config-if)#storm-control action shutdown / Shutdown this interface

if a storm occurs

or switch(config-if)#storm-control action trap / Send SNMP trap if a storm