第07章管理Cisco设备

CISCO设备的基本操作网络设备交换机、路由器、防火墙、VPN……..共同特性有智能，能识别数据报文中的控制信息，对数据进行定向转发。

交换机能识别数据帧中的MAC地址信息，在同一网段转发数据。

效率比集线器高。

默认工作在第二层。

主要用于组建局域网。

路由器能识别数据报文中的第三层信息（IP地址），在不同网段转发数据。

主要用于连接局域网和广域网。

路由器的内部组件：主板 CPU 存贮系统接口存贮系统ROM 只读存贮器基本的引导文件 1 →FLASH 闪存操作系统IOS 2 → RAM 随机存贮器 NV RAM 非易失内存配置文件 3→启动顺序寄存器的值( 注册表)正常 1 2 3 0X2102特殊 1 2 0X2142 跳过配置文件（用于密码的恢复）路由器的接口类型：Router>sh ip int briefInterface IP-Address OK? Method Status ProtocolFastEthernet0/0 unassigned YES unset administratively down downFastEthernet0/1 unassigned YES unset administratively down downSerial0/0 unassigned YES unset administratively down downSerial0/1 unassigned YES unset administratively down downSerial0/2 unassigned YES unset administratively down downSerial1/0 unassigned YES unset administratively down downSerial1/1 unassigned YES unset administratively down downSerial1/2 unassigned YES unset administratively down downSerial1/3 unassigned YES unset administratively down down一、局域网接口RJ－45 （以太网接口）100M F0/0 F0/1 fast ethernet 模块化设备2600以上1000M G0/0 G0/110G Ten3/1二、广域网接口异步串行口（用于异步拨号网络，淘汰）同步串行口( 用于DDN和帧中继网络)（铜缆）2Mserial S0 S1 S0/0 S0/1V.24 最大支持64K 淘汰V.35 可支持64k-2MPOS接口（packet over SDH）POS 1/0/0 POS 1/0/1 SDH专线（光纤）155M插槽/模块/接口2M、4M、8M、10M…. 155M…622M …2.5G…10G…40G设备的登录在网络管理中，希望这些网络设备按我们的要求去工作→指令（相关参数）控制台console 命令行网络 1. telnet 命令行2. SDM WEB页面一．控制台方式登录。

cisco设备详细配置（全）实验一口令和主机名设置1. 口令和设备名设置添加一个交换机或一个路由器，先对交换机进行操作，双击SwitchAswitch>enpassword: ；第一次密码为空，直接回车switch#conf t ；进入全局配置模式switch(config)#hostname swa ；设置交换机名swa(config)#enable secret aaa ；设置特权加密口令为aaaswa(config)#enable password aax ；设置特权非密口令为aax swa(config)#line console 0 ；进入控制台口(Rs232)状态swa(config-line)#login ；允许登录swa(config-line)#password aa ；设置登录口令aaswa(config-line)#line vty 0 4 ；进入虚拟终端virtual ttyswa(config-line)#login ；允许登录swa(config-line)#password a ；设置登录口令aswa(config-line)#exit ；返回上一层swa(config)#exit ；返回上一层swa#sh run ；看配置信息swa#exit ；返回命令swa>enpassword: ；哪一个口令可以通过双击ROA对路由器进行与交换机类似的设置。

2. 清除口令清除交换机口令，实际中是在开机时按住交换机上的mode钮，本模拟机按Ctrl+Break。

口令请除，可以重新配置口令了。

清除路由器口令，实际中是在开机时上电时，按Ctrl+Break，本模拟机按Ctrl+Break。

参考操作如下：双击RouterA 。

先配置路由的特权口令：router>enpassword: ；第一次密码为空，直接回车router#conf t ；进入全局配置模式router(config)#enable secret aaa ；设置特权加密口令为aaa router(config)#exit ；返回router#exitrouter>enpassword:aaarouter#清除路由器的口令是在假设口令丢失情况下使用的方法，具体的操作是开机进入rommon状态，打开寄存器配置开关：router#reload ；重新启动，按Ctrl+Break rommon>rommon>confreg 0x2142 ；跳过配置，26xx 36xx 45xxrommon>reset；重新引导，等效于重开机router>enpassword:router#conf trouter(config)#enable secret bbb ；设置特权加密口令为aaa router(config)#config-register 0x2102 ；正常使用配置文件router(config)#exitrouter#exitrouter>enpassword:bbbrouter#在实际工作中一般要备份路由器的配置文件，当系统有问题时将配置文件复原。

设备管理•TACACS+设备管理，第1页•设备管理工作中心，第2页•设备管理部署设置，第3页•设备管理策略集，第3页•创建设备管理策略集，第4页•TACACS+身份验证设置和共享密钥，第5页•设备管理-授权策略结果，第7页•访问命令行界面以更改启用密码，第13页•配置全局TACACS+设置，第14页•从思科安全ACS将数据迁移至思科ISE，第15页•监控设备管理活动，第15页TACACS+设备管理思科ISE支持设备管理通过使用终端访问控制器访问控制系统(TACACS+)安全协议控制，来控制和审计网络设备的配置。

网络设备可以配置为向思科ISE查询对设备管理员操作所进行的身份验证和授权，并发送思科ISE的记账信息以记录操作。

它可以促进对谁可以访问哪个网络及更改关联网络设置进行精细控制。

思科ISE管理员可以创建策略集，允许在设备管理访问服务的授权策略规则中选择TACACS结果（如命令集和外壳配置文件）。

思科ISE监控节点可提供与设备管理相关的增强型报告。

“工作中心”(Work Center)菜单中包含所有设备管理页面，可作为ISE管理员的单一入手点。

思科ISE需要设备管理许可证才能使用TACACS+。

设备管理中存在两种类型的管理员•设备管理员•思科ISE管理员设备管理员是指登录到交换机、无线接入点、路由器和网关（一般通过SSH）等网络设备以执行对所管理设备进行配置和维护的用户。

思科ISE管理员可登录思科ISE，配置并协调设备管理员所登录的设备。

思科ISE 管理员是本文档的目标读者，他们可登录思科ISE 以配置相应的设置，控制设备管理员的操作。

思科ISE 管理员使用设备管理功能（在思科ISE GUI 中，单击菜单图标()，然后选择工作中心(Work Centers)>设备管理(Device Administration)）来控制和审核网络设备的配置。

设备可配置为使用终端访问控制器访问控制系统(TACACS)安全协议来查询思科ISE 服务器。

思科网络设备安全管理方案简介网络设备的安全管理是现代企业中非常重要的一项工作。

思科作为全球领先的网络设备供应商，提供了一系列的网络设备安全管理解决方案。

本文将介绍思科网络设备安全管理的基本原则、主要措施和常见工具。

基本原则在实施思科网络设备安全管理方案之前，我们首先需要明确一些基本原则。

1.身份验证：只有经过身份验证的用户才能获得访问网络设备的权限。

2.防火墙保护：在网络设备与外部网络之间设置防火墙，限制对设备的非授权访问。

3.访问控制：通过实施访问控制列表（ACL）和安全策略，控制对网络设备的访问和行为。

4.漏洞管理：及时修复网络设备中的漏洞，确保设备的安全性。

主要措施1. 设备身份管理思科网络设备安全管理方案的第一步是设备身份管理。

这包括以下几个方面：•设备认证：在设备上配置强密码，并定期更改密码以确保设备的安全。

•设备授权：通过设备授权机制，只允许经过授权的设备连接到网络。

•设备准入控制：使用802.1X等技术，确保只有通过身份验证的设备能够访问网络。

2. 数据加密数据加密是思科网络设备安全管理的关键措施之一。

它可以保护设备与其他设备之间的通信安全，防止数据被未经授权的人员截获和篡改。

思科提供了多种加密协议，如IPSec和SSL/TLS，可以在设备之间建立安全的加密通道。

除了设备之间的通信，思科还提供了对设备上存储的数据进行加密的功能，确保设备在遭到盗窃或非授权访问时不会泄露重要数据。

3. 内容过滤和防病毒为了保护网络设备免受恶意软件和网络攻击的侵害，思科网络设备安全管理方案提供了内容过滤和防病毒功能。

内容过滤技术可以检测和阻止设备上传输的恶意代码和未经授权的应用程序。

思科的网络防火墙设备可以配置内容过滤规则，对入站和出站的数据进行检查。

思科还提供了防病毒功能，可以对设备进行实时的病毒扫描和防护。

通过定期更新病毒库，确保设备能够及时识别和阻止最新的病毒威胁。

4. 安全审计和日志管理安全审计和日志管理是确保网络设备安全管理有效性的重要环节。

Cisco设备的配置管理方法简述1、设备登录CISCO设备常用的登录方法有超级终端和Telnet两种。

使用超级终端管理，需要先将Console线缆把计算机的9针串口和CISCO设备的CONSOLE口连接，然后使用超级终端程序进行管理。

Telnet方式需要在DOS模式或运行模式下输入以下命令：Telnet （目标设备IP地址）2、Cisco设备的几种工作模式Cisco设备的常用工作模式有：CISCO〉普通用户模式，只有一些简单的浏览功能CISCO# 特权用户模式，具有全部的管理功能CISCO（CONFIG）# 配置模式，可以对设备进行配置管理CISCO（CONFIG-IF）# 接口配置模式，可以对接口进行配置下面介绍以下如何在各种模式间切换。

用户TELNET到设备后，输入密码即可进入普通用户模式。

在普通用户模式下输入ENABLE命令，，输入密码后，即可进入特权用户模式。

CISCO〉enableCISCO#在特权用户模式下输入configure terminal命令，即可进入配置模式。

CISCO#configure terminalCISCO（CONFIG）#在配置用户模式下输入interface （接口名）命令，即可进入接口配置模式。

CISCO（CONFIG）#interface Ethernet 0CISCO（CONFIG-IF）#从模式中退回，使用exit命令。

3、Cisco设备的密码设置方法下面以Telnet方式举例说明。

1.登陆到Cisco设备；在MS-DOS下C：\>telnet (目标设备IP地址)输入telnet密码进入普通用户模式2.进入特权用户模式CISCO>enable输入密码进入特权用户模式3.进入配置模式CISCO#configure terminalCISCO(CONFIG)#4.修改特权用户密码CISCO(CONFIG)#enable secret (新密码)5.进入telnet线路CISCO(CONFIG)#line vty 0 4CISCO(CONFIG-line)#6.修改telnet密码CISCO(CONFIG-line)#password (新密码)7.添加用户并设置密码CISCO（CONFIG）#user （用户名） password （密码）。

管理指南思科 200 系列智能型交换机管理指南目录目录2第 1章：使用入门1启动基于 Web 的交换机配置实用程序1交换机配置快速入门4接口命名约定5窗口导航5第 2章：查看统计信息9查看以太网接口9查看 Etherlike 统计信息10查看 802.1X EAP 统计信息11管理 RMON12第 3章：管理系统日志15设置系统日志设置15设置远程记录设置17查看内存日志18第 4章：管理系统文件20系统文件类型20升级/备份固件/语言22下载或备份配置或日志24查看配置文件属性27复制配置文件27DHCP 自动配置28第 5章：一般管理信息32交换机型号32系统信息33重启交换机35监控风扇状态和温度36定义空闲会话超时37Ping 主机37第 6章：系统时间39系统时间选项39SNTP 模式41配置系统时间41第 7章：管理设备诊断48测试铜缆端口48显示光纤模块状态50配置端口和 VLAN 镜像51查看 CPU 利用率和安全的核心技术52第 8章：配置发现54配置 Bonjour 发现54LLDP 和 CDP55配置 LLDP56配置 CDP73第 9章：端口管理80配置端口80设置基本的端口配置81配置链路聚合83配置绿色以太网89第 10章：智能端口95概述95什么是智能端口96智能端口类型96智能端口宏98宏失败和重置操作99智能端口功能如何运作100自动智能端口100错误处理103默认配置104与其他功能的关系和向后兼容性104常见智能端口任务104使用基于 Web 的界面配置智能端口106内置智能端口宏110第 11章：管理以太网供电设备122交换机上的 PoE122配置 PoE 属性124配置 PoE 功率、优先级和类别125第 12章： VLAN 管理128 VLAN128配置默认 VLAN 设置 130创建 VLAN131配置 VLAN 接口设置133定义 VLAN 成员关系134语音 VLAN137第 13章：配置生成树协议148 STP 模式148配置 STP 状态和全局设置149定义生成树接口设置150配置快速生成树设置152第 14章：管理 MAC 地址表154配置静态 MAC 地址154管理动态 MAC 地址155第 15章：配置组播转发157组播转发157定义组播属性160添加 MAC 组地址161添加 IP 组播组地址162配置 IGMP Snooping164MLD Snooping165查询 IGMP/MLD IP 组播组167定义组播路由器端口168定义“全部转发”组播169定义未注册的组播设置170第 16章：配置 IP 信息171管理与 IP 接口171配置 ARP181域名系统182第 17章：配置安全185定义用户186配置 RADIUS188配置管理访问验证190定义管理访问方法191配置 TCP/UDP 服务195定义风暴控制196配置端口安全197配置 802.1X199DoS 防护204第 18章：使用 SSL 功能206 SSL 概述206默认设置和配置206SSL 服务器验证设置207第 19章：安全敏感数据209简介209SSD 规则210SSD 属性214配置文件216SSD 管理通道220菜单 CLI 和密码恢复221配置 SSD221第 20章：配置服务质量224 QoS 功能和组件225配置 QoS - 一般226管理 QoS 统计信息2331使用入门本节介绍了基于 Web 的配置实用程序，具体包括以下主题：•启动基于 Web 的交换机配置实用程序•交换机配置快速入门•接口命名约定•窗口导航启动基于 Web 的交换机配置实用程序本节介绍了如何导航基于 Web 的交换机配置实用程序。