Cisco设备的基本配置

Cisco⽹络设备安全配置Cisco⽹络设备安全检查和配置列表前⾔：本⽂档简单描述关于Cisco⽹络设备(路由器和交换机)的常规安全配置，旨在提⽰⽤户加强⽹络设备的安全配置。

在开始本⽂档前，有⼏点需要说明：如果条件允许的话，所有的设备都应该采⽤最新的IOS或者COS。

如果能够采⽤静态路由的话，尽量采⽤静态路由；动态路由⽅⾯的安全配置未在本⽂档之内。

⼀、路由器检查列表：□路由器的安全策略是否有备案，核查并且实施□路由器的IOS版本是否是最新□路由的配置⽂件是否有离线备份，并且对备份⽂件的访问有所限制□路由器的配置是否有清晰的说明和描述□路由器的登陆⽤户和密码是否已经配置□密码是否加密，并且使⽤secret密码□ secret密码是否有⾜够的长度和复杂度，难以猜测□通过Console,Aux,vty的访问是否有所限制□不需要的⽹络服务和特性是否已关闭□确实需要的⽹络服务是否已经正确安全的配置□未使⽤的接⼝和vty是否已经配置shutdown□有风险的接⼝服务是否已经禁⽤□⽹络中需要使⽤的协议和端⼝是否标识正确□访问控制列表是否配置正确□访问列表是否禁⽤了Internet保留地址和其他不适当的地址□是否采⽤静态路由□路由协议是否配置了正确的算法□是否启⽤⽇志功能，并且⽇志内容清晰可查□路由器的时间和⽇期是否配置正确□⽇志内容是否保持统⼀的时间和格式□⽇志核查是否符合安全策略⼆、IOS安全配置1、服务最⼩化关闭所有不需要的服务，可以使⽤show proc命令来查看运⾏了那些服务。

通常来说以下服务不需要启动。

Small services (echo, discard, chargen, etc.)- no service tcp-small-servers- no service udp-small-servers_ BOOTP - no ip bootp server_ Finger - no service finger_ HTTP - no ip http server_ SNMP - no snmp-server2、登陆控制Router(config)#line console 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#loginRouter(config)#line aux 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 0 10Router(config-line)#loginRouter(config)#line vty 0 4Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#login注：如果路由器⽀持的话，请使⽤ssh替代telnet；3、密码设置Router(config)#service password-encryptionRouter(config)#enable secret4、⽇志功能Central(config)# logging onCentral(config)# logging IP(SYSLOG SERVER)Central(config)# logging bufferedCentral(config)# logging console criticalCentral(config)# logging trap informationalCentral(config)# logging facility local1Router(config)# service timestamps log datetime localtime show-timezone msec5、SNMP的设置Router(config)# no snmp community public roRouter(config)# no snmp community private rwRouter(config)# no access-list 50Router(config)# access-list 50 permit 10.1.1.1Router(config)# snmp community xxx ro 50Router(config)# snmp community yyy rw 50注：xxx,yyy是你需要设置的community string，越是复杂越好，并且两都绝对不能⼀致。

cisco配置实验报告Cisco配置实验报告1. 实验目的本次实验旨在通过配置Cisco网络设备，实现局域网内主机之间的互联及互访。

通过此实验，我们将深入了解Cisco设备的配置和管理，提高网络管理技能。

2. 实验环境本次实验使用的设备为Cisco Catalyst 2960交换机和Cisco 2811路由器。

交换机用于构建局域网，路由器用于实现不同局域网之间的互联。

3. 实验步骤3.1 网络拓扑规划根据实验要求，我们设计了以下网络拓扑结构：一个核心交换机连接多个分支交换机，每个分支交换机连接多台主机。

核心交换机通过路由器与其他局域网相连。

3.2 配置交换机首先，我们登录到核心交换机的管理界面。

使用默认用户名和密码登录后，我们进入交换机的命令行界面。

3.2.1 VLAN配置为了实现不同局域网之间的隔离，我们需要配置不同的VLAN。

通过以下命令，我们创建了两个VLAN，分别为VLAN 10和VLAN 20：```vlan 10name VLAN10vlan 20name VLAN20```3.2.2 端口配置接下来，我们需要将交换机的端口划分到不同的VLAN中。

通过以下命令，我们将端口1-10划分到VLAN 10，端口11-20划分到VLAN 20：```interface range fastEthernet 0/1-10switchport mode accessswitchport access vlan 10interface range fastEthernet 0/11-20switchport mode accessswitchport access vlan 20```3.3 配置路由器在路由器上，我们需要配置静态路由，将不同局域网之间的流量进行转发。

3.3.1 接口配置首先，我们配置路由器的接口。

通过以下命令，我们将路由器的Fa0/0接口配置为与核心交换机相连的接口：```interface fastEthernet 0/0ip address 192.168.1.1 255.255.255.0```3.3.2 静态路由配置接着，我们配置静态路由，实现不同局域网之间的互通。

一、开机1、如是新设备,开机需跳过系统默认配置模式,进入手动配置模式;2、进入用户模式,系统提示符为>,此模式只能查看统计信息,无配置功能;3、用户模式下,输入enable,进入特权模式,系统提示符为;二、一些常用设置1、设置enable密码configenablesecretXXX2、设置主机名confighostnameXXX3、关闭http访问confignohttpserver4、关闭密码明文显示configservicepassword－encryption5、配置consol口密码configlinecon0config-linepasswordXXXconfig-lineloginconfig-lineexit6、关闭telnet访问configlinevty04config-linenopasswordconfig-lineexit7、关闭VLAN1configinterfacevlan1config-ifshutdownconfig-ifexit三、创建VLAN10vlan1设备自动生成,不能更改、删除方法1：vlandatabasevlanvlan10nameXXXvlanapple方法2：nameXXX就是命名Vlanconfigureterminalconfigvlan10config-vlannameXXXconfig-vlanexit四、Vlan配置configureterminalconfig-ifinterfacevlan10------进入Vlan10config-ifipaddress---config-ifnoshutdown------开启端口config-ifdescriptionXXX-----描述名XXX,只支持英文config-ifexit-----退出五、添加Vlan到某个端口configureterminalconfiginterfacerangegigabitEthernet0/16----进入端口16 config-if-rangnoshutdown-------开启端口config-if-rangswitchportmodeaccess--------------将交换机端口转换为ACCESS模式config-if-rangswitchportaccessvlan10--------在16端口允许Vlan10通过config-if-rangexit-------退出六、单独修改某个Vlan网关config-ifinterfacevlan10--进入Vlan10config-ifipaddress------七、创建ACL规则,标准ACLconfigipaccess-listextendedswj ACL规则名config-ext-nacl0.0.0----拒绝vlan30的用户访问vlan10资源八、将ACL应用到vlan10configinterfacevlan10--创建vlan10的SVI接口config-ifipaccess-groupswjin--将扩展ACL应用到vlan10的SVI接口下九、保存copyrun-configurestart-configure。

CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备，用于构建局域网（Local Area Network，LAN）。

它可以通过物理线路的连接，将多台计算机或其他网络设备连接到同一个网络中，实现数据的传输和共享。

CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。

接下来，我们将对这些配置进行详细说明。

首先，IP地址的配置是CISCO交换机的基本操作之一。

通过配置IP地址，我们可以对交换机进行管理和监控。

具体的配置步骤如下：1. 进入交换机的配置模式。

在命令行界面输入"enable"命令，进入特权模式。

2. 进入全局配置模式。

在特权模式下输入"configure terminal"命令，进入全局配置模式。

3. 配置交换机的IP地址。

在全局配置模式下输入"interfacevlan 1"命令，进入虚拟局域网1的接口配置模式。

然后输入"ip address 192.168.1.1 255.255.255.0"命令，配置交换机的IP地址和子网掩码。

4. 保存配置并退出。

在接口配置模式下输入"exit"命令，返回到全局配置模式。

然后输入"exit"命令，返回到特权模式。

最后输入"copy running-config startup-config"命令，保存配置到闪存中。

其次，VLAN的配置是CISCO交换机的关键配置之一。

通过配置VLAN，我们可以将交换机的端口划分为不同的虚拟局域网，实现数据的隔离和安全。

1. 进入交换机的配置模式。

同样，在特权模式下输入"configure terminal"命令，进入全局配置模式。

2. 创建VLAN。

在全局配置模式下输入"vlan 10"命令，创建一个编号为10的VLAN。

Cisco设备静态NAT基本配置步骤以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书，或者于明年将出版的《Cisco/H3C 路由器配置与管理完全手册》一书.当你与外部网络进行通信时，你可以转换自己的私有IP地址到全态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。

一、静态NAT工作原理静态NAT是最基本的NAT方式,也是最常用的NAT方式之一.本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT基本配置步骤。

示例中的基本网络拓扑结构如图1所示。

NAT 路由器的两个接口（s0和s1）分别连接了内、外两个不同的网络(10。

10。

10。

0/24和171.16.68。

1/24）。

现要使内部网络中的10。

10.01.1主机和外部网络中的171。

16.68。

5主机间进行数据包传输。

图1 静态NAT基本配置示例网络结构在上一篇说到了，NAT的应用可以是单方向(包括正向或反向)，也可以是双方向的地址转换.我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换，使用的NAT命令为“ip nat inside source static {local—ip global—ip}”，把本地网络的本地址转换成外部网络的全局地址。

把外部网络中的地址转换成内部网络中的地址称之为反向转换,使用的NAT命令为“ip nat outside source static global—ip local-ip}”，把外部网络的全地址转换成本地网络的本地地址.对比可以看出，两个命令中的本地IP地址（local-ip）和全局IP地址（global—ip)的位置是相互调换的。

而把需要同时具有两方面的转换，称之为双向转换。

正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时则需要定义外部本地址和外部全局地址；双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。

Cisco交换机配置实验报告实验目的本实验旨在了解和掌握Cisco交换机的基本配置和操作方法，包括VLAN划分、端口配置、静态路由等。

实验环境•Cisco交换机（型号：XYZ）•一台计算机•Console连接线实验步骤步骤一：连接设备1.将计算机通过Console连接线与Cisco交换机的Console端口相连。

2.打开终端软件（如SecureCRT、PuTTY等），配置串口连接参数，如波特率、数据位、停止位等。

3.点击连接按钮，与Cisco交换机建立串口连接。

步骤二：进入特权模式1.在终端中输入用户名和密码，登录到Cisco交换机的用户模式。

2.输入enable命令，进入特权模式，需输入特权密码。

步骤三：配置主机名1.在特权模式下，输入configure terminal命令，进入全局配置模式。

2.输入hostname [名称]命令，设置Cisco交换机的主机名。

3.按下Ctrl+Z保存配置并退出。

步骤四：配置VLAN1.进入全局配置模式，输入vlan [VLAN编号]命令，创建VLAN。

2.输入name [VLAN名称]命令，为VLAN设置名称。

3.重复以上步骤，创建所需的所有VLAN。

4.按下Ctrl+Z保存配置并退出。

步骤五：配置端口1.进入全局配置模式，输入interface [端口编号]命令，进入端口配置模式。

2.输入switchport mode access命令，设置端口为访问模式。

3.输入switchport access vlan [VLAN编号]命令，将端口划分到对应的VLAN。

4.重复以上步骤，配置所有需要的端口。

5.按下Ctrl+Z保存配置并退出。

步骤六：配置静态路由1.进入全局配置模式，输入ip route [目标子网] [子网掩码] [下一跳地址]命令，添加静态路由。

2.重复以上步骤，配置所有需要的静态路由。

3.按下Ctrl+Z保存配置并退出。

步骤七：查看配置1.在特权模式下，输入show running-config命令，查看当前的运行配置。

CISCO 网络设备使用及配置文档一、网络结构：光纤传输-------光猫----------路由器2800的F0/1（外网地址：58.221.220.166）-------路由器的F0/0口（内网网关IP:192.168.1.1）-----------防火墙ASA5510的0（透明模式为外接口）-------防火墙的1（透明模式为内接口）-------------核心交换3560G的(G1 和G2 都可以上接)------核心交换机的其它接口分别对应各层接入交换机。

二、设备配置说明：路由器：F0/1 IP 是58.221.220.166 掩码：255.255.255.252 网关：58.221.220.165 F0/0 IP是192.168.1.1 掩码：255.255.255.0远程TELNET 的用户名：admin 密码：admin@123 特权密码：cisco防火墙：F0/0 是外部接口F0/1是内部接口系统管理IP 192.168.1.2 网关192.168.1.1 掩码：255.255.255.0 远程TELNET 密码：cisco特权密码：cisco核心交换：G1-G2 VLAN 1 IP 地址：192.168.1.3 掩码：255.255.255.0G3-G4 VLAN10 IP 地址：192.168.10.254 掩码：255.255.255.0G5-G6 VLAN20 IP 地址：192.168.20.254 掩码：255.255.255.0G7-G8 VLAN30 IP地址：192.168.30.254 掩码：255.255.255.0G9-G10 VLAN40 IP地址：192.168.40.254 掩码：255.255.255.0G11-G12 VLAN50 IP地址：192.168.50.254 掩码：255.255.255.0G13-G14 VLAN60 IP地址：192.168.60.254 掩码：255.255.255.0G21-G22 VLAN70 IP地址：192.168.70.254 掩码：255.255.255.0G23-G24 VLAN80 IP地址：192.168.80.254 掩码：255.255.255.0DHCP:各个VLAN 分发IP地址及其它信息。

东莞斯瑞教育中心CCNA实验手册V5.0CCNA实验手册实验一基础实验一、拓扑图如下：二、实验目的1、掌握CISCO设备的基础配置。

2、2台设备能够ping 通。

3、熟练使用各种show命令查看设备状态。

三、实验要求：假设公司架设了一条东莞到香港的专线,作为网络管理员的你需要完成设备的基本配置,两台设备要PING通。

四、实验步骤：1、按照拓扑图所示，搭建实验平台2、完成CISCO设备的基础配置➢基本配置包括。

➢设置主机名称和设备标识。

➢关闭设备的DNS查询功能。

➢开启光标跟随功能。

➢设置超时时间,要求HongKong超时时间是10分30秒,DongGuan永远不超时。

➢配置控制台密码,配置VTY密码,配置特权密码,启用密码加密服务。

➢完成基本和辅助配置之后，按照拓扑图配置好设备的IP地址，测试相邻设备之间能否ping通。

➢使用CDP协议查看邻居设备信息,可以对设备进行远程telnet。

➢保存配置文件后，备份IOS软件和配置文件。

3、配置如下：设备命名：Router(config)#hostname dongguanDongguan(config)#关闭DNS查询：Router(config)#no ip domain-lookup注释：IOS软件会把未知的命令当做网络上设备的主机名称，通过广播去查找这台设备，这个过程需要比较久的时间，用这个命令可以避免DNS查询过程，节省时间。

启用光标跟随：Router(config)#line console 0Router(config-line)#logging synchronous注释：IOS软件会对系统状态变化自动的跳出提示信息，这会打乱我们的命令输入会影响我们命令的输入，启动光标跟随可以解决这个问题。

设置超时时间Router(config)#line console 0Router(config-line)#exec-timeout 0（分） 0 （秒）『永不超时』注释：当我们一段时间没有对设备进行操作后，会自动跳出登录，好比windows系统在多长时间没有活动后自动锁定，需要我们重新登录。