Cisco设备的基本配置

Cisco⽹络设备安全配置Cisco⽹络设备安全检查和配置列表前⾔：本⽂档简单描述关于Cisco⽹络设备(路由器和交换机)的常规安全配置，旨在提⽰⽤户加强⽹络设备的安全配置。

在开始本⽂档前，有⼏点需要说明：如果条件允许的话，所有的设备都应该采⽤最新的IOS或者COS。

如果能够采⽤静态路由的话，尽量采⽤静态路由；动态路由⽅⾯的安全配置未在本⽂档之内。

⼀、路由器检查列表：□路由器的安全策略是否有备案，核查并且实施□路由器的IOS版本是否是最新□路由的配置⽂件是否有离线备份，并且对备份⽂件的访问有所限制□路由器的配置是否有清晰的说明和描述□路由器的登陆⽤户和密码是否已经配置□密码是否加密，并且使⽤secret密码□ secret密码是否有⾜够的长度和复杂度，难以猜测□通过Console,Aux,vty的访问是否有所限制□不需要的⽹络服务和特性是否已关闭□确实需要的⽹络服务是否已经正确安全的配置□未使⽤的接⼝和vty是否已经配置shutdown□有风险的接⼝服务是否已经禁⽤□⽹络中需要使⽤的协议和端⼝是否标识正确□访问控制列表是否配置正确□访问列表是否禁⽤了Internet保留地址和其他不适当的地址□是否采⽤静态路由□路由协议是否配置了正确的算法□是否启⽤⽇志功能，并且⽇志内容清晰可查□路由器的时间和⽇期是否配置正确□⽇志内容是否保持统⼀的时间和格式□⽇志核查是否符合安全策略⼆、IOS安全配置1、服务最⼩化关闭所有不需要的服务，可以使⽤show proc命令来查看运⾏了那些服务。

通常来说以下服务不需要启动。

Small services (echo, discard, chargen, etc.)- no service tcp-small-servers- no service udp-small-servers_ BOOTP - no ip bootp server_ Finger - no service finger_ HTTP - no ip http server_ SNMP - no snmp-server2、登陆控制Router(config)#line console 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#loginRouter(config)#line aux 0Router(config-line)#password xxxRouter(config-line)#exec-timeout 0 10Router(config-line)#loginRouter(config)#line vty 0 4Router(config-line)#password xxxRouter(config-line)#exec-timeout 5 0Router(config-line)#login注：如果路由器⽀持的话，请使⽤ssh替代telnet；3、密码设置Router(config)#service password-encryptionRouter(config)#enable secret4、⽇志功能Central(config)# logging onCentral(config)# logging IP(SYSLOG SERVER)Central(config)# logging bufferedCentral(config)# logging console criticalCentral(config)# logging trap informationalCentral(config)# logging facility local1Router(config)# service timestamps log datetime localtime show-timezone msec5、SNMP的设置Router(config)# no snmp community public roRouter(config)# no snmp community private rwRouter(config)# no access-list 50Router(config)# access-list 50 permit 10.1.1.1Router(config)# snmp community xxx ro 50Router(config)# snmp community yyy rw 50注：xxx,yyy是你需要设置的community string，越是复杂越好，并且两都绝对不能⼀致。

cisco配置实验报告Cisco配置实验报告1. 实验目的本次实验旨在通过配置Cisco网络设备，实现局域网内主机之间的互联及互访。

通过此实验，我们将深入了解Cisco设备的配置和管理，提高网络管理技能。

2. 实验环境本次实验使用的设备为Cisco Catalyst 2960交换机和Cisco 2811路由器。

交换机用于构建局域网，路由器用于实现不同局域网之间的互联。

3. 实验步骤3.1 网络拓扑规划根据实验要求，我们设计了以下网络拓扑结构：一个核心交换机连接多个分支交换机，每个分支交换机连接多台主机。

核心交换机通过路由器与其他局域网相连。

3.2 配置交换机首先，我们登录到核心交换机的管理界面。

使用默认用户名和密码登录后，我们进入交换机的命令行界面。

3.2.1 VLAN配置为了实现不同局域网之间的隔离，我们需要配置不同的VLAN。

通过以下命令，我们创建了两个VLAN，分别为VLAN 10和VLAN 20：```vlan 10name VLAN10vlan 20name VLAN20```3.2.2 端口配置接下来，我们需要将交换机的端口划分到不同的VLAN中。

通过以下命令，我们将端口1-10划分到VLAN 10，端口11-20划分到VLAN 20：```interface range fastEthernet 0/1-10switchport mode accessswitchport access vlan 10interface range fastEthernet 0/11-20switchport mode accessswitchport access vlan 20```3.3 配置路由器在路由器上，我们需要配置静态路由，将不同局域网之间的流量进行转发。

3.3.1 接口配置首先，我们配置路由器的接口。

通过以下命令，我们将路由器的Fa0/0接口配置为与核心交换机相连的接口：```interface fastEthernet 0/0ip address 192.168.1.1 255.255.255.0```3.3.2 静态路由配置接着，我们配置静态路由，实现不同局域网之间的互通。

一、开机1、如是新设备,开机需跳过系统默认配置模式,进入手动配置模式;2、进入用户模式,系统提示符为>,此模式只能查看统计信息,无配置功能;3、用户模式下,输入enable,进入特权模式,系统提示符为;二、一些常用设置1、设置enable密码configenablesecretXXX2、设置主机名confighostnameXXX3、关闭http访问confignohttpserver4、关闭密码明文显示configservicepassword－encryption5、配置consol口密码configlinecon0config-linepasswordXXXconfig-lineloginconfig-lineexit6、关闭telnet访问configlinevty04config-linenopasswordconfig-lineexit7、关闭VLAN1configinterfacevlan1config-ifshutdownconfig-ifexit三、创建VLAN10vlan1设备自动生成,不能更改、删除方法1：vlandatabasevlanvlan10nameXXXvlanapple方法2：nameXXX就是命名Vlanconfigureterminalconfigvlan10config-vlannameXXXconfig-vlanexit四、Vlan配置configureterminalconfig-ifinterfacevlan10------进入Vlan10config-ifipaddress---config-ifnoshutdown------开启端口config-ifdescriptionXXX-----描述名XXX,只支持英文config-ifexit-----退出五、添加Vlan到某个端口configureterminalconfiginterfacerangegigabitEthernet0/16----进入端口16 config-if-rangnoshutdown-------开启端口config-if-rangswitchportmodeaccess--------------将交换机端口转换为ACCESS模式config-if-rangswitchportaccessvlan10--------在16端口允许Vlan10通过config-if-rangexit-------退出六、单独修改某个Vlan网关config-ifinterfacevlan10--进入Vlan10config-ifipaddress------七、创建ACL规则,标准ACLconfigipaccess-listextendedswj ACL规则名config-ext-nacl0.0.0----拒绝vlan30的用户访问vlan10资源八、将ACL应用到vlan10configinterfacevlan10--创建vlan10的SVI接口config-ifipaccess-groupswjin--将扩展ACL应用到vlan10的SVI接口下九、保存copyrun-configurestart-configure。

CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备，用于构建局域网（Local Area Network，LAN）。

它可以通过物理线路的连接，将多台计算机或其他网络设备连接到同一个网络中，实现数据的传输和共享。

CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。

接下来，我们将对这些配置进行详细说明。

首先，IP地址的配置是CISCO交换机的基本操作之一。

通过配置IP地址，我们可以对交换机进行管理和监控。

具体的配置步骤如下：1. 进入交换机的配置模式。

在命令行界面输入"enable"命令，进入特权模式。

2. 进入全局配置模式。

在特权模式下输入"configure terminal"命令，进入全局配置模式。

3. 配置交换机的IP地址。

在全局配置模式下输入"interfacevlan 1"命令，进入虚拟局域网1的接口配置模式。

然后输入"ip address 192.168.1.1 255.255.255.0"命令，配置交换机的IP地址和子网掩码。

4. 保存配置并退出。

在接口配置模式下输入"exit"命令，返回到全局配置模式。

然后输入"exit"命令，返回到特权模式。

最后输入"copy running-config startup-config"命令，保存配置到闪存中。

其次，VLAN的配置是CISCO交换机的关键配置之一。

通过配置VLAN，我们可以将交换机的端口划分为不同的虚拟局域网，实现数据的隔离和安全。

1. 进入交换机的配置模式。

同样，在特权模式下输入"configure terminal"命令，进入全局配置模式。

2. 创建VLAN。

在全局配置模式下输入"vlan 10"命令，创建一个编号为10的VLAN。

Cisco设备静态NAT基本配置步骤以下内容摘自笔者即将出版上市的《金牌网管师——大中型企业网络组建、配置与管理》一书，或者于明年将出版的《Cisco/H3C 路由器配置与管理完全手册》一书.当你与外部网络进行通信时，你可以转换自己的私有IP地址到全态NAT在内部本地址和内部全局地址之间建立一对一的映射关系,而动态NAT建立一个内部本地址到一个全局地址池的映射关系。

一、静态NAT工作原理静态NAT是最基本的NAT方式,也是最常用的NAT方式之一.本节要利用网络拓扑结构和具体的示例介绍Cisco设备上的静态NAT基本配置步骤。

示例中的基本网络拓扑结构如图1所示。

NAT 路由器的两个接口（s0和s1）分别连接了内、外两个不同的网络(10。

10。

10。

0/24和171.16.68。

1/24）。

现要使内部网络中的10。

10.01.1主机和外部网络中的171。

16.68。

5主机间进行数据包传输。

图1 静态NAT基本配置示例网络结构在上一篇说到了，NAT的应用可以是单方向(包括正向或反向)，也可以是双方向的地址转换.我们把内部网络中的地址转换成外部网络中的地址,称之为正向转换，使用的NAT命令为“ip nat inside source static {local—ip global—ip}”，把本地网络的本地址转换成外部网络的全局地址。

把外部网络中的地址转换成内部网络中的地址称之为反向转换,使用的NAT命令为“ip nat outside source static global—ip local-ip}”，把外部网络的全地址转换成本地网络的本地地址.对比可以看出，两个命令中的本地IP地址（local-ip）和全局IP地址（global—ip)的位置是相互调换的。

而把需要同时具有两方面的转换，称之为双向转换。

正向转换时只需要定义内部本地址和内部全局地址；反方向的转换时则需要定义外部本地址和外部全局地址；双向转换时则需要同时定义内部本地址、内部全局地址、外部本地址和外部全局地址。

Cisco交换机配置实验报告实验目的本实验旨在了解和掌握Cisco交换机的基本配置和操作方法，包括VLAN划分、端口配置、静态路由等。

实验环境•Cisco交换机（型号：XYZ）•一台计算机•Console连接线实验步骤步骤一：连接设备1.将计算机通过Console连接线与Cisco交换机的Console端口相连。

2.打开终端软件（如SecureCRT、PuTTY等），配置串口连接参数，如波特率、数据位、停止位等。

3.点击连接按钮，与Cisco交换机建立串口连接。

步骤二：进入特权模式1.在终端中输入用户名和密码，登录到Cisco交换机的用户模式。

2.输入enable命令，进入特权模式，需输入特权密码。

步骤三：配置主机名1.在特权模式下，输入configure terminal命令，进入全局配置模式。

2.输入hostname [名称]命令，设置Cisco交换机的主机名。

3.按下Ctrl+Z保存配置并退出。

步骤四：配置VLAN1.进入全局配置模式，输入vlan [VLAN编号]命令，创建VLAN。

2.输入name [VLAN名称]命令，为VLAN设置名称。

3.重复以上步骤，创建所需的所有VLAN。

4.按下Ctrl+Z保存配置并退出。

步骤五：配置端口1.进入全局配置模式，输入interface [端口编号]命令，进入端口配置模式。

2.输入switchport mode access命令，设置端口为访问模式。

3.输入switchport access vlan [VLAN编号]命令，将端口划分到对应的VLAN。

4.重复以上步骤，配置所有需要的端口。

5.按下Ctrl+Z保存配置并退出。

步骤六：配置静态路由1.进入全局配置模式，输入ip route [目标子网] [子网掩码] [下一跳地址]命令，添加静态路由。

2.重复以上步骤，配置所有需要的静态路由。

3.按下Ctrl+Z保存配置并退出。

步骤七：查看配置1.在特权模式下，输入show running-config命令，查看当前的运行配置。

CISCO 网络设备使用及配置文档一、网络结构：光纤传输-------光猫----------路由器2800的F0/1（外网地址：58.221.220.166）-------路由器的F0/0口（内网网关IP:192.168.1.1）-----------防火墙ASA5510的0（透明模式为外接口）-------防火墙的1（透明模式为内接口）-------------核心交换3560G的(G1 和G2 都可以上接)------核心交换机的其它接口分别对应各层接入交换机。

二、设备配置说明：路由器：F0/1 IP 是58.221.220.166 掩码：255.255.255.252 网关：58.221.220.165 F0/0 IP是192.168.1.1 掩码：255.255.255.0远程TELNET 的用户名：admin 密码：admin@123 特权密码：cisco防火墙：F0/0 是外部接口F0/1是内部接口系统管理IP 192.168.1.2 网关192.168.1.1 掩码：255.255.255.0 远程TELNET 密码：cisco特权密码：cisco核心交换：G1-G2 VLAN 1 IP 地址：192.168.1.3 掩码：255.255.255.0G3-G4 VLAN10 IP 地址：192.168.10.254 掩码：255.255.255.0G5-G6 VLAN20 IP 地址：192.168.20.254 掩码：255.255.255.0G7-G8 VLAN30 IP地址：192.168.30.254 掩码：255.255.255.0G9-G10 VLAN40 IP地址：192.168.40.254 掩码：255.255.255.0G11-G12 VLAN50 IP地址：192.168.50.254 掩码：255.255.255.0G13-G14 VLAN60 IP地址：192.168.60.254 掩码：255.255.255.0G21-G22 VLAN70 IP地址：192.168.70.254 掩码：255.255.255.0G23-G24 VLAN80 IP地址：192.168.80.254 掩码：255.255.255.0DHCP:各个VLAN 分发IP地址及其它信息。

东莞斯瑞教育中心CCNA实验手册V5.0CCNA实验手册实验一基础实验一、拓扑图如下：二、实验目的1、掌握CISCO设备的基础配置。

2、2台设备能够ping 通。

3、熟练使用各种show命令查看设备状态。

三、实验要求：假设公司架设了一条东莞到香港的专线,作为网络管理员的你需要完成设备的基本配置,两台设备要PING通。

四、实验步骤：1、按照拓扑图所示，搭建实验平台2、完成CISCO设备的基础配置➢基本配置包括。

➢设置主机名称和设备标识。

➢关闭设备的DNS查询功能。

➢开启光标跟随功能。

➢设置超时时间,要求HongKong超时时间是10分30秒,DongGuan永远不超时。

➢配置控制台密码,配置VTY密码,配置特权密码,启用密码加密服务。

➢完成基本和辅助配置之后，按照拓扑图配置好设备的IP地址，测试相邻设备之间能否ping通。

➢使用CDP协议查看邻居设备信息,可以对设备进行远程telnet。

➢保存配置文件后，备份IOS软件和配置文件。

3、配置如下：设备命名：Router(config)#hostname dongguanDongguan(config)#关闭DNS查询：Router(config)#no ip domain-lookup注释：IOS软件会把未知的命令当做网络上设备的主机名称，通过广播去查找这台设备，这个过程需要比较久的时间，用这个命令可以避免DNS查询过程，节省时间。

启用光标跟随：Router(config)#line console 0Router(config-line)#logging synchronous注释：IOS软件会对系统状态变化自动的跳出提示信息，这会打乱我们的命令输入会影响我们命令的输入，启动光标跟随可以解决这个问题。

设置超时时间Router(config)#line console 0Router(config-line)#exec-timeout 0（分） 0 （秒）『永不超时』注释：当我们一段时间没有对设备进行操作后，会自动跳出登录，好比windows系统在多长时间没有活动后自动锁定，需要我们重新登录。

操作与配置CiscoIOS设备概述配置Cisco IOS设备通常包括以下几个步骤：1. 连接到设备：通过串口、Telnet、SSH或者通过Console接口等方式连接到设备。

2. 进入特权模式：输入特权密码或验证凭证可以进入特权模式，有些情况下需要配置特权密码或者配置AAA 认证。

3. 进入全局模式：输入"configure terminal"命令可以进入全局配置模式，进行设备的全局配置。

4. 配置接口：通过"interface"命令进入接口配置模式，可以对接口进行配置，包括IP地址、子网掩码、MTU等。

5. 配置路由：通过路由协议或者静态路由对设备进行路由配置，以实现网络之间的通信。

6. 配置安全策略：通过ACL、防火墙等方式对设备进行安全配置，保护网络的安全。

7. 保存配置：在完成配置后，需要通过"write memory"或者"copy running-config startup-config"命令保存配置，以防止设备重启后丢失配置。

总之，配置Cisco IOS设备需要对网络知识有一定的了解，并且要谨慎操作，以避免造成设备故障或数据泄露等问题。

同时，根据实际需求和网络规模，配置也会有所不同，需要根据具体情况进行相应的配置。

配置和操作Cisco IOS设备是网络管理员日常工作的一部分，因此对于熟悉这个操作系统的人来说，这是一项重要的技能。

它是一个功能强大、灵活且稳定的操作系统，为管理和维护网络提供了大量的工具和选项。

在配置Cisco IOS设备时，管理员需要熟悉各种命令和配置选项。

作为网络设备的核心，路由器和交换机的配置是最常见的任务。

接下来，我们将详细了解如何配置常用的路由器和交换机功能。

路由器配置：1. 配置基本设置：管理员可以使用命令行界面（CLI）通过控制台或SSH连接到路由器。

通常会要求管理员输入特权密码以进入特权模式。

思科交换机基本配置实例讲解目录1、基本概念介绍 (1)2、密码、登陆等基本配置 (1)3、CISCO设备端口配置详解 (7)4、VLAN的规划及配置 (12)4.1核心交换机的相关配置 (12)4.2接入交换机的相关配置 (24)5、配置交换机的路由功能 (29)6、配置交换机的DHCP功能 (30)7、常用排错命令 (31)1、基本概念介绍IOS: 互联网操作系统，也就是交换机和路由器中用的操作系统VLAN: 虚拟lanVTP: VLAN TRUNK PROTOCOLDHCP: 动态主机配置协议ACL：访问控制列表三层交换机：具有三层路由转发能力的交换机本教程中“#”后的蓝色文字为注释内容。

2、密码、登陆等基本配置本节介绍的内容为cisco路由器或者交换机的基本配置，在目前版本的cisco交换机或路由器上的这些命令是通用的。

本教程用的是cisco的模拟器做的介绍，一些具体的端口显示或许与你们实际的设备不符，但这并不影响基本配置命令的执行。

Cisco 3640 (R4700) processor (revision 0xFF) with 124928K/6144K bytes of memory. Processor board ID 00000000R4700 CPU at 100MHz, Implementation 33, Rev 1.22 Ethernet interfaces8 Serial interfacesDRAM configuration is 64 bits wide with parity enabled.125K bytes of NVRAM.8192K bytes of processor board System flash (Read/Write)--- System Configuration Dialog ---Would you like to enter the initial configuration dialog? [yes/no]: n# 此处我们选择no，不进入他的初始化配置向导Press RETURN to get started!# 选择no以后，提示你按回车键开始，此处我们需要按回车键*Mar 1 00:43:56.591: %IP-5-WEBINST_KILL: Terminating DNS process*Mar 1 00:43:58.379: %SYS-5-RESTART: System restarted --Cisco IOS Software, 3600 Software (C3640-JK9O3S-M), Version 12.3(14)T7, RELEASE SOFTWARE (fc2)Technical Support: /techsupportCopyright (c) 1986-2006 by Cisco Systems, Inc.Compiled Wed 22-Mar-06 21:46 by pwade*Mar 1 00:43:58.411: %SNMP-5-COLDSTART: SNMP agent on host Router is undergoing a cold startRouter># 等显示稳定后，出现最初的提示符，注意提示符是“>”,目前所处的状态称为用户模式。