配置交换机安全性

配置交换机安全性

一、 配置口令选项

1. 保护控制台访问
   要防止控制台端口受到未经授权的访问，应使用password <password> 线路配置命令在控制台端口上设置命令。
   使用 line console 0 命令可以从全局配置模式切换到控制台0的线路配置模式。
   要确保控制台用户必须输入口令才能访问，可使用 login命令。如果不发出 login 命令，即使定义了口令，
   交换机仍不会要求用户输入口令。

   S1#configure terminal
   S1(config)#line console 0
   S1(config-line)#password cisco
   S1(config-line)#login
   

   如果要移除口令并取消登录口令的要求，可以：

   S1(config-line)#no password
   S1(config-line)#no login
   S1(config-line)#end
   

2. 保护虚拟终端访问
   cisco交换机的vty端口用于远程访问设备。使用vty终端端口可执行所有配置选项。
   使用 line vty 0 4 可以从全局配置模式切换到 vty线路 0~4 的线路配置模式。

   S1#configure terminal
   S1(config)#line vty 0 15
   S1(config-line)#password cisco
   S1(config-line)#login
   S1(config-line)#end
   

   取消口令

   S1(config-line)#no password
   S1(config-line)#no login
   

3. 保护特权执行模式的访问
   enable password全局配置命令用于指定口令以限制对特权执行模式的访问。
   在全局配置模式下输入 enable secret 命令以及所要的口令，这样即可指定加密形式的使能口令。

   S1#configure terminal
   S1(config)#enable secret whc236
   S1(config)#end
   

4. 配置加密口令
   service password-encryption用于加密配置文件中的口令。

   S1#configure terminal
   S1(config)#service password-encryption
   S1(config)#end
   S1#show running-config
   

5. 口令恢复
   要在cisco 2960交换机上恢复口令，可使用下面步骤。
   步骤1 将终端或带终端仿真软件的PC连接到交换机控制台端口。
   步骤2 在仿真软件中将线路速度设置为9600波特。
   步骤3 关闭交换机电源。将电源线重新连接交换机，并在15秒内，当system(系统)LED仍闪烁绿光时按下Mode按钮。一直按住Mode按钮 ，直到System LED短暂变成绿色常亮为止。然后释放Mode按钮。
   步骤4 使用flash_init命令初始化闪存文件系统。
   步骤5 使用load_helper命令加载所有helper文件。
   步骤6 使用dir flash命令显示闪存内容。
   步骤7 使用rename flash:config.text flash:config.text.old命令将配置文件重命名为config.text.old，该文件中包含口令定义。
   步骤8 用boot命令启动系统
   步骤9 系统提示是否要启动设置程序。在提示符下输入N，然后当系统提示是否继续配置对话时，输入N。
   步骤10 在交换机提示符下，使用enable命令进入特权执行模式。
   步骤11 使用 rename flash:config.text.old flash:config.text 命令将配置文件重命名为其原始名称。
   步骤12 使用copy flash:config.text system:running-config 命令将配置文件复制到内存中。输入此命令后，控制台将显示以下内容
   Source filename [config.text]?
   Destination filename [startup-config]?
   按回车键响应确认提示。现在交换机将重新加载配置文件，并且您可以更改口令。
   步骤13 使用configure terminal 命令进入全局配置模式。
   步骤14 使用enable secret password命令更改口令。
   步骤15 使用exit命令返回到特权执行模式
   步骤16 使用copy running-config startup-config命令将运行配置写入启动配置文件。
   步骤17 使用reload命令重新加载交换机。

二、 登录标语

在全局配置模式下使用 banner login 命令可以定义要在用户名和口令登录提示符之前显示的自定义标语。

三、 配置Telnet和SSH

1. 配置Telnet
   Telnet是Cisco交换机上支持vty的默认协议。
   因为Telnet是vty线路的默认传输方式，因此在执行交换机的初始配置之后，不需要指定Telnet。但是，如果已将vty线路的传输协议更改为只允许SSH，则需要手动启用Telnet协议以允许Telnet登录。
   如果要在Cisco 2960交换机上重新启用Telnet协议，可在线路配置模式下使用以下命令：
   (config-line)#transport input telnet 或 (config-line)#transport input all 。如果允许所有协议，则不仅允许Telnet访问，而且仍允许通过SSH访问交换机。

2. 配置SSH
   SSH是受到导出限制的一种加密安全功能。要使用此功能，交换机必须安装加密映像。
   对于服务器组件，交换机支持SSHv1或SSHv2。对于客户端组件，交换机只支持SSHv1。
   要实施SSH，需要生成RSA密钥。
   如果要将交换机配置为SSH服务器，则需要从特权模式下开始，按照下面的步骤配置。
   步骤1 使用configure terminal 命令进入全局配置模式。
   步骤2 使用hostname xxxxx命令配置交换机的主机名。
   步骤3 使用ip domain-name domain_name命令配置交换机的主机域
   步骤4 在交换机上启用SSH服务器以进行本地和远程身份验证，然后使用crypto key generate rsa命令生成RSA密钥对。
   步骤5 使用end命令返回特权执行模式
   步骤6 使用show ip ssh 或 show ssh命令显示交换机上的ssh服务器状态。
   步骤7 使用configure terminal 命令进入全局配置模式。
   步骤8 (可选)使用 ip ssh version [1 | 2]命令将交换机配置为运行SSHv1或SSHv2。
   步骤9 使用show ip ssh 或 show ssh命令显示交换机上的ssh服务器状态。
   步骤10 (可选)使用copy running-config startup-config命令在配置文件中保存您的输入。
   要删除RSA密钥对，可使用 crypto key zeroize rsa 全局配置命令，RSA密钥对删除之后，SSH服务器自动被禁用。
   如果要阻止非SSH连接，可在线路配置模式下添加transport input ssh命令，将交换机限制为仅允许SSH连接。直接（非SSH）Telnet连接将被拒绝。
   例2-10

   S1(config)# ip domain-name mydomain.com
   S1(config)# crypto key generate rsa
   S1(config)# ip ssh version 2
   S1(config)# line vty 0 15
   S1(config-line)# transport input ssh