基本配置

witch>

Switch>enable 进入特权执行模式

Switch#

Switch#show running-config 列出运行配置清单

Switch#config terminal 进入配置模式

Enter configuration commands, one per line. End with CNTL/Z.

Switch(config)#

Switch(config)#enable secret cisco1 设置enable密码

Switch(config)#hostname c2950 设置主机名

c2950(config)#interface VLAN 1 进入VLAN 1的配置模式

c2950(config-if)#ip address 192.168.1.2 255.255.255.0

c2950(config-if)#no shut 保存配置

c2950(config-if)exit 退出

配置端口速率及双工模式

可以配置快速以太口的速率为10/100Mbps及千兆以太口的速率为10/100/1000-Mbps; 但对于GBIC端口则不能配置速率及双工模式，有时可以配置nonegotiate,当需要联接不支持自适应的其它千兆端口时。

举例如下:

Switch# configure terminal

Switch(config)# interface fastethernet0/3

Switch(config-if)# speed 10

Switch(config-if)# duplex half

关闭和打开端口

举例如下:

Switch# configure terminal

Switch(config)# interface fastethernet0/5

Switch(config-if)# shutdown

Switch(config-if)#

*Sep 30 08:33:47: %LINK-5-CHANGED: Interface FastEthernet0/5, changed state to a

administratively down

Switch# configure terminal

Switch(config)# interface fastethernet0/5

Switch(config-if)# no shutdown

Switch(config-if)#

*Sep 30 08:36:00: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up

cisco是全球领先的网络解决方案供应商，其设备的设置方法与其他网络设备也不一样，欢迎大家来到读文网，本文为大带来详解CISCO路由密码设置与SSH登录设置，欢迎大家阅读借鉴。

详解CISCO路由密码设置与SSH登录设置

1，CISCO 最基本的实验，密码设置

全局模式口令

R1#configure terminal

R1(config)#enable password XXXX

控制台登录口令：

router#config terminal

router(config)#line console 0

router(config-line)#exec-timeout 0 0 //设置控制台超时值为零，即决不超时，默认是10分钟

router(config-line)#logging synchronous //阻止由于不稳定而产生的恼人的控制台信息

router(config-line)#password XXXXXX

router(config-line)#login

Telnet口令：

Router(config)#line vty 0 4 //没有运行Cisco IOS企业版的路由器默认时有5条VTY线路(0~4)

Router(config-line)#password XXXXXX

Router(config-line)#login //可以使用no login 命令告诉路由器，允许建立无口令验证的Telnet连接

遇到的问题：1，没有设置enable密码，是无通过telnet进去特权模式的，只能通过console口登录。

2，CISCO ssh登录的设置

ra#config terminal

ra(config)#ip domain-name ctocio.com.cn

//配置一个域名

ra(config)#crypto key generate rsa general-keys modulus 1024

//生成一个rsa算法的密钥，密钥为1024位

(提示：在Cisoc中rsa支持360-2048位，该算法的原理是：主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有的密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。

ra(config)#ip ssh time 120

//设置ssh时间为120秒

ra(config)#ip ssh authentication 4

//设置ssh认证重复次数为4，可以在0-5之间选择

ra(config)#line vty 0 4

//进入vty模式

ra(config-line)#transport input ssh

//设置vty的登录模式为ssh，默认情况下是all即允许所有登录

ra(config-line)#login

ra(config)#aaa authentication login default local

//启用aaa认证，设置在本地服务器上进行认证

ra(config-line)#username momo password 123

//创建一个用户momo并设置其密码为123用于SSH客户端登录这样SSH的CISCO设置就完成了。

遇到的问题：1.为什么SSH配置需要一个域名呢，

在配置SSH登录时，要生成一1024位RSA key，那么key的名字是以路由器的名字与DNS域名相接合为名字。

2，在配置时候，使用的7200ISO无法使用aaa authentication login default local这条命令，跳过后果然无法登陆，使用了aaa new-model--- 启用新的访问控制命令和功能。(禁用旧

命令)。

这条命令便可以的了，开启这个模式后，便有很多aaa的命令可以使用，包括实验中的命令，实验我跳过的了，依然可以SSH登录，看来是默认为本地验证的了。

另外，启用AAA后，除了console口外，所有线程都是用AAA来认证。

CISCO路由的相关

欢迎来到读文网，本文为大家提供了解CISCO路由器和交换机常用部分命令，欢迎大家阅读学习。

Access-enable 允许路由器在动态访问列表中创建临时访问列表入口

Access-group 把访问控制列表(ACL)应用到接口上

Access-list 定义一个标准的IP ACL

Access-template 在连接的路由器上手动替换临时访问列表入口

Appn 向APPN子系统发送命令

Atmsig 执行ATM信令命令

B 手动引导操作系统

Bandwidth 设置接口的带宽

Banner motd 指定日期信息标语

Bfe 设置突发事件手册模式

Boot system 指定路由器启动时加载的系统映像

Calendar 设置硬件日历

Cd 更改路径

Cdp enable 允许接口运行CDP协议

Clear 复位功能

Clear counters 清除接口计数器

Clear interface 重新启动接口上的硬件逻辑

Clockrate 设置串口硬件连接的时钟速率，如网络接口模块和接口处理器能接受的速率

Cmt 开启/关闭FDDI连接管理功能

Config-register 修改配置寄存器设置

Configure 允许进入存在的配置模式，在中心站点上维护并保存配置信息

Configure memory 从NVRAM加载配置信息

Configure terminal 从终端进行手动配置

Connect 打开一个终端连接

Copy 复制配置或映像数据

Copy flash tftp 备份系统映像文件到TFTP服务器

Copy running-config startup-config 将RAM中的当前配置存储到NVRAM

Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上

Copy tftp flash 从TFTP服务器上下载新映像到Flash

Copy tftp running-config 从TFTP服务器上下载配置文件

Debug 使用调试功能

Debug dialer 显示接口在拨什么号及诸如此类的信息

Debug ip rip 显示RIP路由选择更新数据

Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息

Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息

Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程

Debug ppp 显示在实施PPP中发生的业务和交换信息

Delete 删除文件

Deny 为一个已命名的IP ACL设置条件

Dialer idle-timeout

规定线路断开前的空闲时间的长度

Dialer map 设置一个串行接口来呼叫一个或多个地点

Dialer wait-for-carrier-time 规定花多长时间等待一个载体

Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制

Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号

Dir 显示给定设备上的文件

Disable 关闭特许模式

Disconnect 断开已建立的连接

Enable 打开特许模式

Enable password 确定一个密码以防止对路由器非授权的访问

Enable password 设置本地口令控制不同特权级别的访问

Enable secret 为enable password命令定义额外一层安全性

Encapsulation frame-relay 启动帧中继封装

Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式

Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法

Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sap

End 退出配置模式

Erase 删除闪存或配置缓存

Erase startup-config 删除NVRAM中的内容

Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间

Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC

Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC

format 格式化设备

Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)

Help 获得交互式帮助系统

History 查看历史记录

Hostname 使用一个主机名来配置路由器，该主机名以提示符或者缺省文件名的方式使用

Interface 设置接口类型并且输入接口配置模式

Interface 配置接口类型和进入接口配置模式

Interface serial 选择接口并且输入接口配置模式

Ip access-group 控制对一个接口的访问

Ip address 设定接口的网络逻辑地址

Ip address 设置一个接口地址和子网掩码并开始IP处理

Ip default-network 建立一条缺省路由

Ip domain-lookup 允许路由器缺省使用DNS

Ip host 定义静态主机名到IP地址映射

Ip name-server 指定至多6个进行名字-地址解析的服务器地址

Ip route 建立一条静态路由

Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下，在串口上启动互联网协议(IP)的处理过程

Ipx delay 设置点计数

Ipx ipxwan 在串口上启动IPXWAN协议

Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量

Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)

Ipx router 规定使用的路由选择协议

Ipx routing 启动IPX路由选择

Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新

Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受

Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)

Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)

Isdn switch-type 规定了在ISDN接口上的中央办公区的交换机的类型

Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制

Lat 打开LAT连接

Line 确定一个特定的线路和开始线路配置

Line concole 设置控制台端口线路

Line vty 为远程控制台访问规定了一个虚拟终端

Lock 锁住终端控制台

Login 在终端会话登录过程中启动了密码检查

Login 以某用户身份登录，登录时允许口令验证

Logout 退出EXEC模式

Mbranch 向下跟踪组播地址路由至终端

Media-type 定义介质类型

Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间

Mrbranch 向上解析组播地址路由至枝端

Mrinfo 从组播路由器上获取邻居和版本信息

Mstat 对组播地址多次路由跟踪后显示统计数字

Mtrace 由源向目标跟踪解析组播地址路径

Name-connection 命名已存在的网络连接

Ncia 开启/关闭NCIA服务器

Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下，在网络上启动加强的IGRP

Network 指定一个和路由器直接相连的网络地址段

Network-number 对一个直接连接的网络进行规定

No shutdown 打开一个关闭的接口

Pad 开启一个X.29 PAD连接

Permit 为一个已命名的IP ACL设置条件

Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断

Ping 发送回声请求，诊断基本的网络连通性

Ppp 开始IETF点到点协议

Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动，并且对在接口上选择的CHAP和PAP验证的顺序进行规定

Ppp chap hostname 当用CHAP进行身份验证时，创建一批好像是同一台主机的拨号路由器

Ppp chap password 设置一个密码，该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制

Ppp pap sent-username 对一个接口启动远程PAP支持，并且在PAP对同等层请求数据包验证过程中使用sent-username和password

Protocol 对一个IP路由选择协议进行定义，该协议可以是RIP，内部网关路由选择协议(IGRP)，开放最短路径优先(OSPF)，还可以是加强的IGRP

Pwd 显示当前设备名

Reload 关闭并执行冷启动;重启操作系统

Rlogin 打开一个活动的网络连接

Router 由第一项定义的IP路由协议作为路由进程，例如：router rip 选择RIP作为路由协议

Router igrp 启动一个IGRP的路由选择过程

Router rip 选择RIP作为路由选择协议

Rsh 执行一个远程命令

Sdlc 发送SDLC测试帧

Send 在tty线路上发送消息

Service password-encryption 对口令进行加密

Setup 运行Setup命令

Show 显示运行系统信息

Show access-lists 显示当前所有ACL的内容

Show buffers 显示缓存器统计信息

Show cdp entry 显示CDP表中所列相邻设备的信息

Show cdp interface 显示打开的CDP接口信息

Show cdp neighbors 显示CDP查找进程的结果

Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息

Show flash 显示闪存的布局和内容信息

Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息

Show frame-relay map 显示关于连接的当前映射入口和信息

Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息

Show hosts 显示主机名和地址的缓存列表

Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息

Show interfaces 显示路由器上配置的所有接口的状态

Show interfaces serial 显示关于一个串口的信息

Show ip interface 列出一个接口的IP信息和状态的小结

Show ip interface 列出接口的状态和全局参数

Show ip protocols 显示活动路由协议进程的参数和当前状态

Show ip route 显示路由选择表的当前状态

Show ip router 显示IP路由表信息

Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数

Show ipx route 显示IPX路由选择表的内容

Show ipx servers 显示IPX服务器列表

Show ipx traffic 显示数据包的数量和类型

Show isdn active 显示当前呼叫的信息，包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息

Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态

Show memory 显示路由器内存的大小，包括空闲内存的大小

Show processes 显示路由器的进程

Show protocols 显示设置的协议

Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态

Show running-config 显示RAM中的当前配置信息

Show spantree 显示关于虚拟局域网(VLAN)的生成树信息

Show stacks 监控和中断程序对堆栈的使用，并显示系统上一次重启的原因

Show startup-config 显示NVRAM中的启动配置文件

Show ststus 显示ISDN线路和两个B信道的当前状态

Show version 显示系统硬件的配置，软件的版本，配置文件的名称和来源及引导映像

Shutdown 关闭一个接口

Telnet 开启一个telect连接

Term ip 指定当前会话的网络掩码的格式

Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式

Timers basic 控制着IGRP以多少时间间隔发送更新信息

Trace 跟踪IP路由

Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码

Verify 检验flash文件

Where 显示活动连接

Which-route OSI路由表查找和显示结果

Write 运行的配置信息写入内存，网络或终端

Write erase 现在由copy startup-config命令替换

X3 在PAD上设置X.3参数

Xremote 进入XRemote模式

CISCO路由器配置命令状态

1. >

路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。

cisco思科公司是全球领先的网络解决方案供应商，其出产的设备配置起来也跟别的不太一样，下面是Cisco路由器交换机防火墙配置命令详解,希望对你有所帮助。

1. 路由器支持的命令

路由器显示命令

router#show run ;显示配置信息

router#show inte***ce ;显示接口信息

router#show ip route ;显示路由信息

router#show cdp nei ;显示邻居信息

router#reload;重新起动#p#副标题#e#

路由器口令设置

router>enable ;进入特权模式

router#config terminal ;进入全局配置模式

router(config)#hostname ;设置交换机的主机名

router(config)#enable secret xxx ;设置特权加密口令

router(config)#enable password xxb ;设置特权非密口令

router(config)#line console 0 ;进入控制台口

router(config-line)#line vty 0 4 ;进入虚拟终端

router(config-line)#login ;要求口令验证

router(config-line)#password xx ;设置登录口令xx

router(config)#(Ctrl+z) ; 返回特权模式

router#exit ;返回命令

路由器配置

router(config)#int s0/0 ;进入Serail接口

router(config-if)#no shutdown ;激活当前接口

router(config-if)#clock rate 64000 ;设置同步时钟

router(config-if)#ip address ;设置IP地址

router(config-if)#ip address second ;设置第二个IP

router(config-if)#int f0/0.1 ;进入子接口

router(config-subif.1)#ip address ;设置子接口IP

router(config-subif.1)#encapsulation dot1q ;绑定vlan中继协议

router(config)#config-register 0x2142 ;跳过配置文件

router(config)#config-register 0x2102 ;正常使用配置文件

router#reload ;重新引导

路由器文件操作

router#copy running-config startup-config ;保存配置

router#copy running-config tftp ;保存配置到tftp

router#copy startup-config tftp ;开机配置存到tftp

router#copy tftp flash: ;下传文件到flash

router#copy tftp startup-config;下载配置文件

ROM状态

Ctrl+Break ;进入ROM监控状态

rommon>confreg 0x2142 ;跳过配置文件

rommon>confreg 0x2102 ;恢复配置文件

rommon>reset;重新引导

rommon>copy xmodem: flash: ;从console传输文件

rommon>IP_ADDRESS=10.65.1.2 ;设置路由器IP

rommon>IP_SUBNET_MASK=255.255.0.0 ;设置路由器掩码

rommon>TFTP_SERVER=10.65.1.1 ;指定TFTP服务器IP

rommon>TFTP_FILE=c2600.bin ;指定下载的文件

rommon>tftpdnld ;从tftp下载

rommon>dir flash: ;查看闪存内容

rommon>boot ;引导IOS

Cisco路由器交换机防火墙配置命令详解的相关

当今时代，网络的普及，让路由器的使用是越来越多，几乎每家每户都会有路由器，那么，大家知道Cisco路由器一般命令有哪些吗?读文网小编就在这里为大家详细介绍。

正确掌握路由器的常用命令对于配置路由器是最为关键的一步，否则根本无从谈起。Cisco路由器是互联网解决方案的领先提供者，其设备和软件产品主要用于连接计算机网络系统。下面我就以Cisco路由器为例讲一下路由器的常用操作命令。

一、帮助命令

在IOS操作中，无论任何状态和位置，都可以通过键入"?"得到系统的帮助，所以说"?"就是路由器的帮助命令。

二、改变设置状态的命令

路由器有许多不同权限和选项的设置，所以也就必须有相应的命令来进入相应的设置状态。

三、路由器常用命令

一般来说都是以命令的方式对路由器进行配置的。路由器的IOS操作命令较多，路由器的操作系统，是一个功能非常强大的系统，特别是在一些高档的路由器中，它具有相当丰富的操作命令，就像我们的DOS系统一样。

四、显示命令

显示命令就是用于显示某些特定需要的命令，以方便用户查看某些特定设置信息。路由器有时要进行网络管理，所以也必须具有一些网络进入命令。

五、基本命令

除上面我们所说的一些特殊命令之外，更多的还是一些基本命令。

配置高端路由器都是以命令的方式进行的，所以掌握路由器的常用命令对于配置路由器是最为关键的，也是一个网管必须学会的基本知识。

cisco 怎么设置ssh?还在学校是可是经常用到的命令啊，读文网小编今天为大家带来思科cisco ssh设置方法，需要的朋友可以参考下!

注意：

命令 描述

username admin1 privilege 15 password 0 Admin-Password 建立一个叫做admin1的系统管理员，每一个管理都必须重复。

aaa new-model 使用一个本地数据库，设置为AAA模式

ip domain name MyDomain.com 建立一个用于认证的名字

crypto key generate rsa 建立数字证书。使用至少768位的Diffie-Hellman关键字

line vty 0 4 进入vty配置

transport input ssh 仅仅允许SSH登录

cisco SSH配置

注： 我在交换机上设置了以后，ssh可以正常登录没问题，但是telnet却仍然可以登录，检查后发现是因为配置文件里多了一行

#line vty 5 15

我在命令行里删除 # no line vty 5 15 报错 Can't delete last 16 VTY lines，无法删除vtp 5-15,在查了以后找到解决办法，就是把line vty 5 15,设置成

no transport input ssh

以上文章即为cisco 设置ssh的方法了，还有什么不明白的可以移步到思科论坛求助各位大神哦。

Cisco路由器是全球领先的通讯厂商，他的相关操作也跟别的路由器不太一样，那你知道Cisco路由如何设置命令阻止访问特定网站吗?下面是读文网小编整理的一些关于Cisco路由如何设置命令阻止访问特定网站的相关资料，供你参考。

Cisco路由设置命令阻止访问特定网站步骤3：实施ACL

仅仅创建了ACL并不意味着路由器就用上了它——我们还必须对ACL进行实施。下面，假设我们要建立一个ACL，以阻止内部局域网访问外部的广 域网(比如Internet)。因此我们应当用ACL的源地址过滤，而不是目标地址的过滤。

同样，基于设计的目的，我们需要在路由器的Out方向实施这个ACL。

Router(config)# int serial 0/0Router(config-if)# ip access-group 101 out

Cisco路由设置命令阻止访问特定网站的相关

思科依靠自身的技术和对网络经济模式的深刻理解，成为了网络应用的成功实践者之一，那你知道Cisco路由器常用配置命令吗?下面是读文网小编整理的一些关于Cisco路由器常用配置命令的相关资料，供你参考。

Cisco路由器常用配置命令之交换机设置IP地址：

switch(config)#interface vlan 1 ;进入

vlan 1switch(config-if)#ip address ;设置IP地址

switch(config)#ip default-gateway ;设置默认网关

switch#dir flash: ;查看闪存

思科是全球高端顶尖的通讯厂商，出产的路由器功能也是世界级的，那么你知道Cisco交换机常用的功能性命令吗?下面是读文网小编整理的一些关于Cisco交换机常用的功能性命令的相关资料，供你参考。

Cisco交换机常用的功能性命令1.在基于IOS的交换机上设置主机名/系统名:

switch(config)# hostname hostname

在基于CLI的交换机上设置主机名/系统名:

switch(enable) set system name name-string

Cisco交换机常用的功能性命令2.在基于IOS的交换机上设置登录口令:

switch(config)# enable password level 1 password

在基于CLI的交换机上设置登录口令:

switch(enable) set password

switch(enable) set enalbepass

Cisco交换机常用的功能性命令3.在基于IOS的交换机上设置远程访问:

switch(config)# interface vlan 1

switch(config-if)# ip address ip-address netmask

switch(config-if)# ip default-gateway ip-address

在基于CLI的交换机上设置远程访问:

switch(enable) set interface sc0 ip-address netmask broadcast-address

switch(enable) set interface sc0 vlan

switch(enable) set ip route default gateway

Cisco交换机常用的功能性命令4.在基于IOS的交换机上启用和浏览CDP信息:

switch(config-if)# cdp enable

switch(config-if)# no cdp enable

为了查看Cisco邻接设备的CDP通告信息:

switch# show cdp interface [type modle/port]

switch# show cdp neighbors [type module/port] [detail]

在基于CLI的交换机上启用和浏览CDP信息:

switch(enable) set cdp {enable|disable} module/port

为了查看Cisco邻接设备的CDP通告信息:

switch(enable) show cdp neighbors[module/port] [vlan|duplex|capabilities|detail]

Cisco交换机常用的功能性命令5.基于IOS的交换机的端口描述:

switch(config-if)# description description-string

基于CLI的交换机的端口描述:

switch(enable)set port name module/number description-string

Cisco交换机常用的功能性命令6.在基于IOS的交换机上设置端口速度:

switch(config-if)# speed{10|100|auto}

在基于CLI的交换机上设置端口速度:

switch(enable) set port speed moudle/number {10|100|auto}

switch(enable) set port speed moudle/number {4|16|auto}

Cisco交换机常用的功能性命令7.在基于IOS的交换机上设置以太网的链路模式:

switch(config-if)# duplex {auto|full|half}

在基于CLI的交换机上设置以太网的链路模式:

switch(enable) set port duplex module/number {full|half}

Cisco交换机常用的功能性命令8.在基于IOS的交换机上配置静态VLAN:

switch# vlan database

switch(vlan)# vlan vlan-num name vla

switch(vlan)# exit

switch# configure teriminal

switch(config)# interface interface module/number

switch(config-if)# switchport mode access

switch(config-if)# switchport access vlan vlan-num

switch(config-if)# end

在基于CLI的交换机上配置静态VLAN:

switch(enable) set vlan vlan-num [name name]

switch(enable) set vlan vlan-num mod-num/port-list

Cisco交换机常用的功能性命令9. 在基于IOS的交换机上配置VLAN中继线:

switch(config)# interface interface mod/port

switch(config-if)# switchport mode trunk

switch(config-if)# switchport trunk encapsulation {isl|dotlq}

switch(config-if)# switchport trunk allowed vlan remove vlan-list

switch(config-if)# switchport trunk allowed vlan add vlan-list

在基于CLI的交换机上配置VLAN中继线:

switch(enable) set trunk module/port [on|off|desirable|auto|nonegotiate]

Vlan-range [isl|dotlq|dotl0|lane|negotiate]

Cisco交换机常用的功能性命令10.在基于IOS的交换机上配置VTP管理域:

switch# vlan database

switch(vlan)# vtp domain domain-name

在基于CLI的交换机上配置VTP管理域:

switch(enable) set vtp [domain domain-name]

Cisco交换机常用的功能性命令11.在基于IOS的交换机上配置VTP 模式:

switch# vlan database

switch(vlan)# vtp domain domain-name

switch(vlan)# vtp {sever|cilent|transparent}

switch(vlan)# vtp password password

在基于CLI的交换机上配置VTP 模式:

switch(enable) set vtp [domain domain-name] [mode{ sever|cilent|transparent }][password password]

Cisco交换机常用的功能性命令12. 在基于IOS的交换机上配置VTP版本:

switch# vlan database

switch(vlan)# vtp v2-mode

在基于CLI的交换机上配置VTP版本:

switch(enable) set vtp v2 enable

Cisco交换机常用的功能性命令13. 在基于IOS的交换机上启动VTP剪裁:

switch# vlan database

switch(vlan)# vtp pruning

在基于CL I 的交换机上启动VTP剪裁:

switch(enable) set vtp pruning enable

Cisco交换机常用的功能性命令14.在基于IOS的交换机上配置以太信道:

switch(config-if)# port group group-number [distribution {source|destination}]

在基于CLI的交换机上配置以太信道:

switch(enable) set port channel moudle/port-range mode{on|off|desirable|auto}

Cisco交换机常用的功能性命令15.在基于IOS的交换机上调整根路径成本:

switch(config-if)# spanning-tree [vlan vlan-list] cost cost

在基于CLI的交换机上调整根路径成本:

switch(enable) set spantree portcost moudle/port cost

switch(enable) set spantree portvlancost moudle/port [cost cost][vlan-list]

Cisco交换机常用的功能性命令16.在基于IOS的交换机上调整端口ID:

switch(config-if)# spanning-tree[vlan vlan-list]port-priority port-priority

在基于CLI的交换机上调整端口ID:

switch(enable) set spantree portpri {mldule/port}priority

switch(enable) set spantree portvlanpri {module/port}priority [vlans]

Cisco交换机常用的功能性命令17. 在基于IOS的交换机上修改STP时钟:

switch(config)# spanning-tree [vlan vlan-list] hello-time seconds

switch(config)# spanning-tree [vlan vlan-list] forward-time seconds

` switch(config)# spanning-tree [vlan vlan-list] max-age seconds

在基于CLI的交换机上修改STP时钟:

switch(enable) set spantree hello interval[vlan]

switch(enable) set spantree fwddelay delay [vlan]

switch(enable) set spantree maxage agingtiame[vlan]

Cisco交换机常用的功能性命令18. 在基于IOS的交换机端口上启用或禁用Port Fast 特征:

switch(config-if)#spanning-tree portfast

在基于CLI的交换机端口上启用或禁用Port Fast 特征:

switch(enable) set spantree portfast {module/port}{enable|disable}

Cisco交换机常用的功能性命令19. 在基于IOS的交换机端口上启用或禁用UplinkFast 特征:

switch(config)# spanning-tree uplinkfast [max-update-rate pkts-per-second]

在基于CLI的交换机端口上启用或禁用UplinkFast 特征:

switch(enable) set spantree uplinkfast {enable|disable}[rate update-rate] [all-protocols off|on]

Cisco交换机常用的功能性命令20. 为了将交换机配置成一个集群的命令交换机,首先要给管理接口分配一个IP地址,然后使用下列命令: switch(config)# cluster enable cluster-name

看过文章“Cisco交换机常用的功能性命令"

cisco是全球领先且顶尖的通讯厂商，出产的路由器功能也是很出色的，那么你知道怎么cisco路由器上面配置SSH代替Telnet吗?下面是读文网小编整理的一些关于怎么cisco路由器上面配置SSH代替Telnet的相关资料，供你参考。

cisco路由器上面配置SSH代替的方法：

Telnet 到Cisco路由器进行远程管理是很多网管的选择，但是通过Telnet传输的数据都是明文，因此这种登录方式存在很大的安全隐患。一个恶意用户完全可能通过类似Sniffer这样的嗅探工具，在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码。

1、安全测试：

笔者在本地安装了sniffer，然后利用Telnet登录Cisco路由器。停止嗅探然后解码查看，如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了。虽然密码被拆分成了两部分，但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码。其实，不仅仅是这些，利用嗅探工具管理员所有在路由器上输入的命令都会被嗅探到。这样，就算是管理员更改了路由器的密码，并且进行了加密但都可以嗅探得到

从上面最后一行Data:后面的那个C就表示我们输入的第一个密码。再接着查看后面的几个Telnet Data数据包我们就可以看出它的密码。这样对于我们的网络来说是特别不安全的。

2、SSH的安全性

SSH 的英文全称是Secure Shell，是由芬兰的一家公司开发的。SSH由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。SSH的功能强大，既可以代替 Telnet，又可以为FTP、POP3和PPP提供一个安全的“通道”。使用SSH，可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时，数据经过压缩，大大地加快传输的速度。它默认的连接端口是22。通过使用SSH，可以把所有传输的数据进行加密，这样类似上面的“中间人” 攻击方式就不可能实现了，而且它也能够防止DNS和IP欺骗。另外，它还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。

3、SSH部署

基于上面的测试和SSH的安全特性，要实现Cisco路由器的安全管理用SSH代替Telnet是必要的。当然，要实现SSH对CISOC的安全管理，还需要在路由器上进行相关设置。下面笔者就在虚拟环境中演示SSH的部署、连接的技术细节。

(1).Cisco配置

下面是在Cisco上配置SSH的相关命令和说明：

R2(config)#ip domain-name cisco.com 配置一个域名

R2(config)#crypto key generate rsa general-keys modulus 1024 https://生成一个rsa算法的密钥，密钥为1024位

(提示：在Cisoc中rsa支持360-2048位，该算法的原理是：主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有的密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。)

The name for the keys will be: R2.cisco.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

R2(config)#

*Mar 1 00:09:46.607: %SSH-5-ENABLED: SSH 1.99 has been enabled

R2(config)#ip ssh time 120 设置ssh时间为120秒

R2(config)#ip ssh authentication 4 设置ssh认证重复次数为4，可以在0-5之间选择

R2(config)#line vty 0 4

R2(config-line)#transport input ssh 设置vty的登录模式为ssh，默认情况下是all即允许所有登录

R2(config-line)#login

R2(config-line)#

这样设置完成后，就不能telnet到Cisoc路由器了。

设置登录方式，然后点击“Open”。

而这里就是颁发给我们的证书。

R2(config)#aaa new-model 启用AAA

R2(config)#aaa authentication login default local 启用aaa认证，设置在本地服务器上进行认证

R2(config)#username cisco pass cisco 创建一个用户cisco并设置其密码为cisco用于SSH客户端登录

R2(config)#line vty 0 4

R2(config-line)#login authentication default 设置使用AAA的default来进行认证

R2(config-line)#exit

R2(config)#

好了现在就可以使用SSH登录了。

(2).SSH登录

上面设置完成后就不能Telnet到cisco了，必须用专门的SSH客户端进行远程登录。为了验证SSH登录的安全性，我们在登录的过程中启用网络抓包软件进行嗅探。

我采用的SSH客户端为PuTTY，启动该软件输入路由器的IP地址172.16.1.1，然后进行扥两个会弹出一个对话框，让我们选择是否使用刚才设置的 SSH密钥，点击“是”进入登录命令行，依次输入刚才在路由器上设置的SSH的登录用户及其密码cisco，可以看到成功登录到路由器。

然后我们查看嗅探工具抓包的结果，所有的数据都进行了加密，我们看不到注入用户、密码等敏感信息。由此可见，利用SSH可以确保我们远程登录Cisco路由器的安全。

总结：其实，SSH不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于SSH远程管理。另外，当下的 SSH工具不仅有命令行下的，也有一些GUI图形界面下的工具。网络管理，安全第一，SSH能够极大程度地预防来自“中间人”的攻击，希望本文对大家提升网络管理的安全性有所帮助帮助。

看过文章“怎么cisco路由器上面配置SSH代替Telnet"

思科cisco制造的路由器设备、交换机和其他设备承载了全球80%的互联网通信，成为硅谷中新经济的传奇，那么你知道cisco常用命令有哪些吗?下面是读文网小编整理的一些关于cisco常用命令的相关资料，供你参考。

cisco常用命令

1、Switch> 用户模式

2、Switch>enable 进入特权模式

Switch#

3、Switch#config terminal 进入全局模式

Switch(config)#

4、Switch(config)#interface f0/1 进入接口模式

Switch(config-if)#

5、Switch(config)#line console 0 进入line模式

Switch(config-line)#

exit 退回上层

end 结束所有操作

6、Switch(config)#hostname aaa 配置主机名

7、switch#show running-config 查看配置情况

8、Switch(config)#enable password 111 设置使能密码(明文)

9、Switch(config)#enable secret 111 设置使能密码(密文)

Switch(config)#line console 0 设置console密码

Switch(config-line)#password 333

Switch(config-line)#login

10、Switch(config)#interface vlan1

Switch(config-if)#ip address 192.168.1.1 255.255.255.0 设置IP地址

Switch(config-if)#no shutdown

11、Switch(config)#ip default-gateway 192.168.1.10 设置网关

12、Switch#show mac-address-table 查看MAC地址表

13、Switch#show cdp cdp全局配置信息

14、Switch#show cdp interface f0/1 cdp接口配置信息

15、Switch#show cdp traffic cdp包的配置信息

16、Switch#show cdp neighbors cdp邻居基本信息

17、Switch#show cdp neighbors detail cdp邻居详细信息

Switch#show cdp neighbors entry

18、Switch#copy running-config startup-config

Switch#write 保存交换机配置信息

19、Switch#erase startup-config 恢复出厂信息

Switch#reload 重新加载

20、交换机密码恢复

*断开电源

*按住MODE键，加电(等待数秒)

*switch:出现此符号

*switch:flash_init 初始化flash

*switch:dir flash: (查看文件，可省去)

*switch:rename config.text config.old 改名

*switch:boot 重启

*switch>enable 进入特权

*switch#dir flash: (查看文件，可省去)

*switch#rename config.old config.text改名

*switch#copy flash:config.text running-config 复制到系统内

*switch#confit terminal 进入全局模式

*switch(config)#enable password 222 设置新密码

21、switch#show vlan-sw brief 查看vlan

22、switch#vlan database 进入vlan模式

switch(vlan)#vlan 20 name bbb 创建vlan并命名

23、switch(vlan)#no vlan 20 删除vlan

24、添加端口到vlan(单个)

switch(config)#interface f0/1 进入接口模式

switch(config-if)#switchport access vlan 10 添加至vlan10

switch(config-if)#end 退出

switch#show vlan brief (id) 验证vlan

switch(config)#show running-config interface f0/1(查看某接口)

25、添加端口到vlan(批量)

switch(config)#interface range f0/1 - 5

switch(config-if-range)#switchport access vlan 10

26、switch(config)#interface f0/1 进入接口

switch(config-if)#switchport mode trunk 设置为trunk(永久)

switch(config-if)#switchport mode dynamic desirable/auto(其它trunk)

switch(config-if)#switchport trunk allowed vlan remove 10 移除vlan10)

switch(config-if)#switchport trunk allowed vlan add 20 添加vlan20

27、switch#show interface f0/1 switchport 查看接口模式

show ip interface brief

看过文章“cisco常用命令”

cisco制造的路由器设备、交换机和其他设备承载了全世界80%的互联网通信，成为硅谷中新经济的传奇，那么你了解Cisco常用的路由器交换机配置命令吗?下面是读文网小编整理的一些关于Cisco常用的路由器交换机配置命令的相关资料，供你参考。

Cisco常用的交换机支持的命令：

交换机基本状态：

switch： ;ROM状态， 路由器是rommon>

hostname> ;用户模式

hostname# ;特权模式

hostname(config)# ;全局配置模式

hostname(config-if)# ;接口状态

交换机口令设置：

switch>enable ;进入特权模式

switch#config terminal ;进入全局配置模式

switch(config)#hostname ;设置交换机的主机名

switch(config)#enable secret xxx ;设置特权加密口令

switch(config)#enable password xxa ;设置特权非密口令

switch(config)#line console 0 ;进入控制台口

switch(config-line)#line vty 0 4 ;进入虚拟终端

switch(config-line)#login ;允许登录

switch(config-line)#password xx ;设置登录口令xx

switch#exit ;返回命令

交换机VLAN设置：

switch#vlan database ;进入VLAN设置

switch(vlan)#vlan 2 ;建VLAN 2

switch(vlan)#no vlan 2 ;删vlan 2

switch(config)#int f0/1 ;进入端口1

switch(config-if)#switchport access vlan 2 ;当前端口加入vlan 2

switch(config-if)#switchport mode trunk ;设置为干线

switch(config-if)#switchport trunk allowed vlan 1，2 ;设置允许的vlan

switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继

switch(config)#vtp domain ;设置发vtp域名

switch(config)#vtp password ;设置发vtp密码

switch(config)#vtp mode server ;设置发vtp模式

switch(config)#vtp mode client ;设置发vtp模式

交换机设置IP地址：

switch(config)#interface vlan 1 ;进入vlan 1

switch(config-if)#ip address ;设置IP地址

switch(config)#ip default-gateway ;设置默认网关

switch#dir flash： ;查看闪存

交换机显示命令：

switch#write ;保存配置信息

switch#show vtp ;查看vtp配置信息

switch#show run ;查看当前配置信息

switch#show vlan ;查看vlan配置信息

switch#show interface ;查看端口信息

switch#show int f0/0 ;查看指定端口信息

看过文章“Cisco常用的路由器交换机配置命令”

cisco依靠自身的技术和对网络经济模式的深刻理解，使其成为了网络应用的成功实践者之一，其制造的路由器也是全球顶尖的，那么你知道SSH如何加强cisco路由器远程管理安全吗?下面是读文网小编整理的一些关于SSH如何加强cisco路由器远程管理安全的相关资料，供你参考。

SSH加强cisco路由器远程管理安全的方法：

安全测试

笔者在本地安装了sniffer，然后利用Telnet登录Cisco路由器。停止嗅探然后解码查看，如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了。虽然密码被拆分成了两部分，但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco路由器的登录密码。其实，不仅仅是这些，利用嗅探工具管理员所有在路由器上输入的命令都会被嗅探到。这样，就算是管理员更改了路由器的密码，并且进行了加密但都可以嗅探得到。(图1)

SSH的安全性

SSH的英文全称为Secure Shell，它默认的连接端口是22。通过使用SSH，可以把所有传输的数据进行加密，这样类似上面的“中间人”攻击方式就不可能实现了，而且它也能够防止DNS和IP欺骗。另外，它还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。

SSH部署

基于上面的测试和SSH的安全特性，要实现Cisco路由器的安全管理用SSH代替Telnet是必要的。当然，要实现SSH对CISOC的安全管理，还需要在路由器上进行相关设置。下面笔者就在虚拟环境中演示SSH的部署、连接的技术细节。

(1).Cisco配置

下面是在Cisco上配置SSH的相关命令和说明：

ra#config terminal

ra(config)#ip domain-name ctocio.com.cn

//配置一个域名

ra(config)#crypto key generate rsa general-keys modulus 1024

ra(config)#ip ssh time 120

//设置ssh时间为120秒

ra(config)#ip ssh authentication 4

//设置ssh认证重复次数为4，可以在0-5之间选择

ra(config)#line vty 0 4

//进入vty模式

ra(config-line)#transport input ssh

//设置vty的登录模式为ssh，默认情况下是all即允许所有登录

ra(config-line)#login

这样设置完成后，就不能telnet到Cisoc路由器了。(图3)

ra(config-line)#exit

ra(config)#aaa authentication login default local

//启用aaa认证，设置在本地服务器上进行认证

ra(config-line)#username ctocio password ctocio

//创建一个用户ctocio并设置其密码为ctocio用于SSH客户端登录

这样SSH的CISCO设置就完成了。

//生成一个rsa算法的密钥，密钥为1024位

(提示：在Cisoc中rsa支持360-2048位，该算法的原理是：主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有的密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。

(2).SSH登录

上面设置完成后就不能Telnet到cisco了，必须用专门的SSH客户端进行远程登录。为了验证SSH登录的安全性，我们在登录的过程中启用网络抓包软件进行嗅探。

笔者采用的SSH客户端为PuTTY，启动该软件输入路由器的IP地址192.168.2.1，然后进行扥两个会弹出一个对话框，让我们选择是否使用刚才设置的SSH密钥，点击“是”进入登录命令行，依次输入刚才在路由器上设置的SSH的登录用户及其密码ctocio，可以看到成功登录到路由器。(图4)

然后我们查看嗅探工具抓包的结果，如图所示所有的数据都进行了加密，我们看不到注入用户、密码等敏感信息。由此可见，利用SSH可以确保我们远程登录Cisco路由器的安全。(图5)

其实，SSH不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于SSH远程管理。

思科公司制造的路由器、交换机和其他设备承载了全球80%的互联网通信，成为了网络应用的成功实践者之一,那么你知道Cisco IOS如何配置SSH吗?下面是读文网小编整理的一些关于Cisco IOS如何配置SSH的相关资料，供你参考。

Cisco IOS配置SSH的方法：

1.IOS设备(如6500 MSFC、8500、7500)的配置：

a) 软件需求

IOS版本12.0.(10)S 以上 含IPSEC 56 Feature

推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本

基本上Cisco全系列路由器都已支持，但为运行指定版本的软件您可能需要相应地进行硬件升级

b) 定义用户

user mize pass nnwh@163.net

user sense secret ssn

d) 定义域名

ip domain-name mize.myrice.com //配置SSH必需

e) 生成密钥

crypto key generate rsa modulus 2048

执行结果：

f)指定可以用SSH登录系统的主机的源IP地址

g) 限制登录

2.CatOS(如6500/4000交换引擎)的配置：

a) 软件需求

运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件，如： cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.

8540/8510交换机支持SSH需要以上12.1(12c)EY版本软件。

3550交换机支持SSH需要12.1(11)EA1以上版本软件。

其他交换机可能不支持SSH.

b) 生成密钥

set crypto key rsa 2048

密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生成的密钥。

c) 限制管理工作站地址

如果服务的ip permit 处于disable状态，所有的连接将被允许(当然服务如telnet本身可能包含用户认证机制)。如果指定服务的ip permit 处于enable状态，则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型(ssh/telnet/snmp)]来定义

可用命令 show ip permit 来检查ip permit 的配置

某些服务可能存在安全漏洞(如http)或协议本身设计就是比较不安全的(如snmp、telnet)。如果服务不是必要的，可以将之关闭;如果服务是必须的，应采取措施保证这些服务仅向合法用户提供：

6500/4000交换引擎：

8500、7500、MSFC等IOS设备：

3.SSH 客户端

a) 从管理工作站登录

必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3， 也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法：

运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol(协议)： ssh1 Hostname(主机名)： 10.10.1.1 Port(端口)： 22 Username(用户名)： mize Ciper(加密方法)： 3DES Authentication(认证方式)assword 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once(只用一次)或Accept & Save (保存密钥以便下次使用)。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。

第二次登录点击File – Connect 点击连接10.10.1.1即可。

b) 从IOS设备用SSH协议登录其他设备

IOS设备也可以发起SSH连接请求(作为SSH Client)，从IOS设备登录支持3DES的IOS设备，使用以下命令(-l 指定用户名)：

ssh –l mize 10.10.3.3

从IOS设备登录支持 DES(56位)的IOS，使用以下命令(-c des指定1 des加密方式)：

ssh –c des –l mize 10.10.5.5

从IOS设备登录支持 3DES的CatOS， 如6509/4006的交换引擎，使用如下命令(无需指定用户名)：

ssh 10.10.6.6

4.限制telnet源地址

对于未支持SSH 的设备，可采取限制telnet源地址的方法来加强安全性。为了不致于增加一个管理员地址就要把所有的设备配置修改一遍，可以采用中继设备的方法，即受控设备只允许中继设备的telnet访问，中继设备则允许多个管理员以较安全的方法(如SSH)登录。

设置中继设备：

设置受控设备：

看过文章“Cisco IOS如何配置SSH”

cisco思科是全球领先的大品牌，相信很多人也不陌生，那么你知道cisco ipsec一些基本命令吗?下面是读文网小编整理的一些关于cisco ipsec一些基本命令的相关资料，供你参考。

cisco ipsec一些基本命令：

R1(config)#crypto ?

dynamic-map Specify a dynamic crypto map template

//创建或修改一个动态加密映射表

ipsec Configure IPSEC policy

//创建IPSec安全策略

isakmp Configure ISAKMP policy

//创建IKE策略

key Long term key operations

//为路由器的SSH加密会话产生加密密钥。后面接数值，是key modulus size，单位为bit

map Enter a crypto map

//创建或修改一个普通加密映射表

Router(config)#crypto dynamic-map ?

WORD Dynamic crypto map template tag

//WORD为动态加密映射表名

Router(config)#crypto ipsec ?

security-association Security association parameters

// ipsec安全关联存活期，也可不配置，在map里指定即可

transform-set Define transform and settings

//定义一个ipsec变换集合(安全协议和算法的一个可行组合)

Router(config)#crypto isakmp ?

client Set client configuration policy

//建立地址池

enable Enable ISAKMP

//启动IKE策略，默认是启动的

key Set pre-shared key for remote peer

//设置密钥

policy Set policy for an ISAKMP protection suite

//设置IKE策略的优先级

Router(config)#crypto key ?

generate Generate new keys

//生成新的密钥

zeroize Remove keys

//移除密钥

Router(config)#crypto map ?

WORD Crypto map tag

//WORD为map表名

二、一些重要命令。

Router(config)#crypto isakmp policy ?

<1-10000> Priority of protection suite

//设置IKE策略，policy后面跟1-10000的数字，这些数字代表策略的优先级。

Router(config)#crypto isakmp policy 100//进入IKE策略配置模式，以便做下面的配置

Router(config-isakmp)#encryption ?//设置采用的加密方式，有以下三种

3des Three key triple DES

aes AES - Advanced Encryption Standard

des DES - Data Encryption Standard (56 bit keys).

Router(config-isakmp)#hash ? //采用的散列算法，MD5为160位，sha为128位。

md5 Message Digest 5

sha Secure Hash Standard

Router(config-isakmp)#authentication pre-share//采用预共享密钥的认证方式

Router(config-isakmp)#group ?//指定密钥的位数，越往下安全性越高，但加密速度越慢

1 Diffie-Hellman group 1

2 Diffie-Hellman group 2

5 Diffie-Hellman group 5

Router(config-isakmp)#lifetime ? //指定安全关联生存期，为60-86400秒

<60-86400> lifetime in seconds

Router(config)#crypto isakmp key *** address XXX.XXX.XXX.XXX

//设置IKE交换的密钥，***表示密钥组成，XXX.XXX.XXX.XXX表示对方的IP地址

Router(config)#crypto ipsec transform-set zx ?

//设置IPsec交换集，设置加密方式和认证方式，zx是交换集名称，可以自己设置，两端的名字也可不一样，但其他参数要一致。

ah-md5-hmac AH-HMAC-MD5 transform

ah-sha-hmac AH-HMAC-SHA transform

esp-3des ESP transform using 3DES(EDE) cipher (168 bits)

esp-aes ESP transform using AES cipher

esp-des ESP transform using DES cipher (56 bits)

esp-md5-hmac ESP transform using HMAC-MD5 auth

esp-sha-hmac ESP transform using HMAC-SHA auth

例：Router(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

Router(config)#crypto map map_zx 100 ipsec-isakmp

//建立加密映射表，zx为表名，可以自己定义，100为优先级(可选范围1-65535)，如果有多个表，数字越小的越优先工作。

Router(config-crypto-map)#match address ?//用ACL来定义加密的通信

<100-199> IP access-list number

WORD Access-list name

Router(config-crypto-map)#set ?

peer Allowed Encryption/Decryption peer.//标识对方路由器IP地址

pfs Specify pfs settings//指定上面定义的密钥长度，即group

security-association Security association parameters//指定安全关联的生存期

transform-set Specify list of transform sets in priority order

//指定加密图使用的IPSEC交换集

router(config-if)# crypto map zx

//进入路由器的指定接口，应用加密图到接口，zx为加密图名。

三、一个配置实验。

实验拓扑图：

1.R1上的配置。

Router>enable

Router#config terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

//配置IKE策略

R1(config)#crypto isakmp enable

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#encryption des

R1(config-isakmp)#hash md5

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 1

R1(config-isakmp)#lifetime 86400

R1(config-isakmp)#exit

//配置IKE密钥

R1(config)#crypto isakmp key 123456 address 10.1.1.2

//创建IPSec交换集

R1(config)#crypto ipsec transform-set zx esp-des esp-md5-hmac

//创建映射加密图

R1(config)#crypto map zx_map 100 ipsec-isakmp

R1(config-crypto-map)#match address 111

R1(config-crypto-map)#set peer 10.1.1.2

R1(config-crypto-map)#set transform-set zx

R1(config-crypto-map)#set security-association lifetime seconds 86400

R1(config-crypto-map)#set pfs group1

R1(config-crypto-map)#exit

//配置ACL

R1(config)#access-list 111 permit ip 192.168.1.10 0.0.0.255 192.168.2.10 0.0.0.255

//应用加密图到接口

R1(config)#interface s1/0

R1(config-if)#crypto map zx_map

2.R2上的配置。

与R1的配置基本相同，只需要更改下面几条命令：

R1(config)#crypto isakmp key 123456 address 10.1.1.1

R1(config-crypto-map)#set peer 10.1.1.1

R1(config)#access-list 111 permit ip 192.168.2.10 0.0.0.255 192.168.1.10 0.0.0.255

3.实验调试。

在R1和R2上分别使用下面的命令，查看配置信息。

R1#show crypto ipsec ?

sa IPSEC SA table

transform-set Crypto transform sets

R1#show crypto isakmp ?

policy Show ISAKMP protection suite policy

sa Show ISAKMP Security Associations

四、相关知识点。

对称加密或私有密钥加密：加密解密使用相同的私钥

DES--数据加密标准 data encryption standard

3DES--3倍数据加密标准 triple data encryption standard

AES--高级加密标准 advanced encryption standard

一些技术提供验证：

MAC--消息验证码 message authentication code

HMAC--散列消息验证码 hash-based message authentication code

MD5和SHA是提供验证的散列函数

对称加密被用于大容量数据，因为非对称加密站用大量cpu资源

非对称或公共密钥加密：

RSA rivest-shamir-adelman

用公钥加密，私钥解密。公钥是公开的，但只有私钥的拥有者才能解密

两个散列常用算法：

HMAC-MD5 使用128位的共享私有密钥

HMAC-SHA-I 使用160位的私有密钥

ESP协议：用来提供机密性，数据源验证，无连接完整性和反重放服务，并且通过防止流量分析来限制流量的机密性，这些服务以来于SA建立和实现时的选择。

加密是有DES或3DES算法完成。可选的验证和数据完整性由HMAC，keyed SHA-I或MD5提供

IKE--internet密钥交换：他提供IPSEC对等体验证，协商IPSEC密钥和协商IPSEC安全关联

实现IKE的组件

1：des，3des 用来加密的方式

2：Diffie-Hellman 基于公共密钥的加密协议允许对方在不安全的信道上建立公共密钥，在IKE中被用来建立会话密钥。group 1表示768位，group 2表示1024位

3：MD5，SHA--验证数据包的散列算法。RAS签名--基于公钥加密系统

看过文章“cisco ipsec一些基本命令”

cisco思科是全球领先的大品牌，相信很多人也不陌生，那么你知道cisco交换机上配置SSH吗?下面是读文网小编整理的一些关于cisco交换机上配置SSH的相关资料，供你参考。

cisco交换机上配置SSH：

在Cisco路由器产品系列中只有7200系列、7500系列和12000系列(GSR)等高端产品的IOS支持SSH.一般支持SSH的IOS版本文件名中都带有K3或者K4字样，K3 代表56bit SSH 加密，K4代表168bit SSH加密。如我省省网GSR 12016和12008上用的IOS 就是一个支持56bit SSH 加密的版本。

目前Cisco的产品只支持SSH-1，还不支持SSH-2.下面以GSR 12008为例详细介绍SSH-1的配置方法(斜体字为配置输入的命令)：

① 配置hostname和ip domain-name：

② 配置登录用户名和密码(以本地认证为例)：

在这两部分做完以后，用show run命令就能够看到：

③ 配置SSH服务：

这时候用show run命令可以看到：

用命令show ip ssh也能看到：

现在SSH服务已经启动，如果需要停止SSH服务，用以下命令：

④设置SSH参数

配置好了SSH之后，通过show run命令我们看到SSH默认的参数：超时限定为120秒，认证重试次数为3次，可以通过下面命令进行修改：

如果要把超时限定改为180秒，则应该用：

如果要把重试次数改成5次，则应该用：

这样，SSH已经在路由器上配置成功了，就能够通过SSH进行安全登录了

看过文章“cisco交换机上配置SSH”

cisco防火墙配置命令是有很大作用的，那么会用在哪里呢?下面由读文网小编给你做出详细的cisco防火墙配置命令应用介绍!希望对你有帮助!

思科产品与服务

硬件产品

以路由器，交换机，IOS软件为主，还有宽带有线产品、板卡和模块、内容网络、网络管理、光纤平台、网络安全产品与设备、网络存储产品、视频系统、IP通信系统、远程会议系统[8] 、无线产品、服务器 等。

1986年3月，思科公司向犹他州州立大学提供了世界上第一台路由产品——AGS(先进网关服务器)。

1994年，思科推出第一种面向客户端/服务器式工作组的智能Cisco Catalyst系列交换机，第一批新产品来自于对Crescendo的收购。

思科Nexus数据中心交换机

Catalyst系列交换机：1200、1600、1700、1900、2000、2100、2800、29xx、3000、35xx、37xx、40xx、45xx、5xxx、6xxx Cisco 2960、2960S、 2960G、 3560、 3560G、 3560E、 3560X、 3750、 3750G、 3750E、 3750X、 4900、 4500 and 6500 Series Cisco switches。

Nexus系列数据中心交换机：Nexus 1000V、Nexus 2000、Nexus 3000、Nexus 4000、Nexus 5000、Nexus 6000、Nexus 7000。

路由器：700、800、100x、1600、1700、1800、2500、2600、2800 、3600、3700 、3800、4500、4700、7000、7200、7500、7600、12000、ASR1000、ASR9000、CRS-1、CRS-3。

Cisco 800, Cisco 1800, Cisco 1900, Cisco 2800, Cisco 2900, Cisco 3800, Cisco 3900, Cisco 7200 and Cisco 7600 Series Cisco routers等等。

思科UCS服务器

DWDM：ONS15系列( 如15454)

接入点：340、350、1100、1200、1300

防火墙：

PIX：PIX-501、PIX-506、PIX-515、PIX-525、PIX-535。

ASA：ASA5505、ASA5510、ASA5512、ASA5520、ASA5540、ASA5550、ASA5580-20、ASA5580-40、ASA5585-X-SSP10、ASA5585-X-SSP20、ASA5585-X-SSP40、ASA5585-X-SSP60。

思科模块和网卡：Cisco AIM Module、 WIC WAN Card、VIC Voice Card、 VWIC Voice Card、 HWIC WAN Card、 ISR G2 SM Module、 NM Network Module,、PVDM Voice Module、4500 Switch Module、 6500 Switch Module、 7200 Router Module、 7600 Router Module。

思科光学模块：Cisco X2 module、XFP module、GBIC module、XENPAK module、SFP GLC Module、OADM EWDM module。

思科腾讯通界面

WAN交换机：IGX 8400系列、PBX8600系列、MGX 8850边缘交换机、MGX 8220边缘线器。

AS5xxx 远程访问服务器(RAS)

AS5xxx 系列VoIP网关

无线IP电话：7920。

IP电话：3951、7905、7906、7911、7940、7941、7942G、7960、7961、7970、7971、7985和9971。

UCS服务器: 思科统一计算系统 (Unified Computing Systems) 包括B系列刀片服务器、C系列机架式服务器以及M系列模块化服务器， UCS阵列互联以及阵列扩展器，服务器适配器(I/O，GPU，存储加速器)，UCS Invicta设备以及相应的UCS数据中心管理软件(UCS Manager, UCS Director)等。

软件产品

思科腾讯通：是RTX腾讯通的一个插件。它是思科和腾讯公司共同推出的集成原RTX腾讯通的即时通信界面和思科企业级统一通信服务的解决方案。原有RTX腾讯通用户的使用习惯不变。用户通过思科腾讯通可以了解联系人状态，拨打高清视频和音频电话，召开在线会议或视频会议，使用可视语音邮件等等。

思科IOS(Internetwork Operating System)：思科网络操作系统，用于其大多数路由器和交换机产品[12] 。

WebEx：网络会议软件[13] 。

NX-OS (Nexus Operating System)：数据中心Nexus系列交换机操作系统。

看了“cisco防火墙配置命令应用在哪”文章的还看了：