1.開啟SSH和Telnet
可以按需調用ACL來實現限制特定用戶遠程登錄
#
telnet server enable //開啟telnet遠程登錄功能
telnet server acl 3200 //telnet調用ACL規則
ssh server enable //開啟ssh遠程登錄功能
ssh server acl 3200 //ssh調用ACL規則
#
2.本地用戶設置
不通型號或版本可能有一點差異;部分型號的權限設置在服務類型后面
#
local-user admin //設置用戶名
authorization-attribute level 3 //設置用戶權限為管理員權限
service-type telnet ssh //設置服務類型 telnet ssh
password simple admin@123 //設置密碼,可選明文或密文;部分設備即使你選明文也會自動變為密文
#
local-user admin //設置用戶名
authorization-attribute user-role network-admin //設置用戶權限為管理員權限
service-type telnet ssh //設置服務類型 telnet ssh
passwork simple admin@123 //設置密碼,可選明文或密文;部分設備即使你選明文也會自動變為密文
#
local-user admin //設置用戶名
service-type telnet ssh level 3 //設置服務類型 telnet ssh並設置用戶權限為管理員權限
passwork simple admin@123 //設置密碼,可選明文或密文;部分設備即使你選明文也會自動變為密文
#
3.設置用戶驗證方式
#
user-interface vty 0 4 //同時登錄設備的第0個到第4個用戶共同的登錄方式和認證方式,可按需調整用戶數
authentication-mode scheme //調用本地用戶名密碼進行遠程登錄驗證
protocol inbound all //配置vty用戶允許的協議 可以不配 默認就是放通telnet和ssh
idle-timeout 6 //設置6分鍾超時退出
#
line vty 0 64 //同時登錄設備的第0個到第64個用戶共同的登錄方式和認證方式,可按需調整用戶數
authentication-mode scheme //調用本地用戶名密碼進行遠程登錄驗證
protocol inbound all //配置vty用戶允許的協議 可以不配 默認就是放通telnet和ssh
idle-timeout 6 //設置6分鍾超時退出
quit
#
4.設置console口密碼登錄
不同型號或版本可能有點差異;部分型號可能需要手動更改權限,一般默認為管理員權限
#
user-interface aux 0 //一般console口的序號為0 堆疊或多主控板的話就有多個
authentication-mode password //驗證方式為密碼驗證
set authentication password simple admin@123 //設置密碼,可選擇明文或密文,有些設備即使你選擇明文 也會自動變成密文
#
line aux 0 //一般console口的序號為0 堆疊或多主控板的話就有多個
authentication-mode password //驗證方式為密碼驗證
set authentication password simple admin@123 //設置密碼,可選擇明文或密文,有些設備即使你選擇明文 也會自動變成密文
#
5.設備口令復雜度、密碼使用期限、登錄失敗策略等配置
部分設備可能不支持部分或全部;部分設備默認就開啟了一定的密碼管理功能
#
password-control enable //使能全局密碼管理功能
password-control length 8 //設置最小密碼長度為8個字符
password-control aging 365 //全局的密碼老化時間為365天
password-control expired-user-login delay 60 times 5 //用戶密碼過期后的60天內允許登錄5次
password-control login-attempt 10 exceed lock-time 10 //密碼可嘗試的失敗次數為10次,10次以后被鎖定10分鍾不可用
password-control composition type-number 2 type-length 3 //密碼元素的最少組合類型為2種,至少包含每種元素的個數為3個
#
6.在物理口或vlan三層口下調用ACL對用戶的訪問進行限制
在物理口下配置只在該端口生效,在vlan口下配置會在所有划分了該vlan的物理口生效
#
interface GigabitEthernet1/0/48
port access vlan 10
packet-filter 3200 inbound //在入方向調用ACL規則
#
interface Vlan-interface10
packet-filter 3200 inbound //在入方向調用ACL規則
#
7.開啟STP功能
不同型號或版本可能有一點差異,一般默認就是開啟的且為MSTP模式
#
stp enable
#
stp global enable
#
stp priority 4096 //默認優先級為32768,一般不需要修改,想要讓特定設備為根橋則把優先級改小,步長為4096,越小越優
#
8.在接入層設備上把直接連終端的端口設置為邊緣端口
#
interface GigabitEthernet1/0/48
stp edged-port enable
#
9.開啟icmp超時報文發送、目的不可達報文發送功能
#
ip ttl-expires enable //開啟icmp超時報文發送功能
#
ip unreachables enable //目的不可達報文發送功能
#
10.設置NTP服務器
廣泛用於網絡設備的遠程管理和操作
#
ntp-service unicast server 192.168.1.1 source vlan-interface 1 //后面源端口可配可不配
#
11.設置SNMP(簡單網絡管理協議)
廣泛用於網絡設備的遠程管理和操作
#
snmp-agent //啟動snmp功能
snmp-agent community write simple admin@123 //創建snmp寫團體字
snmp-agent community read simple admin123 //創建snmp讀團體字
snmp-agent sys-info version all //配置設備支持的snmp版本 有v1 v2c v3 all可選
snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname admintest v2c
//配置trap信息發送參數,地址為接收trap報文的主機或服務器;admintest為安全參數名稱 v2c為支持的版本
#
12.開啟lldp功能
#
lldp global enable //開啟該功能后,設備可知曉與之相連的其他設備的互聯信息
#