A. 怎樣在思科有交換機上開啟telnet和ssh服務,並啟用AAA本地認證
思科低端設備,沒有ssh服務,只有客戶端。
1. Telnet服務開啟如下:
line vty 0 1
exec-timeout 5 0
transport input telnet
2.認證如下:
aaa new-model
aaa authentication login default group local
aaa authentication login no-tacacs local
aaa authentication login no-password none
aaa authentication enable default group
aaa authorization config-commands
aaa authorization exec default local
B. 思科路由器 login
首先要解釋一下login這個詞的含義!
login:用戶登陸的意思
在思科的設備上有兩種登錄方式:
一種是本地方式,使用console口;
一種是遠程方式(或者叫做網路方式):使用的是telnet等
1.默認情況下,思科的遠程訪問是禁止的。要想通過遠程方式(網路方式)訪問思科設備,必須要開啟允許遠程訪問的開關,這個開關就是login這個命令。開啟了login後,為了安全起見,還需要設置一個密碼才能完全正常的遠程訪問思科設備!
cisco(config)# line vty 0 4
cisco(config-line)# password cisco
cisco(config-line)# login
cisco(config-line)# exit
2.console方式:默認情況下不用做任何配置,就可以訪問思科設備。但是這樣就存在安全隱患,任何人只要有console線纜,連接電腦和思科設備,不用輸入任何信息,就可以直接登錄到思科設備上,為了消除這種影響,我們通常也會對console口做相似的配置。設置密碼,開啟login開關,就可以防止惡意登錄了!
cisco(config)# line console 0
cisco(config-line)#password cisco
cisco(config-line)# login
cisco(config-line)# exit
C. 思科路由器如何開telnet
在cisco路由器上設置TELNET的命令的操作方法和步驟如下:
1、第一步,在思科軟體中放置兩個路由器。
然後在路由器下方輸入名稱和IP地址,如下圖所示,然後進入下一步。
2、其次,完成上述步驟後,進入路由器R1的「CLI」窗口。
在「f0 / 0」介面上配置R1 IP地址,如下圖所示,然後進入下一步。
3、接著,完成上述步驟後,進入「line」模式並配置密碼。 然後使用login命令來調用「啟動」密碼,如下圖所示,然後進入下一步。
4、然後,完成上述步驟後,在R2路由器中,配置IP地址。隨後,使用「Telnet」命令測試兩個路由器的連通性,如下圖所示,然後進入下一步。
5、隨後,完成上述步驟後,在R2中為R1配置靜態主機名,具體的命令代碼如下圖紅框標注所示,然後進入下一步。
6、最後,完成上述步驟後,就可以在R2中進行「遠程登錄」和「ping」測試了,如下圖所示。這樣,問題就解決了。
第一種:telnet 119.97.5.128
這是一個公網上的ip,一般是不會啟用telnet這個協議的,因為telnet在傳播的時候都是明文,也就是說當中如果有人用抓包軟體,就可以直接知道你的用戶名和密碼,所以「不能打開到主機的連接, 在埠 23: 連接失敗」是因為路由器上沒有對外啟用這個協議
第二種:在網吧的時候試著登錄網吧的路由器提示的是什麼沒有許可權。
是說明這台路由器已經開放了這個埠,但是禁止其他人遠程連接而已。例如:
access-list 101 permit tcp host 192.168.0.10 host 192.168.0.254 eq 23
access-list 101 deny tcp any host 192.168.0.254 eq 23
第一個語句的意思就是只允許192.168.0.10這一個ip可以telnet到路由器192.168.0.254
第二個語句是拒絕所用ip地址telnet到這台路由器192.168.0.254這個ip
這個就是沒有許可權的原因了;另外telnet的埠為tcp的23號埠
D. 思科三層交換機如何開啟up
交換機應該默認是no shutdown狀態的,不過你還是可以再介面模式下敲個no shutdown試試。 另外注意你用的連線,如果對端是交換機,你用了直通線也可能導致這個問題。追問: no shutdown這個我知道,特權模式輸入show ip interface brief 顯示所有埠都是down,想讓所有的埠up回答: 要UP必須讓介面處於工作狀態,也就是必須連接可用的對端設備,你確定你的連線和對端設備都正常嗎?有Packet Tracer模擬文件嗎?追問:問題我已經解決了,原因是三層交換機的名字不能為空,所以導致異常
E. 請問以下幾條思科設備的命令分別是什麼意思起什麼作用請高手詳解,萬分感謝。
第一個命令是做埠鏡像,將po5上的會話信息映射到GI0/15上,通常用來監測源埠上的攻擊信息。
第二個命令的第一個:如果一個網段內有兩個路由器,而其中的一個是默認的網關,但是你要訪問的主機是接在另一台路由器上的,如果開啟第一個命令的話,數據包將會直接發到連接你要訪問的IP的路由器上,而不經過默認網關,關閉這個功能則強制數據包通過默認網關發送。
第二個是禁止不可達,這時一般會顯示為超時。
第三個為禁止直接廣播,如果開啟這個功能的話,其他網段的廣播信息將不再受路由器分隔廣播域的影響。
第四個為禁止arp代理,若開啟的話,路由器會代替主機相應ARP請求。
F. H3C交換機開啟cisco ISE認證(來個懂ISE的)
ISE上是沒有地方設置這些參數。
Radius本身的授權能提供結果要麼是Permit 要麼是Reject 。radius並不能控制你遠程接入的level。許可權是在設備本地定義或者設置的。
這里有兩種解決方案:
1、在user interface 下直接指定接入的許可權級別,如:privilege level 15,這樣,用戶通過對應的 user interface進入之後即可獲得相應的許可權級別。(15級是最高的許可權,有一定的風險哈)
2、定義一個非15級的級別,然後關聯一些必要的查詢命令或者配置命令。給最高級別設置一個密碼(網上查的是superpassword,就是敲system-view 的時候需要提供密碼,h3c應該有類似的功能吧,類似cisco 的enable 密碼)然後在user-interface中設置該級別為初始進入級別,所有人接入後有通用的許可權,管理員通過system-view提升許可權。
//具體的命令我這里沒有,我接觸的主要是思科的設備,對於h3c或者華為設備的命令行不是很熟悉。功能實現方面還得靠你自己查文檔或者找廠家支持了。
還有一方法不太確定,cisco的tacacs+是支持許可權控制的,可以在ise或者acs上面,設置對應的命令集合,然後給不同的人關聯不同的命令集合,以此實現許可權控制。(ISE可能需要license支持,還有就是,我不確定的值h3c的設備是不是支持tacacs+)
G. 怎麼把這種在cisco上打出來
進入Cisco交換機
enable
config terminal
int g1/0/1介面編號根據設備自身介面類型而定
switch mode trunk修改介面模式為trunk
sw trunk encapsulation dot1q配置封裝模式為dot1q
no shutdown思科設備介面默認是關閉的
exit退出,相當華為的quit
H. 思科官網能看到具體交換機路由器的參數嗎 都是英文看不懂 - - 求大神指教怎麼到參數那個界面
可以的
cisco官網左上角cisco logo右邊有個選項:procts&services,產品與服務
子選項procts有各種類型的產品:router、switch等等
以router為例,點進去之後以network edge(網路邊界)為例,點擊show procts
點一個設備進去,粗體Specifications at a Glance(簡要說明)就是設備參數