小型局域网(telnet、ssh登录&端口安全)

1.交换机、路由器改名:

<Huawei>system-view     \\进入系统视图

[Huawei]sysname LSW1     \\修改主机名称为LSW1

[LSW1]

2.配置IP地址:

< LSW1>system-view   \\进入系统视图

[LSW1]interface Vlanif 1   \\进入端口视图

[LSW1-Vlanif1]ip address 192.168.0.1 24  \\配置IP地址

3.配置各交换机的Console用户界面和VTY用户界面:

A.Console用户

[LSW3]user-interface console 0      \\进入Console用户界面视图

[LSW3-ui-console0]authentication-mode password   \\设置Console用户界面需要进行密码验证

[LSW3-ui-console0]set authentication password simple Huawei                \\配置密码为Huawei,且密码明文显示在配置文件中,如需要密文,将该命令中的simple关键字换成cipher

[LSW3-ui-console0]idle-timeout 30   \\配置超时时间为30分(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)

B.VTY用户

[LSW3]user-interface vty 0 4  \\进入VTY用户视图(线路0-4)

[LSW3-ui-vty0-4]protocol inbound telnet   \\配置接入类型为Telnet(默认为Telnet)

[LSW3-ui-vty0-4]authentication-mode password   \\配置验证方式为密码(默认为密码验证)

[LSW3-ui-vty0-4]set authentication password simple Huawe1  \\配置密码为Huawe1,且密码明文显示在配置文件中,如需要密文,将该命令中的simple关键字换成cipher

[LSW3-ui-vty0-4]user privilege level 15      \\配置VTY用户的权限为15级(默认为0级)

[LSW3-ui-vty0-4]idle-timeout 30 40    \\配置超时时间为30分40秒(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)

4.在S7的E0/0/1上配置端口安全;最大安全MAC地址数量为1;将Server1的MAC地址静态绑定在E0/0/1;保护动作为关闭;启用Sticky MAC功能

[S7]interface Eth0/0/1                                     \\进入端口视图

[S7-Ethernet0/0/1]port-security enable                  \\开启端口安全

[S7-Ethernet0/0/1]port-security max-mac-num 1          \\将最大安全MAC地址数量设置为1

[S7-Ethernet0/0/1]port-security mac-address sticky      \\开启Sticky MAC功能

[S7-Ethernet0/0/1]port-security mac-address sticky 5678-5678-5678 vlan 1              \\将MAC地址5678-5678-5678静态绑定在本端口上(注:一个MAC地址只能绑定在一个端口上)

[S7-Ethernet0/0/1]port-security protect-action shutdown  \\配置保护动作为关闭

5.在S5的E0/0/1-E0/0/22上配置端口安全;最大安全MAC地址数量为5;安全MAC地址获取方式为交换机自动学习;保护动作为保护;启用Sticky MAC功能

[S7]port-group 1                    \\建立编号为1端口组

[S7-port-group-1]group-member e0/0/1 to e0/0/22   \\将e0/0/1到e0/0/22加入到本端口组,对端口组执行的命令会同步执行在该端口组内的所有端口上

[S7-port-group-1]port-security enable

[S7-port-group-1]port-security max-mac-num 5

[S7-port-group-1]port-security mac-address sticky

[S7-port-group-1]port-security protect-action protect

6.在AR2上配置VTY用户界面

A 配置本地用户接入类型为SSH,验证方式为AAA验证,设置用户超时断连功能,设置用户界面断连的超时时间为30分钟40秒

[AR2]rsa local-key-pair create  \\创建秘钥对

The key name will be: S6_Host

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

it will take a few minutes.

Input the bits in the modulus[default = 512]:   \\配置秘钥长度,可以直接回车,直接回车设置秘钥长度为默认长度,512,也可以输入数字,越大越安全,但秘钥长度越大,计算量越大,对设备压力也就越大

Generating keys...

.....................................++++++++++++

........++++++++++++

.++++++++

..........++++++++

[AR2]stelnet server enable      \\开启SSH

Info: Succeeded in starting the Stelnet server.

[AR2]user-interface vty 0 4  \\进入VTY用户视图(线路0-4)

[AR2-ui-vty0-4]protocol inbound ssh   \\配置接入类型为ssh(默认为Telnet)

[AR2-ui-vty0-4]authentication-mode aaa   \\配置验证方式为aaa(默认为密码验证)

[AR2-ui-vty0-4]idle-timeout 30 40    \\配置超时时间为30分40秒(默认为10分钟,该命令第一个参数为分钟,第二个参数为秒,若只有一个参数,则系统认为是在设定分钟,两个参数均输入0,则为永不超时)

B 进入AAA配置视图,创建用户为SSH服务,用户名为szabc,密码为szabc,密码明文显示用户等级为15级

[AR2]aaa                               \\进入AAA视图

[AR2-aaa]local-user szabc password simple szabc    \\创建用户

Info: Add a new user.

[AR2-aaa]local-user szabc service-type ssh      \\指定用户的用途

[AR2-aaa]local-user szabc privilege level 15    \\配置用户的权限

[AR2-aaa]quit

[AR2]ssh user szabc authentication-type password   \\将SSH协议与用户和认证密码关联起来

C 验证:在AR1上测试,看能否使用SSH协议远程访问AR2。

[AR1]ssh client first-time enable  \\SSH客户端初始设置

[AR1]stelnet 192.168.0.2   \\通过SSH远程访问192.168.0.2

7 检验配置

1 可以查看相关配置,看是否符合要求。在相应端口下,执行display this命令,可以查看该端口所有配置,

2 使用Ping命令,在配置了端口安全的端口上产生一些流量,然后来查看安全MAC表项。

可以在系统视图使用display mac-address sticky+端口号命令查看相应端口的安全MAC表项(注意:若未开启Sticky MAC功能,需要使用display mac-address security+端口号命令查看相应端口的安全动态MAC表项)。

原文地址:https://www.cnblogs.com/Jtbb/p/12513216.html

时间: 2024-10-06 18:19:23

小型局域网(telnet、ssh登录&端口安全)的相关文章

更新服务器ssh登录端口

对于经常使用的服务器来讲,安全性能是很高的,默认的服务器ssh登录端口是22,但是为了安全性能,我们需要去更新服务器的登录窗口 修改方法为: 登录服务器后 #sudo vi /etc/ssh/sshd_config 里面的port 22改成port 端口号 改完之后重新启动SSH服务,/etc/init.d/ssh restart 这样重新登录以后,则需要添加端口号信息才能进行登录服务器 eg:ssh [email protected] -p 端口号

Linux修改SSH登录端口

Linux的默认登录端口为:22,为系统安全运维都会将端口改成其它端口. 假如我们修改的端口为:3000 1.首先要配置防火墙,允许此端口通行. -A INPUT -p tcp --dport 6000 -j ACCEPT 2.修改sshd端口 vi /etc/ssh/sshd_config Port 6000 #修改端口 3.重启sshd服务 /etc/init.d/sshd restart

Ubuntu SSH 登录

Linux是多用户操作系统,我们经常需要远程登录我们Linux服务器,今天就和大家分享一下Ubuntu系统SSH-Servier的配置 查看是否安装了SSHD服务 sudo ps -e | grep ssh 如果所有输出,则说明安装了SSHD,则跳过安装SSH-Server步骤,如果没有则需要安装SSH-Server,进行如下命令 安装SSH-Server 使用如下命令: 1 sudo apt-get install ssh-server 输入管理员密码,在交互式终端输入Y就可以安装了. 再次查

ssh登录命令(转)

转:http://blog.csdn.net/edward_qing_lee/article/details/23133331 常用格式:ssh [-l login_name] [-p port] [[email protected]]hostname更详细的可以用ssh -h查看. 举例 不指定用户: ssh 192.168.0.11 指定用户: ssh -l root 192.168.0.11 ssh [email protected] 如果修改过ssh登录端口的可以: ssh -p 123

Ubuntu14.04 telnet 和ssh登录

总结 telnet http://blog.sina.com.cn/s/blog_7b76548d0100rxgr.html 在Ubuntu下的telnet服务需要安装xinetd服务和telnetd服务 1. apt-get install xinetd 2. apt-get install telnetd 修改/etc/inetd.conf和/etc/xinetd.conf文件并创建/etc/xinetd.d/telnet 3. gedit /etc/inetd.conf 添加:telnet

华为交换机配置telnet和SSH登录设备(简单实用版)

Telnet是Internet远程登陆服务的标准协议和主要方式.它为用户提供了在本地计算机上完成远程主机工作的能力.在终端使用者的电脑上使用telnet程序,用它连接到服务器.终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样.可以在本地就能控制服务器.要开始一个telnet会话,必须输入用户名和密码来登录服务器.Telnet是常用的远程控制Web服务器的方法,极大的提高了用户操作的灵活性. 测试拓扑图 配置telnet: 1.1普通认证登录

Linux修改SSH远程登录端口 --服务器安全篇

p.p1 { margin: 0.0px 0.0px 0.0px 0.0px; font: 14.0px SimSun; color: #333333; background-color: #ffffff } span.s1 { } span.s2 { color: #ff0000 } 1.修改SSH远程登录端口为5000 输入 vi/etc/ssh/sshd_config Port 5000                        #把'#Port 22'修改为'Port 5000':(

使用ping钥匙临时开启SSH:22端口,实现远程安全SSH登录管理就这么简单

设置防火墙策略时,关于SSH:22访问权限,我们常常会设置服务器只接受某个固定IP(如公司IP)访问,但是当我们出差或在家情况需要登录服务器怎么办呢? 常用两种解决方案:1.通过VPN操作登录主机: 2.使用ping钥匙临时开启远程主机SSH:22端口: 我们今天就讨论第2种方案,阐述如何通过ping钥匙来临时打开SSH:22的访问权限 原理: recent 模块可以记录最近访问者IP,常利用此功能做DROP策略应对syn-flood及ddos攻击.但在本例中我们反其道,利用recent模块做A

局域网内ssh免密码任意登录

简介 运维人员在管理服务器的时候,为了方便批量管理,就会使用一些工具或小技巧,比如puppet,ansible,saltstack,expect,当然还有做ssh公钥私钥免密码登录.本文介绍的就是ssh免密码登陆的情况. 通常情况下,大家是拿一台或两台服务器做跳板机(或者叫堡垒机),用来管理局域网内的其他服务器(数量一般为几台到几十台,太多的话用ssh效率就太低了),做法是在跳板机上生成一对公钥私钥,然后把公钥分发到其他服务器上,放到对应用户的.ssh目录下,网上这样的文章很多,这里就不再一一赘