資源描述:
《ccna security筆記》由會員上傳分享�,免費在線閱讀,更多相關內容在行業(yè)資料-天天文庫�����。
1���、CCNASECURITY筆記A)命令級別:a).Privilegeexeclevel1clearline*privilegeconfigurealllevel5router”all”就是把全局配置模式下的router這個命令下面的所有命令給于5級別��。如果不加all��,則只有router后面的命令在5級別可以使用��。意思是把原來exec下面的【包括#和>下面的��,不論是原來是什么級別的命令clearline*】移動到1級別去����。將高級別的命令放到級別的時候也要有先后順序的:比如:你要把router這個命令放到level1下面去����,但是你沒有把confi
2、gureterminal放過去�,你是看不到router命令的。因為路由器覺得router是在全名模式下的命令����,你必須要進入全局模式下才可以敲入router.如下圖:R1(config)>routerR1(config)>routeros1R1(config-router)>network192.168.1.10.0.0.0a0雖然進入到全名模式也是>這個符號�����,但是也要進入這種全局模式�����。才有router命令�。b).View命令集:將命令做成一集合�����,然后授權給某個用戶使用����。控制力度更強��。則此用戶只能使用此命令集中的命令�����。Rootview比15級
3���、別更強Aaanew-modeEablesecretwang/enblepasswang配置進入到rootview下面的密碼Rootview可以創(chuàng)建刪除VIEW,但是15級別不可以�����。Enableview(進入rootview)Parserviewyuan(創(chuàng)建一個view)Secretyeslabccies配置yuan這個子view下面的密碼Commandsexecincludeshowversion使用本地數據庫綁定VIEW先去掉aaanew-model只是為了演示���,其實一般都是用AAA做VIEW的授權Useryuanpasswordyua
4、nUseryuanviewyuanB)CISCO路由器的加密級別0,5,6,70是不加密5是MD56是在做VPN的時候加密的6:keyconfig-keypassword-encryptwang1245passworencryptionaescryptiskmapkey0yuanadd192.168.1.1最后變成:cryptoisakmpkey6ZFSNVVKfdcfcBKKBLZWDgVXGDaddress192.168.1.17是開啟了servicepassword-encrytionC)chatper認證不能夠使用enables
5�、ecret加密1.securitypasswordsmin-length2.noservicepassword-recovery【讓你無法找回running-config】就是讓用戶在重啟的時候無法進入ROMMON下面中破解密碼。3.priviligeexeclevel1clearline在ISR路由器上面有效保護IOS和configure的安全���。secureboot-image[加密保護隱藏IOS]secureboot-config【加密備份配置】只有CONSOLE進入才可以no掉����。6.loginblock-for10sattempt10
6����、within10s(10S內聯系登入10次,在10S內誰都不可以登入了)loginon-failurelogevery10(log和trap的區(qū)別�����,貌似有LOG就不可以有TRAP)logindelay2loginquiet-modeaccess-classadmin(由于第一句話在10S內誰都不可以登入了��,將管理員IP地址例外)ipaccess-liststandardadminpermit192.1681.1permit192.168.1.00.0.0.2558.rommon>bootIOSrouter#secureboot-config
7�����、restoreflash:/secure.cfgrouter#copyflash:/secure.cfgrunning-config9.console口默認是nologin的10.在做8O21.X和AUTH-PROXY只能使用AAAauthenticationdefaultgroupradius,不能使用命名的策略。11.tcp的小服務(servicetcp-small)�����,可以做TCP的PING���,對方時間回顯�����,字符回來等����,客戶端踢掉ctrl+shift+6,x.服務器端踢
掉cleartcptcb回話號(showtcpbrife)��。12.主
8�����、機算不算是有路由能力的設備��。routeprint可以看見主機的路由表��,但是不設置網關也可以上網��。對于主機����,如果網關的代理ARP關閉了,而且又不配網關�����,那么主機去往任何的非同以網段
