1.开启SSH和Telnet

可以按需调用ACL来实现限制特定用户远程登录

#

telnet server enable      //开启telnet远程登录功能

telnet server acl 3200       //telnet调用ACL规则

ssh server enable      //开启ssh远程登录功能

ssh server acl 3200      //ssh调用ACL规则

#

2.本地用户设置

不通型号或版本可能有一点差异;部分型号的权限设置在服务类型后面

#

local-user admin       //设置用户名

    authorization-attribute level 3     //设置用户权限为管理员权限

    service-type telnet ssh           //设置服务类型  telnet  ssh

    password simple admin@123      //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文

#

local-user admin       //设置用户名

    authorization-attribute user-role network-admin      //设置用户权限为管理员权限

    service-type telnet ssh       //设置服务类型  telnet  ssh

    passwork simple admin@123        //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文

#

local-user admin      //设置用户名

    service-type telnet ssh   level 3      //设置服务类型  telnet  ssh并设置用户权限为管理员权限

    passwork simple admin@123       //设置密码,可选明文或密文;部分设备即使你选明文也会自动变为密文

#

3.设置用户验证方式

#

user-interface vty 0 4      //同时登录设备的第0个到第4个用户共同的登录方式和认证方式,可按需调整用户数

    authentication-mode scheme   //调用本地用户名密码进行远程登录验证

    protocol inbound all    //配置vty用户允许的协议 可以不配 默认就是放通telnet和ssh

    idle-timeout 6     //设置6分钟超时退出

#

 line vty 0 64      //同时登录设备的第0个到第64个用户共同的登录方式和认证方式,可按需调整用户数

     authentication-mode scheme      //调用本地用户名密码进行远程登录验证

     protocol inbound all    //配置vty用户允许的协议 可以不配 默认就是放通telnet和ssh

     idle-timeout 6      //设置6分钟超时退出

 quit

#

4.设置console口密码登录

不同型号或版本可能有点差异;部分型号可能需要手动更改权限,一般默认为管理员权限

#

user-interface aux 0       //一般console口的序号为0  堆叠或多主控板的话就有多个

    authentication-mode password    //验证方式为密码验证

    set authentication password simple admin@123   //设置密码,可选择明文或密文,有些设备即使你选择明文 也会自动变成密文

#

line aux 0        //一般console口的序号为0  堆叠或多主控板的话就有多个

    authentication-mode password    //验证方式为密码验证

    set authentication password simple admin@123   //设置密码,可选择明文或密文,有些设备即使你选择明文 也会自动变成密文

#

5.设备口令复杂度、密码使用期限、登录失败策略等配置

部分设备可能不支持部分或全部;部分设备默认就开启了一定的密码管理功能

#

password-control enable    //使能全局密码管理功能

password-control length 8      //设置最小密码长度为8个字符

password-control aging 365      //全局的密码老化时间为365天

password-control expired-user-login delay 60 times 5      //用户密码过期后的60天内允许登录5次

password-control login-attempt 10 exceed lock-time 10     //密码可尝试的失败次数为10次,10次以后被锁定10分钟不可用

password-control composition type-number 2 type-length 3      //密码元素的最少组合类型为2种,至少包含每种元素的个数为3个

#

6.在物理口或vlan三层口下调用ACL对用户的访问进行限制

在物理口下配置只在该端口生效,在vlan口下配置会在所有划分了该vlan的物理口生效

#

interface GigabitEthernet1/0/48

    port access vlan 10

    packet-filter 3200 inbound      //在入方向调用ACL规则

#

interface Vlan-interface10

    packet-filter 3200 inbound      //在入方向调用ACL规则

#

7.开启STP功能

不同型号或版本可能有一点差异,一般默认就是开启的且为MSTP模式

#

stp enable

#

stp global enable

#

stp priority 4096      //默认优先级为32768,一般不需要修改,想要让特定设备为根桥则把优先级改小,步长为4096,越小越优

#

8.在接入层设备上把直接连终端的端口设置为边缘端口

#

interface GigabitEthernet1/0/48

      stp edged-port enable

#

9.开启icmp超时报文发送、目的不可达报文发送功能

#

ip ttl-expires enable      //开启icmp超时报文发送功能

#

ip unreachables enable      //目的不可达报文发送功能

#

10.设置NTP服务器

广泛用于网络设备的远程管理和操作

#

ntp-service unicast server 192.168.1.1 source vlan-interface 1   //后面源端口可配可不配

#

11.设置SNMP(简单网络管理协议)

广泛用于网络设备的远程管理和操作

#

snmp-agent       //启动snmp功能

snmp-agent community write simple admin@123      //创建snmp写团体字

snmp-agent community read simple admin123       //创建snmp读团体字

snmp-agent sys-info version all      //配置设备支持的snmp版本 有v1    v2c    v3    all可选

snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname admintest v2c     

 //配置trap信息发送参数,地址为接收trap报文的主机或服务器;admintest为安全参数名称   v2c为支持的版本

#

12.开启lldp功能

#

lldp global enable    //开启该功能后,设备可知晓与之相连的其他设备的互联信息

#