Telnet是基于C/S模式的应用层服务，网络设备可以远程登陆和管理。网络设备充当telnet服务器，PC充当Telnet客户端，运行Telnet指令前必须保证主机和目标网络设备之间的网络是通的。由于telnet远程管理设备时口令和指令都是以明文传输的，安全性较差，因此选用SSH是更安全的解决方案。

交换机端口安全可以在一定程度上完成基于MAC地址的接入控制，需要结合粘滞MAC地址、端口最大MAC地址限制、端口安全MAC地址绑定、违规模式控制等来实现不同的安全控制方法。也就是说可以通过粘滞MAC地址等安全控制方法对接入端口进行控制。

环境

Cisco Packet Tracer

步骤

1. 配置设备名称

参考命令：


Router(config)#hostnamehostname
//ho

2. 配置路由器相关口令

（1）enable口令

用户模式→特权模式时使用

参考命令：

```
Router(config)#enable password words
Router(config)#enable secret words
//en secr 
```
说明：enablepassword设置的密码不加密，enable secret密码使用MD5加密。enable password和enable secret同时配置时后者生效，因此配置使能口令时，通常只配置enable secret。

（2）Telnet口令

远程登陆和管理交换机时使用的密码

参考命令：
```
Router(config)#line vty num1 num2
//lin v
Router(config-line)#password words
//pas
Router(config-line)#login
//logi
```
说明：num1和num2之间有空格，代表num1至num2（num1从0开始），这个范围有多少个整数路由器就同时允许多少个telnet客户端接入。

术语“ vty ”英文全称为Virtual teletype，既虚拟终端，用于获取对设备的Telnet 或 SSH访问，VTY 仅用于设备的入站连接，这些连接都是虚拟的，没有与之关联的硬件。

（3）Console口令

进入用户模式时使用

参考命令：


Router(config)#line console 0//进入其他配置模式
//lin con
Router(config-line)#password words//words是密码
//pas
Router(config-line)#login//注册

说明：该口令仅在使用console口配置路由时起作用。

（4）明文口令的加密 参考命令：


Router(config)#service password-encryption
//ser pas

说明：使用加密口令时，只会对文档中没有加密的口令进行简单的加密操作，已经加过密的口令不会进行二次加密，例如enable secret设置的密钥就不会进行二次加密：当启用口令加密服务后，之前配置和之后将要配置的未加密口令都会进行简单加密；当取消加密服务后（使用指令no service password-encryption），之后再配置未加密的口令时就不会再进行加密，而在服务取消前已经加过密的口令还是以加密形式显示。

3.完成路由器接口和PC的IP地址配置

参考命令：


Router(config)#interface type mod/num//进入特定接口
//in
Router(config-if)#ip address address mask//配置ip地址和子网掩码
//ip a
Router(config-if)#no shutdown
//n sh

说明：路由器接口默认为关闭状态，使用no shutdown可以打开，关闭时使用指令shutdown。

4.标语（Banner）的使用

参考命令：


Router(config)#banner motd line
//ba mo

如：UJN(config)#banner motd #Use of the device is specifically for authorized personnel#

说明：banner motd 命令后接一个空格和一个定界字符。随后输入代表标语消息的一行或多行文本（可以输入回车）。当该定界符再次出现时，即表明消息结束。定界符可以是未出现在消息中的任意字符。因此，经常使用"#" 之类的字符。

5.远程telnet管理路由器功能测试

测试任务：确认主机PC0到路由器之间的网络是连通的，然后在主机PC0的命令行窗口使用telnet 192.168.1.1指令测试主机到路由器的telnet服务有效性。

参考命令：

telnet ip-address

说明：登陆成功后系统提示输入密码，此处的密码为vty密码，即telnet口令。

6. 交换机管理地址配置

参考命令：


Switch(config)#interface vlanvlan-id//进入一个虚拟局域网接口
Switch(config-if)#ip addressip-address subnet-mask//设置交换机管理ip地址和对应子网掩码
Switch(config-if)#no shutdown//打开接口。这个只有vlan1需要操作，
Switch(config)#ip default-gateway ip-address//设置交换机默认网关
//ip de

7. 远程SSH管理交换机

参考命令：


Switch(config)#hostname words//SSH必须配置设备名称，不能使用默认名。
//联系注册一个账号的情景:输入账号密码，密码长度要求，
//发送到哪，发送注册信息时选择什么版本和协议发送，
//怎么和服务端建立连接。
Switch(config)#username words password words//words用户名/口令
//us  pas
Switch(config)#ip domain-name words//words是域名
//ip domain-n
Switch(config)#crypto key generate rsa//加密密钥生成加密长度
//cry  ge
Switch(config)#ip ssh version [1 | 2]//ssh版本号
Switch(config)#line vty number1 number2 //同时允许多少个ssh客户端接入
Switch(config-line)#transport input [none | *ssh* | telnet | all]//交换机连接主机的协议
//tra in 
Switch(config-line)#login local//在本地注册
//logi l

8. 远程SSH管理交换机功能测试

测试任务：

1、测试主机到交换机的网络连通性。

2、在PacketTracer模拟软件上命令行模式（CommandPrompt）

使用指令：ssh –l username IP-address。参考指令：ssh –l admin 192.168.1.10。

9. 启用交换机端口安全功能

switchport交换机端口

参考指令：


Switch(config)#interface type mod/num//进入特定接口
Switch(config-if)#switchport port-security//进入端口安全
//sw po
Switch(config-if)#switchport port-security maximum MAXIMUM//允许的最大MAC地址数
//sw po max
Switch(config-if)#switchport port-securityviolation[shutdown|protect| restrict]//安全违规模式第三章
//sw po violation sh
Switch(config-if)#switchport port-security mac-address MAC-ADDRESS//MAC-ADDRESS接口所连接的主机的mac地址
//sw po mac

说明：

1、交换机启用端口安全后默认违规模式为shutdown、默认允许的最大MAC地址数为1。 2、在PC命令行模式输入ipconfig /all可以查看主机的MAC地址。

10 .安全端口测试

测试任务：

1、在PC1命令行模式使用ping命令测试到路由器的连通性。连通。

2、然后断开PC1到SW的连接，将PC0接入SW交换机的Fa0/2端口，在PC0命令行模式使用ping命令测试到路由器的连通性。连通。

3、使用show port-security address，show port-security interface fastEthernet 0/2查看交换机端口安全状态。

11. 设备配置信息保存与清空

参考命令：


Router#copy running-config startup-config//保存
Router#erase startup-config
//清空，清空后需要重启设备
Router#reload

配置任务：先使用show startup-config查看设备的启动配置文件，然后执行保存，再使用show startup-config查看该文件。参考指令如下：


LJ#copy running-config startup-config 
Destination filename [startup-config]? 
//此处按回车键
Building configuration...
[OK]

成功保存后，使用reload指令重启路由器，启动完成后使用show running-config查看路由器的当前
配置文件。
使用erase startup-config清除启动配置文件，然后使用reload指令重启路由器，再次使用show 
running-config、show startup-config查看相关文件的变化。参考指令如下：


LJ#erase startup-config 
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]//此处按回车键
LJ#reload
Proceed with reload? [confirm]//此处按回车键
%SYS-5-RELOAD: Reload requested by console. Reload Reason: Reload Command.……

常用命令和快捷键

快捷键

常见热键和快捷方式
- Tab：完成已部分输入的命令或关键字的其余部分
- 向下箭头(Ctrl-P)：用于在前面用过的命令的列表中向前滚动向上箭头
- (Ctrl-N)：用于在前面用过的命令的列表中向后滚动
- Ctrl-C：放弃当前命令并退出配置模式
- Ctrl-Z：退出配置模式并返回到特权EXEC模式
- Ctrl-Shift-6：允许用户中断诸如ping或traceroute之类的IOS进程
- exit：路由器或交换机返回上一级模式；PC退出对路由器或交换机的管理

页面底端出现”-----More-----”
- 回车键：显示下一行
- 空格键：显示下一屏
- 任意键：返回当前工作模式

指令

指令	含义
arp –a	查看ARP表
arp -d	删除ARP条目
disable	由特权模式退出到用户模式
Exit	一级一级的退出（其-全-特-用）
End	直接退到特权模式
ctrl+Z	直接退到特权模式
no+指令，参数不需要输入	删除指令
Tab	完成已部分输入的命令或关键字的其余部分
Ctrl-P向下箭头	用于在前面用过的命令的列表中向前滚动
Ctrl-N向上箭头	用于在前面用过的命令的列表中向后滚动
Ctrl-Shift-6	允许用户中断诸如ping或traceroute之类的IOS进程
不完整命令+"?"	显示使用该命令可输入的所有关键字。？前无空格
ping	! . U
traceroute(tracert)	生成路径沿途成功到达的每一跳（即每一级路由设备）的列表
show running-config	显示配置的运行文件（show runn+tab）
show ip route	显示路由条目
show protocols	显示已配置的协议
show interfaces	显示接口状态
show arp	显示ARP表
show port-security address	查看交换机端口安全状态
show port-security interface +接口	查看交换机端口安全状态
ipconfig /all	查看主机的MAC地址

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/小小林熬夜学编程/article/detail/403947