Cisco路由器,交换机实用资料

资料 来源自网络,仅用于交流! ***************************************************************************** 详述Cisco 路由器 的时间控制策略的应用 在校园网的管理中,客户端的访问控制是重要的一环,我们经常使用Access-list来进行控制,如果和时间相

资料来源自网络,仅用于交流!

*****************************************************************************

详述Cisco路由器的时间控制策略的应用

在校园网的管理中,客户端的访问控制是重要的一环,我们经常使用Access-list来进行控制,如果和时间相结合,控制起来将更加灵活。Cisco从IOS版本12.0开始引入基于时间的访问表,可以实现某个时间点或时间段的控制,如:我校控制"班班通"教室内的上网时间段为:每个工作日的早上8∶00到下午18∶00允许Web冲浪,其他时间禁止访问Internet。实现基于时间的访问表只需要两个步骤:第一步,定义一个时间范围;第二步,在访问表中用Time-range引用刚刚定义的时间范围。下面我们就详细介绍一下它的使用方法。

一、定义时间范围

定义时间范围又分为两个步骤。

1.使用Time-range命令来正确地指定时间范围。
格式:time-range time-range-name
Time-range-name 用来标志时间范围的,以便在访问表中进行引用。

2.使用Absolute或者一个或多个Periodic语句来定义时间范围,每个时间范围只能有一个Absolute语句,但它可以有多个Periodic语句。
(1)格式:absolute [start time date] [end time date]
Time以小时和分钟方式(hh:mm)输入时间。
Date以日、月、年方式输入日期。
如:absolute start 8:00 end 18:00
(2)格式:periodic days-of-the-
week hh:mm to [days-of-the-week] hh:mm
Days-of-the-week产生作用的某天或某几天;参数可以是单一的一天(如 Monday)某几天(Monday到 Friday)或Daily、Weekday或Weekend。

Daily从星期一到星期天。
Weekday从星期一到星期五。
Weekend星期六和星期日。
如:从星期六早上8∶00到星期天晚上18∶00
periodic weekend 8:00 to 18:00
一周中的每天8∶00到18∶00
periodic daily 8:00 to 18:00
从星期三的15∶00到星期六的8∶00
periodic wednesday 15:00 to saturday 8:00

二、在访问表中用Time-range引用刚刚定义的时间范围

如:ip access-list 101 permit any any eq 80 time-range time-range-name
Time-range-name是用Time-range定义的名称。

三、示例

目的:限制192.168.4.0的网络的Web冲浪,只允许其在2004年5月1日至2004年12月31日内,从星期一7∶00到星期五18∶00进行Web访问。

Interface FastEthernet 0
ip access-grop 101 in
time-range allow-http
absolute start 7:00 1 May 2004 end 18:00 31 December 2004
periodic weekday 7:00 to 18:00
ip access-list 101 permit tcp 192.168.4.0 0.0.0.255 any eq 80 time-range allow-http

最后一个语句将名称为Allow-http的时间范围应用到了扩展IP访问表中,只允许满足时间范围的进行Web冲浪。当然我们还可以进行其他方面的控制,这就看您的需求了。

其实,路由器作为网络层最重要的设备,给我们提供了许多手段来控制和维护网络,基于时间的访问表不仅可以控制网络的访问,还可以控制某个时间段的数据流量,只要我们发挥想像,就可以实现好多功能。

*******************************************************************************

Cisco交换机路由器口令恢复 Cisco交换机路由器口令恢复 (阅览 1679 次)

我想大家会经常忘掉交换机或者路由器口令,忘记了怎么来恢复口令呢?根据笔者的一些工程经验作了一些如下的总结:
交换机口令恢复的步骤
⒈连接交换机的console口到终端或PC仿真终端。用无Modem的直连线连接PC的串行口到交换机的console口。
⒉先按住交换机面板上的mode键,然后打开电源。
⒊初始化flash。
>flash_init
⒋更名含有password的配置文件。
>rename flash:config.text flash:config.old
⒌启动交换机
>boot
⒍进入特权模式。
>enable
⒎此时开机是已忽略password。
#rename flash:config.old flash:config.text
⒏copy配置文件到当前系统中。
#copy flash:config.text system:running-config
⒐修改口令。
#configure terminal
#enable secret
⒑保存配置。
#write
路由器口令恢复步骤
⒈连接路由器的console口到终端或PC仿真终端。用无Modem的直连线连接PC的串行口到路由器的console口。
⒉用show version命令显示并记录配置寄存器的值,通常为0x2102或0x102.如果用show version命令不能获得有关提示,可以查看类似的路由器来获得配置寄存器的值或用0x2102试试。
⒊关闭路由器的电源,然后再打开。
⒋在启动的前60秒内按Break键,你将会看到"〉"提示符(无路由器名),如果没有看到"〉"提示符,说明你没有正确发出Break信号,这时可检查终端或仿真终端的设置。
⒌在"〉"提示符下键入 o/r 0x42从Flash memory中引导或键入o/r 0x41从ROM中引导(注意:这里"o"是小写字母"O")。如果它有Flash且原封没动过,0x42是最好的设置,因为它是缺省值,仅当Flash被擦除或没有安装时使用0x41。如果用0x41,你可以查看或删除原配置,但你不能改变口令。
⒍在"〉"提示符下键入i,路由器将重新启动而忽略它保存的配置。
⒎在设置中的所有问题都回答"no"。
⒏在Router〉提示符下键入enable,你将进入特权用户Router#提示。
⒐查看口令,键入 show config
改变口令(在口令加密情况下),按照如下的步骤进行:
(a)键入config mem拷贝NVRAM到memory中;
(b)键入wr term;
(c)如果你作过enable secret xxxx, 执行下列命令:键入config term然后键入enable secret按Ctrl+Z;如果你没有作过enable secret xxxx,则键入enable password,Press Ctrl+Z;
(d)键入write mem提交保存改变;若删除配置,键入write erase。
⒑在Router#提示符下键入config term。
⒒键入config-register0x2102,或键入在第二步记录的值。
⒓按 Ctrl+Z退出编辑。
⒔在Router#提示符下键入reload命令,不需要做write memory。 

*********************************************************************************

 如何在CISCO路由器上禁止BT下载
  
   方法有多种,常见的有:
  
    1、找出ip做端口限速(这样做比较麻烦)
  
    2、用NBAR(非常好用)
  
    但是重新启动需要重新调用 tftp://130.130.122.123/bittorrent.pdlm 这个文件,所以还是用flash卡比较好。如果不调用文件,那就会发生没有match protocol bittorrent
  
  ip nbar pdlm tftp://130.130.122.123/bittorrent.pdlm
  
  class-map match-all bit
   match protocol bittorrent
  
  policy-map limit-bit
   class bit
   police cir 240000
   conform-action transmit
   exceed-action drop
  
  
  police cir 8000
   conform-action transimit
   exceed-action drop
  
  interface fastethernet 0/1
   service-policy input limit-bit (下载)
   service-policy output limit-bit(上传)
   ip nat outside
  
  interface fastethernet 0/0
   ip nat inside
  
  ip nat inside list 1 pool nbar-pool overload
  access-list 1 permit any
  ip nat pool nbar-pool
  
  
  8000 < 1k
  80000 < 4k 5k, 5k 5k
  160000 < 16K, 13K
  240000 <=22k, 24K
  800000 <=80K <100K

**********************************************************************************


Cisco路由器的安全配置简易方案

Author: BluShin
Auditor: Amy
E-mail:Yangtonguang@163.com
Version 1.0
Date: 2002-12-15


一,路由器访问控制的安全配置
1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。
2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
3,严格控制CON端口的访问。具体的措施有:
A,如果可以开机箱的,则可以切断与CON口互联的物理线路。
B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。
C,配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
Router(Config-line)#Login local
Router(Config-line)#Exec-timeoute 5 0
Router(Config-line)#access-class 1 in
Router(Config-line)#end
D,给CON口设置高强度的密码。
4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如:
Router(Config)#line aux 0
Router(Config-line)#transport input none
Router(Config-line)#no exec
5,建议采用权限分级策略。如:
Router(Config)#username BluShin privilege 10 G00dPa55w0rd
Router(Config)#privilege EXEC level 10 telnet
Router(Config)#privilege EXEC level 10 show ip access-list
6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。
7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。
8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如:
Router(Config)#ip ftp username BluShin
Router(Config)#ip ftp password 4tppa55w0rd
Router#copy startup-config ftp:
9,及时的升级和修补IOS软件。

二,路由器网络服务安全配置
1,禁止CDP(Cisco Discovery Protocol)。如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2,禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3,禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4,建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。如:
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
Router(Config)# ip http auth local
Router(Config)# no access-list 10
Router(Config)# access-list 10 permit 192.168.0.1
Router(Config)# access-list 10 deny any
Router(Config)# ip http access-class 10
Router(Config)# ip http server
Router(Config)# exit
5,禁止BOOTp服务。
Router(Config)# no ip bootp server
禁止从网络启动和自动从网络下载初始配置文件。
Router(Config)# no boot network
Router(Config)# no servic config
6,禁止IP Source Routing。
Router(Config)# no ip source-route
7,建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8,明确的禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9,禁止IP Classless。
Router(Config)# no ip classless
10,禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11,建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
Router(Config)# no access-list 70
Router(Config)# access-list 70 deny any
Router(Config)# snmp-server community MoreHardPublic Ro 70
Router(Config)# no snmp-server enable traps
Router(Config)# no snmp-server system-shutdown
Router(Config)# no snmp-server trap-anth
Router(Config)# no snmp-server
Router(Config)# end
12,如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 202.102.134.96
13,明确禁止不使用的端口。
Router(Config)# interface eth0/3
Router(Config)# shutdown

三,路由器路由协议安全配置
1,首先禁止默认启用的ARP-Proxy,它容易引起路由表的混乱。
Router(Config)# no ip proxy-arp 或者
Router(Config-if)# no ip proxy-arp
2,启用OSPF路由协议的认证。默认的OSPF认证密码是明文传输的,建议启用MD5认证。并设置一定强度密钥(key,相对的路由器必须有相同的Key)。
Router(Config)# router ospf 100
Router(Config-router)# network 192.168.100.0 0.0.0.255 area 100
! 启用MD5认证。
! area area-id authentication 启用认证,是明文密码认证。
!area area-id authentication message-digest
Router(Config-router)# area 100 authentication message-digest
Router(Config)# exit
Router(Config)# interface eth0/1
!启用MD5密钥Key为routerospfkey。
!ip ospf authentication-key key 启用认证密钥,但会是明文传输。
!ip ospf message-digest-key key-id(1-255) md5 key
Router(Config-if)# ip ospf message-digest-key 1 md5 routerospfkey
3,RIP协议的认证。只有RIP-V2支持,RIP-1不支持。建议启用RIP-V2。并且采用MD5认证。普通认证同样是明文传输的。
Router(Config)# config terminal
! 启用设置密钥链
Router(Config)# key chain mykeychainname
Router(Config-keychain)# key 1
!设置密钥字串
Router(Config-leychain-key)# key-string MyFirstKeyString
Router(Config-keyschain)# key 2
Router(Config-keychain-key)# key-string MySecondKeyString
!启用RIP-V2
Router(Config)# router rip
Router(Config-router)# version 2
Router(Config-router)# network 192.168.100.0
Router(Config)# interface eth0/1
! 采用MD5模式认证,并选择已配置的密钥链
Router(Config-if)# ip rip authentication mode md5
Router(Config-if)# ip rip anthentication key-chain mykeychainname
4,启用passive-interface命令可以禁用一些不需要接收和转发路由信息的端口。建议对于不需要路由的端口,启用passive-interface。但是,在RIP协议是只是禁止转发路由信息,并没有禁止接收。在OSPF协议中是禁止转发和接收路由信息。
! Rip中,禁止端口0/3转发路由信息
Router(Config)# router Rip
Router(Config-router)# passive-interface eth0/3
!OSPF中,禁止端口0/3接收和转发路由信息
Router(Config)# router ospf 100
Router(Config-router)# passive-interface eth0/3
5,启用访问列表过滤一些垃圾和恶意路由信息,控制网络的垃圾信息流。
Router(Config)# access-list 10 deny 192.168.1.0 0.0.0.255
Router(Config)# access-list 10 permit any
! 禁止路由器接收更新192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 in
!禁止路由器转发传播192.168.1.0网络的路由信息
Router(Config)# router ospf 100
Router(Config-router)# distribute-list 10 out
6,建议启用IP Unicast Reverse-Path Verification。它能够检查源IP地址的准确性,从而可以防止一定的IP Spooling。但是它只能在启用CEF(Cisco Express Forwarding)的路由器上使用。
Router# config t
! 启用CEF
Router(Config)# ip cef
!启用Unicast Reverse-Path Verification
Router(Config)# interface eth0/1
Router(Config)# ip verify unicast reverse-path
四,路由器审核安全配置

五,路由器其他安全配置
1,及时的升级IOS软件,并且要迅速的为IOS安装补丁。
2,要严格认真的为IOS作安全备份。
3,要为路由器的配置文件作安全备份。
4,购买UPS设备,或者至少要有冗余电源。
5,要有完备的路由器的安全访问和维护记录日志。
6,要严格设置登录Banner。必须包含非授权用户禁止登录的字样。
7,IP欺骗得简单防护。如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址(169.254.0.0/16);科学文档作者测试用地址(192.0.2.0/24);不用的组播地址(224.0.0.0/4);SUN公司的古老的测试地址(20.20.20.0/24;204.152.64.0/23);全网络地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any log
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any log
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any log
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any log
8,建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。如:
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.0.255 any
Router(Config)# access-list 101 deny ip any any log
Router(Config)# interface eth 0/1
Router(Config-if)# description "internet Ethernet"
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in
9,TCP SYN的防范。如:
A: 通过访问列表防范。
Router(Config)# no access-list 106
Router(Config)# access-list 106 permit tcp any 192.168.0.0 0.0.0.255 established
Router(Config)# access-list 106 deny ip any any log
Router(Config)# interface eth 0/2
Router(Config-if)# description "external Ethernet"
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 106 in
B:通过TCP截获防范。(这会给路由器产生一定负载)
Router(Config)# ip tcp intercept list 107
Router(Config)# access-list 107 permit tcp any 192.168.0.0 0.0.0.255
Router(Config)# access-list 107 deny ip any any log
Router(Config)# interface eth0
Router(Config)# ip access-group 107 in
10,LAND.C 进攻的防范。
Router(Config)# access-list 107 deny ip host 192.168.1.254 host 192.168.1.254 log
Router(Config)# access-list permit ip any any
Router(Config)# interface eth 0/2
Router(Config-if)# ip address 192.168.1.254 255.255.255.0
Router(Config-if)# ip access-group 107 in
11,Smurf进攻的防范。
Router(Config)# access-list 108 deny ip any host 192.168.1.255 log
Router(Config)# access-list 108 deny ip any host 192.168.1.0 log
12,ICMP协议的安全配置。对于进入ICMP流,我们要禁止ICMP协议的ECHO、Redirect、Mask request。也需要禁止TraceRoute命令的探测。对于流出的ICMP流,我们可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。
! outbound ICMP Control
Router(Config)# access-list 110 deny icmp any any echo log
Router(Config)# access-list 110 deny icmp any any redirect log
Router(Config)# access-list 110 deny icmp any any mask-request log
Router(Config)# access-list 110 permit icmp any any
! Inbound ICMP Control
Router(Config)# access-list 111 permit icmp any any echo
Router(Config)# access-list 111 permit icmp any any Parameter-problem
Router(Config)# access-list 111 permit icmp any any packet-too-big
Router(Config)# access-list 111 permit icmp any any source-quench
Router(Config)# access-list 111 deny icmp any any log
! Outbound TraceRoute Control
Router(Config)# access-list 112 deny udp any any range 33400 34400
! Inbound TraceRoute Control
Router(Config)# access-list 112 permit udp any any range 33400 34400
13,DDoS(Distributed Denial of Service)的防范。
! The TRINOO DDoS system
Router(Config)# access-list 113 deny tcp any any eq 27665 log
Router(Config)# access-list 113 deny udp any any eq 31335 log
Router(Config)# access-list 113 deny udp any any eq 27444 log
! The Stacheldtraht DDoS system
Router(Config)# access-list 113 deny tcp any any eq 16660 log
Router(Config)# access-list 113 deny tcp any any eq 65000 log
! The TrinityV3 System
Router(Config)# access-list 113 deny tcp any any eq 33270 log
Router(Config)# access-list 113 deny tcp any any eq 39168 log
! The SubSeven DDoS system and some Variants
Router(Config)# access-list 113 deny tcp any any range 6711 6712 log
Router(Config)# access-list 113 deny tcp any any eq 6776 log
Router(Config)# access-list 113 deny tcp any any eq 6669 log
Router(Config)# access-list 113 deny tcp any any eq 2222 log
Router(Config)# access-list 113 deny tcp any any eq 7000 log
13,建议启用SSH,废弃掉Telnet。但只有支持并带有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2仅支持SSH-V1。如下配置SSH服务的例子:
Router(Config)# config t
Router(Config)# no access-list 22
Router(Config)# access-list 22 permit 192.168.0.22
Router(Config)# access-list deny any
Router(Config)# username BluShin privilege 10 G00dPa55w0rd
! 设置SSH的超时间隔和尝试登录次数
Router(Config)# ip ssh timeout 90
Router(Config)# ip ssh anthentication-retries 2
Router(Config)# line vty 0 4
Router(Config-line)# access-class 22 in
Router(Config-line)# transport input ssh
Router(Config-line)# login local
Router(Config-line)# exit
!启用SSH服务,生成RSA密钥对。
Router(Config)# crypto key generate rsa
The name for the keys will be: router.blushin.org
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys .Choosing a key modulus greater than 512 may take a few minutes.
How many bits in the modulus[512]: 2048
Generating RSA Keys...
[OK]
Router(Config)#
************************************************************************

CISCO路由器常用配置命令大全
Access-enable  允许路由器在动态访问列表中创建临时访问列表入口

   Access-group  把访问控制列表(ACL)应用到接口上

   Access-list  定义一个标准的IP ACL

   Access-template  在连接的路由器上手动替换临时访问列表入口

   Appn  向APPN子系统发送命令

   Atmsig   执行ATM信令命令

   B   手动引导操作系统

   Bandwidth   设置接口的带宽

   Banner motd   指定日期信息标语

   Bfe   设置突发事件手册模式

   Boot system   指定路由器启动时加载的系统映像

   Calendar   设置硬件日历

   Cd   更改路径

   Cdp enable   允许接口运行CDP协议

   Clear   复位功能

   Clear counters   清除接口计数器

   Clear interface   重新启动接口上的件逻辑

   Clockrate   设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率

   Cmt   开启/关闭FDDI连接管理功能

   Config-register   修改配置寄存器设置

   Configure   允许进入存在的配置模式,在中心站点上维护并保存配置信息

   Configure memory   从NVRAM加载配置信息

   Configure terminal   从终端进行手动配置

   Connect   打开一个终端连接

   Copy   复制配置或映像数据

   Copy flash tftp   备份系统映像文件到TFTP服务器

   Copy running-config startup-config   将RAM中的当前配置存储到NVRAM

   Copy running-config tftp   将RAM中的当前配置存储到网络TFTP服务器上

   Copy tftp flash   从TFTP服务器上下载新映像到Flash

   Copy tftp running-config   从TFTP服务器上下载配置文件

   Debug   使用调试功能

   Debug dialer   显示接口在拨什么号及诸如此类的信息

   Debug ip rip   显示RIP路由选择更新数据

   Debug ipx routing activity   显示关于路由选择协议(RIP)更新数据包的信息

   Debug ipx sap   显示关于SAP(业务通告协议)更新数据包信息

   Debug isdn q921   显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程

   Debug ppp   显示在实施PPP中发生的业务和交换信息

   delete   删除文件

   Deny   为一个已命名的IP ACL设置条件

   Dialer idle-timeout   规定线路断开前的空闲时间的长度

   Dialer map   设置一个串行接口来呼叫一个或多个地点

   Dialer wait-for-carrier-time   规定花多长时间等待一个载体

   Dialer-group   通过对属于一个特定拨号组的接口进行配置来访问控制

   Dialer-list protocol   定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号

   Dir   显示给定设备上的文件

   Disable   关闭特许模式

   Disconnect   断开已建立的连接

   Enable   打开特许模式

   Enable password   确定一个密码以防止对路由器非授权的访问

  Enable password   设置本地口令控制不同特权级别的访问

   Enable secret   为enable password命令定义额外一层安全性 (强制安全,密码非明文显示)

   Encapsulation frame-relay   启动帧中继封装

   Encapsulation novell-ether   规定在网络段上使用的Novell独一无二的格式

   Encapsulation PPP   把PPP设置为由串口或ISDN接口使用的封装方法

   Encapsulation sap   规定在网络段上使用的以太网802.2格式Cisco的密码是sap

   End   退出配置模式

   Erase   删除闪存或配置缓存

   Erase startup-config   删除NVRAM中的内容

   Exec-timeout   配置EXEC命令解释器在检测到用户输入前所等待的时间

   Exit   退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC

   Exit   终止任何配置模式或关闭一个活动的对话和结束EXEC

   format   格式化设备

   Frame-relay local-dlci   为使用帧中继封装的串行线路启动本地管理接口(LMI)

   Help   获得交互式帮助系统

   History   查看历史记录

   Hostname   使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用

   Interface   设置接口类型并且输入接口配置模式

   Interface   配置接口类型和进入接口配置模式

   Interface serial   选择接口并且输入接口配置模式

   Ip access-group   控制对一个接口的访问

   Ip address   设定接口的网络逻辑地址

   Ip address   设置一个接口地址和子网掩码并开始IP处理

   Ip default-network   建立一条缺省路由

   Ip domain-lookup   允许路由器缺省使用DNS

   Ip host   定义静态主机名到IP地址映射

   Ip name-server   指定至多6个进行名字-地址解析的服务器地址

   Ip route   建立一条静态路由

   Ip unnumbered   在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程

   Ipx delay   设置点计数

   Ipx ipxwan   在串口上启动IPXWAN协议

   Ipx maximum-paths   当转发数据包时设置Cisco IOS软件使用的等价路径数量

   Ipx network   在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)

   Ipx router   规定使用的路由选择协议

   Ipx routing   启动IPX路由选择

   Ipx sap-interval   在较慢的链路上设置较不频繁的SAP(业务广告协议)更新

   Ipx type-20-input-checks   限制对IPX20类数据包广播的传播的接受

   Isdn spid1   在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)

   Isdn spid2   在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)

   Isdntch-type   规定了在ISDN接口上的中央办公区的交换机的类型

   Keeplive   为使用帧中继封装的串行线路LMI(本地管理接口)机制

   Lat   打开LAT连接

   Line   确定一个特定的线路和开始线路配置

   Line concole   设置控制台端口线路

   Line vty   为远程控制台访问规定了一个虚拟终端

   Lock   锁住终端控制台

   Login   在终端会话登录过程中启动了密码检查

   Login   以某用户身份登录,登录时允许口令验证

Logout   退出EXEC模式

   Mbranch   向下跟踪组播地址路由至终端

   Media-type   定义介质类型

   Metric holddown   把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间

   Mrbranch   向上解析组播地址路由至枝端

   Mrinfo   从组播路由器上获取邻居和版本信息

   Mstat   对组播地址多次路由跟踪后显示统计数字

   Mtrace   由源向目标跟踪解析组播地址路径

   Name-connection   命名已存在的网络连接

   Ncia   开启/关闭NCIA服务器

   Network   把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP

   Network   指定一个和路由器直接相连的网络地址段

   Network-number   对一个直接连接的网络进行规定

   No shutdown   打开一个关闭的接口

   Pad   开启一个X.29 PAD连接

   Permit   为一个已命名的IP ACL设置条件

   Ping   把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断

   Ping   发送回声请求,诊断基本的网络连通性

   Ppp   开始IETF点到点协议

   Ppp   authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定

   Ppp chap hostname   当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器

   Ppp chap password   设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制

   Ppp pap sent-username   对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password

   Protocol   对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可以是加强的IGRP

   Pwd   显示当前设备名

   Reload   关闭并执行冷启动;重启操作系统

   Rlogin   打开一个活动的网络连接

   Router   由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议

   Router igrp   启动一个IGRP的路由选择过程

   Router rip   选择RIP作为路由选择协议

   Rsh   执行一个远程命令

   Sdlc   发送SDLC测试帧

   Send   在tty线路上发送消息

   Service password-encryption   对口令进行加密

   Setup   运行Setup命令

   Show   显示运行系统信息

   Show access-lists   显示当前所有ACL的内容

   Show buffers   显示缓存器统计信息

   Show cdp entry   显示CDP表中所列相邻设备的信息

   Show cdp interface   显示打开的CDP接口信息

   Show cdp neighbors   显示CDP查找进程的结果

   Show dialer   显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息

   Show flash   显示闪存的布局和内容信息

   Show frame-relay lmi   显示关于本地管理接口(LMI)的统计信息

   Show frame-relay map   显示关于连接的当前映射入口和信息

   Show frame-relay pvc   显示关于帧中继接口的永久虚电路(pvc)的统计信息

   Show hosts   显示主机名和地址的缓存列表

Show interfaces   显示设置在路由器和访问服务器上所有接口的统计信息

   Show interfaces   显示路由器上配置的所有接口的状态

   Show interfaces serial   显示关于一个串口的信息

   Show ip interface   列出一个接口的IP信息和状态的小结

   Show ip interface   列出接口的状态和全局参数

   Show ip protocols   显示活动路由协议进程的参数和当前状态

   Show ip route   显示路由选择表的当前状态

   Show ip router   显示IP路由表信息

   Show ipx interface   显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数

   Show ipx route   显示IPX路由选择表的内容

   Show ipx servers   显示IPX服务器列表

   Show ipx traffic   显示数据包的数量和类型

   Show isdn active   显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息

   Show isdn ststus   显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态

   Show memory   显示路由器内存的大小,包括空闲内存的大小

   Show processes   显示路由器的进程

   Show protocols   显示设置的协议

   Show protocols   显示配置的协议。这条命令显示任何配置了的第3层协议的状态

   Show running-config   显示RAM中的当前配置信息

   Show spantree   显示关于虚拟局域网(VLAN)的生成树信息

   Show stacks   监控和中断程序对堆栈的使用,并显示系统上一次重启的原因

   Show startup-config   显示NVRAM中的启动配置文件

   Show ststus   显示ISDN线路和两个B信道的当前状态

   Show version   显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像

   Shutdown   关闭一个接口

   Telnet   开启一个telect连接

   Term ip   指定当前会话的网络掩码的格式

   Term ip netmask-format   规定了在show命令输出中网络掩码显示的格式

   Timers basic   控制着IGRP以多少时间间隔发送更新信息

   Trace   跟踪IP路由

   Username password   规定了在CHAP和PAP呼叫者身份验证过程中使用的密码

   Verify   检验flash文件

   where   显示活动连接

   Which-route   OSI路由表查找和显示结果

   Write   运行的配置信息写入内存,网络或终端

   Write erase   现在由copy startup-config命令替换

   X3   在PAD上设置X.3参数

   Xremote   进入XRemote模式


*********************************************************************************************

资料来源自网络,仅用于交流!

郑重声明:本文版权包含图片归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们(delete@yzlfxy.com)修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
昵称:
匿名发表
   
验证码: