文档介绍：Cisco路由器和交换机的安全设置
1、禁用不需要的服务:
no ip http server //这玩意儿的安全漏洞很多的
no ip source-route //禁用IP源路由,防止路由欺骗
no service finger //禁用finger服务
no ip bootp server //禁用bootp服务
no service udp-small-s //小的udp服务
no service tcp-small-s //禁用小的tcp服务
2、关闭CDP
no cdp run //禁用cdp
3、配置强加密与启用密码加密:
service password-encryption //对password密码进行加密
enable secret asdfajkls //配置强加密的特权密码
no enable password //禁用弱加密的特权密码
4、配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计
service timestamp log datetime localtime //配置时间戳为datetime方式,使用本地时间
logging //
logging //
access-list 98的主机进行通讯
no access-list 99 //在配置一个新的acl前先清空该ACL
access-list 99 permit
access-list 99 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
no access-list 98 //在配置一个新的acl前先清空该ACL
access-list 98 permit host
access-list 98 deny any log //log参数说明在有符合该条件的条目时产生一条logo信息
clock timezone PST-8 //设置时区
ntp authenticate //启用NTP认证
ntp authentication-key 1 md5 uadsf //设置NTP认证用的密码,使用MD5加密。需要和ntp server一致
ntp trusted-key 1 //可以信任的Key.
ntp acess-group peer 98 //设置ntp服务,ess-list 98条件的主机
ntp server key 1 //配置ntp server,,使用1号key做为密码
5、对带内管理行为进行限制:
snmp-munity HSDxdf ro 98//配置snmp只读通讯字,ess-list 98的主机进行通讯
line vty 0 4
access-class 99 in //使用acl 的源地址
login
password 0 asdfaksdlf //密码
exec-timeout 2 0 //配置虚终端超时参数,这里是2分钟
6、