配置了日志服务器，CISCO 6509上就是没有telnet登录和 *** 作的日志

cisco 日志，只记录事件。至于 *** 作和登录，你需要配置起tacacs服务器（或acs服务器），然后在交换机配置AAA，给个7609的配置例子：
tacacs-server host 1112222111
aaa new-model
aaa authentication login default group tacacs+ local
aaa authentication login no-tacacs local
aaa authentication login no-password none
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa accounting commands 1 default stop-only group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
其中留意上面的command，cisco是通过tacacs对命令鉴权，才可以记录命令，还有，aaa只能起tacacs，radius是不支持命令鉴权的。

cisco交换机安全配置设定命令大全

思科交换机的安全怎么设置，下面为大家分交换机安全设置的配置命令，希望对同学们学习思科交换机有所帮助!

一、交换机访问控制安全配置

1、对交换机特权模式设置密码尽量采用加密和md5 hash方式

switch(config)#enable secret 5 pass_string

其中 0 Specifies an UNENCRYPTED password will follow

5 Specifies an ENCRYPTED secret will follow

建议不要采用enable password pass_sting密码，破解及其容易!

2、设置对交换机明文密码自动进行加密隐藏

switch(config)#service password-encryption

3、为提高交换机管理的灵活性，建议权限分级管理并建立多用户

switch(config)#enable secret level 7 5 pass_string7 /7级用户进入特权模式的密码

switch(config)#enable secret 5 pass_string15 /15级用户进入特权模式的密码

switch(config)#username userA privilege 7 secret 5 pass_userA

switch(config)#username userB privilege 15 secret 5 pass_userB

/为7级，15级用户设置用户名和密码，Cisco privilege level分为0-15级，级别越高权限越大

switch(config)#privilege exec level 7 commands

/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义

4、本地console口访问安全配置

switch(config)#line console 0

switch(config-line)#exec-timeout 5 0 /设置不执行命令 *** 作的超时时间，单位为分钟和秒

switch(config-line)#logging synchronous

/强制对d出的干扰日志信息进行回车换行，使用户输入的命令连续可见

设置登录console口进行密码验证

方式(1):本地认证

switch(config-line)#password 7 pass_sting /设置加密密码

switch(config-line)#login /启用登录验证

方式(2):本地AAA认证

switch(config)#aaa new-model /启用AAA认证

switch(config)#aaa authentication login console-in group acsserver local

enable

/设置认证列表console-in优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#line console 0

switch(config-line)# login authentication console-in

/调用authentication设置的console-in列表

5、远程vty访问控制安全配置

switch(config)#access-list 18 permit host xxxx

/设置标准访问控制列表定义可远程访问的PC主机

switch(config)#aaa authentication login vty-in group acsserver local

enable

/设置认证列表vty-in, 优先依次为ACS Server，local用户名和密码，enable特权密码

switch(config)#aaa authorization commands 7 vty-in group acsserver local

if-authenticated

/为7级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#aaa authorization commands 15 vty-in group acsserver local

if-authenticated

/为15级用户定义vty-in授权列表，优先依次为ACS Server,local授权

switch(config)#line vty 0 15

switch(config-line)#access-class 18 in /在线路模式下调用前面定义的标准ACL 18

switch(config-line)#exec-timeout 5 0 /设置不执行命令 *** 作的超时时间，单位为分钟和秒

switch(config-line)#authorization commands 7 vty-in /调用设置的授权列表vty-in

switch(config-line)#authorization commands 15 vty-in

switch(config-line)#logging synchronous

/强制对d出的干扰日志信息进行回车换行，使用户输入的命令连续可见

switch(config-line)#login authentication vty-in

/调用authentication设置的vty-in列表

switch(config-line)#transport input ssh

/有Telnet协议不安全，仅允许通过ssh协议进行远程登录管理

6、AAA安全配置

switch(config)#aaa group server tacacs+ acsserver /设置AAA服务器组名

switch(config-sg-tacacs+)#server xxxx /设置AAA服务器组成员服务器ip

switch(config-sg-tacacs+)#server xxxx

switch(config-sg-tacacs+)#exit

switch(config)# tacacs-server key paa_string /设置同tacacs-server服务器通信的密钥

二、交换机网络服务安全配置

禁用不需要的各种服务协议

switch(config)#no service pad

switch(config)#no service finger

switch(config)#no service tcp-small-servers

switch(config)#no service udp-small-servers

switch(config)#no service config

switch(config)#no service ftp

switch(config)#no ip >RADIUS(Remote Authentication Dial In User Service)是一种在网络接入服务器（Network Access
Server）和共享认证服务器间传输认证、授权和配置信息的协议。 RADIUS 使用 UDP 作为其传输协议。此外 RADIUS
也负责传送网络接入服务器和共享计费服务器间的计费信息。

RADIUS是分布式客户机/服务器系统，它保护网络不受未授权访问的干扰。在Cisco实现中，Radius客户机运行于路由器上，并向中央RADIUS服务器发出认证请求，这里的中央服务器包含了所有的用户认证和网络服务访问信息。Cisco利用其AAA安全模式支持RADIUS，RADIUS也可以用于其他AAA安全协议，比如，TACACS,KERBEROS或本地用户名查找，所有Cisco平台都支持RADIUS。
RADIUS 主要特征如下：
客户 / 服务器模式：网络接入服务器作为 RADIUS 的客户端，负责将用户信息传递给指定的 RADIUS
服务器，然后根据返回信息进行 *** 作。 RADIUS 服务器负责接收用户连接请求，认证用户后，返回所有必要的配置信息以便客户端为用户提供服务。 RADIUS
服务器可以作为其他 RADIUS 服务器或认证服务器的代理。
网络安全：客户端与 RADIUS
记帐服务器之间的通信是通过共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送。此外，任何用户口令在客户机和 RADIUS
服务器间发送时都需要进行加密过程，以避免有人通过嗅探非安全网络可得到用户密码。
灵活认证机制： RADIUS 服务器支持多种用户认证方法。当用户提供了用户名和原始口令后， RADIUS
服务器可支持 PPP PAP 或 CHAP, UNIX 登录和其它认证机制。
协议的可扩充性：所有的事务都是由不同长度的“属性－长度－值”的三元组构成的。新的属性值的加入不会影响到原有协议的执行。
RADIUS
通信的例子：
The following example assumes login authentication, exec
authorization, and start−stop exec accounting is implemented with RADIUS when a
user Telnets to a router, performs a command, and exits the router (other
management services are not available)

TACACS & TACACS+：Terminal Access Controller Access Control
System终端访问控制器访问控制系统。通过一个或多个中心服务器为路由器、网络访问控制器以及其它网络处理设备提供了访问控制服务。TACACS
支持独立的认证（Authentication）、授权（Authorization）和计费（Accounting）功能。
TACACS+应用传输控制协议（TCP），而RADIUS使用用户数据报协议（UDP）。
TACACS+ Traffic Example：
The following example assumes
login authentication, exec authorization, command authorization, start−stopexec
accounting, and command accounting is implemented with TACACS+ when a user
Telnets to a router,performs a command, and exits the router

---