思科路由器命令的功能,帮忙看下下边命令实现的功能

思科路由器命令的功能,帮忙看下下边命令实现的功能,第1张

CISCO路由器配置手册任务命令设置用户名和密码username username password password

设置用户的IP地址池ip local pool {default | pool-name low-ip-address [high-ip-address]}

指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]

基本接口设置命令:任务命令设置封装形式为PPPencapsulation ppp

启动异步口的路由功能async default routing

设置异步口的PPP工作方式async mode {dedicated | interactive}

设置用户的IP地址peer default ip address {ip-address | dhcp | pool [pool-name]}

设置IP地址与Ethernet0相同ip unnumbered ethernet0line

拨号线设置:任务命令设置modem的工作方式modem {inout|dialin}

自动配置modem类型modem autoconfig discovery

设置拨号线的通讯速率speed speed

设置通讯线路的流控方式flowcontrol {none | software [lock] [in | out] | hardware [in | out]}连通后自动执行命令autocommand command

访问服务器设置如下:Router:hostname Routerenable secret 5 $1$EFqU$tYLJLrynNUKzE4bx6fmH//!interface Ethernet0ip address 10111420 2552552550!interface Async1ip unnumbered Ethernet0encapsulation pppkeepalive 10async mode interactivepeer default ip address pool Cisco2511-Group-142!ip local pool Cisco2511-Group-142 10111421 10111436!line con 0exec-timeout 0 0password cisco!line 1 16modem InOutmodem autoconfigure discoveryflowcontrol hardware!line aux 0transport input allline vty 0 4password cisco!end  相关调试命令:show interfaceshow line12       Access Server通过Tacacs服务器实现安全认证:使用一台WINDOWS NT服务器作为Tacacs服务器,地址为1011142,运行Cisco2511随机带的Easy ACS 10软件实现用户认证功能相关设置:任务命令激活AAA访问控制aaa new-model用户登录时默认起用Tacacs+做AAA认证aaa authentication login default tacacs+列表名为no_tacacs使用ENABLE口令做认证aaa authentication login no_tacacs enable

Cisco
ACS支持Windows
Active
Directory,
Novell
NDS等目录服务器,下面以Cisco
ACS与Windows
2000
的Active
Directory集成为例,介绍一下配置步骤:

1.
配置Cisco
5350,和其他Router成为
ACS的AAA
Client

Network
Configuration----输入5350
ip
address;
Key:
Cisco;
Authenticate
Using
:
Tacacs+(Cisco
IOS)

2
配置用户名/口令数据库

Exterternal
User
Databases-----〉Unknown
User
Policy--->Check
the
following
external
user
database--->Select
Windows
NT/2000---->Sumit

External
User
Database----〉database
configuration
----->
windows
NT/2000
----->
Dial
permission
,check
grant
dialin
permission--->
sumit

3.配置ACS
group
mapping,
以配置授权

由于使用Windows
Active
directory的用户名作为认证,因此配置此用户的授权由ACS的组完成,然后将此group与Windows
Active
directory的组映射。

External
User
Database----〉database
configuration-----
windows
2000-----〉configure-----〉add
config
domain-list
,local----->sumit

External
User
Database----〉database
group
mapping-----〉windows
nt/2000---domain
,local-

Add
mapping----Windows
users
group,
Cisco
acs
group
group1-----
sumit

4.Cisco
5350和Router的配置

对于Router,配置ACS认证,授权。

配置一个本地的用户名/口令,防止在ACS认证失败后,使用此用户名/口令。
Router#username
localusr
pass
usrpass
Router#config
terminal

配置ACS认证
Router(config)#aaa
new-model
Router(config)#aaa
authentication
login
vty-login
group
tacacs
local

配置ACS授权
Router(config)#aaa
authorization
exec
exec-vty
group
tacacs

指定ACS
Server地址
Router(config)#tacacs
host
acsipaddress
key
Cisco

应用到VTY上
Router(config)#
line
vty
0
4
Router(config-line)#login
authentication
vty-login
Router(config-line)#authorization
exec
exec-vty

对于Cisco
5350
访问服务器,除了上述步骤外,还需增加如下步骤 Router#aaa
authentication
ppp
default
group
tacacs
local

TACACS+ 使用TCP端口49,包括三种独立的协议,如果需要,能够在独立的服务器上实现。
TACACS+提供了多协议支持,如IP和AppleTalk一般 *** 作都对数据包进行全部加密,以提供更安全的通信,这是一个Cisco对最初的TACACS协议提供的专有的改进。
TACACS+ *** 作中使用使用APPLETALK和 NETBIOS

按照端口号的大小分类,可分为如下几类 :

(1)公认端口(WellKnownPorts):从0到1023,它们紧密绑定(binding)于一些服务。通常这些端口的通讯明确表明了某种服务的协议。例如:80端口实际上总是>

(2)注册端口(RegisteredPorts):从1024到49151。它们松散地绑定于一些服务。也就是说有许多服务绑定于这些端口,这些端口同样用于许多其它目的。例如:许多系统处理动态端口从1024左右开始。

(3)动态和/或私有端口(Dynamicand/orPrivatePorts):从49152到65535。理论上,不应为服务分配这些端口。实际上,机器通常从1024起分配动态端口。但也有例外:SUN的RPC端口从32768开始。

扩展资料

各种服务常用端口号:

1,>

2,SOCKS代理协议服务器常用端口号:1080

3,FTP(文件传输)协议代理服务器常用端口号:21

4,Telnet(远程登录)协议代理服务器常用端口号:23

5,>

6,>

7,Telnet(不安全的文本传送),默认端口号为23/tcp(木马Tiny Telnet Server所开放的端口)

8,FTP,默认的端口号为21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口)

9,TFTP(Trivial File Transfer Protocol),默认端口号为69/udp

10,SSH(安全登录)、SCP(文件传输)、端口号重定向,默认的端口号为22/tcp

11,SMTP Simple Mail Transfer Protocol(E-mail),默认端口号为25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口)

12,POP3 Post Office Protocol(E-mail),默认端口号为110/tcp

13,Webshpere应用程序,默认端口号为9080

14,webshpere管理工具,默认端口号9090

15,JBOSS,默认端口号为8080

16,TOMCAT,默认端口号为8080

17,WIN2003远程登录,默认端口号为3389

18,Symantec AV/Filter for MSE,默认端口号为 8081

19,Oracle 数据库,默认的端口号为1521

20,ORACLE EMCTL,默认的端口号为1158

21,Oracle XDB(XML 数据库),默认的端口号为8080

22,Oracle XDB FTP服务,默认的端口号为2100

23,MS SQLSERVER数据库server,默认的端口号为1433/tcp 1433/udp

24,MS SQLSERVER数据库monitor,默认的端口号为1434/tcp 1434/udp

aaa authentication login test tacacs+ 启用AAA登陆认证,test为列表名,TACACS+为认证方法aaa authentication login default group tacacs+ 配置默认的登陆访问。aaa authentication login 配置一个或多个认证方法列表。group tacacs+ 的作用是指示交换机使用一个全部为TACACS+服务器的列表来执行认证。AAA支持5种授权方法:1、TACACS+ 服务器/客户端模式的方法2、RADIUS 服务器/客户端模式的方法3、If-authenticated 成功为该用户授权4、None 为相应接口禁用授权功能5、Local 用户名和密码的本地数据库

CISCOPIX防火墙基础
六、提供用户鉴别
用户的鉴别和授权用到内部网络中的RADIUS或TACACS+服务器以符合相应的安全策略
用户的鉴别(AUTHENCATION)是鉴别访问用户的身份,而授权(AUTHORIZATION)则是决定用户能够使用主机的哪些服务。
对于服务器上的配置,你必须指明哪些用户能够访问你的网络,可以使用哪些服务,可以服务哪些主机系统等,一旦有了这些信息后,你就可以在PIX防火墙上打开或关闭相应的用户鉴别和授权。
此外,你可以配置防火墙去允许用户访问到特定的主机或服务。如果在防火墙上配置了这些,就有可能导致防火墙与验证服务器之间数据信息的不一致。如果你使用了用户鉴别和授权功能,防火墙就会为使用FTP、TELNET、>

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/13433515.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-08-05
下一篇 2023-08-05

发表评论

登录后才能评论

评论列表(0条)

保存