一、常用命令
配置模式下:
no logging console #关闭屏幕实时显示日志,不影响到日志buffer里(show logging)logging console #打开屏幕实时日志显示logging on #默认是打开的,打开日志功能logging buffered [size] [level] #设置buffer的存储空间大小和级别logging trap 7 #设置发送到日志服务器的级别是7,默认是6
二、日志输出的目的地
- console
插入console线方式进入到cli窗口,窗口默认实时显示log。 可通过no logging console关闭显示,不会影响到log输出到其他目的地
- vty lines
通过vty方式登陆,想要看到此方式登陆的窗口显示日志,需要输入#terminal monitor命令实时显示log 此命令当前有效,窗口关闭再打开,需要重新敲命令才可实时显示日志
- Buffer
日志本地缓存,即show logging看到的内容就是,重启设备就会消失 配置模式下logging buffered 9999 7 #9999为buffer的缓存大小,单位:Byte字节,默认是4MB, 7为日志记录的级别,7代表debugging级别(最小级别),即日志所有的1-7级别都记录
- SNMP server
as
- Syslog server
将设备日志发送到指定syslog服务器,服务器接收端口默认是UDP:514配置模式下:logging host 192.168.1.2 #指定syslog服务器地址logging trap 7 #默认发送的是6,日志符合什么等级就发送(大的包含小的级别)
三、SNMP简单介绍
3.1 SNMP三大组件
- SNMP manager
- SNMP Agent
- MIB:Management Information Base
3.2 SNMP操作类型
- GET
- SET
- Trap
3.3 CISCO SNMPv2基本配置
#基本Trap配置snmp-server enable traps #开启snmp trap功能(主动上报)snmp-server host a.b.c.d trap public #主动向snmpServer发送,团体字为publicsnmp-server host a.b.c.d version 2c public #snmp-server location ShangHai #可描述设备所在地,不重要snmp-server contact lsl #联系人,不重要 #基本Get/Set设置snmp-server community public ro #设置团体字为public(自定义密码),只读权限snmp-server community public rw #生物质团体字为public(自定义密码),读写权限
3.4 CISCO SNMPv3基本配置
snmp-server group testgrp v3 priv #创建v3组名testgrp为最高级别(需要完整性校验和加密)snmp-server user lisl testgrp v3 auth md5 123456789012 priv des 123456789012 #创建用户lisl,属于组testgrp 完整性校验MD5,DES加密snmp-server host a.b.c.d version 3 priv lisl #用户lisl指定trap到snmp的服务器地址a.b.c.d,#高级应用-只能访问或修改特定节点snmp-server view lislview mib-2 include d #创建一个容器lislview,只能访问mib-2的节点snmp-server group testgrp v3 priv read lislview write lislview #创建组testgrp与容器lislview关联,具有可读可写容器lislview权限
3.5 CISCO SNMP安全控制
#snmp与acl联动,限制来源access-list 5 permit 192.168.66.0 0.0.0.255snmp-server community lisl 5 #acl 5与snmpv2联动snmp-server user lisl testgrp v3 access 5 #acl 5与snmpv3的用户组testgrp里的用户lisl联动
四、SSH简单介绍
4.1 介绍
Cisco IOS 12.1(1)T 版本开始支持SSH version 1Cisco IOS 12.3(4)T 版本开始支持SSH version 2
4.2 SSHv1简单配置
R1(config)#hostname R1 #(非必需)配置主机名R1(config)#ip domain name test.com #(非必需)配置域名R1(config)#crypto key generate rsa modulus 2048 #产生RSA密钥对(建议2048位长度),注:可以不需要主机名和域名,有默认R1(config)#username admin privilege 15 password Cisco123 #创建本地用户名,密码,级别15,直接进入到#R1(config)#line vty 0 15R1(config-line)#login local #本地认证,也可以用aaa new-model代替R1(config-line)#transport input ssh #只选择ssh登陆
4.3 SSHv2 简单配置
与4.2配置相同R1(config)#ip ssh version 2 #指定版本2登陆
4.4 常用命令
R1(config)#ip ssh rsa keypair-name R1.test.comR1(config)#ip ssh version 2 #只允许使用sshv2登陆access-list 5 permit 10.1.1.0 0.0.0.255line vty 0 4 access-class 5 in #控制指定源访问设备 #测试R1#ssh -v 1 -l admin 10.1.1.1 #在R1连接,使用版本1,用户名admin,远端10.1.1.1R1#ssh -v 2 -l admin 10.1.1.1 #在R1连接,使用版本2,用户名admin,远端10.1.1.1#show 命令show ssh #查看通过ssh登陆的在线用户show ip ssh #查看ssh的版本号,超时时间,重试次数show crypto key mypubkey rsa
五、NTP
5.1 介绍
NTP是用来同步时间的,时间的重要性:PKI(证书系统)和Syslog(日志)都非常需要准确的时间
5.2 基本配置
R1(config)#clock timezone GMT +8 #设置东八区,GMT只是个名字R1(config)#ntp server ntp1.aliyun.com #设置ntp服务器注意:时区更改,有些版本(如:RDOS Software, 5800E, Version 6.2.23)只能使用如下:R1(config)#clock set timezone GMT add 8 0命令解析:设置时区名为GMT(自定义),add参数表示正向时区,8为八区,0为没有偏移量。minus参数表示负向时区
5.3 NTP服务器配置
全局模式下#:clock set 10:47:00 28 jan 2019 #2019/1/29 10:47:00 月份必需是英文前三个字母,先设置时区,在配置时间#配置模式下(config)#:clock timezone GMT +8 #设置时区ntp authenticatioin-key 1 md5 cisco #(可选),用于认证,设置key 1,MD5ntp authenticate #(可选),激活认证ntp trusted-key 1 #(可选),用于认证,设置信任key 1ntp master #设置为ntp服务器
5.4 NTP客户端配置
配置模式下(config)#:clock timezone GMT +8ntp authentication-key 1 md5 cisco #(可选),用于认证ntp authenticate #(可选),用于认证,激活认证ntp trusted-key 1 #(可选),用于认证,信任密钥key 1ntp server 10.1.1.2 key 1 #客户端设置去ntp服务器同步时间,认证key 1
5.5 NTP 安全控制
access-list 5 permit 10.1.1.1ntp access-group peer 5 #指定源才可以过来同步时间
5.6 NTP常用命令
show ntp status #查看ntp状态