思科 iOS命令列表越来越长,它已被分成两个帖子:

    1.自动安全

    思科还在命令行提供了一步的锁定功能!此功能称为autoSecure。它使用下面显示的命令:

    自动安全[管理|转发] [无互动|完整] [NTP |登录| SSH |防火墙| TCP-entercept]




    2.将站点到站点VPN空闲时间更改为5分钟

    对于iOS路由器



    r1(config)#Crypto IPsec安全关联空闲时间300

    对于Asa.



    ASA1(CONFIG)#组 - 策略GP_1.1.1.2属性
    ASA1(Config-Group-Policy)#VPN.-IDLE-TIMEOUT 300


    ASA1(Config-Group-Policy)#VPN.会话 - 超时无

    3.查找思科设备序列号
    通常我们可以使用'show version'命令来查找sn,但对于nexus,您必须使用“显示库存”来获得底盘sn

    nexus1# 显示库存
    名称:“底盘”,描述:“Nexus5548机箱”
    PID:N5K-C5548UP,VID:V01,SN:SSI163604J

    名称:“模块1”,描述:“O2 32X10GE /模块化通用平台超级用户”
    PID:N5K-C5548UP,VID:V01,SN:Foc1645D5F

    名称:“粉丝1”,描述:“机箱扇形模块”
    PID:N5548P-FAN,VID:N / A,SN:N / A.

    名称:“粉丝2”,描述:“机箱风扇模块”
    PID:N5548P-FAN,VID:N / A,SN:N / A.

    名称:“电源1”,描述:“交流电源”
    PID:N55-PAC-750W,VID:V02,SN:ART16310D6

    名称:“电源2”,描述:“交流电源”
    PID:N55-PAC-750W,VID:V02,SN:ART16310SQ

    姓名:“模块3”,描述:“带L3 ASIC的O2子卡”
    PID:N55-D160L3-V2,VID:V01,SN:Foc1637NT8

    名称:“FEX 101机箱”,描述:“N2K-C2248TP-1GE机箱”
    PID:N2K-C2248TP-1GE,VID:V03,SN:SSI1637FHK

    名称:“FEX 101模块1”,DESS:“Fabric Extender模块:48x1ge,4x10ge Supervi
    SOR“
    PID:N2K-C2248TP-1GE,VID:V03,SN:Foc1645wh9

    名称:“FEX 101粉丝1”,描述:“Fabric Extender Fan模块”
    PID:N2K-C2248-FAN,VID:N / A,SN:N / A.

    名称:“FEX 101电源1”,描述:“Fabric Extender AC电源”
    PID:N2200-PAC-400W,VID:V04,SN:Lit16390H9

    名称:“FEX 101电源2”,DESS:“Fabric Extender AC电源”
    PID:N2200-PAC-400W,VID:V04,SN:Lit16390HH

    名称:“FEX 102机箱”,描述:“N2K-C2248TP-1GE机箱”
    PID:N2K-C2248TP-1GE,VID:V03,SN:SSI16390DJ

    4.显示命令信息

    显示版本/显示Flash / Show Interfaces
    显示进程CPU / SHOW MEMORY / SHOW堆栈/显示缓冲区
    显示运行 - 配置/ show startup-config

    Flash:iO.
    RAM:路由器运行时的所有表和配置。关闭电源时会丢失。
    ROM:POST,BOOTSTRAP,MINI-IOS
    nvram:startup-config

    5. Syslog写入本地磁盘或闪存卡


    路由器(CONFIG)# 记录持久URL Disk0:/ syslog大小134217728文件大小16384        
    %警告:日志记录持久性大小和日志记录持久文件之间的比率为134217728/16384,建议的比率小于196,以实现良好的系统性能

    路由器(CONFIG)# 记录持久URL Disk0:/ syslog大小134217728文件大小1342177  


    路由器#SH日志 

    Syslog日志记录:启用(0次消息丢弃,9条消息速率限制,0刷新,0 operruns,禁用XML,禁用过滤)

    没有活动的消息鉴别器。




    没有非活动消息鉴别器。



        控制台日志记录:已禁用

        监视日志记录:Level Debugging,0消息记录,XML禁用,
                         filtering disabled
        缓冲日志记录:Level调试,8665邮件记录,XML禁用,
                        filtering disabled
        例外日志记录:大小(4096字节)
        计数和时间戳日志记录消息:已禁用
        持久日志记录:启用,URL Disk0:/ syslog,磁盘空间134217728字节,文件大小1342177字节,批量大小4096字节

    没有活动过滤器模块。


        陷阱日志记录:Level调试,8669留言日记录

            记录到10.2.2.3(UDP端口514,禁用审核,
                  link up),
                  8668记录的消息行, 
                  0消息行率限制, 
                  0删除逐个MD的消息行, 
                  XML禁用,禁用序列号
                  filtering disabled
            日志源 - 接口:VRF名称:
            Loopback0                       

    日志缓冲区(8192字节):



    12 EST:%C7600_PLATFORM-SP-3-LOW_BATT:NVRAM电池检测到低电压
    ...... .. [省略]

    路由器# 复制disk0:/ syslog ftp:// myuser:[电子邮件 protected]/ syslog.



    6.检查路由器电源状态


    路由器#展示环境 
    系统电源状态
    =================.========.=.
     内部电源1型:AC
     内部电源1 12V输出状态:正常

     内部电源2型:AC

     内部电源2 12V输出状态: 失败

    系统风扇状态

    =================.
     风扇1 OK,低速设置
     风扇2确定,低速设置
     风扇3 OK,低速设置
     风扇4确定,低速设置
     风扇5 OK,低速设置

    系统温度状态

    =================.========.
     进气左温度:25摄氏度,正常
     进气右温度:22摄氏度,正常
     排气速度温度:29摄氏度,正常
     排气左温度:31摄氏度,正常
     CPU温度:24摄氏度,正常
     电源单元1温度:24摄氏度,正常
              
    实时时钟电池状态
    =================.========.=.=.===.
     电池正常(上电时检查)

    CPU核心温度状态

    =================.========.=.=.
      CPU核心电流读数,目标= 24,读数= 62:正常
      CPU核心在过去1045868.0分钟内的目标历史:
         连续超出范围内的矿物高水标记:0.0
         总分钟超出:0.0
         最后5分钟超出范围:0.0
         最后5分钟连续超出范围:0.0
         最后5分钟读失败计数:0


    系统瓦数

    ===============
     主板,EHWIC,PVDM,电源和风扇功耗= 123.1 W
     总系统功耗为:123.1 W


     环境信息上次更新00:00:11前

    7. PortChannel添加VLAN无需停机时间

    对于中继链路,最好从接口配置中取出Portfast和BPDuard。

    no spanning-tree portfast
    no spanning-tree bpduguard enable
    

    由于各个物理链接将自动继承VLAN设置,始终从端口通道接口添加或删除VLAN。如果将VLAN添加到寄客2层界面而不是逻辑层2端口通道,它将使EtherChannel降低。

    例如,要将VLAN 50添加到EtherChannel 3:

    conf t
    interface port-channel 3
    switchport trunk allowed vlan add 50
    end
    
    
    
    
    
    show run interface gi0/3
    switchport trunk encapsulation dot1q
    switchport trunk allowed vlan 2-49
    switchport mode trunk
    channel-group 3 mode on
    
    

    最后一行“通道组1模式”表示此端口是EtherChannel 3的一部分。如果您尝试将VLAN 50添加到EtherChannel,请将VLAN 50添加到物理端口G0 / 3,此端口将被删除来自EtherChannel 3,这将导致生成树摇摆。

    8.思科开关灯含义


    系统(SYST)光

    交换机的总体状态。

    • 关闭:开关未启动
    • 绿色:开关正常工作
    • 琥珀色:开关通电但有缺陷

    冗余电源(RPS)灯

    如果主电源熄灭,请为交换机提供备份电源。

    • 关闭:没有rps可用,
    • 绿色:rps工作正常
    • 闪烁绿色:为其他一些设备提供备份
    • 琥珀色:rps有缺陷
    • 闪烁琥珀色:RPS正在提供备份(初级电源)

    双工
    交换机端口的双工状态。

    • 关闭:交换机端口是半双工
    • 绿色:交换机端口是全双工

    利用者
    交换机端口的利用状态。

    速度
    交换机端口的速度状态。

    • 关闭:交换机端口在10Mbps下运行
    • 绿色:交换机端口以100Mbps运行
    • 闪烁绿色:交换机端口在1000Mbps上运行

    统计
    交换机端口的状态。

    • OFF:没有设备连接/端口是在管理场上。
    • 绿色:设备已连接。
    • 闪烁绿色:端口正在发送/接收数据。
    • 交替的绿色琥珀色:遇到错误的链接/框架中的故障
    • 琥珀色:端口通过生成树协议阻止

    9.记录Cisco设备配置更改 

    9.1 Cisco交换机和路由器命令:

    使能够
    配置终端
    档案
    日志配置
    记录使能
    伐木大小200.
    repskeys.
    通知Syslog.
    结尾

    从命令输出'显示日志':

    000430: *Mar  9 22:28:47.046 EST: %SYS-5-CONFIG_I: Configured from console by john on vty0 (192.168.0.176)
    000431: *Mar  9 22:29:49.936 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:archive
    000432: *Mar  9 22:29:52.738 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:log config
    000433: *Mar  9 22:29:56.966 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:logging enable
    000434: *Mar  9 22:30:04.188 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:logging size 200
    000435: *Mar  9 22:30:10.832 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:hidekeys
    000436: *Mar  9 22:30:15.035 EST: %PARSER-5-CFGLOG_LOGGEDCMD: User:john  logged command:notify syslog
    000437: *Mar  9 22:30:22.727 EST: %SYS-5-CONFIG_I: Configured from console by john on vty0 (192.168.0.176)
    
    

    9.2思科asa

    Syslog号111008和111010将记录用户输入的命令。 111010用于配置更改。它是您信息的Syslog:

    111008: 消息:%ASA-5-111008:用户用户执行命令字符串
    说明:用户输入了任何命令,除了show命令。
    //www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog/syslogs1.html?bookSearch=true#con_8587071

    111010: 消息:%ASA-5-111010:用户用户名,从IP IP ADDR运行Application-Name,执行CMD
    说明:用户进行了配置更改。

    • 用户名 - 用户进行配置更改
    • 应用程序名称 - 用户正在运行的应用程序
    • IP Addr - 管理站的IP地址
    • cmd - 用户执行的命令

    //www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog/syslogs1.html?bookSearch=true#con_8586950

    您需要启用Syslog和SyseSity级别5,如果您不想查看任何其他日志记录,则只能记录上述2个Syslog数字。

    而且也没有发送5级消息,它发送3级消息。

    logging list notif-cfg-changes message 111008-111010
    logging list notif-cfg-changes level errors
    logging trap notif-cfg-changes
    
    

    Note: http://www.cisco.com/en/US/docs/security/asa/asa82/configuration/guide/monitor_syslog.html#wp1064820

    经过 Jon.

    发表评论