cisco交换机一直vty有人占用怎么踢掉acl也做过不起作用谁能帮帮

Router#sh line 查看登陆情况

Router#clear line vty [对应数字] 踢掉对应线路号

在说一下tty登陆类型

vty：telnet方式登陆的

con：colsole连接登陆的

cisco的安全还是做得比较好的，如果安全管理比较复杂可以考虑aaa用acs服务器做认证也是可以的

你设置个账号密码就好了

这样他们登陆不上去的。

还有种方法就是，你划分出多个VLAN来，然后管理IP设置成你的IP把你自己的IP划分到VIAN 1里面，其他的划分到其他VLAN里面去，就可以搞定了，记得你交换机到路由的线路一定要是TRUNK线路（没拼错应该的）

ISE上是没有地方设置这些参数。

Radius本身的授权能提供结果要么是Permit 要么是Reject 。radius并不能控制你远程接入的level。权限是在设备本地定义或者设置的。

这里有两种解决方案：

1、在user interface 下直接指定接入的权限级别，如：privilege level 15，这样，用户通过对应的 user interface进入之后即可获得相应的权限级别。（15级是最高的权限，有一定的风险哈）

2、定义一个非15级的级别，然后关联一些必要的查询命令或者配置命令。给最高级别设置一个密码（网上查的是superpassword，就是敲system-view 的时候需要提供密码，h3c应该有类似的功能吧，类似cisco 的enable 密码）然后在user-interface中设置该级别为初始进入级别，所有人接入后有通用的权限，管理员通过system-view提升权限。

//具体的命令我这里没有，我接触的主要是思科的设备，对于h3c或者华为设备的命令行不是很熟悉。功能实现方面还得靠你自己查文档或者找厂家支持了。

还有一方法不太确定，cisco的tacacs+是支持权限控制的，可以在ise或者acs上面，设置对应的命令集合，然后给不同的人关联不同的命令集合，以此实现权限控制。（ISE可能需要license支持，还有就是，我不确定的值h3c的设备是不是支持tacacs+）

CCSP（Cisco Certified Security Professional）思科认证网络安全工程师，是思科安全方向的专业认证，在思科认证体系的金字塔模型中属于第二层，上面的一层是CCIE Security。CCSP的内容主要涉及到Cisco硬件以及应用软件等范围。包括使用网络边界或者DMZ（demilitarized zone，非军事区）中的路由器以及防火墙；为远程访问用户建立***（Virtual Private Network，虚拟专用网）集中器；入侵检测系统能够暗中保护网络上的一些标志；如何配置及管理系统；使用Cisco系统组件，这些组件包括 VMS（***/Security management Solution，***/Security管理方案）以及CSACS（Cisco Secure Access Control Server，Cisco安全访问控制服务器）；使用Web浏览器应用程序来配置保护网络的硬件设备；确保在基于SAFE蓝图的中小型网络中的安全连接 等。

CCNA1－网络基础 完成CCNA1课程后，学员将了解以下网络基础知识： 网络基础概念 以太网技术基础 网络模型，七层OSI TCP/IP 网络传输介质，例如铜缆、光纤、无线、IP、寻址、路由。 CCNA2－路由器和路由基础 完成CCNA2课程后，学员将了解以下路由器和路由知识： IOS管理 路由器配置基础 路由协议 TCP/IP基本概念 访问控制表 网络故障排除技能 CCNA3－数据交换基础和中间路由 完成CCNA3课程后，学员将了解以下数据交换和中间路由知识： VLSM基础 RIP第二版 OSPF、EIGRP基础 交换机配置 生成树协议 虚拟局域网 虚拟中继协议 虚拟局域网间路由 CCNA4－广域网技术 完成CCNA4课程后，学员将了解到以下SAN技术基础知识： 扩展IP地址、NAT和PAT DHCP协议 ISDN和DDR 帧中继 PPP 网络管理协议基础、SNMP 行业标准认证 CCNA课程将为学员通过CCNA认证奠定基础。 编辑本段无线基础 随着无线技术在组织日常活动中的普及，企业对无线技术的依赖程度日益加深。无线局域网基础课程将向学员传授无线网络的开发、实施和故障排除知识。该课程共计70学时，以实践练习为特色，突出对技能的培养，重点讲授无线网络的设计、规划、实施、运行和故障排除知识。它全面涵盖了技术、安全和最佳设计实践等各个方面。通过学习，学员将具备以下能力： 为移动无线用户设计符合IEEE 80211标准的无线局域网逻辑体系结构。 掌握有关常见的无线局域网影响因素的知识（包括电磁波谱、无线电波传播、调制技术、频率和频道在无线技术中的作用。）。 采用思科设备和符合移动性及吞吐量要求的适合天线安装楼内和楼到楼无线局域网，包括现场勘测和文件编制。 完成思科Aironet无线产品的硬件安装和软件配置，包括WEP、思科LEAP和8021等安全协议。 升级无线产品; 借助事件日志、命令行程序和诊断工具实施故障排除。 无线局域网课程将为学员从事以下职业奠定基础：系统工程师、产品支持工程师和系统整合工程师。对于接受高等教育的学员来说，该课程的学习将有助于他们取得电气工程或者计算机和管理信息系统学位。 行业标准认证 无线局域网课程将有助于学员获得思科无线局域网售后工程师认证（WLANFE）。 编辑本段网络安全基础 在当今的世界里，什么都可能成为遭受攻击的目标 － 从路由器和交换机到应用程序乃至管理不严格的安全设备。利用企业与远程用户或业务伙伴之间的安全策略实施不完善的连接而发起的攻击频繁发生。企业、政府部门和组织必须全力以赴加强戒备，以防止来自黑客、外来者甚至心怀不满的员工对信息安全、信息完整性以及日常业务操作的威胁。这使得对网络安全人才的需求空前高涨。 开设网络安全基础教程的目的是为学员获得该领域的认证做好准备。教员、学员以及各院校的管理者的愿望是通过课程的开设教导学员设计并实施网络安全解决方案，以降低收益损失和攻击风险。该课程结合了实践性练习、教员授课和网上教程。该课程共计70学时，是介绍网络安全和整个安全流程的入门课程。通过学习，学员将具备以下能力： 根据组织对其网络安全弱点的评估，针对已知的安全威胁，选择适当的安全硬件、软件、策略以及配置以提供保护选择。 完成思科IOS和PIX防火墙的高级安装、配置、监控、故障排除、维护和恢复。 设置思科IOS和PIX防火墙的入侵检测功能。 在思科IOS和PIX防火墙上安装和配置保障AAA（认证、授权和统计）服务的CSACS（思科安全访问控制服务器）。 配置思科设备之间的站点到站点***（虚拟专用网）以及思科设备和客户机之间的远程访问*** 以确保网络的专用性和保密性。 网络安全课程将为学员从事以下职业奠定基础：网络安全分析师、高级系统分析师和系统设计师。对于接受高等教育的学员来说，该课程的学习将有助于他们取得电气工程或者计算机和管理信息系统学位。

不一样。华为的一层一层套模板，思科的简单一点，以tacacs+为例：\x0d\aaa new-model //启用aaa\x0d\aaa authentication login TEST group tacacs+ line //配置登录认证\x0d\aaa authorization exec TEST group tacacs+ none //配置认证exec\x0d\aaa authorization commands 1 TEST group tacacs+ none //配置授权命令为1级\x0d\aaa authorization commands 15 TEST group tacacs+ none //配置授权命令为15级 \x0d\aaa accounting exec TELNET start-stop group tacacs+ //配置授权exec\x0d\aaa accounting commands 1 TELNET start-stop group tacacs+ //配置命令审计为1级\x0d\aaa accounting commands 15 TELNET start-stop group tacacs+ //配置命令审计为15级\x0d\aaa accounting network TELNET start-stop group tacacs+ //审计网络\x0d\aaa accounting connection TELNET start-stop group tacacs+ //审计连接\x0d\ \x0d\tacacs-server host 1111 //指向aaa服务器\x0d\tacacs-server key cisco //配置共享密钥\x0d\ \x0d\line vty 0 4\x0d\ authorization commands 1 TEST\x0d\ authorization commands 15 TEST\x0d\ authorization exec TEST\x0d\ accounting connection TEST\x0d\ accounting commands 1 TEST\x0d\ accounting commands 15 TEST\x0d\ accounting exec TEST\x0d\ login authentication TEST\x0d\//在远程line下调用AAA组，注意前面和后面的TEST都是名称\x0d\ \x0d\OK 了，telnet测试就可以了。\x0d\AAA服务器上的配置就不多说了，百度一下ACS配置，很多。