Telent配置有问题，如果只需要密码登陆，可以如下配置： 

先在aaa里配用户，再配置

[USG3000]user-interface vty 0 4

[USG3000-ui-vty0-4]authentication-mode password

user privilege level 3

set authentication password xxx 

如果想配置用户加密码

在本地通过Eudemon 防火墙

STP IEEE 802.1d（Spanning Tree Protocol，生成树协议）不能使端口状态快速迁移，即使是在点对点链路或边缘端口，也必须等待2倍的Forward delay的时间延迟，端口才能迁移到转发状态。

RSTP IEEE 802.1w（Rapid Spanning Tree Protocol，快速生成树协议）可以快速收敛，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。

MSTP IEEE 802.1s （Multiple Spanning Tree Protocol，多生成树协议）将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。

MSTP兼容STP和RSTP，并且可以弥补STP和RSTP的缺陷。它既可以快速

S7500交换机ARP攻击解决办法

 

网络维护当中，经常会遇到S7500交换机遭受ARP攻击的现象。可以通过升级软件版本到R3133（含）及之后的版本来解决。

该软件版本还包含了相关命令：

[H3C S7506R]arp mac-arp-map limit ? -----一个MAC可以对应的最多IP数
  INTEGER<1-8192>  Attack list of the ARP attacker

同时可以使用以下命令查看网络中存在攻击嫌疑的IP/MAC地址。

[H3C S7506R]dis arp attack-list ?
  <cr>

--------------------------------------------------------------------------------------------- 

H3C 3600采用自定义ACL实现ARP欺骗防攻击的配置

一      组网需求：

配置自定义ACL，通过匹配报文对应的协议号、MAC地址及IP地址等字段，过滤攻击主机发出的冒充网关的ARP报文。

二      配置步骤：

1．定义5000的ACL

[Switch] acl number 5000

2．把arp Reply协议报文中Sender ip address为端口所在VLAN网关192.168.0.1的ARP报文过滤掉（16和32

每台防火墙分别通过两个LAN互联。

interface GigabitEthernet0/1
 description STATE Failover Interface
interface GigabitEthernet0/3
 description LAN Failover Interface

所有配置配在Primary上面，Secondary只须要配置以下相关

failover
failover lan unit secondary                根据主/备，分别写Primary/Secondary
failover lan interface failover GigabitEthernet0/3
failover link state GigabitEthernet0/1
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
当Active业务接口任何一个DOWN在几秒内Standby会自动接管业务。恢复后不会切换状态。可手动转换。两台设备所有配置同步。

------------------ show failover ------------------

Failover On
Failover unit Primary
Failover LAN Interface: failover GigabitEthernet0/3 (up)
Unit

在Cisco路由器忘记或丢失enable密码的情况时，一共有两种方法恢复，取决于你使用的路由器是哪一系列产品。

第一种方法

使用这种方法可恢复下列路由器：Cisco 2000系列、2500系列、3000系列、使用680x0 Motorola CPU的Cisco 4000系列、运行10.0版本以上Cisco IOS系统的7000系列路由器。
　　实现步骤：

1.在路由器的console口接上一个终端或用安装仿真终端软件的PC机。

2.输入show version命令，然后记下寄存器值，通常是0x2102 or 0x102。这个值显示在最后一行，注意寄存器的配置是否把Break设为enable或disable。

缺省配置寄存器值是0x2102。这个值从左数第三个数字如果是1，则是disable Break；如果为零，则Break为enabled。

3.切断电源后再重启。

4.在路由器启动的60秒内在终端机上按Break键。将显示rommon> 提示符。如果提示符不是这样，则终端没有发出正确的中断信号，检查Break键是否正确或是否被设为disable。

5.在提示符下输入o/r0x42或o/r0x41，o/r0x42意思是从Flash memory引导，o/r0x41意思是从ROMs引导(注意，第一个字符是字母o，不是数字0)。最好用0x42，在Flash memory

1.启用超级终端并出现连接界面
2.拔掉交换机的电源.
3.按下交换机上的Mode按钮,与此同时,重新插上交换机的电源线.
4.当交换机左边的sys灯会慢慢的闪动，(细心的话会发现部分灯红色的闪过)，按住mode按钮直到sys灯不闪动(常亮状态).否则提前松开的按钮的话会直接进入正常的启动，必须跳会步骤2     

5.可以松开Mode按钮

之后系统将显示一些指示信息:
The system has been interrupted prior to initializing the flash file system. The following
commands will initialize the flash file system, and finish loading the operating system
software:

flash_init   /---初始化flash文件系统---/
load_helper  /---加载帮助文件---/
boot         /---启动设备进入正常的模式---/

步骤:
switch:
Switch:flash_init  
Switch:dir flash:     /---查看Flash的文件名字可以用来确认文件名为config.text---/      &nbs

ASA 双机 Nat 地址池与OUTSIDE口不在同一网段。 无法NAT 。 上端设备OSPF学不到地址池中的地址。OSPF 邻居FULL发布内网口上联设备可以学到，但是NAT POOL里的学不到。 无法NAT 出去

ASA5540# show run

ASA Version 8.0(2)
!
hostname ASA5540
enable password
names
dns-guard
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.64.73.202 255.255.255.248 standby 10.64.73.203
!
interface GigabitEthernet0/1
 description STATE Failover Interface
!
interface GigabitEthernet0/2
 nameif inside
 security-level 100
 ip address 10.64.71.65 255.255.255.192 standby 10.64.71.66
!
interface GigabitEthernet0/3
 description LAN Failover Interface
!
interface Management0/0
 nameif management
 security-level 100
 ip address 192.168.1.2 255.255.255.0
 management-on

nat aging-time

【命令】

nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }

【视图】

系统视图

【参数】

default：设置地址转换有效时间为系统缺省默认值。

dns：DNS协议地址转换有效时间，缺省为60秒。

ftp-ctrl：FTP协议控制链路地址转换有效时间，缺省为7200秒。

ftp-data：FTP协议数据链路地址转换有效时间，缺省为300秒。

icmp：ICMP协议地址转换有效时间，缺省为60秒。

pptp：PPTP协议地址转换有效时间，缺省为86400秒。

tcp：TCP协议地址转换有效时间，缺省为86400秒。

tcp-fin：TCP协议FIN或RST连接地址转换有效时间，缺省为60秒。

tcp-syn：TCP协议SYN连接地址转换有效时间，缺省为60秒。

udp：UDP地址转换有效时间，缺省为300秒。

seconds：为一个时间值，单位为秒，取值范围为10～86400

当我们使用了802.1x、EAP、AES和TKIP之后，还需要了解其中的一些问题，这些是建立安全WLAN网络环境必须的。首先，IEEE 802.11i工作小组所建立的TKIP，是为了快速修正WEP的严重问题。TKIP在算法上与WEP相同，也是使用RC4算法，但这种算法并不是最理想 的选择。使用AES能把原来的问题解决得更好，但是AES无法与原有的802.11架构兼容，需要升级软硬件。第二，一些新的协议、技术的加入，与原有802.11混合在 一起，使得整个网络结构更加复杂，同时也增加了处理的负担，导致网络性能降低。新的技术让生产厂商和网络用户有更多的可选择性，但同时也带来了兼容性的问题。第三，对于用户来说，在购买设备之前，需要了解产品能提供什么样的功能，有什么样的兼容性的要求。例如，从公司A购买了AP，然后从公司B和C购买了无线网卡，很可能存在因兼容性导致某些功能无法使用的问题。
　　从企业角度而言，随着无线网络应用的推进，企业需要更加注重无线网络安全的问题，针对不同的用户需求，提出一系列不同级别的无线安全技术策略，从传统的WEP加密到IEEE 802.11i，从MAC地址过滤到IEEE 802.1x安全认证技术，要分别考虑能满足单一的家庭用户、大中