cisco交换机安全配置设定
cisco交换机安全配置设定
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5hash方式
switch(config)#enablesecret5pass_string
其中0SpecifiesanUNENCRYPTEDpasswordwillfollow
5SpecifiesanENCRYPTEDsecretwillfollow
建议不要采用enablepasswordpass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#servicepassword-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enablesecretlevel75pass_string7/7级用户进入特权模式的密码
switch(config)#enablesecret5pass_string15/15级用户进入特权模式的密码
switch(config)#usernameuserAprivilege7secret5pass_userA
switch(config)#usernameuserBprivilege15secret5pass_userB
/为7级,15级用户设置用户名和密码,Ciscoprivilegelevel 分为0-15级,级别越高权限越大
switch(config)#privilegeexeclevel7commands/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#lineconsole0
switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password7pass_sting/设置加密密码
switch(config-line)#login/启用登录验证
方式(2):本地AAA认证
switch(config)#aaanew-model/启用AAA认证
switch(config)#aaaauthenticationloginconsole-ingroupacsserverlocalenable
/设置认证列表console-in优先依次为ACSServer,local用户名和密码,enable特权密码
switch(config)#lineconsole0
switch(config-line)#loginauthenticationconsole-in/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list18permithostx.x.x.x/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaaauthenticationloginvty-ingroupacsserverlocalenable
/设置认证列表vty-in,优先依次为ACSServer,local用户名和密码,enable特权密码
switch(config)#aaaauthorizationcommands7vty-ingroupacsserverlocalif-authenticated
/为7级用户定义vty-in授权列表,优先依次为
ACSServer,local授权
switch(config)#aaaauthorizationcommands15vty-ingroupacsserverlocalif-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACSServer,local授权
switch(config)#linevty015
switch(config-line)#access-class18in/在线路模式下调用前面定义的标准ACL18
switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorizationcommands7vty-in/调用设置的授权列表vty-in
switch(config-line)#authorizationcommands15vty-in
switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#loginauthenticationvty-in/调用authentication设置的vty-in列表
switch(config-line)#transportinputssh/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaagroupservertacacs+acsserver/设置AAA服务器组名
switch(config-sg-tacacs+)#serverx.x.x.x/设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#serverx.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)#tacacs-serverkeypaa_string/设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#noservicepad
switch(config)#noservicefinger
switch(config)#noservicetcp-small-servers
switch(config)#noserviceudp-small-servers
switch(config)#noserviceconfig
switch(config)#noserviceftp
switch(config)#noiphttpserver
switch(config)#noiphttpsecure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MACFlooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置rootguard,bpduguard,bpdufilter
VLAN,DTP攻击
预防方法:设置专用的nativevlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcpsnooping
ARP攻击
预防方法:在启用dhcpsnooping功能下配置DAI和port-security
在级联上层交换机的trunk下
switch(config)#intgix/x/x
switch(config-if)#swmodetrunk
switch(config-if)#swtrunkencapsdot1q
switch(config-if)#swtrunkallowedvlanx-x
switch(config-if)#spanning-treeguardloop
/启用环路保护功能,启用loopguard时自动关闭rootguard
接终端用户的端口上设定
switch(config)#intgix/x/x
switch(config-if)#spanning-treeportfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking--
>listening15s,listening-->learning15s,learning--
>forwarding20s共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-treeguardroot
/当一端口启用了rootguard功能后,当它收到了一个比根网桥优先值更优的BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-treebpdufilterenable
/当启用bpdufilter功能时,该端口将丢弃所有的bpdu包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-treebpduguardenable
/当启用bpduguard功能的交换机端口接收到bpdu时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-controlbroadcastlevel10/设定广播的阀值为10%
switch(config-if)#storm-controlmulticastlevel10/设定组播的阀值为10%
switch(config-if)#storm-
controlactionshutdown/Shutdownthisinterfaceifastormoccurs
orswitch(config-if)#storm-
controlactiontrap/SendSNMPtrapifastormoccurs
MAC地址绑定端口安全设定
switch(config-if)#switchportport-security/启用端口安全
switch(config-if)#switchportport-securitymaximumnumber/默认每个接口最大的值为1
switch(config-if)#switchportport-
securityviolationprotect|restrict|shutdown/启用安全违规行为
protect:当接口学习到设定数量的MAC后,后来的MAC信息将直接丢弃,且不产生通知
restrict:当接口学习到设定数量的MAC后,后来的MAC信息将直接丢弃并发送snmptrap,syslog信息。
shutdown:当接口学习到设定数量的MAC后,后来的MAC信息将不再解析并直接关闭该端口,除非手动shut,noshut或通过errdisablerecoverycause原因来进行恢复
switch(config-if)#switchportport-securitymac-addresssticky/启用mac自动学习功能,无需手动进行绑定
端口错误检测和自动恢复设定
switch(config)#errdisabledetectcauseall/启用所有类型错误检测
switch(config)#errdisablerecoverycauseall/启用所有类型错误发生后在30s后自动恢复
switch(config)#errdisablerecoveryinterval30/自动恢复间隔时间为30s
四、三层交换机常用路由协议安全配置
1、RIP协议
建议不采用RIPV1,使用支持md5认证的RIPV2版本
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config)#routerrip
switch(config-router)#version2/启用RIP-V2
switch(config-router)#networkx.x.x.x
switch(config-router)#passive-interfacex/x
/启用passive-interface禁用一些不需要接收和转发路由信息的端口(只是禁止转发路由信息,并没有禁止接收)
switch(config)#interfacex/x
switch(config-if)#ipripauthenticationmodemd5/指定认证方式为md5
switch(config-if)#ipripauthenticationkey-
chainchain_name/调用定义的密钥链名
注意:启用RIPV2协议的互连路由接口其密钥KeyID和Keystring必须相同才可通过认证!
2、EIGRP协议
eigrp仅支持md5认证
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config)#routereigrpas-num/设置eigrp自治系统号,在本地有效
switch(config-router)#networkx.x.x.x
switch(config-router)#noauto-summary/关闭自动汇总功能
switch(config)#interfacex/x
switch(config-if)#ipauthenticationmodeeigrp100md5/指定eigrp100区域的认证方式为md5
switch(config-if)#ipauthenticationkey-
chaineigrp100chain_name/调用定义的密钥链名
注意:启用EIGRPmd5认证的互连路由接口其密钥KeyID和Keystring必须相同才可通过认证!
3、OSPF协议
switch(config)#routerospf100/设置本地有效的标识符100
switch(config-router)#areaarea_idauthenticationmessage-digest/在区域内启用md5认证
switch(config-if)#ipospfauthenticationmessage-digest/在接口下启用md5认证
switch(config-if)#ipospfmessage-digest-
keyidmd5pass_string/在接口下设置md5密钥id及密钥字符串,两端启用OSPF路由协议的端口必须相同
4、HSRP/VRRP协议
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config-if)#standbygroup_numauthenticationmd5key-chainchain_name/在启用hsrp协议的接口下启用md5认证并调用设定的密钥链名
switch(config-if)#vrrpgroup_numauthenticationmd5key-chainchain_name/在启用vrrp协议的接口下启用md5认证并调用设定的密钥链名
五、交换机日志收集审计安全配置
trunk接口日志事件设定
switch(config)#intgix/x/x
switch(config-if)#swmodetrunk
switch(config-if)#swtrunkencapsdot1q
switch(config-if)#loggingeventtrunk-status
switch(config-if)#loggingeventlink-status
switch(config-if)#loggingeventspanning-tree
switch(config-if)#loggingeventbundle-status
switch(config-if)#loggingeventstatus
access接口日志世界设定
switch(config)#intgix/x/x
switch(config-if)#swmodeaccess
switch(config-if)#swaccessvlanxx
switch(config-if)#loggingeventlink-status
switch(config-if)#loggingeventspanning-tree
switch(config-if)#loggingeventbundle-status
switch(config-if)#loggingeventstatus
日志收集分析设定
switch(config)#loggingon/启动日志
switch(config)#logginghostx.x.x.x/设定收集日志的syslogserver
switch(config)#loggingsource-interfaceloopback0/设定发送日志的原地址
switch(config)#loggingfacilitylocal6/cisco设备的默认类型
switch(config)#loggingtrap7/设定记录日志服务的类型,数据越大,威胁程度越低,分为0-7,
设置为7表示包含所有日志类型
switch(config)#loggingbufferednumber/设定本地日志buffersize大小
时区和时间设定(确保日志记录的准确性)
switch(config)#clocktimezoneUTC8/设定时区为UTC8
switch(config)#ntpserverx.x.x.x/设定NTPServer时间同步服务器
switch(config)#ntpsourceloopback0/设定ntp时间同步原地址
switch(config)#ntpauthenticate/启用ntp认证
switch(config)#ntpauthentication-key1md5pass-string/设置认证密钥和密码
switch(config)#ntptrusted-key1
六、交换机其他安全配置
1、即时关注ciscoios漏洞信息,为漏洞ios安装补丁或升级ios
2、定期备份交换机设备配置文件及ios文件
3、严格设置登录Banner。必须包含非授权用户禁止登录的字样
4、禁用DNS查找
switch(config)#noipdomain-lookup
/避免输入错误命令时,交换机进行dns解析查找直到dns查找失败,延迟较大;建议关闭
一、交换机访问控制安全配置
1、对交换机特权模式设置密码尽量采用加密和md5hash方式
switch(config)#enablesecret5pass_string
其中0SpecifiesanUNENCRYPTEDpasswordwillfollow
5SpecifiesanENCRYPTEDsecretwillfollow
建议不要采用enablepasswordpass_sting密码,破解及其容易!
2、设置对交换机明文密码自动进行加密隐藏
switch(config)#servicepassword-encryption
3、为提高交换机管理的灵活性,建议权限分级管理并建立多用户
switch(config)#enablesecretlevel75pass_string7/7级用户进入特权模式的密码
switch(config)#enablesecret5pass_string15/15级用户进入特权模式的密码
switch(config)#usernameuserAprivilege7secret5pass_userA
switch(config)#usernameuserBprivilege15secret5pass_userB
/为7级,15级用户设置用户名和密码,Ciscoprivilegelevel 分为0-15级,级别越高权限越大
switch(config)#privilegeexeclevel7commands/为7级用户设置可执行的命令,其中commands可以根据分配给用户的权限自行定义
4、本地console口访问安全配置
switch(config)#lineconsole0
switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
设置登录console口进行密码验证
方式(1):本地认证
switch(config-line)#password7pass_sting/设置加密密码
switch(config-line)#login/启用登录验证
方式(2):本地AAA认证
switch(config)#aaanew-model/启用AAA认证
switch(config)#aaaauthenticationloginconsole-ingroupacsserverlocalenable
/设置认证列表console-in优先依次为ACSServer,local用户名和密码,enable特权密码
switch(config)#lineconsole0
switch(config-line)#loginauthenticationconsole-in/调用authentication设置的console-in列表
5、远程vty访问控制安全配置
switch(config)#access-list18permithostx.x.x.x/设置标准访问控制列表定义可远程访问的PC主机
switch(config)#aaaauthenticationloginvty-ingroupacsserverlocalenable
/设置认证列表vty-in,优先依次为ACSServer,local用户名和密码,enable特权密码
switch(config)#aaaauthorizationcommands7vty-ingroupacsserverlocalif-authenticated
/为7级用户定义vty-in授权列表,优先依次为
ACSServer,local授权
switch(config)#aaaauthorizationcommands15vty-ingroupacsserverlocalif-authenticated
/为15级用户定义vty-in授权列表,优先依次为ACSServer,local授权
switch(config)#linevty015
switch(config-line)#access-class18in/在线路模式下调用前面定义的标准ACL18
switch(config-line)#exec-timeout50/设置不执行命令操作的超时时间,单位为分钟和秒
switch(config-line)#authorizationcommands7vty-in/调用设置的授权列表vty-in
switch(config-line)#authorizationcommands15vty-in
switch(config-line)#loggingsynchronous/强制对弹出的干扰日志信息进行回车换行,使用户输入的命令连续可见
switch(config-line)#loginauthenticationvty-in/调用authentication设置的vty-in列表
switch(config-line)#transportinputssh/有Telnet协议不安全,仅允许通过ssh协议进行远程登录管理
6、AAA安全配置
switch(config)#aaagroupservertacacs+acsserver/设置AAA服务器组名
switch(config-sg-tacacs+)#serverx.x.x.x/设置AAA服务器组成员服务器ip
switch(config-sg-tacacs+)#serverx.x.x.x
switch(config-sg-tacacs+)#exit
switch(config)#tacacs-serverkeypaa_string/设置同tacacs-server服务器通信的密钥
二、交换机网络服务安全配置
禁用不需要的各种服务协议
switch(config)#noservicepad
switch(config)#noservicefinger
switch(config)#noservicetcp-small-servers
switch(config)#noserviceudp-small-servers
switch(config)#noserviceconfig
switch(config)#noserviceftp
switch(config)#noiphttpserver
switch(config)#noiphttpsecure-server
/关闭http,https远程web管理服务,默认cisco交换机是启用的
三、交换机防攻击安全加固配置
MACFlooding(泛洪)和Spoofing(欺骗)攻击
预防方法:有效配置交换机port-security
STP攻击
预防方法:有效配置rootguard,bpduguard,bpdufilter
VLAN,DTP攻击
预防方法:设置专用的nativevlan;不要的接口shut或将端口模式改为access
DHCP攻击
预防方法:设置dhcpsnooping
ARP攻击
预防方法:在启用dhcpsnooping功能下配置DAI和port-security
在级联上层交换机的trunk下
switch(config)#intgix/x/x
switch(config-if)#swmodetrunk
switch(config-if)#swtrunkencapsdot1q
switch(config-if)#swtrunkallowedvlanx-x
switch(config-if)#spanning-treeguardloop
/启用环路保护功能,启用loopguard时自动关闭rootguard
接终端用户的端口上设定
switch(config)#intgix/x/x
switch(config-if)#spanning-treeportfast
/在STP中交换机端口有5个状态:disable、blocking、listening、learning、forwarding,只有处于forwarding状态的端口才可以发送数据。但需经过从blocking--
>listening15s,listening-->learning15s,learning--
>forwarding20s共计50s的时间,启用portfast后将直接从blocking-->forwarding状态,这样大大缩短了等待的时间。
说明:portfast仅适用于连接终端或服务器的交换机端口,不能在连接交换机的端口上使用!
switch(config-if)#spanning-treeguardroot
/当一端口启用了rootguard功能后,当它收到了一个比根网桥优先值更优的BPDU包,则它会立即阻塞该端口,使之不能形成环路等情况。这个端口特性是动态的,当没有收到更优的包时,则此端口又会自己变成转发状态了。
switch(config-if)#spanning-treebpdufilterenable
/当启用bpdufilter功能时,该端口将丢弃所有的bpdu包,可能影响网络拓扑的稳定性并造成网络环路
switch(config-if)#spanning-treebpduguardenable
/当启用bpduguard功能的交换机端口接收到bpdu时,会立即将该端口置为error-disabled状态而无法转发数据,进而避免了网络环路!
注意:同时启用bpduguard与bpdufilter时,bpdufilter优先级较高,bpduguard将失效!
广播、组播风暴控制设定
switch(config-if)#storm-controlbroadcastlevel10/设定广播的阀值为10%
switch(config-if)#storm-controlmulticastlevel10/设定组播的阀值为10%
switch(config-if)#storm-
controlactionshutdown/Shutdownthisinterfaceifastormoccurs
orswitch(config-if)#storm-
controlactiontrap/SendSNMPtrapifastormoccurs
MAC地址绑定端口安全设定
switch(config-if)#switchportport-security/启用端口安全
switch(config-if)#switchportport-securitymaximumnumber/默认每个接口最大的值为1
switch(config-if)#switchportport-
securityviolationprotect|restrict|shutdown/启用安全违规行为
protect:当接口学习到设定数量的MAC后,后来的MAC信息将直接丢弃,且不产生通知
restrict:当接口学习到设定数量的MAC后,后来的MAC信息将直接丢弃并发送snmptrap,syslog信息。
shutdown:当接口学习到设定数量的MAC后,后来的MAC信息将不再解析并直接关闭该端口,除非手动shut,noshut或通过errdisablerecoverycause原因来进行恢复
switch(config-if)#switchportport-securitymac-addresssticky/启用mac自动学习功能,无需手动进行绑定
端口错误检测和自动恢复设定
switch(config)#errdisabledetectcauseall/启用所有类型错误检测
switch(config)#errdisablerecoverycauseall/启用所有类型错误发生后在30s后自动恢复
switch(config)#errdisablerecoveryinterval30/自动恢复间隔时间为30s
四、三层交换机常用路由协议安全配置
1、RIP协议
建议不采用RIPV1,使用支持md5认证的RIPV2版本
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config)#routerrip
switch(config-router)#version2/启用RIP-V2
switch(config-router)#networkx.x.x.x
switch(config-router)#passive-interfacex/x
/启用passive-interface禁用一些不需要接收和转发路由信息的端口(只是禁止转发路由信息,并没有禁止接收)
switch(config)#interfacex/x
switch(config-if)#ipripauthenticationmodemd5/指定认证方式为md5
switch(config-if)#ipripauthenticationkey-
chainchain_name/调用定义的密钥链名
注意:启用RIPV2协议的互连路由接口其密钥KeyID和Keystring必须相同才可通过认证!
2、EIGRP协议
eigrp仅支持md5认证
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config)#routereigrpas-num/设置eigrp自治系统号,在本地有效
switch(config-router)#networkx.x.x.x
switch(config-router)#noauto-summary/关闭自动汇总功能
switch(config)#interfacex/x
switch(config-if)#ipauthenticationmodeeigrp100md5/指定eigrp100区域的认证方式为md5
switch(config-if)#ipauthenticationkey-
chaineigrp100chain_name/调用定义的密钥链名
注意:启用EIGRPmd5认证的互连路由接口其密钥KeyID和Keystring必须相同才可通过认证!
3、OSPF协议
switch(config)#routerospf100/设置本地有效的标识符100
switch(config-router)#areaarea_idauthenticationmessage-digest/在区域内启用md5认证
switch(config-if)#ipospfauthenticationmessage-digest/在接口下启用md5认证
switch(config-if)#ipospfmessage-digest-
keyidmd5pass_string/在接口下设置md5密钥id及密钥字符串,两端启用OSPF路由协议的端口必须相同
4、HSRP/VRRP协议
switch(config)#keychainchain_name/设置密钥链名
switch(config-key-chain)#key1/设置密钥号
switch(config-key-chain)#key-stringpass_string/设置密钥字符串
switch(config-if)#standbygroup_numauthenticationmd5key-chainchain_name/在启用hsrp协议的接口下启用md5认证并调用设定的密钥链名
cisco交换机配置实例(自己制作)
二层交换机配置案例(配置2层交换机可远程管理): Switch> Switch>en 进入特权模式 Switch#config 进入全局配置模式 Switch(config)#hostname 2ceng 更改主机名为2ceng 2ceng(config)#interface vlan 1 进入VLAN 1
2ceng(config-if)#no shut 激活VLAN1 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 2 创建VLAN 2 2ceng(config-if)#no shut 激活VLAN2 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface vlan 3 创建VLAN 3 2ceng(config-if)#no shut 激活VLAN3 2ceng(config-if)# ip address 192.168.3.254 255.255.255.0 配置192.168.3.254为2ceng管理IP 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/1-12 进入到端口1-12 2ceng(config-if-range)#switchport mode access 将1-12口设置为交换口 2ceng(config-if-range)#switch access vlan 1 将1-12口划分到VLAN 1 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface range fa0/13-23 进入到端口13-23 2ceng(config-if-range)#switch access vlan 2 将13-23口划分到VLAN2 2ceng(config-if-range)#exit 退出到全局配置模式 2ceng(config)#interface fastEthernet 0/24 进入到24口 2ceng(config-if)#switch mode trunk 将24口设置为干线 2ceng(config-if)#exit 退出到全局配置模式 2ceng(config)#enable secret cisco 设置加密的特权密码cisco 2ceng(config)#line vty 0 4 2ceng(config-line)#password telnet 设置远程登陆密码为telnet
思科交换机安全 做 802.1X、port-security案例
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
思科交换机命令大全
思科交换机常用命令大全 1.1 用户模式与特权模式 用户模式:可以使用一些基本的查询命令 特权模式:可以对交换机进行相关的配置 进入特权模式命令:Switch>enable 退出特权模式命令:Switch#exit 启用命令查询:? 时间设置:Switch#clock set 时间(自选参数,参数必须符合交换机要求) 显示信息命令:Switch#show 可选参数 注意:可以用TAB键补齐命令,自选参数为用户自定义参数,可选参数为交换机设定参数 查看交换机配置: Switch#show running-config 保存交换机配置:Switch#copy running-config startup-config Switch#wr 查看端口信息:Switch#show interface 查看MAC地址表:Switch#show mac-address-table 查看交换机CPU的状态信息:Switch#show processes 1.2 全局配置模式 进入全局配置模式:Switch#configure terminal
主机名修改:Switch(config)#hostname 主机名(自选参数) 特权模式进入密码: Switch(config)#enable secret 密码(自选参数) 取消特权模式密码:Switch(config)#no enable secret 取消主机名设置: Switch(config)#no hostname 退出配置模式: Switch(config)#exit 需要特别注意的是在配置模式中无法使用show命令,如果要使用 的话show前必须加do和空格,例如:do show * 指定根交换机命令:Switch(config)#spanning-tree vlan 自选参数(VLAN号)root primary 例如: Switch(config)#spanning-tree vlan 1 root primary 需要注意的是:设置根交换机是基于VLAN的 关闭生成树协议命令:Switch(config)#no spanning-tree vlan 自选参数(VLAN 号) 例如: Switch(config)#no spanning-tree vlan 1 1.3 接口配置模式 进入接口配置模式:Switch(config)#interface 端口名称(可选参数) 启用端口:Switch(config-if)#no shutdown 停用端口:Switch(config-if)#shutdown 进入同种类型多端口配置:Switch(config)# interface range fastethernet 0/1-5 进入不同类型多端口配置:Switch(config)#interface range fastethernet 0/1-5,gigabitethernet 0/1-2
Cisco+3750交换机配置
3750交换机(EMI) 简明配置维护手册 目录 说明 (2) 产品特性 (2) 配置端口 (3) 配置一组端口 (3) 配置二层端口 (5) 配置端口速率及双工模式 (5) 端口描述 (6) 配置三层口 (7) 监控及维护端口 (9) 监控端口和控制器的状态 (9) 刷新、重置端口及计数器 (11) 关闭和打开端口 (12) 配置VLAN (13) 理解VLAN (13) 可支持的VLAN (14) 配置正常范围的VLAN (14) 生成、修改以太网VLAN (14) 删除VLAN (16) 将端口分配给一个VLAN (17) 配置VLAN Trunks (18) 使用STP实现负载均衡 (21)
说明 本手册只包括日常使用的有关命令及特性,其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 3750EMI是支持二层、三层功能(EMI)的交换机 支持VLAN ?到1005 个VLAN ?支持VLAN ID从1到4094(IEEE 802.1Q 标准) ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?静态MAC地址映射 ?标准及扩展的访问列表支持,对于路由端口支持入出双向的访问列表,对于二层端口支持入的访问列表 ?支持基于VLAN的访问列表 3层支持(需要多层交换的IOS) ?HSRP ?IP路由协议 o RIP versions 1 and 2 o OSPF o IGRP及EIGRP o BGP Version 4 监视
?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能(历史、统计、告警及事件) ?Syslog功能 其它功能: 支持以下的GBIC模块: ?1000BASE-T GBIC: 铜线最长100 m ?1000BASE-SX GBIC: 光纤最长1804 feet (550 m) ?1000BASE-LX/LH GBIC: 光纤最长32,808 feet (6 miles or 10 km) ?1000BASE-ZX GBIC: 光纤最长328,084 feet (62 miles or 100 km) 配置端口 配置一组端口
思科交换机配置维护手册
思科交换机配置维护手册
目录
一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格,如:interface range fastethernet 0/1 – 5是有效的,而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。
见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
思科交换机配置命令大全
思科交换机配置命令大全 switch> 用户模式 1:进入特权模式 enable switch> enable switch# 2:进入全局配置模式 configure terminal switch> enable switch#configure terminal switch(conf)# 3:交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch#configure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4:配置使能口令 enable password cisco 以cisco为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5:配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6:设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch#configure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7:进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch#configure terminal
Cisco交换机配置新手篇-端口配置(一)
C i s c o交换机配置新手篇-端口配置(一) 上回跟大家介绍了如何正确连接交换机,今天用一些配置片段给大家介绍一下端口的配置。鉴于网上大多数配置事例都是show-run出来的结果。不利于新手对命令配置过程的了解,所以笔者将配置片段和注意的地方都注明了一下,希望能帮助新手尽快了解如何正确配置交换机。 在IOS输入命令时只要缩写的程度不会引起混淆,使用配置命令的时候都可以使用缩写的形式。比如:Switch>enable,在用户模式下以en开头的命令就只有enable,所以可以缩写成Switch>en。也可以用TAB键把命令自动补全,如Switch>en,按键盘TAB后自动补全为Switch>enable。 快捷键: 1.Ctrl+A:把光标快速移动到整行的最开始 2.Ctrl+E:把光标快速移动到整行的最末尾 3.Esc+B:后退1个单词 4.Ctrl+B:后退1个字符 5.Esc+F:前进1个单词 6.Ctrl+F:前进1个字符 7.Ctrl+D:删除单独1个字符 8.Backspace:删除单独1个字符 9.Ctrl+R:重新显示1行 10.Ctrl+U:擦除1整行 11.Ctrl+W:删除1个单词 12. Ctrl+Z从全局模式退出到特权模式 13.Up arrow或者Ctrl+P:显示之前最后输入过的命令 14.Down arrow或者Ctrl+N:显示之前刚刚输入过的命令 配置enable口令以及主机名字,交换机中可以配置两种口令 (一)使能口令(enable password),口令以明文显示 (二)使能密码(enbale secret),口令以密文显示 两者一般只需要配置其中一个,如果两者同时配置时,只有使能密码生效. Switch.> /*用户直行模式提示符 Switch.>enable /*进入特权模式 Switch.# /*特权模式提示符 Switch.# config terminal /*进入配置模式 Switch.(config)# /*配置模式提示符 Switch.(config)# hostname Pconline /*设置主机名Pconline Pconline(config)# enable password pconline /*设置使能口令为pconline Pconline(config)# enable secret network /*设置使能密码为network Pconline(config)# line vty 0 15 /*设置虚拟终端线 Pconline(config-line)# login /*设置登陆验证 Pconline(config-line)# password skill /*设置虚拟终端登陆密码 注意:默认情况下如果没有设置虚拟终端密码是无法从远端进行telnet的,远端进行telnet 时候会提示设置login密码。许多新手会认为no login是无法从远端登陆,其实no login是代表不需要验证密码就可以从远端telnet到交换机,任何人都能telnet到交换机这样是很危险的,千万要注意。 Cisco交换机配置新手篇-端口配置(二)
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
Cisco交换机常用配置命令
Cisco交换机常用配置命令 CISCO交换机基本配置 switch>ena 進入特权模式 switch#erasenvram 全部清除交换机的所有配置 switch#reload 重新启动交换机(初始提示符为switch> ) ------------------------------------------------------------------------------------ CISCO交换机基本配置:Console端口连接 用户模式hostname>; 特权模式hostname(config)# ; 全局配置模式hostname(config-if)# ; 交换机口令设置: switch>enable ;进入特权模式 switch#config;进入全局配置模式 switch(config)#hostname cisco ;设置交换机的主机名 switch(config)#enable secret csico1 ;设置特权加密口令 switch(config)#enable password csico8 ;设置特权非密口令 switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;虚拟终端允许登录 switch(config-line)#password csico6 ;设置虚拟终端登录口令csico6 switch#write 保存配置設置 switch#copy running-config startup-config 保存配置設置,與write一樣switch#exit;返回命令 配置终端过一会时间就会由全局配置模式自动改为用户模式,将超时设置为永不超时 switch#conf t switch(config)#line con 0 switch(config-line)#exec-timeout 0 --------------------------------------------------------------------------------- 交换机显示命令: switch#write;保存配置信息 switch#showvtp;查看vtp配置信息 switch#show run ;查看当前配置信息 switch#showvlan;查看vlan配置信息 switch#showvlan name vlan2 switch#show interface ;查看端口信息
思科交换机实用配置步骤详解
1.交换机支持的命令: 交换机基本状态: switch: ;ROM状态,路由器是rommon> hostname> ;用户模式 hostname# ;特权模式 hostname(config)# ;全局配置模式 hostname(config-if)# ;接口状态交换机口令设置: switch>enable ;进入特权模式 switch#config terminal ;进入全局配置模式 switch(config)#hostname ;设置交换机的主机名 switch(config)#enable secret xxx ;设置特权加密口令 switch(config)#enable password xxa ;设置特权非密口令switch(config)#line console 0 ;进入控制台口 switch(config-line)#line vty 0 4 ;进入虚拟终端 switch(config-line)#login ;允许登录 switch(config-line)#password xx ;设置登录口令xx switch#exit ;返回命令
交换机VLAN设置: switch#vlan database ;进入VLAN设置 switch(vlan)#vlan 2 ;建VLAN 2 switch(vlan)#no vlan 2 ;删vlan 2 switch(config)#int f0/1 ;进入端口1 switch(config-if)#switchportaccess vlan 2 ;当前端口加入vlan 2 switch(config-if)#switchport mode trunk ;设置为干线 switch(config-if)#switchport trunk allowed vlan 1,2 ;设置允许的vlan switch(config-if)#switchport trunk encap dot1q ;设置vlan 中继switch(config)#vtp domain ;设置发vtp域名 switch(config)#vtp password ;设置发vtp密码 switch(config)#vtp mode server ;设置发vtp模式 switch(config)#vtp mode client ;设置发vtp模式 交换机设置IP地址: switch(config)#interface vlan 1 ;进入vlan 1 switch(config-if)#ipaddress ;设置IP地址 switch(config)#ip default-gateway ;设置默认网关
思科交换机安全(详细配置、讲解)(知识材料)
cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT 必须支持802.1X方式,如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置: Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用 可选配置: Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口 Switch#configure terminal
思科交换机配置常用命令(精编文档).doc
【最新整理,下载后即可编辑】 Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 分类:IT资讯 标签: cisco 杂谈 基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令(level_#=1)或特权口令(level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令,设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令,设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令(加密或不加密) S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口(默认启用) S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中
思科交换机基本配置(非常详细)
cisco交换机基本配置 1.Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS(Internetwork Operating System,互联网际操作系统)或COS(Catalyst Operating System),其中以IOS使用最为广泛,该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令,可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点: (1)支持通过命令行(Command-Line Interface,简称CLI)或Web界面,来对交换机进行配置和管理。 (2)支持通过交换机的控制端口(Console)或Telnet会话来登录连接访问交换机。 (3)提供有用户模式(user level)和特权模式(privileged level)两种命令执行级别,并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式,以允许用户对交换机的资源进行配置。 (4)在用户模式,仅能运行少数的命令,允许查看当前配置信息,但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下,支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用?来获得命令行帮助,支持命令行编辑功能,并可将执行过的命令保存下来,供进行历史命令查询。 1.搭建交换机配置环境 在对交换机进行配置之前,首先应登录连接到交换机,这可通过交换机的控制端口(Console)连接或通过Telnet登录来实现。 (1)通过Console口连接交换机 对于首次配置交换机,必须采用该方式。对交换机设置管理IP地址后,就可采用Telnet登录方式来配置交换机。 对于可管理的交换机一般都提供有一个名为Console的控制台端口(或称配置口),该端口采用RJ-45接口,是一个符合EIA/TIA-232异步串行规范的配置口,通过该控制端口,可实现对交换机的本地配置。 交换机一般都随机配送了一根控制线,它的一端是RJ-45水晶头,用于连接交换机的控制台端口,另一端提供了DB-9(针)和DB-25(针)串行接口插头,用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口,但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。 通过该控制线将交换机与PC机相连,并在PC上运行超级终端仿真程序,即可实现将PC机仿真成交换机的一个终端,从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序,对于Windows 2000 Server系统,该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面,若没有,可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】,即可启动超级终端。 首次启动超级终端时,会要求输入所在地区的电话区号,输入后将显示下图所示的连接创建对话框,在【名称】输入框中输入该连接的名称,并选择所使用的示意图标,然后单击确定按钮。 图9-2 超级终端连接创建对话框
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
Cisco路由器交换机安全配置
一、网络结构及安全脆弱性 为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁: 1. DDOS攻击 2. 非法授权访问攻击。 口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。 3.IP地址欺骗攻击 …. 利用Cisco Router和Switch可以有效防止上述攻击。 二、保护路由器 2.1 防止来自其它各省、市用户Ddos攻击 最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router 利用率升高。 Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。 如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。 防X措施: 应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
以上均已经配置。 防止ICMP-flooging攻击 以上均已经配置。 除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route 以上均已经配置。 禁止用CDP发现邻近的cisco设备、型号和软件版本 如果使用works2000网管软件,则不需要此项操作 此项未配置。 使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 Router(config-t)#ip cef 2.2 防止非法授权访问 通过单向算法对“enable secret”密码进行加密
思科交换机配置常用命令
Cisco三层交换机配置命令及解释 (2011-07-11 08:54:50) 标签: 分类:IT资讯 cisco 杂谈 基本配置 S> enable 进入特权模式 S# configure terminal 进入全局配置模式 S(config)# hostname name 改变交换机名称 S(config)# enable password level level_# password 设置用户口令(level_#=1)或特权口令(level_#=15) S(config)# line console 0 进入控制台接口 S(config-line)# password console_password 接上一条命令,设置控制台口令 S(config)# line vty 0 15 进入虚拟终端 S(config-line)# password telnet_password 接上一条命令,设置Telnet口令 S(config-line)# login 允许Telnet登录 S(config)# enable password|secret privilege_password 配置特权口令(加密或不加密)S(config)# interface ethernet|fastethernet|gigabitethernet slot_#/port_# 进入接口子配置模式 S(config-if)# [no] shutdown 关闭或启用该接口(默认启用) S(config)# ip address IP_address sunbet_mask 指定IP地址 S(config)# ip default-gateway router's_IP_address 指定哪台路由器地址为默认网关 S# show running-config 查看当前的配置 S# copy running-config startup-config 将RAM中的当前配置保存到NVRAM中 S> show interface [type slot_#/port_#] 查看所有或指定接口的信息 S> show ip 显示交换机的IP配置(只在1900系列上可用) S> show version 查看设备信息 S# show ip interface brief 验证IP配置 S(config-if)# speed 10|100|auto 设置接口速率 S(config-if)# duplex auto|full|half 设置接口双工模式 S> show mac-address-table 查看CAM表 S# clear mac-address-table 清除CAM表中的动态条目 1900(config)# mac-address-table permanent MAC_address type [slot_#/]port_# 在CAM 表中创建静态条目 2950(config)# mac-address-table static MAC_address vlan VLAN_# interface type [slot_#/] port_# 在CAM表中创建静态条目 1900(config)# mac-address-table restricted static MAC_address source_port list_of_allowed_interface 设置静态端口安全措施 1900(config-if)# port secure 启用粘性学习 1900(config-if)# port secure max-mac-count value 设置粘性学习特性能够学到的地址数量(默认132,取值范围是1-132)
相关文档
- cisco交换机安全配置设定
- Cisco交换机VLAN的配置讲解
- cisco交换机安全配置设定命令详解
- cisco交换机配置及安全防护全解
- 思科交换机基本配置非常详细
- Cisco交换机生成树协议配置
- cisco端口安全配置详解
- 思科交换机Port-Security配置
- 思科交换机安全(详细配置、讲解)(知识材料)
- Cisco交换机的基本配置解读
- cisco交换机端口安全功能配置
- cisco交换机配置及安全防护
- 思科交换机安全 做 802.1X、port-security案例
- Cisco路由器交换机的常规安全配置模版
- 实验一 Cisco交换机的基本配置命令
- 思科交换机安全配置基线
- cisco交换机的端口安全配置
- cisco交换机的端口安全配置
- 思科交换机基本配置(非常详细)
- 思科交换机安全(很全的详细配置、讲解)