cisco交换机配置及安全防护全解

合集下载

思科交换机安全端口配置

令，或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
默认的端口安全配置：
以下是端口安全在接口下的配置-
特性：port-sercurity 默认设置：关闭的。
特性：最大安全mac地址数目默认设置：1
特性：违规模式默认配置：shutdown，这端口在最大安全mac地址数量达到的时候会shutdown，并发
足够数量的mac地址，来降下最大数值之后才会不丢弃。
?restrict:
一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。
?shutdown:
一个导致接口马上shutdown，并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-
disable状态，你要恢复正常必须得敲入全局下的errdisable recovery cause psecure-violation 命
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0

思科交换机端口安全(Port-Security)

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac 地址与端口绑定以及mac地址与ip地址绑定。

3、以cisco3550交换机为例做mac地址与端口绑定的可以实现两种应用：a、设定一端口只接受第一次连接该端口的计算机mac地址，当该端口第一次获得某计算机mac地址后，其他计算机接入到此端口所发送的数据包则认为非法，做丢弃处理。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

4、破解方法：网上前辈所讲的破解方法有很多，主要是通过更改新接入计算机网卡的mac地址来实现，但本人认为，此方法实际应用中基本没有什么作用，原因很简单，如果不是网管，其他一般人员平时根本不可能去注意合法计算机的mac地址，一般情况也无法进入合法计算机去获得mac地址，除非其本身就是该局域网的用户。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect |restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告| 丢弃数据包，在console发警告| 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

CISCO交换机基本配置和使用概述

CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备，用于构建局域网（Local Area Network，LAN）。

它可以通过物理线路的连接，将多台计算机或其他网络设备连接到同一个网络中，实现数据的传输和共享。

CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。

接下来，我们将对这些配置进行详细说明。

首先，IP地址的配置是CISCO交换机的基本操作之一。

通过配置IP地址，我们可以对交换机进行管理和监控。

具体的配置步骤如下：1. 进入交换机的配置模式。

在命令行界面输入"enable"命令，进入特权模式。

2. 进入全局配置模式。

在特权模式下输入"configure terminal"命令，进入全局配置模式。

3. 配置交换机的IP地址。

在全局配置模式下输入"interfacevlan 1"命令，进入虚拟局域网1的接口配置模式。

然后输入"ip address 192.168.1.1 255.255.255.0"命令，配置交换机的IP地址和子网掩码。

4. 保存配置并退出。

在接口配置模式下输入"exit"命令，返回到全局配置模式。

然后输入"exit"命令，返回到特权模式。

最后输入"copy running-config startup-config"命令，保存配置到闪存中。

其次，VLAN的配置是CISCO交换机的关键配置之一。

通过配置VLAN，我们可以将交换机的端口划分为不同的虚拟局域网，实现数据的隔离和安全。

1. 进入交换机的配置模式。

同样，在特权模式下输入"configure terminal"命令，进入全局配置模式。

2. 创建VLAN。

在全局配置模式下输入"vlan 10"命令，创建一个编号为10的VLAN。

2024年度Cisco交换机配置教程

交换机可以通过控制台线连接计算机进行配置，也可以通过 Telnet或SSH远程登录进行配置。
VLAN可以将交换机上的端口划分成不同的虚拟局域网，实现广播域的隔离和不同部门之间的安全通信。
通过配置访问控制列表（ACL）、端口安全等功能，可以提高交换机的安全性，防止未经授权的访问和网络攻击。
33
拓展学习资源推荐（书籍、网站等）
4
交换机工作原理
交换机根据收到数据帧中的源 MAC地址建立该地址同交换机端口的映射，并将其写入MAC
地址表中。
交换机将数据帧中的目的MAC 地址同已建立的MAC地址表进行比较，以决定由哪个端口进
行转发。
2024/3/23
如数据帧中的目的MAC地址不在MAC地址表中，则向所有端口转发。这一过程称为泛洪（ Flood）。
2024/3/23
查看MAC地址表
使用“show mac-address-table” 命令查看交换机的MAC地址表，包括MAC地址、接口、VLAN等信息。
查看路由表
如果交换机配置了路由功能，可使用 “show ip route”命令查看路由表信息。
14
04
端口配置与VLAN划分
Chapter
01
02
03
04
书籍推荐
《Cisco交换机配置与管理》、《网络工程师必读 ——交换机/路由器配置与管理》等。
网站推荐
Cisco官方网站、华为企业网络学院、网络技术论坛等。
在线课程推荐
Coursera、网易云课堂、51CTO学院等在线教育平台上提供的相关课程。
实验环境推荐
GNS3、EVE-NG等网络模拟器可以在个人计算机上搭建虚拟实验环境，进行交换机配置的实践操作。

cisco交换机配置及安全防护全解29页

更改特权密码 1234(config)#enable password 123 1234(config)#
1234(config)#enable secret 234 1234(config)#
查看全局配置 Switch#show running-config
保存当前配置 Switch#copy running-config startup-config
当一个端口允许多个vlan通过时，trunk allowed vlan中要添加各条vlan信息
Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all Switch(config-if)#switchport trunk allowed vlan 10,50,60 Switch(config-if)#switchport trunk allowed vlan add 20 （remove 删除） Switch(config-if)#switchport trunk allowed vlan add 30 Switch(config-if)#switchport trunk allowed vlan add 40 Switch(config-if)#switchport trunk native vlan 1 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config
10 Force 10 Mbps operation 100 Force 100 Mbps operation 1000 Force 1000 Mbps operation auto Enable AUTO speed configuration Switch(config-if)#speed auto Switch(config-if)#

思科cisco交换机端口安全配置（宝典）

思科cisco 交换机端口安全配置你可以使用端口安全特性来约束进入一个端口的访问，基于识别站点的mac 地址的方法。

当你绑定了mac 地址给一个端口，这个口不会转发限制以外的mac 地址为源的包。

如果你限制安全mac 地址的数目为1，并且把这个唯一的源地址绑定了，那么连接在这个接口的主机将独自占有这个端口的全部带宽。

如果一个端口已经达到了配置的最大数量的安全mac 地址，当这个时候又有另一个mac 地址要通过这个端口连接的时候就发生了安全违规，(security violation).同样地，如果一个站点配置了mac 地址安全的或者是从一个安全端口试图连接到另一个安全端口，就打上了违规标志了。

理解端口安全：当你给一个端口配置了最大安全mac 地址数量，安全地址是以一下方式包括在一个地址表中的：·你可以配置所有的mac 地址使用switchport port-security mac-address，这个接口命令。

·你也可以允许动态配置安全mac 地址，使用已连接的设备的mac 地址。

·你可以配置一个地址的数目且允许保持动态配置。

注意：如果这个端口shutdown 了，所有的动态学的mac 地址都会被移除。

一旦达到配置的最大的mac 地址的数量，地址们就会被存在一个地址表中。

设置最大mac 地址数量为1，并且配置连接到设备的地址确保这个设备独占这个端口的带宽。

当以下情况发生时就是一个安全违规：·最大安全数目mac 地址表外的一个mac 地址试图访问这个端口。

·一个mac 地址被配置为其他的接口的安全mac 地址的站点试图访问这个端口。

你可以配置接口的三种违规模式，这三种模式基于违规发生后的动作：·protect-当mac 地址的数量达到了这个端口所最大允许的数量，带有未知的源地址的包就会被丢弃，直到删除了足够数量的mac 地址，来降下最大数值之后才会不丢弃。

思科交换机端口安全(Port-Security)配置方法详解

思科交换机端口安全(Port-Security)Cisco Catalyst交换机端口安全（Port-Security）1、 Cisco29系列交换机可以做基于2层的端口安全，即mac地址与端口进行绑定。

2、 Cisco3550以上交换机均可做基于2层和3层的端口安全，即mac地址与端口绑定以及mac地址与ip地址绑定。

b、设定一端口只接受某一特定计算机mac地址，其他计算机均无法接入到此端口。

5、实现方法：针对第3条的两种应用，分别不同的实现方法a、接受第一次接入该端口计算机的mac地址：Switch#config terminalSwitch(config)#inte**ce inte**ce-id 进入需要配置的端口Switch(config-if)#switchport mode access 设置为交换模式Switch(config-if)#switchport port-security 打开端口安全模式Switch(config-if)#switchport port-security violation {protect | restrict | shutdown }//针对非法接入计算机，端口处理模式{丢弃数据包，不发警告 | 丢弃数据包，在console发警告 | 关闭端口为err-disable状态，除非管理员手工激活，否则该端口失效。

Cisco路由器交换机安全配置

Cisco路由器交换机安全配置一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router 或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁： 1. DDOS攻击 2. 非法授权 ...一、网络结构及安全脆弱性为了使设备配置简单或易于用户使用，Router或Switch初始状态并没有配置安全措施，所以网络具有许多安全脆弱性，因此网络中常面临如下威胁：1. DDOS攻击2. 非法授权访问攻击。

口令过于简单，口令长期不变，口令明文创送，缺乏强认证机制。

3.IP地址欺骗攻击….利用Cisco Router和Switch可以有效防止上述攻击。

二、保护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威胁：Ddos, hacker控制其他主机，共同向Router访问提供的某种服务，导致Router利用率升高。

Ddos是最容易实施的攻击手段，不要求黑客有高深的网络知识就可以做到。

如SMURF DDOS 攻击就是用最简单的命令ping做到的。

利用IP 地址欺骗，结合ping就可以实现DDOS攻击。

防范措施：应关闭某些缺省状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

以下是引用片段：Router(config-t)#no service fingerRouter(config-t)#no service padRouter(config-t)#no service udp-small-serversRouter(config-t)#no service tcp-small-serversRouter(config-t)#no ip http serverRouter(config-t)#no service ftpRouter(config-t)#no ip bootp server以上均已经配置。

防止ICMP-flooging攻击。

以下是引用片段：Router(config-t)#int e0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arpRouter(config-t)#int s0Router(config-if)#no ip redirectsRouter(config-if)#no ip directed-broadcastRouter(config-if)#no ip proxy-arp以上均已经配置。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

cisco交换机的安全策略典型配置
1.设备管理
1.1远程管理服务配置域名 switch(config)#ip domain-name switch.domin-name 生成RSA密钥对 switch(config)#crypto key generate rsa ! How many bits in the modulus [512]:2048 Generating RSA keys [ok] 配置仅允许ssh远程登录 switch(config)#line vty 0 4 switch(config-line)#transport input ssh switch(config-line)#exit

Vlan名称可以自行定义
在全局模式下加入VTP域example Switch(config)#vtp mode client Switch(config)#vtp domain example

Switch#show vlan
查看vlan配置信息

vlan10配置192.168.10.1/24的ip地址
2.2 enable密码
采用secret对密码进行加密，使用不可逆加密算法加密。 switch(config)#enable secret 2-pwd-rouT switch(config)#no enable password
2.3 账户登录空闲时间设置consloe口登录超时时间5分钟 switch(config)#line console 0 switch(config-line)#exec-timeout 5 switch(config)#line vty 0 4 switch(config-line)#exec-timeout 5

双工模式： Switch(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation

Switch(config-if)#duplex auto Switch(config-if)# 端口描述 Switch(config-if)#description vlan 10 trunk Switch(config-if)#
switch(config-line)#password password
switch(config-line)#login
2.用户账号与口令安全
2.1 Service password 密码
采用service password-encryption，使口令加密方式得到增强 switch(config)#service password-encryption

恢复出厂默认 Switch#erase startup-config Switch#reload

明文密码和密文密码 Password 1234#show running-config

hostname 1234 enable password 123
Secret 1234#show running-config
2.4密码长度
密码长度至少8位，并包括数字、小写字母、大写字母、和特殊符号4类中至少2类 switch(config)#username user password
2.5 用户账号管理
按照用户分配账号，避免不同用户账号共享 switch(config)#username user1 password Aa_12345 switch(config)#username user1 privilege 1 switch(config)#username user2 password Aa_abcd5 switch(config)#username user2 privilege 1
3.日志与审计
3.1 SNMP协议安全
修改SNMP的团体串默认通行字，通行字符串应符合口令强度要求，使用ACL限制只与特定主机进行SNMP协议交互 switch(config)#access-list 75 permit host 14.2.6.60
switch(config)#access-list 75 deny any log 2

Vlan设置范围：1---4094 在全局模式下配置vlan Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#name vlan10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#name vlan20
配置ip地址的命令格式： ip address {ip-address} {netmask}
测试常用端口类型
Access / trunk
将此端口设置为vlan10 的access口 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)# 将此端口设置为vlan10 的trunk口 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10
当一个端口允许多个vlan通过时，trunk allowed vlan中要添加各条vlan信息 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all Switch(config-if)#switchport trunk allowed vlan 10,50,60 Switch(config-if)#switchport trunk allowed vlan add 20 （remove 删除） Switch(config-if)#switchport trunk allowed vlan add 30 Switch(config-if)#switchport trunk allowed vlan add 40 Switch(config-if)#switchport trunk native vlan 1 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config
switch(config)#line vty 0 4 switch(config-line)#access-class 12 in
1.4 console端口管理 console需配置口令认证信息，防止无权限用户通过console 口登录设备，设置登录时间限制。 switch(config)#line console 0 switch(config-line)#exec-timeout 5

hostname 1234 enable secret 5 $1$CCFV$0DTd3rSPZNycrVDjn1rKv/ （MD5 加密的字符串） enable password 123 当明文和密文同时存在时，密文优先级高。
全局模式下进入端口后，可以对端口进行配置。 Switch#conf t Switch(config)#interface gigabitEthernet 0/1 Switch(config-if)# 批量修改端口 range命令 Switch(config)#interface range gigabitEthernet 0/1 - 48 Switch(config-if-range)# 端口速率： Switch(config-if)#speed ? 10 Force 10 Mbps operation 100 Force 100 Mbps operation 1000 Force 1000 Mbps operation auto Enable AUTO speed configuration Switch(config-if)#speed auto Switch(config-if)#
交换机典型配置
内容提要：
交换机的基本功能典型配置
交换机的安全策略典型配置
CISCO交换机的基本功能配置
计算机连接到控制台接口

用户模式特权模式
Switch> Switch>enable Switch# Switch#configure terminal Switch(config)#

全局模式
此端口为vlan10 vlan20 vlan30 vlan40的trunk口，default vlan 1经过

光端口配置
Switch(config)#interface gigabitEthernet 0/25 Switch(config-if)# switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config 注意：由于思科的交换机只自动识别自己品牌的光模块，所以如果用其他品牌的光模块，需在配置模式下输入一下两条命令，开启兼容性。 service unsupported-transceiver no errdisable detect cause gbic-invalid 命令输入完成后保存设置重启设备