思科交换机安全(详细配置、讲解)(知识材料)
思科交换机安全配置(包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制)
思科交换机安全配置(包括AAA,端口安全,ARP安全,DHCP侦听,日志审计流量限制)网络拓扑图如下:根据图示连接设备。
在本次试验中,具体端口情况如上图数字标出。
核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。
IP 地址分配:Router:e0:192.168.1.1Core:f0/1: 192.168.1.2Svi接口:Core vlan10: 172.16.10.254Vlan20: 172.16.20.254Vlan30: 172.16.30.254Access vlan10: 172.16.10.253Vlan20: 172.16.20.253Vlan30: 172.16.30.253服务器IP地址:192.168.30.1Office区域网段地址:PC1:192.168.10.1PC2:192.168.10.2路由器清空配置命令:enerase startup-configReload交换机清空配置命令:enerase startup-configdelete vlan.datReload加速命令:enconf tno ip domain lookupline con 0exec-timeout 0 0logging synhostname一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击;1、基本配置SW1的配置:SW1(config)#vtp domain cisco //SW1配置vtp,模式为server,SW2模式为client SW1(config)#vtp password sovandSW1(config)#vtp mode serverSW1(config)#vlan 10SW1(config)#int range f0/3,f0/4 //链路捆绑SW1(config-if-range)#Channel-protocol pagpSW1(config-if-range)#Channel-group 10 mode onSW1(config)#int port-channel 10 //链路设置为trunk模式,封装802.1q协议,三层交换机默认没有封装该协议SW1(config-if)#switchport trunk encapsulation dot1qSW1(config-if)#switchport mode trunkSW2配置:SW2(config)#vtp domain ciscoSW2(config)#vtp password sovandSW2(config)#vtp mode clientSW2(config)#int range f0/3,f0/4SW2(config-if-range)#Channel-protocol pagpSW2(config-if-range)#Channel-group 10 mode onCreating a port-channel interface Port-channel 10SW2(config)#int port-channel 10SW2(config-if)#switchport trunk encapsulation dot1qSW2(config-if)#switchport mode trunkSW2(config)#int f0/1 //把f0/1,f0/2划入vlan10SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 10SW2(config-if)#int f0/2SW2(config-if)#switchport mode accessSW2(config-if)#switchport access vlan 102、vlan aclOffice区域禁止PC机互访:使用show int e0/0命令查看mac地址SW2(config)#mac access-list extended macaclSW2(config-ext-macl)#permit host 0007.8562.9de0 host 0007.8562.9c20 //要禁止双向通信SW2(config-ext-macl)#permit host 0007.8562.9c20 host 0007.8562.9de0SW2(config)#vlan access-map vmap 10 //禁止pc间的通信SW2(config-access-map)#match mac add macaclSW2(config-access-map)#action dropSW2(config)#vlan access-map vmap 20 //对其他数据放行,不然pc机无法ping通svi口、网关SW2(config-access-map)#action forwardSW2(config)#vlan filter vmap vlan-list 10未使用VLAN ACL时pc1可以ping通pc2,如下图:使用VLAN ACL时pc1可以无法ping通pc2,如下图:3、Office区域静态配置ip地址时采用的ARP防护:配置如下:SW2(config)#ip arp inspection vlan 10SW2(config)#arp access-list arplistSW2(config-arp-nacl)#permit ip host 192.168.10.1 mac host 0007.8562.9de0 //ip地址与mac地址对应表SW2(config-arp-nacl)#permit ip host 192.168.10.2 mac host 0007.8562.9c20SW2(config-arp-nacl)#ip arp inspection filter arplist vlan 10 SW2(config)#int port-channel 10SW2(config-if)#ip arp inspection trust注意:配置静态arp防护(用户主机静态配置地址,不是通过DHCP获取地址),需要新建ip与mac映射表,不然pc1无法ping 通svi口4、OSPF与DHCP全网起OSPF协议,使pc1可以ping通路由器。
Cisco路由器交换机安全配置
Cisco路由器交换机安全配置1. DDOS攻击2. 非法授权访咨询攻击。
口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。
….利用Cisco Router和Switch能够有效防止上述攻击。
二、爱护路由器2.1 防止来自其它各省、市用户Ddos攻击最大的威逼:Ddos, hacker操纵其他主机,共同向Router访咨询提供的某种服务,导致Router利用率升高。
如SMURF DDOS 攻击确实是用最简单的命令ping做到的。
利用IP 地址欺诈,结合ping就能够实现DDOS攻击。
防范措施:应关闭某些缺省状态下开启的服务,以节约内存并防止安全破坏行为/攻击以上均差不多配置。
防止ICMP-flooging攻击以上均差不多配置。
除非在专门要求情形下,应关闭源路由:Router(config-t)#no ip source-route以上均差不多配置。
禁止用CDP发觉邻近的cisco设备、型号和软件版本如果使用works2000网管软件,则不需要此项操作此项未配置。
使用CEF转发算法,防止小包利用fast cache转发算法带来的Router 内存耗尽、CPU利用率升高。
Router(config-t)#ip cef2.2 防止非法授权访咨询通过单向算法对“enable secret”密码进行加密应该操纵到VTY的接入,不应使之处于打开状态;Console应仅作为最后的治理手段:2.3三、爱护网络3.1防止IP地址欺诈黑客经常冒充地税局内部网IP地址,获得一定的访咨询权限。
在省地税局和各地市的W AN Router上配置:防止IP地址欺诈--使用基于unicast RPF(逆向路径转发)包发送到某个接口,检查包的IP地址是否与CEF表中到达此IP地址的最佳路由是从此接口转发,若是,转发,否则,丢弃。
注意:通过log日志能够看到内部网络中哪些用户试图进行IP地址欺诈。
此项已配置。
防止IP地址欺诈配置访咨询列表防止外部进行对内部进行IP地址防止内部对外部进行IP地址欺诈四、爱护服务器关于地税局内部的某些Server,如果它不向各地提供服务能够在总局核心Cisco Router上配置空路由。
思科交换机安全端口配置
令,或者你可以手动的shut再no shut端口。这个是端口安全违规的默认动作。
默认的端口安全配置:
以下是端口安全在接口下的配置-
特性:port-sercurity 默认设置:关闭的。
特性:最大安全mac地址数目 默认设置:1
特性:违规模式 默认配置:shutdown,这端口在最大安全mac地址数量达到的时候会shutdown,并发
足够数量的mac地址,来降下最大数值之后才会不丢弃。
?restrict:
一个**数据和并引起"安全违规"计数器的增加的端口安全违规动作。
?shutdown:
一个导致接口马上shutdown,并且发送SNMP陷阱的端口安全违规动作。当一个安全端口处在error-
disable状态,你要恢复正常必须得 敲入全局下的errdisable recovery cause psecure-violation 命
switch(config-if)#end
switch#show port-sec add
Secure Mac Address Table
------------------------------------------------------------
Vlan Mac Address Type Ports
switch(config-if)#end
switch#show port-sec int f0/12
Security Enabled:Yes, Port Status:SecureUp
Violation Mode:Shutdown
Max. Addrs:5, Current Addrs:0, Configure Addrs:0
思科Cisco交换机配置手册配置教程
思科Cisco交换机配置手册配置教程配置接口特性这一章详细说明交换机上的接口和描述怎么配置他们。
这章有以下这些内容:●理解接口类型●使用接口命令●配置二层接口●监控和维护第二层接口●配置第三从接口注意:需要完整的有关该章的语法和应用信息,请参考Catalyst 3550 Multilayer Switch Command Reference和Cisco IOS Interface Command Referencefor Release 12.1.理解接口类型这个部分描述了不同的接口类型,以及其它章节所包括的详细配置这些接口的一些参考内容。
其他章节描述了物理接口特性的配置过程。
这部分包括:基于端口的VLAN (Port-Based VLANs)交换端口(Switch Ports)以太网通道端口组(EtherChannel Port Groups)交换虚拟接口(Switch Virtual Interfaces)被路由端口(Routed Ports)连接接口(Connecting Interfaces)基于端口的VLAN (Port-based Vlans)一个Vlan是一个按功能、组、或者应用被逻辑分段的交换网络,并不考虑使用者的物理位置。
要更多关于Vlan的信息请看“Configuring VLANS”。
一个端口上接受到的包被发往属于同一个Vlan的接收端口。
没有一个第三层的设备路由Vlan间的流量,不同Vlan的网络设备无法通讯。
为了配置普通范围(Normal-range) Vlan(Vlan IDs 1-1005),使用命令:config-vlan模式(global) vlan vlan-id或vlan-configuration模式(exec) vlan database针对Vlan ID 1-1005的vlan-configration模式被保存在vlan数据库中。
为配置扩展范围(extended-range)Vlans (Vlan ID 1006-4094),你必须使用config-vlan模式,并把VTP的模式设为transparent透明模式。
思科交换机基本配置[非常详细]
![思科交换机基本配置[非常详细]](https://img.taocdn.com/s3/m/799d5c4b27d3240c8547ef12.png)
cisco交换机基本配置1.Cisco IOS简介Cisco Catalyst系列交换机所使用的操作系统是IOS(Internetwork Operating System,互联网际操作系统)或COS (Catalyst Operating System),其中以IOS使用最为广泛,该操作系统和路由器所使用的操作系统都基于相同的内核和shell。
IOS的优点在于命令体系比较易用。
利用操作系统所提供的命令,可实现对交换机的配置和管理。
Cisco IOS操作系统具有以下特点:(1)支持通过命令行(Command-Line Interface,简称CLI)或Web界面,来对交换机进行配置和管理。
(2)支持通过交换机的控制端口(Console)或Telnet会话来登录连接访问交换机。
(3)提供有用户模式(user level)和特权模式(privileged level)两种命令执行级别,并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式,以允许用户对交换机的资源进行配置。
(4)在用户模式,仅能运行少数的命令,允许查看当前配置信息,但不能对交换机进行配置。
特权模式允许运行提供的所有命令。
(5)IOS命令不区分大小写。
(6)在不引起混淆的情况下,支持命令简写。
比如enable通常可简约表达为en。
(7)可随时使用?来获得命令行帮助,支持命令行编辑功能,并可将执行过的命令保存下来,供进行历史命令查询。
1.搭建交换机配置环境在对交换机进行配置之前,首先应登录连接到交换机,这可通过交换机的控制端口(Console)连接或通过Telnet登录来实现。
(1)通过Console口连接交换机对于首次配置交换机,必须采用该方式。
对交换机设置管理IP地址后,就可采用Telnet登录方式来配置交换机。
对于可管理的交换机一般都提供有一个名为Console的控制台端口(或称配置口),该端口采用RJ-45接口,是一个符合EIA/TIA-232异步串行规范的配置口,通过该控制端口,可实现对交换机的本地配置。
2024年Cisco交换机培训教程
Cisco交换机培训教程引言:随着网络技术的不断发展,交换机作为网络设备的核心组件之一,扮演着至关重要的角色。
Cisco作为全球领先的网络安全解决方案提供商,其交换机产品在市场上具有广泛的应用。
本教程旨在为读者提供关于Cisco交换机的基本知识和操作技巧,帮助读者更好地理解和应用Cisco交换机。
第一章:Cisco交换机简介1.1交换机的基本概念交换机是一种网络设备,用于在局域网(LAN)中连接多个网络设备,如计算机、打印机等。
其主要功能是根据MAC地质,将数据包从一个端口转发到另一个端口,实现设备之间的通信。
1.2Cisco交换机系列Cisco提供了多种交换机系列,包括CiscoCatalyst系列、CiscoNexus系列等。
每个系列都有其独特的特点和适用场景。
本教程将主要介绍CiscoCatalyst系列交换机。
第二章:Cisco交换机的安装和配置2.1交换机的安装在安装Cisco交换机之前,需要准备好相应的设备,包括交换机、网线、电源线等。
安装过程包括将交换机放置在机架上,连接电源线和网线,然后进行开机启动。
2.2交换机的配置交换机的配置可以通过命令行接口(CLI)进行。
需要通过串口或网络连接到交换机,然后输入用户名和密码进行登录。
在CLI 中,可以执行各种命令进行交换机的配置,包括配置端口、VLAN、路由等。
第三章:Cisco交换机的管理3.1SNMP管理简单网络管理协议(SNMP)是一种用于网络设备管理的标准协议。
通过SNMP,可以远程监控和管理交换机,包括获取设备信息、配置参数、性能指标等。
3.2CLI管理CLI是交换机配置和管理的主要方式。
通过CLI,可以执行各种命令进行交换机的配置和管理。
熟练掌握CLI命令是进行交换机管理的基础。
3.3Web管理除了CLI,Cisco交换机还支持通过Web界面进行管理。
通过Web界面,可以直观地查看和配置交换机的各种参数,方便用户进行操作。
第四章:Cisco交换机的故障排除4.1常见故障和解决方案在交换机的使用过程中,可能会遇到各种故障,如端口故障、VLAN配置错误等。
CISCO交换机基本配置和使用概述
CISCO交换机基本配置和使用概述CISCO交换机是一种常用的网络设备,用于构建局域网(Local Area Network,LAN)。
它可以通过物理线路的连接,将多台计算机或其他网络设备连接到同一个网络中,实现数据的传输和共享。
CISCO交换机的基本配置包括IP地址的配置、VLAN的配置、端口配置、安全性配置等。
接下来,我们将对这些配置进行详细说明。
首先,IP地址的配置是CISCO交换机的基本操作之一。
通过配置IP地址,我们可以对交换机进行管理和监控。
具体的配置步骤如下:1. 进入交换机的配置模式。
在命令行界面输入"enable"命令,进入特权模式。
2. 进入全局配置模式。
在特权模式下输入"configure terminal"命令,进入全局配置模式。
3. 配置交换机的IP地址。
在全局配置模式下输入"interfacevlan 1"命令,进入虚拟局域网1的接口配置模式。
然后输入"ip address 192.168.1.1 255.255.255.0"命令,配置交换机的IP地址和子网掩码。
4. 保存配置并退出。
在接口配置模式下输入"exit"命令,返回到全局配置模式。
然后输入"exit"命令,返回到特权模式。
最后输入"copy running-config startup-config"命令,保存配置到闪存中。
其次,VLAN的配置是CISCO交换机的关键配置之一。
通过配置VLAN,我们可以将交换机的端口划分为不同的虚拟局域网,实现数据的隔离和安全。
1. 进入交换机的配置模式。
同样,在特权模式下输入"configure terminal"命令,进入全局配置模式。
2. 创建VLAN。
在全局配置模式下输入"vlan 10"命令,创建一个编号为10的VLAN。
cisco交换机配置及安全防护全解29页
1234(config)#enable secret 234 1234(config)#
查看全局配置 Switch#show running-config
保存当前配置 Switch#copy running-config startup-config
当一个端口允许多个vlan通过时,trunk allowed vlan中要添加各条vlan信息
Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all Switch(config-if)#switchport trunk allowed vlan 10,50,60 Switch(config-if)#switchport trunk allowed vlan add 20 (remove 删除) Switch(config-if)#switchport trunk allowed vlan add 30 Switch(config-if)#switchport trunk allowed vlan add 40 Switch(config-if)#switchport trunk native vlan 1 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config
10 Force 10 Mbps operation 100 Force 100 Mbps operation 1000 Force 1000 Mbps operation auto Enable AUTO speed configuration Switch(config-if)#speed auto Switch(config-if)#
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cisco所有局域网缓解技术交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN端口和MAC绑定:port-security基于DHCP的端口和IP,MAC绑定:ip source guard基于DHCP的防止ARP攻击:DAI防止DHCP攻击:DHCP Snooping常用的方式:1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT 必须支持802.1X方式,如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息示例配置:Router#configure terminalRouter(config)#aaa new-modelRouter(config)#aaa authentication dot1x default group radiusRouter(config)#radius-server host 10.200.200.1 auth-port 1633 key radkeyRouter(config)#dot1x system-auth-control 起用DOT1X功能Router(config)#interface fa0/0Router(config-if)#dot1x port-control autoAUTO是常用的方式,正常的通过认证和授权过程强制授权方式:不通过认证,总是可用状态强制不授权方式:实质上类似关闭了该接口,总是不可用可选配置:Switch(config)#interface fa0/3Switch(config-if)#dot1x reauthenticationSwitch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证Switch#dot1x re-authenticate interface fa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求Switch(config)#interface fa0/3Switch(config-if)#dot1x timeout tx-period 90 //默认是30SSwitch(config-if)#dot1x max-req count 4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminalSwitch(config)#interface fastethernet0/3Switch(config-if)#dot1x port-control autoSwitch(config-if)#dot1x host-mode multi-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口Switch#configure terminalSwitch(config)#dot1x guest-vlan supplicantSwitch(config)#interface fa0/3Switch(config-if)#dot1x guest-vlan 2 //未得到授权的进入VLAN2,提供了灵活性//注意:1、VLAN2必须是在本交换机激活的,计划分配给游客使用;2、VLAN2信息不会被VTP传递出去Switch(config)#interface fa0/3Switch(config-if)#dot1x default //回到默认设置show dot1x [all] | [interface interface-id] | [statistics interface interface-id] [{ | begin | exclude | include} expression]Switch#sho dot1x allDot1x Info for interface FastEthernet0/3----------------------------------------------------Supplicant MAC 0040.4513.075bAuthSM State = AUTHENTICATEDBendSM State = IDLEPortStatus = AUTHORIZEDMaxReq = 2HostMode = SinglePort Control = AutoQuietPeriod = 60 SecondsRe-authentication = EnabledReAuthPeriod = 120 SecondsServerTimeout = 30 SecondsSuppTimeout = 30 SecondsTxPeriod = 30 SecondsGuest-Vlan = 0debug dot1x {errors | events | packets | registry | state-machine | all}2、端口安全,解决CAM表溢出攻击(有种MACOF的工具,每分钟可以产生155000个MAC地址,去轰击CAM 表,从而使合法主机的要求都必须被FLOOD)示例配置:Switch#configure terminalSwitch(config)#interface fastethernet0/0Switch(config-if)#switchport mode accessSwitch(config-if)#switchport port-securitySwitch(config-if)#switchport port-security maximum 20 //这里默认是1Switch(config-if)#switchport port-security mac-address sticky//保存学习到的地址到RUN CONFIG文件中,避免手动配置的麻烦,并省去动态学习所消耗的资源switchport port-security violation {protect | restrict | shutdown}三个参数解释:protect(保护):当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,且不产生通知restrict(限制):当达到某个设定的MAC数量,后来的未知MAC不再解析,直接丢弃,产生通知,如SNMP TRAP、SYSLOG信息,并增加违反记数;这里有个问题,恶意攻击会产生大量的类似信息,给网络带来不利。
shutdown(关闭):当达到某个设定的MAC数量,后来的未知MAC不再解析,直接关闭该端口,除非手动开启,或改变端口安全策略端口安全需要全部手动配置,增加工作量,下面的两种方式DHCP SNOOP如网吧的管理员使用DHCP分配地址的时候执行IP和MAC地址的捆绑Switch#configure terminalSwitch(config)#ip dhcp snoopingSwitch(config)#ip dhcp snooping vlan 34Switch(config)#ip dhcp snooping information optionSwitch(config)#interface fa0/0 //连接DHCP服务器的接口Switch(config-if)#ip dhcp snooping limit rate 70Switch(config-if)#ip dhcp snooping trust //指定该接口为信任接口,将获得DHCP服务器所分配的地址,其他接口所发生的DHCP行为将被否决DAI动态ARP审查,调用ACL和DHCP SNOOP的IP-TO-MAC数据库Switch#configure terminalSwitch(config)#ip arp inspection filter //这里调用ACL注意,只能调用ARP ACL,该ACL优先与IP-TO-MAC表被审查,也就是说,即使有绑定项存在,如果被ARP-ACL拒绝,也不能通过Switch(config)#ip arp inspection vlan 34Switch(config)#interface fa0/0Switch(config-if)#ip arp inspection trust //连接到DHCP服务器的接口,调用该接口上的DHCP SNOOP的IP-TO-MAC表,默认连接到主机的接口都是不信任的接口Switch(config-if)#ip arp inspection limit rate 20 burst interval 2//不信任接口限制为每秒14个ARP请求,信任接口默认不受限制,这里修改为每秒20Switch(config-if)#exitSwitch(config)#ip arp inspection log-buffer entries 64//记录64条拒绝信息注意:DHCP SNOOP只提供IP-TO-MAC绑定表,本身不参与流量策略,只是防止DHCP欺骗,而对任何IP和MAC欺骗是没有能力阻止的,但是它提供这样一张表给DAI调用,以防止MAC欺骗。
ip arp-inspection //仅仅对违规的ARP包进行过滤,不对IP包和其他包起作用。
ip source verify //会对绑定接口的IP或者IP+MAC进行限制3、VACLConfiguring VACLs for Catalyst 6500 Traffic CaptureRouter(Config)# access-list 110 permit tcp any 172.12.31.0.0.0.0.255 eq 80Router(config)# vlan access-map my_mapRouter(config-access-map)# match ip address 110Router(config-access-map)# action forward captureRouter(config)# vlan filter my_map 10-12,15Router(config)# interface fa 5/7Router(config-if) switchport capture allowed vlan 10-12, 15。